在GT/T 24405.1 中,管理体系要求中关于管理职责的标准条文内容如下:
3 管理体系要求
目标:提供一个管理体系,包括方针和框架,以有效管理和实施所有IT服务。
3.1 管理职责
在组织业务与顾客需求环境中,通过引导并采取措施,高层管理者或执行管理者应提供承诺开发、实施和改进其服务管理能力的证据。
管理者应:
a)确定服务管理的方针、目标和计划;
b)通报满足服务管理目标和持续改进要求的重要性;
c)确保顾客需求已得到确定和满足,目的是为了改进顾客满意度;
d)指定负责协调和管理所有服务的管理层成员;
e)确定并提供资源,以便策划、实施、监视、评审和改进服务的交付与管理,例如,补充适当人员、对人员变动进行管理;
f)对服务管理组织和服务的风险进行管理;
g)根据计划的时间间隔进行服务管理评审,以确保连续的适宜性、充分性和有效性。
在GB/T 24405.1 的 3.1 中为了特定的主题,通过建立、实施和维护与保持一个管理体系,这是经长期实践证实行之有效的途径。管理体系作为一种方法论,迄今已被世界各国、各类型经济领域、各种类型的组织广泛地应用于组织内特定主题的管理。例如,质量管理体系以产品/服务的质量管理为主题,信息安全管理体系则以组织的信息安全管理为主题。
任何一种管理体系,作为一种管理的方法论在组织内应用时,其根本宗旨是为了支持组织某一个业务方向或所有业务方向的经营方针。也就是说,组织的经营方针决定组织采用的管理体系的方针与策略,而管理体系的方针与策略决定管理体系范围内的目标。
该标准开宗明义,第 1 章即说明,“GB/T 24405 的本部分为服务提供方定义了向其顾客交付可接受质量的受管理服务的要求。”也就是说,该标准规定的是以“IT服务提供”的质量为主题的质量管理体系的要求。
管理体系的方法论的核心在于采用过程方法和持续改进,其基本宗旨在于:“最终交付于顾客的产品质量,取决于所有对产品质量有影响的过程质量”。而这“所有对产品质量有影响的过程”的总和就是影响产品质量的“质量管理体系”。对于IT服务提供方,其向顾客提供的“产品”就是IT服务。当然,所谓“过程的总和”,并不意味着过程的简单相加,而是彼此有着极其复杂的相互作用关系。
建立、实施和保持IT服务管理体系,可以帮助组织以顾客满意和经营需求为导向,系统地识别和管理与最终交付服务质量直接相关或间接相关的过程及规程,梳理和建立控制过程质量的方法,从而以高效的方式实现预期的目标。
换句话说,顾客满意和经营需求是确立IT服务管理的方针方向和框架,应能反映组织在IT服务这一业务领域的经营愿景。为了充分实现IT服务管理方针,需要进一步在IT服务管理方针的框架基础上,针对具体IT服务过程、活动等,制定相应的目标、子目标,形成能够覆盖管理层、执行层等各类职能的、彼此协调的目标体系。制定各SLA的过程可以视为制定IT服务管理目标工作的一部分。
IT服务管理体系的建立、实施和保持需要决策层、高层管理层及其下级管理层、IT服务的执行层等各级人员参与和协同行动,需要协调各类职能和人员的活动、过程、资源及其应用的技术和方法,这是一项十分复杂的系统性工作。而且,需要随着组织的发展持续进行,以持续改进IT服务管理体系的效率和效果,使IT服务管理体系的运行能够真正服务于组织经营愿景的实现。因此,需要为这项工作指定一位管理人员,该管理人员应能够得到充分的授权,在管理体系的建立、实施和保持中,能够有效调动资源、协调相关职能人员与活动之间的关系。在基于ISO 9001 的质量管理体系中,通常将这一角色称为“管理者代表”,在信息安全管理体系中,通常组织会将承担这一角色的人员称为“信息安全官”。无论组织对这一角色赋予什么职务名称,无论指派哪一级管理层人员承担这一角色,明确职责并给予充分授权是让这一角色发挥作用的关键点。
构成管理体系的基本元素包括组织机构与职责和权限的建立、过程的建立,以及过程之间相互作用关系的识别,过程所包含的活动及其相互顺序、资源、技术与方法。围绕IT服务的管理,一般来说,这些元素的具体体现可考虑的内容包括如下几方面。
1.职责
(1)高层管理者:总体负责IT服务管理体系的建立、实施与保持,负责对于下一级管理层及执行层难以完成的相关活动和资源的协调工作,并对IT服务管理体系的总体绩效负责。
(2)顾客关系管理:负责与顾客沟通关于IT服务的需求及满足的程度,协商SLA,对SLA进行评审,达成情况的测量与报告,监视和测量顾客对已交付的IT服务的满意度。
(3)服务台:负责用户服务请求的直接响应,主要职能是建立联系用户的单一节点并提供支持服务。
(4)服务团队管理者。
(5)技术支持:包括软件支持、硬件支持、网络支持、通信支持、IT系统性能监测与风险管理。
