Tiêu chuẩn quốc gia TCVN 8695-2:2023 Công nghệ thông tin - Quản lý dịch vụ - Phần 2: Hướng dẫn áp dụng hệ thống quản lý dịch vụ

TIÊU CHUẨN QUỐC GIA

TCVN 8695-2:2023

ISO/IEC 20000-2:2019

WITH AMENDMENT 1:2020

CÔNG NGHỆ THÔNG TIN - QUẢN LÝ DỊCH VỤ - PHẦN 2: HƯỚNG DẪN ÁP DỤNG HỆ THỐNG QUẢN LÝ DỊCH VỤ

Information technology- Service management - Part 2: Guidance on the application of service management systems

Mục lục

Lời nói đầu

1  Phạm vi áp dụng

1.1  Quy định chung

1.2  Áp dụng

1.3  Cấu trúc

2  Tài liệu viện dẫn

3  Các thuật ngữ và định nghĩa

4  Bối cảnh tổ chức

4.1  Hiểu tổ chức và bối cảnh tổ chức

4.2  Hiểu các nhu cầu và kỳ vọng của các bên quan tâm

4.3  Xác định phạm vi hệ thống quản lý dịch vụ

4.4  Hệ thống quản lý dịch vụ

5  Sự lãnh đạo

5.1  Sự lãnh đạo và cam kết

5.2  Chính sách

5.3  Vai trò, trách nhiệm và quyền hạn của tổ chức

6  Hoạch định

6.1  Hành động để giải quyết rủi ro và cơ hội

6.2  Các mục tiêu quản lý dịch vụ và hoạch định để đạt được mục tiêu

6.3  Hoạch định hệ thống quản lý dịch vụ

7  Hỗ trợ hệ thống quản lý dịch vụ

7.1  Nguồn lực

7.2  Năng lực

7.3  Nhận thức

7.4  Trao đổi thông tin

7.5  Thông tin tư liệu hóa

7.6  Kiến thức

8  Vận hành hệ thống quản lý dịch vụ

8.1  Hoạch định và kiểm soát vận hành

8.2  Danh mục dịch vụ

8.3  Mối quan hệ và thỏa thuận

8.4  Cung và cầu

8.5  Thiết kế, xây dựng và chuyển tiếp dịch vụ

8.6  Giải quyết và hoàn thiện

8.7  Đảm bảo dịch vụ

9  Đánh giá kết quả thực hiện

9.1  Giám sát, đo lường, phân tích và đánh giá

9.2  Đánh giá nội bộ

9.3  Xem xét lai quản lý

9.4  Báo cáo dịch vụ

10  Cải tiến

10.1  Sự không phù hợp và hành động sửa chữa

10.2  Cải tiến liên tục

Phụ lục A (tham khảo) Thông tin tư liệu hóa bắt buộc trong TCVN 8695-1:2023 (ISO/IEC 20000-1:2018)

A.1 Giới thiệu

Thư mục tài liệu tham khảo

Lời nói đầu

TCVN 8695-2:2023 thay thế cho TCVN 8695-2:2011.

TCVN 8695-2:2023 hoàn toàn tương đương với ISO/IEC 20000-2 2019 và sửa đổi 1:2020.

TCVN 8695-2:2023 do Ban kỹ thuật tiêu chuẩn quốc gia TCVN/JTC 1 “Công nghệ thông tin” biên soạn, Viện Tiêu chuẩn Chất lượng Việt Nam đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Bộ TCVN 8695 (ISO/IEC 20000) Công nghệ thông tin - Quản lý dịch vụ gồm các tiêu chuẩn sau:

- TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), Phần 1: Yêu cầu hệ thống quản lý dịch vụ;

- TCVN 8695-2:2023 (ISO/IEC 20000-2:2019/Amd 1:2020), Phần 2: Hướng dẫn áp dụng hệ thống quản lý dịch vụ;

- TCVN 8695 3:2023 (ISO/IEC 20000-3:2019), Phần 3: Hướng dẫn về xác định phạm vi và khả năng áp dụng của TCVN 8695-1 (ISO/IEC 20000-1).

Bộ ISO/IEC 20000 Information technology - Service management còn các tiêu chuẩn sau:

- ISO/IEC TS 20000-5:2022, Part 5: Implementation guidance for ISO/IEC 20000-1;

- ISO/IEC 20000-6:2017, Part 6: Requirements for bodies providing audit and certification of service management systems;

- ISO/IEC 20000-10:2018, Part 10: Concepts and vocabulary;

- ISO/IEC TS 20000-11:2021, Part 11: Guidance on the relationship between ISO/IEC 20000-1 and service management frameworks: ITIL®.

CÔNG NGHỆ THÔNG TIN - QUẢN LÝ DỊCH VỤ - PHẦN 2: HƯỚNG DẪN ÁP DỤNG HỆ THỐNG QUẢN LÝ DỊCH VỤ

Information technology- Service management - Part 2: Guidance on the application of service management systems

1  Phạm vi áp dụng

1.1  Quy định chung

Tiêu chuẩn này cung cấp hướng dẫn về việc áp dụng hệ thống quản lý dịch vụ (SMS) dựa trên TCVN 8695-1 (ISO/IEC 20000-1). Tiêu chuẩn này cung cấp các ví dụ và khuyến nghị cho phép các tổ chức diễn giải và áp dụng TCVN 8695-1 (ISO/IEC 20000 1), bao gồm các tham chiếu đến các phần khác của ISO/IEC 20000 và các tiêu chuẩn liên quan khác.

Hình 1 minh họa một SMS với nội dung các Điều của TCVN 8695-1 (ISO/IEC 20000-1). Tiêu chuẩn này không đại diện cho một hệ thống phân cấp cấu trúc, trình tự hoặc mức quyền hạn.

Hình 1 - Hệ thống quản lý dịch vụ

Cấu trúc các Điều nhằm cung cấp một bản trình bày mạch lạc về các yêu cầu. Mỗi tổ chức có thể chọn cách kết hợp các yêu cầu vào các quá trình. Mối quan hệ giữa mỗi tổ chức với khách hàng, người dùng và các bên quan tâm khác của tổ chức ảnh hưởng đến cách thức triển khai các quá trình. Tuy nhiên, SMS do một tổ chức thiết kế không thể loại trừ bất kỳ yêu cầu nào được quy định trong TCVN 8695-1 (ISO/IEC 20000-1).

Thuật ngữ 'dịch vụ' như được sử dụng trong tiêu chuẩn này đề cập đến các dịch vụ trong phạm vi của SMS. Thuật ngữ 'tổ chức' được sử dụng trong tiêu chuẩn này đề cập đến tổ chức trong phạm vi của SMS. Tổ chức trong phạm vi của SMS có thể là một bộ phận của tổ chức lớn hơn, ví dụ như bộ phận công nghệ thông tin của một tập đoàn lớn. Tổ chức quản lý và bàn giao dịch vụ cho khách hàng và cũng có thể được gọi là nhà cung cấp dịch vụ. Bất kỳ việc sử dụng thuật ngữ 'dịch vụ' hoặc 'tổ chức' nào với mục đích khác đều được phân biệt rõ ràng trong tiêu chuẩn này. Thuật ngữ 'được cung cấp' được sử dụng trong tiêu chuẩn này, có thể được hiểu là tất cả các hoạt động trong vòng đời của dịch vụ được thực hiện bên cạnh các hoạt động vận hành hàng ngày. Các hoạt động vòng đời dịch vụ bao gồm hoạch định, thiết kế, chuyển tiếp và cải tiến.

1.2  Áp dụng

Hướng dẫn trong tiêu chuẩn này là khái quát và nhằm áp dụng cho tất cả các tổ chức, bất kể loại hình hoặc quy mô của tổ chức hay bản chất của các dịch vụ được cung cấp.

Nhà cung cấp dịch vụ chịu trách nhiệm về SMS và do đó không thể yêu cầu một bên khác thực hiện các yêu cầu của Điều 4 và 5, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018). Ví dụ, tổ chức không thể yêu cầu một bên khác đưa ra lãnh đạo cao nhất và chứng minh cam kết quản lý hoặc để chứng minh biện pháp kiểm soát của các bên tham gia trong vòng đời dịch vụ.

Một số hoạt động trong Điều 4 và 5, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018) có thể được thực hiện bởi một bên khác dưới sự quản lý của tổ chức. Ví dụ: một tổ chức có thể yêu cầu một bên khác tạo kế hoạch quản lý dịch vụ ban đầu làm tài liệu chính cho SMS. Kế hoạch, một khi được tạo ra và thống nhất, là trách nhiệm trực tiếp của tổ chức và được duy trì. Trong những ví dụ này, tổ chức đang sử dụng các bên khác cho các hoạt động ngắn hạn cụ thể. Tổ chức có trách nhiệm giải trình, trách nhiệm và quyền hạn đối với SMS. Do đó, tổ chức có thể đưa bằng chứng chứng minh về việc đáp ứng tất cả các yêu cầu của Điều 4 và 5, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018).

Đối với các Điều từ 6 đến 10, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), tổ chức có thể đưa ra bằng chứng về việc tự đáp ứng tất cả các yêu cầu. Ngoài ra, tổ chức có thể đưa ra bằng chứng về việc duy trì trách nhiệm giải trình đối với các yêu cầu khi các bên khác tham gia vào việc đáp ứng các yêu cầu trong các Điều 6 đến 10, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018). Việc kiểm soát các bên khác tham gia trong vòng đời dịch vụ có thể được chứng minh bởi tổ chức (xem 8.2.3). Ví dụ, tổ chức có thể đưa ra bằng chứng chứng minh về các biện pháp kiểm soát cho một bên khác đang cung cấp các cấu phần dịch vụ hạ tầng hoặc vận hành quầy dịch vụ (service desk) bao gồm quá trình quản lý sự cố.

Tổ chức không thể chứng minh sự phù hợp với các yêu cầu trong TCVN 8695-1 (ISO/IEC 20000-1) nếu các bên khác được sử dụng để cung cấp hoặc vận hành tất cả các dịch vụ, cấu phần dịch vụ hoặc quá trình trong phạm vi của SMS. Tuy nhiên, nếu các bên khác chỉ cung cấp hoặc vận hành một số dịch vụ, cấu phần dịch vụ hoặc quá trình, thông thường tổ chức có thể đưa ra bằng chứng về việc đáp ứng các yêu cầu được quy định trong tiêu chuẩn TCVN 8695-1 (ISO/IEC 20000-1).

Phạm vi của tiêu chuẩn này không bao gồm đặc tả của sản phẩm hoặc công cụ. Tuy nhiên, TCVN 8695-1 (ISO/IEC 20000-1) và tiêu chuẩn này có thể được sử dụng để giúp phát triển hoặc mua các sản phẩm hoặc công cụ hỗ trợ vận hành SMS.

1.3  Cấu trúc

Tiêu chuẩn này tuân theo các điều từ Điều 4 trở đi trong TCVN 8695-1 (ISO/IEC 20000-1), cung cấp ba phần cho mỗi Điều:

a) Các hoạt động được yêu cầu: tóm lược các hoạt động được yêu cầu bởi Điều này trong TCVN 8695-1 (ISO/IEC 20000-1). Lưu ý rằng bản tóm lược này không lặp lại các tuyên bố yêu cầu trong TCVN 8695-1 (ISO/IEC 20000-1) hoặc thêm các yêu cầu mới, mà chỉ mô tả các hoạt động;

b) Giải thích: giải thích về mục đích của Điều và hướng dẫn thực hành về nội dung Điều, bao gồm các ví dụ và khuyến nghị về cách thực hiện các yêu cầu của tiêu chuẩn TCVN 8695-1 (ISO/IEC 20000-1). Khi có liên quan, nó đề cập đến các phần khác của ISO/IEC 20000 và các tiêu chuẩn liên quan khác;

c) Thông tin khác: hướng dẫn về vai trò, trách nhiệm và thông tin tư liệu hóa hỗ trợ triển khai SMS. Thông tin liên quan khác cũng có thể được đưa vào.

2  Tài liệu viện dẫn

Các tài liệu viện dẫn dưới đây là cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu không ghi năm công bố thi áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).

TCVN 8695-1 (ISO/IEC 20000-1), Công nghệ thông tin - Quản lý dịch vụ - Phần 1: Yêu cầu hệ thống quản lý dịch vụ;

ISO/IEC 20000-10, Information technology - Service management - Part 10: Concepts and vocabulary (Công nghệ thông tin - Quản lý dịch vụ - Phần 10: Khái niệm và từ vựng).

3  Các thuật ngữ và định nghĩa

Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa trong tiêu chuẩn ISO/IEC 20000-10.

4  Bối cảnh tổ chức

4.1  Hiểu tổ chức và bối cảnh tổ chức

4.1.1  Các hoạt động được yêu cầu

Tổ chức xác định các vấn đề nội bộ và bên ngoài liên quan đến mục đích và ảnh hưởng đến khả năng đạt được các kết quả dự kiến của SMS.

4.1.2  Giải thích

Mục đích của hoạt động được yêu cầu này là thiết lập bối cảnh bằng cách xác định những vấn đề có liên quan đến mục đích của tổ chức và ảnh hưởng đến khả năng đạt được các kết quả dự kiến của SMS. Những kết quả này bao gồm việc cung cấp giá trị cho khách hàng. Các vấn đề có thể khác nhau, ví dụ: nội bộ hay bên ngoài, tích cực hay tiêu cực. Tất cả các vấn đề được thực hiện cùng nhau cung cấp bối cảnh cơ bản trong đó tổ chức thiết lập SMS.

CHÚ THÍCH Từ 'vấn đề' trong ngữ cảnh này có thể là các yếu tố hoặc thuộc tính có tác động tích cực hoặc tiêu cực. Đây là những chủ để, yếu tố hoặc thuộc tính quan trọng đối với tổ chức trong bối cảnh khả năng bàn giao dịch vụ với chất lượng đã được thỏa thuận cho khách hàng.

Để triển khai SMS thành công, tổ chức xác định và tư liệu hóa bối cảnh nội bộ và bên ngoài. Bối cảnh bao gồm bản chất của tổ chức, nhu cầu và kỳ vọng của các bên quan tâm khác có liên quan đến SMS và phạm vi của chính SMS. Dựa trên sự hiểu biết về những vấn đề này, SMS có thể được thiết lập.

Ngay từ giai đoạn hoạch định, tổ chức nên thiết lập cách áp dụng TCVN 8695-1 (ISO/IEC 20000-1) cho bối cảnh của tổ chức, để có thể tư liệu hóa phạm vi ban đầu của SMS. Việc không xác định được bối cảnh, các bên quan tâm và phạm vi có thể dẫn đến SMS không thành công hoặc không hiệu quả.

Vì các vấn đề nội bộ và bên ngoài có thể thay đổi nên tổ chức có thể xem xét bối cảnh theo các khoảng thời gian đã hoạch định và thông qua xem xét của sự lãnh đạo.

VÍ DỤ Các vấn đề nội bộ có thể bao gồm các chính sách, nguồn lực, khả năng, con người, kỹ năng và kiến thức, cơ cấu tổ chức, quản trị, văn hóa, nhu cầu của khách hàng nội bộ và tài chính. Các vấn đề bên ngoài có thể bao gồm ảnh hưởng của thị trường, chính trị, kinh tế và môi trường, cạnh tranh, luật pháp và quy định, nhu cầu của khách hàng ngoài và khả năng xảy ra các sự kiện có thể ảnh hưởng đến dịch vụ.

4.1.3  Thông tin khác

Một danh sách các vấn đề nội bộ và bên ngoài ảnh hưởng đến SMS được phát triển và phải được tư liệu hóa.

Việc thiết lập bối cảnh của tổ chức được hoàn thành ở cấp lãnh đạo cao nhất, những người có thể có sự hỗ trợ của các nhà phân tích kỹ thuật và kinh doanh.

4.2  Hiểu các nhu cầu và kỳ vọng của các bên quan tâm

4.2.1  Các hoạt động được yêu cầu

Tổ chức xác định các bên quan tâm có liên quan đến SMS và các dịch vụ cũng như các yêu cầu.

4.2.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để đảm bảo rằng tổ chức xác định các yêu cầu của các bên quan tâm có liên quan để hỗ trợ SMS bàn giao dịch vụ. Bên quan tâm là một người hoặc một nhóm có thể ảnh hưởng hoặc có thể chịu ảnh hưởng bởi một quyết định hoặc vận hành liên quan đến SMS. Các bên quan tâm có thể là nội bộ hoặc bên ngoài tổ chức. Một bên quan tâm cũng có thể được gọi là một bên liên quan.

VÍ DỤ  Các bên quan tâm có thể bao gồm khách hàng và đại diện khách hàng, giám đốc điều hành cấp cao, đại diện quản lý, quản lý tài khoản, nhân sự, các chức năng hỗ trợ trong tổ chức (ví dụ, hỗ trợ công nghệ, nguồn nhân lực, cơ sở vật chất, pháp lý, tuyển dụng, mua sắm), bên cung ứng, đối tác, cơ quan quản lý, chuyên gia đánh giá, các hiệp hội thương mại và nghề nghiệp, và các đối thủ cạnh tranh.

Tổ chức xác định các bên quan tâm và sự liên quan đối với việc đạt được các mục tiêu quản lý dịch vụ hoặc đối với sự bàn giao dịch vụ, bao gồm các yêu cầu đối với SMS hoặc dịch vụ. Một bên quan tâm có thể ảnh hưởng đến kết quả thực hiện và tính hiệu quả của SMS và các dịch vụ, ảnh hưởng đến thị trường hoặc tạo ra và giảm thiểu rủi ro.

Yêu cầu của các bên quan tâm có thể bao gồm:

a) các yêu cầu dịch vụ như mục tiêu mức dịch vụ, năng lực, kết quả thực hiện, yêu cầu mức dịch vụ, tính liên tục của dịch vụ, an ninh thông tin hoặc các yêu cầu tính sẵn sàng;

b) các yêu cầu pháp lý và quy định do các cơ quan có quyền hạn bên ngoài áp đặt, chẳng hạn như luật và quy định của quốc gia hoặc khu vực;

c) nghĩa vụ tuân thủ hợp đồng với đối tác, khách hàng hoặc bên cung ứng.

4.2.3  Thông tin khác

Tổ chức tư liệu hóa danh sách các bên quan tâm với các mối quan tâm cụ thể và yêu cầu đối với SMS và các dịch vụ.

Việc xác định các bên quan tâm được hoàn thành ở cấp lãnh đạo cao nhất, những người có thể có sự hỗ trợ của các nhà phân tích kỹ thuật và kinh doanh.

4.3  Xác định phạm vi hệ thống quản lý dịch vụ

4.3.1  Các hoạt động được yêu cầu

Tổ chức xác định ranh giới và khả năng áp dụng của SMS để thiết lập phạm vi.

4.3.2  Giải thích

Mục đích của hoạt động được yêu cầu này là sử dụng thông tin thu thập được về các vấn đề và yêu cầu của các bên quan tâm để xác định chính xác bộ phận nào của tổ chức và dịch vụ nào được đưa vào SMS. Do đó, thiết lập phạm vi là hoạt động then chốt quyết định nền tảng cần thiết cho tất cả các hoạt động khác trong quá trình triển khai SMS.

Tổ chức tính đến đầu vào sau đây khi tư liệu hóa phạm vi của SMS:

a) các vấn đề nội bộ và bên ngoài;

b) nhu cầu và kỳ vọng của các bên quan tâm nội bộ và bên ngoài;

c) những dịch vụ hoặc loại dịch vụ nào được cung cấp cho khách hàng, ví dụ: một dịch vụ, nhóm dịch vụ hoặc tất cả các dịch vụ, dịch vụ công nghệ thông tin, quản lý cơ sở vật chất, gia công quá trình kinh doanh, dịch vụ viễn thông, dịch vụ tài chính, dịch vụ bán lẻ, dịch vụ du lịch, dịch vụ đám mây, dịch vụ tiện ích;

d) số lượng và loại khách hàng, ví dụ: một khách hàng, một khu vực khách hàng cụ thể, khách hàng ngoài hoặc khách hàng nội bộ;

e) các địa điểm các dịch vụ được cung cấp.

Các dịch vụ được xem xét tại c) có thể là tất cả hoặc một số dịch vụ được thỏa thuận thuộc phạm vi của SMS. Các dịch vụ trong phạm vi của SMS có thể là tất cả hoặc một số dịch vụ do tổ chức cung cấp. Các dịch vụ trong phạm vi của SMS có thể được liệt kê riêng lẻ hoặc được nhóm lại. Bao gồm tên của tổ chức quản lý và bàn giao dịch vụ; tuy nhiên, tuyên bố phạm vi không được bao gồm tên của các bên khác góp phần vào sự bàn giao dịch vụ, chẳng hạn như các đối tác thuê ngoài.

4.3.3  Thông tin khác

Tổ chức tư liệu hóa một tuyên bố phạm vi SMS, theo hướng dẫn được cung cấp trong TCVN 8695-3 (ISO/IEC 20000-3).

Xác định một tuyên bố phạm vi SMS được hoàn thành ở cấp lãnh đạo cao nhất; các chuyên gia về chủ đề như các nhà phân tích kỹ thuật và kinh doanh có thể hỗ trợ.

4.4  Hệ thống quản lý dịch vụ

4.4.1  Các hoạt động được yêu cầu

Tổ chức thiết lập, thực hiện, duy trì và cải tiến liên tục SMS.

4.4.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để đảm bảo rằng tất cả các yếu tố cần thiết được tập hợp lại để thiết lập, thực hiện, duy trì và liên tục cải thiện SMS.

Ngay khi bối cảnh, các bên quan tâm và các yêu cầu, và phạm vi được thỏa thuận, tổ chức quyết định các yêu cầu trong TCVN 8695-1 (ISO/IEC 20000-1) phải được thực hiện như các quá trình. Ví dụ, các quá trình trong SMS phản ánh chính xác các Điều trong TCVN 8695-1 (ISO/IEC 20000-1) hoặc được kết hợp, phân tách hoặc đặt tên theo một cách khác không?

Để đạt được giá trị cao nhất từ các quá trình, điều cần thiết là giữ cho các quá trình phổ biến. Một cách tiếp cận để đánh giá quá trình thường xuyên có lợi cho tổ chức. Khi các quá trình được triển khai và thực hiện, các đánh giá thường xuyên bao gồm đánh giá kết quả thực hiện để tối ưu hóa kết quả quá trình.

Các kế hoạch và nguyện vọng của tổ chức có thể được xem xét khi thiết lập và thực hiện SMS để bảo trì và cải tiến liên tục có thể được thực hiện hiệu quả. Xem Điều 6 để biết thêm thông tin.

4.4.3  Thông tin khác

Tổ chức tư liệu hóa các SMS để đáp ứng các yêu cầu của 7.5, TCVN 8695-1:2023 (ISO/IEC 20000- 1:2018).

Lãnh đạo cao nhất cung cấp cơ sở và quyền hạn để tiến hành thiết lập SMS. Trách nhiệm thiết lập SMS sau đó có thể ủy quyền cho nhân viên được ủy quyền trong tổ chức.

5  Sự lãnh đạo

5.1  Sự lãnh đạo và cam kết

5.1.1  Các hoạt động được yêu cầu

Lãnh đạo cao nhất thể hiện khả năng lãnh đạo và cam kết với sự kỳ vọng đối với SMS.

5.1.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để đảm bảo rằng lãnh đạo cao nhất thể hiện khả năng lãnh đạo và cam kết hỗ trợ việc thiết lập và vận hành SMS. Lãnh đạo cao nhất được định nghĩa là “người hoặc nhóm người chỉ đạo và kiểm soát một tổ chức ở cấp cao nhất”. Lãnh đạo cao nhất, tức là mức độ quản lý trong tổ chức có quyền hạn và khả năng bắt đầu phát triển SMS, cũng cung cấp các nguồn lực cần thiết cho sự hỗ trợ liên tục của SMS và chịu trách nhiệm về việc đạt được các mục tiêu và kết quả dự định của SMS và các dịch vụ. Mức độ tham gia và cam kết đúng đắn là điều cần thiết đề thực hiện thành công SMS để hỗ trợ các dịch vụ mà nó cung cấp cho khách hàng.

Lãnh đạo cao nhất có nghĩa vụ đảm bảo rằng SMS và các dịch vụ được xem xét thường xuyên. Thông tin thêm về đánh giá quản lý trong 9.3.

Lãnh đạo cao nhất thiết lập chính sách quản lý dịch vụ, cũng như các mục tiêu quản lý dịch vụ, mô tả tầm nhìn cấp cao và các mục tiêu cho quản lý dịch vụ trong tổ chức. Lãnh đạo cao nhất thực hiện theo cách phù hợp với các mục tiêu kinh doanh tổng thể và định hướng chiến lược của tổ chức, vì chính sách và mục tiêu để hỗ trợ kinh doanh của tổ chức.

Dựa trên chính sách và mục tiêu quản lý dịch vụ, lãnh đạo cao nhất chỉ đạo việc phát triển và duy trì kế hoạch quản lý dịch vụ, đây là tài liệu bao quát cung cấp tóm lược và mô tả ý định của SMS cho tổ chức.

Lãnh đạo cao nhất chỉ định các mức quyền hạn, phù hợp với quy mô và sự phức tạp của tổ chức và giao trách nhiệm, để các nhân viên thích hợp được ủy quyền đưa ra quyết định liên quan đến SMS và các dịch vụ.

Lãnh đạo cao nhất xác định những gì cấu thành giá trị cho tổ chức và cho khách hàng. Việc tạo ra giá trị từ các dịch vụ bao gồm thực hiện các lợi ích ở cấp độ nguồn lực tối ưu trong khi quản lý rủi ro. Một tài sản, cấu phần dịch vụ và dịch vụ là các ví dụ có thể được coi là giá trị. Về nội bộ, giá trị có thể bao gồm tăng sự hài lòng của nhân viên, giảm chi phí và tăng doanh thu. Theo bên ngoài, giá trị được xác định bởi kết quả và lợi ích dịch vụ mà khách hàng nhận thấy từ việc sử dụng các dịch vụ được cung cấp.

Lãnh đạo cao nhất xem xét mối quan hệ của SMS với thành tích kết quả kinh doanh. Lãnh đạo cao nhất đảm bảo rằng các yêu cầu và mục tiêu quản lý dịch vụ phù hợp với kết quả và quá trình kinh doanh của tổ chức. Cách tiếp cận này ngăn chặn xung đột giữa các quá trình quản lý dịch vụ và quá trình kinh doanh được hỗ trợ bởi SMS.

Lãnh đạo cao nhất đảm bảo rằng SMS được tích hợp vào các quá trình kinh doanh của tổ chức. Ví dụ, các yêu cầu SMS không được dán nhãn và được thực hiện như sự “bổ trợ” cho các quá trình kinh doanh thông thường nhưng là một phần của các quá trình kinh doanh thông thường. Theo cách này, có nhiều sự chắc chắn hơn rằng các yêu cầu sẽ trở thành một phần của kinh doanh như bình thường và sẽ có nhiều khả năng đạt được lợi ích và kết quả kỳ vọng.

Lãnh đạo cao nhất cam kết các nguồn lực để hỗ trợ SMS và các dịch vụ; Các nguồn lực gồm nhân sự, tài chính, kỹ thuật, dịch vụ cho phép và bất kỳ nguồn lực nào khác. Khi cần thiết, lãnh đạo cao nhất hỗ trợ các vai trò quản lý khác để họ có thể có hiệu quả trong vai trò lãnh đạo và đóng góp cho sự thành công của SMS và các dịch vụ.

Lãnh đạo cao nhất trao đổi thông tin với các thành viên của tổ chức về tầm quan trọng của SMS đối với tổ chức như một phương tiện để tăng hiệu lực và hiệu quả. Lãnh đạo cao nhất cũng truyền đạt cho nhân viên tầm quan trọng của SMS để đạt được các mục tiêu quản lý dịch vụ và cung cấp giá trị cho tổ chức và khách hàng. Lãnh đạo cao nhất cũng nên đảm bảo rằng tổ chức thiết lập các vòng phản hồi hiệu quả để cho phép trao đổi thông tin hai chiều và bên lề trên SMS và các dịch vụ.

Lãnh đạo cao nhất tạo điều kiện và thúc đẩy cải tiến liên tục cả SMS và các dịch vụ, với mục đích tăng giá trị do bàn giao dịch vụ cho khách hàng, người dùng cuối và chính tổ chức. Nhân sự cũng đóng góp vào tính hiệu quả của SMS và các dịch vụ, ví dụ thông qua việc xác định các cơ hội để cải thiện để tăng cường tính hiệu quả của SMS và chất lượng của các dịch vụ.

5.1.3  Thông tin khác

Thông tin tư liệu hóa cần thiết cho sự tham gia của lãnh đạo cao nhất bao gồm:

a) Chính sách quản lý dịch vụ;

b) Kế hoạch quản lý dịch vụ;

c) Các mục tiêu quản lý dịch vụ;

d) Hồ sơ về trao đổi thông tin cần thiết.

Lãnh đạo cao nhất có quyền ủy quyền và cung cấp các nguồn lực trong tổ chức. Nếu phạm vi hệ thống quản lý chỉ bao gồm một bộ phận của tổ chức thì lãnh đạo cao nhất sẽ đề cập đến những người chỉ đạo và kiểm soát một bộ phận của tổ chức.

Khuyến nghị rằng mối quan hệ giữa lãnh đạo cao nhất trong bối cảnh TCVN 8695-1 (ISO/IEC 20000-1) và cơ quan giám quản cấp cao nhất, nếu tồn tại trong tổ chức đó, được thực hiện cụ thể.

Cơ quan giám quản này có thể liên quan đến SMS bằng cách:

a) xem xét sự hài hòa của chính sách quản lý dịch vụ và chiến lược của tổ chức;

b) xem xét rằng các mức quyền hạn phù hợp được chỉ định để đưa ra quyết định liên quan đến SMS và các dịch vụ;

c) tiếp nhận và xem xét thông tin theo các khoảng thời gian trong kế hoạch về nội dung và vận hành SMS của tổ chức;

d) tiến hành giám sát hợp lý về việc thực hiện, vận hành và tính hiệu quả của SMS của tổ chức.

Các hoạt động này có thể được thực hiện bởi lãnh đạo cao nhất nếu tổ chức không có cơ quan giám quản riêng biệt.

CHÚ THÍCH  ISO/IEC 38500: 2015 cung cấp hướng dẫn và các nguyên tắc cho việc quản trị về công nghệ thông tin.

5.2  Chính sách

5.2.1  Các hoạt động được yêu cầu

Lãnh đạo cao nhất thiết lập chính sách quản lý dịch vụ.

