ISO20000信息技術服務認證推動產業(yè)發(fā)展新引擎
江陰農商銀行順利通過ISO20000和ISO22301雙體系認證
上海翼依信息技術有限公司順利通過iso20000信息技術服務管理體系認證
ISO/IEC20000-1:2011新版與老版ISO/IEC20000:2005的區(qū)別
2分鐘了解什么是ISO20000認證
ISO20000認證的好處
ISO20000認證咨詢(ITSM體系建設)
ISO20000實施項目經(jīng)驗交流
ISO20000與ISO27001的區(qū)別和聯(lián)系
ISO20000認證流程
ISO20000管理介紹
2分鐘了解什么是ISO20000認證
前言
ISO20000是在ITIL基礎上發(fā)展完善形成的國際標準,為IT管理者提供一套可以持續(xù)優(yōu)化IT服務的流程化管理體系。
第1章 背景
IT服務管理從最佳實踐中產生,又指導實踐的開展。
ITIL是以流程為導向、以客戶服務為核心的IT服務管理最佳實踐。
ITIL V2有六個模塊、10個核心流程和1項服務職能。
ITIL的核心思想是從業(yè)務而不是從IT技術的角度去理解IT服務需求,只有先明確業(yè)務需求才能確定所需要的IT基礎架構,更好地處理業(yè)務和IT系統(tǒng)的關系。
ITIL的核心模塊是服務模塊,分為服務提供和服務支持。
ITIL是IT服務管理的最佳實踐,ISO20000是ITIL服務管理最佳實踐的指南。
ISO20000將IT管理組織以“部門為主”管理模式,轉變?yōu)椤耙粤鞒虨橹鳌钡木仃囋捁芾砟J剑圆块T職能為主導的工作方式轉變?yōu)橐粤鞒舔寗訛橹鞯墓ぷ鞣绞健?/p>
第2章 體系
ISO20000標準包括兩個部分:規(guī)范和實踐指南。
服務需量化,評定,提交服務報告。
服務可用性和連續(xù)性。
IT服務預算和核算管理:IT管理者要對IT資源進行成本效益管理,資源的效率和經(jīng)濟價值。(發(fā)散:將IT部門作為獨立部門進行核算,在IT部門投入的資源作為本部門支出,為其他部門的提供的服務作為收入,計算收益)
SLA(服務等級協(xié)議)是ISO20000流程的核心。
SLA是一種量化的服務質量標準。
PDCA方法論在ISO20000中的運用,適用于所有流程。
指標:關鍵成功因素CSF和關鍵績效指標KPI,指標設計遵循SMART原則、適度原則。
第3章 其他
ISO27001著重于組織整體的信息安全管理。
第二部分 認證
認證過程PIGA:prepare準備、gap analyze差距分析、implement實施、audit實施。
ITSM模型
ITIL針對個人認證,ISO20000針對組織的整體認證。
第4章 IT服務體系管理
質量經(jīng)理、流程經(jīng)理
員工的角色和職責,及相應的能力。
ISO20000認證的好處
ISO20000是面向機構的IT服務管理標準,目的是提供建立、實施、運作、監(jiān)控、評審、維護和改進IT服務管理體系(ITSM)的模型。建立IT服務管理體系(ITSM)已成為各種組織,特別是金融機構、電信、高科技產業(yè)等管理運營風險不可缺少的重要機制。ISO20000讓IT管理者有一個參考框架用來管理IT服務,完善的IT管理水平也能通過認證的方式表現(xiàn)出來。 不同于ITIL只有個人認證系列,ISO20000則是對組織的整體認證,因此需要全方位的建立符合標準的體系,也意味著認證前期準備工作將是復雜而細致的。正所謂“萬事開頭難”,在著手進行認證之初,必須充分認識到良好而充分的前期準備工作是通過這樣一項國際標準認證的基石。實際上,對于大多數(shù)組織而言,通常沒有太多認證工作相關的經(jīng)驗,因此在認證準備階段打下扎實的基礎,對于整個認證實踐都是頗有益處的。
ISO20000認證實施效益
· 得以獲得業(yè)界普遍認同的國際證書ISO20000認證,向國際標桿靠齊,增強市場競爭力,提高組織聲譽,提升投資回報;
· 就服務質量和服務承諾與業(yè)務及供貨商達成一致,建立和業(yè)務及供貨商統(tǒng)一的溝通平臺;達到相關利益方均滿意的IT服務管理目標;
· 提高IT服務的可用性、可靠性和安全性,為業(yè)務用戶提供高質量的服務;
· 持續(xù)優(yōu)化服務流程,提升服務水平,提高業(yè)務滿意度;
· 提高項目的可提供性并確保如期交付,控制IT風險及相關的成本,提高與控制IT服務質量、降低長期的服務成本;
· 從總體上提高組織/企業(yè)IT投資的報酬率,提升組織/企業(yè)的綜合競爭力;
· 建立IT部門一整套行之有效的持續(xù)改善機制和內控機制;
· 明晰IT管理成本和組織/企業(yè)業(yè)務戰(zhàn)略和IT戰(zhàn)略目標的結合點,完善現(xiàn)有IT服務結構和資源配置,使各項IT資源的運用符合公司業(yè)務戰(zhàn)略和IT戰(zhàn)略目標;
· 通過建立優(yōu)化、透明的管理流程和權責的定義,監(jiān)控管理流程、進行績效評價;降低IT運營的管理成本和風險;
· 易于整合服務管理流程和其它管理系統(tǒng),如:信息安全管理體系 ISMS 、質量管理體系ISO9000等;
