企航顧問ISO/IEC20000 IT服務(wù)管理體系服務(wù)
2022/04/29
在互聯(lián)網(wǎng)的大背景下����,信息技術(shù)在其中起著舉足輕重的地位。ISO/IEC 20000信息技術(shù)服務(wù)管理體系是為了信息技術(shù)行業(yè)而出臺的����,旨在為信息技術(shù)行業(yè)提供能為其服務(wù)的國際標(biāo)準(zhǔn)。它能幫助企業(yè)形成標(biāo)準(zhǔn)化經(jīng)營�����,規(guī)范化管理模式�,目的是提供建立、實施�����、運作��、監(jiān)控��、評審���、維護(hù)和改進(jìn)IT服務(wù)管理體系(ITSM)的模型����。建立IT服務(wù)管理體系(ITSM)已成為各種組織���,特別是金融機(jī)構(gòu)���、電信、高科技產(chǎn)業(yè)等管理運營風(fēng)險不可缺少的重要機(jī)制�����。ISO/IEC 20000讓IT管理者有一個參考框架用來管理IT服務(wù)�,完善的IT管理水平也能通過認(rèn)證的方式表現(xiàn)出來。
ISO/IEC 20000標(biāo)準(zhǔn)著重于通過“IT服務(wù)標(biāo)準(zhǔn)化”來管理IT問題���,即將IT問題歸類��,識別問題的內(nèi)在聯(lián)系���,然后依據(jù)服務(wù)水準(zhǔn)協(xié)議進(jìn)行計劃、推行和監(jiān)控�,并強(qiáng)調(diào)與客戶的溝通。該標(biāo)準(zhǔn)同時關(guān)注體系的能力,體系變更時所要求的管理水平���、財務(wù)預(yù)算�����、軟件控制和分配��。
一����、ISO/IEC 20000概述
ISO/IEC 20000標(biāo)準(zhǔn)是ISO(國際標(biāo)準(zhǔn)化組織)和IEC(國際電工委員會)組成的第一聯(lián)合技術(shù)委員會(JCT1)于2005年12月15日對外正式頒布的一組關(guān)于信息技術(shù)服務(wù)管理的標(biāo)準(zhǔn):
ISO/IEC 20000包含以下兩個方面的內(nèi)容:
1�����、ISO/IEC 20000-1是一個正式規(guī)范��,明確了組織向客戶提供品質(zhì)合格的管理服務(wù)的要求�����;
2�、ISO/IEC 20000-2是一項行為準(zhǔn)則�,描述了ISO/IEC 20000-1范圍內(nèi)的服務(wù)管理的最佳范例。
ISO/IEC 20000標(biāo)準(zhǔn)的發(fā)展歷史:
1、ISO/IEC 20000標(biāo)準(zhǔn)的開發(fā)是基于英國商務(wù)部在二十世紀(jì)80年代發(fā)布的一套IT服務(wù)管理的最佳實踐指南——ITIL(Information Technology Infrastructure Library����,信息技術(shù)基礎(chǔ)構(gòu)架庫)。ITIL作為IT服務(wù)管理概念的起源�����,發(fā)展歷程如下圖所示:
2����、第一版ISO/IEC 20000標(biāo)準(zhǔn)于2005年基于ITIL實踐建立,相對于ITIL��,ISO/IEC 20000還面向企業(yè)認(rèn)證����。ISO/IEC 20000發(fā)展歷程如下圖所示:
ISO/IEC 20000標(biāo)準(zhǔn)已初步形成了一個系列標(biāo)準(zhǔn),包括:
1����、ISO/IEC 20000-1:2018《信息技術(shù) 服務(wù)管理 第1部分:服務(wù)管理體系要求》
2、ISO/IEC 20000-2:2019《信息技術(shù) 服務(wù)管理 第2部分:服務(wù)管理體系實施指南》
3�����、ISO/IEC 20000-3:2019《信息技術(shù) 服務(wù)管理 第3部分:ISO/IEC 20000-1范圍定義和適用性指南》
4、ISO/IEC 20000-4:2010《信息技術(shù) 服務(wù)管理 第4部分:過程參考模型》
