ISO20000 信息技術(shù)服務(wù)管理體系

核心內容

• 服務(wù)管理體系要求
  • 服務(wù)交付過(guò)程：包括服務(wù)級別管理，即定義、協(xié)商、簽訂和監控服務(wù)級別協(xié)議（SLA）。例如，一家互聯(lián)網(wǎng)公司與客戶(hù)簽訂 SLA，承諾網(wǎng)站的響應時(shí)間在一定范圍內，這就需要通過(guò)有效的服務(wù)級別管理來(lái)確保實(shí)現。還有可用性管理，關(guān)注 IT 服務(wù)的可用性，通過(guò)合理的架構設計、備份策略等來(lái)保障服務(wù)的持續可用。如數據中心通過(guò)冗余設備和備份電源等措施保證服務(wù)器的高可用性。
  • 服務(wù)支持過(guò)程：事件管理是其中重要的環(huán)節，它主要負責快速恢復 IT 服務(wù)。當出現系統故障等事件時(shí)，通過(guò)有效的事件管理流程，如事件分類(lèi)、優(yōu)先級確定、快速響應和解決，盡量減少對業(yè)務(wù)的影響。問(wèn)題管理則側重于找出事件產(chǎn)生的根本原因并加以解決，防止事件的再次發(fā)生。例如，通過(guò)對多次服務(wù)器崩潰事件的分析，發(fā)現是軟件漏洞導致的，進(jìn)而修復軟件來(lái)解決問(wèn)題。
  • 關(guān)系過(guò)程：重點(diǎn)是管理好組織與客戶(hù)、供應商等相關(guān)方的關(guān)系。對于客戶(hù)，要確保他們的需求得到滿(mǎn)足，及時(shí)溝通 IT 服務(wù)的情況。在與供應商合作方面，如采購 IT 設備和軟件，要進(jìn)行供應商管理，包括評估供應商的能力、簽訂合適的合同等。
  • 解決過(guò)程：包括變更管理和發(fā)布管理。變更管理主要是對 IT 服務(wù)和基礎設施的任何變更進(jìn)行有效的控制，確保變更的實(shí)施不會(huì )對現有服務(wù)造成負面影響。例如，對企業(yè)的信息系統進(jìn)行升級，需要經(jīng)過(guò)嚴格的變更管理流程，包括變更申請、評估、審批、測試和實(shí)施等環(huán)節。發(fā)布管理則側重于軟件和硬件的發(fā)布，確保發(fā)布的質(zhì)量和成功部署。
• 管理職責和資源管理
  • 組織的管理層需要承擔起管理 IT 服務(wù)管理體系的責任，包括制定方針、目標，進(jìn)行資源分配等。在資源管理方面，要考慮人力資源，確保有足夠的、具備相應技能的 IT 人員。例如，為了提供高質(zhì)量的網(wǎng)絡(luò )安全服務(wù)，需要招聘和培養網(wǎng)絡(luò )安全專(zhuān)家。同時(shí)，還要管理基礎設施資源，如服務(wù)器、網(wǎng)絡(luò )設備等，確保其性能滿(mǎn)足服務(wù)需求。
• 持續改進(jìn)
  • ISO 20000 強調持續改進(jìn) IT 服務(wù)管理體系。通過(guò)定期的內部審核和管理評審，收集服務(wù)質(zhì)量、客戶(hù)滿(mǎn)意度等方面的數據，分析存在的問(wèn)題和改進(jìn)的機會(huì )。例如，通過(guò)客戶(hù)反饋發(fā)現服務(wù)響應速度有待提高，就可以通過(guò)優(yōu)化服務(wù)流程、增加技術(shù)資源等方式來(lái)進(jìn)行改進(jìn)。

認證過(guò)程與意義

• 認證過(guò)程
  • 申請階段：組織向認證機構提出 ISO 20000 認證申請，認證機構會(huì )對組織的基本情況進(jìn)行初步評估，如是否有基本的 IT 服務(wù)管理體系架構，是否符合申請條件等。
  • 審核準備階段：認證機構和組織共同確定審核計劃，包括審核范圍（如涉及哪些 IT 服務(wù)和部門(mén)）、審核時(shí)間和審核組成員。組織需要準備相關(guān)的文件，如服務(wù)管理政策、流程文檔、服務(wù)記錄等。
  • 第一階段審核：主要是文件審核，檢查組織的 IT 服務(wù)管理體系文件是否符合 ISO 20000 標準要求，同時(shí)了解組織的 IT 服務(wù)范圍、客戶(hù)群體等基本情況。
  • 第二階段審核：這是現場(chǎng)審核階段，審核人員深入組織的各個(gè)部門(mén)和工作現場(chǎng)，檢查 IT 服務(wù)管理體系的實(shí)際運行情況。他們會(huì )檢查服務(wù)臺的工作情況、查看事件和問(wèn)題的處理記錄、與 IT 人員和客戶(hù)溝通等，以確定組織是否有效實(shí)施了 IT 服務(wù)管理體系。
  • 審核結論和認證決定：審核組根據審核情況做出審核結論，認證機構根據審核結論決定是否給予組織 ISO 20000 認證證書(shū)。如果發(fā)現不符合項，組織需要在規定的時(shí)間內采取糾正措施并經(jīng)過(guò)驗證后，才能獲得認證證書(shū)。
  • 監督審核和復評：獲得認證證書(shū)后，認證機構會(huì )定期對組織進(jìn)行監督審核（通常每年一次），檢查 IT 服務(wù)管理體系的持續有效性。證書(shū)有效期一般為三年，期滿(mǎn)后需要進(jìn)行復評。
• 認證意義
  • 對企業(yè)內部的意義：有助于企業(yè)規范 IT 服務(wù)管理流程，提高 IT 服務(wù)質(zhì)量和效率，減少服務(wù)中斷和故障。例如，通過(guò)優(yōu)化事件管理流程，可以更快地恢復服務(wù)，降低對業(yè)務(wù)的影響。同時(shí)，能夠更好地整合 IT 資源，提高資源利用率。
  • 對企業(yè)外部的意義：增強客戶(hù)對企業(yè) IT 服務(wù)能力的信心，有利于企業(yè)在市場(chǎng)競爭中脫穎而出。特別是在涉及 IT 服務(wù)外包的情況下，擁有 ISO 20000 認證的企業(yè)更容易獲得客戶(hù)的信任和合作機會(huì )。