来源: 发布日期: 点击量:
ISO 20000:2011标准全面解析第1章前言
1.1 开发背景
2005年12月,国际标准化组织正式发布ISO/IEC 20000-1:2005,至今已有五年多时间,这期间ISO 20000得到了国际社会的普遍认可和采纳。同时,随着IT 产业的快速发展,IT 服务管理也逐步走向成熟,期间各种管理方法论不断涌现:2007年,ITIL v3发布,2008年,新版ISO 9000发布,同年IT治理标准ISO/IEC 38500发布,这些方法论促进了IT服务的长足发展;08年的金融危机,使得监管部门对IT服务管理等内控工作提出了更高的要求,并将这些反映在SOX等法律法规中;而云计算、虚拟化等新技术的出现也深刻地影响着IT服务管理。
另一方面,国际标准化组织内部也产生了一些积极的变化。这5年间,WG251得到了多个国家的认可,众多组织作为成员单位加入了这一工作组参与ISO 20000的研讨,成员单位对标准相继提出了一些修改意见;很多组织根据自己的实践经验,也向国际标准化组织对提出了一些关于ISO 20000的有价值的改进意见。
国际标准化组织(ISO/IEC)根据各方意见对2005版进行修改,于2011年4月15日发布了IT服务管理最新国际标准——ISO/IEC 20000-1:2011。2011版在2005版的基础上,更好地融合ISO 9001、ITIL v3、ISO/IEC 27001等最佳实践和国际标准,在全面性、可操作性和更广泛的认同方面取得了长足的进步,我们也藉此机会推出《ISO/IEC 20000-1:2011标准全面解析》,希望进一步推动IT服务管理在中国的发展。
1.2 开发目标和读者群体《ISO/IEC 20000-1:2011 标准全面解析》的开发目标是:
(1) 使读者对ISO 20000标准的发展及2011版本的内容有一个全面的认识;
(2) 介绍ISO 20000框架结构和涉及的主要内容,使读者了解ISO 20000的基本知识;
(3) 全面介绍2011版与2005版的区别与联系,使已获得ISO 20000认证的组织了解到标准的区别,以便不断提高;
(4) 介绍有关ISO 20000:2011版本各章节内容和应关注的重点,启发读者在将来的工作中更好地构建符合ISO 20000:2011标准的IT服务管理体系。
《ISO/IEC 20000-1:2011标准全面解析》的读者与标准的目标读者是一致的,通常包括了客户、服务提供方、咨询师、评估师或审核员等第三方人员:
(1) 客户,主要指从服务提供方采购服务产品并要保证其服务需求被满足的组织,同时也包括对所有供应商,包括供应链各环节,要求采用以一致性方法的组织。
(2) 目的在于展示其服务提供的设计、转换、交付和改进能力满足要求的服务提供方,他们通过监视、测量和评审其服务管理过程证明其有效的实施和运行服务管理体系(SMS)。
(3) 咨询师、评估师或审核员等第三方人员,作为评估服务者的服务管理体系(SMS)满足ISO 20000本部分的准则的评估师或审核员。
1.3 结构和内容
2011的核心流程,以及ISO20000 实施方法论等多个方面进行了介绍。本标准全面解析共分为3章节,内容分别是:
第1章前言部分介绍了ISO20000 标准全面解析的开发背景、目标和读者范围。
第2章简要介绍了ISO20000 的发展历程,分别从其起源、受众、现状和发展趋势三个方面归纳了ISO20000 的基本内容,使读者初步了解什么是ISO20000及其使用环境。为后面章节的论述奠定了基础。
第3章对ISO20000:2011所述的管理体系进行权威解读。从范围、术语、体系规划和实施几个方面简要介绍了体系的整体要求。随后对ISO20000:2011的流程关注点做了详细说明,对服务提供过程、关系过程、解决过程和控制过程四个核心过程得相关要求做了详细解释。
第2 章ISO20000 简介
2.1 什么是ISO20000
ISO20000 是第一个针对信息技术服务管理(IT Service Management)领域的国际标准,第一个版本在2005 年12 月15 日发布。作为认证组织的IT 运营和服务交付管理水平的国际标准,ISO20000:2005具体规定了IT 服务管理行业向企业及其客户有效地提供一体化的管理过程以及过程建立的相关要求,帮助识别和管理IT 服务交付的关键过程,保证提供有效的IT 服务以满足客户和业务的需求。ISO 20000起源于ITIL,并经历了如下的发展历史:
20世纪80年代,ITIL(信息技术基础架构库)从IT服务管理最佳实践萌芽,到2000年正式成为英国标准协会的IT服务管理标准BS 15000。2000年,BS 15000第一版发布,它是基于早期版本DISC PD0005:1998(IT 服务管理实践指南)而产生的。2002年,BS 15000-1:2002第二版发布,它是根据前一版本使用后获得的反馈和经验而得出的。同时,认证战略的发展大大地推动了BS 15000成为正式的国际标准。2005年5月17日,BS 15000通过快速通道成为ISO国际标准家族中的一员。
ISO/IEC 20000-1:2005是信息技术服务管理(IT Service Management)领域的第一部国际标准。2011年4月15日,国际标准化组织遵循所有标准每隔5年必须进行升级的原则以及出于对术语国际化和一致性的考虑,正式发布IT服务管理最新国际标准ISO/IEC 20000-1:2011。
ISO20000:2011标准由两部分组成:
第一部分,ISO20000-1:2011“IT service management Part 1: Specification for service management”,该部分内容规范了IT 服务过程包含的13 个流程,是认证的依据;
第二部分,ISO20000-2:2005 “IT service management Part 2: Code of practice for service management”,这部分内容主要涉及IT 服务管理过程的最佳实践指南,旨在为实施IT 服务管理体系提供指导。
2.2 为什么需要ISO20000
当前,在全球信息化快速发展的大背景下,IT 业界也由当初的以技术为主导的粗放型规模扩张阶段,转向如今的依靠科学管理实现效率提升和风险、成本控制的精细化管理阶段。伴随着企业IT 规模的扩大和IT 成熟度的提高,各类企业的成本管理、效率管理意识普遍增强。这时,向IT 管理要效益,要求更高的IT 服务水平,更强的运营管理能力迫在眉睫。
对IT 内部运营组织来说,IT 部门在企业的生产、管理环节发挥着重要作用。例如在银行、电信、政府、物流仓储,以及其他生产型企业当中,IT 运营管理成为核心业务运作依托的根本手段,也成为企业成本控制和效率提升的关键部分。在这种情形下,提升组织内部的IT 服务水平和建立基于流程的高效率运作机制,可以为企业业务部门提供性价比更高的IT 服务支持,从而确保业务的高效运转,缩减运营成本、提高业务盈利能力。
对专业IT 服务外包公司来说,IT 服务管理本身是企业核心价值的实现手段。在当前IT行业成熟度不断提升、第三产业服务业迅速发展的背景下,客户对IT 服务提供商的要求也不断提高。IT 服务外包公司只有通过提升服务质量、建立现代IT 服务管理运营体系和最大化客户价值,才能在市场竞争当中立于不败之地。
基于如上情形,不论是内部IT 服务提供商,还是外部IT 服务提供商,都需要成功导入先进的管理体制来提升IT 运营效率和IT 服务水平。而ISO20000 恰恰是他们最合适的选择。
ISO20000 可以帮助企业实现:
建立、实施和推广服务管理流程,强化员工服务意识,规范服务行为;
规范服务输出质量,建立服务质量监测体系,为管理层提供管理信息;
获取IT 服务管理领域的国际认可的专业认证,提升业内知名度;
增强企业品牌和信誉,获得市场竞争优势;
有利于全面提升客户总体的服务体验与满意度。
2.3 谁需要ISO20000
ISO 20000 的目标是“为任何提供IT 服务的企业提供一套通用的参考标准,不论其为内部客户还是外部客户提供服务”。由此看出,ISO20000 标准从其产生和制定的目标来看,始终把提供IT 服务的企业和部门作为认证主体。
ISO20000 标准的制定者是来自各个行业的IT 服务专家。同样,标准本身的服务对象也是各个行业的IT 服务提供商。因此,凡是存在IT 服务职能的机构、组织,不论它是为企业内部提供IT 服务支持,还是为企业外部客户提供IT 服务,都是ISO20000 认证标准的需求者。他们包括(但不限于)以下类别:
专业IT 服务外包提供商
专业IT 系统集成商和软件开发商
企业内部IT 服务提供商
IT 运营支持部门
2.4 ISO20000 发展现状和趋势
ISO 20000自2005年正式发布后,在全球范围内获得了普遍认可。在国内,为了提升整体行业的管理水平,保持同世界整体趋势的同步,国家也通过出台一系列的政策,对IT服务外包企业取得ISO20000、ISO27001等国际认证给予了大力的支持,截止2010年年底,itSMF认证网站最后公布数据显示全球共571家企业通过ISO 20000认证。中国已超过日本成为全球通过ISO 20000认证数量最多的国家。
