2008IT運(yùn)維與管理高峰論壇演講

1、徐強(qiáng)：我是科索路咨詢顧問，叫徐強(qiáng)，今天非常高興來(lái)這里跟大家分享一下科索路在服務(wù)管理領(lǐng)域的方法論以及我 們工作當(dāng)中的體會(huì)。經(jīng)過了這幾年，我們從一開始接觸這個(gè) ITLIITLI ，到我們逐漸 認(rèn)知和學(xué)習(xí) ITLIITLI 以及應(yīng)用?，F(xiàn)在很多企業(yè)已經(jīng)建立了一些 2008IT運(yùn)維與管理高峰論壇演講?徐強(qiáng)流程，我覺得我們?cè)谧鲎稍儺?dāng)中發(fā)現(xiàn)了兩個(gè)問題。一個(gè)是 需要建立一個(gè)管理體系，形成一個(gè) TDCTDC的閉環(huán)，對(duì)他們的 流程進(jìn)行持續(xù)地改進(jìn)和優(yōu)化，從而不斷地提升他們的服務(wù) 能力。第二個(gè)問題企業(yè)內(nèi)部有了很多的管理體系，比如說 信息安全管理體系，質(zhì)量認(rèn)證管理體系，我們現(xiàn)在要建立 IS020000IS020000的

2、管理體系，為什么要與這些體系進(jìn)行融合？我 們到底應(yīng)該如何建立一個(gè)與這個(gè)企業(yè)業(yè)務(wù)目標(biāo)相一致、相 結(jié)合的最終的管理的控制體系？ 今天我將就這兩個(gè)話題對(duì)大家進(jìn)行探討。主要包括了這幾 個(gè)方面，我簡(jiǎn)單介紹一下我們公司，隨后我們跟大家分享 一下怎么幫助企業(yè)建立IS020000IS020000體系的，我會(huì)講具體的實(shí) 施方案。第三部分我們講為什么要進(jìn)行ISO20000ISO20000和其他的 體系進(jìn)行融合，我們要在企業(yè)建立一個(gè)確保 ITIT 管理體系合 規(guī)可控制的我們應(yīng)該怎么去做，最后是介紹一些成功的案 例。首先，我叫徐強(qiáng)，一個(gè)男孩的名字，我現(xiàn)在是科索路的咨 詢顧問，我曾經(jīng)為一家金融企業(yè)建立數(shù)據(jù)中心的管理體系

3、， 包括對(duì)它的組織架構(gòu)、管理架構(gòu)方面的設(shè)計(jì)，同時(shí)做了管 理流程和操作流程的設(shè)計(jì)。我還為一家能源企業(yè)提供IS020000IS020000認(rèn)證的咨詢服務(wù)，我們根據(jù)IS020000IS020000的標(biāo)準(zhǔn)， 對(duì)他的流程進(jìn)行規(guī)范，最終擴(kuò)展到了其他的分公司。目前 我在互聯(lián)網(wǎng)企業(yè)運(yùn)維中心提供ISO20000ISO20000的咨詢服務(wù)。我們 的服務(wù)包括運(yùn)維網(wǎng)絡(luò)的評(píng)估、需求定義、流程設(shè)計(jì)、體系 建設(shè)等。最終我們幫助客戶通過ISO20000ISO20000的認(rèn)證。 科索路公司，是一家在服務(wù)管理和風(fēng)險(xiǎn)控制領(lǐng)域的一個(gè)專 業(yè)教育培訓(xùn)以及服務(wù)管理咨詢以及內(nèi)部審計(jì)的專業(yè)服務(wù)公 司，我們旨在創(chuàng)造商業(yè)文化和商業(yè)精神，進(jìn)行商業(yè)實(shí)

4、踐， 為客戶創(chuàng)造價(jià)值。我們的遠(yuǎn)景是成為一家領(lǐng)先的管理咨詢 專業(yè)服務(wù)公司， 我們非常關(guān)注客戶的 ITIT 商業(yè)價(jià)值。 我們常 常遵循核心價(jià)值觀是誠(chéng)信、整治、承諾、執(zhí)行、變革、挑 戰(zhàn)、團(tuán)隊(duì)、致贏。這是我們客戶交付的南本。我們作為專業(yè)服務(wù)公司，我們非常注重人才和顧問團(tuán)隊(duì)， 我們將專業(yè)知識(shí)和行業(yè)能力相結(jié)合，我們有很多的行業(yè)認(rèn) 證，包括 ISO20000ConsultantISO20000Consultant ，等等。我們有非常豐富的 經(jīng)驗(yàn)，包括 ITIT 管理、實(shí)施、 審計(jì)和風(fēng)險(xiǎn)管理等等都擁有非 常多的經(jīng)驗(yàn)。目前我們的團(tuán)隊(duì)成功地領(lǐng)導(dǎo)了很多潛在性地 ITIT 管理和風(fēng) 險(xiǎn)控制的項(xiàng)目。比如說IS02000

5、0IS020000咨詢和ITIT風(fēng)險(xiǎn)管理等等。 我們的業(yè)務(wù)模型，剛才也提到了我們的服務(wù)，包括專業(yè)的 培訓(xùn)、管理咨詢內(nèi)部審計(jì)等等，我們的業(yè)務(wù)模型是完善的 三角一體的架構(gòu)。 我們關(guān)注 ITIT 的流程、人員、組織和信息， 我們希望引導(dǎo) ITIT 進(jìn)行高績(jī)效地整合， 不僅僅是關(guān)注產(chǎn)品和 工具。 我們服務(wù)體系的模型是由上自下的，大家看三角圖可以看 到，這個(gè)范圍非常廣，從管理到下面的 ITIT 資源各個(gè)層面， 我們要幫助客戶更深層次地整合 ITIT 和企業(yè)的客戶，為企業(yè) 業(yè)務(wù)發(fā)展提供更靈活的 ITIT 服務(wù)。最終實(shí)現(xiàn) ITIT 具有的商業(yè) 價(jià)值。 總的來(lái)說，我們是一家為服務(wù)管理和風(fēng)險(xiǎn)控制領(lǐng)域提供專 業(yè)培