5.2.2  Giải thích

Mục đích của hoạt động được yêu cầu này là tư liệu hóa ý định cấp cao của SMS trong chính sách quản lý dịch vụ và đưa ra hướng dẫn cho tổ chức liên quan đến quản lý dịch vụ. Chính sách này có sẵn rộng rãi và truyền đạt cho tất cả các nhân viên có liên quan và các bên quan tâm bên ngoài.

Chính sách quản lý dịch vụ dành riêng cho hoàn cảnh và mục tiêu của tổ chức và bao gồm trọng tâm của khách hàng. Chính sách không nên là một tuyên bố chung, áp dụng rộng rãi.

Chính sách đại diện cho chiến lược tổ chức và cam kết cung cấp giá trị cho tổ chức và khách hàng.

Chính sách áp dụng cho phạm vi đã thỏa thuận của SMS và tạo thành nền tảng của các mục tiêu quản lý dịch vụ của tổ chức và kế hoạch quản lý dịch vụ.

Chính sách đưa ra định hướng rõ ràng cho các nhà quản lý và nhân sự của tổ chức.

VÍ DỤ 1  Các dịch vụ được liên kết với các mục tiêu kinh doanh và cả ưu tiên của tổ chức và khách hàng.

VÍ DỤ 2  Thay đổi đối với các quá trình hoặc quá trình được thực hiện thông qua quá trình quản lý thay đổi.

VÍ DỤ 3  Vai trò và trách nhiệm cho các quá trình quản lý dịch vụ được xác định và tư liệu hóa một cách nhất quán và hiệu năng cá nhân được đo lường theo các trách nhiệm đó.

Tổ chức lập cấu trúc chính sách quản lý dịch vụ để tuyên bố cách đặt ra các mục tiêu quản lý dịch vụ của tổ chức (xem 6.2 cho mối quan hệ giữa các mục tiêu và biện pháp). Có thể chứng minh một liên kết giữa chính sách quản lý dịch vụ và các hoạt động để đạt được các mục tiêu quản lý dịch vụ của tổ chức.

Một cam kết cải tiến liên tục của SMS và các dịch vụ là một phần của chính sách.

Tổ chức truyền đạt chính sách quản lý dịch vụ để chính sách đó được hiểu trong tổ chức. Chính sách cũng được cung cấp cho khách hàng và bên cung ứng hoặc các bên quan tâm khác theo yêu cầu.

Khi các hệ thống quản lý khác được sử dụng ngoài SMS (như hệ thống quản lý chất lượng), các chính sách quản lý dịch vụ nên phù hợp với các chính sách liên quan của các hệ thống quản lý khác được tổ chức sử dụng. Tuy nhiên, bất kỳ chính sách quản lý dịch vụ nào cũng phải liên quan đến SMS và các dịch vụ. Điều này giúp tích hợp các hệ thống quản lý khác nhau và cung cấp sự rõ ràng cho nhân viên của tổ chức.

Lãnh đạo cao nhất đảm bảo rằng chính sách quản lý dịch vụ được xem xét trong các khoảng thời gian phù hợp, thường là hàng năm. Đánh giá này được sử dụng để xác định bất kỳ sự thiếu hụt nào và đảm bảo liên tục liên tục với nhu cầu kinh doanh và các ưu tiên của khách hàng.

CHÚ THÍCH  Chính sách cũng có thể được xem xét để đảm bảo căn chỉnh nếu các mục tiêu quản lý dịch vụ đã thay đổi.

5.2.3  Thông tin khác

Chính sách quản lý dịch vụ có sẵn dưới dạng thông tin tư liệu hóa.

Lãnh đạo cao nhất là bên có quyền hạn thiết lập chính sách quản lý dịch vụ với đầu vào từ các nhân viên có liên quan trong tổ chức.

Cơ quan giám quản, nếu tồn tại, nên tham gia vào SMS bằng cách phê duyệt chính sách quản lý dịch vụ của tổ chức.

5.3  Vai trò, trách nhiệm và quyền hạn của tổ chức

5.3.1  Các hoạt động được yêu cầu

Lãnh đạo cao nhất đảm bảo rằng trách nhiệm và quyền hạn cho các vai trò liên quan đến quản lý dịch vụ được giao và truyền đạt trong toàn tổ chức.

5.3.2  Giải thích

Mục đích của hoạt động được yêu cầu này là xác định rõ ràng và thể hiện trách nhiệm và quyền hạn cho các vai trò khác nhau góp phần vào sự thành công của SMS và các dịch vụ.

Lãnh đạo cao nhất xác định các vai trò cần thiết cho tất cả các khía cạnh của SMS, chẳng hạn như thiết kế, thực hiện, xem xét và cải tiến. Các trách nhiệm cụ thể và cơ quan chức năng được giao cho nhân viên chịu trách nhiệm đưa ra quyết định liên quan đến SMS và các dịch vụ, để SMS phù hợp với các yêu cầu của TCVN 8695-1 (ISO/IEC 20000-1). Khi tất cả các vai trò cần thiết được xác định, trách nhiệm giải trình được xác định cho từng vai trò, cùng với các kết quả cụ thể dự kiến từ chúng. Các vai trò được trao quyền với quyền hạn cần thiết để đưa ra quyết định dự kiến bởi vai trò. Những vai trò, trách nhiệm và quyền hạn này được truyền đạt rõ ràng trong tổ chức.

Tùy thuộc vào quy mô và độ phức tạp của tổ chức, một cá nhân có thể có một số vai trò hoặc một vai trò có thể được thực hiện bởi nhiều cá nhân. Phân bổ vai trò như vậy khống nhằm hạn chế tính linh hoạt trong việc chuyển nhượng các nhiệm vụ và trách nhiệm giải trình.

Dựa trên các mục tiêu quản lý dịch vụ và các yêu cầu dịch vụ, kết quả thực hiện của SMS và các dịch vụ thường xuyên được báo cáo cho lãnh đạo cao nhất và được xem xét để phù hợp với chính sách quản lý dịch vụ và để xác định các cơ hội cải tiến.

5.3.3  Thông tin khác

Vai trò, trách nhiệm và quyền hạn của các nhân viên khác nhau liên quan đến việc thiết lập và quản lý SMS và các dịch vụ được tư liệu hóa và truyền đạt rộng rãi trong tổ chức và cho các bên quan tâm khác.

Trách nhiệm và trách nhiệm giải trình đối với từng dịch vụ và quá trình SMS (hoặc nhóm dịch vụ hoặc quá trình) nên được phân định rõ ràng. Trách nhiệm và quyền hạn cho mỗi quá trình quản lý dịch vụ trong SMS có thể bao gồm:

a) vai trò chủ sở hữu quá trình, chịu trách nhiệm thiết kế quá trình, đảm bảo tuân thủ quá trình, và đo lường và cải tiến quá trình;

b) vai trò chủ sở hữu dịch vụ (có thể là thành viên của lãnh đạo cao nhất hoặc người quản lý vận hành), chịu trách nhiệm về dịch vụ trong suốt vòng đời dịch vụ, bao gồm hoạch định, thiết kế, chuyển tiếp, giao hàng, cải tiến và nghỉ hưu;

c) vai trò người quản lý quá trình, chịu trách nhiệm cho vận hành quá trình và quản lý các nguồn lực quản lý quá trình;

d) nhân viên thực hiện các thủ tục của quá trình.

Vai trò với trách nhiệm và quyền hạn để đảm bảo sự phù hợp với các yêu cầu của TCVN 8695-1 (ISO/ IEC 2000-1) và báo cáo cho lãnh đạo cao nhất có thể được gọi là đại diện quản lý. Ví dụ về vai trò bổ sung là người quản lý quầy dịch vụ (service desk), quản lý hạ tầng, nhân viên an ninh thông tin, quản lý dịch vụ liên tục.

Thông tin tư liệu hóa về vai trò, trách nhiệm và quyền hạn phác thảo rõ ràng các chức năng khác nhau hỗ trợ SMS và các dịch vụ cũng như trách nhiệm giải trình và chính quyền. Các chức năng, trách nhiệm giải trình và chính quyền này được xác định bởi lãnh đạo cao nhất. Lưu ý rằng 5.3, TCVN 8695- 1:2023 (ISO/IEC 20000-1:2018) yêu cầu lãnh đạo cao nhất để giao quyền và trách nhiệm cho những người báo cáo về kết quả thực hiện của SMS và các dịch vụ cho lãnh đạo cao nhất.

6  Hoạch định

6.1  Hành động để giải quyết rủi ro và cơ hội

6.1.1  Các hoạt động được yêu cầu

Các rủi ro và cơ hội được xác định bằng đánh giá rủi ro để đảm bảo rằng SMS có thể đạt được kết quả dự kiến và liên tục được cải thiện. Một phương pháp quản lý rủi ro để đối phó với rủi ro được phát triển và các hành động để xử lý rủi ro được xác định và lên kế hoạch.

6.1.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để xác định và giải quyết các rủi ro cũng như cơ hội đối với SMS và các dịch vụ. Các vấn đề nội bộ và bên ngoài được xác định như mô tả trong 4.1 và tính đến các yêu cầu của các bên quan tâm như mô tả trong 4.2 để xác định rủi ro và cơ hội ảnh hưởng đến SMS. Đánh giá này tập trung vào:

a) xác định các rủi ro có thể ảnh hưởng đến việc đạt được các kết quả của SMS;

b) ngăn ngừa hoặc giảm tác động không mong muốn đối với SMS và các dịch vụ do những rủi ro này gây ra;

c) cung cấp đầu vào để cải tiến liên tục SMS và các dịch vụ.

Là một phần của quá trình quản lý rủi ro, các rủi ro khác nhau được xác định, liên quan đến:

- bản thân tổ chức, chẳng hạn như cấu trúc và văn hóa của tổ chức, cũng như các điều kiện thị trường và cạnh tranh;

- khả năng không thể đáp ứng các yêu cầu dịch vụ, chẳng hạn như do điều kiện tự nhiên, các vấn đề về chuỗi cung ứng hoặc các vấn đề tài chính;

- sự tham gia của các bên khác, chẳng hạn như trong các tình huống thuê ngoài khi bên cung ứng cung cấp hoặc vận hành (một phần) dịch vụ.

Tác động và khả năng xảy ra của những rủi ro này được xác định khi chúng liên quan đến SMS, dịch vụ và khách hàng. Dựa trên tiêu chí chấp nhận rủi ro của tổ chức, là chức năng của mức chấp nhận rủi ro của tổ chức, tổ chức xác định phương pháp xử lý những rủi ro này. Quyết định này được thực hiện với một số quy tắc hoặc để đáp ứng với những thay đổi trong bối cảnh. Ví dụ về tiêu chí chấp nhận rủi ro là những rủi ro có điểm thấp hơn ngưỡng chấp nhận được hoặc rủi ro cao hơn ngưỡng nhưng được lãnh đạo cao nhất chấp nhận. Quản lý rủi ro trong SMS phải được liên kết chặt chẽ với khung quản lý rủi ro của tổ chức để đảm bảo xác định và xử lý rủi ro nhất quán.

Các hành động xử lý rủi ro có thể bao gồm:

a) Tránh rủi ro bằng cách thực hiện các biện pháp để tránh rủi ro, chẳng hạn bằng cách chỉ cho phép nhân viên được ủy quyền tải phần mềm xuống tất cả các thiết bị di động thuộc sở hữu của công ty;

b) Coi rủi ro là cơ hội, trong trường hợp dự kiến sẽ có tác động tích cực, chẳng hạn đón nhận tác động tích cực của việc tăng doanh thu khi nhu cầu về một dịch vụ tăng đột biến;

c) Giảm rủi ro bằng cách loại bỏ nguồn gốc, thay đổi khả năng xảy ra rủi ro hoặc giảm tác động của rủi ro, ví dụ bằng cách vá lỗ hổng trên tài sản dịch vụ;

d) Chuyển giao hoặc chia sẻ rủi ro cho bên khác mà bên đó sẵn sàng chấp nhận, ví dụ khi chính bên khác quản lý một phần dịch vụ tạo thành rủi ro;

e) Chấp nhận rủi ro bằng cách đánh giá hậu quả và xác định rằng rủi ro đó có thể chấp nhận; đây là một quyết định lãnh đạo cao nhất nên được tư liệu hóa để tham khảo trong tương lai.

Rủi ro cũng được xem xét cụ thể như đầu vào cho các quá trình an ninh thông tin và tính liên tục của dịch vụ. Thông tin thêm về các yêu cầu rủi ro trong các quá trình này có thể tìm thấy trong 8.7.2 và 8.7.3.

CHÚ THÍCH: ISO 31000 chứa khung chung mở rộng cho quản lý rủi ro, bao gồm các nguyên tắc và phương án xử lý.

6.1.3  Thông tin khác

Thông tin tư liệu hóa liên quan đến rủi ro có thể bao gồm cách tiếp cận được thực hiện để quản lý rủi ro và đăng ký rủi ro.

Lãnh đạo cao nhất hoặc người được ủy quyền là những người chịu trách nhiệm chính về rủi ro. Một nhà quản lý rủi ro có thể được chỉ định để sự lãnh đạo quá trình quản lý rủi ro.

6.2  Các mục tiêu quản lý dịch vụ và hoạch định để đạt được mục tiêu

6.2.1  Các hoạt động được yêu cầu

Các mục tiêu quản lý dịch vụ được xác định phù hợp với các mục tiêu kinh doanh và chính sách quản lý dịch vụ để SMS và các dịch vụ tập trung vào việc đáp ứng nhu cầu kinh doanh và yêu cầu dịch vụ.

6.2.2  Giải thích

Mục đích của hoạt động được yêu cầu này là xác định và tư liệu hóa các mục tiêu có thể đo lường nhằm cung cấp trọng tâm cho việc vận hành SMS và các dịch vụ đã xác định của SMS nhằm đáp ứng nhu cầu kinh doanh của tổ chức. Các mục tiêu quản lý dịch vụ được xác định này có thể đạt được trong một thời gian nhất định phù hợp với chính sách quản lý dịch vụ. Tổ chức xem xét các mục tiêu theo định kỳ để đảm bảo tính phù hợp và nhu cầu cập nhật các mục tiêu dựa trên những thay đổi đối với nhu cầu kinh doanh, dịch vụ hoặc chính sách quản lý dịch vụ.

Sau khi được xác định, các mục tiêu được truyền đạt tới tất cả các bên liên quan và tiến độ được theo dõi trong việc đạt được các mục tiêu.

Khi thiết lập các mục tiêu quản lý dịch vụ, tổ chức tìm cách hiểu các yêu cầu và mục tiêu của doanh nghiệp, khách hàng và các bên quan tâm khác.

Các tổ chức xác định các mục tiêu quản lý dịch vụ sao cho có thể đo lường chính xác các thành tích đạt được so với các mục tiêu.

Các kế hoạch của tổ chức để đạt được các mục tiêu quản lý dịch vụ bao gồm các quá trình, nguồn lực, vận hành và trách nhiệm giải trình cần thiết để đạt được các mục tiêu và đánh giá kết quả. Các mốc thời gian được xác định để đạt được các mục tiêu.

6.2.3  Thông tin khác

Các mục tiêu quản lý dịch vụ và các kế hoạch để đạt được các mục tiêu được tư liệu hóa. Chúng thường được bao gồm trong kế hoạch quản lý dịch vụ.

Lãnh đạo cao nhất chịu trách nhiệm thiết lập các mục tiêu quản lý dịch vụ và hoạch định để đạt được các mục tiêu. Tổ chức xác định các bên khác tham gia vào việc đạt được các mục tiêu quản lý dịch vụ. Các bên này có thể bao gồm nhân sự của tổ chức, bên cung ứng và khách hàng.

Các vai trò khác do lãnh đạo cao nhất chỉ định có thể chịu trách nhiệm đo lường và đạt được các mục tiêu quản lý dịch vụ.

6.3  Hoạch định hệ thống quản lý dịch vụ

6.3.1  Các hoạt động được yêu cầu

Tổ chức tạo, thực hiện và duy trì kế hoạch quản lý dịch vụ phản ánh chính sách quản lý dịch vụ, mục tiêu và yêu cầu dịch vụ.

6.3.2  Giải thích

Mục đích của hoạt động được yêu cầu này là hoạch định SMS và mô tả thiết kế trong kế hoạch quản lý dịch vụ hỗ trợ hiểu biết về SMS để hỗ trợ sự bàn giao dịch vụ.

Kế hoạch này phù hợp với chính sách quản lý dịch vụ và cung cấp tổng quan về cách SMS được triển khai trong tổ chức. Đầu vào chính cho kế hoạch quản lý dịch vụ (ngoài các chính sách quản lý dịch vụ) bao gồm các mục tiêu quản lý dịch vụ, chiến lược kinh doanh và các yêu cầu dịch vụ.

Tổ chức truyền đạt kế hoạch cho tất cả các bên quan tâm.

Kế hoạch được xem xét thường xuyên, ít nhất là hàng năm và, khi cần, được cập nhật để đáp ứng nhu cầu kinh doanh thay đổi, yêu cầu của khách hàng hoặc ưu tiên của tổ chức.

Nội dung của kế hoạch quản lý dịch vụ bao gồm hoặc đề cập đến những nội dung sau:

a) phạm vi dịch vụ, ví dụ: tên của các dịch vụ hoặc nhóm dịch vụ trong phạm vi của SMS;

b) các hạn chế đã biết có thể ảnh hưởng đến SMS và các dịch vụ, ví dụ: nhân sự của tổ chức có khả năng hạn chế để hỗ trợ các dịch vụ ngoài giờ làm việc;

c) các nghĩa vụ và cách áp dụng các nghĩa vụ này đối với SMS và các chính sách. Các nghĩa vụ này rất quan trọng để thực hiện đúng và luôn cập nhật vì chúng sẽ ảnh hưởng đến thiết kế của SMS và các dịch vụ, đồng thời được đề cập bởi quản lý tài sản (TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), 8.2.5) và quản lý an ninh thông tin (TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), 8.7.3). Các nghĩa vụ bao gồm:

- chính sách của tổ chức, ví dụ: chính sách tài chính, chính sách kiến trúc kỹ thuật;

- các tiêu chuẩn áp dụng khác, ví dụ: ISO/IEC 27001, tiêu chuẩn không phải ISO;

- các yêu cầu pháp lý và chế định, ví dụ: luật bảo vệ dữ liệu, quy định của ngành;

- các yêu cầu hợp đồng điển hình hoặc cụ thể, ví dụ: hình phạt dịch vụ.

d) các cơ quan và trách nhiệm giải trình được xác định là cần thiết để hỗ trợ SMS và các dịch vụ;

e) các nguồn lực, bao gồm nguồn nhân lực, tài chính, kỹ thuật và thông tin, được yêu cầu để hỗ trợ SMS và các dịch vụ;

f) các mối quan hệ làm việc với các bên khác có liên quan đến vòng đời dịch vụ, chẳng hạn như các bên cung ứng nội bộ hoặc bên cung ứng ngoài, bao gồm cả cách quản lý các mối quan hệ này;

g) công nghệ được sử dụng để hỗ trợ SMS và các dịch vụ, chẳng hạn như công nghệ trao đổi thông tin, hệ thống, công cụ quản lý dịch vụ và các công nghệ khác;

h) cách tiếp cận để đo lường tính hiệu quả của SMS và các dịch vụ cũng như kiểm tra SMS, báo cáo về thành tích của dịch vụ và cải tiến SMS và các dịch vụ;

i) các mục tiêu quản lý dịch vụ.

Các rủi ro và cơ hội có thể khiến kế hoạch bị điều chỉnh được xác định, đánh giá và quản lý cả ban đầu và là một phần của việc cải tiến liên tục SMS và các dịch vụ.

Kế hoạch cũng được thiết kế để giải thích cách thức đạt được các mục tiêu và yêu cầu dịch vụ đã thỏa thuận. Nếu chúng không được đáp ứng, kế hoạch cũng bao gồm cách thực hiện các hành động khắc phục để đạt được các mục tiêu và cải thiện SMS và các dịch vụ.

Các hoạt động trong kế hoạch quản lý dịch vụ được tích hợp với các hoạt động hoạch định khác để bàn giao dịch vụ và đạt được các mục tiêu quản lý dịch vụ.

6.3.3  Thông tin khác

Tổ chức tư liệu hóa kế hoạch quản lý dịch vụ, bao gồm các tham chiếu đến các tài liệu liên quan khác.

Lãnh đạo cao nhất chịu trách nhiệm về việc tạo và duy trì kế hoạch quản lý dịch vụ. Trách nhiệm giải trình được trao cho nhân sự phù hợp trong tổ chức để tạo, xem xét và duy trì kế hoạch quản lý dịch vụ với sự cộng tác của các bên khác và các vai trò cần tham gia.

7  Hỗ trợ hệ thống quản lý dịch vụ

7.1  Nguồn lực

7.1.1  Các hoạt động được yêu cầu

Tổ chức xác định những nguồn lực nào là cần thiết và cung cấp chúng để thiết lập, triển khai, duy trì và cải thiện SMS cũng như các dịch vụ.

7.1.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để đảm bảo có đủ nguồn lực để vận hành SMS và bàn giao dịch vụ.

Các nguồn lực cơ bản để thực hiện bất kỳ vận hành dịch vụ nào có thể bao gồm:

a) nguồn nhân lực, ví dụ lãnh đạo cao nhất, nhân sự tham gia quản lý SMS và các dịch vụ cũng như những người thiết kế, triển khai và vận hành SMS;

b) nguồn lực kỹ thuật, ví dụ: Các hệ thống và công cụ công nghệ thông tin để hỗ trợ các quá trình và dịch vụ trong phạm vi của SMS, để thu thập phép đo dịch vụ, báo cáo về kết quả thực hiện và trao đổi thông tin với khách hàng và các bên khác;

c) thông tin, ví dụ: chi tiết về các yêu cầu đã thỏa thuận của khách hàng, mục tiêu quản lý dịch vụ của tổ chức, các thủ tục và chính sách quản lý dịch vụ;

d) nguồn tài chính, bao gồm quỹ cho các dự án và quỹ cho vận hành SMS và bàn giao dịch vụ.

Những cá nhân trong vai trò có quyền hạn cần thiết phê duyệt việc sử dụng nguồn lực.

Mặc dù TCVN 8695-1 (ISO/IEC 20000-1) không yêu cầu bất kỳ công cụ hoặc công nghệ nào, nhưng có thể giúp các hoạt động quản lý dịch vụ hiệu lực và hiệu quả hơn. Ví dụ về các công cụ có thể bao gồm những công cụ theo dõi, đo lường hoặc báo cáo về kết quả thực hiện của dịch vụ hoặc quá trình.

7.1.3  Thông tin khác

Các nguồn lực được xác định cho vận hành SMS được tư liệu hóa hoặc tham chiếu trong kế hoạch quản lý dịch vụ.

Nguồn nhân lực có thể được tư liệu hóa trong tổng quan về nhân sự và số giờ làm việc trong các hệ thống theo dõi thời gian. Khi các mức trách nhiệm và quyền hạn giải trình hoặc trách nhiệm giải trình của từng vai trò đã được xác định, thông tin này sẽ trở thành một cấu phần của SMS. Tư liệu hóa các vai trò và quyền hạn trong một ma trận, ví dụ: RACI (có trách nhiệm giải trình, chịu trách nhiệm, được tư vấn và thông báo), có thể hữu ích. Sau khi thông tin trở thành một cấu phần của SMS, thì thông tin đó phải được đưa vào chu trình xem xét SMS.

Nguồn lực kỹ thuật hiện tại nên được tư liệu hóa dưới dạng thông tin cấu hình. Các yêu cầu về nguồn lực kỹ thuật trong tương lai có thể được xem xét để hoạch định trong tương lai. Nguồn lực thông tin có thể được quản lý bằng hệ thống quản lý thông tin, thư viện, kho lưu trữ, hệ thống quản lý tệp hoặc hệ thống quản lý nội dung. Các yêu cầu về nguồn tài chính hiện tại và tương lai được tư liệu hóa bằng cách sử dụng ngân sách và các dự báo tài chính khác cũng như các báo cáo về thu nhập và chỉ tiêu.

Các hoạt động để xác định nhu cầu thay đổi yêu cầu nguồn lực hoặc mức nguồn lực có thể được hỗ trợ bằng cách lập mô hình, dựa trên các dịch vụ hoặc quá trình tương tự. Thông tin mô hình hóa có thể đến từ nhiều nguồn trong SMS, ví dụ: báo dung lượng, thông tin cấu hình. Việc cung cấp các nguồn lực ở mức đủ để hỗ trợ SMS và các dịch vụ là trách nhiệm giải trình lãnh đạo cao nhất. Việc sử dụng hợp lý và hiệu quả các nguồn lực đó là trách nhiệm giải trình của tất cả các cấp trong một tổ chức.

Các nguồn lực bao gồm lãnh đạo cao nhất và, nếu là riêng biệt, cơ quan giám quản, những người chịu trách nhiệm chung về SMS và các dịch vụ do SMS cung cấp. Yêu cầu nguồn lực này tiếp tục cho vòng đời của SMS và các dịch vụ.

Tổ chức cần hiểu các rủi ro phát sinh từ sự không chắc chắn về vai trò hoặc cá nhân nào có cấp độ và loại trách nhiệm và quyền hạn cụ thể.

Cam kết cung cấp nguồn nhân lực của tổ chức bao gồm việc xác định mỗi vai trò đóng góp gì cho SMS và các dịch vụ. Tổ chức xác định, đồng ý và truyền đạt thông tin này trong nội bộ. Khi có liên quan, tổ chức cũng có thể truyền đạt thông tin này cho các bên khác.

CHÚ THÍCH  Thực tế có thể chấp nhận đối với cá nhân có nhiều vai trò hỗ trợ SMS, đặc biệt là đối với các tổ chức nhỏ hơn, miễn là mọi xung đột giữa các vai trò được xác định và quản lý một cách có thể chấp nhận.

7.2  Năng lực

7.2.1  Các hoạt động được yêu cầu

Tổ chức xác định và tư liệu hóa năng lực của nguồn nhân lực nội bộ và nguồn nhân lực ngoài liên quan đến SMS và các dịch vụ, đồng thời thực hiện các bước để cải thiện năng lực.

7.2.2  Giải thích

Mục đích của hoạt động được yêu cầu này là hoạch định và quản lý khả năng cần thiết để vận hành SMS và bàn giao dịch vụ. Hoạch định bao gồm cả nhu cầu hiện tại và tương lai về năng lực.

Tổ chức xác định năng lực cần thiết cho từng vai trò để hỗ trợ SMS và các dịch vụ. Phân tích này bao gồm giáo dục, đào tạo, kỹ năng và kinh nghiệm tiên quyết. Tổ chức cũng xem xét khối lượng công việc liên quan đến từng vai trò và cách mỗi vai trò có thể thay đổi theo thời gian. Loại trách nhiệm và quyền hạn của một vai trò cũng được xem xét. Vận hành này bao gồm các vai trò của quản lý cấp cao.

Sau đó, tổ chức phân bổ vai trò cho các cá nhân đáp ứng các tiêu chí về năng lực. Quyết định về sự phù hợp của một cá nhân đối với một vai trò có thể dựa trên sự so sánh năng lực được thể hiện và năng lực cần thiết cho vai trò đó. Khi có khoảng cách, tổ chức phải thực hiện các bước đề thu hẹp khoảng cách đó.

Chênh lệch về năng lực có thể phát sinh ở các bên cung ứng nội bộ hoặc bên cung ứng ngoài và có thể rõ ràng, ví dụ: mất quá nhiều thời gian hoặc thiếu hiệu quả trong việc giải quyết các sự cố và vấn đề hoặc hoàn thành các thay đổi. Khi kết quả thực hiện của các bên cung ứng nội bộ hoặc bên cung ứng ngoài chịu ảnh hưởng do thiếu năng lực, tổ chức có được sự đảm bảo từ bên cung ứng rằng sự khác biệt được giải quyết thành công.

Sự chênh lệch có thể được điều chỉnh bằng một số phương pháp, ví dụ: cá nhân được cung cấp giáo dục và đào tạo, hoặc một người có năng lực vượt trội được giao cho những trách nhiệm giải trình khó khăn hơn. Ngoài ra, tổ chức có thể cho phép những kỹ năng hoặc kinh nghiệm còn thiếu có được thông qua các hoạt động quản lý kiến thức, cố vấn hoặc để người đó làm việc với người khác đã có kỹ năng và kinh nghiệm phù hợp. Sau khi thực hiện hành động khắc phục này, tổ chức đánh giá lại năng lực của một hoặc nhiều cá nhân để kiểm tra xem các hành động được thực hiện đã khắc phục sự chênh lệch chưa. Tổ chức cũng có thể phân bổ vai trò cho một bên khác.

Các tổ chức sắp xếp các chỉ số kết quả thực hiện hoặc các lĩnh vực kết quả chính của nhân sự để đạt được các mục tiêu quản lý dịch vụ. Bằng cách này, nhân viên có thể nhận thức được trách nhiệm giải trinh và có thể hiểu rõ hơn cách họ có thể đóng góp vào kết quả dịch vụ mong muốn.

7.2.3  Thông tin khác

Tổ chức thiết lập hồ sơ về năng lực, bao gồm giáo dục, đào tạo, kỹ năng và kinh nghiệm.

Trách nhiệm giải trình duy trì năng lực trong tổ chức thường được chia sẻ giữa các cá nhân nhân viên, người quản lý của họ, nguồn nhân lực và phối hợp viên đào tạo.

7.3  Nhận thức

7.3.1  Các hoạt động được yêu cầu

Tổ chức yêu cầu nhân sự hỗ trợ SMS thiết lập và duy trì nhận thức về chính sách quản lý dịch vụ, mục tiêu quản lý dịch vụ, SMS và danh mục các dịch vụ được cung cấp.

7.3.2  Giải thích

Mục đích của hoạt động được yêu cầu là nâng cao nhận thức của nhân viên về SMS và các dịch vụ để cải thiện đóng góp cho các mục tiêu quản lý dịch vụ.

Để hỗ trợ SMS và các dịch vụ, nâng cao nhận thức bằng cách trao đổi thông tin về:

a) chính sách quản lý dịch vụ và các hoạt động của người đó góp phần như thế nào vào việc đạt được các mục tiêu quản lý dịch vụ;

b) các mục tiêu có thể đo lường sự đóng góp của các cá nhân, được theo dõi và báo cáo để nâng cao nhận thức;

c) đóng góp của mỗi người vào tính hiệu quả của SMS và các dịch vụ, bao gồm lợi ích của việc cải thiện kết quả thực hiện quản lý dịch vụ;

d) tác động của việc không tuân thủ SMS, chính sách quản lý dịch vụ và sự phù hợp với các mục tiêu quản lý dịch vụ.

