0．引言

随着用户消费习惯从产品转向服务，服务已经成为企业向客户提供的主要商品。而等级保护测评服务作为信息系统建设的新要素，用户对信息安全等级保护测评服务（以下简称服务）的认同会影响用户的消费行为。对于信息安全等级保护测评服务提供商的要求更高。所以，我们对于信息安全等级保护测评的服务管理（以下简称服务管理）成为保障服务交付和提升企业竞争力的重要手段之一。

如何才能加强测评机构自身的规范化管理，不断提高测评的能力和水平呢？我们经过思考和规划预先形成了企业内部的服务体系，且经过一年多来在项目中的部署实施，***修订逐步形成了适合我们进行规范化管理的、不断提升我们的能力和水平的服务管理体系。

服务管理体系是以保障企业一体化运营为目标，以指标化管理为导向的，包含组织架构，服务管理流程、支撑系统和服务管理信息的一体化管控体系。是服务于信息安全等级保护测评的服务支撑所依据的总体纲领，本文阐述了我们在组织内部实施的服务管理建设性内容。

我们的服务管理体系的驱动力是企业战略、业务需求和新技术，其价值是为客户提供信息安全服务。

1.服务管理体系的产生

从客户的角度来讲，需要的是等级保护测评服务所能实现的功能，由于客户不太可能对等级保护测评有太多的了解，我们与他们进行交流的时候应该使用“商业语言”而不是“技术语言”，等保测评技术对客户应该是透明的。而为了灵活、及时和有效的提供服务，并保证服务质量，我们就必须事先对服务进行一定程度上的分类和“固化”，而流程管理是满足这些要求的一种比较理想的方式，目前对于一个服务团队来言，仅仅关注于他们的技术水平高低是不够的，确保团队之间无缝沟通和协作才是非常关键的，从这一角度来看。流程的价值在于有效的弥补团队之间的缝隙。

2.服务管理体系的工作核心

为实现以客户为中心，以服务为导向，从运营角度上看，不能采用单纯的以职能为中心的管理方式，而应是以阶段和流程为中心，从复杂的服务管理活动中梳理出一些核心的流程并将这些内容流程化，明确定义各个流程的目标和范围、成本和效益、运营的步骤、关键的成功因素和绩效指标。因此我们将我们的工作核心定义了五个阶段，每个阶段定制2~4个核心的流程。

第一阶段：服务战略，专注培养以战略方式思考和执行的能力，以获得长期的成功运营和发展，要理清各种服务、流程和所支持的业务模型、战略和目标之间的关系。

第二阶段：服务设计，专注于全盘考虑服务流程设计的各个方面，并确保所有活动和流程中的一致性和一体化，实现端到端的服务功能与质量，当变更或补充设计任一独立元素时，都要经过充分考虑相关职能、管理和运营层面后，再将设计后新变更的服务导入项目环境。

第三阶段：服务转换，专注于确保根据在服务需求中规定的要求和限制条件下使用服务，减少转化的服务在预期性能与实际性能之间存在差异，减少已知的错误，并最大程度降低新服务或变更的服务给项目带来的风险。

第四阶段：服务运营（服务实施），专注于如何达到服务支持和交付应有的效率和效果，确保客户的收益，而我们又同时为实现服务价值提供了相应的指导。我们最初的战略目标最终也是需要通过服务运行才能实现，通过一系列日常活动和流程的协调执行，为客户提供达到既定服务级别的服务，同时服务运营这一环节还负责对提供和支持服务所需要的技术进行日常管理，日常管理主要是由服务、服务管理流程、技术和人员四个部分组成。

第五阶段：持续服务改进，专注于在服务质量、效率和业务方面不断的提高和改进意识，找出项目实施中有待提高的地方改进支持服务的流程，使得服务能不断与服务需求的变化相适应，然后实施改善措施。

