Tiêu chuẩn TCVN 8695-1:2023 về Quản lý dịch vụ - Phần 1: Yêu cầu hệ thống quản lý dịch vụ

TIÊU CHUẨN QUỐC GIA

TCVN 8695-1:2023
ISO/IEC 20000-1:2018

CÔNG NGHỆ THÔNG TIN - QUẢN LÝ DỊCH VỤ - PHẦN 1: YÊU CẦU HỆ THỐNG QUẢN LÝ DỊCH VỤ

Information technology- Service management - Part 1: Service management system requirements

Mục lục

Lời nói đầu

1  Phạm vi áp dụng

1.1  Quy định chung

...

...

...

2  Tài liệu viện dẫn

3  Thuật ngữ và định nghĩa

3.1  Các thuật ngữ dành riêng cho các tiêu chuẩn hệ thống quản lý

3.2  Các thuật ngữ quy định cho quản lý dịch vụ

4  Bối cảnh tổ chức

4.1  Hiểu tổ chức và bối cảnh tổ chức

4.2  Hiểu các nhu cầu và kỳ vọng của các bên quan tâm

4.3  Xác định phạm vi hệ thống quản lý dịch vụ

4.4  Hệ thống quản lý dịch vụ

...

...

...

5.1  Sự lãnh đạo và cam kết

5.2  Chính sách

5.3  Vai trò, trách nhiệm và quyền hạn của tổ chức

6  Hoạch định

6.1  Hành động để giải quyết rủi ro và cơ hội

6.2  Các mục tiêu quản lý dịch vụ và hoạch định để đạt được mục tiêu

6.3  Hoạch định hệ thống quản lý dịch vụ

7  Hỗ trợ của hệ thống quản lý dịch vụ

7.1  Nguồn lực

...

...

...

7.3  Nhận thức

7.4  Trao đổi thông tin

7.5  Thông tin tư liệu hóa

7.6  Kiến thức

8  Vận hành hệ thống quản lý dịch vụ

8.1  Hoạch định và kiểm soát vận hành

8.2  Danh mục dịch vụ

8.3  Mối quan hệ và thỏa thuận

8.4  Cung và cầu

...

...

...

8.6  Giải quyết và hoàn thành

8.7  Đảm bảo dịch vụ

9  Đánh giá kết quả thực hiện

9.1  Giám sát, đo lường, phản tích và đánh giá

9.2  Đánh giá nội bộ

9.3  Soát xét của lãnh đạo

9.4  Lập báo cáo dịch vụ

10  Cải tiến

10.1  Sự không phù hợp và hành động sửa chữa

...

...

...

Thư mục tài liệu tham khảo

Lời nói đầu

TCVN 8695-1:2023 thay thế cho TCVN 8695-1:2011.

TCVN 8695-1:2023 hoàn toàn tương đương với ISO/IEC 20000-1:2018.

TCVN 8695-1:2023 do Ban kỹ thuật tiêu chuẩn quốc gia TCVN/JTC 1 “Công nghệ thông tin” biên soạn, Viện Tiêu chuẩn Chất lượng Việt Nam đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Bộ TCVN 8695 (ISO/IEC 20000) Công nghệ thông tin - Quản lý dịch vụ gồm các tiêu chuẩn sau:

- TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), Phần 1: Yêu cầu hệ thống quản lý dịch vụ;

- TCVN 8695-2:2023 (ISO/IEC 20000-2:2019/Amd 1:2020), Phần 2: Hướng dẫn áp dụng hệ thống quản lý dịch vụ;

...

...

...

Bộ ISO/IEC 20000 Information technology - Service management còn các tiêu chuẩn sau:

- ISO/IEC TS 20000-5:2022, Part 5: Implementation guidance for ISO/IEC 20000-1;

- ISO/IEC 20000-6:2017, Part 6: Requirements for bodies providing audit and certification of service management systems;

- ISO/IEC 20000-10:2018, Part 10: Concepts and vocabulary;

- ISO/IEC TS 20000-11:2021, Part 11: Guidance on the relationship between ISO/IEC 20000-1 and service management frameworks: ITIL®.

CÔNG NGHỆ THÔNG TIN - QUẢN LÝ DỊCH VỤ - PHẦN 1: YÊU CẦU HỆ THỐNG QUẢN LÝ DỊCH VỤ

Information technology- Service management - Part 1: Service management system requirements

1  Phạm vi áp dụng

...

...

...

Tiêu chuẩn này quy định các yêu cầu đối với tổ chức để thiết lập, thực hiện, duy trì và cải tiến liên tục hệ thống quản lý dịch vụ (SMS). Các yêu cầu quy định trong tiêu chuẩn này bao gồm việc hoạch định, thiết kế, chuyển tiếp, cung cấp và cải tiến dịch vụ để đáp ứng các yêu cầu dịch vụ và cung cấp giá trị. Tiêu chuẩn này có thể được sử dụng bởi:

a) khách hàng đang tìm kiếm dịch vụ và yêu cầu đảm bảo vệ chất lượng của các dịch vụ đó;

b) khách hàng yêu cầu một cách tiếp cận nhất quán đối với vòng đời dịch vụ bởi tất cả các nhà cung cấp dịch vụ, bao gồm cả những nhà cung cấp trong chuỗi cung ứng;

c) một tổ chức chứng minh khả năng trong việc hoạch định, thiết kế, chuyển tiếp, cung cấp và cải tiến các dịch vụ;

d) một tổ chức giám sát, đo lường và xem xét SMS và các dịch vụ của mình;

e) một tổ chức cải thiện việc hoạch định, thiết kế, chuyển tiếp, cung cấp và cải tiến các dịch vụ thông qua việc thực hiện và vận hành hiệu quả một SMS;

f) một tổ chức hoặc bên khác thực hiện đánh giá sự phù hợp so với các yêu cầu quy định trong tiêu chuẩn này;

g) nhà cung cấp việc đào tạo hoặc tư vấn về quản lý dịch vụ.

Thuật ngữ “dịch vụ” như sử dụng trong tiêu chuẩn này đề cập đến dịch vụ hoặc các dịch vụ trong phạm vi của SMS. Thuật ngữ “tổ chức” như sử dụng trong tiêu chuẩn này đề cập đến tổ chức trong phạm vi SMS quản lý và bàn giao dịch vụ cho khách hàng. Tổ chức trong phạm vi của SMS có thể là một phần của một tổ chức lớn hơn, ví dụ, một phòng ban của mọt tập đoàn lớn. Một tổ chức hoặc một bộ phận của tổ chức quản lý và bàn giao dịch vụ hoặc các dịch vụ cho khách hàng nội bộ hoặc bên ngoài cũng có thể được gọi là nhà cung cấp dịch vụ. Mọi việc sử dụng các thuật ngữ “dịch vụ” hoặc “tổ chức” với mục đích khác đều được phân biệt rõ ràng trong tiêu chuẩn này.

...

...

...

Tất cả các yêu cầu được quy định trong tiêu chuẩn này là khái quát và nhằm áp dụng cho tất cả các tổ chức, bất kể loại hình hoặc quy mô của tổ chức hay bản chất của các dịch vụ được cung cấp. Việc loại trừ bất kỳ yêu cầu nào trong các Điều từ 4 đến 10 là không được chấp nhận khi tổ chức tuyên bố sự phù hợp với tiêu chuẩn này, bất kể tính chất của tổ chức.

Tổ chức có thể chứng minh sự phù hợp với các yêu cầu quy định trong tiêu chuẩn này bằng cách tự đưa ra bằng chứng về việc đáp ứng các yêu cầu đó.

Tổ chức thể hiện sự phù hợp với các Điều 4 và 5. Tuy nhiên, tổ chức có thể được hỗ trợ bởi các bên khác. Ví dụ, một bên khác có thể thay mặt tổ chức tiến hành đánh giá nội bộ hoặc hỗ trợ việc chuẩn bị SMS.

Ngoài ra, tổ chức có thể đưa ra bằng chứng về việc duy trì trách nhiệm giải trình đối với các yêu cầu quy định trong tiêu chuẩn này và chứng minh biện pháp kiểm soát khi các bên khác tham gia vào việc đáp ứng các yêu cầu từ Điều 6 đến Điều 10 (xem 8.2.3). Ví dụ, tổ chức có thể chứng minh bằng chứng về các biện pháp kiểm soát đối với một bên khác đang cung cấp các cấu phần dịch vụ hạ tầng hoặc vận hành quầy dịch vụ bao gồm cả quá trình quản lý sự cố.

Tổ chức không thể chứng minh sự phù hợp với các yêu cầu quy định trong tiêu chuẩn này nếu các bên khác được sử dụng để cung cấp hoặc vận hành tất cả các dịch vụ, cấu phần dịch vụ hoặc quá trình trong phạm vi của SMS.

Phạm vi của tiêu chuẩn này không bao gồm đặc tả cho các sản phẩm hoặc công cụ. Tuy nhiên, tiêu chuẩn này có thể được sử dụng để giúp phát triển hoặc mua lại các sản phẩm hoặc công cụ hỗ trợ vận hành của SMS.

2  Tài liệu viện dẫn

Không có tài liệu viện dẫn trong tiêu chuẩn này.

3  Thuật ngữ và định nghĩa

...

...

...

3.1  Các thuật ngữ dành riêng cho các tiêu chuẩn hệ thống quản lý

3.1.1

Đánh giá[1] (Audit)

Quá trình (3.1.18) có hệ thống, độc lập và tư liệu hóa để thu thập bằng chứng đánh giá và đánh giá bằng chứng một cách khách quan nhằm xác định mức độ đáp ứng các tiêu chí đánh giá.

CHÚ THÍCH 1: Đánh giá có thể là đánh giá nội bộ (bên thứ nhất) hoặc đánh giá bên ngoài (bên thứ hai hoặc bên thứ ba) và có thể là đánh giá kết hợp (kết hợp hai hoặc nhiều quy tắc).

CHÚ THÍCH 2: Đánh giá nội bộ được thực hiện bởi chính tổ chức (3.1.14) hoặc bởi một bên bên ngoài thay mặt tổ chức.

CHÚ THÍCH 3: "Bằng chứng đánh giá" và "tiêu chí đánh giá" được xác định trong TCVN ISO 19011 (ISO 19011)[2].

3.1.2

Năng lực (Competence)

...

...

...

3.1.3

Sự phù hợp (Conformity)

Đáp ứng một yêu cầu (3.1.19).

CHÚ THÍCH 1: Sự phù hợp liên quan đến các yêu cầu trong tiêu chuẩn này cũng như các yêu cầu về SMS của tổ chức.

CHÚ THÍCH 2: Định nghĩa của Phụ lục SL ban đầu đã được sửa đổi bằng cách thêm Chú thích 1.

3.1.4

Cải tiến liên tục (continual improvement)

Hoạt động định kỳ để nâng cao kết quả thực hiện (3.1.16).

3.1.5

...

...

...

Hành động để loại bỏ nguyên nhân hoặc giảm khả năng tái diễn sự không phù hợp (3.1.12) được phát hiện hoặc tình huống không mong muốn khác.

CHÚ THÍCH 1: Định nghĩa của Phụ lục SL ban đầu đã được thay đổi bằng cách thêm "hành động để loại bỏ nguyên nhân và ngăn ngừa tái diễn sự không phù hợp".

3.1.6

Thông tin tư liệu hóa[3] (documented information)

Thông tin cần thiết phải được kiểm soát và duy trì bởi một tổ chức (3.1.14) và phương tiện chứa thông tin đó.

VÍ DỤ: Các chính sách (3.1.17), kế hoạch, mô tả quá trình, thủ tục (3.2.11), thỏa thuận mức dịch vụ (3.2.20) hoặc hợp đồng.

