TIÊU CHUẨN QUỐC GIA
TCVN 8695-3.2023
ISO/IEC 20000-3:2019
CÔNG NGHỆ THÔNG TIN - QUẢN LÝ DỊCH VỤ - PHẦN 3: HƯỚNG DẪN VỀ XÁC ĐỊNH PHẠM VI VÀ KHẢ NĂNG ÁP DỤNG CỦA TCVN 8695-1 (ISO/IEC 20000-1)
Information technology - Service management - Guidance on scope definition and applicability of ISO/IEC 20000-1
Lời nói đầu
TCVN 8695-3:2023 hoàn toàn tương đương với ISO/IEC 20000-3:2019.
TCVN 8695-3:2023 do Ban kỹ thuật tiêu chuẩn quốc gia TCVN/JTC 1 “Công nghệ thông tin” biên soạn, Viện Tiêu chuẩn Chất lượng Việt Nam đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.
Bộ TCVN 8695 (ISO/IEC 20000) Công nghệ thông tin - Quản lý dịch vụ gồm các tiêu chuẩn sau:
- TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), Phần 1: Yêu cầu hệ thống quản lý dịch vụ;
- TCVN 8695-2:2023 (ISO/IEC 20000-2:2019/Amd 1:2020), Phần 2: Hướng dẫn áp dụng hệ thống quản lý dịch vụ;
- TCVN 8695-3:2023 (ISO/IEC 20000-3:2019), Phần 3: Hướng dẫn về xác định phạm vi và khả năng áp dụng của TCVN 8695-1 (ISO/IEC 20000-1).
Bộ ISO/IEC 20000 Information technology - Service management còn các tiêu chuẩn sau:
- ISO/IEC TS 20000-5:2022, Part 5: Implementation guidance for ISO/IEC 20000-1;
- ISO/IEC 20000-6:2017, Part 6: Requirements for bodies providing audit and certification of service management systems;
- ISO/IEC 20000-10:2018, Part 10: Concepts and vocabulary;
- ISO/IEC TS 20000-11:2021, Part 11: Guidance on the relationship between ISO/IEC 20000-1 and service management frameworks: ITIL®.
CÔNG NGHỆ THÔNG TIN - QUẢN LÝ DỊCH VỤ - PHẦN 3: HƯỚNG DẪN VỀ XÁC ĐỊNH PHẠM VI VÀ KHẢ NĂNG ÁP DỤNG CỦA TCVN 8695-1 (ISO/IEC 20000-1)
Information technology - Service management - Guidance on scope definition and applicability of ISO/IEC 20000-1
1 Phạm vi áp dụng
Tiêu chuẩn này bao gồm hướng dẫn về xác định phạm vi và khả năng áp dụng cho các yêu cầu quy định trong TCVN 8695-1 (ISO/IEC 20000-1).
Tiêu chuẩn này có thể hỗ trợ việc thiết lập xem liệu TCVN 8695-1 (ISO/IEC 20000-1) có thể áp dụng cho bối cảnh của tổ chức hay không. Nó minh họa cách xác định phạm vi của SMS, bất kể tổ chức có kinh nghiệm xác định phạm vi của các hệ thống quản lý khác hay không.
Hướng dẫn trong tiêu chuẩn này có thể hỗ trợ tổ chức hoạch định và chuẩn bị cho việc đánh giá sự phù hợp theo tiêu chuẩn TCVN 8695-1 (ISO/IEC 20000-1).
Phụ lục A bao gồm các ví dụ về các tuyên bố phạm vi có thể có cho một SMS. Các ví dụ được đưa ra sử dụng một loạt các kịch bản cho các tổ chức từ chuỗi cung ứng dịch vụ rất đơn giản đến phức tạp.
Tiêu chuẩn này có thể được sử dụng bởi nhân viên chịu trách nhiệm giải trình hoạch định triển khai SMS, cũng như các chuyên gia đánh giá và chuyên gia tư vấn. Nó bổ sung hướng dẫn về việc áp dụng SMS được nêu trong TCVN 8695-2 (ISO/IEC 20000-2).
Các yêu cầu đối với cơ quan bàn giao dịch vụ đánh giá và chứng nhận SMS có thể được tìm thấy trong ISO/IEC 20000-6 khuyến nghị sử dụng tiêu chuẩn này.
2 Tài liệu viện dẫn
Các tài liệu viện dẫn dưới đây là cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).
ISO/IEC 20000-10, Information technology - Service management - Part 10: Concepts and vocabulary (Công nghệ thông tin - Quản lý dịch vụ - Phần 10: Khái niệm và từ vựng )
3 Các thuật ngữ và định nghĩa
Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa đưa ra trong ISO/IEC 20000-10 .
4 Đáp ứng các yêu cầu trong TCVN 8695-1
4.1 Cấu trúc của SMS
Hình 1 minh họa một SMS thể hiện nội dung các Điều của TCVN 8695-1 (ISO/IEC 20000-1). Nó không đại diện cho một cấu trúc phân cấp, trình tự hoặc các mức quyền hạn. Nó chỉ ra các yêu cầu trong TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), Điều 8, Vận hành SMS, được chia thành các Điều đề phản ánh vòng đời dịch vụ. Các Điều thường được coi là các quá trình quản lý dịch vụ. Các quá trình quản lý dịch vụ và mối quan hệ giữa các quá trình có thể được các tổ chức thực hiện theo những cách khác nhau. Mối quan hệ giữa mỗi tổ chức với khách hàng, người sử dụng và các bên quan tâm khác ảnh hưởng đến cách thức thực hiện các quá trình quản lý dịch vụ.
Hình 1 - Hệ thống quản lý dịch vụ
Cấu trúc của các Điều trong TCVN 8695-1 (ISO/IEC 20000-1) nhằm cung cấp một trình bày nhất quán về các yêu cầu, chứ không phải là một mô hình ghi lại các chính sách, mục tiêu và quá trình của tổ chức. Tên quá trình có thể khác với tên quá trình được sử dụng trong TCVN 8695-1 (ISO/IEC 20000-1) với điều kiện đáp ứng tất cả các yêu cầu. Các quá trình có thể được kết hợp hoặc tách ra theo nhiều cách khác nhau từ cấu trúc Điều được liệt kê trong TCVN 8695-1 (ISO/IEC 20000-1).
Không có yêu cầu đối với các thuật ngữ được sử dụng do tổ chức phải được thay thế bằng các thuật ngữ sử dụng trong tiêu chuẩn này. Các tổ chức có thể chọn sử dụng các Điều phù hợp với hoạt động của mình. Ví dụ, quản lý thay đổi và quản lý phiên bản lưu hành và triển khai có thể được kết hợp thành một quá trình.
Việc lập bản đồ các tên quá trình của tổ chức với các yêu cầu trong TCVN 8695-1 (ISO/IEC 20000-1) có thể giúp đánh giá viên hiểu được cách thực hiện các yêu cầu đó. Một SMS được thiết kế bởi một tổ chức tuyên bố phù hợp với TCVN 8695-1 (ISO/IEC 20000-1), không thể loại trừ bất kỳ yêu cầu nào được quy định trong TCVN 8695-1 (ISO/IEC 20000-1).
4.2 Chứng minh sự phù hợp
Một tổ chức chỉ có thể khẳng định sự phù hợp bằng cách đáp ứng tất cả các yêu cầu quy định trong TCVN 8695-1 (ISO/IEC 20000-1). Sự phù hợp với các yêu cầu quy định trong TCVN 8695-1 (ISO/IEC 20000-1) có thể được tổ chức chứng minh bằng cách đưa ra bằng chứng về:
a) việc hoàn thành các yêu cầu;
b) kiểm soát đối với các bên khác có liên quan đến việc thực hiện các hoạt động hỗ trợ SMS.
Một số hoặc tất cả các yêu cầu của các Điều từ 6 đến 10, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), có thể được các bên khác đáp ứng, miễn là tổ chức có thể chứng minh các biện pháp kiểm soát đối với các bên khác đó. Ví dụ, các bên khác có thể được sử dụng để thực hiện đánh giá nội bộ.
TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), tổ chức phải tự thực hiện các Điều 4 đến 5. Tuy nhiên, một bên khác có thể thay mặt tổ chức, ví dụ: để chuẩn bị kế hoạch quản lý dịch vụ.
Một ví dụ khác, một tổ chức có thể chứng minh bằng chứng về các biện pháp kiểm soát đối với các quá trình được vận hành bởi các bên khác hoặc các dịch vụ được thuê ngoài. Điều quan trọng là tổ chức phải hiểu các hoạt động nào phải được thực hiện bởi các bên khác để hỗ trợ SMS.
4.3 Các cơ quan có quyền hạn và trách nhiệm trong toàn bộ chuỗi cung ứng dịch vụ
Điều quan trọng là tổ chức phải xác định rõ ràng quyền hạn và trách nhiệm cho tất cả các chuỗi cung ứng dịch vụ nội bộ.
Tổ chức phải duy trì quyền kiểm soát vận hành và trách nhiệm giải trình đối với các dịch vụ trong phạm vi SMS như được mô tả trong 5.1, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), nhưng có thể sử dụng các bên khác để hỗ trợ các yêu cầu này.
Tổ chức phải chứng minh rằng lãnh đạo cao nhất đáp ứng các yêu cầu quy định trong Điều 5, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018). Tổ chức phải chứng minh rằng các dịch vụ hỗ trợ việc thực hiện các mục tiêu quản lý dịch vụ.
