iso20000信息技术管理体系:
ISO 20000基础知识的简单介绍
ISO 20000是由ISO(国际标准化组织)和ICE(国际选举委员会)共同发布的IT服务管理(ITSM)国际标准。要成为国际标准,ISO 20000必须得到大多数成员国的同意,这意味着它被世界上大多数所接受。
该标准描述了一组管理流程,旨在帮助您(向企业内部人员和客户)交付更有效的IT服务。ISO 20000为您提供了方法和框架,帮助您管理信息技术管理(ITSM),同时让您证明您的公司遵循了更佳实践;反过来,这些更佳实践将有助于改进IT服务的交付。ISO 20000适用于任何规模的公司和任何行业。
ISO 20000与ITIL有何不同?
ISO 20000和ITIL之间的基本区别在于,ISO 20000为您提供了方法论和框架(为您提供了构建ITSM拼图的各个部分),而ITIL为您提供了如何管理组织中每个IT过程的细节(实践)(即,如何将拼图组合在一起)。
一个好的思考方式是,ISO 20000告诉你需要做什么,而ITIL告诉你如何去做。
ISO 20000不能完全孤立地工作。它可以独立于ITIL实现,但它们可以很好地结合在一起。
与标准相反,ITIL是一个实用的更佳实践框架,专注于使您的IT服务与业务的更广泛需求保持一致。作为一家公司,你不可能获得ITIL认证;您只能遵循更佳实践指南。
ISO 20000是基于ITIL的基本原则,是贵公司可以认证的标准。
在ITSM和国际认可的认证中寻求卓越的个人可以获得ITIL和ISO 20000的认证(例如,下面进一步讨论的基础课程)。
ISO 20000认证本质上是组织实施更佳实践的证据。获得ISO 20000认证并不需要ITIL,但如果您遵循ITIL方法进行it服务管理,则更容易实现ITIL。要了解更多信息,请阅读我们的白皮书:ITIL与ISO 20000。
深入了解ISO 20000的重要性
要了解ISO 20000的重要性,了解it与组织整体成功之间的关系至关重要。您依靠IT来帮助您实现组织目标。它影响着你的运作方式和沟通方式——这是你做生意的基本要素。
您使用IT来战胜竞争对手,获得更多的受众,并提高生产效率和效率。在许多方面,IT对于提高收入、降低成本和提高声誉都是至关重要的。
因此,从it投资中获得更大收益是至关重要的——这意味着it服务必须得到很好的规划、设计、管理和交付。没有高质量的IT服务管理,IT项目通常会失败或超出预算。持续的成本变得难以管理,你经常看到企业在获得任何投资回报之前就失败了。
因此,简单地说,高质量的IT服务管理标准是您成功的基础。遵循ISO 20000标准是确保质量的一种方式。
ISO 20000到底是什么样子的?
虽然由八个部分组成,但ISO 20000中使用最多的是两个部分:
ISO 20000-1:2018是IT服务管理的正式规范。它清楚地定义了为客户交付可接受质量的托管It服务所需的所有需求。它包括服务管理体系(SMS)在以下方面的要求:
组织背景
领导
规划
业务管理系统的支持
业务管理系统的运行
绩效评估
改进
第二部分:ISO 20000- 2:19 19是IT服务管理的行为准则;它是服务管理系统应用的指南。换句话说,它可以帮助您解释标准的需求。它定义了更佳实践管理流程,如果您准备接受ISO 20000审核或计划改进服务,它将非常有用。
重要的是要注意,贵公司可以获得ISO 20000-1:2018的认证,但不能获得ISO 20000- 2:19 19的认证(这只是一个实践准则)。
那么,ISO 20000有什么好处呢?
为什么ISO 20000对你的组织是一个好主意?
ISO 20000的好处怎么强调都不为过;大大小小的公司都使用了这个标准,取得了巨大的效果,发现并确保了巨大的成本和效率节约。以下是其中的一些好处:
提高您的形象和信誉—ISO 20000是国际公认的IT服务管理标准。近年来,由于组织将其视为市场上的关键差异化因素,它在国际上得到了迅速的采用。而且,作为一种流行且经过验证的标准,您可以确定流程的有效性和可伸缩性。
变得更有生产力——由于更可靠的IT服务,通过提高效率和有效性获得竞争优势。每个人都清楚谁在什么时候做什么,你就会减少事故的数量,也会减少你处理事故的能力。
提高客户满意度——无论是内部客户还是外部客户,您都能够提供更好地满足其需求的改进的it服务,同时更好地保护公司及其资产、股东和董事。
基准测试和改进——您可以将组织的流程和活动与ITSM的国际标准进行比较(然后您可以轻松地识别和实现任何必要的改进)。而且,由于有独立的认证机构对您的公司进行审核,您(以及与您的组织进行交互的任何人)可以确保您满足所需的服务水平。
完全集成的流程- ISO 20000帮助您将IT服务与更广泛的业务战略相结合。您可以确保您的公司专注于最适合服务您的客户和业务需求的IT服务管理解决方案。
降低IT成本-更好地理解和管理IT成本。更准确、更清晰地计划未来的财务成本。有了更简单的流程和明确的职责,你就可以提供更精简、更高效的服务。
创造一种持续改进的文化——商业环境不会一成不变,尤其是在我们这个数字和技术创新的时代。确保你的组织总是根据客户的反馈来改进其流程,这不仅仅是锦上添花——这对公司的长寿至关重要。这也延伸到内部确定的改进、改变技术和开发业务规范。
变得更加敏捷和快速变化- ISO 20000创建了一个有助于支持创新的更佳实践的坚实框架。您可以更熟练地以更快的速度处理组织中的变更,这意味着您可以降低内部和外部风险级别,并且更有可能满足您的组织目标。
获得竞争优势——通过更有效和高效的IT服务交付,您可以为您的组织提供优于竞争对手的切实优势。例如,您可以减少IT问题并更快地响应它们,从而为组织中的战略IT开发腾出更多时间。
获得ISO 20000认证的实际步骤是什么?
如果您的组织想要获得认证,您需要由认可的认证机构进行正式评估。您将需要根据ISO 20000-1标准证明贵公司IT流程的质量。另一方面,个人可以通过考试获得认证(详见下文)。
作为一家公司,为了获得标准,你必须完成一些强制性的文件。点击这里获取这些文件的可下载列表。
但是,仅仅创建ITSM过程文档是不够的(并且不能解决您的问题)。为了确保认证,您必须将文档中描述的所有活动集成到您的日常业务中。
最重要的是,你必须获得价值。如果贵公司最终没有意识到ISO 20000可能带来的实际价值,那么创建文档并进行所有这些更改就没有什么意义了。否则,公司里的人就会质疑你为什么要这么麻烦。
完成实施和获得认证的强制性步骤
在完成所有文档并实施之后,您的组织还需要执行以下步骤以确保成功完成您的项目:
内部审核——内部审核的目的是检查您的ITSM流程。这样做的目的是发现问题和弱点,否则这些问题和弱点会被隐藏起来。
管理评审——一种正式的方式,让您的管理层考虑到有关IT服务管理的所有相关事实,并做出适当的决策。
纠正措施——在内部审计和管理评审之后,你需要纠正任何发现的问题,并记录它们是如何解决的。
公司认证过程分为两个阶段:
阶段(文件审核)——认证审核员将检查你的文件是否符合ISO 20000的要求。
第二阶段(主要审核)——审核员将检查你们所有的实际活动是否符合ISO 20000和你们自己的文件要求。
如果你是个人,你是如何获得ISO 20000的?
作为个人,如果您通过了ISO 20000首席审核员课程或ISO 20000首席实施者课程,您就可以获得ISO 20000认证。许多雇主都热衷于支持这一培训,因为合格的ISO 20000从业人员是帮助组织实施ISO 20000的好方法(同时也是一项有价值的可转移技能,可以写在简历上)。
有一系列的课程可供个人选择:
ISO 20000基础证书—如果您对ISO 20000不太熟悉,这是适合您的课程。您将了解该标准的内容和要求。并且,您将能够更好地评估ISO 20000与您组织内特定IT服务管理活动的相关性。
ISO 20000首席审核员课程——这是一门非常有用的课程,适用于实施ISO 20000的专业人士,因为它为您提供了对标准的出色概述,并对认证审核员在认证审核时的要求提供了深入的解释。因此,它对审计员和实现者很有用。课程为期五天,最后以笔试结束。
ISO 20000首席实施者课程—本课程类似于首席审核员课程,不同之处在于它侧重于实施技术而不是审核技术。所以,如果认证不是你关心的,这门课程可能更合适。
ISO 20000内部审核员课程—该课程是主审核员课程的“轻”版本,持续约2 - 3天。有了这门浓缩课程,你将无法在认证机构中从事审核员的职业。但是,如果您想系统地介绍ISO 20000,或者如果您计划成为公司的内部审核员,那么本课程非常适合您。
世界上有许多经过认证的培训机构,您可以在那里获得ISO 20000的个人资格。
定义基于ISO 20000的IT服务管理的角色和职责
如果你曾经有机会管理一个项目或一个组织单位,我相信你还记得经常出现的“谁在做什么”的困惑。很多任务需要完成,很多人需要参与其中,他们需要得到预期的结果,所以你更好开始管理你的团队。其他同事也是该团队的利益相关者,因此使组织有序的最简单方法是记录角色和相关职责。
同样的原则也适用于ISO 20000的实施。许多流程、任务和活动构成了您基于ISO 20000的服务管理体系(SMS)。如果没有正确地记录它们,您迟早会感到困惑。让我们看看如何避免这种情况。
需要什么?
与其他一些标准一样,ISO 20000对SMS范围内的角色及其职责有直接要求:
更高管理者和管理者代表——与其他管理体系一样,本标准规定了更高管理者角色的直接要求。此外,管理者代表仍然是ISO 20000的要求。除此之外,更高管理者必须任命那个人,管理者代表负责为SMS中的所有过程任命过程经理(以及他们的职责)。
权限、角色和职责的框架——这意味着您需要定义(并付诸实践)角色和各自的权限和职责将如何落实到位。ISO 20000要求你们实施所有流程,并定义属于这些流程的角色。其中一种方法是定义流程,描述特定流程的活动和属于它们的角色。当然,这将与他们的责任和权力相辅相成。
在过程范围内分配角色——在建立SMS时,标准直接要求应用与您实施的所有过程相关的定义角色及其职责。
正如您所看到的,该标准确保角色的定义和分配不会保持未定义状态。既然这是一个要求,那就利用这个机会让SMS和你的组织受益。
怎么做呢?
这个问题没有一个通用的答案,因为每个组织都不一样。对一家公司来说完美的东西对另一家公司来说可能是不可接受的。因此,如果“复制/粘贴”不起作用,那么您如何定义SMS的角色及其职责?
根据经验,以下是您在建立基于ISO 20000的ITSM组织时需要考虑的一些因素:
了解您的组织——您支持哪些服务,您拥有哪些人员,他们的技能/经验是什么,以及他们的能力如何最适合您的需求。
避免利益冲突——例如,避免同一个人打开更改并授权它,甚至确认实现并关闭它的情况。
一个人同时扮演多个角色——这是小型组织必须具备的。这没什么不寻常的,但是要小心,因为一些角色可以很好地组合在一个人身上,而另一些角色可能会适得其反(文章什么ITIL角色可以组合在一个人身上?将为您提供更多细节)。
赞助者——IT服务经理(或管理代表)需要有更高管理层作为赞助者。SMS服务范围内的各种角色也是如此。在很多情况下,为了实现服务水平目标、客户满意度、IT服务效率……
所以,现在你知道谁将做什么,但问题是:“如何记录它?”我已经看到一些尝试为流程范围内的特定活动创建巨大的RACI矩阵(用于定义负责/负责/咨询/知情的矩阵)。请参阅文章ITIL / ISO 20000 RACI矩阵-如何使用它来澄清责任,以了解有关RACI矩阵的更多信息)。对于非常小的组织来说,这可能是正确的方法。但是,如果我们谈论中小型,特别是大型组织,这样的方法可能还不够。或者,如果你真的坚持它,它就会太复杂而无法实际使用。
由于标准要求对所有过程进行文档化,因此这是包含角色描述的机会,包括相关的职责和权限。也就是说,在过程描述期间,您将描述过程范围内的活动。在描述这些活动时,您需要包括某些活动的责任方。一旦您描述了流程的活动,您就可以列出该流程的所有相关角色,并定义他们的职责。这将使您的流程完全定义,所有内容都将放在一个地方。
让它为你工作
在运行一些咨询项目时,我注意到项目的开始和结束之间存在巨大差异。一开始,SMS中的一些角色是未定义的(或者至少没有定义清楚)。这对其他过程产生了影响,比如其他人的角色活动。一旦我们通过定义和记录过程及其职责“清理”了情况,日常活动就开始朝着正确的方向发展。
正确的方向意味着根据服务水平协议(Service Level Agreement, SLA)交付IT服务,从而创建满意的客户。一旦我的客户意识到这一点,定义和记录角色和职责就不会被视为官僚主义的任务。相反,他们现在被视为一个利润创造者。谁还需要更多的理由呢?
ITIL / ISO 20000 RACI矩阵-如何使用它来明确责任
老实说,很多人在承担责任方面都有问题。但是,另一方面,几乎所有人都想知道谁在做什么,谁对某件事负责。让我给你举一个非it的例子。你和你的几个朋友正在准备一个聚会。所以,你需要的是:一个地方,参加的朋友,食物,饮料,音乐,这些基本上就足够了。想象一下,你是组织聚会的人。因为这包含了许多活动,所以你需要将任务分配给好友。
现在,让我们转到“IT世界”。为了有效地管理IT服务,每个组织都需要各种角色的熟练员工:事件经理、变更经理或服务台经理——这些只是基于ITIL的IT服务管理(ITSM)团队中许多可能角色的一部分。如果您负责ITSM组织,并且需要领导您的团队并做出合理的决策,那么合乎逻辑的问题是如何控制谁在做什么。
什么是RACI?
流程(或流程范围内的活动)、相关角色及其职责的清晰定义是IT组织和IT服务管理效率的先决条件。这是合乎逻辑的,但这意味着什么呢?它仅仅意味着对于流程或活动,您必须确切地知道谁在做什么,或者谁负责什么。
RACI矩阵(矩阵是一种表示形式)是一种权威模型,您可以在其中清楚地看到流程/活动是什么,以及谁负责做什么。我的经验是,组织通常没有过程和活动的清晰定义,也没有相关的角色和职责。这通常是由一线管理人员负责的。这在一段时间内是有效的。但是,随着组织的服务和流程的复杂性增加,事情变得复杂了。RACI是管理者的一种工具,用于保持可见性,并为员工提供明确的任务和责任定义。这使得反应速度更快,效率更高,决策也更容易。
矩阵里谁是谁?
RACI实际上是一个首字母缩略词,定义了四个主要角色:
Responsible——负责执行的人,即完成工作的人(例如,谁将为聚会买食物)。
Accountable——对任务/过程负责的人,也就是说,对结果的质量负责的人(例如,确保饮料是冷的)。
咨询-这些人将输入信息,即完成特定活动所需的知识(例如,我们可以询问如何创建音乐列表,这样就不必每隔几分钟更换一次音乐)。
被告知的——有人被告知某项活动的结果或进展(例如,我们需要通知邻居今晚将举行聚会)。
如何使用它
RACI,特别是如果你次看到它,听起来很复杂。但就像生活中的许多其他事情一样,解决办法很简单。RACI矩阵要求您很好地了解流程,即流程中涉及的所有相关活动和角色。你所要做的就是以一种清晰易懂的方式将它们结合在一起(例如,矩阵)。
你必须知道矩阵的两个基本元素:
任务——即需要完成的活动。例如,审查变更请求(RfC)或诊断事件。
职责——包括对特定任务及其职责很重要的角色,即谁是R(负责),a(负责),C(咨询)和I(通知)。
首先,为什么不让你最重要的人参与进来,和他们一起进行头脑风暴呢?这将产生一系列的活动和责任。完成后,制作一个矩阵,如图2所示。回顾矩阵并将结果传达给所有相关角色。当然,公开讨论总是受欢迎的,即使这需要对矩阵进行一些更改(记住,明确的责任矩阵是您的最终目标)。
但是,使用RACI矩阵有很多陷阱。让我指出(并参考文章开头的例子)其中的一些:
没有a——这就像在问:“谁对这项活动负责?”没有人?”正如你可能猜到的那样,这是一种非常不受欢迎的情况(就像“没有人为聚会准备食物和饮料”)。
每项活动不止一个A——好吧,如果出了问题,你问谁应该对此负责,你会得到另一个“A”(“不是我,我以为他/她会照顾食物”)。
太多的“是”——还记得你的小组或项目中的每封邮件都被抄送(电子邮件服务中的“抄送”)吗?发生的情况是(写给你的)重要的电子邮件丢失了。
太多的c——我们真的有那么一点关于这个活动的知识吗?我们需要问很多不同的人吗?我们需要这方面的培训吗?
太多的r——我们真的需要在这么多角色中分配活动吗?对此要小心——在许多角色(人员)之间划分一个活动意味着他们之间有许多接口,以及每个人接管活动、执行自己的工作并将其移交给下一个人时的延迟。
维护监督
RACI矩阵的复杂性也取决于级别。例如,一个管理委员会(以我的经验)只有一个对IT负责的人——CIO或IT主管。随着结构的深入,矩阵变得越来越复杂。这就是问题的关键。如果你想对复杂的(流程和/或组织)结构有一个概览,你必须帮助自己(以及你的员工)。RACI简单明了,是您确保没有人会说:“我不知道这是我的责任!”的工具。
