IT治理相关标准简介v01_SSO_090313_YJ.docxVIP

PAGE PAGE 2 目 录 TOC \o 1-3 \h \z \u ITIL 2 ISO/IEC 20000 2 ISO/IEC 27001 3 ISO/IEC 38500 3 BS 25999 4 SAS70 5 六西格玛 5 COBIT 6 CMMI 6 MOF 7 PRINCE2 8 P3O 8 e-SCM 8 BSC 9 RACI 9  IT治理相关标准简介 ITIL ITIL即IT基础架构库（Information Technology Infrastructure Library, ITIL，信息技术基础架构库）由英国政府部门CCTA(Central Computing and Telecommunications Agency)在20世纪80年代末制订，现由英国商务部OGC(Office of Government Commerce)负责管理，主要适用于IT服务管理（ITSM）。 ITILv3与v2的主要区别，在于引进服务生命周期（Service Life Cycle）模型，并提供许多丰富的新资源，让ITIL不再只是提到“做什么”，而是明确说明“怎么做”，加强与COBIT、CMMI、Sigma等标准的结合等，并让企业可以根据自己的业务，按需要设计并实施适合自己的ITIL应用。 ISO/IEC 20000 ISO/IEC 20000是第一部针对服务管理的国际标准，于2005年12月由ISO组织发布，帮助识别和管理IT服务的关键过程，保证提供有效的IT服务满足客户和业务的需求。此套体系规范秉承“以客户为中心，以流程为导向”的服务理念，旨在帮助企业组织能够有效的识别与管理IT服务管理的关键过程，保证在满足客户与业务需求的同时，依照公认的“P-D-C-A”方法论应用，充分发挥IT服务持续改进的能力，最终达到企业组织用最小成本获得最大收益价值的目的。 ISO20000体系规范主要包括两大章节，第一章节为IT服务管理规范，包括了5大过程组，分别为服务交付过程、发布过程、解决过程、关系过程、控制过程及过程组所覆盖的13个服务管理流程，并与体系管理职责、文件要求及能力、意识和培训，一同作为体系认证的参考标准。第二章节为IT服务管理实施指南，为体系认证的实施过程提供参照说明。 ISO/IEC 20000在2005年12月15日发布，由英国标准BS 15000发展而来。BS 15000由英国标准组织（BSI）、中央计算机和电讯局（CCTA）和信息技术服务管理论坛（itSMF）联合协定，与ITIL最佳实践和ISO9000:2000普通质量管理需求保持一致。 文档集现在包括2个主要的部分。ISO/IEC 20000-1：2005 提供了IT服务管理的规范，在组织内确定、实施或维护IT服务管理体系。由一套为组织认证审计的有效服务管理需求集组成。ISO/IEC 20000-2：2005提供了IT服务管理的实践要点（code for practice）。提供一套浓缩集，解决如何控制第1部分能被实施的细节。 ISO/IEC 20000整合了ISO管理体系标准基于流程导向的方法（PDCA），如ISO 9001:2000和 ISO 14001:2004等，包括规划（Plan）-执行（Do）-检查（Check）-行动（Act）的循环和持续改善方法论。 ISO/IEC 27001 信息安全管理体系，BSI提供ISO/IEC 27001:2005的审核，认证和培训服务。 ISO/IEC 27001由国际标准化组织（ISO）制定，它基于并取代了国际公认的英国标准BS 7799。 ISO/IEC 27001与其他国际标准编排一致，包括OECD的实施信息安全的指南，以及信息安全的最佳实践标准ISO/IEC 17799。 ISO/IEC 27001适合于任何规模和行业的组织，尤其适合于信息安全影响关键的组织，如金融、健康、政府和IT行业。ISO/IEC 27001对于为他方提供信息管理服务的组织非常有效，例如IT外包公司，它可以用来确保客户的信息是受保护的。 ISO/IEC 38500 ISO/IEC 38500:2008 corporate governance of information technology，于2008年4月份官方正式发布。这是第一个IT 治理国际标准，它的出台不仅标志着IT 治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段，而且也标志着信息化正式进入IT 治理时代。 这套标准是在澳大利亚标准AS8015：2005基础上发展而来，原称ISO/IEC 29382，现在正式官方命名为ISO/IEC 38500。信息和通信技术（ICT）