从2006年到2010年,中国通过ISO 20000认证的企业数量逐年递增(下图),经济危机使得许多企业意识到了IT治理的重要性。截至2010年年底,中国共有105家企业通过了ISO 20000认证。
第3 章ISO20000:2011 标准解读
1 ISO20000:2011 管理体系的整体要求
范围
2011版在“总则”部分说明了说明了标准要求的适用对象及场景,并在新标的正文中首次提出服务管理体系(SMS)概念;更加明确的定义了使用对象,标准的使用者用“服务评估审核人员”替代了“独立评估”这个比较抽象的词语。同时也对服务管理体系图进行了优化,将服务需求与服务分别作为管理体系的输入和输出,如下图:
在“应用”部分中标准明确要求一个服务提供方如果外包了服务管理体系的一部分,那么管理工作必须保留的过程治理或者管理控制,这相当于要求组织对于次级供应商的管理过程进行明确的定义和有效控制,同时也明确提出服务提供方是符合第四节的标准的唯一实体,包括策划、实施、检查、处置的整个PDCA周期。其他的要求如下:
标准提供对服务提供方应符合所有或者主要需求的证据;
通过所进行的其他部分元素的过程治理证明需求平衡性;
3.1.2 概述
标准的2005版没有这个部分的内容,新标增加了标准的参考内容,并说明了ISO/IEC 20000-2将在适当的时候发布。
3.1.3 术语和定义
本部分对新标内的术语进行了全面定义和说明。
新的术语很大一部分引用国际标准化组织的其他标准的定义,部分术语更是直接采用了ISO 9000的定义,这为SMS体系与其他体系进行融合提供了标准的语言基础。为了明确服务全生命周期的概念,增加了服务请求、服务需求、转换等ITIL V3中的概念,这说明新标已经开始使用更加广泛的服务生命周期的概念,从本质上扩充了标准的应用范围。
此外,为了避免混淆,专门对程序和过程进行了澄清,定义了利益相关方、组织等,另外对baseline进行了明确定义,基线特制配置基线。
1 服务管理体系总体要求
2 管理职责
“4.1管理职责”说明了管理层为确保服务管理体系(SMS)的有效性,在管理承诺、管理方针、权限、职责和沟通等方面的职责。
定义了服务管理体系(SMS)必须至少包括哪些服务方针的内容;
增强了满足法律法规要求和合同义务的重要性;
设计全生命周期过程时,应考虑已经存在的管理方针;
明确许可证书应被管理以满足合规性;
提供的服务必须基于适当的方法;
评价达到期望的结果必须执行的方法的有效性。
3.1.4.2 其他方运行过程的治理
“4.2其他方运行过程的治理”说明了对服务管理体系中其他方的治理,重点指出了其他方运行过程的治理,在体系中需要将其他方的治理的需求纳入到IT服务管理体系中。
3.1.4.3 文件管理
“4.3文件管理”说明了服务管理体系(SMS)对文件管理的要求。
更加明确地说明了服务管理体系(SMS)需要对文件清单进行管理;
明确了文件管理方面的进一步要求。
3.1.4.4 资源管理
“4.4资源管理”说明了服务管理体系对资源管理的要求。明确提出服务提供方应提出服务管理体系(SMS),并说明应尽量通过提供相关所需资源提升客户满意度。
3.1.4.5 建立和改进服务管理体系
标准的“4.5.1定义范围”定义了服务管理体系的范围要求。标准的“4.5.2策划服务管理体系(策划)”说明了对管理体系策划的要求。明确了策划服务的相关要素;明确了策划中的变更职能;服务管理计划必须与方针和(约定的)服务需求相一致。“4.5.3实施和运行服务管理体系(实施)”说明了对服务管理体系(SMS)实施和运行的要求。增加了服务管理体系(SMS)中的各种活动;明确服务管理体系(SMS)的管理过程;2?明确在服务管理体系(SMS)执行过程中应有绩效监控和报告管理。“4.5.4监视和评审服务管理体系(检查)”说明了对服务管理体系监视和评审的要求。在评审过程中明确了内审和管理评审的目标应该是书面的,并且内审和管理评审应能够证明服务管理体系(SMS)的确达到了管理目标;明确不符合项应被识别;明确了评审项的评审结果应有不合格、关注、识别的改进。这些评审结果都应该通过沟通再发布;
明确了服务管理体系(SMS)中应有审核过程;
明确服务管理体系(SMS)应有不合格项的处理方式、相关处理措施以
及产生的原因;
明确了管理评审的输入;
增加了管理评审的有效性和改进要求。