Điều quan trọng là tổ chức phải đảm bảo có sự rõ ràng về quyền hạn và trách nhiệm đối với các dịch vụ và các cấu phần dịch vụ cũng như các quá trình hoặc các phần của quá trình, cung cấp hoặc vận hành bởi tất cả các bên. Điều này bao gồm xác định trong hợp đồng hoặc thỏa thuận tư liệu hóa, trách nhiệm giải trình thực hiện các yêu cầu dịch vụ.
Tổ chức nên:
a) xác định và ghi lại tất cả các dịch vụ, cấu phần dịch vụ, quá trình hoặc các phần của quá trình trong phạm vi của SMS, bao gồm cả những dịch vụ được cung cấp bởi các bên khác;
b) xác định các bên vận hành dịch vụ nào, cấu phần dịch vụ, quá trình hoặc các phần của quá trình;
c) chứng minh các biện pháp kiểm soát đối với các bên khác được xác định trong a) và b) (xem 8.2.3, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018)).
5 Khả năng áp dụng của TCVN 8695-1
5.1 Các nguyên tắc áp dụng
5.1.1 Khả năng áp dụng
Tất cả các yêu cầu trong TCVN 8695-1 (ISO/IEC 20000-1) là khái quát và áp dụng cho tất cả các tổ chức, bất kể loại hình hoặc quy mô của tổ chức hay bản chất của các dịch vụ được cung cấp. TCVN 8695-1 (ISO/IEC 20000-1) có nguồn gốc từ công nghệ thông tin và nhằm mục đích quản lý dịch vụ của các dịch vụ sử dụng công nghệ và thông tin số. Các ví dụ được đưa ra trong tiêu chuẩn này minh họa nhiều cách sử dụng của TCVN 8695-1 (ISO/IEC 20000-1).
Điều 1.2, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), mô tả việc áp dụng tiêu chuẩn.
5.1.2 Tổ chức
Tổ chức trong phạm vi của SMS cần được xác định chính xác.
Chứng chỉ TCVN 8695-1 (ISO/IEC 20000-1) thường phải được cấp cho một pháp nhân duy nhất, thay vì một nhóm các pháp nhân không liên quan khác nhau. Xem thêm 6.2.4.
5.1.3 Tình trạng thương mại
Dịch vụ có thể được chuyển giao trên cơ sở thương mại hoặc phi thương mại. Cơ sở tài chính của bàn giao dịch vụ không liên quan đến khả năng áp dụng của TCVN 8695-1 (ISO/IEC 20000-1) hoặc phạm vi của SMS.
Tổ chức không cần sở hữu các tài sản được sử dụng để bàn giao dịch vụ.
5.1.4 Phạm vi
Xác định phạm vi phải nêu những gì đã bao gồm trong phạm vi. Nếu được yêu cầu, để hỗ trợ sự rõ ràng, có thể cũng hữu ích để nêu những gì nằm ngoài phạm vi.
Phạm vi của SMS phải được thể hiện cho nhân viên, các khách hàng và các khách hàng tiềm năng theo yêu cầu. Do đó, cần phải rõ ràng đưa ra một dấu hiệu minh bạch về các dịch vụ và tổ chức trong phạm vi.
5.1.5 Các yêu cầu
Tổ chức phải đáp ứng tất cả các yêu cầu được quy định trong TCVN 8695-1 (ISO/IEC 20000-1) đối với phạm vi của SMS. Một số hoặc tất cả các yêu cầu của các Điều từ 6 đến 10, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), có thể được các bên khác đáp ứng với điều kiện tổ chức có thể chứng minh các biện pháp kiểm soát đối với các bên khác đó. Tuy nhiên, các Điều 4 và 5, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), phải do tổ chức tự thực hiện nhưng có thể được hỗ trợ bởi các bên khác.
5.1.6 Quyền hạn và trách nhiệm
Tổ chức cần nhận thức được tầm quan trọng của sự rõ ràng về quyền hạn và trách nhiệm của chính tổ chức và các bên khác liên quan đến vòng đời dịch vụ. Tổ chức phải duy trì trách nhiệm giải trình đối với tất cả các yêu cầu trong TCVN 8695-1 (ISO/IEC 20000-1) nhưng có thể sử dụng các bên khác để hỗ trợ việc này. Khi có các bên khác tham gia, việc kiểm soát cần được chứng minh đối với việc thực hiện và hiệu quả của sự tham gia của các bên liên quan theo 8.2.3, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018).
5.2 Các bên liên quan đến SMS
5.2.1 Các kiểu bên cung ứng
Các tổ chức có thể sử dụng bất kỳ kiểu kết hợp các bên cung ứng nào để hỗ trợ SMS dựa trên TCVN 8695-1 (ISO/IEC 20000-1).
Tổ chức có thể đáp ứng tất cả các yêu cầu được quy định trong các Điều từ 6 đến 10, TCVN 8695- 1:2023 (ISO/IEC 20000-1:2018) trực tiếp hoặc liên quan đến các bên khác. Các bên khác cung cấp hoặc vận hành dịch vụ, cấu phần dịch vụ hoặc quá trình có thể là:
a) các bên cung ứng nội bộ;
b) các bên cung ứng ngoài;
c) khách hàng đóng vai trò là bên cung ứng.
Một bên cung ứng nội bộ có thể có cùng cơ quan quản lý với tổ chức trong phạm vi SMS nhưng là bên ngoài phạm vi của SMS, ví dụ nguồn nhân lực hoặc mua sắm. Bên Cung ứng nội bộ phải có thỏa thuận tư liệu hóa với tổ chức trong phạm vi SMS, quy định sự đóng góp của bên cung ứng nội bộ đối với SMS và dịch vụ.
Bên Cung ứng ngoài là một tổ chức hoặc một bộ phận bên ngoài tổ chức trong phạm vi của SMS. Nếu tổ chức trong phạm vi SMS là một phần của tổ chức lớn hơn, thì bên cung ứng ngoài nằm ngoài tổ chức lớn hơn. Bên Cung ứng ngoài có thể ký hợp đồng với tổ chức để đóng góp vào việc hoạch định, thiết kế, dịch chuyển, cung cấp và cải tiến dịch vụ. Bởi vì tổ chức có thể có hợp đồng với các bên cung ứng chính không phải là các bên cung ứng ký thầu phụ, các bên cung ứng đầu mối nên quản lý các bên cung ứng ký thầu phụ liên quan đến SMS.
Khách hàng có thể đóng góp vào sự vận hành SMS và bàn giao dịch vụ, cũng như việc tiếp nhận dịch vụ. Ví dụ, một khách hàng có thể quản lý quầy dịch vụ và vận hành một phần của quá trình quản lý sự cố. Sự đóng góp của khách hàng khi đóng vai trò là bên cung ứng phải tuân theo các điều khoản của thỏa thuận tư liệu hóa giữa tổ chức và khách hàng. Thỏa thuận này phải xác định rõ ràng vai trò của khách hàng với tư cách là bên cung ứng và khác biệt với bất kỳ thỏa thuận nào giữa tổ chức và khách hàng về bàn giao dịch vụ. Thỏa thuận liên quan đến bàn giao dịch vụ có thể phụ thuộc vào thỏa thuận với tư cách là khách hàng. Ví dụ khách hàng có thể cung cấp quầy dịch vụ với tư cách là bên cung ứng nhưng trong thỏa thuận nêu rõ rằng họ sẽ ngừng cung cấp quầy dịch vụ (service desk) nếu họ không phải là khách hàng.
Trường hợp bất kỳ khách hàng nào đóng vai trò là bên cung ứng, cần có hai thỏa thuận với khách hàng. Thỏa thuận đầu tiên phải quy định các dịch vụ phải được cung cấp cho (các) dịch vụ tiếp nhận của khách hàng. Thỏa thuận thứ hai phải quy định các điều kiện và kiểm soát của tổ chức đối với khách hàng đóng vai trò là bên cung ứng.
Rủi ro khi khách hàng ngoài đóng vai trò là bên cung ứng là dịch vụ được cung cấp có thể phụ thuộc vào thỏa thuận của khách hàng, ví dụ nếu thỏa thuận với khách hàng bị chấm dứt, thỏa thuận cung cấp các hoạt động của khách hàng đóng vai trò là bên cung ứng cũng có thể bị chấm dứt. Nếu các hoạt động được cung cấp ảnh hưởng đến các khách hàng hoặc các bên quan tâm khác, điều này có thể dẫn đến việc SMS không còn phù hợp. Thông lệ tốt là các thỏa thuận chuyển tiếp được đưa vào thỏa thuận với bên cung ứng trong trường hợp điều này xảy ra.
Tổ chức nên áp dụng các biện pháp kiểm soát đối với tất cả các quá trình, dịch vụ và các cấu phần dịch vụ trong phạm vi của SMS, ngay cả khi các bên khác có liên quan. Điều này được mó tả trong phần 5.3 của tiêu chuẩn này. Trừ khi tổ chức có thể chứng minh các biện pháp kiểm soát cho tất cả các bên, nếu không tổ chức không thể chứng minh sự phù hợp.
5.2.2 Cải tiến SMS và các dịch vụ
Các cơ hội cải tiến có thể được xác định bởi tổ chức hoặc các bên khác. Các cơ hội này được đánh giá và quản lý theo quy định trong 10.2, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018).
