ITIL 資治通鑑

在文章開始之前，先向關心這個部落格的朋友們致歉；由於最近資安驗證之工作太忙，行程天天爆滿，已經有好一陣子沒有更新部落格內容，自責自己是位不盡責的版主，先向大家說聲對不起!! 接下來每個月會有 1~2 天的空檔，會好好抽空做研究，跟大家交流交流。

今天觀看網頁新聞時，發現這一則新聞：「台灣通過 ISO 20000 認證單位數，為全球排名第7名」http://www.itsma.org.tw/news/show1.asp?news_id=224 ，心裡有一些感想，五味雜陳…樂觀的角度而言，台灣在 ISO 20000 及 ITIL 的導入，算是走在世界領導的潮流，已有一定的成績(筆者公司驗證客戶數也佔台灣市場數近五成)；但說實在的，依筆者身處跨國驗證公司的內部角度來觀察，比對起 ISO 27001 資安驗證而言，這個市場其實是欲振乏力的。

依筆者的接觸，許多企業其實對 ITIL 最佳實務表示認同，在預算及策略許可的假設前提之下，其實都十分願意據以改善本身的資訊環境。不過大多數企業希望導入 ITIL 管理，但不一定要取得 ISO 20000 認證，因為 ISO 20000 只是 ITSM 的最低要求(minimum requirement)，取得此認證，在企業聲譽上有一定的加分，但對企業組織而言，更在意的是 ITIL 對組織帶來的實質效益，證書只是附加的價值。

切回產業鏈的生態而言，大多數具規模的 ITIL 導入及 ISO 20000 驗證，可能會由三種單位進行上中下游整合：工具廠商、顧問業及驗證公司，目前而言，這產業鍵的成熟度在台灣還有待培養，或許是市場的動力不足，讓眾家仍持觀望態度。不過，若以顧客的角度去設想，自動化工具可有可無，但顧問的功力深淺則是導入成功失敗與否的關鍵，目前台灣此領域顧問業的累積經驗尚顯不足，若顧客為確保導入過程的品質及成效，也可考慮聘請驗證公司進行導入過程中定期執行第二者稽核，依據 ITIL 專業，代顧客向顧問確認各階段之導入有效性，我想，這可能比最後給一張第三者驗證認證，會更讓顧客安心 ITIL 的導入成效。

資安驗證在台灣已成氣候，在政令推廣之下，已有超過200多家的企業組織取得認證，顧問與驗證公司的配合，已循模式合作行之有年，相形之下，ISO 20000 才剛破2位數，仍有很大的成長空間。最後來個工商廣告時間，雖然我目前礙於職責，無法進行顧問服務，但若有興趣導入 ITIL 的企業組織，還是可以請我來監督顧問導入過程，這一點對身為 ITIL Expert 的我，一定勝任愉快的!!(各位熟識的顧問朋友們，不要打我…)，另外想申請 ISO 20000 驗證的企業組織，當然歡迎來洽詢，。