2011版ISO/IEC20000-1标准的华丽转身
文/卢列文
ISO/IEC20000-1:2011版(第2版,以下简称“2011版”)于2011年4月15日正式发布,该版与ISO/IEC20000-1:2005(以下简称“2005版”)标准相比,发生了重大变化,变得更加正式,标准要求与逻辑思路更加清晰,为使用者提供了更明确的指南,堪称是ISO/IEC20000-1标准的华丽转身。
按照2011版前言所述,2011版与2005版比较,主要有10大变化:“与ISO9001更协调;与ISO/IEC27001更协调;变更术语以反映国际上的使用;增加了更多定义,更新了某些定义,删除了两个定义;引入了术语“服务管理体系”;将2005版的条款3和条款4合并,将所有管理体系要求并如一个条款;澄清了对于由其它方运营的过程的治理要求;澄清了确定服务管理体系(SMS)范围的要求;澄清了PDCA方法适用于服务管理体系(SMS),包括服务管理过程及服务;引入了新服务或变更服务的设计和迁移的新的要求。”
通过进一步的分析和归纳,我们可以看到,2011版在以下三个方面实现了重大变化,解决了2005版在使用过程中碰到的诸多问题,并为甲方、乙方和第三方等各方标准使用者提供了更清晰明确的要求,从而完成了其华丽转身,为该国际标准的应用开辟了一个更为广阔的空间。
一、全面引入PDCA和管理体系思想
在2005版中,我们看到的是一个从ITIL V2转换过来的一个IT服务过程的集合,服务过程定义清晰,但是对PDCA方法的展开却是有些凌乱,其描述分别落在第3章和第4章,服务过程与PDCA方法的结合应用也并不明晰。而2011版将所有管理体系的要求集中并入第4章“服务管理体系通用要求”,管理体系要求的描述也与ISO9001、ISO/IEC27001等质量与信息安全管理体系标准对管理体系要求的描述更贴近,这为用户整合其管理体系要求奠定了基础,也建立了一个更加正式化和利于持续改进的管理体系。
具体而言,2011版标准在引入PDCA和管理体系思想方面实施了以下重要改进:
1. 在术语定义上大量引入或改编了ISO9000的管理体系术语和定义,合计14个,占2011版标准术语定义的近40%。
这些从ISO9000中直接引入的术语定义包括:文件(3.8),有效性(3.9),不符合(3.16),组织(3.17),程序(3.20),过程(3.21),记录(3.22)。
这些改编的术语定义包括:持续改进(3.5),纠正措施(3.6),客户(3.7),相关方(3.13),预防措施(3.18),服务管理体系(3.31),最高管理者(3.36)。
PDCA方法和管理体系的思想最早是通过ISO9001标准的应用推广而为企业管理者所熟悉、认同并掌握,而IT服务管理体系的过程是来自IT服务发展过程中的最佳实践总结,因此从ISO9000标准中引入和改编这些术语定义则为IT服务管理体系标准的各方使用者架起了一座桥梁,便利各方使用者对标准建立共同的理解基础,从而为IT服务管理体系标准的更广泛应用开辟了空间。
2. 2011版丰富并完善了服务管理体系的要求
2011版标准按照管理体系的思想,系统地建立并丰富了服务管理体系的内容,从而使管理体系要求变得更为正式。
例如:
2011版在4.1.2条款中明确提出应建立“服务管理方针”,而方针的建立和管理是管理体系思想的基本要求;4.1.4条款明确提出应任命“管理者代表”,这为管理体系实施提供了组织基础;在4.3条款中对文件和记录的控制要求也进一步细化;在4.5条款中对PDCA管理方法的展开以及PDCA方法与服务管理过程的结合应用也提出了更具体明确的要求。
二、清晰界定了IT服务的各方关系及应用要求
ITIL以及2005版ISO/IEC20000-1标准都将其使用者默认为服务提供商(service provider),并且是内部IT服务提供商居多,这符合IT服务产生的背景和发生过程。但是现在的IT服务的环境已经与ITIL诞生时的环境产生巨大的变化。首先,现在越来越多的IT服务都已经走向外包,甲方内部的信息中心发挥着“既是甲方,又是乙方”的作用,而独立的IT服务提供商,其IT服务提供过程又往往与其顾客的管理过程紧密融合。其次,IT服务的范畴也发生了爆发式的扩张,从传统意义上的信息技术运维服务,到包括 “信息技术咨询服务、设计和开发服务、信息系统集成服务、数据处理和运营服务”的信息技术全过程服务,服务的形式和内容与传统IT服务相比,发生了巨大变化。第三,现在的IT服务管理已经不局限在提供满意的IT服务的目标上,对于IT服务提供商的评价(包括第一方、第二方和第三方)和认证也变成了一个实际的需求。因此新的IT服务管理标准势必需要对这些环境的变化做出响应,并给各方在目前的环境下应用标准提供清晰的指南。
令人欣喜的是,我们看到,2011版ISO/IEC20000-1标准在这些方面已经做出了实际的努力:
1.2011版在术语中引入了组织(3.17)、服务提供方(3.32)、内部团体(3.14)、顾客(3.7)、供应商(3.35)的概念,明确了在服务提供中涉及的各方的概念,并且也建立了清晰的IT服务供应链关系。而在2005版中,在组织方面的概念,只有一个“服务提供方”的概念,并且其定义也是非常含糊的,仅仅定义为“旨在达到本标准要求的组织”。通过2011版4个有关组织的术语定义的引入,IT服务供应链关系可以清晰表达如下:对于为外部客户提供IT服务的服务提供商,其供应链关系如下:
对于为内部客户提供IT服务的服务供应商,比如大型企事业单位的信息中心,其供应链关系如下:
对于这两种不同类型的服务提供商,在确定其服务管理体系边界时会有区别。2011版标准通过对这些术语定义的澄清,为确定服务提供商的服务管理体系边界提供了基础,从而也使IT服务各相关方能明确其各自管理责任。
2.2011版标准更清晰地确定了标准的使用对象
2011版标准在1.1范围中直接明确地指出了其使用方:
a) 甲方:包括以下两个使用目的:
从服务提供方寻求服务并要求其服务要求得到保证;
要求其所有服务提供方,包括供应链中的服务提供方,采用一致方法。
b) 乙方:包括以下三个使用目的:
试图证明其设计、转换、交付和改进服务的能力满足服务要求;
需要监视、测量并评审其服务管理过程和服务;
期望通过有效实施和运行SMS以改进服务的设计、转换和交付。
C)第三方:
第三方(包括评估师或审核员)以之作为准则来评价服务提供方的SMS对ISO/IEC 20000-1标准的符合程度。
通过对使用对象及其使用目的的清晰说明,2011版标准为各方如何使用标准提供了更清晰的指南。
3.2011版标准对“对由他方运营过程的治理”提出了明确管理要求
2011版在4.2条款中明确了对由服务提供方之外的其他方,包括顾客、供应商或服务提供方组织内的内部团体,提供的服务的管理要求,这就澄清了众多2005版标准使用者经常遇到的一个疑惑,“当服务提供方并不实际运营IT服务中的某个过程时,对过程要求应如何进行管理?在第三方评审时,如何区分其管理职责?”
2011版明确指出,对于这些由他方运用的过程,服务提供方仍然具有最终责任,要能证实其对过程符合要求的管控能力,控制过程的定义以及接口关系,对过程的绩效和符合性进行监控,并控制过程的策划和优先排序。同时,2011版也明确指出了服务提供方应通过何种过程来对这些由他方运营的过程进行管控。
三、细化流程要求,使标准更具完整性和操作性
与2005版比较,2011版还是13个管理流程,在流程的内容和要求上并没有发生显著的变化,只是将“发布和部署管理流程”归入“控制过程组”,原来的五大过程组变成四大过程组。但是2011版进一步细化了各流程的要求,梳理了流程的管理思路,使得ISO20000-1标准作为一个管理体系要求标准,要求更加完整和明确,而不需要使用者在使用ISO20000-1标准时,还需要进一步查询其它IT服务标准。
比如
1. 对于服务级别管理流程,在2005版中只是提出了流程管理的目标,以及简单地、“纲要”式地提出了对服务级别协议的内容、服务定义、签署、监视、评审、变更以及记录的要求。而在2011版中,则将上述要求逐一具体细化,减少了各方使用者在应用这个标准时的分歧;另外,2011版补充了服务目录的要求,使得服务级别管理流程更加完整。
2.对于服务连续性和可用性管理,在2011版中,将其分为三个子条款,分别是“服务连续性和可用性要求”、“服务连续性和可用性计划”、“服务连续性和可用性监视和测试”条款,并针对不同条款将要求逐一细化阐述,这样,标准的管理思路更加清晰明确。
另外,在流程定义上,2011版参考了ITIL V3的一些变化,使得标准紧随IT服务管理的最佳行业实践,为使用者在使用2011版标准和ITIL时提供了良好的衔接。
比如
1. 对于第五章,2005版标题为“策划和实施新服务或变更的服务”,而在2011版中则顺应ITIL V3中对流程的系统管理要求,将其变更为“新服务或变更服务的设计和迁移”。
2. 对于“事件管理”流程,顺应ITIL V3提出的“服务请求”定义,将“事件管理”流程变更为“事件和服务请求管理”流程。
2011版标准相比2005版是一次华丽的转身,转身之后,ISO20000-1标准已俨然成为一个更为系统、完善、逻辑思路更为清晰,并与ISO9001、ISO/IEC27001等中国管理体系国际标准更为协调的服务管理体系标准。本文由于篇幅所限,并未能对2011版与2005版标准的众多转变细节一一比较,也希望本文能抛砖引玉,引发更多的IT服务从业人员对2011版标准进行更深入的思考和研究,从而通过该标准的广泛深入应用来推动中国IT服务走向更好的未来。
主要参考文献:
1. ISO/IEC20000-1:2011《Information technology – Service management – Part 1: Service management system requirements》
2. GB/T24405.1-2009/ISO/IEC20000-1:2005《信息技术 服务管理 第一部分:规范》