So sánh chuẩn quản lý dịch vụ công nghệ thông tin ITIL và ISO/IEC 20000

Quản lý dịch vụ CNTT (ITSM – IT Service Management) là tập hợp các phương pháp CNTT hướng con người và các tiến trình của một tổ chức CNTT đến với khách hàng. Lợi ích chủ yếu của ITSM là những cải tiến quan trọng trong hoạt động CNTT, giúp các nhà cung cấp dịch vụ quản lý tốt các dịch vụ mà họ cung cấp. Hiện tại có hai chuẩn được áp dụng rộng rãi để quản lý các dịch vụ CNTT là ITIL và ISO/IEC 20000:2011. Bài viết phân tích điểm giống và khác nhau giữa ITIL và ISO/IEC 20000 trong ngữ cảnh đều được sử dụng để quản lý dịch vụ CNTT.

1. Về quy mô và cơ cấu tổ chức

Các yêu cầu về tiến trình quản lý dịch vụ trong ISO/IEC 20000 không phụ thuộc vào quy mô hay cơ cấu của tổ chức cung cấp dịch vụ. Nhà cung cấp dịch vụ cần sử dụng các cấu trúc thích hợp nhất đối với dịch vụ mà họ cung cấp. Trong khi đó, ITIL (Information Technology Infrastructure Library) bao gồm những khuyến nghị và lựa chọn áp dụng có liên quan đến cơ cấu tổ chức. Các khuyến nghị đặc biệt luôn sẵn có cho các tổ chức nhỏ.

2. Các yêu cầu cho hệ thống quản lý

Trách nhiệm quản lý, bao gồm quản lý cả chu kỳ lập kế hoạch – triển khai – kiểm tra – cải tiến để thực hiện các yêu cầu cải tiến liên tục là nền tảng cho tiêu chuẩn ISO/IEC 20000. Điều đó tạo ra sự phù hợp của chuẩn này với các chuẩn về hệ thống quản lý khác như bộ tiêu chuẩn “9000”.

3. So sánh về các tiến trình quản lý

Trong chuẩn ISO/IEC 20000 việc lập báo cáo dịch vụ là một quá trình riêng biệt và là một thành phần quan trọng của tiến trình quản lý dịch vụ. ITIL tạo ra mẫu tham khảo để báo cáo dịch vụ nhưng như là một phần của tiến trình (ví dụ tiến trình quản lý mức dịch vụ) và việc lập báo cáo dịch vụ không được coi là một tiến trình riêng biệt.

Tiến trình quản lý tính sự sẵn sàng và tính liên tục của dịch vụ đã được kết hợp lại trong chuẩn ISO/IEC 20000 do các yêu cầu này có mối liên hệ chặt chẽ với nhau và việc xử lý riêng biệt có thể dẫn đến sự trùng lặp. Trong ITIL, hai tiến trình này là riêng biệt. Trong khi ISO/IEC 20000 quan tâm đến lập dự thảo ngân sách và tính toán chí phí, ITIL quan tâm đến quản lý tài chính.

Một đơn vị đã được chứng nhận về ISO/IEC 27001 có thể dễ dàng đáp ứng các yêu cầu an ninh thông tin của ISO/IEC 20000-1:2011. Trong ISO/IEC 20000 tiến trình quản lý năng lực bao gồm tất cả năng lực, không phân biệt giữa các loại khác nhau. Trong khi ITIL có phân biệt sự khác nhau giữa quản lý các nguồn năng lực, năng lực dịch vụ và năng lực kinh doanh.

Trong ISO/IEC 20000, các yêu cầu quản lý tài sản nằm trong tiến trình quản lý cấu hình, giống như chính sách về phân phối dịch vụ và hỗ trợ dịch vụ của ITIL. Nhưng tiến trình quản lý tải sản phầm mềm được ITIL xuất bản ấn phẩm riêng.

4. Chứng chỉ cấp cho các cá nhân, so với chứng chỉ cấp cho các tổ chức

Chứng chỉ về ITIL dành cho cá nhân được chia thành các mức độ như cơ bản, trung cấp và chuyên gia. Chuẩn ISO/IEC 20000 lại tập trung vào các Tổ chức cung cấp dịch vụ CNTT. Chuẩn này giúp nắm bắt kiến thức về dịch vụ CNTT như là một tài sản trí tuệ của công ty, đồng thời giúp các nhân viên nắm bắt được kiến thức về dịch vụ CNTT bằng cách làm theo một tập hợp các quy tắc đơn giản nhưng chặt chẽ được thiết lập trong quá trình chuẩn bị để có được chứng chỉ ISO/IEC 20000.

