【技術文章】新版ISO/IEC 20000關鍵變化及條款解析

針對在2018年9月15日發布的ISO/IEC 20000新版標準，我們策劃并開設了一期新版關鍵變化及條款解析的線上直播微課，已于2019年1月23日成功直播。直播當天邀請了SGS全球新產品開發經理、ISO/IEC 27001/ISO/IEC 20000全球簽證官、產品經理游天鴻/Chris Yau老師給大家做分享。


此期微課重點講解ISO/IEC 20000的變化：新版關鍵變化及條款解析

考慮到有些小伙伴由于各種原因無法參與直播，暖心的小編給大家節選部分重要內容，總結出精華分享給大家，拿走不謝。

新版中的關鍵變化

框架方面

新版主要是標準架構的改動、術語跟定義的變化、部分條款重新排列了位置順序以及加入了一些IT服務領域多年沉淀的新概念（諸如：更宏觀的IT服務概念）。

標準結構變化

? ISO/IEC 20000 -1:2018的變化方向是與其他管理體系標準(如ISO 9001:2015和ISO/IEC 27001:2013)所采用的高層結構（HLS）和通用核心正文及定義保持一致。

由于標準的架構轉為高層結構(HLS)，所以相應的跟隨架構增加了一些條文，比如ISO 9001:2015里面也有的4.1和4.2：組織的環境、內外部的因素、相關方、風險和機遇，都是跟隨高層結構(HLS)而增加進來，舊版是沒有的。
舊版ISO/IEC 20000里面的13個流程，滲透在新版標準的第8章，以前的第5-9章分別是這13個流程，新版的13個流程都在第8章里面。

新增術語

伴隨高層結構(HLS)增加了一些條文之外，標準也新增了一些新的術語和核心定義，高層結構(HLS)有22個必須要有的定義，比如什么是組織、方針、內審等22個核心術語。 ISO/IEC 20000除了這個22個核心術語之外，另外還根據行業及服務需要增加了IT服務的術語，諸如：服務目錄、變更、配置等這些 IT服務里面特有的一些專業名詞。

兩個定義變化

1. 信息安全

舊版的ISO/IEC 20000也有信息安全，但現在跟ISO/IEC 27001的信息安全保持一致性--“信息安全”的定義與ISO/IEC 27001標準統一。

2. 可用性

舊版ISO/IEC 20000跟ISO/IEC 27001也有一些相同的概念，比如什么是“可用性”,雖然定義有些不大相同,ISO/IEC 27001的“可用性”通常是指網絡設備/服務器是否可用,但ISO/IEC 20000里面的“可用性”是指提供的服務是否可用,所以這個定義比ISO/IEC 27001的定義更為宏觀,不單指網絡設備/服務器，還包括了提供的服務。如果你提供的服務是人力方面的服務,那人力的可用性,也是納入人力可用性考慮范圍的,不止是網絡方面的可用性,所以新版在這些方面做了適當的修正。

更宏觀的IT服務概念

整個IT服務流程里，都會有一個服務目錄，記錄了能夠給客戶提供的服務內容。但是從公司內部管理的角度來講，有一些還沒準備完善的服務，比如正在準備、正在開發中的或者已退出的服務，這些服務的相關文件屬于機密文件，是不能給客戶看的，但是認證審核的時候，審核員是需要看的，改版以后唯一要對客戶展示的僅是服務目錄。

文件方面

減少了一些文件的編寫，針對記錄的文件有了彈性處理，對于小規模、小運作的公司來說，最能體驗到它的益處，同時也增加了一些新要求(諸如：知識管理、資產管理、需求管理、外部和內部事項、相關方及有關要求)。

以上是ISO/IEC 20000新版的主要變化

第8章及第9章 部分條款解析

8.2 服務組合

這是一個新的概念

? 服務組合用于管理所有服務的整個生命周期 (新的、更改的和退出的)，包括建議的服務、開發中的服務、服務目錄中定義的正在提供的服務和要刪除的服務。

?  組織應向客戶提供使用服務目錄中適當部分的權限。



8.3 關系和協議舊版也有關系和協議，分別在商業顧客關系管理和供應商管理的條文里強調（7.1和7.2）。

舊版的常見不符合項：如果你的客戶和供應商都是內部部門，比如是公司的其他部門，他們是你的供應商，也可能是你的客戶，由于是內部部門的問題，很多企業往往就會忽略它們之間的服務協議，跟他們的關系也劃分不清晰，所以這是常見的不符合項。而在新版本里，把這兩個概念重新強調了：無論是內外部的供應商及顧客都需要相關的協議。這是很重要的一個變更。

8.4.2 需求管理

? 需求管理負責了解當前和未來客戶對服務的需求

1. 需求管理是去了解、預測和影響客戶對服務的需求。需求管理與容量管理一起來確保服務提供商有足夠的能力來滿足所需的需求。

? 組織應按計劃的時間間隔

1. 確定當前需求并預測未來服務需求

2. 監控和報告服務的需求和使用情況

舊版的需求管理是希望關注顧客的需要，新版的需求管理是希望可以預測顧客的未來需要，所以組織可以對能力做適當調整而滿足顧客和市場的需求。

8.7.3 信息安全管理

新版在信息安全管理方面的條文寫得更加詳細了，能幫助一些沒有做過ISO/IEC 27001或者不懂ISO/IEC 27001的人員了解信息安全方面的技術性支持。

9.4 服務報告

舊版的服務報告條文里規定，組織需要向顧客定期提交報告（通常是月報），為了更方便靈活運用，新版標準里的服務報告不是強制性的，根據服務合同的需求決定是否提交報告即可。

以上是此次線上直播精彩節選的總結，如需了解更多更詳細的直播內容及互動答疑，可以識別如下二維碼聽直播回放，或者報名我們的線下研討會。本次總結附送2個小福利：

1. 供大家參考的文件化信息和記錄清單（標準里面是沒有這些清單給大家參考的，所以大家可以保存參考）。

2. ISO/IEC 20000:2018轉版注意事項

轉換到ISO/IEC 20000-1:2018微課預告

2019年，我們將推出的相關主題微課，敬請期待：

?新版 ISO 50001:2018能源管理體系

?RSPO CoC怎樣確保棕櫚油的可持續生產

?FSC標簽使用

?IECQ QC 080000

?CFCC CoC新版要求

......

持續關注微信公眾號掌握更多SGS大咖微課！

（本文著作權歸SGS所有，商業轉載請聯系獲得正式授權，非商業轉載請注明出處）