ISO/IEC 20000－1：2011《信息技術 服務管理第1部分：服務管理體系要求》解析解析系列二：ISO/IEC 20000－1：2011第1～3章解析

李艷杰

ISO/IEC 20000第一章在“范圍”的標題下用陳述性的語言對標準提供了總體性的說明，在“1.1總則”部分著重明確了標準的性質和應用領域，包括標準的預期使用者；在“1.2應用”部分說明了標準的適用性。

1.1 總則

明確ISO/IEC 20000的性質是一個服務管理體系標準。需要說明的是2005版的標準雖然也被業界公認為是“IT服務管理體系”標準，但只使用了“管理體系”而并沒有使用“IT服務管理體系”這一詞語。在2011版標準的文本中提出并明確了“服務管理體系”的概念，但從標準的完整標題：《信息技術 服務管理 第1部分：服務管理體系要求》可以認為ISO/IEC 20000只涉及IT領域的服務管理，不能應用于其他服務領域。

標準所提出服務管理體系應該是一種質量管理體系，即質量管理的方法和原則可普遍應用于服務管理之中。ISO/IEC 20000標準的目的是滿足業務和顧客需求，雖然標準文本沒有明確強調服務質量，但通過對顧客需求的分析，實施一系列過程來提供使顧客滿意的產品或服務，并控制這些過程的有效運行，使顧客和服務提供方都對服務能夠始終滿足顧客的要求而充滿信心。

ISO/IEC 20000為服務管理確立了統一的方法，可使顧客、服務提供方和供方在服務管理達成一致。從標準的使用者來看主要涉及三方，顧客、服務提供方和認證機構。顧客（或委托方）組織可以基于標準來選擇和評價服務提供方，并用以指導其對服務提供方的管理。服務提供方是標準使用的主體，可依據標準要求進行服務管理的現狀評估或審核，識別改進機會或建立持續改進的基準；服務提供方還通過建立、運行、監督和改進服務管理體系實現第三方的服務管理體系認證，從而向顧客和合作方證實其服務能力。認證機構的審核員可基于標準的要求對服務提供方進行符合性評估。

1.2 應用

標準本段內容說明了其適用性，表明標準第4章至第9章的要求普遍適用于所有的IT服務提供方。當服務提供方需要對其服務管理體系進行認證時，標準第4章至第9章是強制性的要求不可刪減，而且要在認證審核中提供充分的實施證據。

標準第4章的標題是“服務管理體系總要求”包括管理職責、由其他方運行過程的治理、文件管理、資源管理以及建立服務管理體系等方面的要求。服務提供方要實施第4章的要求并提供覆蓋第4章全部要求的實施證據。標準不允許第4章涉及的過程或部分過程活動由其他方運行，盡管服務提供方對這些過程進行了治理并可提供相應的證據。

標準第5章是對“設計和轉換新的或變更服務”方面的要求，而第6章至第9章則涵蓋了交付過程、關系過程、解決過程和控制過程類別下共計13個服務管理過程的要求。服務提供方可以定義并實施全部服務管理過程，并提供滿足所有要求的證據。但考慮到會有服務外包的情形，標準允許其中少數過程或過程活動由其他方運行，但對這些過程必須要由服務提供方進行治理并提供相應的證據。

ISO/IEC 20000是一個服務管理體系標準，不涉及產品規范。服務提供方或工具廠商可以基于標準開發服務管理工具或IT監控工具以支持服務管理工作高效和有效地運行。

ISO/IEC 20000－3：2009 對 ISO/IEC 20000－1在范圍定義、適用性以及由其他方運行過程的治理方面為服務提供方和審核員提供了具體的指南。

2 規范性引用

沒有標準文獻在這里引用。本章是為了確保條款的編號與ISO/IEC 20000－2：2012《信息技術服務管理 第2部分：服務管理體系的應用指南》保持一致。同時本章也是2011版新增加的內容。

3 術語和定義

術語是理解標準的基礎。ISO/IEC 20000標準的目的之一就是要通過對術語的定義建立IT服務管理領域各方相互交流的共同基礎。

3.1 服務與服務管理

服務的核心是為顧客提供價值。通過服務讓顧客處理他們擅長的業務，而把輔助性的事務交給服務提供方來處理，使顧客擺脫需要有專門技能才能處理的繁雜工作和管理，從而有助于顧客取得更好的績效，促使顧客更有效地實現其目標和期望的結果。該標準的服務是指在其信息技術的前提下特指IT服務。

IT服務由信息技術、人員和過程組合而成。IT服務通常分為兩個類別，一是“面向顧客的服務”，它借助于IT基礎架構直接支持或實現顧客的業務流程，其服務目標及質量要求應在服務級別協議中規定。二是“支持服務”，這種服務不直接支持顧客的業務，但它是服務提供方交付面向顧客的服務所必不可少的，例如，對信息系統的故障排除。

服務管理是一組專門的組織能力，使服務能夠為顧客提供價值。當服務由服務提供方來交付時，就要求顧客和服務提供方都要具備各自相應的能力，才能實現服務的價值。

3.2 服務管理的有關方

服務管理的有關方涉及的術語包括組織、顧客、服務提供方、內部團體、供方、相關方。

組織指擁有獨立法律地位和資源的機構，在標準中主要用以定義其他術語，如顧客、服務提供方等。在ISO/IEC 20000的管理體系要求中組織一詞用于泛指其他機構。

當顧客組織內部設有IT部門并由該部門來提供IT服務時，這個部門就被認為是內部的IT服務提供方，在這種情況下對IT部門來講顧客是內部的。

服務提供方指提供IT服務的組織。

內部團體借助其專業或業務特長為服務提供方向顧客交付服務提供所需的支持服務。例如服務提供方組織的運維部門承擔了對某顧客的業務應用軟件的運行維護服務，當遇到其無法處理的應用軟件缺陷或升級時就需要本組織內的軟件開發部門提供針對缺陷的軟件修改、打補丁或是針對新需求的軟件升級服務。軟件開發部門就屬于內部團體。