VÍ DỤ 1 Tổ chức yêu cầu một bên khác thực hiện các cải tiến về kết quả thực hiện để đạt được các mục tiêu dịch vụ đã thỏa thuận.
VÍ DỤ 2 Bên khác xác định các cải tiến quá trình làm tăng hiệu quả. Những điều này được thảo luận và thống nhất với tổ chức.
5.2.3 Đánh giá và lựa chọn các bên khác
8.2.3.1, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018) quy định rằng tổ chức xác định và áp dụng các tiêu chí để đánh giá và lựa chọn các bên khác liên quan đến vòng đời dịch vụ. Có thể có một số khả năng và tiêu chí chung để đánh giá và lựa chọn các bên khác. Ví dụ các tiêu chí là sự ổn định tài chính, kinh nghiệm thực hiện cùng một loại công việc trước đây, chi phí và khả năng bắt đầu trong khoảng thời gian yêu cầu.
Để xác định đầy đủ các tiêu chí đánh giá, cần phải thiết lập một phạm vi rõ ràng cho SMS và các dịch vụ kế hoạch, các cấu phần dịch vụ hoặc các quá trình được chỉ định cho nhau.
Có thể cần phối hợp các tiêu chí và lựa chọn các bên khác với các nhóm mua sắm hoặc hợp đồng trong tổ chức.
5.3 Kiểm soát các bên khác
5.3.1 Các quá trình, dịch vụ và các cấu phần dịch vụ do các bên khác cung cấp hoặc vận hành
Khi tổ chức sử dụng các bên khác để thực hiện các hoạt động hỗ trợ SMS hoặc bàn giao các dịch vụ trong phạm vi của SMS, tổ chức cần xác định và áp dụng các biện pháp kiểm soát và đo lường cần thiết để đảm bảo đáp ứng các đầu ra thích hợp do lãnh đạo cao nhất xác định.
Tổ chức cần xác định các quá trình hoặc các bộ phận của quá trình, dịch vụ và các cấu phần dịch vụ do các bên khác vận hành hoặc cung cấp. Tổ chức phải đảm bảo rằng các hợp đồng hoặc thỏa thuận tư liệu hỏa bao gồm các biện pháp kiểm soát được áp dụng để quản lý tất cả các bên và áp dụng quản lý bên cung ứng theo 8.3.4, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018). Tầm quan trọng của các biện pháp kiểm soát này được quy định trong 8.2.3, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018).
5.3.2 Trách nhiệm giải trình
Tổ chức phải có trách nhiệm giải trinh về việc đáp ứng các yêu cầu quy định trong TCVN 8695-1 (ISO/IEC 20000-1) đối với tất cả các dịch vụ trong phạm vi SMS. Điều này phải bao gồm trách nhiệm giải trình đối với việc đo lường ,và đánh giá cả kết quả thực hiện của quá trình cũng như tính hiệu quả của các dịch vụ và các cấu phần dịch vụ do các bên khác cung cấp hoặc vận hành.
Ví dụ, một bên khác chịu trách nhiệm giải quyết một sự cố ảnh hưởng đến dịch vụ của khách hàng. Tổ chức trong phạm vi của SMS giữ trách nhiệm giải trình giải quyết sự cố với khách hàng. SMS bao gồm việc áp dụng các biện pháp kiểm soát cho bên kia.
Tổ chức phải đảm bảo rằng các hợp đồng và thỏa thuận với các bên khác cung cấp đầu vào và đầu ra của quá trình và thông tin, và thông tin cần thiết đề hỗ trợ SMS.
Tổ chức cũng phải có khả năng chứng minh rằng lãnh đạo cao nhất cam kết thực hiện, duy trì và vận hành SMS. Điều này nên bao gồm các biện pháp kiểm soát đối với các bên khác có liên quan đến vòng đời dịch vụ.
5.3.3 Tích hợp, giao diện và phối hợp
Tổ chức phải đảm bảo có sự rõ ràng về phạm vi dịch vụ giữa:
a) tổ chức và khách hàng của tổ chức;
b) tổ chức và chuỗi cung ứng dịch vụ của nó.
Điều này phải bao gồm các trách nhiệm giải trình và trách nhiệm cũng như các phương pháp cam kết giữa tổ chức và tất cả các bên có liên quan.
Tổ chức cần tích hợp một cách phù hợp các dịch vụ, các cấu phần dịch vụ và các quá trình do chính tổ chức và các bên khác cung cấp hoặc vận hành. Ví dụ, khi các quá trình có giao diện giữa tổ chức và các bên khác, thì tổ chức phải chứng minh sự tích hợp sao cho tất cả các dịch vụ vận hành đạt được đầu ra dự kiến của chúng. Tương tự, khi các dịch vụ dựa vào các dịch vụ hỗ trợ hoặc các cấu phần dịch vụ từ các bên khác, tổ chức phải có trách nhiệm giải trình tích hợp các dịch vụ để đảm bảo rằng tất cả các phần của dịch vụ đều đáp ứng các yêu cầu dịch vụ.
“Tích hợp dịch vụ” đôi khi được biết đến là tích hợp và quản lý dịch vụ. Nó thúc đẩy quản lý dịch vụ đầu cuối, đặc biệt là trong các chuỗi cung ứng dịch vụ phức tạp. “Bên tích hợp dịch vụ” là một thuật ngữ được sử dụng cho tổ chức hoặc một bộ phận của tổ chức đảm nhận vai trò chủ chốt trong việc quản lý việc tích hợp và điều phối các dịch vụ, các cấu phần dịch vụ hoặc quá trình được cung cấp từ nhiều bên cung ứng. Tổ chức hoặc một trong các bên cung ứng có thể thực hiện vai trò bên tích hợp dịch vụ. Cấu trúc tích hợp dịch vụ cung cấp khả năng quản trị, quản lý, tích hợp, đảm bảo và phối hợp để đảm bảo tổ chức khách hàng nhận được giá trị tối đa từ các bên cung ứng.
Tổ chức cần chứng minh rõ ràng cách tổ chức đo lường và đánh giá các tương tác này với các bên khác (và các kết quả thu được). Điều này có thể bao gồm những tương tác giữa các quá trình khác nhau, cũng như giữa các phần của quá trình do các bên khác hỗ trợ SMS của tổ chức cung cấp. Định nghĩa về các tương tác phải bao gồm các trình kích hoạt quá trình, phương pháp tương tác, thông tin được trao đổi và bất kỳ mức dịch vụ nào được liên kết (chẳng hạn như thời gian phản hồi).
Ví dụ, đối với quá trình quản lý sự cố, thực hành tốt có thể bao gồm:
- cách thông tin sự cố được chuyển giữa tổ chức và một bên khác;
- những gì cần được bao gồm trong một hồ sơ sự cố;
- bên nào chịu trách nhiệm giải trình về sự cố ở mỗi giai đoạn của vòng đời, bao gồm tần suất và tiêu chí cập nhật thông tin của mỗi bên.
5.3.4 Định nghĩa về kiểm soát đo lường và đánh giá các bên khác
8.2.3.2, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), quy định tổ chức áp dụng các biện pháp kiểm soát đối với các quá trình, dịch vụ và các cấu phần dịch vụ do các bên khác cung cấp hoặc vận hành. Các biện pháp kiểm soát này dành cho việc thực hiện quá trình và dịch vụ hoặc hiệu quả của cấu phần dịch vụ.
Tổ chức cũng nên thực thi việc tuân thủ các tiêu chí thực hiện đã được các bên khác đồng ý thông qua việc đo lường và đánh giá các kết quả do các bên đó cung cấp.
VÍ DỤ 1 Đặt ra các tiêu chí cho việc thực hiện dịch vụ, chẳng hạn như đo lường sự hài lòng của khách hàng hoặc đáp ứng các kết quả dự kiến của dịch vụ như đã nêu trong danh mục dịch vụ
VÍ DỤ 2 Đánh giá kết quả thực hiện của quá trình quản lý sự cố bằng cách đo lường và đánh giá sự tuân thủ các mức dịch vụ đã thỏa thuận
5.3.5 Quản lý chuỗi bàn giao dịch vụ
Khi bên cung ứng nội bộ hoặc bên ngoài tham gia trong vòng đời dịch vụ, tổ chức phải quản lý bên cung ứng thông qua quy trình quản lý bên cung ứng (xem 8.3.4, TCVN 8695-1:2023 (ISO/IEC 20000- 1:2018).). Quá trình quản lý bên cung ứng cũng áp dụng cho khách hàng của tổ chức khi đóng vai trò là bên cung ứng, mặc dù họ được đối xử như khách hàng khi họ là người tiêu dùng dịch vụ.
Tổ chức nên đưa các yêu cầu về an ninh thông tin đối với các bên cung ứng trong các hợp đồng hoặc thỏa thuận văn bản. Cũng có thể có các biện pháp kiểm soát đối với khách hàng hoặc các bên khác trước khi họ có thể truy cập, sử dụng hoặc khả năng quản lý thông tin hoặc dịch vụ của tổ chức. Xem 8.7.3.2, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018). Đây phải là điều kiện để cho phép truy cập, sử dụng hoặc khả năng quản lý thông tin hoặc dịch vụ của tổ chức. Nếu các biện pháp kiểm soát không được vận hành, bất kỳ đóng góp nào của các bên khác phải được loại trừ khỏi xác định phạm vi.
Tham khảo 6.7 để có thêm thông tin.
6 Các nguyên tắc chung về phạm vi của một SMS
6.1 Giới thiệu
TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), 4.3 cung cấp các yêu cầu để xác định phạm vi của SMS.
