iso20000认证信息技术服务管理体系:实施ISO 20000的12个步骤
了解iso.com/' target='_blank' title='ISO' >ISO/IEC 20000 IT服务管理
最近,我们很多人都听说了ISO认证。人们越来越想知道这到底是怎么回事。那么,让我们一探究竟吧。服务业需要建立一个全球公认的高质量标准。ISO 20000是国际公认的标准。用于业务管理。
ISO 20000认证标准可帮助IT部门确保其ITSM框架流程符合国际更佳实践和业务需求。该认证有助于组织衡量服务水平的基准,提供准确的服务,并在国际公认的范围内评估其绩效。
它由两部分组成
服务管理的实务守则
IT服务管理规范
ISO标准的组成部分
许多组织都渴望了解标准组件。组件如下-
识别客户需求
客户沟通
客户满意度
许多组织寻求这种认证有几个原因
通过ISO 20000认证的人员知道如何帮助和建议组织创造收入和提高绩效
它还解释和建议范围和适用性的定义。
它教会他们评估差距分析。该认证还有助于人们制定实施改进的计划。
该认证帮助人们理解、创建、评估和应用适当的服务管理计划。该计划应包括服务管理目标和策略。
它帮助评估和建议组织关于持续支持过程的实施。
该认证解释了使用工具和技术来支持服务管理体系的实施和改进。该技术还指导人们实现ISO 20000认证。
ISO IT服务认证的优势
大多数组织都寻求ISO 20000认证。现在,让我们讨论一下这种认证对组织的一些好处。
通过服务管理体系提供综合支持——多个组织规划了服务管理体系的要求。其动机是采用标准化服务水平的实践。cookie由GDPR cookie同意插件设置,用于存储用户是否同意使用cookie。管理层为员工提供支持。ISO认证确保在分配合同时选择可靠的合作伙伴。
促进文化转变- ISO 20000促进一个不断改进的体系。在这个数字时代,商业永远不会停止
组织中获得ISO 20000认证的成员可以比其他成员更快地适应变化。因此,他们可以识别变更区域并快速引入改进。它们降低了内部和外部风险。它揭示了ISO认证的重要市场。
许多公共部门的组织已经强制要求其it服务提供商证明其符合ISO 20000。
ISO 20000组织有机会签订更多的合同和机会。组织内部的问题需要从战略上加以识别和改进。
为了获得ISO 20000认证,人们需要识别流程中的漏洞并努力纠正它们
提高质量-该认证通过提供优质服务和证明可靠性来证明其区别。
ISO 20000采用了一种正式的方法,需要完成特定的基准,以实现特定的目标。
这为质量设定了基准。通过优化资源和过程来帮助利用ITIL实践。该认证作为质量的基准
确保客户满意- ISO 20000认证提高服务水平。它使管理层能够满足越来越多的顾客
该认证在利益相关者中灌输了一种信任感。
此认证向客户保证他们的要求将得到满足。
任何计划影响市场的组织都需要根据客户反馈来改进流程
这是一个国际认可的认证- ISO 20000认证为组织提供了一个获得组织证书的机会
要获得该证书,组织需要通过内部审核。
如果组织通过审核,则颁发证书。它有一个基准,显示组织如何能够满足组织风险。他们发现制定商业规范更容易
提高信誉——通过ISO 20000认证的组织在市场上有更好的形象和信誉
ISO 20000是国际公认的IT服务管理标准。组织将此认证视为行业内的显著标志。
获得ISO 20000认证的组织比未获得认证的组织有更多的期望要实现。
许多ISO 20000认证组织甚至不与未认证的供应商打交道
完全集成的流程- iso 20000认证的组织将IT服务与业务战略相结合。因此,业务策略可以显示为专注于IT服务管理。它有助于服务客户和满足业务需求。
获得ISO 20000认证的步骤
任何组织的管理层需要遵循特定的步骤来获得ISO 20000认证的步骤的资料如下:
建立意识-需要将ISO 20000认证的好处传达给员工。还应该清楚地了解实现这一认证的方法。为此,每个人都需要对服务管理的更佳实践有一个基本的了解。
确定ISO 20000认证的范围——在这个阶段,决定哪种类型的认证将涵盖组织的部件和服务是至关重要的。