· 將現(xiàn)有管理體系和業(yè)務流程整合,規(guī)范IT部門服務水平,規(guī)范工作流程,降低由人員變動導致的風險;
· 提高IT部門相關員工的專業(yè)素質,提高員工的服務能力和工作效率;
· 提升IT部門整體運作及部門間溝通的能力;
· 靈活應對來自客戶、認證機構、內部機構等不同的合規(guī)審核要求,增加投資者信心。
企業(yè)建立IT服務管理體系的目標是為了企業(yè)建立起一套行之有效的以客戶為中心的自我完善的體系。在實施認證ISO20000管理體系后,在各個流程中,各個工作崗位上都建立了一個自我完善的循環(huán),工作的策劃、執(zhí)行、檢查,以及持續(xù)的發(fā)現(xiàn)問題改善問題的體系建立起來,使每個員工都擁有問題意識,自覺的發(fā)現(xiàn)自己工作當中的問題,并通過系統(tǒng)的解決問題的方法,將問題一個一個的解決。
對于眾多IT服務提供商,ISO20000認證的意義并不僅僅限于IT服務符合規(guī)程和提高服務質量。它在服務量化,員工績效考核,衡量IT部門投資回報方面更具有積極的意義。
ISO20000認證咨詢(ITSM體系建設)
依據(jù)ITIL、ISO20000國際標準,吸取業(yè)界廣泛采用的IT管理、運營與規(guī)劃領域的核心理念、方法論和最佳實踐,針對ISO20000認證標準,幫助客戶建立起一套IT服務管理的最佳流程,從而系統(tǒng)地、有序地落實服務管理,為企業(yè)提供完整的IT服務管理(ITSM)咨詢和實施服務。
ISO20000實施項目經(jīng)驗交流
項目管理是一個比較寬泛的概念,由于這些年組織的發(fā)展,事實上許多時間在組織中會有各種各樣的臨時任務存在,而這些臨時任務其實都可以利用項目管理的理念進行管理與控制,我相信項目管理的技巧與經(jīng)驗會越來越在各種組織中發(fā)揮越來越大的作用,也會越來越引發(fā)人們的重視,在此我并不打算針對項目管理這么大的層面進行探討,而是針對ISO20000導入的項目進行一些說明
事實我們公司實施ISO20000項目,也只是在過程中,尚未完成,所以以下的討論可能并不是全面的,只是在我認為經(jīng)常會發(fā)生問題,而大家沒有真正重要到的一些點進行探討,下面將進行具體說明:
一、項目體制建設
體制是一切工作有序進行的一個重要基礎,尤其是在涉及人員較多時,顯得更為重要,遺憾的是大家往往只是在開始時,畫上一個項目組織圖,而且在其中會把大量的領導人員置入其中,事實上在作業(yè)過程中,項目的權力結構并沒有根據(jù)組織進執(zhí)行,導致大量并未在項目過程發(fā)揮的高層管理人員掛名在上,并未真考慮他們要擔負起什么職責,或具體要他們做什么,管理性的項目是一種臨時的任務,往往承擔任務的人員另外負有生產任務,而在項目體制設計時,一定需要考慮清楚各自的職責與權力邊界,一定要讓體制是清晰而有力的運轉起來,體制
在 ISO20000的實施過程中,就我們公司的情況,基本沒有什么人員可以全職投入搞ISO20000,這時如果把整個項目的目標分解到各個兼職人員身上,顯得十分重要,我們在搞ISO20000的主力人員就是各個業(yè)務領域的主管人員,他們對業(yè)務最熟悉,同時對管理具備一些理念,同時他們也是日后這個體系的主要受體,所以我把ISO20000的十幾個流程分擔到每一位業(yè)務主管身上,而自已專注于各個流程接口,同時負責整個項目進程的計劃者也是控制者,也就是項目經(jīng)理,而在項目經(jīng)理之上是部長與老總,等于說組織分為有三層,決策領導、計劃控制、執(zhí)行實施,我認為其中最重要一點就是流程經(jīng)理負責制,定義各個流程的負責人,他要負責這個流程的設計、推行、培訓,這樣一可以有效把項目目標分解,二可以把不用一開始讓每一個人對整個體系有非常深入的了解,減少工作難度與要求,三是讓每一個人有自已專精的流程,最后做知識的融合。
體制是在項目之初應該設計好的,需要正式的任命與公布,這種任命或公布有時會顯得儀式化,但在項目過程中,有些儀式性質的活動的作用卻比較你做許多具體的工作要有用的多,這也是我一直不太理解的,好象人類的天性中就是容易被儀式所引導,會在不知不覺中,讓人們尊從,并受儀式氛圍的影響,這種影響雖然不是一直有效的,但只要沒有人去破壞,還是會在相當?shù)臅r間內的活動中發(fā)揮作用,這里面也要把握一個度的問題,凡事濫用就無用了,一定要在關鍵點才使出來,而且這離不開高層領導強有力的支持,這是機制不會失效的重要因素。
二、理念知識培訓
理念的培訓一定要提前展開,而且要分層次的展開,對公司高層的知識培訓,要在項目之初展開,讓他們理解基本的理念很重要,不然后續(xù)的決策支持會脫節(jié),尤其放多到具體的制度會改變公司既有的做法,沒有一定的共識是很難相象后續(xù)的落實,要理解ISO20000的導入是一個管理工程,真正有權力讓一個制度生效持久執(zhí)行,不是項目組織這種臨時性組織決定的,這是對公司高層的培訓,要讓顧問幫助洗腦。而對項目的主力軍,即各個流程的負責人(流程經(jīng)理),對他們的培訓也要隨后進行,因為只有他們了解了具體的各個流程標準要求及方法理論后,才能結合實現(xiàn)業(yè)務實際開始設計流程,這項培訓工作一定要做扎實,而且要在程序文件開始設計前就做完,一旦流程經(jīng)理不熟悉在標準中這個流程到底是做什么的,一知半解的去開始體系設計,一般會出問題,你會發(fā)現(xiàn)設計的流程,要么過理論化與實際業(yè)務脫節(jié),要么沒有把標準中的流程精神沒有體現(xiàn)出來,這個過程難度是很大的,也是對體系質量影響最大的地方。
