iso20000 2018信息技术服务管理体系:新版ISO 20000-1:2018
介绍ISO 20000-1
有没有看过那些庸俗的浪漫喜剧,主角意识到合适的人一直都在他们眼前?也许他们以前只是朋友,也许他们在不同的圈子里,或者他们被其他人分散了注意力。但后来情况一致,他们意识到以前甚至不可能的事情恰恰是正确的道路。
在谢尔曼,我们与其说是媒人,不如说是网络安全评估的提供者,但考虑到这一点:根据最近的一项ISO调查,从2020年到2021年,ISO/IEC 20000-1:2018 (ISO 20000-1)的全球证书增长了50%。
当你想到ISO时,你可能会想到非常流行的ISO 27001标准,而不是ISO 20000-1。但为什么后者似乎突然变得更加突出呢?
也许您的组织和ISO/IEC 20000-1彼此适合,也许不适合,但在本文中,我们将帮助您了解其中的一种方式。在阐述ISO 20000-1如何帮助您之前,我们将深入研究ISO 20000-1是什么及其要求。
不要错过可能与您的组织完美匹配的标准—请继续阅读以了解ISO 20000-1是否符合。
什么是ISO 20000-1?
作为ISO众多标准之一,ISO 20000-1是一项国际标准,它定义了IT服务管理系统(SMS)的开发、实施、监控、维护和持续改进的要求。
采用SMS意味着做出受您的目标、管理机构、服务生命周期中涉及的其他各方以及对有效和有弹性的服务的需求影响的战略决策。一旦实施,运行SMS将提供持续的可见性、更好和集中的服务控制以及持续改进,从而提高效率和有效性。
虽然ISO 20000-1标准最初于2005年发布,但2018年的更新使条款结构与管理体系标准的通用高层结构(HLS)保持一致,这一举措使您更容易对齐或整合多个管理体系标准。例如,短信可以集成如下内容:
基于ISO/IEC 27001:2022 (ISO 27001)的信息安全管理系统;
基于ISO 9001:2015的质量管理体系(QMS);或
基于ISO 22301:2019 (ISO 22301)的业务连续性管理体系。
(如果你熟悉ISO 9001和质量管理体系,你可能会想知道ISO 20000-1和SMS是否真的有那么大的不同,但是的,它们是ISO 20000-1和SMS包括与你的实际服务具体相关的额外要求。)
基于IT基础设施库(ITIL)——一个更佳实践框架——该标准不仅适用于或有助于IT基础设施。ISO 20000-1要求是通用的,适用于各种规模和行业的组织,以及不同的其他服务,包括云服务和业务流程外包。
以下是ISO 20000-1与ITIL和信息及相关技术控制目标(COBIT)框架的关系:
ISO 20000-1的要求是什么?
当涉及到实际实施SMS时,ISO 20000-1标准中的条款是结构化的,以便您可以选择如何将需求组合到您的过程中,这为每个组织提供了一些关于其客户、用户和其他相关方的灵活性。
让我们来看看列出要求的第4-10条,包括第8条中具体的操作要求:
您将注意到,这些并不表示结构层次结构、序列或不同的权限级别。没有要求您如何将这些应用到SMS中,也没有要求将您的条款替换为标准的指定条款-这完全取决于您,选择适合您的操作。
然而,SMS不能排除ISO 20000-1标准中规定的任何要求。这种灵活性在于您在服务管理方面结合和协调以下方面:
目标
政策
流程
资源
文档
实施ISO 20000-1
与所有ISO管理体系一样,ISO 20000-1遵循计划执行检查法案(PDCA)方法和结构,以有效实施。我们可以将这些条款与PDCA循环相匹配:
PDCA应该贯穿你的短信的生命周期,尽管它是设计好的,你可以专注于做/检查/行动步骤。但是,当您引入变更时,例如范围扩展、领导层或流程的变更以及风险环境的变更,此时您需要重新评估和修改计划(第4,5,6和7条),然后遵循对这些变更的Do / Check / Act。
