認證簡介
? ? ? ? ISO/IEC20000是國際標(biāo)準(zhǔn)化組織(ISO)于2005年12月15日正式發(fā)布的;其最新版本ISO/IEC20000-1:2018新版于2018年9月15日正式發(fā)布�����。
? ? ? ?專門針對信息技術(shù)服務(wù)管理(IT Service Management)領(lǐng)域的國際標(biāo)準(zhǔn)�。ISO/IEC20000是建立和維護IT服務(wù)管理體系的標(biāo)準(zhǔn),它要求應(yīng)該通過這樣的過程來建立ITSMS框架:確定體系范圍�����,制定IT服務(wù)管理方針���,明確管理職責(zé)�,通過差距分析確定適合自己組織實際情況的流程框架及活動���。體系一旦建立�,組織應(yīng)該實施�、維護和持續(xù)改進ITSMS,保持體系運作的有效性�����。
? ? ? ?此外���,ISO/IEC20000和其他管理體系一樣非常強調(diào)IT服務(wù)管理過程中文件化的工作���,ITSMS的文件體系應(yīng)該包括服務(wù)管理方針��、目標(biāo)及其策劃��,新服務(wù)或變更服務(wù)策劃和實施所需文件���,13個管理流程所需的流程和程序文件���,以及組織圍繞 ITSMS開展的所有活動的證明材料���。
? ? ? ?ISO20000發(fā)展歷程總結(jié)如下:
? ? ? ?ISO20000是針對IT服務(wù)管理而制定的一個標(biāo)準(zhǔn),最早始于1995年�,后來幾經(jīng)改版,成為了目前由兩部分內(nèi)容構(gòu)成的并且被廣泛接受的IT服務(wù)管理標(biāo)準(zhǔn)��。此標(biāo)準(zhǔn)規(guī)范旨在幫助組織衡量與了解自身的IT服務(wù)品質(zhì)���,進而依照 公認的“P-D-C-A”方法論建立適合自己的“IT服務(wù)管理”流程與方法�����,除可確保其所提供的服務(wù)符合客戶企業(yè)的需求�,也可確保在有限的預(yù)算下,提升系統(tǒng)及其服務(wù)的可靠性及可用性�����,并且符合國際規(guī)范��。
? ? ? ?目前�����,ISO/IEC20000標(biāo)準(zhǔn)正式公布的為兩部分:
? ? ? ?ISO/IEC 20000-1:2018服務(wù)管理系統(tǒng)需求——詳細描述服務(wù)提供商計劃�����、建立����、實施、運營�、監(jiān)控、檢查�、維護和改進服務(wù)管理系統(tǒng)的需求,以提供給其客戶一個可接受的服務(wù)品質(zhì)�����。
? ? ? ?ISO/IEC 20000-2:2019服務(wù)管理實踐規(guī)則——以指引和建議的方式描述第一部分中各個服務(wù)管理流程的最佳實踐方法。
?
? ? ? ?ISO20000認證申請認證的條件:
? ? ? ?1) 中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》�、《生產(chǎn)許可證》或等效文件;外國企業(yè)持
有關(guān)機構(gòu)的登記注冊證明���。
? ? ? ?2) 申請方的IT服務(wù)管理體系已按ISO20000標(biāo)準(zhǔn)的要求建立�����,并實施運行3個月以上����。
? ? ? ?3) 至少完成一次內(nèi)部審核�����,并進行了管理評審��。
? ? ? ?4) 信息技術(shù)服務(wù)管理體系運行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰�。?
認證益處
? ? ? ?構(gòu)建符合ISO/IEC20000標(biāo)準(zhǔn)要求的服務(wù)管理體系��,不僅是IT組織對所提供IT服務(wù)優(yōu)良品質(zhì)的證明���,也是很多IT組織向業(yè)務(wù)導(dǎo)向轉(zhuǎn)型的一種方式����。通過管理體系的導(dǎo)入,使得服務(wù)流程更加規(guī)范化���、專業(yè)化�����,并在最適合的成本范圍內(nèi)����,提供高品質(zhì)的服務(wù)�����,以增加服務(wù)使用者的滿意度���,同時�����,提升IT組織的IT投資回報率�。因此,我們從平衡計分卡的四個維度來分析導(dǎo)入IT服務(wù)管理體系的價值與意義:
? ? ? ?■ 財務(wù)面:降低了IT運行的成本���,提高了IT投資回報率����。
? ? ? ?■ 客戶面:增強了快速響應(yīng)業(yè)務(wù)需求的能力���,提高了客戶滿意度�。
? ? ? ?■ 流程面:過去說不清楚的都以標(biāo)準(zhǔn)化流程及統(tǒng)計數(shù)字表現(xiàn)���。
? ? ? ?■ 組織面:提升企業(yè)形象的同時�����,建成了一支掌握服務(wù)能力專業(yè)化隊伍�����。
? ? ? ?更重要的是,通過認證���,還有助于服務(wù)文化及持續(xù)改進機制的形成�����,進而提升IT組織的核心競爭力��。
?
