14.3 IT 服务外包标准的主要内容
14.3.1 《信息技术 服务外包 服务交付保障通用要求》
目的和意义
《信息技术 服务外包 服务交付保障通用要求》是IT 服务外包标准的纲领性文件,是从服务提供方的视角出发,考虑发包方的需求和特点,兼顾对分包方及其他合作伙伴的管理需求,针对服务外包的相关过程提出要求,以规范服务提供方的行为。在通用的框架和内容上,关注影响服务外包成败的关键因素。可以为IT 服务外包承接方提供参考依据,指导其开展和实施IT 服务外包工作,可以作为IT 服务发包方选择和评价IT 服务外包提供方的参考标准,可以作为第三方评价、IT 服务提供方能力水平的参考。
核心内容
《信息技术 服务外包 服务交付保障通用要求》由两个层面构成,一个是对IT 服务外包的要求,一个是对IT 服务外包管理体系的要求。标准框架如图14.1 所示:
对IT 服务外包的要求部分由战略管理、服务实现和服务交付保障三方面构成了IT 服务外包的有机整体,同时又划分出了管理层面、实施层面和支持层面涵盖的范畴。具体来说,从战略管理方面对组织的业务规划和部署、服务目录管理、能力和可用性管理提出了要求;从服务实现方面对组织实现服务交付提出了要求;从服务交付保障方面对组织保障服务交付的业务管理、资源管理和威胁管理提出了要求。
对IT 服务外包管理体系的要求分为服务外包管理体系的建立、实施、监控和评估、改善4 个过程,应用了戴明环(PDCA)的管理思想,构成了持续改善过程,使整个体系可以进行自我代谢,自我更新,进化到更为完善的阶段,在这个过程中,不断促进服务质量的持续提升,更好的满足客户需求。

战略管理关注于组织如何规划服务外包业务、组织能够提供什么样的服务以及组织如何建立和维护服务能力及可用性以满足服务外包的需求,包含以下三部分内容:业务规划和部署、服务目录管理、能力和可用性管理。
- 业务规划和部署:对服务外包业务的发展进行战略规划,建立组织的商业目标,以指导组织服务外包业务的经营和管理;
- 服务目录管理:建立和维护组织能够提供的服务信息;
- 能力和可用性管理:在合适的成本前提下,确保组织具备提供服务所需要的能力和可用性。
服务实现涵盖了组织根据服务需求进行服务设计和部署,以及交付服务的过程。主要包括以下五部分:服务设计和部署、服务交付、服务移交、事件管理和问题管理。
- 服务设计和部署:是依据客户需求和服务外包协议进行服务的设计并有效部署。包括:服务需求沟通、设计和部署计划、服务规格说明、服务设计和服务部署;
- 服务交付:是按照服务设计要求,提供服务,达成对客户的承诺,包括:服务交付策划、客户培训、服务交付、服务承诺验证和服务变更;
- 服务移交:是指客户(或其他组织)将服务移交给组织或组织向客户(或其他组织)移交所提供的服务时,要有效管理移交过程,满足客户对业务连续性的要求,提高客户满意度。服务移交有转入和转出两种形式,包含有资源转入、人员转入、服务连续性、资源转出、人员转出和知识转出;
- 事件管理:是确保及时解决服务过程中发生的事件,尽快回复服务或响应服务请求。 事件处理后,应分析事件发生的原因,并采取措施避免事件的再次发生;
- 问题管理:是组织应主动识别服务交付过程中发生的问题,分析问题原因,并采取纠正和预防措施,预防问题的重复发生,将问题对服务的影响降到最低。和事件不同的是,问题的出现可能不会直接影响到服务对象、导致服务中断。
服务交付保障关注于组织服务交付的支撑活动,并将这些活动分为三个方面:业务管理、资源管理和威胁管理。
- 业务管理:与外包业务的开展直接相关的过程,包括:协议管理、服务级别管理、关系管理、沟通管理、配置管理和质量保证;
- 资源管理:管理服务交付所需各种资源的过程,包括:人员管理、知识管理、技术管理、财务管理和基础设施管理;
- 威胁管理:对可能威胁服务顺利交付的因素实施管理的过程。包括:安全管理、知识产权管理、合规性管理和风险管理。
建立和实施组织服务外包管理体系,为客户提供标准化的服务,并对服务过程进行持续的改善,以促进服务质量的提升。包括:服务外包管理体系定义、服务外包管理体系实施、服务外包管理体系监控和评估、服务外包管理体系改善。
