企业建立IT服务管理体系的目标是为了企业建立起一套行之有效的,以客户为中心的自我完善的体系。在实施ISO/EC20000的管理体系后,在各个流程中,各个工作岗位上都建立了一个自我完善的循环,工作的策划、执行、检查,以及持续的发现问题改善问题的体系建立起来,使每个员工都拥有问题意识,自觉的发现自己工作当中的问题,并通过系统的解决问题的方法,将问题一个一个的解决。IT服务提供商通过实施IT服务管理体系,可以获取如下收益:
1.保持服务目标与企业业务目标一致,有效的支持业务战略
2.建立规范的服务流程,提高信息技术服务和运营效率
3.有效及高效地整合和利用信息、基础架构、应用及人员等IT资源
4.建立持续改进的服务管理机制,快速应对市场需求,提高客户满意度
5.向国际标杆靠齐,增强市场竞争力,提高组织声誉,提升投资回报
7.灵活应对来自客户、认证机构、内部机构等不同的合规审核要求,增加投资者信心
四、业务流程
申请认证的组织应建立符合ISO/IEC20000-1:2018标准要求的文件化服务管理体系,在申请认证之前应完成内部审核和管理评审,并保证体系有效、充分运行三个月以上。组织应向赛宝认证中心提供信息技术服务管理体系运行的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况,赛宝认证中心将以抽样的方式对多现场进行审核。
认证分两个阶段进行:第一阶段审核,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段审核,主要对体系的符合性和有效性进行评价,作出现场审核的推荐结论。
证书有效期3年,获得认证后每年进行一次监督。
当组织的服务管理体系出现变化,或出现影响服务管理体系符合性的重大变动时,应及时通知赛宝认证中心;赛宝认证中心将视情况进行监督审核、换证审核或复审以保持证书的有效性。
五、赛宝能力及优势
综合实力:
在IT领域赛宝能提供全方位、多层次、宽领域技术服务(信息系统建设和服务能力评估、IT治理、IT审计、CMMIFORSERVICE、信息安全风险评估、软件评测等),在同行中具有明显综合优势;
赛宝作为工业和信息化产业部直属的支撑研究机构,长期跟踪和研究国际最新标准和技术动态,并将其转化为适合国内企业和组织的最佳实践;
赛宝为国家信息技术服务标准工作组成员,并担任IT治理标准组的负责人,积极参与制定适合我国IT服务的体系标准;
专注电子信息行业的服务,已为几千家电子信息企业提供了各类管理体系的培训、指导和认证服务;
赛宝为国家一级涉密单位,在为政府、企业等提供服务的时候有信息安全保障;
赛宝已经在海口、上海、宁波、苏州、重庆、成都、武汉、福州、深圳、东莞、北京、青岛、佛山、西安等地分别设立了办事处,在长沙、郑州、南京、无锡、常州等地设立有办事点。可为客户提供零距离服务。
人员优势:
人员具有ISO20000、ISO27001和CMMI等多体系的实施经验,确保项目过程的管控和成果实施。
技术实力:
是IT服务标准委员会成员之一,参与制定国家IT服务标准;
有上百家ISO20000培训和认证经验,为多家企业IT管理带来了明显的增值;
成功案例:
赛宝内部按照IT服务管理规范的要求,建立了有效的技术服务流程和考核体系,确保每个IT服务项目的成功实施。赛宝目前已实施的主要案例客户有:东方航空、东软集团、浪潮集团、中国联通、中国移动、中国电信、阿里云、华为、上海烟草集团、五矿证券、农信银结算中心、海南银行、广电运通、神州数码、航天信息、浙江大华、青岛海信、方正国际、平安国际、南方电网、数字广西、广州供电局、云南南天、四川长虹、江苏国光等上百家IT、电力、电信、金融、高端制造等企业。
ITILisaregisteredtrademarkofAXELOSLimited
(一)背景介绍
IT组织从产生到发展的很长一段时期,一直是以搞好技术,做好技术支持配角为特征的。但今天的信息系统已不单纯是企业的技术支撑,信息化由“技术驱动”向“业务驱动”转变,IT部门的角色也逐步开始从单纯的信息技术提供者向信息服务供应者转换,职能的转变,客观上也要求信息管理向IT服务管理模式转变。
随着IT技术的发展,越来越多的组织基于IT技术构筑自己的价值链,需要IT的支持来支撑组织的运行,IT构架已经成为影响组织生存的关键要素,特别是对于银行、证券、保险、电信等高度依赖信息技术的组织。而且随着逐年IT的投入,建设了大量的软硬件系统,对客户要求的提高,对故障发生的恐惧,对投入成本逐年增加的不安,都促使现在的组织要采取措施规范IT服务的管理。
