2022/04/29
在互聯網的大背景下,信息技術在其中起著舉足輕重的地位。ISO/IEC 20000信息技術服務管理體系是為了信息技術行業而出臺的,旨在為信息技術行業提供能為其服務的國際標準。它能幫助企業形成標準化經營,規范化管理模式,目的是提供建立、實施、運作、監控、評審、維護和改進IT服務管理體系(ITSM)的模型。建立IT服務管理體系(ITSM)已成為各種組織,特別是金融機構、電信、高科技產業等管理運營風險不可缺少的重要機制。ISO/IEC 20000讓IT管理者有一個參考框架用來管理IT服務,完善的IT管理水平也能通過認證的方式表現出來。
ISO/IEC 20000標準著重于通過“IT服務標準化”來管理IT問題,即將IT問題歸類,識別問題的內在聯系,然后依據服務水準協議進行計劃、推行和監控,并強調與客戶的溝通。該標準同時關注體系的能力,體系變更時所要求的管理水平、財務預算、軟件控制和分配。
一、ISO/IEC 20000概述
ISO/IEC 20000標準是ISO(國際標準化組織)和IEC(國際電工委員會)組成的第一聯合技術委員會(JCT1)于2005年12月15日對外正式頒布的一組關于信息技術服務管理的標準:
ISO/IEC 20000包含以下兩個方面的內容:
1、ISO/IEC 20000-1是一個正式規范,明確了組織向客戶提供品質合格的管理服務的要求;
2、ISO/IEC 20000-2是一項行為準則,描述了ISO/IEC 20000-1范圍內的服務管理的最佳范例。
ISO/IEC 20000標準的發展歷史:
1、ISO/IEC 20000標準的開發是基于英國商務部在二十世紀80年代發布的一套IT服務管理的最佳實踐指南——ITIL(Information Technology Infrastructure Library,信息技術基礎構架庫)。ITIL作為IT服務管理概念的起源,發展歷程如下圖所示:
2、第一版ISO/IEC 20000標準于2005年基于ITIL實踐建立,相對于ITIL,ISO/IEC 20000還面向企業認證。ISO/IEC 20000發展歷程如下圖所示:
ISO/IEC 20000標準已初步形成了一個系列標準,包括:
1、ISO/IEC 20000-1:2018《信息技術 服務管理 第1部分:服務管理體系要求》
2、ISO/IEC 20000-2:2019《信息技術 服務管理 第2部分:服務管理體系實施指南》
3、ISO/IEC 20000-3:2019《信息技術 服務管理 第3部分:ISO/IEC 20000-1范圍定義和適用性指南》
4、ISO/IEC 20000-4:2010《信息技術 服務管理 第4部分:過程參考模型》
5、ISO/IEC TS 20000-5:2020《信息技術 服務管理 第5部分:ISO/IEC 20000-1實施指南》
6、ISO/IEC TS 15504-8:2012《信息技術 過程評估 第8部分:IT服務管理過程評估模型》
7、ISO/IEC 27013:2021《信息安全、網絡安全和隱私保護 ISO/IEC 27001與ISO/IEC 20000-1整合實施指南》
ISO/IEC 20000標準系列的其它部分還處于開發中,今后會為相關方應用ISO/IEC 20000-1提供更多的指導和建議。
二、ISO/IEC 20000適用范圍
ISO/IEC 20000標準涉及IT服務生命周期各個階段所必要的規范和流程,覆蓋IT服務的規劃設計、部署實施、服務運營、持續改進和監督管理階段。管理框架如下圖所示:
ISO/IEC 20000是一個針對管理流程系統的標準,ISO/IEC 20000的認證適合IT服務的提供者,可以是內部的IT部門,也可以是外部的服務提供商:
1、供應鏈中所有的服務提供者需要一致方法的行業;
2、作為一個獨立評審的基礎;
3、需要證實其有能力提供滿足顧客要求服務的組織;
4、服務較脆弱的行業;
5、為IT服務管理建立基準的服務提供者;
6、目標為通過有效過程應用監視和改進服務質量的組織。