CHÚ THÍCH 1: Thông tin tư liệu hóa có thể ở bất kỳ định dạng và phương tiện nào và từ bất kỳ nguồn nào.

CHÚ THÍCH 2: Thông tin tư liệu hóa có thể tham khảo.

• hệ thống quản lý (3.1.9), bao gồm các quá trình (3.1.18) liên quan;

...

...

...

• bằng chứng về kết quả thực hiện (các hồ sơ (3.2.12)).

CHÚ THÍCH 3: Định nghĩa của Phụ lục SL ban đầu đã được sửa đổi bằng cách thêm các ví dụ.

3.1.7

Hiệu quả (effectiveness)

Mức độ thực hiện các hoạt động theo kế hoạch và đạt được kết quả theo kế hoạch.

3.1.8

Bên quan tâm (interested party)

Cá nhân hoặc tổ chức (3.1.14) có thể ảnh hưởng, chịu ảnh hưởng bởi hoặc nhận thấy bản thân chịu ảnh hưởng bởi một quyết định hoặc vận hành liên quan đến SMS (3.2.23) hoặc các dịch vụ (3.2.15)

CHÚ THÍCH 1 : Bên quan tâm có thể là nội bộ hoặc bên ngoài tổ chức.

...

...

...

CHÚ THÍCH 3: Khi các bên quan tâm được quy định trong các yêu cầu (3.1.19) của tiêu chuẩn này, các bên quan tâm có thể khác nhau tùy thuộc vào bối cảnh của yêu cầu.

CHÚ THÍCH 4: Định nghĩa của Phụ lục SL ban đầu đã được sửa đổi bằng cách xóa thuật ngữ được thừa nhận là "bên liên quan", thêm "liên quan đến SMS hoặc các dịch vụ" vào định nghĩa và bằng cách thêm Chú thích 1, 2 và 3.

3.1.9

Hệ thống quản lý (management system)

Tập các yếu tố có liên quan hoặc tương tác với nhau của một tổ chức (3.1.14) để thiết lập các chính sách (3.1.17), các mục tiêu (3.1.13) và các quá trình (3.1.18) để đạt được các mục tiêu đó.

CHÚ THÍCH 1: Hệ thống quản lý có thể giải quyết một quy tắc duy nhất hoặc một số quy tắc.

CHÚ THÍCH 2: Các yếu tố của hệ thống quản lý bao gồm cấu trúc quản lý, các vai trò và trách nhiệm, hoạch định, vận hành, chính sách, các mục tiêu, các kế hoạch, quá trình và các thủ tục (3.2.11).

CHÚ THÍCH 3: Phạm vi hệ thống quản lý có thể bao gồm toàn bộ tổ chức, các chức năng cụ thể và đã được xác định của tổ chức, các bộ phận cụ thể và được xác định của tổ chức, hoặc một hoặc nhiều chức năng trong một nhóm tổ chức.

CHÚ THÍCH 4: Định nghĩa của Phụ lục SL ban đầu đã được sửa đổi bằng cách làm rõ rằng hệ thống là một hệ thống quản lý và liệt kê các yếu tố khác trong Chú thích 2.

...

...

...

Đo lường (measurement)

Quá trình (3.1.18) xác định giá trị.

3.1.11

Giám sát (Monitoring)

Xác định trạng thái của một hệ thống, một quá trình (3.1.18) hoặc một hoạt động.

CHÚ THÍCH 1: Để xác định trạng thái, có thể cần phải kiểm tra, giám sát hoặc quan sát nghiêm túc.

3.1.12

Sự không phù hợp (nonconformity)

Sự không đáp ứng yêu cầu (3.1.19).

...

...

...

3.1.13

Mục tiêu (objective)

Kết quả đạt được.

CHÚ THÍCH 1: Mục tiêu có thể là chiến lược, chiến thuật hoặc vận hành.

CHÚ THÍCH 2: Các mục tiêu có thể liên quan đến các quy tắc khác nhau [chẳng hạn như tài chính, sức khỏe và an toàn, quản lý dịch vụ (3.2,22) và mục tiêu môi trường] và có thể áp dụng ở các cấp độ khác nhau [chẳng hạn như chiến lược, toàn tổ chức, dịch vụ (3.2.15), dự án, sản phẩm và quá trình (3.1.18)].

CHÚ THÍCH 3: Mục tiêu có thể được thể hiện theo những cách khác, ví dụ: như một kết quả dự định, một mục đích, một tiêu chí vận hành, như một mục tiêu quản lý dịch vụ hoặc bằng cách sử dụng các từ khác có nghĩa tương tự (ví dụ: mục tiêu, mục tiêu hoặc mục tiêu).

CHÚ THÍCH 4: Trong bối cảnh SMS (3.2.23), các mục tiêu quản lý dịch vụ do tổ chức đặt ra, phù hợp với chính sách (3.1.17) quản lý dịch vụ, để đạt được các kết quả cụ thể.

CHÚ THÍCH 5: Định nghĩa của Phụ lục SL ban đầu đã được sửa đổi bằng cách thêm "quản lý dịch vụ" và "dịch vụ" vào Chú thích 2.

3.1.14

...

...

...

Cá nhân hoặc nhóm người có chức năng riêng với các trách nhiệm, quyền hạn và các mối quan hệ để đạt được các mục tiêu (3.1.13) của mình.

CHÚ THÍCH 1: Khái niệm tổ chức bao gồm, không giới hạn duy nhất là thương nhân, mà là công ty, tập đoàn, công ty, doanh nghiệp, cơ quan, đối tác, tổ chức từ thiện hoặc tổ chức, hoặc một phần hoặc sự kết hợp của chúng, cho dù được hợp nhất hay không, công cộng hay tư nhân.

CHÚ THÍCH 2: Một tổ chức hoặc một bộ phận của tổ chức quản lý và bàn giao dịch vụ (3.2.15) hoặc các dịch vụ cho khách hàng (3.2.3) nội bộ hoặc bên ngoài có thể được gọi là nhà cung cấp dịch vụ (3.2.24).

CHÚ THÍCH 3: Nếu phạm vi của SMS (3.2.23) chỉ bao gồm một bộ phận của tổ chức, thì tổ chức, khi được sử dụng trong tiêu chuẩn này, đề cập đến bộ phận của tổ chức nằm trong phạm vi của SMS. Bất kỳ việc sử dụng thuật ngữ tổ chức nào với mục đích khác đều được phân biệt rõ ràng.

CHÚ THÍCH 4: Định nghĩa của Phụ lục SL ban đầu đã được sửa đổi bằng cách thêm Chú thích 2 và 3.

3.1.15

Thuê ngoài (outsource)

Thực hiện một thỏa thuận trong đó tổ chức (3.1.14) bên ngoài thực hiện một phần chức năng hoặc quá trình (3.1.18) của tổ chức.

CHÚ THÍCH 1: Tổ chức bên ngoài nằm ngoài phạm vi của SMS (3.2.23), mặc dù chức năng hoặc quá trình được thuê ngoài vẫn nằm trong phạm vi đó.

...

...

...

Kết quả thực hiện (performance)

Kết quả có thể đo được.

CHÚ THÍCH 1: Kết quả thực hiện có thể liên quan đến các phát hiện định lượng hoặc định tính.

CHÚ THÍCH 2: Kết quả thực hiện có thể liên quan đến việc quản lý các hoạt động, quá trình (3.1.18), các sản phẩm, các dịch vụ (3.2.15), hệ thống hoặc tổ chức (3.1.14).

CHÚ THÍCH 3: Định nghĩa của Phụ lục SL ban đầu đã được sửa đổi bằng cách thêm "dịch vụ" vào Chú thích 2.

3.1.17

Chính sách (policy)

Các ý định và định hướng của một tổ chức (3.1.14) được thể hiện chính thức bởi lãnh đạo cao nhất (3.1.21).

3.1.18

...

...

...

Tập các hoạt động có liên quan hoặc tương tác với nhau sử dụng các đầu vào để mang lại kết quả dự kiến.

CHÚ THÍCH 1: "Kết quả dự kiến" của một quá trình được gọi là đầu ra, sản phẩm hoặc dịch vụ (3.2.15) phụ thuộc vào bối cảnh được đề cập.

CHÚ THÍCH 2: Các đầu vào cho một quá trình nói chung là đầu ra của các quá trình khác và đầu ra của một quá trình nói chung là đầu vào cho các quá trình khác.

CHÚ THÍCH 3: Hai hoặc nhiều quá trình có liên quan và tương tác với nhau trong chuỗi cũng có thể được gọi là một quá trình.

CHÚ THÍCH 4: Các quá trình trong một tổ chức (3.1.14) thường được hoạch định và thực hiện trong các điều kiện được kiểm soát để gia tăng giá trị.

CHÚ THÍCH 5: Định nghĩa của Phụ lục SL ban đầu đã được thay đổi từ "tập các hoạt động có liên quan hoặc tương tác với nhau biến đầu vào thành đầu ra". Định nghĩa của Phụ lục SL ban đầu cũng đã được sửa đổi bằng cách thêm Chú thích 1 đến 4. Định nghĩa sửa đổi và các Chú thích từ 1 đến 4 được nhập vào từ ISO 9000: 2015, 3.4.1.

3.1.19

Yêu cầu (requirement)

Nhu cầu hoặc kỳ vọng được nêu ra, thường hàm ý hoặc bắt buộc.

...

...

...

CHÚ THÍCH 2: Yêu cầu cụ thể là yêu cầu được nêu, ví dụ, trong thông tin tư liệu hóa (3.1.6).

CHÚ THÍCH 3: Trong bối cảnh SMS (3.2.23), các yêu cầu dịch vụ (3.2.26) tư liệu hóa và được chấp nhận hơn hàm ý chung. Cũng có thể có các yêu cầu khác như yêu cầu pháp lý và quy định.

CHÚ THÍCH 4: Định nghĩa của Phụ lục SL ban đầu đã được sửa đổi bằng cách thêm Chú thích 3.

3.1.20

Rủi ro (risk)

Tác động của sự không chắc chắn.

CHÚ THÍCH 1 : Ảnh hưởng là độ lệch so với dự kiến - tích cực hoặc tiêu cực.

CHÚ THÍCH 2: Sự không chắc chắn là trạng thái, thậm chí một phần, thiếu hụt thông tin liên quan đến sự hiểu biết hoặc kiến thức về một sự kiện, hệ quả của nó hoặc khả năng xảy ra.

CHÚ THÍCH 3: Rủi ro thường được đặc trưng bởi sự liên quan đến các sự kiện tiềm ẩn (như được định nghĩa trong 3.5.1.3, TCVN 9788:2013 (ISO GUIDE 73:2009)) và hệ quả (như được định nghĩa trong 3.6.1.3, TCVN 9788:2013 (ISO GUIDE 73:2009)), hoặc là sự kết hợp của sự kiện và hệ quả.

...

...

...

3.1.21

Lãnh đạo cao nhất (top management)

Người hoặc nhóm người chỉ đạo và kiểm soát một tổ chức (3.1.14) ở cấp cao nhất.

CHÚ THÍCH 1: Lãnh đạo cao nhất có quyền giao phó và cung cấp các nguồn lực trong tổ chức.

CHÚ THÍCH 2: Nếu phạm vi hệ thống quản lý (3.1.9) chỉ bao gồm một bộ phận của tổ chức thì lãnh đạo cao nhất là những người chỉ đạo và kiểm soát bộ phận đó của tổ chức.

3.2  Các thuật ngữ quy định cho quản lý dịch vụ

3.2.1

Tài sản (asset)

Vật phẩm, sự vật hoặc thực thể có giá trị tiềm năng hoặc thực tế đối với một tổ chức (3.1.14)

...

...

...

