GB-T 34960.2-2017信息技术服务治理第2部分实施指南

ICS 35.080 GB L 77 中华人民共和国国家标准 GB/T 34960.2--2017 信息技术服务治理第2部分：实施指南 Information technology service--Governance- Part 2 :Implementation guide 2017-11-01发布 2018-05-01实施中华人民共和国国家质量监督检验检疫总局发布中国国家标准化管理委员会 GB/T 34960.2--2017 目次前言范围 2 规范性引用文件 3 术语和定义治理实施框架实施环境 5.1 概述 5.2 内外部环境要求 5.3 促成因素 6 : 实施过程 6.1 概述 6.2 统筹和规划 6.3 构建和运行 6.4 监督和评估 6.5 改进和优化顶层设计治理的实施 7.1 战略 7.2 组织 7.3 架构管理体系治理的实施 8.1 质量管理 8.2 项目管理 8.3 投资管理 8.4 服务管理 8.5 业务连续性管理 8.6 信息安全管理风险管理 8.7 8.8 供方管理 8.9 资产管理…. 8.10 其他管理 9. 资源治理的实施· 9.1 基础设施 9.2 应用系统 9.3 数据 12 参考文献 GB/T 34960.2--2017 前言 GB/T34960《信息技术服务：：治理》拟分为如下部分：第1部分：通用要求；第2部分：实施指南；第3部分：绩效评价；第4部分：审计导则；第5部分：数据治理规范；本部分为GB/T34960的第2部分，是第1部分的实施指南。本部分按照GB/T1.1—2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本部分由全国信息技术标准化技术委员会（SAC/TC28)提出并归口：本部分主要起草单位：北京华胜天成科技股份有限公司、上海计算机软件技术开发中心、中国电子技术标准化研究院、上海企源科技有限公司、上海万隆信息技术咨询有限公司、快威科技集团有限公司、四川久远银海软件股份有限公司、辽宁省电子信息产品监督检验院、北京华宇信息技术有限公司、北京北咨信息工程咨询有限公司，广州市金禧信息技术服务有限公司、天津天大康博科技有限公司、广州赛宝认证中心服务有限公司、北京信城通数码科技有限公司、软通动力信息技术（集团）有限公司、北京中扬天成科技有限公司、成都信息化技术应用发展中心、成都勤智数码科技股份有限公司、辽宁北方实验室有限公司、江苏振邦智慧城市信息系统有限公司、北京神州泰岳软件股份有限公司、北京随达信科技公司、神州数码信息服务股份有限公司、上海北塔软件股份有限公司、上海市浦东新区信息化协会、上海翰纬信息管理咨询有限公司、成都安美勤信息技术股份有限公司、北京荣之联科技股份有限公司、上海谷航信息科技发展有限公司、北京易服务信息技术有限公司本部分主要起草人：宋俊典、王铮、杨琳、李雪、李鸣、王春涛、张明英、俞文平、孙佩、魏东、侯娜娜姗、熊健淞、潘蓉、张肠肠、君敖、李璐、邱就、张绍华、宋跃武、温伟军、刘小茵、沈国华、郑晨光、刘玲、杨泉、李刚、但强、董跃、李海涛、夏斌辉、王庆磊、刘文海、马洪杰、徐、陆雯珺、郝守勤、杨爽、甘琼、陆雷、张智灵、潘纯峰、左天祖、张荣静、韩佳赞、秦佩君。 GB/T 34960.2-2017 信息技术服务治理第2部分：实施指南 1范围 GB/T34960的本部分提出了信息技术治理（以下简称：IT治理）通用要求的实施指南，分析了实施 IT治理的环境因素，规定了IT治理的实施框架、实施环境和实施过程，并明确顶层设计治理、管理体系治理和资源治理的实施要求。本部分适用于： a) 建立组织的IT治理实施框架，明确实施方法和过程； b）组织内部开展IT治理的实施； ) IT治理相关软件或解决方案实施落地的指导 (P 第三方开展IT治理评价的指导。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T34960.1信息技术服务：治理：第1部分：通用要求 GB/T220812008信息技术安全技术信息安全控制实践指南 GB/T28827.12012信息技术服务：.运行维护第1部分：通用要求 3：术语和定义 GB/T34960.1界定的术语和定义适用于本文件。 4. 治理实施框架 IT治理实施框架包括治理的实施环境、实施过程和治理域，见图1 实施环境包括组织的内外部环境和促成因素。实施过程规定了IT治理实施的方法论，包括统筹和规划、构建和运行、监督和评估、改进和优化治理域定义了IT治理对象，包括顶层设计、管理体系和资源。