(6)IT服务配置管理:提供并管理IT基础架构组件的相关信息。
2.过程
(1)建立过程:为了确保所提供的IT服务达到向顾客承诺的服务质量水平,识别需要的过程,规范完成过程需要的技术、方法和活动,将过程“文件化”,明确相关的活动的顺序及组合,称之为“建立过程”。
(2)IT服务应包含的过程:包括直接或间接影响IT服务质量的过程,即标准列出的所有过程,如“服务交付过程”、“关系管理过程”等,以及在组织特定的职能框架下完成这些过程需要的子过程或规程,都是IT服务管理体系的有机组成部分。
3.资源
(1)人力资源;
(2)设备设施资源:包括软件、硬件工具资源、基础设施、支持性设备。
4.技术与方法
(1)标准的应用;
(2)成熟技术的使用。
IT服务管理体系的建立和实施,对于上述元素配置的方式和程度,还需要考虑组织经营的风险和服务活动本身的风险。标准提供了基本的框架,组织应根据自身风险的情况对其IT服务管理体系进行适宜的设计。
IT服务管理体系能否帮助组织持续地实现其预期的绩效,还在于组织能否建立一个有效的持续改进机制。定期的管理评审是高层管理者组织相关职能人员对IT服务管理体系的充分性、适宜性、有效性进行评价的途径。
组织在建立管理评审过程时,应确定管理评审的时间间隔、各相关职能向管理评审提供输入的主题内容与提交形式、管理评审活动的形式、管理评审的输出等。管理评审应通过对SLA的满足程度、顾客满意度、IT服务的方针实现的程度及其对经营方针的支持、纠正措施与预防措施,以及持续改进机制等方面的评价,来评价IT服务管理体系的绩效。
通常管理评审以会议形式进行,由最高管理者主持,各职能的主要负责人参与。管理评审的输入资料及评审过程应保留书面记录。管理评审的输出可以是书面报告的形式或其他形式,输出中应包括改进的要求、资源提供的要求,并包含或引用支持这些改进的措施和计划。
在GB/T 24405.1 中,管理体系要求的文件要求的标准全文如下:
3.2 文件要求
服务提供方应提供文件和记录,以确保有效的策划、运行和控制服务管理。包括:
a)形成服务管理方针和计划文件;
b)形成服务级别协议文件;
c)形成本部分要求的过程和规程文件;
d)本部分要求的记录。
应确立创建、评审、批准、保持和控制不同类型文件和记录的规程和职责。
在GB/T 24405.1 的 3.2 中所有IT服务管理过程和相关要求形成文件,往往是IT服务管理体系建立的标志。将IT服务管理过程以文件的形式制度化,有以下几个方面的作用:
(1)作为统一的、受控的承载组织IT服务管理体系过程和要求的媒体,确保所有相关人员对IT服务过程有一致的理解;
(2)确保IT服务过程得到一致的执行;
(3)确保评价IT服务过程绩效时有一致的评价准则;
(4)可以作为各类岗位人员的培训教材;
(5)可以作为持续改进IT服务过程的基础。
通常,IT服务管理体系文件可包括:
(1)形成文件的服务管理方针和计划;
(2)形成文件的服务级别协议;
(3)形成文件的该标准要求的过程和规程;
(4)该标准要求的记录。
其中,“形成文件的该标准要求的过程和规程”应覆盖该标准的所有要求,以及组织的所有IT服务相关的过程和子过程,包括描述过程的文件、技术规范、标准等。文件的多少及复杂程度取决于IT服务提供方过程的复杂程度。
IT服务过程实施的记录是文件的一种,它是IT服务管理体系运行的证据,因此可以用作确定和实施纠正及预防措施的依据。
对于文件控制的规程性要求,体现在文件的创建、评审、批准、发放、更新、作废、销毁的全生命周期的各个环节。
文件创建过程的控制,意味着承担文件创建任务的人须为文件界定非常明确的目的和适用范围,使用清晰的、无歧义的、被一致承认的术语和定义。文件中描述的要求应清楚,职责应明确,内容应适用于所针对的目标事务,并具有可操作性。因此,组织须考虑安排合适的人承担文件创建任务。
文件评审过程的控制应考虑的因素包括:参与文件评审的人员是否来自于所有可能受文件实施影响的各相关职能,以及是否包含了必要的相关专家;参与文件评审的人员对于评审准则是否有一致的理解;参与文件评审的人员是否对于文件的背景有充分的了解等。文件评审的控制还应该考虑创建文件的人员如何处置评审人员提出的意见,并得到评审人员确认。文件评审的过程和结果应保留记录以便于追溯。
文件在发布前应得到指定权限的人员批准。该指定权限的人员往往是对文件实施效果承担最终责任的人员。也就是说,文件的适用范围越大,批准人的责任范围就越大,因此其权限级别就越高。
经过批准的文件在发放时,应确保需要使用文件的人员能够得到适用的文件,包括合适范围的文件和合适版本的文件。因此,需要采用适当的方法标识文件的版本和修订状态。对于以纸媒体发放的文件,采用签章的方式是标识文件版本和修订状态的一种简便易行的方法。现在已有很多组织出于节约资源或其他目的,很少使用纸媒体形式发放文件了,这些组织往往采用局域网、光盘等手段发放电子版文件,这种情况下,负责管理文件发放的人员最好能够针对每一版本的文件保存一份文件母本,作为核对已发放的电子版文件版本的依据。如果可行,对于电子版的文件,电子签名也是批准的方式之一。文件的版本和修订状态的标识规则本身没有孰优孰劣的一定之规,只要适合于组织中大多数文件使用者的习惯即可。比较普遍的标识规则是采用有一定含义的字母和数字组合的方式。
在组织的IT服务管理体系文件中,有一部分文件是组织从外部获取的文件,如法律法规、标准、政府指令、顾客文件、外部服务提供方文件等,这些文件统称为外来文件。对于外来文件,需要特别关注的元素包括:表明外来文件当前版本有效性的信息、外来文件中的适用条款和/或强制性要求条款、本组织内预期的外来文件使用者等。在管理外来文件时,应确保及时获取这些文件更新的信息和更新后文件,确保文件的预期使用者能够及时得到可用的文件。
随着组织内部、外部环境的变化,例如,法律法规要求的变化,顾客要求的变更,组织服务内容、服务过程或服务手段的更新,可能需要更新管理体系文件。文件更新应慎重,应对文件更新部分可能带来的影响或风险进行充分的评估。文件的更新应得到适当权限的管理者的批准。实施文件更新时,需要特别注意相关文件的一致性变更。
当文件更新时,文件的使用者应能够及时得到更新后的文件。因此,在文件发放管理中,必须考虑采用有效的方法跟踪文件的发放对象,即文件的去向。以纸媒体发放的文件,可以通过回收作废版本来确保文件使用人持有的文件是最新有效版本。但采用电子版发放文件时,由于难以对每个人的文件复制过程进行跟踪,因此,对于如何确保文件使用者持有的文件版本与最新发布的文件版本一致,需要考虑缜密的方法。
对于作废文件,如果出于法律法规的要求,或组织知识积累的目的需要保留时,需要加以明显的“作废”标识,以防止误用。对于不再使用,也不需要保留的文件,采取的处置方式应符合组织的信息安全要求。
关于文件的控制,组织需要制定相应的规程,具体规定每一环节的控制方法和责任人。
在GB/T 24405.1 中,管理体系要求的标准条文内容如下:
3.3 能力、意识和培训
应在定义并保持所有服务管理角色和职责的同时,定义并保持有效地执行它们所要求的能力。
应对人员能力和培训需求进行评审和管理,以使人员能有效地发挥其角色的作用。
高层管理者应确保其雇员意识到他们活动的相关性和重要性、如何致力于完成服务管理目标。
在GB/T 24405.1 的 3.3 中,因组织提供的IT服务的内容、方式、目标顾客的差异,不同组织的IT服务管理角色的种类各不相同,一般来说,可能包括技术人员、管理人员、支持性的职能人员等。组织在定义各种服务管理角色的能力要求时,应针对具体岗位的职责内容和工作性质,给出具体的能力要求细则。
通常,构成人员能力的元素可包括(但不限于):
(1)教育背景,包括专业类别和学历;
(2)培训经历,包括专项技能性培训和通用知识性培训;
(3)工作经历,特别是那些能说明与相应岗位有关的工作经验的信息;
(4)技能要求,指具体岗位需要的技能,包括技术性操作技能和管理技能等。
对于具体岗位,相应人员对组织IT服务管理要求的熟悉和掌握程度,应作为能力要求的一部分。
在一个组织内部,人员能力的管理通常是由人力资源管理部门和具体用人部门联合完成的,前者负责人员入职背景的评价,后者则注重人员实际岗位工作能力的评价,而且这种评价往往需要定期进行,以便于考评人员能力与其承担的岗位工作的持续适应性,以及人员能力的发展情况。
从组织的立场看,人员能力管理的另一方面的意义在于及时发现组织的总体人员能力不足和短缺的情况,这种不足和短缺既可以是现有人员能力水平的差距,也可能是特定能力水平的人员数量的差距。补足人员能力差距的途径,可以是针对现有人员进行专项培训,也可以是组织内部岗位调整,或者招聘具备能力的人员。无论采取哪一种方法,都应关注效果,应确保所有与服务质量有关的人员能够胜任其角色的要求。
组织的管理者应确保各角色人员对于他们的活动的相关性和重要性,以及如何致力于完成服务管理目标有清晰的认识。应使每个人了解他们工作的输出,将构成其他人工作的输入,因而对其他人的工作绩效有直接和间接的影响,这种影响将通过组织的一系列IT服务管理过程,最终传递到顾客一端,从而对顾客满意的程度及其对组织提供服务的信任程度造成影响。组织应建立有效的机制,对各类角色人员进行长期的关于满足顾客及法律法规要求,增强顾客满意的意识的教育,使之成为组织质量文化的一部分。