Lãnh đạo cao nhất cần đảm bảo phạm vi của SMS được xác định rõ ràng và thống nhất. Có thể cần sự tham gia của bất kỳ cơ quan quản lý có liên quan nào trong quyết định này. Lãnh đạo cao nhất cần đảm bảo phạm vi được xem xét để duy trì hiệu lực liên tục khi có những thay đổi đối với tổ chức và các dịch vụ. Phạm vi cũng nên được xem xét định kỳ đề đảm bảo phạm vi phù hợp với nhu cầu kinh doanh.
CHÚ THÍCH Cơ quan quản lý được định nghĩa trong ISO/IEC 20000-10 là “nhóm hoặc cơ quan có trách nhiệm và quyền hạn cuối cùng đối với các hoạt động, quản trị và chính sách của tổ chức và các báo cáo của sự lãnh đạo cấp cao nhất và quản lý cấp cao nhất phải chịu trách nhiệm giải trình”. Không phải tất cả các tổ chức, đặc biệt là các tổ chức nhỏ, sẽ có một cơ quan quản lý tách biệt với lãnh đạo cao nhất.
Phạm vi được xác định rõ ràng là rất quan trọng đối với một tổ chức đang tim cách chứng minh sự phù hợp với TCVN 8695-1 (ISO/IEC 20000-1). Nó thiết lập các ranh giới trong đó có thể đánh giá sự phù hợp.
Tổ chức trong phạm vi SMS có thể là một phần của một tổ chức lớn hơn, ví dụ như một bộ phận riêng lẻ của một tập đoàn lớn.
Xác định phạm vi của SMS phải được thể hiện cho nhân viên, khách hàng và khách hàng tiềm năng theo yêu cầu. Do đó, nó cần phải rõ ràng đưa ra một dấu hiệu rõ ràng về các dịch vụ và tổ chức trong phạm vi.
Xem Phụ lục A của tiêu chuẩn này để biết các ví dụ về xác định phạm vi.
6.2 Phạm vi của SMS
6.2.1 Xác định phạm vi
Xác định phạm vi phải nêu rõ những gì đã được bao gồm trong phạm vi của SMS. Phạm vi xác định tổ chức hoặc một phần của tổ chức và các dịch vụ trong phạm vi của SMS.
Xác định phạm vi cần:
a) càng đơn giản và ngắn gọn càng tốt;
b) có thể hiểu được mà không có kiến thức chi tiết về tổ chức;
c) bao gồm đủ thông tin để sử dụng trong đánh giá sự phù hợp;
d) được diễn đạt sao cho rõ ràng mọi loại trừ;
e) không tham chiếu đến các tài liệu ngoài phạm vi của SMS.
Các tuyên bố loại trừ không bắt buộc trong xác định phạm vi nhưng có thể giúp xác định phạm vi rõ ràng. Khi có các loại trừ đối với xác định phạm vi, chúng phải được liệt kê trong xác định phạm vi hoặc thông qua một tuyên bố loại trừ được liên kết. Cần thận trọng khi xác định phạm vi dựa trên các tuyên bố loại trừ.
VÍ DỤ 1 Nếu các dịch vụ mới được triển khai và không được chú thích rõ ràng trong phạm vi loại trừ, các dịch vụ này phải được coi là nằm trong phạm vi của SMS
VÍ DỤ 2 Nếu phạm vi
được giới hạn ở tất cả các địa điểm ngoại trừ
Định nghĩa của phạm vi có thể thay đổi dựa trên các tham số khác như khách hàng hoặc địa điểm được thêm hoặc bớt. Phạm vi phải được xác định theo cách xem xét toàn bộ bối cảnh của tổ chức (xem Kịch bản 8 trong A.5.3 về ví dụ). Phạm vi phải càng đơn giản càng tốt để tránh sửa đổi thường xuyên đối với những thay đổi nhỏ đối với dịch vụ hoặc khách hàng.
6.2.2 Định nghĩa và đánh giá phạm vi
Tuyên bố về phạm vi của SMS cần được thống nhất khi hoạch định chứng minh sự phù hợp với TCVN 8695-1 (ISO/IEC 20000-1). Điều này có thể tránh đặt ra những kỳ vọng sai lầm về SMS trong tổ chức.
Tổ chức cần xác nhận phạm vi của SMS với chuyên gia đánh giá bên thứ ba trước khi thực hiện bất kỳ đánh giá bên ngoài nào đối với các yêu cầu quy định trong TCVN 8695-1 (ISO/IEC 20000-1).
Chỉ những bằng chứng liên quan đến phạm vi của SMS mới được xem xét trong bất kỳ cuộc đánh giá nào.
6.2.3 Giới hạn phạm vi
Khi phạm vi của SMS là tất cả các dịch
vụ cho toàn bộ tổ chức, xác định phạm vi SMS có thể đơn giản. Ví dụ, “SMS cho
Nếu tổ chức chỉ bao gồm một số dịch vụ của mình trong phạm vi của SMS, thì phạm vi đó nên được xác định để tránh sự mơ hồ. Phạm vi có thể được giới hạn trong các dịch vụ được cung cấp cho một khách hàng, các dịch vụ được cung cấp từ một trang web hoặc chỉ một loại dịch vụ.
Một tổ chức có thể có cả khách hàng nội bộ và bên ngoài và cung cấp nhiều dịch vụ và loại hình dịch vụ. Do đó, phạm vi của SMS có thể bao gồm các dịch vụ cho một số khách hàng nội bộ và bên ngoài. Trong trường hợp này, các quá trình trong phạm vi SMS phải nhất quán giữa các khách hàng nhưng các quá trình được sử dụng cho từng khách hàng hoặc cho các loại dịch vụ khác nhau có thể khác nhau về chi tiết.
6.2.4 Các cân nhắc thương mại
Chứng chỉ TCVN 8695-1 (ISO/IEC 20000-1) thường phải được cấp cho một pháp nhân duy nhất, thay vì một nhóm các pháp nhân không liên quan khác nhau.
CHÚ THÍCH Tham khảo tổ chức chứng nhận để được hướng dẫn thêm.
Chứng chỉ cho một pháp nhân duy nhất có thể bao gồm các công ty con của một pháp nhân bao trùm trong phạm vi, ví dụ: một tổ chức sử dụng nhiều tên thương mại. Thông thường các thực thể liên quan vận hành với các quá trình chung. Để các thực thể có liên quan vận hành với một SMS chung, điều sau phải đúng:
a) các thực thể liên quan phải có một cơ quan giám hộ chung;
b) chứng nhận dành cho pháp nhân chủ quản để giám quản các thực thể liên quan.
6.3 Các thỏa thuận giữa các khách hàng và tổ chức
Nếu khách hàng được xác định trong xác định phạm vi, tổ chức phải đáp ứng tất cả các yêu cầu quy định trong TCVN 8695-1 (ISO/IEC 20000-1) vì có liên quan đến khách hàng đó.
Tổ chức không thể sử dụng các điều khoản hợp đồng hoặc thỏa thuận văn bản với khách hàng đề giảm bớt nghĩa vụ đáp ứng tất cả các yêu cầu quy định trong TCVN 8695-1 (ISO/IEC 20000-1). Trường hợp này xảy ra ngay cả khi các điều khoản hợp đồng hoặc thỏa thuận tư liệu hỏa loại trừ một số dịch vụ hoặc quá trình, ví dụ các dịch vụ trong phạm vi của SMS bắt buộc phải có quá trình quản lý năng lực ngay cả khi việc quản lý năng lực bị loại trừ khỏi các điều khoản hợp đồng của khách hàng.
6.4 Các tham số xác định phạm vi
6.4.1 Các tham số để xác định phạm vi của SMS
Tổ chức nên sử dụng các tham số cần thiết để xác định phạm vi của SMS nhằm đảm bảo không có sự mơ hồ về những gì được bao gồm và loại trừ (xem 4.3, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018)).
Các tham số phải bao gồm ít nhất:
a) các đơn vị tổ chức bàn giao dịch vụ, ví dụ một bộ phận, một nhóm các bộ phận hoặc toàn bộ tổ chức;
b) những dịch vụ hoặc loại dịch vụ nào được đề xuất khách hàng, ví dụ
- một dịch vụ, nhóm dịch vụ hoặc tất cả các dịch vụ,
- các dịch vụ công nghệ thông tin, dịch vụ mây,
- các dịch vụ công nghệ hỗ trợ quản lý cơ sở vật chất, gia công phần mềm quá trình kinh doanh,
- các dịch vụ công nghệ hỗ trợ vận hành kinh doanh của bất kỳ lĩnh vực nào, ví dụ viễn thông, tài chính, bán lẻ, du lịch, tiện ích.
Ví dụ, xác định phạm vi có thể: SMS
Thuật ngữ “được cung cấp” trong ngữ cảnh này nên được hiểu là tất cả các hoạt động nằm trong vòng đời dịch vụ, bao gồm hoạch định, thiết kế, dịch chuyển và cải tiến chứ không chỉ vận hành hàng ngày.
Trong xác định phạm vi,
6.4.2 Các tham số khác
Trong khi các tham số tối thiểu về xác định phạm vi là tên của tổ chức và các dịch vụ được cung cấp, tổ chức nên sử dụng các tham số khác nếu chúng cần thiết để loại bỏ bất kỳ sự mơ hồ tiềm ẩn nào trong xác định phạm vi của SMS. Xác định phạm vi phải dễ hiểu đối với các bên quan tâm không phải là thành viên của tổ chức.