6、訓(xùn)和咨詢的內(nèi)部審計(jì)的公司。 接下來(lái)我們分享怎么樣幫助客戶建立 ISO20000ISO20000 管理體系 的。我們都知道IS020000IS020000是完全基于ITLIITLI基礎(chǔ)架構(gòu)的， 是一套國(guó)際通行的服務(wù)管理體系認(rèn)證，是我們有效的 ITIT 服務(wù)管理流程的一系列“控制”標(biāo)準(zhǔn)。ITLIITLI 包括兩部分，一個(gè)是服務(wù)管理的規(guī)范，另外一部分， 是服務(wù)管理的作業(yè)要點(diǎn)，如果一個(gè)組織建立了符合 ISO20000ISO20000的管理體系的話，從質(zhì)量、成本、風(fēng)險(xiǎn)等多個(gè)方面都會(huì)給我們組織帶來(lái)非常顯著的收益。 首先可以贏得更多客戶對(duì)我們的信任，我們已經(jīng)由第三方 證明我們有提供一致的、質(zhì)量穩(wěn)定的、符合成

7、本收益的 ITIT 服務(wù)。第二個(gè)獲得這個(gè)認(rèn)證，有一些企業(yè)要進(jìn)行SOXSOX合規(guī)等等，IS020000IS020000管理體系有效地支持了 SOXSOX審計(jì)對(duì)ITIT的 要求。從我們企業(yè)內(nèi)部來(lái)講， 可以保證 ITIT 服務(wù)與業(yè)務(wù)戰(zhàn)略 的一致，提供一致的、質(zhì)量穩(wěn)定的、符合成本收益的 ITIT 服務(wù)，同時(shí)一定程度上降低我們的 ITIT 呈現(xiàn)，還可以節(jié)約我 們的成本，我們可以建立全面的資源管理、人員培訓(xùn)、服 務(wù)管理的框架。我們剛剛講了這個(gè) ISO20000ISO20000 管理體系給我 們企業(yè)帶來(lái)了什么樣的收益。符合這個(gè)標(biāo)準(zhǔn)的管理體系包 含哪些內(nèi)容？從這張圖中可以看到，包括四個(gè)方面的內(nèi)容，一個(gè)是管理

8、層的職責(zé)，我們要建立管理報(bào)告、內(nèi)部審計(jì)制度，這部分 是監(jiān)督持續(xù)改進(jìn)優(yōu)化。第二個(gè)部分是文檔管理，制定一些 文檔模板，同時(shí)有共享文檔的目錄，訪問的控振，這是高 效實(shí)施運(yùn)維的保證。 第三個(gè)部分是人員的管理， 人員培訓(xùn)、 人員考好、人員職責(zé)能力， 我們的人員要了解自己是什么， 自己的工作是什么，我們要給予一些培訓(xùn)，提供管理的技 能，完全一些工作。最后是流程管理，現(xiàn)在的 ISO20000ISO20000 是基于 ITLIV2ITLIV2 的，流程大家都非常熟悉。 其中包括突發(fā)使 勁的管理、問題管理，變更管理、配制管理、發(fā)布管理。 可以通過一些工具來(lái)支持，眾多的廠商都會(huì)提供工具來(lái)支 持這個(gè)流程。后面還會(huì)有

9、很多的過程。至于信息安全管理，我們也提到了要進(jìn)一步進(jìn)行體系地融 合，這個(gè)應(yīng)該會(huì)說有的企業(yè)會(huì)結(jié)合 ISO27001ISO27001 信息安全管理 體系來(lái)進(jìn)行進(jìn)一步地?cái)U(kuò)展。上面我們說符合IS020000IS020000標(biāo)準(zhǔn)的體系包含了這么多的內(nèi) 容，我們科索路公司在長(zhǎng)期的實(shí)踐過程當(dāng)中總結(jié)了一套方 法和框架，是由項(xiàng)目的準(zhǔn)確以及評(píng)估分析規(guī)劃，流程和管 理體系的設(shè)計(jì)、實(shí)施認(rèn)證審計(jì)這 5 5 個(gè)階段組成的項(xiàng)目的周 期。以及后面是持續(xù)改進(jìn)和監(jiān)督審計(jì)，組成了一個(gè)持續(xù)改 進(jìn)的循環(huán)，所構(gòu)成的整體的框架。在準(zhǔn)備階段， 我們要獲得管理層的認(rèn)可， 取得他們的支持， 我們會(huì)召開會(huì)議來(lái)推進(jìn)項(xiàng)目的發(fā)展， 確保整個(gè)項(xiàng)目的成功。