建立ISO/IEC 20000體系,意味著提供服務的IT組織,對ISO/IEC 20000中定義的這些管理流程,具有足夠好的管理控制力。這里所謂對流程的管理控制力包括:
1、對流程輸入的了解和控制;
2、對流程輸出的了解、使用和詮釋;
3、制定和執行對流程效能的衡量機制;
4、有客觀的證據表明,對流程的功能負責,使之符合ISO/IEC 20000標準要求;
5、制定流程的改進提高計劃,衡量和回顧改進結果。
三、ISO/IEC 20000標準內容
本標準規定了組織建立、實現、維護和持續改進服務管理體系的要求。包括服務的策劃、設計、轉換、交付和改進,以滿足服務要求和交付價值。
1、服務策劃
服務策劃解釋了如何將服務管理作為一種組織能力和一項戰略資產來設計、開發和實施。它說明了如何制定服務管理政策、指南和服務生命周期中的流程。
服務策劃包括內外部市場的開發、服務資產、服務目錄以及在服務生命周期中實施戰略。其他重要的主題還有財務管理、服務資產、服務目錄以及在服務生命周期中實施戰略、服務組合管理、組織發展和戰略風險。
以下主題:
a)、服務和戰略
b)、財務管理
c)、投資回報率
d)、服務組合管理
e)、需求管理
f)、戰略和組織
……
2、服務設計
服務設計涉及到服務和服務管理流程的設計和開發。它涵蓋了把戰略目標轉變為服務組合和服務資產的方法。
服務設計指導組織如何綜合運用不同的知識來確保服務交付不僅適合戰略目標而且還有成本效率。
服務設計的范圍不限于新的服務。它包括服務生命周期上的變更和改進、服務的連續性、達到服務級別以及符合標準和法規。它在如何發展服務管理的設計能力方面為組織提供指導。引發這一過程的一種情況是業務流程變更。業務需求一旦明朗,服務設計就可以開始了。
以下主題:
a)、服務目錄管理
b)、服務級別管理
c)、能力管理
d)、可用性管理
e)、IT服務連續性管理
f)、信息安全管理
g)、供應商管理
……
3、服務轉換
服務轉換涉及到實施新的或者經過變更的服務的能力。
在服務策劃和設計之后,怎么能在控制中斷和故障風險的同時有效地實現服務。如何對服務和服務管理流程變更的復雜性進行管理。如何在顧客和服務提供商之間移交對服務的控制。
以下主題:
a)、效用和擔保
b)、服務轉化政策
c)、轉換規劃和支持
d)、變更管理
e)、服務資產與配置管理
f)、發布和部署管理
g)、服務確認和測試
h)、評價
i)、知識管理
……
4、服務交付(運營)
戰略目標最終要通過服務運營實現,這使服務運營成了一項關鍵能力,確保在運營環境中實現服務策劃和服務設計部分的運營目標。
以下主題:
a)、事件管理
b)、事故管理
c)、請求履行
d)、問題管理
e)、生命周期其他階段中的過程的運營活動
f)、共性服務運營活動
g)、服務運營組織
……
5、持續服務改進
一個基于在ISO/IEC 20000中規定的P-D-C-A模型的閉環反饋系統得以建立,并且能夠為任何規劃中的變更接受輸入。
改進流程遵循以下步驟:
a)、定義應該測量什么
b)、定義能夠測量什么
c)、收集數據
d)、處理數據
e)、分析數據
f)、呈現并使用數據
g)、實施矯正行動
……
四、ISO/IEC 20000 IT服務管理體系建設過程
1、范圍界定
范圍界定是IT服務管理體系咨詢的起始工作。主要指顧問師同客戶負責人以合約內容為基礎,共同明確實施的目標和范圍,以及咨詢工作的范疇和深度。包括人力資源的協調、雙方認可的時間表、認證的地域空間、具體部門和人員等。范圍的確定可以使ISO/IEC 20000 體系建設目標同項目目標緊密結合,是ISO/IEC 20000 IT服務管理體系咨詢項目實施的第一步。也是后續工作的基礎和前提。
2、需求識別
需求識別是ISO/IEC 20000咨詢實施的關鍵一步。其主要方式是通過咨詢師與管理者、各部門負責人以及各關鍵人員的訪談和調研,了解客戶IT服務管理需求、識別客戶在IT服務過程中面臨的主要困難和問題。確定咨詢項目實施的難點,并就實施項目目標與客戶達成一致。
