ISO/IEC 20000信息技术服务管理体系认证
一、ISO 20000 标准概述
ISO 20000 是化组织(ISO)发布的一项关于信息技术服务管理的,它由两部分组成:
ISO 20000 1:是规范要求,定义了服务管理体系的基本要求,包括服务交付、关系管理、解决过程、控制过程等方面的具体要求。
ISO 20000 2:是实践指南,为组织实施 ISO 20000 1 提供了详细的指导和实践案例。
当前Zui新标准:ISO/IEC 20000-1:2018,该版本于 2018年9月15日正式发布。
二、认证的意义
1. 对组织内部的意义
优化 IT 服务流程
以服务管理流程为核心,对 IT 服务的各个环节进行全面梳理和优化。例如,从事件管理流程来看,明确事件的定义、分类、分级,规范事件的报告、响应、处理和关闭流程,确保每个事件都能得到高效、有序的处理,减少事件的平均解决时间。
通过流程的优化,减少不必要的环节和重复工作,提高工作效率。比如,在变更管理流程中,建立严格的变更审批机制,确保变更的合理性和安全性,避免因变更导致的服务中断等问题。
提高 IT 服务质量
根据服务级别协议(SLA)的要求,对服务质量进行量化管理。例如,设定网络可用性指标、系统响应时间指标等,并通过持续的监控和评估来确保这些指标的达成。
建立完善的服务质量反馈机制,及时收集客户对 IT 服务的意见和建议,不断改进服务质量。例如,通过客户满意度调查,了解客户对服务的满意度,针对客户反馈的问题及时进行整改。
增强风险管控能力
对 IT 服务过程中的风险进行全面识别和评估。例如,在数据中心管理中,识别出电力故障、网络攻击、设备故障等潜在风险,并对这些风险发生的可能性和影响程度进行评估。
根据风险评估结果,制定相应的风险应对措施。比如,针对电力故障风险,配备备用电源系统;针对网络攻击风险,部署防火墙、入侵检测系统等安全防护措施。
2. 对组织外部的意义
提升市场竞争力
ISO 20000 认证是国际公认的 IT 服务管理水平的标志,获得认证的组织在市场上更具竞争力。例如,在参与 IT 服务项目招标时,拥有 ISO 20000 认证的组织往往更容易获得客户的信任和青睐。
能够向客户展示组织具备规范、高效、可靠的 IT 服务管理能力,为客户提供更优质的服务保障。比如,在与客户签订服务合同前,认证可以作为组织服务能力的有力证明。
满足客户需求
许多客户在选择 IT 服务供应商时,会优先考虑通过 ISO 20000 认证的组织。因为认证确保了供应商具备完善的服务管理体系,能够更好地满足客户对 IT 服务的需求。
有助于与客户建立长期、稳定的合作关系。例如,通过提供符合 ISO 20000 标准要求的高质量 IT 服务,提高客户满意度和忠诚度。
三、认证流程
1. 准备阶段
管理层决策
组织的管理层需要充分认识到 ISO 20000 认证的重要性,并做出进行认证的决策。管理层的支持和参与是认证成功的关键因素之一,他们需要为认证工作提供必要的资源和人力保障。
成立项目组
成立专门的认证项目组,负责认证的具体实施工作。项目组通常包括来自 IT 部门、业务部门、质量管理部门等相关部门的人员。例如,IT 部门负责梳理和优化 IT 服务管理流程,业务部门负责提供业务需求和反馈,质量管理部门负责监督和指导认证过程。
培训与学习
组织项目组成员以及相关员工进行 ISO 20000 标准的培训和学习。培训内容包括标准的解读、流程的要求、实施的方法等方面。通过培训,使员工熟悉 ISO 20000 标准的各项要求,为后续的实施工作做好准备。
2. 体系建立阶段
现状评估