2.1服务战略阶段

2.1.1服务战略概述

服务战略作为工作核心的第一个阶段，对我们的服务起到了统驭全局的作用，可以为组织进行服务规划建立更加全面和科学的战略思维方式和战略规划方法，帮助组织建立服务管理能力并维持战略竞争优势，为定义战略目标、增长方向、投资优先级、服务成果、服务有效性和效率性的考核提供指导，可以影响组织的服务文化和态度，帮助建立有效的服务沟通机制，帮助确定和控制在有限能力和资源的前提下遵循特定的服务战略所达成的结果。

2.1.2服务战略的目标

主要的目标是：我们应该提供哪些服务、向谁提供，如何为利益相关者获取他们期望的价值；如何为战略投资进行合理而全面的论证；如何利用财务管理为价值创造过程提供必要且可见的控制手段；应该如何定义服务质量；如何在服务组合内进行资源分配，如何解决对共享性资源的需求冲突。

2.1.3服务战略中拟定的流程

这一阶段需要建立起服务的战略目标、范围以及服务业务的价值，确定服务战略制定、财务管理、服务组合管理和需求管理的四个流程。

2.1.3.1服务战略制定

服务战略制定的流程。首先要考虑我们已经做过了什么，目前存在的核心差异优势在什么地方，每个市场空间都存在着成功因素决定一项服务的成败，这些因素包括客户需求、业务发展趋势、竞争环境、监管环境、标准、行业最佳实践和技术等等。目标描述了执行战略所期望达成的结果，而战略描述了达到目标所采取的活动，清晰的目标可以确保决策和行动的一致性，为后续的行动计划提供坚定和确切的纲领性依据，同时也为战略绩效考核提供了一致性的基准。

2.1.3.2财务管理

财务管理的流程。首先要收集有效的财务信息可以作为服务组合管理、服务战略开发、需求管理等流程的有效输入，从而提升整体的服务管理能力，在衡量服务价值、服务成本核算方面提供了一种共同语言，可以有效帮助服务级别管理流程明确的界定服务的组件包括哪些内容，以及服务的真实成本应该是多少，根据总体目标规划预算，控制支出，提高投资效益，合理利用有限的资源，从而加强后续的服务需求建模能力。

2.1.3.3服务组合管理

服务组合管理的流程。为组织管理其所有的服务提供了一种“管道式”的方法，专注于资源和能力的分配，为组织协调战略资源和能力提供了有效的管理工具，从而为战略资源协调者提供了一个可视化的“仪表盘”。以服务为导向的组织应该将服务组合视为一系列战术项目，要针对我们所提供的服务项目和品类在时间节奏、资源投放、价值管理等方面进行动态的跟踪、协调和控制的一种方法。

2.1.3.4需求管理

需求管理的流程。是确保服务资源、能力和需求预测、模式保持一致，确保某些能力可以在需要时迅速提升，在不使用时迅速释放，需求策略可依据流程千变万化，但必须保持一个共同的特征，就是在不改变供给的情况下通过调节需求而达到提升服务性能、降低成本的目的。

2.2服务设计阶段

2.2.1服务设计概述

服务设计这一阶段中非常重要的是设计整体的计划方案，任何一个单独的因素变动都应该从整体服务、管理体系、工具应用、体系架构、服务管理流程以及必要的评价体系的各个方面进行考虑。良好的服务设计，能够保证交付优质、经济的服务，并满足客户需求。流程的设计也应符合“计划、执行、检查、改进”的戴明环，做以持续改进。

2.2.2服务设计的目标

主要目标是：方案以质量、合规性、风险和安全需求为基础来设计可满足项目目标的服务，通过协调确保实现一致性和业务重点，从而交付更有效、更高效且符合需求的解决方案及服务；设计的服务可以在合理的时间和成本范围内便捷高效的执行；为服务的设计、转换、运营和改进，设计出有效的流程，并与支持工具特别是服务组合相结合来共同管理服务的执行情况；识别并管理风险，以便在服务上线之前消除或减轻风险；制定并维护解决方案设计的计划、流程、策略、架构和文档，从而满足当前和未来的项目需要。

