双认证精进IT服务 助企业全面提升效率安全

ZDNet至顶网CIO频道 12月13日 （文/丁慧茹）从今年1月份正式启动，到11月，本土IT运维外包领域的老牌服务商金道公司用了一年的时间正式获得ISO20000/27001双认证。此次认证，在证明金道原有Managed Service（管理服务）理念和ITIL实践经验的同时，也完善了其自身的服务体系以提升服务水平。

ITIL提出来已有很多年，而在企业中落地却很难。金道有着10多年的ITIL运营经验，随着其客户在IT服务管理及信息安全管理方面需求的不断深化促进了金道进行ISO认证。金道表示，拿到ISO双认证只是其完善标准服务的阶段性目标，未来金道还将遵细化、整合相应的规范，并形成标准化的服务提供给其客户。

认证5步走 整合落地是关键

2009年金道在业界率先提出了Managed Service理念，即在金道为客户进行IT运维外包服务时，不只提供简单人员外包，还提供管理方法、流程及相关工具，帮助客户减少外包管理精力，真正使客户实现省力省心。

对于作为IT服务商如此强调流程化管理，金道总裁邓皓文在回答记者提问时指出：“外包服务商如果只是简单提供人员，对于企业用户来说仍然需要花费精力对外包人员及外包结果进行管理和监控。”因此具备流程化管理能力的服务商才能真正地将企业从繁琐的工作中解脱出来。

邓皓文指出，金道的ITIL实践经验可以总结成一套行之有效的流程化管理落地方案去服务于企业用户。

进行ISO20000/27001认证也是金道ITIL经验可行的证明。据悉，两项认证都包括15项内容、分成5个阶段进行。即第一阶段的项目启动、范围目标、基础培训，第二阶段的业务分析、差距分析、风险计划。第三阶段的流程设计、体系实施、系统培训，第四阶段的试运行、内部审核、管理评审，最后一个阶段的预审核、认证准备、正式认证。2011年10月28日，金道获得了ISO27001的证书；11月22日获得ISO20000-1:2011的证书。

金道服务管理中心总监茅昀详细介绍了在整个认证过程中金道所表现出来的优势以及面临的一些问题。

茅昀指出：“金道多年来在日常项目管理中坚持使用符合ISO的管理体系及ITIL的要求得到了认证机构的首肯。”同时金道项目管理人员ITIL的运维经验、坚持使用PDCA方式对服务进行改进以及员工的信息安全意识这些都是金道顺利通过认证的原因。“认证机构对我们在管理体系上面的经验及措施是非常认可的。”

而同时认证过程也是金道自检的过程，茅昀告诉记者，认证机构也给了一些建议，包括项目人员的授权责任明确定义、公司对于可用性管理的实际演练需增加、确保敏感系统采取足够的安全机制等。“对这些改进意见，我们也列出了详尽的改进计划，并落实到相应责任人，确保这些建议被得到妥善处置。”茅昀指出。

通过ISO认证只是提高流程化管理水平的第一步，金道表示，为了让这些体系得到更好结果，还会在后期更加细化ISO标准，并将ISO整合到金道的标准体系中。

茅昀指出对于IT服务商自身而言，需要在公司内部进一步细化ISO规范。“因为ISO规范还是比较粗和大框架的，具体的规范还需厂商内部细化并落到实处。”

茅昀强调真正发挥ISO的作用，还需要将ISO的内容整合到金道的实施标准中，形成标准化的服务推给企业用户。

丰富经验助企业ITIL落地

在ITIL领域有10多年运维经验的金道如今开始进行ISO认证，一个很重要的契机是由于其服务的客户的需求在增加。

“我们的客户，尤其是金融客户对于ISO27001的重视促进了我们进行认证的脚步。”茅昀指出，目前国内企业可能对于这个认证还不太关注，但是随着企业信息化应用的不断深入，加强信息安全管理和服务流程化管理在未来一定是大势所趋。

而金道通过ISO双认证对于其所服务的客户可言也会有更多的价值，主要体现在稳定的专业服务、提高服务效率和风险控制三个方面。

越来越多的企业开始关注控制风险，其包括信息安全风险，也包括IT外包带来的风险。之前记者采访了几家使用IT外包服务的企业，其中就有企业提到关于人员变动的问题。外包人员变动带来的风险需要外包商给予一定的解决方案和预防措施。“在ISO20000/27001里有关于风险控制的详尽阐述，对风险有很好的管理和控制机制，从而提高IT服务的可用性、可靠性和安全性。”茅昀强调到。

关于通过认证对于企业用户会带来的变化，茅昀指出这种变化是循序渐进的，呈螺旋式上升的。“在风险控制方面变化可能更为明显些。”茅昀告诉记者，对于企业的改变还会体现在对质量的监控和持续改进的内控体系，“不是明显的改变，但会看见质量会越来越好。”

对于ISO，金道未来的计划除了在公司内部细化ISO规范、将ISO内容整合到金道的标准中、推广到更多的项目之外，还有很重要的一块就是帮助企业用户进行ISO落地的实施。

据悉，金道已经开始帮助用户做类似咨询的工作，其用户范围也从外企圈扩展到国内公司。“现在国内用户更希望的是我们给他们一个标准，告诉他们怎么做更有效、更合理，而这也是ITIL的落地过程。”茅昀介绍到，金道的很多标准、流程化管理经验也是从与上百家世界500强成熟企业用户的合作中形成的。“其实最难的并不是保证用户和我们都达到ISO的标准，而是确实有有效的措施去保证落地，这正就是金道的价值所在。”

获得双认证促进了金道在IT服务流程化管理、信息安全等层面更加地符合用户需求，同时也为企业进行IT服务外包时提供了更多的保障和有据可循。当然也正如茅昀所说，ISO20000/27001仅仅提供了对于IT服务管理和信息安全管理的办法，要想保证企业用户真正获得更好的服务质量，则需要考虑更多落地细节问题，比如服务商该如何与企业进行配合、如何提供合适的资源、如何使用合适的工具、如何严格地执行、准确的测量、不断地改进等等。认证是ITIL更好落地的一个开端，也是一个催化剂。