標準簡介
ISO/IEC 20000-1:2018 是 IT 服務管理系統(SMS)的國際標準。作為第三版於 2018 年 9 月發布,規定了組織建立、實施、維護和持續改進服務管理系統的要求。此標準與 ITIL 最佳實務緊密對齊,並採用 ISO 高階結構,能與 ISO 27001、ISO 9001 等管理系統標準無縫整合。
此標準涵蓋完整的服務生命週期,包括服務的規劃、設計、轉換、交付和改進。它要求組織定義服務管理政策、管理服務組合和服務水準、實施事件、問題和變更管理流程,並建立供應商和關係管理。ISO/IEC 20000-1 認證在 IT 委外合約、雲端服務協議和全球政府 IT 採購中日益受到重視。
服務管理系統
規定建立、實施、維護與持續改善服務管理系統(SMS)的要求,以透過服務交付價值。
與 ITIL 對齊
與 ITIL 最佳實務緊密對齊。提供可認證的框架,將 IT 服務管理流程於整個服務生命週期中正式化。
高階結構
遵循 ISO 高階結構(HLS),能與 ISO 27001、ISO 9001 及其他管理系統標準無縫整合。
list_alt SMS 條款(4-10)
- 組織背景與相關方
- 領導承諾與服務管理政策
- 規劃,包含風險與機會
- 支援——資源、能力、意識、溝通
- 服務組合與服務等級管理
- 關係管理與供應商管理
- 事件、問題與變更管理
- 績效評估與持續改善
誰需要合規?
IT 服務提供者(內部或外部)、託管服務提供者、雲端服務提供者,以及任何希望展示其能持續設計、交付並改善符合服務要求的組織。
關鍵要求
服務管理系統
建立、實施與維護涵蓋服務規劃、設計、轉換、交付與改善的 SMS。界定 SMS 範圍與服務管理政策。
服務等級管理
定義、協議、監控並報告服務等級。維護服務等級協議(SLA),確保服務符合協議要求。
事件與問題管理
實施盡快恢復正常服務運作(事件管理)與辨識根本原因以防止再次發生(問題管理)的流程。
變更與發布管理
透過正式的變更管理流程控制對 SMS 及服務的變更。規劃、測試及部署發布,以將對服務品質的影響降至最低。
實施路線圖
准备範圍、領導責任和目標
圍繞服務、客戶、服務团队、供應商、服務资产和服務生命周期流程定義服務管理體系範圍。確認領導責任、相關方、法律和合約義務、方針承諾以及可衡量目標,再进入详细控制建設。
差距分析和風險評估
依据 ISO/IEC 20000-1 要求和組織風險背景評估目前實務。審查服務規劃、服務目录、服務级别、事件和请求管理、變更控制、供應商管理和持續改進,并按合規暴露、客戶影響、營運風險和稽核準備度排列差距優先順序。
實施流程、控制和記錄
部署或改進所需流程、執行控制、職責、訓練、監測、文件化資訊和矯正措施流程。圍繞服務目录、SLA、事件記錄、變更記錄、供應商審查、容量和可用性報告以及改進計畫建立證據。
稽核、審查并持續改進
在認證稽核前执行內部稽核、管理審查、績效監測和矯正措施。发生事件、流程变化、客戶回饋、法规变化或稽核發現后保持體系更新。
合規檢查清單
checklist 範圍与治理
checklist 執行控制与證據
checklist 績效与改進
處罰與執行
無直接法律罰則——ISO 20000-1 屬自願性認證。惟失去認證可能導致無法承接 IT 服務合約,尤其在政府與金融產業採購中,ISO 20000-1 通常為必要條件。
常見問題解答
谁需要 ISO/IEC 20000-1?
expand_more
ISO/IEC 20000-1 適用于需要圍繞服務、客戶、服務团队、供應商、服務资产和服務生命周期流程建立受控服務管理體系的組織。客戶、監管、採購或市場預期經常要求組織證明控制有效且績效可重複。
ISO/IEC 20000-1 可以認證或稽核吗?
expand_more
在存在認證或認可基礎設施的情况下,組織通常可以圍繞 ISO/IEC 20000-1 進行認證稽核。即使短期目標不是認證,也可将该標準作為內部執行和保證框架。
實施需要多长時間?
expand_more
聚焦實施通常需要數月,取決於範圍、成熟度、場所數量、流程複雜度和證據品質。既有成熟流程的組織更快,多場所或受監管環境通常需要更久。
最重要的第一步是什么?
expand_more
先明確範圍、領導責任并進行诚实的差距評估。如果範圍和流程所有權不穩定,团队往往会创建与實際工作不一致的文件。
稽核员通常期望哪些證據?
expand_more
稽核员需要執行證據,而不仅是政策文件。有用證據包括服務目录、SLA、事件記錄、變更記錄、供應商審查、容量和可用性報告以及改進計畫,以及發現项被審查并持續改進的證明。
內部稽核应多久進行一次?
expand_more
內部稽核应按風險、流程重要性、历史發現和变化情况計畫执行。许多組織每年涵蓋完整體系,并在事件或重大变化后执行專項稽核。
持續改進如何執行?
expand_more
持續改進利用績效資料、稽核發現、事件、客戶回饋、管理審查決策和矯正措施来強化體系。改進应體現在目標、控制和可衡量結果中。
可以与其他標準整合吗?
expand_more
可以。ISO/IEC 20000-1 通常可通过共享治理、文件控制、內部稽核、矯正措施、風險管理和管理審查流程,与其他管理體系標準整合。