ISO20000作为从ITIL演变而来的国际标准,是当前国际上最热门的标准之一。交通银行在2004年开始实施ITIL的基础上,于2007年通过该标准的认证,在业界获得较高美誉,许多单位慕名而来,学习实施经验,为总结传播交通银行在该领域的实施经验,向中国企业或组织介绍国际标准和国情结合的心得体会,特创作此书。
ISO 20000认证关键点
服务管理中的服务支持人员应该具备由适当的培训所支持的工作能力。组织应该对每个服务管理角色定义必要的能力,并保证个人能意识到他们自己的工作对整个服务上下的重要性以及对服务品质完成的必要性。组织应该提供培训或采取行动来满足这些需要,并实施行动有效性的评估。
组织应该开发和加强员工工作的专业能力。在征召新人的过程中,应该针对职位的描述、服务管理目标和整个服务质量目标检查职位申请人的情况有效性,确定申请人的特长、弱点和潜在能力。为了安置新的或扩展服务的员工,使用新技术,安排服务管理人员开发项目团队,不断计划和填补由于人员周转造成的缺口。员工应该在服务管理相关领域得到训练,应该开发他们的团队工作和领导技能。对每个人的训练记录以及训练的说明应该被保留。
文档管理
概述
每一个组织都希望结合自身特色有效管理和实施所有IT服务所需的方针和框架,这就意味着需要制定恰当合理的管理政策、计划,用以规范、细化相关的活动,使管理使命、目标得以落实。这些管理政策、计划、活动记录将以文档作为载体进行保存,并在实施过程中指导服务开展,成为落实服务管理政策、计划的保障和检验实施效果的依据。
文档管理(Documentation Management)是针对文档创建和管理的过程,用以确保服务特性、管理政策、计划被适时的、恰当的描述,以便控制和管理与质量体系有关的文档资料,确保对质量管理体系有效运行起重要作用的各个场所都能得到和使用相应体系文档的有效版本。
以下是文档管理相关的一些概念:
受控文档:指按组织管理要求进行审批、登记、分发并能确保收回、销毁的文档。受控文档需要对文档的版本进行严格控制,确保文件的唯一有效性。一般来说这些文档是长期使用并始终处于修改和换版状态的,如组织的规章制度。
质量文档:质量体系要求的各流程各种类型文件和记录所要求的形成文件的过程和程序、要求的记录,以确保服务管理的有效计划、运行和控制,包括以任何形式或类型的媒体作为载体的文件化的服务管理方针和计划、文件化的服务等级协议、方法、流程、流程控制记录等。
文档访问控制:文档访问控制实质上是对文档访问者使用受控文档的限制,它决定是否允许访问者对不同类型的文档进行借阅、更新、发布等操作。并通过制度及工具确保只有经授权的用户,才允许对相应的文档进行相关操作。
目标
文档管理的目的在提供服务管理政策、计划和方法以及任何与这些相关的行动的凭证,以达到有效管理和实施IT服务的政策和框架这一目标。为达到这一目标需要通过以下几个方面来实现:
(1) 完善组织的质量文档管理,控制和管理与质量体系有关的文档资料,确保对质量管理体系有效运行起重要作用的各个场所都能得到和使用相应体系文档的有效版本。
(2) 建立不同类型文件和记录的编制、评审、批准、保持、销毁和控制的程序和职责。
(3) 满足组织文档内容管理需求,包括建立组织文档体系架构,规范组织文档命名规则,对不同类别的文档的生命周期进行分类管理,包括文档生成、文档更新、文档发布、文档借阅、文档销毁;
(4) 完善文档备份机制以确保文档的可用性,并针对不同类型的文档进行分级分类的信息安全管理,文档访问控制信息安全、防止信息泄露。
有效的文档管理可以改善IT服务提供者的管理难度,推动质量体系的落地、促进各流程工作的开展。
与其他流程的关系
文档管理工作是质量体系实施中所不可缺少的一部分,从一定意义上讲,ISO 20000的实施就是制定策略及计划,按照计划实施,生成文档、讨论文档并最终确定文档的一系列过程。当然,ISO 20000实施绝不是就是“纸上谈兵”,这里所说的文档包含的内容非常广泛,其中有很多是服务管理方针和计划、文件化的服务等级协议、方法等,但更加关键的是,这些文档中还包括流程和流程控制记录等,当具体工作和活动执行过后,文档就成了审计的凭证。所以,我们可以说,文档管理与ISO 20000各个流程都息息相关,其专业化程度可以是反映整个ISO 20000管理水平的一个侧面。
文档访问控制需按照信息安全管理流程要求进行对文档进行分级,并对不同分级的文档进行权限管理,控制文档的访问者,确保信息安全。
活动和过程
1. 文档分类
文档分类可从多个角度进行,包括从保存介质上的分类、从内容上的分类、从使用范围的分类等。
一般来说,文档从内容上分类可分为管理文档、技术文档;从保存介质上分,可分为纸质文档、电子文档;从使用范围来分可分为公开使用、内部使用等。
