1 Giới thiệu1.1 Mục đích xây dựng tiêu chuẩn Nhằm xây dựng một tài liệu tiêu chuẩn về các yêu cầu đối với việc quản lý dịch vụ công nghệ thông tin và các quy tắc thực hành quản lý dịch
Trang 1BỘ THÔNG TIN VÀ TRUYỀN THÔNG
-THUYẾT MINH BỘ DỰ THẢO TIÊU CHUẨN QUỐC GIA
VỀ QUẢN LÝ DỊCH VỤ CÔNG NGHỆ THÔNG TIN
-CÔNG NGHỆ THÔNG TIN - QUẢN LÝ DỊCH VỤ - PHẦN 1:
CÁC YÊU CẦU CÔNG NGHỆ THÔNG TIN – QUẢN LÝ DỊCH VỤ - PHẦN 2:
QUY TẮC THỰC HÀNH
HÀ NỘI - 2010
Trang 2MỤC LỤC
1 Giới thiệu 2
1.1 Mục đích xây dựng tiêu chuẩn 2
1.2 Các nội dung đã nghiên cứu 2
2 Tình hình tiêu chuẩn hóa về quản lý dịch vụ công nghệ thông tin trong nước và ngoài nước 2
2.1 Các tiêu chuẩn quốc tế, khu vực về quản lý dịch vụ công nghệ thông tin 2
2.2 Các quy định, quy chuẩn kỹ thuật của Việt Nam về quản lý dịch vụ Công nghệ thông tin 3
3 Lựa chọn tài liệu để xây dựng tiêu chuẩn 3
3.1 Phân tích các tài liệu tiêu chuẩn 3
3.2 Bảng so sánh các mô hình quản lý CNTT 5
3.3 Lựa chọn tài liệu xây dựng tiêu chuẩn 9
4 Giới thiệu về bộ tiêu chuẩn ISO/IEC 20000:2005 9
4.1 Giới thiệu chung 9
4.2 Tóm tắt nội dung 9
4.3 Tình hình ứng dụng tiêu chuẩn ISO/IEC 20000 trên thế giới 14
4.4 Tình hình áp dụng tiêu chuẩn ISO/IEC 20000:2005 tại Việt Nam 14
4.5 Lợi ích khi áp dụng ISO 20000:2005 14
5 Xây dựng dự thảo tiêu chuẩn 15
Trang 31 Giới thiệu
1.1 Mục đích xây dựng tiêu chuẩn
Nhằm xây dựng một tài liệu tiêu chuẩn về các yêu cầu đối với việc quản lý dịch vụ công nghệ thông tin và các quy tắc thực hành quản lý dịch vụ công nghệ thông tin, khuyến khích các nhà cung cấp dịch vụ công nghệ thông tin tại Việt Nam áp dụng để cung cấp dịch vụ với chất lượng tốt nhất cho khách hàng
1.2 Các nội dung đã nghiên cứu
Bộ Thông tin và Truyền thông đã giao Viện Khoa học Kỹ thuật Bưu điện nghiên cứu xây dựng dự thảo tiêu chuẩn quốc gia về quản lý dịch vụ công nghệ thông tin từ năm 2009 trong khuôn khổ đề tài nghiên cứu khoa học cấp Bộ mã số 89-09-KHKT-TC “Xây dựng tiêu chuẩn “Công nghệ thông tin - Quản lý dịch vụ - Đặc tính và quy trình kỹ thuật” Nhóm thực hiện nghiên cứu đã có những kết quả nghiên cứu tập hợp tóm tắt ở phần dưới đây
2 Tình hình tiêu chuẩn hóa về quản lý dịch vụ công nghệ thông tin trong nước
và ngoài nước
2.1 Các tiêu chuẩn quốc tế, khu vực về quản lý dịch vụ công nghệ thông tin
Các tổ chức viễn thông quốc tế và các quốc gia đã nghiên cứu và đưa ra nhiều tài liệu, tiêu chuẩn trong lĩnh vực công nghệ thông tin như:
ISO/IEC 15408 Information Technology - Security Techniques - Evaluation Criteria for IT Security.
ISO/IEC 18028 Information technology - Security techniques - IT network security.
ISO/IEC 18045:2005 Information technology - Security Techniques - Methodology for IT Security Evaluation.
ISO/IEC 27000 Information technology - Security techniques - Information security management systems.
ISO/IEC FDIS 19790 Information Technology - Security Techniques - Security Requirements for Cryptographic Modules.
ISO/IEC NP 24759 Information Technology - Security Techniques – test Requirements for Cryptographic Modules.
ISO/IEC TR 15443-1:2005 Information technology - Security techniques - A framework for IT security assurance.
ISO/IEC 20000-2005: Information Technology - Service Management- Part 1: Specification and Part 2: Code of Practice.
ITIL (Information Technology Infrastructure Library - Thư viện hạ tầng cơ sở CNTT).
COBIT (Control Objectives for Information and Related Technology)
Trang 42.2 Các quy định, quy chuẩn kỹ thuật của Việt Nam về quản lý dịch
vụ Công nghệ thông tin
Bộ Thông tin và Truyền thông chưa ban hành quy chuẩn kỹ thuật nào về quản lý dịch vụ công nghệ thông tin
Một số tiêu chuẩn quốc gia liên quan đến lĩnh vực công nghệ thông tin gồm có:
TCVN 7319-1: 2003 ISO/IEC 9995-1: 1994 (E) Công nghệ thông tin - Bố trí bàn phím dùng cho hệ thống văn bản và văn phòng - Phần 1: Nguyên tắc chung về bố trí bàn phím TCVN 7319-2: 2003 ISO/IEC 9995-2: 1994 (E) Công nghệ thông tin - Bố trí bàn phím dùng cho hệ thống văn bản và văn phòng - Phần 2: Khối chữ - số
TCVN 7319-5: 2003 ISO/IEC 9995-5: 1994 (E) Công nghệ thông tin - Bố trí bàn phím dùng cho hệ thống văn bản và văn phòng - Phần 3: Khối biên tập
TCVN ISO 27001:2009: Công nghệ thông tin - Hệ thống quản lý an toàn thông tin Tiêu chuẩn này có thể áp dụng cho tất cả các loại hình tổ chức (như các doanh nghiệp, các cơ quan chính phủ, tổ chức phi lợi nhuận)
TCVN 8066:2009 Công nghệ thông tin – Khuôn dạng chứng thư số
TCVN 8067:2009 Công nghệ thông tin – Khuôn dạng danh sách chứng thư số bị thu hồi TCVN 7562:2005 Công nghệ thông tin Mã thực hành quản lý an ninh thông tin
TCVN 7563-1:2005 Công nghệ thông tin Từ vựng Phần 1: Thuật ngữ cơ bản
TCVN 7563-4:2005 Công nghệ thông tin Từ vựng Phần 4: Tổ chức dữ liệu
TCVN 7563-8:2005 Công nghệ thông tin Từ vựng Phần 8: An ninh
Luật công nghệ thông tin do Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa
XI, kỳ họp thứ 09 thông qua tháng 11 năm 2006
3 Lựa chọn tài liệu để xây dựng tiêu chuẩn
3.1 Phân tích các tài liệu tiêu chuẩn
Hiện nay trên thế giới có một số mô hình quản lý dịch vụ CNTT đang được áp dụng một cách thông dụng trên thế giới như: ITIL, CobiT và tiêu chuẩn mới nhất về CNTT hiện nay
là ISO/IEC 20000:2005
ITIL (Information Technology Infrastructure Library - Thư viện hạ tầng cơ sở CNTT):
Đây là mô hình quản lý IT theo chuẩn Anh: mô tả toàn diện các quy trình liên quan đến việc quản lý CNTT ITIL được phát triển đầu tiên bởi CCTA - một cơ quan chính phủ của Anh Nhưng đến nay nó đã được thừa nhận và sử dụng phổ biến trên toàn thế giới như là một chuẩn thực hành trong việc cung cấp dịch vụ công nghệ thông tin (IT Service) Mặc
dù ITIL bao trùm trên một số lĩnh vực khác nhau nhưng nó được tập trung chủ yếu trong lĩnh vực quản lý dịch vụ công nghệ thống tin Hiện nay ITIL được coi như tiêu chuẩn mặc định áp dụng cho việc quản lý chất lượng dịch vụ cho hệ thống CNTT và đã được áp dụng rộng rãi tại rất nhiều công ty, tổ chức như Microsoft, IBM, HP, doanh nghiệp ANZ, Bank
Trang 5of America, ABN-AMRO Bank, Bank of Canada, HSBC, Ngân hàng VPBank, Ngân hàng VIB, Techcombank,
ITIL mạnh về các quy trình hỗ trợ và quy trình cung cấp dịch vụ IT nhưng yếu trong các quy trình kiểm soát an toàn
ITIL chủ yếu tập trung hệ thống hóa quản lý các hoạt động IT theo các nhóm dịch vụ
COBIT (Control Objectives for Information and Related Technology): Đây là mô hình quản lý IT theo chuẩn Mỹ.
CoBiT là một chuẩn quốc tế về quản lý CNTT gồm những thực hành (khung) tốt nhất về quản lý CNTT do ISACA và ITGI xây dựng năm 1996 CoBiT cung cấp cho các nhà quản lý, những người kiểm tra và những người sử dụng IT một loạt các phép đo, dụng cụ
đo, các quy trình và các hướng dẫn thực hành tốt nhất để giúp họ tăng tối đa lợi nhuận thông qua việc sử dụng công nghệ thông tin và giúp họ quản lý và kiểm soát IT trong công ty
Mục đích của CoBiT là “nghiên cứu, phát triển, quảng bá và xúc tiến một tập hợp các mục tiêu kiểm soát CNTT được chấp nhận phổ biến để các nhà quản lý doanh nghiệp và những người kiểm tra sử dụng hàng ngày”
ISO/IEC 20000: 2005
ISO/IEC 20000:2005 được ban hành nhằm đáp ứng các nhu cầu của khách hàng trên thế giới và cung cấp kiến thức chung về quản lý các dịch vụ công nghệ thông tin toàn cầu Tiêu chuẩn này bao gồm các khía cạnh của quản lý dịch vụ công nghệ thông tin giúp các nhà cung cấp dịch vụ hiểu làm cách nào để nâng cao chất lượng dịch vụ cho khách hàng (trong và ngoài doanh nghiệp) Tiêu chuẩn này gồm 02 phần:
Phần 1 - Quy định đối với quản lý dịch vụ - cung cấp các yêu cầu cho quản lý dịch vụ công nghệ thông tin và có trách nhiệm thực hiện và duy trì quản lý dịch vụ công nghệ thông tin trong doanh nghiệp Các doanh nghiệp có thể áp dụng hệ thống quản lý dịch vụ công nghệ thông tin độc lập tuân thủ theo các yêu cầu của tiêu chuẩn ISO/IEC 20000-1:2005
Phần 2 – Quy tắc thực hành đối với quản lý dịch vụ Đưa ra hướng dẫn cho các chuyên gia đánh giá nội bộ và giúp cho các nhà cung cấp dịch vụ lên kế hoạch cải thiện chất lượng dịch vụ để chuẩn bị cho các cuộc đánh giá dựa trên tiêu chuẩn ISO/IEC 20000-1:2005
ISO/IEC 20000 được xây dựng dựa trên BS 15000 ISO/IEC 20000 và BS 15000 có sự khác biệt không đáng kể, nhưng sự khác biệt của tiêu chuẩn ISO/IEC 20000 phù hợp với các khách hàng quốc tế, cơ cấu và sự định dạng của tiêu chuẩn được thay đổi, sự nhất quán giữa phần 1 và phần 2, sự chuẩn hoá của các điều khoản và sự rõ ràng mạch lạc của văn bản
ISO/IEC 20000 thích hợp với mọi loại hình của doanh nghiệp và giúp cho doanh nghiệp:
- Giảm thiểu rủi ro trong quảng bá hoạt động của doanh nghiệp
- Đáp ứng các yêu cầu khi tham gia đấu thầu
- Đảm bảo chất lượng dịch vụ
Trang 6- Mang lại dịch vụ tốt nhất cho doanh nghiệp
ISO/IEC 20000:2005 gồm tập hợp các tư liệu hỗ trợ cho các quy trình:
Quy trình cung ứng (phân phối) dịch vụ - Service Delivery Processes
+ Quản lý dung lượng
+ Quản lý tính sẵn sàng và tính liên tục của dịch vụ
+ Quản lý mức dịch vụ
+ Lập báo cáo dịch vụ
+ Quản lý an toàn thông tin
+ Lập dự thảo ngân sách và tính toán chi phí cho các dịch vụ IT
Quy trình tạo lập mối quan hệ - Relationship Processes:
+ Quản lý quan hệ kinh doanh
+ Quản lý nhà phân phối
Quy trình điều khiển (kiểm soát) - Control Processes
+ Quản lý cấu hình
+ Quản lý thay đổi
Quy trình giải quyết vấn đề - Resolution Processes:
+ Quản lý sự cố
+ Quản lý vấn đề
Quy trình sản xuất phần mềm
+ Quản lý phần mềm
3.2 Bảng so sánh các mô hình quản lý CNTT
Trang 7CoBiT ITIL ISO/IEC 20000 Đây là chuẩn quản lý CNTT theo chuẩn
Mỹ do ISACA và ITGI xây dựng năm
1996
Đây là bộ tài liệu hướng dẫn xây dựng Quy trình Cung cấp và Quản lý dịch vụ CNTT Bộ tài liệu này được sử dụng để xây dựng nền tảng cơ bản và áp dụng một cách bài bản việc quản lý dịch vụ CNTT
ITIL được xây dựng bởi Văn phòng thương mại Anh (Office of Government Commerce (OGC), được thừa nhận và sử dụng phổ biến trên toàn thế giới là một chuẩn mực thực tiễn trong việc cung cấp dịch vụ công nghệ thông tin
Đây là chuẩn mới về quản lý dịch vụ CNTT, được tổ chức tiêu chuẩn hoá quốc
tế (ISO) cùng với Ủy ban kỹ thuật điện quốc tế (IEC) ban hành ngày 15/12/2005 Tiêu chuẩn này thay thế cho tiêu chuẩn cũ
BS 15000 của Viện tiêu chuẩn Anh
Ứng dụng: Kiểm soát và Quản lý CNTT Ứng dụng: Quản lý Dịch Vụ CNTT Ứng dụng: Quản lý Dịch Vụ CNTT theo
ISO Tương thích với các tiêu chuẩn quản lý
khác như ISO 9001:2000, ITIL, ISO
27001, 27002
- ITIL là cơ sở để tổ chức tiêu chuẩn chất lượng ISO xây dựng tiêu chuẩn ISO 20000
về quản trị dịch vụ CNTT
- ITIL hoạt động rất hiệu quả với ISO/IEC
27002 (ISO/IEC 17799:2005)
- ITIL có thể được ánh xạ tới CobiT, hai chuẩn này bổ sung cho nhau: nếu CobiT cho các tổ chức những gì để làm gì trong việc phân phối và các lĩnh vực hỗ trợ, thì ITIL thực hành tốt nhất giúp các tổ chức xác định cách để cung cấp các yêu cầu này
- Phù hợp với chuẩn ITIL: Về cơ bản ISO/IEC 20000 bao gồm các quy trình về quản lý dịch vụ CNTT đầy đủ hơn ITIL Giúp cho các doanh nghiệp vừa thực hiện được mô hình quản lý IT theo các quy trình như chuẩn ITIL vừa giúp các doanh nghiệp IT có được chứng nhận ISO
- ISO 20000 sử dụng cách tiếp cận theo Quy trình, hoàn toàn phù hợp với các chuẩn như CoBiT, ISO 27001:2005, ISO 9001:2000 và ISO 14001:2004, bao gồm
Kế hoạch-Do-Check-Act (PDCA) và yêu cầu về chu trình cải tiến liên tục
Trang 8Hiện đang được áp dụng ở một số tổ chức,
ngân hàng trong và ngoài nước:
Techcombank, Bank of America, ANZ
Hiện đang được áp dụng rộng rãi tại rất nhiều công ty, tổ chức như trong và ngoài nước như Microsoft, IBM, HP, doanh nghiệp ANZ, Bank of America, ABN-AMRO Bank, Bank of Canada, HSBC, Ngân hàng VPBank, Ngân hàng VIB, Techcombank,
Áp dụng cho các công ty, tổ chức trên thế giới như Mỹ, Úc, Hà Lan, Đan Mạch, Nhật
Nội dung: CoBiT gồm 34 Quy trình quản
lý IT cấp cao mà bao gồm 210 mục tiêu
kiểm soát:
Nội dung: ITIL chủ yếu tập trung hệ thống hóa quản lý các hoạt động IT theo các nhóm dịch vụ:
Nội dung: ISO/IEC 20000:2005 gồm tập hợp các tư liệu hỗ trợ cho các quy trình:
Quản lý mức dịch vụ Service Level Management Service level management
Đảm bảo dịch vụ được liên tục IT Service Continuity Management Service continuity management
Quản lý việc đầu tư IT IT Financial Management Budgeting and accounting for IT services
Đảm bảo an toàn hệ thống IT Security Management Information security management
Business relationship management
Trang 9Quản lý vấn đề Problem Management Problem management
Quản lý chất lượng
Trang 103.3 Lựa chọn tài liệu xây dựng tiêu chuẩn
Qua phân tích và so sánh các tiêu chuẩn về quản lý dịch vụ CNTT đã nêu ở trên, Nhóm chủ trì dự thảo tiêu chuẩn thấy rằng: ngoài việc phù hợp với chuẩn ITIL, CoBiT thì chuẩn ISO/IEC 20000 hoàn toàn tương thích với các tiêu chuẩn quản lý khác như ISO 9001:2000, TCVN ISO 9001:2000 và ISO 14001:2004, ISO/IEC
27001 nhằm đảm bảo sự thống nhất và thành công khi triển khai cùng lúc các tiêu chuẩn quản lý khác nhau Mặt khác việc áp dụng chuẩn ISO/IEC 20000 còn giúp các doanh nghiệp, tổ chức hiện đang sử dụng mô hình ITIL hoặc CoBiT hoặc chưa
sử dụng một trong hai chuẩn ITIL hoặc CoBiT mang lại những lợi ích sau:
- Quản lý dịch vụ theo chuẩn nhằm mang lại chất lượng dịch vụ tốt nhất cho doanh nghiệp
- Áp dụng một hệ thống đảm bảo chất lượng được chứng nhận điều này giúp họ củng cố thêm lòng tin, cải thiện mối quan hệ và hình ảnh của họ đối với các tổ chức
và cá nhân, đánh giá được hệ thống, các quy trình quản lý, chất lượng dịch vụ và sự hài lòng của khách hàng theo các chuẩn mực hay mục tiêu chất lượng cụ thể
Kết luận: Tiêu chuẩn ISO/IEC 20000 là chuẩn mới nhất về quản lý dịch vụ CNTT
hiện đang được áp dụng rộng rãi trên thế giới, phù hợp với rất nhiều chuẩn về quản
lý CNTT và các chuẩn về quản lý khác Nhóm chủ trì dự thảo tiêu chuẩn quyết định chọn tiêu chuẩn ISO/IEC 20000-2005: Information Technology - Service Management- Part 1: Specification và Part 2: Code of Practice làm tài liệu tham chiếu gốc để xây dựng tiêu chuẩn quốc gia về quản lý dịch vụ công nghệ thông tin
4 Giới thiệu về bộ tiêu chuẩn ISO/IEC 20000:2005
4.1 Giới thiệu chung
ISO/IEC 20000 tiêu chuẩn mới về quản lý dịch vụ công nghệ thông tin được tổ chức tiêu chuẩn hoá quốc tế (ISO) cùng với Ủy ban kỹ thuật điện quốc tế (IEC) ban hành ngày 15/12/2005 Tiêu chuẩn này thay thế cho tiêu chuẩn cũ BS 15000 của Viện tiêu chuẩn Anh
Bộ tiêu chuẩn này được các chuyên gia hàng đầu có kinh nghiệm lâu năm về quản
lý dịch vụ công nghệ thông tin (ITSM) xây dựng nhằm trả lời hàng loạt các câu hỏi
có liên quan đến quản lý dịch vụ công nghệ thông tin và nhằm cung cấp cho người
sử dụng những thông tin, hướng dẫn hữu ích, các khuôn mẫu và quy trình đánh giá đơn giản mà tiện ích Đây cũng là bộ tiêu chuẩn đầu tiên trên toàn cầu về lĩnh vực quản lý dịch vụ công nghệ thông tin và hoàn toàn phù hợp với chuẩn mực của Thư viện về quản lý cơ sở hạ tầng công nghệ thông tin (ITIL)
Tiêu chuẩn quốc tế ISO/IEC 20000:2005 là cầu nối bổ sung khiếm khuyết giữa ISO 9000:2000 (tiêu chuẩn này tập trung vào việc thiết lập hệ thống quản lý chất lượng IT) và việc triển khai thành công của quản lý dịch vụ IT theo thực tiễn tốt nhất Hơn nữa, ISO/IEC 20000:2005 đề nghị đổi mới việc quản lý dịch vụ IT trong các tổ chức
để nâng cao chất lượng dịch vụ