2.2.3服务设计中拟定的流程

这一阶段需要建立起服务解决方案设计、服务组合设计、技术架构设计、流程设计、项目测量与指标设计五方面构成的服务设计包，确定服务目录管理、服务级别管理、资源管理、保密管理的四个流程。

2.2.3.1服务目录管理

服务目录管理的流程。对所有提供的服务，保证其信息来源的一致性，并确保哪些已获准访问者能够最大程度的使用它，此流程就是要确保服务目录的产生与维护，其中会包括项目服务目录和技术服务目录以及项目准备的准确信息，这些信息反映了当前服务的详细情况、状态、沟通界面和服务运行的条件。

2.2.3.2服务级别管理

服务级别管理的流程。可以确保组织在所有运营的服务和绩效都可以按照一致的、专业的方式来进行衡量，同时能满足客户的需求。服务级别管理需要同客户协商、确定并记录适当的满足需求的服务目标，确认这些目标准确的反应客户需求，之后监督控制项目组交付约定服务的能力，才能和需求目标一致，满足客户高质量服务的期望，如果服务级别协议中服务目标与需求不一致，那么我们很难为客户提供满意的需求服务，随之而来会产生诸多问题，这一流程是我们提供服务质量的一个有效的基准和保障，服务级别管理的成功很大程度上依赖服务组合管理和服务目录管理的质量，因为它提供了有关服务的必要信息。

2.2.3.3资源管理

资源管理的流程。确保在可接受的成本下，所拥有的资源能够及时满足当前和未来的业务需要，管理、控制和预测实际运营的服务使用和工作负载的端到端性能，确保对所有服务的性能，服务级别中所描述的服务目标能够被监控和测量，在必要时组织可以采取主动和被动措施来确保所有的服务性能都达到所约定的需求目标；管理、控制和预测单个技术能力的性能、利用率，确保那些有限的资源被监控和测量，在可能的情况下确保能在发现服务目标没有完成时及时调动资源来处理，遵循“监控、分析、调整、实施”的迭代式调整过程。

2.2.3.4保密管理

保密管理的流程。为了保证所有服务和服务管理活动中的信息能够得到高效安全的管理，简而言之就是要实现CIA（机密性、完整性、可用性），主要由一套安全控制体系、安全风险管理体系和监控流程，依照沟通拟定的安全策略、控制计划、遵从规则、管理过程、指导原则、培训和认知来打造有效的安全组织结构。

2.3服务转换阶段

2.3.1服务转换概述

服务转换阶段是确保服务从设计到投入项目进行运营这个转换过渡的阶段，将当前与未来风险降至最低，同时保证服务在运营或者交付中所依赖的综合因素都得以支撑和保障。值得一提的是服务转换规划与支持不是一个持续运作的阶段，而是依据实际需要而临时开展的一项总体性计划和协调工作，对于一般的服务组织不具有太强的现实针对性。

2.3.2服务转换的目标

主要目标是：规划与部署所需要的人员能力和资源；在服务部署前，可以提供严谨规范的框架用于评估服务的能力和风险；在服务转换的过程中，建立维护好服务资产和人员配置的完整性；提供高质量的知识和信息，以快速有效的进行部署管理；在预期的成本、质量和时间范围内，规划和管理资源，建立新的或变更的服务；确保将服务运营无法预料的影响控制在最小程度；保障服务和解决方案的使用效率。

2.3.3服务转换中拟定的流程

这一阶段需要建立起确定服务知识管理、变更管理、能力和资产管理、服务验证管理的四个流程，这些流程要贯穿我们工作核心五个方面的始终。

2.3.3.1服务知识管理

服务知识管理的流程。确保服务转换和服务运营环节的顺利过渡，提高服务可用性，提高知识转移率，有助于团队整体技能水平的提高，正确的信息和知识以一种高效利用的方式传递给所有的服务人员，提高服务团队的整体工作效率以及降低对核心人员的依赖风险，尤其是组织规模达到一定程度，人员流动性风险逐步加大之后。组织在服务运做过程中一定可以产生大量的可重复利用的知识和经验，这一流程是采用机制化的手段对这些知识和经验进行收集、整理、再利用。