进行初始的ISO 20000评估——需要识别标准要求与现状之间的差距。自我评估是识别差距的更好方法。否则,也可以采取外部顾问的帮助。一套完整的符合ISO 20000的流程可以作为评估基准。需要准备详细的需求清单,其中应注明符合和不符合的要求。在不符合区域的情况下,该列表包括问题是什么以及如何解决问题的准确细节。
建立ISO 20000项目—为了建立ISO 20000项目,需要建立一个项目委员会。此外,还需要选择项目人员和项目经理。更好选择有经验的外部审计师。重要的是确定必要的资源,准备计划并相应地分配任务。在这里,选择一个合适的审计师变得很重要。
为ISO 20000认证审核做准备——现在是弥合在最初的ISO 20000评估中发现的差距的正确阶段
这是ISO 20000认证中最耗时的一步。在此阶段,可能需要引入或纠正几个服务管理流程。
多个组织的管理层抱怨说,定义满足ISO 20000要求的过程是一项极具挑战性的任务。在准备审核时维护一个检查清单是个好主意。
检查表对于跟踪已经实现的需求是必要的。它还可以帮助我们检查与它相关的记录
执行ISO 20000认证审核-由注册认证机构的外部审核员负责执行审核。
保留ISO 20000认证审核-组织获得认证后,需要每三年更新一次证书。为此,管理层必须强调持续的服务和流程改进。管理也需要坚持既定的标准。
实施ISO 20000
符合ISO 20000标准的服务管理体系
遵循计划-行动循环。让我们来了解一下细节
计划
组织需要计划操作和实施
的服务管理系统。
开发审计、改进和管理服务质量的方法
开发风险管理流程
定义角色和职责
建立服务管理的范围
确定必要的流程
建立服务管理的范围
确定资源和时间表
定义服务管理的目标
做
需要执行业务管理计划
处理和减轻风险
管理预算和资源
选拔、激励和培训员工。
为不同的过程创建文档并监控计划、过程和策略
检查
在此阶段,实现服务管理
对目标进行监视、测量和评审。
管理计划是
定期回顾
短信是否
审核符合ISO 20000的要求
审计程序是
创建。ISO 20000从业人员培训课程包含一个特别环节
关于内部审计。
ISO 20000部分
ISO 20000
认证有不同的部分。管理人员需要熟悉
不同的部门,以便他们的组织获得这个认证。的
章节如下-
业务管理系统的一般要求—本节包含多个小节。它们如下-
建立健全服务管理体系
资源管理
文档管理
定义范围
计划短信
短信的实施和运营
监控和审核SMS
维护和改进SMS
由其他方操作的治理和流程
管理responsibilit
新服务和变更服务的设计和生成—此参数下的子部分如下-n
规划新的或变更的服务
设计和开发新的或更改的服务
转换新的或更改的服务
属
服务交付过程-此参数下的子部分如下-n
服务的连续性
管理的可用性
管理和测试的可用性
服务水平报告
服务管理
IT管理服务的会计和预算
信息安全的变化和事件
服务连续性和可用性计划
关系过程-这一小节如下-n
供应商管理
业务关系管理
解决进程
控制过程-此过程下的子部分如下-n
发布和部署管理
配置管理
改变管理
解决方案管理-子部分如下
事件和服务请求管理
问题管理
ISO 20000审核清单
背后的目的
在ISO 20000期间进行的外部审核是为了验证组织是否
满足某些要求。在每次审计期间,都必须指定它
每项要求是否已被满足。需要有相关的证据
提供相应的行动。形成文件的信息被视为证据。
一般情况下,审核员会询问以下文件,并检查是否
他们适合这个目的
文件化信息如下
ISO 20000要求
服务管理策略
记录流程
审计员还与许多工作人员面谈以核实
是否每个人都熟悉流程
正在遵循文件化的过程
获得ISO认证审核时应避免的常见错误
ISO 20000项目认证需要规避一定的风险。少数关键风险可能导致服务质量下降。这些风险如下-
缺乏来自管理层的支持——管理层必须就组织试图获得ISO 20000认证的原因进行沟通。然后,当员工面临任何挑战时,他们需要支持该倡议并支持他们。
项目资源不足——管理层需要确保ISO 20000认证项目有足够的资源可用。为此,管理层需要确保员工从日常职责中解脱出来。
缺乏外部支持——如果一个组织正在寻求次获得认证,经验丰富的外部审核员的帮助无疑是重要的。许多需求都有不同类型的解释。在这种情况下,经验丰富的顾问可能会指出对审计师来说什么是重要的。重要的是要有一位经验丰富的顾问,他能在正确的方向上指导ISO 20000认证的规划。