Hình 1. Mô hình kim tự tháp mô tả mối quan hệ giữa các quá trình, thủ tục cấp chứng chỉ

Tuy có sự khác biệt nhưng hai chuẩn này lại có mối liên hệ chặt chẽ với nhau và các phiên bản được cập nhật sau này có xu hướng tạo ra sự hỗ trợ và tương tác giữa chúng. Mô hình kim tự tháp trong Hình 1 mô tả mối quan hệ đó. Từ Hình 1 ta thấy:

Đầu tiên, ISO/IEC 20000 đưa ra các yêu cầu bắt buộc phải đáp ứng và các mã thực hành đơn giản. Tiếp đến kim tự tháp được mở rộng bằng các khung thực hành tốt nhất của ITIL được xem như hướng dẫn chi tiết về quy trình và chức năng. Và cuối cùng khi triển khai các tiến trình quản lý tại doanh nghiệp, các thủ tục, các chỉ dẫn công việc và các tiêu chuẩn/phương pháp khác như ISO, PMI …được triển khai thêm.

Các nhà cung cấp dịch vụ có thể thực hiện và cải tiến hệ thống quản lý dịch vụ SMS bằng cách sử dụng các yêu cầu quy định trong tiêu chuẩn ISO/IEC 20000-1: 2011, các hướng dẫn thực hiện triển khai các yêu cầu này có trong các phần khác của bộ tiêu chuẩn ISO/IEC 20000 và ITIL. Cả hai tiêu chuẩn ISO/IEC 20000 và ITIL đều cung cấp hướng dẫn để xác định, lập kế hoạch, thiết kế, phân phối cải tiến dịch vụ và đều mang lại giá trị cho cả doanh nghiệp và khách hàng của mình. Một nhà cung cấp dịch vụ có thể áp dụng các tiến trình ITIL để giúp họ lập kế hoạch, phân phối và quản lý các dịch vụ của họ trong sự liên kết với các yêu cầu quy định trong tiêu chuẩn ISO/IEC 20000-1: 2011.

Kim tự tháp có thể tiếp cận từ hai phía, ITIL hoặc ISO 20000. Vậy nên, câu hỏi đặt ra là doanh nghiệp nên chọn triển khai ITIL hay lấy giấy chứng nhận ISO/IEC 20000?

Các yêu cầu vể tiến trình quản lý của ISO/IEC 20000-1 và cách đáp ứng các yêu cầu của ISO 20000 bằng các tiến trình ITIL được liệt kê dưới đây :

• Các yêu cầu quản lý mức dịch vụ trong ISO/IEC 20000-1 có thể được thực hiện theo quy trình ITIL “Quản lý mức dịch vụ”
• Các yêu cầu lập báo cáo dịch vụ trong ISO/IEC 20000-1 có thể được thực hiện theo quy trình ITIL “Quản lý mức dịch vụ”
• Các yêu cầu quản lý tính sẵn sàng và tính liên tục của dịch vụ trong ISO/IEC 20000-1 có thể được thực hiện theo quy trình ITIL “Quản lý tính liên tục dịch vụ CNTT” và “Quản lý tính sẵn sàng”
• Lập dự thảo ngân sách và tính toán chi phí áp dụng cho các yêu cầu dịch vụ CNTT trong ISO/IEC 20000-1 có thể được thực hiện theo quy trình ITIL “Quản lý tài chính”. 
• Các yêu cầu quản lý dung lượng trong ISO/IEC 20000-1 có thể được thực hiện theo quy trình ITIL “Quản lý dung lượng”
• Các yêu cầu quản lý an toàn thông tin trong ISO/IEC 20000-1 có thể được thực hiện theo quy trình ITIL “Quản lý an toàn CNTT”
• Các yêu cầu quản lý mối quan hệ kinh doanh trong ISO/IEC 20000-1 có thể được thực hiện theo các  quy trình ITIL gồm : “Quản lý danh mục dịch vụ”; “Quản lý mức dịch vụ” và “Nâng cấp dịch vụ liên tục”.
• Các yêu cầu quản lý nhà cung cấp trong ISO/IEC 20000-1 có thể được thực hiện theo quy trình ITIL “Quản lý nhà cung cấp”
• Các yêu cầu quản lý sự cố trong ISO/IEC 20000-1 có thể được thực hiện theo quy trình ITIL “Quản lý sự cố”
• Yêu cầu quản lý vấn đề trong ISO/IEC 20000-1 có thể được thực hiện theo quy trình ITIL “Quản lý vấn đề”.
• Yêu cầu quản lý cấu hình trong ISO/IEC 20000-1 có thể được thực hiện theo quy trình ITIL “Dịch vụ tài sản và quản lý cấu hình”.
• Yêu cầu quản lý thay đổi trong ISO/IEC 20000-1 có thể được thực hiện theo quy trình ITIL “Quản lý thay đổi”.
• Yêu cầu quản lý phát hành trong ISO/IEC 20000-1 có thể được thực hiện theo quy trình ITIL “Quản lý triển khai và phát hành”.

