ICS 03.060
CCS A 11 JR
中 华 人 民 共 和 国 金 融 行 业 标 准
JR/T 0074—2024
代替 JR/T 0074—2012
保险业 IT 服务管理基本规范
Specification of information technology services management
for insurance
2024-09-13 发布
2024-09-13 实施
国家金融监督管理总局 发 布
JR/T 0074—2024
目
次
前言 ................................................................................. III
引言 .................................................................................. IV
1 范围 ................................................................................ 1
2 规范性引用文件 ...................................................................... 1
3 术语和定义 .......................................................................... 1
4 IT 服务管理 ..........................................................................2
5 管理体系要求 ........................................................................ 2
5.1 管理体系 ........................................................................ 2
5.2 管理职责 ........................................................................ 2
5.3 文件要求 ........................................................................ 3
5.4 能力、意识和培训 ................................................................ 3
6 策划和实施 IT 服务管理 ............................................................... 3
6.1 策划－实施－检查－改进 .......................................................... 3
6.2 策划 IT 服务管理（策划） ......................................................... 4
6.3 实施 IT 服务管理和交付服务（实施） ............................................... 4
6.4 监视、测量和评审（检查） ........................................................ 5
6.5 持续改进（改进） ................................................................ 5
7 策划和实施服务变更管理 .............................................................. 5
8 服务交付流程 ........................................................................ 5
8.1 服务级别管理 .................................................................... 5
8.2 服务报告 ........................................................................ 6
8.3 服务连续性和可用性管理 .......................................................... 6
