|
|
|
|
|
|
來源: 發布日期: 點擊量:
ISO 20000:2011標準全面解析第1章前言
1.1 開發背景
2005年12月,國際標準化組織正式發布ISO/IEC 20000-1:2005,至今已有五年多時間,這期間ISO 20000得到了國際社會的普遍認可和采納。同時,隨著IT 產業的快速發展,IT 服務管理也逐步走向成熟,期間各種管理方法論不斷涌現:2007年,ITIL v3發布,2008年,新版ISO 9000發布,同年IT治理標準ISO/IEC 38500發布,這些方法論促進了IT服務的長足發展;08年的金融危機,使得監管部門對IT服務管理等內控工作提出了更高的要求,并將這些反映在SOX等法律法規中;而云計算、虛擬化等新技術的出現也深刻地影響著IT服務管理。
另一方面,國際標準化組織內部也產生了一些積極的變化。這5年間,WG251得到了多個國家的認可,眾多組織作為成員單位加入了這一工作組參與ISO 20000的研討,成員單位對標準相繼提出了一些修改意見;很多組織根據自己的實踐經驗,也向國際標準化組織對提出了一些關于ISO 20000的有價值的改進意見。
國際標準化組織(ISO/IEC)根據各方意見對2005版進行修改,于2011年4月15日發布了IT服務管理最新國際標準——ISO/IEC 20000-1:2011。2011版在2005版的基礎上,更好地融合ISO 9001、ITIL v3、ISO/IEC 27001等最佳實踐和國際標準,在全面性、可操作性和更廣泛的認同方面取得了長足的進步,我們也藉此機會推出《ISO/IEC 20000-1:2011標準全面解析》,希望進一步推動IT服務管理在中國的發展。
1.2 開發目標和讀者群體《ISO/IEC 20000-1:2011 標準全面解析》的開發目標是:
(1) 使讀者對ISO 20000標準的發展及2011版本的內容有一個全面的認識;
(2) 介紹ISO 20000框架結構和涉及的主要內容,使讀者了解ISO 20000的基本知識;
(3) 全面介紹2011版與2005版的區別與聯系,使已獲得ISO 20000認證的組織了解到標準的區別,以便不斷提高;
(4) 介紹有關ISO 20000:2011版本各章節內容和應關注的重點,啟發讀者在將來的工作中更好地構建符合ISO 20000:2011標準的IT服務管理體系。
《ISO/IEC 20000-1:2011標準全面解析》的讀者與標準的目標讀者是一致的,通常包括了客戶、服務提供方、咨詢師、評估師或審核員等第三方人員:
(1) 客戶,主要指從服務提供方采購服務產品并要保證其服務需求被滿足的組織,同時也包括對所有供應商,包括供應鏈各環節,要求采用以一致性方法的組織。
(2) 目的在于展示其服務提供的設計、轉換、交付和改進能力滿足要求的服務提供方,他們通過監視、測量和評審其服務管理過程證明其有效的實施和運行服務管理體系(SMS)。
(3) 咨詢師、評估師或審核員等第三方人員,作為評估服務者的服務管理體系(SMS)滿足ISO 20000本部分的準則的評估師或審核員。
1.3 結構和內容
2011的核心流程,以及ISO20000 實施方法論等多個方面進行了介紹。本標準全面解析共分為3章節,內容分別是:
第1章前言部分介紹了ISO20000 標準全面解析的開發背景、目標和讀者范圍。
第2章簡要介紹了ISO20000 的發展歷程,分別從其起源、受眾、現狀和發展趨勢三個方面歸納了ISO20000 的基本內容,使讀者初步了解什么是ISO20000及其使用環境。為后面章節的論述奠定了基礎。
第3章對ISO20000:2011所述的管理體系進行權威解讀。從范圍、術語、體系規劃和實施幾個方面簡要介紹了體系的整體要求。隨后對ISO20000:2011的流程關注點做了詳細說明,對服務提供過程、關系過程、解決過程和控制過程四個核心過程得相關要求做了詳細解釋。