5. Tương quan giữa ISO 20000 và ITIL

ISO 20000 không đưa ra hướng dẫn cụ thể về cách thiết kế quy trình quản lý dịch vụ của bạn. Thay vào đó là một tập các yêu cầu phải được đáp ứng để đạt được chứng chỉ ISO/IEC 20000. Đây chính là khu vực ITIL thực hiện vai trò của mình. ITIL rất phù hợp với tiêu chuẩn ISO 20000 và nó đưa ra một bộ tập hợp chi tiết các cách thực hành tốt nhất – một cơ sở tốt cho việc thiết kế hệ thống quản lý dịch vụ tuân thủ theo tiến trình ISO 20000. Do đó, sử dụng ITIL là cách tốt nhất để tổ chức cung cấp dịch vụ chuẩn bị triển khai ISO 20000. Bằng cách thực hiện ITIL, ISO 20000 có thể dễ dàng đạt được vì đã có cơ sở của tiêu chuẩn.

ISO 20000 không bắt buộc các yêu cầu của nó phải được đáp ứng bằng cách làm theo các khuyến nghị ITIL, có rất nhiều cách có thể để đạt sự phù hợp tiêu chuẩn. Nhưng, thực hiện theo các bước thực hành được giới thiệu trong ITIL là phương pháp được sử dụng rộng rãi nhất để có được một chứng chỉ tiêu chuẩn ISO 20000. Nói tóm lại, chúng ta có thể nói rằng ITIL là cơ sở của tiêu chuẩn ISO 20000. Bằng cách thực hiện tất cả các quá trình nêu trong ITIL,  các tổ chức cung cấp dịch vụ có thể dễ dàng đạt được chứng chỉ ISO 20000.

ITIL đưa ra các hướng dẫn về những gì nên được thực hiện để một đơn vị cung cấp dịch vụ CNTT có thể cung cấp cho các khách hàng một dịch vụ CNTT đầy đủ, nhằm hỗ trợ nhu cầu kinh doanh. Các chứng chỉ chất lượng trình độ ITIL luôn sẵn sàng cho cá nhân. Nhưng đối với một đơn vị cung cấp dịch vụ CNTT thì cho đến gần đây, không có cách nào để một đơn vị CNTT có thể chứng minh rằng họ đang làm theo các tiến trình của ITIL. Các tiêu chuẩn ISO 20000 đã được hình thành để lấp đầy khoảng trống này. Được khởi xướng bởi hai tổ chức ITSMF và BSI (Viện Tiêu chuẩn Anh), nó được mô phỏng theo các nguyên tắc của ITIL, nhờ đó các tổ chức CNTT có khả năng được cấp chứng chỉ.

6. Kết  luận

ISO 20000 là một tiêu chuẩn quốc tế về quản lý dịch vụ CNTT. Nó cho phép một đơn vị chứng minh với khách hàng và nhà đầu tư của mình rằng các dịch vụ mà mình cung cấp hoạt động có sự bảo mật và toàn vẹn. ISO 20000 giúp các tổ chức nâng cao chất lượng dịch vụ mà họ cung cấp. Chứng nhận ISO 20000 đem lại cho công ty một lợi thế cạnh tranh so với những công ty không đáp ứng được tiêu chuẩn này. Kết quả của việc áp dụng ISO 20000 sẽ làm tăng sự hài lòng của khách hàng đối với chất lượng dịch vụ CNTT.

Chuẩn ISO 20000 có thể dễ dàng được triển khai với sự giúp đỡ của ITIL. ITIL sử dụng các quy trình khác nhau để cung cấp dịch vụ có chất lượng đến cho khách hàng và cũng dẫn đến việc thực hiện tuân thủ chuẩn ISO/IEC 20000. Tất nhiên việc triển khai ITIL hay ISO/IEC 20000 đểu có những lợi thể riêng như các phân tích ở trên và đều nhằm mục đích giúp cho các đon vị quản lý tốt nhất các dịch vụ CNTT.

TÀI LIỆU THAM KHẢO

1. ITIL and ISO 20000: A Comparison – Author: Neven Zitek.

2. ISO/IEC : 20000-1: Service management system requirements.

3. ISO/IEC20000-11: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: ITIL®.

Mọi thông tin xin liên hệ:
CÔNG TY TNHH CHỨNG NHẬN TNV VIỆT NAM
Địa chỉ : Tòa nhà CT3A, KĐT Văn Quán, Hà Đông, TP. Hà Nội
Văn phòng phía nam : Tầng 3, Tòa nhà ACM, 96 Cao Thắng, Phường 4. Quận 3, TP. Hồ Chí Minh ( hotline: 0934 968285)
Điện thoại: (024)2268 5533
Website: www.chungnhaniso.org / www.tnvcert.vn
Email: info.tnvcert@gmail.com