对组织现有的 IT 服务管理现状进行全面评估。通过问卷调查、现场访谈、文档审查等方式,了解现有流程的执行情况、存在的问题和不足。例如,评估服务台的响应效率、事件的解决率、变更的成功率等指标,找出与 ISO 20000 标准要求的差距。
流程设计与优化
根据 ISO 20000 标准的要求,结合现状评估的结果,对 IT 服务管理流程进行设计和优化。例如,重新设计服务级别管理流程,明确服务级别目标的设定、监控和评审机制;优化配置管理流程,建立准确、完整的配置管理数据库。
文件编写
编写符合 ISO 20000 标准要求的体系文件,包括管理手册、程序文件、作业指导书、记录表格等。管理手册是整个服务管理体系的纲领性文件,程序文件是对各个管理流程的详细描述,作业指导书是对具体操作步骤的规定,记录表格用于记录流程执行过程中的相关数据。
3. 实施阶段
体系文件发布与培训
将编写好的体系文件正式发布,并组织员工进行学习和培训。确保员工了解自己在体系中的职责和工作要求,熟悉相关流程和操作方法。例如,通过内部培训、网络学习等方式,让员工掌握体系文件的内容,并进行必要的考核和评估。
流程试运行
选择部分业务或项目进行流程试运行,检验流程的可行性和有效性。在试运行过程中,及时收集反馈信息,对流程进行调整和优化。例如,在变更管理流程试运行期间,记录变更的申请、审批、实施和验证过程中遇到的问题,分析原因并进行改进。
内部审核与管理评审
定期开展内部审核,检查体系文件的执行情况和流程的运行效果。内部审核通常由组织内部经过培训的审核员进行,按照预定的审核计划,对各个部门和业务环节进行全面审核。例如,审核服务台的日常工作记录、事件管理的处理过程、配置管理数据库的更新情况等。
管理层定期进行管理评审,评估体系的适宜性、充分性和有效性。根据管理评审的结果,做出改进的决策和措施。例如,管理层根据客户满意度的变化、内部审核的发现、业务发展的需求等因素,对服务管理体系进行调整和优化。
4. 认证审核阶段
预审核(可选)
组织可以选择进行预审核,邀请认证机构对体系进行初步审核。预审核的目的是发现体系中可能存在的问题和不足,以便在正式审核前及时进行整改。预审核的范围和方式与正式审核类似,但审核结果不影响认证的Zui终结果。
正式审核
认证机构按照 ISO 20000 标准的要求,对组织的服务管理体系进行全面审核。正式审核通常包括文件审核、现场审核等环节。文件审核主要检查体系文件是否符合标准要求;现场审核则通过对业务现场的观察、访谈、查阅记录等方式,验证体系文件的执行情况和流程的运行效果。
审核结果与认证决定
认证机构根据审核结果做出认证决定。如果组织的服务管理体系符合 ISO 20000 标准的要求,认证机构将颁发认证证书;如果存在不符合项,组织需要在规定的时间内进行整改,整改完成后由认证机构进行验证,验证通过后再颁发认证证书。
四、认证后的持续改进
1. 持续监控与评估
建立完善的服务管理绩效指标体系,对 IT 服务管理体系的运行效果进行持续监控和评估。例如,设定关键绩效指标(KPI),如服务可用性、事件平均解决时间、客户满意度等,并定期收集和分析这些指标的数据。
根据监控和评估的结果,及时发现体系运行中存在的问题和不足。例如,如果服务可用性指标下降,需要分析原因,可能是设备故障、网络拥塞等因素导致,进而采取相应的改进措施。
2. 改进措施的实施与跟踪
根据发现的问题和不足,制定具体的改进措施。例如,如果发现变更管理流程中存在审批不及时的问题,可以制定优化审批流程、明确审批职责、设定审批时限等改进措施。
对改进措施的实施情况进行跟踪和验证,确保改进措施的有效性。例如,在实施变更管理流程的改进措施后,持续观察变更的审批时间是否缩短、变更的成功率是否提高等,以验证改进措施的效果。
五、ISO 20000认证适用于哪些行业
1. 信息技术行业:
