信息技術服務管理體系認證的探析

◆ 王 軍 / 文

伴隨著信息技術的迅猛發展、計算機和互聯網普及，愈來愈多服務行業的生產與經營活動依賴信息技術的有效應用和信息設備的正常運行，如通訊、金融、貿易、交通運輸。即使傳統制造業，在其產品開發設計、生產制造、物流與經營管理等環節，對信息技術的依賴也不斷增加。組織為了專注核心業務，達到經濟與高效管理，獲取IT服務提供已是社會的廣泛需求。為此，信息技術服務（以下簡稱IT服務），這一技術含量高的服務應運而生。

一、IT服務業發展與管理需求

目前，IT服務產業已拓展到了系統集成、IT軟硬件設計、運維、外包、教育培訓、咨詢等在內的專業服務，IT服務方已由技術提供方、服務提供方逐步發展到了戰略伙伴的角色。顧客的需求、技術的發展也促使IT服務模式不斷創新，如遠程服務、優化提速、軟件修復、甚至系統崩潰救援、全天候在線自助服務系統的應用等。伴隨移動辦公、云端技術的興起，IT服務已成為顧客組織實現業績保障及能力突破的不可或缺的支撐。

顯而易見，客戶對IT服務提供方的技術要求和管理要求日益提升。現在IT服務產業面臨著三大突出性的挑戰，即：刪繁就簡體現服務價值、主動響應提升服務品質、以標準化服務提升服務效益。用戶對IT服務的要求正在從產品層面提升到業務層面，同時還要求增加服務提供的靈活性和速度，以更好響應用戶需求。為此，如何保證用戶信息系統的持續完整性、可用性、適宜性和安全性，如何實現IT服務質量的持續滿足與提升，是當前IT服務業面臨的重要課題。服務過程的規范和服務質量的提升，是信息技術得以正常應用和運行的保障。建立信息技術服務管理體系，已是IT服務業開展IT服務的基本和迫切的需求。

二、IT服務管理標準

2009年及2010年我國分別發布了GB/T24405.1-2009《信息技術服務管理 規范》和GB/T24405.2-2010《信息技術服務管理 實踐規則》。該兩項標準等同采用了2005年國際標準化組織和國際電工委員會聯合頒布的ISO/IEC 20000-1《信息技術服務管理 規范》，ISO/IEC 20000-2《信息技術服務管理 實踐規則》，以上兩個國際標準是基于1989年英國政府發起建立的“IT基礎架構圖”，它匯集了業界IT服務管理的最佳實踐，1991年成立的IT服務管理論壇（itSMF）進一步充實了這些最佳實踐，并推動英國BSI于2000年首次發布了BS15000標準。該兩項標準的出臺，為信息技術服務認證活動的展開提供了必要的基礎。

GB/T24405.1-2009《信息技術服務管理 規范》是針對IT服務業的專項標準，是一個關于服務管理體系的標準，即通過“IT服務標準化”來管理IT問題，也可大致理解為，GB/T24405.1標準是GB/T19001標準在IT服務行業的應用和拓展，其根本管理宗旨是一致的。GB/T24405.1標準鼓勵采用整合的過程方法，有效地交付受管理的服務以滿足業務和顧客的要求。實施過程和活動要求將服務臺人員、服務支持人員、服務交付人員和運營團隊很好地組織和協調，以提供實時的控制、更高的效率和持續改進的機會。該標準運用PDCA的管理理念，融合了IT服務管理的最佳實踐，規定了需施加控制的13個基本過程。

GB/T24405.1-2009《信息技術服務管理 規范》的頒布，在IT服務管理領域產生了重大影響，IT服務方通過建立運行IT服務管理體系，獲取第三方體系認證，以規范其服務管理、證實其服務提供能力，并體現持續保持與提升。

三、IT服務管理體系認證

1.價值與作用

《質量發展綱要（2011-2020年）》指出，到2015年，包括信息技術服務等重點生產性服務領域發展的具體目標為：建立健全服務標準體系，全面實施服務質量國家標準；重點提升外包服務質量，促進生產性服務業與先進制造業的融合；生產性服務業顧客滿意度達到80以上。為此，加快IT服務業認證，是我國認證認可工作的重點之一，亦是推動質量事業科學發展的有力舉措。

眾所周知，認證是組織證明和聲明其具備相應能力的有效方式。開展以GB/T24405.1-2009《信息技術服務管理 規范》標準的IT服務管理體系認證，得到了IT服務業的廣泛關注，已成為業內追求卓越組織的主動性需求，認證的結果被用于招投標及相關技術活動的準入條件或貿易條件。

IT服務管理體系提供了一種有效且高效的服務管理和持續改進的機制，下述案例是一個很好的證明。

某銀行對其自動存取款機的停機時間有一定的指標要求，此業務幾家提供方（外包方）的服務現狀一直不能令人滿意，直至ABC公司的出現。該家公司運用GB/T24405.1《信息技術服務管理 規范》提供的管理模式與方法，首先，確定業務要求與指標，銀行要求自動取款服務為24×7小時，服務可用性指標為99%，停機時間不包括計劃內停機時間（比如系統升級），以年為單位，IT服務總時間為24×7×52=8736小時，則允許停機時間為87.36小時/年，ABC公司與銀行簽訂了服務級別協議（SLAs），制訂了服務連續性和可用性計劃，從系統設計改造入手，包括關鍵組件、關鍵設備的冗余設計；實時監測系統及組件狀態的管理軟件；報警機制；數據備份與恢復方案等，并對該一系列計劃的實施進行監視和評審，以保證服務達標。保障銀行自動存取款服務的可容忍非計劃停機時間要求，意味著需同時應對銀行系統升級、設備變更、病毒攻擊、人員破壞等事項發生，ABC公司按標準建立并實施了相關事件管理、變更管理、發布管理和信息安全管理等管理程序，履行了SLAs的服務承諾，提供的IT服務水準令該銀行很滿意。可見，開展IT服務管理體系認證活動是IT服務業和管理體系認證業的共同需求。據認證機構APMG官方網站信息，全球有約600余家組織獲得了ISO/IEC20000標準認證。IT服務認證在我國通信、金融、能源、電力等行業已率先啟動。實踐證明，IT服務管理標準的應用取得了獨特的價值和作用。

