信息技术服务治理第2部分：实施指南

信息技术服务治理第2部分：实施指南

国家标准 GB/34960.2一2017 信息技术服务治理 第2部分:实施指南 Informationtechnologservice一G0vernance Part2:lmplementatioguide 2017-11-01发布 2018-05-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB;/T34960.2一2017 前 言 GB/T34960《信息技术服务治理拟分为如下部分 第1部分:通用要求; 第2部分:实施指南; 第3部分:绩效评价 第4部分;审计导则; 第5部分:数据治理规范; 本部分为GB/T34960的第2部分,是第1部分的实施指南 本部分按照GB/T1.1一2009给出的规则起草 请注意本文件的某些内容可能涉及专利 本文件的发布机构不承担识别这些专利的责任 本部分由全国信息技术标准化技术委员会(sAc/TC28)提出并归口 本部分主要起草单位;北京华胜天成科技股份有限公司、上海计算机软件技术开发中心、电子 、上海万隆信息技术咨询有限公司、快威科技集团有眼公司 技术标准化研究院、上海企源科技有限公司、 四川久远银海软件股份有限公司、辽宁省电子信息产品监督检验院、北京华宇信息技术有限公司,北京 北咨信息工程咨询有限公司,广州市金禧信息技术服务有限公司、天津天大康博科技有限公司、广州赛 宝认证中心服务有限公司、北京信城通数码科技有限公司、软通动力信息技术(集团)有限公司、北京中 扬天成科技有限公司、成都信息化技术应用发展中心,成都勤智数码科技股份有限公司、辽宁北方实验 室有限公司、江苏振邦智慧城市信息系统有限公司、北京神州泰岳软件股份有限公司、北京随达信科技 公司、神州数码信息服务股份有限公 上海北塔软件股份有限公司、上海市浦东新区信息化协会、上海 翰纬信息管理咨询有限公司,成都安美勤信息技术股份有限公司,北京荣之联科技股份有限公司、上海 谷航信息科技发展有限公司、北京易服务信息技术有限公司 本部分主要起草人;宋俊典、王锋、杨琳、李雪、李鸣、王春涛、张明英、俞文平、孙佩、魏东、侯姗姗、 熊健淞、潘蓉、张肠肠、薛君敖、李璐、邱兢、张绍华,宋跃武,温伟军,刘小茵沈国华,郑晨光,刘玲、杨泉、 李刚但强,董跃、李海涛、夏斌辉、王庆磊、刘文海、马洪杰、徐嗖、陆雯君、郝守勤、杨爽、甘琼、陆雷、 张智灵、潘纯峰、左天祖、张荣静、韩佳资、秦佩君
GB;/T34960.2一2017 信息技术服务治理 第2部分实施指南 范围 GB/T34960的本部分提出了信息技术治理(以下简称;IT治理)通用要求的实施指南,分析了实施 IT治理的环境因素,规定了IT治理的实施框架、实施环境和实施过程,并明确顶层设计治理管理体系 治理和资源治理的实施要求 本部分适用于: 建立组织的IT治理实施框架,明确实施方法和过程; a b)组织内部开展IT治理的实施; IT治理相关软件或解决方案实施落地的指导; c d 第三方开展IT治理评价的指导 规范性引用文件 下列文件对于本文件的应用是必不可少的 凡是注日期的引用文件,仅注日期的版本适用于本文 件 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 治理第1部分;通用要求 信息技术服务 GB/T34960.1 信息技术安全技术信息安全控制实践指南 GB/T220812008 GB/T28827.1一2012信息技术服务运行维护第1部分;通用要求 术语和定义 GB/T34960.1界定的术语和定义适用于本文件 治理实施框架 IT治理实施框架包括治理的实施环境、实施过程和治理域,见图1 实施环境包括组织的内外部环境和促成因素 实施过程规定了IT治理实施的方法论,包括统筹和规划、构建和运行、监督和评估,改进和优化 治理域定义了IT治理对象,包括顶层设计、管理体系和资源 顶层设计包括战略、组织和架构,管 理体系包括质量管理,项目管理、投资管理、服务管理,业务连续性管理、信息安全管理、风险管理、供方 管理、资产管理和其他管理,资源包括基础设施、应用系统和数据 组织应结合实施环境的分析,按照实施过程,以治理域为对象,开展IT治理实施