第2 章ISO20000 簡介
2.1 什么是ISO20000
ISO20000 是第一個針對信息技術服務管理(IT Service Management)領域的國際標準,第一個版本在2005 年12 月15 日發布。作為認證組織的IT 運營和服務交付管理水平的國際標準,ISO20000:2005具體規定了IT 服務管理行業向企業及其客戶有效地提供一體化的管理過程以及過程建立的相關要求,幫助識別和管理IT 服務交付的關鍵過程,保證提供有效的IT 服務以滿足客戶和業務的需求。ISO 20000起源于ITIL,并經歷了如下的發展歷史:
20世紀80年代,ITIL(信息技術基礎架構庫)從IT服務管理最佳實踐萌芽,到2000年正式成為英國標準協會的IT服務管理標準BS 15000。2000年,BS 15000第一版發布,它是基于早期版本DISC PD0005:1998(IT 服務管理實踐指南)而產生的。2002年,BS 15000-1:2002第二版發布,它是根據前一版本使用后獲得的反饋和經驗而得出的。同時,認證戰略的發展大大地推動了BS 15000成為正式的國際標準。2005年5月17日,BS 15000通過快速通道成為ISO國際標準家族中的一員。
ISO/IEC 20000-1:2005是信息技術服務管理(IT Service Management)領域的第一部國際標準。2011年4月15日,國際標準化組織遵循所有標準每隔5年必須進行升級的原則以及出于對術語國際化和一致性的考慮,正式發布IT服務管理最新國際標準ISO/IEC 20000-1:2011。
ISO20000:2011標準由兩部分組成:
第一部分,ISO20000-1:2011“IT service management Part 1: Specification for service management”,該部分內容規范了IT 服務過程包含的13 個流程,是認證的依據;
第二部分,ISO20000-2:2005 “IT service management Part 2: Code of practice for service management”,這部分內容主要涉及IT 服務管理過程的最佳實踐指南,旨在為實施IT 服務管理體系提供指導。
2.2 為什么需要ISO20000
當前,在全球信息化快速發展的大背景下,IT 業界也由當初的以技術為主導的粗放型規模擴張階段,轉向如今的依靠科學管理實現效率提升和風險、成本控制的精細化管理階段。伴隨著企業IT 規模的擴大和IT 成熟度的提高,各類企業的成本管理、效率管理意識普遍增強。這時,向IT 管理要效益,要求更高的IT 服務水平,更強的運營管理能力迫在眉睫。
對IT 內部運營組織來說,IT 部門在企業的生產、管理環節發揮著重要作用。例如在銀行、電信、政府、物流倉儲,以及其他生產型企業當中,IT 運營管理成為核心業務運作依托的根本手段,也成為企業成本控制和效率提升的關鍵部分。在這種情形下,提升組織內部的IT 服務水平和建立基于流程的高效率運作機制,可以為企業業務部門提供性價比更高的IT 服務支持,從而確保業務的高效運轉,縮減運營成本、提高業務盈利能力。
對專業IT 服務外包公司來說,IT 服務管理本身是企業核心價值的實現手段。在當前IT行業成熟度不斷提升、第三產業服務業迅速發展的背景下,客戶對IT 服務提供商的要求也不斷提高。IT 服務外包公司只有通過提升服務質量、建立現代IT 服務管理運營體系和最大化客戶價值,才能在市場競爭當中立于不敗之地。
基于如上情形,不論是內部IT 服務提供商,還是外部IT 服務提供商,都需要成功導入先進的管理體制來提升IT 運營效率和IT 服務水平。而ISO20000 恰恰是他們最合適的選擇。