10、 在評(píng)估分析及規(guī)劃階段， 我們要對(duì)現(xiàn)有的 ITIT 服務(wù)管理的現(xiàn) 狀進(jìn)行評(píng)估，另外是要結(jié)合ISO20000ISO20000識(shí)別差距，合規(guī)和不 合規(guī)的項(xiàng)。我們要根據(jù)差距繪一個(gè)符合ISO20000ISO20000管理的規(guī) 劃路線圖。第三個(gè)階段我們發(fā)現(xiàn)了差距，以及制定了改進(jìn) 計(jì)劃，我們部署新的或者是改進(jìn)優(yōu)化的流程。在整個(gè)體系 都建完了之后，我們進(jìn)入了審計(jì)的最后階段，這個(gè)階段我 們會(huì)為客戶準(zhǔn)備一些相關(guān)的文檔，能夠證明，搜集一些資 料證明我們是符合IS020000IS020000的要求標(biāo)準(zhǔn)的。我們對(duì)企業(yè)進(jìn) 行內(nèi)審還有一些模擬地審計(jì)，讓企業(yè)的員工了解審核到底 是什么樣的，審核人員會(huì)問什么樣的問題，讓他們熟

11、悉這 個(gè)過程。真正進(jìn)入這個(gè)審計(jì)的時(shí)候，我們會(huì)協(xié)助企業(yè)的員工來(lái)把我們有利于符合ISO20000ISO20000標(biāo)準(zhǔn)的數(shù)據(jù)或者是一些信息，我們 會(huì)協(xié)助他們來(lái)提供給審計(jì)部門來(lái)審計(jì)。 在持續(xù)改進(jìn)和監(jiān)督審計(jì)階段，我們做的工作是針對(duì)審計(jì)過 程當(dāng)中發(fā)現(xiàn)的問題，我們要制定一些改進(jìn)的計(jì)劃，分析原 因。然后幫助他們做持續(xù)地內(nèi)部的審計(jì)， 進(jìn)行持續(xù)地改進(jìn)。 大家可以看到，整個(gè)方法框架是基于IS020000PDIS020000PD（過程模 型的，是不斷循環(huán)、改進(jìn)的模型。 結(jié)合我們的方法和框架， 我們具體為客戶建立ISO20000ISO20000管理體系，我們的建立方案 分成四個(gè)階段。第一個(gè)階段是評(píng)估分析和規(guī)劃階段，第二

12、個(gè)是進(jìn)行流程的設(shè)計(jì)和實(shí)施，第三個(gè)是進(jìn)行管理體系的設(shè)計(jì)和實(shí)施。最后 是認(rèn)證審計(jì)，我們要做一些審計(jì)準(zhǔn)備，以及一些初審的支 在評(píng)估分析和規(guī)劃階段我們首先要做很多培訓(xùn)，很多人不 理解，為什么要給我做培訓(xùn)。其實(shí)我們企業(yè)有很多員工， 他們可能管理層對(duì) ITLIITLI 是有認(rèn)識(shí)和了解的， 但是對(duì)于很多 員工來(lái)說，比如說我們碰到的有一些客戶他們是一點(diǎn)點(diǎn)概 念都沒有。我們?yōu)榱藴贤ǜ奖?、這種范圍更清晰，我們 會(huì)對(duì)他們進(jìn)行事先的培訓(xùn)，ITLIITLI和IS020000IS020000的基本的概 念。隨后我們進(jìn)行 I I S S O2O2 00000000的評(píng)估，在這個(gè)評(píng)估過程當(dāng)中， 我 們首先是要結(jié)合企業(yè)業(yè)務(wù)需

13、求、企業(yè)的規(guī)模，我們?cè)O(shè)計(jì)一 些評(píng)估工具， 通過訪談、 現(xiàn)場(chǎng)觀察以及文檔的分類、 瀏覽， 充分地了解企業(yè) ITIT 服務(wù)管理到底處于什么樣的水平， 了解 它的現(xiàn)狀。隨后我們結(jié)合IS020000IS020000的標(biāo)準(zhǔn)，根據(jù)標(biāo)準(zhǔn)進(jìn)一步分析，他 目前有哪些是符合要求的合規(guī)項(xiàng)，哪些是不合規(guī)項(xiàng)。隨后 我們識(shí)別出來(lái)之后，有一定的改進(jìn)機(jī)會(huì)，設(shè)計(jì)了整體的改 進(jìn)規(guī)劃。根據(jù)規(guī)劃我們進(jìn)行進(jìn)一步的流程設(shè)計(jì)和實(shí)施，首 先是要定制文檔， 這是服務(wù)體系當(dāng)中文檔管理的相關(guān)內(nèi)容。 我們要制定文檔的制度，還會(huì)制定相關(guān)的文檔的模板。進(jìn) 入流程設(shè)計(jì)階段， 我們分為三個(gè)流程組。 服務(wù)支持流程組、 服務(wù)支持流程組、服務(wù)交付流程組。服務(wù)支持

14、流程組，包括上面突發(fā)事件關(guān)系、變更管理、位 置管理這幾個(gè)流程。我們要定一些事件的分類、優(yōu)先級(jí)， 定一些具體實(shí)踐如何去升級(jí)的，這些策略和機(jī)制，對(duì)于配 制管理，我們要幫助企業(yè)確立配制管理的范圍，到底要管 到什么樣的程度，哪些配制項(xiàng)怎么去管理，有什么屬性和 什么樣的關(guān)系。這些流程做完了之后，企業(yè)可以選擇一些工具進(jìn)行部署， 可能他們可以選擇一些服務(wù)臺(tái)的工具上線，支持流程方面 的工作。服務(wù)工程流程組，這塊是要幫助企業(yè)建立它自己的服務(wù)目 錄，認(rèn)識(shí)到它自己到底能夠提供什么樣的服務(wù)，還要識(shí)別 出它的客戶，要給客戶承諾什么樣的服務(wù)水平。我們要幫 助企業(yè)，對(duì)它的可用性、連續(xù)性、能力進(jìn)行規(guī)劃，制定相 應(yīng)的管理計(jì)劃。

