1. iso20000:2011 管理体系的整体要求
范围
2011版在“总则”部分说明了说明了标准要求的适用对象及场景,并在新标的正文中首次提出服务管理体系(sms)概念;更加明确的定义了使用对象,标准的使用者用“服务评估审核人员”替代了“独立评估”这个比较抽象的词语。同时也对服务管理体系图进行了优化,将服务需求与服务分别作为管理体系的输入和输出,如下图:
在“应用”部分中标准明确要求一个服务提供方如果外包了服务管理体系的一部分,那么管理工作必须保留的过程治理或者管理控制,这相当于要求组织对于次级供应商的管理过程进行明确的定义和有效控制,同时也明确提出服务提供方是符合第四节的标准的唯一实体,包括策划、实施、检查、处置的整个pdca周期。其他的要求如下:
标准提供对服务提供方应符合所有或者主要需求的证据;
通过所进行的其他部分元素的过程治理证明需求平衡性;
强调对条款4-9 的任何裁剪都是不可接受的。
概述
标准的2005版没有这个部分的内容,新标增加了标准的参考内容,并说明了iso/iec 20000-2将在适当的时候发布。
术语和定义
本部分对新标内的术语进行了全面定义和说明。
新的术语很大一部分引用国际标准化组织的其他标准的定义,部分术语更是直接采用了iso 9000的定义,这为sms体系与其他体系进行融合提供了标准的语言基础。为了明确服务全生命周期的概念,增加了服务请求、服务需求、转换等itil v3中的概念,这说明新标已经开始使用更加广泛的服务生命周期的概念,从本质上扩充了标准的应用范围。
此外,为了避免混淆,专门对程序和过程进行了澄清,定义了利益相关方、组织等,另外对baseline进行了明确定义,基线特制配置基线。
管理职责
“管理职责”说明了管理层为确保服务管理体系(sms)的有效性,在管理承诺、管理方针、权限、职责和沟通等方面的职责。
定义了服务管理体系(sms)必须至少包括哪些服务方针的内容;
增强了满足法律法规要求和合同义务的重要性;
设计全生命周期过程时,应考虑已经存在的管理方针;
明确许可证书应被管理以满足合规性;
提供的服务必须基于适当的方法;
评价达到期望的结果必须执行的方法的有效性。
其他方运行过程的治理
“其他方运行过程的治理”说明了对服务管理体系中其他方的治理,重点指出了其他方运行过程的治理,在体系中需要将其他方的治理的需求纳入到it服务管理体系中。
文件管理
“文件管理”说明了服务管理体系(sms)对文件管理的要求。
更加明确地说明了服务管理体系(sms)需要对文件清单进行管理;
明确了文件管理方面的进一步要求。
资源管理
“资源管理”说明了服务管理体系对资源管理的要求。明确提出服务提供方应提出服务管理体系(sms),并说明应尽量通过提供相关所需资源提升客户满意度。
建立和改进服务管理体系
标准的“定义范围”定义了服务管理体系的范围要求。标准的“策划服务管理体系(策划)”说明了对管理体系策划的要求。明确了策划服务的相关要素;明确了策划中的变更职能;服务管理计划必须与方针和(约定的)服务需求相一致。“实施和运行服务管理体系(实施)”说明了对服务管理体系(sms)实施和运行的要求。增加了服务管理体系(sms)中的各种活动;明确服务管理体系(sms)的管理过程;明确在服务管理体系(sms)执行过程中应有绩效监控和报告管理。“监视和评审服务管理体系(检查)”说明了对服务管理体系监视和评审的要求。在评审过程中明确了内审和管理评审的目标应该是书面的,并且内审和管理评审应能够证明服务管理体系(sms)的确达到了管理目标;明确不符合项应被识别;明确了评审项的评审结果应有不合格、关注、识别的改进。这些评审结果都应该通过沟通再发布;
明确了服务管理体系(sms)中应有审核过程;
明确服务管理体系(sms)应有不合格项的处理方式、相关处理措施以 及产生的原因;
明确了管理评审的输入;
增加了管理评审的有效性和改进要求。
“维护和改进服务管理体系(处置)”说明了对服务管理体系维护和改进的要求。