8.4 IT 服务的预算和核算 ..............................................................7
8.5 性能与容量管理 .................................................................. 7
8.6 信息安全管理 .................................................................... 7
9 关系流程 ............................................................................ 8
9.1 业务关系管理 .................................................................... 8
9.2 供方管理 ........................................................................ 8
10 解决流程 ........................................................................... 9
10.1 事件管理 ....................................................................... 9
10.2 问题管理 ....................................................................... 9
11 控制流程 ........................................................................... 9
11.1 配置管理 ....................................................................... 9
11.2 变更管理 ...................................................................... 10
I
JR/T 0074—2024
12 发布流程 .......................................................................... 10
13 证实方法 .......................................................................... 11
附录 A（资料性） 服务级别协议参考模板 .................................................12
附录 B（资料性） 部分流程管理统计分析指标参考 .........................................16
参考文献 .............................................................................. 22
II
JR/T 0074—2024
前
言
本文件依据GB/T 1.1—2020《标准化工作导则
起草。
第1部分：标准化文件的结构和起草规则》的规定
本文件代替JR/T 0074—2012《保险业IT服务管理基本规范》，与JR/T 0074—2012相比，除结构调
整和编辑性改动外，主要技术变化如下：
a） 将“负责提供交付IT服务所需的商品或服务的第三方”更改为“负责提供交付IT服务所需的商
品或服务的组织”（见3.7，2012年版的3.6）；
b） 将“能力”更改为“性能与容量”（见3.8，2012年版的3.7）；
c） 将图2中“回顾”更改为“检查”（见图2，2012年版的图2）；
d） 将“在实施新增或调整IT服务内容前，应组织验收工作”更改为“在实施新增或调整IT服务内
容前，应组织评审工作”（见第7章，2012年版的第7章）；
e） 将“能力管理”更改为“性能与容量管理”（见8.5，2012年版的8.5）；
f） 将“及时通知客户有关他们所报告的事件或服务请求的进展情况”更改为“及时通知客户或者
提供查询接口，以便客户查询有关他们所报告的事件或服务请求的进展情况”（见10.1，2012
年版的10.1）；
g） 增加了“知识库”、“重复事件”、“第三方技术平台的应用”等作为广泛应用的工具的补充
说明（见10.1）；
h） 增加了对变更实施前、变更实施后的相关要求（见11.2）；