15、還要幫助他們?cè)趺礃颖O(jiān)控可用性，包括性 能、容量。對(duì)于服務(wù)連續(xù)性幫助他們?cè)诎l(fā)生災(zāi)難之后怎么 樣有災(zāi)難計(jì)劃等等。對(duì)于業(yè)務(wù)關(guān)系這塊，大家很容易理解，主要是針對(duì)客戶滿 意度和客戶投訴的管理。對(duì)于客戶投訴我們要有相應(yīng)的處 理和升級(jí)的機(jī)制，對(duì)于供應(yīng)商管理我們要對(duì)供應(yīng)商做記錄 和評(píng)審。最后信息安全管理，很多企業(yè)會(huì)進(jìn)一步地結(jié)合IS027000IS027000做流程設(shè)計(jì)。流程設(shè)計(jì)完了之后，我們會(huì)有流程文檔的評(píng)審，通過這個(gè) 評(píng)審來(lái)確保我們的流程的文檔是足夠的，而且滿足企業(yè)具 體的管理需求的。評(píng)審?fù)曛?，我們進(jìn)入了流程的具體部 署，包括制訂相應(yīng)的負(fù)責(zé)人，任命流程的制度和責(zé)任，確 保流程在是能夠有效地運(yùn)轉(zhuǎn)的。設(shè)計(jì)完流

16、程之后，我們會(huì)進(jìn)入管理體系設(shè)計(jì)和實(shí)施階段， 首先是要結(jié)合這個(gè)標(biāo)準(zhǔn)，看看管理文檔是不是完善了，如 果不完善要進(jìn)行補(bǔ)充。然后我們要進(jìn)行體系地發(fā)布，以及 對(duì)員工進(jìn)行培訓(xùn)。在體系試運(yùn)行之后，我們提供內(nèi)審，我 們根據(jù)標(biāo)準(zhǔn)寫一些內(nèi)審的標(biāo)準(zhǔn)，然后企業(yè)內(nèi)部的管理人員 進(jìn)行訪談、實(shí)地地觀察，來(lái)分析ITIT服務(wù)管理體系，ISO20000ISO20000 要求的合規(guī)的程度。對(duì)于所發(fā)現(xiàn)的缺陷，我們會(huì)進(jìn)行記錄，并且生成具體內(nèi)審 的報(bào)告。然后我們會(huì)組合管理層的評(píng)審，協(xié)助管理層通過 管理評(píng)審來(lái)判斷服務(wù)管理需求是否與服務(wù)管理計(jì)劃一致，與IS020000IS020000標(biāo)準(zhǔn)的要求一致；以及管理需求是否被有效地實(shí)施和維護(hù)，對(duì)整個(gè)

17、生成管理評(píng)審進(jìn)行記錄。針對(duì)這種結(jié) 果，我們要發(fā)現(xiàn)缺陷，提出可行性地改進(jìn)計(jì)劃。 認(rèn)證審計(jì)，我們要協(xié)助進(jìn)行審核前的動(dòng)員， 進(jìn)行相關(guān)培訓(xùn)， 確認(rèn)審核準(zhǔn)備工作已完成，我們要進(jìn)行模擬審核，讓員工了解到實(shí)際的審核是什么樣的，一般要提什么問題，我們 一般會(huì)去回答他們這類的問題等等。通過上面四個(gè)階段，我們可以在企業(yè)當(dāng)中建立一個(gè)完整的IS020000IS020000的管理體系。下面討論一下IS020000IS020000管理體系與其他體系的融合。首先我們分析一下，為什么我們需要進(jìn)行這個(gè)體系的融合，有的人比較困惑，我各個(gè)體系很好的，為什么要進(jìn)行體系融合。這個(gè)融合是企業(yè)發(fā)展目前提 出的需求，首先是各個(gè)員工面臨各個(gè)體

18、系審計(jì)的壓力。如 果一個(gè)體系有ISOArrayOOOISOArrayOOO、IS027001IS027001的體系要求，一年 1212個(gè)月，每一個(gè)月來(lái)一次審計(jì)的話，一年有好幾月要應(yīng)付 這些審計(jì)，對(duì)員工來(lái)講，這個(gè)壓力非常大。所以我們需要 融合成一個(gè)體系，一次融合就可以了。第二個(gè)，這些體系之間的關(guān)系非常復(fù)雜，他們有重疊的地 方。無(wú)論哪種體系，中間有重疊地地方，每種之間有關(guān)聯(lián) 關(guān)系，重疊地地方。對(duì)于這些員工很困惑，我到底該做哪 個(gè)？大家覺得不方便。 第三個(gè)，各個(gè)體系所用的一些術(shù)語(yǔ)是不一樣的，可能在向 各個(gè)體系牢籠的。最后是我們維護(hù)多個(gè)管理價(jià)值的成本是相當(dāng)高的，如果我 們進(jìn)行體系的融合一定程度上降低我

19、們維護(hù)的成本。 最后我覺得非常重要的原因是因?yàn)槲覀兤髽I(yè)建立管理體系 的最終目標(biāo)，我們是要建立一個(gè)真正需要的，而且與業(yè)務(wù) 的行業(yè)保持一致性的，而且相結(jié)合的管理控制體系，不是 需要很多的管理控制體系，支持我們管理、業(yè)務(wù)方面的需 求。剛才說到有很多重疊的地方，不詳細(xì)講了。 下面我們說一下如何去進(jìn)行體系地融合， 根據(jù)我們的經(jīng)驗(yàn)， 首先是我們要識(shí)別體系的目標(biāo)。你到底要達(dá)到什么樣的目 標(biāo)，你要跟你的哪個(gè)業(yè)務(wù)保持結(jié)合。第二個(gè)我們要明確最 佳實(shí)踐的標(biāo)準(zhǔn)、管理實(shí)踐之間的關(guān)系。他們有很多重疊的 關(guān)系，一定要搞清楚，可以通過標(biāo)準(zhǔn)一一對(duì)應(yīng)，相互影射 來(lái)理清之間的關(guān)系。我們要定義符合我們企業(yè)治理目標(biāo)的 管理控制體系。當(dāng)