2.3.3.2变更管理

变更管理的流程。响应不断变化的客户需求，使价值最大化，减少破坏和重复工作，降低业务风险，使用标准化的方法和程序，确保通过受控的方法对变更进行记录、评价、授权、划分优先等级、计划、实施和评审，处理好所有变更。在服务运营中，变更是一种必然行为，大多数变更是为了使当前的状况变得更好，但变更的风险是有目共睹的，因此加强对变更的有效控制和管理对于控制服务的风险和成本具有重大的意义。

2.3.3.3能力和资产管理

能力和资产管理的流程。识别、控制、记录、汇报、检验能力和资产的情况，确保能控制服务相关的能力和资产的完整性，规划这些能力和资产确保服务转换向服务运营环节过渡时不产生误差，在这个流程里人员被我们定义为既是一种资源也是一种能力。

2.3.3.4服务验证管理

服务验证管理的流程。验证新服务或变更的服务是否能够支持客户或利益相关者的需求，达到相关的服务级别，这就需要结构化的服务验证，确保交付能符合预期的结果，能够在项目成本、能力和约束条件下为客户提供价值，确保符合预期的目标和效果且适合应用，在整个的流程中要识别、评估和确认存在的问题、错误与风险。

2.4服务运营阶段

2.4.1服务运营概述

服务运营是项目运行的阶段，从组织的角度应更加关注于日常项目的运行活动和用于提供项目服务的基础架构，使用适当的流程和支持资源，使组织能够对服务运营和服务交付实现总体的控制，并能够及时监督项目服务本身、服务管理流程、技术和人员所产生的任何威胁。

2.4.2服务运营的目标

主要目标是：协调和执行项目运营活动以确保服务级别达到客户要求；对支撑服务的团队和资源进行管理和维护；监控资源和服务的绩效并实施持续的改进。

2.4.3服务运营中拟定的流程

这一阶段需要建立起服务运营阶段的管理和控制，使得客户需求在服务中获得支撑，打破职能式管理模式，实现协作和信息流转，确定事件管理、服务请求履行、问题管理、访问管理的四个流程。

2.4.3.1事件管理

事件管理的流程。提供检测、分辨事件并确定恰当的控制行动的能力，是服务运营监控的基础，任何状态的变化都可能对服务产生重大影响，需要对事件进行规范的管理，定时巡场确定项目的状态和资源的可用性，并对任何意外情况产生警告，通知团队以便采取行动，这一流程可为服务运营和活动提供执行入口，也为服务报告和持续服务改进提供基础。

2.4.3.2服务请求履行

服务请求履行的流程。是为客户提供请求和接受服务的渠道，这些服务的流程是已预定义、预授权的，是提供标准服务的组成部分，可以帮助处理一般信息、抱怨、评价和意见反馈等，也是为客户提供关于服务可用性的必要流程，具有风险低，发生频繁等特点，有些甚至仅仅是资询，由于服务请求的数量大、风险低，且服务请求的实施过程相对较简单，我们倾向于针对服务请求制定独立的流程进行处理。

2.4.3.3问题管理

问题管理的流程。实现预防性主动式的管理，确保团队在正确的做事，预防问题的产生及由此引发的争议，消除重复出现的争议，并对不能预防的争议尽量降低对项目推进执行的影响，问题管理的引入可以有效的实现在治标的基础上治本。

2.4.3.4访问管理

访问管理的流程。确保团队某一成员有权限使用某一项服务资源，通常由技术管理和组织中权限申请和授权相关的操作整合的规范、正式的流程来共同执行，在服务运营项目执行中不可避免的涉及相关数据资源的访问权限问题，为了确保信息安全管理和可用性管理的有效，使得服务运营顺畅我们引入访问管理来进行把控。