供方負責按照與服務提供方簽訂的合同提供IT服務所需的商品或服務。供方應具有獨立的法律地位，相對顧客來講屬于第三方，在服務提供方的組織協調下直接或間接向顧客提供服務。

相關方泛指與服務提供方向顧客交付服務有利益關聯的任何組織和個人。該術語雖然在標準中給出了定義，但在標準條文中并沒有使用。

3.3 服務管理體系

服務管理體系類的術語包括在策劃、建立、實施、運行、監視、評審、保持和改進服務管理體系所涉及的基本詞匯。

管理體系是組織為了在一個或多個領域實現管理目標而形成的架構，包括方針、過程、指南和資源等要素。

ISO/IEC 20000標準中的最高管理是針對服務提供方而言，指處于最高管理層中總體負責服務管理的人員，通常高于管理者代表的地位。最高管理者基于組織總體業務的發展戰略，對服務管理提出要求并作出承諾，指導和監控服務提供方的服務資源和能力建設。

過程是為實現預定目標而設定的一組結構化的活動。在ISO 20000中，過程主要指服務提供方按標準第5章到第9章的要求加以治理的服務管理過程，它們是服務管理體系的基本要素。

在IT服務管理中，規程規定了執行一項活動所包含的步驟，它可以定義為過程的組成部分。在其他管理體系中有時規程又稱為程序。

記錄是文件的一種類型，它記載了活動的結果，可以以各種媒介形式儲存和保留。

在ISO/IEC 20000中有效性主要強調的是持續保持并改進服務管理體系和服務的效能，此外還用于服務管理過程中對變更、問題解決方案、安全控制措施等的實施進行監視和評估，確保其達到預期的效果。

服務提供方在服務管理中如果沒有按照本組織的方針、過程和規程的要求進行工作通常稱為不符合；服務管理體系在建立、運行、監視和改進中沒有滿足ISO 20000的要求而發現的問題也是不符合。服務作為產品如果在交付中沒有達成服務級別協議的要求也可以記為不合格或不符合。

糾正措施是針對已發生的問題采取行動；預防措施是針對未發生的潛在問題采取行動；他們的目的都是要消除問題的原因，從而實現持續改進。

3.4 服務管理過程

服務級別協議描述了交付的IT服務、確定了服務級別目標并詳細說明了IT服務提供方和顧客的責任。

服務需求是服務提供方滿足顧客需求的基礎，它可以源自顧客的業務運行和發展的需要，也可以來自于服務提供方的服務產品開發和服務業務發展的需要。

在顧客的業務運行愈加依賴于IT服務的情況下，可用性已成為衡量服務提供方績效的最重要的服務級別指標。服務的可用性取決于：IT基礎設施的復雜程度、IT組件的可靠性、服務提供方對故障作出快速有效反應的能力以及對IT基礎設施的維護質量等。

可用性由可靠性，可維護性，可服務性，性能和安全性來確定。

IT服務及運行環境可能會受到重大災難或IT基礎設施遭受破壞或失效的風險。服務連續性就是針對重大風險規劃如何恢復服務并采取風險降低和應急措施，這樣即便是在風險發生而造成IT設施損毀的情況下服務提供方仍然能夠及時恢復對關鍵業務的IT服務，并按約定的最低服務級別持續地提供服務從而支持顧客業務的連續性。

在信息安全領域，信息安全的3個特性為保密性、完整性和可用性。詳見ISO/IEC 27000：2009。

在ISO/IEC 20000的2005版中，事件包括服務請求。而在2011版中服務請求已經從事件中分離，服務請求應按預定的規程處理。

用戶獲取信息咨詢、建議、或訪問IT服務的請求，例如重置密碼、為新用戶開設賬戶。服務請求通常由服務臺受理。定義中預先批準的變更又稱為標準變更，這類變更不需要提交變更請求就可以處理。

問題與事件是具有一定的關聯關系。對于重大事件或多次出現的事件就需要把它當作問題來進行分析，找出引發事件的根本原因，有針對性地提出解決方案，以避免今后類似事件的發生，從而改進服務的可用性。

已知錯誤是問題的一種狀態。

變更請求是一份對變更提出正式建議的文件，變更的建議可以來自顧客方、服務提供方、供方或相關方。

配置項是為提供IT服務而需要進行管理的任何組件。通常包括IT服務、硬件、軟件、場地、人員和正式文件等。

配置管理數據庫是服務管理的重要工具，用以收集、保存、管理、更新和顯示所有配置項的相關數據。

配置基線是對特定時間點上與某項服務相關的一組配置項的狀態記錄。配置基線的建立是由變更管理控制的。

發布是指實施一個或多個已批準的變更所需的一組軟硬件、文件、過程或其他組件。每次發布的內容作為一個單獨實體進行管理、測試和部署。

3.5 其他

轉換是服務進入或退出實際運行環境的一個過渡階段，通常會涉及到對運行環境的改變。

風險是一個或一系列不確定的事態，可能會產生正面（機會）或負面（威脅）影響。在服務管理中通常需要關注的是風險的負面影響。