GB/T34960.2一2017 实施环境 统筹和规划 实施过程 顶层设计 构建和运行 改进和优化 管理体系 资源 治理域 监督和评估 治理实施框架 实施环境 5 5.1概述 组织应分析内外部环境的要求,识别IT治理的促成因索,以保障IT治理的实施 5.2内外部环境要求 组织应分析内外部环境要求,明确IT治理实施的策略 内外部环境要求包括但不限于 现行的政策、法律,法规等; a b) 内外部审计、监督、评估等; 组织战略和业务战略的变化 c d 市场、经济和竞争地位的变化 新兴技术变革和重大技术变更 e 5.3促成因素 组织应识别IT治理实施的促成因素,分析利益相关方的责权利,明确IT治理实施的任务和过程 促成因素包括但不限于 内外部基础信息; a 文化、道德规范和行为; b 业务需求; e d信息技术战略、组织和架构; e 信息技术资源和信息技术服务能力 fD 人员技能和职业能力
GB;/T34960.2一2017 实施过程 6.1概述 IT洽理实施主体应结合实施环境,兼顾创新、协调、绿色、开放,共享的发展理念,分配资源并构建 IT治理实施过程,明确统筹和规划、构建和运行、监督和评估,改进和优化的目标和基本任务 6.2统筹和规划 目标:统筹和规划IT治理实施的过程,营造必要的洽理环境,做好IT治理实施的准备工作 统筹和规划的基本任务应包括 明确IT治理实施的组织机构实施主体、职责分工,以及利益相关方的沟通机制 a b 设计IT治理实施框架,明确实施内容、程序和机制 c 根据组织战略、业务要求和利益相关方期望,规划IT治理实施的目标、方法和范围; d)结合信息技术顶层设计、管理体系和资源的治理要求,识别IT治理的任务; 建立与IT治理实施相适应的路线图和绩效考评体系; e 规划IT治理实施的绩效评价和审核机制,明确审计监督的相关要求 6.3构建和运行 目标;构建IT治理实施的管理机制,确保IT治理实施的有序运行 构建和运行的基本任务应包括 建立IT治理实施相关的管理机制,确立实施要点; a 制定满足整体规划的构建和运行计划,并按计划实施; b 制定IT治理实施的工作标准与方法; c 建立信息交流与共享途径; d 对构建和运行过程进行管理,确保过程可追溯，结果可计量或可评估 6.4监督和评估 目标;监督IT治理的实施过程,评估IT治理实施的符合性和质量 监督和评估的基本任务应包括 依据绩效评价和审计要求,对IT治理实施过程进行监督 a b)评估IT治理实施团队和人员的能力,必要时可聘请外部团队和人员; 监督和评估IT治理实施的适宜性和有效性; c 监督和评估顶层设计、管理体系、资源治理要求的实施 d 6.5改进和优化 目标;组织应持续改进IT治理实施的过程,提升IT治理实施的有效性 改进和优化的基本任务应包括 建立IT治理实施的改进和优化机制,并对改进和优化过程进行监督; aa b 依据统筹规划的目标和要求,对未达成的指标进行检查和分析; 确定改进措施,制定I治理实施改进计划 c d 持续推进IT治理实施的改进和优化
