新版ISO/IEC 20000關鍵變化及條款解析

時間：2019-02-27作者：通標標準技術服務有限公司瀏覽：149

針對在2018年9月15日發(fā)布的ISO/IEC 20000新版標準，我們策劃并開設了一期新版關鍵變化及條款解析的線上直播微課，已于2019年1月23日成功直播。直播當天邀請了*****新產(chǎn)品開發(fā)經(jīng)理、ISO/IEC 27001 / ISO/IEC 20000**簽證官、產(chǎn)品經(jīng)理游天鴻 / Chris Yau 老師給大家做分享。

此期微課重點講解ISO/IEC 20000的變化：新版關鍵變化及條款解析
考慮到有些小伙伴由于各種原因無法參與直播，暖心的小編給大家節(jié)選部分重要內(nèi)容，總結(jié)出精華分享給大家，拿走不謝。

新版中的關鍵變化
框架方面
新版主要是標準架構(gòu)的改動、術語跟定義的變化、部分條款重新排列了位置順序以及加入了一些IT服務領域多年沉淀的新概念（諸如：較宏觀的IT服務概念）。

標準結(jié)構(gòu)變化
ISO/IEC 20000 -1:2018的變化方向是與其他管理體系標準(如ISO 9001:2015和ISO/IEC 27001:2013)所采用的高層結(jié)構(gòu)（HLS）和通用**正文及定義保持一致。
由于標準的架構(gòu)轉(zhuǎn)為高層結(jié)構(gòu)(HLS)，所以相應的跟隨架構(gòu)增加了一些條文，比如ISO 9001:2015里面也有的4.1和4.2：組織的環(huán)境、內(nèi)外部的因素、相關方、風險和機遇，都是跟隨高層結(jié)構(gòu)(HLS)而增加進來，舊版是沒有的。
舊版ISO/IEC 20000里面的13個流程，滲透在新版標準的*8章，以前的*5-9章分別是這13個流程，新版的13個流程都在*8章里面。

新增術語
伴隨高層結(jié)構(gòu)(HLS)增加了一些條文之外，標準也新增了一些新的術語和**定義，高層結(jié)構(gòu)(HLS)有22個必須要有的定義，比如什么是組織、方針、內(nèi)審等22個**術語。 ISO/IEC 20000除了這個22個**術語之外，另外還根據(jù)行業(yè)及服務需要增加了IT服務的術語，諸如：服務目錄、變更、配置等這些 IT服務里面特有的一些專業(yè)名詞。

兩個定義變化
1.信息安全
舊版的ISO/IEC 20000也有信息安全，但現(xiàn)在跟ISO/IEC 27001的信息安全保持一致性--“信息安全”的定義與ISO/IEC 27000標準統(tǒng)一

2.可用性
舊版ISO/IEC 20000跟ISO/IEC 27001也有一些相同的概念，比如什么是“可用性”,雖然定義有些不大相同,ISO/IEC 27001的“可用性”通常是指網(wǎng)絡設備/服務器是否可用,但ISO/IEC 20000里面的“可用性”是指提供的服務是否可用,所以這個定義比ISO/IEC 27001的定義較為宏觀,不單指網(wǎng)絡設備/服務器，還包括了提供的服務。如果你提供的服務是人力方面的服務,那人力的可用性,也是納入人力可用性考慮范圍的,不止是網(wǎng)絡方面的可用性,所以新版在這些方面做了適當?shù)男拚?

較宏觀的IT服務概念
整個IT服務流程里，都會有一個服務目錄，記錄了能夠給客戶提供的服務內(nèi)容。但是從公司內(nèi)部管理的角度來講，有一些還沒準備完善的服務，比如正在準備、正在開發(fā)中的或者已退出的服務，這些服務的相關文件屬于機密文件，是不能給客戶看的，但是認證審核的時候，審核員是需要看的，改版以后一要對客戶展示的僅是服務目錄。

文件方面
減少了一些文件的編寫，針對記錄的文件有了彈性處理，對于小規(guī)模、小運作的公司來說，較能體驗到它的益處，同時也增加了一些新要求(諸如：知識管理、資產(chǎn)管理、需求管理、外部和內(nèi)部事項、相關方及有關要求)。

以上是ISO/IEC 20000新版的主要變化

*8章及*9章部分條款解析
8.2 服務組合
這是一個新的概念
服務組合用于管理所有服務的整個生命周期 (新的、更改的和退出的)，包括建議的服務、開發(fā)中的服務、服務目錄中定義的正在提供的服務和要刪除的服務。
  組織應向客戶提供使用服務目錄中適當部分的權(quán)限。

8.3 關系和協(xié)議
舊版也有關系和協(xié)議，分別在商業(yè)顧客關系管理和供應商管理的條文里強調(diào)（7.1和7.2）。
舊版的常見不符合項：如果你的客戶和供應商都是內(nèi)部部門，比如是公司的其他部門，他們是你的供應商，也可能是你的客戶，由于是內(nèi)部部門的問題，很多企業(yè)往往就會忽略它們之間的服務協(xié)議，跟他們的關系也劃分不清晰，所以這是常見的不符合項。而在新版本里，把這兩個概念重新強調(diào)了：無論是內(nèi)外部的供應商及顧客都需要相關的協(xié)議。這是很重要的一個變更。