CHÚ THÍCH 2: Các tài sản vật chất thường là thiết bị, hàng tồn kho và tài sản thuộc sở hữu của tổ chức. Các tài sản vật chất đối lập với các tài sản vô hình, là tài sản phi vật chất như hợp đồng thuê, thương hiệu, các tài sản số, các quyền sử dụng, các giấy phép, các quyền sở hữu trí tuệ, danh tiếng hoặc các thỏa thuận.

CHÚ THÍCH 3: Một nhóm tài sản được gọi là hệ thống tài sản cũng có thể được coi là tài sản.

CHÚ THÍCH 4: Tài sản cũng có thể là một mục cấu hình (3.2.2). Một số mục cấu hình không phải là tài sản.

[NGUỒN: ISO/IEC 19770-5: 2015, 3.2, được sửa đổi - Chú thích 4 chứa bối cảnh mới.]

3.2.2

Đánh giá (configuration item)

Cl

Yếu tố cần được kiểm soát để cung cấp một dịch vụ (3.2.15) hoặc các dịch vụ.

3.2.3

...

...

...

Tổ chức (3.1.14) hoặc một bộ phận của tổ chức nhận dịch vụ (3.2.15) hoặc các dịch vụ.

VÍ DỤ: Người dùng, khách hàng, người thụ hưởng, nhà tài trợ, người mua.

CHÚ THÍCH 1: Khách hàng có thể là nội bộ hoặc bên ngoài tổ chức bàn giao dịch vụ hoặc các dịch vụ.

CHÚ THÍCH 2: Khách hàng cũng có thể là người dùng (3.2.28). Một khách hàng cũng có thể vận hành như một nhà cung cấp.

3.2.4

Bên cung ứng ngoài (external supplier)

Một bên khác bên ngoài tổ chức ký kết hợp đồng đóng góp vào việc hoạch định, thiết kế, chuyển tiếp (3.2.27), cung cấp hoặc cải tiến dịch vụ (3.2.15), cấu phần dịch vụ (3.2.18) hoặc quá trình (3.1.18)

CHÚ THÍCH 1: Các bên cung ứng ngoài bao gồm các bên cung ứng đầu mối được chỉ định nhưng không phải các bên cung ứng thầu phụ.

CHÚ THÍCH 2: Nếu tổ chức trong phạm vi SMS là một bộ phận của tổ chức lớn hơn, thì bộ phận khác là bên ngoài tổ chức lớn hơn.

...

...

...

Sự cố (incident)

Sự gián đoạn không có kế hoạch đối với một dịch vụ (3.2.15), sự giảm chất lượng của dịch vụ hoặc một sự kiện chưa làm ảnh hưởng dịch vụ đối với khách hàng (3.2.3) hoặc người dùng (3.2.28)

3.2.6

An toàn thông tin (information security)

Đảm bảo tính bí mật, tính toàn vẹn và tính sẵn sàng[4] của thông tin.

CHÚ THÍCH 1 : Ngoài ra, các đặc tính khác như tính xác thực, trách nhiệm giải trình, tính chống chối bỏ và độ tin cậy cũng có thể liên quan.

[NGUỒN: 3.28, ISO/IEC 27000: 2018]

3.2.7

Sự cố an toàn thông tin (information security incident)

...

...

...

[NGUỒN: 3.31, ISO/IEC 27000: 2018]

3.2.8

Bên cung ứng nội bộ (internal supplier)

Một bộ phận của tổ chức (3.1.14) nằm ngoài phạm vi của SMS (3.2.23) tham gia vào một thỏa thuận tư liệu hóa để đóng góp vào việc hoạch định, thiết kế, chuyển tiếp (3.2.27), cung cấp hoặc cải tiến dịch vụ (3.2.15), cấu phần dịch vụ (3.2.18) hoặc quá trình (3.1.18)

VÍ DỤ: Mua sắm, hạ tầng, tài chính, nguồn nhân lực, cơ sở vật chất.

CHÚ THÍCH 1: Bên cung ứng nội bộ và tổ chức trong phạm vi SMS đều thuộc cùng một tổ chức lớn hơn.

3.2.9

Lỗi đã biết (known error)

Vấn đề (3.2.10) có nguyên nhân gốc rễ được xác định hoặc phương pháp giảm hoặc loại bỏ tác động đối với dịch vụ (3.2.15).

...

...

...

Vấn đề (problem)

Nguyên nhân của một hoặc nhiều sự cố (3.2.5) thực tế hoặc tiềm ẩn.

3.2.11

Thủ tục (procedure)

Cách thức cụ thể để thực hiện một vận hành hoặc một quá trình (3.1.18).

CHÚ THÍCH 1: Các thủ tục có thể tư liệu hóa hoặc không.

[NGUỒN: ISO 9000: 2015, 3.4.5]

3.2.12

Bản ghi (record)

...

...

...

VÍ DỤ: Báo cáo đánh giá (3.1.1), các chi tiết sự cố (3.2.5), danh sách những người được ủy nhiệm, biên bản cuộc họp.

CHÚ THÍCH 1: Các bản ghi có thể được sử dụng, ví dụ để chính thức hóa khả năng xác định nguồn gốc và cung cấp bằng chứng về xác minh, hành động phòng ngừa và hành động sự cố (3.1.5).

CHÚ THÍCH 2: Nói chung, các bản ghi không cần kiểm soát sửa đổi.

[NGUỒN: 3.8.10, ISO 9000: 2015, được sửa đổi - thêm VÍ DỤ]

3.2.13

Phiên bản lưu hành (release)

Tập hợp một hoặc nhiều dịch vụ (3.2.15) mới hoặc đã thay đổi hoặc các cấu phần dịch vụ (3.2.18) được thực hiện trong môi trường động do một hoặc nhiều thay đổi.

3.2.14

Yêu cầu đổi thay (request for change)

...

...

...

CHÚ THÍCH 1: Thay đổi đối với dịch vụ bao gồm việc bàn giao dịch vụ mới, chuyển giao dịch vụ hoặc loại bỏ dịch vụ không còn được yêu cầu.

3.2.15

Dịch vụ (service)

Phương tiện cung cấp giá trị cho khách hàng (3.2.3) bằng cách tạo điều kiện cho các kết quả mà khách hàng muốn đạt được.

CHÚ THÍCH 1: Dịch vụ nói chung là không hữu hình.

CHÚ THÍCH 2: Thuật ngữ dịch vụ được sử dụng trong tiêu chuẩn này có nghĩa là dịch vụ hoặc các dịch vụ trong phạm vi của SMS (3.2.23). Bất kỳ việc sử dụng thuật ngữ dịch vụ nào với mục đích khác đều được phân biệt rõ ràng.

3.2.16

Tính sẵn sàng của dịch vụ (service availability)

Khả năng một dịch vụ (3.2.15) hoặc cấu phần dịch vụ (3.2.18) để thực hiện chức năng cần thiết tại một thời điểm đã thỏa thuận hoặc trong một khoảng thời gian đã thỏa thuận.

...

...

...

3.2.17

Danh mục dịch vụ (service catalogue)

Thông tin tư liệu hóa về các dịch vụ mà một tổ chức bàn giao cho khách hàng.

3.2.18

Cấu phần dịch vụ (service component)

Một phần của dịch vụ (3.2.15) mà khi kết hợp với các yếu tố khác sẽ bàn giao một dịch vụ hoàn chỉnh

VÍ DỤ: Hạ tầng, các ứng dụng, tài liệu, giấy phép, thông tin, nguồn lực, các dịch vụ hỗ trợ.

CHÚ THÍCH 1: Một cấu phần dịch vụ có thể bao gồm các mục cấu hình (3.2.2), tài sản (3.2.1) hoặc các yếu tố khác.

3.2.19

...

...

...

Khả năng bàn giao một dịch vụ (3.2.15) mà không bị gián đoạn, hoặc với tính sẵn sàng nhất quán như đã thỏa thuận.

CHÚ THÍCH 1: Quản lý tính liên tục của dịch vụ có thể là một tập con của quản lý tính liên tục của doanh nghiệp. ISO 22301 là một tiêu chuẩn hệ thống quản lý để quản lý tính liên tục của doanh nghiệp.

3.2.20

Thỏa thuận mức dịch vụ (service level agreement)

SLA

Thỏa thuận tư liệu hóa giữa tổ chức (3.1.14) và khách hàng (3.2.3) xác định các dịch vụ (3.2.15) và kết quả thực hiện đã thỏa thuận của tổ chức và khách hàng.

CHÚ THÍCH 1: Thỏa thuận mức dịch vụ cũng có thể được thiết lập giữa tổ chức và bên cung ứng ngoài (3.2.4), bên cung ứng nội bộ (3.2.8) hoặc khách hàng đóng vai trò là bên cung ứng.

CHÚ THÍCH 2: Thỏa thuận mức dịch vụ có thể được bao gồm trong hợp đồng hoặc một loại thỏa thuận tư liệu hóa khác.

3.2.21

...

...

...

Đặc điểm có thể đo lường cụ thể của một dịch vụ (3.2.15) mà một tổ chức (3.1.14) cam kết.

3.2.22

Quản lý dịch vụ (service management)

Tập các khả năng và quá trình (3.1.18) để chỉ đạo và kiểm soát các hoạt động của tổ chức (3.1.14) và các nguồn lực để hoạch định, thiết kế, chuyển tiếp (3.2.27), bàn giao và cải tiến dịch vụ (3.2.15) để mang đến giá trị (3.2.29).

CHÚ THÍCH 1: Tiêu chuẩn này cung cấp một tập các yêu cầu được chia thành các Điều và Điều nhỏ. Mỗi tổ chức có thể chọn cách kết hợp các yêu cầu thành các quá trình. Các Điều phụ có thể được sử dụng để xác định các quá trình của SMS của tổ chức.

3.2.23

Hệ thống quản lý dịch vụ (service management system)

SMS

Hệ thống quản lý (3.1.9) để chỉ đạo và kiểm soát các hoạt động quản lý dịch vụ (3.2.22) của tổ chức (3.1.14).

...

...

...

3.2.24

Nhà cung cấp dịch vụ (service provider)

Tổ chức (3.1.14) quản lý và bàn giao một dịch vụ (3.2.15) hoặc nhiều dịch vụ cho khách hàng (3.2.3).

3.2.25

Sự yêu cầu dịch vụ (service request)

Lời yêu cầu thông tin, lời khuyên, quyền truy cập vào một dịch vụ (3.2.15) hoặc một thay đổi đã được phê duyệt trước.

3.2.26

Yêu cầu dịch vụ (service requirement)

Nhu cầu của khách hàng (3.2.3), người dùng (3.2.28) và tổ chức (3.1.14) liên quan đến dịch vụ (3.2.15) và SMS (3.2.23) được nêu rõ hoặc bắt buộc.

...

...

...

3.2.27

Chuyển tiếp (transition)

Các hoạt động liên quan đến việc chuyển một dịch vụ (3.2.15) mới hoặc đã thay đổi đến hoặc từ môi trường động.

3.2.28

Người dùng (user)

Cá nhân hoặc nhóm tương tác hoặc hưởng lợi từ một dịch vụ (3.2.15) hoặc các dịch vụ.

CHÚ THÍCH 1: Ví dụ về người dùng bao gồm một người hoặc cộng đồng người. Một khách hàng (3.2.3) cũng có thể là một người dùng.

3.2.29

Giá trị (value)

...

...

...

VÍ DỤ: Giá trị tiền tệ, việc đạt được các đầu ra dịch vụ, việc đạt được mục tiêu (3.1.13) quản lý dịch vụ (3.2.22), giữ chân khách hàng, loại bỏ các ràng buộc.

CHÚ THÍCH 1 : Việc tạo ra giá trị từ các dịch vụ (3.2.15) bao gồm việc hiện thực hóa lợi ích ở mức nguồn lực tối ưu trong khi quản lý rủi ro (3.1.20). Tài sản (3.2.1) và dịch vụ (3.2.15) là những ví dụ có thể được gán một giá trị.

