如何取得ISO20000认证.doc

关于ISO20000认证的调研报告2009年10月目 录一、IT服务简介31.1IT服务管理项目实施背景31.2 ISO/IEC20000:2005 简介41.3ISO20000体系规范主要覆盖的范围5二、取得ISO20000 认证的必要性62.1实施ISO20000认证体系所带来的帮助62.2 建立ISO20000体系的目的72.3 ISO20000体系建设收益8三、认证体系的建立与实施流程83.1 评估、分析、规划阶段93.2 流程设计与实施113.3 体系发布及优化123.4 认证审计阶段13ISO20000是第一部针对信息技术服务管理（IT Service Management）领域的国际标准，它于2005年12月15日发布。作为认证组织的IT运营和服务管理水平的国际标准，ISO20000具体规定了IT服务管理行业向企业及其客户有效地提供服务的、一体化的管理过程以及过程建立的相关要求，帮助识别和管理IT服务的关键过程，保证提供有效的IT服务以满足客户和业务的需求。它着重于通过“IT服务标准化”来管理IT问题，即将IT问题归类，识别问题的内在联系，然后依据服务级别协议进行计划、管理和监控，并强调与客户的沟通。一、 IT服务简介1.1IT服务管理项目实施背景1.1.1什么是IT服务管理 IT服务管理作为一个新兴的领域受到人们日益广泛的关注，在其发展过程中也出现了多种定义。世界IT领域的权威研究机构加特纳认为，IT服务管理是一套通过服务级别协议（SLA）来保证IT服务质量的协同流程，它融合了系统管理、网络管理、系统开发管理等管理活动以及变更管理、资产管理、问题管理等许多流程的理论和实践。IT服务管理领域的国际权威组织IT服务管理论坛（itSMF）则认为，IT服务管理是一种以流程为导向、以客户为中心的方法，它通过整合IT服务与企业业务，提高了企业的IT服务提供和服务支持的能力和水平。经过多年的发展和研讨，IT服务管理国际标准ISO20000对IT服务管理提供了简洁明了地定义，即IT服务管理就是“管理服务以满足业务要求”，这个概念直接明确了IT服务管理的目标是必须满足业务的要求，而服务管理的内容则落在其定义的十三个过程及其管理的管理。同时ISO20000鼓励在交付被管理的服务时采用综合的过程方法，以满足业务和顾客要求。1.1.2为什么要实施基于ISO20000标准的IT服务管理 随着市场竞争的加剧和电子商务在世界范围内的兴起，企业必须持续不断地和快速地对其业务进行管理和变革，企业的业务很大一部分越来越依赖于其IT系统来提供使客户满意的服务，正因为如此，一个稳健而又灵活的IT解决方案对这些企业而言是至关重要的。这类解决方案首先当然应当满足企业的业务需求，但同样重要的是这些方案本身应该是易于管理的，否则他们对业务的支持得不到保障。因此，为提高服务管理的效率和效果所做的投资并不是可有可无的，相反，它为业务的成功运作提供了坚实可靠的基础。为了实现高质量的服务管理，我们可以借鉴使用经过实践证明确实行之有效的服务管理“最佳实践”。这些实践在英国商务部开发的ITIL系列指南和英国率先开发的国家标准BS15000实施基础上，最终形成了ISO20000国际标准。因此基于ISO20000来实施IT服务管理，是具有可信的坚实基础。1.2 ISO/IEC20000:2005 简介 ISO20000是基于ITIL最佳实践与BS15000英标体系进行构建的，并于2005年12月由ISO组织发布的第一部具有国际权威性的IT服务管理体系标准。此套体系规范秉承“以客户为中心，以流程为导向”的服务理念，旨在帮助企业组织能够有效的识别与管理IT服务管理的关键过程，保证在满足客户与业务需求的同时，依照公认的 “P-D-C-A”方法论应用，充分发挥IT服务持续改进的能力，最终达到企业组织用最小成本获得最大收益价值的目的。 