3、服務理念導入
理念導入是整個方案實施的基礎。有效的理念導入可以統一全體員工的認識,方便同一術語下的溝通與交流。并為將來的體系順利推進和后期持續改進打下堅實的基礎。項目組將根據ISO/IEC 20000體系要求,結合咨詢方案特點,安排有豐富行業實踐背景和IT服務理論基礎的專家進行全方位的的理念導入培訓,包括:
a)、ISO/IEC 20000 認知培訓
b)、IT服務管理體系建設與維護方法培訓
4、差距分析
差距分析是 ISO/IEC 20000 IT服務管理咨詢項目前期的重要工作之一。項目組咨詢服務方案的實施完全建立在客觀、科學的差距分析報告基礎之上。而一切的基礎是來自于企業實際的IT 運營現狀。對企業現狀的評估一般分為組織架構與人員的IT 服務管理成熟度評估,以及基于流程方式的工作現狀評估等。項目組通過豐富的調查和訪談手段,力求通過各種模型和行業標桿,客觀分析和分析客戶IT服務管理現狀與ISO/IEC 20000 IT服務管理標準及項目實施目標的差距,通過差距分析報告將實際狀況清晰展現在客戶面前,為項目小組與客戶進行體系策劃和流程實際提供基礎信息。
5、流程優化設計
流程設計是整個 ISO/IEC 20000 咨詢實施的重點。項目小組將利用自身多年的ITSM行業經驗,在充分考慮客戶管理現狀、項目實施目標的情況下,以ISO/IEC 20000 為框架,真正實現流程同ISO/IEC 20000 體系二者的統一。在流程設計中,項目小組與客戶共同完成ISO/IEC 20000 IT服務管理體系所要求的,它們包括:
a)、服務支持過程:事件管理、問題管理、變更管理、配置管理、發布管理流程;
b)、服務提供過程,服務級別管理、能力管理、可用性管理與連續性管理、財務管理等。
項目組將嚴格按照 ISO/IEC 20000 體系要求,進行流程設計和整合,并協助客戶建立包括文件、表單、記錄等在的整套文檔體系。
6、工具部署與管理體系制度建設
在流程優化設計環節之后,會根據客戶的工具需求,對ITSM 軟件工具實施給予支持。在軟件產品選型、測試和上線實施等環節對客戶進行針對性指導。幫助客戶選擇適合自身需求的IT服務管理工具,并對工具部署實施相關的流程、記錄、數據、職能角色運行有效性等進行審計,并提供書面報告。
根據實施效果,對工具實施出現的問題提出建議和指導,以確保流程設計思想能充分體現在軟件應用中,實現IT服務管理工具與體系流程的完美結合。
ISO/IEC 20000 IT服務管理體系與其他管理體系一樣,要求建立一整套科學規的管理體系維護與自我改善機制。包括:文件記錄管理、部審核與管理評審過程等。同時,應根據實際需要在已建立的核心服務流程基礎上,補充完善其他服務管理制度,實現IT服務管理體系的完整性。
7、體系實施與改進
體系發布實施是 ISO/IEC 20000 咨詢項目的重要里程碑,也是IT服務管理體系設計的終結和體系運行的開始。是對整個流程體系建設的實施與驗證過程。
體系發布的作用有以下幾個方面:
a)、全面整合個方面資源,以ITSM框架模式進行全新IT服務運營構建并形成企業自己的 IT 服務團隊更加高效的績效考核方式,以及便捷的服務管理報告“體系試運行和推廣”是對整個體系設計的檢驗和測試,也是實現持續改進的重要手段和途徑;
b)、通過咨詢項目小組對體系試運行期間的指導,發現流程設計、流程貫徹方面出現的問題,并及時提供IT服務管理體系方面的培訓,提高認識和糾正運行偏差;
c)、為并通過審和外審全面驗證和評價IT服務管理體系的完整性、適宜性和有效性。
8、認證審核
ISO/IEC 20000 IT服務管理體系認證審核是項目實施的最后一個階段,也是項目的重要目的。審核由認可的官方認證機構負責。審核容主要包括流程運營、組織體系、文檔管理等方面。在這個階段,項目小組會根據客戶認證中發生的實際問題,積極尋找解決辦法,配合審核方和認證方,順利開展ISO/IEC 20000 IT服務管理體系的認證審核工作。確保客戶通過審核方的審核并最終取得認證證書。
9、體系維護