20、我們定義符合這個(gè)管理控制體系之后，我們就有了一個(gè) 明確的大家可以想像的比較想象的概念，我們對(duì)我們目前 企業(yè)已有的管理控制體系進(jìn)行評(píng)估和差距分析，隨后進(jìn)行 設(shè)計(jì)和實(shí)施，并且保持不斷地實(shí)施和改進(jìn)，必須要進(jìn)行優(yōu) 化地改進(jìn)，從而最終保障我們的 ITIT 治理的合規(guī)和保障。 由于時(shí)間的關(guān)系，案例簡(jiǎn)單說一下，我們?yōu)樨?cái)富 500500 強(qiáng)三 大石油企業(yè)之一，幫助他們順利地通過了審核，成為了國(guó) 內(nèi)首家獲得IS020000IS020000認(rèn)證的機(jī)構(gòu)。還有一個(gè)我們幫助一個(gè) 財(cái)富 500500強(qiáng)，是集團(tuán)中心下屬的單位，我們幫助客戶建設(shè) 整體的 ITIT 服務(wù)管理體系， 并且進(jìn)行相關(guān)測(cè)試與運(yùn)行， 目前 通過了終審了。

21、除此之外，我們做過關(guān)于ISO20000ISO20000質(zhì)量管理體系和SOXSOX 的合規(guī)測(cè)試，并且也取得了成功。 最后謝謝大家，祝大家周末愉快。徐強(qiáng)：我是科索路咨詢顧問，叫徐強(qiáng)，今天非常高興來(lái)這 裡跟大傢分享一下科索路在服務(wù)管理領(lǐng)域的方法論以及我 們工作當(dāng)中的體會(huì)。經(jīng)過瞭這幾年，我們從一開始接觸這個(gè) ITLIITLI ，到我們逐漸 認(rèn)知和學(xué)習(xí) ITLIITLI 以及應(yīng)用?，F(xiàn)在很多企業(yè)已經(jīng)建立瞭一些 流程，我覺得我們?cè)谧鲎稍儺?dāng)中發(fā)現(xiàn)瞭兩個(gè)問題。一個(gè)是 需要建立一個(gè)管理體系，形成一個(gè) TDCTDC的閉環(huán)，對(duì)他們的 流程進(jìn)行持續(xù)地改進(jìn)和優(yōu)化，從而不斷地提升他們的服務(wù) 能力。第二個(gè)問題企業(yè)內(nèi)部有瞭很多

22、的管理體系，比如說 信息安全管理體系，質(zhì)量認(rèn)證管理體系，我們現(xiàn)在要建立ISO20000ISO20000的管理體系，為什麼要與這些體系進(jìn)行融合？我們到底應(yīng)該如何建立一個(gè)與這個(gè)企業(yè)業(yè)務(wù)目標(biāo)相一致、相 結(jié)合的最終的管理的控制體系？今天我將就這兩個(gè)話題對(duì)大傢進(jìn)行探討。主要包括瞭這幾 個(gè)方面，我簡(jiǎn)單介紹一下我們公司，隨後我們跟大傢分享 一下怎麼幫助企業(yè)建立ISO20000ISO20000體系的，我會(huì)講具體的實(shí) 施方案。第三部分我們講為什麼要進(jìn)行ISO20000ISO20000和其他的 體系進(jìn)行融合，我們要在企業(yè)建立一個(gè)確保 ITIT 管理體系合 規(guī)可控制的我們應(yīng)該怎麼去做，最後是介紹一些成功的案 例。首

23、先，我叫徐強(qiáng)，一個(gè)男孩的名字，我現(xiàn)在是科索路的咨 詢顧問，我曾經(jīng)為一傢金融企業(yè)建立數(shù)據(jù)中心的管理體系， 包括對(duì)它的組織架構(gòu)、管理架構(gòu)方面的設(shè)計(jì)，同時(shí)做瞭管 理流程和操作流程的設(shè)計(jì)。我還為一傢能源企業(yè)提供IS020000IS020000認(rèn)證的咨詢服務(wù)，我們根據(jù)IS020000IS020000的標(biāo)準(zhǔn)， 對(duì)他的流程進(jìn)行規(guī)范，最終擴(kuò)展到瞭其他的分公司。目前 我在互聯(lián)網(wǎng)企業(yè)運(yùn)維中心提供ISO20000ISO20000的咨詢服務(wù)。我們 的服務(wù)包括運(yùn)維網(wǎng)絡(luò)的評(píng)估、需求定義、流程設(shè)計(jì)、體系 建設(shè)等。最終我們幫助客戶通過ISO20000ISO20000的認(rèn)證。 科索路公司，是一傢在服務(wù)管理和風(fēng)險(xiǎn)控制領(lǐng)域的一個(gè)專