認證流程
? ? ? ? 信息安全管理體系認證程序大致上分為以下四個階段:
? ? ? ? 1�、申請階段
? ? ? ? 申請認證的組織首先要綜合考慮各認證機構(gòu)的權(quán)威性、信譽和費用等方面的因素���,選擇合適的認證機構(gòu)����,并與其取得聯(lián)系��,提出信息技術(shù)服務(wù)管理體系認證申請���。認證機構(gòu)接到申請方的正式申請書之后��,將對申請方的申請文件進行初步的審查��,如果符合申請要求�����,與其簽訂信息技術(shù)服務(wù)管理體系認證注冊合同�,確定受理其申請。為快速高效填寫申請材料�����、準(zhǔn)備迎審材料�、選擇認證機構(gòu)、安排認證審核����,申請方可選擇經(jīng)驗豐富的認證咨詢機構(gòu),指導(dǎo)整個認證業(yè)務(wù)的實施���。
? ? ? ? 2����、認證審核階段
? ? ? ? 在整個認證過程中�,對申請方的信息技術(shù)服務(wù)管理體系的審核是最關(guān)鍵的環(huán)節(jié)。認證機構(gòu)正式受理申請方的申請之后����,迅速組成一個審核小組,并任命一個審核組長�,審核組中至少有一名具有該審核范圍專業(yè)項目種類的專業(yè)審核人員或技術(shù)專家����,協(xié)助審核組進行審核工作��。審核工作大致分為3步:
? ? ? ? 1)文件審核(一階段審核)?
? ? ? ? 對申請方提交的準(zhǔn)備文件進行詳細的審查���,這是實施現(xiàn)場審核基礎(chǔ)工作。申請方需要編寫好其信息技術(shù)服務(wù)管理體系文件��,在審核過程中�����,若發(fā)現(xiàn)申請方的管理手冊不符合要求��,則由其采取有效糾正措施直至符合要求��。認證機構(gòu)對這些文件進行認真審核之后�,如果認為合格,就準(zhǔn)備進入現(xiàn)場審核階段����。
? ? ? ? ?2)現(xiàn)場審核(二階段審核)
? ? ? ? 在完成對申請方的文件審查和預(yù)審基礎(chǔ)上,審核組長要制定一個審核計劃����,告知申請方并征求申請方的意見���,申請方接到審核計劃之后,如果對審核計劃的某些條款或安排有不同意見�,立即通知審核組長或認證機構(gòu),并在現(xiàn)場審核前解決好這些問題�。解決好這些問題之后,審核組正式實施現(xiàn)場審核���,主要目的就是通過對申請方進行現(xiàn)場實地考察���,驗證信息安全管理手冊、程序文件��、作業(yè)指導(dǎo)書���、流程文件等一系列文件的實際執(zhí)行情況��,從而來評價該信息技術(shù)服務(wù)管理體系運行的有效性����,判別申請方建立的信息技術(shù)服務(wù)管理體系和ISO?20000標(biāo)準(zhǔn)是否相符合����。在實施現(xiàn)場審核過程中�����,審核小組每天都要進行內(nèi)部討論,由審核組長主持��,全體審核員參加�,對本次審核的結(jié)果進行全面的評定,確定現(xiàn)場審核中發(fā)現(xiàn)的哪些不符合情況需寫成不符合項報告及其嚴重程度����。
? ? ? ? 3)跟蹤審核?
? ? ? ? 申請方按照審核計劃與認證機構(gòu)商定時間糾正發(fā)現(xiàn)的不符合項,糾正措施完成之后遞交認證機構(gòu)����。認證機構(gòu)收到材料后,組織原來的審核小組的成員對糾正措施的效果進行跟蹤審核����。如果審核結(jié)果表明被審核方報來的材料詳細確實,則可以進入注冊階段的工作�。
? ? ? ? 3、報批并頒發(fā)證書
? ? ? ? 根據(jù)注冊材料上報清單的要求����,審核組長對上報材料進行整理并填寫注冊推薦表����,該表最后上交認證機構(gòu)進行復(fù)審����,如果合格,認證機構(gòu)將編制并發(fā)放證書�,將該申請方列入獲證目錄,申請方可以通過各種媒介來宣傳��,并可以在產(chǎn)品上加貼注冊標(biāo)識�。
? ? ? ? 4、監(jiān)督檢查及復(fù)審�����、換證
? ? ? ? 在證書有效期限內(nèi)�����,認證機構(gòu)對獲證企業(yè)進行監(jiān)督檢查���,以保證該信息技術(shù)服務(wù)管理體系符合ISO?20000標(biāo)準(zhǔn)要求���,并能夠切實���、有效地運行。證書有效期滿后���,或者企業(yè)的認證范圍、模式���、機構(gòu)名稱等發(fā)生重大變化后��,該認證機構(gòu)受理企業(yè)的換證申請��,以保證企業(yè)不斷改進和完善其信息安全管理體系����。
?
? ? ? ? ISO/IEC20000信息技術(shù)服務(wù)管理體系認證的通用流程具體包括:
? ? ? ? 啟動認證項目——認證咨詢——提交認證申請及申請材料——簽訂認證合同——確定審核方案并任命審核組——一階段審核——二階段審核——認證決定——認證注冊并發(fā)放認證證書——年度監(jiān)督審核——到期后再認證��。
發(fā)證單位
? ? ? ?頒發(fā)ISO20000信息技術(shù)服務(wù)管理體系證書的認證機構(gòu)必需是經(jīng)過CNCA國家認證監(jiān)督委員會(認監(jiān)委)認可的認證機構(gòu)方可在國內(nèi)進行審核發(fā)證�,所有通過認證且合法的證書均可在CNCA的網(wǎng)站上進行查詢。質(zhì)能公司與CQC���、SGS��、BV�、PRI、BSI����、新時代、軍友誠信����、新世紀(jì)、三星九千��、新紀(jì)源�����、航協(xié)認證等多家知名認證機構(gòu)保持良好合作關(guān)系����,能夠根據(jù)客戶需求,推薦最適宜的認證機構(gòu)�����,滿足企業(yè)快速獲證的需求����。
獲證周期
? ? ? ?認證周期根據(jù)公司規(guī)模�����、認證范圍和產(chǎn)品與服務(wù)的復(fù)雜程度相關(guān)��,一般中小型企業(yè)的認證周期為從項目實施到獲證:約2-3個月����。加急項目一般1個月�����。(從提交認證申請及申請材料至認證注冊并發(fā)放認證證書)��。
? ? ? ?質(zhì)能公司可根據(jù)客戶的獲證需求���,協(xié)調(diào)認證機構(gòu)優(yōu)先安排審核、復(fù)核���、制證等工作�����,并指導(dǎo)不符合項的整改�����,以最短的周期滿足企業(yè)的獲證需求���。
?
認證費用
? ? ? 認證費用以認證機構(gòu)的收費標(biāo)準(zhǔn)和報價為準(zhǔn)�����。
? ? ? 通過質(zhì)能咨詢尋求報價���,可在認證機構(gòu)的市場價基礎(chǔ)上進行適當(dāng)?shù)膬?yōu)惠。
咨詢益處
——浸入式診斷:質(zhì)能派駐信息技術(shù)服務(wù)管理體系專家進入公司�,與管理層、業(yè)務(wù)層和操作層的人員進行交談和調(diào)研���,對現(xiàn)有的管理體系基礎(chǔ)進行診斷���,指出現(xiàn)有管理體系、制度文件����、記錄文件與信息技術(shù)服務(wù)管理體系認證審核的差距���,并提出改進方案。
——一對一輔導(dǎo):質(zhì)能根據(jù)行業(yè)����、區(qū)域和客戶需求,指定專人咨詢專家��,作為客戶獲取信息技術(shù)服務(wù)管理體系認證的全程輔導(dǎo)老師����,在項目過程以及后續(xù)審核、管理過程中����,可隨時向?qū)<易稍冇龅降膯栴}�����。
——點對點答疑:質(zhì)能提供標(biāo)準(zhǔn)條款最佳解讀�����,對客戶在建標(biāo)、貫標(biāo)和審核實施過程中任何的問題點���,均安排專家進行點對點答疑和指點����,確保體系的理解和實施不走偏�����。
——實用型培訓(xùn):質(zhì)能提供貫標(biāo)培訓(xùn)�、審核培訓(xùn)和管理改善培訓(xùn)等多種形式的現(xiàn)場培訓(xùn)服務(wù),應(yīng)對不同客戶在不同階段的需求����,通過培訓(xùn)促進公司領(lǐng)導(dǎo)重視和全員參與,通過培訓(xùn)促進體系要求和業(yè)務(wù)流程的融合����。
——全流程負責(zé):質(zhì)能不只幫客戶獲取體系認證,更重要在全程關(guān)注客戶體系實施過程中的體驗�,引導(dǎo)客戶從“獲證”需求提升到“管理”需求,從“兩張皮”的困境中走向體系服務(wù)管理�。
——永久性服務(wù):質(zhì)能向客戶保證:一次合作,永久服務(wù)是我們不變的追求����。
咨詢流程
? ?整個體系導(dǎo)入分為五個階段����,各階段的重點工作和任務(wù)說明如下:
? ? ? ? 一���、前期調(diào)研階段:前期調(diào)研的主要工作是對公司現(xiàn)狀進行了解和分析�����,確定項目實施范圍和詳細計劃����,并對現(xiàn)有的體系結(jié)構(gòu)進行梳理����,評估目前的服務(wù)管理水平和業(yè)務(wù)對IT服務(wù)的需求;