7.3.3  Thông tin khác

Nhận thức về các chính sách và thủ tục có thể được xác nhận và tư liệu hóa thông qua các báo cáo có chữ ký (điện tử), nhưng đây là những hồ sơ tốt nhất. Sự tham gia và đóng góp được quan sát để đạt được các mục tiêu, cùng với hồ sơ phỏng vấn, là những phương pháp tiếp theo để tư liệu hóa nhận thức.

Lãnh đạo cao nhất thiết lập các chính sách liên quan đến nhận thức và cam kết của các cá nhân. Mỗi cá nhân cần nhận thức được giá trị đối với tổ chức.

7.4  Trao đổi thông tin

7.4.1  Các hoạt động được yêu cầu

Tổ chức xác định nhu cầu trao đổi thông tin nội bộ và bên ngoài liên quan đến SMS và các dịch vụ.

7.4.2  Giải thích

7.4.2.1  Quy định chung

Mục đích của hoạt động được yêu cầu này là xác định và truyền đạt thông tin liên quan cả nội bộ và bên ngoài để hỗ trợ SMS, đạt được các mục tiêu quản lý dịch vụ và bàn giao dịch vụ.

7.4.2.2  Kế hoạch trao đổi thông tin

Kế hoạch trao đổi thông tin nội bộ và bên ngoài mô tả như sau:

a) cách thiết lập SMS phù hợp với các mục tiêu của tổ chức và kỳ vọng của khách hàng;

b) cách chính sách quản lý dịch vụ, mục tiêu quản lý dịch vụ và kế hoạch quản lý dịch vụ hỗ trợ việc cung cấp giá trị;

c) vị trí thông tin, ví dụ: quá trình làm việc, chủ đề trợ giúp, thỏa thuận tư liệu hóa, yêu cầu của khách hàng đối với dịch vụ, yêu cầu hợp đồng, pháp lý và quy định, kết quả thực hiện quá trình và báo cáo.

Trao đổi thông tin của lãnh đạo cao nhất về SMS là cơ hội để tổ chức thúc đẩy nhân viên của chính họ. Ngoài ra, việc đánh giá cao tầm quan trọng của SMS bởi cả lãnh đạo cao nhất và nhân viên giúp đảm bảo rằng các quyết định được đưa ra hoặc các giải pháp được đưa ra phù hợp với các mục tiêu kinh doanh ưu tiên của SMS. Kết quả mong muốn của các hoạt động trao đổi thông tin này là mọi người hiểu vai trò trong quản lý dịch vụ và cách họ đóng góp để đáp ứng các mục tiêu quản lý dịch vụ và mang lại giá trị cho tổ chức và khách hàng.

Trao đổi thông tin có thể khuyến khích động lực của nhân viên. Ví dụ, việc truyền đạt kết quả thành công của việc nhân sự tham gia vào các hoạt động cải tiến có thể có tác động thúc đẩy đáng kể. Các vi dụ khác là thông báo kịp thời về sự cố, đặc biệt là sự cố bảo mật và khiếu nại của khách hàng, đây là bước đầu tiên để giải quyết sự cố và cải thiện dịch vụ.

7.4.2.3  Các phương pháp trao đổi thông tin

Tổ chức lựa chọn các phương pháp và thủ tục trao đổi thông tin thích hợp, xem xét phương tiện truyền tải, thời gian và tần suất trao đổi thông tin, cũng như mối quan tâm và nhu cầu của khán giả về thông tin. Các phương tiện trao đổi thông tin điển hình bao gồm các cuộc họp trực tiếp hoặc trực tiếp qua internet hoặc video, bảng điều khiển và tin nhắn điện tử, cũng như các trao đổi thông tin bằng văn bản truyền thống. Trao đổi thông tin nên thiết lập một liên kết trực tiếp từ lãnh đạo cao nhất đến từng thành viên tham gia vào SMS. Các quá trình trao đổi thông tin có thể bao gồm chi tiết liên hệ, bảo trì danh sách cung cấp, bảo mật trao đổi thông tin, truy cập công cụ và thông tin, lịch trình và trách nhiệm giải trình.

Tổ chức cũng hoạch định cho các kênh trao đổi thông tin và thông điệp thay thế được sử dụng trong trường hợp mất dịch vụ lớn.

7.4.3  Thông tin khác

Trao đổi thông tin hiệu quả phụ thuộc vào văn hóa của tổ chức, loại hình và phương pháp trao đổi thông tin, sự hiểu biết về nhận thức cá nhân, cũng như phản hồi và điều chỉnh.

Thông tin tư liệu hóa để trao đổi thông tin có thể bao gồm tài liệu định hướng, tóm lược, tài liệu hội thảo, ấn phẩm nhân sự nội bộ, email, bài đăng trên mạng xã hội, phản hồi, v.v.

Trao đổi thông tin là trách nhiệm giải trình của tất cả các cấp quản lý và các bên quan tâm đến SMS. Trách nhiệm giải trình được chỉ định cho các loại hình trao đổi thông tin cụ thể thúc đẩy các hình thức trao đổi thông tin nhất quán.

7.5  Thông tin tư liệu hóa

7.5.1  Quy định chung

7.5.1.1  Các hoạt động được yêu cầu

Tổ chức tạo ra thông tin tư liệu hóa theo yêu cầu của TCVN 8695-1 (ISO/IEC 20000-1) và cần thiết cho tính hiệu quả của SMS.

7.5.1.2  Giải thích

Mục đích của hoạt động được yêu cầu này là thu thập hoặc tạo lập, cập nhật và kiểm soát thông tin tư liệu hóa cần thiết để cho phép vận hành thành công SMS và các dịch vụ. Thông tin tư liệu hóa, bao gồm hồ sơ, được xem xét về tính phù hợp và đầy đủ, có thể truy xuất được khi cần và được bảo vệ khỏi mất mát. Các tổ chức không có ý định tạo ra quá nhiều tài liệu và hồ sơ bằng văn bản, mà tập trung vào các mục mang lại giá trị cho đối tượng dự định.

Thông tin tư liệu hóa cho SMS bao gồm các chính sách, kế hoạch, thỏa thuận tư liệu hóa, thông số kỹ thuật, mô tả, thủ tục, báo cáo và hồ sơ cần thiết cho vận hành và để bàn giao dịch vụ. TCVN 8695-1 (ISO/IEC 20000-1) không yêu cầu kế hoạch cho mọi quá trình và tài liệu đầy đủ bằng văn bản về mọi quá trình có thể. Tổ chức quản lý thông tin tư liệu hóa bằng cách xác định:

a) những thông tin và hồ sơ dạng văn bản nào cần được tạo lập và lưu giữ;

b) ai sẽ sử dụng thông tin và hồ sơ dạng văn bản;

c) cách thức thông tin được xem xét và phê duyệt để sử dụng;

d) phương tiện nào thích hợp nhất cho thông tin được cung cấp;

e) cách thông tin được lưu trữ, truy xuất, cập nhật và sửa đổi, và xử lý khi không còn cần thiết;

f) tần suất xem xét thông tin tư liệu hóa để cập nhật và bởi ai.

7.5.1.3  Thông tin khác

Tổ chức tạo ra và duy trì thông tin tư liệu hóa cần thiết để vận hành SMS một cách hiệu quả và đáp ứng các yêu cầu của TCVN 8695-1 (ISO/IEC 20000-1). Ngoài ra, tổ chức xác định và kiểm soát một cách thích hợp bất kỳ thông tin tư liệu hóa nào có nguồn gốc bên ngoài, chẳng hạn như thông tin do bên cung ứng hoặc các bên khác cung cấp. Tổ chức tạo hoặc cập nhật thông tin tư liệu hóa và đảm bảo việc định danh, mô tả, xem xét, phê duyệt, định dạng và phương tiện thích hợp. Một số tổ chức có thể xác định vai trò chịu trách nhiệm chung đối với tất cả thông tin tư liệu hóa cho SMS, với đầu vào thích hợp từ các chuyên gia về chủ đề.

CHÚ THÍCH  Phụ lục A có một bảng chỉ ra tất cả các thông tin tư liệu hóa bắt buộc được yêu cầu trong TCVN 8695-1 (ISO/IEC 20000-1).

7.5.2  Tạo lập và cập nhật thông tin tư liệu hóa

7.5.2.1  Các hoạt động được yêu cầu

Tổ chức xác định việc tạo lập, phê duyệt, xem xét và cập nhật thông tin tư liệu hóa được yêu cầu và cần thiết cho SMS và các dịch vụ, bao gồm cả định dạng và phương tiện.

7.5.2.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để đảm bảo rằng thông tin tư liệu hóa được tạo hoặc cập nhật có hiệu quả để hỗ trợ vận hành SMS.

Tổ chức xác định cách cấu trúc thông tin tư liệu hóa và xác định cách tiếp cận phù hợp để quản lý tài liệu.

Các chính sách hiệu quả để tạo và duy trì thông tin tư liệu hóa có thể bao gồm việc sử dụng hệ thống đặt tên hoặc đánh số, kể cả ngày tháng, đề xác định từng mục thông tin nhất quán với lịch sử sửa đổi và khả năng áp dụng.

Thông tin tư liệu hóa có thể ở bất kỳ loại, hình thức hoặc phương tiện nào phù hợp với mục đích của nó, ví dụ: trang web, giấy, tệp hình ảnh điện tử, hồ sơ trong cơ sở dữ liệu hoặc chủ đề trong hệ thống quản lý nội dung. Thông tin tư liệu hóa có thể bao gồm các hạng mục có nguồn gốc bên ngoài như tiêu chuẩn, quy định hoặc thông tin khách hàng. Có thể sử dụng các mẫu và định dạng tiêu chuẩn hóa hoặc các công cụ tự động để giảm bớt nỗ lực tạo, truy cập, cập nhật và sử dụng nội dung.

Tổ chức xác định loại phê duyệt cần thiết cho từng loại thông tin tư liệu hóa. Mặc dù một số loại thông tin, chẳng hạn như mục tiêu quản lý dịch vụ, được lãnh đạo cao nhất phê duyệt, nhưng các loại khác, chẳng hạn như yêu cầu dịch vụ, có thể được coi là đã được phê duyệt khi khách hàng nhập yêu cầu và lưu trữ trong hệ thống theo dõi yêu cầu.

VÍ DỤ  Một báo cáo sự cố có thể được coi là được chấp nhận khi được nhập đúng vào hệ thống theo dõi hồ sơ và được cập nhật để hiển thị tiến độ giải quyết kịp thời. Phê duyệt cuối cùng và đóng báo cáo sự cố có thể yêu cầu sự chấp thuận của khách hàng hoặc đại lý dịch vụ.

7.5.2.3  Thông tin khác

Mặc dù TCVN 8695-1 (ISO/IEC 20000-1) không yêu cầu hồ sơ đối với hoạt động này nhưng nhiều tổ chức thấy hữu ích khi lưu giữ hồ sơ mô tả, định dạng cũng như vai trò và trách nhiệm đối với thông tin tư liệu hóa. Định dạng của hồ sơ này thay đổi theo tổ chức, từ danh sách chú thích hoặc bảng trong tài liệu văn bản đến bảng tính đến cơ sở dữ liệu quan hệ hoặc hệ thống chia sẻ tệp.

Tổ chức chỉ định các vai trò, bao gồm các quyền cần thiết để tạo lập và cập nhật thông tin tư liệu hóa theo nhu cầu và các vấn đề của tổ chức, chẳng hạn như quy mô, độ phức tạp và các bàn giao dịch vụ. Ví dụ: một doanh nghiệp rất nhỏ cung cấp một cấu phần của dịch vụ liên quan đến thiết bị y tế có thể yêu cầu chuyên gia về chủ đề và chuyên gia trao đổi thông tin để tạo và duy trì thông tin tư liệu hóa cụ thể.

7.5.3  Kiểm soát thông tin tư liệu hóa

7.5.3.1  Các hoạt động được yêu cầu

Tổ chức quản lý và kiểm soát thông tin tư liệu hóa trong suốt vòng đời và cung cấp thông tin đó ở bất cứ đâu và khi cần thiết.

7.5.3.2  Giải thích

7.5.3.2.1  Quy định chung

Mục đích của hoạt động được yêu cầu này là để đảm bảo rằng thông tin tư liệu hóa luôn sẵn sàng, phù hợp và được bảo vệ để hỗ trợ SMS một cách hiệu quả.

Kiểm soát thông tin khác với kiểm soát tài sản vật chất và các hạng mục cấu hình (Cl), vì việc tiết lộ trái phép thông tin được bảo vệ hoặc thông tin độc quyền có thể là một rủi ro đáng kể. Chính sách an ninh thông tin và các yêu cầu pháp lý và quy định có liên quan được coi là một phần của chính sách lưu giữ, bảo vệ và xử lý tài liệu và hồ sơ. Tổ chức phân biệt giữa các loại kiểm soát khác nhau được áp dụng cho các loại hạng mục khác nhau, ví dụ: giữa những thông tin có nguồn gốc nội bộ và bên ngoài, hoặc thông tin tư liệu hóa yêu cầu các mức độ bảo mật khác nhau do nội dung.

Thông tin tư liệu hóa SMS, chẳng hạn như mục tiêu quản lý dịch vụ, chính sách, kế hoạch quản lý dịch vụ, danh mục dịch vụ, hợp đồng và thỏa thuận mức dịch vụ (SLA), thường đề cập đến cùng một nội dung. Việc sử dụng hệ thống quản lý nội dung có thể được coi là một trợ giúp để cung cấp và cập nhật thông tin một cách nhất quán hoặc theo dõi các biến thể trong thông tin áp dụng cho các khách hàng khác nhau hoặc các mức dịch vụ khác nhau.

Kiểm soát thông tin tư liệu hóa bao gồm phương pháp liên kết tác động của những thay đổi trong toàn tổ chức, ví dụ: thay đổi đối với SLA ảnh hưởng đến hợp đồng với các bên khác hoặc ảnh hưởng đến các yêu cầu về tính sẵn sàng. Tổ chức có thể áp dụng quá trình quản lý thay đổi và xử lý thông tin tư liệu hóa dưới dạng Cl dưới biện pháp kiểm soát quản lý cấu hình.

Kiểm soát thông tin tư liệu hóa bao gồm việc xem xét định kỳ (ví dụ: hàng năm), với việc cập nhật, lưu trữ hoặc loại bỏ khi thích hợp. Tổ chức cần kiểm soát ai có thể truy cập, cung cấp, truy xuất và sử dụng tài liệu. Thông tin tư liệu hóa nên được bảo vệ khỏi bị hư hại, ví dụ: do điều kiện môi trường kém và trục trặc phần cứng.

7.5.3.2.2  Kiểm soát hồ sơ

Tổ chức kiểm soát các hồ sơ được tạo ra để cung cấp bằng chứng về sự phù hợp với các yêu cầu được quy định trong TCVN 8695-1 (ISO/IEC 20000-1) và về vận hành tính hiệu quả của SMS. Tất cả các hồ sơ cần duy trì tính rõ ràng, dễ nhận biết và có thể truy xuất miễn là chúng cần thiết. Quản lý hồ sơ liên quan đến SMS phù hợp với các yêu cầu pháp lý và quy định có liên quan cũng như nghĩa vụ hợp đồng, ví dụ, liên quan đến việc lưu giữ hồ sơ, lưu trữ và thực hành xử lý. Hồ sơ lưu giữ bao gồm hồ sơ rà soát tài liệu và theo dõi các ý kiến rà soát để giải quyết. Những yêu cầu và nghĩa vụ này ảnh hưởng đến việc thiết kế SMS.

7.5.3.3  Thông tin khác

Mặc dù TCVN 8695-1 (ISO/IEC 20000-1) không yêu cầu hồ sơ đối với hoạt động này nhưng nhiều tổ chức thấy hữu ích khi lưu giữ hồ sơ kiểm soát thông tin tư liệu hóa mà tổ chức lưu giữ. Định dạng của hồ sơ này thay đổi theo tổ chức.

Tổ chức chỉ định các vai trò và quyền hạn cần thiết để kiểm soát thông tin tư liệu hóa theo nhu cầu và đặc điểm của tổ chức như quy mô, độ phức tạp và các bàn giao dịch vụ.

Các tổ chức có thể chỉ định lịch trình lưu giữ và hủy hồ sơ, vị trí lưu trữ, người có quyền hạn phê duyệt việc hủy và phương pháp hủy.

7.5.4  Thông tin tư liệu hóa của hệ thống quản lý dịch vụ

7.5.4.1  Các hoạt động được yêu cầu

Tổ chức thiết lập thông tin tư liệu hóa cho SMS.

7.5.4.2  Giải thích

Mục đích của hoạt động được yêu cầu này là liệt kê các thông tin tư liệu hóa chính theo yêu cầu của TCVN 8695-1 (ISO/IEC 20000-1).

Các mục thông tin tư liệu hóa sau đây là ví dụ về những mục thường được duy trì cho một SMS:

a) các chính sách, mục tiêu và kế hoạch quản lý dịch vụ;

b) thông tin tư liệu hóa về quá trình và thủ tục;

c) danh mục dịch vụ;

d) thông tin tư liệu hóa về dịch vụ bao gồm thiết kế, đặc tả yêu cầu, SLA, tiêu chí chấp nhận và đánh giá dịch vụ;

e) thông tin tư liệu hóa trong hợp đồng cho cả bên cung ứng nội bộ và bên ngoài, bao gồm đặc tả các yêu cầu và kiểm soát thay đổi;

f) các hoạt động và báo cáo hoạch định đánh giá nội bộ;

g) thông tin tư liệu hóa mô tả hoặc liên kết với một thay đổi cụ thể, chẳng hạn như các hoạt động hoạch định thay đổi.

Tổ chức giữ lại nhiều thông tin tư liệu hóa này làm bằng chứng cần thiết cho việc kiểm tra SMS, ví dụ: chính sách dạng văn bản (xem Điều 9 về đánh giá nội bộ và Phụ lục A về thông tin tư liệu hóa bắt buộc).

7.5.4.3  Thông tin khác

Các hồ sơ được tạo và sử dụng như một phần của SMS có thể bao gồm các hồ sơ và các hồ sơ cơ sở dữ liệu; hồ sơ lỗi đã biết; hồ sơ Cl; các hồ sơ khiếu nại, sự cố và vấn đề; Hồ sơ bảo trì; hồ sơ và dữ liệu khách hàng; và yêu cầu thay đổi hồ sơ.

Tổ chức xác định những người chịu trách nhiệm về một số khía cạnh của thông tin tư liệu hóa cho SMS:

a) chủ sở hữu nội dung kỹ thuật của thông tin tư liệu hóa, chịu trách nhiệm về tính chính xác;

b) người quản lý chịu trách nhiệm về các hoạt động và hệ thống quản lý tài liệu, bao gồm việc tạo lập, cập nhật và kiểm soát tài liệu;

c) người xem xét thông tin tư liệu hóa trước khi phiên bản lưu hành;

d) người phê duyệt thông tin tư liệu hóa.

7.6  Kiến thức

7.6.1  Các hoạt động được yêu cầu

Tổ chức xác định và duy trì kiến thức cần thiết để hỗ trợ SMS và các dịch vụ.

7.6.2  Giải thích

Mục đích của hoạt động được yêu cầu này là cung cấp kiến thức liên quan để giúp tổ chức, bên cung ứng, khách hàng và người dùng hỗ trợ vận hành và sử dụng SMS và các dịch vụ hiệu quả thông qua chia sẻ thông tin, cộng tác và học hỏi.

Các loại thông tin khác nhau từ khói kiến thức có thể được cung cấp cho các đối tượng khác nhau. Kiến thức không giống như thông tin tư liệu hóa nhưng có thể bao gồm một số thông tin tư liệu hóa.

Vận hành thành công của SMS và các dịch vụ, ví dụ: quản lý sự cố và vấn đề, phụ thuộc vào khối kiến thức luôn sẵn sàng và được quản lý để dễ truy xuất, chính xác, phù hợp và nhất quán.

Nội dung kiến thức có thể dành cho những người vận hành SMS và các dịch vụ bao gồm cả tổ chức và các bên khác tham gia trong vòng đời dịch vụ. Việc cung cấp một lượng kiến thức cho khách hàng và người dùng có thể giúp giảm số lượng sự cố hoặc yêu cầu thông tin được báo cáo bằng cách bật tính năng tự phục vụ. Tương tự, nó có thể giúp nhân viên hỗ trợ xử lý chúng hiệu quả hơn khi chúng được báo cáo. Việc sử dụng các công cụ hoặc hệ thống quản lý tài liệu có thể hỗ trợ việc thiết lập một khối kiến thức.

Khi tạo ra kiến thức, nó cần được viết theo phong cách phù hợp nhất với đối tượng dự định. Ví dụ, kiến thức dành cho sử dụng thông qua tự phục vụ không nên được viết theo cách kỹ thuật cao nếu người dùng tự phục vụ có thể không hiểu rõ điều đó.

Kiến thức lỗi thời có tiềm năng ảnh hưởng đáng kể đến vận hành SMS và các dịch vụ, chẳng hạn như đang thực hiện kế hoạch về tính liên tục dịch vụ đã lỗi thời. Do đó, việc duy trì kiến thức phải bao gồm việc đảm bảo rằng luôn thông dụng và được cập nhật hoặc gỡ bỏ kịp thời khi cần thiết.

7.6.3  Thông tin khác

Các yếu tố kiến thức chính cần ghi vào tài liệu có thể bao gồm định nghĩa dịch vụ, thông tin và quá trình hỗ trợ dịch vụ (ví dụ: kế hoạch về tính liên tục của dịch vụ), danh mục dịch vụ, quá trình vận hành tiêu chuẩn, các lỗi đã biết và các câu hỏi thường gặp (FAQ).

Duy trì kiến thức cần thiết cho SMS và các dịch vụ liên quan đến việc phân công trách nhiệm giải trình xác định các nguồn kiến thức (đặc biệt quan trọng trong các tổ chức nhỏ khi việc mất một cá nhân sẽ loại bỏ một nguồn kiến thức không có tài liệu chính). Các trách nhiệm khác bao gồm tư liệu hóa kiến thức, thiết lập và duy trì hệ thống quản lý nội dung, phân tích nội dung kiến thức để tìm những lỗ hổng và chủ đề thường xuyên truy cập, đồng thời cải thiện nguồn kiến thức.

8  Vận hành hệ thống quản lý dịch vụ

8.1  Hoạch định và kiểm soát vận hành

8.1.1  Các hoạt động được yêu cầu

Tổ chức triển khai các kế hoạch được mô tả trong Điều 6 của TCVN 8695-1:2023 (ISO/IEC 20000- 1:2018) và hoạch định, thực hiện và kiểm soát các quá trình để đáp ứng các yêu cầu dịch vụ. Tổ chức kiểm soát các thay đổi đã lên kế hoạch đối với SMS và xem xét hậu quả của những thay đổi ngoài ý muốn. Tổ chức đảm bảo rằng các quá trình thuê ngoài được kiểm soát.

8.1.2  Giải thích

Mục đích của hoạt động được yêu cầu này là triển khai và vận hành SMS cũng như các quá trình phù hợp với kế hoạch quản lý dịch vụ và các kế hoạch khác, chẳng hạn như kế hoạch quản lý rủi ro, như một phương tiện để đạt được các mục tiêu quản lý dịch vụ và đáp ứng các yêu cầu dịch vụ (xem 8.2.2 để biết hướng dẫn bổ sung về hoạch định dịch vụ như một phần của danh mục dịch vụ).

Tổ chức xác định, hoạch định và thực hiện một tập các quá trình để đáp ứng các yêu cầu của SMS. Các kế hoạch được tạo trong TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), Điều 6 hiện đã được đưa vào vận hành. Đây là những kế hoạch để giải quyết rủi ro và cơ hội, và để đạt được các mục tiêu quản lý dịch vụ.

Các tiêu chí kết quả thực hiện được thiết lập cho các quá trình dựa trên các yêu cầu và các quá trình được kiểm soát thông qua các tiêu chí này. Ví dụ về các tiêu chí là đáp ứng các mục tiêu mức dịch vụ để chấm dứt sự cố hoặc tính sẵn sàng dịch vụ, có danh mục dịch vụ cập nhật và kiểm tra kế hoạch về tính liên tục của dịch vụ hàng năm.

Tổ chức xác định và thực hiện các biện pháp kiểm soát quá trình cho biết khi nào SMS không bàn giao dịch vụ đáp ứng các yêu cầu dịch vụ. Tổ chức xác định và thực hiện các biện pháp kiểm soát quá trình này để cung cấp bằng chứng bằng văn bản về sự thành công hoặc bất kỳ nhu cầu cải tiến nào.

Mọi thay đổi đối với SMS đã được lên kế hoạch cần được kiểm soát để đảm bảo rằng chúng không gây ra những hậu quả ngoài ý muốn. Điều này có thể được thực hiện bằng cách sử dụng quá trình quản lý thay đổi trong 8.5.1, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), đảm bảo rằng tất cả các thay đổi đều được đánh giá về tác động trước khi chúng được phê duyệt. Chính sách quản lý thay đổi sẽ cho biết phần nào của SMS phải trải qua quá trình quản lý thay đổi và phần nào có thể được kiểm soát theo những cách khác.

Khi bất kỳ quá trình nào được thuê ngoài cho một bên khác, chúng phải được kiểm soát bằng cách sử dụng quyền kiểm soát của các bên liên quan đến các yêu cầu vòng đời dịch vụ trong 8.2.3, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018). Điều này cũng áp dụng cho các phần của quá trình được thuê ngoài. Ví dụ, một bên cung ứng có thể vận hành quản lý sự cố và một phần của quá trình quản lý vấn đề với tổ chức vận hành phần còn lại của quá trình quản lý vấn đề.

8.1.3  Thông tin khác

Các hoạt động hoạch định và tiến độ được tư liệu hóa dưới dạng kế hoạch, lịch trình hoặc mốc thời gian phụ thuộc nhiệm vụ (chẳng hạn như sơ đồ Gantt). Kiểm soát hoạch định vận hành có thể được tư liệu hóa trong các báo cáo tiến độ hoặc biểu đồ và thể hiện giám sát.

Tổ chức đạt được thỏa thuận từ khách hàng rằng các hoạt động tác nghiệp đã hoạch định đáp ứng nhu cầu của khách hàng. Trách nhiệm và quyền hạn của cả tổ chức và khách hàng được tư liệu hóa và thỏa thuận đối với các hoạt động ảnh hưởng đến cả hai bên. Trong một số trường hợp dịch vụ được tiêu chuẩn hóa cao, ví dụ: các nhà cung cấp dịch vụ đám mây và vận chuyển khối lượng lớn, khách hàng và tổ chức có thể có ít hoặc không có sự thay đổi và đàm phán về thỏa thuận này. Thỏa thuận có thể đạt được bằng mẫu hoặc thỏa thuận tiêu chuẩn khi khách hàng mua dịch vụ.

Các kỹ năng khác nhau được thực hiện để hoạch định, triển khai và vận hành SMS. Lãnh đạo cao nhất có thể chỉ định một người chịu trách nhiệm hoạch định và triển khai vận hành ban đầu, sau đó chỉ định người khác chịu trách nhiệm vận hành SMS hàng ngày.

8.2  Danh mục dịch vụ

8.2.1  Bàn giao dịch vụ

8.2.1.1  Các hoạt động được yêu cầu

Tổ chức vận hành SMS theo cách được phối hợp và bàn giao dịch vụ.

8.2.1.2  Giải thích

Mục đích của hoạt động được yêu cầu này là phối hợp các nguồn lực và thực hiện các hoạt động nhằm đảm bảo vận hành SMS đáp ứng yêu cầu dịch vụ.

Bàn giao dịch vụ là lý do để thiết lập SMS; tất cả các hoạt động khác dẫn đến việc đáp ứng nhu cầu của khách hàng đối với dịch vụ và cơ hội để tiếp tục sử dụng dịch vụ. Tuy nhiên, vì TCVN 8695-1 (ISO/IEC 20000-1) nhằm mục đích bao trùm tất cả các loại hình dịch vụ, nên sự bàn giao dịch vụ không có yêu cầu cụ thể, ngoài yêu cầu được thực hiện theo cách được phối hợp.

Sự phối hợp đạt được thông qua một số khía cạnh của SMS tích hợp, như sau:

a) trao đổi thông tin giữa tất cả các bên quan tâm, bắt đầu với cam kết của lãnh đạo cao nhất và mở rộng đến các tương tác hàng ngày của nhân viên và khách hàng;

b) tích hợp thông tin liên quan đến dịch vụ giữa các quá trình, chẳng hạn như quản lý cấu hình, quản lý sự cố, quản lý thay đổi và quản lý vấn đề;

c) các hoạt động được phối hợp và thực hiện bởi tất cả các bên tập trung vào việc đáp ứng các mục tiêu quản lý dịch vụ, mục tiêu dịch vụ và cung cấp giá trị.

8.2.1.3  Thông tin khác

Thông tin tư liệu hóa để bàn giao dịch vụ có thể bao gồm:

a) các thủ tục cho phép phối hợp và thực hiện các hoạt động bàn giao dịch vụ;

b) các báo cáo định kỳ về phép đo dịch vụ và bằng chứng về việc đạt được các mục tiêu dịch vụ.

Trách nhiệm bàn giao dịch vụ thường được giao cho một vai trò, ví dụ: chủ sở hữu dịch vụ, người quản lý dịch vụ hoặc người quản lý mức dịch vụ, những người có thể giám sát một nhóm các dịch vụ liên quan.

8.2.2  Hoạch định các dịch vụ

8.2.2.1  Các hoạt động được yêu cầu

Tổ chức xác định và tư liệu hóa các yêu cầu dịch vụ, mức độ quan trọng của dịch vụ và bất kỳ sự trùng lặp hoặc phụ thuộc nào. Các thay đổi được đề xuất để điều chỉnh các dịch vụ với chính sách và mục tiêu quản lý dịch vụ được ưu tiên.

8.2.2.2  Giải thích

Mục đích của hoạt động được yêu cầu này là hoạch định cho các dịch vụ trong danh mục dịch vụ để đáp ứng các mục tiêu tổng thể của tổ chức và SMS.

