信息技术服务管理体系认证的探析

2013-12-17◆王军/文

上海质量 2013年1期

◆ 王军 / 文

伴随着信息技术的迅猛发展、计算机和互联网普及，愈来愈多服务行业的生产与经营活动依赖信息技术的有效应用和信息设备的正常运行，如通讯、金融、贸易、交通运输。即使传统制造业，在其产品开发设计、生产制造、物流与经营管理等环节，对信息技术的依赖也不断增加。组织为了专注核心业务，达到经济与高效管理，获取IT服务提供已是社会的广泛需求。为此，信息技术服务（以下简称IT服务），这一技术含量高的服务应运而生。

一、IT服务业发展与管理需求

目前，IT服务产业已拓展到了系统集成、IT软硬件设计、运维、外包、教育培训、咨询等在内的专业服务，IT服务方已由技术提供方、服务提供方逐步发展到了战略伙伴的角色。顾客的需求、技术的发展也促使IT服务模式不断创新，如远程服务、优化提速、软件修复、甚至系统崩溃救援、全天候在线自助服务系统的应用等。伴随移动办公、云端技术的兴起，IT服务已成为顾客组织实现业绩保障及能力突破的不可或缺的支撑。

显而易见，客户对IT服务提供方的技术要求和管理要求日益提升。现在IT服务产业面临着三大突出性的挑战，即：删繁就简体现服务价值、主动响应提升服务品质、以标准化服务提升服务效益。用户对IT服务的要求正在从产品层面提升到业务层面，同时还要求增加服务提供的灵活性和速度，以更好响应用户需求。为此，如何保证用户信息系统的持续完整性、可用性、适宜性和安全性，如何实现IT服务质量的持续满足与提升，是当前IT服务业面临的重要课题。服务过程的规范和服务质量的提升，是信息技术得以正常应用和运行的保障。建立信息技术服务管理体系，已是IT服务业开展IT服务的基本和迫切的需求。

二、IT服务管理标准

2009年及2010年我国分别发布了GB/T24405.1-2009《信息技术服务管理规范》和GB/T24405.2-2010《信息技术服务管理实践规则》。该两项标准等同采用了2005年国际标准化组织和国际电工委员会联合颁布的ISO/IEC 20000-1《信息技术服务管理规范》，ISO/IEC 20000-2《信息技术服务管理实践规则》，以上两个国际标准是基于1989年英国政府发起建立的“IT基础架构图”，它汇集了业界IT服务管理的最佳实践，1991年成立的IT服务管理论坛（itSMF）进一步充实了这些最佳实践，并推动英国BSI于2000年首次发布了BS15000标准。该两项标准的出台，为信息技术服务认证活动的展开提供了必要的基础。

GB/T24405.1-2009《信息技术服务管理规范》是针对IT服务业的专项标准，是一个关于服务管理体系的标准，即通过“IT服务标准化”来管理IT问题，也可大致理解为，GB/T24405.1标准是GB/T19001标准在IT服务行业的应用和拓展，其根本管理宗旨是一致的。GB/T24405.1标准鼓励采用整合的过程方法，有效地交付受管理的服务以满足业务和顾客的要求。实施过程和活动要求将服务台人员、服务支持人员、服务交付人员和运营团队很好地组织和协调，以提供实时的控制、更高的效率和持续改进的机会。该标准运用PDCA的管理理念，融合了IT服务管理的最佳实践，规定了需施加控制的13个基本过程。

GB/T24405.1-2009《信息技术服务管理规范》的颁布，在IT服务管理领域产生了重大影响，IT服务方通过建立运行IT服务管理体系，获取第三方体系认证，以规范其服务管理、证实其服务提供能力，并体现持续保持与提升。

三、IT服务管理体系认证

1.价值与作用

《质量发展纲要（2011-2020年）》指出，到2015年，包括信息技术服务等重点生产性服务领域发展的具体目标为：建立健全服务标准体系，全面实施服务质量国家标准；重点提升外包服务质量，促进生产性服务业与先进制造业的融合；生产性服务业顾客满意度达到80以上。为此，加快IT服务业认证，是我国认证认可工作的重点之一，亦是推动质量事业科学发展的有力举措。

众所周知，认证是组织证明和声明其具备相应能力的有效方式。开展以GB/T24405.1-2009《信息技术服务管理规范》标准的IT服务管理体系认证，得到了IT服务业的广泛关注，已成为业内追求卓越组织的主动性需求，认证的结果被用于招投标及相关技术活动的准入条件或贸易条件。