培訓的對象還有具體的一線員工與我們的客戶方,一線員工對ITIL的基本知識需要有一定了解,更重要的是要讓他們清楚怎么展開他們的服務活動,具體尤其是三四級文件的要求讓他們清楚,另一個方面是客戶方,在ISO20000的體系中,許多流程基本是需要與客戶直接接口的,體系不是IT服務商一方說了算,你需要引導客戶接受一種新的作業(yè)模式,往往在IT服務中,如果客戶是處于一種強勢地位,對你的管理流程沖擊是非常大的,尤其是客戶沒有固定的套路,經(jīng)常提出新的制度或作業(yè)要求,這樣你的內部管理需要不斷調適,這樣時間長了,IT服務商根本是疲于奔命,內部的體制無法固定,穩(wěn)定的組織與流程才是一切好轉的基本條件,所以對IT服務商最省的做法是,跟客戶對服務體系達成一致,讓他們知道我們需要是在培育一種土壤,只有在好的土壤上,才能持續(xù)的提供優(yōu)質的服務,而且會為后續(xù)的一切服務提升源源不斷的提供動力。我認為雖然各種體系標準越來越多,真正意識到其作用,并真正有效利用的廠商其實不多,這是需要有一個真正有意識的人去引導與控制的。
三、對咨詢公司的控制
ISO20000包含的知識與信息內容,比ISO9000要復雜得多,很多時候,我們是不具備太多的知識去重建體系,即要滿足體系標準要求又要符合自已的業(yè)務實際,這也是我們花錢請咨詢公司的原因,但真正具備知識及實務經(jīng)驗的咨詢顧問并不多,即便有對項目的管理與控制又可能不足,或者他們出于各種考慮,并不會做得很深入,所以在ISO20000的項目實施過程中,對咨詢公司的控制是很重要的,這種控制一方面需要在合同中約定,但合同中不會規(guī)定非常具體的質量行為,這需要被咨詢方有意識的在項目過程中進控制。
鑒于管理咨詢在中國的現(xiàn)狀,各種不知所謂的顧問太多,在選擇咨詢公司時,事實上是一個選擇顧問的過程,我個人的意見是,如果可以請咨詢公司先把日后會來做這個咨詢項目的顧問師先請來試講,只有通常正規(guī)的試講,讓顧問把自已的知識與理念展現(xiàn)出來,然后我們再丟出一系列的問題去交流,只有這樣才能真正起到一個把關的作用,而不是讓咨詢公司先派出能力強的顧問師來打單,然后派一個能力差的顧問來服務,或者前期交流的顧問頂著一個項目經(jīng)理的帽子參與項目,選擇對了顧問師,比什么都重要,我認為在連過來服務顧問是誰的情況都不知道的情況下,去冒然把合同訂下是相當冒險的,相信我,中國真正的人才并不多,尤其是具備真正能實務經(jīng)驗與理論知識,并愿意真正扎進來幫助你提升的顧問更是少之又少,在ITIL這種領域內,那些所謂的專家,一并非如你想象的那么精深的,而且人家會把這種專家丟到你的公司來折騰嗎?在項目初期多花一些心思,比后面花十倍的功夫還要有價值,反正一條,一定要找到合適的顧問。
對咨詢公司的控制,最有約束力的就是合同,一定要明確雙方的責任,明確產出與交付,最好把顧問的人工也做一個約定,記住喔,日后不要隨意浪費顧問資源,也不要讓顧問沒事一整天呆在你的公司里,也不要讓顧問跑來公司呆個半天就算一天,這些好好的計算一下。還有一點就是付款方式,不要讓咨詢公司把過多的款項放在合同前期交付,點定義付款的點也是一個需要考慮的,是二級文件寫出來時付一部份嗎?什么叫寫出來呢?顧問到時為了這個點趕著大家寫出來,文件質量不高,或日后返頭修正,浪費更多的項目資源,這里的情況需要多考慮一下。還有培訓事宜,到底在項目過程中,咨詢公司提供多少培訓課時,什么人講,有多少證書,都是什么樣的證書,重要的是安排在什么時候,是不是與項目時程是切合的,這些最好都在合同中定義好,說白些,如果你找的家咨詢公司與顧問師是職業(yè)素養(yǎng)的,這些他們都會幫你考慮好,并做到,即便你不說,他也會去思考,但現(xiàn)實中,這種公司太少,這種顧問師太少了。從六年前接觸咨詢公司以來,我就非常反感這樣做管理咨詢,事實上中國的管理咨詢現(xiàn)狀沒有什么變化,可能還惡化了。博士、專家頭銜一堆,站在云端掰理論,這也說明絕大多數(shù)企業(yè)管理者是沒有嚴謹?shù)念^腦,所以才給了這些人這么大的生存空間,我見過一些號稱頂尖的業(yè)內專家,說來可笑,他們連基本的工作技能都不過關,基本的文件制作與講課能力還有管理理念都不有很大的不足,他們做的方案用基本的邏輯去看都存在漏洞問題,一個顧問是不是扎實,你可以從許多工作的細節(jié)可以看出來,那種專業(yè)精神是可以在他給你的任何一分產出都可以得以體現(xiàn)的。
四、過程的控制
這里說的過程控制是指項目過程,大體來說,可以說是進度控制與質量的控制