“4.5.5维护和改进服务管理体系(处置)”说明了对服务管理体系维护和改进的要求。
明确服务管理体系(SMS)中应有处置过程中改进的准则,不符合标准和服务管理体系(SMS)的项目必须根据优先顺序分配解决;
引用ISO 9001的8.5条款明确对纠正预防措施的相关要求;
明确应排序、策划改进机会;
增加了管理改进活动的要素;
改进的目标必须设立基于至少一项可量化的标准,比如质量度量或者值;
评价标准需要设置有关的评估活动持续改进期望的结果;
评价达到期望的结果必须执行的方法的有效性。
3.1.5 设计和转换新的或变更的服务
“5.1总要求”说明了对设计和转换新的或变更的服务的要求。“5.2策划新的或变更的服务”说明了对策划新的或变更的服务的要求。基于规划,设计和转换新的或变更的服务(和关闭服务)并分别明确要求;增加可在整个生命周期内确保新的或变更的服务要实现其目标的要求;要求在整个生命周期中管理风险;明确了策划新的或变更的服务的输入;对新的或变更的服务应有明确的书面说明;明确了策划新的或变更的服务报告的相关要素;增加对删除服务的要求。
“5.3设计和开发新的或变更的服务”说明了对设计和开发新的或变更的服务的要求。明确说明新的或变更的服务应该是基于满足客户需求的;增加了设计和开发过程的参考。
“5.4转换新的或变更的服务”说明了对转换新的或变更的服务的要求。
3.2 ISO20000 流程关注点
ISO20000 围绕着IT 服务管理质量要求,将整个体系划分为四个过程,他们分别是:服务提供过程(Service Delivery Process)、关系过程(Relationship Process)、解决过程(Resolution Process)和控制过程(Control Process)。
下面将对ISO20000 体系中流程关注点做详细说明。
注:本书在描述整个ISO20000 体系时,将Process 译为“过程”,以便同各个过程中的具体流程区分开来,例如事件管理流程、问题管理流程等。特予以解释,后文中将不再说明。
3.2.1 服务交付过程
服务提供过程主要围绕IT 服务管理的六个方面展开,它们包括:服务级别管理、服务报告、服务连续性和可用性管理、IT 服务预算和核算管理、能力管理,以及信息安全管理。服务提供过程通过对上述方面的整合管理,确保整个IT 基础架构的服务提供能力。
3.2.1.1 服务级别管理
“6.1服务级别管理”要求服务提供方与客户定义、协商、记录并管理服务级别。明确了服务目录应由双方协定,并确定服务目录中应写明服务与服务组件间的依存关系;服务水平协议的内容明确要求,例如:目标、内容、工作量、任何异常管理。
3.2.1.2 服务报告
“6.2服务报告”要求组织要依据可靠信息(应包含识别、目的、读者、频率和数据源的详情)做出决策和有效沟通,编制协商一致、及时、可靠、准确的报告。
明确了服务报告描述的内容;
明确了服务报告和服务管理体系(SMS)的对应关系;
突出对重大事件的服务报告;
需要确定服务报告频率;
明确提出哪些类型的不合格必须报告;
报告投诉以及已经或正在采取的纠正措施。
3.2.1.3 服务连续性及可用性管理
“6.3服务的连续性和可用性管理”确保向客户承诺的协商一致的服务连续性和可用性在任何情况下都能得到满足。明确提出服务提供方应与客户和相关方识别和协定服务连续性和可用性要求;增强的需求关注必须包含在可用性计划中。
3.2.1.4 IT 服务预算和核算管理
“6.4服务的预算和核算”对服务供应成本进行预算和核算。明确了服务的预算和核算与组织的财务管理必须有相应的接口;明确要求组织必须知道每一个服务的总体成本。
3.2.1.5 能力管理
“6.5能力管理”明确了确保服务提供方在所有时间内具有足够能力来满足
当前和预计的客户对服务的需求。增加了能力计划的范围覆盖人员、技术、信息和财务;明确能力计划变更应纳入变更管理过程;明确了协定要求对可用性、服务连续性和服务级别的影响;服务提供方需要提供足够的能力来履行自己的承诺;
服务提供方制订能力计划时必须考虑到人、技术、信息和金融的影响和制约;2?为了不与4服务管理体系总体要求”内容相冲突,提到的“服务能力”已被删除,而替换为简单的“能力”管理;2?对能力管理进行了加强、扩展和澄清,在2005版中能力管理是一个被弱化的程序。
3.2.1.6 信息安全管理
