学习资料： 艾拓先锋论坛专家讲堂直播 300期视频回放

庞爱民：ISO20000的实施之旅

各位老师，各位来宾，大家上午好！我来自神州数码，也是北大CIO班首届班的学员。我在联想神州数码工作十年以上，在项目管理、安全管理、服务管理、系统应用管理方面有着十多年的经验。在去年的10月19号，国内权威的认证机构船级社DNV在北京宣布神州数码在服务管理的建设和运营方面达到了最新的国际标准ISO20000，顺利通过了ISO20000的认证。今天我就和大家分享一下ISO20000认证的经验和体会。      今天与大家的分享从三个方面展开，第一方面就是什么ISO20000，第二方面是为什么要做ISO20000，第三方面介绍我们是怎么做ISO20000认证的。     在具体的对外投标过程中，我们的销售会拿出一张证书，或者说我们和其它的服务商相比，我们多了一个ISO20000认证，甚至我们销售都不清楚什么是ISO20000。大家都知道在80年代的时候，英国政府不满足当时的服务现状，委托于国家电脑局帮他开发一系列的方法论，几年之后，ITIL1.0就出来了，到2002年，ITIL2.0已完成，ITIL是IT服务管理最好的一个方法论。到2005年的3月15日，IT服务管理就成为国际标准，ISO20000也是面向IT服务管理的第一个国际标准。 它包括两方面的内容，第一方面是规范，是认证的依据，第二部分是实践指南。 ISO20000从ITIL发展过来，我们认为和ITIL相比，ITIL是指导IT服务管理最佳实践的方法论，而ISO20000是评审实施ITIL结果的一个标杆。有人问我，ISO20000和ITIL比，ITIL到底有多少个流程，ISO20000有多少个流程，ISO20000比ITIL多了三个流程，第一个是业务关系的管理，第二个是供应商管理，这两个包含在ITIL里的服务级别管理，第三个是报告管理。 大家知道每个管理模块都需要提交报告。两者相同点都是面向流程的，面向客户，向客户提供高质量低成本的服务。ISO20000和ISO9001有什么区别呢？不同点就是ISO9000适用各行业的质量标准，使用语言更加广泛，而ISO20000只针对IT服务管理，它是服务商从客户建立IT服务的一个共同语言，相同点都是面向流程的。当前，世界上一共有111家服务商通过ISO20000认证，国内只有三家，华为、LG、神州数码，还有一些公司也正陆续做这方面的认证。由于ITIL实施了很多年，很多企业离认证只有一步之遥。 下面我和大家沟通一下我们为什么要做ISO20000，国际标准化体系是这样讲的，通过ISO20000标准将使组织获取大量的业务和财务收益，有助于在既定资源约束下，给 优质的服务，以满足他们的要求。作为服务商而言，神州数码是对外提供各种IT服务的，我们通过认证主要是考虑到要提高自身的IT服务管理水平。 大家可以想一下，如果服务商自身的IT服务水平很差，用户又怎么能相信服务商呢？我们认为服务商自身的IT服务水平是对外提供IT服务的一面镜子。另外一点是在市场竞争过程中，来自客户的压力，有的客户明显要求到服务商投标要个ISO20000认证，客户把ISO20000作为一个进入为他提供服务的门槛。另外我们看到当前有些市场机会。 去年，国家商务部为了推动IT外包的发展，发起了一个“千百十”的工程，千就是要培育一千家通过国际认证的服务商，这个国际认证包括ISO20000，对于符合条件的企业，国家会在认证方面以及后续的维持费用方面给予财政支持，通过认证，国家会提供30-50万的资金支持，百就是推动一百家国外大企业把IT外包引到国内来，十就是建立十个IT外包基地城市。对于用户而言，通过认证的服务商为他提供服务，就会把服务标准化，通过标准化，使用户享受到高质量和低成本的服务。以神州数码为例，我们想提高服务质量体现在三个方面，第一方面是提高了客户满意度，2002年客户对我们的满意度是66%，到2006年已经提升到91%；第二点提升了IT服务人员的支持效率，2002年IT工程师人均支持用户是80名，到2006年已达到180名；第三是提高了IT服务的持续稳定性，2002年神州数码内部的IT可用性都不到99%，到2006年已经达到99.9%。在运营成本方面，我们是持续降低的，2002年神州数码内部员工人均IT成本是每月680元，到2006年我们已经降低到每月460元。     下面来说一下我们是怎么做的ISO20000。神州数码是对外提供服务的，怎样满足客户的需要？我们认为服务管理能力非常重要，服务管理能力就是这个服务商的人员怎么利用工具去固化服务流程的能力。 在流程方面，已经有最新的国际标准ISO20000。流程最主要的是需要落地，第一要落到服务商的人员方面，我们每年都会面向工程师进行规范和流程的培训，不通过考试不许上岗。第二流程要落到工具上，就像我们实施ERP，要用SAP去把它固化一样。流程只有落地才有效率，也才能产生比较好的效果。以往我们的销售对外去讲我怎样保证我们的服务，会讲我们的人员、工具和流程怎么样，突发事件和变更怎么去做，现在销售就非常容易，我们会讲，我们的服务管理通过了国际标准ISO20000认证。 