IT服务外包提供商:这类企业将IT服务作为主要业务提供给其他组织,ISO 20000认证是保证向客户交付高质量服务的根本保证,也是彰显卓越IT服务能力的重要标志。例如,一些专门为企业提供服务器托管、网络维护、软件应用开发等服务的外包公司。
IT系统集成商和软件开发商:这些企业需要为客户提供软/硬件产品以及相关的技术服务。采用ISO 20000规范可以对所提供的产品和服务进行标准化管理,在产品整个生命周期内保证产品的高质量服务和持续支持。比如,为企业定制开发管理软件系统,并负责系统的安装、调试、维护等工作的企业。
2. 金融行业:
银行:银行业务高度依赖信息技术,包括核心业务系统、网上银行、移动银行等。ISO 20000认证有助于银行建立完善的IT服务管理体系,确保IT系统的稳定运行,保障金融交易的安全和准确。例如,银行的IT部门需要确保系统的高可用性,以满足客户随时进行存取款、转账等业务的需求。
证券:证券交易系统对信息的及时性、准确性和安全性要求极高。通过ISO 20000认证,证券机构可以规范IT服务管理流程,提高系统的可靠性,降低交易风险。比如,证券交易所的IT系统需要保证交易数据的实时传输和处理,以及系统的稳定运行,以避免交易中断或数据错误。
保险:保险公司的业务系统涉及客户信息管理、保险产品销售、理赔处理等多个环节,都离不开IT系统的支持。ISO 20000认证可以帮助保险公司提升IT服务水平,保障业务的顺利开展。例如,保险公司的IT部门需要确保客户信息的安全存储和准确调用,以及理赔系统的高效运行。
3. 电信行业:
电信运营商的网络系统、计费系统、客户服务系统等都需要强大的IT支持。ISO 20000认证可以帮助电信企业优化IT服务管理流程,提高网络的稳定性和服务质量,提升客户满意度。例如,电信运营商需要确保网络的全覆盖、高带宽和低延迟,以满足用户对通信服务的需求。
4. 大型企业的内部IT部门:
许多大型企业,如制造业、能源业、交通运输业等,其业务的正常运转高度依赖内部的IT系统。这些企业的内部IT服务提供商或IT运营支持部门可以通过ISO 20000认证,改善内部IT服务管理水平,为企业的业务发展提供有力支持。例如,大型制造业企业的IT部门需要管理企业的生产管理系统、供应链管理系统等,确保系统的稳定运行和数据的准确传输。
5. 政府及公共服务机构:
:政府机构的信息化建设日益重要,如电子政务系统、公共服务平台等。ISO 20000认证可以帮助提高IT服务管理水平,保障政务系统的安全、稳定运行,提高政府的服务效率和公信力。例如,政府的政务服务平台需要确保市民能够方便、快捷地办理各种业务。
公共服务机构:如医院、学校、图书馆等公共服务机构,也需要依赖IT系统提供服务。通过ISO 20000认证,可以规范这些机构的IT服务管理,提高服务质量和效率。例如,医院的IT系统需要管理患者的病历信息、医疗设备的运行等,学校的IT系统需要支持教学管理、网络教学等业务。
6. 数据处理和托管行业:
数据中心、IDC机房等数据处理和托管服务提供商,需要为客户提供安全、可靠的数据存储和处理服务。ISO 20000认证可以帮助这些企业建立完善的服务管理体系,确保数据的安全和服务的连续性。
7. 电子商务行业:
电子商务企业的业务依赖于在线交易平台的稳定运行和客户信息的安全管理。ISO 20000认证可以帮助电子商务企业规范IT服务管理流程,提高平台的可靠性和安全性,提升客户的购物体验。
六、ISO20000认证所需的材料清单:
1. 基础资质文件:
营业执照及年检证明复印件:证明企业是合法经营的主体,且处于正常经营状态。
组织机构代码证书复印件:用于标识企业的组织机构代码信息。若企业已完成三证合一或五证合一,可提供带有统一社会信用代码的企业证件代替。