8.4.2 需求管理
需求管理負責了解當前和未來客戶對服務的需求
? 需求管理是去了解、預測和影響客戶對服務的需求。需求管理與容量管理一起來確保服務提供商有足夠的能力來滿足所需的需求。

組織應按計劃的時間間隔
? 確定當前需求并預測未來服務需求
? 監(jiān)控和服務的需求和使用情況

舊版的需求管理是希望關注顧客的需要，新版的需求管理是希望可以預測顧客的未來需要，所以組織可以對能力做適當調(diào)整而滿足顧客和市場的需求。

8.7.3 信息安全管理
新版在信息安全管理方面的條文寫得較加詳細了，能幫助一些沒有做過ISO/IEC 27001或者不懂ISO/IEC 27001的人員了解信息安全方面的技術性支持。

9.4服務
舊版的服務條文里規(guī)定，組織需要向顧客定期提交（通常是月報），為了較方便靈活運用，新版標準里的服務不是強制性的，根據(jù)服務合同的需求決定是否提交即可。

微課預告
2019年，我們將推出的相關主題微課，敬請期待：
新版 ISO 50001:2018能源管理體系
RSPO CoC怎樣確保棕櫚油的可持續(xù)生產(chǎn)
FSC標簽使用
IECQ QC 080000
CFCC CoC新版要求
......
持續(xù)關注***審核及管理解決方案微信公眾號掌握更多***大咖微課！


通標標準技術服務有限公司專注于ISO9001,ISO14001,ISO45001等

• 詞條

  詞條說明

• 歐盟官方提示：出口抗疫物資不能忽視適用法規(guī)要求

  新冠肺炎肆虐**之際，個人防護用品及醫(yī)療器械產(chǎn)品一時供不應求。但是，產(chǎn)品熱銷不能忘記確保產(chǎn)品符合適用的法規(guī)要求，否則，潛在后果很難預料。 企業(yè)在將這兩類產(chǎn)品銷往歐盟時，一般都知道必須要通過合規(guī)評價。但很多企業(yè)不知道，還有幾個針對這兩類產(chǎn)品的有害物質(zhì)控制法規(guī)，必須始終遵守。 其中之一就是普遍適用的REACH法規(guī)。 較近，歐洲安全聯(lián)盟（ESF)在其官網(wǎng)特別提到對于PPE和MD產(chǎn)品而言，REACH法規(guī)是

• 《GB/T 35273：2017信息安全技術：個人信息安全規(guī)范》——個人信息的保護鎖

  8月28日，某**連鎖酒店疑似發(fā)生用戶數(shù)據(jù)泄露事件，近1.3億用戶的個人信息，包括：姓名、身份證號、家庭住址、生日、手機號、郵箱、登錄密碼、入住時間、離開時間、酒店ID號、房間號、消費金額等，被公開叫賣。這批數(shù)據(jù)被脫庫時間顯示為2018年8月14日，是非常新的數(shù)據(jù)，總數(shù)據(jù)量達到110G以上。人們再次被不堪一擊的個人信息保護問題所**，觸目驚心的泄露數(shù)據(jù)內(nèi)容和數(shù)據(jù)量，使人們深深疑問：到底由誰、怎么

• 廈門金龍聯(lián)合汽車工業(yè)有限公司率先通過*** ISO 45001:2018認證

  近日，廈門金龍聯(lián)合汽車工業(yè)有限公司率先通過了**公認的檢驗、鑒定、測試和認證機構(gòu)***的嚴格審核，順利獲頒ISO 45001:2018職業(yè)健康安全管理體系認證證書，這標志著廈門金龍聯(lián)合汽車工業(yè)有限公司的職業(yè)健康安全管理水平又邁上了一個新的臺階。 廈門金龍聯(lián)合汽車工業(yè)有限公司負責人表示：“安全和質(zhì)量是企業(yè)可持續(xù)經(jīng)營的根基。我們積極引入并貫徹實施ISO 45001:2018**職業(yè)健康與安全管理體系，

• 開巨額罰單背后：互聯(lián)網(wǎng)企業(yè)如何合規(guī)收集使用用戶信息

  近日“****版被罰”的字眼在國內(nèi)社交媒體上激起漣漪。 當?shù)貢r間2月27日，美國聯(lián)邦貿(mào)易**（FTC）發(fā)布了一項重要裁決，短視頻應用（TikTok）****版因違反美國《兒童隱私法》，將被處以570萬美元罰款，并將影響該應用在13歲以下兒童中的使用方式。 （新聞來源網(wǎng)絡） 該事件反應出，高效的互聯(lián)網(wǎng)時代下，隨著移動設備使用率的普及、科技帶來便利和機遇的同時，危機也相輔相成。越來越多的個人和企業(yè)數(shù)