在传统的IT管理模式下,IT部门是作为技术支持的角色被动地存在的,而在新的IT服务管理模式下,IT部门是作为一个主动的服务提供者向其客户和用户(企业的业务部门)提供赖以支撑组织业务运作的IT服务,IT部门和IT外包商往往需要向客户提供服务目录(SC)并和客户签订正式的服务级别协议(SLA)。
目前,全球的IT服务业正逐渐走向专业化和外包化。随着企业和政府组织的业务运作越来越依赖于IT,越来越多的组织考虑将其IT服务运营外包给专业的IT服务提供商或对内部的IT支持部门提出更明确的服务要求,以确保提高服务质量,降低服务成本,降低因IT服务中断所导致的业务风险。
如何控制这个IT服务的整体风险(无论是内部还是外部),提高IT的整体服务水平是一个需要高度重视的问题,而ISO/IEC20000就是解决该问题的一个很好的指南。
(二)ISO/IEC20000发展历史及体系简介
2001年由英国政府计算机和电信中心(CCTA)整合而来的英国商务办公室(OGC),从20世纪80年代开始就致力于研究和解决“IT服务质量不佳”的问题。1989年,CCTA发布了一套10卷本的IT服务管理指南,这10本书系统地介绍了根据“最佳实践”归纳和总结的10大IT服务管理核心流程,这就是ITIL(ITInfrastructureLibrary)1.0版本。
2001年,OGC对ITIL1.0进行了修订和扩充,将原来的10本指南合编为《服务提供》和《服务支持》两本书。此外,增加了应用管理、ICT基础架构管理、业务管理、IT服务管理实施规划和安全管理5个模块。这6个模块构成了ITIL2.0版本,2007年5月30日,ITILV3正式出版,给整个IT行业带来显著影响。
20世纪90年代后期,ITIL的思想和方法,被美国、澳大利亚、南非等国家广泛引用,并逐渐成为世界范围内事实上的IT服务管理标准。2001年英国标准协会(BritishStandardInstitute)在国际IT服务管理论坛(itSMF)年上,正式发布了以ITIL为基础的英国国家标准BS15000。
2005年5月17日ISO/IEC20000正式发布。该标准的颁布,意味着IT服务管理(ITSM)在国际范围内的标准化进程又向前迈进了一大步。2011年4月12日,ISO发布了IT服务管理最新国际标准ISO/IEC20000-1:2011,该标准于4月15日正式实施。
ISO/IEC的主席FranoisCoallier认为“通过ISO/IEC20000标准,将使组织获取大量的业务和财务受益”,“有助于在既定资源约束下为客户提供优质的服务以满足他们的业务需求,如专业、成本效益和风险受控的服务”。
ISO/IEC20000:2011“信息技术-服务管理”包括两部分内容,这些内容将为服务提供者了解如何提高交付给其客户的服务质量提供帮助。
第一部分:服务管理体系—要求(Requirements)
ISO/IEC20000-1:2011定义了服务提供者交付管理服务的需求。它可应用于以下情况:
1.从服务提供方寻求服务并要求确保其服务要求被满足的组织;
2.要求所有的服务提供方,包括供应链,采用一致的方法的组织
3.需证明其设计、转移、交付和改进服务的能力满足服务要求的服务提供方
4.监视、测量和评审其服务管理过程和服务的服务提供方
5.通过有效实施和运行SMS改进服务的设计、转移和交付的服务提供方
6.作为评估服务提供方的SMS符合ISO/IEC20000本部分标准的评审员或审核员
相反,有效的服务管理能够交付高水平的客户服务和客户满意度。服务和服务管理对于组织创造价值并且符合成本效益是至关重要的。ISO/IEC20000标准能够使服务提供者了解如何提高他们交付给内部或外部客户的服务质量。
ISO/IEC20000标准描绘了IT服务管理标准与最佳实践之间的区别,这些流程与组织的构成或大小以及组织的名称和结构无关。ISO/IEC20000标准适用于大型或小型的服务提供者。服务管理流程将以有限的资源水平为客户交付最能满足其需求的服务。如:专业的、符合成本效益的、风险受控的服务。
目的
体系要求
管理体系
提供管理体系,包括有效管理和实施所有IT服务所需的方针和框架
管理职责文件化要求能力、意识及培训要求
服务管理的策划与实施
运用PDCA方法于所有的服务流程,包括
服务管理的策划服务管理的实施和运营服务监视、度量和评审服务持续改进
服务的建立和变更
确保在成本和质量的约束条件下,管理并交付新服务或服务的变更
服务交付流程
确保提供的服务满足文件的要求,包括服务级别管理、服务报告、服务连续性及可用性管理、IT服务的预算及财务管理、能力管理和信息安全管理。