明确服务管理体系(sms)中应有处置过程中改进的准则,不符合标准和服务管理体系(sms)的项目必须根据优先顺序分配解决;
引用iso 9001的8.5条款明确对纠正预防措施的相关要求;
明确应排序、策划改进机会;
增加了管理改进活动的要素;
改进的目标必须设立基于至少一项可量化的标准,比如质量度量或者值;
评价标准需要设置有关的评估活动持续改进期望的结果;
评价达到期望的结果必须执行的方法的有效性。
设计和转换新的或变更的服务
“总要求”说明了对设计和转换新的或变更的服务的要求。“策划新的或变更的服务”说明了对策划新的或变更的服务的要求。基于规划,设计和转换新的或变更的服务(和关闭服务)并分别明确要求;增加可在整个生命周期内确保新的或变更的服务要实现其目标的要求;要求在整个生命周期中管理风险;明确了策划新的或变更的服务的输入;对新的或变更的服务应有明确的书面说明;明确了策划新的或变更的服务报告的相关要素;增加对删除服务的要求。
“设计和开发新的或变更的服务”说明了对设计和开发新的或变更的服务的要求。明确说明新的或变更的服务应该是基于满足客户需求的;增加了设计和开发过程的参考。
“转换新的或变更的服务”说明了对转换新的或变更的服务的要求。
2. iso20000 流程关注点
iso20000 围绕着it 服务管理质量要求,将整个体系划分为四个过程,他们分别是:服务提供过程(service delivery process)、关系过程(relationship process)、解决过程(resolution process)和控制过程(control process)。
下面将对iso20000 体系中流程关注点做详细说明。
注:本书在描述整个iso20000 体系时,将process 译为“过程”,以便同各个过程中的具体流程区分开来,例如事件管理流程、问题管理流程等。特予以解释,后文中将不再说明。
服务交付过程
服务提供过程主要围绕it 服务管理的六个方面展开,它们包括:服务级别管理、服务报告、服务连续性和可用性管理、it 服务预算和核算管理、能力管理,以及信息安全管理。服务提供过程通过对上述方面的整合管理,确保整个it 基础架构的服务提供能力。
服务级别管理
“服务级别管理”要求服务提供方与客户定义、协商、记录并管理服务级别。明确了服务目录应由双方协定,并确定服务目录中应写明服务与服务组件间的依存关系;服务水平协议的内容明确要求,例如:目标、内容、工作量、任何异常管理。
服务报告
“服务报告”要求组织要依据可靠信息(应包含识别、目的、读者、频率和数据源的详情)做出决策和有效沟通,编制协商一致、及时、可靠、准确的报告。
明确了服务报告描述的内容;
明确了服务报告和服务管理体系(sms)的对应关系;
突出对重大事件的服务报告;
需要确定服务报告频率;
明确提出哪些类型的不合格必须报告;
报告投诉以及已经或正在采取的纠正措施。
服务连续性及可用性管理
“服务的连续性和可用性管理”确保向客户承诺的协商一致的服务连续性和可用性在任何情况下都能得到满足。明确提出服务提供方应与客户和相关方识别和协定服务连续性和可用性要求;增强的需求关注必须包含在可用性计划中。
it 服务预算和核算管理
“服务的预算和核算”对服务供应成本进行预算和核算。明确了服务的预算和核算与组织的财务管理必须有相应的接口;明确要求组织必须知道每一个服务的总体成本。
能力管理
“能力管理”明确了确保服务提供方在所有时间内具有足够能力来满足当前和预计的客户对服务的需求。增加了能力计划的范围覆盖人员、技术、信息和财务;明确能力计划变更应纳入变更管理过程;明确了协定要求对可用性、服务连续性和服务级别的影响;服务提供方需要提供足够的能力来履行自己的承诺;
服务提供方制订能力计划时必须考虑到人、技术、信息和金融的影响和制约;为了不与4服务管理体系总体要求”内容相冲突,提到的“服务能力”已被删除,而替换为简单的“能力”管理;对能力管理进行了加强、扩展和澄清,在2005版中能力管理是一个被弱化的程序。
信息安全管理
