ISO20000是第一部针对信息技术服务管理(ITService Management)领域的国ji标准,是面向组织机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSMS)的模型。它于2005年12月15日发布第一版本。作为认证组织的IT运营和服务管理水平的国ji标准,ISO20000具体规定了IT服务管理行业向企业及其客户有效地提供服务的、一体化的管理过程以及过程建立的相关要求,帮助识别和管理IT服务的关键过程,保证提供有效的IT服务以满足客户和业务的需求。它着重于通过“IT服务标准化”来管理IT问题,即将IT问题归类,识别问题的内在联系,然后依据服务级别协议进行计划、管理和监控,并强调与客户的沟通。
自ISO/IEC 20000-1:2011上次审查和修订该标准至今已有8年。蕞新版标准已于2018年9月15日发布,转换期为标准发布后的3年。
转换期截止后,依据ISO/IEC20000-1:2011版标准的认证证书将作废或撤销,这也就意味着已获证企业需要在2021年9月15日之前完成转版审核。
一 为什么需要通过ISO20000认证?
在当今全球信息化快速发展下,IT业界也由当初的以技术为主导的粗放型规模扩张阶段,转向如今的依靠科学管理实现效率提升和风险、成本控制的精细化管理阶段。
伴随着企业IT 规模的扩大和IT 成熟度的提高,各类企业的成本管理、效率管理意识普遍增强。这时,向IT 管理要效益,要求更高的IT服务水平,更强的运营管理能力迫在眉睫。
对IT 内部运营组织来说,IT部门在企业的生产、管理环节发挥着重要作用。例如在银行、电信、政府、物流仓储,以及其他生产型企业当中,IT运营管理成为核心业务运作依托的根本手段,也成为企业成本控制和效率提升的关键部分。
在这种情形下,提升组织内部的IT 服务水平和建立基于流程的高效率运作机制,可以为企业业务部门提供性价比更高的IT服务支持,从而确保业务的高效运转,缩减运营成本、提高业务盈利能力。
ISO20000可以帮助企业实现:
1. 建立IT保障部门一整套行之有效的持续改善机制和内控机制;2.就服务品质和服务承诺与客户及供应商达成一致,建立和客户及供应商统一的沟通平台,达到相关利益方均满意的IT服务管理目标;3. 提高IT服务的可用性,可靠性和安全性,为业务用户提供高品质的服务;4. 持续优化服务流程,提升服务水准,提高业务满意度;5. 从总体上提高企业IT投资报酬率,提升企业的综合市场服务能力。
二 ISO/IEC 20000-1:2018版本的关键变化
与管理系统的整合O ISO/IEC20000-1:2018标准的内容采用高阶结构(HLS),并引入了一些新要求,与ISO/IEC 22301:2012,ISO/IEC27001:2013,ISO 9001:2015和ISO14001:2015等其他流行管理系统标准采用的结构相同。
O 现在,IT服务管理模型中的“13个过程”在ISO/IEC20000-1的第8章中进行了扩展(并进行了修改)。同时,标准中引入了新的共同公共核心要求,例如“组织环境”和“风险与机遇”。
术语和定义的变化O 为了符合附件SL核心文本和通用定义,一些术语发生了变化:O “服务提供商”被“组织”取代;O “内部组织”被“内部供应商”取代,而“供应商”被“外部供应商”取代;O “信息安全”已与ISO/IEC27000保持一致。随后,“可用性”一词已被“服务可用性”取代,以区别于现在在“信息安全”的修订定义中使用的术语“可用性”。
尽量减少了所需的文档信息O 减少了所需文件化程序的数量。O 已记录的可用性和容量能力计划不再是强制性的,而是替换为规划服务可用性和容量能力的要求;配置管理数据库(CMDB)被配置信息的要求所取代。O 发布政策策略被定义发布类型和频率的要求所取代。O 持续改进政策策略被替换为确定改进机会的评估标准的要求。
调整了条款的顺序O 尽量减少了所需的文档信息之前组合在一起的一些条款现在是分开的,例如事件和服务请求,服务可用性和服务连续性等。
更全面的IT服务视角介绍了整个服务生命周期中服务组合管理的概念。服务组合是所有服务记录的总和。列出每项服务及其当前状态和历史记录。服务组合可能包括服务通道、服务目录和停用服务。其中,只有服务目录是提供给客户的。
增加新要求
O 知识管理(Knowledge Management)
O 资产管理(Asset Management)
O 需求管理(Demand Management)
三 取得ISO 20000认证步骤 1.准备
1) 明确认证的意义;2) 确定IT服务管理认证范围;3) 确立愿景,决定服务管理改进的方面与改进的顺序;4) 明确认证活动的参与方面,确定各方所期望的收益;5) 全面地理解认证的内容,明确认证活动对个人和对组织的影响;6) 获取信息:与相似规模、职能的组织交流经验,向咨询顾问、培训提供机构、相关论坛和用户组织咨询。7) 获得高层管理者的支持;8) 获得ITIL、ISO 20000的知识和文档;9) 选定一家认证机构,确认审核的范围。
2.初步评估 与计划制定
1) 进行初步的评估、掌握现状并 进行差距分析;评估明确需改进的方面;管理在认证过程中的风险。2) 制定整体的计划,获得相关方面的支持与承诺。
3.缩小差距
1) 建立、管理服务改进计划 (PDCA环) ;2) 根据ISO 20000:《服务管理规范》进行详细的评估;3) 借鉴ISO 20000、ITIL,制定具体的服务管理的政策、流程、步骤;4)实施服务管理流程;5)改进服务管理的政策、流程、步骤;6) 定期检查和回顾。
4.认证审核 准备
1)联系认证机构进行内审,为正式的审核预定时间I。2) 与认证机构充分交流以建立对审核范围、审核内容的共同理解;3) 准备审核所需要的“证据”:文档,记录,等等。
5.认证审核
典型的认证审核包括:1) 协定参考标准和审核范围的条款;2) 离场的对文档和流程的评估;3) 现场的对员工和流程的审核;4) 审核结果的陈述。如果达到ISO 200000 体系要求,将进行ISO 20000认证陈述,颁发证书。
6.维护认证的有效期为三年;所以,每三年,需要进行一次全面的认证审核。每年都须由认证机构进行“监督审核”,以确保认证质量,确保服务管理的持续改进。组织需要根据ISO20000的要求,进行内部审核。
四 外部审核机构审核过程外审通常分为两次,分别被称为书面审核和现场审核,在实际工作中两次审核不像字面理解的第一次只做书面文档检查第二次做实际的考察,通常是两次审核内容上由浅入深。
外审通常前期会沟通证书的相关信息比如客户名称、地点、范围、标准,在实际的审核中会审核其是否在建立的体系框架范围内运营;是否满足了ISO20000标准、蕞佳实践及相关法律法规的要求;是否提升了客户的核心竞争力和运营效率。其公司各部门职责和授权的划分、文档体系和资料、公司员工对ISO20000知识的了解程度,是否严格按照ISO20000标准高效正确的进行操作等都属于审核范畴。
审核员一般会采取抽样、同相关人员面谈、查看文档和记录等方式进行审核,如果有问题被发现,会记录并在末次会议上提出审核发现。引导人即公司项目负责人在外审期间的工作就是向审核员解释公司相关内部术语、见证审核发现、协助审核快速有效的推进。
不符合事项分为严重不符合与轻微不符合观察项三种
重大不符合项— 未执行或不符合一个或多个ISO20000适用的控制要求— 造成系统性或区域性严重失效的不符合— 可能造成严重后果的不符合事项
轻微不符合项— 孤立的人为错误— 文件偶尔未被遵守,造成后果不太严重— 对系统不会造成重要影响 观察项或建议项— 证据稍不足,估计存在问题,需提醒注意— 已经发现问题,尚不构成不符合,但发展下去有可能成为不符合
其他需要提醒被审核方注意的事项
现场审核结束后,如果审核员没有发现严重不符合项,只有少量轻微不符合项的话,那么恭喜你,应该会通过ISO20000认证了。尽快分析少量轻微不符合项发生的根本原因,并制定相应的改进计划,在末次会议结束后六周之内回复审核员,并提供相关电子证据。审核通过后,即颁发认证证书。