Hoạch định bắt đầu bằng việc thu thập các yêu cầu dịch vụ, bao gồm cả những yêu cầu từ khách hàng, bản thân tổ chức và các bên quan tâm khác. Hoạch định dịch vụ áp dụng cho các dịch vụ hiện có, dịch vụ mới và dịch vụ phải được thay đổi hoặc ngừng vận hành. Các yêu cầu dịch vụ được tư liệu hóa để có thể được thống nhất và đề cập đến bởi các hoạt động tiếp theo trong vòng đời, chẳng hạn như quản lý mức dịch vụ hoặc quản lý thay đổi. Các yêu cầu dịch vụ có thể bao gồm kết quả thực hiện, bảo mật, tính sẵn sàng, mức dịch vụ, nghĩa vụ pháp lý và quy định cũng như các yêu cầu khác liên quan đến dịch vụ.

Các dịch vụ trong phạm vi của SMS có thể được nhóm lại với nhau và được gọi là danh mục dịch vụ.

Đối với tất cả các dịch vụ, mức độ quan trọng có thể được xác định bằng cách điều tra nhu cầu của tổ chức, khách hàng, người dùng và các bên quan tâm khác. Những nhu cầu này có thể khác nhau giữa các bên; do đó, chúng cần được cân bằng theo cách thỏa mãn tất cả chúng và cuối cùng phù hợp với kết quả kinh doanh của tổ chức. Mức độ quan trọng của các dịch vụ có thể được sử dụng theo nhiều cách khác nhau trong SMS, ví dụ: để hỗ trợ hoạch định nguồn lực hoặc để hướng dẫn sự phát triển của SLA.

Sự phụ thuộc giữa các dịch vụ hoặc thậm chí trùng lặp giữa các dịch vụ hoặc cấu phần dịch vụ có thể tồn tại khi một tổ chức cung cấp nhiều dịch vụ. Những phụ thuộc hoặc trùng lặp này được xác định và quản lý để tăng hiệu lực và hiệu quả của sự bàn giao dịch vụ. Ví dụ: các dịch vụ khác nhau thực hiện cùng một chức năng ở các địa điểm khác nhau của một tổ chức có thể được hợp nhất thành một dịch vụ chung và ngừng vận hành các dịch vụ khác. Một ví dụ khác, sự phụ thuộc giữa các dịch vụ cần được hiểu để hoạch định liên tục của dịch vụ.

Dịch vụ phù hợp với định hướng chiến lược và vận hành của tổ chức, như được tư liệu hóa trong chính sách quản lý dịch vụ, mục tiêu quản lý dịch vụ và yêu cầu dịch vụ. Khi sự liên kết này bị thiếu, các thay đổi có thể được đề xuất và thực hiện đối với các dịch vụ để đưa chúng trở lại sự liên kết. Việc điều chỉnh xem xét các hạn chế có thể xảy ra, chẳng hạn như các nghĩa vụ pháp lý xung đột với các yêu cầu dịch vụ và được thực hiện bao gồm đánh giá rủi ro về tác động của việc thực hiện những thay đổi này đối với dịch vụ.

Tổ chức ưu tiên các đề xuất cho các dịch vụ mới hoặc thay đổi. Các thay đổi có thể bao gồm việc loại bỏ các dịch vụ hiện có. Ưu tiên xem xét nhu cầu kinh doanh và các mục tiêu quản lý dịch vụ, để các thay đổi được đề xuất phù hợp với định hướng chiến lược của tổ chức. Cuối cùng, những thay đổi này được ưu tiên và hoạch định có tính đến sự sẵn sàng của các nguồn lực (nhân lực, tài chính, kỹ thuật và các yếu tố khác).

8.2.2.3  Thông tin khác

Hoạch định dịch vụ bao gồm tư liệu hóa các thông tin sau:

a) các yêu cầu về dịch vụ;

b) tầm quan trọng của các dịch vụ và sự phụ thuộc hoặc gối lên nhau.

Các hoạt động hoạch định và liên kết có tính chất chiến lược và có tính đến nhu cầu của các bên quan tâm khác nhau. Do đó, quyền hạn ra quyết định trong lĩnh vực này được phân định rõ ràng, v.d. cho người quản lý danh mục dịch vụ hoặc chủ sở hữu dịch vụ và được lãnh đạo cao nhất phê duyệt.

Trách nhiệm và trách nhiệm giải trình đối với từng dịch vụ và quá trình SMS (hoặc nhóm dịch vụ hoặc quá trình) cần được phân định rõ ràng. Để thuận tiện, tiêu chuẩn này gọi người chịu trách nhiệm là ‘chủ sở hữu dịch vụ’. Chủ sở hữu dịch vụ thường là thành viên của lãnh đạo cao nhất. Vì lý do vận hành, mỗi dịch vụ hoặc quá trình cũng có thể có một 'người quản lý vận hành' với các trách nhiệm hàng ngày để đáp ứng tính liên tục, tính sẵn sàng và kết quả thực hiện của dịch vụ đã thỏa thuận.

Các vai trò này có thể được chỉ định cho một người hoặc nhiều người để phù hợp với quy mô và các đặc điểm khác của tổ chức.

8.2.3  Kiểm soát các bên tham gia trong vòng đời dịch vụ

8.2.3.1  Các hoạt động được yêu cầu

Tổ chức thiết lập các biện pháp kiểm soát thích hợp để đảm bảo rằng tất cả các bên tham gia trong vòng đời dịch vụ đều tuân thủ chính sách và mục tiêu quản lý dịch vụ và cung cấp các phần dịch vụ theo thỏa thuận với các yêu cầu dịch vụ. Tổ chức tích hợp tất cả các yếu tố của SMS và phối hợp các hoạt động của tất cả các bên tham gia trong vòng đời dịch vụ.

CHÚ THÍCH: TCVN 8695-3 (ISO/IEC 20000-3) cung cấp thêm hướng dẫn về kiểm soát các bên khác tham gia trong vòng đời dịch vụ.

8.2.3.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để đảm bảo trách nhiệm giải trình của tổ chức và áp dụng các biện pháp kiểm soát đối với các bên khác tham gia trong vòng đời dịch vụ để đảm bảo vận hành thành công của SMS nhằm bàn giao dịch vụ đáp ứng các yêu cầu dịch vụ.

Các dịch vụ, cấu phần dịch vụ và quá trình trong SMS có thể được cung cấp hoặc vận hành bởi chính tổ chức hoặc các bên khác. Tất cả những điều này được tích hợp với nhau để bàn giao dịch vụ cho khách hàng để đáp ứng các yêu cầu dịch vụ. Tích hợp có nghĩa là kết hợp nhiều thứ lại với nhau để tạo thành một tổng thể. Nó khác với giao diện, là điểm mà hai hệ thống, chủ thể, tổ chức, v.v... gặp gỡ và tương tác. Sẽ có những giao diện cũng như sự tích hợp để tạo thành một tổng thể.

Tổ chức phối hợp các hoạt động trong suốt vòng đời dịch vụ để thiết kế, cung cấp, chuyển tiếp và cải thiện dịch vụ với các bên khác đang cung cấp hoặc vận hành dịch vụ, cấu phần dịch vụ hoặc quá trình. Các tổ chức chọn cách được phối hợp dựa trên nhiều vấn đề, bao gồm các đặc điểm của tổ chức và dịch vụ. Sự phối hợp có thể được thực hiện bằng các công cụ hoặc tài sản hoạch định và quá trình được chia sẻ, các nhóm tích hợp, các cuộc họp chung thường xuyên hoặc không thường xuyên và các cơ chế chia sẻ nội dung hoặc thông tin được chia sẻ, chẳng hạn như sổ đăng ký rủi ro hoặc hệ thống quản lý kiến thức.

Các bên khác có thể cung cấp hoặc vận hành dịch vụ, cấu phần dịch vụ, quá trình hoặc các phần của quá trình và điều này phải được hỗ trợ bởi hợp đồng hoặc thỏa thuận tư liệu hóa khác. Tổ chức đánh giá và lựa chọn các bên này dựa trên các tiêu chí liên quan đến yêu cầu dịch vụ và SLA với khách hàng.

Tổ chức không thể chứng minh sự phù hợp với TCVN 8695-1 (ISO/IEC 20000-1) nếu các bên khác được sử dụng để cung cấp hoặc vận hành tất cả các dịch vụ, cấu phần dịch vụ hoặc quá trình trong phạm vi của SMS.

Các bên khác có thể bao gồm:

a) các bên cung ứng ngoài, ví dụ: gia công phần mềm thử nghiệm được thực hiện như một phần của quá trình quản lý phiên bản lưu hành và triển khai, cung cấp nền tảng lưu trữ, vận hành hỗ trợ ứng dụng;

b) các bên cung ứng nội bộ, tức là các đơn vị tổ chức nội bộ cùng một pháp nhân hoặc tổ chức lớn hơn nhưng không thuộc phạm vi của SMS, ví dụ: một bộ phận nhân sự vận hành quá trình yêu cầu năng lực hoặc một nhóm vận hành các biện pháp kiểm soát an ninh thông tin;

c) khách hàng đóng vai trò là bên cung ứng, ví dụ: một khách hàng nhận một dịch vụ và cũng cung cấp hạ tầng công nghệ thông tin và thực hiện một số hoạt động quản lý sự cố hoặc quản lý yêu cầu dịch vụ, ví dụ: thông qua một chức năng quầy dịch vụ (service desk).

Tổ chức có thể yêu cầu các bên khác vận hành các quá trình đã chọn trong SMS. Các bên khác có thể sử dụng các quá trình của riêng họ, theo thỏa thuận của tổ chức hoặc tổ chức có thể yêu cầu các bên khác vận hành các quá trình do tổ chức thiết kế và tư liệu hóa. Tổ chức duy trì một mô tả về trách nhiệm giải trình và trách nhiệm của chính nó và các hoạt động được cung cấp hoặc vận hành đầy đủ hoặc một phần bởi các bên khác.

CHÚ THÍCH  ISO 37500 cung cấp hướng dẫn về dàn xếp thuê ngoài.

Các biện pháp kiểm soát đối với các bên khác bao gồm:

• các phép đo khách quan về kết quả thực hiện quá trình của các quá trình do các bên khác xử lý, ví dụ: so sánh với KPI cho quá trình như đạt chỉ tiêu khôi phục dịch vụ, đóng sự cố và/hoặc giảm số lượng sự cố an ninh thông tin;

• các phép đo khách quan về tính hiệu quả của các dịch vụ hoặc cấu phần dịch vụ do bên kia cung cấp hoặc vận hành, dựa trên các yêu cầu dịch vụ, ví dụ: đáp ứng yêu cầu dịch vụ, chỉ tiêu sẵn sàng.

Tổ chức đánh giá các phép đo và khi cần, xác định các hành động cải tiến hoặc khắc phục. Các phép đo có thể do chính tổ chức, bên kia hoặc bên thứ ba cung cấp và việc đánh giá các phép đo có thể được thực hiện cùng nhau.

Điều 9 nêu chi tiết các kỹ thuật đánh giá và kiểm soát việc thực hiện dựa trên các biện pháp thực hiện đã thỏa thuận.

8.2.3.3  Thông tin khác

Các thỏa thuận giữa tổ chức và các bên khác cần được tư liệu hóa rõ ràng, ví dụ: dưới hình thức hợp đồng. Các thỏa thuận bao gồm việc xác định các dịch vụ, cấu phần dịch vụ hoặc quá trình phải được xử lý bởi bên kia, có liên quan đến các mục tiêu quản lý dịch vụ và chỉ dẫn rõ ràng về trách nhiệm giải trình và trách nhiệm của chính tổ chức và các bên khác.

Các phép đo và đánh giá kết quả thực hiện của quá trình và tính hiệu quả của các dịch vụ hoặc cấu phần dịch vụ do các bên khác cung cấp hoặc vận hành phải được tư liệu hóa và báo cáo.

Các bên khác có thể chịu trách nhiệm về các dịch vụ, cấu phần dịch vụ hoặc quá trình mà họ cung cấp hoặc vận hành. Tổ chức vẫn chịu trách nhiệm về các bàn giao dịch vụ cho khách hàng, ngay cả khi các bên khác tham gia trong vòng đời dịch vụ.

CHÚ THÍCH  Quản lý bên cung ứng cũng được áp dụng cho các bên khác, xem 8.3.4.

8.2.4  Quản lý danh mục dịch vụ

8.2.4.1  Các hoạt động được yêu cầu

Tổ chức mô tả các dịch vụ trong phạm vi của SMS trong một hoặc nhiều danh mục dịch vụ để tổ chức, khách hàng, người dùng và các bên quan tâm khác sử dụng.

8.2.4.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để mô tả các dịch vụ và nâng cao hiểu biết về dịch vụ, kết quả dịch vụ dự kiến và sự phụ thuộc giữa các dịch vụ. Danh mục dịch vụ là một tài liệu chính để thiết lập kỳ vọng của khách hàng. Tổ chức đối chiếu và trình bày các mô tả dịch vụ trong danh mục. Phạm vi của mỗi dịch vụ phản ánh các hoạt động kinh doanh của khách hàng. Thông tin trong danh mục dịch vụ mô tả các dịch vụ, kết quả dịch vụ dự kiến và các cấu phần phụ thuộc.

Danh mục dịch vụ được tạo sẵn cho tất cả các bên cần truy cập vào nội dung. Đây có thể là khách hàng, người dùng hoặc các bên quan tâm khác. Các phiên bản hoặc dạng xem khác nhau của danh mục dịch vụ có thể được phát triển để sử dụng nội bộ và bên ngoài hoặc để đáp ứng nhu cầu của các bên quan tâm khác nhau.

Tổ chức có thể có một hoặc nhiều danh mục dịch vụ. Ví dụ: tổ chức có thể tạo ra một danh mục dịch vụ duy nhất, đưa ra tất cả các dịch vụ của tổ chức cho tất cả khách hàng. Ngoài ra, có thể có một danh mục dịch vụ bao gồm các dịch vụ cho một khách hàng.

Đối với các đối tác bên ngoài, danh mục có thể chỉ bao gồm các dịch vụ đang vận hành hoặc những dịch vụ phải được cung cấp hoặc thay đổi trong tương lai gần. Để sử dụng nội bộ, danh mục có thể bao gồm tất cả các dịch vụ trong danh mục. Trong trường hợp này, trạng thái của từng dịch vụ được xác định rõ ràng. Ví dụ: trạng thái có thể được lên kế hoạch, đang phát triển, đang hoạt động, đang ngừng, đã ngưỡng hoặc đã hủy bỏ.

Danh mục dịch vụ hiển thị các quan hệ phụ thuộc giữa các dịch vụ và các dịch vụ hỗ trợ hoặc kích hoạt. Ví dụ: một dịch vụ kinh doanh có thể phụ thuộc vào một số dịch vụ nền tảng như dự báo tài chính, nghiên cứu thị trường và dịch vụ lưu trữ web. Các dịch vụ hỗ trợ hoặc các cấu phần dịch vụ có thể được cung cấp bởi tổ chức hoặc các bên cung ứng ngoài hoặc nội bộ bên ngoài biện pháp kiểm soát trực tiếp của tổ chức. Danh mục dịch vụ bao gồm thông tin về các bên cung ứng nếu phù hợp với nhu cầu của nhiều đối tượng khác nhau.

Tổ chức thiết kế danh mục dịch vụ sao cho thông tin dễ bảo trì. Việc nhóm thông tin hợp lý và hiệu quả đặc biệt quan trọng đối với thông tin có thể thay đổi tương đối nhanh. Điều này giảm thiểu chi phí vận hành quá trình quản lý thay đổi. Ví dụ: danh mục dịch vụ có thể được duy trì dưới dạng nội dung động trên các trang web. Các thay đổi đối với danh mục dịch vụ được bắt đầu và quản lý thông qua quá trình quản lý thay đổi, để xem xét tác động tổng thể của các thay đổi đối với các dịch vụ khác và khách hàng trước khi thay đổi dịch vụ được phê duyệt và triển khai. Các thay đổi đối với danh mục dịch vụ phản ánh các dịch vụ mới, đã thay đổi hoặc đã xóa.

Quá trình quản lý danh mục dịch vụ và các thủ tục hỗ trợ chứa thông tin và hướng dẫn liên quan đến việc quản lý các hạng mục trong danh mục. Quá trình quản lý này phải bao gồm việc đảm bảo quyền truy cập sẵn sàng cho những người cần thông tin dịch vụ để thực hiện nhiệm vụ của họ, tính toàn vẹn và chính xác của thông tin và mô tả dịch vụ cũng như các mối quan hệ, sự phụ thuộc và giao diện giữa một dịch vụ và các dịch vụ được lập danh mục khác.

8.2.4.3  Thông tin khác

Danh mục dịch vụ được tạo theo định dạng phù hợp nhất với nhu cầu của các loại đối tượng khác nhau. Danh mục này có thể là một tài liệu điện tử, một công cụ hoặc một phần của công cụ. Danh mục chứa thông tin chung cho tất cả hoặc hầu hết các dịch vụ để đơn giản hóa SLA. Danh mục dịch vụ thường bao gồm:

a) tên và mô tả của dịch vụ, kể cả đối tượng mà dịch vụ dự kiến cung cấp;

b) mục tiêu mức dịch vụ, ví dụ thời gian thực hiện yêu cầu dịch vụ, thời gian thiết lập dịch vụ cho khách hàng hoặc người dùng mới, thời gian khôi phục dịch vụ sau sự cố nghiêm trọng;

c) điểm liên hệ;

d) giờ dịch vụ, giờ hỗ trợ và các ngoại lệ;

e) tùy chọn dịch vụ, ví dụ: cơ bản và cao cấp;

f) giá, nếu thích hợp;

g) chủ sở hữu dịch vụ và chủ sở hữu kỹ thuật nếu thích hợp;

h) cách yêu cầu dịch vụ;

i) các hợp đồng hỗ trợ nếu phù hợp;

j) dàn xếp về an ninh;

k) các cấu phần dịch vụ;

l) sự phụ thuộc giữa các dịch vụ và cấu phần dịch vụ.

VÍ DỤ  Một dịch vụ hỗ trợ thiết bị của người dùng bao gồm ba cấu phần phụ thuộc: hỗ trợ ứng dụng, hỗ trợ truy cập internet và hỗ trợ phần cứng, mỗi cấu phần được cung cấp bởi các bên cung ứng nội bộ hoặc bên cung ứng ngoài khác nhau.

Các dịch vụ có thể được liệt kê riêng lẻ hoặc được nhóm lại.

Thông tin tư liệu hóa khác có thể bao gồm:

- các quá trình và thủ tục để tạo và duy trì danh mục dịch vụ;

- đầu vào và đầu ra từ việc xem xét danh mục dịch vụ.

Quản lý danh mục dịch vụ có thể là trách nhiệm của người quản lý chịu trách nhiệm về danh mục dịch vụ tổng thể. Một số tổ chức, đặc biệt là những tổ chức giữ quản lý danh mục dịch vụ như một phần của quản lý cấp dịch vụ, thấy hữu ích khi xác định người quản lý danh mục dịch vụ, chịu trách nhiệm đồng ý định nghĩa của từng mục nhập danh mục dịch vụ và cập nhật danh mục dịch vụ theo thời gian. Phát triển và sản xuất danh mục dịch vụ có thể là trách nhiệm của người quản lý thông tin hoặc người quản lý tài liệu. Các vai trò khác của tổ chức, chẳng hạn như chủ sở hữu dịch vụ, có thể chịu trách nhiệm cung cấp và duy trì thông tin về dịch vụ.

8.2.5  Quản lý tài sản

8.2.5.1  Các hoạt động được yêu cầu

Tổ chức xác định các tài sản được sử dụng để bàn giao dịch vụ trong phạm vi của SMS và quản lý chúng theo các nghĩa vụ pháp lý, quy định và hợp đồng được liệt kê trong kế hoạch quản lý dịch vụ.

8.2.5.2  Giải thích

Mục đích của hoạt động được yêu cầu này là quản lý các tài sản cần thiết để vận hành các dịch vụ.

TCVN 8695-1 (ISO/IEC 20000-1) không yêu cầu quá trình quản lý tài sản đầy đủ. Các yêu cầu hạn chế hơn so với những yêu cầu được tìm thấy trong các tiêu chuẩn quản lý tài sản. Quản lý tài sản trong SMS tập trung vào việc xác định các tài sản cần thiết để bàn giao dịch vụ và đảm bảo rằng những tài sản đó được quản lý để đáp ứng các yêu cầu dịch vụ và tuân theo các nghĩa vụ pháp lý, quy định và hợp đồng được liệt kê trong kế hoạch quản lý dịch vụ. Ví dụ về tài sản cần quản lý bao gồm phần cứng, hạ tầng, thiết bị, giấy phép, bất động sản và phương tiện.

Tài sản có thể được sở hữu hoặc dưới biện pháp kiểm soát của tổ chức, khách hàng, bên cung ứng ngoài hoặc các bên khác tham gia vào sự bàn giao dịch vụ. Ví dụ: một tài sản phần mềm được cấp phép từ một bên khác phải đáp ứng các yêu cầu của giấy phép từ bên cung ứng, chẳng hạn như số lượng người dùng tối đa.

Một số nội dung trong một dịch vụ cũng là các mục cấu hình (Cl) chịu sự quản lý cấu hình. Ví dụ: ứng dụng giám sát dịch vụ hoặc máy chủ là tài sản có khả năng là các CI, vì chúng rất quan trọng để bàn giao dịch vụ và cần được kiểm soát.

8.2.5.3  Thông tin khác

Quản lý tài sản dẫn đến hồ sơ về tài sản được sử dụng để bàn giao dịch vụ cũng như hồ sơ về quyền sở hữu hiện hành. Các yêu cầu pháp lý, quy định và hợp đồng có liên quan được xác định trong kế hoạch quản lý dịch vụ dưới tiêu đề nghĩa vụ.

Các tiêu chuẩn hệ thống quản lý tài sản và quản lý tài sản công nghệ thông tin yêu cầu các vai trò cụ thể nằm ngoài phạm vi của các yêu cầu quản lý tài sản trong TCVN 8695-1 (ISO/IEC 20000-1). Trách nhiệm quản lý tài sản trong SMS bao gồm nhân sự để xác định tài sản dịch vụ; để xác định các yêu cầu dịch vụ; nghĩa vụ áp dụng; và để kiểm tra sự phù hợp theo các khoảng thời gian đã hoạch định.

CHÚ THÍCH  Quản lý tài sản là một chủ đề rộng trong các tiêu chuẩn hệ thống quản lý (MSS) khác, chẳng hạn như ISO 55001, cung cấp các yêu cầu đối với một hệ thống quản lý để quản lý tài sản, hoặc ISO/IEC 19770-1, bao gồm quản lý tài sản công nghệ thông tin (ví dụ: phần mềm và phần cứng).

8.2.6  Quản lý cấu hình

8.2.6.1  Các hoạt động được yêu cầu

Tổ chức xác định, lập hồ sơ, kiểm soát, theo dõi và xác minh các Cl và quản lý thông tin cấu hình liên quan đến các dịch vụ trong phạm vi của SMS.

8.2.6.2  Giải thích

Mục đích của hoạt động được yêu cầu này là xác định và kiểm soát các cấu phần của dịch vụ và duy trì thông tin cấu hình chính xác để hỗ trợ các hoạt động quản lý dịch vụ khác.

Tổ chức xác định các loại Cl nằm trong phạm vi quản lý cấu hình. Cl là các yếu tố cần được kiểm soát để bàn giao dịch vụ. Cl tồn tại ở nhiều cấp độ khác nhau tùy thuộc vào loại và mức độ quan trọng của dịch vụ cũng như mức độ kiểm soát được yêu cầu và có thể bao gồm bất kỳ điều nào sau đây:

a) phần cứng;

b) phần mềm;

c) các hệ điều hành;

d) cơ sở dữ liệu;

e) thông tin địa chỉ logic (ví dụ: địa chỉ IP);

f) các Cl ảo, chẳng hạn như các máy chủ dựa trên đám mây;

g) thông tin, chẳng hạn như tài liệu;

h) cơ sở vật chất, chẳng hạn như trung tâm dữ liệu;

i) các dịch vụ, bao gồm các dịch vụ hỗ trợ cho dịch vụ chính được cung cấp.

Ví dụ: một trung tâm dữ liệu có thể là một Cl, chứa một số Cl có liên quan như máy chủ và bộ lưu trữ. Ngược lại, các máy chủ có thể có một số CI liên quan như địa chỉ logic, cơ sở dữ liệu và hệ điều hành.

Đối với mỗi Cl, một số thông tin nhất định phải được xác định. Điều này phải được gọi là thông tin cấu hình. Thông tin cấu hình có thể bao gồm:

- mã định danh duy nhất của Cl, chẳng hạn như số sê-ri;

- loại CI, tương tự như danh sách trên;

- mô tả về Cl và vai trò trong dịch vụ;

- các mối quan hệ có thể có giữa Cl này và Cl khác, chẳng hạn như phần mềm chạy trong hệ điều hành trên phần cứng trong trung tâm dữ liệu hỗ trợ dịch vụ điện toán đám mây;

- trạng thái của Cl, chẳng hạn như vận hành, chờ, ngừng vận hành.

Tất cả các Cl đều được kiểm soát để cấu hình và trạng thái mới nhất của các Cl luôn được biết và cập nhật. Thông tin này rất quan trọng đối với vận hành dịch vụ; do đó, quyền truy cập vào nó cần phải được kiểm soát để đảm bảo tính toàn vẹn của dữ liệu. Cl có thể được thay đổi như một phần của các hoạt động khác nhau, chẳng hạn như triển khai hoặc phiên bản lưu hành.

Cơ sở dữ liệu quản lý cấu hình (CMDB) không còn bắt buộc nữa. Các tổ chức đảm bảo rằng có sẵn một hệ thống để tư liệu hóa, truy xuất và duy trì thông tin cấu hình, cho dù đó là cơ sở dữ liệu hay dạng khác. Quá trình quản lý cấu hình cập nhật thông tin về Cl và có thể được hỗ trợ bởi các công cụ như công cụ khám phá đề thu thập và duy trì tính chính xác của thông tin cấu hình. Việc nhúng bản cập nhật của các TCTD vào quá trình thay đổi, thông qua quá trình tự động hóa hoặc thủ công, là một phương pháp hay.

Các tổ chức thực hiện đánh giá thường xuyên các thông tin tư liệu hóa về các TCTD. Kiểm tra xác minh xem thông tin tư liệu hóa về Cl có còn chính xác và phù hợp với môi trường dịch vụ trực tiếp hay không. Nếu dữ liệu được tư liệu hóa không phản ánh trạng thái trực tiếp của dịch vụ, điều này cần được sửa chữa.

Các tổ chức cung cấp thông tin cấu hình cho các hoạt động hoặc nhân viên yêu cầu thông tin đó, chẳng hạn như quản lý thay đổi, quản lý sự cố, quản lý khả năng và quản lý tính liên tục của dịch vụ. Do đó, thông tin này được cung cấp cho các khu vực vận hành đó khi cần thiết.

8.2.6.3  Thông tin khác

Thông tin tư liệu hóa được tạo ra và duy trì bởi quản lý cấu hình có thể bao gồm:

a) định nghĩa về các loại CI, và thông tin tư liệu hóa cần thiết cho mỗi loại Cl;

b) hồ sơ về những thay đổi được thực hiện đối với các Cl;

c) hồ sơ kiểm tra cấu hình;

d) báo cáo về đánh giá CI, những thay đổi và tính chính xác của thông tin tư liệu hóa.

Chủ sở hữu có quyền hạn của mỗi Cl có thể được xác định là người chịu trách nhiệm tư liệu hóa và duy trì thông tin cấu hình. Các nhân viên khác có thể được chỉ định để cập nhật thông tin Cl và thực hiện kiểm tra cấu hình.

8.3  Mối quan hệ và thỏa thuận

8.3.1  Quy định chung

Mối quan hệ và thỏa thuận liên quan đến các hoạt động quản lý kết nối của tổ chức với khách hàng và bên cung ứng và để duy trì mức dịch vụ chấp nhận được. Hình 2 cho thấy các mối quan hệ điển hình của tổ chức khi tương tác với khách hàng, cả nội bộ và bên ngoài, thông qua quản lý quan hệ kinh doanh (BRM) và quản lý mức dịch vụ (SLM); và với các bên cung ứng nội bộ và bên ngoài thông qua quản lý bên cung ứng. Ba loại bên cung ứng được mô tả:

a) bên cung ứng ngoài - các bên bên ngoài tổ chức ký kết hợp đồng đóng góp vào SMS và các dịch vụ, ví dụ: bên cung ứng linh kiện dịch vụ hoặc nhân viên giao hàng;

b) bên cung ứng nội bộ - các bên là một bộ phận của tổ chức lớn hơn tham gia vào một thỏa thuận tư liệu hóa để chấm dứt góp vào SMS hoặc dịch vụ, ví dụ: tài chính hoặc nguồn nhân lực;

c) khách hàng đóng vai trò là bên cung ứng - những khách hàng được hường lợi từ các dịch vụ được cung cấp cũng cung cấp một phần dịch vụ, ví dụ: khách hàng cung cấp hạ tầng công nghệ thông tin hoặc hỗ trợ quầy dịch vụ (service desk) tuyến đầu.

SLA với khách hàng ngoài là một phần của hợp đồng chính thức hoặc được xác định sau này dựa trên hợp đồng chính thức.

Bất kỳ bên cung ứng nào trong số này lần lượt có thể sử dụng các bên cung ứng hợp đồng phụ để cung cấp một phần dịch vụ mà họ đã ký hợp đồng để cung cấp cho tổ chức, nhưng các bên cung ứng hợp đồng phụ này không được quản lý trực tiếp bởi SMS của tổ chức cấp cao nhất và quản lý bên cung ứng.

CHÚ THÍCH  TCVN 8695-3 (ISO/IEC 20000-3) cung cấp các ví dụ về định nghĩa phạm vi liên quan đến chuỗi cung ứng phức tạp.

Hình 2 - Mối quan hệ và thỏa thuận giữa các bên liên quan đến vòng đời dịch vụ

8.3.2  Quản lý quan hệ kinh doanh

8.3.2.1  Các hoạt động được yêu cầu

Tổ chức xác định và tư liệu hóa khách hàng, người dùng và các bên quan tâm khác; xác định các giao thức trao đổi thông tin; đánh giá xu hướng thực hiện dịch vụ vào những thời điểm thích hợp; quản lý khiếu nại dịch vụ; và đo lường, phân tích, đánh giá và tìm cách cải thiện sự hài lòng của khách hàng.

8.3.2.2  Giải thích

Mục đích của hoạt động được yêu cầu này là thiết lập và duy trì mối quan hệ giữa tổ chức và khách hàng dựa trên nhu cầu của khách hàng và trình điều khiển kinh doanh.

