ISO/IEC 20000信息技术服务管理体系

       ISO20000 是第一部针对信息技术服务管理(IT Service Management)领域的国际标准,ISO20000信息 技术服务管理体系标准代表了被广泛认可的评估IT服务管理流程的原则的基础。该标准定义了一套全面的、紧密相关的服务管理流程。 

      IT服务管理体系(IT Service Management System,ITSMS)是组织整体管理体系的一个部分,是组织在整体或特定范围内建立IT服务管理的方针和目标,以及完成这些目标所用方法的体系。ITSMS包括范围确认、建立、实施、监视、维护改进等一系列管理活动,并且表现为策略方针、组织结构、人员与责任、资源管理、流程活动、绩效度量等诸多要素的集合。 


认证简介

        ISO/IEC20000是国际标准化组织(ISO)于2005年12月15日正式发布的;其最新版本ISO/IEC20000-1:2018新版于2018年9月15日正式发布。

       专门针对信息技术服务管理(IT Service Management)领域的国际标准。ISO/IEC20000是建立和维护IT服务管理体系的标准,它要求应该通过这样的过程来建立ITSMS框架:确定体系范围,制定IT服务管理方针,明确管理职责,通过差距分析确定适合自己组织实际情况的流程框架及活动。体系一旦建立,组织应该实施、维护和持续改进ITSMS,保持体系运作的有效性。

       此外,ISO/IEC20000和其他管理体系一样非常强调IT服务管理过程中文件化的工作,ITSMS的文件体系应该包括服务管理方针、目标及其策划,新服务或变更服务策划和实施所需文件,13个管理流程所需的流程和程序文件,以及组织围绕 ITSMS开展的所有活动的证明材料。


       ISO20000发展历程总结如下:

       ISO20000是针对IT服务管理而制定的一个标准,最早始于1995年,后来几经改版,成为了目前由两部分内容构成的并且被广泛接受的IT服务管理标准。此标准规范旨在帮助组织衡量与了解自身的IT服务品质,进而依照 公认的“P-D-C-A”方法论建立适合自己的“IT服务管理”流程与方法,除可确保其所提供的服务符合客户企业的需求,也可确保在有限的预算下,提升系统及其服务的可靠性及可用性,并且符合国际规范。

       目前,ISO/IEC20000标准正式公布的为两部分:

       ISO/IEC 20000-1:2018服务管理系统需求——详细描述服务提供商计划、建立、实施、运营、监控、检查、维护和改进服务管理系统的需求,以提供给其客户一个可接受的服务品质。

       ISO/IEC 20000-2:2019服务管理实践规则——以指引和建议的方式描述第一部分中各个服务管理流程的最佳实践方法。

 

       ISO20000认证申请认证的条件:

       1) 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持

有关机构的登记注册证明。

       2) 申请方的IT服务管理体系已按ISO20000标准的要求建立,并实施运行3个月以上。

       3) 至少完成一次内部审核,并进行了管理评审。

       4) 信息技术服务管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。 


认证益处

       构建符合ISO/IEC20000标准要求的服务管理体系,不仅是IT组织对所提供IT服务优良品质的证明,也是很多IT组织向业务导向转型的一种方式。通过管理体系的导入,使得服务流程更加规范化、专业化,并在最适合的成本范围内,提供高品质的服务,以增加服务使用者的满意度,同时,提升IT组织的IT投资回报率。因此,我们从平衡计分卡的四个维度来分析导入IT服务管理体系的价值与意义:

       ■ 财务面:降低了IT运行的成本,提高了IT投资回报率。

       ■ 客户面:增强了快速响应业务需求的能力,提高了客户满意度。

       ■ 流程面:过去说不清楚的都以标准化流程及统计数字表现。

       ■ 组织面:提升企业形象的同时,建成了一支掌握服务能力专业化队伍。

       更重要的是,通过认证,还有助于服务文化及持续改进机制的形成,进而提升IT组织的核心竞争力。

 


认证流程

        信息安全管理体系认证程序大致上分为以下四个阶段:

        1、申请阶段

        申请认证的组织首先要综合考虑各认证机构的权威性、信誉和费用等方面的因素,选择合适的认证机构,并与其取得联系,提出信息技术服务管理体系认证申请。认证机构接到申请方的正式申请书之后,将对申请方的申请文件进行初步的审查,如果符合申请要求,与其签订信息技术服务管理体系认证注册合同,确定受理其申请。为快速高效填写申请材料、准备迎审材料、选择认证机构、安排认证审核,申请方可选择经验丰富的认证咨询机构,指导整个认证业务的实施。