ISO流程简介
在阶段,审核员检查文件是否符合ISO 20000标准。在第二阶段,认证审核员检查实际活动是否符合标准。在管理评审期间,管理层考虑所有相关的行动,并作出适当的决定。内部审计和管理完成后,需要解决已发现的问题。此外,解决的步骤需要适当地记录下来。
结论
许多像Vinsys这样的认证培训中心为个人和企业提供ISO 20000认证培训。一旦文档和实现完成,组织需要执行某些步骤来成功完成项目。
进行内部审核以检查ITSM流程,因此ITIL认证培训非常重要。它的目的是识别那些本来会隐藏起来的缺陷。
实施ISO 20000的12个步骤
实现步骤
我建议你做的是——系统化。这意味着您应该避免临时解决方案,即决策。如果太频繁地改变实现方向,就会造成混乱。以下是按逻辑顺序设置的12个实现步骤:
获得管理层的支持——这是你的场战斗,说服管理层支持实施。为什么?他们需要资金,除了资金,你还需要一个强有力的赞助商。这应该是你的管理方式。
建立项目——这不是强制性的步骤,但它会显著提高实施的效率。这是因为你有一个明确的目标、人员(和其他资源)、时间计划、投入、产出等等。项目管理是你的工具(负责实施),使事情处于控制之下,并达到预期的结果(SMS的实施和ISO 20000-1的认证)。
执行评估和差距分析——这是另一个不是强制性的步骤。但是,执行差距分析和对照ISO 20000要求检查现有管理体系是非常明智的。我很确定即使没有ISO 20000,你们也在管理事件或变更。因此,检查一下为了符合标准而缺少的东西,你就不必再做这些事情了(而且,不要忘记-你将缩短实施时间并节省资源-金钱和非金钱资源)。
定义范围、管理意图、责任——在这个阶段,你需要为SMS建立基础,并定义所有进一步活动的方向。因此,在此步骤中,您将定义SMS的范围和策略。阅读文章《如何在ISO 20000中定义SMS的范围》,了解有关SMS范围的更多信息。
实施支持程序——这些是“非生产性”程序,也就是说,它们不涉及SMS的日常操作,但它们对SMS有间接影响。例如:文件和记录控制程序、内部审核程序和检查表、沟通程序等。
生成过程/功能文档——现在,“派对”开始了。前面的步骤用于建立管理系统。现在,您必须添加标准所要求的所有过程。您将使用以前的经验,即您拥有的知识、外部帮助、工具等来实现。如果您决定使用项目方法,这将是它最有益的地方。
实现流程和/或功能——这与前面的要点相同。这是理论付诸实践的时刻。除了(希望)准备充分的流程文档之外,你的管理技能也会浮出水面。
执行培训和意识计划——重要的是,所有参与SMS的人都知道他们的任务,并且他们对SMS有相同的理解(关于目的,即目标和流程),并且“说同一种语言”(例如,当用户报告某些服务出现故障时——这是一个事件)。
操作短信——正如我已经提到的,你(或短信管理员)的管理技能不仅在实施过程中很重要,而且在实施后也很重要。记住,一旦您实现了SMS,它将支持您的客户使用的it服务。这可能很棘手。因此,您必须善于管理这些服务,即运行SMS。
创建持续服务改进的概念——这不仅是要求之一,也是每个人(包括SMS)生活中的事实之一——变化是持续的。这是一件好事。它将提高SMS的性能,使客户满意。
实施持续服务改进的概念——一旦你定义了持续服务改进的概念,就要实施它。而且,即使你必须(不时地)改进它,也要保持它的运行。
进行内部审计——这一步会告诉你到目前为止你做得有多好。找一个客观的人(不是实现的一部分)来执行审计。
管理评审——这是强制性步骤之一,也是你对实施项目的结论。就我所知,你们的管理层很想知道发生了什么。做好准备(你在标准中有很多要求,这将有助于你成功地为会议做准备)。
就是这样。你完成了。剩下的就是审计了:
阶段认证审核(文件审核)-在认证审核之前,您的认证机构将访问您并检查SMS。这是你进行公开谈话的机会,你只会从中获益。他们会告诉你他们对你工作的看法,也就是说,你需要改进的地方。
第二阶段认证审核(主审核)——这是你的“重要时刻”。审核员会来拜访你,告诉你一切都很完美,不是吗?我希望如此。无论如何,这一步是你的最后一步,我希望它将验证你成功实施短信。
就这些吗?