Các tham số khác có thể gồm:
a) khách hàng, ví dụ khách hàng nội bộ, khách hàng ngoài, các tên khách hàng cụ thể, các khách hàng dịch vụ tài chính;
b) địa điểm dịch vụ của vận hành quản lý dịch vụ, ví dụ trụ sở chính, tất cả các địa điểm, địa điểm chỉ ở một quốc gia;
c) địa điểm của khách hàng, ví dụ khách hàng ở một quốc gia, khách hàng được phục vụ từ một trang web;
d) các tham số thích hợp khác làm rõ phạm vi.
VÍ DỤ 1 SMS
VÍ DỤ 2 SMS
Các tham số có thể được sử dụng theo bất kỳ thứ tự nào mà tổ chức cho là phù hợp. Các tham số khác cũng có thể được sử dụng để làm rõ phạm vi.
Xác định phạm vi cho một SMS có thể bao gồm một số dịch vụ hoặc khách hàng, không liệt kê rõ ràng các dịch vụ hoặc khách hàng riêng lẻ, ví dụ, bằng cách đề cập đến các dịch vụ mây do tổ chức cung cấp hoặc đề cập đến các dịch vụ cho tất cả khách hàng. Khi một giới hạn phạm vi không được liệt kê trong phạm vi, thì cách hiểu rộng nhất được giả định. Đối với ví dụ, nếu danh sách khách hàng không được bao gồm trong phạm vi thì tất cả khách hàng phải được coi là nằm trong phạm vi.
Tổ chức không nên gồm tên của các bên khác, chẳng hạn như bên cung ứng, đóng góp vào SMS trong tuyên bố phạm vi.
Các kịch bản chứng minh việc sử dụng các tham số có trong Phụ lục A của tiêu chuẩn này.
CHÚ THÍCH 1 Hướng dẫn từ các nguồn khác có thể được sử dụng đẻ tạo các tuyên bố về phạm vi đáp ứng các yêu cầu trong TCVN 8695-1 (ISO/IEC 20000-1).
CHÚ THÍCH 2 Nếu không thể thống nhất một tuyên bố về phạm vi rõ ràng đơn giản cho các dịch vụ, nó có thể được thể hiện bằng danh mục dịch vụ.
6.5 Hiệu lực của xác định phạm vi
Tổ chức phải đảm bảo rằng phạm vi của SMS vẫn còn hiệu lực sau khi nó đã tư liệu hỏa. Tổ chức nên thực hiện việc này bằng cách tiến hành các cuộc đánh giá theo các khoảng thời gian đã được lên kế hoạch để xác định sự khác biệt. Nếu phạm vi đã xác định không phù hợp với các tham số thực tế (ví dụ: dịch vụ, địa điểm, khác), thì xác định phạm vi cần được sửa đổi.
Tổ chức có thể quyết định chỉ chứng minh sự phù hợp cho một số hoạt động của mình, tùy thuộc vào nhu cầu kinh doanh của tổ chức. Đối với ví dụ, tổ chức có thể bắt đầu với một SMS chỉ bao gồm một số dịch vụ và sau đó tăng số lượng dịch vụ trong phạm vi của SMS. Sau đó, tổ chức nên sửa đổi cả SMS và xác định phạm vi để bao gồm các dịch vụ bổ sung.
Khi các câu lệnh loại trừ được sử dụng để xác định phạm vi, các dịch vụ mới có thể vô tình được đưa vào nếu chúng bị bỏ qua khỏi một câu lệnh loại trừ khi chúng chưa được chuyển hoàn toàn sang SMS.
Một số xác định phạm vi đề cập đến một danh mục dịch vụ. Danh mục dịch vụ có thể bao gồm trong tuyên bố phạm vi có hoặc không có số phiên bản. Cần xem xét cẩn thận xem có nên sử dụng thông tin phiên bản danh mục dịch vụ trong phạm vi hay không vì danh mục dịch vụ có thể được cập nhật và xác định phạm vi có thể không còn chính xác. Nếu danh mục dịch vụ được sử dụng như một phần của định nghĩa về phạm vi của SMS, thì việc đánh giá nội bộ phải được tiến hành mỗi khi danh mục dịch vụ được cập nhật để đảm bảo rằng có thể duy trì sự phù hợp.
6.6 Thay đổi phạm vi
Một sự thay đổi đối với phạm vi của SMS có nghĩa là tổ chức không thể tiếp tục chứng minh sự phù hợp với các yêu cầu trong TCVN 8695-1 (ISO/IEC 20000-1). Phạm vi của SMS có thể thay đổi khi dịch vụ hoặc khách hàng được thêm vào hoặc xóa bỏ.
Thay đổi đối với các dịch vụ có thể yêu cầu thay đổi phạm vi của SMS. Nếu SMS được chứng nhận theo TCVN 8695-1 (ISO/IEC 20000-1), tổ chức chứng nhận đã trao chứng chỉ phải được thông bảo vệ những thay đổi ảnh hưởng đến phạm vi SMS vì có thể phải đánh giá lại.
Nếu phạm vi của SMS được thay đổi, tổ chức phải tuân thủ các yêu cầu quy định trong TCVN 8695-1 (ISO/IEC 20000-1) đối với phạm vi đã sửa đổi. Khi phạm vi được sửa đổi, có thể cần phải đánh giá lại SMS. Điều này có thể xảy ra ngay cả khi SMS chưa đến hạn đánh giá lại theo kế hoạch.
6.7 Các chuỗi cung ứng dịch vụ và phạm vi SMS
6.7.1 Sự tín nhiệm vào các bên khác
Tổ chức nên xem xét phạm vi của SMS chịu ảnh hưởng như thế nào bởi các mối quan hệ giữa các tổ chức trong chuỗi cung ứng dịch vụ. Hiểu được chuỗi cung ứng dịch vụ là điều cơ bản để xác định phạm vi hiệu quả cho SMS.
Để đạt được sự phù hợp, một tổ chức cần:
a) chịu trách nhiệm và có trách nhiệm giải trình về việc thực hiện tất cả các yêu cầu quy định trong các Điều 4 và 5, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018);
b) có trách nhiệm giải trình thực hiện các yêu cầu quy định trong các Điều từ 6 đến 10, TCVN 8695- 1:2023 (ISO/IEC 20000-1:2018), bao gồm các yêu cầu do chính tổ chức thực hiện và trách nhiệm giải trình đối với tất cả các hoạt động và kiểm soát đối với các bên khác liên quan đến vòng đời dịch vụ.
Tổ chức nên xem xét phạm vi của SMS chịu ảnh hưởng như thế nào bởi các mối quan hệ giữa các tổ chức trong chuỗi cung ứng dịch vụ.
6.7.2 Chứng minh sự phù hợp trong chuỗi cung ứng dịch vụ
Khi bên cung ứng nội bộ hoặc bên ngoài, hoặc khách hàng đóng vai trò là bên cung ứng, tham gia trong vòng đời dịch vụ, tổ chức phải có bằng chứng về việc đáp ứng các yêu cầu của quá trình quản lý bên cung ứng được quy định trong 8.3.4, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018). Điều này phải bao gồm bằng chứng về các hợp đồng hoặc thỏa thuận phù hợp giữa các bên khác và tổ chức. Các hợp đồng hoặc thỏa thuận này cần xác định rõ các hoạt động phải được thực hiện bởi các bên khác và các giao diện giữa các bên khác và tổ chức. Định nghĩa này nên bao gồm các trình kích hoạt quá trình cho các giao diện, phương pháp tương tác, thông tin được trao đổi và bất kỳ mức dịch vụ liên quan nào.
Các bên khác trong chuỗi cung ứng dịch vụ không cần phải tuân theo các yêu cầu quy định trong TCVN 8695-1 (ISO/IEC 20000-1) đề tổ chức chứng minh sự phù hợp. Tuy nhiên, tổ chức phải chứng minh rằng họ đáp ứng các yêu cầu và áp dụng các biện pháp kiểm soát của các bên đó. 8.2.3.2, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), nêu rõ các biện pháp kiểm soát này bao gồm việc đo lường và đánh giá có liên quan đến việc thực hiện quá trình và hiệu quả của các dịch vụ và các cấu phần dịch vụ do các bên đó bàn giao.
Khi tổ chức và một bên khác, chẳng hạn như bên cung ứng, đều đang tìm cách chứng minh sự phù hợp với TCVN 8695-1 (ISO/IEC 20000-1), mỗi bên có thể triển khai SMS và mỗi bên có thể đáp ứng tất cả các yêu cầu một cách độc lập. Ví dụ, một tổ chức có thể chứng minh sự phù hợp với các yêu cầu quy định trong TCVN 8695-1 (ISO/IEC 20000-1) đối với quá trình quản lý năng lực bằng cách áp dụng các biện pháp kiểm soát cho bên cung ứng khác có liên quan đến việc vận hành quá trình này. Đồng thời, bên cung ứng có thể chứng minh sự phù hợp với các yêu cầu đối với quá trình quản lý năng lực đối với khách hàng này và khách hàng khác.