Quản lý quan hệ kinh doanh xây dựng trao đổi thông tin giữa tổ chức và khách hàng. Đây là một tập hợp các hoạt động quan trọng để xác minh xem các dịch vụ có cung cấp cho khách hàng những lợi ích kỳ vọng hay không và đang tạo ra giá trị cho khách hàng và người dùng cuối. Phản hồi từ quản lý quan hệ kinh doanh phục vụ để cải thiện các dịch vụ khi được yêu cầu. Quản lý quan hệ kinh doanh xác định khách hàng đang sử dụng dịch vụ, cũng như người dùng và các bên quan tâm khác có thể cung cấp phản hồi về chất lượng dịch vụ. Các bên quan tâm này được tư liệu hóa (với tư cách cá nhân hoặc nhóm), bao gồm cả thông tin liên hệ chính.

Nhân viên quan hệ kinh doanh thiết lập các kênh trao đổi thông tin và các phương pháp khác để duy trì trao đổi thông tin thường xuyên với khách hàng. Mục đích chính của trao đổi thông tin là để hiểu môi trường kinh doanh của khách hàng và cách thức mà các dịch vụ của tổ chức đóng góp vào kết quả kinh doanh của khách hàng. Các kênh trao đổi thông tin này cũng có thể dẫn đến việc xác định các cơ hội để bàn giao dịch vụ mới hoặc cải thiện các khía cạnh của các dịch vụ hiện có.

Với sự đều đặn, tổ chức đánh giá kết quả thực hiện của các dịch vụ với khách hàng, dựa trên xu hướng kết quả thực hiện và đánh giá kết quả của các dịch vụ để đảm bảo chúng cung cấp giá trị cho khách hàng. Kết quả thực hiện được phân tích và có thể được báo cáo bằng cách sử dụng bảng thông tin dịch vụ và các cơ chế khác. Kết quả thực hiện đo lường giúp xác định các cơ hội để cải thiện dịch vụ khi cần thiết. Đánh giá quản lý quan hệ kinh doanh không giống như đánh giá hoạt động được yêu cầu trong quản lý mức dịch vụ. Đánh giá quản lý quan hệ kinh doanh này có thể sẽ ít thường xuyên hơn.

CHÚ THÍCH  Dịch vụ có thể đáp ứng SLA đã thỏa thuận để thực hiện và vẫn bị khách hàng coi là không đạt yêu cầu, ví dụ: dịch vụ không được coi là có giá trị tốt hoặc không còn được coi là cạnh tranh về mặt kỹ thuật.

Một cơ chế được thiết lập để nhận khiếu nại dịch vụ từ khách hàng. Những khiếu nại này được xử lý tương tự như các sự cố:

- được tư liệu hóa;

- được phân tích;

- được giải quyết thông qua trao đổi thông tin hoặc hành động khắc phục, hoặc được sử dụng làm đầu vào cho các hành động cải tiến;

- báo cáo cho khách hàng; và

- đóng lại.

Khiếu nại phản ánh các vấn đề vận hành có thể dẫn đến việc mở sự cố hoặc hồ sơ sự cố. Mục tiêu chính của việc giải quyết khiếu nại là đảm bảo với khách hàng rằng hành động đang được thực hiện để giải quyết mối quan tâm. Khi khiếu nại là khẩn cấp hoặc không thể được xử lý bằng cách sử dụng các quá trình xử lý khiếu nại tiêu chuẩn, khách hàng có thể có sẵn một cơ chế báo cáo để đạt được các cấp quản lý cao hơn.

Tương tự như khiếu nại, một cơ chế xử lý những lời khen ngợi nhận được từ khách hàng có thể được thiết lập để các hoạt động thành công có thể được củng cố và nhân sự liên quan có thể được tư liệu hóa hoặc khen thưởng.

Sự hài lòng của khách hàng là một trong những loại phản hồi quan trọng nhất về chất lượng dịch vụ được cung cấp bởi tổ chức. Do đó, hồ sơ về sự hài lòng của khách hàng được thu thập thường xuyên, ví dụ như sử dụng các cuộc khảo sát trên cơ sở mỗi giao dịch (ví dụ: sau mỗi sự cố, vấn đề hoặc thay đổi) hoặc sử dụng khảo sát mối quan hệ chung hàng quý hoặc hai lần một năm. Cần cẩn thận khi sử dụng mẫu đại diện của khách hàng và địa chỉ liên hệ với khách hàng để ngăn chặn sự thiên vị trong kết quả khảo sát. Phản hồi từ các cuộc khảo sát này được phân tích và sử dụng làm đầu vào chính để cải thiện các dịch vụ, được xử lý thông qua cải tiến liên tục.

8.3.2.3  Thông tin khác

Nhân viên quản lý quan hệ kinh doanh tư liệu hóa thông tin về khách hàng, người dùng và các bên quan tâm, có thể ở dạng danh sách liên hệ đơn giản hoặc dưới dạng hệ thống điện tử. Hồ sơ liên hệ và đánh giá của khách hàng nên được lưu giữ.

Hồ sơ khiếu nại và giải quyết được tư liệu hóa. Khiếu nại có thể được phân loại theo loại hoặc mức độ khách hàng chịu ảnh hưởng, mức độ khẩn cấp, tác động, tính chất, loại dịch vụ hoặc bằng các phương tiện khác cho phép xác định rõ ràng và ưu tiên khiếu nại. Tương tự như vậy, hồ sơ khen ngợi và bất kỳ vận hành nào liên quan đến quản lý đều được giữ lại để tham khảo.

Đầu vào và kết quả từ các cuộc khảo sát về sự hài lòng của khách hàng có sẵn dưới dạng thông tin tư liệu hóa. Báo cáo được tạo ra về khiếu nại và sự hài lòng của khách hàng.

Tổ chức chỉ định nhân viên tận tâm hoặc được chỉ định làm người quản lý quan hệ khách hàng, ví dụ: một cá nhân chịu trách nhiệm cho nhiều khách hàng hoặc nhiều đại diện cho một khách hàng lớn, người chịu trách nhiệm quằn lý quan hệ kinh doanh của khách hàng. Quyền hạn cho các hoạt động của các nhà quản lý quan hệ được giao cho họ từ lãnh đạo cao nhất. Các nhân viên khác có liên quan có thể bao gồm các nhà phân tích kinh doanh xử lý đầu vào về sự hài lòng của khách hàng và nhân viên giải quyết các khiếu nại về dịch vụ.

8.3.3  Quản lý mức dịch vụ

8.3.3.1  Các hoạt động được yêu cầu

Tổ chức xác định, đồng ý, tư liệu hóa và quản lý các mức dịch vụ.

8.3.3.2  Giải thích

Mục đích của hoạt động được yêu cầu này là xác định, tư liệu hóa và thống nhất các mức dịch vụ cần thiết để đáp ứng nhu cầu của khách hàng và đảm bảo rằng các cam kết đó được đáp ứng.

Tổ chức xác định các dịch vụ và các mức dịch vụ liên quan. Các yêu cầu của khách hàng và khả năng của nhà cung cấp dịch vụ xác định nội dung, cấu trúc và mục tiêu của SLA. Đối với các dịch vụ hàng hóa, chẳng hạn như vận chuyển hoặc các khóa học tiêu chuẩn, thỏa thuận có thể là khách hàng chấp nhận các Điều và điều kiện theo mô tả của tổ chức. Đối với các loại dịch vụ khác, khách hàng và nhà cung cấp dịch vụ đồng ý các Điều và mục tiêu cho một dịch vụ phải được cung cấp và tư liệu hóa những Điều này trong SLA. SLA cũng quy định cụ thể các quyền và trách nhiệm của nhà cung cấp dịch vụ và khách hàng. Một SLA duy nhất có thể bao gồm nhiều dịch vụ hoặc nhiều khách hàng. SLA phải bao gồm tất cả các cấu phần cần thiết để bàn giao dịch vụ.

SLA nên bao gồm các trường hợp ngoại lệ về thời điểm SLA phải được áp dụng, ví dụ: trong các sự kiện liên tục dịch vụ cho tổ chức và khách hàng hoặc trong vài tuần đầu tiên vận hành của một dịch vụ mới.

SLA cũng nên bao gồm giới hạn khối lượng công việc, là thước đo khối lượng công việc mà SLA áp dụng, ví dụ: số lượng người dùng, số lượng giao dịch hoặc số lượng cấu phần dịch vụ phải được hỗ trợ. Khối lượng công việc được theo dõi và bất kỳ thay đổi đáng kể nào cũng có thể dẫn đến nhu cầu xem xét SLA. Ví dụ: nếu khối lượng công việc tăng đáng kể, tổ chức có thể cần phải tăng chi phí dịch vụ do cần nhiều nhân viên hơn để cung cấp hỗ trợ. Khối lượng công việc có thể cung cấp đầu vào để quản lý nhu cầu.

Các mục tiêu mà dịch vụ được cung cấp được đo lường được xác định từ góc độ khách hàng. SLA chỉ nên bao gồm những mục tiêu tập trung sự chú ý vào các khía cạnh quan trọng nhất của dịch vụ cho khách hàng.

Kết quả thực hiện so với các mục tiêu SLA được tổ chức giám sát và báo cáo và xem xét với khách hàng thường xuyên. Nếu các mục tiêu cấp độ phục vụ không đáp ứng các mục tiêu đã thỏa thuận trong SLA, nguyên nhân được xác định cho các mục tiêu bị bỏ lỡ này. Kết quả của phân tích này được đưa vào các hoạt động cải tiến liên tục để cải thiện các dịch vụ.

Tổ chức giám sát và báo cáo khối lượng công việc so với SLA và sử dụng điều này để xác thực rằng khối lượng công việc không vượt quá mức tối đa đã thỏa thuận. Bất kỳ thay đổi đáng kể nào trong khối lượng công việc có thể phải chịu sự quản lý thay đổi vì nó có thể ảnh hưởng đến các nguồn lực cần thiết và dịch vụ được cung cấp.

8.3.3.3  Thông tin khác

Các dịch vụ được cung cấp cho khách hàng được tư liệu hóa cùng với các SLA liên quan.

Hồ sơ được tạo từ khối lượng công việc được đo lường và kết quả thực hiện của các dịch vụ so với các mục tiêu mức dịch vụ.

Quản lý mức dịch vụ thường liên quan đến một người quản lý dịch vụ (hoặc nhân viên khác), dành riêng hoặc được chỉ định cho dịch vụ hoặc cho khách hàng, người cung cấp quản lý và báo cáo mức dịch vụ. Đôi khi, vai trò của người quản lý cấp dịch vụ có thể được kết hợp với vai trò quản lý quan hệ kinh doanh, nhưng hai vai trò vận hành ở các cấp độ khác nhau: quản lý mức dịch vụ là vận hành và quản lý quan hệ kinh doanh là chiến lược. Điều quan trọng là phải nhận ra điều này và đảm bảo rằng sự khác biệt về tiêu điểm không bị nhầm lẫn.

Các nhân viên khác có liên quan có thể là các nhà phân tích mức dịch vụ, những người cung cấp báo cáo về kết quả thực hiện của các dịch vụ so với SLA và giám sát và báo cáo khối lượng công việc. Nhân viên kỹ thuật chịu trách nhiệm giám sát dịch vụ làm việc chặt chẽ với các nhà quản lý mức dịch vụ và quản lý khả năng để xem xét phân bổ lại các nguồn lực khi các mục tiêu dịch vụ bị đe dọa.

8.3.4  Quản lý bên cung ứng

8.3.4.1  Các hoạt động được yêu cầu

Tổ chức xác định, quản lý, giám sát và đánh giá các bên cung ứng nội bộ, bên ngoài và khách hàng hành động như bên cung ứng đảm bảo rằng kết quả thực hiện của các bên cung ứng này đáp ứng các mục tiêu mức dịch vụ hoặc nghĩa vụ hợp đồng cần thiết.

CHÚ THÍCH  Việc lựa chọn và mua sắm các bên cung ứng nằm ngoài phạm vi của TCVN 8695-1 (ISO/IEC 20000-1).

8.3.4.2  Giải thích

Mục đích của hoạt động được yêu cầu là quản lý các bên cung ứng để bàn giao dịch vụ liền mạch, chất lượng cao.

Một tổ chức có thể sử dụng các bên cung ứng nội bộ, bên cung ứng ngoài hoặc khách hàng đóng vai trò là bên cung ứng để cung cấp hoặc vận hành các dịch vụ, cấu phần dịch vụ hoặc quá trình. Tổ chức đảm bảo rằng họ có thể chứng minh rằng họ đang kiểm soát các bên cung ứng và các mục tiêu mức dịch vụ không chịu ảnh hưởng bởi việc sử dụng chúng.

Ví dụ về thời điểm các bên cung ứng có thể tham gia bao gồm:

a) vận hành các dịch vụ, ví dụ như một trung tâm điều hành cho trao đổi thông tin mạng thuê ngoài;

b) cung cấp các cấu phần dịch vụ, ví dụ: phần cứng, ứng dụng, cơ sở vật chất hoặc dịch vụ tiếp nhận;

c) vận hành các cấu phần dịch vụ, ví dụ: quản lý các máy chủ mà dịch vụ đám mây đang chạy;

d) vận hành các quá trình hoặc bộ phận quá trình cụ thể nằm trong phạm vi SMS của tổ chức, ví dụ: quản lý sự cố và một số báo cáo dịch vụ.

Có thể áp dụng các cách tiếp cận khác nhau cho việc quản lý các bên cung ứng ngoài và khách hàng đóng vai trò là bên cung ứng. Tổ chức cần một thỏa thuận tư liệu hóa với các bên cung ứng nội bộ. Nếu các hoạt động của tổ chức được xác định rõ ràng, các thỏa thuận tư liệu hóa và mối quan hệ làm việc với các bên cung ứng nội bộ có thể trong các chính sách và thủ tục của tổ chức và thực tiễn quản lý thông thường. Tuy nhiên, đây có thể là một lĩnh vực có rủi ro gia tăng khi các hoạt động của bên cung ứng nội bộ không được thiết lập tốt. Do đó, các tổ chức hiệu quả tư liệu hóa các thỏa thuận với tất cả các bên cung ứng, nội bộ, bên ngoài hoặc khách hàng đóng vai trò là bên cung ứng

Các mục tiêu mức dịch vụ được thiết lập giữa tổ chức và bên cung ứng phải phù hợp với SLA đã thỏa thuận với khách hàng. Bất kỳ rủi ro nào khi sử dụng bên cung ứng và sau đó vi phạm SLA đều do chính tổ chức quản lý. Ví dụ: tổ chức có thể đàm phán lại các mục tiêu với bên cung ứng hoặc tổ chức có thể làm việc với bên cung ứng để giảm thiểu rủi ro bằng cách làm cho các hoạt động hoặc giao diện hiệu quả hơn.

Giao diện giữa tổ chức và bên cung ứng có thể bao gồm các kênh trao đổi thông tin, mối quan hệ quản lý bên cung ứng, quản lý mức dịch vụ, quan hệ với các bên cung ứng khác và các giao diện khác. Tất cả những điều này nên được xác định và quản lý bởi tổ chức. Ví dụ: nếu một phần của quá trình được quản lý bởi bên cung ứng và phần khác của tổ chức, thì điều cần thiết là phải rõ ràng toàn bộ quá trình sẽ vận hành như thế nào và ai có trách nhiệm chung. Điều này nên bao gồm việc sử dụng các công cụ phổ biến hoặc riêng biệt nhưng giao diện.

Kết quả thực hiện của bên cung ứng được theo dõi và báo cáo thường xuyên, ví dụ: hàng tháng, hàng quý hoặc hàng năm, để phù hợp với nhu cầu của tổ chức. Các chỉ tiêu mức dịch vụ hoặc các cam kết khác đã thỏa thuận với bên cung ứng đóng vai trò là thông số ban đầu để đánh giá kết quả thực hiện. Sự hài lòng của khách hàng và trải nghiệm dịch vụ là những hướng dẫn cuối cùng cho kết quả thực hiện của cả chính tổ chức và các bên cung ứng. Các vấn đề về kết quả thực hiện của các bên cung ứng được giải quyết bằng cách xác định nguyên nhân và bằng cách đồng ý hành động khắc phục hoặc bằng cách cải thiện dịch vụ bằng cách sử dụng cải tiến liên tục. Đối với các bên cung ứng ngoài, các tranh chấp nghiêm trọng được tư liệu hóa và chính thức quản lý đề chấm dứt cửa. Các quá trình giải quyết tranh chấp thường được giải thích trong hợp đồng.

Nếu tổ chức đang giao dịch với các bên cung ứng chính sử dụng các bên cung ứng theo hợp đồng phụ, các bên cung ứng chính nên cung cấp bằng chứng rằng họ đang chính thức quản lý các nhà thầu phụ. Bên cung ứng chính nên tư liệu hóa tên của các bên cung ứng theo hợp đồng phụ và trách nhiệm và mối quan hệ và cung cấp thông tin này cho tổ chức nếu được yêu cầu.

Trong các khoảng thời gian nhất định, hợp đồng với bên cung ứng ngoài được xem xét đề xem liệu nó có còn hiệu lực trong môi trường dịch vụ hiện tại hay không, có thể đã thay đổi do các vấn đề nội bộ hoặc bên ngoài, bao gồm các yêu cầu dịch vụ mới hoặc thay đổi. Khi hợp đồng với các bên cung ứng ngoài được thay đổi, tác động của những thay đổi đó đối với SMS và các dịch vụ phải được đánh giá trước khi thay đổi có hiệu lực.

Các bên cung ứng nội bộ có thể được quản lý theo cách chính thức như nhau hoặc ít chính thức hơn so với các bên cung ứng ngoài tùy thuộc vào nhu cầu của tổ chức. Thỏa thuận tư liệu hóa cho các bên cung ứng nội bộ và khách hàng đóng vai trò là bên cung ứng nên bao gồm:

- mục tiêu mức dịch vụ hoặc các cam kết hợp đồng khác;

- vận hành và giao diện;

- các mục liên quan khác như tính phí, đánh giá, báo cáo, vai trò và trách nhiệm, điều kiện ngoại lệ.

Các bên cung ứng nội bộ có thể được quản lý theo cách chính thức như nhau hoặc ít chính thức hơn so với các bên cung ứng ngoài tùy thuộc vào nhu cầu của tổ chức.

8.3.4.3  Thông tin khác

Thông tin tư liệu hóa chính để quản lý bên cung ứng là hợp đồng với các bên cung ứng ngoài hoặc một thỏa thuận tư liệu hóa với các bên cung ứng nội bộ hoặc khách hàng đóng vai trò là bên cung ứng. Giữa tổ chức và các bên cung ứng ngoài, một thỏa thuận tư liệu hóa, có chứa các yếu tố sau:

- phạm vi của những gì đang được cung cấp bởi bên cung ứng ngoài, ví dụ: các dịch vụ, cấu phần dịch vụ, các quá trình hoặc các yếu tố khác của dịch vụ;

- đặc tả hoặc tuyên bố về công việc của những gì bên cung ứng ngoài đang cung cấp, chẳng hạn như hỗ trợ tại chỗ hoặc từ xa, phương thức trao đổi thông tin hoặc nhân viên được nêu tên;

- các SLA giữa tổ chức và bên cung ứng ngoài, phải phù hợp với các mục tiêu mức dịch vụ đã thỏa thuận giữa tổ chức và khách hàng của mình;

- các nghĩa vụ hợp đồng khác, chẳng hạn như các chương trình và báo cáo khuyến khích hoặc phạt có thể có;

- một góc nhìn tổng quan rõ ràng về các cơ quan và trách nhiệm, chẳng hạn như ma trận RACI, để rõ ràng ai chịu trách nhiệm và chịu trách nhiệm về những khía cạnh nào trong sự bàn giao dịch vụ của bên cung ứng;

- các mục khác theo yêu cầu như tính phí, đánh giá, báo cáo và điều kiện ngoại lệ.

Hồ sơ đo lường kết quả thực hiện của các bên cung ứng được duy trì.

Các bên cung ứng ngoài được quản lý bởi một người tận tâm hoặc được chỉ định (có tên) được chỉ định cho từng bên cung ứng ngoài. Ví dụ: có thể có một người quản lý bên cung ứng cho mỗi bên cung ứng hoặc một người quản lý bên cung ứng cho nhiều bên cung ứng. Người quản lý bên cung ứng này chịu trách nhiệm quản lý hợp đồng giữa tổ chức và bên cung ứng ngoài, duy trì mối quan hệ làm việc hiệu quả và giám sát kết quả thực hiện của bên cung ứng ngoài để giữ cho nó phù hợp với kết quả thực hiện dịch vụ tổng thể.

Người quản lý bên cung ứng có trách nhiệm và quyền hạn quản lý các bên cung ứng ngoài. Các trách nhiệm nhân sự khác bao gồm giám sát, phân tích và báo cáo về kết quả thực hiện của các bên cung ứng. Tổ chức cũng có thể có người quản lý bên cung ứng cho các bên cung ứng nội bộ hoặc khách hàng đóng vai trò là bên cung ứng, mặc dù đây không phải là một yêu cầu.

8.4  Cung và cầu

8.4.1  Lập ngân sách và kế toán cho các dịch vụ

8.4.1.1  Các hoạt động được yêu cầu

Tổ chức lập ngân sách và kế toán cho các dịch vụ theo các chính sách tài chính.

8.4.1.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để hỗ trợ sự hiểu biết của tổ chức về tổng chi phí dịch vụ và cho phép tổ chức quản lý các chi phí này.

Lập ngân sách và kế toán cho các dịch vụ giúp kiểm soát các khía cạnh tài chính của các dịch vụ và cấu phần dịch vụ, chẳng hạn như vận hành dịch vụ hoặc tài trợ cho các dịch vụ mới, thay đổi dịch vụ và cải tiến.

Lập ngân sách và kế toán hiệu quả cho các dịch vụ dựa trên việc hiểu chi phí của các dịch vụ hoặc nhóm dịch vụ, bàn giao dịch vụ tổng thể và cách tính chi phí hành chính chung, tổ chức. Lập ngân sách và kế toán cho các dịch vụ dựa trên các nguyên tắc sau:

a) chi phí dịch vụ hoặc nhóm dịch vụ, bàn giao dịch vụ tổng thể và chi phí hành chính chung của tổ chức được hiểu rõ;

b) dự báo đáng tin cậy về cả chi phí và thu nhập là có thể đạt được;

c) một ngân sách được phát triển, phê duyệt và duy trì cho thấy chi phí và thu nhập theo kế hoạch cho các dịch vụ hoặc nhóm dịch vụ;

d) phương sai ảnh hưởng đến chi phí hoặc ngân sách được xác định và quản lý;

e) việc tuân thủ ngân sách được quản lý để vòng đời dịch vụ được tài trợ đầy đủ trong suốt thời gian ngân sách;

f) dự báo, ngân sách và chi phí được xem xét thường xuyên để đảm bảo rằng quá trình này hiệu quả.

CHÚ THÍCH Thu nhập có thể đại diện cho bất kỳ phương tiện trao đổi nào phù hợp với tổ chức, có thể bao gồm tiền thực tế nhận được hoặc một mục tính toán đại diện cho thu nhập hoặc doanh thu.

Việc quản lý vận hành tài chính tạo ra bằng chứng về kiểm soát tài chính ở các cấp độ khác nhau của dịch vụ hoặc nhóm dịch vụ.

Tổ chức xác định các tiêu chí để lập ngân sách và kế toán cho các dịch vụ hoặc nhóm dịch vụ. Ví dụ: có thể phù hợp để một tổ chức lập ngân sách và kế toán ở cấp độ khách hàng cho một gói dịch vụ tổng thể hơn là cho từng dịch vụ riêng lẻ. Để đảm bảo rằng việc giám sát có liên quan và khả năng hiển thị chi phí cần thiết, các tiêu chí này được áp dụng cho các mục ngân sách và các mục kế toán. Báo cáo chi phí cho phép so sánh với chi phí mua cùng một dịch vụ ở những nơi khác trên thị trường.

Đối với mỗi dịch vụ, hoặc nhóm dịch vụ, có thể tính toán chi phí đơn vị, phân bổ chi phí gián tiếp và cung cấp chi phí dịch vụ giữa các nhóm người dùng.

Nếu tổ chức trong phạm vi của SMS là một tập hợp con của pháp nhân, trách nhiệm đối với một số quyết định tài chính có thể nằm ngoài phạm vi của SMS. Các yêu cầu liên quan đến mức độ chi tiết của thông tin tài chính phải được cung cấp, dưới hình thức nào và ở tần suất nào, có thể được quyết định bởi các bên bên ngoài tổ chức. Các yêu cầu quy định hoặc cụ thể khác của tổ chức được tính đến vì chúng có thể ảnh hưởng đến một số chính sách và thủ tục đã xác định, ví dụ: các thông lệ chi phối định nghĩa về vốn so với chi phí vận hành. Thực tiễn kế toán cho các dịch vụ được điều chỉnh cho phù hợp với thực thể pháp lý.

8.4.1.3  Thông tin khác

Thông tin tư liệu hóa được tạo và sử dụng bởi khách hàng, tổ chức và các bèn quan tâm khác có thể bao gồm:

a) quá trình, thủ tục lập ngân sách, kế toán;

b) ngân sách trong lịch sử, dự thảo ngân sách cho kỳ tới, ngân sách thực tế cho giai đoạn hiện tại;

c) dự báo quản lý dịch vụ về khối lượng công việc, năng lực (bao gồm cá nhân sự), chi phí đơn vị, các khoản mục thu, chi theo kế hoạch;

d) thời gian biểu cho sự tạo ngân sách;

e) báo cáo tài chính thể hiện chi phí và doanh thu cho từng khoảng thời gian trong kỳ ngân sách, có bất kỳ chênh lệch nào;

f) báo cáo về nguyên nhân của sự khác biệt và cách chúng có thể được quản lý;

g) đầu vào tài chính cho các dự án cải tiến dịch vụ liên tục;

h) mô hình chi phí cho thấy cách các yếu tố chi phí được sử dụng để bàn giao dịch vụ và tạo ra giá trị;

i) báo cáo cần thiết cho các mục đích pháp lý hoặc quy định.

Dự báo ngân sách và tài chính được lãnh đạo cao nhất phê duyệt.

Dự báo, ngân sách và báo cáo nên được chuẩn bị bởi nhân viên có các kỹ năng cần thiết trong tổ chức. Trách nhiệm và trách nhiệm giải trình cho các hoạt động lập ngân sách và kế toán cần được xác định và có thể bao gồm:

- quản lý ngân sách và kế toán, chịu trách nhiệm quản lý tổng thể các nguồn tài chính;

- các nhà quản lý có trách nhiệm giải trình cho một ngân sách cụ thể trong tổ chức.

8.4.2  Quản lý nhu cầu

8.4.2.1  Các hoạt động được yêu cầu

Tổ chức dự báo và phân tích nhu cầu về dịch vụ và giám sát việc tiêu thụ dịch vụ liên quan đến khả năng dịch vụ.

8.4.2.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để hiểu nhu cầu để tổ chức có thể điều chỉnh năng lực khi cần thiết để vận hành SMS và bàn giao dịch vụ một cách hiệu quả.

Các yêu cầu về dịch vụ, như được tư liệu hóa trong danh mục dịch vụ và SLA, bao gồm các mục tiêu kết quả thực hiện và giới hạn khối lượng công việc. Dựa trên những điều này, tổ chức xác định đơn vị hoặc quy mô để đo lường nhu cầu hoặc mức tiêu thụ của từng dịch vụ hoặc nhóm dịch vụ. Ví dụ: đơn vị có thể là số lượng người dùng của mỗi dịch vụ và mức tiêu thụ liên quan dự kiến về băng thông hoặc lưu trữ trung bình hoặc cao nhất.

Tổ chức giám sát những thay đổi về nhu cầu để kiểm tra xem nó có nằm trong mức dự kiến hay không. Khi mức tiêu thụ nguồn lực dịch vụ lệch đáng kể so với phạm vi mà các dịch vụ đã được định mức, quản lý nhu cầu và quản lý khả năng sẽ hợp tác để thống nhất những thay đổi cần thiết về năng lực. Dự báo nhu cầu là đầu vào quan trọng cho việc lập ngân sách và kế toán và cho các hoạt động hoạch định năng lực dịch vụ trong quản lý khả năng.

8.4.2.3  Thông tin khác

Thông tin tư liệu hóa để quản lý nhu cầu bao gồm:

a) dự báo nhu cầu;

b) báo cáo tiêu thụ dịch vụ.

Các vai trò chịu trách nhiệm giám sát và quản lý nhu cầu khác nhau dựa trên đặc điểm tổ chức.

8.4.3  Quản lý khả năng

8.4.3.1  Các hoạt động được yêu cầu

Tổ chức xác định, tư liệu hóa và cung cấp các nguồn nhân lực, kỹ thuật, thông tin và tài chính cần thiết để đáp ứng các yêu cầu về năng lực của dịch vụ.

8.4.3.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để đảm bảo rằng tổ chức có đủ năng lực liên quan đến các nguồn lực để đáp ứng nhu cầu dịch vụ hiện tại và tương lai.

Quản lý khả năng được thực hiện trong một số lĩnh vực, bao gồm con người (ví dụ: đủ cấp độ nhân sự để hỗ trợ dịch vụ), kỹ thuật (ví dụ: băng thông, sức mạnh xử lý), thông tin (ví dụ: có đủ dữ liệu để đưa ra quyết định, lưu trữ thông tin) và nguồn tài chính (ví dụ: ngân sách dịch vụ). Thông thường, các yêu cầu về năng lực con người và tài chính được lên kế hoạch bên ngoài việc quản lý khả năng, ví dụ như bởi các bộ phận nhân sự và tài chính.

Quản lý khả năng có thể được liên kết chặt chẽ với Nguồn lực 7.1, xác định và cung cấp nguồn lực. Quản lý khả năng bao gồm yếu tố hoạch định dựa trên nhu cầu hiện tại và dự báo. Hai mệnh đề có thể được liên kết với nhau trong SMS.

Dung lượng có thể được quản lý ở cấp độ của một Cl riêng lẻ (ví dụ: lưu trữ), sự kết hợp của các Cl liên quan (ví dụ: cụm máy chủ) hoặc ở cấp độ của chính dịch vụ (ví dụ: khả năng trao đổi thông tin đầu cuối). Các yêu cầu về năng lực được xác định và tư liệu hóa, để quản lý khả năng có thể hoạch định cung cấp đủ năng lực đáp ứng các yêu cầu về dịch vụ và kết quả thực hiện. Mặc dù TCVN 8695-1 (ISO/IEC 20000-1) không có yêu cầu về kế hoạch khả năng, nhưng việc hoạch định cho khả năng vẫn rất cần thiết.

a) năng lực được lên kế hoạch dựa trên các khía cạnh sau:

b) hiểu các mức độ và loại nhu cầu của người dùng dịch vụ, được xác định bởi quản lý nhu cầu;

năng lực được cung cấp phù hợp với các mục tiêu mức dịch vụ đã thỏa thuận, yêu cầu về tính sẵn sàng dịch vụ, yêu cầu thực hiện và cân nhắc về tính liên tục của dịch vụ;

Các thay đổi về năng lực dịch vụ được thực hiện kịp thời, theo yêu cầu của nhu cầu và trước khi vượt quá ngưỡng thỏa thuận, do đó chất lượng dịch vụ không chịu ảnh hưởng.