“信息安全”提出确定信息安全方针、控制措施、变更和事件,在所有服务活动中有效地管理信息安全的要求。明确了管理者的6项责任;明确了信息安全的物理、管理与技术的措施;明确说明了事件优先级应与信息安全风险相适应;必须对信息安全的控制的有效性进行评估,并采取纠正措施;内部的信息安全审计决不能被替代;强调信息安全管理仍是iso/iec 27001的一个子集;将信息安全管理流程分为策略、控制、安全事件、变更管理,以更好地对应iso20000的各个模块。
关系过程
业务关系管理
“业务关系管理”要求组织明确服务的客户、用户和相关方。基于对客户及其业务驱动的理解,建立并保持服务提供方与客户之间的良好关系。提出了客户满意度评估的最大周期为计划的时间间隔。明确要记录客户、用户和服务方;删除了利益相关者。
供应商管理
“供应商管理”要求组织要管理供方,确保提供无缝的和高质量的服务。明确了哪些内容必须出现在合同文本中。
解决过程(resolution process)
事件管理
“事件和服务请求管理”要求组织要尽快恢复协商一致的服务或响应服务请求。明确定义了服务请求及服务请求的管理流程;明确了事件管理的环节;明确了服务优先级的因子为影响程度和紧急程度;将发布部署与事件和服务请求管理关联起来;明确了重大事件的核心控制要点:通知最高管理者、专人管理重大事件、服务恢复后的回顾及改进计划。
问题管理
“8.2问题管理”要求组织通过主动式识别、分析、解决事件和问题发生的根本原因,最小化或避免事件和问题的影响。明确定义了问题管理过程步骤,增加了升级步骤。问题管理生命周期要求增加了识别过程和优先级分配;明确问题管理的配置项变更要通过变更解决;明确了问题管理与事件和服务请求管理过程的关联。
控制过程(control process)
配置管理
“配置管理”要求组织以受控的方式,确保所有变更得到评估、批准、实施和评审。明确了配置信息定义模型的主要信息;明确了配置项的内容具体到文件、许可证信息、软件,可能的话,应有硬件配置图;明确了配置管理流程为配置审核过程,在计划的时间间隔内该流程将为改进报告提供支撑,替代了原来配置控制程序的说法;明确了发现配置记录缺失服务提供方应采取的措施;明确提出每个ci的属性至少应有与其他ci项间的关系等;已知错误与ci的关系应被记录和链接。
变更管理
“变更管理”要求组织要定义和控制服务与基础设施的部件,并保持准确的配置信息,实施要点如下:必须定义变更管理方针;变更管理过程明确了删除服务、服务交付给用户为重大变更;服务改进根据计划的时间间隔开展;明确变更评估信息与其他过程的关系;明确变更与配置项变化之间的关系;明确批准的变更应被开发和测试;变更分类的需求已经明确,比如交付服务;cmdb的更新必须紧随发布的部署工作;参照设计和传输新的或变化的服务为主要变更。
发布和部署管理
“发布和部署管理”要求组织要按照服务提供方与客户及相关方商定的发布策略,部署新的或变更的服务和服务组件到在实际环境中,交付、分发并追踪一个或多个变更,具体包括:发布策略须得到客户的同意;删除了变更过程与发布管理间互动的描述,而改在变更管理中描述;明确了发布和部署管理中策划内容;明确需要建立验收准则;明确应调查不成功的发布并根据协定措施执行;增加了非强制性的不成功发布的测试;增加了发布失败分析的评审和改进;紧急发布的标准需要客户的同意;在部署完成后,发布的验收需要进行定义及检查。
3. 结语
本书分别从iso/iec 20000 的产生、沿革与流程关注点几个方面做了详细介绍,并且对iso20000-1:2011体系实施方法论以及应着重关注的要点进行了分析和探讨。iso/iec 20000 标准从2005 年制定并发布以来,得到了国际社会的普遍认可和采纳。在国内,随着it 产业本身的快速发展,it 服务管理也逐步走向成熟。在it 服务管理整个产业链中,无论企业处于何种位置,为客户交付高质量的服务都是必需的。我们相信,iso/iec20000-1:2011 的发布和推广,将更加成为企事业单位和政府�...