5�����、ISO/IEC TS 20000-5:2020《信息技術(shù) 服務(wù)管理 第5部分:ISO/IEC 20000-1實施指南》
6��、ISO/IEC TS 15504-8:2012《信息技術(shù) 過程評估 第8部分:IT服務(wù)管理過程評估模型》
7�、ISO/IEC 27013:2021《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù) ISO/IEC 27001與ISO/IEC 20000-1整合實施指南》
ISO/IEC 20000標(biāo)準(zhǔn)系列的其它部分還處于開發(fā)中�����,今后會為相關(guān)方應(yīng)用ISO/IEC 20000-1提供更多的指導(dǎo)和建議�。
二、ISO/IEC 20000適用范圍
ISO/IEC 20000標(biāo)準(zhǔn)涉及IT服務(wù)生命周期各個階段所必要的規(guī)范和流程���,覆蓋IT服務(wù)的規(guī)劃設(shè)計�����、部署實施�、服務(wù)運營�、持續(xù)改進(jìn)和監(jiān)督管理階段。管理框架如下圖所示:
ISO/IEC 20000是一個針對管理流程系統(tǒng)的標(biāo)準(zhǔn)����,ISO/IEC 20000的認(rèn)證適合IT服務(wù)的提供者,可以是內(nèi)部的IT部門����,也可以是外部的服務(wù)提供商:
1、供應(yīng)鏈中所有的服務(wù)提供者需要一致方法的行業(yè)��;
2����、作為一個獨立評審的基礎(chǔ);
3�����、需要證實其有能力提供滿足顧客要求服務(wù)的組織�;
4、服務(wù)較脆弱的行業(yè)���;
5�、為IT服務(wù)管理建立基準(zhǔn)的服務(wù)提供者���;
6�����、目標(biāo)為通過有效過程應(yīng)用監(jiān)視和改進(jìn)服務(wù)質(zhì)量的組織��。
建立ISO/IEC 20000體系�����,意味著提供服務(wù)的IT組織����,對ISO/IEC 20000中定義的這些管理流程,具有足夠好的管理控制力��。這里所謂對流程的管理控制力包括:
1�����、對流程輸入的了解和控制�;
2、對流程輸出的了解���、使用和詮釋���;
3����、制定和執(zhí)行對流程效能的衡量機(jī)制��;
4���、有客觀的證據(jù)表明,對流程的功能負(fù)責(zé)���,使之符合ISO/IEC 20000標(biāo)準(zhǔn)要求��;
5����、制定流程的改進(jìn)提高計劃�,衡量和回顧改進(jìn)結(jié)果。
三�����、ISO/IEC 20000標(biāo)準(zhǔn)內(nèi)容
本標(biāo)準(zhǔn)規(guī)定了組織建立��、實現(xiàn)��、維護(hù)和持續(xù)改進(jìn)服務(wù)管理體系的要求。包括服務(wù)的策劃�����、設(shè)計����、轉(zhuǎn)換、交付和改進(jìn)���,以滿足服務(wù)要求和交付價值�����。
1�����、服務(wù)策劃
服務(wù)策劃解釋了如何將服務(wù)管理作為一種組織能力和一項戰(zhàn)略資產(chǎn)來設(shè)計�、開發(fā)和實施��。它說明了如何制定服務(wù)管理政策�����、指南和服務(wù)生命周期中的流程。
服務(wù)策劃包括內(nèi)外部市場的開發(fā)�����、服務(wù)資產(chǎn)�、服務(wù)目錄以及在服務(wù)生命周期中實施戰(zhàn)略。其他重要的主題還有財務(wù)管理�����、服務(wù)資產(chǎn)����、服務(wù)目錄以及在服務(wù)生命周期中實施戰(zhàn)略�����、服務(wù)組合管理�、組織發(fā)展和戰(zhàn)略風(fēng)險。
以下主題:
a)���、服務(wù)和戰(zhàn)略
b)���、財務(wù)管理
c)�、投資回報率
d)�����、服務(wù)組合管理
e)��、需求管理
f)�、戰(zhàn)略和組織
……
2、服務(wù)設(shè)計
