ITIL、ISO20000作為IT服務管理的方法和標準，具有共同性，又有所區別，兩者有效實施，已經成為了政府和企業管理者共同關注的焦點。下面請商務部中國國際電子商務中心運行中心總經理魏剛毅先生為我們做“ITIL及ISO20000實施情況介紹”。

大家下午好！我這個部分就主要關注在跟大家IT運維服務相關的標準討論上，目前也已經形成全球公認的，大家互認的一個認證的標準ISO20000上面。要點和實施過程中，我給大家講一些體會，因為到目前為止我們也做過十幾個IT服務管理體系的認證，再往下你們會聽到像商務部電子中心的魏總講他們的實施體會，會講到別的客戶實施體會。中間我也會給大家講一些實施的體會。

    因為這個標準實際上是用了目前整個IT系統變成我們整個業務當中一部分，而且這個系統變得越來越復雜，整個信息基礎架構上面好的應用系統也越來越多，變得越來越難以管理的時候，應運而生的這樣一個標準，現在重要性不只是IT企業沒有了IT怎么辦的問題，包括我們日常生活。

    我去年兩次，是因為飛機飛不了，就滯留在機場，一呆就是兩天多，因為飛機IT出港系統出了問題，飛機也飛不了。今天因為時間太寶貴了，剛才主持人也介紹了，我是從挪威船級社飛過來的，跟剛才舉的例子一樣，基本沒有IT系統，現在都是跑不了的，其實挪威船級社在很早的時候，驗船是它的主要業務，但是很早的時候，IT系統是它非常關注的領域。我所在的工業部是做IT管理體系認證的，像信息安全的管理體系，挪威船級社下面有一個軟件開發系統的改進和質量問題的管理。所以大家可以看到，叫挪威船級社這樣一個公司，在IT上面提供很多的服務，可見IT在我們日常生活中的作用，另外沒有好的IT服務管理，基本上各行各業都很難有穩定的業務運營。做IT服務一定要知道業務需要什么。沒有IT就沒有一個穩定的業務運營，因此IT運維系統變得越來越重要，有很多標準在這上面。做IT服務管理體系認證也越來越多。

    今天關注ISO20000這個標準和IT服務管理體系到底是怎么回事，在實施過程當中大家比較疑惑的一些問題。

    IT服務管理體系長得什么模樣？我做IT運維的時候，目前這套流程是不是符合IT服務管理體系的要求，誰應該去實施這個管理體系，都是一個問題。在IT服務的方面，什么叫IT服務呢？OPC有一個標準的定義，由IT服務提供者給一個或多個客戶提供的服務，叫做IT服務。如果大家回過頭去看ITIL的時候，是IT系統運維的服務，有一個IT基礎設施在，有好的應用系統在上面，有這樣一套機制的時候，必須要有人持續運營，給業務持續提供IT服務。我們ITIL關注這個方面。ISO20000關注的側面，比這個稍微有一點寬，如果我們看ITIL的時候，我們大的公司，自己的IT部門運維了一套基礎設施，運維了一套應用系統，我是針對我自己的，所以每一個流程，似乎看ITIL的每一個流程，都符合ISO20000流程的時候，也都符合自己這個系統的要求。

    但是我們現在碰到很多的提供IT服務，不光在運行自己的系統，昨天晚上大家如果看經濟半小時的時候，看到大連軟件和服務外包整個行業的狀況的時候，你會發現有很多公司，包括惠普、IBM，包括很多國外大的公司，他們都在提供IT外包服務，很多歐洲、美洲的公司，把他們IT系統運維的一部分包到中國來，做外包服務。那個時候你可能服務提供，如果你去讀ITIL幾個流程，或者讀IT服務管理流程的時候，發現有的流程我是沒有的。比如說最常見的就是做IT服務外包服務的公司問一個問題，我不替客戶管它的配置，在這個時候我的配置管理流程怎么實施？那個問題你現在要反過來看，即使不替他管配置，你自己提供服務的時候要不要有一套配置的元素，才能夠保證你順利給它提供服務？一定有的。你的服務的流程，這個要看你怎么去識別。ISO20000，大家要看整個部分。基本上IT服務基于信息技術提供給客戶流程一定支持叫做IT服務。