i） 增加了对发布流程的相关要求（见第12章）；
j） 删减了部分不活跃或非通用性指标（见附录B）。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国金融标准化技术委员会保险分技术委员会（SAC/TC 180/SC1）提出并归口。
本文件起草单位：中国太平洋保险（集团）股份有限公司、太保科技有限公司、中国太平保险集团
公司、中国平安保险（集团）股份有限公司、深圳壹账通智能科技有限公司、建信人寿保险股份有限公
司。
本文件主要起草人：徐建国、张军、钱忠伟、徐宏波、曹忠华、孙小明、郭琳、丁先明、徐刚、胡
罡、刘强、柴英俊、彭啸、李炜、黄飞生、李建军、黄宁滔。
本文件及其所替代的历次版本发布情况为：
——2012年首次发布为JR/T 0074—2012；
——本次为第一次修订。
III
JR/T 0074—2024
引
言
随着我国保险业的快速发展，信息技术已广泛渗透到保险行业发展的各个环节，推动保险业进一步
发展。信息化管理水平已成为衡量一个保险机构核心竞争力、经营管理水平的重要指标。
本文件旨在规范保险机构的IT服务管理体系，指导保险机构建立可持续改进的IT服务管理方法；为
保险机构信息技术部门提供IT服务管理的评估基准，提高IT服务的监督管理水平；加强行业内IT服务合
作和交流，推动保险行业整体IT服务管理水平不断提高，为业务发展提供保障。
IV
JR/T 0074—2024
保险业 IT 服务管理基本规范
1
范围
本文件规定了保险业IT服务管理的基本要求，包括IT服务管理策略和管理流程，描述了相应的证实
方法。
本文件适用于中华人民共和国境内保险机构的IT服务管理。
2
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，
仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本
文件。
ISO 20000.1—2018
信息技术 服务管理 要求
3
术语和定义
ISO 20000.1—2018界定的以及下列术语和定义适用于本文件。
3.1
IT服务管理
information technology service management；ITSM
服务提供方通过协调人员、流程和IT的管理活动，有效交付IT服务，满足客户和业务需求的管理活
动。
3.2
流程
process
用于实现特定目标的一系列有组织的活动。
3.3
服务提供方
service provider
为保险机构提供IT服务的内部组织或外部公司。
3.4
客户
customer
与服务提供方定义和议定服务级别目标的人员或团体。
3.5
用户
user
日常使用IT服务的人。用户与客户是不同的，某些客户不直接使用IT服务。
3.6
服务连续性
service continuity
识别和管理可能严重影响IT服务的（重大、灾难性）风险，建立和维护IT服务响应和恢复的能力，
确保IT服务能够提供约定的最低服务级别。
3.7
供方
supplier
负责提供交付IT服务所需的商品或服务的组织。
1
JR/T 0074—2024
3.8
性能与容量
capacity
配置项或IT服务可以提供，同时达到约定的服务级别目标的最大吞吐量。
3.9
IT基础架构
information technology infrastructure
开发、测试、交付、监视、控制或支持IT服务所需的所有软硬件、网络、设施等信息技术。
4
IT 服务管理
服务提供方应全面识别和管理IT服务的众多相互关联的活动，通过协调人员、流程和IT活动，有效
交付IT服务，满足客户和业务需求。
IT服务管理的实施过程和活动需要适宜的工具，还要求高质高效地组织协调服务台人员、服务支持
人员、服务交付人员和运营团队。
IT服务管理应完整包括以下紧密相关的服务管理流程，如图1所示。
图1
IT服务管理流程
保险机构的业务目标和对IT服务的需求关系决定服务提供方实施IT服务管理体系的管理方式。本文
件描述的目标和控制措施并不完备，服务提供方可根据保险机构的业务目标和控制要求增加或补充完善
相关流程、目标和控制措施，满足特定的业务需求。
IT服务管理流程之间的关系需要根据服务提供方与客户业务组织的关系和各自IT服务特点建立。
5
管理体系要求
5.1
管理体系
管理体系的目标是提供一个管理体系，包括方针和框架，以有效管理和实施所有IT服务。
5.2
管理职责
保险机构IT服务提供方的管理层应针对所提供的IT服务制定基本的管理方针，明确IT服务组织的管
理目标和工作策略。
服务提供方的管理层职责至少应包括以下内容：
2
JR/T 0074—2024
a） 确保理解和确认客户的IT服务需求，理解和明确提高客户满意度的目标；