ISO20000 可以幫助企業實現:
建立、實施和推廣服務管理流程,強化員工服務意識,規范服務行為;
規范服務輸出質量,建立服務質量監測體系,為管理層提供管理信息;
獲取IT 服務管理領域的國際認可的專業認證,提升業內知名度;
增強企業品牌和信譽,獲得市場競爭優勢;
有利于全面提升客戶總體的服務體驗與滿意度。
2.3 誰需要ISO20000
ISO 20000 的目標是“為任何提供IT 服務的企業提供一套通用的參考標準,不論其為內部客戶還是外部客戶提供服務”。由此看出,ISO20000 標準從其產生和制定的目標來看,始終把提供IT 服務的企業和部門作為認證主體。
ISO20000 標準的制定者是來自各個行業的IT 服務專家。同樣,標準本身的服務對象也是各個行業的IT 服務提供商。因此,凡是存在IT 服務職能的機構、組織,不論它是為企業內部提供IT 服務支持,還是為企業外部客戶提供IT 服務,都是ISO20000 認證標準的需求者。他們包括(但不限于)以下類別:
專業IT 服務外包提供商
專業IT 系統集成商和軟件開發商
企業內部IT 服務提供商
IT 運營支持部門
2.4 ISO20000 發展現狀和趨勢
ISO 20000自2005年正式發布后,在全球范圍內獲得了普遍認可。在國內,為了提升整體行業的管理水平,保持同世界整體趨勢的同步,國家也通過出臺一系列的政策,對IT服務外包企業取得ISO20000、ISO27001等國際認證給予了大力的支持,截止2010年年底,itSMF認證網站最后公布數據顯示全球共571家企業通過ISO 20000認證。中國已超過日本成為全球通過ISO 20000認證數量最多的國家。
從2006年到2010年,中國通過ISO 20000認證的企業數量逐年遞增(下圖),經濟危機使得許多企業意識到了IT治理的重要性。截至2010年年底,中國共有105家企業通過了ISO 20000認證。
第3 章ISO20000:2011 標準解讀
1 ISO20000:2011 管理體系的整體要求
范圍
2011版在“總則”部分說明了說明了標準要求的適用對象及場景,并在新標的正文中首次提出服務管理體系(SMS)概念;更加明確的定義了使用對象,標準的使用者用“服務評估審核人員”替代了“獨立評估”這個比較抽象的詞語。同時也對服務管理體系圖進行了優化,將服務需求與服務分別作為管理體系的輸入和輸出,如下圖:
在“應用”部分中標準明確要求一個服務提供方如果外包了服務管理體系的一部分,那么管理工作必須保留的過程治理或者管理控制,這相當于要求組織對于次級供應商的管理過程進行明確的定義和有效控制,同時也明確提出服務提供方是符合第四節的標準的唯一實體,包括策劃、實施、檢查、處置的整個PDCA周期。其他的要求如下:
標準提供對服務提供方應符合所有或者主要需求的證據;
通過所進行的其他部分元素的過程治理證明需求平衡性;
3.1.2 概述
標準的2005版沒有這個部分的內容,新標增加了標準的參考內容,并說明了ISO/IEC 20000-2將在適當的時候發布。
3.1.3 術語和定義
本部分對新標內的術語進行了全面定義和說明。
新的術語很大一部分引用國際標準化組織的其他標準的定義,部分術語更是直接采用了ISO 9000的定義,這為SMS體系與其他體系進行融合提供了標準的語言基礎。為了明確服務全生命周期的概念,增加了服務請求、服務需求、轉換等ITIL V3中的概念,這說明新標已經開始使用更加廣泛的服務生命周期的概念,從本質上擴充了標準的應用范圍。
此外,為了避免混淆,專門對程序和過程進行了澄清,定義了利益相關方、組織等,另外對baseline進行了明確定義,基線特制配置基線。
1 服務管理體系總體要求