适用范围
本标准规定了IT 服务外包中保障服务交付的通用要求,适用于:
- 提供IT 服务或计划提供IT 服务的组织;
- 评价、选择IT 服务提供方的服务发包方;
- 评价、认定IT 服务提供方能力水平的第三方。
14.3.2 《信息技术 服务外包 数据(信息)保护规范》
目的和意义
《信息技术 服务外包 数据(信息)保护规范》旨在为个人信息安全、商业数据安全和知识产权保护提供基本的规则和要求,以构建安全体系、安全机制,不因偶然的或者恶意的原因,遭到破坏、篡改、泄露、窃取等,并且在提供安全指导的同时,保证业务的连续性,不限制数据的自由流通。
核心内容
在本标准中,提到的数据保护涉及个人信息安全、商业数据安全和知识产权保护,具体是指个人信息、商业数据的保密性、完整性、准确性、可用性、真实性、可控性和不可抵赖性,以及公民、法人对自己创造性智力成果依法享有人身权和财产权的民事权利。
本标准由数据保护原则、相关方的权职、数据保护机制和管理评价四个部分构成,形成了数据保护体系架构。数据保护原则是整个数据保护的指导,从数据保护原则出发,定义各方的权利、责任和义务,制定管理、保护、安全、改进的机制以及应急处理和例外,定义的管理评价用来确保实施的符合性、一致性。下面对数据保护规范的各个部分进行介绍:
- 定义。定义部分主要定义了标准中一些重要术语和概念。在本标准中,
- 数据是指个人信息、商业数据;
- 数据主体是指与个人信息、商业数据相关的所有者;
- 数据管理者是指获数据主体授权,基于明确、合法目的,管理、处理、使用数据的IT服务外包组织;
- 数据保护是指为保护数据主体权益,数据管理者对基于明确、合法目的收集、保存、管理、处理、使用数据采取相应的安全管理措施,并建立安全管理机制,监控和改进数据安全管理措施的实施,保障数据的准确性、完整性、可用性。
- 数据保护原则。本标准遵循原则有:目的明确、权利限制、数据质量、使用限制、安全保障和有效实施;
- 数据主体权利。数据主体权利部分定义了数据主体拥有的权利:知情权、支配权、疑义和反对;
- 数据管理者的责任和义务。本部分定义六个要素确立了数据管理者的责任和义务:依法管理、保障数据主体的权益、明确数据处理目的、告知义务、质量保证以及安全和保密;
- 数据保护体系。个人信息保护、商业数据保护,均应依据本标准构建数据保护体系,以协调保护机制和各类资源,充分、有效地开展数据保护工作;
- 数据保护方针。数据管理者应基于实际情况,依据国家相关法规、标准的原则和措施,以简洁、明确的语言阐述、公示,以指导数据保护工作;
- 管理机构和责任。数据保护的组织保障和要求是通过设立最高管理者、建立管理机构和过程改进机构来定义的。在管理机构下有三个层面:宣传教育、安全管理和服务支持;
- 管理机制。管理机制部分通过制度建设、宣传教育、服务支持、文档管理和体系文档的维护形成了数据管理过程。其中:
- 管理制度:数据管理者应制定实施数据保护体系应遵循的规章和制度,包括基本规章和适用于各从属机构、部门特点的管理细则,并切实执行。
 宣传:分为基本宣传、业务宣传和对外宣传,以期取得对数据保护工作的配合和重视。
- 培训教育:数据保护管理机构应根据人员、机构、管理、业务、需求等实际情况,制定数据保护相应的培训和教育制度、计划,适时开展个人信息保护、商业数据保护的培训教育,并在实际工作中执行。
- 服务支持:数据保护管理机构应依据相关法规、标准、服务对象需求、服务类型等,提供相应的服务。
- 文档管理:针对文档管理的五个要素,定义具体要求和准则。五个要素为保存、时限、管理、备案和质量。
- 数据保护体系文档:应在数据保护体系实施过程中记录与数据保护行为相关的目的、
时间、范围、对象、方式方法、效果、反馈等信息。如培训教育、宣传、过程改进等。
- 保护机制。保护机制是数据保护中最为核心的一个机制,它从数据的收集开始、到数据的公示,定义了在数据生命周期内的所有行为准则和标准,是最基本、也是必须遵循的部分。
其中:
- 收集:所有数据收集行为,必须具有明确、合法的目的,并应履行相应的义务,征得数据主体同意,限定在收集目的范围内。