        2、认证审核阶段

        在整个认证过程中,对申请方的信息技术服务管理体系的审核是最关键的环节。认证机构正式受理申请方的申请之后,迅速组成一个审核小组,并任命一个审核组长,审核组中至少有一名具有该审核范围专业项目种类的专业审核人员或技术专家,协助审核组进行审核工作。审核工作大致分为3步:

        1)文件审核(一阶段审核) 

        对申请方提交的准备文件进行详细的审查,这是实施现场审核基础工作。申请方需要编写好其信息技术服务管理体系文件,在审核过程中,若发现申请方的管理手册不符合要求,则由其采取有效纠正措施直至符合要求。认证机构对这些文件进行认真审核之后,如果认为合格,就准备进入现场审核阶段。

         2)现场审核(二阶段审核)

        在完成对申请方的文件审查和预审基础上,审核组长要制定一个审核计划,告知申请方并征求申请方的意见,申请方接到审核计划之后,如果对审核计划的某些条款或安排有不同意见,立即通知审核组长或认证机构,并在现场审核前解决好这些问题。解决好这些问题之后,审核组正式实施现场审核,主要目的就是通过对申请方进行现场实地考察,验证信息安全管理手册、程序文件、作业指导书、流程文件等一系列文件的实际执行情况,从而来评价该信息技术服务管理体系运行的有效性,判别申请方建立的信息技术服务管理体系和ISO 20000标准是否相符合。在实施现场审核过程中,审核小组每天都要进行内部讨论,由审核组长主持,全体审核员参加,对本次审核的结果进行全面的评定,确定现场审核中发现的哪些不符合情况需写成不符合项报告及其严重程度。

        3)跟踪审核 

        申请方按照审核计划与认证机构商定时间纠正发现的不符合项,纠正措施完成之后递交认证机构。认证机构收到材料后,组织原来的审核小组的成员对纠正措施的效果进行跟踪审核。如果审核结果表明被审核方报来的材料详细确实,则可以进入注册阶段的工作。

        3、报批并颁发证书

        根据注册材料上报清单的要求,审核组长对上报材料进行整理并填写注册推荐表,该表最后上交认证机构进行复审,如果合格,认证机构将编制并发放证书,将该申请方列入获证目录,申请方可以通过各种媒介来宣传,并可以在产品上加贴注册标识。

        4、监督检查及复审、换证

        在证书有效期限内,认证机构对获证企业进行监督检查,以保证该信息技术服务管理体系符合ISO 20000标准要求,并能够切实、有效地运行。证书有效期满后,或者企业的认证范围、模式、机构名称等发生重大变化后,该认证机构受理企业的换证申请,以保证企业不断改进和完善其信息安全管理体系。

 

        ISO/IEC20000信息技术服务管理体系认证的通用流程具体包括:

        启动认证项目——认证咨询——提交认证申请及申请材料——签订认证合同——确定审核方案并任命审核组——一阶段审核——二阶段审核——认证决定——认证注册并发放认证证书——年度监督审核——到期后再认证。


发证单位

       颁发ISO20000信息技术服务管理体系证书的认证机构必需是经过CNCA国家认证监督委员会(认监委)认可的认证机构方可在国内进行审核发证,所有通过认证且合法的证书均可在CNCA的网站上进行查询。质能公司与CQC、SGS、BV、PRI、BSI、新时代、军友诚信、新世纪、三星九千、新纪源、航协认证等多家知名认证机构保持良好合作关系,能够根据客户需求,推荐最适宜的认证机构,满足企业快速获证的需求。



获证周期

       认证周期根据公司规模、认证范围和产品与服务的复杂程度相关,一般中小型企业的认证周期为从项目实施到获证:约2-3个月。加急项目一般1个月。(从提交认证申请及申请材料至认证注册并发放认证证书)。

       质能公司可根据客户的获证需求,协调认证机构优先安排审核、复核、制证等工作,并指导不符合项的整改,以最短的周期满足企业的获证需求。

 


