ISO/IEC 20000－1：2011《信息技术 服务管理第1部分：服务管理体系要求》解析解析系列二：ISO/IEC 20000－1：2011第1～3章解析

李艳杰

ISO/IEC 20000第一章在“范围”的标题下用陈述性的语言对标准提供了总体性的说明，在“1.1总则”部分着重明确了标准的性质和应用领域，包括标准的预期使用者；在“1.2应用”部分说明了标准的适用性。

1.1 总则

明确ISO/IEC 20000的性质是一个服务管理体系标准。需要说明的是2005版的标准虽然也被业界公认为是“IT服务管理体系”标准，但只使用了“管理体系”而并没有使用“IT服务管理体系”这一词语。在2011版标准的文本中提出并明确了“服务管理体系”的概念，但从标准的完整标题：《信息技术 服务管理 第1部分：服务管理体系要求》可以认为ISO/IEC 20000只涉及IT领域的服务管理，不能应用于其他服务领域。

标准所提出服务管理体系应该是一种质量管理体系，即质量管理的方法和原则可普遍应用于服务管理之中。ISO/IEC 20000标准的目的是满足业务和顾客需求，虽然标准文本没有明确强调服务质量，但通过对顾客需求的分析，实施一系列过程来提供使顾客满意的产品或服务，并控制这些过程的有效运行，使顾客和服务提供方都对服务能够始终满足顾客的要求而充满信心。

ISO/IEC 20000为服务管理确立了统一的方法，可使顾客、服务提供方和供方在服务管理达成一致。从标准的使用者来看主要涉及三方，顾客、服务提供方和认证机构。顾客（或委托方）组织可以基于标准来选择和评价服务提供方，并用以指导其对服务提供方的管理。服务提供方是标准使用的主体，可依据标准要求进行服务管理的现状评估或审核，识别改进机会或建立持续改进的基准；服务提供方还通过建立、运行、监督和改进服务管理体系实现第三方的服务管理体系认证，从而向顾客和合作方证实其服务能力。认证机构的审核员可基于标准的要求对服务提供方进行符合性评估。

1.2 应用

标准本段内容说明了其适用性，表明标准第4章至第9章的要求普遍适用于所有的IT服务提供方。当服务提供方需要对其服务管理体系进行认证时，标准第4章至第9章是强制性的要求不可删减，而且要在认证审核中提供充分的实施证据。

标准第4章的标题是“服务管理体系总要求”包括管理职责、由其他方运行过程的治理、文件管理、资源管理以及建立服务管理体系等方面的要求。服务提供方要实施第4章的要求并提供覆盖第4章全部要求的实施证据。标准不允许第4章涉及的过程或部分过程活动由其他方运行，尽管服务提供方对这些过程进行了治理并可提供相应的证据。

标准第5章是对“设计和转换新的或变更服务”方面的要求，而第6章至第9章则涵盖了交付过程、关系过程、解决过程和控制过程类别下共计13个服务管理过程的要求。服务提供方可以定义并实施全部服务管理过程，并提供满足所有要求的证据。但考虑到会有服务外包的情形，标准允许其中少数过程或过程活动由其他方运行，但对这些过程必须要由服务提供方进行治理并提供相应的证据。

ISO/IEC 20000是一个服务管理体系标准，不涉及产品规范。服务提供方或工具厂商可以基于标准开发服务管理工具或IT监控工具以支持服务管理工作高效和有效地运行。

ISO/IEC 20000－3：2009 对 ISO/IEC 20000－1在范围定义、适用性以及由其他方运行过程的治理方面为服务提供方和审核员提供了具体的指南。

2 规范性引用

没有标准文献在这里引用。本章是为了确保条款的编号与ISO/IEC 20000－2：2012《信息技术服务管理 第2部分：服务管理体系的应用指南》保持一致。同时本章也是2011版新增加的内容。

3 术语和定义

术语是理解标准的基础。ISO/IEC 20000标准的目的之一就是要通过对术语的定义建立IT服务管理领域各方相互交流的共同基础。

3.1 服务与服务管理

服务的核心是为顾客提供价值。通过服务让顾客处理他们擅长的业务，而把辅助性的事务交给服务提供方来处理，使顾客摆脱需要有专门技能才能处理的繁杂工作和管理，从而有助于顾客取得更好的绩效，促使顾客更有效地实现其目标和期望的结果。该标准的服务是指在其信息技术的前提下特指IT服务。

IT服务由信息技术、人员和过程组合而成。IT服务通常分为两个类别，一是“面向顾客的服务”，它借助于IT基础架构直接支持或实现顾客的业务流程，其服务目标及质量要求应在服务级别协议中规定。二是“支持服务”，这种服务不直接支持顾客的业务，但它是服务提供方交付面向顾客的服务所必不可少的，例如，对信息系统的故障排除。

服务管理是一组专门的组织能力，使服务能够为顾客提供价值。当服务由服务提供方来交付时，就要求顾客和服务提供方都要具备各自相应的能力，才能实现服务的价值。

3.2 服务管理的有关方

服务管理的有关方涉及的术语包括组织、顾客、服务提供方、内部团体、供方、相关方。

组织指拥有独立法律地位和资源的机构，在标准中主要用以定义其他术语，如顾客、服务提供方等。在ISO/IEC 20000的管理体系要求中组织一词用于泛指其他机构。

当顾客组织内部设有IT部门并由该部门来提供IT服务时，这个部门就被认为是内部的IT服务提供方，在这种情况下对IT部门来讲顾客是内部的。

服务提供方指提供IT服务的组织。

内部团体借助其专业或业务特长为服务提供方向顾客交付服务提供所需的支持服务。例如服务提供方组织的运维部门承担了对某顾客的业务应用软件的运行维护服务，当遇到其无法处理的应用软件缺陷或升级时就需要本组织内的软件开发部门提供针对缺陷的软件修改、打补丁或是针对新需求的软件升级服务。软件开发部门就属于内部团体。

供方负责按照与服务提供方签订的合同提供IT服务所需的商品或服务。供方应具有独立的法律地位，相对顾客来讲属于第三方，在服务提供方的组织协调下直接或间接向顾客提供服务。

相关方泛指与服务提供方向顾客交付服务有利益关联的任何组织和个人。该术语虽然在标准中给出了定义，但在标准条文中并没有使用。

3.3 服务管理体系

服务管理体系类的术语包括在策划、建立、实施、运行、监视、评审、保持和改进服务管理体系所涉及的基本词汇。

管理体系是组织为了在一个或多个领域实现管理目标而形成的架构，包括方针、过程、指南和资源等要素。

ISO/IEC 20000标准中的最高管理是针对服务提供方而言，指处于最高管理层中总体负责服务管理的人员，通常高于管理者代表的地位。最高管理者基于组织总体业务的发展战略，对服务管理提出要求并作出承诺，指导和监控服务提供方的服务资源和能力建设。

过程是为实现预定目标而设定的一组结构化的活动。在ISO 20000中，过程主要指服务提供方按标准第5章到第9章的要求加以治理的服务管理过程，它们是服务管理体系的基本要素。

在IT服务管理中，规程规定了执行一项活动所包含的步骤，它可以定义为过程的组成部分。在其他管理体系中有时规程又称为程序。

记录是文件的一种类型，它记载了活动的结果，可以以各种媒介形式储存和保留。

在ISO/IEC 20000中有效性主要强调的是持续保持并改进服务管理体系和服务的效能，此外还用于服务管理过程中对变更、问题解决方案、安全控制措施等的实施进行监视和评估，确保其达到预期的效果。

服务提供方在服务管理中如果没有按照本组织的方针、过程和规程的要求进行工作通常称为不符合；服务管理体系在建立、运行、监视和改进中没有满足ISO 20000的要求而发现的问题也是不符合。服务作为产品如果在交付中没有达成服务级别协议的要求也可以记为不合格或不符合。

纠正措施是针对已发生的问题采取行动；预防措施是针对未发生的潜在问题采取行动；他们的目的都是要消除问题的原因，从而实现持续改进。

3.4 服务管理过程

服务级别协议描述了交付的IT服务、确定了服务级别目标并详细说明了IT服务提供方和顾客的责任。

服务需求是服务提供方满足顾客需求的基础，它可以源自顾客的业务运行和发展的需要，也可以来自于服务提供方的服务产品开发和服务业务发展的需要。

在顾客的业务运行愈加依赖于IT服务的情况下，可用性已成为衡量服务提供方绩效的最重要的服务级别指标。服务的可用性取决于：IT基础设施的复杂程度、IT组件的可靠性、服务提供方对故障作出快速有效反应的能力以及对IT基础设施的维护质量等。

可用性由可靠性，可维护性，可服务性，性能和安全性来确定。

IT服务及运行环境可能会受到重大灾难或IT基础设施遭受破坏或失效的风险。服务连续性就是针对重大风险规划如何恢复服务并采取风险降低和应急措施，这样即便是在风险发生而造成IT设施损毁的情况下服务提供方仍然能够及时恢复对关键业务的IT服务，并按约定的最低服务级别持续地提供服务从而支持顾客业务的连续性。

在信息安全领域，信息安全的3个特性为保密性、完整性和可用性。详见ISO/IEC 27000：2009。

在ISO/IEC 20000的2005版中，事件包括服务请求。而在2011版中服务请求已经从事件中分离，服务请求应按预定的规程处理。

用户获取信息咨询、建议、或访问IT服务的请求，例如重置密码、为新用户开设账户。服务请求通常由服务台受理。定义中预先批准的变更又称为标准变更，这类变更不需要提交变更请求就可以处理。

问题与事件是具有一定的关联关系。对于重大事件或多次出现的事件就需要把它当作问题来进行分析，找出引发事件的根本原因，有针对性地提出解决方案，以避免今后类似事件的发生，从而改进服务的可用性。

已知错误是问题的一种状态。

变更请求是一份对变更提出正式建议的文件，变更的建议可以来自顾客方、服务提供方、供方或相关方。

配置项是为提供IT服务而需要进行管理的任何组件。通常包括IT服务、硬件、软件、场地、人员和正式文件等。

配置管理数据库是服务管理的重要工具，用以收集、保存、管理、更新和显示所有配置项的相关数据。

配置基线是对特定时间点上与某项服务相关的一组配置项的状态记录。配置基线的建立是由变更管理控制的。

发布是指实施一个或多个已批准的变更所需的一组软硬件、文件、过程或其他组件。每次发布的内容作为一个单独实体进行管理、测试和部署。

3.5 其他

转换是服务进入或退出实际运行环境的一个过渡阶段，通常会涉及到对运行环境的改变。

风险是一个或一系列不确定的事态，可能会产生正面（机会）或负面（威胁）影响。在服务管理中通常需要关注的是风险的负面影响。