24、 業(yè)教育培訓(xùn)以及服務(wù)管理咨詢以及內(nèi)部審計(jì)的專業(yè)服務(wù)公 司，我們旨在創(chuàng)造商業(yè)文化和商業(yè)精神，進(jìn)行商業(yè)實(shí)踐， 為客戶創(chuàng)造價(jià)值。我們的遠(yuǎn)景是成為一傢領(lǐng)先的管理咨詢 專業(yè)服務(wù)公司，我們非常關(guān)註客戶的 ITIT 商業(yè)價(jià)值。我們常 常遵循核心價(jià)值觀是誠(chéng)信、整治、承諾、執(zhí)行、變革、挑 戰(zhàn)、團(tuán)隊(duì)、致贏。這是我們客戶交付的南本。我們作為專業(yè)服務(wù)公司，我們非常註重人才和顧問團(tuán)隊(duì)， 我們將專業(yè)知識(shí)和行業(yè)能力相結(jié)合，我們有很多的行業(yè)認(rèn) 證，包括 ISO20000ConsultantISO20000Consultant ，等等。我們有非常豐富的 經(jīng)驗(yàn)，包括 ITIT 管理、實(shí)施、 審計(jì)和風(fēng)險(xiǎn)管理等等都擁有非 常多的經(jīng)驗(yàn)

25、。 目前我們的團(tuán)隊(duì)成功地領(lǐng)導(dǎo)瞭很多潛在性地 ITIT 管理和風(fēng) 險(xiǎn)控制的項(xiàng)目。比如說IS020000IS020000咨詢和ITIT風(fēng)險(xiǎn)管理等等。 我們的業(yè)務(wù)模型，剛才也提到瞭我們的服務(wù)，包括專業(yè)的 培訓(xùn)、管理咨詢內(nèi)部審計(jì)等等，我們的業(yè)務(wù)模型是完善的 三角一體的架構(gòu)。 我們關(guān)註 ITIT 的流程、人員、組織和信息， 我們希望引導(dǎo) ITIT 進(jìn)行高績(jī)效地整合， 不僅僅是關(guān)註產(chǎn)品和 工具。我們服務(wù)體系的模型是由上自下的，大傢看三角圖可以看 到，這個(gè)范圍非常廣，從管理到下面的 ITIT 資源各個(gè)層面， 我們要幫助客戶更深層次地整合 ITIT 和企業(yè)的客戶，為企業(yè) 業(yè)務(wù)發(fā)展提供更靈活的 ITIT 服務(wù)。

26、最終實(shí)現(xiàn) ITIT 具有的商業(yè) 價(jià)值?？偟膩?lái)說，我們是一傢為服務(wù)管理和風(fēng)險(xiǎn)控制領(lǐng)域提供專 業(yè)培訓(xùn)和咨詢的內(nèi)部審計(jì)的公司。接下來(lái)我們分享怎麼樣幫助客戶建立 ISO20000ISO20000 管理體系 的。我們都知道IS020000IS020000是完全基於ITLIITLI基礎(chǔ)架構(gòu)的, 是一套國(guó)際通行的服務(wù)管理體系認(rèn)證，是我們有效的 ITIT 服務(wù)管理流程的一系列“控制”標(biāo)準(zhǔn)。ITLIITLI 包括兩部分,一個(gè)是服務(wù)管理的規(guī)范,另外一部分, 是服務(wù)管理的作業(yè)要點(diǎn),如果一個(gè)組織建立瞭符合 ISO20000ISO20000的管理體系的話，從質(zhì)量、成本、風(fēng)險(xiǎn)等多個(gè)方 面都會(huì)給我們組織帶來(lái)非常顯著的收益。

27、首先可以贏得更多客戶對(duì)我們的信任，我們已經(jīng)由第三方 證明我們有提供一致的、質(zhì)量穩(wěn)定的、符合成本收益的 ITIT 服務(wù)。第二個(gè)獲得這個(gè)認(rèn)證，有一些企業(yè)要進(jìn)行 SOXSOX合規(guī) 等等，IS020000IS020000管理體系有效地支持瞭SOSO）審計(jì)對(duì)ITIT的 要求。從我們企業(yè)內(nèi)部來(lái)講， 可以保證 ITIT 服務(wù)與業(yè)務(wù)戰(zhàn)略 的一致，提供一致的、質(zhì)量穩(wěn)定的、符合成本收益的 ITIT 服務(wù)，同時(shí)一定程度上降低我們的 ITIT 呈現(xiàn)，還可以節(jié)約我 們的成本，我們可以建立全面的資源管理、人員培訓(xùn)、服 務(wù)管理的框架。我們剛剛講瞭這個(gè)ISO20000ISO20000管理體系給我 們企業(yè)帶來(lái)瞭什麼樣的收益。符

28、合這個(gè)標(biāo)準(zhǔn)的管理體系包 含哪些內(nèi)容？從這張圖中可以看到，包括四個(gè)方面的內(nèi)容，一個(gè)是管理 層的職責(zé)，我們要建立管理報(bào)告、內(nèi)部審計(jì)制度，這部分 是監(jiān)督持續(xù)改進(jìn)優(yōu)化。第二個(gè)部分是文檔管理，制定一些 文檔模板，同時(shí)有共享文檔的目錄，訪問的控振，這是高 效實(shí)施運(yùn)維的保證。 第三個(gè)部分是人員的管理， 人員培訓(xùn)、 人員考好、人員職責(zé)能力， 我們的人員要瞭解自己是什麼， 自己的工作是什麼，我們要給予一些培訓(xùn)，提供管理的技 能，完全一些工作。最後是流程管理，現(xiàn)在的 ISO20000ISO20000 是基於 ITLIV2ITLIV2 的，流程大傢都非常熟悉。 其中包括突發(fā)使 勁的管理、問題管理，變更管理、配制管理