认证费用

      认证费用以认证机构的收费标准和报价为准。

      通过质能咨询寻求报价,可在认证机构的市场价基础上进行适当的优惠。


咨询益处

——浸入式诊断:质能派驻信息技术服务管理体系专家进入公司,与管理层、业务层和操作层的人员进行交谈和调研,对现有的管理体系基础进行诊断,指出现有管理体系、制度文件、记录文件与信息技术服务管理体系认证审核的差距,并提出改进方案。

——一对一辅导:质能根据行业、区域和客户需求,指定专人咨询专家,作为客户获取信息技术服务管理体系认证的全程辅导老师,在项目过程以及后续审核、管理过程中,可随时向专家咨询遇到的问题。

——点对点答疑:质能提供标准条款最佳解读,对客户在建标、贯标和审核实施过程中任何的问题点,均安排专家进行点对点答疑和指点,确保体系的理解和实施不走偏。

——实用型培训:质能提供贯标培训、审核培训和管理改善培训等多种形式的现场培训服务,应对不同客户在不同阶段的需求,通过培训促进公司领导重视和全员参与,通过培训促进体系要求和业务流程的融合。

——全流程负责:质能不只帮客户获取体系认证,更重要在全程关注客户体系实施过程中的体验,引导客户从“获证”需求提升到“管理”需求,从“两张皮”的困境中走向体系服务管理。

——永久性服务:质能向客户保证:一次合作,永久服务是我们不变的追求。


咨询流程

   整个体系导入分为五个阶段,各阶段的重点工作和任务说明如下:
        一、前期调研阶段:前期调研的主要工作是对公司现状进行了解和分析,确定项目实施范围和详细计划,并对现有的体系结构进行梳理,评估目前的服务管理水平和业务对IT服务的需求;
       二、体系建设阶段:体系建设包括三个方面重点,第一整体规划管理体系框架;第二是通过对服务项和服务目录的梳理,细化服务指标;另一方面,按照 ISO20000定义的各个领域分别建立管理流程和文档体系,包括要求的四级文档结构,是工作量最大的部分,本阶段需要项目小组成员的全力配合。在体系建设阶段,应参照ISO20000标准要求和管理现状需求,分优先顺序开展相关工作;
       三、推广和试运行阶段:在管理流程和体系建立完成后,通过培训和宣传方式在公司内部推广新的管理制度,并在运行过程中收集数据和事件;对试运行阶段的体系流程进行两阶段的内部审计,修正审计中发现的问题;
       四、评审认证阶段:通过内部审计后,项目进入外部评审和认证阶段,项目组成员配合认证机构先后进行书面评审(第一阶段评审)和正式评审(第二阶段评审),在评审过程中针对发现的问题和缺失进行改善,最终获颁证书;
       五、持续改进阶段:评审通过后,专家顾问组在获颁证书后的两年时间中,分两次对项目实施情况进行再评估和持续改善,进行追踪评审;


咨询成果

     (部分材料需要企业配合)

       1) 组织法律证明文件,如营业执照及年检证明复印件;、

       2) 组织机构代码证书复印件;

       3) 申请认证体系有效运行的证明文件(如体系文件发布控制表,有时间标记的记录等复印件);

       4) 申请组织简介:

                a) 组织简介;

                b) 申请组织的主要业务流程;

                c) 组织机构图或职能表述文件;

       5) 申请组织的体系文件,需包含但不仅限于(可以合并):

               a) 服务管理方针和计划;

               b) 服务级别协议;

               c) 能力管理流程;

               d)服务连续性和可用性管理流程;

               e)服务级别管理流程; 

                f)服务报告流程;

               g)信息安全管理流程;

               h)IT服务预算和核算流程;

                i)业务关系管理流程;

                j)供方管理流程;

               k)事件管理流程;

               l) 问题管理流程;

             m) 配置管理流程;

              n) 变更管理流程;

              o) 发布管理流程;

              p) 整个体系文件的结构和清单。

      6) 申请组织体系文件与ISO20000要求的文件对照说明;

      7) 申请组织的信息技术服务目录、服务计划;

      8) 申请组织内部审核和管理评审的证明资料;

     9) 申请组织记录保密性或敏感性声明; 


咨询周期

      咨询周期根据公司规模、认证范围和产品与服务的复杂程度有所不同:

      ——一般中小型企业的咨询周期为2至3个月;

      ——对于部分有特殊需求的企业,建议的咨询周期为6个月。