4  Bối cảnh tổ chức

4.1  Hiểu tổ chức và bối cảnh tổ chức

Tổ chức phải xác định các vấn đề nội bộ và bên ngoài có liên quan đến mục đích của mình và ảnh hưởng đến khả năng đạt được (các) đầu ra dự kiến SMS.

CHÚ THÍCH: Từ "vấn đề" trong bối cảnh này có thể là các yếu tố có tác động tích cực hoặc tiêu cực. Đây là những yếu tố quan trọng đối với tổ chức trong bối cảnh tổ chức có khả năng bàn giao các dịch vụ với chất lượng đã thỏa thuận cho khách hàng.

4.2  Hiểu các nhu cầu và kỳ vọng của các bên quan tâm

Tổ chức phải xác định:

a) các bên quan tâm có liên quan đến SMS và các dịch vụ;

...

...

...

CHÚ THÍCH: Các yêu cầu của các bên quan tâm có thể bao gồm dịch vụ, kết quả thực hiện, các yêu cầu pháp lý và theo quy tắc cũng như các nghĩa vụ hợp đồng liên quan đến SMS và các dịch vụ.

4.3  Xác định phạm vi hệ thống quản lý dịch vụ

Tổ chức phải xác định ranh giới và khả năng ứng dụng của SMS để thiết lập phạm vi. Khi xác định phạm vi này, tổ chức phải xem xét:

a) các vấn đề nội bộ và bên ngoài trong 4.1;

b) các yêu cầu trong 4.2;

c) các dịch vụ được bàn giao bởi tổ chức.

Định nghĩa về phạm vi của SMS sẽ bao gồm các dịch vụ trong phạm vi và tên của tổ chức quản lý và bàn giao dịch vụ.

Phạm vi của SMS nên sẵn sàng và được duy trì dưới dạng thông tin tư liệu hóa.

CHÚ THÍCH 1: TCVN 8695-3 (ISO/IEC 20000-3) cung cấp hướng dẫn về định nghĩa phạm vi.

...

...

...

4.4  Hệ thống quản lý dịch vụ

Tổ chức phải thiết lập, thực hiện, duy trì và cải tiến liên tục SMS, bao gồm các quá trình cần thiết và các tương tác, phù hợp với các yêu cầu của tiêu chuẩn này.

5  Sự lãnh đạo

5.1  Sự lãnh đạo và cam kết

Lãnh đạo cao nhất phải thể hiện khả năng lãnh đạo và cam kết đối với SMS bằng cách: đảm bảo rằng chính sách quản lý dịch vụ và các mục tiêu quản lý dịch vụ được thiết lập và tương thích với định hướng chiến lược của tổ chức;

a) đảm bảo rằng kế hoạch quản lý dịch vụ được tạo ra, thực hiện và duy trì để hỗ trợ chính sách quản lý dịch vụ và việc đạt được các mục tiêu quản lý dịch vụ và các yêu cầu dịch vụ;

b) đảm bảo rằng các cấp thẩm quyền thích hợp được chỉ định để đưa ra các quyết định liên quan đến SMS và các dịch vụ;

c) đảm bảo rằng những gì tạo thành giá trị cho tổ chức và khách hàng của tổ chức được xác định;

d) đảm bảo có biện pháp kiểm soát của các bên khác liên quan đến vòng đời dịch vụ;

...

...

...

f) đảm bảo rằng các nguồn lực cần thiết cho SMS và các dịch vụ luôn sẵn sàng;

g) truyền đạt tầm quan trọng của việc quản lý dịch vụ hiệu quả, đạt được các mục tiêu quản lý dịch vụ, mang lại giá trị và phù hợp với các yêu cầu SMS;

h) đảm bảo rằng SMS đạt được (các) đầu ra dự kiến;

i) chỉ đạo và hỗ trợ những người đóng góp vào hiệu quả của SMS và các dịch vụ;

j) thúc đẩy cải tiến liên tục SMS và các dịch vụ;

k) hỗ trợ các vai trò quản lý có liên quan khác để thể hiện vai trò lãnh đạo khi áp dụng cho các lĩnh vực phụ trách.

CHÚ THÍCH: Tham chiếu "kinh doanh" trong tiêu chuẩn nảy có thể được hiểu theo nghĩa rộng có nghĩa là những vận hành cốt lõi cho mục đích tồn tại của tổ chức.

5.2  Chính sách

5.2.1  Thiết lập chính sách quản lý dịch vụ

...

...

...

a) phù hợp với mục đích của tổ chức;

b) cung cấp một khung thiết lập các mục tiêu quản lý dịch vụ;

c) bao gồm cam kết đáp ứng các yêu cầu hiện hành;

d) bao gồm cam kết cải tiến liên tục SMS và các dịch vụ.

5.2.2  Trao đổi thông tin chính sách quản lý dịch vụ

Chính sách quản lý dịch vụ phải:

a) sẵn sàng dưới dạng thông tin tư liệu hóa;

b) được trao đổi thông tin trong tổ chức;

c) sẵn sàng cung cấp cho các bên quan tâm, nếu thích hợp.

...

...

...

Lãnh đạo cao nhất phải đảm bảo rằng các trách nhiệm và quyền hạn đối với các vai trò liên quan đến SMS và các dịch vụ được giao và trao đổi thông tin trong tổ chức.

Lãnh đạo cao nhất phải giao trách nhiệm và quyền hạn để:

a) đảm bảo rằng SMS tuân thủ các yêu cầu của tiêu chuẩn này;

b) báo cáo về kết quả thực hiện của SMS và các dịch vụ cho lãnh đạo cao nhất.

6  Hoạch định

6.1  Hành động để giải quyết rủi ro và cơ hội

6.1.1  Khi hoạch định cho SMS, tổ chức phải xem xét các vấn đề trong 4.1 và các yêu cầu trong 4.2 và xác định các rủi ro và cơ hội cần phải giải quyết:

a) đảm bảo rằng SMS có thể đạt được (các) đầu ra dự kiến;

b) ngăn ngừa, hoặc giảm thiểu các ảnh hưởng không mong muốn;

...

...

...

6.1.2  Tổ chức phải xác định và tư liệu hóa.

a) rủi ro liên quan đến:

1) tổ chức;

2) không đáp ứng các yêu cầu dịch vụ;

3) sự tham gia của các bên khác trong vòng đời dịch vụ;

b) tác động đến khách hàng về rủi ro và cơ hội đối với SMS và các dịch vụ;

c) các tiêu chí chấp nhận rủi ro;

d) cách tiếp cận cần thực hiện để quản lý rủi ro.

6.1.3  Tổ chức phải hoạch định:

...

...

...

b) cách thức để:

1) tích hợp và thực hiện các hành động vào các quá trình SMS;

2) đánh giá hiệu quả của các hành động này.

CHÚ THÍCH 1: Các lựa chọn giải quyết rủi ro và cơ hội có thể bao gồm: tránh rủi ro, chấp nhận hoặc tăng rủi ro để theo đuổi cơ hội, loại bỏ nguồn rủi ro, thay đổi khả năng xảy ra hoặc hệ quả của rủi ro, giảm thiểu rủi ro thông qua các hành động đã thỏa thuận, chia sẻ rủi ro với một bên khác hoặc chấp nhận rủi ro bằng quyết định sáng suốt.

CHÚ THÍCH 2: TCVN ISO 31000 (ISO 31000) cung cấp các nguyên tắc và hướng dẫn chung về quản lý rủi ro.

6.2  Các mục tiêu quản lý dịch vụ và hoạch định để đạt được mục tiêu

6.2.1  Thiết lập các mục tiêu

Tổ chức phải thiết lập các mục tiêu quản lý dịch vụ ở các chức năng và cấp độ có liên quan. Các mục tiêu quản lý dịch vụ phải:

a) nhất quán với chính sách quản lý dịch vụ;

...

...

...

c) tính đến các yêu cầu có thể áp dụng;

d) được giám sát;

e) được trao đổi thông tin;

f) được cập nhật khi thích hợp.

Tổ chức phải lưu giữ thông tin tư liệu hóa về các mục tiêu quản lý dịch vụ.

6.2.2  Hoạch định để đạt được các mục tiêu

Khi hoạch định về cách đạt được các mục tiêu quản lý dịch vụ, tổ chức phải xác định:

a) thực hiện những gì;

b) nguồn lực yêu cầu;

...

...

...

d) thời điểm hoàn thành;

e) cách đánh giá kết quả.

6.3  Hoạch định hệ thống quản lý dịch vụ

Tổ chức phải tạo ra, thực hiện và duy trì một kế hoạch quản lý dịch vụ. Việc hoạch định phải xem xét đến chính sách quản lý dịch vụ, các mục tiêu quản lý dịch vụ, các rủi ro và cơ hội, các yêu cầu về dịch vụ và các yêu cầu được quy định trong tiêu chuẩn này.

Kế hoạch quản lý dịch vụ phải bao gồm hoặc có tham chiếu đến:

a) danh sách các dịch vụ;

b) các hạn chế đã biết có thể tác động đến SMS và các dịch vụ;

c) các nghĩa vụ như các chính sách, tiêu chuẩn liên quan, các yêu cầu pháp lý, quy định và hợp đồng cũng như cách các nghĩa vụ này áp dụng cho SMS và các dịch vụ;

d) quyền hạn và trách nhiệm đối với SMS và các dịch vụ;

...

...

...

f) cách tiếp cận được thực hiện để làm việc với các bên khác liên quan đến vòng đời dịch vụ;

g) công nghệ được sử dụng để hỗ trợ SMS;

h) cách hiệu quả của SMS và các dịch vụ phải được đo lường, đánh giá, báo cáo và cải thiện.

Các hoạt động hoạch định khác phải duy trì sự phù hợp với kế hoạch quản lý dịch vụ.

7  Hỗ trợ của hệ thống quản lý dịch vụ

7.1  Nguồn lực

Tổ chức phải xác định và cung cấp nguồn nhân lực, kỹ thuật, thông tin và tài chính cần thiết cho việc thiết lập, thực hiện, duy trì và cải tiến liên tục SMS cũng như vận hành của các dịch vụ để đáp ứng các yêu cầu dịch vụ và đạt được các mục tiêu quản lý dịch vụ.

7.2  Năng lực

Tổ chức phải:

...

...

...

b) đảm bảo rằng những người này có đủ khả năng dựa trên sự thích hợp về giáo dục, đào tạo hoặc kinh nghiệm;

c) nếu có thể, thực hiện các hành động để đạt được năng lực cần thiết và đánh giá hiệu quả của các hành động đã thực hiện;

d) lưu giữ thông tin tư liệu hóa thích hợp làm bằng chứng về năng lực.

CHÚ THÍCH: Các hành động có thể áp dụng có thể bao gồm, ví dụ: cung cấp đào tạo, cố vấn hoặc bổ nhiệm lại những người hiện đang được tuyển dụng; hoặc việc thuê hoặc ký hợp đồng của những người có thẩm quyền.

7.3  Nhận thức

Những người thực hiện công việc dưới biện pháp kiểm soát của tổ chức phải nhận thức:

a) chính sách quản lý dịch vụ;

b) các mục tiêu quản lý dịch vụ;

c) các dịch vụ liên quan đến công việc;

...

...

...

e) các tác động của việc không tuân thủ các yêu cầu SMS.

7.4  Trao đổi thông tin

Tổ chức phải xác định các trao đổi thông tin nội bộ và bên ngoài liên quan đến SMS và các dịch vụ gồm:

a) trao đổi thông tin gì;

b) trao đổi thông tin khi nào;

c) trao đổi thông tin với ai;

d) cách trao đổi thông tin;

e) ai chịu trách nhiệm trao đổi thông tin.

7.5  Thông tin tư liệu hóa

...

...

...