IT服务管理体系提供了一种有效且高效的服务管理和持续改进的机制，下述案例是一个很好的证明。

某银行对其自动存取款机的停机时间有一定的指标要求，此业务几家提供方（外包方）的服务现状一直不能令人满意，直至ABC公司的出现。该家公司运用GB/T24405.1《信息技术服务管理规范》提供的管理模式与方法，首先，确定业务要求与指标，银行要求自动取款服务为24×7小时，服务可用性指标为99%，停机时间不包括计划内停机时间（比如系统升级），以年为单位，IT服务总时间为24×7×52=8736小时，则允许停机时间为87.36小时/年，ABC公司与银行签订了服务级别协议（SLAs），制订了服务连续性和可用性计划，从系统设计改造入手，包括关键组件、关键设备的冗余设计；实时监测系统及组件状态的管理软件；报警机制；数据备份与恢复方案等，并对该一系列计划的实施进行监视和评审，以保证服务达标。保障银行自动存取款服务的可容忍非计划停机时间要求，意味着需同时应对银行系统升级、设备变更、病毒攻击、人员破坏等事项发生，ABC公司按标准建立并实施了相关事件管理、变更管理、发布管理和信息安全管理等管理程序，履行了SLAs的服务承诺，提供的IT服务水准令该银行很满意。可见，开展IT服务管理体系认证活动是IT服务业和管理体系认证业的共同需求。据认证机构APMG官方网站信息，全球有约600余家组织获得了ISO/IEC20000标准认证。IT服务认证在我国通信、金融、能源、电力等行业已率先启动。实践证明，IT服务管理标准的应用取得了独特的价值和作用。

2.认证的技术难点

难点主要体现在人力资源管理方面。

认证人员专业知识与技能的符合性决定了认证活动的有效性。GB/T 27308《信息技术服务管理服务管理体系审核认证机构的要求》将IT服务划分为六大类技术领域，包括：规划与设计服务、集成服务、测试与监理服务、运行维护服务、安全服务和业务流程服务，其中又细分了包括信息系统软件（硬件）设计、开发服务、基础设施运行维护、设备系统集成服务、信息系统测试服务、安全运维、灾难恢复及电子商务支持等25个小类。这就要求认证人员需不同程度地掌握相关技术领域的知识与技能，包括：通用的管理体系审核知识和技能、专用的技术领域知识和技能、认证准则要求、提供服务相关联的法律法规包括技术标准的要求等。其中，对软件架构技术、软件工程、主流配置管理、主流数据库平台、网络技术、IT服务最佳实践等相关知识的了解和掌握是必不可少的，是有效实施认证活动的基本要求。

GB/T24405.1-2009《信息技术服务管理规范》标准主要涉及三方，即顾客、服务提供方和认证机构。获取认证的主体是服务提供方，其服务对象可涉及不同行业不同规模，认证机构的审核员需熟悉IT服务提供方的顾客的行业情况，如IT服务的顾客为金融业，审核员对金融行业的业务特性，包括特定法规、流程、惯例、风险管理等方面亦需有一定程度的掌握。认证人员需面对不同IT服务方的业务流程管理与控制，在IT技术与管理两个方面的符合性与有效性上作出正确的判断。

认识到IT服务管理体系认证的专业性和技术性，以及信息技术发展日新月异的特点，认证机构需加大人力资源充实和培训的力度，将审核员继续教育内容与机构发展相结合，积极营造审核员再学习的激励氛围。另一方面，在重视IT技术应用的同时，避免将IT服务管理体系认证审核引入IT技术符合性审核的误区。技术是手段，管理是灵魂。IT服务管理体系强调的是过程管理与控制，该过程分为两类：第一类过程是体系管理，包括文件记录管理、内部审核、管理评审和持续改进等，即所谓管理体系的通用过程。第二类过程在标准中被称作“服务交付过程”，包括了十三个服务控制过程。审核员需围绕标准规定的两类过程展开体系的审核。十三个服务控制过程包括服务级别管理、服务报告、服务连续性和可用性管理、IT服务的预算与核算、能力管理、信息安全管理、业务关系管理、供方管理、事件管理、问题管理、配置管理、变更管理和发布管理，需识别出这十三个过程之间的输入输出逻辑关系，明确体系实施中管理流程的接口与整合，保证认证活动的有效性。从而促进认证组织服务质量全面提高。

3.认证方案

借鉴其他成熟的管理体系认证方案，可对IT服务管理体系在审核阶段与内容、人员配备等方面作出相应的规定。同时就IT服务管理体系的特点，找出认证方案需特别关注的方面，如在审核时间及多场所组织和组织的服务点的抽样。

举例说明。某IT服务提供方为一家银行提供特定的MIS系统（管理信息系统，Management Information System）运维服务。针对银行各基层网点的抽样，需至少考虑以下多个方面：临时场所的业务类型和服务方式的差异；多场所抽样应保证覆盖标准13个管理流程；同一流程的不同部分在多个场所进行实施时，这些场所不参与抽样；所有的场所都应在认证范围内，需要补充在审核范围内的其他场所不在此抽样范围内；设计监督审核方案时考虑组织ITSMS认证范围内有代表性的场所业务范围；无论是在哪一个场所发现不符合，纠正措施的实施适用于包括在认证范围内的总部和所有场所（适用时）等。

针对IT服务管理体系的特点，可考虑运用计算机辅助审核技术实施审核活动。充分利用计算机及网络通讯技术，运用网络会议、网络交互式通信、审核员远程访问被审核方及其用户的服务平台等方式，获取体系实施的证据。特别在某些服务方的客户为多服务地点且业务相同的情况下，远程审核的实施，可提高审核的有效性和效率、降低认证成本、提升认证服务质量与形象，具有其必要性及发展空间。为此，认证机构需在CNAS-CC14准则要求符合性、计算机软硬件配备及认证人员能力方面，做好相应的技术准备。