服務(wù)設(shè)計涉及到服務(wù)和服務(wù)管理流程的設(shè)計和開發(fā)����。它涵蓋了把戰(zhàn)略目標(biāo)轉(zhuǎn)變?yōu)榉?wù)組合和服務(wù)資產(chǎn)的方法。
服務(wù)設(shè)計指導(dǎo)組織如何綜合運用不同的知識來確保服務(wù)交付不僅適合戰(zhàn)略目標(biāo)而且還有成本效率�。
服務(wù)設(shè)計的范圍不限于新的服務(wù)。它包括服務(wù)生命周期上的變更和改進(jìn)��、服務(wù)的連續(xù)性��、達(dá)到服務(wù)級別以及符合標(biāo)準(zhǔn)和法規(guī)����。它在如何發(fā)展服務(wù)管理的設(shè)計能力方面為組織提供指導(dǎo)。引發(fā)這一過程的一種情況是業(yè)務(wù)流程變更����。業(yè)務(wù)需求一旦明朗�,服務(wù)設(shè)計就可以開始了����。
以下主題:
a)、服務(wù)目錄管理
b)����、服務(wù)級別管理
c)、能力管理
d)��、可用性管理
e)����、IT服務(wù)連續(xù)性管理
f)�����、信息安全管理
g)�、供應(yīng)商管理
……
3、服務(wù)轉(zhuǎn)換
服務(wù)轉(zhuǎn)換涉及到實施新的或者經(jīng)過變更的服務(wù)的能力��。
在服務(wù)策劃和設(shè)計之后�,怎么能在控制中斷和故障風(fēng)險的同時有效地實現(xiàn)服務(wù)。如何對服務(wù)和服務(wù)管理流程變更的復(fù)雜性進(jìn)行管理。如何在顧客和服務(wù)提供商之間移交對服務(wù)的控制���。
以下主題:
a)�、效用和擔(dān)保
b)���、服務(wù)轉(zhuǎn)化政策
c)�����、轉(zhuǎn)換規(guī)劃和支持
d)��、變更管理
e)�、服務(wù)資產(chǎn)與配置管理
f)����、發(fā)布和部署管理
g)、服務(wù)確認(rèn)和測試
h)���、評價
i)���、知識管理
……
4、服務(wù)交付(運營)
戰(zhàn)略目標(biāo)最終要通過服務(wù)運營實現(xiàn)���,這使服務(wù)運營成了一項關(guān)鍵能力���,確保在運營環(huán)境中實現(xiàn)服務(wù)策劃和服務(wù)設(shè)計部分的運營目標(biāo)�。
以下主題:
a)�、事件管理
b)、事故管理
c)�����、請求履行
d)���、問題管理
e)�����、生命周期其他階段中的過程的運營活動
f)��、共性服務(wù)運營活動
g)、服務(wù)運營組織
……
5�����、持續(xù)服務(wù)改進(jìn)
一個基于在ISO/IEC 20000中規(guī)定的P-D-C-A模型的閉環(huán)反饋系統(tǒng)得以建立���,并且能夠為任何規(guī)劃中的變更接受輸入�����。
改進(jìn)流程遵循以下步驟:
a)���、定義應(yīng)該測量什么
b)���、定義能夠測量什么
c)、收集數(shù)據(jù)
d)�����、處理數(shù)據(jù)
e)�、分析數(shù)據(jù)
f)、呈現(xiàn)并使用數(shù)據(jù)
g)�����、實施矯正行動
……
四��、ISO/IEC 20000 IT服務(wù)管理體系建設(shè)過程
1���、范圍界定
范圍界定是IT服務(wù)管理體系咨詢的起始工作�����。主要指顧問師同客戶負(fù)責(zé)人以合約內(nèi)容為基礎(chǔ)����,共同明確實施的目標(biāo)和范圍,以及咨詢工作的范疇和深度����。包括人力資源的協(xié)調(diào)、雙方認(rèn)可的時間表����、認(rèn)證的地域空間、具體部門和人員等�����。范圍的確定可以使ISO/IEC 20000 體系建設(shè)目標(biāo)同項目目標(biāo)緊密結(jié)合��,是ISO/IEC 20000 IT服務(wù)管理體系咨詢項目實施的第一步�。也是后續(xù)工作的基礎(chǔ)和前提��。
2��、需求識別
需求識別是ISO/IEC 20000咨詢實施的關(guān)鍵一步。其主要方式是通過咨詢師與管理者���、各部門負(fù)責(zé)人以及各關(guān)鍵人員的訪談和調(diào)研�,了解客戶IT服務(wù)管理需求�、識別客戶在IT服務(wù)過程中面臨的主要困難和問題。確定咨詢項目實施的難點�����,并就實施項目目標(biāo)與客戶達(dá)成一致���。
3��、服務(wù)理念導(dǎo)入
理念導(dǎo)入是整個方案實施的基礎(chǔ)�����。有效的理念導(dǎo)入可以統(tǒng)一全體員工的認(rèn)識��,方便同一術(shù)語下的溝通與交流�����。并為將來的體系順利推進(jìn)和后期持續(xù)改進(jìn)打下堅實的基礎(chǔ)��。項目組將根據(jù)ISO/IEC 20000體系要求�����,結(jié)合咨詢方案特點���,安排有豐富行業(yè)實踐背景和IT服務(wù)理論基礎(chǔ)的專家進(jìn)行全方位的的理念導(dǎo)入培訓(xùn)����,包括:
a)���、ISO/IEC 20000 認(rèn)知培訓(xùn)
b)��、IT服務(wù)管理體系建設(shè)與維護(hù)方法培訓(xùn)
4����、差距分析
差距分析是 ISO/IEC 20000 IT服務(wù)管理咨詢項目前期的重要工作之一�����。項目組咨詢服務(wù)方案的實施完全建立在客觀�����、科學(xué)的差距分析報告基礎(chǔ)之上�。而一切的基礎(chǔ)是來自于企業(yè)實際的IT 運營現(xiàn)狀。對企業(yè)現(xiàn)狀的評估一般分為組織架構(gòu)與人員的IT 服務(wù)管理成熟度評估�,以及基于流程方式的工作現(xiàn)狀評估等。項目組通過豐富的調(diào)查和訪談手段���,力求通過各種模型和行業(yè)標(biāo)桿�����,客觀分析和分析客戶IT服務(wù)管理現(xiàn)狀與ISO/IEC 20000 IT服務(wù)管理標(biāo)準(zhǔn)及項目實施目標(biāo)的差距�����,通過差距分析報告將實際狀況清晰展現(xiàn)在客戶面前����,為項目小組與客戶進(jìn)行體系策劃和流程實際提供基礎(chǔ)信息�。
5、流程優(yōu)化設(shè)計
流程設(shè)計是整個 ISO/IEC 20000 咨詢實施的重點�����。項目小組將利用自身多年的ITSM行業(yè)經(jīng)驗�,在充分考慮客戶管理現(xiàn)狀�����、項目實施目標(biāo)的情況下�����,以ISO/IEC 20000 為框架�����,真正實現(xiàn)流程同ISO/IEC 20000 體系二者的統(tǒng)一���。在流程設(shè)計中,項目小組與客戶共同完成ISO/IEC 20000 IT服務(wù)管理體系所要求的���,它們包括:
a)�、服務(wù)支持過程:事件管理��、問題管理�����、變更管理、配置管理���、發(fā)布管理流程�;
b)����、服務(wù)提供過程���,服務(wù)級別管理�����、能力管理����、可用性管理與連續(xù)性管理��、財務(wù)管理等���。
項目組將嚴(yán)格按照 ISO/IEC 20000 體系要求���,進(jìn)行流程設(shè)計和整合,并協(xié)助客戶建立包括文件、表單��、記錄等在的整套文檔體系�����。
6�、工具部署與管理體系制度建設(shè)
在流程優(yōu)化設(shè)計環(huán)節(jié)之后,會根據(jù)客戶的工具需求��,對ITSM 軟件工具實施給予支持����。在軟件產(chǎn)品選型、測試和上線實施等環(huán)節(jié)對客戶進(jìn)行針對性指導(dǎo)��。幫助客戶選擇適合自身需求的IT服務(wù)管理工具�����,并對工具部署實施相關(guān)的流程�����、記錄��、數(shù)據(jù)、職能角色運行有效性等進(jìn)行審計�����,并提供書面報告����。
根據(jù)實施效果,對工具實施出現(xiàn)的問題提出建議和指導(dǎo)��,以確保流程設(shè)計思想能充分體現(xiàn)在軟件應(yīng)用中����,實現(xiàn)IT服務(wù)管理工具與體系流程的完美結(jié)合�����。