IT服務管理體系是支撐IT服務組織日常運營的管理體系。一個優秀的 IT 服務管理體系不是一簇而就的,而是需要周而復始的循環改進過程,只有通過建立一個管理體系自我完善機制,才能保證建成的ISO/IEC 20000 IT服務管理體系能夠自我完善和不斷提高,并最終達成IT服務對組織或客戶業務活動有力支撐的目標。
五、ISO/IEC 20000建設的意義及目標
過去IT組織的管理大多把注意力放在IT系統的建設。而今,成功的IT組織逐漸將焦點轉移到IT服務的管理,提升IT服務管理成為IT組織競爭力增強的關鍵因素。
構建符合ISO/IEC 20000標準要求的服務管理體系,不僅是IT組織對所提供的IT服務優良品質的證明,也是很多IT組織向業務導向轉型的一種方式。通過ISO/IEC 20000標準的導入,使得服務流程更加規范化、專業化,并在最適合的成本范圍內,提供高品質的服務,以增加服務使用者的滿意度,同時,提升IT組織的IT投資回報率。因此,我們從平衡記分卡的四個維度來分析導入ISO/IEC 20000標準的價值與意義:
a)、財務面:降低了IT運行的成本,提高了IT投資回報率;
b)、客戶面:增強了快速響應業務需求的能力,提高了客戶滿意度;
c)、流程面:過去說不清楚的都以標準化流程及統計數字表現;
d)、組織面:提升企業形象的同時,建成了一支掌握服務能力專業化隊伍。
更重要的是,通過認證,還有助于服務文化及持續改進機制的形成,進而提升IT組織的核心競爭力。
六、ISO/IEC 20000認證申請的條件
一、范圍的界定
根據國家認監委2012年第8號公告《關于開展信息技術服務管理體系認證工作的公告》,目前國內開展ISO/IEC 20000認證的范圍一共分為以下幾個類別
二、申請ISO/IEC 20000認證的基本條件
1、持有工商行政管理部門頒發的《企業法人營業執照》、《社會團體法人登記證書》等有效法律地位證明文件;
2、申請方的IT服務管理體系已按ISO/IEC 20000標準的要求建立,并實施運行3個月以上;
3、在進行認證審核前按照文件的要求進行了至少一次管理評審和內部IT服務管理體系審核;
4、信息技術服務管理體系運行期間及建立體系前的一年內未受到主管部門行政處罰或該處罰已關閉。
三、申請ISO/IEC 20000認證需要提供的材料
1、申請認證體系有效運行的證明文件(如體系文件發布控制表,有時間標記的記錄等復印件);
2、申請組織簡介:
1) 組織簡介;
2) 申請組織的主要業務流程;
3) 組織機構圖或職能表述文件。
3、申請組織的體系文件,需包含但不僅限于(可以合并):
1) 服務管理方針和計劃;
2) 服務級別協議;
3) 能力管理流程;
4) 服務連續性和可用性管理流程;
5) 服務級別管理流程;
6) 服務報告流程;
7) 信息安全管理流程;
8) IT服務預算和核算流程;
9) 業務關系管理流程;
10) 供方管理流程;
11) 事件管理流程;
12) 問題管理流程;
13) 配置管理流程;
14) 變更管理流程;
15) 發布管理流程;
16) 整個體系文件的結構和清單。
4、申請組織體系文件與ISO/IEC 20000-1:2018要求的文件對照說明;
5、申請組織的信息技術服務目錄、服務計劃;
6、申請組織內部審核和管理評審的證明資料;
7、申請組織記錄保密性或敏感性聲明。
七、企航顧問在ICT領域提供的服務項目有:
ISO/IEC 20000 : 信息技術服務管理體系
ISO/IEC 27001 : 信息安全管理體系
ISO/IEC 27701 : 隱私信息管理體系
ISO/IEC 27017 : 云服務信息安全規范
ISO/IEC 27018 : 公共云個人信息(PII)處理者的信息安全控制規范
ISO/IEC 29151 : 個人信息保護的行為準則
ISO 22301 : 業務連續性管理體系
TISAX :可信信息安全評估交流機制
ISO/SAE 21434 : 汽車網絡安全管理體系
TL 9000 : 通訊行業質量管理體系
……