2 管理職責
“4.1管理職責”說明了管理層為確保服務管理體系(SMS)的有效性,在管理承諾、管理方針、權限、職責和溝通等方面的職責。
定義了服務管理體系(SMS)必須至少包括哪些服務方針的內容;
增強了滿足法律法規要求和合同義務的重要性;
設計全生命周期過程時,應考慮已經存在的管理方針;
明確許可證書應被管理以滿足合規性;
提供的服務必須基于適當的方法;
評價達到期望的結果必須執行的方法的有效性。
3.1.4.2 其他方運行過程的治理
“4.2其他方運行過程的治理”說明了對服務管理體系中其他方的治理,重點指出了其他方運行過程的治理,在體系中需要將其他方的治理的需求納入到IT服務管理體系中。
3.1.4.3 文件管理
“4.3文件管理”說明了服務管理體系(SMS)對文件管理的要求。
更加明確地說明了服務管理體系(SMS)需要對文件清單進行管理;
明確了文件管理方面的進一步要求。
3.1.4.4 資源管理
“4.4資源管理”說明了服務管理體系對資源管理的要求。明確提出服務提供方應提出服務管理體系(SMS),并說明應盡量通過提供相關所需資源提升客戶滿意度。
3.1.4.5 建立和改進服務管理體系
標準的“4.5.1定義范圍”定義了服務管理體系的范圍要求。標準的“4.5.2策劃服務管理體系(策劃)”說明了對管理體系策劃的要求。明確了策劃服務的相關要素;明確了策劃中的變更職能;服務管理計劃必須與方針和(約定的)服務需求相一致。“4.5.3實施和運行服務管理體系(實施)”說明了對服務管理體系(SMS)實施和運行的要求。增加了服務管理體系(SMS)中的各種活動;明確服務管理體系(SMS)的管理過程;2?明確在服務管理體系(SMS)執行過程中應有績效監控和報告管理。“4.5.4監視和評審服務管理體系(檢查)”說明了對服務管理體系監視和評審的要求。在評審過程中明確了內審和管理評審的目標應該是書面的,并且內審和管理評審應能夠證明服務管理體系(SMS)的確達到了管理目標;明確不符合項應被識別;明確了評審項的評審結果應有不合格、關注、識別的改進。這些評審結果都應該通過溝通再發布;
明確了服務管理體系(SMS)中應有審核過程;
明確服務管理體系(SMS)應有不合格項的處理方式、相關處理措施以
及產生的原因;
明確了管理評審的輸入;
增加了管理評審的有效性和改進要求。
“4.5.5維護和改進服務管理體系(處置)”說明了對服務管理體系維護和改進的要求。
明確服務管理體系(SMS)中應有處置過程中改進的準則,不符合標準和服務管理體系(SMS)的項目必須根據優先順序分配解決;
引用ISO 9001的8.5條款明確對糾正預防措施的相關要求;
明確應排序、策劃改進機會;
增加了管理改進活動的要素;
改進的目標必須設立基于至少一項可量化的標準,比如質量度量或者值;
評價標準需要設置有關的評估活動持續改進期望的結果;
評價達到期望的結果必須執行的方法的有效性。
3.1.5 設計和轉換新的或變更的服務
“5.1總要求”說明了對設計和轉換新的或變更的服務的要求。“5.2策劃新的或變更的服務”說明了對策劃新的或變更的服務的要求。基于規劃,設計和轉換新的或變更的服務(和關閉服務)并分別明確要求;增加可在整個生命周期內確保新的或變更的服務要實現其目標的要求;要求在整個生命周期中管理風險;明確了策劃新的或變更的服務的輸入;對新的或變更的服務應有明確的書面說明;明確了策劃新的或變更的服務報告的相關要素;增加對刪除服務的要求。
“5.3設計和開發新的或變更的服務”說明了對設計和開發新的或變更的服務的要求。明確說明新的或變更的服務應該是基于滿足客戶需求的;增加了設計和開發過程的參考。
“5.4轉換新的或變更的服務”說明了對轉換新的或變更的服務的要求。
3.2 ISO20000 流程關注點