Khi một bên khác đang bàn giao dịch vụ hoặc các cấu phần dịch vụ cho tổ chức và cả hai đều tìm cách chứng minh sự phù hợp, thì:
a) bên kia phải chứng minh sự đáp ứng các yêu cầu trong TCVN 8695-1 (ISO/IEC 20000-1) đối với các dịch vụ mà bên đó bàn giao;
b) tổ chức phải chứng minh việc đáp ứng các yêu cầu trong TCVN 8695-1 (ISO/IEC 20000-1) bằng cách áp dụng các biện pháp kiểm soát cho bên cung ứng đó.
6.8 Tích hợp với các hệ thống quản lý khác
Văn bản và cấu trúc chung của các tiêu chuẩn hệ thống quản lý ISO có thể tạo điều kiện thuận lợi cho việc tích hợp nhiều hệ thống quản lý mà chúng được sử dụng trong một thực thể pháp lý đơn lẻ, cho phép các yêu cầu chung được thực hiện một lần thay vì trùng lặp. TCVN 8695-1 (ISO/IEC 20000-1) nhằm cho phép tích hợp SMS với các hệ thống quản lý khác. Ví dụ, hệ thống quản lý bảo mật thông tin (ISMS) như được quy định trong ISO/IEC 27001 hoặc hệ thống quản lý chất lượng (QMS) như được quy định trong ISO 9001.
Có thể có sự khác biệt trong phạm vi của SMS và các hệ thống quản lý khác. Mỗi loại hệ thống quản lý có một mục đích và lĩnh vực trọng tâm khác nhau. Ví dụ, SMS, ISMS và QMS, mỗi SMS bao gồm các vùng lấy nét và không hoàn toàn chồng chéo lên nhau.
Các yêu cầu của mỗi hệ thống quản lý chung cần được tích hợp để tạo ra hiệu quả, hiệu lực và tính nhất quán cao hơn.
VÍ DỤ 1 Các yêu cầu về tài liệu hoặc trách nhiệm giải trình quản lý được hỗ trợ bởi các yêu cầu chung trong tất cả các tiêu chuẩn của hệ thống quản lý. Tuy nhiên, các yêu cầu của mỗi tiêu chuẩn cần được xem xét cẩn thận để tính đến bất kỳ thay đổi cụ thể nào được thực hiện đối với văn bản chung.
VÍ DỤ 2 Các yêu cầu về quản lý sự cố trong SMS có rất nhiều điểm chung với các yêu cầu về sự cố an ninh thông tin trong ISMS. Có thể tích hợp các yêu cầu này.
Tổ chức có thể xác định phạm vi SMS của mình là trùng lặp về mặt địa lý hoặc tổ chức hoặc trùng lặp với phạm vi của các hệ thống quản lý khác. Phạm vi của mỗi hệ thống quản lý cần được xem xét riêng biệt và được mô tả phù hợp với trọng tâm của hệ thống đó và để đáp ứng các yêu cầu về phạm vi của tiêu chuẩn cụ thể. Không nhất thiết phải mô tả phạm vi của từng hệ thống quản lý theo cách giống nhau. Ví dụ, một SMS yêu cầu mô tả về các dịch vụ có trong phạm vi; một ISMS cho ISO/IEC 27001 yêu cầu một tuyên bố về khả năng áp dụng với phiên bản của nó phải được đưa vào tuyên bố phạm vi.
CHÚ THÍCH ISO/IEC TR 20000-7 cung cấp hướng dẫn về sự tích hợp của TCVN 8695-1 (ISO/IEC 20000-1), ISO 9001 và ISO/IEC 27001. ISO/IEC 27013 cung cấp hướng dẫn về sự tích hợp của TCVN 8695-1 (ISO/IEC 20000-1) và ISO/IEC 27001.
Phụ lục A
(tham khảo)
Các xác định phạm vi dựa trên kịch bản
A.1 Quy định chung
A.1.1 Giới thiệu
Các loại tổ chức có thể tìm cách phù hợp với các yêu cầu quy định trong TCVN 8695-1 (ISO/IEC 20000-1) có thể gồm:
a) tổ chức bàn giao dịch vụ cho khách hàng nội bộ;
b) tổ chức bàn giao dịch vụ cho khách hàng ngoài;
c) tổ chức bàn giao dịch vụ cho cả khách hàng nội bộ và bên ngoài
Các ví dụ sau minh họa loại xác định phạm vi phù hợp cho một SMS đáp ứng các yêu cầu quy định trong TCVN 8695-1 (ISO/IEC 20000-1). Trong các hình, các mũi tên chỉ ra rằng một dịch vụ đi từ tổ chức đến (các) khách hàng cũng như từ các bên cung ứng của tổ chức đến tổ chức. Để đơn giản hóa các hình, không thể hiện các hoạt động vận hành. Các ví dụ được thiết kế để chứng minh các mối quan hệ có thể xảy ra giữa một tổ chức, khách hàng và bên cung ứng thuộc các loại khác nhau và phạm vi phù hợp của SMS trong từng trường hợp.
Nhiều tổ chức có chuỗi cung ứng dịch vụ phức tạp với nhiều bên cung cấp các cấu phần dịch vụ hoặc vận hành các dịch vụ hoặc quá trình hỗ trợ SMS của tổ chức. Các kịch bản trong Phụ lục này thể hiện cả chuỗi cung ứng dịch vụ đơn và phức tạp hơn. Trong nhiều tổ chức, có thể có sự kết hợp của dịch vụ tự thực hiện và thuê ngoài.
Khi xem xét phạm vi của SMS và khả năng áp dụng TCVN 8695-1 (ISO/IEC 20000-1) cho một tổ chức, bối cảnh của các bên khác trong chuỗi cung ứng dịch vụ là rất quan trọng trong việc xác định khả năng áp dụng và làm rõ tuyên bố về phạm vi. Ví dụ nếu một bên cung ứng ngoài bàn giao dịch vụ cho nhiều khách hàng thì điều này có liên quan đến việc đánh giá phạm vi của bên cung ứng ngoài đó. Nó không liên quan đến phạm vi của một tổ chức là khách hàng của bên cung ứng ngoài đó.
A.1.2 Khung cho các kịch bản
Các tình huống trong Phụ lục này cung cấp một số lựa chọn thay thế phạm vi có thể có, đại diện cho các nguyên tắc chính và một số ví dụ phổ biến. Chúng không đại diện cho một danh sách đầy đủ các xác định phạm vi.
Một chuỗi cung ứng dịch vụ phức hợp (Hình A.1) được sử dụng trong toàn bộ phụ lục này như một khuôn khổ cho các kịch bản. Các kịch bản được trình bày có thể đứng độc lập. Họ cũng kiểm tra cách các tổ chức khác nhau có thể tương tác trong một môi trường phức tạp hơn.
Hình A.1 giới thiệu một tổ chức “bên tích hợp dịch vụ”. Một bên tích hợp dịch vụ bàn giao các dịch vụ liên quan đến việc phối hợp các hoạt động của nhiều nội bộ một chuỗi cung ứng dịch vụ phức tạp.
Chức năng tích hợp dịch vụ có thể được bàn giao bởi chính tổ chức hoặc được thuê ngoài đối với một bên cung ứng ngoài.
CHÚ THÍCH 1 “Bên tích hợp dịch vụ” được định nghĩa trong ISO/IEC 20000-10 là một “thực thể quản lý việc tích hợp các dịch vụ và các cẩu phần dịch vụ do nhiều bên cung ứng bàn giao.”
Hình A.1 - Khung cho các kịch bản - Một chuỗi cung ứng dịch vụ phức tạp
Việc các tổ chức có nhiều bên cung ứng với chuỗi cung ứng dịch vụ phức tạp ngày càng phổ biến. Nhìn, vào chuỗi cung ứng dịch vụ phức tạp theo cách mô-đun và kiểm tra phạm vi cụ thể của từng tổ chức có thể đơn giản hóa việc xác định phạm vi.
CHÚ THÍCH 2 Trong các tình huống, thuật ngữ “Bên đối tác” được sử dụng để mô tả một thực thể có thể là một “tổ chức” đang tìm cách chứng minh sự phù hợp với TCVN 8695-1 (ISO/IEC 20000-1) hoặc một “bên đối tác khác” vận hành trong một vai trò khác. Để rõ ràng, đường viền đậm thể hiện chủ thể “tổ chức” của tình huống muốn chứng minh sự phù hợp với TCVN 8695-1 (ISO/IEC 20000-1).
A.2 Các kịch bản đơn giản
A.2.1 Kịch bản 1 - Bàn giao nội bộ
Hình A.2 - Bàn giao dịch vụ nội bộ
Kịch bản 1 (Hình A.2) thể hiện một ví dụ về một chuỗi cung ứng dịch vụ đơn. Tổ chức A đang tìm cách chứng minh sự phù hợp với TCVN 8695-1 (ISO/IEC 20000-1) và cung cấp tất cả các hoạt động ngoại trừ một số dịch vụ quản lý tài chính, có một bên cung ứng nội bộ duy nhất bàn giao các dịch vụ tài chính dùng chung cho doanh nghiệp, bao gồm Tổ chức A. Khách hàng của Tổ chức A chỉ giới hạn ở khách hàng nội bộ của doanh nghiệp.
Sự phù hợp có thể được chứng minh với điều kiện:
a) Tổ chức A đáp ứng tất cả các yêu cầu của TCVN 8695-1 (ISO/IEC 20000-1) đối với các dịch vụ nằm trong phạm vi SMS;
b) Tổ chức A có thể chứng minh các biện pháp kiểm soát đối với bên cung ứng nội bộ.
Tổ chức có trách nhiệm giải trình trực tiếp về việc cung cấp SMS. Lãnh đạo cao nhất phải kiểm soát bên cung ứng nội bộ như được mô tả trong 8.2.3, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018).
Xác định phạm vi có thể là: SMS
A.2.2 Kịch bản 2 - Chuỗi cung ứng dịch vụ đơn
A.2.2.1 Bối cảnh
Hình A.3 - Chuỗi cung ứng dịch vụ đơn
Kịch bản 2 thể hiện trong Hình A.3, coi Tổ chức A với một bên cung ứng ngoài (Bên C) bàn giao các cấu phần dịch vụ hỗ trợ SMS của Tổ chức A.
Tổ chức A có thể đạt được sự phù hợp về phạm vi dịch vụ mà tổ chức bàn giao cho (các) khách hàng của mình, dựa trên các nguyên tắc được mô tả trong 6.7.
A.2.2.2 Phạm vi của Tổ chức A có giới hạn trong các dịch vụ công nghệ thông tin không?
Không. Ví dụ, Tổ chức A có thể bàn giao các dịch vụ logistic và bên cung ứng ngoài bàn giao các dịch vụ chăm sóc khách hàng liên quan. Tất cả các yêu cầu quy định trong TCVN 8695-1 (ISO/IEC 20000-1) là khái quát và nhằm áp dụng cho tất cả các tổ chức bất kể bản chất của các dịch vụ được cung cấp.
A.2.2.3 Có thể có nhiều hơn một dịch vụ được cung ứng ngoài hoặc nhiều hơn một bên cung ứng cho kịch bản này không?
Có. Số lượng dịch vụ hoặc cấu phần dịch vụ được cung cấp bởi bên cung ứng ngoài và số lượng bên cung ứng không ảnh hưởng đến phạm vi của SMS với điều kiện là tổ chức có thể chứng minh sự quản lý của bên cung ứng và biện pháp kiểm soát của các bên liên quan đến vòng đời dịch vụ theo 8.3.4 và 8.2.3, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018).
A.2.2.4 Các dịch vụ do bên khác cung cấp trực tiếp cho khách hàng có được đưa vào SMS không?
Không. Các dịch vụ được cung cấp trực tiếp cho khách hàng bởi một bên khác chứ không phải bởi Tổ chức A không thuộc phạm vi của SMS.
Khi khách hàng giao ước trực tiếp với một bên cung ứng, có một hợp đồng hoặc thỏa thuận được quản lý bởi khách hàng. Do đó, các biện pháp kiểm soát đối với tất cả các bên không thể được Tổ chức A chứng minh.
A.2.2.5 Khách hàng nội bộ và bên ngoài có thể được hỗ trợ trong SMS của Tổ chức A không?
Có. Miễn là khách hàng nội bộ và khách hàng ngoài được bao gồm trong phạm vi của SMS và có thể đáp ứng các yêu cầu của TCVN 8695-1 (ISO/IEC 20000-1), không quan trọng là khách hàng nội bộ hay bên ngoài.
Xác định phạm vi có thể là: SMS
A.2.2.6 Bên C cũng có thể chứng minh sự phù hợp?
Hình A.4 - Bên cung ứng ngoài trong chuỗi cung ứng dịch vụ đơn
Có, vì SMS của Tổ chức A và SMS của Bên C là loại trừ lẫn nhau, phạm vi sẽ khác nhau.
Bên C (Hình A.4) có thể tìm kiếm sự phù hợp miễn là đáp ứng tất cả các yêu cầu quy định trong TCVN 8695-1 (ISO/IEC 20000-1) đối với SMS. Điều này không mâu thuẫn với bất kỳ sự tuân thủ TCVN 8695-1 (ISO/IEC 20000-1) nào của Tổ chức A vì Tổ chức A có thể chứng minh các biện pháp kiểm soát đối với các hoạt động mà Bên C thực hiện cho Tổ chức A, chứ không phải các hoạt động hoặc quá trình nội bộ.
Xác định phạm vi có thể là: SMS
hỗ trợ cung cấp
A.2.2.7 Bên C có thể bàn giao dịch vụ cho nhiều khách hàng không?
Có. SMS của Bên C có thể bao gồm các dịch vụ được cung cấp cho nhiều khách hàng.
A.2.2.8 Bên C có thể vừa là bên cung ứng vừa là khách hàng được không?
Có, khi một khách hàng cũng đang vận hành như một bên cung ứng. Tác động duy nhất đến phạm vi của SMS là đảm bảo Bên C được bao gồm trong phạm vi với tư cách là khách hàng. Trong bối cảnh SMS của Bên C, Bên C được coi là tổ chức.
Tổ chức A cần chứng minh bằng chứng về sự quản lý và kiểm soát của Bên C với tư cách là khách hàng đóng vai trò là bên cung ứng theo 8.2.3, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018) and 8.3.4.
A.2.2.9 Các bên cung ứng nội bộ có thể được đối xử như vậy không?
Có, phạm vi của SMS cho Tổ chức A, như trong Hình A.5, không thay đổi dựa trên các bên cung ứng.
Các biện pháp kiểm soát đối với bên cung ứng nội bộ phải được chứng minh bởi Tổ chức A theo cách tương tự như đối với bên cung ứng ngoài. Tuy nhiên, các yêu cầu quản lý bên cung ứng trong 8.3.4, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018) là khác nhau đối với các bên cung ứng nội bộ và bên ngoài.
Hình A.5 - Các kịch bản với giới hạn gia công phần mềm
A.3 Các kịch bản với các cấu phần được thuê ngoài
A.3.1 Kịch bản 3 - Các cấu phần được thuê ngoài
A.3.1.1 Bối cảnh
Kịch bản 3, được minh họa trong Hình A.6, tương tự như Kịch bản 2, nhưng một dịch vụ và các phần của quá trình được vận hành bởi một bên cung ứng ngoài (Bên C). Điều này liên quan đến việc vận hành một phần của quá trình quản lý sự số và yêu cầu dịch vụ thay mặt cho Tổ chức A. Mặc dù dịch vụ của bên cung ứng ngoài được sử dụng bởi tất cả các khách hàng nội bộ trong doanh nghiệp, nhưng hợp đồng là giữa Tổ chức A và Bên C.
Hình A.6 - Kịch bản 3 - Chuỗi cung ứng dịch vụ đơn cho các dịch vụ và quá trình
A.3.1.2 Tổ chức A có thể chứng minh sự phù hợp không?
Có, nếu tổ chức có thể chứng minh các biện pháp kiểm soát đối với Bên C như trong 8.2.3, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018).
A.3.1.3 Xác định phạm vi cho Tổ chức A là gì?
Xác định phạm vi có thể là: SMS
Mặc dù Bên C vận hành một dịch vụ và các phần của quá trình, xác định phạm vi này có hiệu lực nếu Tổ chức A giữ lại các biện pháp kiểm soát cho Bên C. Xác định phạm vi không bao gồm tên của Bên C vi nó là bên thứ ba và không liên quan đến phạm vi của SMS.
Trong Kịch bản 3, Tổ chức A có thể cung cấp bằng chứng thể hiện các biện pháp kiểm soát đối với Bên C. Khi một bên muốn dựa vào một bên khác để làm bằng chứng hỗ trợ, thông lệ tốt là đưa điều này vào hợp đồng hoặc thỏa thuận.
A.3.1.4 Bên C cũng có thể chứng minh sự phù hợp?
Có, nếu Bên C có thể đáp ứng tất cả các yêu cầu quy định trong TCVN 8695-1 (ISO/IEC 20000-1) đối với phạm vi SMS của chính mình. Đối với kịch bản này, cần bao gồm các quá trình và khả năng vận hành một dịch vụ và các phần của quá trình cho Tổ chức A. Mặc dù dịch vụ do Bên C cung cấp cho Tổ chức A chỉ bao gồm hai quá trình, Bên C phải có thể chứng minh sự phù hợp với tất cả các yêu cầu quy định trong TCVN 8695-1 (ISO/IEC 20000-1).
Bên C có thể tìm kiếm sự phù hợp cho một SMS với phạm vi bao gồm các khách hàng khác đáp ứng các yêu cầu quy định trong TCVN 8695-1 (ISO/IEC 20000-1).
A.3.2 Kịch bản 4 - Các bên cung ứng, bên cung ứng chính và bên cung ứng thầu phụ
A.3.2.1 Bối cảnh
Thông thường, một bên cung ứng có thể có các bên cung ứng theo thầu phụ để bàn giao các dịch vụ theo yêu cầu. Ngoài ra, khi một tổ chức có nhiều bên cung ứng, tổ chức có thể chỉ định một bên cung ứng làm bên cung ứng chính. Như minh họa trong Hình A.7, Bên C đóng vai trò là bên cung ứng chính trong kịch bản này. Tổ chức A và bên cung ứng chính (Bên C) nên có mối quan hệ trực tiếp và có hợp đồng.
Hình A.7 - Kịch bản 4 - Mối quan hệ với các bên cung ứng chính và các bên cung ứng thầu phụ
Theo các điều khoản hợp đồng với Tổ chức A, bên cung ứng chính (Bên C) phải quản lý các bên cung ứng thầu phụ (ví dụ: Bên D, Bên Cung ứng 2). Các bên cung ứng theo thầu phụ phải có hợp đồng với bên cung ứng chính, không phải với Tổ chức A. Không nên có mối quan hệ trực tiếp giữa tổ chức và các bên cung ứng thầu phụ.