ISO20000体系规范主要包括两大章节，第一章节为IT服务管理规范，包括了5大过程组，分别为服务提供过程、发布过程、解决过程、关系过程、控制过程及过程组所覆盖的13个服务管理流程，并与体系管理职责、文件要求及能力、意识和培训，一同作为体系认证的参考标准。第二章节为IT服务管理实施指南，为体系认证的实施过程提供参照说明。1.3ISO20000体系规范主要覆盖的范围ISO20000所涉及的范围主要包括四个方面： 管理职责，主要包括管理职责、文件要求与能力、意识和培训三大主要模块； 服务管理的计划与实施，主要包括“P-D-C-A”四个核心过程模块；新的或变更服务的计划与实施，主要是针对于新的或变更服务的流程管理； 服务管理流程，主要包括五大核心过程组，分别为服务提供过程、关系过程、解决过程、控制过程及发布过程。二、 取得ISO20000 认证的必要性ISO20000不仅作为国际上第一套IT服务管理体系标准，同时基于ITIL最佳实践与PDCA方法论体系原则，使其在IT服务领域范围内具有一定的权威性及普及性。通过体系标准来规范其服务管理流程，能够帮助IT管理人员突破技术思维，运用流程管理的思想促进IT与业务的整合。正是这一点，使得ISO20000认证能够风靡全球。2.1实施ISO20000认证体系所带来的帮助 约定服务报告形式与内容，保证IT服务的现状对客户是透明的； 服务级别清晰定义，可以管理客户的期望； 针对服务级别，可制定出各级别服务提供者的绩效指标 ； 内部流程清晰定义，职责权限的明确，改进内部效率，提升客户的满意度 ； 规范对供应商的管理，保证一致性的服务级别（水平） ； 通过识别安全风险，采纳控制措施和方法，达成对安全的可靠管理； 通过实施可提供控制、高效率和改进的机会； 确保所提供的IT服务与满足客户业务需求一致； 提升运维系统的可靠性和可用性； 为协定服务水平提供基础，为测量IT服务质量提供能力； 提升市场竞争力。2.2 建立ISO20000体系的目的 通过ISO20000的实施,建立一套可衡量,可评价, 可管控,可持续改进的IT运维管理体系，更好地对IT运维项目实施进行有效的管理，包括人员配备，成本预算及流程的管理等； 通过建立ISO20000的体系，实现流程管理系统化、标准化，与相关的管理工具平台相结合，使之发挥更好的作用； 通过ISO20000体系的建立，更好地管理过往在项目实施过程中所积累的知识及经验，在服务支持中得以更好地利用； 通过ISO20000的实施,培养出自己的ISO20000的管理和改进团队，使该体系得以不断地持续改进。2.3 ISO20000体系建设收益三、 认证体系的建立与实施流程要获得ISO20000：2005认证的组织，必须证明其对ISO20000-1的13个管理流程进行管理与控制，并保证这些受控流程必须符合ISO20000-1标准的规定。当企业组织通过注册认证机构（RCB）的认证审计后，便可获得认证。取得认证后，企业组织会被列入官方的被认证组织列表，并且有权使用ISO20000的标志。企业组织在通过RCB的管理审核后，一般情况下会在两个月的时间内接收到RCB发放的ISO20000资格考试证书，证书上主要标有itSMF签发的取得认证与认证失效的时间，及itSMF审核员的个人签名等相关信息。3.1 评估、分析、规划阶段 3.1.1 Kick off meeting 项目启动大会，明确项目目标、范围、时间计划、参与人员 3.1.2 RCB沟通和范围界定 与客户选定的ISO20000的注册认证机构（RCB）； 撰写ISO20000的认证审核范围说明书，指明须认证的IT服务、机构、部门、地域，并与注册认证机构确认此范围说明书。 3.1.3 ITSM成熟度/ISO200000评估 参照ISO20000标准条款，通过人员访谈、文件阅读及操作观察，对客户IT服务管理体系的成熟度进行评估，以确定当前服务管理体系满足标准的程度，并形成评估报告。 