ISO20000 圍繞著IT 服務管理質量要求,將整個體系劃分為四個過程,他們分別是:服務提供過程(Service Delivery Process)、關系過程(Relationship Process)、解決過程(Resolution Process)和控制過程(Control Process)。
下面將對ISO20000 體系中流程關注點做詳細說明。
注:本書在描述整個ISO20000 體系時,將Process 譯為“過程”,以便同各個過程中的具體流程區分開來,例如事件管理流程、問題管理流程等。特予以解釋,后文中將不再說明。
3.2.1 服務交付過程
服務提供過程主要圍繞IT 服務管理的六個方面展開,它們包括:服務級別管理、服務報告、服務連續性和可用性管理、IT 服務預算和核算管理、能力管理,以及信息安全管理。服務提供過程通過對上述方面的整合管理,確保整個IT 基礎架構的服務提供能力。
3.2.1.1 服務級別管理
“6.1服務級別管理”要求服務提供方與客戶定義、協商、記錄并管理服務級別。明確了服務目錄應由雙方協定,并確定服務目錄中應寫明服務與服務組件間的依存關系;服務水平協議的內容明確要求,例如:目標、內容、工作量、任何異常管理。
3.2.1.2 服務報告
“6.2服務報告”要求組織要依據可靠信息(應包含識別、目的、讀者、頻率和數據源的詳情)做出決策和有效溝通,編制協商一致、及時、可靠、準確的報告。
明確了服務報告描述的內容;
明確了服務報告和服務管理體系(SMS)的對應關系;
突出對重大事件的服務報告;
需要確定服務報告頻率;
明確提出哪些類型的不合格必須報告;
報告投訴以及已經或正在采取的糾正措施。
3.2.1.3 服務連續性及可用性管理
“6.3服務的連續性和可用性管理”確保向客戶承諾的協商一致的服務連續性和可用性在任何情況下都能得到滿足。明確提出服務提供方應與客戶和相關方識別和協定服務連續性和可用性要求;增強的需求關注必須包含在可用性計劃中。
3.2.1.4 IT 服務預算和核算管理
“6.4服務的預算和核算”對服務供應成本進行預算和核算。明確了服務的預算和核算與組織的財務管理必須有相應的接口;明確要求組織必須知道每一個服務的總體成本。
3.2.1.5 能力管理
“6.5能力管理”明確了確保服務提供方在所有時間內具有足夠能力來滿足
當前和預計的客戶對服務的需求。增加了能力計劃的范圍覆蓋人員、技術、信息和財務;明確能力計劃變更應納入變更管理過程;明確了協定要求對可用性、服務連續性和服務級別的影響;服務提供方需要提供足夠的能力來履行自己的承諾;
服務提供方制訂能力計劃時必須考慮到人、技術、信息和金融的影響和制約;2?為了不與4服務管理體系總體要求”內容相沖突,提到的“服務能力”已被刪除,而替換為簡單的“能力”管理;2?對能力管理進行了加強、擴展和澄清,在2005版中能力管理是一個被弱化的程序。
3.2.1.6 信息安全管理
“6.5信息安全”提出確定信息安全方針、控制措施、變更和事件,在所有服務活動中有效地管理信息安全的要求。明確了管理者的6項責任;明確了信息安全的物理、管理與技術的措施;明確說明了事件優先級應與信息安全風險相適應;必須對信息安全的控制的有效性進行評估,并采取糾正措施;內部的信息安全審計決不能被替代;強調信息安全管理仍是ISO/IEC 27001的一個子集;將信息安全管理流程分為策略、控制、安全事件、變更管理,以更好地對應ISO20000的各個模塊。
1 關系過程
2 業務關系管理
“7.1業務關系管理”要求組織明確服務的客戶、用戶和相關方。基于對客
戶及其業務驅動的理解,建立并保持服務提供方與客戶之間的良好關系。提出了客戶滿意度評估的最大周期為計劃的時間間隔。明確要記錄客戶、用戶和服務方;刪除了利益相關者。
3.2.2.2 供應商管理