GB/T34960.2一2017 顶层设计治理的实施 7.1战略 7.1.1概述 组织应对I治理的实施环境进行分析和评估,制定信息技术战略,并推进战略规划的实施和 改进 7.1.2实施环境的评估 组织在评估当前环境和能力过程中,应 建立实施环境的评估方法和机制 a 评估业务战略及组织发展战略 b) 评估信息技术建设及服务能力; c d) 评估IT治理实施的内外部环境和促成因素 7.1.3信息技术战略的制定 信息技术战略制定中,应: 考虑组织战略、信息技术对业务的支撑能力 b)考虑相关标准、最佳实践、成熟技术和创新建议 c 评估信息技术战略与组织战略的一致性,确保其与组织战略相匹配 7.1.4战略规划的实施和改进 信息技术战略规划实施和改进时,应 符合组织战略,并与业务战略目标一致; a b) 建立满足信息技术目标的管理体系， 配置资源以满足战略目标要求; c d 持续优化和改进信息技术管理体系 7.2组织 7.2.1概述 组织应建立IT治理实施的机制和机构,确保治理团队、机构和人员能力满足IT治理的要求 7.2.2I治理机制 组织应明确IT治理的授权机制决策机制和沟通机制 IT治理机制应 满足组织的信息技术战略和目标要求 a) b) 保证利益相关方理解、接受相应的职责和权利; 确保沟通信息的准确、可靠和有效 c d 适应IT治理体系持续改进的方法和策略 7.2.3Ir治理机构 组织应根据战略和业务需求,建立IT治理机构,包括但不限于信息技术战略委员会、信息技术管 理和服务机构、业务部门、风险管理部门审计监督部门等
GB;/T34960.2一2017 明确IT治理机构的职能、岗位和职责,明确角色和职责 a b 宜建立首席信息官制度,参与组织决策; c 建立互信、高效、目标一致的IT治理实施团队 d)确保IT治理实施人员具备业务及信息技术知识,并不断得到提升; 建立IT治理实施人员的培养机制 e 7.3架构 7.3.1概述 组织应建立满足企业架构的IT架构、架构管理策略和管理体系,满足IT治理的要求 7.3.2建立 信息技术架构的建立,应 与组织战略目标、,IT治理目标保持一致; b)满足信息技术战略的目标和要求; 满足功能集成,信息集成及数据共享等应用需求 c 7.3.3 管理 信息技术架构管理机制的制定,应 满足IT治理战略规划的要求; a 评估架构设计的合理性、先进性和开放性; b 持续改进和优化架构及其管理机制 c 管理体系治理的实施 8 8.1质量管理 8.1.1概述 组织应建立信息技术服务及产品质量管理体系,明确质量管理的职责和权限、提供资源保障并持续 改进和优化 8.1.2质量管理体系的建立 信息技术服务及产品质量管理体系包括质量体系文件的建立、文件体系的实施和控制、质量手册的 编制和维护等 质量管理体系的建立,应 明确质量管理体系的过程,以及质量管理体系应用的策略 a b 制定质量管理体系的实施方法和揩施 c 制定质量管理职责和权限的划分机制,并提供资源保障 定义质量管理体系各个过程的输人和输出; d 分析质量管理体系各个过程的顺序和相互作用 分析非预期输出或过程失效所带来的风险; 明确质量准则,测量及评价方法,确保质量体系有效运行和控制 g h 监测,分析质量管理体系的过程,确保过程符合预期
GB/T34960.2一2017 8.1.3质量管理责权的明确 质量管理责权的明确包括责任人的明确、职责权限的沟通和理解,内外部沟通机制的建立 质量管 理责权的明确,应 确保质量管理责权与管理体系符合性 a 确保质量管理体系各个过程相互作用并产生预期结果 b 向最高管理者报告质量管理体系的绩效和改进需求 c d) 提升组织满足顾客需求的意识 e 明确内外部沟通的内容,时机和对象 8.1.4质量管理的资源保障 质量管理的资源保障包括人力资源,相应的教育培训,基础设施资源支撑、工作环境和条件等,应 持续改进和完善质量管理团队,开展人员教育和培训,提升人员意识和技能" a) b) 确保质量管理所需的基础设施支撑,包括建筑物及相关设施设备、软硬件、,通信和系统 c 明确质量管理体系所需的工作环境,包括物理的社会的,心理等环境因索 