服务级别管理服务报告服务连续性及可用性管理IT服务的预算及核算管理能力管理信息安全管理
关系流程
基于对客户及其业务驱动的了解,形成并保持服务提供商与客户之间的良好关系,并确保服务提供商提供高质量的连续的服务
业务关系管理供应商管理
解决流程
确保IT服务过程中的事故和问题得到合理的处理和解决,以满足服务交付的需要。包括
事件和服务请求管理问题管理
控制流程
规范并控制服务和基础设施组件,并保持正确的配置信息,确保以一种受控的方式对变更进行评估、批准、实施和评审,,并交付、分发并追踪发布到实际运行环境中的一个或多个变更
配置管理变更管理发布和部署管理
第二部分:服务管理体系应用指南
ISO/IEC20000-2:2011为审核人员提供行业一致认同的指南,并且为服务提供者规划服务改善或通过ISO/IEC20000-1:2011审核提供指导。应用指南描述了服务管理流程的最佳实践。这些服务管理流程为组织在一定环境中开展业务提供了最佳实践指南,包括提供专业服务、降低成本、调查和控制风险。
ISO/IEC20000-2推荐服务管理者采用一致的术语和统一的方法进行服务管理,这可以为改进服务交付基础,并有助于服务提供者建立一个服务管理框架。
ISO/IEC20000-2为审核人员提供指南,并可为组织规划服务的改进提供帮助,以便组织通过ISO/IEC20000-1认证。
ISO/IEC20000与ISO9000比较
(三)认证收益
企业建立IT服务管理体系的目标是为了企业建立起一套行之有效的以客户为中心的自我完善的体系。在实施认证ISO20000管理体系后,在各个流程中,各个工作岗位上都建立了一个自我完善的循环,工作的策划、执行、检查,以及持续的发现问题改善问题的体系建立起来,使每个员工都拥有问题意识,自觉的发现自己工作当中的问题,并通过系统的解决问题的方法,将问题一个一个的解决。IT服务提供商通过实施IT服务管理体系,可以获取如下收益:
保持服务目标与企业业务目标一致,有效的支持业务战略
建立规范的服务流程,提高信息技术服务和运营效率
有效及高效地整合和利用信息、基础架构、应用及人员等IT资源
建立持续改进的服务管理机制,快速应对市场需求,提供客户满意度
向国际标杆靠齐,增强市场竞争力,提高组织声誉,提升投资回报
灵活应对来自客户、认证机构、内部机构等不同的合规审核要求,增加投资者信心
对于众多IT服务提供商,ISO/IEC20000认证的意义并不仅仅限于IT服务符合规程和提高服务质量。它在服务量化,员工绩效考核,衡量IT部门投资回报方面更具有积极的意义。
ISO/IEC20000是以流程化管理方式为基础的,IT工作被分解成了不同的流程,每个小部门、每个人的工作都是若干流程中不同工作的组合,流程对工作量化的输入输出为员工的工作量化提供了可能。员工的量化考核这个IT部门的普遍难题得到了初步解决,尤其是服务台的一线员工基本做到了完全的工作量化衡量。
流程的量化数据为员工的工作分配,工作成绩的反映提供了基础,同时对于工作人员的责任也有了相应的考核体系。
同时,IT对服务也有了量化指标,建立了量化的质量控制体系,设定了完整准确的考核指标,提供完善的报表。对客户满意度等还选用第三方进行调查,保证数据的可信性。
量化管理不仅是IT部门自身管理的需要,也是衡量IT部门价值与投资回报的基础,流程化管理方式为量化管理的实现提供了可能。借用ISO/IEC20000,CIO也同时找到了一个衡量IT服务好坏的国际公认的标准。用这么一个标准来证明公司的ITSM实施达到了怎样一个阶段,在一个标准的平台上跟CEO、CIO沟通IT服务管理的标准化、规范化。
(四)适用范围
ISO/IEC20000是一个针对管理流程系统的标准,ISO/IEC20000的认证适合IT服务的提供者,可以内部的IT部门,也可以是外部的服务提供商。获取ISO/IEC20000的认证,意味着提供服务的IT组织,对ISO/IEC20000中定义的这些管理流程,具有足够好的管理控制力。这里所谓的对流程的管理控制力包括:
·对流程输入的了解和控制
·对流程输出的了解、使用和诠释
·制定和执行对流程效能的衡量机制
·有客观的证据表明,对流程的功能负责,使之符合ISO20000标准要求
·制定流程的改进提高计划,衡量和回顾改进结果
IT服务组织要获得ISO/IEC20000的认证,必须证明它能够对标准中涉及的所有5组13个流程都具有以上的管理控制力。ISO/IEC20000系列对流程的最佳实践进行了总结,可适用于不同规模、类型和结构的组织,服务管理流程最佳实践要求并不会因为组织形式不同而被改变。