BỘ THÔNG TIN VÀ TRUYỀN THÔNG
---------

THUYẾT MINH BỘ DỰ THẢO TIÊU CHUẨN QUỐC GIA
VỀ QUẢN LÝ DỊCH VỤ CÔNG NGHỆ THÔNG TIN
----CÔNG NGHỆ THÔNG TIN - QUẢN LÝ DỊCH VỤ - PHẦN 1:
CÁC YÊU CẦU
CÔNG NGHỆ THÔNG TIN – QUẢN LÝ DỊCH VỤ - PHẦN 2:
QUY TẮC THỰC HÀNH

HÀ NỘI - 2010


MỤC LỤC
1 Giới thiệu................................................................................................................3
1.1 Mục đích xây dựng tiêu chuẩn.......................................................................3
1.2 Các nội dung đã nghiên cứu..........................................................................3
2 Tình hình tiêu chuẩn hóa về quản lý dịch vụ công nghệ thông tin trong nước và
ngoài nước................................................................................................................3
2.1. Các tiêu chuẩn quốc tế, khu vực về quản lý dịch vụ công nghệ thông tin....3
2.2. Các quy định, quy chuẩn kỹ thuật của Việt Nam về quản lý dịch vụ Công
nghệ thông tin.......................................................................................................4
3. Lựa chọn tài liệu để xây dựng tiêu chuẩn.............................................................4
4. Giới thiệu về bộ tiêu chuẩn ISO/IEC 20000:2005...............................................10
4.1. Giới thiệu chung..........................................................................................10
4.2. Tóm tắt nội dung..........................................................................................11
4.3. Tình hình ứng dụng tiêu chuẩn ISO/IEC 20000 trên thế giới......................15
4.4. Tình hình áp dụng tiêu chuẩn ISO/IEC 20000:2005 tại Việt Nam...............15
4.5. Lợi ích khi áp dụng ISO 20000:2005...........................................................15
5. Xây dựng dự thảo tiêu chuẩn.............................................................................16


Các tiêu chuẩn quốc tế, khu vực về quản lý dịch vụ công nghệ thông tin

Các tổ chức viễn thông quốc tế và các quốc gia đã nghiên cứu và đưa ra nhiều tài liệu,
tiêu chuẩn trong lĩnh vực công nghệ thông tin như:
•
ISO/IEC 15408 Information Technology - Security Techniques - Evaluation Criteria
for IT Security.
•

ISO/IEC 18028 Information technology - Security techniques - IT network security.

•
ISO/IEC 18045:2005. Information technology - Security Techniques - Methodology
for IT Security Evaluation.
•
ISO/IEC 27000 Information technology - Security techniques - Information security
management systems.
•
ISO/IEC FDIS 19790. Information Technology - Security Techniques - Security
Requirements for Cryptographic Modules.
•
ISO/IEC NP 24759. Information Technology - Security Techniques – test
Requirements for Cryptographic Modules.
•
ISO/IEC TR 15443-1:2005 Information technology - Security techniques - A
framework for IT security assurance.
•
ISO/IEC 20000-2005: Information Technology - Service Management- Part 1:
Specification and Part 2: Code of Practice.
•

TCVN 7563-4:2005 Công nghệ thông tin. Từ vựng. Phần 4: Tổ chức dữ liệu
TCVN 7563-8:2005 Công nghệ thông tin. Từ vựng. Phần 8: An ninh
Luật công nghệ thông tin do Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa
XI, kỳ họp thứ 09 thông qua tháng 11 năm 2006.
3. Lựa chọn tài liệu để xây dựng tiêu chuẩn
3.1. Phân tích các tài liệu tiêu chuẩn
Hiện nay trên thế giới có một số mô hình quản lý dịch vụ CNTT đang được áp dụng một
cách thông dụng trên thế giới như: ITIL, CobiT và tiêu chuẩn mới nhất về CNTT hiện nay
là ISO/IEC 20000:2005
•
ITIL (Information Technology Infrastructure Library - Thư viện hạ tầng cơ sở
CNTT):
Đây là mô hình quản lý IT theo chuẩn Anh: mô tả toàn diện các quy trình liên quan đến
việc quản lý CNTT. ITIL được phát triển đầu tiên bởi CCTA - một cơ quan chính phủ của
Anh. Nhưng đến nay nó đã được thừa nhận và sử dụng phổ biến trên toàn thế giới như là
một chuẩn thực hành trong việc cung cấp dịch vụ công nghệ thông tin (IT Service). Mặc
dù ITIL bao trùm trên một số lĩnh vực khác nhau nhưng nó được tập trung chủ yếu trong
lĩnh vực quản lý dịch vụ công nghệ thống tin. Hiện nay ITIL được coi như tiêu chuẩn mặc
định áp dụng cho việc quản lý chất lượng dịch vụ cho hệ thống CNTT và đã được áp
dụng rộng rãi tại rất nhiều công ty, tổ chức như Microsoft, IBM, HP, doanh nghiệp ANZ,

4


Bank of America, ABN-AMRO Bank, Bank of Canada, HSBC, Ngân hàng VPBank,
Ngân hàng VIB, Techcombank,..
ITIL mạnh về các quy trình hỗ trợ và quy trình cung cấp dịch vụ IT nhưng yếu trong các
quy trình kiểm soát an toàn.
ITIL chủ yếu tập trung hệ thống hóa quản lý các hoạt động IT theo các nhóm dịch vụ.
•

quán giữa phần 1 và phần 2, sự chuẩn hoá của các điều khoản và sự rõ ràng mạch lạc của
văn bản.
ISO/IEC 20000 thích hợp với mọi loại hình của doanh nghiệp và giúp cho doanh nghiệp:
- Giảm thiểu rủi ro trong quảng bá hoạt động của doanh nghiệp
- Đáp ứng các yêu cầu khi tham gia đấu thầu

5


- Đảm bảo chất lượng dịch vụ
- Mang lại dịch vụ tốt nhất cho doanh nghiệp
ISO/IEC 20000:2005 gồm tập hợp các tư liệu hỗ trợ cho các quy trình:
• Quy trình cung ứng (phân phối) dịch vụ - Service Delivery Processes
+ Quản lý dung lượng
+ Quản lý tính sẵn sàng và tính liên tục của dịch vụ
+ Quản lý mức dịch vụ
+ Lập báo cáo dịch vụ.
+ Quản lý an toàn thông tin
+ Lập dự thảo ngân sách và tính toán chi phí cho các dịch vụ IT
• Quy trình tạo lập mối quan hệ - Relationship Processes:
+ Quản lý quan hệ kinh doanh
+ Quản lý nhà phân phối
• Quy trình điều khiển (kiểm soát) - Control Processes
+ Quản lý cấu hình
+ Quản lý thay đổi
• Quy trình giải quyết vấn đề - Resolution Processes:
+ Quản lý sự cố
+ Quản lý vấn đề
• Quy trình sản xuất phần mềm
+ Quản lý phần mềm

dịch vụ công nghệ thông tin.

Ứng dụng: Kiểm soát và Quản lý CNTT

Ứng dụng: Quản lý Dịch Vụ CNTT

Ứng dụng: Quản lý Dịch Vụ CNTT theo
ISO

Tương thích với các tiêu chuẩn quản lý - ITIL là cơ sở để tổ chức tiêu chuẩn chất - Phù hợp với chuẩn ITIL: Về cơ bản
khác như ISO 9001:2000, ITIL, ISO lượng ISO xây dựng tiêu chuẩn ISO 20000 ISO/IEC 20000 bao gồm các quy trình về
27001, 27002.
về quản trị dịch vụ CNTT.
quản lý dịch vụ CNTT đầy đủ hơn ITIL.
- ITIL hoạt động rất hiệu quả với ISO/IEC Giúp cho các doanh nghiệp vừa thực hiện
được mô hình quản lý IT theo các quy
27002 (ISO/IEC 17799:2005).
trình như chuẩn ITIL vừa giúp các doanh
- ITIL có thể được ánh xạ tới CobiT, hai nghiệp IT có được chứng nhận ISO.
chuẩn này bổ sung cho nhau: nếu CobiT
cho các tổ chức những gì để làm gì trong - ISO 20000 sử dụng cách tiếp cận theo
việc phân phối và các lĩnh vực hỗ trợ, thì Quy trình, hoàn toàn phù hợp với các
ITIL thực hành tốt nhất giúp các tổ chức chuẩn như CoBiT, ISO 27001:2005, ISO
xác định cách để cung cấp các yêu cầu 9001:2000 và ISO 14001:2004, bao gồm
Kế hoạch-Do-Check-Act (PDCA) và yêu
này.
cầu về chu trình cải tiến liên tục.

7


Availability Management

availability management

Quản lý việc đầu tư IT

IT Financial Management

Budgeting and accounting for IT services

Quản lý Capacity

Capacity Management

Capacity management

Đảm bảo an toàn hệ thống

IT Security Management

Information security management
Business relationship management

Quản lý nguồn nhân lực IT
Quản lý sự cố

Supplier management
Incident Management

Incident management


3.3. Lựa chọn tài liệu xây dựng tiêu chuẩn
Qua phân tích và so sánh các tiêu chuẩn về quản lý dịch vụ CNTT đã nêu ở trên,
Nhóm chủ trì dự thảo tiêu chuẩn thấy rằng: ngoài việc phù hợp với chuẩn ITIL,
CoBiT thì chuẩn ISO/IEC 20000 hoàn toàn tương thích với các tiêu chuẩn quản lý
khác như ISO 9001:2000, TCVN ISO 9001:2000 và ISO 14001:2004, ISO/IEC
27001 nhằm đảm bảo sự thống nhất và thành công khi triển khai cùng lúc các tiêu
chuẩn quản lý khác nhau. Mặt khác việc áp dụng chuẩn ISO/IEC 20000 còn giúp
các doanh nghiệp, tổ chức hiện đang sử dụng mô hình ITIL hoặc CoBiT hoặc chưa
sử dụng một trong hai chuẩn ITIL hoặc CoBiT mang lại những lợi ích sau:
- Quản lý dịch vụ theo chuẩn nhằm mang lại chất lượng dịch vụ tốt nhất cho doanh
nghiệp.
- Áp dụng một hệ thống đảm bảo chất lượng được chứng nhận → điều này giúp họ
củng cố thêm lòng tin, cải thiện mối quan hệ và hình ảnh của họ đối với các tổ chức
và cá nhân, đánh giá được hệ thống, các quy trình quản lý, chất lượng dịch vụ và sự
hài lòng của khách hàng theo các chuẩn mực hay mục tiêu chất lượng cụ thể.
Kết luận: Tiêu chuẩn ISO/IEC 20000 là chuẩn mới nhất về quản lý dịch vụ CNTT
hiện đang được áp dụng rộng rãi trên thế giới, phù hợp với rất nhiều chuẩn về quản
lý CNTT và các chuẩn về quản lý khác. Nhóm chủ trì dự thảo tiêu chuẩn quyết định
chọn tiêu chuẩn ISO/IEC 20000-2005: Information Technology - Service
Management- Part 1: Specification và Part 2: Code of Practice làm tài liệu tham
chiếu gốc để xây dựng tiêu chuẩn quốc gia về quản lý dịch vụ công nghệ thông tin.
4. Giới thiệu về bộ tiêu chuẩn ISO/IEC 20000:2005
4.1.

Giới thiệu chung

ISO/IEC 20000 tiêu chuẩn mới về quản lý dịch vụ công nghệ thông tin được tổ
chức tiêu chuẩn hoá quốc tế (ISO) cùng với Ủy ban kỹ thuật điện quốc tế (IEC) ban
hành ngày 15/12/2005. Tiêu chuẩn này thay thế cho tiêu chuẩn cũ BS 15000 của

nhất để quản lý dịch vụ CNTT đang được các tổ chức, quốc gia trên thế giới áp
dụng rộng rãi. Bộ tiêu chuẩn này cũng có thể là sở cứ cho các nhà quản lý trong
Quy trình giám sát doanh nghiệp công nghệ thông tin.
Nội dung chính của bộ tiêu chuẩn ISO/IEC 20000 bao gồm:
- Tiêu chuẩn ISO 20000-1 Công nghệ thông tin - Quản lý dịch vụ. Phần 1: Các yêu
cầu (Information Technology - Service Management. Part 1: Specification) - quy
định các yêu cầu đối với việc quản lý công nghệ thông tin và áp dụng đối với những
người chịu trách nhiệm đề xướng, thực hiện hoặc duy trì việc quản lý dịch vụ công
nghệ thông tin trong tố chức của họ.
- Tiêu chuẩn ISO 20000-2: Công nghệ thông tin - Quản lý dịch vụ. Phần 2: Quy
phạm thực hành (Information Technology - Service Management. Part 2: Code of
practice) - hướng dẫn cho đánh giá viên và hỗ trợ các nhà cung cấp dịch vụ nhằm
hoạch định ra các cải tiến cho dịch vụ hoặc đã được đánh giá dựa trên yêu cầu kỹ
thuật của ISO 20000-1.
Tiêu chuẩn ISO/IEC 20000:2005 được trình bày trong hai phần bao gồm:

Phần 1: Các yêu cầu

Phần 2: Quy phạm thực hành

1. Phạm vi

1. Phạm vi

2. Định nghĩa và thuật ngữ

2. Định nghĩa và thuật ngữ

3. Các yêu cầu đối với một hệ thống quản 3. Các yêu cầu đối với một hệ thống quản
lý

các dịch vụ (thực hiện).
các dịch vụ (thực hiện).
4.3 Kiểm tra và giám sát (kiểm tra).

4.3 Kiểm tra và giám sát (kiểm tra).

4.4 Cải tiến liên tục (hành động)

4.4 Cải tiến liên tục (hành động)

4.4.1 Chính sách

4.4.1 Chính sách

4.4.2 Quản lý những cải tiến dịch vụ

4.4.2 Lập kế hoạch cải tiến dịch vụ

4.4.3 Hành động
5. Lập kế hoạch và thực hiện các dịch vụ 5. Lập kế hoạch và thực hiện các dịch vụ
mới hoặc các dịch vụ đã thay đổi
mới hoặc các dịch vụ đã thay đổi
5.1 Các vấn đề cần xem xét
5.2 Các báo cáo về quản lý thay đổi
6. Quy trình cung ứng dịch vụ

6. Quy trình cung ứng dịch vụ

6.1 Quản lý mức dịch vụ


6.4.2 Chính sách
6.4.3 Lập ngân sách
6.4.4 Tính toán chi phí
6.5 Quản lý dung lượng

6.5 Quản lý dung lượng

6.6 Quản lý an toàn thông tin

6.6 Quản lý an toàn thông tin
6.6.1 Tổng quan
6.6.2 Định danh và phân loại các tài sản
thông tin
6.6.3 Đánh giá rủi ro về an toàn thông tin
6.6.4 Những rủi ro đối với an toàn thông
tin
6.6.5 Sự an toàn và tính sẵn sàng của thông
tin
6.6.6 Các biện pháp kiểm soát
6.6.7 Các tài liệu và báo cáo

7. Quy trình tạo lập mối quan hệ

7. Quy trình tạo lập mối quan hệ

7.1 Tổng quan

7.1 Tổng quan

7.2 Quản lý quan hệ kinh doanh

8.2 Quản lý sự cố

8.2 Quản lý sự cố
8.2.1 Khái quát chung
8.2.2 Các sự cố nghiêm trọng

8.3 Quản lý vấn đề

8.3 Quản lý vấn đề
8.3.1 Phạm vi của Quy trình quản lý vấn đề
8.3.2 Khởi tạo Quy trình quản lý vấn đề
8.3.3 Các lỗi đã xác định
8.3.4 Giải quyết vấn đề
8.3.5 Truyền đạt thông tin
8.3.6 Theo dõi và chuyển cấp xử lý các vấn
đề
8.3.7 Kết thúc báo cáo sự cố các vẫn đề
8.3.8 Xem xét lại vấn đề
8.3.9 Các chủ đề cần xem xét lại
8.3.10 Ngăn ngừa vấn đề

9. Quy trình kiểm soát

9. Quy trình kiểm soát

9.1 Quản lý cấu hình

9.1 Quản lý cấu hình
9.1.1 Lập kế hoạch và thực hiện quản lý
cấu hình

phiên bản
10.6 Xác minh và tiếp nhận phiên bản
10.7 Tài liệu
10.8 Giới thiệu, phân phối và cài đặt
10.9 Vấn đề sau phiên bản và giới thiệu
phiên bản

Tài liệu tham khảo
4.3.

Tài liệu tham khảo

Tình hình ứng dụng tiêu chuẩn ISO/IEC 20000 trên thế giới

Trên thế giới, tiêu chuẩn quốc tế ISO/IEC 20000 được sử dụng rất rộng rãi với hai
phiên bản tiếng Anh và tiếng Pháp. Tuy nhiên một số quốc gia khác đã sử dụng như
tài liệu tham khảo quan trọng để tiến hành xây dựng các tiêu chuẩn tương thích cho
quốc gia như: Nhật, Úc, Hà Lan, Đan Mạch, Tây Ban Nha...
4.4.

Tình hình áp dụng tiêu chuẩn ISO/IEC 20000:2005 tại Việt Nam

Qua khảo sát sơ bộ ý kiến một số cán bộ thuộc các cơ quan, tổ chức như: Trung tâm
CNTT - Ngân hàng Phát triển Việt Nam, BIDV.... công ty VASC, các doanh nghiệp
kinh doanh viễn thông, Internet; Công ty VDC, Công ty Viettel, Gtel và nhiều công ty
lớn khác về việc áp dụng tiêu chuẩn ISO/IEC 20000:2055 tại Việt Nam, thì hầu hết ý
kiến phản hồi cho thấy tiêu chuẩn này là rất cần thiết vì nó hoàn toàn phù hợp với
chuẩn ITIL (một trong những chuẩn về quản lý dịch vụ hiện đang được áp dụng rộng
rãi trên thế giới cũng như tại Việt nam, đặc biệt là trong lĩnh vực ngân hàng). Mặt
khác, chuẩn này hoàn toàn tương thích với các tiêu chuẩn quản lý khác như ISO

hài lòng của khách hàng theo các chuẩn mực hay mục tiêu chất lượng cụ thể;
5. Xây dựng dự thảo tiêu chuẩn
Dự thảo tiêu chuẩn được xây dựng trên cơ sở chấp thuận áp dụng nguyên vẹn tiêu
chuẩn ISO/IEC 20000:2005 phần 1 và phần 2. Tại thời điểm này ISO/IEC
20000:2005 chưa được rà soát, cập nhật, vì vậy, phiên bản ISO/IEC 20000:2005 là
phiên bản mới nhất có thể sử dụng.

16