b） 确定IT服务管理的目标、策略、计划和职责分工，至少每年回顾评审一次；
c） 组织、建立履行职能所需IT服务的管理体系和流程，明确IT服务的交付和管理改进所需要的各
项资源；
d） 负责管理在IT服务活动中组织和服务的相关风险；
e） 组织意识宣导和培训教育，传达IT服务管理的目标；
f） 推广IT服务管理体系，持续改进工作。
5.3
文件要求
服务提供方为确保有效计划、运行和控制IT服务管理，应对IT服务管理相关的文件进行管理，至少
应包括以下内容：
a） 应建立文件体系以管理IT服务管理体系的相关文件。文件体系主要包括：
1） IT服务管理策略和实施计划；
2） 服务级别协议（协议模板见附录A）、服务支持协议或备忘录；
注：服务支持协议指服务提供方为有效履行服务级别协议，与第三方合作商签订的支持合同或协议。
3） IT服务管理流程和程序文件；
4） IT服务管理体系执行的相关记录和证据。
b） 服务提供方应制定文件的管理方法，实施文件体系制定、修订、批准、发布、访问控制、保存
周期等控制措施。
5.4
能力、意识和培训
保险机构IT服务提供方管理层应明确提供IT服务所需的角色和职责，以及有效履行职责所需的能
力。
为确保员工能够具有有效的技能和能力以履行IT服务的职责，管理层应提供必要的教育、培训、训
练和实践，保证员工达到所需资质、技能和能力，并推广IT服务的意识培训，确保员工了解所属角色和
职责，提高员工服务意识。
6 策划和实施 IT 服务管理
6.1 策划-实施-检查-改进
保险机构IT服务提供方应建立“策划－实施－检查－改进”的工作机制，持续改进IT服务管理，达
到设定的服务目标，如图2所示。
3
JR/T 0074—2024
图2
服务管理过程的“策划－实施－检查－改进”方法论
“策划－实施－检查－改进”的方法论应用于所有IT服务管理流程和工作。
a） 策划：根据客户的要求和组织的方针，为提供结果建立必要的目标和流程。
b） 实施：依照策划的流程进行实施，并记录实施过程。
c） 检查：根据服务的方针、目标和产品要求，对流程和产品进行监视和测量，并报告结果。
d） 改进：采取措施，以持续改进流程业绩。
6.2
策划 IT 服务管理（策划）
保险机构IT服务提供方应制定IT服务管理的策划，以确保IT服务顺利实施和有效交付；应制定清晰
的评审、授权、通报、实施IT服务管理的策划和记录管理的职责分配，确保服务管理流程的策划与服务
管理目标策略方针保持一致。
服务管理的策划至少应包括以下内容：
a） 服务提供方的IT服务管理范围；
b） IT服务需达到的目标和要求；
c） 实施IT服务管理的流程，以及流程间的接口和活动协调方式；
d） IT服务管理的风险管理计划；
e） 识别完成服务目标所必要的资源、工具和费用；
f） IT服务管理的组织架构，明确角色和职责框架，包括高层管理者、管理体系负责人、流程负责
人及供方管理等；
g） 管理、审核并改进IT服务计划。
6.3
实施 IT 服务管理和交付服务（实施）
保险机构IT服务提供方应依据服务管理策划实施IT服务管理并交付服务，至少应包括以下内容：
a） 管理和分配服务所需资源和费用开支；
b） 管理服务团队的角色和职责，及时补充并发展适当的人员，保持服务团队稳定和连续；
c） 编制并维护每个流程的方针、计划、程序和管理工具；
d） 识别并管理服务流程的风险；
e） 加强各领域服务管理流程的协作；
f） 依据服务管理策划，加强服务管理的改进。
4
JR/T 0074—2024
6.4
监视、测量和评审（检查）
保险机构IT服务提供方应对IT服务开展检查，服务检查的管理工作至少应包括以下内容：
a） 应对依据服务管理策划开展的实施工作进行监视、测量和评审，确保IT服务管理体系有效实施
和维护；
b） 应制定周期性的IT服务审核管理流程，定义审核的准则、范围、频率和方法；审核方应确保审
核的客观与公正，并至少每年开展一次完整的IT服务管理体系质量评审；
c） 应记录审核和评审的目标、结果和已识别的补救措施，对发现的重大不一致内容应及时通报相
关方。
6.5
持续改进（改进）
保险机构IT服务提供方应依据服务管理方针，对IT服务的效益和质量开展服务改进工作。
服务改进的管理工作至少应包括以下内容：
a） 针对可能的风险开展预防性改进工作；
b） 通过监控、衡量和回顾工作发现问题并开展纠错性改进工作；
c） 组织开展单个或多个流程、部分领域或整个组织的服务改进工作；
d） 针对所有服务管理流程，分析执行的数据，建立服务能力标准的基线，管理和交付服务；
e） 与所有相关方进行商议、识别、策划，测量、通报各项服务改进方案；
f） 设定改进质量、成本和资源利用的目标；
g） 修改服务管理涉及的方针、计划和程序；
h） 确保所有批准的持续改进措施都已交付执行，并实现了预期目标。