不同的文档分类方式,对于文档管理的意义也是不同的,例如对文档内容的分类,旨在建立文档知识体系架构,一方面通过统一规划的文档架构能清晰地对已有的各个流程的进展情况进行管理、跟踪、审计,另一方面文档分类也可指导组织的知识体系建立,是组织整体管理思路的展现。而从文档使用范围的分类则提出了对文档访问控制的要求。
2. 文档控制
受控文档的审批、发布、发放、分发、更改、保管和作废过程中应符合信息安全管理流程的相关要求。受控文档应做好版本管理,以保证需要文档者获得最新版本文档。
(1) 文档的编写、审核、批准
文档需按文档编写规范进行编写,文档内容在发布前须经相关负责人审核以规范文档格式,确保文档准确、恰当地描述管理政策、计划,确保文档内容的真实性。经审核的文档由负责人批准后可进行发布。
(2) 文档发布
文档由文档撰写/修改者提交,经由相关责任人批准后统一、集中的发布在相关处所。为使阅览者得到和使用相关文档的有效版本,文档需进行统一的发布管理以保证文档发布版本的唯一性。
(3) 文档的归档控制
各类文档由文档管理员根据内容、年度、部门等情况定期进行归档。
(4) 文档阅览
组织根据信息安全管理流程对文档进行安全分级,对文档及文档的历史版本进行访问控制,设定各类文档的访问列表,并通过工具的使用确保文档被适当保护的同时也要方便阅览者阅览文档。
(5) 文档更改/销毁
文档由原文档编制人或相关管理人员进行修改,经负责人审核批准后进行发布,替换老版本。
纸质文档更改后的文档按该文档发放清单逐次回收更替原文档;文档更改除特别批准外,一律采用以旧换新方法进行。回收文档的文档需进行统一的保管,机密文件应集中销毁。
(6) 文档权限管理
文档权限管理又称文档访问控制,各类受控文档需按照信息安全管理流程要求进行分级,并对不同分级的文档进行权限管理,控制文档的访问者,确保信息安全。文档权限管理包括对文档阅览、文档上载、文档修改、文档审批等权限的集中管理。
(7) 文档的修订
文档不是封闭的、静止的,随着业务发展、技术更新,文档需要不断地修订,保持其有效性,以适应不断变化的管理需求。秉承PDCA的管理理念,对文档,特别是质量体系文档提出在规定时间内至少修订一次的要求,整理文档修订计划,检验落实情况,督促文档及时修订,确保文档的有效性。
(8) 制定文档命名规范
文档的规范化程度反映出文档管理的水平,规范化首先需要对文档进行内容分类,概括同类文档的共同点,以此作为文档规范化、模板化的依据。文档规范化、模板化有利于对文档进行分类管理,通过经验累积分析找出各类文档的不足之处。文档命名规范属于文档规范化的一部分,制定文档命名规范需要跟据组织需求对文档进行分类,不同类别的文档使用相应的命名规范,便于文档的查找,并为文档的分类管理奠定了坚实的基础。
流程控制
1. 文档管理流程的角色定义、职责
(1) 文档管理员
负责管理各类文档,拟定文档修订计划,根据安全管理要求对各类文档进行安全分级,设置不同安全级别文档的权限。组织可根据自身特点设一个或多个文档管理员管理文档。
(2) 文档安全审核员
负责文档安全合规性管理及审计。
2. 管理工具
(1) 电子化的文档管理平台
文档分散为文档管理带来许多问题,包括文档查找、文档版本控制、文档安全管理等。组织建立起文档管理平台后,可通过集中文档、统一管理的方式,在平台上共享各类工作文档,提高了文档的使用频率,使文档发挥出最大的效用。完善的备份机制,全文检索功能,文档版本控制的功能,文档电子审批功能,文档归档功能,信息权限管理功能等等,为组织提供了安全、便捷的文档处理中心,提高了文档的及时性和准确性。
(2) 制度评审体制
为保证各类流程管理制度及时更新,组织须规范规章制度建设活动,建立和完善规章制度体系,制定流程管理制度更新计划,定期组织制度评审会,对流程拟新增发布、修订、合并及废止的规章制度进行评审。制度评审会对流程管理制度的合规性、合理性、严密性和操作性进行评估,并及时废止失效的制度,确保各流程管理制度能及时优化,同时通过制度评审会,组织内部对各流程管理制度达成一致的见解,为管理流程的落实做好铺垫。
(3) 关键指标KPI指标的设置
文档管理成功与否在于两点:其一是否建立合理的文档管理体系。文档管理体系可通过规范各类文档的定义,规范文档的编写,定义各项工作的可交付文档,以此来检查各项工作的开展情况,也便于对文档的日常维护和查找。当然,合理的文档管理体系不是一朝一夕能够建成的,需要长期累积,并在实施中不断完善,适应不断变化的管理要求。