ISO/IEC 20000 IT服務(wù)管理體系與其他管理體系一樣���,要求建立一整套科學(xué)規(guī)的管理體系維護(hù)與自我改善機(jī)制���。包括:文件記錄管理、部審核與管理評審過程等�����。同時,應(yīng)根據(jù)實際需要在已建立的核心服務(wù)流程基礎(chǔ)上����,補充完善其他服務(wù)管理制度,實現(xiàn)IT服務(wù)管理體系的完整性��。
7��、體系實施與改進(jìn)
體系發(fā)布實施是 ISO/IEC 20000 咨詢項目的重要里程碑����,也是IT服務(wù)管理體系設(shè)計的終結(jié)和體系運行的開始。是對整個流程體系建設(shè)的實施與驗證過程�����。
體系發(fā)布的作用有以下幾個方面:
a)�����、全面整合個方面資源�����,以ITSM框架模式進(jìn)行全新IT服務(wù)運營構(gòu)建并形成企業(yè)自己的 IT 服務(wù)團(tuán)隊更加高效的績效考核方式,以及便捷的服務(wù)管理報告“體系試運行和推廣”是對整個體系設(shè)計的檢驗和測試�����,也是實現(xiàn)持續(xù)改進(jìn)的重要手段和途徑����;
b)、通過咨詢項目小組對體系試運行期間的指導(dǎo)����,發(fā)現(xiàn)流程設(shè)計、流程貫徹方面出現(xiàn)的問題�,并及時提供IT服務(wù)管理體系方面的培訓(xùn),提高認(rèn)識和糾正運行偏差���;
c)、為并通過審和外審全面驗證和評價IT服務(wù)管理體系的完整性�、適宜性和有效性。
8�、認(rèn)證審核
ISO/IEC 20000 IT服務(wù)管理體系認(rèn)證審核是項目實施的最后一個階段,也是項目的重要目的���。審核由認(rèn)可的官方認(rèn)證機(jī)構(gòu)負(fù)責(zé)�����。審核容主要包括流程運營����、組織體系、文檔管理等方面�。在這個階段,項目小組會根據(jù)客戶認(rèn)證中發(fā)生的實際問題��,積極尋找解決辦法����,配合審核方和認(rèn)證方,順利開展ISO/IEC 20000 IT服務(wù)管理體系的認(rèn)證審核工作���。確?����?蛻敉ㄟ^審核方的審核并最終取得認(rèn)證證書����。
9���、體系維護(hù)
IT服務(wù)管理體系是支撐IT服務(wù)組織日常運營的管理體系��。一個優(yōu)秀的 IT 服務(wù)管理體系不是一簇而就的�,而是需要周而復(fù)始的循環(huán)改進(jìn)過程,只有通過建立一個管理體系自我完善機(jī)制���,才能保證建成的ISO/IEC 20000 IT服務(wù)管理體系能夠自我完善和不斷提高�,并最終達(dá)成IT服務(wù)對組織或客戶業(yè)務(wù)活動有力支撐的目標(biāo)��。
五�、ISO/IEC 20000建設(shè)的意義及目標(biāo)
過去IT組織的管理大多把注意力放在IT系統(tǒng)的建設(shè)。而今��,成功的IT組織逐漸將焦點轉(zhuǎn)移到IT服務(wù)的管理���,提升IT服務(wù)管理成為IT組織競爭力增強(qiáng)的關(guān)鍵因素����。
構(gòu)建符合ISO/IEC 20000標(biāo)準(zhǔn)要求的服務(wù)管理體系����,不僅是IT組織對所提供的IT服務(wù)優(yōu)良品質(zhì)的證明��,也是很多IT組織向業(yè)務(wù)導(dǎo)向轉(zhuǎn)型的一種方式。通過ISO/IEC 20000標(biāo)準(zhǔn)的導(dǎo)入���,使得服務(wù)流程更加規(guī)范化��、專業(yè)化�����,并在最適合的成本范圍內(nèi)����,提供高品質(zhì)的服務(wù)���,以增加服務(wù)使用者的滿意度�����,同時����,提升IT組織的IT投資回報率��。因此,我們從平衡記分卡的四個維度來分析導(dǎo)入ISO/IEC 20000標(biāo)準(zhǔn)的價值與意義:
a)��、財務(wù)面:降低了IT運行的成本��,提高了IT投資回報率�;