    IT服務里面有三點很重要，人員、流程和技術。基本上ISO20000不是一個技術標準，它是一個管理標準，是通過管理標準，通過流程的管理，人員的管理，和通過流程對技術的標準，達到一種穩定的在管理狀態下的服務，也就是說講的是服務質量、運維質量。IT服務管理體系是一個整合的過程和方法，能夠讓你有效提供業務和管理要求下的整合，但是反過來另外一個問題，IT服務管理一定是ISO20000嗎？不是的。那個概念有點過大。你自己提供IT服務管理，你自己就有一套體系，這個體系可能是你自己通過實踐來摸索的，也有可能某些流程是通過學習來的，但是不等同于ISO20000，ISO20000是基于ITIL最佳的實踐，在這個上面總結出來一些IT服務最佳的流程，最佳要管理的方面。我們做第三方驗證的時候，你符合這個標準，我的角色是去驗證，是不是真的符合，你有沒有依據客觀的標準來實施IT服務標準的體系、機制，你符合之后能夠拿到一張證書，是這樣一個過程。

    ISO20000的特點在哪里？是一個以流程為基礎的標準。是有一個特定的要求，它是有一個固定的模式的，基于流程，也就是剛才李總講COBIT的時候，講到流程里面關鍵的要素。每個流程要完成什么？要達到什么目的？針對這個流程應用方針是什么？這個流程有它的目標、目的，還有它的流程負責人，每個流程的動作要達到什么樣的標準、準則、KPI，整個流程出來以后，有沒有測試機制？去做這個流程是不是有效，有沒有能夠有效達到KPI，這些要素都在的時候才叫一個流程徹底都在。基于流程不只是一個空的概念，有具體要素要達到。

    ISO20000是基于流程的一個IT服務管理體系，包括的要素大家可以看到，這張圖很充分表示出來基于流程的概念。如果看中間部分，基于流程管理的你的服務，識別哪些服務在基于流程體系狀態下要去做策劃？要通過識別到底在多少服務在管理狀態下策劃你的服務，是一個生命周期的概念，然后要實施你策劃這個計劃。實施過程當中，你要設立你的監測目標、監控活動，來看你的策劃和你的實施是不是有效，如果沒有效的時候你要持續改進。這是基于流程持續改進的一個概念，這是現在所有管理體系標準，都應用最最基本的概念，基于流程、持續改進這樣一個概念。

    基于你提供IT服務所必須活動的流程，這個活動在這個標準里定義成13個流程，基于流程怎么去策劃你的工具，左邊是基于活動一些要求，能夠達到穩定狀態下的IT服務要求，那邊達到客戶滿意的服務，叫做管理狀態下的服務。基于流程都不是空的，基于流程要識別多少流程，流程目標到底是什么，完成之后想達到的目的是什么，用什么測量它、監控它？這樣一些系統要把它分解出來，然后才能夠設計每個流程的活動怎么才是最有效的。大家看到流程可以分解到很詳細，分解到每一個活動、到每一個任務。

    這個關鍵13個流程里面，我們用一個圖表示出來，這13個流程里包括策劃的活動、實施活動、監控和改進活動，因為從一個標準要求總體的概括，目前我們看到對管理體系一般性要求，ISO20000標準最開始有效的規則，要求管理體系最基本的元素，包括你有一個IT服務的策略和方針，和一套有效管理措施的框架，這是要求你建立的，可能你要符合ISO20000，必須有一個明確的服務方針，有一個平臺，有一個框架來管理你的IT服務。