为了帮助实施,ISO/IEC 20000-2为服务管理体系的应用提供了指导,包括如何满足ISO 20000-1规定的要求的示例。
ISO 20000-1的好处
但是,一旦到位,如果您的SMS是有效的,它应该使您能够更容易地指导和控制相关活动,包括识别和减轻相关风险,以便您可以更清楚地意识到任何改进的机会。
以下是通过ISO 20000-1认证可以获得的其他一些优势:
竞争优势:实现SMS将帮助您提供更高效和有效的服务—可靠性,包括确认此类服务的独立认证,将使您与竞争对手相比具有显著的区别。
新的大门打开了:为了与美国联邦政府做生意,承包商必须首先获得ISO 20000的认证才能竞争。
提高内部生产力和控制:因为你已经标准化了所有的事情——包括为相关的政策和程序创建文档——你的员工应该在他们的角色中经历更少的困惑和更高的效率。
潜在地降低合规性成本:实施此标准可以降低与其他法规(如Sarbanes-Oxley和PCI dss)的合规性成本,这两种标准与经过认证的SMS相比都更容易且成本更低。
改进文化:获得ISO 20000-1认证后,您将有义务持续考虑客户的关注和需求,并相应地改进您的流程。但是,您将对服务管理建立更深入的理解,这也将使您能够在其他领域找到改进的机会。
增加客户信心:当然,iso 20000-1最重要的好处和它对优质服务的关注将意味着你在客户群中获得更多的分数。
ISO 20000-1认证的下一步
SMS支持服务的生命周期,包括计划、设计、转换、交付和改进,以及满足商定的需求,同时还为您和服务的用户提供价值。
在为您的服务管理流程设定高标准时,ISO 20000-1证书表明您已经实施了正确的管理程序来提供高效可靠的服务。不仅如此,您的客户还会理解并欣赏您致力于定期监控、审查和改进这些服务。
既然我们已经阐明了这个可能的选择,也许你已经意识到它实际上非常适合你的需求。或者您想继续研究其他有用的ISO标准,在这种情况下,我们也为您提供了覆盖-阅读我们关于不同认证的其他内容,以便您在前进的道路上感到更加安全:
关于ISO 20000各版本的内容,也有很多变化,我认为最相关的有以下几点:
ISO 20000:2018修订版中没有引用计划-执行-检查-行动周期,尽管您可以继续使用该模型,但考虑到它不是持续改进的模型(例如,ITIL有自己的模型,顺便说一句,ITIL也将在2019年发布其新版本4)。
预防行动已经撤销。
CMDB是ISO 20000:2011修订版中非常重要的一点,在新的ISO 20000:2018中没有使用。
在新的ISO 20000:2018中,关于连续性管理和可用性管理的流程是独立的。事件管理和服务请求也是如此(在ISO 20000:2011中,这两个过程被合并了)。
新版ISO 20000减少了强制性文件的数量。顺便说一下,“强制性文档”是指需要包含信息的文档。例如,在ISO 20000-1标准中,强制性文档是SMS范围,这意味着我们需要一个包含有关SMS范围信息的文档。
关于服务报告的流程被彻底修改:在新的ISO 20000:2018中,它不是一个流程,但它是“9评估”部分的一个点,并且没有定义需要包含在报告中的信息。
服务目录的概念现在作为一个独立的点包含在名为“8.2服务组合”的新部分中,其中包括与组合概念相关的其他点。
关于“新服务或变更服务的设计和开发”的部分现在被重新定义,并包含了变更管理、转换和设计服务以及交付管理的要点。
包含了“资产”的新概念,它基本上是对组织有价值的元素、事物或实体。
ISO 20000:2011有“4.2由其他方操作的过程治理”章节,而ISO 20000:2018有“8.2.3服务生命周期中相关方的控制”章节。
你的组织发生了积极的变化