3.1.4 ITIL/ISO200000认知培训 对IT服务专业人员进行ITIL及ISO20000标准的基础培训，使之达到向ISO20000标准转型的要求。 3.1.5 差距分析 根据ISO20000的评估报告，指出当前服务管理体系与标准偏离的不合规项（Non Conformance）； 分析这些不合规项与相应标准条款的具体差距，给出差距弥补的建议，形成差距分析报告。 3.1.6 管理体系总体规划 结合ISO9001管理体系、规划与之相容的ISO20000管理体系，形成体系文件列表，包括策略、目标、流程图、流程描述、标准操作规程、模板、表格、检查表、操作指南等等。 3.1.7 改进计划 根据差距分析和管理体系规划的成果，制定详细的服务管理体系改进计划，明确流程设计及实施、体系发布及优化阶段的具体任务、任务负责人及产出物。3.2 流程设计与实施 3.2.1 体系文档模板定制 针对ISO20000管理体系所需的文档，定制文档模板，明确这些文档应具备的内容要点。 3.2.2 流程设计 第1步：设计基础的控制流程组(Control Processes)、发布流程组(Release Process)、解决流程组(Resolution Processes)； 第2步：设计关系流程组（Relationship Processes）及服务提供流程组（Service Delivery Processes）；形成完整的流程图。 3.2.3 流程文档评审 对交付的流程文档进行技术评审（Peer Review），记录文档缺陷，跟踪缺陷的修复，从而控制流程文档的质量。 3.2.4 工具实施指导 针对流程设计与工具实施人员进行沟通和指导，明确用工具实现的部分，并对软件工具的实施提供必要的支持和调整。 3.2.5 流程改进 通过对流程运行的观察及检查，评估流程运行的效率和效果，分析低效的原因，提出改进措施并实施之。 3.2.6 体系文档完善 按ISO20000标准的管理体系要求补充完善相应的服务管理政策、目标和计划，开发针对整个服务管理流程体系的管理控制文件及培训手册。3.3 体系发布及优化 3.3.1 体系发布及培训 所有的体系文件都开发完成，且服务管理流程已能正常运行，其运行效果符合要求，这时管理层可以批准ISO20000服务管理体系正式发布，并在认证要求的机构范围内进行人员培训。 3.3.2 体系试运行内审 体系正式发布后进入试运行阶段，须采用内审的方式对体系的运行效果进行检查和审核，记录发现的不合规项（NonConformance），制定不合规项的纠正计划，形成内审报告。 3.3.3 体系改进及优化 依据试运行内审报告，实施不合规项的纠正措施。依据试运行期间的服务管理报告，对体系低效的部分进行改进及优化。3.4 认证审计阶段 3.4.1 审计准备 按照审计准备检查表，确认所有审计准备工作都已完成，整个ISO20000服务管理体系已经可以提交正式审计。 3.4.2 初审(支持) 参与初审过程（Pre-audit），准备文件和记录，支持客户方接受注册认证机构的审核，必要时提供相应的文件/记录及回答提问。 3.4.3 初审纠正措施的实施 初审结束后，针对初审发现的不合规项，参与纠正措施的设计、计划及实施。 3.4.4 终审(支持)与初审支持一致，参与终审过程，准备文件和记录，支持客户方接受注册认证机构的审核，必要时提供相应的文件/记录及回答提问。附表：ISO20000认证客户（国内）中国移动通信集团浙江有限公司 深圳证券交易所 上海宝信软件股份有限公司 埃森哲 武汉东浦信息技术有限公司 中国农业银行数据中心 上海惠普有限公司惠普全球软件服务中心（中国） 毕博信息技术（上海）有限公司 中国信达资产管理公司 北京九五太维资讯有限公司 北京神州数码融信软件有限公司外包事业部 北京华胜天成科技股份有限公司 埃森哲信息技术（大连）有限公司上海分公司 中金数据系统有限公司 交通银行数