29、、發(fā)佈管理。 可以通過一些工具來(lái)支持，眾多的廠商都會(huì)提供工具來(lái)支 持這個(gè)流程。後面還會(huì)有很多的過程。至於信息安全管理，我們也提到瞭要進(jìn)一步進(jìn)行體系地融 合，這個(gè)應(yīng)該會(huì)說有的企業(yè)會(huì)結(jié)合 ISO27001ISO27001 信息安全管理 體系來(lái)進(jìn)行進(jìn)一步地?cái)U(kuò)展。上面我們說符合IS020000IS020000標(biāo)準(zhǔn)的體系包含瞭這麼多的內(nèi)容，我們科索路公司在長(zhǎng)期的實(shí)踐過程當(dāng)中總結(jié)瞭一套方 法和框架，是由項(xiàng)目的準(zhǔn)確以及評(píng)估分析規(guī)劃，流程和管 理體系的設(shè)計(jì)、實(shí)施認(rèn)證審計(jì)這 5 5 個(gè)階段組成的項(xiàng)目的周 期。以及後面是持續(xù)改進(jìn)和監(jiān)督審計(jì)，組成瞭一個(gè)持續(xù)改 進(jìn)的循環(huán)，所構(gòu)成的整體的框架。在準(zhǔn)備階段， 我們要獲得管

30、理層的認(rèn)可， 取得他們的支持， 我們會(huì)召開會(huì)議來(lái)推進(jìn)項(xiàng)目的發(fā)展， 確保整個(gè)項(xiàng)目的成功。 在評(píng)估分析及規(guī)劃階段， 我們要對(duì)現(xiàn)有的 ITIT 服務(wù)管理的現(xiàn) 狀進(jìn)行評(píng)估，另外是要結(jié)合IS0200IS02000000識(shí)別差距，合規(guī)和不 合規(guī)的項(xiàng)。我們要根據(jù)差距繪一個(gè)符合ISO20000ISO20000管理的規(guī) 劃路線圖。第三個(gè)階段我們發(fā)現(xiàn)瞭差距，以及制定瞭改進(jìn) 計(jì)劃，我們部署新的或者是改進(jìn)優(yōu)化的流程。在整個(gè)體系 都建完瞭之後，我們進(jìn)入瞭審計(jì)的最後階段，這個(gè)階段我 們會(huì)為客戶準(zhǔn)備一些相關(guān)的文檔，能夠證明，搜集一些資料證明我們是符合IS020000IS020000的要求標(biāo)準(zhǔn)的。我們對(duì)企業(yè)進(jìn)行內(nèi)審還有一些模

31、擬地審計(jì)，讓企業(yè)的員工瞭解審核到底 是什麼樣的，審核人員會(huì)問什麼樣的問題，讓他們熟悉這 個(gè)過程。真正進(jìn)入這個(gè)審計(jì)的時(shí)候，我們會(huì)協(xié)助企業(yè)的員工來(lái)把我 們有利於符合ISO20000ISO20000標(biāo)準(zhǔn)的數(shù)據(jù)或者是一些信息，我們 會(huì)協(xié)助他們來(lái)提供給審計(jì)部門來(lái)審計(jì)。在持續(xù)改進(jìn)和監(jiān)督審計(jì)階段，我們做的工作是針對(duì)審計(jì)過 程當(dāng)中發(fā)現(xiàn)的問題，我們要制定一些改進(jìn)的計(jì)劃，分析原 因。然後幫助他們做持續(xù)地內(nèi)部的審計(jì)， 進(jìn)行持續(xù)地改進(jìn)。 大傢可以看到，整個(gè)方法框架是基於IS020000PDCIS020000PDC過程模 型的，是不斷循環(huán)、改進(jìn)的模型。 結(jié)合我們的方法和框架， 我們具體爲(wèi)客戶建立ISO20000ISO2

32、0000管理體系，我們的建立方案 分成四個(gè)階段。第一個(gè)階段是評(píng)估分析和規(guī)劃階段，第二個(gè)是進(jìn)行流程的 設(shè)計(jì)和實(shí)施，第三個(gè)是進(jìn)行管理體系的設(shè)計(jì)和實(shí)施。最後是認(rèn)證審計(jì)，我們要做一些審計(jì)準(zhǔn)備，以及一些初審的支 在評(píng)估分析和規(guī)劃階段我們首先要做很多培訓(xùn)，很多人不 理解，為什麼要給我做培訓(xùn)。其實(shí)我們企業(yè)有很多員工， 他們可能管理層對(duì) ITLIITLI 是有認(rèn)識(shí)和瞭解的， 但是對(duì)於很多 員工來(lái)說，比如說我們碰到的有一些客戶他們是一點(diǎn)點(diǎn)概 念都沒有。我們?yōu)椴t溝通更方便、這種范圍更清晰，我們 會(huì)對(duì)他們進(jìn)行事先的培訓(xùn)，ITLIITLI和IS020000IS020000的基本的概 念。隨後我們進(jìn)行IS020000I