“7.2供應商管理”要求組織要管理供方,確保提供無縫的和高質量的服務。明確了哪些內容必須出現在合同文本中。
1 解決過程(Resolution Process)
2 事件管理
“8.1事件和服務請求管理”要求組織要盡快恢復協商一致的服務或響應服
務請求。明確定義了服務請求及服務請求的管理流程;明確了事件管理的環節;明確了服務優先級的因子為影響程度和緊急程度;將發布部署與事件和服務請求管理關聯起來;明確了重大事件的核心控制要點:通知最高管理者、專人管理重大事件、服務恢復后的回顧及改進計劃。
3.2.3.2 問題管理
“8.2問題管理”要求組織通過主動式識別、分析、解決事件和問題發生的根本原因,最小化或避免事件和問題的影響。明確定義了問題管理過程步驟,增加了升級步驟。問題管理生命周期要求增加了識別過程和優先級分配;明確問題管理的配置項變更要通過變更解決;明確了問題管理與事件和服務請求管理過程的關聯。
1 控制過程(Control Process)
2 配置管理
“9.1配置管理”要求組織以受控的方式,確保所有變更得到評估、批準、實施和評審。明確了配置信息定義模型的主要信息;明確了配置項的內容具體到文件、許可證信息、軟件,可能的話,應有硬件配置圖;明確了配置管理流程為配置審核過程,在計劃的時間間隔內該流程將為改進報告提供支撐,替代了原來配置控制程序的說法;明確了發現配置記錄缺失服務提供方應采取的措施;明確提出每個CI的屬性至少應有與其他CI項間的關系等;已知錯誤與CI的關系應被記錄和鏈接。
3.2.4.2 變更管理
“9.2變更管理”要求組織要定義和控制服務與基礎設施的部件,并保持準確的配置信息,實施要點如下:必須定義變更管理方針;變更管理過程明確了刪除服務、服務交付給用戶為重大變更;2服務改進根據計劃的時間間隔開展;明確變更評估信息與其他過程的關系;明確變更與配置項變化之間的關系;明確批準的變更應被開發和測試;變更分類的需求已經明確,比如交付服務;CMDB的更新必須緊隨發布的部署工作;參照設計和傳輸新的或變化的服務為主要變更。
3.2.4.3 發布和部署管理
“9.3發布和部署管理”要求組織要按照服務提供方與客戶及相關方商定的發布策略,部署新的或變更的服務和服務組件到在實際環境中,交付、分發并追蹤一個或多個變更,具體包括:發布策略須得到客戶的同意;刪除了變更過程與發布管理間互動的描述,而改在變更管理中描述;明確了發布和部署管理中策劃內容;明確需要建立驗收準則;明確應調查不成功的發布并根據協定措施執行;增加了非強制性的不成功發布的測試;增加了發布失敗分析的評審和改進;緊急發布的標準需要客戶的同意;在部署完成后,發布的驗收需要進行定義及檢查。
結語
本書分別從ISO/IEC 20000 的產生、沿革與流程關注點幾個方面做了詳細介紹,并且對ISO20000-1:2011體系實施方法論以及應著重關注的要點進行了分析和探討。ISO/IEC 20000 標準從2005 年制定并發布以來,得到了國際社會的普遍認可和采納。在國內,隨著IT 產業本身的快速發展,IT 服務管理也逐步走向成熟。在IT 服務管理整個產業鏈中,無論企業處于何種位置,為客戶交付高質量的服務都是必需的。我們相信,ISO/IEC20000-1:2011 的發布和推廣,將更加成為企事業單位和政府部門,以及能源、交通、金融等國民經濟重要行業行業提升自身IT 服務質量,建立基于標準化和流程化的高質量服務體系的捷徑,同時也是企業邁向國際化科學IT 服務管理體系之列,迎接國際化挑戰的重要一步。
實踐證明,ISO/IEC 20000 正在為國內企業和行業領先者所青睞的服務管理標準,成為企業參與激烈競爭市場的一把利器。我們相信,在不遠的將來,ISO/IEC 20000 必然在國內IT 業界迎來自己的春天!
相關知識: