ISO/IEC 20000-1：2018版和2011版的差异分析

编者按：服务管理体系新版标准已于2018年9月发布，为帮助组织响应不断增长的服务需求和适应不断变化的服务交付环境，ISO/IEC 20000-1:2011现已转版并由ISO/IEC 20000-1:2018取代。为了对中心信息技术服务认证业务的顺利转换提供有关ISO/IEC 20000-1:2018标准的必要信息，中心信息安全领域（ISMS、ITSMS）项目组对新版标准的变化内容进行了分析识别。        ISO/IEC 20000-1:2018信息技术 - 服务管理 - 第1部分：服务管理体系新版标准已于2018年9月发布，为帮助组织响应不断增长的服务需求和适应不断变化的服务交付环境，ISO/IEC 20000-1:2011现已转版并由ISO/IEC 20000-1:2018取代。根据IAF有关ISO/IEC 20000-1:2018转换的决议的规定，ISO/IEC 20000-1:2018的转换期为3年，即2018年9月30日至2021年9月29日。         为了对中心信息技术服务认证业务的顺利转换提供有关ISO/IEC 20000-1:2018标准的必要信息，中心信息安全领域（ISMS、ITSMS）项目组对新版标准的变化内容进行了分析识别。    一、结构差异：        标准由原来的9个章节调整为10个章节，除了前3个标准的章节外，原来的第四章节分散到了新版标准的四、五、六、七、九、十等6个章节里面，原来的五、六、七、八、九等5个章节的大部分内容汇总到了新版标准的第八章节里面。2011版与2018版结构对比：           下图分别体现了2011版ITSMS标准和2018版ITSMS标准的结构：                     从上图中我们可以明显看出新旧标准的结构变化。旧版标准的第五章在新版标准里面成为了新标准第八章的子流程。旧版标准的六、七、八、九章下面的小节也按照新的结构重新进行拆分组合，配置管理和变更管理分属不同的组合，而服务水平管理和业务关系管理则在一个小节下。         二、与ISO/IEC 20000-1：2018取代的2011版本相比，本次修订的主要变化分为新增内容和变更内容，对于删除的部分有些是具体的方法要求，如果组织在该方面运行良好则不需要过多关注，可以继续运行控制：        ● 新增内容：        1、标准采用了高阶结构,与刚转版ISO 45001:2018保持一致，标准由原来的9个章节调整为10个章节；        2、导入目前主流标准组织情境和管理风险和机会的措施。将IT行业用的较多的项目管理中的风险与标准要求有机统一；        3、关注关键服务管理趋势,服务的策划以促进KPI(绩效)提升；        4、强化领导作用和战略，公司高层参与体系的指导和规范化，确保为用户和客户提供更优的服务绩效；        5、新的变化还包括对服务策划的要求，包括知识管理，资产管理，需求管理以及服务交付；        6、新增信息安全事件，将信息安全要求融入IT信息技术服务中；        7、持续改进作为本次改版单独条款，回归持续改进作为管理体系的出发点；        8、要求基于服务生命周期方法进行符合性评价，一个包括了多服务供应商环境的服务提供生态系统，更加强调高质量服务的管理，而不是试图统一所有参与方的过程。        9、从ISO/IEC 20000-1：2018中的新术语：资产、服务目录、服务级别目标、审核、符合、能力、用户、要求、价值、文档化信息、管理体系、测量、监测、目标、绩效和方针。        ● 删减内容：        1、2018版标准相对于2011版标准删减了一些细节性的要求，组织可以更自由地采用不同的方式满足标准的要求；        2、2018版标准删除了2011版标准中的PDCA模型，组织可以使用更多的方法进行持续改进；        3、2018版标准删除对设立管理者代表的要求，同时也删除了对管理者代表的职责和权力要求；        4、从ISO/IEC 20000-1：2011中删除的术语：配置基线、预防措施、配置管理数据库。        ●变更内容：        1、将分散在各个流程里面的变更管理要求集中到变更管理里面；        2、服务报告中每个过程生产的报告的类型和内容不一样，将服务报告的部分要求分散到各个过程中提出要求。        3、第三章术语和定义主要变化的包括：术语“服务提供方”一词已经被“组织”取代；“内部小组”一词已被“内部供方”取代,“供方”词已被“外部供方”取代；“信息安全”的定义已经和ISO/IEC 27000保持一致。因此，术语“可用性”一词已经被“服务可用性”取代，以区别于“可用性”这一术语，该术语现在用于“信息安全”。         组织在进行换版时最好是了解新增和变化的内容并对现有的管理体系进行差异分析，发现改进点从而对体系进行进一步完善。对于删除的部分有些是具体的方法要求，如果组织在该方面运行良好则不需过多关注，但可以对其进行评估，纳入持续改进。 (作者：庞岩)