第二章 文獻探討
第二節 ISO/IEC 20000
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第二節 ISO/IEC 20000
ITIL 是為了改善資訊科技服務管理的問題而發展出的一套對應 的服務管理架構規範,而 ISO/IEC 20000 則是以 ITIL 為核心,最早針 對 IT 服務管理所訂定的國際標準為由英國標準 BS15000,BS15000 是世界上第一個針對 IT 服務管理的國家標準,提出了一系列相對獨 立又彼此互相關聯的服務管理所需要的管理流程,包含兩部份:標準 規範與實踐指南。其後在 2005 年針對 ITIL V2 正式發布 ISO/IEC 20000 版本,受世界各國與產業的認同。
壹、 ISO/IEC 20000 簡介
ISO/IEC 20000 是 資 訊 科 技 服 務 管 理 的 國 際 標 準 , 遵 循 了 PDCA(Plan-Do-Check-Act)循環機制,確保所有服務管理流程能有效 且適當地被建立、整合並持續改善。由於 ISO/IEC 20000 是企業組織 作為提升資訊科技服務管理品質與績效的驗證標準,與 ITIL 對於企 業組織的資訊科技服務流程提供詳細的引導與建議規範不同,兩者關 係如圖 2-4 所示:
圖 2-4、ISO/IEC 20000 與 ITIL 關係圖
資料來源:本研究整理自 www.itservicestrategy.com
最下層是 IT Service Management,主要為組織內部的工作程序指 示與文件,第二層是 ITIL 的最佳實務參考指南,為依據 ITIL 達到最 佳實務的執行方式,第三層為 ISO/IEC 20000-2 管理指南參考的方
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
向,給希望通過該標準的服務提供者解釋與指導;最上層為 ISO/IEC 20000-1 所必須遵循之規範標準,陳述了企業該如何遵循這套標準,
並依靠這套標準通過驗證,內容包含了:管理系統、服務規劃、流程 關係、服務交付、控制、發佈。由圖可知 ISO/IEC 20000 是在 ITIL 的基礎之上建立的。
貳、 ISO/IEC 20000:2005 內容 一、 規範與實踐指南
ISO/IEC 20000 所提供的國際標準在於 IT 服務管理,內容分為 主 要 兩 部 分 : 第 一 部 分 為 服 務 管 理 規 範 (ISO/IEC 20000-1 The Specification for Service Management),是可做為驗證之標準規範,定 義服務管理的規劃與執行及其所需的要求,以達到整合流程並有效地 管理 IT 所提供的服務,滿足業務及顧客的需求。主要包括以下十點:
(一) 服務管理的範圍(Scope)
(二) 名詞與定義(Terms and Definitions)
(三) 服務管理的計畫和實施(Planning and Implementing Service Management)
(四) 管理系統的要求(Requirements for a Management System)
(五) 新的或變更的服務計畫和實施(Planning and Implementing New or Changed Services)
(六) 服務提供的流程(Service Delivery Processes) (七) 關係流程(Relationship Processes)
(八) 控制流程(Control Processes) (九) 決議流程(Resolution Processes) (十) 發行流程(Release Processes)
第二部分為實施準則(ISO/IEC 20000-2 The Code of Practice),標 準的執行方針,著重於技術層面,描述服務管理的最佳方法,與第一 部份的標準相結合,為稽核人員提供 IT 服務管理產業一致認同的指 南,並且為服務提供者實施服務改進計畫或通過 ISO/IEC 20000 稽核 提 供 指 導 。 此 兩 部 分 內 容 雖 分 為 ISO/IEC 20000-1 與 ISO/IEC 20000-2,但在閱讀時應兩者互相結合,使用管理規範搭配實施準則,
能更完整地瞭解 IT 服務管理,增進組織的服務品質。
二、 服務管理規劃與五大流程模組
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
(一) 服務管理規劃與實作