7
策划和实施服务变更管理
保险机构IT服务提供方应建立策划和实施新的或变更的服务管理体系。新增或者变更IT服务时，应
与相关客户和支持方建立统一的管理方法，组织和管理各项资源，管理和交付有质量的IT服务。
策划和实施服务变更管理至少应包括以下内容：
a） 新增、变更或中止一项IT服务内容，应评估可行性和影响，评估成本、技术、业务和对组织的
影响，并通过变更管理流程开展计划和审批工作；
b） 新增或变更IT服务时，开展计划和方案的管理工作：
1） 明确服务提供方和相关方的职责分工和工作范围；
2） 增加和调整的服务内容应通报相关方，并签署和调整符合业务需求的合同或协议；
3） 明确人力资源，明确技能和培训需求；
4） 调整相关的服务流程、工具和管理体系。例如：涉及的性能与容量管理工作和财务管理工
作等。
c） 明确调整新增或变更IT服务内容所需的资源预算，制定实施时间计划，制定验收标准和后续服
务交付标准；
d） 在实施新增或调整IT服务内容前，应组织评审工作；
e） 新增或变更IT服务后应组织评估方案的执行情况，向客户报告服务执行结果。
8 服务交付流程
8.1 服务级别管理
保险机构IT服务提供方应建立服务级别管理流程，与客户定义、协商、记录并管理服务级别。
5
JR/T 0074—2024
服务级别管理流程至少应包括以下内容：
a） 应制定服务级别管理流程，定义、协商、记录和管理服务级别协议，明确定义完整的IT服务，
包括服务内容目录、服务级别目标和工作量等特性；
b） 与客户签署服务级别协议或备忘，服务级别协议应明确提供IT服务的服务内容、范围和质量标
准及相关方需明确的内容；
c） 与相关方共同商讨和确认服务级别协议及相关服务支持协议、采购合同等；
d） 应至少每年与客户评估和确认服务级别协议内容，调整服务级别协议内容应通过变更管理流程
实施；
e） 应组织对服务级别协议的执行情况进行监控、报告和趋势分析，组织实施服务质量改进计划。
8.2
服务报告
保险机构IT服务提供方应建立服务报告管理流程，与客户建立正式的IT服务执行情况的沟通和交流
渠道。
服务报告管理流程至少应包括以下内容：
a） 服务提供方应根据提供服务的交付情况或客户的特定服务需求，向客户或相关方定期提供服务
报告。服务报告的内容应包括但不限于：
1） 服务级别协议约定的IT服务执行情况；
2） 与服务级别协议的执行目标不一致的情况；
3） IT服务主要的流程管理指标，例如：事件、变更、发布、可用性、服务连续性、能力等；
4） 执行服务流程的重大事项，例如：重大事故和变更；
5） 开展客户满意度调研的反馈结论和客户满意度改进计划。
b） IT服务绩效的趋势分析；
c） 应定期分析服务报告中的结论和客户反馈，制定服务改进计划。
8.3
服务连续性和可用性管理
保险机构IT服务提供方应建立整合的IT服务连续性和可用性管理流程，确保在各种风险场景下能够
经济有效地实现服务级别约定的IT服务连续性和可用性的目标。
连续性和可用性管理流程至少应包括以下内容：
a） 应根据客户业务需求和风险管理策略有效识别IT服务的可用性和连续性需求：
1） 定义系统可用性、可靠性、可维护性需求；
2） 有效识别支持业务的关键IT服务，识别威胁IT服务实现服务级别目标的各种风险；
3） 明确不同风险场景下支持业务运行的IT服务的最低需求。
b） 应持续监控、测评管理IT服务的可用性：
1） 确保所有服务组件的可用性，记录所采取的纠正措施并实施；
2） 识别IT服务与可用性目标的差距，预测和管理可用性；
3） 对潜在影响IT组件和IT服务可用性的风险实施预防和改进措施。
c） 制定IT服务可用性和连续性管理策略，开发和管理可用性和连续性计划，包括：
1） 可用性计划应有效识别可用性管理的策略和方法，确保现在和未来的服务期间都能经济有
效地满足可用性目标；
2） IT服务连续性计划应支持机构的灾难恢复工作和业务连续管理工作；
3） IT服务连续性计划应明确触发和调用条件，恢复IT服务所涉及的组织机构和岗位职责、恢
复流程、所需资源和工作操作流程等。
d） 应周期性开展可用性和IT服务连续性计划评估工作，可用性和连续性计划应至少每年进行一次
修订；
6
JR/T 0074—2024
e） 应周期性开展可用性和连续性计划测试和演练工作，应每年至少开展一次IT服务可用性和连续
性计划测试，评估计划的有效性；
f） 当业务和信息系统发生重大变更时，应及时验证、测试和演练IT服务可用性和连续性计划。对
发现的失败信息应制定改进方案，并纳入服务改进计划。
8.4
IT 服务的预算和核算
保险机构IT服务提供方应根据提供的服务内容，建立预算和核算的政策和程序，经济高效地实现符
合服务级别协议的财务资源需求。
IT服务预算和核算管理流程至少应包括以下内容：