顶层设计包括战略、组织和架构，管理体系包括质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理，资源包括基础设施、应用系统和数据。组织应结合实施环境的分析，按照实施过程，以治理域为对象，开展IT治理实施。 GB/T 34960.2-2017 实施环境统筹和规划实施过程项层设计改进和优化管理体系构建和运行资源治理域监督和评估图1 治理实施框架 5实施环境 5.1概述组织应分析内外部环境的要求，识别IT治理的促成因素，以保障IT治理的实施 5.2F 内外部环境要求组织应分析内外部环境要求，明确IT治理实施的策略。内外部环境要求包括但不限于： a) 现行的政策、法律、法规等；内外部审计、监督、评估等； c) 组织战略和业务战略的变化； (p 市场、经济和竞争地位的变化； e) 新兴技术变革和重大技术变更。 5.3 促成因素促成因索包括但不限于： a) 内外部基础信息； b) 文化、道德规范和行为； c) 业务需求； (P 信息技术战略、组织和架构； e) 信息技术资源和信息技术服务能力； f) 人员技能和职业能力。 GB/T34960.2--2017 6实施过程 6.1概述 IT治理实施主体应结合实施环境，兼顾创新、协调、绿色、开放、共享的发展理念，分配资源并构建 IT治理实施过程，明确统筹和规划、构建和运行、监督和评估、改进和优化的目标和基本任务。 6.2：统筹和规划目标：统筹和规划IT治理实施的过程，营造必要的治理环境，做好IT治理实施的准备工作。统筹和规划的基本任务应包括：明确IT治理实施的组织机构、实施主体、职责分工，以及利益相关方的沟通机制； b) 设计IT治理实施框架，明确实施内容、程序和机制；根据组织战略、业务要求和利益相关方期望，规划IT治理实施的目标、方法和范围； d) 结合信息技术顶层设计、管理体系和资源的治理要求，识别IT治理的任务； e) 建立与IT治理实施相适应的路线图和绩效考评体系； f) 规划IT治理实施的绩效评价和审核机制，明确审计监督的相关要求。 6.3：构建和运行目标：构建IT治理实施的管理机制，确保IT治理实施的有序运行构建和运行的基本任务应包括：建立IT治理实施相关的管理机制，确立实施要点； b) 制定满足整体规划的构建和运行计划，并按计划实施； ) 制定IT治理实施的工作标准与方法；建立信息交流与共享途径； e) 对构建和运行过程进行管理，确保过程可追溯，结果可计量或可评估。 6.4 监督和评估目标：监督IT治理的实施过程，评估IT治理实施的符合性和质量。监督和评估的基本任务应包括： a 依据绩效评价和审计要求，对IT治理实施过程进行监督； b) 评估IT治理实施团队和人员的能力，必要时可聘请外部团队和人员；监督和评估IT治理实施的适宜性和有效性； d) 监督和评估顶层设计、管理体系、资源治理要求的实施。 6.5. 改进和优化目标：组织应持续改进IT治理实施的过程，提升IT治理实施的有效性。改进和优化的基本任务应包括： a）建立IT治理实施的改进和优化机制，并对改进和优化过程进行监督： b) 依据统筹规划的目标和要求，对未达成的指标进行检查和分析； c) 确定改进措施，制定IT治理实施改进计划； d) 持续推进IT治理实施的改进和优化。 3 GB/T 34960.2--2017 7顶层设计治理的实施 7.1战略 7.1.1概述组织应对IT治理的实施环境进行分析和评估，制定信息技术战略，并推进战略规划的实施和改进。 7.1.2 实施环境的评估组织在评估当前环境和能力过程中，应 a) 建立实施环境的评估方法和机制； b) 评估业务战略及组织发展战略；评估信息技术建设及服务能力；评估IT治理实施的内外部环境和促成因素。 7.1.3 信息技术战略的制定信息技术战略制定中，应：考虑组织战略、信息技术对业务的支撑能力； b) 考虑相关标准、最佳实践、成熟技术和创新建议： c) 评估信息技术战略与组织战略的一致性，确保其与组织战略相匹配。 7.1.4 战略规划的实施和改进信息技术战略规划实施和改进时，应： a）符合组织战略，并与业务战略目标一致； b) 建立满足信息技术目标的管理体系； c) 配置资源以满足战略目标要求； d) 持续优化和改进信息技术管理体系。 7.2组织 7.2.1 概述组织应建立IT治理实施的机制和机构，确保治理团队、机构和人员能力满足IT治理的要求。 7.2.2 IT治理机制组织应明确IT治理的授权机制、决策机制和沟通机制。IT治理机制应： a 满足组织的信息技术战略和目标要求；保证利益相关方理解、接受相应的职责和权利； c) 确保沟通信息的准确、可