8.1.5质量管理体系的持续改进 质量管理体系的持续改进包括监视,测量、分析和改进等过程,应 aa 证实信息技术相关质量需求的符合性; b)确保信息技术质量管理体系的符合性; 持续改进信息技术质量管理体系的有效性 c 8.2项目管理 组织应建立项目管理机制,制定项目计划,确定项目范围,建立成本、进度和质量控制机制,建立和 维护项目管理的流程和方法,统计分析项目的完成情况,并评估绩效 项目管理的实施,应 定义项目管理的总体策 立项目管理制度及流程 略和原则,律 a 制定详细的项目计划,识别项目范围,估算项目规模、工作量及成本; b 组建项目团队,与利益相关方明确项目计划并达成共识 c 明确项目管理的要求,包括进度管理、配置管理、问题管理,风险管理、质量管理、沟通管理、评 d 价管理、成本管理等具体要求和策略; 对项目实施进行跟踪和监督,包括需求的变更管理,交付物的配置管理、风险跟踪分析及管理、 成本管理、沟通管理等; 明确项目质量保证策略、过程和活动,解决并跟踪质量保证活动中发现的不符合问题 8.3投资管理 8.3.1概述 组织应根据投资目标和规划合理安排资金投放结构,科学确定投资项目,建立投资的拟定方案,可 行性论证.,方案决策、投资计划编制、.投资计划实能.投资项目到期处置制度等 8.3.2投资管理规划 组织应建立信息技术投资规划,并对其进行统筹管理,应 明确信息技术投资的目的; a
GB;/T34960.2一2017 b)制定信息技术投资规划 c 明确信息技术投资的原则,保证其符合组织战略、业务战略和信息技术战略 d 建立信息技术投资管理组织,明确投资决策管理、风险管理、监督管理等机构的责任和权力 8.3.3投资管理程序和方法 组织应制定信息技术投资的管理程序和方法,应 确定投资项目,拟定投资方案 a 开展项目可行性研究,论证投资方案 b 编制投资计划并按规定程序报批; c d)按照规定的权限和程序,对投资项目进行审批 实庖投资计划,指定专职人员进行跟踪管理; e 按照规定流程和方法对到期的投资项目进行处置 fD 8.3.4投资计划与项目管控 组织应制定信息技术的投资计划,推进实施并进行管控,应: 制定信息技术投资计划,包括资金规模、投资内容、项目进度、质量标准与要求等要求; a b 实施IT投资计划,监督和管控项目日常运作、合规审查等,确保项目的立项实施进度、项目质 量、项目费用等合规性; 按照投资计划的总体要求,保质、保量并在预算范围内完成投资项目 8.4服务管理 组织应建立信息技术的服务管理机制,控制服务实施的风险,提升服务管理能力,并定期评价服务 绩效 应 建立,实施、监督、测量、保持和改进信息技术服务管理机制,实现服务管理能力的提升; aa 明确组织内的相关职责、权限,并得到有效沟通 b 识别并提供建立,实施、保持和持续IT服务管理机制所需要的基础条件和内外部资源， c d)以服务管理机制有效运行和客户满意为目标,对组织的信息技术服务进行策划设计、部署、运 营、验收,改进和终止; 定期评价信息技术服务的绩效和信息技术服务管理机制的有效性 8.5业务连续性管理 8.5.1概述 组织应构建信息技术应急响应和灾难恢复机制,明确信息技术管理程序、资源保障,制定应急响应 预案和灾难恢复方案并持续改进,定期开展培训、测试和演练等保障活动,以降低信息技术实现价值交 付时的风险 8.5.2业务连续性管理框架 组织应建立业务连续性管理框架,包括业务连续性管理程序、程序维护和评审,连续性恢复后评价 并把业务连续性植人组织文化,应 制定业务连续性策略、目标和范围 a b 制定和维护业务连续性管理程序; 制定和执行应急响应机制; c