Đủ năng lực được cung cấp để đáp ứng các yêu cầu được tư liệu hóa trong các mục tiêu mức dịch vụ và các thỏa thuận tài liệu khác với khách hàng. Giám sát liên tục khả năng được cung cấp diễn ra, các xu hướng được phân tích và mọi hành động khắc phục cần thiết được thực hiện để có thể duy trì kết quả thực hiện dịch vụ. Các vấn đề với việc cung cấp năng lực có thể được điều tra thông qua quản lý sự cố hoặc quản lý vấn đề và các cải tiến được thực hiện thông qua cải tiến liên tục.

8.4.3.3  Thông tin khác

Thông tin tư liệu hóa để quản lý khả năng bao gồm các yêu cầu về năng lực, kế hoạch, dự báo, các bài tập xu hướng hoặc mô hình hóa và chính sách bảo mật, dựa trên các mục tiêu mức dịch vụ đã thỏa thuận và quản lý nhu cầu.

Dự báo và báo cáo năng lực được tạo và phân tích. Hồ sơ được lưu giữ về bất kỳ thay đổi nào dựa trên các báo cáo này do giám sát năng lực, cũng như các thay đổi được thực hiện đối với năng lực dựa trên các báo cáo này và theo nhu cầu của khách hàng.

Quyền hạn đưa ra quyết định thay đổi năng lực dịch vụ được giao cho nhân viên trong tổ chức. Các nhân sự khác theo dõi và báo cáo về năng lực hiện tại và dự báo dựa trên nhu cầu.

8.5  Thiết kế, xây dựng và chuyển tiếp dịch vụ

8.5.1  Quản lý thay đổi

8.5.1.1  Các hoạt động được yêu cầu

Tổ chức thiết lập một chính sách quản lý thay đổi.

Tổ chức tư liệu hóa và phân loại các yêu cầu thay đổi bao gồm thêm, xóa hoặc chuyển các dịch vụ. Việc bắt đầu thay đổi quyết định nơi quản lý thay đổi, ví dụ: thông qua các hoạt động quản lý thay đổi hoặc thông qua thiết kế và chuyển tiếp dịch vụ.

Tổ chức phê duyệt và ưu tiên các thay đổi dựa trên rủi ro, lợi ích kinh doanh, tính khả thi và tác động tài chính. Tổ chức kiểm tra (nếu có thể), triển khai, đảo ngược (nếu cần) và xem xét các thay đổi về hiệu quả và xu hướng. Những thay đổi không thành công được điều tra và các hành động khắc phục được thực hiện.

8.5.1.2  Giải thích

Mục đích của hoạt động được yêu cầu này là đề duy trì sự ổn định và kiểm soát các thay đổi (bao gồm cả việc bổ sung và xóa bỏ) đối với SMS và các dịch vụ như được nêu trong chính sách quản lý thay đổi.

Quản lý thay đổi kiểm soát các sửa đổi được thực hiện đối với các dịch vụ, cấu phần dịch vụ và SMS. Các thay đổi được kiểm soát chính thức để đánh giá tác động của sự thay đổi và giảm thiểu rủi ro tác động tiêu cực và đạt được kết quả mong muốn. Tổ chức thiết lập chính sách quản lý thay đổi liên quan đến những cấu phần dịch vụ nào đang được kiểm soát thay đổi và các danh mục (cấp độ) kiểm soát thay đổi, chẳng hạn như những thay đổi có khả năng tác động lớn, thay đổi khẩn cấp hoặc thay đổi được phê duyệt trước.

8.5.1.2.1  Chính sách quản lý thay đổi

Chính sách quản lý thay đổi xác định phạm vi quản lý thay đổi. Có thể không phải tất cả các cấu phần của dịch vụ đều cần thuộc quản lý thay đổi, vì vậy tổ chức xác định cấu phần nào thuộc phạm vi và cấu phần nào không. Ví dụ: vật tư tiêu hao có thể là một cấu phần dịch vụ, nhưng không phải chịu sự quản lý thay đổi. Tổ chức xem xét thông tin và hồ sơ liên quan đến dịch vụ để quyết định xem tất cả hay chỉ một phần trong phạm vi quản lý thay đổi. Ví dụ: những thay đổi đối với hợp đồng và thỏa thuận tư liệu hóa có thể được kiểm soát bởi một bộ phận khác của tổ chức; một số thay đổi đối với thông tin tư liệu hóa có thể được kiểm soát bởi một nhóm quản lý thông tin; và những thay đổi về bên cung ứng đã chọn có thể được thực hiện ngoài phạm vi của SMS.

Chính sách quản lý thay đổi xác định các loại thay đổi phải được sử dụng trong tổ chức tùy thuộc vào mức độ đánh giá và phê duyệt cần thiết trước khi thực hiện. Danh mục có thể là:

- tiêu chuẩn, thường được quản lý bởi quản lý yêu cầu dịch vụ;

- thay đổi bình thường được quản lý bởi quản lý thay đổi;

- thay đổi dự án, được quản lý bởi thiết kế và chuyển tiếp dịch vụ;

- thay đổi khẩn cấp, trong đó các chính sách có thể cho phép phê duyệt hoặc phê duyệt nhanh sau khi thay đổi được áp dụng.

Chính sách quản lý thay đổi xác định các tiêu chí mà theo đó nó được xác định những thay đổi nào được coi là có khả năng tác động lớn đến dịch vụ hoặc khách hàng. Ví dụ bao gồm chi phí hoặc nỗ lực trên ngưỡng, rủi ro cao và các kỹ năng hoặc công nghệ bất thường. Ngoài ra, một số dịch vụ mới hoặc thay đổi có thể được quản lý bởi quản lý cấp cao để được quản lý như một dự án sử dụng thiết kế và chuyển tiếp dịch vụ.

Mặc dù các loại thay đổi này được thực hiện thông qua thiết kế và chuyển tiếp dịch vụ, việc kiểm soát thay đổi và quyết định phê duyệt thay đổi được xử lý bởi quản lý thay đổi. Do đỏ, quản lý thay đổi nên liên quan đến các thủ tục rõ ràng để đánh giá, phê duyệt, lên lịch và xem xét các hoạt động thay đổi. Một thay đổi lớn duy nhất có thể dẫn đến nhiều thay đổi cấp thấp hơn, một số thay đổi có thể được quản lý như thay đổi bình thường, thay đổi tiêu chuẩn hoặc được xử lý dưới dạng yêu cầu dịch vụ.

Chính sách quản lý thay đổi có thể bao gồm các Điều cụ thể cho các thay đổi tự động, nếu có. Sau đó, chính sách xác định những trường hợp nào và cho những phần nào của dịch vụ thay đổi tự động có thể được sử dụng, quá trình phê duyệt thay thế nào có thể áp dụng và những bước xác minh nào phải được thực hiện. Bản thân việc phê duyệt và xác minh có thể được tự động hóa nhưng cần được xác định, đánh giá và phê duyệt bởi cơ quan thay đổi trước khi chúng có thể được sử dụng.

Hình 3 minh họa các mối quan hệ và điểm quyết định giữa một số quá trình điển hình trong quản lý dịch vụ với các kết nối với các Điều trong TCVN 8695-1 (ISO/IEC 20000-1).

Hình 3 - Các mối quan hệ của thiết kế, xây dựng, chuyển tiếp dịch vụ và quản lý thay đổi

8.5.1.2.2  Sự khởi đầu quản lý thay đổi

Quản lý thay đổi được bắt đầu bằng các yêu cầu thay đổi được tư liệu hóa để sửa đổi các dịch vụ, cấu phần dịch vụ hoặc các khía cạnh khác của SMS. Các đề xuất cũng có thể gọi các dịch vụ mới, loại bỏ các dịch vụ hoặc chuyển các dịch vụ hiện có vào hoặc ra khỏi tổ chức. Yêu cầu thay đổi nhận được được tư liệu hóa và phân loại dựa trên các danh mục được nêu trong chính sách quản lý thay đổi. Cơ quan thay đổi (tùy thuộc vào danh mục thay đổi) xác định xem các yêu cầu thay đổi phải được phê duyệt, hoãn lại hay bị từ chối.

Các quyết định được đưa ra khi bắt đầu thay đổi về cách quản lý yêu cầu thay đổi. Những thay đổi này, cần được quản lý theo thiết kế và chuyển tiếp dịch vụ, bao gồm:

a) dịch vụ mới hoặc thay đổi đối với các dịch vụ có khả năng có tác động lớn đến khách hàng hoặc các dịch vụ khác như được xác định bởi chính sách quản lý thay đổi được mô tả ở trên;

b) loại bỏ các dịch vụ;

c) chuyển một dịch vụ hiện có từ tổ chức sang khách hàng hoặc bên khác, chẳng hạn như trong trường hợp thuê ngoài;

d) chuyển một dịch vụ hiện có từ khách hàng hoặc bên khác sang tổ chức, chẳng hạn như trong trường hợp tìm nguồn cung ứng;

e) bất kỳ thay đổi nào khác mà tổ chức xác định có thể có tác động lớn.

Những thay đổi không được quản lý bởi thiết kế và chuyển tiếp dịch vụ được quản lý bởi các hoạt động thay đổi.

8.5.1.2.3  Vận hành quản lý thay đổi

Việc nhận được một yêu cầu được tư liệu hóa sẽ bắt đầu các hoạt động quản lý thay đổi. Yêu cầu được đánh giá, phê duyệt, trì hoãn hoặc từ chối.

Các bên quan tâm, chẳng hạn như người dùng, bên cung ứng và nhân viên dịch vụ, được xác định và thông báo về những thay đổi theo kế hoạch có thể ảnh hưởng đến họ. Họ cung cấp bất kỳ thông tin cần thiết nào để hỗ trợ việc đánh giá yêu cầu.

Yêu cầu thay đổi được ưu tiên, để các thay đổi có thể được thực hiện theo thứ tự phục vụ tốt nhất kết quả kinh doanh của khách hàng và chính tổ chức. TCVN 8695-1 (ISO/IEC 20000-1): 2018, 8.2.2, Hoạch định dịch vụ, cũng có các yêu cầu về mức độ ưu tiên của các thay đổi cần được tính đến.

Quyết định về yêu cầu thay đổi được đưa ra dựa trên các tiêu chí do tổ chức đặt ra, có thể bao gồm:

a) rủi ro khi thực hiện các thay đổi và tác động tài chính có thể có đối với tổ chức;

b) lợi ích kinh doanh của những thay đổi được đề xuất;

c) tính khả thi của việc thực hiện thành công, tuân thủ các chính sách đã được thiết lập hoặc yêu cầu chính sách quản lý thay đổi dịch vụ;

d) tác động đến các dịch vụ hiện có;

e) cần có sự phối hợp để quản lý sự thay đối với khách hàng, người dùng và các bên quan tâm khác, không chỉ trong quá trình chuyển tiếp, mà sau đó, khi các dịch vụ hiện có có thể vận hành khác với những gì các bên này đã quen thuộc;

f) dẫn đến những thay đổi trong chính sách và kế hoạch SMS theo yêu cầu của tiêu chuẩn này;

g) tác động đến an ninh thông tin;

h) tác động đến tính sẵn sàng dịch vụ trong và sau khi thay đổi, và khả năng khả dụng;

i) các yêu cầu thay đổi, phiên bản lưu hành và kế hoạch triển khai đang chờ xử lý khác, có thể ảnh hưởng đến các thay đổi được đề xuất;

j) tác động đến tính liên tục của dịch vụ.

Các thay đổi đã được phê duyệt được lên kế hoạch, phát triển (xây dựng) và thử nghiệm. Kết quả kiểm tra được phân tích trước khi ủy quyền cuối cùng được đưa ra để thực hiện thay đổi. Hoạch định bao gồm một cách để đẩy lùi sự thay đổi. Trong thực tế, việc khôi phục không phải lúc nào cũng có thể thực hiện được, nhưng tổ chức nên hoạch định khôi phục hoặc giảm thiểu thay thế.

VÍ DỤ  Nếu thay đổi là một ứng dụng, thì việc khôi phục có thể là phiên bản gốc của ứng dụng. Nếu thay đổi là một phần cứng, thì có thể xóa cấu phần phần cứng chưa vận hành hoặc có thể không quay lại ở giai đoạn này.

Nếu thay đổi ảnh hưởng đến Cl, thông tin cấu hình và thông tin tư liệu hóa liên quan của Cl phải được cập nhật theo các nguyên tắc trong quản lý cấu hình.

Các thay đổi được xây dựng và thử nghiệm sẽ chuyển sang quản lý phiên bản lưu hành và triển khai phải được triển khai vào môi trường trực tiếp.

Sau khi thực hiện thay đổi, tổ chức đánh giá tính hiệu quả của nó, so với kết quả kỳ vọng. Tổ chức có thể cần thực hiện các hành động khắc phục đã thỏa thuận với các bên quan tâm.

Hồ sơ thay đổi được phân tích đề xác định xu hướng thay đổi, chẳng hạn như tỷ lệ thực hiện thay đổi thành công lần đầu tiên hoặc các thay đổi dịch vụ được yêu cầu. Học hỏi từ phân tích này nên được sử dụng để cải tiến liên tục như mô tả.

8.5.1.3  Thông tin khác

Tổ chức tạo thông tin tư liệu hóa như sau:

a) chính sách quản lý thay đổi, cần được phê duyệt và cung cấp cho các bên quan tâm;

b) thay đổi quá trình quản lý, để quản lý các loại thay đổi được xác định trong chính sách quản lý thay đổi;

c) yêu cầu thay đổi, cần xác định các Cl chịu ảnh hưởng, lý do thay đổi (bao gồm các vấn đề liên quan hoặc các lỗi đã biết cần giải quyết), tác động nếu thay đổi không được thực hiện cũng như lịch trình và nguồn lực ước tính để thực hiện thay đổi. Yêu cầu thay đổi có thể bao gồm dự toán chi phí chi tiết hoặc cấp cao để sử dụng trong hoạch định ngân sách;

d) hồ sơ theo dõi trạng thái phê duyệt hoặc từ chối của các yêu cầu thay đổi;

e) báo cáo về xu hướng thay đổi và kết quả là các hoạt động cải tiến.

Tổ chức chỉ định một quyền hạn thay đổi có thể phê duyệt và từ chối các yêu cầu thay đổi. Đây có thể là một người duy nhất, một nhóm người hoặc thậm chí là một hệ thống tự động, tùy thuộc vào bản chất của các yêu cầu và của chính tổ chức.

Chính sách quản lý thay đổi xác định vai trò nào có trách nhiệm phê duyệt các loại thay đổi khác nhau. Ví dụ: những thay đổi có tác động đáng kể đến chi phí có thể được đưa ra quản lý cấp cao nhất để đưa ra quyết định, trong khi những thay đổi có thể được thực hiện với các nguồn lực và ngân sách hiện có có thể được quyết định bởi một nhóm người quản lý họp thường xuyên cho các dịch vụ chịu ảnh hưởng.

Nhân sự có thể được chỉ định để đánh giá các thay đổi được thực hiện gần đây và hồ sơ thay đổi để phân tích xu hướng và các hành động cải tiến.

8.5.2  Thiết kế và chuyển tiếp dịch vụ

8.5.2.1  Các hoạt động được yêu cầu

Tổ chức hoạch định, thiết kế, xây dựng và chuyển tiếp các dịch vụ dựa trên các yêu cầu dịch vụ đã thỏa thuận.

8.5.2.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để đảm bảo rằng các dịch vụ mới hoặc đã thay đổi, các thay đổi đối với dịch vụ, loại bỏ dịch vụ hoặc chuyển giao các dịch vụ hiện có đáp ứng các yêu cầu dịch vụ và sẽ có thể cung cấp và quản lý được với chi phí và chất lượng dịch vụ đã thỏa thuận. Thiết kế và chuyển tiếp dịch vụ áp dụng cho các hoạt động nhằm đưa dịch vụ mới hoặc đã thay đổi từ một khái niệm hoặc yêu cầu vào vận hành, loại bỏ dịch vụ hoặc chuyển vận hành dịch vụ sang hoặc từ một bên khác. Dựa trên sự chấp thuận từ quản lý thay đổi, nó bao gồm việc hoạch định, thiết kế, xây dựng và chuyển tiếp các dịch vụ mới cũng như thay đổi, loại bỏ hoặc chuyển giao dịch vụ.

8.5.2.2.1  Hoạch định

Các hoạt động hoạch định xác định các cân nhắc cần được tính đến để quản lý thay đổi đối với dịch vụ và giải thích cách thực hiện thay đổi dịch vụ trước khi thực hiện thay đổi. Hoạch định có thể được tinh chỉnh đồng thời với thiết kế, khi các chi tiết được thống nhất thông qua phân tích và tham vấn với các bên quan tâm, và khi các hạn chế hoặc rủi ro bổ sung được xác định.

Các hoạt động hoạch định sau đây được thực hiện:

a) xác định trách nhiệm và quyền hạn đối với các hoạt động thiết kế, xây dựng và chuyển tiếp để các hoạt động này được liên kết và phối hợp hiệu quả. Xác định người có quyền hạn đưa ra các quyết định cụ thể trong quá trình thiết kế, xây dựng và chuyển tiếp;

b) xác định các hoạt động được thực hiện bởi tổ chức hoặc các bên khác với các mốc thời gian và cột mốc quan trọng trong quá trình thiết kế, xây dựng và chuyển tiếp;

c) xác định các nguồn lực cần thiết để thiết kế, xây dựng và chuyển tiếp thành công các dịch vụ mới hoặc dịch vụ đã thay đổi. Những nguồn lực này bao gồm các nguồn lực như con người (nhân sự, cả nội bộ và bên ngoài tổ chức), kỹ thuật (công cụ, các hệ thống và phần mềm), thông tin (các yêu cầu, thông tin về các dịch vụ hiện có, thông tin khách hàng) và tài chính (ngân sách và nguồn vốn);

d) phân tích sự phụ thuộc vào các dịch vụ khác và các mối quan hệ có thể có giữa các dịch vụ hiện có và dịch vụ mới hoặc dịch vụ thay đổi đang được triển khai. Mối quan hệ này có thể ảnh hưởng đến cách thiết kế dịch vụ và các hoạt động chuyển tiếp cần được thực hiện hoặc khi chúng có thể được lên lịch trình. Nó cũng có thể xác định những thay đổi cần thiết đối với các dịch vụ phụ thuộc;

e) xác định các yêu cầu đối với thử nghiệm như một phần của giai đoạn hoạch định. Vì không có thử nghiệm nào có thể toàn diện nên phạm vi thử nghiệm được lên kế hoạch để bao gồm các mục đích sử dụng quan trọng nhất của dịch vụ;

f) xác định xem ngân sách dự án có phù hợp với mức nỗ lực đã hoạch định hay không;

g) tư liệu hóa các tiêu chí chấp nhận dịch vụ, do khách hàng hoặc do chính tổ chức hoặc các bên quan tâm khác thiết lập, sao cho rõ ràng khi một dịch vụ mới hoặc các thay đổi đối với một dịch vụ đã được triển khai thành công. Tiêu chí chấp nhận dịch vụ có thể bao gồm kết quả thực hiện, khả năng truy cập, tính sẵn sàng, bảo mật hoặc các khía cạnh khác, chẳng hạn như tài liệu về thử nghiệm hoàn chỉnh và thành công;

h) thực hiện các hoạt động quản lý rủi ro và hoạch định vận hành để xác định, đánh giá và xử lý rủi ro khi cần thiết;

i) xác định các kết quả dự kiến từ sự bàn giao dịch vụ mới hoặc dịch vụ đã thay đổi. Các kết quả có thể được thể hiện bằng các thuật ngữ có thể đo lường, do đó việc đạt được các kết quả này có thể được xác định một cách khách quan sau khi thực hiện;

j) xác định tác động đối với SMS, các dịch vụ khác, các thay đổi đã lên kế hoạch, khách hàng, người dùng và các bên quan tâm khác, để tránh ảnh hưởng tiêu cực có thể có đối với những dịch vụ này từ thiết kế dịch vụ và quá trình chuyển tiếp của dịch vụ mới hoặc dịch vụ đã thay đổi.

Hoạch định bao gồm việc trao đổi thông tin với các bên quan tâm, chẳng hạn như các bên cung ứng, đồng thời thông báo cho lãnh đạo cao nhất về tiến độ và nhu cầu ra quyết định.

Cân nhắc hoạch định cụ thể được áp dụng cho các dịch vụ đang bị xóa, chẳng hạn như đặt ngày mà các dịch vụ sẽ bị xóa và ngày của các hoạt động lưu trữ, xử lý hoặc chuyển giao dữ liệu, tài liệu và các cấu phần dịch vụ. Những ngày này được thông báo rõ ràng cho tất cả các bên quan tâm. Việc hoạch định này có thể xác định các yếu tố phụ thuộc, chẳng hạn như tính sẵn sàng dịch vụ mới trước khi dịch vụ cũ có thể bị xóa.

Tương tự, đối với các dịch vụ được cung cấp cho khách hàng hoặc một bên khác, việc hoạch định chuyển giao bao gồm thiết lập ngày chuyển giao dịch vụ và ngày của các hoạt động lưu trữ, xử lý hoặc chuyển giao dữ liệu, tài liệu, kiến thức, và các cấu phần dịch vụ. Những ngày này được thông báo rõ ràng cho tất cả các bên quan tâm. Tổ chức cũng có thể cần xem xét quyền sở hữu trí tuệ của các mặt hàng được cung cấp.

Các Cl chịu ảnh hưởng bởi thiết kế và quá trình chuyển tiếp của các dịch vụ mới hoặc đã thay đổi được kiểm soát thông qua quản lý cấu hình.

8.5.2.2.2  Thiết kế

Các hoạt động thiết kế dẫn đến một thiết kế dịch vụ được tư liệu hóa phản ánh các yêu cầu dịch vụ đối với dịch vụ mới hoặc dịch vụ đã thay đổi, như được xác định ban đầu trong hoạch định danh mục đầu tư (xem 8.2.1). Các hoạt động liên quan cho thiết kế dịch vụ bao gồm:

a) xác định các yêu cầu hoặc thay đổi mới đối với nguồn nhân lực, kỹ thuật, thông tin và tài chính cũng như các nguồn lực này chịu ảnh hưởng như thế nào khi triển khai dịch vụ;

b) xác định trách nhiệm và quyền hạn của các bên liên quan đến việc vận hành và bàn giao dịch vụ mới hoặc dịch vụ đã thay đổi. Các bên có thể là nội bộ hoặc bên ngoài;

c) xác định các nhu cầu về giáo dục, đào tạo, kỹ năng và kinh nghiệm thích hợp của nhân viên thực hiện việc cung cấp và vận hành dịch vụ mới hoặc dịch vụ đã thay đổi;

d) cập nhật danh mục dịch vụ khi có liên quan, ví dụ: thêm dịch vụ mới, xóa dịch vụ đã xóa, cập nhật dịch vụ đã thay đổi;

e) mô tả những thay đổi đối với hệ thống đo lường được sử dụng để quản lý kết quả thực hiện;

f) xác định tác động có thể có đối với các dịch vụ khác, thực hiện các hoạt động quản lý rủi ro để tác động được giảm xuống mức có thể chấp nhận;

g) những thay đổi mới hoặc cần thiết đối với SLA, hợp đồng hoặc thỏa thuận tư liệu hóa khác tùy thuộc vào yêu cầu dịch vụ và việc sử dụng của các bên khác;

h) cập nhật các phần khác của SMS có thể yêu cầu thay đổi chính sách, quá trình hoặc thủ tục để triển khai cho các nhân viên có liên quan.

Các Cl chịu ảnh hưởng bởi thiết kế và chuyển tiếp của các dịch vụ mới hoặc đã thay đổi được kiểm soát thông qua quản lý cấu hình.

8.5.2.2.3  Xây dựng và chuyển tiếp

Các hoạt động xây dựng và chuyển tiếp tuân theo kế hoạch và thiết kế dịch vụ để triển khai dịch vụ mới hoặc dịch vụ đã thay đổi. Các hoạt động xây dựng bao gồm tập hợp lại các cấu phần dịch vụ hoặc dịch vụ và thử nghiệm chúng, để có thể chứng minh rằng các yêu cầu dịch vụ đã được đáp ứng để đáp ứng nhu cầu của khách hàng và đáp ứng thiết kế được tư liệu hóa cũng như các tiêu chí chấp nhận dịch vụ.

Thử nghiệm được thực hiện trên các dịch vụ mới hoặc đã thay đổi trước khi triển khai. Việc thử nghiệm có khả thi hay không tùy thuộc vào bản chất của dịch vụ và môi trường dịch vụ, vì không phải mọi tình huống đều cho phép thử nghiệm. Nếu chuyển tiếp sang dịch vụ mới liên quan đến việc xóa dịch vụ cũ, thì quá trình kiểm tra được thực hiện để xác minh vận hành có thể chấp nhận của các dịch vụ còn lại có phụ thuộc hoặc giao diện với dịch vụ đã xóa.

Trong trường hợp các tiêu chí chấp nhận dịch vụ chưa được đáp ứng, các hành động phải được thống nhất. Những hành động này có thể bao gồm trì hoãn việc triển khai và sửa chữa các thiếu sót hoặc lỗi đã biết hoặc tiếp tục triển khai với một danh sách các hạng mục cần sửa chữa hoặc hoàn thành sau khi triển khai. Các hoạt động này liên quan đến việc phân tích kết quả kiểm tra và xác định các bước để sửa đổi kế hoạch hoặc thiết kế của dịch vụ mới hoặc dịch vụ đã thay đổi để lần kiểm tra tiếp theo sẽ thành công.

Việc kích hoạt dịch vụ mới hoặc dịch vụ đã thay đổi vào môi trường trực tiếp, sau khi được quản lý thay đổi phê duyệt, được thực hiện bằng cách sử dụng các hoạt động phiên bản lưu hành và triển khai.

Sau khi triển khai, các bên quan tâm có liên quan được thông báo về thành công hay thất bại hoặc việc triển khai, tác động đối với họ là gì và mọi bước tiếp theo cần thực hiện trong quá trình. Việc đạt được kết quả dự kiến của dịch vụ mới hoặc đã thay đổi được xác minh. Thành công chỉ có thể được chú ý sau một khoảng thời gian dài, tùy thuộc vào loại dịch vụ hoặc thay đổi được thực hiện.

8.5.2.3  Thông tin khác

Các hoạt động hoạch định, cho cả thiết kế và xây dựng dịch vụ cũng như chuyển tiếp dịch vụ, có thể được tư liệu hóa trong một kế hoạch chính thức hoặc được tư liệu hóa trong nhiều đồ tạo tác khác nhau, chẳng hạn như lịch biểu, thời gian biểu, bảng RACI và danh sách nhiệm vụ.

Một thiết kế dịch vụ được tư liệu hóa để phản ánh các yêu cầu dịch vụ phải được dịch vụ đáp ứng như thế nào. Mô tả thiết kế dịch vụ có thể chỉ đơn giản là danh sách các Cl được lên kế hoạch, mô tả về các hệ thống khác nhau hỗ trợ dịch vụ, mô tả về cách thức vận hành dịch vụ và các phiên bản sơ bộ của các SLA.

Nếu có thể, thiết kế dịch vụ được tư liệu hóa có thể dẫn đến SLA mới hoặc thay đổi, hợp đồng và các thỏa thuận tư liệu hóa khác hỗ trợ các dịch vụ. Điều này bao gồm các thỏa thuận trong tổ chức, thỏa thuận với khách hàng và người dùng dịch vụ cũng như thỏa thuận với các bên thứ ba hỗ trợ dịch vụ.

Việc triển khai dịch vụ mới hoặc đã thay đổi có thể dẫn đến thay đổi danh mục dịch vụ. Cập nhật danh mục dịch vụ được thực hiện thông qua quản lý danh mục dịch vụ.

Các dịch vụ mới hoặc thay đổi dịch vụ ảnh hưởng đến SMS có thể được phản ánh trong kế hoạch quản lý dịch vụ, cũng như các chính sách, kế hoạch, thủ tục, biện pháp và kiến thức mới hoặc đã thay đổi cần thiết để quản lý thành công dịch vụ.

Kết quả kiểm tra dịch vụ mới hoặc đã thay đổi được tư liệu hóa, cùng với các hành động có thể được thực hiện để xử lý kết quả kiểm tra không thành công và triển khai thành công dịch vụ ở lần thử tiếp theo.

Các quá trình chi tiết được tạo ra và thử nghiệm cho các hoạt động chuyển tiếp phức tạp hoặc kéo dài, bao gồm các quá trình quay lui nếu có thể.

Giai đoạn hoạch định thiết lập và tư liệu hóa về các cơ quan có trách nhiệm và quyền hạn đối với việc thiết kế, xây dựng và chuyển tiếp dịch vụ. Vai trò phối hợp trung tâm, chẳng hạn như người quản lý dự án, được xác định, cùng với các thành viên trong nhóm xử lý các khía cạnh quan trọng của thiết kế và chuyển tiếp dịch vụ, theo yêu cầu của các chi tiết cụ thể của dịch vụ đang được triển khai hoặc thay đổi. Các vai trò khác nhau có thể được thiết lập chịu trách nhiệm thiết kế, hoạch định, thử nghiệm và thực hiện các thay đổi.

8.5.3  Quản lý phiên bản lưu hành và triển khai

8.5.3.1  Các hoạt động được yêu cầu

Tổ chức hoạch định, kiểm tra, triển khai và đánh giá sự thành công hay thất bại của một phiên bản lưu hành vào môi trường trực tiếp, phối hợp các hoạt động phiên bản lưu hành và triển khai với quản lý thay đổi.

CHÚ THÍCH  Đối với các mục đích của vận hành phiên bản lưu hành, "môi trường trực tiếp" có thể bao gồm môi trường tiền sản xuất cũng như môi trường sản xuất trực tiếp hoặc vận hành.

8.5.3.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để đảm bảo rằng việc triển khai các phiên bản lưu hành vào môi trường trực tiếp được lên kế hoạch và kiểm soát để đáp ứng các yêu cầu.

