ITIL 資治通鑑

常上筆者部落格的同好們可能已發現，最近筆者似乎疏於研究，在這個月份發表的理論心得數量偏少。的確，筆者要汗顏地承認，目前剛去某國際驗證公司服務，所以這幾個星期密集接受相關課程訓練及考試，連星期六日也是課程滿檔，空檔時間太少，相對而言也沒太多時間寫作，真是抱歉…

既然目前身在 ISO 資訊驗證單位服務，那就來分享一下有關 ITIL 的資訊標準，供大家參考。

很多單位宣稱他們已成功實踐 ITIL，但外在單位如何了解該單位的導入成效及範圍呢? 

為避免各說各話，一個公正的資訊服務管理 (ITSM) 國際標準是有其必要性的。自 1989 年英國政府 OGC 發表 ITIL 之後，由 itSMF 接手推動更進一步地實務運用，經與 BSI 洽談標準發展後，於 2000 年發表 BS 15000，為 ISO 20000 的前身，於 2005 年正式成為世界性的 ISO 標準。 

ISO 20000 以「組織」為驗證單位，任何已實施 ITIL 的組織單位，皆可向驗證公司 (Certification Body) 提出驗證申請，符合條文規範者，即可獲得 itSMF 認可的 ISO/IEC 20000 證書，證書有效期限為 3 年。

ISO 20000 的條文共分兩大部份：
(1) ISO 20000-1:specification，為必要遵守之規範，稽核要項。
(2) ISO 20000-2:code of practice，為參考準則及範例，非稽核要項。

ISO 20000 於 2005 年發表，以 ITIL V2 為理論基礎，條文 4~10，包含所有 V2 的 10 個管理流程，但不含 Service Desk 功能。不過 ISO 20000 也有一些 ITIL V2 沒有涵蓋的流程，如 service reporting、business relationship management 和 supplier management 等管理流程，以上這些流程已在 2007 年發表 的 ITIL V3 版本中紛紛加以增補。

很多人常問，若想導入 ITIL V3，那能符合 ISO 20000 的規範要求嗎?

其實不用擔心，ITIL V3 的範圍比 V2 廣泛，而且原有的管理流程皆相容，所以 V3 的理論範圍是絕對可以滿足 ISO 20000 的條文規範，甚至超出很多…不過，也因為 V3 的複雜度高，加上才剛問世不久，目前成功的導入案例不多，所以國外的專家建議，可以先從 V2 著手設計導入，再申請 ISO 20000，吻合度高，之後再逐漸進行 V3 upgrade。

依據 itSMF 官方網站顯示，目前在台灣已通過 ISO 20000 的組織，共有 8 家。這代表許多組織，已了解 IT Service Management (ITSM) 的重要性，尋求資訊服務的高度穩定性及效能提昇，最終以國際認證來宣告該組織資訊服務的卓越品質。在資安風潮已逐漸平復之餘，ISO 20000 被視為 ISO 27001 之後的下一波可能流行的資訊驗證，許多政府機關單位、學術單位及金融機構紛紛表示興趣，不過 ITIL 的導入不是一件小規模的事，如何成功導入仍是目前許多組織最頭痛的一件事。