先說進度控制,一個可執(zhí)行而清晰的項目主計劃非常重要,我們的做法是根據(jù)公司的計劃體系,采用了三層計劃進行控制,第一層是項目主計劃,把項目主要的里程碑都標識出來,主計劃需要在項目一開始就完成制作,需要與顧問一同商議,因為你可能對過程的時長沒有知識去評估。第二層是戰(zhàn)術計劃,把每個大階段的計劃做出來,這個計劃是隨著進程一個一個的進行編制,比如馬上要到三四級文件的編制了,你就需要提前把三四級文件的階段計劃編出來。三層計劃就是執(zhí)行計劃,也就是周計劃,周計劃是根據(jù)二級計劃生成的,二級計劃又服從于一級計劃,這樣一層一層控制,把戰(zhàn)略目標分解到每周每人要做什么,我們是以每周做為一個計劃周期的,每周召開項目例會,回顧當周的計劃執(zhí)行情況,把下周的計劃公布出來,每周的計劃要做到一周一清,即一個計劃周期的任務在當前周期要消化掉,以免滾動到下一個計劃周期,要做到這個地步是需要比較大的控制力,做計劃的人要考慮周全。
質量的控制,其實對于ISO20000的質量,我認為關鍵在于兩點,一方面是我們體系的質量,這是體現(xiàn)在我們的每一份體系文件中的,另一個方面就是人員的培養(yǎng)質量,這是依賴于培訓的,而這兩者又是相輔相成的,體系文件是我們自已制作,如果制作者并沒有真正理解標準與理論,是不可能設計好的體系流程的,大家可能會說,我們每一個體系文件可以組織大家去評審,是的,可以的,我們也是這樣做的,但是真正那份文件的的流程與要求是那么“標準”時,除了這個流程經(jīng)理之外的人,是不太可能提出多少深入的意見,很多時候你會感受,這個東西好象說得有道理,但無法想象具體怎么執(zhí)行,這時更多需要依賴顧問的作用了,如果你的顧問在這種時候還是沒有接合你的業(yè)務實際,還是只站在標準的角度去回答你的一切問題,那你只能祈禱了。就我而言,去思考任何一份文件,首先考慮是它滿不滿足標準要求,然后是它是不是合乎我們的實際,請相信我,真正把握到流程與業(yè)務本質的人是極少的,我所說的實際,不是你業(yè)務現(xiàn)在就是這樣的,我說的實際是真正把握了你的業(yè)務特質,真正找到一個流程去控制跟管理,許多一線的主管人員可能他們熟悉實際在做些什么,但事實對于業(yè)務本質他們是極少思考的,需要有一個人去跨領域思考,我相信大多數(shù)問題是有一把鑰匙可以解開的,如果你看到了,你會強烈感受到這是你要的,當你把文件一打開后,里面說的云里霧里,看完后仍然有一種踩在綿花的感覺的話,一定存在著什么問題。最好的做法是,除了寄望于顧問與這流程設計者外,作為整個服務體系的負責人,最好是能夠深入到每一個流程去,你需要完全可以和顧問或者這個流程經(jīng)理做平等對話,我說的平等是這個流程知識掌握方面,體系的質量取決于你的每一份文件,把它們寫好,好好的控制評審過程。
五、成果呈現(xiàn)
做ISO20000這種管理性質的項目,時間比較長,又耗費資源,領導一開始時可能一腔熱情,但時間長后,他發(fā)現(xiàn)就是一天到晚開會,一天到晚寫文件,就會慢慢有些懷疑,久了如果再聽到一些對項目負面的說法,就會更加深擔心與懷疑,如果你的領導是一個完全的“理性人”,他的頭腦很清醒,也很堅定,這種情況可能你不會碰到,或者碰到也不會帶來什么太多的麻煩,但現(xiàn)實是很可能你沒有這的完美領導,注意我這里說的領導是指你公司高層的管理者,很可能就是你的總經(jīng)理,反正就是有生殺大權的人。這種時候,我們需要策略的用一些手段去做些什么,做一件工作,尤其是一件長期的工作,并不是一定要等到你的工作做完了,你才去說取得了什么成果的,人都是短視的,需要持續(xù)不斷的剌激,那怕剌激不大,這不重要,重要的是剌激,不要間斷。
好好理解你的項目,最好想清楚在什么時間,你可以正式跟你的老板呈現(xiàn)些什么了,這一定要有戰(zhàn)略的考慮,就是說別想到可以匯報什么了,就去組織,而是全面的考慮好,在什么點上做什么事情,哪怕在你無法說出在經(jīng)過一段時間的作業(yè)這個項目幫公司做了什么實質性的貢獻,但起碼你可以把計劃執(zhí)行情況說說吧,跟公司高層管理者的會議,可以每月進行一次,這個取決你的現(xiàn)實的公司情況,把它形成一個固定的機制,讓公司高層看到你的計劃執(zhí)行力非常強,項目管理非常有序,也是給他們打了一點強心針。這里面一直說的公司內部,上面有說過還有客戶,如何階段性的向客戶展現(xiàn)我們的成果與作業(yè)情況,也是非常必要的,做這些的考慮點只有一條,讓一切成為有利于項目的方向發(fā)展,不要讓任何一種力量站在項目的對立面,有時項目是很脆弱的,可能一個你沒有意識到的點,導致你的作業(yè)非常被動,一般來講只要你是一個合格的項目管理者,這個項目內在的風險你是一般會知道,而外部的風險控制得怎么樣,這就是合格與優(yōu)秀的區(qū)別了,我相信無論一個人類怎么優(yōu)秀,都不可能完全的控制住所有的問題與風險,他的項目一定非常成功,不存在這樣的事情,這是資源與DNA決定了的,一定會失敗的可能在每一個地方等著你,我們能做的就是盡可能把我們意識的問題控制好,有資源不充足的情況下(項目很少有資源充足的),項目管理者一般是自私的,你需要和別人爭奪資源,除非你不想項目有保障。項目管理者也會做一些自已不喜歡的事情,比如經(jīng)常性的匯報與會議,強勢的安排任務下去,導致個人關系的犧牲。沒有人喜歡變革,你引入 ISO20000時,就意味著你變革,也意味著組織的痛苦,我不相信導入一個服務體系,是可以在一團和氣與平靜歡喜的氛圍中完成的,沒有這樣完美的組織,也沒有這樣完美的人。
六、績效考核
績效現(xiàn)在是被大家說得爛了的一個詞,但它的確又很重要,績效考核的存在,會有利于項目過程的推進,也可以起到保障質量的作用,這需要考慮到項目需要,也需要考慮公司的特性,績效一定需要落到實處,做到一定的量化,這是你也是控制這個項目所有人員的一個工具,以便讓他們按你的軌跡前進。
在我們項目中,主要是為了進度方面的績效、質量方面的績效、行為方面的績效,而量是另一個緯度的,進度方面是我們是做法,凡是沒有按計劃完成任務的,凡是沒有達到質量要求完成任務的,都會留下記錄,行為方面是指缺席方面,其它的象態(tài)度這些沒有記錄,用腦子在項目結束打分,這些需要有清晰的記錄,每周的項目例會公布,做一定的分析統(tǒng)計,而且流程經(jīng)理在體系試運行與評審時,每一個問題點都會影響績效,這每一個點都會直接對應金額計算,用錢去懲罰,最后在項目獎金分配時,會兌現(xiàn)出來,這里要注意,績效考核的目的不是為了獎金的發(fā)放計算,而不是為了控制大家在項目過程的作業(yè),如果你的績效考核方式無法在作業(yè)過程促進質量的提升,你再量化,計算再清晰也沒有意義的,因為等你計算出來時,項目已結束,你發(fā)獎金也無助于項目質量的提升,這是非常關鍵的一個點,當你每周把每個項目成員的當前的問題數(shù)公布時,尤其是當有高層領導在場時那個在柱形圖或餅圖占用大一塊區(qū)域的人員,一定會被剌激到的,沒有人想做到最差,經(jīng)常開會不參加的人員,當你的每周的統(tǒng)計數(shù)據(jù)出來時,那個由于個人原因或工作原因缺席人員,他缺席最多,即使是他每次是因為工作原因,但時間長了,領導一定會奇怪一個問題,別人也是生產,他也是生產,為什么他缺席次數(shù)最多,是他的工作安排有問題嗎,這種有量化的數(shù)據(jù)一定會強迫他在未來一周去做一些改變,這種績效的記錄,數(shù)據(jù)采集不會特別復雜,也不會存在感情的因素在內,你只要在階段性的會議上公布出來,它就會幫助你約束你的項目成員的作業(yè)行為,而且最后,的確可以把你的項目獎金比較公布的分配出來,讓績效好者得到更多,讓績效差者者得到更少。
上面大概說了一些,只是我們ISO20000項目的一些策略與做法,這些是基于我們公司自已的現(xiàn)實情況的,并不會一定適用于別的公司,但應該可以有一些參考作用,而且我們許多點也沒有做好,這些點是我認為應該加以重點關注的,做項目難,做ISO20000項目更難,象以前面做軟件項目,是有非常清晰的目標的,而且相對是一個實體,但ISO20000這種項目,是一種管理性的活動,公司給你的質量要求絕不是一張證書那么簡單,證書只是最低要求,還要真正對運維服務管理起到作用,真正建設一個有效實用的體系,我們的情況復雜一些,因為我們還夾著一個ITSM系統(tǒng),要把在ISO20000實施過程中的沉淀用軟件去固化,而這個軟件的開發(fā)過程與ISO20000實施項目并行在做,等于是兩個項目一起搞,作業(yè)人員是同一批,而且我們還有一個REMEDY在哪兒支撐著業(yè)務,這一切都在一起時,可以想象復雜度與人員作業(yè)上的壓力,我們的情況也是一句話:在路上。。。。。。
ISO20000與ISO27001的區(qū)別和聯(lián)系
ISO20000在服務提供過程的“信息安全管理”部分中包括有對信息安全的要求。盡管兩者都專注于IT服務的管理,然而,在專注點和適用范圍上有著很大的不同:
ISO20000以流程為核心,定義了一系列比較抽象的流程目標,而ISO27001以控制點/控制措施為主,比較具體;
兩套體系規(guī)范的側重點有所不同,ISO20000是面向IT服務管理的質量體系標準,而ISO27001是面向信息安全的質量標準規(guī)范,ISO20000強調以流程的方式達到質量管理標準,ISO27001強調以風險控制點的方式來達到信息安全管理的目的;
兩套體系規(guī)范存在著許多的共性特征,如:事件管理、業(yè)務連續(xù)性管理、信息資產管理等方面,大多數(shù)的企業(yè)都會選擇將ISO20000與ISO27001認證項目一同實施,使兩套體系間的互補特性得到充分的發(fā)揮,更全面適用范圍不一樣
ISO20000適用于企業(yè)的IT服務部門,通常是IT部門
ISO27001適用于整個企業(yè),不僅僅是IT部門,還包括業(yè)務部門、財務、人事等部門
ISO20000認證流程
1.1 開展培訓,職能分工
1.1.1 培訓:
1.1.1.1 全員ISO20000基礎知識培訓。
培訓目的 :
了解ISO20000標準的內容;了解ISO20000標準的基本要求;了解ISO20000標準的實施辦法;了解企業(yè)推行ISO20000意義和計劃。
學習內容:
什么是ISO20000標準?對標準的理解;該公司推行ISO20000意義;該公司推行ISO20000的計劃和要求。
1.1.1.2 骨干培訓
培訓目的
了解ISO20000標準的基本內容;領導在體系中的作用;了解為什么要推行ISO20000;要了解如何推行ISO20000。
