TCVN 8695:2011 CÔNG NGHỆ THÔNG TIN QUẢN LÝ DỊCH VỤ PHẦN 2: QUY TẮC THỰC HÀNH

Trong số những biện pháp đưa ra để thực hiện việc này, nhà cung cấp dịch vụ nên chútâm vào những việc sau đây: a Tuyển dụng: mục đích là kiểm tra tính chính xác về thông tin nghề nghiệp

TCVN 8695:2-2011 CÔNG NGHỆ THÔNG TIN - QUẢN LÝ DỊCH VỤ

PHẦN 2: QUY TẮC THỰC HÀNH

Information technology - Service management

Part 2: Code of practice

3.2 Yêu cầu về tài liệu

3.3 Năng lực, nhận thức và đào tạo

3.3.1 Tổng quan

3.3.2 Phát triển nghiệp vụ

3.3.3 Các phương pháp tiếp cận cần lưu ý

4 Lập kế hoạch và thực hiện quản lý dịch vụ

4.1 Lập kế hoạch quản lý dịch vụ (lập kế hoạch)

4.2 Thực hiện quản lý và cung cấp các dịch vụ (Thực hiện)

4.3 Giám sát, kiểm tra và soát xét

4.4 Cải tiến liên tục (hành động)

4.4.1 Chính sách

4.4.2 Lập kế hoạch cái tiến dịch vụ

5 Lập kế hoạch và thực hiện các dịch vụ mới hoặc các dịch vụ đã thay đổi.5.1 Các vấn đề cần xem xét

5.2 Các báo cáo về quản lý thay đổi

6.3.3 Chiến lược duy trì tính liên tục của dịch vụ

6.3.4 Kiểm tra và lập kế hoạch duy trì tính liên tục của dịch vụ

6.4 Lập dự thảo ngân sách và tính toán chi phí cho các dịch vụ IT

6.6.2 Định danh và phân loại các tài sản thông tin

6.6.3 Đánh giá rủi ro về an toàn thông tin

6.6.4 Những rủi ro đối với tài sản thông tin

6.6.5 Sự an toàn và tính sẵn sàng của thông tin6.6.6 Các biện pháp kiểm soát

6.6.7 Các tài liệu và báo cáo

7 quy trình tạo lập mối quan hệ

8 quy trình giải quyết vấn đề

8.1 Khái quát chung

8.1.1 Thiết lập mức độ ưu tiên

8.3.5 Truyền đạt thông tin

8.3.6 Theo dõi và chuyển cấp xử lý các vấn đề8.3.7 Kết thúc báo cáo sự cố và vấn đề

8.3.8 Xem xét lại vấn đề

8.3.9 Các vấn đề cần xem xét lại

8.3.10 Ngăn ngừa vấn đề

9 quy trình kiểm soát

9.1 Quản lý cấu hình

9.1.1 Lập kế hoạch và thực hiện quản lý cấu hình

9.1.2 Định danh (đánh số) các mục cấu hình

9.1.2 Kiểm soát cấu hình

9.1.3 Báo cáo và kiểm kê tình trạng cấu hình

9.1.4 Kiểm tra và xác minh cấu hình

9.2 Quản lý thay đổi

9.2.1 Lập kế hoạch và thực hiện

9.2.2 Kết thúc và xem lại yêu cầu thay đổi

9.2.3 Những thay đổi khẩn cấp

9.2.4 Báo cáo quy trình quản lý thay đổi, phân tích và hành động

10 quy trình phát hành (Release process)

10.1 quy trình quản lý phát hành

10.1.1 Tổng quan

10.1.2 Chính sách phát hành

10.1.3 Lập kế hoạch phát hành và giới thiệu dịch vụ mới

10.1.4 Phát triển hoặc mua phần mềm

10.1.5 Thiết kế, xây dựng và định cấu hình phát hành

10.1.6 Xác minh và tiếp nhận phát hành

10.1.7 Tài liệu

10.1.8 Giới thiệu, phân phối và cài đặt

10.1.9 Vấn đề sau phát hành và giới thiệu phát hành

Thư mục tài liệu tham khảo

Công nghệ thông tin – Quản lý dịch vụ

Phần 2: Quy tắc thực hành

Information Technology – Service Management

Part 1: Code of practice

1 Phạm vi áp dụng

Tiêu chuẩn này đưa ra quy trình chuẩn cho quản lý dịch vụ công nghệ thông tin Quy trình quản

lý dịch vụ công nghệ thông tin này mang lại những dịch vụ tốt nhất có thể nhằm đáp ứng cácnhu cầu về kinh doanh của khách hàng trong phạm vi các mức tài nguyên có sẵn, tức là dịch vụchuyên nghiệp, có hiệu quả về mặt chi phí và quản lý được các rủi ro

Khi áp dụng tiêu chuẩn này, việc hiểu rõ các thuật ngữ liên quan đến quản lý theo quy trình làrất quan trọng Tiêu chuẩn này khuyến nghị các nhà cung cấp dịch vụ áp dụng các thuật ngữchung và phương pháp tiếp cận nhất quán trong quản lý dịch vụ Điều này sẽ mang lại thuận lợicho việc cải tiến các dịch vụ và cũng giúp các nhà phân phối sử dụng những công cụ quản lýdịch vụ

Là một tiêu chuẩn về quy trình, tiêu chuẩn này không được dùng để đánh giá sản phẩm Tuynhiên, các tổ chức đang triển khai các hệ thống, sản phẩm và công cụ quản lý dịch vụ có thể sửdụng cả các yêu cầu kỹ thuật của phần 1 và quy tắc thực hành của phần này để triển khai các

hệ thống, các sản phẩm và các công cụ để hỗ trợ việc quản lý dịch vụ tốt nhất

Tiêu chuẩn này cung cấp những hướng dẫn cho những người kiểm tra và trợ giúp các nhàcung cấp dịch vụ trong việc lập kế hoạch cải tiến dịch vụ hoặc thực hành kiểm tra theo phần 1 Phần 1 trình bày một số quy trình quản lý dịch vụ có liên quan với nhau như mô tả trong hình 1

Để đảm bảo hoạt động hiệu quả phải có một người quản lý cấp cao chịu trách nhiệm chính vềviệc lập các kế hoạch quản lý dịch vụ Người chịu trách nhiệm cấp cao phải chịu trách nhiệmđối với toàn bộ quy trình triển khai kế hoạch quản lý dịch vụ.

Vai trò của người chịu trách nhiệm cấp cao là quản lý tài nguyên cho bất kỳ dự án nào dựa trêncác hoạt động cải tiến dịch vụ

Người chịu trách nhiệm cấp cao phải được hỗ trợ bởi một nhóm tiếp nhận quyết định với đủquyền hạn để đề ra chính sách và thi hành các quyết định đó.

3.2 Yêu cầu về tài liệu

Người chịu trách nhiệm cấp cao phải đảm bảo các chứng cớ đầy đủ, sẵn sàng cho việc kiểmtra các chính sách quản lý dịch vụ, kế hoạch, thủ tục và bất kỳ hoạt động nào liên quan đếnnhững vấn đề này

Những chứng cứ về việc lập kế hoạch quản lý dịch vụ và các hoạt động sẽ tồn tại dưới dạng tàiliệu ở bất kỳ chất liệu, kiểu dáng hoặc định dạng nào phù hợp với mục đích sử dụng

Những tài liệu dưới đây được xem là những chứng cứ phù hợp cho việc lập kế hoạch quản lýdịch vụ:

a) các chính sách và kế hoạch

b) hồ sơ dịch vụ

c) các thủ tục

d) các quy trình

e) các báo cáo kiểm soát quy trình

Phải có một quy trình tạo và quản lý các tài liệu để đảm bảo các đặc tính đã mô tả được thỏamãn

Các tài liệu phải được bảo vệ tránh hư hỏng, ví dụ: do điều kiện môi trường không tốt hoặc cácthảm họa máy tính

3.3 Năng lực, nhận thức và đào tạo

3.3.1 Tổng quan

Những người thực hiện công việc quản lý dịch vụ phải có đủ năng lực: có kiến thức phù hợp,

đã trải qua quy trình đào tạo kỹ lưỡng, có đủ kỹ năng và kinh nghiệm cần thiết

Nhà cung cấp dịch vụ phải:

a) định rõ năng lực cần có đối với từng vai trò trong quy trình quản lý dịch vụ.

b) đảm bảo toàn thể nhân viên nhận thức được mối liên hệ và tầm quan trọng của cáchành động của mình trong việc mở rộng kinh doanh và cách thức đóng góp vào việchoàn thành các mục tiêu chất lượng

c) duy trì các báo cáo về giáo dục, đào tạo, kỹ năng và kinh nghiệm

d) cung cấp các khóa đào tạo hoặc thực hiện hoạt động khác để thỏa mãn những nhu cầunày

e) đánh giá hiệu quả các hành động đã được thực hiện

3.3.2 Phát triển nghiệp vụ

Nhà cung cấp dịch vụ phải phát triển và tăng cường năng lực nghiệp vụ của lực lượng laođộng Trong số những biện pháp đưa ra để thực hiện việc này, nhà cung cấp dịch vụ nên chútâm vào những việc sau đây:

a) Tuyển dụng: mục đích là kiểm tra tính chính xác về thông tin nghề nghiệp của ứng viên(bao gồm các năng lực nghiệp vụ của họ), nắm bắt các điểm mạnh, điểm yếu và khảnăng tiềm ẩn của ứng viên dựa trên mô tả/hiện trạng công việc, các mục tiêu quản lýdịch vụ và những mục tiêu tổng thể về chất lượng dịch vụ

b) Lập kế hoạch: mục đích là bố trí nhân sự cho các dịch vụ mới hoặc các dịch vụ mởrộng (bao gồm cả các dịch vụ hợp đồng), sử dụng công nghệ mới, chỉ định cán bộ quản

lý dịch vụ để phát triển các nhóm dự án, quy hoạch thành công và lấp đầy những vị trítrống khác nhờ luân chuyển cán bộ

c) Đào tạo và phát triển: mục đích là nhận diện những yêu cầu về đào tạo và phát triểnnhư đưa vào kế hoạch các yêu cầu về đào tạo, phát triển và thực hiện hiệu quả, đúngthời điểm

Nhân viên phải được đào tạo các vấn đề liên quan tới quản lý dịch vụ (ví dụ: thông qua cáckhóa đào tạo, tự nghiên cứu, trao đổi kinh nghiệm và đào tạo nghề nghiệp), các kỹ năng làmviệc theo nhóm và kỹ năng lãnh đạo Mỗi nhân viên phải có riêng một bản báo cáo mô tả rõ vềcác quy trình đào tạo đã tham gia

3.3.3 Các phương pháp tiếp cận cần lưu ý

Để lập các nhóm nhân viên có các mức năng lực phù hợp, nhà cung cấp phải lựa chọn kết hợptối ưu giữa những nhân viên hợp đồng dài hạn và ngắn hạn Đồng thời nhà cung cấp cũng phảilựa chọn kết hợp giữa nhân viên mới có đủ kỹ năng yêu cầu và đào tạo lại nhân viên.

CHÚ THÍCH: Việc cân bằng tối ưu giữa nhân viên hợp đồng dài hạn và ngắn hạn là đặc biệtquan trọng khi nhà cung cấp có kế hoạch cung cấp một dịch vụ trước và sau những thay đổiquan trọng về số lượng cũng như kỹ năng của đội ngũ nhân viên hỗ trợ

Các yếu tố phải lưu ý khi thiết lập một tập hợp các phương pháp tiếp cận bao gồm:

a) nhu cầu ngắn hạn hoặc dài hạn về năng lực mới hoặc đã thay đổi

b) tốc độ thay đổi kỹ năng và năng lực

c) khối lượng công việc và kỹ năng cần thiết cao điểm và thấp điểm theo dự kiến dựa vàoviệc lập kế hoạch quản lý và cải tiến dịch vụ

d) tính sẵn sàng của nhân viên có năng lực phù hợp

e) tốc độ quay vòng nhân viên

f) các kế hoạch đào tạo

Hàng năm nhà cung cấp dịch vụ phải xem xét lại thành tích của mỗi cá nhân ít nhất một lần vàđưa ra những biện pháp hợp lý dựa trên thành tích đó

4 Lập kế hoạch và thực hiện quản lý dịch vụ

4.1 Lập kế hoạch quản lý dịch vụ (lập kế hoạch)

Mục tiêu: Lập kế hoạc thực hiện và quản lý dịch vụ

Việc lập kế hoạch quản lý dịch vụ là một phần của quy trình chuyển đổi các yêu cầu của kháchhàng và các định hướng của nhà quản lý cấp cao trong các dịch vụ, và là một phần của quytrình cung cấp một bản đồ hành trình cho tiến trình trực tiếp.

Một kế hoạch quản lý dịch vụ sẽ bao gồm việc:

a) thực hiện quản lý dịch vụ (hoặc một phần của quản lý dịch vụ)

b) triển khai các quy trình quản lý dịch vụ

c) thay đổi các quy trình quản lý dịch vụ

d) cải tiến các quy trình quản lý dịch vụ

e) tạo các dịch vụ mới (giới hạn các dịch vụ mà có ảnh hưởng tới các quy trình thuộcphạm vi cho phép quản lý dịch vụ)

4.1.3 Những sự kiện cần lưu ý

Kế hoạch quản lý dịch vụ sẽ được dùng để phục vụ cho quy trình quản lý dịch vụ và những thayđổi dịch vụ do các sự kiện sau gây ra:

a) cải tiến dịch vụ

b) thay đổi dịch vụ.

c) chuẩn hóa cơ sở cơ sở hạ tầng

d) thay đổi về luật

e) những thay đổi về quy định, ví dụ thay đổi về thuế

f) việc bãi bỏ quy định hoặc điều chỉnh công nghiệp

g) việc tiếp nhận và liên doanh liên kết

4.1.4 Phạm vi và nội dung của kế hoạch

Một kế hoạch quản lý dịch vụ phải định nghĩa được:

a) phạm vi quản lý dịch vụ của một nhà cung cấp dịch vụ

b) mục tiêu và yêu cầu cần đạt thông qua quy trình quản lý dịch vụ

c) nguồn tài nguyên, phương tiện và ngân sách cần thiết để đạt được mục tiêu đề ra.d) vai trò và trách nhiệm quản lý, bao gồm trách nhiệm của người quản lý cấp cao, nhữngngười làm chủ quy trình và quản lý các nhà phân phối

e) giao diện giữa các quy trình quản lý dịch vụ và cách mà các hoạt động và/hoặc quytrình được phối hợp

f) phương pháp nhận dạng, đánh giá và quản lý các vần đề và rủi ro để đạt được các mụctiêu đã đề ra

g) danh mục tài nguyên được ấn định theo ngày, bao gồm tài chính, kỹ năng và các tàinguyên khác sẵn có để sử dụng

h) phương pháp thay đổi kế hoạch và dịch vụ được xác định theo kế hoạch

i) cách thức nhà cung cấp dịch vụ duy trì kiểm soát chất lượng (ví dụ: các đợt kiểm tratheo từng giai đoạn chuyển tiếp)

j) các quy trình phải thực hiện

k) các công cụ thích hợp để hỗ trợ các quy trình

4.2 Thực hiện quản lý và cung cấp các dịch vụ (Thực hiện)

Mục tiêu: thực hiện kế hoạch và các mục tiêu quản lý dịch vụ

Trong thực tiễn sẽ không thể đạt được các quy trình quản lý dịch vụ tốt nhất có khả năng đápứng đầy đủ các yêu cầu của tiêu chuẩn này nếu như các dịch vụ lúc đầu đưa ra không thỏamãn các yêu cầu chung của phần I.

Một khi được thực hiện, dịch vụ và các quy trình quản lý dịch vụ phải được duy trì Việc xem xétlại sẽ được trình bày trong phần 4.3

CHÚ THÍCH: Người thích hợp cho việc lập kế hoạch và thực hiện các bước ban đầu trong hoạtđộng quản lý chất lượng dịch vụ chưa chắc phù hợp với việc duy trì dịch vụ và các quy trìnhquản lý dịch vụ

4.3 Giám sát, kiểm tra và soát xét

Mục tiêu: Kiểm tra và giám sát việc thực hiện kế hoạch và các mục tiêu quản lý dịch vụ

Nhà cung cấp dịch vụ phải lập kế hoạch, thực hiện kiểm tra, xem xét, phân tích và đánh giádịch vụ, các quy trình quản lý dịch vụ và các hệ thống kết hợp Các vấn đề cần được kiểm tra,xem xét và đánh giá bao gồm:

a) thành tích đạt được so với các mục tiêu dịch vụ đề ra

b) sự hài lòng của khách hàng

c) việc sử dụng tài nguyên

d) các xu hướng

e) sự không phù hợp

Các kết quả phân tích phải đưa vào kế hoạch cải tiến dịch vụ

Đồng thời với việc đánh giá và phân tích các hoạt động quản lý dịch vụ, người quản lý cấp caocần sử dụng những kết quả kiểm tra nội bộ và các kết quả kiểm tra khác Khi quyết định tầnsuất kiểm tra nội bộ và những kiểm tra khác, mức độ rủi ro trong một quy trình, thì tần suất hoạtđộng và lịch sử các vấn đề là những nhân tố phải tính đến Việc kiểm tra nội bộ và kiểm trakhác phải được lập kế hoạch, thực hiện tốt và phải được ghi lại

4.4 Cải tiến liên tục (hành động)

Mục tiêu: Tăng cường hiệu quả và hiệu lực quản lý và phân phối dịch vụ

Cụ thể, tất cả nhân viên của một nhà cung cấp dịch vụ tham gia vào quy trình quản lý dịch vụphải có sự hiểu biết cụ thể về mối liên quan của chính sách chất lượng dịch vụ đối với các quytrình quản lý dịch vụ.

Phải có sự liên kết giữa cấu trúc quản lý của nhà cung cấp dịch vụ, khách hàng và nhà phânphối của nhà cung cấp dịch vụ về những vấn đề có ảnh hưởng tới chất lượng dịch vụ cũng nhưnhững yêu cầu của khách hàng

4.4.2 Lập kế hoạch cái tiến dịch vụ

Trên quan điểm của mình và khách hàng, nhà cung cấp dịch vụ phải chọn một hướng tiếp cận

có thứ tự và thống nhất để cải tiến dịch vụ nhằm đạt được những yêu cầu của chính sách

Trước khi thực thiện kế hoạch cải tiến dịch vụ, chất lượng và các mức dịch vụ phải được ghi lạitrong báo cáo để làm cơ sở so sánh với những cải tiến thực tế Sau đó so sánh những cải tiếnthực tế với những cái tiến dự tính để đánh giá hiệu quả thay đổi

Phải quản lý tốt việc cải tiến dịch vụ và phải giám sát quy trình cải tiến dịch vụ dựa trên các mụctiêu đã được thống nhất.

5 Lập kế hoạch và thực hiện các dịch vụ mới hoặc các dịch vụ đã thay đổi.

Mục tiêu: Đảm bảo các dịch vụ mới cũng như những thay đổi trên dịch vụ có thể thực hiện vàquản lý với chi phí và chất lượng phù hợp

e) Các quy trình quản lý dịch vụ, thủ tục và văn bản hiện có;

f) Phạm vi quản lý dịch vụ, bao gồm cả việc thực hiện các quy trình quản lý dịch vụ đã bịloại khỏi phạm vi trước đây

5.2 Các báo cáo về quản lý thay đổi

Tất cả những thay đổi về dịch vụ phải được phản ánh trong các báo cáo về Quản lý thay đổi.Bao gồm các kế hoạch về:

a) Tuyển dụng hoặc tái đào tạo nhân viên;

b) Tái cơ cấu;

c) Đào tạo người sử dụng;

d) Thông báo những thay đổi;

e) Thay đổi công nghệ hỗ trợ;

f) Kết thúc chính thức các dịch vụ

Danh mục dịch vụ phải được duy trì và cập nhập liên tục.

CHÚ THÍCH: Danh mục dịch vụ có thể bao gồm các thông tin chung như:

a) tên dịch vụ;

b) các mục tiêu, ví dụ thời gian đáp ứng hoặc cài đặt một máy in, thời gian tái khởi động một dịch vụ sau một lỗi nghiêm trọng;

c) các điểm liên hệ;

d) thời gian dịch vụ và các ngoại lệ dịch vụ;

e) những thỏa thuận về an toàn thông tin.

Danh mục dịch vụ là một tài liệu quan trọng đặt ra các nhu cầu của khách hàng và phải dễ dàngtruy cập và được sử dụng rộng rãi với khách hàng và các nhân viên hỗ trợ

6.1.2 Thỏa thuận mức dịch vụ (SLA)

Một dịch vụ phải được thể hiện chính thức bằng văn bản trong một thỏa thuận mức dịch vụ.Thỏa thuận mức dịch vụ phải được đại diện phía khách hàng và đại diện của nhà cung cấp dịch

vụ chính thức đồng ý;

Ngân sách và các nhu cầu kinh doanh của khách hàng được xem như nhân tố quyết định tớinội dung, cấu trúc và mục tiêu của SLA Các mục tiêu mà dựa vào đó các dịch vụ được phânphối, đánh giá thì phải được định nghĩa từ quan điểm của khách hàng

Các SLA chỉ nên bao gồm số ít các mục tiêu thích hợp để tập trung sự chú ý vào những mặtquan trọng nhất của dịch vụ

CHÚ THÍCH 1: Quá nhiều mục tiêu có thể gây rối loạn và làm tăng chi phí.

Nội dung tối thiểu phải có trong SLA hoặc có thể được tham chiếu trực tiếp từ một SLA là:

a) mô tả ngắn gọn về dịch vụ;

b) thời gian có hiệu lực và/hoặc cơ chế kiểm soát thay đổi SLA;

c) Chi tiết về quyền khai thác dịch vụ;

d) mô tả ngắn gọn về phương tiện liên lạc, bao gồm cả việc báo cáo;

e) thông tin liên lạc của những người được ủy quyền sữa chữa, khắc phục các vấn đề và sự cố trong những trường hợp khẩn cấp;

f) thời gian phục vụ, ví dụ từ 9h đến 17h, ngoại trừ các ngày nghỉ (cuối tuần, các kỳ nghỉ lễ), các giai đoạn kinh doanh quan trọng và dịch vụ làm ngoài giờ;

g) những gián đoạn theo lịch trình và thỏa thuận, bao gồm các thông báo được đưa ra, số lượng trên mỗi giai đoạn;

h) trách nhiệm của khách hàng, ví dụ: đảm bảo an toàn dịch vụ;

i) trách nhiệm và bổn phận của nhà cung cấp dịch vụ, ví dụ: đảm bảo an toàn dịch vụ;

j) sự tác động và những nguyên tắc ưu tiên;

k) Quy trình thông báo và chuyển cấp;

l) thủ tục khiếu nại;

m) mục tiêu dịch vụ;

n) giới hạn tải làm việc (trên và dưới), ví dụ khả năng dịch vụ hỗ trợ số lượng người dùng/khối lượng công việc, thông lượng hệ thống;

o) chi tiết quản lý tài chính, ví dụ các mã giao dịch…;

p) thao tác thực hiện trong trường hợp dịch vụ bị gián đoạn;

q) các thủ tục nội dịch;

r) các thuật ngữ;

s) các dịch vụ hỗ trợ và liên quan;

t) những ngoại lệ đối với các thuật ngữ được quy định trong SLA.

CHÚ THÍCH 2: Những thông tin hay thay đổi hoặc những thông tin chung về SLA có thể được tham chiếu từ SLA mà không gây ảnh hưởng tới chất lượng của các quy trình SLM với điều kiện là các tài liệu được tham chiếu nằm dưới

sự kiểm soát của quy trình quản lý thay đổi.

CHÚ THÍCH 3: Kế hoạch về tính liên tục và chi tiết về dự thảo ngân sách và tính toán thường được tham chiếu từ SLA

CHÚ THÍCH 4: Các thuật ngữ thường được để ở một vị trí và được sử dụng chung cho tất cả các tài liệu bao gồm cả danh mục dịch vụ.

6.1.3 Quy trình quản lý mức dịch vụ (SLM)

Những thay đổi quan trọng trong kinh doanh, ví dụ do sự tăng trưởng, tái cấu trúc kinh doanh,sát nhập hoặc do sự thay đổi các yêu cầu của khác hàng có thể dẫn tới việc tái xác định, điềuchỉnh hoặc thậm chí là tạm ngưng các mức dịch vụ

Quy trình SLM phải linh hoạt điều chỉnh những thay đổi này quy trình SLM phải đảm bảo nhàcung cấp dịch vụ luôn duy trì tập trung vào khách hàng thông qua việc lập kế hoạch, thực hiện

và tiếp tục quản lý quy trình cung ứng dịch vụ

Nhà cung cấp dịch vụ phải được cung cấp những thông tin thích hợp để nắm được các yêu cầu

và định hướng kinh doanh của khách hàng

Quy trình SLM quản lý và điều phối các thành tố của các mức dịch vụ, bao gồm:

a) Thỏa thuận các yêu cầu dịch vụ và các đặc tính tải làm việc của dịch vụ;

b) Thỏa thuận các mục tiêu dịch vụ;

c) Đo lường và báo cáo các mức dịch vụ đã đạt được, tải làm việc và phải có giải thíchnếu không đạt được các mục tiêu đã thỏa thuận (xem phần 6.2);

d) Khởi tạo các hoạt động chỉnh sửa;

e) Đưa vào kế hoạch cải tiến dịch vụ;

Quy trình này phải khuyến khích được cả nhà cung cấp dịch vụ và khách hàng có thái độ tíchtích cực để đảm bảo rằng họ có trách nhiệm chung đối với dịch vụ

Sự hài lòng của khách hàng là một phần rất quan trọng trong việc quản lý mức dịch vụ nhưng

nó chỉ được xem như một nhân tố chủ quan, ngược lại những mục tiêu dịch vụ trong một SLA

là những nhân tố khách quan quy trình SLM phải phối hợp chặt chẽ với các quy trình quản lýnhà cung cấp và quan hệ kinh doanh

6.1.4 Những thỏa thuận về dịch vụ hỗ trợ

Các dịch vụ hỗ trợ cho một dịch vụ được phân phối phải được lập thành văn bản và phải phùhợp với từng nhà phân phối Việc này bao gồm cả các nhóm nội bộ cung cấp một phần dịch vụcủa nhà cung cấp dịch vụ.

Những yêu cầu về việc lập báo cáo dịch vụ phải được thống nhất và thông báo đến khách hàng

và người quản lý nội bộ

Việc lập báo cáo và giám sát dịch vụ bao gồm tất các khía cạnh đo được của dịch vụ, nó đưa rađược các phân tích cả trong quá khứ và hiện tại

Khi có nhiều nhà phân phối gồm nhà phân phối chính và nhà thầu phụ, thì các báo cáo phảiphản ánh được mối quan hệ giữa các nhà phân phối Ví dụ, một nhà phân phối chính phải báocáo toàn bộ dịch vụ mà họ cung cấp bao gồm cả các dịch vụ mà các nhà thầu phụ quản lý nhưmột phần của dịch vụ khách hàng

6.2.2 Mục đích và kiểm tra chất lượng các báo cáo dịch vụ

Các báo cáo dịch vụ phải ngắn gọn, xúc tích, đáng tin cậy, rõ ràng và đúng thời điểm

Các báo cáo thích hợp với yêu cầu của người nhận và có đủ độ chính xác để sử dụng như mộtcông cụ hỗ trợ việc đưa ra quyết định

Việc trình bày báo cáo phải dễ hiểu để dễ so sánh, ví dụ: sử dụng các biểu đồ

Có một số loại báo cáo bao gồm:

a) Báo cáo phản hồi thể hiện những gì đã xảy ra;

b) Báo cáo dự đoán đưa ra những cảnh báo sớm về những tình huống quan trọng,nhờ đó có thể thực hiện trước các hành động phòng ngừa (ví dụ báo cáo các viphạm có thể xảy ra trong SLA);

c) Báo cáo lập lịch chuyển tiếp thể hiện các hoạt động đã được lập kế hoạch

6.2.3 Báo cáo dịch vụ

Nhà cung cấp dịch vụ phải cung cấp các báo cáo cho các khách hàng và ban quản lý về:

a) việc thực hiện dựa theo các mục tiêu dịch vụ, ví dụ: các báo cáo về số lượng dịch vụ,những thành tích đạt được;

b) sự không phù hợp với các chuẩn;

c) đặc điểm khối lượng công việc và khối lượng thông tin, ví dụ như các sự cố, vấn đề,những thay đổi và những nhiệm vụ, sự phân loại, vị trí, khách hàng, các xu hướng theomùa, kết hợp các ưu tiên, số lượng các yêu cầu giúp đỡ;

d) việc thực hiện báo cáo sau sự kiện lớn, ví dụ: sau những thay đổi và giải phóng dịch vụ;e) xu hướng thông tin theo thời gian (ví dụ như ngày, tuần, tháng, …);

f) các báo cáo bao gồm các thông tin của mỗi quy trình, ví dụ như số lượng các sự cố vàcác câu hỏi thường gặp nhất, các thành phần không xác thực của cơ sở hạ tầng, cáccông việc đòi hỏi nhiều tài nguyên/chi phí;

g) các báo cáo đề cập chính đến khối lượng công việc trong tương lai và theo lịch trình;

6.3 Quản lý tính sẵn sàng và liên tục của dịch vụ

Mục tiêu: Đảm bảo những cam kết về tính sẵn sàng và tính liên tục của dịch vụ đối với kháchhàng trong mọi trường hợp

CHÚ THÍCH: Những lỗi hoặc thảm họa đối với dịch vụ có thể xảy ra do nhiều nguyên nhân bao gồm: tấn công từ chối dịch vụ, sự lây lan của virus, truy cập trái phép hoặc các thảm họa thiên nhiên

6.3.1 Tổng quan

Những yêu cầu về tính sẵn sàng và liên tục dịch vụ được nhận biết dựa trên thứ tự ưu tiên kinhdoanh của khách hàng, những thỏa thuận mức dịch vụ và những rủi ro Nhà cung cấp dịch vụ

phải duy trì đầy đủ dung lượng dịch vụ cùng với các kế hoạch có thể thực hiện được để đảmbảo có thể đáp ứng được các nhu cầu trong mọi trường hợp từ hoạt động bình thường đến lúcxảy ra những tổn thất đáng kể đối với dịch vụ Nhà cung cấp dịch vụ phải lập kế hoạch để nắmđược khối lượng người dùng hoặc dữ liệu tăng hay giảm, khối lượng công việc cao điểm vàthấp điểm theo dự kiến và những thay đổi khác được xác định trong tương lai Những yêu cầubao gồm quyền truy nhập, thời gian đáp ứng cũng như tính sẵn sàng từ đầu đến cuối của cácthành phần hệ thống.

Phải duy trì việc quản lý tính sẵn sàng và tính liên tục của dịch vụ cùng với mục tiêu đảm bảocác mức dịch vụ mà đã thống nhất Những yêu cầu này có ảnh hưởng tốt tới những hành động,

nỗ lực và tài nguyên được phân bổ mà phù hợp với tính sẵn sàng của các dịch vụ hỗ trợ chúng

Phải duy trì các quy trình đảm bảo tính sẵn sàng, bao gồm những yếu tố cung ứng dịch vụ dưới

sự kiểm soát của khách hàng hoặc các nhà cung cấp dịch vụ khác

d) tài liệu hóa và xem lại những điểm không phù hợp;

e) dự đoán tính sẵn sàng trong tương lai;

f) dự báo các vấn đề tiềm ẩn và đưa ra những hành động ngăn chặn

Phải đảm bảo tính sẵn sàng của tất cả các thành phần trong dịch vụ, các hoạt động chính xácphải được ghi lại và phải được hành động theo

6.3.3 Chiến lược duy trì tính liên tục của dịch vụ

Nhà cung cấp dịch vụ phải triển khai và duy trì một chiến lược nhằm xác định hướng tiếp cậnchung để đạt được các yêu cầu về tính liên tục của dịch vụ Chiến lược này bao gồm việc đánh

giá mức độ rủi ro, tính toán thời gian phục vụ và các giai đoạn kinh doanh quan trọng Nhà cungcấp dịch vụ phải thống nhất với từng nhóm khách hàng và dịch vụ về:

a) thời gian mất dịch vụ liên tục tối đa có thể chấp nhận được;

b) thời gian suy giảm dịch vụ tối đa có thể chấp nhận được;

c) các mức dịch vụ suy giảm có thể chấp nhận được trong giai đoạn phục hồi dịch vụ;Chiến lược duy trì tính liên tục phải được xem xét lại theo các khoảng thời gian đã thỏa thuận,

ít nhất là một năm một lần

Bất kỳ thay đổi nào về chiến lược đều phải được thỏa thuận chính thức

6.3.4 Kiểm tra và lập kế hoạch duy trì tính liên tục của dịch vụ

Nhà cung cấp dịch vụ phải đảm bảo rằng:

a) các kế hoạch duy trì tính liên tục của dịch vụ có tính đến sự phụ thuộc giữa dịch vụ vàcác thành phần hệ thống;

b) các kế hoạch duy trì tính liên tục của dịch vụ và các tài liệu khác được yêu cầu để hỗtrợ sự liên tục của dịch vụ được ghi lại và lưu giữ;

c) trách nhiệm lập các kế hoạch duy trì tính liên tục phải được chỉ định rõ ràng, và trongcác kế hoạch phải phân bổ rõ ràng trách nhiệm để đưa ra hành động dựa theo từngmục tiêu;

d) việc sao chép và dự phòng dữ liệu, tài liệu, phần mềm, các trang thiết bị và bố trí nhânviên cần thiết cho việc phục hồi dịch vụ có hiệu lực nhanh chóng sau một lỗi hoặc thảmhọa nghiêm trọng;

e) lưu lại ít nhất một bản copy của tất cả các tài liệu liên quan đến tính liên tục của dịch vụ

ở một vị trí an toàn và ở xa các thiết bị cần thiết để đảm bảo khả năng sử dụng củachúng;

f) các nhân viên biết được vai trò của mình trong việc lập và/hoặc thực hiện các kế hoạch;

họ có thể truy nhập các tài liệu về tính liên tục của dịch vụ

Các kế hoạch duy trì tính liên tục của dịch vụ và các tài liệu liên quan (ví du như các hợp đồng)phải được liên kết với quy trình quản lý thay đổi và quy trình quản lý hợp đồng

Các kế hoạch duy trì tính liên tục của và các tài liệu liên quan (ví du: các hợp đồng) phải đượcđánh giá tác động trước khi những thay đổi về hệ thống và dịch vụ được phê chuẩn, hay trướckhi các yêu cầu mới hoặc yêu cầu cải tiến của khách hàng được thỏa thuận.

Việc kiểm tra phải được thực hiện với tần suất đủ để đảm bảo các kế hoạch duy trì tính liên tụccủa dịch vụ có hiệu quả, chống lại sự thay đổi các hệ thống, các quy trình, nhân sự và các nhucầu kinh doanh Việc kiểm tra phải có sự tham gia của khách hàng và nhà cung cấp dịch vụdựa trên các mục tiêu đã thỏa thuận Những lỗi tìm thấy trong quy trình kiểm tra phải được lậpbiên bản và được xem lại để đưa vào một kế hoạch cải tiến dịch vụ

6.4 Lập dự thảo ngân sách và tính toán chi phí cho các dịch vụ IT

Mục tiêu: lập ngân sách và tính toán chi phí cung cấp dịch vụ

6.4.1 Tổng quan

Phần này trình bày việc lập dự thảo ngân sách và tính toán chi phí cho các dịch vụ IT Thực tế

có rất nhiều nhà cung cấp dịch vụ có liên quan đến việc tính phí các dịch vụ như thế Tuy nhiên,

do việc tính phí chi phí là hoạt động không bắt buộc nên nó không được xét đến trong tiêuchuẩn này Các nhà cung cấp dịch vụ được khuyến nghị rằng nếu việc tính phí đang được ápdụng thì cơ chế thực hiện phải được định nghĩa đầy đủ và phải được các bên liên quan nắmbắt được

Trách nhiệm đối với nhiều quyết định tài chính nằm ngoài phạm vi quản lý dịch vụ, các yêu cầucung cấp thông tin tài chính theo cách thức như thế nào và với tần suất như thế nào thì có thểđược đặt lệnh từ bên ngoài Các điều khoản trong phần này tập trung vào những vấn đề thựctiễn cần phải theo dõi để thỏa mãn các yêu cầu của tiêu chuẩn Tuy nhiên, cũng phải tính đếnnhững yêu cầu lớn hơn vì nó sẽ ảnh hưởng đến một số thủ tục và chính sách Tất các các công

cụ kế toán được sử dụng phải phù hợp với các công cụ kế toán của toàn bộ tổ chức của nhàcung cấp dịch vụ

6.4.2 Chính sách

Phải có một chính sách về quản lý tài chính của các dịch vụ Các chính sách phải định nghĩađược các mục tiêu mà đáp ứng được việc lập dự thảo ngân sách và tính toán chi phí cho cácdịch vụ IT

Các chính sách cũng phải đưa ra định nghĩa chi tiết về việc lập ngân sách và tính toán chi phí,lưu ý đến:

a) các chi phí được lập dự toán;

b) sự phân bổ chi phí chung, ví dụ: mức phí, tỉ lệ phần trăm;

c) kết cấu tổ chức kinh doanh của khách hàng, ví dụ như cả tổ chức là một đơn vị hayđược chia thành các phòng ban hoặc phân chia theo vị trí;

d) các quy tắc chủ đạo trong xử lý những sai khác về ngân sách, ví dụ: mức độ sai khác

mà sẽ được chuyển cấp cho người quản lý cấp cao;

e) sự kết nối với quy trình quản lý mức dịch vụ

Mức độ đầu tư ngân sách và các quy trình tính toán được dựa trên nhu cầu của khách hàng,nhà cung cấp dịch vụ và các nhà phân phối tài chính cụ thể đã được định nghĩa trong chínhsách

CHÚ THÍCH: các nhà cung cấp dịch vụ hoạt động trong một môi trường thương mại cần phải đầu tư nhiều thời gian

và nỗ lực hơn trong việc quản lý tài chính của mình Ngược lại, đối với các nhà cung cấp dịch vụ, nếu việc xác minh các chi phí là đủ thì việc quản lý tài chính có thể đơn giản hơn nhiều.

Việc lập ngân sách và tính toán chi phí do các nhà cung cấp dịch vụ thực hiện cho dù họ có ápdụng chính sách nào trong việc quản lý tài chính đi chăng nữa

6.4.3 Lập ngân sách

Việc lập ngân sách phải tính đến những thay đổi đối với dịch vụ trong giai đoạn lập ngân sách

và nếu nhu cầu ngân sách vượt quá nguồn tài chính hiện có thì phải có kế hoạch quản lý thâmhụt ngân sách

Khi lập ngân sách phải tính đến cả các nhân tố như: sự biến đổi theo mùa, những thay đổi chiphí dịch vụ theo kế hoạch ngắn hạn và những phí tổn khác

Việc thường xuyên theo dõi chi phí dựa theo ngân sách sẽ đưa ra được những cảnh báo sớm

về những xung đột ngân sách

Phải có một quy trình quản lý ngân sách liên quan đến những xung đột về ngân sách

Việc theo dõi ngân sách và chi phí sẽ hỗ trợ việc lập kế hoạch hoạt động và thay đổi các dịch

vụ nhằm duy trì các mức dịch vụ trong suốt cả năm

6.4.4 Tính toán chi phí

Để theo dõi chi phí theo một mức độ chi tiết thống nhất trong thời gian thỏa thuận thì phải sửdụng các quy trình tính toán chi phí

Những quyết định về việc cung cấp dịch vụ được dựa trên kết quả so sánh về hiệu quả chi phí

Mô hình chi phí phải thể hiện được những chi phí cung cấp dịch vụ

Sổ sách kế toán phải thể hiện được chi phí vượt quá hay thấp hơn ngân sách; đồng thời chophép người đọc hiểu được những chi phí cho những mức dịch vụ cấp thấp hoặc mất dịch vụ

Quản lý năng lực phải chú trọng đến các vấn đề về năng lực và thực hiện

Quy trình Quản lý năng lực sẽ hỗ trợ trực tiếp cho sự phát triển của các dịch vụ mới hoặc cácdịch vụ đã thay đổi bằng cách đưa ra mô hình và quy mô của các dịch vụ

Cần lập ra kế hoạch năng lực để cung cấp tài liệu về năng lực thực tế của cơ sở hạ tầng và yêucầu đặt ra với một tần suất hợp lý, có tính đến tốc độ thay đổi dịch vụ và lượng dịch vụ, thôngtin trong các báo cáo quản lý thay đồi và công việc của khách hàng

Hàng năm, ít nhất phải lập kế hoạch Quản lý năng lực một lần Kế hoạch này phải đưa ra đượcchi phí bổ sung để đáp ứng nhu cầu trong kinh doanh và những giải pháp đã được đưa ranhằm đảm bảo hoàn thành các mục tiêu về mức dịch vụ như đã đưa ra trong SLA.

Cơ sở hạ tầng kỹ thuật và năng lực hiện tại cũng như dự kiến phải được hiểu một cách đầy đủ

6.6 Quản lý an toàn thông tin

Mục tiêu: Quản lý an toàn thông tin một cách hiệu quả trong tất cả các hoạt động của dịch vụ

6.6.1 Tổng quan

An toàn thông tin là kết quả một hệ thống các chính sách và thủ tục được thiết kế để nhận diện,kiểm soát và bảo vệ thông tin và bất kỳ thiết bị nào được sử dụng để lưu trữ, truyền và xử lýthông tin

Các nhân viên của nhà cung cấp dịch vụ với vai trò quản lý an toàn thông tin cần nắm rõ tiêuchuẩn ISO/IEC 17779, Công nghệ thông tin - Kỹ thuật an toàn - quy trình quản lý an toàn thôngtin

6.6.2 Định danh và phân loại các tài sản thông tin

Nhà cung cấp dịch vụ phải:

a) Lưu giữ một bản kiểm kê các tài sản thông tin (ví dụ như, các máy tính, thiết bị liên lạc,thiết bị môi trường, văn bản và các thông tin khác) mà cần thiết để phân phối các dịchvụ;

b) phân loại tài sản thông tin dựa theo mức độ rủi ro của nó đối với dịch vụ và mức độ bảo

vệ mà nó yêu cầu, và bổ nhiệm một người chịu trách nhiệm bảo vệ;

c) có trách nhiệm bảo vệ tài sản thông tin mặc dù họ có thể ủy quyền trách nhiệm quản lý

an toàn thông tin

6.6.3 Đánh giá rủi ro về an toàn thông tin

Việc đánh giá rủi ro về an toàn thông tin phải:

a) được thực hiện theo các khoảng thời gian thống nhất;

b) được ghi lại;

c) được duy trì khi thực hiện những thay đổi (ví dụ: những thay đổi về nhu cầu kinh doanh,cấu hình và quy trình);

d) giúp hiểu được những gì có thể ảnh hưởng đến dịch vụ được quản lý;

e) thông báo những quyết định liên quan đến những dạng kiểm soát được thực hiện

6.6.4 Những rủi ro đối với tài sản thông tin

Những rủi ro đối với tài sản thông tin được đánh giá dựa theo:

a) bản chất của chúng (ví dụ như trục trặc phần mềm, lỗi điều hành, lỗi truyền thông);b) khả năng xảy ra;

c) khả năng tác động tới kinh doanh;

d) kinh nghiệm trong quá khứ

6.6.5 Sự an toàn và tính sẵn sàng của thông tin

Khi thực hiện đánh giá rủi ro, phải tính toán đến những vấn đề sau:

a) bị lộ thông tin nhạy cảm cho các bên không được phép;

b) những thông tin không chính xác, không đầy đủ hoặc không có căn cứ (ví dụ: thông tinkhông trung thực);

c) không có thông tin sử dụng (ví dụ: do mất điện);

d) hư hỏng vật lý, hoặc hư hỏng các thiết bị cần thiết để cung cấp dịch vụ

Ngoài ra còn phải nắm bắt được các mục tiêu chính sánh an toàn thông tin, nhu cầu đáp ứngnhững yêu cầu cụ thể về an toàn thông tin của các khách hàng (ví dụ: những mức độ sẵn sàng)

và những yêu cầu do pháp luật quy định

6.6.6 Các biện pháp kiểm soát

Ngoài những biện pháp kiểm soát được coi là hợp lý và những hướng dẫn được trình bày ởđâu đó trong phần này của tiêu chuẩn ISO/IEC 20000 (ví dụ như tính liên tục của dịch vụ), các