「計畫-執行-檢查-行動(Plan-Do-Check-Act, PDCA)」著稱的 方法論,可被應用到所有的過程上。PDCA 可描述如下:
1. 計畫(Plan):建立交付與客戶需求及組織政策一致之結 果,所需的目標與過程。
2. 執行(Do):實作過程,執行服務管理目標和計畫。
3. 檢查(Check):根據政策、目標與需求監視及量測各項過 程,並且回報結果,評審服務管理目標和計畫的完成情況。
4. 行動(Action):採取行動以持續改善績效指標,改進服務 交付和管理的效率及有效性。
圖 2-5、PDCA 方法論在服務管理過程中之應用 資料來源:ISO[2005]
(二) 五大流程模組
ISO/IEC 20000 分為服務交付流程、關係流程、解決流程、
控制流程及發行流程等 5 大流程模組,以及 13 個相關的服務管 理流程,如所示每個流程都有 KPI 以數字展現資訊服務績效,也 考慮到系統容量、新增系統與改變(Change)時所需的服務管理等 以及財務預算、軟體管制及發佈等問題。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
圖 2-6、IT 服務管理流程 資料來源:ISO[2005]
各服務管理流程目的簡述如下:
1. 服務等級管理:定義、協商、紀錄並能管理服務等級。
2. 服務報告:為有效溝通和制定決策,而及時編制、可靠、
準確並一致的報告。
3. 服務連續性及可用性管理:確保在所有情況下,都可以實 現向顧客承諾的服務持續性和可用性。
4. IT 服務預算及財務管理:制定預算並解釋服務提供成本。
5. 容量管理:確保服務提供商在任何時候都有足夠的容量,
以滿足與顧客約定的、顧客當前和未來的業務需求。
6. 資訊安全管理:在所有服務活動中有效管理資訊安全。
7. 營運關係管理:基於對顧客及其對業務驅動的瞭解,形成 並保持服務提供商與顧客之間的良好關係。
8. 供應商管理:確保服務供應商持續提供高品質的服務。
9. 事故管理:盡快恢復約定的業務服務,或回應服務要求。
10. 問題管理:通過事故原因的預先識別、分析、管理直至結 束,來最小化對業務的影響。
11. 組態管理:規定並控制服務和組態元件,並保持正確的組 態資訊。
12. 變更管理:確保以一種受控制的方式,對變更進行評估、
批准、實施和評審。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
13. 發行管理:交付、分發並追溯在發行到實際作業環境中的 一個或多個變更。
參、 ISO/IEC 20000:2011 內容
ISO/IEC 20000 在 2011 年推出新版,對於第一版進行了修訂,為 了與 ISO 9001、ISO 27001 標準更為一致,新增了許多新的定義,導 入服務管理體系(Service Management System, SMS)並明確定義了 SMS 範圍的要求,結合 PDCA 方法論應用於 SMS 之中。ISO/IEC 20000-1 標準由資訊科技-服務管理標準組成,包括:
一、 服務管理體系要求(Service management system requirements) 二、 服務管理體系應用指南(Guidance on the application of service
management systems)
三、 ISO/IEC 20000-1 範圍定義和適用性指南【技術報告】(Guidance on the scope definition and applicability of ISO/IEC 20000-1[Technical Report])
四、 流程參考模型【技術報告】(Process reference model[Technical Report])
五、 ISO/IEC 20000-1 實 施 計 畫 模 型 【 技 術 報 告 】 (Exemplar implementation plan for ISO/IEC 20000- 1[Technical Report])
圖 2-7 展示了服務管理體系以及所包括的服務管理流程,不同的 服務提供者可採用不同的方式執行服務管理流程及其流程之間的關 聯。服務提供者和客戶之間關係的性質將如何實施影響服務管理流 程。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
圖 2-7、IT 服務管理體系 資料來源:ISO[2011]
與 ISO/IEC 20000:2005 初步相較之下,2011 版將原有的服務管 理流程重新架構包含在新提出的服務管理體系之下,其細項也有調 整,詳細差異於第三章差異比較分析研究中探討,本節對於新增的 服務管理體系之要求簡述如下列五項:
一、 管理階層責任
管理階層責任包含管理承諾、服務管理政策、權利、職責和溝通 及管理者代表。管理承諾中描述管理階層應透過活動,提供對規劃、
建立、實施、維運、監控、審查、維護和改進 SMS 與服務;服務管 理政策則需要符合服務提供者的目標、提供制定和審查服務管理目標 的機制並持續改善;管理階層也應確保服務管理的權利和職責有被明 確定義並維護,其文件化的溝通程序確實建立並實施;此外,管理階 層應任命一管理人員,承擔其職責與權利,確保識別、紀錄和滿足服 務需求的活動被執行,並對管理階層報告 SMS 和服務的執行情況與 改進機會。
二、 其他團體維運之流程治理
對於流程,服務提供者應識別那些由其他相關團體營運的所有或 部分流程。其他相關團體可能是內部團隊、某一客戶或某一供應商。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
服務提供者透過以下活動顯示對其他相關方所營運流程的管控:
(一) 表明對流程負最終的責任,並擁有要求相關團體遵循流程的 權利。
(二) 控制流程並定義流程與其他流程的關聯。
(三) 確定流程的執行效果和對流程需求的遵循情況。
(四) 控制流程改進的計劃和排列優先順序。當供應商執行部分流 程時,服務提供者應透過供應商管理流程管理供應商。當內部團 隊或客戶執行部分流程時,服務提供者應透過服務水準管理流程 管理內部團隊和客戶。
三、 文件管理
文件管理包含建立和維護文件、文件的控制、紀錄的控制。服務 提供者應建立和維護文件(包含紀錄),確保對 SMS 進行有效的規劃、
執行和控制,對服務管理政策和目標、服務管理計劃、服務目錄、服 務管理流程、ISO/IEC 20000 標準所要求的文件化程序和紀錄包含各 流程文件化的策略和計畫和服務提供者確保 SMS 有效運行和服務交 付所需的其他文件進行文件化。文件和紀錄都應被保存,以證實符合 要求和 SMS 的有效運行,紀錄應清晰、易於識別和搜尋。
四、 資源管理
資源管理包含資源的提供、人力資源。服務提供者應決定並提供 所需的人員、技術、資訊和財務資源;人力資源方面則應確定服務提 供者的人員有能力勝任其所承擔的工作,以滿足服務需求,透過適當 的教育訓練、培訓、技術和經驗等。
五、 建立服務管理系統
服務提供者應在服務管理計劃中定義 SMS 的範圍,之後透過 PDCA 方法論實現服務管理系統,同時也應採用適宜的方法監控和測 量 SMS 和服務,如內部稽核(Internal Audit)和管理審查(Management Review),最終目的是為了維護和改進 SMS。
肆、 ISO/IEC 20000 應用現況 一、 ISO/IEC 20000 驗證
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
依據 itSMF 統計資料顯示,截至 2012 年 5 月止,世界各國通過 ISO/IEC 20000 驗證的組織單位數共有 605 個,台灣共有 29 個組織通 過驗證,居全球第七位,如圖 2-8。
圖 2-8、全球通過 ISO/IEC 20000 驗證數前 10 名 資料來源:本研究整理自 itSMF[2012]
目前 ISO/IEC 20000 取得驗證的單位有對於目前台灣已通過 ISO/IEC 20000 驗證的組織單位,其產業分布如圖 2-9 所示,詳細通 過組織單位資訊請參照附錄一。
圖 2-9、台灣 ISO/IEC 20000 驗證產業分布圖 資料來源:本研究整理自 itSMF[2012]
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
二、 ISO/IEC 20000 與 ITIL 實施效益
林良原[2005] 以 ITIL 流程改善模型進行 SLM 導入之研究─以某 證券公司資訊部門為例,其研究針對業務單位對 IT 部門所提供的資 訊服務期望,透過 ITIL 的服務水準管理流程來加以定義及描述。研 究發現透過案例系統在服務水準管理流程中所獲得的業務單位對 IT 部門的服務期望資訊,對照現況 IT 部門的服務表現與目標水準的差
林良原[2005] 以 ITIL 流程改善模型進行 SLM 導入之研究─以某 證券公司資訊部門為例,其研究針對業務單位對 IT 部門所提供的資 訊服務期望,透過 ITIL 的服務水準管理流程來加以定義及描述。研 究發現透過案例系統在服務水準管理流程中所獲得的業務單位對 IT 部門的服務期望資訊,對照現況 IT 部門的服務表現與目標水準的差