    下面就從策劃開始要求。大家可以看到從第一個開始的活動，就要求你要策劃和實施你的服務管理。這里包括你要識別所有的服務，提供多少種服務？這個就有很大的難題，過后碰到很多的難題，你說我用系統來分呢？還是用應用來分呢？還是用什么來分？這個IT服務到底有多少？這有不同，因為每個客戶都不同，最起碼我看到兩種不同客戶，一種在運維自己的系統，包括軟件、硬件所有的應用，有的只是空間的一部分幾個流程，這種狀態下怎么策劃、識別你的流程，怎么分類。有一些最佳實踐指引你可以參考，有些最佳實踐指引，你要自己決定怎么能夠管理這個狀態下，把它科學分一分。最后要提出這個總的要求，你要針對不同的服務要提出它的目標是什么，它的服務計劃是什么。服務計劃里有很多種，這里有一個很重要的概念，所有的流程的識別和所有服務的識別，都是基于風險的，怎么管？計劃是基于風險來管理的，如果你識別一個服務之后，這個流程是什么樣的，這個流程過程當中，哪些是它最主要的風險，要識別出去，針對這些風險，要管理到什么程度，這個決策要決策出來，最后才涉及你真正運維過程，基于經營風險的過程來實施。

    這里不光提出所有的服務，還有服務流程，還有監控和測量的目標，怎么去監控這個流程，怎么監控這個服務是不是達到你設計的目標和目的，要有監控和測量的過程，還包括你要有改進的過程。

    還有一個條款，這個標準是一個動態的管理，當然現在有一個起點，搞一個80的應用系統，但是明年你可能不斷增加新的應用系統在上面，然后你原來基礎設施也會升級，所以你的服務是在不斷變更狀態下的。每一個新的變更出現的時候，不管是引進新的系統，還是原有系統技術上的升級、流程上的升級，原來服務計劃都可能會做變更，因此它有一個關于計劃和實施新的服務的變更。

    第六個條款是整個服務提升的過程，這里包括幾個非常關鍵一些系統。這個服務過程里面，首先包括服務水平協議，怎么去設立服務水平協議。基本是靈魂的條款，如果你有一個ISO20000的服務管理體系，如果你沒有制定，沒有協商這個服務水平協議，怎么達到服務水平協議的過程，基本沒有依據的。這個系統講的是將來能夠提供管理狀態下的服務，管理狀態下首先要達到客戶滿意的服務。客戶滿意，通過什么滿意？你們兩個之間都沒有一個協議，沒有一個服務水平的時候，怎么知道不滿意？大家沒有一個對話的基礎，因此服務水平協議基本是這個標準的靈魂，管理體系的靈魂，如果沒有基本的，大家沒有辦法談滿意還是不滿意的。它有一個預決算的要求，有信息安全的要求，有沒有足夠提供將來服務能力，還有滿足將來潛在客戶需要的能力，它的容量和要求，預決算的要求。前面還有服務水平、連續性的要求，還有通過決策的要求。

    在服務提供過程里面講到六個流程，第七個條款管理過程中講到兩個流程，一個是業務關系管理，你的服務總歸是達到客戶的滿意，因此要有效的管理和溝通，和你的業務流程進行溝通，了解業務的要求，提供每個業務部門能夠滿意的服務，這是一個管理的方面。還有一個就是供應商，在ITIL里面提到的是廠商，你可能有外包服務的供應商，你是一個做服務管理的客戶，做運維管理的客戶，但是你中間某個流程可能包給另外一個第三方，他也可能再外包一塊服務給他的供應商，但是不管怎么樣你是一個界面，最后客戶滿意與不滿意，他不會直接找你下級供應商，而找你，所以你要有效管理你的供應商。

    第八個條款主要講到問題解決流程，里面分為兩個，一個是事件關系，因為現在幫助臺、服務臺越來越融合在一起的時候，有的時候不是事故，不是說網絡出了問題，或者你的主機出了問題，或者某個應用系統出了問題，而是有些職能比如客戶不熟悉你的系統，不會用，來詢問，有一些是關于咨詢的這樣一些事件的管理，這個有很多爭執，原來翻譯的時候會講是事故管理，客戶說沒有那么多事故，你說事故的話，領導會嚇一跳。因此在事件管理流程里面，所有來的問題都叫事件，但是事件有嚴重，有不嚴重。有些事件會是很大的事故，所以你要把事件分類分級管理起來，哪些是嚴重的，哪些是不太嚴重的，要分級別，分不同的管理方式，這是它要求的，怎么還要求你建立很多的事件回應流程，要分級分類。

