ISO20000 信息技术服务管理体系

核心内容

• 服务管理体系要求
  • 服务交付过程：包括服务级别管理，即定义、协商、签订和监控服务级别协议（SLA）。例如，一家互联网公司与客户签订 SLA，承诺网站的响应时间在一定范围内，这就需要通过有效的服务级别管理来确保实现。还有可用性管理，关注 IT 服务的可用性，通过合理的架构设计、备份策略等来保障服务的持续可用。如数据中心通过冗余设备和备份电源等措施保证服务器的高可用性。
  • 服务支持过程：事件管理是其中重要的环节，它主要负责快速恢复 IT 服务。当出现系统故障等事件时，通过有效的事件管理流程，如事件分类、优先级确定、快速响应和解决，尽量减少对业务的影响。问题管理则侧重于找出事件产生的根本原因并加以解决，防止事件的再次发生。例如，通过对多次服务器崩溃事件的分析，发现是软件漏洞导致的，进而修复软件来解决问题。
  • 关系过程：重点是管理好组织与客户、供应商等相关方的关系。对于客户，要确保他们的需求得到满足，及时沟通 IT 服务的情况。在与供应商合作方面，如采购 IT 设备和软件，要进行供应商管理，包括评估供应商的能力、签订合适的合同等。
  • 解决过程：包括变更管理和发布管理。变更管理主要是对 IT 服务和基础设施的任何变更进行有效的控制，确保变更的实施不会对现有服务造成负面影响。例如，对企业的信息系统进行升级，需要经过严格的变更管理流程，包括变更申请、评估、审批、测试和实施等环节。发布管理则侧重于软件和硬件的发布，确保发布的质量和成功部署。
• 管理职责和资源管理
  • 组织的管理层需要承担起管理 IT 服务管理体系的责任，包括制定方针、目标，进行资源分配等。在资源管理方面，要考虑人力资源，确保有足够的、具备相应技能的 IT 人员。例如，为了提供高质量的网络安全服务，需要招聘和培养网络安全专家。同时，还要管理基础设施资源，如服务器、网络设备等，确保其性能满足服务需求。
• 持续改进
  • ISO 20000 强调持续改进 IT 服务管理体系。通过定期的内部审核和管理评审，收集服务质量、客户满意度等方面的数据，分析存在的问题和改进的机会。例如，通过客户反馈发现服务响应速度有待提高，就可以通过优化服务流程、增加技术资源等方式来进行改进。

认证过程与意义

• 认证过程
  • 申请阶段：组织向认证机构提出 ISO 20000 认证申请，认证机构会对组织的基本情况进行初步评估，如是否有基本的 IT 服务管理体系架构，是否符合申请条件等。
  • 审核准备阶段：认证机构和组织共同确定审核计划，包括审核范围（如涉及哪些 IT 服务和部门）、审核时间和审核组成员。组织需要准备相关的文件，如服务管理政策、流程文档、服务记录等。
  • 第一阶段审核：主要是文件审核，检查组织的 IT 服务管理体系文件是否符合 ISO 20000 标准要求，同时了解组织的 IT 服务范围、客户群体等基本情况。
  • 第二阶段审核：这是现场审核阶段，审核人员深入组织的各个部门和工作现场，检查 IT 服务管理体系的实际运行情况。他们会检查服务台的工作情况、查看事件和问题的处理记录、与 IT 人员和客户沟通等，以确定组织是否有效实施了 IT 服务管理体系。
  • 审核结论和认证决定：审核组根据审核情况做出审核结论，认证机构根据审核结论决定是否给予组织 ISO 20000 认证证书。如果发现不符合项，组织需要在规定的时间内采取纠正措施并经过验证后，才能获得认证证书。
  • 监督审核和复评：获得认证证书后，认证机构会定期对组织进行监督审核（通常每年一次），检查 IT 服务管理体系的持续有效性。证书有效期一般为三年，期满后需要进行复评。
• 认证意义
  • 对企业内部的意义：有助于企业规范 IT 服务管理流程，提高 IT 服务质量和效率，减少服务中断和故障。例如，通过优化事件管理流程，可以更快地恢复服务，降低对业务的影响。同时，能够更好地整合 IT 资源，提高资源利用率。
  • 对企业外部的意义：增强客户对企业 IT 服务能力的信心，有利于企业在市场竞争中脱颖而出。特别是在涉及 IT 服务外包的情况下，拥有 ISO 20000 认证的企业更容易获得客户的信任和合作机会。