a） 管理符合服务级别目标的资源的预算，资源包括：IT资产、共享资源、日常开支、第三方供应
服务、人员、软件等领域；
b） 应开展有效的财务控制和授权管理，监控资源使用情况；
c） 当发起变更时，应评估和批准服务变更对财务资源的影响。
8.5
性能与容量管理
保险机构IT服务提供方应有效建立性能与容量管理流程，确保IT服务的能力可以经济高效地实现客
户当前和未来业务对IT服务的需求。性能与容量管理的范围至少应包含提供IT服务所需的IT基础架构资
源。
性能与容量管理流程至少应包括以下内容：
a） 有效地建立和实施性能与容量管理的流程和相关技术手段；
b） 识别和规划能力可以支持的IT服务的时间、成本、业务量等要素的支持边界；
c） 服务提供方应周期性开展能力需求分析工作，至少每年制定性能与容量的需求分析计划。在分
析过程中应有效识别、理解和掌握业务部门当前和中远期业务需求，至少应包括：
1） 调研和预测业务量的变化量和时限；
2） 分析业务模式和特点的变化对IT服务能力需求的影响；
3） 特定时段（特定时间窗口）业务量对IT服务能力的影响；
4） 其他因素变化对IT服务能力的影响。
d） 开展持续的性能与容量管理活动，采取合适的技术和流程管理手段，实现资源的优化使用，包
括：
1） 开展监视、阈值检测、性能分析和调整，发起与性能和容量有关的变更，跟进解决性能和
容量领域的事件和问题；
2） 在实施变更管理中，开展对性能与容量的影响和风险评估；
3） 建立和管理性能与容量的基础数据，支持性能与容量的分析预测和优化管理工作；
4） 跟踪掌握性能与容量优化的先进技术手段。
8.6
信息安全管理
保险机构IT服务提供方应有效建立信息安全管理体系，确保在所有IT服务活动中有效地管理信息安
全。
信息安全管理流程至少应包括以下内容：
a） 具有授权的安全管理组织，建立有效的信息安全管理体系；
b） 制定信息安全策略，并通报给IT服务涉及的相关人员，包括员工、客户、供方等；
c） 为有效贯彻信息安全策略，针对IT服务控制或系统访问控制的信息安全风险，应制定适当的信
息安全控制措施，有效识别、控制和管理风险，并做好文档记录与管理；
d） 对信息系统和信息服务的访问，应与访问方建立正式的信息安全协议；
7
JR/T 0074—2024
e） 开展变更时，应有效评估其对信息安全的影响；
f） 建立安全事件的响应流程，安全事件应遵循事件管理流程开展报告和记录，有效分析信息安全
事件的类型、数量和影响，作为改进服务质量的输入。
9
关系流程
9.1
业务关系管理
保险机构IT服务提供方应基于对客户业务的理解，建立与客户良好的合作关系。
业务关系管理流程至少应包括以下内容：
a） 应有效识别客户和IT服务涉及的利害相关方，及时了解客户对服务的需求；
b） 应至少每年或与客户开展重大服务级别协议变更时，与客户讨论服务范围、服务级别协议以及
客户对服务的需求或变更，并形成文档化记录；
c） 接受客户对新增或变更服务的需求，并通过发起变更流程开展评估和管理工作；
d） 与客户协商建立投诉流程，所有正式的客户投诉应有效记录，调查原因，并与客户协商解决方
案；
e） 应管理客户对IT服务的满意度，定期开展客户满意度调查，针对反馈结果实施服务质量改进计
划，并负责把服务的变化等通知给相关客户。
9.2
供方管理
保险机构IT服务提供方应有效管理供方，整合相关的供方服务，提供给客户整合后的高质量的IT
服务。
供方管理流程至少应包括以下内容：
a） 应有效识别相关供方的服务内容，包括需求、范围、服务级别和交付流程，并与相关方协商，
与供方形成统一的服务级别协议或合同，各方的服务接口应形成统一记录；
b） 应有效管理供方的服务分包风险，主供方与分包供方的职责和关系应明确记录，主供方应有效
管理分包供方，示例如图3所示。相关服务内容和协议应至少每年进行回顾和评审，确保能实
现总体服务需求；
图3
服务主供方、分包供方与需求方间关系的示例
c） 与服务供方的服务内容发生重大变化，应通过变更管理流程进行审核管理；
d） 应建立针对合同纠纷的处置管理流程，并与相关方达成统一协议；
e） 应定期回顾和评估供方的服务质量，评估结论应纳入服务质量改进计划。
8
JR/T 0074—2024
10 解决流程
10.1 事件管理
保险机构IT服务提供方应建立事件管理流程，快速恢复受事件影响的IT服务，快速响应用户事件或
服务请求，以最快的速度帮助用户解决事件或进行事件升级，力求使事件对用户的影响最小化。
事件管理流程至少应包括以下内容：
a） 定义所有事件的记录、优先次序、业务影响、分类、更新、增加、解决和正式关闭，有效分析
事件的影响；
b） 建立服务台统一管理事件，确保所有的事件都应记录，且依照已定义流程对主要事件进行分类
