iso 200002018:ISO 20000:2018中六个新的特定流程组

定义基于ISO 20000的IT服务管理的角色和职责

如果你曾经有机会管理一个项目或一个组织单位，我相信你还记得经常出现的“谁在做什么”的困惑。很多任务需要完成，很多人需要参与其中，他们需要得到预期的结果，所以你更好开始管理你的团队。其他同事也是该团队的利益相关者，因此使组织有序的最简单方法是记录角色和相关职责。

同样的原则也适用于ISO 20000的实施。许多流程、任务和活动构成了您基于ISO 20000的服务管理体系(SMS)。如果没有正确地记录它们，您迟早会感到困惑。让我们看看如何避免这种情况。

需要什么?

与其他一些标准一样，ISO 20000对SMS范围内的角色及其职责有直接要求:

更高管理者和管理者代表——与其他管理体系一样，本标准规定了更高管理者角色的直接要求。此外，管理者代表仍然是ISO 20000的要求。除此之外，更高管理者必须任命那个人，管理者代表负责为SMS中的所有过程任命过程经理(以及他们的职责)。

权限、角色和职责的框架——这意味着您需要定义(并付诸实践)角色和各自的权限和职责将如何落实到位。ISO 20000要求你们实施所有流程，并定义属于这些流程的角色。其中一种方法是定义流程，描述特定流程的活动和属于它们的角色。当然，这将与他们的责任和权力相辅相成。

在过程范围内分配角色——在建立SMS时，标准直接要求应用与您实施的所有过程相关的定义角色及其职责。

正如您所看到的，该标准确保角色的定义和分配不会保持未定义状态。既然这是一个要求，那就利用这个机会让SMS和你的组织受益。

怎么做呢?

这个问题没有一个通用的答案，因为每个组织都不一样。对一家公司来说完美的东西对另一家公司来说可能是不可接受的。因此，如果“复制/粘贴”不起作用，那么您如何定义SMS的角色及其职责?

根据经验，以下是您在建立基于ISO 20000的ITSM组织时需要考虑的一些因素:

了解您的组织——您支持哪些服务，您拥有哪些人员，他们的技能/经验是什么，以及他们的能力如何最适合您的需求。

避免利益冲突——例如，避免同一个人打开更改并授权它，甚至确认实现并关闭它的情况。

一个人同时扮演多个角色——这是小型组织必须具备的。这没什么不寻常的，但是要小心，因为一些角色可以很好地组合在一个人身上，而另一些角色可能会适得其反(文章什么ITIL角色可以组合在一个人身上?将为您提供更多细节)。

赞助者——IT服务经理(或管理代表)需要有更高管理层作为赞助者。SMS服务范围内的各种角色也是如此。在很多情况下，为了实现服务水平目标、客户满意度、IT服务效率……

所以，现在你知道谁将做什么，但问题是:“如何记录它?”我已经看到一些尝试为流程范围内的特定活动创建巨大的RACI矩阵(用于定义负责/负责/咨询/知情的矩阵)。请参阅文章ITIL / ISO 20000 RACI矩阵-如何使用它来澄清责任，以了解有关RACI矩阵的更多信息)。对于非常小的组织来说，这可能是正确的方法。但是，如果我们谈论中小型，特别是大型组织，这样的方法可能还不够。或者，如果你真的坚持它，它就会太复杂而无法实际使用。

由于标准要求对所有过程进行文档化，因此这是包含角色描述的机会，包括相关的职责和权限。也就是说，在过程描述期间，您将描述过程范围内的活动。在描述这些活动时，您需要包括某些活动的责任方。一旦您描述了流程的活动，您就可以列出该流程的所有相关角色，并定义他们的职责。这将使您的流程完全定义，所有内容都将放在一个地方。

让它为你工作

在运行一些咨询项目时，我注意到项目的开始和结束之间存在巨大差异。一开始，SMS中的一些角色是未定义的(或者至少没有定义清楚)。这对其他过程产生了影响，比如其他人的角色活动。一旦我们通过定义和记录过程及其职责“清理”了情况，日常活动就开始朝着正确的方向发展。

正确的方向意味着根据服务水平协议(Service Level Agreement, SLA)交付IT服务，从而创建满意的客户。一旦我的客户意识到这一点，定义和记录角色和职责就不会被视为官僚主义的任务。相反，他们现在被视为一个利润创造者。谁还需要更多的理由呢?

本《服务管理体系实施项目计划》可以帮助您简化ISO 20000实施过程。

ITIL / ISO 20000 RACI矩阵-如何使用它来明确责任

老实说，很多人在承担责任方面都有问题。但是，另一方面，几乎所有人都想知道谁在做什么，谁对某件事负责。让我给你举一个非it的例子。你和你的几个朋友正在准备一个聚会。所以，你需要的是:一个地方，参加的朋友，食物，饮料，音乐，这些基本上就足够了。想象一下，你是组织聚会的人。因为这包含了许多活动，所以你需要将任务分配给好友。

现在，让我们转到“IT世界”。为了有效地管理IT服务，每个组织都需要各种角色的熟练员工:事件经理、变更经理或服务台经理——这些只是基于ITIL的IT服务管理(ITSM)团队中许多可能角色的一部分。如果您负责ITSM组织，并且需要领导您的团队并做出合理的决策，那么合乎逻辑的问题是如何控制谁在做什么。

什么是RACI?

流程(或流程范围内的活动)、相关角色及其职责的清晰定义是IT组织和IT服务管理效率的先决条件。这是合乎逻辑的，但这意味着什么呢?它仅仅意味着对于流程或活动，您必须确切地知道谁在做什么，或者谁负责什么。

RACI矩阵(矩阵是一种表示形式)是一种权威模型，您可以在其中清楚地看到流程/活动是什么，以及谁负责做什么。我的经验是，组织通常没有过程和活动的清晰定义，也没有相关的角色和职责。这通常是由一线管理人员负责的。这在一段时间内是有效的。但是，随着组织的服务和流程的复杂性增加，事情变得复杂了。RACI是管理者的一种工具，用于保持可见性，并为员工提供明确的任务和责任定义。这使得反应速度更快，效率更高，决策也更容易。

矩阵里谁是谁?

RACI实际上是一个首字母缩略词，定义了四个主要角色:

Responsible——负责执行的人，即完成工作的人(例如，谁将为聚会买食物)。

Accountable——对任务/过程负责的人，也就是说，对结果的质量负责的人(例如，确保饮料是冷的)。

咨询-这些人将输入信息，即完成特定活动所需的知识(例如，我们可以询问如何创建音乐列表，这样就不必每隔几分钟更换一次音乐)。

被告知的——有人被告知某项活动的结果或进展(例如，我们需要通知邻居今晚将举行聚会)。

如何使用它

RACI，特别是如果你次看到它，听起来很复杂。但就像生活中的许多其他事情一样，解决办法很简单。RACI矩阵要求您很好地了解流程，即流程中涉及的所有相关活动和角色。你所要做的就是以一种清晰易懂的方式将它们结合在一起(例如，矩阵)。

你必须知道矩阵的两个基本元素:

任务——即需要完成的活动。例如，审查变更请求(RfC)或诊断事件。

职责——包括对特定任务及其职责很重要的角色，即谁是R(负责)，a(负责)，C(咨询)和I(通知)。

首先，为什么不让你最重要的人参与进来，和他们一起进行头脑风暴呢?这将产生一系列的活动和责任。完成后，制作一个矩阵，如图2所示。回顾矩阵并将结果传达给所有相关角色。当然，公开讨论总是受欢迎的，即使这需要对矩阵进行一些更改(记住，明确的责任矩阵是您的最终目标)。

但是，使用RACI矩阵有很多陷阱。让我指出(并参考文章开头的例子)其中的一些:

没有a——这就像在问:“谁对这项活动负责?”没有人?”正如你可能猜到的那样，这是一种非常不受欢迎的情况(就像“没有人为聚会准备食物和饮料”)。

每项活动不止一个A——好吧，如果出了问题，你问谁应该对此负责，你会得到另一个“A”(“不是我，我以为他/她会照顾食物”)。

太多的“是”——还记得你的小组或项目中的每封邮件都被抄送(电子邮件服务中的“抄送”)吗?发生的情况是(写给你的)重要的电子邮件丢失了。

太多的c——我们真的有那么一点关于这个活动的知识吗?我们需要问很多不同的人吗?我们需要这方面的培训吗?

太多的r——我们真的需要在这么多角色中分配活动吗?对此要小心——在许多角色(人员)之间划分一个活动意味着他们之间有许多接口，以及每个人接管活动、执行自己的工作并将其移交给下一个人时的延迟。

维护监督

RACI矩阵的复杂性也取决于级别。例如，一个管理委员会(以我的经验)只有一个对IT负责的人——CIO或IT主管。随着结构的深入，矩阵变得越来越复杂。这就是问题的关键。如果你想对复杂的(流程和/或组织)结构有一个概览，你必须帮助自己(以及你的员工)。RACI简单明了，是您确保没有人会说:“我不知道这是我的责任!”的工具。

信息图:ISO 20000:2011与ISO 20000:2018修订版-发生了什么变化

很多已经实施ISO 20000的公司都对这个标准的新变化感到担忧。但是，与此同时，很多人都在等待新版本，因为它是最后一个与附录SL一致的ISO标准(现在所有ISO标准都基于相同的结构:ISO 9001, ISO 14001, ISO 27001, ISO 22301等)。ISO 20000:2011标准将于2021年9月撤销，所以基本上你只有两年的时间来适应。在本文中，您将找到ISO 20000:2011和ISO 20000:2018之间的主要变化和差异的信息图表。

重要提示:ISO 20000实际上是由各个部分组成的，但本文仅讨论ISO 20000-1:2018标准的部分，该部分定义了服务管理体系的要求。

顺便说一下，本标准的其他部分是ISO 20000-2, ISO 20000-3等。有关该标准所有部分的更多信息，请访问ISO的官方网站。

关于流程的变更

基本上，在ISO 20000:2011中，您可以看到所有过程的四个部分:

6服务交付流程

7关系流程

8解决流程

9控制过程

而在ISO 20000:2018中，所有的过程都包含在同一个章节中:“8操作”。

ISO 20000:2018中六个新的特定流程组

正如我之前提到的，在ISO 20000:2018修订版中，所有的过程都包含在同一个章节中:“8操作”，该章节有六个组:

8.1运行计划和控制

8.2服务组合

8.2.1服务交付

8.2.2业务规划

8.2.3对服务生命周期中涉及的各方的控制

8.2.4服务目录管理

8.2.5资产管理

8.2.6配置管理

8.3关系与协议

8.3.1一般

8.3.2业务关系管理

8.3.3服务水平管理

8.3.4供应商管理

8.4供需关系

8.4.1服务的预算和核算

8.4.2需求管理

8.4.3容量管理

8.5服务的设计、构建和转换

8.5.1变更管理

8.5.2服务设计和转换

8.5.3发布和部署管理

8.6决心与实现

8.6.1事件管理

8.6.2服务请求管理

8.6.3问题管理

8.7服务保证

8.7.1服务可用性管理

8.7.2业务连续性管理

8.7.3信息安全管理

主要区别

关于ISO 20000各版本的内容，也有很多变化，我认为最相关的有以下几点:

ISO 20000:2018修订版中没有引用计划-执行-检查-行动周期，尽管您可以继续使用该模型，但考虑到它不是持续改进的模型(例如，ITIL有自己的模型，顺便说一句，ITIL也将在2019年发布其新版本4)。

预防行动已经撤销。

CMDB是ISO 20000:2011修订版中非常重要的一点，在新的ISO 20000:2018中没有使用。

在新的ISO 20000:2018中，关于连续性管理和可用性管理的流程是独立的。事件管理和服务请求也是如此(在ISO 20000:2011中，这两个过程被合并了)。

新版ISO 20000减少了强制性文件的数量。顺便说一下，“强制性文档”是指需要包含信息的文档。例如，在ISO 20000-1标准中，强制性文档是SMS范围，这意味着我们需要一个包含有关SMS范围信息的文档。

关于服务报告的流程被彻底修改:在新的ISO 20000:2018中，它不是一个流程，但它是“9评估”部分的一个点，并且没有定义需要包含在报告中的信息。

服务目录的概念现在作为一个独立的点包含在名为“8.2服务组合”的新部分中，其中包括与组合概念相关的其他点。

关于“新服务或变更服务的设计和开发”的部分现在被重新定义，并包含了变更管理、转换和设计服务以及交付管理的要点。

包含了“资产”的新概念，它基本上是对组织有价值的元素、事物或实体。

ISO 20000:2011有“4.2由其他方操作的过程治理”章节，而ISO 20000:2018有“8.2.3服务生命周期中相关方的控制”章节。

你的组织发生了积极的变化

最后，对于从事ISO标准工作的人来说，新的ISO 20000:2018更容易理解，也更容易与其他ISO标准集成。此外，您可以决定是否使用PDCA，但无论如何，您可以减少用于同一件事的文档数量:管理您的服务。

当然，新的ISO 20000不是服务管理的选择，但它可以以流程的形式为您提供有用的工具，以提高服务质量，获得更佳的客户满意度。

新版ISO 20000-1:2018

2018年9月18日，最新版本的ISO 20000-1:2018服务管理发布。该标准在之前的ISO 20000-1:2011的基础上进行了修订，增加了新的功能和更新的指南，允许企业通过改进符合现代技术和期望的流程来改进他们提供服务的方式

ISO 20000-1:2018考虑了IT服务管理的最新市场趋势，并提供了新的、更新的适用术语和定义列表。

获得认证的组织有一个过渡期，可以过渡到2018年版。理解从旧版本到新版本的映射将支持这种转换。

从ISO 20000-1:2011过渡到2018年版本

证书可以在2021年9月30日之前的任何审核期间更新。

国际认可论坛(IAF)决定，所有审核(初始或重新认证)必须在过渡开始日期后18个月符合2018年版标准。

以下是ISO 20000-1认证的重要里程碑:

2018年9月30日:过渡开始日期。组织可以选择从这开始获得2018年版的认证。2011年版的认证仍然可以接受。

2020年3月31日:在此日期之后，所有新的认证和重新认证必须符合ISO 20000-1:2018。

2021年9月29日:过渡期结束。在此日期之前，所有现有证书必须转换为ISO 20000-1:2018。2011年版认证将失效。

及时计划新需求的实现以及因此进行的转换审计执行是很重要的。在过渡期间，已经获得认证的组织可以选择过渡到新标准:

在监督审核期间

在重新认证审核期间

在编程审计之间，编程一个额外的审计。

注:上述ISO 20000-1:2018过渡日期已由IAF设定。认证机构可能会制定略有不同的规则或日期-联系我们以了解适用于您组织的确切规则。

为过渡到新标准做好准备。快速的计划。

熟悉新的ISO 20000-1:2018标准内容

对新需求和现有组织系统程序之间的差距进行分析

培训感兴趣的人员，让他们为主要变革做好准备

计划实施服务管理系统的所有变更

规划过渡并执行审计

评估实施的有效性，并在必要时确定进一步的行动。

ISO 20000的历史

ISO 20000是得到国际认可的服务管理标准，于2005年正式实施。请记住，它不仅仅与it服务管理(ITSM)相关。其需求的正式视图。

建立、实施、维护和持续改进服务管理系统。SMS支持服务生命周期的管理，包括服务的规划、设计、转换、交付和改进，以满足商定的需求，并为客户、用户和交付服务的组织交付价值。”

ISO 20000标准包括两个主要部分。首先，为组织提供了服务管理体系的要求(部分，即ISO 20000-1);其次，根据前面的要求(第二部分，即ISO 20000-2)，为SMS的应用提供了更佳实践指南。

该系列的其他方面也存在，例如关于ISO 20000-1与其他服务管理框架(如ITIL和COBIT)之间关系的指导，或关于ISO 20000-1范围定义和适用性的指导。

贵组织在经过严格的审核程序后获得ISO 20000-1认证，您必须证明:

熟悉标准的流程和原理;

提供遵守标准流程的证据;

提供ISO 20000-1要求的所有相关文件。

新版ISO 20000-1的重要术语和定义

有一些新的术语，也有一些已经改变了。这两个基本术语是:

术语“服务”(在ISO 20000-1中)是指SMS范围内的服务或服务

术语“组织”是指管理并向客户提供服务的组织。(以前称为“服务提供者”)

新版ISO 20000-1:2018的好处和获得它的原因

如前所述，ISO 20000-1:2018规定了组织建立、实施、维护和持续改进服务管理体系(SMS)的要求。

谁在寻求ISO 20000-1?

寻求服务并要求保证服务质量的客户(例如政府机构或b2b供应商)

要求其所有服务提供者对服务生命周期采用一致方法的客户

一个组织用来证明其计划、设计、转换、交付和改进服务的能力

组织监控、测量和审查其SMS和服务

通过有效实施和运行SMS来寻求持续改进服务的组织

根据标准规定的要求进行合格评定的组织或其他方

在服务管理方面提供培训或建议的人

组织受益于ISO 20000-1认证

提高信誉和企业形象，特别是对供应商。ISO 20000认证提供了他们在其他情况下无法达到的可信度。通过ISO 20000-1认证的企业以更佳实践进行合作，其SMS完全符合要求。(例如，现在许多政府机构要求组织通过ISO 20000认证才能参与新合同的竞争)。

提高组织增长和收入。凭借ISO 20000-1证书，您的业务可能能够更快地增长，因为该认证提供了进入其他封闭市场的途径。

降低员工离职时知识流失的风险，因为该认证提供了可遵循的标准化实践

增加客户信心。如果客户知道服务得到了有效的管理，并且供应商组织符合国际标准，他们就可以确信他们的服务得到了专业的处理，并且可能是更佳的。

减少流程错误，加强事件管理。获得认证的组织(通常)减少了主要的中断和服务事件。有了明确定义的需求，组织就有更好的机会交付客户期望的价值。

提高响应时间，减少中断。这种主动SMS有助于避免代价高昂的问题和错误，使流程运行更顺畅，减少用于支持成本的资金，减少因业务中断而造成的损失。

持续改进。通过ISO 20000-1认证，组织实施变革和持续改进的文化。组织应对快速变化，并不断寻找新的方法来更聪明地工作。

积极的文化变革。鼓励每个人承担服务的责任，而不是推诿责任。此外，员工了解并遵守相关法律。

为什么要更新ISO 20000-1 ?

该标准已被重写，以确保服务管理与不同的公司战略相结合和一致，使服务管理体系的绩效对组织、客户和供应商更有效。

该标准采用所有新ISO(例如:ISO 9001: 2015, ISO/IEC 27001: 2013)通用的HLS(高层结构)结构，允许多个集成管理体系的更佳交互(附件XL结构)。

术语已被更新、添加或删除，以反映最近术语“规则”的变化。对于标准来说，使用正确的词汇非常重要。事件管理、服务请求管理、可用性管理、服务连续性管理、服务水平管理、服务目录管理、容量管理和需求管理已被区分开来。另一个例子:术语“内部集团”现在是“内部供应商”，术语“供应商”现在是“外部供应商”。

减少所需文件的数量。ISO 20000现在只要求生成与组织的SMS相关的关键文件(例如服务管理计划)，以便使其定义更严格地与组织的需求保持一致。此外，这是一种更加敏捷的方法，如今数字化转换在服务管理领域扮演着重要的角色(因此标准和框架需要随之改变)。

2011年系列的部分部件已经完全下架。例如，ISO 20000-4是一个过程参考模型，而ISO 20000-9则与ISO 20000-1在云服务中的应用有关，从而使任何组织都更容易应用服务管理系统。不仅仅是it服务可以从ISO 20000中受益，该标准认识到服务管理开始全面进行

根据附件SL，对计划-执行-检查-行动(PDCA)周期的引用已被删除，该附件SL没有具体提及周期本身。

2018版ISO 20000在某些要求上不太。这是为了让组织在如何满足这些需求方面有更多的自由。

ISO 20000现在包括对多个供应商的管理，需要展示所提供服务的价值，并获得更好的服务。服务集成和管理(SIAM)或多供应商管理的要求现在包含在标准中。

ISO 20000-1:2018结构和条款

ISO 20000-1:2018条款显示了组织内实现认证的制度化要求。每一项强制性的ISO 20000-1要求都定义了要策划和执行的特定活动。

在许多情况下，组织已经投入了时间和资源来处理特定的流程，例如用于通过服务管理生命周期跟踪客户请求以确保满足客户需求的服务工具。此处列出了所有ISO 20000-1:2018