ISO20000对配置管理流程的最低要求

陈小宝

在ISO20000的标准条款9.1配置管理中，有如下规定：

2 C9 N- F8 L3 T9 }8 N# E0 j9 A

l  每一类型的 CI 应有文件化的定义。每个 CI 所记录的信息应确保做到有效控制，且至少包括：

7 r9 Z, [6 m' q) n; X

a) CI 的描述；

b) CI 和其他 CI 之间的关系；

c) CI 和服务组件之间的关系；

d) 状态；

e) 版本；

f) 位置；

g) 相关的变更请求；

h) 相关的问题和已知错误。

l  CI 应被唯一识别并记录到 CMDB 中。应管理CMDB，包括对数据更新的访问控制，以确保其可靠性和准确性。

$ ]# y( W, u  ]0 b8 P  j. a

l  应有文件化的程序来记录、控制和跟踪CI的版本。基于服务需求和CI相关的风险的考虑，控制的程度应能维护服务和服务组件的完整性。

l  服务提供者应按照计划的时间间隔审核存储在CMDB中的记录。当发现缺陷时，服务提供者应采取必要的行动并报告所采取的行动。

6 l2 B4 A8 I; X8 Y& N0 x4 K( V

l  CMDB的信息应提供给变更管理流程，以支持变更请求的评估。

l  CI的变更应可追踪和可审核，以确保CI和CMDB数据的完整性。

* t% X0 q& y) H7 n8 l# e) Q: b3 O) S

l  受影响的配置项的基线应在将发布部署到实际运行环境之前确定。

l  CMDB中被记录的CI的原始拷贝应存储在安全的物理库或电子库中，被配置记录所引用。原始拷贝至少应包括文件、许可证信息、软件，如有可能，还包括硬件配置图片。

l  配置管理流程和财务资产管理流程之间应有清晰的接口。

9 d0 g) ~+ W5 j$ ~' U; i

注：财务资产管理不属于配置管理流程的范围。

+ [7 q9 A) ?. B; R3 z9 R6 g

配置管理条款和其他过程条款最大的区别在于：对CI所记录的信息有详细的最低要求。要求最少包括CI的描述以及其他属性，同时通过对相关的变更请求以及相关的问题和已知错误的记录，为变更管理过程、问题管理过程提供支撑。

3 U: d! f/ C; _; F( \

标准也强调了配置管理过程中需要关注完整性和安全性。对CMDB进行管理，CI带着唯一标识被记录入CMDB中，并且应被及时更新。CI的变更应可追溯和可审核。这些都可以确保CI和CMDB中数据的完整性。安全性主要体现于：CMDB访问以及更新都应受控。CI的原始拷贝应存储在安全库中——安全的物理库或电子库。

标准也明确地提出财务资产管理不纳入配置管理流程中。并且两者之间应有清晰的接口。这和ITIL v3“服务资产与配置管理”章节中，尝试将资产管理和配置管理的功能通过统一的CMDB进行集成和管理的做法，有一定的分歧。在实践中，也建议以“青出于蓝而胜于蓝”的方式进行配置管理过程的设计。配置管理的基础来源于资产管理，但又是对资产管理的超越。

& Z4 l( Q2 j6 N7 m# B  w6 {, H

配置基线（Configuration Baseline）在标准中也被提及，其实际可认为是在某个特定时间点一组CI原始状态的快照。配置基线将为我们日后工作的开展提供一个可信的根基，因此应在将其发布部署到实际运行环境之前经过评审和许可。配置界限的变更也必须通过正式的变更管理流程。