或多或少——是的。可能会有一些较小的偏差,但从本质上讲,上述步骤将带您完成实施。您可能已经注意到,组步骤与SMS设置相关。然后是流程和功能的定义和实现。虽然管理层确认了预期的结果,但持续改进是你的“命运”。它永远不会停止,相反,它应该确保你比好。
最常见的ISO 20000实施误区是什么?
每当我们谈论实施ISO 20000时,我们通常会讨论它的许多好处。嗯,这是正确的,这没有什么错。但关键是,也许还有更多的障碍,人们让这些障碍阻碍了他们的实施。
当我与客户交谈时,我必须承认他们在寻找一个好的理由(或者,更好的说法是——借口)来解释为什么他们不应该实施ISO 20000时是有创造力的。而且,我不得不承认,他们中的一些人可能确实有很好的理由。但是,这些大多只是神话。
神话解释
有一件事我想说清楚。ISO 20000影响的是用户使用的IT服务,即为您支付账单的客户。而且,即使是很小的事情,一旦出错,也会非常明显。因此,如果服务交付有效(我的意思是,在没有ISO 20000的情况下)——有句话最能描述这种方法:“如果它没有坏,不要试图修复它。”我理解这一点。尽管如此,我仍然认为这种方法错过了实施ISO 20000所带来的所有好处(要了解更多关于好处的信息,请阅读实施ISO 20000的5个关键好处)。
让我们回到神话。下面是一些最常用的:
“我们是一家小公司,ISO 20000只适用于大公司。”根据我的经验,这不是真的。与许多其他ISO标准一样,ISO 20000可以在各种规模的组织中实施。好吧,在一个只有3-4人的公司里实施它是很困难的,但你也不必是一个30人的组织。
“我们没有足够的资源来实施ISO 20000。”好的,我明白了。但是,还有一些其他的选择,如顾问或文档模板工具包(如ISO 20000 documentation Toolkit),它们可以帮助您利用组织内部的资源实现ISO 20000标准。
“管理层不关心ISO标准。”我想他们会的,但是他们必须理解你为什么要做这个实现。如果你使用技术词汇,他们是不会理解的。关键是你需要他们——实际上,更糟糕的是——没有他们你就做不到。那你怎么让他们加入呢?说商务用语。告诉他们好处(详见实施ISO 20000的第5条主要好处),客户和他们的满意度(或不满意),破碎的sla(服务水平协议——你和客户之间的正式合同),你可以清理的所有这些团队和流程中的混乱……不要去找他们讨论。你必须清楚地知道是什么,为什么,怎么做,多少钱。这是管理层喜欢的语言。
“工具太贵了。”是的,有非常(但非常)昂贵的工具。但是,你知道吗?还有一些的工具并不昂贵,或者是开源的,也就是说,没有版税成本。相信我,其中一些是好的。
“没有切实的好处。”这一点可能会受到质疑。让我问你一些问题:失去一个客户或违反SLA的代价是什么?或者,您是否衡量解决事件所需的时间?您有多少许可证(特别是付费但未使用的许可证)?这些是你可以用数字来描述的物品的例子,通常用货币来表示。
“反正我们的人知道自己的工作。”好吧,但如果他们离开了怎么办?你打算从头开始培养自己的能力吗?可能是的,因为你没有别的办法。但是,假设您有一个文档化的管理系统(本例中是SMS -服务管理系统)、流程和相关文档。当你雇用一个新员工时,他可以很容易地根据你的方法,成为你的流程和相关活动的一部分。
“反正没人会知道的。”当然,如果你不告诉他们的话。如果你通过了ISO 20000认证,并把这些信息写在你的信笺、名片上,或者更好的是,写在你的网页上,人们很有可能会注意到这一点。
找借口还是找方法