學習內容
ISO20000標準的結構、原理和內容概述;重要的質量概念;實施標準的指導思想;領導在體系中的作用; IT服務管理體系認證、維護和改進的過程。
參加人員
公司總經(jīng)理、副總經(jīng)理、各有關部門經(jīng)理和主管。
1.1.1.3 文件編寫技能培訓
培訓目的
掌握文件編寫方法;結合該公司實際如何編制有關文件。
學習內容
IT服務管理體系文件總論; IT服務管理體系編寫;程序文件編寫;工作文件編寫;管理計劃制定;管理記錄。
參加人員
企業(yè)各有關部門領導、ISO20000工作小組內的成員,專職管理人員。
1.1.2 建立組織:
1.1.2.1 領導小組 ISO20000委員會
推行ISO20000,領導是關鍵,企業(yè)領導應作正確決策,并積極地帶頭參加這項工作;給出人力和物力支援;成立領導小組,主要領導都應當參與;任命管理代表,負責標準中規(guī)定的職責; 及時處理有關重大問題;組織管理評審。
1.1.2.2 工作機
為了推行ISO20000,公司應成立專門工作機構,負責全公司推行ISO20000組織協(xié)調工作,作為一個辦事核心。應保證:
所有各有關部門都能參與工作小組;
有專職人員;
有骨干力量。骨干人員應對ISO20000有較全面系統(tǒng)的學習,最好有一定相關工作經(jīng)歷。
1.1.2.3 管理者代表
公司應按標準要求任命管理者代表。
應由最高管理者指定;管理者代表應是公司管理層成員;
管理者代表應具有如下職責:
確保按照標準規(guī)定建立、實施和維持IT服務管理體系要求;向管理者報告體系的執(zhí)行情況,以便評審和改進管理體系;管理者代表的職責還可以包括就IT服務管理體系方面與外部機構的聯(lián)絡。
1.1.3 系統(tǒng)調查、診斷
1.1.3.1 通過診斷,達到以下目的:
現(xiàn)有體系與標準的符合性:找出與標準之間差距;找出形成這些差距原因。
1.1.3.2 選擇合適的IT服務管理體系標準及其補充要求:
根據(jù)公司運作需要、合同要求、產品特點從ISO9000或其他標準中選擇適合于企業(yè)的管理體系標準;
在此的基礎上對選定標準進行必要的增刪,提出對IT服務管理體系補充要求。
1.1.3.3 識別確定對服務管理體系進行修改的內容:
體系標準和要素選擇;機構調整內容;體系文件清單;需新編制的文件(清單)
1.1.3.4 診斷的依據(jù)
診斷工作一般應按某一合適的IT服務管理體系標準、主要合同和本單位一些基本法規(guī)。根據(jù)各單位具體情況,診斷的依據(jù)可以歸納成如下幾個方面:
管理體系標準:例如ISO20000標準;
診斷所選擇的標準與申請認證的標準應是同一類型的。
合同:
IT服務管理體系應能基本滿足各客戶的要求,因此,合同應是論斷的一個重要依據(jù)。
本單位的基本規(guī)定、規(guī)程:
如有關標準化方面的、有關監(jiān)控方面的、有安全方面的等等,這些規(guī)定、規(guī)程是否合理及合理的內容是否被有效運行,診斷時要檢查的內容。
社會或行業(yè)有關法規(guī)
IT服務管理體系不僅要滿足管理體系標準、合同和公司有關規(guī)定,還應該符合國家、地區(qū)、行業(yè)有關法律、法規(guī)、規(guī)章制度的要求,診斷時應作為考慮。
⑴.有關安全法規(guī);
⑵.有關服務法規(guī);
⑶.有關環(huán)保法規(guī);
⑷.有關勞動法規(guī)
1.1.3.5 實施診斷的人員
實施診斷員可以是公司內部的人員,也可以公司委托的外部機構,如諮詢機構的人員,因此實施診斷的人員可以有如下幾方面:
諮詢人員:
如果公司聘請了諮詢人員,診斷工作可以其為主進行。為此諮詢機構可以委派專門診斷、檢查工作組,制訂計劃,在企業(yè)確認的基礎上按計劃進行診斷。
內部審核員:
如果公司有經(jīng)培訓合格并勝任該項工作的人員,可以授權其進行診斷工作。
第三方審核機構的人員:
如果公司有需要,可以聘請外部審核機構的審核員為公司進行診斷
1.1.3.6 診斷工作的實施過程
確定診斷小組。
確定診斷依據(jù)和診斷物件。
制訂診斷計劃,編制診斷工作文件。
現(xiàn)場診斷檢查
⑴.與現(xiàn)場人員交談,了解情況;
⑵.檢查現(xiàn)場文件和記錄;
⑶.如實記錄體系運行現(xiàn)狀。
提交診斷報告
⑴.不合格報告;
⑵.診斷結論;
⑶.體系文件清單;
⑷.需新編制和修訂的文件(清單)。
1.1.4 職能分工、體系設計
1.1.4.1 制訂IT服務管理方針;
1.1.4.2 任命管理者代表主要責任:
協(xié)助管理者確保按標準的要求建立IT服務管理體系。
負責體系的實施和維護。負責組織內部管理體系審核,向最高管理者報告體系執(zhí)行情況,以便評審和改進。
就IT服務管理體系方面問題與外部聯(lián)系。
1.1.4.3 選擇體系標準和要素
管理體系要素選擇
⑴.根據(jù)合同要求,可刪去所選擇標準中包含的某些服務管理體系要素或分要素,還可以涉及體系要素證實程度的調整;
⑵按合同要求,規(guī)定對管理體系的補充要求,例如統(tǒng)計程序控制要求、安全性要求等。
設計調整組織機構
⑴各部門職責應覆蓋標準要求.