“6.5信息安全”提出确定信息安全方针、控制措施、变更和事件,在所有服务活动中有效地管理信息安全的要求。明确了管理者的6项责任;明确了信息安全的物理、管理与技术的措施;明确说明了事件优先级应与信息安全风险相适应;必须对信息安全的控制的有效性进行评估,并采取纠正措施;内部的信息安全审计决不能被替代;强调信息安全管理仍是ISO/IEC 27001的一个子集;将信息安全管理流程分为策略、控制、安全事件、变更管理,以更好地对应ISO20000的各个模块。
1 关系过程
2 业务关系管理
“7.1业务关系管理”要求组织明确服务的客户、用户和相关方。基于对客
户及其业务驱动的理解,建立并保持服务提供方与客户之间的良好关系。提出了客户满意度评估的最大周期为计划的时间间隔。明确要记录客户、用户和服务方;删除了利益相关者。
3.2.2.2 供应商管理
“7.2供应商管理”要求组织要管理供方,确保提供无缝的和高质量的服务。明确了哪些内容必须出现在合同文本中。
1 解决过程(Resolution Process)
2 事件管理
“8.1事件和服务请求管理”要求组织要尽快恢复协商一致的服务或响应服
务请求。明确定义了服务请求及服务请求的管理流程;明确了事件管理的环节;明确了服务优先级的因子为影响程度和紧急程度;将发布部署与事件和服务请求管理关联起来;明确了重大事件的核心控制要点:通知最高管理者、专人管理重大事件、服务恢复后的回顾及改进计划。
3.2.3.2 问题管理
“8.2问题管理”要求组织通过主动式识别、分析、解决事件和问题发生的根本原因,最小化或避免事件和问题的影响。明确定义了问题管理过程步骤,增加了升级步骤。问题管理生命周期要求增加了识别过程和优先级分配;明确问题管理的配置项变更要通过变更解决;明确了问题管理与事件和服务请求管理过程的关联。
1 控制过程(Control Process)
2 配置管理
“9.1配置管理”要求组织以受控的方式,确保所有变更得到评估、批准、实施和评审。明确了配置信息定义模型的主要信息;明确了配置项的内容具体到文件、许可证信息、软件,可能的话,应有硬件配置图;明确了配置管理流程为配置审核过程,在计划的时间间隔内该流程将为改进报告提供支撑,替代了原来配置控制程序的说法;明确了发现配置记录缺失服务提供方应采取的措施;明确提出每个CI的属性至少应有与其他CI项间的关系等;已知错误与CI的关系应被记录和链接。
3.2.4.2 变更管理
“9.2变更管理”要求组织要定义和控制服务与基础设施的部件,并保持准确的配置信息,实施要点如下:必须定义变更管理方针;变更管理过程明确了删除服务、服务交付给用户为重大变更;2服务改进根据计划的时间间隔开展;明确变更评估信息与其他过程的关系;明确变更与配置项变化之间的关系;明确批准的变更应被开发和测试;变更分类的需求已经明确,比如交付服务;CMDB的更新必须紧随发布的部署工作;参照设计和传输新的或变化的服务为主要变更。
3.2.4.3 发布和部署管理
“9.3发布和部署管理”要求组织要按照服务提供方与客户及相关方商定的发布策略,部署新的或变更的服务和服务组件到在实际环境中,交付、分发并追踪一个或多个变更,具体包括:发布策略须得到客户的同意;删除了变更过程与发布管理间互动的描述,而改在变更管理中描述;明确了发布和部署管理中策划内容;明确需要建立验收准则;明确应调查不成功的发布并根据协定措施执行;增加了非强制性的不成功发布的测试;增加了发布失败分析的评审和改进;紧急发布的标准需要客户的同意;在部署完成后,发布的验收需要进行定义及检查。
结语
本书分别从ISO/IEC 20000 的产生、沿革与流程关注点几个方面做了详细介绍,并且对ISO20000-1:2011体系实施方法论以及应着重关注的要点进行了分析和探讨。ISO/IEC 20000 标准从2005 年制定并发布以来,得到了国际社会的普遍认可和采纳。在国内,随着IT 产业本身的快速发展,IT 服务管理也逐步走向成熟。在IT 服务管理整个产业链中,无论企业处于何种位置,为客户交付高质量的服务都是必需的。我们相信,ISO/IEC20000-1:2011 的发布和推广,将更加成为企事业单位和政府部门,以及能源、交通、金融等国民经济重要行业行业提升自身IT 服务质量,建立基于标准化和流程化的高质量服务体系的捷径,同时也是企业迈向国际化科学IT 服务管理体系之列,迎接国际化挑战的重要一步。
实践证明,ISO/IEC 20000 正在为国内企业和行业领先者所青睐的服务管理标准,成为企业参与激烈竞争市场的一把利器。我们相信,在不远的将来,ISO/IEC 20000 必然在国内IT 业界迎来自己的春天!
相关知识:
版权所有©上海安言信息技术有限公司 2014-2015