最后,对于从事ISO标准工作的人来说,新的ISO 20000:2018更容易理解,也更容易与其他ISO标准集成。此外,您可以决定是否使用PDCA,但无论如何,您可以减少用于同一件事的文档数量:管理您的服务。
当然,新的ISO 20000不是服务管理的选择,但它可以以流程的形式为您提供有用的工具,以提高服务质量,获得更佳的客户满意度。
新版ISO 20000-1:2018
2018年9月18日,最新版本的ISO 20000-1:2018服务管理发布。该标准在之前的ISO 20000-1:2011的基础上进行了修订,增加了新的功能和更新的指南,允许企业通过改进符合现代技术和期望的流程来改进他们提供服务的方式
ISO 20000-1:2018考虑了IT服务管理的最新市场趋势,并提供了新的、更新的适用术语和定义列表。
获得认证的组织有一个过渡期,可以过渡到2018年版。理解从旧版本到新版本的映射将支持这种转换。
从ISO 20000-1:2011过渡到2018年版本
证书可以在2021年9月30日之前的任何审核期间更新。
国际认可论坛(IAF)决定,所有审核(初始或重新认证)必须在过渡开始日期后18个月符合2018年版标准。
以下是ISO 20000-1认证的重要里程碑:
2018年9月30日:过渡开始日期。组织可以选择从这开始获得2018年版的认证。2011年版的认证仍然可以接受。
2020年3月31日:在此日期之后,所有新的认证和重新认证必须符合ISO 20000-1:2018。
2021年9月29日:过渡期结束。在此日期之前,所有现有证书必须转换为ISO 20000-1:2018。2011年版认证将失效。
及时计划新需求的实现以及因此进行的转换审计执行是很重要的。在过渡期间,已经获得认证的组织可以选择过渡到新标准:
在监督审核期间
在重新认证审核期间
在编程审计之间,编程一个额外的审计。
注:上述ISO 20000-1:2018过渡日期已由IAF设定。认证机构可能会制定略有不同的规则或日期-联系我们以了解适用于您组织的确切规则。
为过渡到新标准做好准备。快速的计划。
熟悉新的ISO 20000-1:2018标准内容
对新需求和现有组织系统程序之间的差距进行分析
培训感兴趣的人员,让他们为主要变革做好准备
计划实施服务管理系统的所有变更
规划过渡并执行审计
评估实施的有效性,并在必要时确定进一步的行动。
ISO 20000的历史
ISO 20000是得到国际认可的服务管理标准,于2005年正式实施。请记住,它不仅仅与it服务管理(ITSM)相关。其需求的正式视图。
建立、实施、维护和持续改进服务管理系统。SMS支持服务生命周期的管理,包括服务的规划、设计、转换、交付和改进,以满足商定的需求,并为客户、用户和交付服务的组织交付价值。”
ISO 20000标准包括两个主要部分。首先,为组织提供了服务管理体系的要求(部分,即ISO 20000-1);其次,根据前面的要求(第二部分,即ISO 20000-2),为SMS的应用提供了更佳实践指南。
该系列的其他方面也存在,例如关于ISO 20000-1与其他服务管理框架(如ITIL和COBIT)之间关系的指导,或关于ISO 20000-1范围定义和适用性的指导。
贵组织在经过严格的审核程序后获得ISO 20000-1认证,您必须证明:
熟悉标准的流程和原理;
提供遵守标准流程的证据;
提供ISO 20000-1要求的所有相关文件。
新版ISO 20000-1的重要术语和定义
有一些新的术语,也有一些已经改变了。这两个基本术语是:
术语“服务”(在ISO 20000-1中)是指SMS范围内的服务或服务
术语“组织”是指管理并向客户提供服务的组织。(以前称为“服务提供者”)
新版ISO 20000-1:2018的好处和获得它的原因
如前所述,ISO 20000-1:2018规定了组织建立、实施、维护和持续改进服务管理体系(SMS)的要求。
谁在寻求ISO 20000-1?
寻求服务并要求保证服务质量的客户(例如政府机构或b2b供应商)
要求其所有服务提供者对服务生命周期采用一致方法的客户
一个组织用来证明其计划、设计、转换、交付和改进服务的能力
组织监控、测量和审查其SMS和服务
通过有效实施和运行SMS来寻求持续改进服务的组织
根据标准规定的要求进行合格评定的组织或其他方
在服务管理方面提供培训或建议的人
组织受益于ISO 20000-1认证
提高信誉和企业形象,特别是对供应商。ISO 20000认证提供了他们在其他情况下无法达到的可信度。通过ISO 20000-1认证的企业以更佳实践进行合作,其SMS完全符合要求。(例如,现在许多政府机构要求组织通过ISO 20000认证才能参与新合同的竞争)。
提高组织增长和收入。凭借ISO 20000-1证书,您的业务可能能够更快地增长,因为该认证提供了进入其他封闭市场的途径。
降低员工离职时知识流失的风险,因为该认证提供了可遵循的标准化实践
增加客户信心。如果客户知道服务得到了有效的管理,并且供应商组织符合国际标准,他们就可以确信他们的服务得到了专业的处理,并且可能是更佳的。
减少流程错误,加强事件管理。获得认证的组织(通常)减少了主要的中断和服务事件。有了明确定义的需求,组织就有更好的机会交付客户期望的价值。
提高响应时间,减少中断。这种主动SMS有助于避免代价高昂的问题和错误,使流程运行更顺畅,减少用于支持成本的资金,减少因业务中断而造成的损失。
持续改进。通过ISO 20000-1认证,组织实施变革和持续改进的文化。组织应对快速变化,并不断寻找新的方法来更聪明地工作。
积极的文化变革。鼓励每个人承担服务的责任,而不是推诿责任。此外,员工了解并遵守相关法律。
为什么要更新ISO 20000-1 ?
该标准已被重写,以确保服务管理与不同的公司战略相结合和一致,使服务管理体系的绩效对组织、客户和供应商更有效。
该标准采用所有新ISO(例如:ISO 9001: 2015, ISO/IEC 27001: 2013)通用的HLS(高层结构)结构,允许多个集成管理体系的更佳交互(附件XL结构)。
术语已被更新、添加或删除,以反映最近术语“规则”的变化。对于标准来说,使用正确的词汇非常重要。事件管理、服务请求管理、可用性管理、服务连续性管理、服务水平管理、服务目录管理、容量管理和需求管理已被区分开来。另一个例子:术语“内部集团”现在是“内部供应商”,术语“供应商”现在是“外部供应商”。
减少所需文件的数量。ISO 20000现在只要求生成与组织的SMS相关的关键文件(例如服务管理计划),以便使其定义更严格地与组织的需求保持一致。此外,这是一种更加敏捷的方法,如今数字化转换在服务管理领域扮演着重要的角色(因此标准和框架需要随之改变)。
2011年系列的部分部件已经完全下架。例如,ISO 20000-4是一个过程参考模型,而ISO 20000-9则与ISO 20000-1在云服务中的应用有关,从而使任何组织都更容易应用服务管理系统。不仅仅是it服务可以从ISO 20000中受益,该标准认识到服务管理开始全面进行
根据附件SL,对计划-执行-检查-行动(PDCA)周期的引用已被删除,该附件SL没有具体提及周期本身。
2018版ISO 20000在某些要求上不太。这是为了让组织在如何满足这些需求方面有更多的自由。
ISO 20000现在包括对多个供应商的管理,需要展示所提供服务的价值,并获得更好的服务。服务集成和管理(SIAM)或多供应商管理的要求现在包含在标准中。
ISO 20000-1:2018结构和条款
ISO 20000-1:2018条款显示了组织内实现认证的制度化要求。每一项强制性的ISO 20000-1要求都定义了要策划和执行的特定活动。
在许多情况下,组织已经投入了时间和资源来处理特定的流程,例如用于通过服务管理生命周期跟踪客户请求以确保满足客户需求的服务工具。此处列出了所有ISO 20000-1:2018
更改ISO/IEC 20000-1:2018 -服务管理系统(SMS)要求
人们都说顾客永远是对的。那些与一些沮丧的买家打过交道的人可能不同意。然而,成功的客户服务的好处是不可否认的。事实上,33%的美国人表示,只要遇到一次糟糕的服务,他们就会考虑换公司。由于糟糕的客户服务流程,美国公司每年损失超过620亿美元。显然,有必要在执行这些过程时牢记更好的知识。ISO/IEC 20000-1:2018 -信息技术-服务管理-第1部分:服务管理体系要求提供了商定的指导方针,以协助提供服务。ISO/IEC 20000-1:2018规定了服务管理系统(SMS)的基础。然而,这个文档的结构并不是这种类型的系统所独有的。事实上,ISO/IEC 20000-1:2018标准已更改为包括共享的ISO结构(附件SL),这有助于确保ISO管理体系标准的有用性和互联性。对于系统本身,SMS通过结合组织、领导、SMS及其过程的规划、支持和操作以及性能评估的上下文来支持服务生命周期(服务的计划、设计、转换、交付和改进)的管理。这可以更好地理解客户的需求,并在交付服务、提供持续可见性和允许持续改进方面为这些客户提供更好的价值。ISO/IEC 20000-1:2018涵盖了组织建立、实施、维护和持续改进服务管理体系的指南。本国际标准文件具有广泛的用途,其潜在使用者包括:寻求服务并希望保证服务质量的顾客;需要一致的服务生命周期方法的客户;需要证明其能力和/或改进服务的计划、设计、转换、交付和改进的组织;希望监视、测量和评审其SMS的组织;根据本文件规定的要求进行合格评定的组织或其他方;并提供服务管理方面的培训或建议。虽然ISO/IEC 20000-1:2018在历史上一直用于IT服务,但它越来越多地应用于其他服务,以改进业务流程和决策。事实上,将ISO/IEC 20000-1:2018与该标准的上一版(2011年发布的第二版)区分开来的一些变化集中在更新文件以更好地满足市场趋势。然而,这些变化和高层结构的纳入绝不是ISO/IEC 20000-1:2018的变化。
ISO/IEC 20000-1:2018的其他一些值得注意的变化包括:包括服务的商品化,由内部或外部服务集成商管理多个供应商,以及确定客户服务价值的需要。删除了一些细节,集中于做什么,并允许组织自由决定如何满足文件的指导。包括规划服务的新功能。事件管理、服务请求管理、服务连续性管理、服务可用性管理、服务水平管理、服务目录管理、容量管理和需求管理的分离的先前合并的条款。“由其他各方操作的流程的治理”被重命名为“对服务生命周期中涉及的各方的控制”。在本节中,新版标准澄清,如果在服务管理体系范围内由其他方提供或运行所有服务、服务组件或过程,则组织不能证明符合标准。第3条关于术语和定义分为各款。除了一般的结构变化之外,ISO/IEC 20000-1:2018中的定义还进行了许多修订。这些变化包括:为ISO管理系统共享的附录SL添加了一些新术语,包括“目标”和“政策”,而为服务管理专门添加了一些新术语,如“资产”或“用户”。为了符合附件SL的通用文本,术语“服务提供者”被“组织”所取代。术语“内部集团”被“内部供应商”取代,术语“供应商”被“外部供应商”取代。“资讯保安”的定义与ISO/IEC 27000一致。根据这一变化,术语“可用性”被“服务可用性”取代,以区别于术语“可用性”,“可用性”现在在“信息安全”的修订定义中使用。所需的文档化信息被最小化,只留下关键文档,如服务管理计划。由于附录SL中没有特别使用PDCA,因此删除了计划-执行-检查-行动(PDCA)循环的引用,以适应管理体系标准中许多适用的改进方法。详细的报告准则被移到不同的条款中。