? ? ? ?二�����、體系建設(shè)階段:體系建設(shè)包括三個方面重點�����,第一整體規(guī)劃管理體系框架��;第二是通過對服務(wù)項和服務(wù)目錄的梳理����,細化服務(wù)指標(biāo);另一方面��,按照 ISO20000定義的各個領(lǐng)域分別建立管理流程和文檔體系����,包括要求的四級文檔結(jié)構(gòu),是工作量最大的部分�,本階段需要項目小組成員的全力配合。在體系建設(shè)階段��,應(yīng)參照ISO20000標(biāo)準(zhǔn)要求和管理現(xiàn)狀需求��,分優(yōu)先順序開展相關(guān)工作��;
? ? ? ?三��、推廣和試運行階段:在管理流程和體系建立完成后�����,通過培訓(xùn)和宣傳方式在公司內(nèi)部推廣新的管理制度,并在運行過程中收集數(shù)據(jù)和事件�;對試運行階段的體系流程進行兩階段的內(nèi)部審計,修正審計中發(fā)現(xiàn)的問題����;
? ? ? ?四、評審認證階段:通過內(nèi)部審計后�����,項目進入外部評審和認證階段�,項目組成員配合認證機構(gòu)先后進行書面評審(第一階段評審)和正式評審(第二階段評審),在評審過程中針對發(fā)現(xiàn)的問題和缺失進行改善��,最終獲頒證書���;
? ? ? ?五�����、持續(xù)改進階段:評審?fù)ㄟ^后��,專家顧問組在獲頒證書后的兩年時間中���,分兩次對項目實施情況進行再評估和持續(xù)改善,進行追蹤評審�����;
咨詢成果
? ? ?(部分材料需要企業(yè)配合)
? ? ? ?1) 組織法律證明文件����,如營業(yè)執(zhí)照及年檢證明復(fù)印件;�����、
? ? ? ?2) 組織機構(gòu)代碼證書復(fù)印件���;
? ? ? ?3) 申請認證體系有效運行的證明文件(如體系文件發(fā)布控制表�,有時間標(biāo)記的記錄等復(fù)印件)���;
? ? ? ?4) 申請組織簡介:
? ? ? ? ? ? ? ? a) 組織簡介���;
? ? ? ? ? ? ? ? b) 申請組織的主要業(yè)務(wù)流程;
? ? ? ? ? ? ? ? c) 組織機構(gòu)圖或職能表述文件���;
? ? ? ?5) 申請組織的體系文件���,需包含但不僅限于(可以合并):
? ? ? ? ? ? ? ?a) 服務(wù)管理方針和計劃�����;
? ? ? ? ? ? ? ?b) 服務(wù)級別協(xié)議�;
? ? ? ? ? ? ? ?c) 能力管理流程�����;
? ? ? ? ? ? ? ?d)服務(wù)連續(xù)性和可用性管理流程���;
? ? ? ? ? ? ? ?e)服務(wù)級別管理流程�;?
? ? ? ? ? ? ? ? f)服務(wù)報告流程�����;
? ? ? ? ? ? ? ?g)信息安全管理流程���;
? ? ? ? ? ? ? ?h)IT服務(wù)預(yù)算和核算流程���;
? ? ? ? ? ? ? ? i)業(yè)務(wù)關(guān)系管理流程;
? ? ? ? ? ? ? ? j)供方管理流程��;
? ? ? ? ? ? ? ?k)事件管理流程;
? ? ? ? ? ? ? ?l) 問題管理流程���;
? ? ? ? ? ? ?m) 配置管理流程;
? ? ? ? ? ? ? n) 變更管理流程�����;
? ? ? ? ? ? ? o) 發(fā)布管理流程����;
? ? ? ? ? ? ? p) 整個體系文件的結(jié)構(gòu)和清單。
? ? ? 6) 申請組織體系文件與ISO20000要求的文件對照說明�����;
? ? ? 7) 申請組織的信息技術(shù)服務(wù)目錄��、服務(wù)計劃��;
? ? ? 8) 申請組織內(nèi)部審核和管理評審的證明資料���;
? ? ?9) 申請組織記錄保密性或敏感性聲明��;?
咨詢周期
? ? ? 咨詢周期根據(jù)公司規(guī)模�����、認證范圍和產(chǎn)品與服務(wù)的復(fù)雜程度有所不同:
? ? ? ——一般中小型企業(yè)的咨詢周期為2至3個月����;
? ? ? ——對于部分有特殊需求的企業(yè),建議的咨詢周期為6個月�����。
