银行数据中心建设和运维管理，IT服务管理体系标准

1.标准简介

ISO20000是基于ITIL最佳实践与BSI15000英标体系进行构建的、于2005年12月15日由国际标准化组织发布的第一部关于信息科技服务管理体系的认证国际标准，是一套通过管理和规范服务流程确保IT服务质量的国际标准，是为组织提供能够证明其IT服务能力和服务质量的公认认证标准。

2001年，英国标准协会（BSI）在国际IT服务管理论坛（itSMF）年会上正式发布了世界上第一个基于ITIL的IT服务管理英国国家标准BS15000。BS15000标准由两部分构成，第一部分是BS15000标准体系，第二部分是实践指南。

随着IT的发展，越来越多的组织基于IT构筑自己的价值链，需要IT的支持来支撑组织的运行，IT构架已经成为影响组织生存的关键要素，特别是对于银行、证券、保险、电信等高度依赖信息技术的组织。而且随着逐年IT的投入，建设了大量的软硬件系统，对客户要求的提高，对故障发生的恐惧，对投入成本逐年增加的不安，都促使现在的组织要采取措施规范IT服务的管理。

在产品生产过程中，需要遵循一定的质量控制标准（如ISO9000系列标准），可以确保产品的质量保持较高的水准（如较高的产品合格率），同时也可以降低产品制造成本。而对于服务提供（运营）过程来说，遵循相关的服务管理标准（如ISO20000）可以实现服务运营的输入和生产流程的标准化。只有将过程标准化了，才能保证最终的服务质量和成本符合预定的标准，才能实现过程控制，从而达到质量控制的目标。

在传统的IT管理模式下，IT部门是作为技术支持的角色被动地存在的，而在新的IT服务管理模式下，IT部门是作为一个主动的服务提供者向其客户和用户（如企业的业务部门）提供赖以支撑组织业务运作的IT服务，IT部门和IT外包商往往需要向客户提供服务目录并和客户签订正式的服务级别协议（SLA）。

目前，全球的IT服务业正逐渐走向专业化和外包化。随着企业和政府组织的业务运作越来越依赖于IT，越来越多的组织考虑将其IT服务运营外包给专业的IT服务提供商或对内部的IT支持部门提出更明确的服务要求，以确保提高服务质量，降低服务成本，降低因IT服务中断所导致的业务风险。

如何控制这个IT服务的整体风险（无论是内部还是外部），提高IT的整体服务水平是一个需要高度重视的问题，而ISO20000就是解决该问题的一个很好的指南。

ISO20000是一个针对管理流程系统的标准，ISO20000的认证适合IT服务的提供者，可以是内部的IT部门，也可以是外部的服务提供商。获取ISO20000的认证，意味着提供服务的IT组织，对ISO20000中定义的这些管理流程具有足够好的管理控制力。这里所谓对流程的管理控制力包括：对流程输入的了解和控制；对流程输出的了解、使用和诠释；制订和执行对流程效能的衡量机制；有客观的证据表明，对流程的功能负责，使之符合ISO20000标准要求；制订流程的改进提高计划，衡量和回顾改进结果。

IT服务组织要获得ISO20000的认证，必须证明它能够对标准中涉及的所有流程都具有以上的管理控制力。ISO20000对流程的最佳实践进行了总结，可适用于不同规模、类型和结构的组织，服务管理流程最佳实践要求并不会因为组织形式不同而被改变。

ISO20000⁃1转化为我国国家标准号为GB/T24405.1—2009，于2009年9月30日发布、2009年12月1日实施；ISO20000⁃2转化为我国国家标准号为GB/T24405.2—2010，于2010年12月1日发布、2011年4月1日实施。

2.标准内容

ISO20000规定了IT组织对客户提供IT服务和支持的主要活动过程，展现了一套完整的IT服务管理流程，帮助IT组织识别并管理IT服务的关键流程，保证向客户提供高质量的IT服务。ISO20000作为IT服务管理的国际标准，是从ITIL发展而来的。

ISO20000标准由两个部分组成。

第一部分：规范；作为ISO20000⁃1：2005标准公布，这是该标准的正式规范。第一部分阐述企业要实施有效的ISO20000服务管理需要完成的工作，包括管理体系、标准架构、术语定义、服务流程等几个部分，通过具体的流程目标和活动内容，ISO20000对企业如何实施IT服务管理体系制定了明确的规范和指导，帮助企业达到IT服务的管理和控制，也对企业获得ISO20000认证提供了帮助。第一部分的服务管理规范由以下10个部分组成：范围、术语与定义、管理体系要求、服务管理的策划与实施、新服务或变更服务的策划与实施、服务交付过程、关系过程、解决过程、控制过程和发布过程。

第二部分：实施指南；作为ISO20000⁃2：2005标准公布，详细描述了最佳实践，并为正式标准范围之内的服务管理流程提供指导和建议。第二部分采用了与第一部分一样的结构，但是针对第一部分提出的要求进行了更具体的描述和扩展。

一般而言，标准的第一部分列出了一份强制控制的清单，这是那些要通过认证的服务提供商“必须”要做的事情。而第二部分包含对希望被认证的服务提供商“应当”做什么所提供的指导方针和建议列表。

