ISO 20000 是国际标准化组织发布的第一部针对信息技术服务管理(ITSM)领域的国际标准。它的目的是为企业提供一套高质量的 IT 服务管理规范和流程,帮助组织有效地管理和提供 IT 服务。
核心内容
服务管理体系要求
服务交付过程:包括服务级别管理,即定义、协商、签订和监控服务级别协议(SLA)。例如,一家互联网公司与客户签订 SLA,承诺网站的响应时间在一定范围内,这就需要通过有效的服务级别管理来确保实现。还有可用性管理,关注 IT 服务的可用性,通过合理的架构设计、备份策略等来保障服务的持续可用。如数据中心通过冗余设备和备份电源等措施保证服务器的高可用性。
服务支持过程:事件管理是其中重要的环节,它主要负责快速恢复 IT 服务。当出现系统故障等事件时,通过有效的事件管理流程,如事件分类、优先级确定、快速响应和解决,尽量减少对业务的影响。问题管理则侧重于找出事件产生的根本原因并加以解决,防止事件的再次发生。例如,通过对多次服务器崩溃事件的分析,发现是软件漏洞导致的,进而修复软件来解决问题。
关系过程:重点是管理好组织与客户、供应商等相关方的关系。对于客户,要确保他们的需求得到满足,及时沟通 IT 服务的情况。在与供应商合作方面,如采购 IT 设备和软件,要进行供应商管理,包括评估供应商的能力、签订合适的合同等。
解决过程:包括变更管理和发布管理。变更管理主要是对 IT 服务和基础设施的任何变更进行有效的控制,确保变更的实施不会对现有服务造成负面影响。例如,对企业的信息系统进行升级,需要经过严格的变更管理流程,包括变更申请、评估、审批、测试和实施等环节。发布管理则侧重于软件和硬件的发布,确保发布的质量和成功部署。
管理职责和资源管理
组织的管理层需要承担起管理 IT 服务管理体系的责任,包括制定方针、目标,进行资源分配等。在资源管理方面,要考虑人力资源,确保有足够的、具备相应技能的 IT 人员。例如,为了提供高质量的网络安全服务,需要招聘和培养网络安全专家。同时,还要管理基础设施资源,如服务器、网络设备等,确保其性能满足服务需求。
持续改进
ISO 20000 强调持续改进 IT 服务管理体系。通过定期的内部审核和管理评审,收集服务质量、客户满意度等方面的数据,分析存在的问题和改进的机会。例如,通过客户反馈发现服务响应速度有待提高,就可以通过优化服务流程、增加技术资源等方式来进行改进。
认证过程与意义
认证过程
申请阶段:组织向认证机构提出 ISO 20000 认证申请,认证机构会对组织的基本情况进行初步评估,如是否有基本的 IT 服务管理体系架构,是否符合申请条件等。
审核准备阶段:认证机构和组织共同确定审核计划,包括审核范围(如涉及哪些 IT 服务和部门)、审核时间和审核组成员。组织需要准备相关的文件,如服务管理政策、流程文档、服务记录等。
第一阶段审核:主要是文件审核,检查组织的 IT 服务管理体系文件是否符合 ISO 20000 标准要求,同时了解组织的 IT 服务范围、客户群体等基本情况。
第二阶段审核:这是现场审核阶段,审核人员深入组织的各个部门和工作现场,检查 IT 服务管理体系的实际运行情况。他们会检查服务台的工作情况、查看事件和问题的处理记录、与 IT 人员和客户沟通等,以确定组织是否有效实施了 IT 服务管理体系。
审核结论和认证决定:审核组根据审核情况做出审核结论,认证机构根据审核结论决定是否给予组织 ISO 20000 认证证书。如果发现不符合项,组织需要在规定的时间内采取纠正措施并经过验证后,才能获得认证证书。
监督审核和复评:获得认证证书后,认证机构会定期对组织进行监督审核(通常每年一次),检查 IT 服务管理体系的持续有效性。证书有效期一般为三年,期满后需要进行复评。
认证意义
对企业内部的意义:有助于企业规范 IT 服务管理流程,提高 IT 服务质量和效率,减少服务中断和故障。例如,通过优化事件管理流程,可以更快地恢复服务,降低对业务的影响。同时,能够更好地整合 IT 资源,提高资源利用率。
对企业外部的意义:增强客户对企业 IT 服务能力的信心,有利于企业在市场竞争中脱颖而出。特别是在涉及 IT 服务外包的情况下,拥有 ISO 20000 认证的企业更容易获得客户的信任和合作机会。