和管理；
c） 及时通知客户或者提供查询接口，以便客户查询有关他们所报告的事件或服务请求的进展情
况，如果不能满足服务级别，则应事先告知，并进行协商；
d） 应定义重大事件的标准和处理流程；明确重大事件管理负责人和职责，职责应包括组织协调、
升级、客户沟通重大事件的处置等要素；应明确定义重大事件/问题的变更的授权；应定期评
估重大事件的处理流程，评估结果应纳入服务质量改进计划；
e） 建立已知错误库、知识库、问题解决方案和配置管理数据库等信息库，事件管理的人员都应有
权使用这些信息开展事件流程管理；
f） 对于相同原因且反复出现的事件（即重复事件），应通过问题管理流程开展问题识别、分析和
管理；
g） 服务应用、技术应用场景所设其他第三方平台（例如监控告警平台、安全平台）和事件管理流
程对接所报告的事件或服务请求，应该纳入事件流程管理范畴，并依照相关标准和处理流程进
行管理。
10.2
问题管理
保险机构IT服务提供方应建立问题管理流程，通过对服务事件原因主动识别、分析和管理，避免相
关事件的再次发生，以使对业务的破坏最小化。
问题管理流程至少应包括以下内容：
a） 记录所有已识别的问题，应对问题解决的有效性进行监视、评审和报告；
b） 定义所有问题的记录、分类、更新、增加、解决和结束；
c） 采取程序来识别、最小化或避免事件和问题的影响；
d） 采取预防性措施来减少潜在问题。例如，分析事件影响大小和类型的趋势；
e） 为改正潜在问题而进行的变更，应传达给变更管理流程；
f） 确保事件管理可以从问题管理中获得有关已知错误和已改正问题的当前信息；
g） 记录问题管理流程识别的改进机会，并纳入服务改进计划。
11 控制流程
11.1 配置管理
保险机构IT服务提供方应建立配置管理流程，定义和控制IT服务所需基础设施的部件配置项及相关
关系信息，确保配置项信息的可靠性和准确性。
配置管理流程至少应包括以下内容：
a） 应根据IT服务管理的目标，创建配置项信息的建立和维护流程，制定完整的配置管理方案；
9
JR/T 0074—2024
b） 配置项信息应提供充分和有效的基础设施部件的信息，配置项应可以支持评估变更对IT服务和
基础设施配置的影响。应定义配置项信息的内容和关系，建立配置管理数据库，确保配置项都
应是唯一可识别的。配置项信息宜包含：
1） 支持IT服务的基础设施；
2） 信息系统和软件（包括第三方软件）、发布以及相关的系统文件，例如：规范、设计、测
试报告和发布文档、配置基线或每个应用环境、标准硬件的建立和发布的说明；
3） 主拷贝和电子资料库，例如：最终软件库、许可证等；
4） 安全组件，例如：防火墙等；
5） 服务相关文件，例如：服务级别协议、服务支持协议等；
6） 服务支持设施，例如：机房电源、制冷设备等；
7） 配置项之间的关系和依赖性；
8） 其他信息也可能作为配置项，例如其他文档、其他资产、其他设备、业务单元和人员等。
c） 确保配置项信息的可靠性和完整性，IT基础架构变更后应及时更新配置数据库，配置项的变更
应可追踪和审核；
d） 应定期开展配置项信息的检查和审计，应记录、评估差异及不符合项，制定纠正措施并纳入服
务改进计划；
e） 应定期建立配置基线，对配置基线的准确性进行审计检查。
11.2
变更管理
保险机构IT服务提供方应建立变更管理流程，以受控的方式对影响生产系统的所有变更进行评估、
批准、实施和回顾。
变更管理流程至少应包括以下内容：
a） 定义和记录IT服务和基础架构的变更；
b） 建立包含客户和用户代表以及各利害相关方在内的变更管理委员会，变更管理委员会负责对重
大变更的评估、批准、资源准备和审核工作；
c） 评估变更请求的风险和对技术及业务的影响。例如：风险包括可用性影响、技术风险、人力成
本等，并分类记录；变更分类包括紧急、重大、标准、简单等；
d） 制定变更实施方案，应包括变更失败计划以及采取的取消或补救措施；对业务有影响的应在变
更实施前提前通知业务方；
e） 在检查和批准变更后，以受控方式实施变更过程。对所有变更执行结果及其实施之后所采取的
行动进行评审；变更完成后应邀请业务方进行可用性和功能性验证；
f） 针对紧急变更，应制定紧急变更授权的管理机制和实施流程，有效控制因紧急变更带来的风险；
注：紧急变更，是指变更计划外需执行的变更。
g） 维护当前的变更计划并按计划通报相关方；
h） 对变更记录进行定期分析，以分析逐渐增长的变更级别、频繁重现的类型的趋势和其他相关信
息；
i） 对变更分析得到的结果和结论进行记录。有效识别变更管理的改进方案，并将其纳入服务管理
改进计划。
12
发布流程
保险机构IT服务提供方应建立发布管理流程，对向生产环境交付和分发IT服务进行管理并追踪服务
变更。
发布管理流程至少应包括以下内容：
10
JR/T 0074—2024