3.标准价值

在IT行业，ISO20000认证已经成为IT服务管理的代名词，一个企业通过了ISO20000的认证标志着它秉持IT服务管理的最佳实践，有高效的IT服务管理支撑。ISO20000认证为企业带来的直接价值包括：遵循PDCA（计划⁃执行⁃检查⁃改进）的方法论，持续改进IT服务管理体系；提高市场竞争力。

对于众多IT服务提供商，ISO20000认证的意义并不仅仅限于IT服务符合规程和提高服务质量。它在服务量化、员工绩效考核、衡量IT部门投资回报方面更具有积极的意义。

ISO20000是以流程化管理方式为基础的，IT工作被分解成了不同的流程，每个小部门、每个人的工作都是若干流程中不同工作的组合，流程对工作量化的输入输出为员工的工作量化提供了可能。员工的量化考核使这个IT部门的普遍难题得到了初步解决，尤其是服务台的一线员工基本做到了完全的工作量化衡量。流程的量化数据为员工的工作分配、工作成绩的反映提供了基础，同时对于工作人员的责任也有了相应的考核体系。

同时，IT对服务也有了量化指标，建立了量化的质量控制体系，设定了完整准确的考核指标，提供完善的报表。对客户满意度等还选用第三方进行调查，保证数据的可信性。

量化管理不仅是IT部门自身管理的需要，也是衡量IT部门价值与投资回报的基础，流程化管理方式为量化管理的实现提供了可能。借用ISO20000，CIO也同时找到了一个衡量IT服务好坏的国际公认的标准。用这么一个标准来证明公司的IT服务管理能力达到了怎样一个阶段，在一个标准的平台上跟CEO、CIO沟通IT服务管理的标准化、规范化。

20世纪90年代后期，ITIL被相关企业引入中国。近10年的时间，在企业、研究组织的推动下，越来越多的中国企业开始用ITIL管理自己的IT服务。我国银行业在进行数据大集中后，IT系统的规模不断扩大、日趋复杂，成立了专业运维IT系统的数据中心、运行中心、服务中心。信息化建设的重心已不再偏重于基础设施投资，IT服务管理被提上日程。为了提升自身的IT服务管理水平与国际标准接轨，银行业引入了ITIL、ISO20000。在流程控制和持续改进思想的熏陶下，IT服务水平和业务目标紧密捆绑，ITIL在银行业生根发芽。

目前，各银行在IT服务管理上都取得了显著效果：设立了服务台，提供统一的服务接口，引入集中监控软件，实施了对基础设施的全面监控；规范了IT服务流程，实现了知识共享等。ITIL的基本内容在应用中已经全部涵盖，但用ITIL所管理的IT服务是否有效或是否长期有效，值得深入思考。ITIL在国内银行的应用还属于基础应用，IT服务管理的各个环节还需要继续深入。

4.认证方法

取得ISO20000认证主要有以下几个步骤。

（1）准备

1）明确认证的意义。

2）确定IT服务管理认证范围。

3）确立愿景，决定服务管理改进的方面与改进的顺序。(www.xing528.com)

4）明确认证活动的参与方面，确定各方所期望的收益。

5）全面地理解认证的内容，明确认证活动对个人和对组织的影响。

6）获取信息：与相似规模、职能的组织交流经验，向咨询顾问、培训提供机构、相关论坛和用户组织咨询。

7）获得高层管理者的支持。

8）获得ITIL、ISO20000的知识和文档。

9）选定一家认证机构，确认审核的范围。

（2）初步评估与计划制订

1）进行初步的评估、掌握现状并进行差距分析；评估明确需改进的方面；管理在认证过程中的风险。

2）制订整体的计划，获得相关方面的支持与承诺。

（3）缩小差距

1）建立、管理服务改进计划（PDCA环）。

2）根据ISO20000⁃1服务管理规范进行详细的评估。

3）借鉴ISO20000、ITIL，制定具体的服务管理的政策、流程、步骤。

4）实施服务管理流程。

5）改进服务管理的政策、流程、步骤。

6）定期检查和回顾。

（4）认证审核准备

1）如有必要，联系认证机构进行预审核，作为正式审核的“预演或排练”。

2）与认证机构充分交流以建立对审核范围、审核内容的共同理解。

3）准备审核所需要的“证据”：文档、记录等。

（5）认证审核 典型的认证审核包括：

1）协定参考标准和审核范围的条款。

2）第一阶段审核：主要进行文件审核，审核体系文档是否对标准要求内容进行了体现，并确认第二阶段审核准备的充分性。

3）第二阶段审核：现场对体系的符合性和有效性进行评价，即审核是否对体系文档要求进行了有效的执行，并做出现场推荐结论。

4）认证机构审核推荐结论，如果达到ISO20000标准要求，将后续颁发证书。

（6）维护

ISO20000标准认证证书的有效期为3年；获得认证后每年都须由认证机构进行“年度监督审核”；证书3年到期后，需要进行一次全面的再认证审核。

当组织的IT服务管理体系发生变化，或出现影响IT服务管理体系符合性的重大变化时，需要及时通知认证机构，认证机构将视情况进行监督审核、换证审核或者再认证审核以保持证书的有效性。

此外组织需要根据ISO20000的要求，每年进行至少一次内部审核和管理评审。