- 处理:数据管理者应在数据收集目的范围内处理、使用数据,不可超出收集目的处理,并在这个过程中保证数据质量可靠。在某些特殊情况下,需要超目的范围处理、使用数据时,应履行相应的义务,以适当方式通知数据主体,征得数据主体同意,
- 提供:数据管理者合法拥有的数据,在向第三方提供时,应履行相应的义务,保障数据主体的合法权益。
- 委托:委托第三方收集数据、或向第三方委托数据相关处理业务时,应在数据主体同意的,或委托方以合同或其他方式要求的使用目的范围内处理,不可超范围、超目的随意处理,并将受托方相关信息提供给数据主体。
- 其他:任何其他使用数据的行为,均应履行相应的义务,征得数据主体同意,并限定在数据主体同意的范围内,避免随意泄漏、传播和扩散。
- 后处理:处理、使用数据之后,如销毁、返还、继续保存或继续使用等,应征得数据主体明确同意,并采取相应的安全措施,保证不发生丢失、泄露、损毁、篡改、不当使用等安全事件。
- 公示:公开、公示数据,应履行相应的义务,通知数据主体,并征得数据主体同意。
- 安全机制。安全机制部分从物理安全、数据安全、人员安全方面做了定义和要求,具体包括:风险管理、物理环境管理、工作环境管理、网络行为管理、信息安全管理、存储管理、使用管理、备份和恢复、人员管理、备案管理;
- 过程改进。应依据相关法规、监察报告、需求变化、建议、投诉等,定期评估、分析数据保护体系运行状况,采用PDCA 模式,持续改进和完善数据保护体系;
- 应急管理。应制定应急预案,对获取、存储、处理和使用数据过程中可能出现的数据泄漏、丢失、损坏、篡改、不当使用等事件进行评估、分析,采取相应的预防措施和处理;
- 例外。例外分为收集例外和法律例外,收集例外是指不应收集、处理、使用个人、商业敏感信息。经数据主体同意,或法律特别规定的例外,但应采取特别的保护措施,履行相应的义务;法律例外是指基于法律特别规定的例外,可以不必事先征得数据主体同意;
- 管理评价。应对数据管理过程和数据保护实施过程状况进行认证,确定与相应法规、标准的符合性、一致性和目的有效性。
适用范围
本标准规定了IT 服务外包中数据保护的规范,适用于:
- IT 服务外包中涉及到数据管理、操作的管理机构;
- IT 服务外包中涉及到数据管理、操作的相关人员;
- IT 服务外包中涉及到数据的提供者。
本章从IT 服务外包标准概述、应用价值和具体标准内容三方面介绍了IT 服务外包标准,描述出了IT 服务外包标准的整体框架、相互关系和核心内容,旨在为IT 服务工程师建立IT 服务外包标准的基本概念和认识,为进一步的学习和在工作上的应用奠定一定的基础。
********************************************************************************** 返回到首页 《ITSS认证IT服务工程师培训教材》_试用版_2011_0311连载http://ITIL-foundation.cn/thread-36464-1-1.htmlITSS、培训、服务、资格、评估、ITSS培训师、ITSS评估师、实施ITSS、ITSS符合性、ITSS服务工程师、ITSS服务项目经理、ITSS标准、ITSS咨询、ITSS工具、IT服务监理、ITSS体系、ITSS服务质量、评价、指标、运维、治理、咨询、ITSS出版物、ITSS产品、服务监理工具、服务质量评价工具、标准符合性评估工具、服务管理工具、服务治理工具、系统监控工具、辅助决策分析、服务支持管理、基础设施监控、ITSS基础教材、ITSS标准、ITSS服务人员培训教材、标准化、专业化、人员(People)、流程[1](Process)、技术(Technology)和资源(Resource),简称PPTR、规划设计(Planning&Design)、部署实施(Implementing)、服务运营(Operation)、持续改进(Improvement)和监督管理(Supervision),简称PIOIS、服务交付规范、资源要求、外包管理、服务交付、分类、代码、服务指南、通用要求、指标体系、ITSS落地实践交流-QQ群:21542747
|