    還有一個主動的過程，事件是被動響應的，有人報告，然后你去處理，還有一個問題管理流程，是主動的流程。有些事件會不斷的重復，在你系統里面不斷的重復，你雖然當時解決了問題，但是還不知道它發生的原因到底是什么，所以它不停在你的系統里面重復。還有一些是大的，你不知道原因是什么。所以有主動管理問題解決的流程。

    第九個條款是關于控制過程的，有兩個方面，一個是配置管理過程，還有一個是變更管理過程。這個過程具體的要求我不跟大家講了，因為大家可能在座很多人看過ITIL，這個標準本身其實很短的，標準里只提要求，如果提太細要求的時候，大家沒有辦法實施。如果它在這個標準中提了很細的要求，如果你想適用于各種IT服務組織，基本上是不可能的，因為這個要求是非常泛泛的，這個標準總共才有十幾頁，因此大家回去看，我給大家講關鍵要控制哪些方面。大家如果有問題的時候，可以找賽迪顧問，還有很多，包括像在座的IBM同事，很多的廠商，他們提供這個標準一些流程，他們有很多這方面的專家，大家從他們那里可以得到信息。

    第十個條款是發布信息，怎么把你開發的系統或者變更的系統引入到實際的運維環境中去，剛才李總講到IT服務的生命周期，從設計到引入，到運營，到改進，整個一個過程，大家可以看到第十個條款是關于發布的管理。

    在這上面是十個條款，大家可以看一下講了13個流程，這13個流程對于不同形式的服務提供商，有些流程對它不重要，對你可能很重要，它的重要程度是不一樣的，但是實施過程中大家要注意一點，這13個流程在標準里面沒有講可以刪減，每一個流程在實施過程中都不可以刪減。

    講實施的過程，沒有辦法跟大家講，大概跟大家講一下實施過程中大家要注意的一些問題。好處大家也不用多去想了，隨著IT系統變得越來越大，運營服務變得越來越復雜，沒有一套好的流程的管理，沒有持續改進的流程管理，基本上我在講直接影響到的就是我們對外看的就是你的生活當中不方便，包括任何行業。比如我家車庫，經常門控系統三天兩頭出問題，車就開不出來。IT服務的問題現在并不只是IT的問題，是整個業務的問題，實施整個IT服務管理體系，尤其你的系統變得越來越大的時候，能夠保證你的整個業務能夠有效穩定的運行。所以沒有什么可商量，我實施還是不實施，而是你怎么持續不斷的改進，在風險管理的狀態下，你要投入多大的精力運營的問題。

    實施過程當中也會出現很多實際問題，有人問我，我實施過程中是不是一定要用工具，一定要用配置管理的工具，一定要用事件管理的工具，問題管理的工具？標準沒有特定的要求，也就是說不一定非要用這個工具來實施ISO20000，如果你的服務組織只是十個人，然后你又很簡單的IT服務系統的時候，不一定用工具，但是大型、復雜的系統不用工具管理不好，要根據服務需要、根據服務規模、根據系統關鍵程度，來決定你是不是要用工具，而且用什么樣的，用復雜還是簡單的工具，關鍵是要有效能夠解決問題。

    剛才我問到大家覺得比較復雜的問題，在這兒可能一下討論不清楚，因為根據每個體系自己的系統運維狀態要解決13個流程都要做的時候，有些流程不在我們控制狀態之下，我應該怎么實施？這是一個比較具體的問題，如果大家在實施，然后大家有困惑的時候，我們可以通過電話或者郵件，或者我們見面來談這個問題。

    關鍵成功因素，我想跟大家講講，這個關鍵成功因素，將來大家體系有效沒有效非常關鍵。第一你有沒有明確的指導方針，你的服務到底是要做什么？到底你的服務要達到什么樣的目標？都靠這個方針來固定下來，所以你有沒有明確的服務方針，在你的體系里非常重要，否則就沒有靈魂，就沒有辦法制定目標，沒有方針就不知道哪些目標是重要的，哪些是不重要的，只有方針的時候，才能夠衡量這個目標，才能夠在這個目標上達到改進。