Quản lý phiên bản lưu hành và triển khai liên quan đến việc quản lý phiên bản lưu hành dịch vụ, cấu phần dịch vụ và Cl cũng như việc triển khai chúng vào môi trường dịch vụ trực tiếp. Quản lý phiên bản lưu hành và triển khai làm như vậy trong mối quan hệ chặt chẽ với quản lý thay đổi và, nếu có, thiết kế và chuyển tiếp dịch vụ.

Phiên bản lưu hành là phiên bản mới hoặc cập nhật của dịch vụ, cấu phần dịch vụ hoặc Cl. Một phiên bản lưu hành có thể bao gồm một hoặc nhiều thay đổi. Các loại phiên bản lưu hành khác nhau có thể được xác định, chẳng hạn như thông thường, khẩn cấp, chọn lọc, theo giai đoạn hoặc các loại phiên bản lưu hành khác. Dựa trên định nghĩa của chúng, các loại phiên bản lưu hành này được đặc trưng bởi tần suất triển khai và cách chúng được quản lý, ví dụ: bằng cách sử dụng tự động hóa hay không.

Việc triển khai các dịch vụ, cấu phần dịch vụ hoặc Cl mới hoặc đã thay đổi vào môi trường trực tiếp đã được lên kế hoạch. Hoạch định phiên bản lưu hành được phối hợp với quản lý thay đổi và bao gồm các tham chiếu đến các yêu cầu thay đổi tạo thành cơ sở của phiên bản lưu hành mới.

Mọi thời gian ngừng vận hành dịch vụ do triển khai một phiên bản lưu hành đều được thỏa thuận với khách hàng và được thông báo cho tất cả các bên quan tâm.

Trong quá trình hoạch định phiên bản lưu hành, tổ chức xác định và tư liệu hóa các tiêu chí chấp nhận cho mỗi lần phiên bản lưu hành. Trước khi triển khai, phiên bản lưu hành được xác minh theo các tiêu chí chấp nhận này. Nếu phiên bản lưu hành không đáp ứng các tiêu chí chấp nhận, tổ chức và các bên quan tâm có thể áp dụng sẽ xác định cách tiến hành, chẳng hạn như sửa đổi phiên bản lưu hành để nó đáp ứng các tiêu chí chấp nhận hoặc rút hoàn toàn phiên bản lưu hành.

Cùng với quản lý cấu hình, các Cl chịu ảnh hưởng bởi phiên bản lưu hành được tạo cơ sở để trạng thái ban đầu được giữ nguyên và có thể được so sánh với trạng thái đã thay đổi sau khi phiên bản lưu hành đã được triển khai. Cách tiếp cận này duy trì tính toàn vẹn của dịch vụ và các cấu phần dịch vụ, đồng thời giúp ích trong trường hợp cần thực hiện kế hoạch khôi phục.

Thành công hay thất bại của các phiên bản lưu hành được theo dõi, đo lường và phân tích để các phương pháp triển khai có thể được cải thiện khi cần thiết. Phân tích bao gồm số lượng sự cố đã xảy ra trong khoảng thời gian ngay sau khi một phiên bản lưu hành được triển khai, trong phạm vi những sự cố này có thể liên quan đến phiên bản lưu hành. Lưu ý rằng khoảng thời gian này có thể ngắn hoặc dài, tùy thuộc vào bản chất của dịch vụ và tần suất sử dụng dịch vụ. Kết quả của phân tích này được sử dụng để xác định các hành động cải tiến dẫn đến cải tiến liên tục.

Phản hồi ngay lập tức cũng được cung cấp về sự thành công của các phiên bản lưu hành để quản lý thay đổi, quản lý sự cố và các hoạt động liên quan khác. Ví dụ: nếu một phiên bản lưu hành không thành công, quản lý thay đổi sẽ xem xét các hoạt động để tìm ra những sửa đổi cần thiết để phiên bản lưu hành có hiệu lực. Nếu được yêu cầu, quản lý sự cố sẽ đảm bảo giải pháp thay thế khả thi (hoặc biện pháp giảm thiểu tương tự) được kết nối với phiên bản lưu hành không thành công cho đến khi được khắc phục vĩnh viễn.

8.5.3.3  Thông tin khác

Việc triển khai phức tạp được tư liệu hóa trong một kế hoạch phiên bản lưu hành chi tiết, mô tả các hoạt động cần thiết để triển khai thành công. Kế hoạch phiên bản lưu hành chứa ngày triển khai của phiên bản lưu hành, như được ủy quyền bởi quản lý thay đổi và kết quả của phiên bản lưu hành là gì, ví dụ: tài liệu cập nhật, phần mềm mới hoặc các cấu phần dịch vụ cập nhật khác. Kế hoạch phiên bản lưu hành cũng mô tả phương pháp nào được sử dụng để triển khai phiên bản lưu hành, chẳng hạn như tự động hóa, quá trình thủ công hoặc các phương pháp khác, cũng như tiêu chí chấp nhận, phương pháp chứng minh rằng phiên bản lưu hành thành công, lịch trình phiên bản lưu hành, đi/không- đi đến các điểm quyết định, rút lui và quá trình khôi phục, hoạch định dự phòng cho các phương tiện vận hành thay thế nếu dịch vụ không khả dụng trong thời gian phiên bản lưu hành và các thông tin liên quan khác cho việc phiên bản lưu hành.

Tài liệu phiên bản lưu hành cho các quá trình thông thường có thể được nhúng trong các công cụ, nhật ký và báo cáo tự động.

Các hồ sơ khác có thể bao gồm vạch chuẩn của Cl, được thực hiện trước khi phiên bản lưu hành, phân tích tỷ lệ thành công của phiên bản lưu hành và các kế hoạch cải tiến khả thi. Nếu một phiên bản lưu hành được sử dụng để khắc phục các lỗi hoặc sự cố đã biết, thì chúng cũng được tham chiếu trong hồ sơ phiên bản lưu hành.

8.6  Giải quyết và hoàn thiện

8.6.1  Quản lý sự cố

8.6.1.1  Các hoạt động được yêu cầu

Tổ chức quản lý việc giải quyết các sự kiện ngoài ý muốn làm gián đoạn hoặc có thể làm gián đoạn dịch vụ. Các sự cố được quản lý từ khi tư liệu hóa đến khi kết thúc, với một quá trình cụ thể để quản lý các sự cố lớn.

8.6.1.2  Giải thích

Mục đích của hoạt động được yêu cầu này là khôi phục các dịch vụ chịu ảnh hưởng càng sớm càng tốt sau sự cố và trong các mục tiêu mức dịch vụ đã thỏa thuận.

Các hoạt động quản lý sự cố có thể giảm thiểu tác động của sự cố đối với chất lượng dịch vụ. Khi sự cố được xác định, chúng được tư liệu hóa và phân loại. Việc phân loại có thể theo mức độ khẩn cấp, tác động, bản chất, loại dịch vụ, loại người dùng chịu ảnh hưởng hoặc theo các phương tiện khác cho phép xác định rõ ràng và ưu tiên sự cố.

CHÚ THÍCH 1  Các tổ chức có thể xác định các loại sự cố và ưu tiên của riêng họ. Những điều này cũng có thể áp dụng cho các yêu cầu và sự cố dịch vụ. Sự cố có tương quan với các dịch vụ mà chúng ảnh hưởng. Hồ sơ sự cố có thể xác định không chỉ dịch vụ chính chịu ảnh hưởng mà còn cả các dịch vụ, cấu phần dịch vụ hoặc Cl chịu ảnh hưởng gián tiếp. Một ví dụ về các dịch vụ chịu ảnh hưởng gián tiếp xảy ra khi nhiều dịch vụ chia sẻ các cấu phần dịch vụ hoặc Cl.

Đôi khi, nhiều sự cố được báo cáo có liên quan đến cùng một nguyên nhân gốc rễ. Hồ sơ về các sự cố liên quan được liên kết để hỗ trợ xác định mức độ của một sự cố hoặc vấn đề. Liên kết các hồ sơ liên quan cũng tập trung vào việc xác định các vấn đề để loại bỏ nguyên nhân của sự cố hoặc cung cấp giải pháp thay thế nếu không thể khắc phục kịp thời một loạt sự cố. Sự cố có thể được xử lý bằng các hoạt động quản lý vấn đề, đặc biệt khi nguyên nhân cơ bản không rõ ràng.

CHÚ THÍCH 2  Sự cố không giống như sự không phù hợp (một yêu cầu chưa được đáp ứng). Nguyên nhân của sự cố có thể cảnh báo tổ chức về sự không phù hợp.

Khi một sự cố không thể được giải quyết kịp thời, nó có thể yêu cầu tăng từng bậc, chẳng hạn như tăng từng bậc chức năng cho một nhóm hỗ trợ khác (nội bộ hoặc bên ngoài tổ chức). Khi một sự cố đã vi phạm thời gian giải quyết mục tiêu của nó, nó có thể yêu cầu quản lý tăng từng bậc theo thứ bậc.

Nếu các sự cố lớn không được giải quyết kịp thời, chúng có thể ảnh hưởng đáng kể đến các SLA hoặc mục tiêu kinh doanh của khách hàng. Các tiêu chí để xác định một sự cố lớn được xác định, ví dụ: một sự cố ảnh hưởng đến tất cả khách hàng, một sự cố sẽ ảnh hưởng lớn đến an ninh thông tin. Các thủ tục cho các sự cố lớn có thể bao gồm:

a) ưu tiên các hoạt động giải quyết so với các hoạt động hàng ngày thông thường;

b) kích hoạt các kế hoạch cho các phương pháp bàn giao dịch vụ (giải pháp thay thế);

c) trao đổi thông tin với khách hàng về tình trạng của sự cố lớn và cách thức xử lý sự cố;

d) báo cáo về sự cố nghiêm trọng lên lãnh đạo cao nhất.

Khi các sự cố lớn đã được giải quyết, chúng phải được báo cáo, xem xét và phân tích để rút ra bài học kinh nghiệm cho các hoạt động cải tiến liên tục.

Tất cả các hành động được thực hiện để giải quyết sự cố đều được tư liệu hóa và có sẵn cho mục đích phân tích và đánh giá. Tổ chức có thể tư liệu hóa một số khía cạnh của sự cố, chẳng hạn như khoảng thời gian dịch vụ không khả dụng hoặc xuống cấp, truy xuất nguồn gốc mà các SLA và Cl chịu ảnh hưởng, yêu cầu thay đổi hoặc yêu cầu dịch vụ được mở để giải quyết các sự cố đó hoặc các vấn đề liên quan.

8.6.1.3  Thông tin khác

Cần có thủ tục dạng văn bản để quản lý sự cố lớn nhưng không bắt buộc đối với các loại sự cố khác. Một tổ chức có thể thấy hữu ích khi phát triển và truyền đạt các thủ tục hoặc hướng dẫn công việc để quản lý tất cả các sự cố. Hồ sơ sự cố có thể được tạo bằng công cụ hỗ trợ quản lý thông tin liên quan đến bản chất, cách giải quyết và hành động của từng sự cố được thực hiện thông qua các hoạt động giải quyết sự cố.

Nhân sự hoặc các bộ phận của tổ chức chịu trách nhiệm xử lý từng loại sự cố được xác định. lãnh đạo cao nhất được thông báo về các sự cố lớn khi chúng xảy ra và định kỳ trong quá trình giải quyết sự cố. Trách nhiệm cụ thể và, khi thích hợp, quyền hạn, được giao cho các cá nhân quản lý các sự cố lớn trong tổ chức. Những trách nhiệm và quyền hạn này có thể bao gồm khả năng báo cáo sự cố tăng từng bậc, phối hợp giải quyết, trao đổi thông tin với khách hàng và các bên quan tâm khác, đồng thời hướng dẫn nhân viên giải quyết các sự cố lớn. Nhân viên cụ thể hoặc chuyên dụng có thể được chỉ định đề xử lý các sự cố lớn từ khi bắt đầu đến giải quyết và xem xét.

8.6.2  Quản lý yêu cầu dịch vụ

8.6.2.1  Các hoạt động được yêu cầu

Tổ chức tư liệu hóa, ưu tiên, hoàn thành, cập nhật và đóng các yêu cầu dịch vụ.

8.6.2.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để quản lý việc thực hiện các yêu cầu dịch vụ.

Các yêu cầu dịch vụ được tư liệu hóa và phân loại theo bản chất. Ví dụ bao gồm đặt lại mật khẩu, yêu cầu thông tin và các thay đổi được phê duyệt trước, chẳng hạn như di chuyển thiết bị của người dùng. Việc phân loại có thể theo mức độ khẩn cấp, bản chất, loại dịch vụ, loại người dùng hoặc theo các phương tiện khác cho phép xác định rõ ràng và ưu tiên yêu cầu. Các yêu cầu dịch vụ được ưu tiên dựa trên phân loại.

Các yêu cầu dịch vụ tương quan với các dịch vụ mà chúng có thể ảnh hưởng, như một phần của quá trình phân loại. Các SLA có thể được liên kết với việc thực hiện các yêu cầu dịch vụ (như đã thỏa thuận trong quản lý mức dịch vụ). Các số liệu khác về quản lý yêu cầu dịch vụ, chẳng hạn như thời gian phản hồi cũng có thể được xác định.

Các yêu cầu dịch vụ cuối cùng được thực hiện hoặc bị từ chối, được xác minh với người yêu cầu và sau đó được đóng lại. Quá trình chuyển tiếp từ hoàn thành sang kết thúc được xác định. Yêu cầu dịch vụ có thể được quản lý bằng các công cụ tự động. Tất cả các hành động được thực hiện để đáp ứng các yêu cầu dịch vụ đều được tư liệu hóa. Người dùng có thể có khả năng hiển thị tiến trình yêu cầu dịch vụ.

Nếu các yêu cầu dịch vụ có thể được thực hiện bằng cách sử dụng dịch vụ tự phục vụ hoặc không cần thiết do tự động hóa (ví dụ: để đặt lại mật khẩu), điều này phải được tư liệu hóa.

8.6.2.3  Thông tin khác

Các hành động được thực hiện để thực hiện các yêu cầu dịch vụ có sẵn trong quá trình hoặc hướng dẫn công việc cho nhân viên tham gia quản lý yêu cầu dịch vụ. Ví dụ: một thay đổi được phê duyệt trước để di chuyển thiết bị của người dùng sẽ có hướng dẫn công việc liên quan. Các yêu cầu không được xác định rõ ràng, chẳng hạn như yêu cầu cung cấp thông tin, có thể có hướng dẫn công việc với các cáu hỏi cần hỏi để làm rõ yêu cầu. Hướng dẫn công việc không bắt buộc đối với mọi yêu cầu có thể.

Các hồ sơ yêu cầu dịch vụ được tư liệu hóa, cùng với phân loại, thông tin được hoàn thành và các Cl chịu ảnh hưởng, số liệu thống kê được sử dụng để báo cáo, phân tích xu hướng và hành động cải tiến được tư liệu hóa. Lệnh đơn của các yêu cầu dịch vụ có thể được tạo vì lợi ích của những người dùng thực hiện các yêu cầu này và được phản ánh trong danh mục dịch vụ hoặc nơi phù hợp khác, chẳng hạn như trang web. Yêu cầu dịch vụ có thể được quản lý bằng các công cụ tự động.

Nhân sự liên quan là những người có trách nhiệm thực hiện các yêu cầu dịch vụ, dựa trên các hướng dẫn hoặc thủ tục công việc.

8.6.3  Quản lý vấn đề

8.6.3.1  Các hoạt động được yêu cầu

Thông qua phân tích xu hướng dữ liệu và sự cố, tổ chức xác định các vấn đề và xác định nguyên nhân gốc rễ, đồng thời xác định các hành động để ngăn chặn sự cố xảy ra hoặc tái diễn.

CHÚ THÍCH  Các vấn đề liên quan đến bản thân SMS, chứ không phải các dịch vụ, được xử lý bằng hành động khắc phục và không phù hợp.

8.6.3.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để giảm thiểu sự gián đoạn dịch vụ bằng cách chủ động xác định và phân tích nguyên nhân của sự cố và bằng cách thực hiện hành động để ngăn chặn, giảm thiểu tác động hoặc giải quyết vấn đề.

Các vấn đề được xác định, tư liệu hóa và phân loại. Việc phân loại có thể theo mức độ khẩn cấp, tác động, bản chất, loại dịch vụ, loại người dùng chịu ảnh hưởng hoặc theo các phương tiện phù hợp khác. Các vấn đề được ưu tiên dựa trên phân loại này. Các vấn đề có thể được xác định bằng cách kiểm tra các sự cố, xu hướng hoặc bằng các hoạt động đánh giá khác. Sau khi được xác định, các vấn đề được giao cho nhân viên có kỹ năng cần thiết để điều tra và xác định các phương án giải quyết. Có thể cần phải thu hút sự tham gia của các nhà quản lý cấp cao trong tổ chức để tìm kiếm các nguồn lực chuyên biệt hoặc bổ sung nhằm giúp điều tra và giải quyết.

Thông thường, các lỗi đã biết được xác định bằng cách quản lý vấn đề, nhưng chúng cũng có thể được xác định bằng các quá trình quản lý dịch vụ khác.

SLA có thể có mục tiêu về thời gian giải quyết vấn đề. Khi có thể, các vấn đề được quản lý và giải quyết trong khoảng thời gian đã thỏa thuận đó. Các tổ chức có thể thấy hữu ích khi cung cấp cho các bên quan tâm các bản cập nhật tiến độ thường xuyên.

Việc giải quyết các vấn đề diễn ra theo chính sách quản lý thay đổi. Tất cả các chi tiết cần thiết phải có sẵn để cho phép đưa ra các quyết định hiệu quả về các phương án giải quyết. Chúng có thể bao gồm các rủi ro liên quan đến việc triển khai hoặc không triển khai, chi phí và các nguồn lực khác cần thiết.

Các hồ sơ sự cố được liên kết với các hồ sơ sự cố, yêu cầu thay đổi hoặc Cl có liên quan. Những hồ sơ này có thể được cập nhật trong suốt quá trình.

Sau khi thực hiện, các biện pháp giải quyết vấn đề cần được giám sát và xem xét để đánh giá hiệu quả. Đánh giá này có thể được thực hiện dưới dạng đánh giá sau triển khai sau quản lý thay đổi. Nhân viên quản lý vấn đề theo dõi và báo cáo về hiệu quả liên tục của việc giải quyết vấn đề.

Đôi khi, tổ chức phải không thể xác định nguyên nhân gốc rễ của vấn đề hoặc không thể loại bỏ nguyên nhân gốc rễ. Trong những trường hợp đó, tổ chức vẫn có thể hoạch định và thực hiện các hành động để giảm tác động không mong muốn của sự cố đối với dịch vụ. Thông tin về nguyên nhân gốc rễ, lỗi đã biết và cách giải quyết vấn đề được tư liệu hóa trong một hệ thống mà các bên quan tâm có thể tham khảo, ví dụ: bởi nhân viên quản lý sự cố.

Dữ liệu về tính hiệu quả của việc giải quyết vấn đề được tư liệu hóa và phân tích và khi khả thi, các hoạt động cải tiến được thực hiện như một phần của cải tiến liên tục.

8.6.3.3  Thông tin khác

Các sự cố, cùng với các lỗi đã biết, nguyên nhân gốc rễ, cách giải quyết và cách giải quyết đều được tư liệu hóa.

Vì lợi ích của việc cải tiến liên tục, các số liệu và dữ liệu khác về quá trình quản lý vấn đề được thu thập và tư liệu hóa cùng với các hành động cải tiến tiềm năng cần thiết. Điều này có thể xác định nhu cầu về nhiều nguồn lực kỹ thuật hơn hoặc tốt hơn, các mục tiêu giải quyết vấn đề SLA thực tế hơn và các cải tiến trong trao đổi thông tin.

Nhân sự được chỉ định để phân tích các vấn đề, xác định nguyên nhân gốc rễ tiềm ẩn, tư liệu hóa các vấn đề này và các giải pháp hoặc giải pháp thay thế tiềm năng cũng như tư liệu hóa các lỗi đã biết nếu có.

8.7  Đảm bảo dịch vụ

8.7.1  Quản lý tính sẵn sảng dịch vụ

8.7.1.1  Các hoạt động được yêu cầu

Tổ chức, cùng với khách hàng và các bên quan tâm khác, phân tích rủi ro đối với tính sẵn sàng và xác định, đồng ý, tư liệu hóa và duy trì các yêu cầu về tính sẵn sàng dịch vụ. Tính sẵn sàng dịch vụ được giám sát và bất kỳ sự không khả dụng ngoài dự kiến nào đều được điều tra và giải quyết khi có thể.

8.7.1.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để đảm bảo rằng các cam kết về tính sẵn sàng dịch vụ đã thỏa thuận được đáp ứng và để giảm thiểu tình trạng không có sẵn.

Hoạch định về tính sẵn sàng dịch vụ bao gồm phân tích các hồ sơ về tính sẵn sàng hiện có và kết quả thực hiện có thể xảy ra của các dịch vụ, cấu phần dịch vụ và Cl để xác định rủi ro đối với tính sẵn sàng. Để hỗ trợ nhận biết rủi ro, tổ chức có thể duy trì danh sách các nguồn rủi ro cho bối cảnh, chẳng hạn như lịch trình, bên cung ứng và lỗi thiết kế. Các yêu cầu về tính sẵn sàng dịch vụ cho khách hàng và người dùng cuối được bao gồm trong các thỏa thuận tư liệu hóa và SLA là các mục tiêu cụ thể. Các mục tiêu này được xác định và thỏa thuận với khách hàng và các bên quan tâm khác, dựa trên các yêu cầu dịch vụ phản ánh nhu cầu kinh doanh.

Các dịch vụ được giám sát theo yêu cầu về kết quả thực hiện về tính sẵn sàng. Dữ liệu kết quả và xu hướng được tư liệu hóa để có thể tính toán và so sánh mức độ sẵn sàng thực tế với các mục tiêu đã thống nhất và có thể thực hiện các hành động nếu có bất kỳ vấn đề nào được xác định.

CHÚ THÍCH  Tùy thuộc vào loại dịch vụ hoặc đặc điểm của tổ chức, việc giám sát tính sẵn sàng có thể liên tục hoặc định kỳ.

Quản lý tính sẵn sàng dịch vụ phối hợp chặt chẽ với quản lý khả năng để hỗ trợ các yêu cầu bổ sung nguồn lực khi các vấn đề liên quan đến khả năng đe dọa đến mức độ sẵn sàng. Khi tính sẵn sàng dịch vụ là không có, gần như không có hoặc không thể chấp nhận được, quản lý tính sẵn sàng dịch vụ sẽ phối hợp chặt chẽ với quản lý tính liên tục của dịch vụ như đã đề cập trong 8.7.2.

Việc không hoạch định không có sẵn của các dịch vụ được điều tra cùng với quản lý sự cố và quản lý vấn đề. Các hành động khắc phục đối với tình trạng không có sẵn ngoài kế hoạch được xác định và thực hiện, khi có thể, để khôi phục tính sẵn sàng dịch vụ. Khi không có dịch vụ được lên lịch, chẳng hạn như do bảo trì theo kế hoạch, người dùng và các bên quan tâm khác phải được thông báo trước một cách kịp thời.

8.7.1.3  Thông tin khác

Dịch vụ sẵn sàng được lên kế hoạch để đáp ứng yêu cầu. TCVN 8695-1 (ISO/IEC 20000-1) không yêu cầu kế hoạch bàn giao dịch vụ, nhưng có thể được tư liệu hóa. Các thủ tục được xác định để phân tích, dự báo, giám sát và báo cáo về tính sẵn sàng dịch vụ. Nhu cầu về hành động khắc phục được tư liệu hóa và quản lý. Các phép đo về tính sẵn sàng dịch vụ được tư liệu hóa.

Quyền đồng ý về các mục tiêu sẵn sàng của dịch vụ trong SLA được chỉ định cho nhân viên thực hiện các thỏa thuận này với khách hàng. Các trách nhiệm khác trong quản lý tinh sẵn sàng dịch vụ bao gồm nhân sự giám sát tính sẵn sàng dịch vụ, so sánh tính sẵn sàng với các mục tiêu đã thỏa thuận và làm việc với sự cải tiến liên tục nếu cần có các hành động khắc phục.

8.7.2  Quản lý liên tục dịch vụ

8.7.2.1  Các hoạt động được yêu cầu

Tổ chức phân tích các rủi ro mất dịch vụ nghiêm trọng và kế hoạch khôi phục. Các kế hoạch về tính liên tục của dịch vụ được kiểm tra theo yêu cầu và được gọi nếu cần.

8.7.2.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để đảm bảo rằng các cam kết đã thỏa thuận về việc tiếp tục bàn giao dịch vụ cho khách hàng có thể được đáp ứng trong các trường hợp có thể dự đoán trước.

Rủi ro đối với tính liên tục của dịch vụ và tác động đối với vận hành kinh doanh được đánh giá thường xuyên và tư liệu hóa.

Các mục tiêu cho tính liên tục của dịch vụ được xác định và thỏa thuận với khách hàng và các bên quan tâm khác, dựa trên các yêu cầu dịch vụ. Nhu cầu kinh doanh thúc đẩy các yêu cầu này và các mục tiêu kết quả và được phản ánh trong SLA.

Tổ chức tạo ra và duy trì một hoặc nhiều kế hoạch về tính liên tục của dịch vụ để đáp ứng các yêu cầu và mục tiêu được xác định trong SLA. Hoạch định bao gồm các yếu tố sau:

a) Các quá trình dựa trên các tiêu chí đã xác định để yêu cầu tính liên tục của dịch vụ, bao gồm xác định ai có thể yêu cầu kế hoạch về tỉnh liên tục của dịch vụ và ai cần tham gia cũng như được thông báo;

b) các thủ tục được thực hiện trong trường hợp mất dịch vụ nghiêm trọng. Chúng có thể bao gồm gọi các kế hoạch khắc phục thảm họa, di chuyển vật lý, chuyển tiếp dự phòng sang các nguồn thay thế và các biện pháp được thực hiện để khôi phục dịch vụ;

c) các mục tiêu về tính sẵn sàng dịch vụ khi kế hoạch được gọi. Các mục tiêu này xác định tốc độ gọi tính liên tục của dịch vụ và khoảng thời gian có thể trôi qua trước khi dịch vụ được khôi phục;

d) các yêu cầu khôi phục dịch vụ, ví dụ, liệu dịch vụ sẽ sẵn sàng trở lại đầy đủ hay chỉ một phần, và nếu một phần, thì ở mức độ nào và trong khoảng thời gian nào thì điều này có thể chấp nhận;

e) các thủ tục để trở lại điều kiện làm việc bình thường, chẳng hạn như lùi kế hoạch bàn giao dịch vụ liên tục và tính sẵn sàng liên quan và các mục tiêu khác.

Khí một kế hoạch về tính liên tục của dịch vụ đã được đưa ra, nguyên nhân, tác động và các biện pháp khôi phục được thực hiện phải được báo cáo và truyền đạt tới tất cả các bên quan tâm. Sau khi dịch vụ đã được khôi phục, các tổ chức tiến hành đánh giá để xác định các cơ hội cải tiến cho kế hoạch về tính liên tục dịch vụ.

(Các) kế hoạch và quá trình liên tục của dịch vụ được kiểm tra dựa trên các mục tiêu liên tục đã thỏa thuận. Kết quả của các bài kiểm tra tính liên tục của dịch vụ được xem xét về tính hiệu quả của kế hoạch và, khi cần, các thay đổi đối với kế hoạch được thực hiện, tư liệu hóa, ủy quyền thông qua quản lý thay đổi và báo cáo cho các bên quan tâm. Các thử nghiệm chuyển tiếp dự phòng hoặc khắc phục thảm họa được lặp lại với các quá trình sửa đổi hoặc nguồn lực bổ sung nếu kết quả không đạt yêu cầu hoặc nếu dịch vụ hoặc môi trường dịch vụ thay đổi đáng kể. Các hành động cải tiến đã xác định được xử lý bằng cải tiến liên tục.

8.7.2.3  Thông tin khác

Một hoặc nhiều kế hoạch bàn giao dịch vụ liên tục được tư liệu hóa và được phê duyệt bởi người có quyền hạn. (Các) kế hoạch bàn giao dịch vụ liên tục phải khả dụng ngay cả khi không có địa điểm dịch vụ chính. Điều này cũng áp dụng cho các tài sản quan trọng, ví dụ: danh sách liên hệ trên giấy cũng như phương tiện điện tử cho những người cần được thông báo, tham gia hoặc nhận báo cáo nếu nguồn dịch vụ thông thường bị gián đoạn.

Kết quả kiểm tra tính liên tục của dịch vụ được tư liệu hóa, cùng với các hành động khả thi cần thiết để cải thiện các kế hoạch về tính liên tục của dịch vụ.

Việc thực hiện dịch vụ liên tục phụ thuộc vào sự sẵn sàng của các nhà quản lý và nhân viên có kiến thức, có trách nhiệm. Nhân viên thay thế được xác định để chuẩn bị cho khả năng không có nhân viên chính trong trường hợp mất điện lớn. Các trách nhiệm rõ ràng để gọi kế hoạch về tính liên tục của dịch vụ được xác định.

Nhân sự được giao trách nhiệm thực hiện các hoạt động và quá trình kiểm tra tính liên tục được mô tả trong kế hoạch đảm bảo tính liên tục của dịch vụ cũng như đo lường tính hiệu quả.

8.7.3  Quản lý an ninh thông tin

8.7.3.1  Các hoạt động được yêu cầu

Tổ chức xác định chính sách an ninh thông tin có liên quan về mặt tổ chức áp dụng cho SMS và các dịch vụ có tính đến các nghĩa vụ được xác định là một phần của kế hoạch SMS. Các rủi ro an ninh thông tin được đánh giá và các biện pháp kiểm soát được thống nhất để giải quyết các rủi ro. Các sự cố an ninh thông tin được quản lý và báo cáo.

8.7.3.2  Giải thích

8.7.3.2.1  Quy định chung

Mục đích của hoạt động được yêu cầu này là để bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin dưới mọi hình thức liên quan đến SMS và các dịch vụ. Phạm vi bao gồm các cân nhắc về mặt vật lý và logic để bảo vệ dữ liệu và thông tin của tổ chức hoặc khách hàng. Đối với các biện pháp kiểm soát vật lý, ví dụ bao gồm hệ thống ra vào cửa và khỏa an toàn. Ví dụ về kiểm soát kỹ thuật bao gồm bảo vệ chống vi-rút, tường lửa, kiểm soát truy cập và hệ thống định danh. Ví dụ về kiểm soát của con người bao gồm chính sách mật khẩu mạnh, quy tắc bảo mật rõ ràng và đào tạo.