GB/T34960.2一2017 d 演练、测试,评价、维护和改进连续性计划; e 实施业务连续性恢复后评价 8.5.3应急管理 组织应建立应急事件的管理程序,并保证程序得到有效实施 应: 建立应急响应组织,制定应急响应制度 a 识别信息技术服务活动中可能出现的风险 b) 划分应急事件级别.制定应急预案,开展培训和演练; c 开展日常监测,对应急事件进行核实和评估; d 启动应急预案,对应急事件进行处理和跟踪,及时通报并对结果进行评价 分析应急事件发生原因、处理过程和结果,持续改进应急预案 f) 8.5.4灾难恢复 组织宜建立灾难应对措施和恢复方案,保证信息系统的高可用性和业务恢复能力,应 定义所需防范的灾难范围,开展业务影响分析 a b 明确需要防范的灾难类型; 依据业务关键程度,设定灾难容忍时间指标; c d 风险结合成本控制,平衡等级和业务连续性的关系; 开展测试和演练,完善业务连续恢复方案 8.6信息安全管理 8.6.1概述 组织应制定信息安全管理目标、方针和策略,建立信息安全组织并明确责任,制定信息安全管理制 度,定期开展信息安全培训,确保制度落实 组织宜参照GB/T22081一2008开展信息安全管理实施和 持续改进 8.6.2信息安全策略 组织应制定信息安全策略,应 制定信息安全的目标、原则和范围 a b) 明确组织的信息安全策略、标准和符合性要求等 明确信息安全管理人员的职责; c 与利益相关方沟通信息安全策略 d 8.6.3信息安全职责分配 组织应建立信息安全的组织机构,并明确职责和任务,应 a 明确信息安全管理机构和责任人,负责组织的信息安全实施; b)明确信息资产的具体责任人,负责相应信息资产的日常安全; c 确保信息安全的职责被正确地履行; d 对信息安全职责分配及要求予以清晰的规定,并形成文档 8.6.4信息安全管理制度 组织应建立信息安全管理制度,包括但不限于
GB;/T34960.2一2017 内外部人员安全管理; a b 保密制度; c 用户及权限管理; d)系统开发,运维安全管理; 系统定级与测评， e 网络安全管理; f 设备与环境安全管理; g h)数据与介质管理 8.6.5信息安全教育和培训 组织应按计划开展信息安全教育和培训,包括但不限于 信息安全意识培训; aa b 组织信息安全策略培训; 信息安全管理制度培训; c d安全要求.法律职责、业务控制等相关培训 信息安全设施的操作和使用培训等 e 8.7风险管理 组织应建立信息技术风险管理机制,制定信息技术风险管理原则、目标和策略,建立管理制度和组 织,明确责任人,角色和职责,识别、分析、评价,处置信息技术风险,提升风险应对能力,确保风险降低到 组织可接受的程度,应: 制定风险管理策略和目标,明确风险偏好及风险容忍程度; b 综合考虑风险管理原则,包括但不限于全面管理原则,系统管理原则、动态管理原则; c 组织应建立风险管理机制,明确风险管理责任人、角色和职责; 确定风险识别,分析,评价方法; d 制定风险管理与审批流程; e 监控风险管理目标,并跟踪、分析和改进风险管理 建立信息技术风险管理流程,包括但不限于风险来源分析、风险识别、风险监控,风险记录、风 g 险评估与分析、风险量化与处理、风险管理效果评价等 8.8供方管理 8.8.1概述 组织应建立供方管理机制,明确供方管理的职责、流程和方法,建立供方评估机制,保护组织的商业 秘密和知识产权,以及组织所涉及的个人隐私 8.8.2供方管理制度 组织建立供方管理制度,应 制定供方分类方法和评价标准; aa b)制定供方管理流程; 制定供方管理改进机制 8.8.3供方识别和选择 组织识别和选择合适的供方,应:
GB/T34960.2一2017 识别建立供方列表,并进行分类; a b)根据供方评估标准进行评估; 对关键供方进行现场和内部管理情况评审 8.8.4供方服务管理 组织对供方的服务进行管理,应 监督供方的服务过程; a b) 评审供方服务交付质量; 制定供方持续改进计划 c 8.8.5供方退出管理 组织对供方的退出进行管理,应 建立供方退出机制 a) b)制定供方退出时的应对策略 8.9资产管理 8.9.1概述 组织应建立信息技术资产应用、资产财务、资产有效性的管理体系,并对管理内容进行关联 8.9.2资产应用管理 建立完善的资产应用管理制度,覆盖计划采购,部署、管理、报废等环节,应 了解组织的整体发展目标,制定适合组织的资产管理目标和管理计划 a b 明确资产管理人员的相关职责; 明确资产获取方式 d 制定报价管理流程,根据采购的规模对供应商选择进行约束; e 建立资产部署管理的政策和流程,统一由被授权人员进行资产部署; 管理,记录并解决最终用户在资产应用过程中遇到的事件和问题 fD 建立资产的处置和报废流程,明确资产报废的条件并做处置和报废记录; g 将资产管理相关计划和内容纳人组织信息化总体战略目标中,定期进行审阅和修正 h) 8.9.3资产财务管理 建立资产财务管理制度,优化资产应用成本,应 建立资产分类目录,对关键资产进行识别; a b) 将资产纳人财务管理的范围,形成台账; 新购资产到货后,进行盘点和确认,确保内容及数量和采购订单的一致性; c d 定期对资产进行盘点和抽查,更新资产请单,做到账实相符; 结合资产应用成效,制作优化方案和报告,定期和财务部门沟通.以优化资产应用成本 e 8.9.4资产有效性管理 维护资产的授权和许可协议,降低法律法规风险,应 a 实施信息技术资产的许可证管理; b)定期评审信息技术资产管理的符合性和合规性; 10
GB;/T34960.2一2017 定期审核软件资产依从性,统计组织现有的软件资产状况,分析软件许可需求并进行比对 c d)核对信息技术资产大规模变更时如;硬件批量升级、软件批量升级或部署)的部署,使用许可 清单,审核资产相关的依从性 审核组织架构变更,重组等情况下的软件资产及其体系的依从性,并持续改进 8.10其他管理 对于本部分未明确的变更管理、预算管理、需求管理、绩效管理等其他信息技术管理体系，组织实施 治理时,宜依据相关的标准、规范,制定相应的管理策略,机制和方法 资源治理的实施 g.1基础设施 g.1.1概述 组织应制定信息技术基础设施的规划,建立基础设施建设,采购、实施和运维机制,制定基础设施管 理策略和方法,评估、指导、监督和改进基础设施相关的管理机制和服务能力 9.1.2规划设计 组织应开展基础设施规划设计,满足日常运行、维护管理、维护成本和人力资源需求,应 开展可行性分析，结合基础设施的可用性和连续性要求,确定资金来源和规模; a b 参照资产管理相关标准,对基础设施的运行生命周期进行管理 明确管理与执行,实施与运维的分工和界面,明确在各阶段的关键节点和任务; c d 理解和收集需求,确定基础设施、设备的功能和技术要求,制定需求评审、审批和变更流程; 基础设施的设计应符合绿色、环保、节能理念,具备扩展性,满足业务需求 g.1.3建设实施 组织应制定基础设施建设实施的总体方案,按项目管理计划,完成系统设计、系统部署、系统测试、 系统验收和系统上线活动,应 明确项目管理团队,项目目标,监控机制和管理流程; a b 制定实施方案,明确基础设施的技术架构、网络拓扑,部署方式、测试要求; 制定设施采购和部署计划,明确实施责任,确定采购,部署、安装和测试内容; c d 制定测试方案,明确测试人员、测试环境要求和测试工具,跟踪测试过程; 验收阶段,根据实施方案进行基础设施的功能、性能、控制要求的验收测试 评审实施方案和计划,应符合国家相关规范和标准 根据实施性质制定新旧系统转换的应急预案和恢复计划 g g.1.4运行维护 组织应建立基础设施的运行与维护管理机制,确保信息系统持续稳定运行 a 建立运行维护的能力体系,确保运行维护的能力; b 通过策划、实施、检查和改进,实现运维能力的提升 配备具有运行维护服务能力的人员、资源,满足信息系统运行维护需求 c d 具备与运行维护相适应的产品、技术、工具和方法 建立运行维护管理过程,包括但不限于服务级别管理、服务报告、事件管理、问题管理、配置管 11