    另外要有有效的計劃和策劃的過程，策劃一個好的計劃，是非常重要的一個關鍵的活動，如果你沒有好的計劃的話，改進的基礎就不存在了，根據業務要有效的溝通，建立有效的服務水平協議，服務水平協議不是我們IT組織拍腦袋想出來的，這是雙方的問題，你為誰服務，雙方建立一個服務水平協議雙方都同意了。這個過程很難。

    我當時審核平安的時候，平安的總監跟我講，我的老板不跟我講這個，我的老板就指著下面說，你看那個人要砸玻璃，他很瘋狂，因為他出了事件要理賠，但是現在IT服務系統不管用，你去跟他講。但是從業務的角度上來講，IT部門一定要和業務部門識別出來哪些是關鍵的運維系統，到底有多高可用性程度，如果這個都不行，你跟那個人更沒辦法講。所以要有很好的、有效的服務水平協議。這不是拍腦袋建立起來的，要有效的流程，要有有效的管理過程，要進行有效的溝通都建立起來，還有建立這些服務水平協議所需要基礎的數據、基礎的信息，如果我們建立服務水平協議的時候，客戶要求達到99%的可用性，但是你能不能達到99%呢？你沒有過去的數據支撐，很難現在就敢說我答應你還是不答應你？要有一套收集信息的支撐你的決策。要有一套系統來支持你，要提出有效的決策。不管你怎么管，不管你投入多大的資源，你總會遇到有出事故，或者當機的時間，而且資源總是有限的，因此你要策劃你的流程，它的風險管理要到什么程度，你要根據你的資源，你能投入的資源管理這個風險。

    剛才說了關鍵目標都要在方針政策和你具體目標里面去定。這個很重要，管理層的支持和承諾，要明示它的支持，但是不是光嘴上說要明示他的支持，如果講IT管理需要資源，所以它的承諾就很重要，要投入資源，要有實際的行動，實施管理體系中，要出現在員工面前說，我支持實施這樣一個系統。其實實施這個系統的時候，實施這個流程的時候，很多時候是改變你過去的做法和習慣。在過去沒有這樣流程的時候，我想做這個的時候，事件來了，有這個報告，我自己有辦法處理，我也不用匯報，有不用經過審批，要動什么配置，我自己處理，可是現在我還要報告，要層層審批，多麻煩，這個時候如果管理層不站出來說著是我們的系統，我們從現在開始就要這樣做，大家不要怕麻煩，那真正給大家帶來流程上的效率和穩定的服務，保證你的IT系統不給你的用戶客戶帶來麻煩。管理層要站出來聲明他的觀點支持你，才能達到，否則很難，很多體系都半途而廢，最后做成兩張皮，文件是文件，流程是流程，底下做的是另外一套東西，因為我要按照那個做太麻煩了，就是因為缺乏管理層有效的支持，不提供足夠的資源和承諾，讓每個員工去符合它的要求。因此如果你是一個實施的負責人的時候，在實施過程中一定要取得管理層的支持和承諾。

    培訓，讓員工按照IT服務的觀念，流程不光是你的流程，是每個執行員工的流程，因此他要理解這個流程，要主動的符合這個流程，這個要經過一個過程，要有足夠意識的培訓，有經常性灌輸才能達到，不是一天能夠達到的，不是經過你說我有一個流程，我寫下來，大家按照它去做，要大家自覺自愿去做，要經過一個過程。管理者不光要承諾，提供足夠的財務支持。

    還有在做的時候有一個很大的困難，我們在不做這個流程的時候，每個部門管每個部門自己的事，但是如果我們看13個流程的時候，很多流程是跨部門的，這需要大家的溝通和商量，而且往往出問題是出在這種跨部門界面上，大家都要注意這個部分，而且大家都承諾到跨部門管理方面去。

    因為今天時間有限，就跟大家分享這么多，如果大家接下來在實施過程中有具體問題，我們保持聯系，我們雖然是驗證公司，但是在這個過程中，爭取能給大家提供最多的服務，讓大家理解服務標準的要求，還有大家都承諾去不斷改進自己的體系，我們目標就達到了。