Quản lý an ninh thông tin trong tiêu chuẩn này được liên kết chặt chẽ với nội dung của bộ tiêu chuẩn ISO/IEC 27000, cung cấp các yêu cầu và hướng dẫn chi tiết hơn cần thiết để thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý an ninh thông tin (ISMS). Nếu tổ chức đã tuân thủ ISO/IEC 27001, thì vẫn cần phải kiểm tra xem các yêu cầu của TCVN 8695-1:2023 (ISO/IEC 20000-1:2018) 8.7.3 có được đáp ứng hay không. Ví dụ: chính sách an ninh thông tin có liên quan đến SMS và các dịch vụ không, và các rủi ro an ninh thông tin có được đánh giá đối với thông tin liên quan đến SMS và các dịch vụ không.

CHÚ THÍCH  ISO/IEC TR 20000-7 cung cấp hướng dẫn về việc tích hợp TCVN 8695-1 (ISO/IEC 20000-1) với ISO 9001 và ISO/IEC 27001.

8.7.3.2.2  Chính sách an ninh thông tin

Người quản lý có quyền hạn thích hợp chịu trách nhiệm phê duyệt chính sách an ninh thông tin. Đây có thể là lãnh đạo cao nhất của tổ chức trong phạm vi của SMS. Nếu tổ chức trong phạm vi của SMS là một bộ phận của tổ chức lớn hơn, thì đó có thể là một người quản lý khác từ tổ chức rộng lớn hơn. Khi chính sách an ninh thông tin đã tồn tại, điều quan trọng là phải đảm bảo rằng chính sách đó có liên quan đến SMS và các dịch vụ.

Chính sách an ninh thông tin được tạo, phê duyệt và truyền đạt nhằm mục đích quản lý an ninh thông tin, mức độ phù hợp đối với tổ chức và khả năng áp dụng các nguyên tắc đối với SMS và các dịch vụ. Chính sách này tính đến các yêu cầu dịch vụ và các nghĩa vụ pháp lý, quy định và hợp đồng có ảnh hưởng đến việc xây dựng chính sách an ninh thông tin. Tổ chức có thể có các nghĩa vụ bổ sung không được tư liệu hóa trong kế hoạch quản lý dịch vụ.

Chính sách dùng cho tất cả các bên liên quan. Tầm quan trọng của chính sách được truyền đạt tới nhiều bên quan tâm, bao gồm nhân viên nội bộ, khách hàng, người dùng, bên cung ứng nội bộ và bên ngoài cũng như các bên quan tâm khác cần tuân thủ hoặc nhận thức được chính sách.

8.7.3.2.3  Kiểm soát an ninh thông tin

Rủi ro an ninh thông tin liên quan đến SMS và các dịch vụ được đánh giá theo các khoảng thời gian đã lên kế hoạch. Phương pháp được sử dụng để đánh giá rủi ro an ninh thông tin có thể giống như phương pháp được sử dụng cho 6.1 hoặc có thể là một phương pháp riêng biệt. Khuyến nghị rằng các tiêu chí chấp nhận rủi ro an ninh thông tin được xem xét riêng biệt với các tiêu chí chấp nhận cho các loại rủi ro khác, cần xác định, triển khai và vận hành các biện pháp kiểm soát an ninh thông tin kỹ thuật, tổ chức và vật lý liên quan đến SMS và các dịch vụ. Thông tin liên quan đến quyết định về việc sử dụng các biện pháp kiểm soát nào được tư liệu hóa và chi tiết về vận hành của các biện pháp kiểm soát cũng có thể được thêm vào.

Mục đích của việc triển khai các biện pháp kiểm soát an ninh thông tin là như sau:

a) duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin;

b) đáp ứng các yêu cầu của chính sách an ninh thông tin;

c) xử lý rủi ro liên quan đến an ninh thông tin.

Các rủi ro an ninh thông tin cần được xem xét và cập nhật thường xuyên dựa trên thông tin tình báo mới và đang nổi lên, bao gồm các lỗ hổng mới được phát hiện và môi trường đe dọa đang thay đổi.

Tính hiệu quả của các biện pháp kiểm soát an ninh thông tin cần được theo dõi, đo lường, phân tích và đánh giá để đảm bảo rằng chúng đang vận hành theo yêu cầu và để cung cấp thông tin về cải tiến liên tục.

Có thể xem xét liệu thuê ngoài một số biện pháp kiểm soát an ninh thông tin có thể cung cấp các cải tiến cần thiết hay không. Việc thuê ngoài các biện pháp kiểm soát an ninh thông tin cũng có thể gây ra các rủi ro bổ sung hoặc thay đổi các rủi ro đã được xác định và cần được quản lý phù hợp.

Các tổ chức bên ngoài được xác định là có nhu cầu truy cập, sử dụng hoặc quản lý thông tin, dịch vụ của tổ chức hoặc bất kỳ thông tin nào thuộc sở hữu của khách hàng do tổ chức nắm giữ. Kiểm soát an ninh thông tin cần thiết liên quan đến các tổ chức bên ngoài phải được xác định và nhất quán với chính sách an ninh thông tin của tổ chức. Kiểm soát an ninh thông tin cần thiết nên xem xét sự phụ thuộc và giao diện với bên ngoài và tác động đối với an ninh thông tin của tổ chức. Kiểm soát an ninh thông tin này được tư liệu hóa, được thống nhất với các bên bên ngoài này và được triển khai tương ứng.

8.7.3.3  Sự cố an ninh thông tin

Các công cụ và quá trình tương tự có thể được sử dụng để tư liệu hóa và giải quyết cả sự cố liên quan đến dịch vụ và sự cố liên quan đến an ninh thông tin. Do tính bảo mật và phản ứng khẩn cấp của nhân viên có trình độ, các sự cố an ninh thông tin đôi khi được quản lý phân tách với các sự cố liên quan đến dịch vụ khác.

Khi các sự cố an ninh thông tin được xác định, chúng được tư liệu hóa và phân loại an ninh thông tin để có thể báo cáo và phân tích nhằm xác định các cơ hội cải tiến. Đôi khi, các sự cố dịch vụ được phân loại theo cách khác và sau đó rõ ràng là chúng có liên quan đến an ninh thông tin. Trong trường hợp đó, chúng nên được phân loại lại. Mức độ ưu tiên của sự cố an ninh thông tin phải phù hợp với tác động thực tế hoặc rủi ro đối với tổ chức của sự cố an ninh thông tin. Các sự cố có thể được liên kết nếu (ví dụ) an ninh thông tin là một khía cạnh của một sự cố lớn hơn. Các sự cố an ninh thông tin có thể được tăng cấp nếu cần, giải quyết và đóng theo cách tương tự như đối với các sự cố dịch vụ (xem 8.6.1). Những sự cố này được phân tích và các cải tiến được xác định, ví dụ: một số lượng lớn các sự cố thuộc một loại có thể chỉ ra rằng có một rủi ro cần được giải quyết trong một khu vực

8.7.3.4  Thông tin khác

Chính sách an ninh thông tin tư liệu hóa, phê duyệt và phổ biến rộng rãi cho các bên quan tâm. Rủi ro an ninh thông tin tư liệu hóa cùng với quyết định kiểm soát để giải quyết các rủi ro. Các thủ tục ứng phó với các sự cố an ninh thông tin được tư liệu hóa. Hồ sơ về các sự cố an ninh thông tin được tạo ra, phân tích và báo cáo.

Tổ chức làm rõ ai có quyền hạn thiết lập và phê duyệt chính sách an ninh thông tin. Trách nhiệm và quyền hạn nên được giao cho việc đánh giá rủi ro và duy trì số đăng ký rủi ro. Đây có thể là cùng một người đối với mọi rủi ro như trong 6.1 hoặc có thể là một người riêng biệt. Ngoài ra, cần có trách nhiệm vận hành, bảo trì và xác minh tính hiệu quả của các biện pháp kiểm soát. Các trách nhiệm khác bao gồm trách nhiệm của nhân viên xử lý các sự cố an ninh thông tin và của nhân viên thu thập dữ liệu về các sự cố này và xác định các hành động cải tiến cần thiết.

9  Đánh giá kết quả thực hiện

9.1  Giám sát, đo lường, phân tích và đánh giá

9.1.1  Các hoạt động được yêu cầu

Tổ chức giám sát, đo lường, phân tích và đánh giá kết quả thực hiện quản lý dịch vụ và tính hiệu quả của SMS và các dịch vụ.

CHÚ THÍCH  Để thêm thông tin về phép đo dịch vụ, xem ISO/IEC/IEEE 15939.

9.1.2  Giải thích

Mục đích của hoạt động được yêu cầu này là sử dụng giám sát, đo lường, phân tích và đánh giá để hỗ trợ quản lý SMS và các dịch vụ hiệu quả, đồng thời cho phép khả năng chứng minh một cách khách quan chất lượng và giá trị của dịch vụ.

Thông tin về SMS và các dịch vụ được cung cấp thường xuyên được thu thập và phân tích. Với mục đích này, tổ chức xác định những khía cạnh nào cần giám sát và đo lường cũng như phương pháp nào phù hợp để đảm bảo rằng SMS và các dịch vụ được đánh giá đúng. Thời gian và tần suất của các phép đo và phân tích cần phải được xác định để bao gồm các ảnh hưởng tiềm ẩn theo mùa hoặc theo thời gian, chẳng hạn như nhu cầu bổ sung về tính-sẵn sàng dịch vụ trong kỳ kế toán cuối tháng hoặc nhu cầu năng lực đặc biệt trong mùa nghỉ lễ. Trong những tình huống này, việc chỉ đo lường vào đầu tháng hoặc lấy giá trị trung bình không cho thấy sự thay đổi thực sự trong nhu cầu dịch vụ.

Các phép đo có liên quan đến các mục tiêu quản lý dịch vụ và các mục tiêu dịch vụ đã thỏa thuận, do đó có thể xác định và cải thiện những sai lệch so với các mục tiêu và chỉ tiêu này thông qua cải tiến liên tục.

9.1.3  Thông tin khác

Tổ chức cung cấp các báo cáo và bằng chứng phù hợp khác về SMS và các phép đo, phân tích dịch vụ, bao gồm các kết luận và khuyến nghị để cải thiện nếu có.

Nhân viên được giao trách nhiệm giám sát và đo lường kết quả thực hiện của SMS và các dịch vụ. Họ có thể được hỗ trợ bởi các nhân viên chuyên môn trong các lĩnh vực cụ thể, chẳng hạn như quản lý khả năng và quản lý an ninh thông tin.

9.2  Đánh giá nội bộ

9.2.1  Các hoạt động được yêu cầu

Tổ chức tiến hành đánh giá nội bộ để đưa ra đánh giá về sự phù hợp của SMS với các yêu cầu của TCVN 8695-1 (ISO/IEC 20000-1) và các yêu cầu của chính tổ chức.

9.2.2  Giải thích

Mục đích của hoạt động được yêu cầu này là cung cấp cho tổ chức thông tin về việc liệu SMS có đang vận hành theo kế hoạch hay không và tổ chức có tiếp tục tuân thủ các yêu cầu của TCVN 8695-1 (ISO/IEC 20000-1) hay không.

Một chương trình đánh giá nội bộ được thiết lập để đưa SMS vào đánh giá về sự phù hợp với TCVN 8695-1 (ISO/IEC 20000-1) và các yêu cầu bổ sung của tổ chức đối với SMS.

Đánh giá được lên lịch cả thường xuyên và khi có thay đổi trong SMS. Chương trình đánh giá có tính đến:

a) các thay đổi đối với SMS, chẳng hạn như các thay đổi đối với chính sách, mục tiêu quản lý dịch vụ và tầm quan trọng của các quá trình liên quan;

b) những thay đổi về tổ chức, chẳng hạn như tổ chức lại, tăng trưởng, bổ sung dịch vụ hoặc địa điểm, ưu tiên;

c) những thay đổi về khách hàng hoặc bên cung ứng.

Các tiêu chí đánh giá và phạm vi được tư liệu hóa và truyền đạt cho các bên tham gia đánh giá. Điều này có thể ở dạng chương trình chỉ ra các khía cạnh của SMS được kiểm tra trong một dịp cụ thể.

Kết quả đánh giá được tư liệu hóa và báo cáo cho lãnh đạo cao nhất và các bên quan tâm khác để hành động.

Đánh giá nội bộ nên được thực hiện bởi nhân viên có trình độ được coi là độc lập với các lĩnh vực được đánh giá, tức là họ không nên đánh giá công việc của chính họ.

Các kết quả đánh giá trước đó có thể được tính đến, bao gồm các hành động được thực hiện sau những điểm không phù hợp trước đó hoặc các cơ hội cải tiến.

9.2.3  Thông tin khác

Các phương pháp và lịch trình đánh giá được tư liệu hóa. Báo cáo đánh giá bao gồm các khía cạnh của SMS đã được đánh giá, kết quả và các hành động được đề xuất.

Các hoạt động đánh giá nội bộ phải bao gồm một chuyên gia đánh giá độc lập và đủ năng lực, cũng như bất kỳ nhân viên nào làm việc trong phạm vi của SMS có thể được đánh giá.

9.3  Xem xét lại quản lý

9.3.1  Các hoạt động được yêu cầu

Lãnh đạo cao nhất xem xét SMS và các dịch vụ theo các khoảng thời gian đã lên kế hoạch.

9.3.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để lãnh đạo cao nhất xem xét tính phù hợp, đầy đủ và tính hiệu quả của SMS cũng như các dịch vụ để hỗ trợ đưa ra quyết định về bất kỳ thay đổi cần thiết nào.

Lãnh đạo cao nhất xem xét SMS theo định kỳ để kiểm tra xem SMS có tiếp tục mang lại giá trị cho tổ chức và khách hàng hay không và các dịch vụ có đáp ứng các yêu cầu dịch vụ đã thỏa thuận hay không. Việc này được thực hiện ít nhất hàng năm và thường xuyên khi cần, dựa trên tốc độ thay đổi trong tổ chức, SMS và các dịch vụ của tổ chức.

Cụ thể, việc xem xét bao gồm những nội dung sau:

a) kết quả thực hiện của SMS so với chính sách, kế hoạch và mục tiêu quản lý dịch vụ;

b) kết quả thực hiện của các dịch vụ so với các yêu cầu dịch vụ và mục tiêu mức dịch vụ;

c) các chỉ số kết quả thực hiện đối với các dịch vụ và quá trình;

d) kết quả đánh giá, bao gồm các hành động được thực hiện đối với sự không phù hợp;

e) xem xét các hoạt động cải tiến liên tục phù hợp với các mục tiêu kinh doanh;

f) xem xét các thay đổi sau khi thực hiện;

g) kết quả khảo sát sự hài lòng của khách hàng và các phản hồi khác từ các bên quan tâm;

h) các rủi ro đối với SMS hoặc các dịch vụ và hành động được thực hiện để xử lý các rủi ro này;

i) kết quả thực hiện của các bên cung ứng.

Đầu ra của việc xem xét lại quản lý bao gồm:

- các quyết định liên quan đến các cơ hội cải tiến liên tục là kết quả của việc xem xét lại quản lý;

- bất kỳ nhu cầu thay đổi nào đối với SMS hoặc các dịch vụ đã được thảo luận trong quá trình xem xét lại quản lý;

- nhu cầu về nguồn lực, chẳng hạn như nhân sự, đào tạo, công nghệ và tài chính.

9.3.3  Thông tin khác

Kết quả của việc xem xét lại được tư liệu hóa, ví dụ: dưới dạng biên bản cuộc họp hoặc sử dụng bảng điều khiển. Các quyết định và hành động từ đánh giá được tư liệu hóa, theo dõi đến khi hoàn thành và được xem xét lại trong lần đánh giá tiếp theo.

Lãnh đạo cao nhất chịu trách nhiệm hoạch định cho các cuộc xem xét lại quản lý và tham dự các cuộc xem xét. Nhân viên chịu trách nhiệm về các khía cạnh cụ thể của SMS chuẩn bị thông tin cho các xem xét lại.

9.4  Báo cáo dịch vụ

9.4.1  Các hoạt động được yêu cầu

Báo cáo dịch vụ tạo ra các báo cáo thống nhất, kịp thời, dễ hiểu và chính xác để tạo điều kiện thuận lợi cho việc ra quyết định sáng suốt và trao đổi thông tin hiệu quả ở các cấp thích hợp trong tổ chức và các bên quan tâm khác.

9.4.2  Giải thích

Mục đích của hoạt động được yêu cầu này là cung cấp thông tin kịp thời, chính xác và hữu ích cho các bên quan tâm để ra quyết định.

Sự thành công của quản lý dịch vụ phụ thuộc vào việc sử dụng thông tin được cung cấp trong các báo cáo dịch vụ. Các báo cáo dịch vụ hiệu quả phù hợp với nhu cầu của đối tượng và đủ độ chính xác để sử dụng như một công cụ hỗ trợ ra quyết định. Ngôn ngữ và cách trình bày hỗ trợ việc hiểu các báo cáo sao cho chúng dễ hiểu, ví dụ: với việc sử dụng biểu đồ.

Các báo cáo được yêu cầu trong TCVN 8695-1 (ISO/IEC 20000-1) được chỉ định trong các quá trình có liên quan. Tổ chức có thể tạo ra một bản tóm lược tất cả các báo cáo phải được tạo ra cho các đối tượng khác nhau.

Các yêu cầu về báo cáo dịch vụ cho khách hàng được thống nhất, nếu có thể, giữa khách hàng và tổ chức và có thể được tham khảo, ví dụ: trong các SLA hoặc các hợp đồng. Khách hàng công cộng và người tiêu dùng cũng đánh giá cao thông tin về các xu hướng và thay đổi. Các yêu cầu đối với các báo cáo cần thiết cho quản trị được thống nhất giữa cơ quan chủ quản, nếu có, và lãnh đạo cao nhất. Tổ chức cũng có thể cần báo cáo nội bộ cho tổ chức bàn giao dịch vụ và vận hành SMS.

Tổ chức tạo ra các báo cáo để hỗ trợ việc ra quyết định và trao đổi thông tin với khách hàng. Một ví dụ về quyết định được đưa ra do báo cáo là thúc đẩy các cải tiến khi báo cáo chỉ ra rằng các mức dịch vụ không được đáp ứng.

9.4.3  Thông tin khác

Báo cáo dịch vụ được tư liệu hóa cho sử dụng nội bộ, khách hàng và các bên quan tâm khác và được truyền đạt tới nhân viên thích hợp nội bộ và bên ngoài tổ chức. Các báo cáo dịch vụ có thể được sử dụng làm bằng chứng và cũng có thể tạo thành các yếu tố trong khối kiến thức của tổ chức.

Một bản tóm lược các báo cáo phải được tạo nên bao gồm danh tính, mục đích, tần suất, đối tượng, nguồn dữ liệu và trách nhiệm tạo báo cáo.

Nhân viên báo cáo dịch vụ có thể bao gồm:

a) nhân sự chịu trách nhiệm lập và cung cấp kịp thời, chính xác các báo cáo dịch vụ tới những người nhận có liên quan;

b) nhân sự xác định nội dung của từng báo cáo, bao gồm định dạng, nội dung, phong cách và tần suất.

10  Cải tiến

10.1  Sự không phù hợp và hành động sửa chữa

10.1.1  Các hoạt động được yêu cầu

Tổ chức đánh giá và thực hiện hành động để khắc phục sự không phù hợp, bao gồm loại bỏ nguyên nhân và khắc phục hậu quả của sự không phù hợp.

10.1.2  Giải thích

Mục đích của hoạt động được yêu cầu này là phân tích và thực hiện các hành động thích hợp khi xảy ra sự không phù hợp có thể ảnh hưởng đến kết quả thực hiện của SMS.

Một sự không phù hợp là một sự không đáp ứng một yêu cầu. Sự không phù hợp có thể được xác định từ nhiều nguồn như kết quả đánh giá, xem xét của lãnh đạo cao nhất hoặc phản hồi (khách hàng). Những ví dụ bao gồm:

a) mắc lỗi trong đáp ứng yêu cầu của TCVN 8695-1 (ISO/IEC 20000-1) hoặc SMS của tổ chức;

b) mắc lỗi trong tuân thủ các yêu cầu pháp lý, quy định hoặc hợp đồng.

Lỗi dịch vụ thường được quản lý thông qua quản lý sự cố và không phải là sự không phù hợp. Nguyên nhân của lỗi có thể được tìm thấy là do sự không phù hợp, chẳng hạn như không tuân theo quá trình trong SMS.

SMS không phù hợp được tư liệu hóa và các nguyên nhân được phân tích. Hành động khắc phục được thực hiện để kiểm soát tác động tức thời của sự không phù hợp. Sau đó, các hành động được thực hiện để giảm khả năng xảy ra bất kỳ sự cố nào trong tương lai và khi cần thiết, các hậu quả của sự không phù hợp được quản lý (ví dụ: bằng cách khắc phục mọi tác động tiêu cực đến dịch vụ hoặc khách hàng). Các hành động có thể bao gồm xác định và loại bỏ (các) nguyên nhân gốc rễ của sự không phù hợp. Các hành động được ưu tiên, với thời hạn hoàn thành đã được thống nhất và được theo dõi để đảm bảo hoàn thành kịp thời. Sau khi hành động khắc phục hoàn tất, kết quả của từng hành động được xem xét để xác định xem sự không phù hợp đã được giải quyết như đã thỏa thuận hay chưa và nếu không, hành động tiếp theo phải được các bên quan tâm đồng ý.

10.1.3  Thông tin khác

Thông tin tư liệu hóa được tạo ra để chỉ ra sự không phù hợp đã xảy ra, các hành động được thực hiện để khắc phục chúng và kết quả của những hành động đó. Đây có thể là một phần của số đăng ký cải tiến liên tục.

Nhân sự ở các cấp khác nhau trong tổ chức có thể tham gia khắc phục sự không phù hợp và, khi cần thiết, giải quyết hậu quả. Lãnh đạo cao nhất chịu trách nhiệm về việc xử lý cuối cùng đối với sự không phù hợp đối với SMS.

10.2  Cải tiến liên tục

10.2.1  Các hoạt động được yêu cầu

Tổ chức liên tục cải thiện tính phù hợp, đầy đủ và tính hiệu quả của SMS và các dịch vụ để duy trì giá trị cho khách hàng.

10.2.2  Giải thích

Mục đích của hoạt động được yêu cầu này là để liên tục cải thiện tính phù hợp, đầy đủ và tính hiệu quả của SMS và các dịch vụ để duy trì giá trị cho khách hàng và các bên quan tâm.

Tất cả các dịch vụ được cung cấp cho khách hàng, quá trình quản lý dịch vụ và SMS đều được cải tiến liên tục. Các cơ hội cải tiến được xác định, đánh giá, ưu tiên, phê duyệt, thực hiện và đo lường. Các cơ hội cải tiến được triển khai bằng cách sử dụng các mục tiêu dựa trên, ví dụ: chất lượng, hiệu quả, kết quả thực hiện tài chính, tạo giá trị, giảm thiểu rủi ro hoặc các khía cạnh liên quan khác cho SMS hoặc dịch vụ.

Đầu vào cho các hoạt động cải tiến liên tục bao gồm:

a) các chỉ thị liên quan từ lãnh đạo cao nhất;

b) sự không phù hợp được xác định là kết quả đánh giá và xem xét lại cả SMS và các dịch vụ riêng lẻ;

c) phản hồi từ khách hàng, các bên quan tâm khác và từ nội bộ tổ chức;

d) đầu ra từ các hoạt động trong bất kỳ phần nào của SMS hoặc các hoạt động khác được nêu trong Điều 8;

e) kết quả kiểm tra kế hoạch, ví dụ: kiểm tra tính liên tục của dịch vụ;

f) tối ưu hóa việc sử dụng nguồn lực, ví dụ: cơ hội để tăng hiệu quả hoặc tự động hóa được cải tiến;

g) các hoạt động quản lý rủi ro.

Các cải tiến được ưu tiên, lên kế hoạch và triển khai dựa trên tác động đối với SMS và các dịch vụ cũng như phù hợp với kết quả kinh doanh. SMS có thể được sửa đổi dựa trên những cải tiến đã được triển khai.

Sau khi các cải tiến đã được triển khai, tính hiệu quả được đánh giá dựa trên các mục tiêu đã đặt trước đó và được báo cáo để có thể đánh giá tác động tích cực đến SMS hoặc các dịch vụ.

10.2.3  Thông tin khác

Các hoạt động cải tiến liên tục được hỗ trợ bởi sổ đăng ký cải tiến liên tục, có thể ở dạng bảng tính hoặc cơ sở dữ liệu trong đó các hoạt động có thể được thu thập, ưu tiên và theo dõi để hoàn thành.

Trách nhiệm thực hiện cải tiến liên tục được giao cho nhân viên dịch vụ có trình độ. Tất cả các bên quan tâm nên được khuyến khích đề xuất cải tiến. Sự lãnh đạo cấp cao đưa ra định hướng cải tiến, nguồn lực và xem xét.

Phụ lục A

(tham khảo)

Thông tin tư liệu hóa bắt buộc trong TCVN 8695-1:2023 (ISO/IEC 20000-1:2018)

A.1  Giới thiệu

Thông tin tư liệu hóa bắt buộc trong TCVN 8695-1 (ISO/IEC 20000-1) được liệt kê bên dưới cùng với số Điều. Các từ khác nhau giới thiệu các mục này trong TCVN 8695-1 (ISO/IEC 20000-1), chẳng hạn như 'thông tin tư liệu hóa', 'được tư liệu hóa', 'được tư liệu hóa’, 'có sẵn', 'xác định' (nếu không có trong tài liệu khác) hoặc 'được báo cáo'.

Bảng dưới đây có tất cả các thông tin tư liệu hóa cần thiết được yêu cầu trong TCVN 8695-1 (ISO/IEC 20000-1). Lưu ý rằng danh sách các thông tin tư liệu hóa bắt buộc xuất hiện trong 7.5.4 và chứa các ví dụ chính nhưng không phải là danh sách chính xác.

Hãy nhớ rằng thông tin tư liệu hóa có thể ở bất kỳ định dạng nào, chẳng hạn như tài liệu Word, trang web, trang chiếu bản trình bày, thông tin được nhúng trong công cụ quản lý dịch vụ hoặc giấy viết tay. Để thuận tiện, ở đây chúng tôi đề cập đến 'tài liệu' nhưng có nghĩa là bất kỳ định dạng nào. Thông tin tư liệu hóa có thể được đổi tên, kết hợp với các tài liệu khác hoặc chia thành nhiều tài liệu, ví dụ:. quá trình sự cố lớn có thể được kết hợp với tài liệu quá trình quản lý sự cố.

Cũng có thể chấp nhận các tài liệu bổ sung ngoài những tài liệu được liệt kê ở đây để hỗ trợ vận hành SMS và đóng vai trò là bằng chứng về sự phù hợp.

Danh sách này không phải là:

- danh sách kiểm tra đánh giá;

- đảm bảo cho sự thành công của cuộc đánh giá;

- hướng dẫn về nội dung của thông tin tư liệu hóa.

Thư mục tài liệu tham khảo

[1] ISO 9001, Quality management systems - Requirements (Hệ thống quản lý chất lượng - Các yêu cầu)

[2] ISO/IEC/IEEE 15939:2017, Systems and software engineering - Measurement process (Kỹ thuật phần mềm và hệ thống - Quá trình đo lường)

[3] ISO 55001, Asset management - Management systems - Requirements (Quản lý tài sản - Các hệ thống quản lý - Các yêu cầu)

[4] ISO/IEC 19770-1, Information technology - IT asset management - Part 1: IT asset management systems - Requirements (Công nghệ thông tin - Quản lý tài sản công nghệ thông tin - Phần 1: Hệ thống quản lý tài sản công nghệ thông tin - Các yêu cầu)

[5] TCVN 8695-3 (ISO/IEC 20000-3), Information technology - Service management - Part 3: Guidance on scope definition and applicability of TCVN 8695-1 (ISO/IEC 20000-1) (Công nghệ thông tin - Quản lý dịch vụ - Phần 3: Hướng dẫn xác định phạm vi và khả năng áp dụng của TCVN 8695-1 (ISO/IEC 20000-1))

[6] ISO/IEC 20000-6, Information technology - Service management - Part 6: Requirements for bodies providing audit and certification of service management systems (Công nghệ thông tin - Quản lý dịch vụ - Phần 6: Các yêu cầu đối với tổ chức đánh giá và chứng nhận hệ thống quản lý dịch vụ)

[7] ISO/IEC TR 20000-7, Information technology - Service management - Part 7: Guidance on the integration and correlation of TCVN 8695-1:2023 (ISO/IEC 20000-1:2018) to ISO 9001:2015 and ISO/IEC 27001:2013 (Công nghệ thông tin - Quản lý dịch vụ - Phần 7: Hướng dẫn tích hợp và tương quan giữa TCVN 8695-1:2023 (ISO/IEC 20000-1:2018) với ISO 9001:2015 và ISO/IEC 27001:2013)

[8] ISO/IEC TR 20000-11, Information technology - Service management - Part 11: Guidance on the relationship between TCVN 8695-1 (ISO/IEC 20000-1):2011 and service management frameworks; ITIL® (Công nghệ thông tin - Quản lý dịch vụ - Phần 11: Hướng dẫn về mối quan hệ giữa TCVN 8695-1 (ISO/IEC 20000-1 ):2011 và các khung quản lý dịch vụ: ITIL®)

[9] ISO/IEC TR 20000-12, Information technology - Service management - Part 12: Guidance on the relationship between TCVN 8695-1 (ISO/IEC 20000-1):2011 and service management frameworks: CMMI-SVC (Công nghệ thông tin - Quản lý dịch vụ - Phần 12: Hướng dẫn về mối quan hệ giữa TCVN 8695-1 (ISO/IEC 20000-1 ):2011 và các khung quản lý dịch vụ: CMMI-SVC)

[10] ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Công nghệ thông tin - Kỹ thuật an toàn - Hệ thống quản lý an ninh thông tin - Tổng quan và từ vựng)

[11] ISO/IEC 27001, Information technology - Security techniques - Information security management systems - Requirements (Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý bảo mật thông tin - Các yêu cầu)

[12] ISO 31000, Risk management - Guidelines (Quản lý rủi ro - Các hướng dẫn)

[13] ISO 37500, Guidance on outsourcing (Hướng dẫn thuê ngoài)

[14] ISO/IEC 38500, Information technology - Governance of IT for the organization (Công nghệ thông tin - Quản trị công nghệ thông tin cho tổ chức)