2.認證的技術難點

難點主要體現在人力資源管理方面。

認證人員專業知識與技能的符合性決定了認證活動的有效性。GB/T 27308《信息技術 服務管理服務管理體系審核認證機構的要求》將IT服務劃分為六大類技術領域，包括：規劃與設計服務、集成服務、測試與監理服務、運行維護服務、安全服務和業務流程服務，其中又細分了包括信息系統軟件（硬件）設計、開發服務、基礎設施運行維護、設備系統集成服務、信息系統測試服務、安全運維、災難恢復及電子商務支持等25個小類。這就要求認證人員需不同程度地掌握相關技術領域的知識與技能，包括：通用的管理體系審核知識和技能、專用的技術領域知識和技能、認證準則要求、提供服務相關聯的法律法規包括技術標準的要求等。其中，對軟件架構技術、軟件工程、主流配置管理、主流數據庫平臺、網絡技術、IT服務最佳實踐等相關知識的了解和掌握是必不可少的，是有效實施認證活動的基本要求。

GB/T24405.1-2009《信息技術服務管理 規范》標準主要涉及三方，即顧客、服務提供方和認證機構。獲取認證的主體是服務提供方，其服務對象可涉及不同行業不同規模，認證機構的審核員需熟悉IT服務提供方的顧客的行業情況，如IT服務的顧客為金融業，審核員對金融行業的業務特性，包括特定法規、流程、慣例、風險管理等方面亦需有一定程度的掌握。認證人員需面對不同IT服務方的業務流程管理與控制，在IT技術與管理兩個方面的符合性與有效性上作出正確的判斷。

認識到IT服務管理體系認證的專業性和技術性，以及信息技術發展日新月異的特點，認證機構需加大人力資源充實和培訓的力度，將審核員繼續教育內容與機構發展相結合，積極營造審核員再學習的激勵氛圍。另一方面，在重視IT技術應用的同時，避免將IT服務管理體系認證審核引入IT技術符合性審核的誤區。技術是手段，管理是靈魂。IT服務管理體系強調的是過程管理與控制，該過程分為兩類：第一類過程是體系管理，包括文件記錄管理、內部審核、管理評審和持續改進等，即所謂管理體系的通用過程。第二類過程在標準中被稱作“服務交付過程”，包括了十三個服務控制過程。審核員需圍繞標準規定的兩類過程展開體系的審核。十三個服務控制過程包括服務級別管理、服務報告、服務連續性和可用性管理、IT服務的預算與核算、能力管理、信息安全管理、業務關系管理、供方管理、事件管理、問題管理、配置管理、變更管理和發布管理，需識別出這十三個過程之間的輸入輸出邏輯關系，明確體系實施中管理流程的接口與整合，保證認證活動的有效性。從而促進認證組織服務質量全面提高。

3.認證方案

借鑒其他成熟的管理體系認證方案，可對IT服務管理體系在審核階段與內容、人員配備等方面作出相應的規定。同時就IT服務管理體系的特點，找出認證方案需特別關注的方面，如在審核時間及多場所組織和組織的服務點的抽樣。

舉例說明。某IT服務提供方為一家銀行提供特定的MIS系統（管理信息系統，Management Information System）運維服務。針對銀行各基層網點的抽樣，需至少考慮以下多個方面：臨時場所的業務類型和服務方式的差異；多場所抽樣應保證覆蓋標準13個管理流程；同一流程的不同部分在多個場所進行實施時，這些場所不參與抽樣；所有的場所都應在認證范圍內，需要補充在審核范圍內的其他場所不在此抽樣范圍內；設計監督審核方案時考慮組織ITSMS認證范圍內有代表性的場所業務范圍；無論是在哪一個場所發現不符合，糾正措施的實施適用于包括在認證范圍內的總部和所有場所（適用時）等。

針對IT服務管理體系的特點，可考慮運用計算機輔助審核技術實施審核活動。充分利用計算機及網絡通訊技術，運用網絡會議、網絡交互式通信、審核員遠程訪問被審核方及其用戶的服務平臺等方式，獲取體系實施的證據。特別在某些服務方的客戶為多服務地點且業務相同的情況下，遠程審核的實施，可提高審核的有效性和效率、降低認證成本、提升認證服務質量與形象，具有其必要性及發展空間。為此，認證機構需在CNAS-CC14準則要求符合性、計算機軟硬件配備及認證人員能力方面，做好相應的技術準備。

四、結語

以GB/T24405.1-2009《信息技術服務管理 規范》為依據的IT服務管理體系認證，可促進IT服務業的行業化和國際化，提升IT服務業整體管理水平，有利于營造IT服務業發展的良好環境。同時，加大了認證行業的發展空間，獲取應有的管理價值和收益。IT服務管理體系認證勢在必行。