⑵各部門有清楚的職責。
⑶各部門工作之間有合理的銜接。
⑷職能分工形成書面文件,并經(jīng)充分討論。
⑸應把有關管理的策劃、控制、協(xié)調、檢查、改進工作都反映出來。
確定新體系中文件結構
⑴典型文件層次
編寫文件、試點運
1.1.5 編寫文件
1.1.5.1 列出文件清單:
IT服務管理體系
⑴手冊的構
⑵職能的分配
⑶組織結構
⑷手冊中要素描
⑸有關支持性文件(針對某個具體事件的管理辦法、工作流程、或者詳細說明)
程序文件
⑴需編制哪些程序文
⑵每個程序文件對應標準哪個要
⑶各程序文件之間有無重復、有無遺
⑷各程序文件形成的記錄
⑸有關支援性文件
工作文件
⑴作業(yè)指導
⑵技術類文
⑶管理文件
⑷報告和表格
1.1.5.2 明確哪些舊文件作廢、哪些保留
1.1.5.3 分配文件編寫任務:
各部門參與
1.1.5.4 起草文件
1.1.5.5 文件討論:
內部討論─適用性
外部檢查─完整性
1.1.5.6 文件批準發(fā)效
審核、批準
復印、裝訂
受控、登記
發(fā)效、簽收
1.1.6 試點運行
1.1.6.1 向工作人員進行體系文件的交代:
手冊:特點、使用、保管要求;
程序:特點、注意事項、形成記錄、各程序之間介面;
工作文件:需要掌握關鍵問題如何記錄,報告不合格品。
1.1.6.2 培訓、宣傳:
培訓:崗位培訓;
特殊崗位培訓考核;
管理人員程序文件培訓;
全員IT服務管理方針、目標培訓。
宣傳:管理方針;
試運行計劃;
ISO20000認證計劃;
體系文件內容介紹。
1.1.6.3 其他配套工作:
監(jiān)控;
合格分承包方許定;
標識的制作。
1.1.6.4 試運行:
補充完善基礎工作:邊運行,邊完善第三層次文件;
修改體系文件:邊運行,邊修改不合適的文件;
作為記錄并保存好記錄以推供證據(jù)。
1.2 內部審核、正式運行
1.2.1 部審核、管理評審:
至少進行一次內部審核,按ISO20000要求制訂審核計劃、審核清單、審核報告、不合格項的跟蹤和監(jiān)督等有關活動記錄和文件應保存完好,以便以認證檢查。
至少安排一次管理評審,以評價新體系的有效性和適用性,同時積累一次管理評審活動記錄,評審按程序文件要求進行。
1.2.2 正式運行:
通過內部審核、管理評審,對體系文件中不切合實際或規(guī)定不合適之處進行及時的修改,在一系列修改後,發(fā)布第二版管理手冊、程序文件進行正式運行。
1.3 內部審核,準備認證
1.3.1 為了減少認證一次通過可能存在的某種風險,在由第三方正式審核之前,可以由內部審核組成類似的外部機構進行一次內部審核或請已確認的認證機構進行預審。
1.3.2 企業(yè)應本著對自己有利的觀點選擇認證機構,一般應從以下幾個方面考慮:
客戶要求;
企業(yè)所在地區(qū);在選擇認證機構時應在原則上既近又便;
認證機構的認證范圍和有效性;
費用;正常認證收費和交通、食宿等其他費用。
1.4 正式審核,體系維持
1.4.1 接受所選擇的認證機構的正式審核。
1.4.2 體系維持與提高
檢查現(xiàn)場中問題,不斷地改進和鞏固;
進一步完善體系文件,加強協(xié)調監(jiān)督工作
ISO20000管理介紹
1)管理體系:
目標:提供包括策略和架構的管理體系,使IT服務被有效的管理和實施。
內容:提出對管理層的職責要求、服務過程中的文件管制要求、人員的培訓要求。這一部分明確了一個IT服務商需要建立一個管理體系,并對這個管理體系提出了一系列的要求。
2)計劃與實施服務管理:
目標:PDCA應用于全部的流程。
內容:提出了對服務管理體系的計劃、實施、監(jiān)控評審、改進。這一部分明確了體系整體層面的PDCA要求,引入了ISO9001中的內審與管理評審等精神,同時非常注重體系的改進。
3)計劃和實施新的/變更的服務
目標:確保新服務和變更服務以協(xié)商的成本和服務質量來交付和管理。
內容:提出當一個新的服務或服務發(fā)生變更時,如何進行管理控制,并通過資源的布署,利用變更流程執(zhí)行評審。
4)服務級別管理
目標:定義、協(xié)商、記錄和管理服務級別。
內容:提出了文件化的服務級別協(xié)議、支持服務協(xié)議、供應商合同要求,階段性進行評審報告實際情況,并做服務改進。
5)能力管理
目標:確保IT服務商一直保持有效的能力去滿足當前和未來客戶的業(yè)務需求。
性能管理
目標:確保服務提供者在任何時間都有足夠的能力來滿足當前和未來的客戶業(yè)務需求。
能力管理必須產生、維護一個能力計劃。
能力管理必須滿足業(yè)務需求,包括:
a) 當前的和未來的能力和性能需求
b)服務升級時間、閥值和成本
c) 對計劃的服務升級、變更請求、新技術和新技能對能力所產生的作用的評估
d)外部變更對能力可能產生的影響,比如法律的
e) 用來進行預測分析的數(shù)據(jù)和流程
監(jiān)控服務能力、調整服務績效、提供足夠能力的方法、步驟和技術必須被明確。
內容:提出了能力計劃制訂要求,并需要進行相應的能力監(jiān)視及調整,包括相關的程序與技術。
6)服務持續(xù)性和可用性管理
目標:確保在所有情況達到承諾給客戶的服務持續(xù)性和可用性。
內容:提出了開發(fā)可用性與持續(xù)性計劃的要求,并定義對此計劃的維護與變更控制,同時需要進行相應的測試,以保障服務目標。
7)信息安全管理
目標:有效地管理所有服務活動中的信息安全。
內容:提出了信息安全的方針要求,定義對風險的控制及信息安全事件的管理。
8)財務管理
目標:提供服務成本的預算和核算。
內容:提出了對服務成本進行充分控制的要求,明確IT服務商需要如何有效管理預算。
9)業(yè)務關系管理
目標:在理解客戶和他們的業(yè)務基礎之上,服務供應商與客戶之間建立和維護良好的關系。