说实话吧。ISO 20000的实施并不简单(谨慎——这一事实不应被用作借口)。我们需要投入大量资金,包括资金、公司以及个人声誉、人员、工具等等。这让每个人,从更高管理层到负责公司ITSM的员工,都睁开了眼睛。但是,如果你在找借口,你总会找到的。如果你想做某事——你会找到方法的。
实施ISO 20000的5个主要好处
我同意你们所有人的说法,实施ISO/IEC 20000是一项复杂的任务。但是,从积极的方面来看——至少你有一个具体的目标。是的,在实施过程中会遇到很多挑战,但目标是明确的。然而,剩下的是艰苦的工作。
如果这是比较容易的部分,那么相反的部分是什么呢?它是-如何解释ISO 20000的好处,从而获得更高管理层对实施的支持(相信我,您一路上都会需要它)。也就是说,如果生产需要一台新机器或机器人,很容易解释可衡量的(这是关键!)效益;例:生产的零件数量将比现在增加50%。但是,当你不得不解释实施一些无形的东西的好处时,问题就出现了,比如ISO 20000,它涉及组织、流程、改进、角色和责任等。
它们到底是什么?
ISO 20000的实施包括公司的业务,以及服务的运作,这意味着很多选择。我们可以对每一个流程和ISO 20000带来的好处进行争论,但这将导致无休止的讨论。让我们停留在服务层面,也就是流程层面。在这种情况下,实施ISO 20000的好处是:
竞争力和信誉—实施ISO 20000是您提高公司声誉(因为您采用了国际公认的IT服务管理标准)、竞争优势(因为您有能力与更大、组织良好的竞争对手竞争)、认知和形象(通常,ISO证书可以改善合作伙伴/供应商和客户对组织的看法)和信誉(例如:当您的客户看到您的内部组织和流程符合ISO 20000标准时,他们就会信任您。
合规性-通过实施ISO标准,您的客户知道他们应该期望什么;例如,有明确的评估标准(例如,通过实施ISO 20000,他们知道从变更管理或事件管理过程中期望得到什么)。此外,ISO 20000还考虑了法律或其他法规(例如,安全/ISO 27001)及其要求。
顾客满意——生意场上还有什么比顾客满意更好的吗?实施ISO 20000使控制it服务交付过程和SLA目标的实现变得更加容易(通过定义和实现具有各自角色和职责的事件和问题管理过程,以及适当的监视和度量)。这提高了您的服务管理团队和组织的效率——这让您的管理层感到高兴。
生产力——让我们假设你负责整个IT服务管理团队。想象一下这样一种情况:每个人都清楚谁在做什么,什么时候做什么,流程都定义好了,文档化了,并且就位了,它们之间的接口也很清楚……听起来很棒,不是吗?ISO 20000提供了这种灵活性。大公司已经在IT服务管理方面积累了很多经验,但是小公司需要一个“即时”的解决方案——他们没有时间和资源从头开始。此外,通过控制人员和流程,应该不难控制(和优化)您的成本。相信我,管理层会喜欢的。
基准和改进- ISO 20000是公认的IT服务管理标准。通过实现该标准,您可以将您的组织设置、流程和服务与其他组织的设置、流程和服务进行比较(特别是与也实现了该标准的组织进行比较)。而且,与所有其他ISO标准一样,持续改进是实施的基石,并确保您的服务管理系统(SMS)及其支持的IT服务得到定期监控、衡量和审查。这样就有可能比更好,并帮助你的管理层对业绩和效率有一个清晰的认识。在现实生活中,这意味着您能够响应不断变化的业务需求,这在当今动态的业务环境中非常普遍。
因此,正如您所看到的,实施ISO 20000的优势涉及业务和运营两方面。您的管理层意识到,卓越的服务交付(运营领域)可以实现卓越的业务。卓越的业务意味着满意的客户,以及增加的收入和市场份额。这就是管理层喜欢的语言。