在当前，ISO20000已经成为业界高质量低成本的一个代名词。做ISO20000和ITIL一样，它的方法都是一样的，IT就是业务，业务就是IT，任何IT基础设施发生问题，都会影响到这个组织的业务的正常运转和员工的正常办公。首先要找出差距，设定一个具体目标，制定目标之后，要进行相应的落地工作，包括把它落到具体的人员和工具上，这个工具有的是自动化的工具，有的就是手工的Excel表，只要是有效就可以。ISO20000是从ITIL发展过来的，ISO20000包括七个最主要的部分，其中服务管理是它的核心，它包括服务支持和服务交付，服务支持包含服务台和五个管理的流程，突发事件、问题管理、配置管理、变更管理和发布管理。 服务交付是以服务级别管理为主，也包括五个流程，像成本管理、能力管理、可用性管理和IT持续性管理。另外还有些出版物包括安全管理、IT基础设施管理。我们认为ITIL没有做到落地，它可能告诉大家做什么是正确的，它没有告诉大家怎么去做，所以大家在实施过程中很困难。在我看来，我在参加首届班结业典礼的时候，我也提到过，我们如果一味地引入服务管理，按它的要求去做，那么至多是把服务做到被动，因为基础设施管理同样是面向流程的，它是IT服务管理所遗失的一个管理，只有通过IT系统运营管理的建设，我们才能告别被动。我们认为IT基础设施管理面向网络、通讯、数据库这些有形资源的管理，它的输入应该来自用户为系统的一个操作请求，或者是来自IT工程师，或者是IT系统监测工具，对系统的一个监测输入。 IT系统运营管理最主要的活动包括排程，包括监控和操作，系统运营管理输出就是指系统持续运行，发生突发事件的时候，我们能在第一时间解决这个突发事件，这是系统运营管理的一个流程思想，这一点刚是服务管理所忽略的。当前有些培训和咨询机构讲不清楚服务管理，关键是它在这一方面缺乏足够的经验。活动排程就是定义优先级，优先级要通过影响度和紧急度来确定。监控怎么做？两种方法，一种方法自上而下，完全从用户的角度来看，我的服务是不是正常，速度是不是快？另外一种方法是自下而上，它是从IT系统、CPU、内存、硬盘进行监控。再有一个就是操作，工程师应该有很多的操作手册，每个操作都是有相应的步骤。这个操作是达成SLA所必需的。所以我们认为神州数码在引入ITIL的过程中，是借鉴了它的一些思想，同时针对自身的情况开发了新的流程。包括系统运营管理，外包管理。     神州数码2000年从联想拆分出来，经过两年的大规模的系统建设，到2002年的时候，ERP和日常办公系统就已经全部建成，2002年我们就已经开始引入ITIL的各个模块，来持续地改变我们的服务管理水平。我们的引入分为三个阶段，第一阶段从突发事件做起，第二阶段从服务级别做起，第三阶段是把能力管理和配置管理做起来。到2006年我们就开始做ISO20000的认证。做认证时，我们认为要把ITIL的过程进行及时的固化，包括用服务管理工具去固化，也包括用系统运营管理平台去固化，因为只有固化，才能产生效率，才能有利于跟踪和监控，从而保证一个很好的服务质量。ITIL需要落地，每一个管理过程都会有这样的一些步骤来开展，针对服务级别管理，我们有服务目录，就是以业务的语言来讲我们IT能提供什么样的服务，它在的服务级别是怎么样的，服务的收费标准如何，还有服务级别协议，还有量化，它包括量化的概念、成本的概念、平衡、极限、结果的概念。比较重要的就是操作级别协议，它是面向过程的，为了服务级别更好的达成，有一系列的检查，包括监控、OLA还有相应的评审、内外审计等等。每一个管理过程都需要持续地落地。    2006年我们的ITIL建设已经经历了四年的时间，那时我们已经了解到服务管理已经成为最新的国际标准ISO20000。做ISO20000我们首先要确定范围，哪些服务要通过ISO20000认证，我们内部有哪些部门是承载这些服务的，我们涉及的管理流程有哪些，这些也是和认证密切相关的。再有要设定一个具体的实施计划，从初步垂询到认证合格一共是九个步骤，其中最主要的是培训，这就要涉及到标准的培训和审核方法的培训，再有就是建立体系和持续地改变体系，我们在这方面花了4-6个月的时间，认证机构进行审核涉及到文审和现场审核，因为ISO20000要求一些文档，最主要这些文档要有效，确实满足客户自身业务的需要。通过认证以后，就会发放一个证书，后续有一个审核和持续审核的过程。     在团队方面，沟通领导一定要重视，它不仅是提供人财物这些资源，更主要是对这个范围定义进行负责。项目经理和项目团队核心成员要理论学习，建设体系，改进体系。在沟通方面，我们认为知识库应该是非常重要的，每周会有例会，同时，项目核心成员要封闭作业，事实证明成效非常大。在风险方面，我们考虑一个是无法按期完成，另一个是交付物的质量不符合要求，这个交付不只是一些文档，最主要的是落到人员上。它要在实际工作中有效，我们也采用了相应地措施。在交付物方面，应该包括三部分内容，第一部分属于管理体系部分，第二层面叫服务流程，还有众多的可落地的操作文档。这都是非常重要的。最终，ISO20000会有一个证书。

谢谢分享

呵呵，网络真是强大，啥资料都能找到。。。

谢谢分享

谢谢分享