內容:提出了IT服務商需要與客戶建立周期性的溝通機制,并重點定義了哪一些信息是必須交互的,同時需要定義投訴流程,并對客戶滿意度進行測量,以促進服務改進。
10)供應商管理
目標:管理供應商,以確保無縫、有品質的服務。
內容:提出了對服務供應商的管理要求(含直接供應商與分包供應商),并定義了周期性的評審機制,以確保業(yè)務需求的滿足。
11)事件管理
目標:盡快恢復承諾的服務或響應服務請求。
內容:提出了事件的生命周期管理,明確了事件的分類分級要求,并強制規(guī)定了事件處理過程中的處置要求。
12)問題管理
目標:主動識別和分析事件的原因,管理問題的關閉,以減少對業(yè)務的破壞。
內容:提出了問題的生命周期管理,明確了問題的分類分級要求,并定義了問題流程對事件流程的支持要求,以及知名錯誤的標識要求。
13)配置管理
目標:定義并控制服務和基礎設施的組件,維護準確的配置信息。
內容:提出建立了配置策略的要求,定義了配置管理的信息邊界,同時對唯一性標識以及基線也做了明確規(guī)定,對CMDB的強制性規(guī)定,同時要求做周期的審計。
14)變更管理
目標:確保以受控的方式去評估、批準、實施和評審所有變更。
內容:提出了變更的分類,變更不成功的補救措施要求,定義了變更的趨勢分析,緊急變更需要適當?shù)氖跈嗫刂啤?/p>
15)發(fā)布管理
目標:交付、分發(fā)和跟蹤版本進入現(xiàn)實環(huán)境時的一個或多個變更。
內容:提出了發(fā)布恢復和補救要求,并要求建立可控的測試環(huán)境,以保障分布過程。
ISO/IEC20000-1:2011新版與老版ISO/IEC20000:2005的區(qū)別
2011年4月15日,國際標準化組織遵循所有標準每隔5年必須進行升級的原則以及出于對術語國際化和一致性的考慮,正式發(fā)布IT服務管理最新國際標準ISO/IEC 20000-1:2011新版融入了ISO20000至2005年發(fā)布以來業(yè)界的實踐經(jīng)驗和行業(yè)新的變化。
一、2011版概述
2011版標準的要求包括了服務管理體系(SMS)、設計和轉換新的或變更的服務以及包含了4大過程(process)、13個流程(process3)共計256個控制點,服務管理體系
2011版與2005版的區(qū)別
1.思路上:進一步明確了服務管理體系(SMS),闡述了服務管理體系、服務管理流程、服務之間的相互關系
2.內容上:
a.范圍:此為新增內容,主要說明哪些組織適用于進行ISO/IEC20000認證
b.其他部門運營流程的治理:此為新增部分,主要說明服務提供商需要其他組織運營服務管理流程的某些部分時,服務服務提供商應識別這些流程,并通過某種方式對其進行治理
c.策劃和實施新服務或變更的服務:考慮到與ITILv3的一致性,將其更新為設計和轉換新服務或變更的服務
d.文檔需求:進行了擴展,并與ISO9001相一致
e.資源管理:進行了擴展,并與ISO9001相一致
f.PDCA中的監(jiān)視、檢查流程:與ISO9001相一致,將內部審核和管理評審進行獨立描述
g.能力管理流程:進行了擴展和詳細闡述,因為它以前是一個比較弱的流程
h.信息安全管理流程:與ISO27001 進行了更多的融合,但仍以子集的形式保持,通過將內容拆分成策略、控制、安全事件和變更
i.事件管理流程:考慮到與ITILv3的一致性,將事件管理擴展為事件和服務請求管理
j.發(fā)布管理:擴展為發(fā)布和部署管理,并歸入到控制管理流程
k.形式上:由2005版的16頁變化為2011版的26頁(更多的定義與擴展介紹4頁;擴展內容列表與其他子標題2頁;其他需求4頁)
新證轉換
1.轉換時間安排
a.認可機構通常認可18個月的轉換周期; ISO20000-1:2011 2011-04-15日發(fā)布,通常2012-10-14日后不可再發(fā)ISO20000-1:2005版本證書
b.第一階段:2011-04-15到2011-10-14之間客戶仍然可以申請ISO20000-1:2005認證;在第二年的定期審核或換證審核時再做版本轉換.
c.第二階段2011-10-15到2012-10-14日客戶只能申請ISO20000-1:2011認證
2.轉換準備階段
a.通常各認證機構會有一個準備周期,準備周期的時間通常是3個月;認證機構的準備周期需要向認可機構申報,并獲得同意
b.如果獲得認可機構(例如UKAS)批準,轉換周期的安排會順延3個月
c.順延后的時間安排是,第一階段2011-07-15到2012-01-14日;第二階段是2012-01-15到2013-01-14日
3、對于計劃通過認證的企業(yè):
a.在2011/10/15日之前,可以繼續(xù)申請2005舊版標準。(注:此處的申請為審核機構向上級機構的申請,也就是說你已經(jīng)通過了第二次外審了)但第二年續(xù)審時必須采用新版標準。也就是說你可以先以ISO/IEC 20000-1:2005拿到證書,但是未來的一年里你還必須按照新版標準的要求,補足與新版的差距,否則第二年無法通過續(xù)審。
b.2011/10/15日之后,則必須使用2011新版標準。對于那些計劃在此時間之后獲得證書的企業(yè),建議現(xiàn)在開始就用新標準要求來建立你企業(yè)的IT服務管理體系,否則到時認證時將會有較大的差距。
4、對于已獲得2005舊版標準認證的企業(yè):
a.在2011/10/15日之后的續(xù)審,必須使用2011新版標準。也就是說未來幾個月時間,你的企業(yè)必須補足與新版的差距,否則無法通過續(xù)審。
b.在2012/10/15之后,ISO/IEC 20000-1:2005舊版證書將失效,要做換證工作,換為新版標準證書。