|
参加过公司组织的两次内审,一直有些疑惑的内容。所以看到论坛有组织团购课程,所以就报名参加了本次内审员的培训。希望通过本次课程能够补充对ITIL的理解和认识,熟悉ISO20000标准,同时拿到审核员的认可。这也是今年若干目标中的一个:) 以下内容仅为对课程主要内容的笔记,属对要点的摘抄加上少量的自我理解,并非整理对ISO20000进行说明和讲解。 ------------------------------------------------------------------------------------------------ 课程的内容是基于ISO 19011-2011标准和ISO 20000-1:2011标准。
一共四天的课程,前两天为审核的基础知识,以及对ISO20000标准的介绍(已上)。后两天为审核部分的内容(本周末参加)。 目前,在国内如果要获得审核员资格,需要通过CCAA注册审核员考试;该考试应该不会对公众开放的,而是对各家机构的审核员进行的。所以所获证书为APMG 的证书。 目前通过ISO20000标准认证的国家中国比较多。亚洲国家中其次是日本。(PS:戴明环源自日本) 1、关于审核: - 审核(Audit):为获得审核证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。--ISO 19011:2011 Definition 3.1
- 审核证据即工作的记录,实际情况以及访谈所获取的信息,其不应包含感情色彩以及态度的描述。
- 审核准则即审核的规范,要符合的国家法规、文件,以及公司的制度等。
- 系统的即审核是基于整体的,一般不基于部分内容进行审核,有套路,有周期。
- 独立的即审核一般是通过第三方的独立机构进行。
- 审核的种类:内部审核、外部审核(对供应商的审核,或者被客户的审核;由第三方独立认证机构实施的审核)
- 审核阶段:第一阶段文审,第二阶段访谈。
- 审核过程中,要关注目标,不要把兴趣关注在审核目标外的内容,因为审核一般会接触到公司的机密内容。
- 一个审核要关注审核目标、审核范围和审核依据。
2、关于IT服务管理体系 - 质量是一组固有特性满足要求的程度。在质量控制中,一般有QA和QC。QA偏向于质量监控,QC偏向于质量检查。
- 管理体系:建立方针和目标并实现这些目标的体系。
- 质量管理体系中引入了Context这个概念,在管理中应该注意情境的影响。
3、ISO20000服务管理体系 - 采纳与BS15000英国标准。(ITIL也为英国OGC发起)
- 2005版中一共有170个要求,2011版中有256个要求。
- PDCA是管理提升的有效抓手。
- 2011版更符合ISO的编写规范。
2005版服务管理体系
2011版服务管理体系
4、ISO20000标准内容: 关于术语: - 3.2配置基线:在软件工程中,配置基线一般为项目里程碑阶段对交付物的一种快照。在服务管理中常常与变更有关,为特定时间段正式指定的配置信息。
- 3.3配置项:在实际操作中应该对配置项的粒度进行控制。
- 3.10事件:尚未对客户服务造成影响的事情。
- 3.12信息安全事件:单个或一系列不想要的或非预期的、有明显的可能性危害业务运行和威胁信息安全的事情。信息安全事件发生后,应保护现场,减少损失。
- 3.14内部团体:服务提供者组织内部的一部分,狭义上距离讲,一般不为运维部门内部小组,而是其他相关组织,协助单个或多个服务的设计、转换、交付和改进,可能为研发等部门。
- 3.20程序与3.21过程:程序相对过程更小,可能包含于过程中的一组活动,未必有输入输出。过程是将输入转化为输出的一组活动。
- 3.23发布:在这里是指一个名词,即通过一个或多个变更部署到生产环境的新的或变更的配置项的集合。
- 3.25风险:风险包含机会和威胁。可以是正向或负向的。
- 3.34服务要求:requirement(有参数的要求) need(无限制条件的) demand(有限制条件,朦胧的)
具体内容: - 1.2应用:条款4-9是不可裁剪的,对外包提出了要求。认证组织应该对外包商进行有效控制,证明其服务提供能力。
- 4.1.1管理承诺:a)范围包括服务范围、服务组织、服务的物理位置。g)服务风险包括战略风险、项目群风险、项目风险、运营风险。
- 4.5.2策划服务管理体系:j)管理风险和风险接受准则所采取的的方法。该条为2011版新增。
- 4.5.4.1概要:任何内部审核和管理评审的目标都应形成文件。
- 4.5.4.2内部审核:审核员的选择和审核的执行应确保审核过程的客观性和公正性。审核员不应审核自己的工作。不合格应被沟通,划分优先级别并分配职责进行处理。(在审核中审与被审双方应对发现进行沟通和确认)
- 6.1服务级别管理:服务目录应包括服务和服务组件之间的依赖关系。对所交付的每个服务,应与客户协定在一个或多个服务级别协议。
- 6.2服务报告:服务提供者与相关方应针对每一份报告的描述协定并形成文件,报告描述应包含报告的标识、目的、受众、频率和数据来源的详细信息。a)针对服务级别目标的绩效。
- 6.4服务的预算和核算:直接成本和间接成本的计算。
- 6.5能力管理:服务提供者应创建、实施和维护一个能力计划,计划应考虑到人员技术信息和财务资源。需要考虑新技术和新方法的潜在冲击。
- 6.6信息安全管理:方针、组织、文件化、措施(管理、技术)。
- 6.6.1信息安全方针:方针应考虑到服务要求、法律法规要求和合同义务。
- 7.1业务关系管理:对服务投诉的处理,测量客户满意度。
- 7.2供方管理:对于每个供方,服务提供者应有一名指定的人员负责管理与供方的关系、合同和绩效。必要时可以有补充协议,注意工作量特征、与SLA保持一致。服务提供者应证实主供方为满足合同义务而对分包商进行了管理。供方管理不包括供方的选择和服务的采购。
- 8.1事件和服务请求管理:重大事件一般与变更、连续性、问题、持续服务改进管理流程都有关联。
- 9.1配置管理:配置项和服务组件之间的关系。
- 9.3发布和部署管理:部署前,应建立和测试发布。建立和测试发布应在可控的验收测试环境下进行。
CNCA(中国国家认证认可监督管理委员会)-->机构 CCAA(中国认证认可协会)--人
| 
转播
分享
淘帖
()