b)、客戶面:增強(qiáng)了快速響應(yīng)業(yè)務(wù)需求的能力���,提高了客戶滿意度��;
c)��、流程面:過去說不清楚的都以標(biāo)準(zhǔn)化流程及統(tǒng)計數(shù)字表現(xiàn)��;
d)���、組織面:提升企業(yè)形象的同時,建成了一支掌握服務(wù)能力專業(yè)化隊伍�����。
更重要的是����,通過認(rèn)證,還有助于服務(wù)文化及持續(xù)改進(jìn)機(jī)制的形成��,進(jìn)而提升IT組織的核心競爭力����。
六、ISO/IEC 20000認(rèn)證申請的條件
一����、范圍的界定
根據(jù)國家認(rèn)監(jiān)委2012年第8號公告《關(guān)于開展信息技術(shù)服務(wù)管理體系認(rèn)證工作的公告》,目前國內(nèi)開展ISO/IEC 20000認(rèn)證的范圍一共分為以下幾個類別
二��、申請ISO/IEC 20000認(rèn)證的基本條件
1�����、持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》�����、《社會團(tuán)體法人登記證書》等有效法律地位證明文件����;
2、申請方的IT服務(wù)管理體系已按ISO/IEC 20000標(biāo)準(zhǔn)的要求建立��,并實施運行3個月以上;
3����、在進(jìn)行認(rèn)證審核前按照文件的要求進(jìn)行了至少一次管理評審和內(nèi)部IT服務(wù)管理體系審核;
4����、信息技術(shù)服務(wù)管理體系運行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰或該處罰已關(guān)閉。
三�、申請ISO/IEC 20000認(rèn)證需要提供的材料
1、申請認(rèn)證體系有效運行的證明文件(如體系文件發(fā)布控制表�,有時間標(biāo)記的記錄等復(fù)印件);
2����、申請組織簡介:
1) 組織簡介;
2) 申請組織的主要業(yè)務(wù)流程����;
3) 組織機(jī)構(gòu)圖或職能表述文件。
3����、申請組織的體系文件,需包含但不僅限于(可以合并):
1) 服務(wù)管理方針和計劃�����;
2) 服務(wù)級別協(xié)議;
3) 能力管理流程����;
4) 服務(wù)連續(xù)性和可用性管理流程�;
5) 服務(wù)級別管理流程;
6) 服務(wù)報告流程����;
7) 信息安全管理流程;
8) IT服務(wù)預(yù)算和核算流程�;
9) 業(yè)務(wù)關(guān)系管理流程;
10) 供方管理流程����;
11) 事件管理流程;
12) 問題管理流程���;
13) 配置管理流程�����;
14) 變更管理流程����;
15) 發(fā)布管理流程;
16) 整個體系文件的結(jié)構(gòu)和清單�����。
4����、申請組織體系文件與ISO/IEC 20000-1:2018要求的文件對照說明;
5��、申請組織的信息技術(shù)服務(wù)目錄�、服務(wù)計劃;
6�、申請組織內(nèi)部審核和管理評審的證明資料;
7���、申請組織記錄保密性或敏感性聲明�����。
七���、企航顧問在ICT領(lǐng)域提供的服務(wù)項目有:
ISO/IEC 20000 : 信息技術(shù)服務(wù)管理體系
ISO/IEC 27001 : 信息安全管理體系
ISO/IEC 27701 : 隱私信息管理體系
ISO/IEC 27017 : 云服務(wù)信息安全規(guī)范
ISO/IEC 27018 : 公共云個人信息(PII)處理者的信息安全控制規(guī)范
ISO/IEC 29151 : 個人信息保護(hù)的行為準(zhǔn)則
ISO 22301 : 業(yè)務(wù)連續(xù)性管理體系
TISAX :可信信息安全評估交流機(jī)制
ISO/SAE 21434 : 汽車網(wǎng)絡(luò)安全管理體系
TL 9000 : 通訊行業(yè)質(zhì)量管理體系
……