而且,不仅仅是客户欣赏您在交付it服务方面的响应能力和效率。你自己的员工会喜欢在一个有组织、有监督的环境中工作,在那里他们知道自己的工作是什么,知道投入和产出,活动的重复几乎为零,供应商在控制之下,等等。
获得ISO/IEC 20000认证的过程:公司和个人
公司认证
组织要获得ISO/IEC 20000认证,必须聘请认证机构的服务。那么,什么是认证机构?是一家公司,负责向要求其服务并符合其想要获得认证的标准要求的公司提供证书。认证机构的例子有:必维、BSI、SGS等。
认证机构还必须遵守另一个ISO: ISO 17021的规则和要求,并且还必须由被称为认可机构的当地实体进行审核和许可。
每个都有一个认可机构负责审核认证机构,以确保它们符合参考标准的要求。
阶段
让我们看看ISO/IEC 20000认证过程中的必要步骤,并遵循ISO 17021的指导方针:
1. 请求:希望根据ISO/IEC 20000进行认证的公司请求提案(例如,向认证机构BSI)。请求必须说明有关公司的信息:涉及范围的人数、主要业务线、范围等。根据这些信息,认证机构计算所需的天数,并根据天数设置提案的价格。最后,认证机构将提案发送给公司。
2. 认证审核:如果公司批准ISO/IEC 20000认证建议,则进行认证审核。本次审核主要分为两个阶段:
阶段1:审核组准备审核计划,该计划必须包含在此阶段要审查的所有问题。它还将确定将面谈的人员,以及在审计期间进行的所有活动的日期和时间。这一阶段开展的活动基本上是对公司产生的文件,即主要是程序、技术说明书等,以及与管理体系(PDCA)有关的一切进行评审。此外,该公司将计划下一阶段(第二阶段)的日期和活动。作为阶段的结果,审计团队将开发并向公司提交审计报告,其中反映了所有检测到的偏差。因此,阶段审核(也称为文件评审)的目的是检查文件是否符合ISO/IEC 20000的要求。
阶段2:与阶段1一样,审核组将为此阶段准备一份审核计划,其中将包含所有要做的事情和所有涉及的人员。在第二阶段,审核组将审查所有悬而未决的管理体系和PDCA +所有ISO/IEC 20000流程的运行实施情况。作为这一阶段的结果,将生成一份审计报告,其中将包含阶段2中的所有偏差,以及阶段1中未处理的偏差。因此,可以说这份报告将是本次认证审核的最终报告。因此,第二阶段审核(也称为主审核)的目的是检查公司的活动和流程是否符合标准和文档。换句话说,检查短信是否有效。
这两个阶段只在次认证审核中需要,因此不存在于监督审核和再认证审核中。
3.。获得证书:如果公司解决了审核组报告中的所有偏差,并向认证机构提交了必要的证据,则认证机构发布决策评估报告,最终批准授予公司证书。最常见的问题是,由于系统不成熟,证书被授予,但有时可能被拒绝。
4. 监督访问:ISO证书的有效期为3年,在此期间进行监督访问。也就是说,在次认证审核之后,在接下来的2年内,公司将不得不面对进一步的审核。
5. 重新认证审核:最后,3年后,当证书到期时,公司将不得不面临重新认证审核,以维持证书。
个人证明
像其他个人认证(CISA, CISM, ITIL®等)一样,也有可能成为ISO/IEC 20000 (ISO/IEC 20000个人认证)的认证审核员和首席审核员。和其他个人认证一样,要做到这一点,有必要证明:
审计经验(具体审计天数)
培训(管理服务相关)
接受ISO/IEC 20000相关培训
目前,通过ISO/IEC 20000认证的公司并不多,因此对通过ISO/IEC 20000认证的审核员和主审核员的需求很低,但预计这种情况在未来几年内可能会逆转。