GB/T34960.2一2017 理、变更管理、发布管理、信息安全管理 对已按照GB/T28827.1一2012要求建立运行维护管理的组织,宜按照本部分的要求对已建 立的内容实施改进 9.2应用系统 9.2.1概述 组织应建立信息技术应用系统设计、开发、变更和测试的保障机制,保证功能、性能和安全等满足设 计需求,制定应用系统上线、迁移,新旧系统切换、应急预案等相关的策略、制度和保障机制,评估、指导、 监督和改进应用系统管理机制和服务能力 应用系统运行维护的治理实施,可参考基础设施运行维护的治理实施 9.2.2规划设计 组织在实施应用系统规划设计时,应 选择并制定满足业务需求的应用系统规划设计方案,包括但不限于信息技术战略、架构、技术、 a 管理项目组合、自建或外购决策,信息安全策略和标准、内部控制规划和审计规划 b 开展应用系统的可行性分析,考虑优势和劣势,识别机会和威胁,定义投资组合,确定资金来源 及可用性等; 确定应用系统的功能和技术要求,制定需求评审,审批和变更流程 d 制定实施方案,包括但不限于功能模块、技术路线、网络拓扑,部署方式等; 评审应用系统规划设计的合规性和一致性 e 9.2.3建设实施 组织应根据总体方案和实施方案,按项目管理计划,开展应用系统的建设实施时,应 建立信息系统建设实施的验证机制,确保与总体架构一致,满足业务需求; a b 明确应用系统建设实施的目标,明确监控机制和管理流程 开发阶段,建立开发规范和制度,并对软件进行版本管理; c d 测试阶段,制定测试计划,跟踪测试过程,开展测试分析并执行验收测试; 验收阶段,开展系统功能、性能、控制和安全性要求的验收 e 上线阶段,制定系统上线计划,新旧系统转换方案,应急预案、数据迁移计划和恢复计划 fD 明确建设实施完成后的工作交接机制和交接内容 g 9.3数据 9.3.1概述 组织应明确数据治理框架、建立数据治理的机构和管理机制,完善数据治理的生命周期 9.3.2数据治理框架 数据治理框架的实施包括战略、任务、框架、范围、促成因素和环境等,应: 明确数据战略文化和思维,评估自身数据洽理能力 a 建立数据治理机构、明确团队和人员.以及其职责和权利 b c 定义数据质量业务规则,持续度量和监控数据质量; d 明确数据资产使用过程中的认证、授权,访问和审计等机制 12
GB;/T34960.2一2017 9.3.3数据治理的组织管理 组织应建立数据治理决策、授权和控制机制等机制,应 建立职责分配模型,明确组织架构,职责及角色; a b 明确数据治理的绩效管理和评估机制 建立有效的管理体系,配备合理的资源; c d 建立元数据、主数据管理的框架、方法和标准; 建立数据质量、安全、隐私、合规等保障机制 9.3.4数据治理的过程管理 组织应建立数据生命周期管理和服务能力体系,并进行评估、指导、监督和改进 应 明确数据治理目标,利益相关方的愿景等; a b 分析数据治理的范围和流程,设计步骤和实施阶段,形成数据治理路线图; 识别环境和促成因素,形成需求调研及分析报告 评估组织内外数据应用水平现状,形成评估分析报告 d 制定数据治理的策略、流程制度和考核指标体系; e 监督数据治理的实施、评估数据治理能力和水平,并持续改进 13
