400-677-1258
2022/04/29
在互联网的大背景下,信息技术在其中起着举足轻重的地位。ISO/IEC 20000信息技术服务管理体系是为了信息技术行业而出台的,旨在为信息技术行业提供能为其服务的国际标准。它能帮助企业形成标准化经营,规范化管理模式,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT服务管理体系(ITSM)已成为各种组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO/IEC 20000让IT管理者有一个参考框架用来管理IT服务,完善的IT管理水平也能通过认证的方式表现出来。
ISO/IEC 20000标准着重于通过“IT服务标准化”来管理IT问题,即将IT问题归类,识别问题的内在联系,然后依据服务水准协议进行计划、推行和监控,并强调与客户的沟通。该标准同时关注体系的能力,体系变更时所要求的管理水平、财务预算、软件控制和分配。
一、ISO/IEC 20000概述
ISO/IEC 20000标准是ISO(国际标准化组织)和IEC(国际电工委员会)组成的第一联合技术委员会(JCT1)于2005年12月15日对外正式颁布的一组关于信息技术服务管理的标准:
ISO/IEC 20000包含以下两个方面的内容:
1、ISO/IEC 20000-1是一个正式规范,明确了组织向客户提供品质合格的管理服务的要求;
2、ISO/IEC 20000-2是一项行为准则,描述了ISO/IEC 20000-1范围内的服务管理的最佳范例。
ISO/IEC 20000标准的发展历史:
1、ISO/IEC 20000标准的开发是基于英国商务部在二十世纪80年代发布的一套IT服务管理的最佳实践指南——ITIL(Information Technology Infrastructure Library,信息技术基础构架库)。ITIL作为IT服务管理概念的起源,发展历程如下图所示:
2、第一版ISO/IEC 20000标准于2005年基于ITIL实践建立,相对于ITIL,ISO/IEC 20000还面向企业认证。ISO/IEC 20000发展历程如下图所示:
ISO/IEC 20000标准已初步形成了一个系列标准,包括:
1、ISO/IEC 20000-1:2018《信息技术 服务管理 第1部分:服务管理体系要求》
2、ISO/IEC 20000-2:2019《信息技术 服务管理 第2部分:服务管理体系实施指南》
3、ISO/IEC 20000-3:2019《信息技术 服务管理 第3部分:ISO/IEC 20000-1范围定义和适用性指南》
4、ISO/IEC 20000-4:2010《信息技术 服务管理 第4部分:过程参考模型》
5、ISO/IEC TS 20000-5:2020《信息技术 服务管理 第5部分:ISO/IEC 20000-1实施指南》
6、ISO/IEC TS 15504-8:2012《信息技术 过程评估 第8部分:IT服务管理过程评估模型》
7、ISO/IEC 27013:2021《信息安全、网络安全和隐私保护 ISO/IEC 27001与ISO/IEC 20000-1整合实施指南》
ISO/IEC 20000标准系列的其它部分还处于开发中,今后会为相关方应用ISO/IEC 20000-1提供更多的指导和建议。
二、ISO/IEC 20000适用范围
ISO/IEC 20000标准涉及IT服务生命周期各个阶段所必要的规范和流程,覆盖IT服务的规划设计、部署实施、服务运营、持续改进和监督管理阶段。管理框架如下图所示:
ISO/IEC 20000是一个针对管理流程系统的标准,ISO/IEC 20000的认证适合IT服务的提供者,可以是内部的IT部门,也可以是外部的服务提供商:
1、供应链中所有的服务提供者需要一致方法的行业;
2、作为一个独立评审的基础;
3、需要证实其有能力提供满足顾客要求服务的组织;
4、服务较脆弱的行业;
5、为IT服务管理建立基准的服务提供者;
6、目标为通过有效过程应用监视和改进服务质量的组织。
建立ISO/IEC 20000体系,意味着提供服务的IT组织,对ISO/IEC 20000中定义的这些管理流程,具有足够好的管理控制力。这里所谓对流程的管理控制力包括:
1、对流程输入的了解和控制;
2、对流程输出的了解、使用和诠释;
3、制定和执行对流程效能的衡量机制;
4、有客观的证据表明,对流程的功能负责,使之符合ISO/IEC 20000标准要求;
5、制定流程的改进提高计划,衡量和回顾改进结果。
三、ISO/IEC 20000标准内容
本标准规定了组织建立、实现、维护和持续改进服务管理体系的要求。包括服务的策划、设计、转换、交付和改进,以满足服务要求和交付价值。
1、服务策划
服务策划解释了如何将服务管理作为一种组织能力和一项战略资产来设计、开发和实施。它说明了如何制定服务管理政策、指南和服务生命周期中的流程。
服务策划包括内外部市场的开发、服务资产、服务目录以及在服务生命周期中实施战略。其他重要的主题还有财务管理、服务资产、服务目录以及在服务生命周期中实施战略、服务组合管理、组织发展和战略风险。
以下主题:
a)、服务和战略
b)、财务管理
c)、投资回报率
d)、服务组合管理
e)、需求管理
f)、战略和组织
……
2、服务设计
服务设计涉及到服务和服务管理流程的设计和开发。它涵盖了把战略目标转变为服务组合和服务资产的方法。
服务设计指导组织如何综合运用不同的知识来确保服务交付不仅适合战略目标而且还有成本效率。
服务设计的范围不限于新的服务。它包括服务生命周期上的变更和改进、服务的连续性、达到服务级别以及符合标准和法规。它在如何发展服务管理的设计能力方面为组织提供指导。引发这一过程的一种情况是业务流程变更。业务需求一旦明朗,服务设计就可以开始了。
以下主题:
a)、服务目录管理
b)、服务级别管理
c)、能力管理
d)、可用性管理
e)、IT服务连续性管理
f)、信息安全管理
g)、供应商管理
……
3、服务转换
服务转换涉及到实施新的或者经过变更的服务的能力。
在服务策划和设计之后,怎么能在控制中断和故障风险的同时有效地实现服务。如何对服务和服务管理流程变更的复杂性进行管理。如何在顾客和服务提供商之间移交对服务的控制。
以下主题:
a)、效用和担保
b)、服务转化政策
c)、转换规划和支持
d)、变更管理
e)、服务资产与配置管理
f)、发布和部署管理
g)、服务确认和测试
h)、评价
i)、知识管理
……
4、服务交付(运营)
战略目标最终要通过服务运营实现,这使服务运营成了一项关键能力,确保在运营环境中实现服务策划和服务设计部分的运营目标。
以下主题:
a)、事件管理
b)、事故管理
c)、请求履行
d)、问题管理
e)、生命周期其他阶段中的过程的运营活动
f)、共性服务运营活动
g)、服务运营组织
……
5、持续服务改进
一个基于在ISO/IEC 20000中规定的P-D-C-A模型的闭环反馈系统得以建立,并且能够为任何规划中的变更接受输入。
改进流程遵循以下步骤:
a)、定义应该测量什么
b)、定义能够测量什么
c)、收集数据
d)、处理数据
e)、分析数据
f)、呈现并使用数据
g)、实施矫正行动
……
四、ISO/IEC 20000 IT服务管理体系建设过程
1、范围界定
范围界定是IT服务管理体系咨询的起始工作。主要指顾问师同客户负责人以合约内容为基础,共同明确实施的目标和范围,以及咨询工作的范畴和深度。包括人力资源的协调、双方认可的时间表、认证的地域空间、具体部门和人员等。范围的确定可以使ISO/IEC 20000 体系建设目标同项目目标紧密结合,是ISO/IEC 20000 IT服务管理体系咨询项目实施的第一步。也是后续工作的基础和前提。
2、需求识别
需求识别是ISO/IEC 20000咨询实施的关键一步。其主要方式是通过咨询师与管理者、各部门负责人以及各关键人员的访谈和调研,了解客户IT服务管理需求、识别客户在IT服务过程中面临的主要困难和问题。确定咨询项目实施的难点,并就实施项目目标与客户达成一致。
3、服务理念导入
理念导入是整个方案实施的基础。有效的理念导入可以统一全体员工的认识,方便同一术语下的沟通与交流。并为将来的体系顺利推进和后期持续改进打下坚实的基础。项目组将根据ISO/IEC 20000体系要求,结合咨询方案特点,安排有丰富行业实践背景和IT服务理论基础的专家进行全方位的的理念导入培训,包括:
a)、ISO/IEC 20000 认知培训
b)、IT服务管理体系建设与维护方法培训
4、差距分析
差距分析是 ISO/IEC 20000 IT服务管理咨询项目前期的重要工作之一。项目组咨询服务方案的实施完全建立在客观、科学的差距分析报告基础之上。而一切的基础是来自于企业实际的IT 运营现状。对企业现状的评估一般分为组织架构与人员的IT 服务管理成熟度评估,以及基于流程方式的工作现状评估等。项目组通过丰富的调查和访谈手段,力求通过各种模型和行业标杆,客观分析和分析客户IT服务管理现状与ISO/IEC 20000 IT服务管理标准及项目实施目标的差距,通过差距分析报告将实际状况清晰展现在客户面前,为项目小组与客户进行体系策划和流程实际提供基础信息。
5、流程优化设计
流程设计是整个 ISO/IEC 20000 咨询实施的重点。项目小组将利用自身多年的ITSM行业经验,在充分考虑客户管理现状、项目实施目标的情况下,以ISO/IEC 20000 为框架,真正实现流程同ISO/IEC 20000 体系二者的统一。在流程设计中,项目小组与客户共同完成ISO/IEC 20000 IT服务管理体系所要求的,它们包括:
a)、服务支持过程:事件管理、问题管理、变更管理、配置管理、发布管理流程;
b)、服务提供过程,服务级别管理、能力管理、可用性管理与连续性管理、财务管理等。
项目组将严格按照 ISO/IEC 20000 体系要求,进行流程设计和整合,并协助客户建立包括文件、表单、记录等在的整套文档体系。
6、工具部署与管理体系制度建设
在流程优化设计环节之后,会根据客户的工具需求,对ITSM 软件工具实施给予支持。在软件产品选型、测试和上线实施等环节对客户进行针对性指导。帮助客户选择适合自身需求的IT服务管理工具,并对工具部署实施相关的流程、记录、数据、职能角色运行有效性等进行审计,并提供书面报告。
根据实施效果,对工具实施出现的问题提出建议和指导,以确保流程设计思想能充分体现在软件应用中,实现IT服务管理工具与体系流程的完美结合。
ISO/IEC 20000 IT服务管理体系与其他管理体系一样,要求建立一整套科学规的管理体系维护与自我改善机制。包括:文件记录管理、部审核与管理评审过程等。同时,应根据实际需要在已建立的核心服务流程基础上,补充完善其他服务管理制度,实现IT服务管理体系的完整性。
7、体系实施与改进
体系发布实施是 ISO/IEC 20000 咨询项目的重要里程碑,也是IT服务管理体系设计的终结和体系运行的开始。是对整个流程体系建设的实施与验证过程。
体系发布的作用有以下几个方面:
a)、全面整合个方面资源,以ITSM框架模式进行全新IT服务运营构建并形成企业自己的 IT 服务团队更加高效的绩效考核方式,以及便捷的服务管理报告“体系试运行和推广”是对整个体系设计的检验和测试,也是实现持续改进的重要手段和途径;
b)、通过咨询项目小组对体系试运行期间的指导,发现流程设计、流程贯彻方面出现的问题,并及时提供IT服务管理体系方面的培训,提高认识和纠正运行偏差;
c)、为并通过审和外审全面验证和评价IT服务管理体系的完整性、适宜性和有效性。
8、认证审核
ISO/IEC 20000 IT服务管理体系认证审核是项目实施的最后一个阶段,也是项目的重要目的。审核由认可的官方认证机构负责。审核容主要包括流程运营、组织体系、文档管理等方面。在这个阶段,项目小组会根据客户认证中发生的实际问题,积极寻找解决办法,配合审核方和认证方,顺利开展ISO/IEC 20000 IT服务管理体系的认证审核工作。确保客户通过审核方的审核并最终取得认证证书。
9、体系维护
IT服务管理体系是支撑IT服务组织日常运营的管理体系。一个优秀的 IT 服务管理体系不是一簇而就的,而是需要周而复始的循环改进过程,只有通过建立一个管理体系自我完善机制,才能保证建成的ISO/IEC 20000 IT服务管理体系能够自我完善和不断提高,并最终达成IT服务对组织或客户业务活动有力支撑的目标。
五、ISO/IEC 20000建设的意义及目标
过去IT组织的管理大多把注意力放在IT系统的建设。而今,成功的IT组织逐渐将焦点转移到IT服务的管理,提升IT服务管理成为IT组织竞争力增强的关键因素。
构建符合ISO/IEC 20000标准要求的服务管理体系,不仅是IT组织对所提供的IT服务优良品质的证明,也是很多IT组织向业务导向转型的一种方式。通过ISO/IEC 20000标准的导入,使得服务流程更加规范化、专业化,并在最适合的成本范围内,提供高品质的服务,以增加服务使用者的满意度,同时,提升IT组织的IT投资回报率。因此,我们从平衡记分卡的四个维度来分析导入ISO/IEC 20000标准的价值与意义:
a)、财务面:降低了IT运行的成本,提高了IT投资回报率;
b)、客户面:增强了快速响应业务需求的能力,提高了客户满意度;
c)、流程面:过去说不清楚的都以标准化流程及统计数字表现;
d)、组织面:提升企业形象的同时,建成了一支掌握服务能力专业化队伍。
更重要的是,通过认证,还有助于服务文化及持续改进机制的形成,进而提升IT组织的核心竞争力。
六、ISO/IEC 20000认证申请的条件
一、范围的界定
根据国家认监委2012年第8号公告《关于开展信息技术服务管理体系认证工作的公告》,目前国内开展ISO/IEC 20000认证的范围一共分为以下几个类别
二、申请ISO/IEC 20000认证的基本条件
1、持有工商行政管理部门颁发的《企业法人营业执照》、《社会团体法人登记证书》等有效法律地位证明文件;
2、申请方的IT服务管理体系已按ISO/IEC 20000标准的要求建立,并实施运行3个月以上;
3、在进行认证审核前按照文件的要求进行了至少一次管理评审和内部IT服务管理体系审核;
4、信息技术服务管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚或该处罚已关闭。
三、申请ISO/IEC 20000认证需要提供的材料
1、申请认证体系有效运行的证明文件(如体系文件发布控制表,有时间标记的记录等复印件);
2、申请组织简介:
1) 组织简介;
2) 申请组织的主要业务流程;
3) 组织机构图或职能表述文件。
3、申请组织的体系文件,需包含但不仅限于(可以合并):
1) 服务管理方针和计划;
2) 服务级别协议;
3) 能力管理流程;
4) 服务连续性和可用性管理流程;
5) 服务级别管理流程;
6) 服务报告流程;
7) 信息安全管理流程;
8) IT服务预算和核算流程;
9) 业务关系管理流程;
10) 供方管理流程;
11) 事件管理流程;
12) 问题管理流程;
13) 配置管理流程;
14) 变更管理流程;
15) 发布管理流程;
16) 整个体系文件的结构和清单。
4、申请组织体系文件与ISO/IEC 20000-1:2018要求的文件对照说明;
5、申请组织的信息技术服务目录、服务计划;
6、申请组织内部审核和管理评审的证明资料;
7、申请组织记录保密性或敏感性声明。
七、企航顾问在ICT领域提供的服务项目有:
ISO/IEC 20000 : 信息技术服务管理体系
ISO/IEC 27001 : 信息安全管理体系
ISO/IEC 27701 : 隐私信息管理体系
ISO/IEC 27017 : 云服务信息安全规范
ISO/IEC 27018 : 公共云个人信息(PII)处理者的信息安全控制规范
ISO/IEC 29151 : 个人信息保护的行为准则
ISO 22301 : 业务连续性管理体系
TISAX :可信信息安全评估交流机制
ISO/SAE 21434 : 汽车网络安全管理体系
TL 9000 : 通讯行业质量管理体系
……