33、S020000的評(píng)估，在這個(gè)評(píng)估過程當(dāng)中，我 們首先是要結(jié)合企業(yè)業(yè)務(wù)需求、企業(yè)的規(guī)模，我們?cè)O(shè)計(jì)一 些評(píng)估工具， 通過訪談、現(xiàn)場(chǎng)觀察以及文檔的分類、 瀏覽， 充分地瞭解企業(yè) ITIT 服務(wù)管理到底處?kù)妒颤N樣的水平， 瞭解 它的現(xiàn)狀。隨後我們結(jié)合ISO20000ISO20000的標(biāo)準(zhǔn)，根據(jù)標(biāo)準(zhǔn)進(jìn)一步分析，他 目前有哪些是符合要求的合規(guī)項(xiàng)，哪些是不合規(guī)項(xiàng)。隨後 我們識(shí)別出來(lái)之後，有一定的改進(jìn)機(jī)會(huì)，設(shè)計(jì)瞭整體的改 進(jìn)規(guī)劃。根據(jù)規(guī)劃我們進(jìn)行進(jìn)一步的流程設(shè)計(jì)和實(shí)施，首 先是要定制文檔，這是服務(wù)體系當(dāng)中文檔管理的相關(guān)內(nèi)容。 我們要制定文檔的制度，還會(huì)制定相關(guān)的文檔的模板。進(jìn) 入流程設(shè)計(jì)階段， 我們分為三個(gè)流

34、程組。 服務(wù)支持流程組、 服務(wù)支持流程組、服務(wù)交付流程組。服務(wù)支持流程組，包括上面突發(fā)事件關(guān)系、變更管理、位 置管理這幾個(gè)流程。我們要定一些事件的分類、優(yōu)先級(jí)， 定一些具體實(shí)踐如何去升級(jí)的，這些策略和機(jī)制，對(duì)於配 制管理，我們要幫助企業(yè)確立配制管理的范圍，到底要管 到什麼樣的程度，哪些配制項(xiàng)怎麼去管理，有什麼屬性和 什麼樣的關(guān)系。這些流程做完瞭之後，企業(yè)可以選擇一些工具進(jìn)行部署， 可能他們可以選擇一些服務(wù)臺(tái)的工具上線，支持流程方面 的工作。服務(wù)工程流程組，這塊是要幫助企業(yè)建立它自己的服務(wù)目 錄，認(rèn)識(shí)到它自己到底能夠提供什麼樣的服務(wù)，還要識(shí)別 出它的客戶，要給客戶承諾什麼樣的服務(wù)水平。我們要幫

35、助企業(yè)，對(duì)它的可用性、連續(xù)性、能力進(jìn)行規(guī)劃，制定相 應(yīng)的管理計(jì)劃。還要幫助他們?cè)觞N樣監(jiān)控可用性，包括性 能、容量。對(duì)於服務(wù)連續(xù)性幫助他們?cè)诎l(fā)生災(zāi)難之後怎麼 樣有災(zāi)難計(jì)劃等等。對(duì)於業(yè)務(wù)關(guān)系這塊，大傢很容易理解，主要是針對(duì)客戶滿 意度和客戶投訴的管理。對(duì)於客戶投訴我們要有相應(yīng)的處 理和升級(jí)的機(jī)制，對(duì)於供應(yīng)商管理我們要對(duì)供應(yīng)商做記錄 和評(píng)審。最後信息安全管理，很多企業(yè)會(huì)進(jìn)一步地結(jié)合 IS027000IS027000做流程設(shè)計(jì)。流程設(shè)計(jì)完瞭之後，我們會(huì)有流程文檔的評(píng)審，通過這個(gè) 評(píng)審來(lái)確保我們的流程的文檔是足夠的，而且滿足企業(yè)具 體的管理需求的。評(píng)審?fù)曛?，我們進(jìn)入瞭流程的具體部 署，包括制訂相應(yīng)的負(fù)

36、責(zé)人，任命流程的制度和責(zé)任，確 保流程在是能夠有效地運(yùn)轉(zhuǎn)的。設(shè)計(jì)完流程之後，我們會(huì)進(jìn)入管理體系設(shè)計(jì)和實(shí)施階段， 首先是要結(jié)合這個(gè)標(biāo)準(zhǔn)，看看管理文檔是不是完善瞭，如 果不完善要進(jìn)行補(bǔ)充。然後我們要進(jìn)行體系地發(fā)佈，以及 對(duì)員工進(jìn)行培訓(xùn)。在體系試運(yùn)行之後，我們提供內(nèi)審，我 們根據(jù)標(biāo)準(zhǔn)寫一些內(nèi)審的標(biāo)準(zhǔn)，然後企業(yè)內(nèi)部的管理人員 進(jìn)行訪談、實(shí)地地觀察，來(lái)分析ITIT服務(wù)管理體系，ISO20000ISO20000 要求的合規(guī)的程度。對(duì)於所發(fā)現(xiàn)的缺陷，我們會(huì)進(jìn)行記錄，並且生成具體內(nèi)審 的報(bào)告。然後我們會(huì)組合管理層的評(píng)審，協(xié)助管理層通過 管理評(píng)審來(lái)判斷服務(wù)管理需求是否與服務(wù)管理計(jì)劃一致， 與IS020000IS020000標(biāo)準(zhǔn)的要求一致；以及管理需求是否被有效地 實(shí)施和維護(hù)，對(duì)整個(gè)生成管理評(píng)審進(jìn)行記錄。針對(duì)這種結(jié) 果，我們要發(fā)現(xiàn)缺陷，提出可行性地改進(jìn)計(jì)劃。 認(rèn)證審計(jì)，我們要協(xié)助進(jìn)行審核前的動(dòng)員， 進(jìn)行相關(guān)培訓(xùn)， 確認(rèn)審核準(zhǔn)備工作已完成，我們要進(jìn)行模擬審核，讓員工 瞭解到實(shí)際的審核是什麼樣的，一般要提什麼問題，我們 一般會(huì)去回答他們這類的問題等等。 通過上面四個(gè)階段，我們可以在企業(yè)當(dāng)中建立一個(gè)完整的ISO20000ISO20000的管理體系。下面討論一下ISO200