文档管理另一个要求就是能够控制和管理与质量体系有关的文档资料,确保对质量管理体系有效运行起重要作用的各个场所都能得到和使用相应体系文档的有效版本;为保证各管理流程根据实际工作情况整理修订流程管理文档,文档管理需在每年制定详细的文档修订计划,以此督促各流程文档在规定期限内至少修订一次,并以此作为文档管理流程的KPI值,例如ISO 20000管理文档中的一、二、三级文档在一年内的修订率达到100%。
实施难点和解决办法
组织的发展壮大与成功都离不开一套系统、科学、严密、规范的内部管理制度,它是规范化管理的基础,是提高工作效率和工作质量、降低业务运作风险的重要管理手段,如何结合ISO 20000的管理理念,规范组织内部规章制度的建立、执行和修订,成为不少组织的共同的问题。
首先,在落实文档管理流程时面临的第一个问题就是如何制定合理的文件体系结构,既便于文档的集中管理,也便于文档的查看。
ISO 20000IT服务规范为组织制度体系建立提供了依据,组织可根据自身情况结合ISO 20000质量体系建立文档体系架构。当然为了便于对文档的集中管理,笔者建议根据质量体系文档要求建立一套涵盖事件管理、变更管理、配置管理和信息安全管理等13个流程17个管理领域的四层架构制度体系,如本文第二部分图6.3所示,第一层是服务管理纲领性文件;第二层是流程控制管理办法,明确定义各项流程的组织形式;第三层是流程的实施细则、规范,具体说明各项工作怎么做;第四层是各流程的执行记录,例如会议纪要、KPI指标统计和数据报表。
其次,便是如何保证流程管理文档的能跟上管理需要及时更新?
流程管理制度不是封闭的、静止的,随着业务发展,技术的更新,流程管理制度需要不断地更新修订,保持其有效性,以适应不断变化的管理需求。因此,必须制定制度强制修订体制,规定流程管理制度必须在规定时间内对所有现行制度进行一次回顾修订,并以此作为的KPI指标管理要求,同时以此为衡量标准推动各个流程的持续改进。
当然,为了更好的做好文档管理工作,用电子化的手段也是大势所趋的。组织可建立统一的文档管理平台,将所有的制度、文档按照内部制度体系架构进行集中归口管理、发布。电子化的文档平台可用以支持各种内部文档共享、电子审批、版本管理、全文检索和严格的权限认证及安全加密功能,保证了所有员工对流程管理制度、各类文档查询的“一站式”服务,并通过电子平台收集员工对制度修改意见,为管理层进行流程管理制度修订、评审、检验流程管理制度执行效果提供依据。
在某种程度上制度的执行力和执行效率是实现企业战略目标、开展工作的强有力保障。流程能落地,靠的不仅仅是一套纸面的流程管理制度,也需要通过多种途径加强流程管理制度的执行力度。再好的方法论,不落到实地也只是一纸空文。如何解决制度和执行是两张皮的问题?怎样能够做到言行一致?是落实ISO 20000面临的最大的问题。
解决这个问题最基础的是要做好制度的宣传工作,包括利用培训、板报、宣传手册等多种途径大力宣传ISO 20000的流程管理制度,并建议组织开展主题制度宣传活动时,将各个流程管理制度精要内容进行提炼,编辑制成宣传材料,便于员工用迅速掌握制度要领。同时随着制度的深入宣传教育,最终必能其达到“固化于制、内化于心、外化于形”的境界,是流程管理真正落实于组织的工作之中,成为员工自检自律的行为规范准则。
当然在进行流程管理宣传的同时,也需要根据自身情况建立奖惩制度,对不遵守流程管理制度的行为进行处分,以此强化流程管理制度的执行力。
发展阶段
文档管理不是一蹴而就的,需要长期累积,在实施中不断完善。文档管理的初期可通过技术平台将分散在个人电脑中的文档集中起来,并通过电子化工具确保文档的一致性。
第二步就可以结合ISO 20000质量管理体系要求,建立相关的文档分类体系,将文档按照相应的目录结构进行分类存放,集中管理。
第三步通过建立文档管理机制,规范文档命名规则、编制规范、审批流程、归档要求,修订频率,以确保文档的有效性。并以此检查推动ISO 20000流程的执行与持续改进。
第四步也是文档管理的发展方向,即建立知识管理体系,做到不仅对文档的生命周期的规范化管理,更要做到对文档内容规范化的管理。根据组织内部情况,建立一套组织特有的知识管理体系,帮助进行知识的积累、创新和共享,以提升组织的核心竞争力。
ISO 20000认证的关键点
1. 确保各项服务管理计划均有实施凭证
服务管理计划凭证指的是服务管理政策、计划和方法以及任何与这些相关的行动的审计凭证。大多数这些关于服务管理计划和操作的凭证应该存在于正式的文档,确保各项工作都在按照计划进行实施。
2. 文档管理规范
针对文档创建和管理的过程来保证各流程服务特性被恰当的描述。
3. 各类文档的存档方式
为确保已有凭证的可用性,需要建立起一套将各类文档保护起来的备份策略。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved