新一代CIO不可不知的最佳實作——ITIL

ITIL從1980年代萌芽以來，經歷了幾次改版，並且在2005年12月正式成為國際標準，也就是ISO20000，其中共有10多個管理流程貫串著，主要是希望提供IT服務管理一個有效的方法，目前由ITIL所延伸出來的標準，還有英國的BS15000 、澳洲的AS8018，而南非也在制定當中。

然而，ITIL是什麼呢，這個問題可以追溯到1980年代的英國，當初英國政府為了提供IT部門一個有效而且可以依循的運作標準，於是委由中央電腦暨電信管理中心（CCTA），也就是英國商務辦公室（OGC）的前身開始進行研究，隨後便發布了一系列的參考指南（書）。

ITIL的兩大核心Service Support與Service Delivery
時序至今，ITIL所包含的內容，其實就是資訊服務支援（Service Support）以及資訊服務交付（Service Delivery）兩大核心，從中延伸出來的了10個IT服務管理流程以及1個服務功能（Service Desk），有時候也會被解讀成11個流程，重要的是，ITIL不僅已經變成國際標準，同時也是IT服務管理的最佳實作與方法論。其中的Service Support，除了涵蓋事件與問題的流程管理以外，還包括了變更、組態以及上線等流程管理；Service Delivery方面，則是針對服務等級、可用性以及IT服務持續性的管理，除此之外，容量管理與財務管理也都是其中的一環。

而Service Support與Service Delivery的不同，在於Service Support可以適用在企業每天的營運流程中，不論什麼事件發生，都需要透過這些流程串連，來達到資訊服務支援的目的，Service Delivery則是屬於戰術性的流程，也就是說，企業可以按照不同的需求與急迫性，來強化資訊服務交付能力，例如日月光、宏碁eDC雖然都已經導入了服務等級管理，但是財務管理部分要不要涵括進來還要評估。

然而，不論是Service Support或是Service Delivery，都相當強調流程、量化指標、追蹤、記錄、持續調整、報告產出等，所以，才會以組態管理資料庫（CMDB）為基礎，並且記錄所有的事件處理與變更，而ITIL的最高目標，則是要能滿足IT使用者需求，同時並提高IT服務的價值，其中所憑藉的依據，就是企業所訂立的各種服務等級設定。

IT服務流程決定了輸出品質
事實上，IT服務就如同一個產品，而流程就是品質好壞的關鍵，ITIL雖然已經提供了10個流程與1個服務功能，但這些都只是提供給企業的一個框架，框架裡面的內容，例如，組態管理的內容項目或是服務等級協定的標準、變更管理的實施步驟等等，就是企業自己本身要去規畫的範疇。

現在，讓我們用一個簡單的例子，來串連ITIL所包含的10個流程與服務功能。某一天，電子郵件發生故障的時候，我們會打電話到「服務臺」，然後告知服務臺電子郵件不能使用的情況，如果服務臺沒有辦法根據標準作業流程來處理，就代表一個新的「事件」產生，然後相關人員會開始進行「問題」追蹤，試圖找出原因，這個時候，可能會發現電子郵件無法使用的原因，是來自於郵件伺服器的「容量」不足，以致於無法符合「服務等級」的品質要求，進而需要升級郵件伺服器，然而「變更」決定形成以後，究竟什麼時候要進行系統升級、升級的步驟是什麼、升級作業會對誰產生影響、失敗了怎麼辦等等因素都評估過後，才是正式「上線」，上線之後還要進行「組態」更新，也就是把變更的系統元件等鉅細靡遺地記錄到組態管理資料庫中，而這些事情完成以後，還需要「持續」規畫並且追蹤使用情況，然後才能進一步評估系統的「可用性」以及「財務」需求。

ITIL與ISO20000有什麼不同？
當IT服務管理逐漸遵循ITIL的方法論之後，2000年有了一個突破性的發展，就是英國標準協會（BSI）在IT服務管理論壇（itSMF）上，正式揭露了以ITIL為核心的國家標準BS15000，也就是ISO20000的前身，然而，值得注意的是，ITIL從國家標準進展到國際標準，其實是一個相當快的過程，國際標準組織甚至是以快速表決通過（fast track）的方式來推動，所以，才能在2005年中表決通過後，2005年12月就正式發布。

基本上，ISO20000就是從BS15000延伸而來，兩者之間的整體框架沒有什麼不同，但是ITIL與ISO20000之間的框架，卻有些微的差距存在。整體來說，ITIL是10個管理流程（不含Service Desk），ISO20000／BS15000則是13個管理流程，其中新增的商業關係管理（Business Management）與供應商管理（Supplier Management），對於ITIL來說，已經同時包含在服務等級管理（Service Level Management）之中，另外，ISO20000新增的服務報告（Service Reporting），事實上也涵蓋在ITIL的每個管理流程當中，因為量化指標本來就是ITIL的訴求之一，也是衡量IT服務管理的依據。

在這樣的前提下，ITIL與ISO20000／BS15000之間，雖然具有些微的不同，但實質上並沒有什麼差距。此外，ISO20000的管理流程，雖然沒有把「安全」納入其中，但是ISO20000的條文中明確指出，企業的資訊安全只要符合BS7799，就可以滿足ISO20000的資訊安全要求，前提是企業導入BS7799的範疇，必須大於或等於ISO20000的導入範疇，否則就算整個IT部門符合ISO20000的標準，但是BS7799的導入只有侷限在IT部門的某些單位，也是無法符合ISO20000的標準。

ITIL導入的成功關鍵
而企業在導入ITIL的過程中，也必須注意可能會面臨到的問題，例如，落實的範圍太大，可能會造成後繼無力的情況發生，而避免這個問題最好的方法，就是「分階段導入」，一般來說，從最核心的部分開始導入，會是最有效並且可以降低失敗機率的方法，否則ITIL的導入工作，至少都要兩年以上，甚至是5年才能開始發揮整體效益，對於臺灣的企業來說，可能沒有辦法接受。

除此之外，「管理階層的決心」也是不可或缺的一環，因為管理階層如果缺乏貫徹始終的決心，往往是稽核商以及顧問所看到的一些導入失敗原因，事實上，任何一個IT導入的過程中，高層主管的決心都相當重要，對於ITIL的導入來說更是如此，並不是一個老調重彈的觀念而已，因為ITIL所需要耗費的時間以及流程上的調整，如果沒有辦法得到公司高層的認可，就算能有短期的效益出現，最終也會因為沒有「持續落實」而導致失敗。

在決定導入ITIL的過程中，企業也要避免「為了導ITIL而導」的風潮追逐，否則很容易陷入技術導向的窘境。一般來說，ITIL的導入工作，並非一天兩天就能完成，因此，CIO或是IT部門應該要從組織發展的角度來評估，如果能夠掌握到未來3～5年的中長期發展則會更好，這將使得IT的整體規畫，更能貼近企業營運目標的需求。

>>IT部門的苦惱
當企業對IT的倚賴與日俱增之際，IT的發展已經逐漸標準化、自動化；過去，IT部門只要透過軟硬體支援企業營運即可，現在卻要轉換成IT必須符合商業需求的角度思考，甚至還要成為一個利潤中心，而這些因素都驅動著IT基礎架構服務必須更有系統、更趨向標準化、而且更有效率，同時也就是ITIL所強調的精髓。

IT流程的成熟度