2.5持续服务改进阶段

2.5.1持续服务改进概述

持续服务改进是支持从服务战略、服务设计、服务转换、服务运营的阶段，将服务作为一个系统来看待，内外部利益相关者的需求决定了服务系统的输出与输入，对体系内的每个流程进行关键点的指标测量、控制，并设定相应的改进流程以改进整体的服务质量。毫不夸张的说任何管理流程从它被公布的那时起就已经开始过时了，也就是说永远没有静态的完美，完美只有在动态中才能体现。项目运作的质量不仅取决于事先的设计实施，更取决于在执行中调整和优化，才是实现卓越的服务管理的制胜之道。作为一个完整的服务管理体系，建立持久持续的改进机制是不可缺少的一环。

2.5.2持续服务改进的目标

主要目标是：对之前四个阶段的改进计划进行评审、分析并提出改进建议；评审分析服务级别实现的结果；识别和实施各项活动，改进服务质量和流程的效果；在不影响客户满意度的情况下改进提高服务成本效益；确保使用适当的质量管理方法支持持续改进阶段。

2.5.3持续服务改进中拟定的流程

这一阶段需要建立通过执行戴明环不断明确服务的各类量度，收集、量化、处理服务信息不断明确服务改进的努力方向，最终得出有价值的改进型建议，使服务持续优化下去的机制，这一阶段需要确定服务测量、服务改进的两个流程。

2.5.3.1服务测量

服务测量的流程。确保服务测量的目标和手段符合持续改进的要求，首先要全面充分理解流程，并确定流程中的关键功能环节，结合组织的战略目标、战术目标和运营目标，定义具体的测量指标，比如监视测量服务、服务管理流程、流程中的活动、流程的输出产物等等，选择多种测量组合对于提供准确、平衡、无偏见的观点非常重要，我们可以从服务绩效、风险监管、业务收益、支持服务的关键流程和客户满意度等几个方面去测量。

2.5.3.2服务改进

服务改进的流程。将基于服务测量量化后的结果进行服务改进，使改进计划更加具有针对性。首先确认量化后的测量结果，识别这些测量结果，收集相关数据信息（技术指标、流程指标、服务指标），遵循关键成功因素、关键绩效指标去核对、处理、分析和挖掘这些数据，然后将这些数据转化成有意义的信息，呈现出服务改进分析结论，最后将结论与各方进行沟通协商，根据组织现有资源与能力状况制定适合的服务改进计划，并组织实施这些计划。

3.服务管理体系的工作落实

要做到将工作核心***到我们工作的方方面面就需要经过理念落地、规则落实、工具落地三个方面的过程。

理念落地，就是在组织内部贯彻工作核心五方面的理念，令其深入人心，融入组织的做事方式，使得组织内部成员之间形成了一种共同的语言，增强了彼此在工作沟通时的默契，建立起组织内部的一些潜在规则。

规则落实，就是在组织内部建立明确的方针、流程和规范性制度，以制度的方式保证组织成员共同遵守预定的规则，使得组织的流程成熟度得到了极大的提高，并逐步向服务规范化和服务标准化方面发展。

工具落地，通过多手段多渠道的工具平台将组织经过锤炼后的流程进行固化，并实现团队成员间的信息共享和同步，从而实现高效的运作，这一阶段不仅将流程和规则本身进行了强化，也为组织成员养成了定性的日常工作方式。

4.结束语

要加强测评机构自身的规范化管理，就需要将最先进的服务管理理念做一个全面的梳理、认知，并重新组合、应用、持续改进，形成适合测评机构使用的服务管理体系，在工作中将体系的内容与流程落实，以便不断提高测评的能力和水平，促使等级保护工作在天津的茁壮成长，驱动企业业务的高速发展。

此文章已收录在《信息网络安全》期刊 增刊中 转载需注明出处