GB/T34960.2一2017 考文献 参 质量管理体系要求 [1]GB/T19001一2008 [7 GB/T19668.1一2014信息技术服务监理第1部分:总则 [时 GB/T202692006 信息安全技术信息系统安全管理要求 [幻 GB/T209842007 信息安全技术信息安全风险评估规范 [ GB/T220802008 信息技术安全技术信息安全管理体系要求 io GB/T222392008信息安全技术信息系统安全等级保护基本要求 [m GB/T24353一2009风险管理原则与实施指南 Ca GB/T24405.1一2009信息技术服务管理第1部分;规范 o GB/T26317一2010公司治理风险管理指南 GB/T28827.2一2012信息技术服务运行维护第2部分:交付规范 信息技术服务 GB/T28827.32012 运行维护第3部分:应急响应规范 JR/T0099一2012证券期货业信息系统运维管理规范 [I 信息技术服务外包第2部分;数据(信息)保护规范 S/T11445.22012 [14]《企业内部控制基本规范》财政部[财会[20087号]2008-05-22 [15]《中央企业全面风险管理指引》国务院国有资产监督管理委员会(国资发改革[20067 108号)2006-06-06 [16]《商业银行信息科技风险管理指引》银行业监督管理委员会(银监发[2009]19号)2009- 06-01. [[17]《证券期货经营机构信息技术治理工作指引(试行)》证券业协会和期货业协会 [中证协发[2008]113号]2008-09-03 [[18]《保险公司信息系统安全管理指引试行》保险监督管理委员会[保监发[2011]68号 2011-l1-16 [19]IsO/IEC38500Govermanceofinformationtechnologyfortheorganizationm [[2o]OECDPrineiplesofCorporateGovernance.OECD，2004 [[21]ReportoftheCommitteeontheFinancialAspectsofCorporateGovernance[R].SirAdri anCadbury:l.ondon，1992 [[22]ISACACobit5.0ControlObjeetivesforInformationandrelatedTechnology，ISACA April10，2012. 14

信息技术服务治理第2部分：实施指南GB/T34960.2-2017

随着信息化时代的到来，各种信息技术服务不断涌现，如何规范和管理这些服务成为了亟待解决的问题。为此，国家发布了一系列关于信息技术服务治理的标准，其中最重要的是GB/T34960.2-2017。 GB/T34960.2-2017是关于信息技术服务治理的实施指南，它主要包括以下内容： 1. 生命周期管理。这个部分介绍了信息技术服务在整个生命周期中需要进行的各项工作，包括规划、设计、实施、运营和维护等。 2. 运营管理。这个部分对信息技术服务的运营管理进行了详细的描述，包括服务台管理、事件管理、改进管理等。 3. 绩效管理。这个部分介绍了如何对信息技术服务的绩效进行评估和管理，并提供了相应的指标体系。 4. 风险管理。这个部分介绍了如何对信息技术服务的风险进行识别、评估和处理，并提供了相应的工具和方法。 通过使用GB/T34960.2-2017标准，企业可以更好地实施其信息技术服务治理，从而提高服务质量、降低成本、减少风险。同时，该标准也为企业之间的合作提供了一个共同的语言和基础。 总之，GB/T34960.2-2017是关于信息技术服务治理的重要标准，它为企业规范其信息技术服务实施提供了有益的指导。我们期待未来会有更多的标准和最佳实践出现，帮助企业更好地管理其信息技术服务。

信息技术服务治理第2部分：实施指南的相关资料

和信息技术服务治理第2部分：实施指南类似的标准