SMS của tổ chức phải bao gồm:

a) thông tin tư liệu hóa được yêu cầu bởi tiêu chuẩn này;

b) thông tin tư liệu hóa được tổ chức xác định là cần thiết cho hiệu quả của SMS.

CHÚ THÍCH: Mức độ thông tin tư liệu hóa cho SMS có thể khác nhau giữa các tổ chức do:

- quy mô của tổ chức và loại hình vận hành, quá trình, sản phẩm và dịch vụ;

- sự phức tạp của các quá trình, dịch vụ và giao diện;

- năng lực của các cá nhân.

7.5.2  Tạo lập và cập nhật thông tin tư liệu hóa

Khi tạo lập và cập nhật thông tin tư liệu hóa, tổ chức phải đảm bảo:

...

...

...

b) định dạng (ví dụ: ngôn ngữ, phiên bản phần mềm, đồ họa) và phương tiện (ví dụ: giấy, điện tử);

c) xem xét và phê duyệt tính phù hợp và đầy đủ.

7.5.3  Kiểm soát thông tin tư liệu hóa

7.5.3.1  Thông tin tư liệu hóa được yêu cầu bởi SMS và tiêu chuẩn này được kiểm soát để đảm bảo:

a) sẵn sàng và phù hợp cho việc sử dụng trong địa điểm, thời gian khi cần;

b) được bảo vệ đầy đủ (ví dụ như không bị mất tính bảo mật, sử dụng không đúng cách hoặc mất tính toàn vẹn).

7.5.3.2  Để kiểm soát thông tin tư liệu hóa, tổ chức phải giải quyết các hoạt động sau, có thể áp dụng:

a) phân bổ, truy cập, truy lục và sử dụng;

b) lưu trữ và bảo quản, bao gồm cả việc bảo quản tính dễ đọc;

...

...

...

d) lưu giữ và tiêu hủy.

Thông tin tư liệu hóa có nguồn gốc bên ngoài được tổ chức xác định là cần thiết cho việc hoạch định và vận hành SMS phải được xác định là phù hợp và được kiểm soát.

CHÚ THÍCH: Truy cập có thể hàm ý một quyết định liên quan đến quyền chỉ xem thông tin tư liệu hóa, hoặc sự cho phép và quyền hạn để xem và thay đổi thông tin tư liệu hóa.

7.5.4  Thông tin tư liệu hóa của hệ thống quản lý dịch vụ

Thông tin tư liệu hóa cho SMS sẽ bao gồm:

a) phạm vi của SMS;

b) chính sách và các mục tiêu quản lý dịch vụ;

c) kế hoạch quản lý dịch vụ;

d) chính sách quản lý thay đổi, chính sách an toàn thông tin và (các) kế hoạch về tính liên tục của dịch vụ;

...

...

...

f) các yêu cầu về dịch vụ;

g) (các) danh mục dịch vụ;

h) (các) thỏa thuận mức dịch vụ (SLA);

i) các hợp đồng với các bên cung ứng ngoài;

j) các thỏa thuận với bên cung ứng nội bộ hoặc khách hàng đóng vai trò là bên cung ứng;

k) các thủ tục được yêu cầu bởi tiêu chuẩn này;

l) các bản ghi cần thiết đề chứng minh bằng chứng về sự phù hợp với các yêu cầu của tiêu chuẩn này này và SMS của tổ chức.

CHÚ THÍCH: Điều 7.5.4 cung cấp danh sách các tài liệu chính cho một SMS. Có các yêu cầu cụ thể khác trong tiêu chuẩn này để thông tin được lưu giữ dưới dạng thông tin tư liệu hóa, tư liệu hóa hoặc được ghi lại. TCVN 8695-2 (ISO/IEC 20000-2) đưa ra hướng dẫn bổ sung.

7.6  Kiến thức

...

...

...

Kiến thức phải phù hợp, có thể sử dụng được và sẵn sàng cho những người thích hợp.

CHÚ THÍCH: Kiến thức dành riêng cho tổ chức, SMS của tổ chức, dịch vụ và các bên quan tâm. Kiến thức được sử dụng và chia sẻ để hỗ trợ việc đạt được (các) đầu ra dự kiến cũng như vận hành của SMS và các dịch vụ.

8  Vận hành hệ thống quản lý dịch vụ

8.1  Hoạch định và kiểm soát vận hành

Tổ chức phải hoạch định, thực hiện và kiểm soát các quá trình cần thiết để đáp ứng các yêu cầu và thực hiện các hành động được xác định trong Điều 6 bằng cách:

a) thiết lập các tiêu chí thực hiện cho các quá trình dựa trên các yêu cầu;

b) thực hiện kiểm soát các quá trình phù hợp với các tiêu chí thực hiện đã thiết lập;

c) lưu giữ thông tin tư liệu hóa ở mức độ cần thiết để tin tưởng rằng các quá trình đã được thực hiện theo kế hoạch.

Tổ chức phải kiểm soát các thay đổi theo kế hoạch đối với SMS và xem xét hệ quả của các thay đổi ngoài ý muốn, thực hiện hành động để giảm thiểu bất kỳ tác động bất lợi nào, nếu cần (xem 8.5.1).

...

...

...

8.2  Danh mục dịch vụ

8.2.1  Bàn giao dịch vụ

Tổ chức vận hành SMS đảm bảo sự phối hợp giữa các hoạt động và các nguồn lực. Tổ chức phải thực hiện các hoạt động cần thiết để bàn giao dịch vụ.

CHÚ THÍCH: Một danh mục dịch vụ được sử dụng để quản lý toàn bộ vòng đời của tất cả các dịch vụ bao gồm các dịch vụ được đề xuất, các dịch vụ đang được phát triển, các dịch vụ trực tiếp được xác định trong (các) danh mục dịch vụ và các dịch vụ bị loại bỏ. Việc quản lý danh mục dịch vụ đảm bảo rằng nhà cung cấp dịch vụ có sự kết hợp phù hợp của các dịch vụ. Các hoạt động của danh mục dịch vụ trong tiêu chuẩn này bao gồm hoạch định dịch vụ, kiểm soát các bên liên quan đến vòng đời dịch vụ, quản lý danh mục dịch vụ, quản lý tài sản và quản lý cấu hình.

8.2.2  Hoạch định các dịch vụ

Các yêu cầu dịch vụ đối với các dịch vụ hiện có, dịch vụ mới và các thay đổi đối với dịch vụ phải được xác định và tư liệu hóa.

Tổ chức phải xác định mức độ quan trọng của dịch vụ dựa trên nhu cầu của tổ chức, khách hàng, người dùng và các bên quan tâm khác. Tổ chức phải xác định và quản lý sự phụ thuộc và sự trùng lặp giữa các dịch vụ.

Tổ chức phải đề xuất các thay đổi khi cần thiết để điều chỉnh các dịch vụ với chính sách quản lý dịch vụ, các mục tiêu quản lý dịch vụ và các yêu cầu dịch vụ, có tính đến các hạn chế và rủi ro đã biết.

Tổ chức phải ưu tiên các yêu cầu đổi thay và đề xuất cho các dịch vụ mới hoặc thay đổi để phù hợp với nhu cầu doanh nghiệp và mục tiêu quản lý dịch vụ, có tính đến các nguồn lực sẵn sàng.

...

...

...

8.2.3.1  Tổ chức phải chịu trách nhiệm đối với các yêu cầu quy định trong tiêu chuẩn này và cung cấp dịch vụ bất kể bên nào tham gia vào việc thực hiện các hoạt động hỗ trợ vòng đời dịch vụ.

Tổ chức phải xác định và áp dụng các tiêu chí để đánh giá và lựa chọn các bên khác tham gia trong vòng đời dịch vụ. Các bên khác có thể là bên cung ứng ngoài, bên cung ứng nội bộ hoặc khách hàng đóng vai trò là bên cung ứng.

Các bên khác sẽ không cung cấp hoặc vận hành tất cả các dịch vụ, cấu phần dịch vụ hoặc quá trình trong phạm vi của SMS.

Tổ chức phải xác định và tư liệu hóa:

a) các dịch vụ được cung cấp hoặc vận hành bởi các bên khác;

b) các cấu phần dịch vụ được cung cấp hoặc vận hành bởi các bên khác;

c) các quá trình hoặc các phần của quá trình trong SMS của tổ chức do các bên khác vận hành.

Tổ chức phải tích hợp các dịch vụ, cấu phần dịch vụ và quá trình trong SMS do tổ chức hoặc các bên khác cung cấp hoặc vận hành để đáp ứng các yêu cầu dịch vụ. Tổ chức phải phối hợp các hoạt động với các bên khác liên quan đến vòng đời dịch vụ bao gồm việc hoạch định, thiết kế, chuyển tiếp, cung cấp và cải tiến dịch vụ.

8.2.3.2  Tổ chức phải xác định và áp dụng các biện pháp kiểm soát liên quan đối với các bên khác từ những điều sau đây:

...

...

...

b) đo lường và đánh giá hiệu quả của các dịch vụ và các thành tố của dịch vụ trong việc đáp ứng các yêu cầu của dịch vụ.

CHÚ THÍCH: TCVN 8695-3 (ISO/IEC 20000-3) cung cấp hướng dẫn về việc kiểm soát các bên khác liên quan đến vòng đời dịch vụ.

8.2.4  Quản lý danh mục dịch vụ

Tổ chức phải tạo và duy trì một hoặc nhiều danh mục dịch vụ. (Các) danh mục dịch vụ phải bao gồm thông tin cho tổ chức, khách hàng, người dùng và các bên quan tâm khác để mô tả các dịch vụ, kết quả dự kiến của họ và sự phụ thuộc giữa các dịch vụ.

Tổ chức phải cung cấp việc truy cập vào các phần thích hợp của (các) danh mục dịch vụ cho khách hàng, người dùng và các bên quan tâm khác.

8.2.5  Quản lý tài sản

Tổ chức phải đảm bảo rằng các tài sản được sử dụng để bàn giao dịch vụ được quản lý để đáp ứng các yêu cầu dịch vụ và các nghĩa vụ trong 6.3 c).

CHÚ THÍCH 1: ISO 55001 và ISO/IEC 19770-1 quy định các yêu cầu để hỗ trợ việc thực hiện và hoạt động quản lý tài sản và tài sản công nghệ thông tin.

CHÚ THÍCH 2: Ngoài ra, xem quản lý cấu hình khi tài sản cũng là một mục cấu hình (Cl).

...

...

...

Các loại Cl phải được xác định. Các dịch vụ phải được phân loại là Cl.

Thông tin cấu hình phải được ghi lại ở mức độ chi tiết phù hợp với mức độ quan trọng và loại dịch vụ. Việc truy cập thông tin cấu hình phải được kiểm soát. Thông tin cấu hình được ghi lại cho mỗi Cl phải bao gồm:

a) định danh duy nhất;

b) loại Cl;

c) mô tả về Cl;

d) mối quan hệ với các Cl khác;

e) trạng thái.

Các Cl phải được kiểm soát. Các thay đổi đối với các Cl phải được giám sát và có thể đánh giá để duy trì tính toàn vẹn của thông tin cấu hình. Thông tin cấu hình phải được cập nhật sau khi thực hiện các thay đổi đối với Cl.

Trong các khoảng thời gian hoạch định, tổ chức phải xác minh tính chính xác của thông tin cấu hình. Khi phát hiện thấy thiếu sót, tổ chức phải thực hiện các hành động cần thiết.

...

...

...

8.3  Mối quan hệ và thỏa thuận

8.3.1  Quy định chung

Tổ chức có thể sử dụng các bên cung ứng để:

a) cung cấp hoặc vận hành các dịch vụ;

b) cung cấp hoặc vận hành các cấu phần dịch vụ;

c) vận hành các quá trình hoặc các phần của quá trình trong SMS của tổ chức.

Hình 2 minh họa sự sử dụng, các thỏa thuận và mối quan hệ giữa quản lý quan hệ kinh doanh, quản lý mức dịch vụ và quản lý bên cung ứng.

Hình 2 - Mối quan hệ và thỏa thuận giữa các bên liên quan đến vòng đời dịch vụ

...

...

...

CHÚ THÍCH 2: Quản lý bên cung ứng trong tiêu chuẩn này không bao gồm việc mua sắm của bên cung ứng.

8.3.2  Quản lý mối quan hệ kinh doanh

Khách hàng, người dùng và các bên quan tâm khác của dịch vụ phải được xác định và tư liệu hóa. Tổ chức phải có một hoặc nhiều cá nhân được chỉ định chịu trách nhiệm quản lý các mối quan hệ với khách hàng và duy trì sự hài lòng của khách hàng.

Tổ chức phải thiết lập các thỏa thuận để trao đổi thông tin với khách hàng và các bên quan tâm khác. Trao đổi thông tin sẽ thúc đẩy sự hiểu biết về môi trường kinh doanh đang phát triển trong đó các dịch vụ vận hành và sẽ cho phép tổ chức đáp ứng các yêu cầu dịch vụ mới hoặc có thay đổi.

Trong các khoảng thời gian hoạch định, tổ chức phải xem xét các xu hướng vận hành và các đầu ra của các dịch vụ.

Trong các khoảng thời gian hoạch định, tổ chức phải đo lường sự hài lòng đối với các dịch vụ dựa trên một mẫu khách hàng đại diện. Các kết quả phải được phân tích, xem xét để xác định các cơ hội cải tiến và được báo cáo.

Các khiếu nại về dịch vụ phải được ghi lại, quản lý để kết thúc và báo cáo. Khi khiếu nại về dịch vụ không được giải quyết thông qua các kênh thông thường, phải cung cấp một phương pháp báo cáo.

8.3.3  Quản lý mức dịch vụ

Tổ chức và khách hàng phải đồng ý về các dịch vụ được cung cấp.

...

...

...

Trong các khoảng thời gian hoạch định, tổ chức phải giám sát, xem xét và báo cáo về:

a) kết quả thực hiện so với các mục tiêu mức dịch vụ;

b) những thay đổi thực tế và định kỳ về khối lượng công việc so với giới hạn khối lượng công việc trong (các) SLA.

Khi các mục tiêu về mức dịch vụ không được đáp ứng, tổ chức phải xác định các cơ hội để cải tiến.

CHÚ THÍCH: Thỏa thuận về các dịch vụ được cung cấp giữa tổ chức và khách hàng của tổ chức có thể thực hiện với nhiều hình thức như thỏa thuận tư liệu hóa, thỏa thuận bằng lời nói trong cuộc họp, thỏa thuận qua email hoặc thỏa thuận với các điều khoản dịch vụ.

8.3.4  Quản lý bên cung ứng

8.3.4.1  Quản lý các bên cung ứng ngoài

Tổ chức phải có một hoặc nhiều cá nhân được chỉ định chịu trách nhiệm quản lý mối quan hệ, hợp đồng và kết quả thực hiện của các bên cung ứng ngoài.

Đối với mỗi bên cung ứng ngoài, tổ chức phải đồng ý một hợp đồng tư liệu hóa. Hợp đồng phải bao gồm hoặc có tham chiếu đến:

...

...

...

b) các yêu cầu phải được đáp ứng bởi bên cung ứng ngoài;

c) các mục tiêu mức dịch vụ hoặc các nghĩa vụ hợp đồng khác;

d) quyền hạn và trách nhiệm của tổ chức và bên cung ứng ngoài.

Tổ chức phải đánh giá sự phù hợp của các mục tiêu mức dịch vụ hoặc các nghĩa vụ hợp đồng khác đối với bên cung ứng ngoài so với SLA với khách hàng và quản lý các rủi ro đã xác định. Tổ chức phải xác định và quản lý các giao diện với bên cung ứng ngoài.

Trong các khoảng thời gian hoạch định, tổ chức phải giám sát vận hành của bên cung ứng ngoài. Khi các mục tiêu mức dịch vụ hoặc các nghĩa vụ hợp đồng khác không được đáp ứng, tổ chức phải đảm bảo rằng các cơ hội để cải tiến được xác định.

Trong các khoảng thời gian hoạch định, tổ chức phải xem xét hợp đồng so với các yêu cầu dịch vụ hiện tại. Các thay đổi được xác định cho hợp đồng phải được đánh giá về tác động của thay đổi đối với SMS và các dịch vụ trước khi thay đổi được chấp thuận.

Các tranh chấp giữa tổ chức và bên cung ứng ngoài phải được ghi lại và quản lý để kết thúc.

8.3.4.2  Quản lý bên cung ứng nội bộ và khách hàng đóng vai trò là bên cung ứng

Đối với mỗi bên cung ứng nội bộ hoặc khách hàng đóng vai trò là bên cung ứng, tổ chức phải phát triển, đồng ý và duy trì một thỏa thuận tư liệu hóa để xác định các mục tiêu mức dịch vụ, các cam kết, vận hành và giao diện khác giữa các bên.

...

...

...

8.4  Cung và cầu

8.4.1  Lập ngân sách và kế toán cho các dịch vụ

Tổ chức phải lập ngân sách và kế toán cho các dịch vụ hoặc nhóm dịch vụ phù hợp với các chính sách và quá trình quản lý tài chính.

Chi phí phải được lập ngân sách để có thể kiểm soát tài chính hiệu quả và ra quyết định cho các dịch vụ.

Trong các khoảng thời gian theo kế hoạch, tổ chức phải giám sát và báo cáo về chi phí thực tế so với ngân sách, xem xét các dự báo tài chính và quản lý chi phí.

CHÚ THÍCH: Nhiều, nhưng không phải tất cả, các tổ chức tính phí dịch vụ. Lập ngân sách và kế toán cho các dịch vụ trong tiêu chuẩn này không bao gồm tính phí, để đảm bảo khả năng áp dụng cho tất cả các tổ chức.

8.4.2  Quản lý nhu cầu

Trong các khoảng thời gian hoạch định, tổ chức phải:

a) xác định nhu cầu hiện tại và dự báo nhu cầu dịch vụ trong tương lai;

...

...

...

CHÚ THÍCH: Quản lý nhu cầu có trách nhiệm giải trình tìm hiểu nhu cầu của khách hàng hiện tại và tương lai đối với dịch vụ. Quản lý khả năng làm việc với quản lý nhu cầu để hoạch định và cung cấp đủ khả năng để đáp ứng nhu cầu.

8.4.3  Quản lý khả năng

Các yêu cầu về khả năng đối với nguồn nhân lực, kỹ thuật, thông tin và tài chính phải được xác định, tư liệu hóa và duy trì có tính đến các yêu cầu về dịch vụ và kết quả thực hiện.

Tổ chức phải hoạch định khả năng bao gồm:

a) khả năng hiện tại và dự báo dựa trên nhu cầu về dịch vụ;

b) tác động dự kiến đến khả năng của các mục tiêu mức dịch vụ đã thỏa thuận, các yêu cầu về tính khả dụng của dịch vụ và tính liên tục của dịch vụ;

c) thang thời gian và ngưỡng thay đổi đối với khả năng phục vụ.

Tổ chức phải cung cấp đủ khả năng để đáp ứng các yêu cầu về khả năng và kết quả thực hiện đã thỏa thuận. Tổ chức phải giám sát việc sử dụng khả năng, phân tích dữ liệu khả năng và kết quả thực hiện và xác định các cơ hội để cải thiện kết quả thực hiện.

8.5  Thiết kế, xây dựng và chuyển tiếp dịch vụ

...

...

...

8.5.1.1  Chính sách quản lý thay đổi

Một chính sách quản lý thay đổi phải được thiết lập và tư liệu hóa để xác định:

a) các cấu phần dịch vụ và các hạng mục khác nằm trong tầm kiểm soát của quản lý thay đổi;

b) các danh mục thay đổi, bao gồm thay đổi khẩn cấp và cách thức quản lý chúng;

c) tiêu chí để xác định những thay đổi có khả năng có tác động lớn đến khách hàng hoặc dịch vụ.

8.5.1.2  Sự khởi đầu quản lý thay đổi

Các yêu cầu đổi thay, bao gồm cả đề xuất thêm, bớt hoặc chuyển dịch vụ, phải được ghi lại và phân loại.

Tổ chức phải sử dụng thiết kế và chuyển tiếp dịch vụ trong 8.5.2 để:

a) các dịch vụ mới có khả năng tác động lớn đến khách hàng hoặc các dịch vụ khác được xác định bởi chính sách quản lý thay đổi;

...

...

...

c) các danh mục thay đổi phải được quản lý bằng thiết kế dịch vụ và quá trình chuyển tiếp theo chính sách quản lý thay đổi;

d) loại bỏ một dịch vụ;

e) chuyển giao dịch vụ hiện có từ tổ chức cho khách hàng hoặc bên khác;

f) chuyển giao dịch vụ hiện có từ khách hàng hoặc bên khác sang tổ chức.

Việc đánh giá, phê duyệt, lên lịch trình và xem xét các dịch vụ mới hoặc thay đổi trong phạm vi 8.5.2 phải được quản lý thông qua các hoạt động quản lý thay đổi trong 8.5.1.3.

Các yêu cầu đổi thay không được quản lý thông qua 8.5.2 phải được quản lý thông qua các hoạt động quản lý thay đổi trong 8.5.1.3.

8.5.1.3  Các hoạt động sự quản lý thay đổi

Tổ chức và các bên quan tâm sẽ đưa ra quyết định về việc chấp thuận và mức độ ưu tiên của các yêu cầu đổi thay. Việc ra quyết định phải cân nhắc đến rủi ro, lợi ích kinh doanh, tính khả thi và tác động tài chính. Việc ra quyết định cũng phải xem xét các tác động tiềm tàng của sự thay đổi đối với:

a) các dịch vụ hiện có;

...

...

...

c) các chính sách và kế hoạch theo yêu cầu của tiêu chuẩn này;

d) khả năng, tính khả dụng của dịch vụ, tính liên tục của dịch vụ và bảo mật thông tin;

e) các yêu cầu khác về thay đổi, phiên bản lưu hành và kế hoạch thực hiện.

Các thay đổi được chấp thuận phải được chuẩn bị, xác minh và thử nghiệm nếu có thể. Ngày triển khai đề xuất và các chi tiết triển khai khác cho các thay đổi đã được phê duyệt phải được thông báo cho các bên quan tâm.

Các hoạt động để đảo ngược hoặc sửa chữa một thay đổi không thành công phải được hoạch định và thử nghiệm nếu có thể.

Những thay đổi không thành công phải được điều tra và thực hiện các hành động đã thống nhất.

Tổ chức phải xem xét các thay đổi về tính hiệu quả và thực hiện các hành động đã thống nhất với các bên quan tâm.

Trong các khoảng thời gian hoạch định, yêu cầu hồ sơ thay đổi phải được phân tích để phát hiện các xu hướng. Các kết quả và kết luận rút ra từ phân tích phải được ghi lại và xem xét để xác định các cơ hội cải tiến.

8.5.2  Thiết kế và chuyển tiếp dịch vụ

...

...

...

Việc hoạch định phải sử dụng các yêu cầu dịch vụ cho các dịch vụ mới hoặc đã thay đổi được xác định trong 8.2.2 và phải bao gồm hoặc có tham chiếu đến:

a) quyền hạn và trách nhiệm đối với các hoạt động thiết kế, xây dựng và chuyển tiếp;

b) các hoạt động được thực hiện bởi tổ chức hoặc các bên khác trong phạm vi thời gian;

c) nguồn nhân lực, kỹ thuật, thông tin và tài chính;

d) sự phụ thuộc vào các dịch vụ khác;

e) thử nghiệm cần thiết cho các dịch vụ mới hoặc đã thay đổi;

f) các tiêu chí chấp nhận dịch vụ;

g) đầu ra dự kiến từ việc cung cấp các dịch vụ mới hoặc đã thay đổi, được thể hiện bằng các thuật ngữ có thể đo lường;

h) tác động đến SMS, các dịch vụ khác, các thay đổi theo kế hoạch, khách hàng, người dùng và các bên quan tâm khác.

...

...

...

Đối với các dịch vụ phải được chuyển giao, việc hoạch định cũng phải bao gồm (các) ngày chuyển giao dịch vụ và các hoạt động chuyển dữ liệu, thông tin tư liệu hóa, kiến thức và các cấu phần dịch vụ.

Các Cl chịu ảnh hưởng bởi các dịch vụ mới hoặc thay đổi phải được quản lý thông qua quản lý cấu hình.

8.5.2.2  Thiết kế

Các dịch vụ mới hoặc thay đổi phải được thiết kế và tư liệu hóa để đáp ứng các yêu cầu dịch vụ được xác định trong 8.2.2. Thiết kế phải bao gồm các hạng mục liên quan sau:

a) quyền hạn và trách nhiệm của các bên liên quan đến việc cung cấp các dịch vụ mới hoặc thay đổi;

b) các yêu cầu đối với các thay đổi đối với nguồn nhân lực, kỹ thuật, thông tin và tài chính;

c) các yêu cầu về giáo dục, đào tạo và kinh nghiệm thích hợp;

d) SLA mới hoặc thay đổi, hợp đồng và các thỏa thuận tư liệu hóa khác hỗ trợ các dịch vụ;

e) các thay đổi đối với SMS bao gồm các chính sách, kế hoạch, quá trình, thủ tục, biện pháp và kiến thức mới hoặc đã thay đổi;

...

...

...

g) cập nhật (các) danh mục dịch vụ.

8.5.2.3  Xây dựng và chuyển tiếp

Các dịch vụ mới hoặc thay đổi phải được xây dựng và thử nghiệm để xác minh việc đáp ứng các yêu cầu dịch vụ, phù hợp với thiết kế đã tư liệu hóa và đáp ứng các tiêu chí chấp nhận dịch vụ đã thỏa thuận. Nếu các tiêu chí chấp nhận dịch vụ không được đáp ứng, tổ chức và các bên liên quan phải đưa ra quyết định về các hành động và triển khai cần thiết.

Quản lý phiên bản lưu hành và triển khai phải được sử dụng để triển khai các dịch vụ mới hoặc thay đổi đã được phê duyệt vào môi trường động,

Sau khi hoàn thành các hoạt động chuyển tiếp, tổ chức phải báo cáo cho các bên quan tâm về các kết quả đạt được so với các đầu ra dự kiến.

8.5.3  Quản lý phiên bản lưu hành và triển khai

Tổ chức phải xác định các loại phiên bản lưu hành, bao gồm phiên bản lưu hành khẩn cấp, tần suất và cách quản lý.

Tổ chức phải hoạch định triển khai các dịch vụ mới hoặc thay đổi và các cấu phần dịch vụ vào môi trường động. Việc hoạch định phải được phối hợp với quản lý thay đổi và bao gồm các tham chiếu đến các yêu cầu đổi thay liên quan, các lỗi đã biết hoặc các vấn đề đang được giải quyết thông qua việc phiên bản lưu hành. Việc hoạch định phải bao gồm ngày triển khai mỗi phiên bản lưu hành, các sản phẩm cung cấp và phương pháp triển khai.

Việc phiên bản lưu hành phải được xác minh dựa trên các tiêu chí chấp nhận đã tư liệu hóa và được phê duyệt trước khi triển khai. Nếu các tiêu chí chấp nhận không được đáp ứng, tổ chức và các bên quan tâm phải đưa ra quyết định về các hành động và triển khai cần thiết.

...

...

...

Phải giám sát và phân tích sự thành công hay thất bại của phiên bản lưu hành. Các đo lường phải bao gồm các sự cố liên quan đến việc phiên bản lưu hành trong khoảng thời gian sau khi triển khai một phiên bản lưu hành. Phải ghi lại và xem xét các kết quả và kết luận rút ra từ phân tích để xác định các cơ hội cải tiến.

Thông tin về sự thành công hay thất bại của các phiên bản lưu hành và ngày phiên bản lưu hành trong tương lai phải được cung cấp cho các hoạt động quản lý dịch vụ khác khi thích hợp.

8.6  Giải quyết và hoàn thành

8.6.1  Quản lý sự cố

Sự cố phải:

a) được ghi lại và phân loại;

b) được ưu tiên xem xét tác động và mức độ khẩn cấp;

c) gia tăng nhanh chóng nếu cần;

d) được giải quyết;

...

...

...

Các bản ghi sự cố phải được cập nhật với các hành động được thực hiện

Tổ chức phải xác định các tiêu chí để xác định một sự cố lớn. Các sự cố lớn phải được phân loại và quản lý theo một quá trình tư liệu hóa. Lãnh đạo cao nhất phải được thông báo về các sự cố lớn. Tổ chức phải phân công trách nhiệm giải trình quản lý từng sự cố lớn. Sau khi sự cố đã được giải quyết, sự cố lớn phải được báo cáo và xem xét để xác định các cơ hội cải tiến.

8.6.2  Quản lý yêu cầu dịch vụ

Yêu cầu dịch vụ phải:

a) được ghi lại và phân loại;

b) được ưu tiên;

c) được hoàn thành;

d) được kết thúc.

Các bản ghi yêu cầu dịch vụ phải được cập nhật với các hành động được thực hiện.

...

...

...

8.6.3  Quản lý vấn đề

Tổ chức phải phân tích dữ liệu và xu hướng về các sự cố để xác định các vấn đề. Tổ chức phải thực hiện phân tích nguyên nhân gốc rễ và xác định các hành động tiềm ẩn để ngăn ngừa sự cố xảy ra hoặc tái diễn.

Các vấn đề phải:

a) được ghi lại và phân loại;

b) được ưu tiên;

c) được báo cáo nếu cần;

d) được giải quyết nếu có thể;

e) được kết thúc.

Các bản ghi vấn đề phải được cập nhật với các hành động được thực hiện. Các thay đổi cần thiết để giải quyết vấn đề phải được quản lý theo chính sách quản lý thay đổi.

...

...

...

Trong các khoảng thời gian hoạch định, hiệu quả của việc giải quyết vấn đề phải được giám sát, xem xét và báo cáo.

8.7  Đảm bảo dịch vụ

8.7.1  Quản lý tính sẵn sàng của dịch vụ

Trong các khoảng thời gian hoạch định, các rủi ro đối với tính sẵn sàng của dịch vụ phải được đánh giá và tư liệu hóa. Tổ chức phải xác định các yêu cầu và mục tiêu về tính sẵn sàng của dịch vụ. Các yêu cầu đã thỏa thuận phải xem xét các yêu cầu kinh doanh liên quan, yêu cầu dịch vụ, SLA và rủi ro.

Các yêu cầu và chỉ tiêu về tính sẵn sàng của dịch vụ phải tư liệu hóa và duy trì.

Tính khả dụng của dịch vụ phải được giám sát, kết quả được ghi lại và so sánh với các mục tiêu. Sự không sẵn sàng ngoài kế hoạch phải được điều tra và thực hiện các hành động cần thiết.

CHÚ THÍCH: Các rủi ro được xác định trong 6.1 có thể cung cấp đầu vào cho các rủi ro đối với tính sẵn sàng của dịch vụ, tính liên tục của dịch vụ và bảo mật thông tin..

8.7.2  Quản lý tính liên tục của dịch vụ

Tại các khoảng thời gian hoạch định, các rủi ro đối với tính liên tục của dịch vụ phải được đánh giá và tư liệu hóa. Tổ chức phải xác định các yêu cầu về tính liên tục của dịch vụ. Các yêu cầu đã thỏa thuận phải xem xét các yêu cầu kinh doanh liên quan, yêu cầu dịch vụ, SLA và rủi ro.

...

...

...

a) các tiêu chí và trách nhiệm giải trình đối với việc yêu cầu tính liên tục của dịch vụ;

b) các thủ tục được thực hiện trong trường hợp có sự cố lớn về dịch vụ;

c) các mục tiêu về tính sẵn sàng của dịch vụ khi kế hoạch về tính liên tục của dịch vụ được gọi ra;

d) các yêu cầu khôi phục dịch vụ;

e) các thủ tục để trở lại điều kiện làm việc bình thường.

(Các) kế hoạch về tính liên tục của dịch vụ và danh sách các địa chỉ liên hệ phải có thể truy cập được khi việc truy cập vào vị trí dịch vụ bình thường bị ngăn cản.

Trong các khoảng thời gian hoạch định, (các) kế hoạch về tính liên tục của dịch vụ phải được kiểm tra dựa trên các yêu cầu về tính liên tục của dịch vụ. (Các) kế hoạch về tính liên tục của dịch vụ phải được kiểm tra lại sau những thay đổi lớn đối với môi trường dịch vụ. Kết quả của các thử nghiệm phải được ghi lại. Việc xem xét phải được tiến hành sau mỗi lần kiểm tra và sau khi (các) kế hoạch về tính liên tục của dịch vụ đã được đưa ra. Khi phát hiện thấy thiếu sót, tổ chức phải thực hiện các hành động cần thiết.

Tổ chức phải báo cáo về nguyên nhân, tác động và sự khôi phục khi (các) kế hoạch về tính liên tục của dịch vụ đã được đưa ra.

8.7.3  Quản lý an toàn thông tin

...

...

...

Quản lý có thẩm quyền thích hợp phải phê duyệt chính sách an toàn thông tin liên quan đến tổ chức. Chính sách an toàn thông tin phải tư liệu hóa và xem xét các yêu cầu dịch vụ và nghĩa vụ trong 6.3 c).

Chính sách an toàn thông tin phải được cung cấp khi thích hợp. Tổ chức phải thông báo tầm quan trọng của việc tuân thủ chính sách an toàn thông tin và khả năng áp dụng đối với SMS và các dịch vụ cho những người thích hợp trong:

a) tổ chức;

b) khách hàng và người dùng;

c) các bên cung ứng ngoài, các bên cung ứng nội bộ và các bên quan tâm khác.

8.7.3.2  Kiểm soát an toàn thông tin

Vào các khoảng thời gian hoạch định, các rủi ro về an toàn thông tin đối với SMS và các dịch vụ phải được đánh giá và tư liệu hóa. Các biện pháp kiểm soát an toàn thông tin phải được xác định, thực hiện và vận hành để hỗ trợ chính sách an toàn thông tin và giải quyết các rủi ro an toàn thông tin đã xác định. Các quyết định về kiểm soát an toàn thông tin phải tư liệu hóa.

Tổ chức phải đồng ý và thực hiện các biện pháp kiểm soát an toàn thông tin để giải quyết các rủi ro về an toàn thông tin liên quan đến các tổ chức bên ngoài.

Tổ chức phải giám sát và xem xét tính hiệu quả của các biện pháp kiểm soát an toàn thông tin và thực hiện các hành động cần thiết.

...

...

...

Sự cố an toàn thông tin phải:

a) được ghì lại và phân loại;

b) được ưu tiên xem xét rủi ro an toàn thông tin;

c) gia tăng nhanh chóng nếu cần;

d) được giải quyết;

e) được kết thúc.

Tổ chức phải phân tích các sự cố an toàn thông tin theo loại, khối lượng và tác động đến SMS, dịch vụ và các bên quan tâm. Các sự cố an toàn thông tin phải được báo cáo và xem xét để xác định các cơ hội cải tiến.