2. 体系运行证明文件:
体系文件发布控制表:记录体系文件的发布时间、版本号、发布范围等信息,证明体系文件的有效发布和控制。
有时间标记的记录:例如培训记录、会议记录、审核记录、改进措施记录等,且记录上有明确的时间标记,以证明体系的持续运行和实施。这些记录应涵盖至少 3 个月的运行时间,以满足认证要求。
3. 组织简介相关文件:
组织简介(1000 字左右):简要介绍企业的发展历程、业务范围、组织架构、人员规模、主要产品或服务等基本信息,以便认证机构对企业有初步的了解。
主要业务流程描述:详细描述企业的主要业务流程,包括业务的输入、输出、关键活动、涉及的部门或岗位等,说明信息技术服务在业务流程中的作用和重要性。
组织机构图或职能表述文件:提供企业的组织机构图,清晰展示各部门之间的关系和层级结构;或者提供职能表述文件,明确各部门和岗位的职责和权限,以便认证机构了解企业的管理架构和职责分工。
4. 体系文件:
服务管理方针和计划:明确企业的信息技术服务管理方针,阐述企业对信息技术服务管理的总体目标和方向;同时提供服务管理计划,包括服务目标、服务策略、服务资源规划等内容,以指导企业的信息技术服务管理工作。
服务级别协议(SLA):与客户签订的服务级别协议,规定了服务的内容、质量标准、响应时间、可用性等关键指标,是衡量企业信息技术服务质量的重要依据。
各管理流程文件:
能力管理流程:描述企业如何评估、规划和管理信息技术服务的能力,以满足业务需求和服务级别要求。
服务连续性和可用性管理流程:规定企业在面对突发事件或故障时,如何确保信息技术服务的连续性和可用性,包括应急响应计划、备份恢复策略等。
服务级别管理流程:明确服务级别管理的职责、流程和方法,包括服务级别指标的设定、监测、评估和改进。
服务报告流程:确定服务报告的内容、格式、频率和发布方式,以便向客户和管理层提供准确、及时的服务信息。
信息安全管理流程:涵盖信息安全策略、风险评估、安全控制措施、安全事件处理等方面,确保信息技术服务的安全性。
IT 服务预算和核算流程:说明企业如何制定信息技术服务预算、进行成本核算和费用控制,以提高服务的经济效益。
业务关系管理流程:描述企业与客户、供应商、合作伙伴等相关方的沟通、协调和管理机制,维护良好的业务关系。
供方管理流程:规定对供应商的选择、评估、监督和控制方法,确保供应商提供的产品或服务符合企业的要求。
事件管理流程:定义事件的分类、报告、处理和跟踪流程,确保及时解决信息技术服务中的事件问题。
问题管理流程:描述问题的识别、分析、解决和预防机制,以减少问题的发生和重复出现。
配置管理流程:明确配置项的定义、识别、记录、变更和审计等管理要求,保证信息技术服务的稳定性和可追溯性。
变更管理流程:规定变更的申请、评估、审批、实施和回顾等流程,确保变更的合理性和安全性。
发布管理流程:描述服务发布的计划、准备、实施和验证等过程,确保服务发布的顺利进行。
整个体系文件的结构和清单:提供企业信息技术服务管理体系文件的目录结构和文件清单,便于认证机构对体系文件进行审查。
5. 对照说明文件:
申请组织体系文件与 ISO/IEC 20000-1:2018 要求的文件对照说明,明确企业的体系文件如何满足标准的要求,以及存在的差异和改进措施。
6. 内部审核和管理评审证明资料:
内部审核报告:包括内部审核的计划、实施情况、发现的问题、整改措施和跟踪验证结果等,证明企业能够定期对信息技术服务管理体系进行自我检查和改进。
管理评审报告:记录管理评审的会议纪要、评审内容、评审结论和改进建议等,体现企业管理层对信息技术服务管理体系的重视和持续改进的决心。
7. 其他声明文件:
申请组织记录保密性或敏感性声明,承诺对认证过程中涉及的企业信息和数据进行保密处理。
