ISO27000/ISO27001
温州-ISO20000出台带来巨大冲击- 惠普IT管理学院副院长张劲
发布日期:[2018-02-03 21:53] 点击率: 2005年12月15日,国际标准化组织和国际电工委员会正式颁布"ISO/IEC
20000:信息技术服务管理"标准,这是国际范围内认可的第一部规范IT服务管理的标准。它的颁布意味着IT服务管理在全球的应用进程又向前迈进了一大步。
标准出台正当其时
可以拿ISO/IEC20000与已普遍应用的ISO9000系列质量管理标准做个类比。目前ISO9000已经被各行业的质量管理者奉为共同的参考准则和框架,它浓缩了国际上质量管理工作的经验,通过总结和提升,形成了要做好质量工作就必须遵循的要素。各企业的质量管理者不必再从零开始,比照ISO9000结合自己企业的实际进行剪裁应用,省时省力。同时,伴随ISO9000所建立起来的培训、咨询、认证等服务产业链条也保证了 ISO9000的实施与广泛应用,现在,获得ISO9000的认证也是对质量管理能力的一种基本认可。
ISO/IEC20000将在IT管理领域起到类似的作用,它让IT管理工作者有一个参考框架用来管理IT服务,同时,完善的IT管理水平也能通过认证的方式表现出来。从上个世纪80年代开始,信息技术开始大规模应用,从管理角度看,从事的基本管理工作也相似,但长久以来,在国际上没有一个相对全面的标准指导IT管理工作,各个国家和行业都自己做着探索。在中国,由于IT规模应用时间不长,粗放的管理方式一直延续了下来,在信息技术日益成为企业运作重要支柱的今天,弊端逐步显露,我们同样到了必须加强IT管理的阶段,ISO/IEC20000的出现正当其时。
ISO/IEC20000:
"信息技术服务管理"包括两部分内容。第一部分:标准规范,对IT服务管理提出了要求,也将是认证的依照部分。第二部分:实施守则,对标准第一部分的内容进行了解释和应用指导。ISO/IEC20000的核心是要求和指导IT组织建立起流程化的管理框架,标准的主体内容如图1所示。
在ISO/IEC20000
流程框架中共分为五大流程组,十三个管理流程。这个框架并非一个简单的组合,而是在业界广泛认可的IT服务管理流程的基础之上,从流程、人员、技术和合作者四个方面来规划企业的IT管理结构,是全面集成的
IT 管理流程图,对遍布全球的各行业的IT组织发现问题、找到解决办法具有非常重要的参考价值。
ISO/IEC
20000希望促进IT组织采用流程整合的方法,有效地交付和管理IT服务以满足业务和客户的需求。对于期望高效执行IT服务管理的组织而言,需要识别并管理大量的相关活动。服务管理流程的整合实施,为持续控制和改善IT服务提供了可能。
标准产生的主要背景及历程
早在20世纪80年代中期,英国政府计算机和电信管理局(CCTA)(后来并入英国政府商务部(OGC))组织开发出一套有效的IT管理实践方法,并出版了"IT管理最佳实践经验库",即ITIL (Information Technology Infrastructure Library)。ITIL于20世纪90年代初很快在欧洲流行起来。到20世纪90年代中期,ITIL成为事实上的欧洲IT服务管理标准。2001年英国标准协会(BSI)在国际IT服务管理论坛(ITSMF)年会上正式发布了以ITIL为基础的英国国家标准BS15000:信息技术服务管理。2002 年,BS15000被提交给国际标准化组织(ISO),申请成为IT服务管理国际标准,并在2005年12月15日得以正式颁布。 ISO/IEC20000的推出应该说有着长时间的实践基础和成功积累,这也是它能被广泛应用的前提。
ISO/IEC20000的影响
首先,ISO/IEC20000作为一个国际标准将改变人们对ITSM的看待方式。因为原来的ITIL是一种推荐做法,或者说是一种参考资料。在ISO/IEC20000出台以后,很多企业将不得不面对它,就像ISO9000一样,未来很多企业将不得不努力去得到
ISO/IEC20000的认证,并且确保在实际工作过程中严格遵循该认证标准的要求。
其次,ISO/IEC20000推出后引起了各方面的改变。随着ISO/IEC20000的推出,
ITIL将在今年年底推出新的版本ITIL3.0。原来的ITIL的理论只是一些相对比较孤立的流程和单独的体系,本身并没有生命周期的概念。
ISO/IEC20000推出后,一个很重要的方法论就是它要遵循PDCA(Plan,Do,Check,Act)循环,这是ISO/IEC20000里明确提出的一种实施管理提升的方法论。应对于这样的一个要求,ITIL改版最大的一个变化是在ITIL3.0引入了生命周期的循环。原来的ITIL的核心就是服务交付,或者服务支持这两大模块,而新的ITIL3.0完全改变这种方式,把所有的流程、所有的管理实践按照生命周期重新组合,分为5个模块:服务的战略、服务的设计、服务的引入、服务的运维、服务的改进5大模块,这5大模块实际上形成了PDCA的流程,即以服务战略为核心,服务的设计相当于做“计划”plan,服务的引入和落实相当于“做”do,服务的运维需要不断地在日常的工作中“检查和完善”check,最后服务的改进就是“完善和提高”
act。
第三,企业也会因此加快其ITSM的进程,很多企业因为要尽快拿到该标准的认证,这对企业,对实施服务厂商都将带来挑战,包括理念上要重新思考IT管理发展的方向,对人员能力要进行规划和提升等。
对刚开始了解ISO/IEC20000的IT组织来说,可能脚下的路还比较长,因为在标准所列的十三个流程中,不是能够一下全部实施的,这些流程间本身就有一些先后顺序的潜在要求,不深入了解肯定难以有好的效果,这也决定了ISO/IEC20000的实施带有一定的难度和专业性,对相应的服务商的
"门槛"要求也不低。