CHÚ THÍCH: Bộ tiêu chuẩn ISO/IEC 27000 quy định các yêu cầu và cung cấp hướng dẫn để hỗ trợ việc thực hiện và vận hành hệ thống quản lý an toàn thông tin. ISO/IEC 27013 cung cấp hướng dẫn về việc tích hợp ISO/IEC 27001 và ISO/IEC 20000-1 (tiêu chuẩn này).

9  Đánh giá kết quả thực hiện

...

...

...

Tổ chức phải xác định:

a) những gì cần được giám sát và đo lường đối với SMS và các dịch vụ;

b) các phương pháp giám sát, đo lường, phân tích và đánh giá, nếu có thể, để đảm bảo kết quả hợp lệ;

c) khi nào việc giám sát và đo lường phải được thực hiện;

d) khi nào các kết quả từ việc giám sát và đo lường phải được phân tích và đánh giá.

Tổ chức phải lưu giữ thông tin tư liệu hóa thích hợp làm bằng chứng về kết quả.

Tổ chức phải đánh giá kết quả thực hiện SMS so với các mục tiêu quản lý dịch vụ và đánh giá hiệu quả của SMS. Tổ chức phải đánh giá hiệu quả của các dịch vụ so với các yêu cầu dịch vụ.

9.2  Đánh giá nội bộ

9.2.1  Tổ chức phải tiến hành đánh giá nội bộ theo các khoảng thời gian hoạch định để cung cấp thông tin về việc liệu SMS có:

...

...

...

1) các yêu cầu riêng của tổ chức đối với SMS của tổ chức đó;

2) các yêu cầu của tiêu chuẩn này;

b) được thực hiện và duy trì hiệu quả.

9.2.2  Tổ chức phải:

a) hoạch định, thiết lập, thực hiện và duy trì (các) chương trình đánh giá, bao gồm tần suất, phương pháp, trách nhiệm giải trình, các yêu cầu hoạch định và báo cáo, phải xem xét đến:

1) tầm quan trọng của các quá trình liên quan;

2) những thay đổi ảnh hưởng đến tổ chức;

3) kết quả của các cuộc đánh giá trước đó;

b) xác định các tiêu chí và phạm vi đánh giá cho cho từng cuộc đánh giá;

...

...

...

d) đảm bảo rằng kết quả của các đánh giá được báo cáo cho sự lãnh đạo có liên quan;

e) lưu giữ thông tin tư liệu hóa làm bằng chứng về việc thực hiện (các) chương trình đánh giá và kết quả đánh giá.

CHÚ THÍCH: TCVN ISO 19011 (ISO 19011) cung cấp các hướng dẫn về hệ thống quản lý đánh giá.

9.3  Soát xét của lãnh đạo

Lãnh đạo cao nhất phải xem xét SMS của tổ chức và các dịch vụ, theo các khoảng thời gian đã định, để đảm bảo tính phù hợp, đầy đủ và hiệu quả liên tục.

Việc xem xét của sự lãnh đạo phải bao gồm việc xem xét:

a) trạng thái của các hành động từ các lần soát xét của lãnh đạo trước;

b) các thay đổi về các vấn đề nội bộ và bên ngoài có liên quan đến SMS;

c) thông tin về kết quả thực hiện và hiệu quả của SMS, bao gồm các xu hướng trong:

...

...

...

2) kết quả giám sát và đo lường;

3) kết quả đánh giá;

d) cơ hội cải tiến liên tục;

e) phản hồi từ khách hàng và các bên quan tâm khác;

f) sự tuân thủ và tính phù hợp của chính sách quản lý dịch vụ và các chính sách khác theo yêu cầu của tiêu chuẩn này;

g) đạt được các mục tiêu quản lý dịch vụ;

h) kết quả thực hiện của các dịch vụ;

i) vận hành của các bên khác liên quan đến việc bàn giao dịch vụ;

j) trình độ nguồn nhân lực, kỹ thuật, thông tin và tài chính hiện tại và dự báo, và khả năng nguồn nhân lực và kỹ thuật;

...

...

...

l) những thay đổi có thể ảnh hưởng đến SMS và các dịch vụ.

Đầu ra của việc soát xét của lãnh đạo phải bao gồm các quyết định liên quan đến cải tiến liên tục các cơ hội và bất kỳ nhu cầu thay đổi nào đối với SMS và các dịch vụ.

Tổ chức phải lưu giữ thông tin tư liệu hóa làm bằng chứng về kết quả soát xét của lãnh đạo.

9.4  Lập báo cáo dịch vụ

Tổ chức phải xác định các yêu cầu báo cáo và mục đích.

Các báo cáo về kết quả thực hiện và hiệu quả của SMS và các dịch vụ phải được tạo ra bằng cách sử dụng thông tin từ các hoạt động SMS và việc bàn giao dịch vụ. Lập báo cáo dịch vụ phải bao gồm các xu hướng.

Tổ chức phải đưa ra quyết định và thực hiện các hành động dựa trên những phát hiện trong các lập báo cáo dịch vụ. Các hành động đã thỏa thuận phải được thông báo cho các bên quan tâm.

CHÚ THÍCH: Các báo cáo được yêu cầu được quy định trong các Điều liên quan của tiêu chuẩn này. Các báo cáo bổ sung cũng có thể được tạo ra.

10  Cải tiến

...

...

...

10.1.1  Khi xảy ra sự không phù hợp, tổ chức phải:

a) phản ứng với sự không phù hợp, và nếu có:

1) thực hiện hành động để kiểm soát và sửa chữa;

2) giải quyết hệ quả;

b) đánh giá nhu cầu hành động để loại bỏ các nguyên nhân của sự không phù hợp để nỏ không tái diễn hoặc xảy ra ở nơi khác bằng cách:

1) xem xét sự không phù hợp;

2) xác định nguyên nhân của sự không phù hợp;

3) xác định xem sự không phù hợp tương tự có tồn tại hoặc có khả năng xảy ra hay không;

c) thực hiện bất kỳ hành động cần thiết nào;

...

...

...

e) thực hiện các thay đổi đối với SMS, nếu cần.

Các hành động sửa chữa phải phù hợp với các tác động của sự không phù hợp gặp phải.

10.1.2  Tổ chức phải lưu giữ thông tin tư liệu hóa làm bằng chứng về:

a) bản chất của sự không phù hợp và bất kỳ hành động tiếp theo nào được thực hiện;

b) kết quả của bất kỳ hành động sửa chữa nào.

10.2  Cải tiến liên tục

Tổ chức phải liên tục cải thiện tính phù hợp, đầy đủ và hiệu quả của SMS và các dịch vụ.

Tổ chức phải xác định các tiêu chí đánh giá để áp dụng cho các cơ hội cải tiến khi đưa ra quyết định phê duyệt. Tiêu chí đánh giá phải bao gồm sự phù hợp của cải tiến với các mục tiêu quản lý dịch vụ.

Các cơ hội để cải tiến phải được ghi lại. Tổ chức phải quản lý các hoạt động cải tiến đã được phê duyệt bao gồm:

...

...

...

b) đảm bảo rằng các cải tiến được ưu tiên, hoạch định và thực hiện;

c) thực hiện các thay đổi đối với SMS, nếu cần;

d) đo lường các cải tiến đã thực hiện so với (các) mục tiêu đã đặt ra và khi (các) mục tiêu không đạt được, thực hiện các hành động cần thiết;

e) báo cáo về các cải tiến đã thực hiện.

CHÚ THÍCH: Các cải tiến có thể bao gồm các hành động phản ứng và ủng hộ tích cực như sửa chữa, hành động sửa chữa, hành động phòng ngừa, cải tiến, đổi mới và tổ chức lại.

Thư mục tài liệu tham khảo

[1] TCVN ISO 9000 (ISO 9000), Hệ thống quản lý chất lượng - Cơ sở và từ vựng;

[2] TCVN ISO 9001 (ISO 9001), Hệ thống quản lý chất lượng - Các yêu cầu;

...

...

...

[4] ISO 22301, Societal security - Business continuity management systems - Requirements (An ninh xã hội - Hệ thống quản lý tính liên tục trong kinh doanh - Các yêu cầu);

[5] TCVN ISO 31000 (ISO 31000), Quản lý rủi ro - Các hướng dẫn;

[6] ISO 55001, Asset management - Management systems - Requirements (Quản lý tài sản - Hệ thống quản lý - Các yêu cầu);

[7] TCVN 9788 (ISO GUIDE 73), Quản lý rủi ro - Từ vựng;

[8] ISO/IEC 19770-1, Information technology - IT asset management - Part 1: IT asset management systems - Requirements (Công nghệ thông tin - Quản lý tài sản công nghệ thông tin - Phần 1: Hệ thống quản lý tài sản công nghệ thông tin - Các yêu cầu);

[9] ISO/IEC 19770-5, Information technology - IT asset management - Part 5: Overview and vocabulary (Công nghệ thông tin - Quản lý tài sản công nghệ thông tin - Phần 5: Tổng quan và từ vựng);

[10] TCVN 8695-2 (ISO/IEC 20000-2), Công nghệ thông tin - Quản lý dịch vụ - Phần 2: Hướng dẫn áp dụng hệ thống quản lý dịch vụ;

[11] TCVN 8695-3 (ISO/IEC 20000-3), Công nghệ thông tin - Quản lý dịch vụ - Phần 3: Hướng dẫn về định nghĩa phạm vi và khả năng áp dụng của TCVN 8695-1;

[12] ISO/IEC/TR 20000-5, Information technology - Service management - Part 5: Exemplar implementation plan for ISO/IEC 20000-1 (Công nghệ thông tin - Quản lý dịch vụ - Phần 5: Kế hoạch thực hiện mẫu cho ISO/IEC 20000-1);

...

...

...

[14] ISO/IEC 20000-10, Information technology - Service management - Part 10: Concepts and vocabulary (Công nghệ thông tin - Quản lý dịch vụ - Phần 10: Các khái niệm và từ vựng);

[15] ISO/IEC/TR 20000-11, Information technology Service management - Part 11: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: ITIL® (Công nghệ thông tin - Quản lý dịch vụ - Phần 11: Hướng dẫn về mối quan hệ giữa ISO/IEC 20000-1: 2011 và các khung quản lý dịch vụ: ITIL®)[5];

[16] ISO/IEC/TR 20000-12, Information technology - Service management - Part 12: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: CMMI-SVC (Công nghệ thông tin - Quản lý dịch vụ - Phần 12: Hướng dẫn về mối quan hệ giữa ISO/IEC 20000-1: 2011 và các khuôn khổ quản lý dịch vụ: CMMI-SVC)[6];

[17] TCVN 11238 (ISO/IEC 27000), Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng;

[18] TCVN ISO/IEC 27001, Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu;

[19] TCVN 9965 (ISO/IEC 27013), Công nghệ thông tin - Kỹ thuật an ninh - Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1.

[1] Trong một số tiêu chuẩn hệ thống quản lý khác như TCVN ISO 9001, ‘đánh giá’ được định nghĩa là ‘đánh giá'.

[2] Trong TCVN ISO 19011:2018, các thuật ngữ “Bằng chứng đánh giá” và “tiêu chí đánh giá” là các thuật ngữ “Bằng chứng đánh giá” và “tiêu chí đánh giá".

[3] Trong một số tiêu chuẩn hệ thống quản lý khác như TCVN 9001, "tư liệu hóa’ được định nghĩa là ‘được lập thành tài liệu’ hoặc là ‘dạng văn bản’

...

...

...

[5] ITIL là thương hiệu [đã đăng ký] của AXELOS Limited, được sử dụng dưới sự cho phép của AXELOS Limited. Đã đăng ký Bản quyền.

[6] CMMI-SVC là nhãn hiệu đã đăng ký của Viện CMMI.