Các biện pháp kiểm soát đối với bên cung ứng chính (Bên C) được xác định giống như đối với bên cung ứng duy nhất cho Tổ chức A. Việc kiểm soát đối với các bên cung ứng thầu phụ là trách nhiệm của bên cung ứng chính (Bên C). Tổ chức A sẽ kiểm soát bên cung ứng chính (Bên C) theo 8.2.3, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018).
A.3.2.2 Xác định phạm vi cho Tổ chức A là gì?
Xác định phạm vi có thể là: SMS
A.3.2.3 Bên C có thể chứng minh sự phù hợp không?
Nếu Bên C muốn tìm kiếm sự phù hợp, Bên C phải chứng minh biện pháp kiểm soát của Bên D và Bên Cung ứng 2 như đã mô tả ở trên.
A.4 Các Kịch bản với chuỗi cung ứng dịch vụ phức tạp
A.4.1 Kịch bản 5 - Gia công phần mềm mở rộng
A.4.1.1 Bối cảnh
Tổ chức A bàn giao các dịch vụ cho khách hàng nội bộ. Các dịch vụ gia công phần mềm quá trình kinh doanh và dịch vụ mây của Tổ chức A được thuê ngoài cho Bên C. Các quá trình quản lý sự cố, quản lý yêu cầu dịch vụ và quản lý vấn đề cũng được thuê ngoài cho bên cung ứng ngoài, Bên C. Điều này được minh họa trong Hình A.8.
Hình A.8 - Kịch bản 5 - Chuỗi cung ứng dịch vụ đơn cho việc gia công phần mềm mở rộng
A.4.1.2 Tổ chức A có thể chứng minh sự phù hợp không?
Có, miễn là chúng có thể đáp ứng tất cả các yêu cầu của TCVN 8695-1:
a) trực tiếp cho các quá trình được quản lý nội bộ;
b) thông qua việc áp dụng các biện pháp kiểm soát cho Bên C.
Thực tế Tổ chức A thuê ngoài rộng rãi không ảnh hưởng đến khả năng quản lý bàn giao dịch vụ cho khách hàng của họ với điều kiện họ đáp ứng tất cả các yêu cầu của TCVN 8695-1 (ISO/IEC 20000-1). Bên C có thể cung cấp nhiều dịch vụ và quá trình, nhưng Tổ chức A vẫn có thể đáp ứng các yêu cầu của TCVN 8695-1 (ISO/IEC 20000-1) bằng cách chứng minh biện pháp kiểm soát cho Bên C. Tổ chức A phải trực tiếp thực hiện TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), Khoản 4 đến 5.
Xác định phạm vi có thể là: SMS
Mặc dù Bên C vận hành một dịch vụ và các phần của quá trình, xác định phạm vi này có hiệu lực nếu Tổ chức A giữ lại các quyền kiểm soát cho Bên C. Xác định phạm vi không được bao gồm tên của Bên C vì nó là bên thứ ba và không liên quan đến phạm vi của SMS.
A.4.2 Kịch bản 6 - Bên tích hợp dịch vụ nội bộ
A.4.2.1 Bối cảnh
Hình A.9 - Kịch bản 6 - Bên tích hợp dịch vụ nội bộ
Trong kịch bản 6, Tổ chức A vẫn hỗ trợ cho các dịch vụ ứng dụng tài chính.
Tất cả các dịch vụ khác theo yêu cầu của Tổ chức A đều được thuê ngoài đối với các bên cung ứng nội bộ và bên ngoài.
Kịch bản 6 giới thiệu tích hợp dịch vụ. Nó bao gồm chức năng tích hợp dịch vụ trong Tổ chức A. Tổ chức A đã chọn triển khai tích hợp dịch vụ để quản lý bàn giao các dịch vụ giữa nhiều bên cung ứng nội bộ và bên ngoài. Điều này được thực hiện vì quyết định sử dụng gia công phần mềm đã tạo ra một chuỗi cung ứng dịch vụ phức tạp, với các dịch vụ cho khách hàng yêu cầu tích hợp các dịch vụ, các cấu phần dịch vụ và quá trình do nhiều bên cung ứng cung cấp hoặc vận hành.
Kịch bản 6 cũng giới thiệu thêm khách hàng. Tổ chức A hiện bàn giao dịch vụ cho khách hàng ngoài cũng như khách hàng nội bộ.
Kịch bản 6 minh họa lý do tại sao cần hiểu các tác động của chuỗi cung ứng dịch vụ khi xác định phạm vi của SMS. Bối cảnh của tổ chức (TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), Khoản 4) và việc xác định vai trò của các bên khác (8.2.3, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018). 1) có thể ảnh hưởng đến định nghĩa về phạm vi và liệu sự phù hợp có thể được chứng minh.
Tất cả các yêu cầu về nội dung và sự lãnh đạo (TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), Khoản 4 đến Điều 5) phù hợp với Tổ chức A. Bên tích hợp dịch vụ tại kịch bản 6 được lãnh đạo cao nhất giao nhiệm vụ cung cấp:
a) bên cung ứng quản lý chuỗi cung ứng theo 8.3.4, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018);
b) kiểm soát các bên liên quan đến vòng đời dịch vụ cho chuỗi cung ứng theo 8.2.3, TCVN 8695- 1:2023 (ISO/IEC 20000-1:2018);
c) các kế hoạch cho SMS và các dịch vụ (Điều 6, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018));
d) đảm bảo rằng các quá trình đầu cuối hỗ trợ SMS được xác định, thực hiện và duy trì (bao gồm các yêu cầu về giao diện quá trình cho tất cả các bên);
e) báo cáo dịch vụ khách hàng cuối;
f) định nghĩa các phép đo và tiêu chí đánh giá cần thiết để vận hành các dịch vụ và SMS giữa tất cả các bên (bao gồm thông tin được truyền và phương thức truyền);
g) đảm bảo rằng việc quản lý các kết quả của tất cả các bên được thực hiện một cách nhất quán nhằm hỗ trợ các mục tiêu quản lý dịch vụ và việc đáp ứng các yêu cầu của SMS.
A.4.2.2 Tổ chức A có thể chứng minh sự phù hợp không?
Có. Trong Kịch bản 6, Tổ chức A duy trì bàn giao dịch vụ của các dịch vụ ứng dụng tài chính sử dụng tất cả các yêu cầu của TCVN 8695-1 (ISO/IEC 20000-1). Tổ chức A cũng bàn giao dịch vụ tích hợp dịch vụ.
Tất cả các dịch vụ khác cung cấp cho khách hàng của Tổ chức A đều được thuê ngoài cho các bên cung ứng nội bộ và bên ngoài. Do đó, những dịch vụ này không thể được đưa vào phạm vi của Tổ chức A
Tổ chức A có thể chứng minh sự phù hợp bởi vì:
a) tổ chức đáp ứng các yêu cầu quy định trong TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), các Điều 4-5;
b) tổ chức cũng đáp ứng các yêu cầu của một số Điều khác của chính tiêu chuẩn TCVN 8695-1;
c) tổ chức A chứng minh các biện pháp kiểm soát đối với các bên khác đối với các yêu cầu còn lại;
d) chức năng tích hợp dịch vụ của Tổ chức A cung cấp các biện pháp kiểm soát cho các bên khác theo quy định của 8.2.3, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018).
A.4.2.3 Xác định phạm vi cho Tổ chức A là gì?
Xác định phạm vi có thể là: SMS hỗ trợ
cung cấp của tích hợp dịch vụ và
A.4.2.4 Các bên cung ứng ngoài có thể chứng minh sự phù hợp không?
Có. Kịch bản 6 bao gồm các bên cung ứng ngoài (ví dụ Bên C) vận hành các dịch vụ và quá trình theo yêu cầu của TCVN 8695-1 (ISO/IEC 20000-1). Đây là cơ sở giống như khả năng của Bên C để chứng minh sự phù hợp trong kịch bản 3.
A.4.2.5 Bên cung ứng ngoài có thể chứng minh sự phù hợp với nhiều khách hàng không?
Bên Cung ứng ngoài có thể hỗ trợ nhiều khách hàng nội bộ và bên ngoài trong trường hợp thích hợp. Tham khảo Kịch bản 2 để biết thêm chi tiết.
A.4.3 Kịch bản 7 - Bên tích hợp dịch vụ thuê ngoài
A.4.3.1 Bối cảnh
Kịch bản 7 cũng giống như Kịch bản 6 ngoại trừ vai trò bên tích hợp dịch vụ hiện được thuê ngoài. Tổ chức A duy trì bàn giao các dịch vụ ứng dụng tài chính.
Hình A.10 - Kịch bản 7 - Bên tích hợp dịch vụ bên ngoài
A.4.3.2 Tổ chức A có thể chứng minh sự phù hợp không?
Tổ chức A có thể chứng minh sự phù hợp nếu đáp ứng các yêu cầu quy định trong các Điều 4 đến 5, tiêu chuẩn TCVN 8695-1:2023 (ISO/IEC 20000-1:2018), và có thể chứng minh các biện pháp kiểm soát đối với các bên khác liên quan đến vòng đời dịch vụ.
Phạm vi của SMS nên bao gồm các dịch vụ ứng dụng tài chính sẽ chứng minh rằng Tổ chức A tự vận hành các quá trình này.
Bên Cung ứng nội bộ cũng kỳ vọng để nhận ra bên tích hợp dịch vụ được giao trách nhiệm giải trình quản lý quá trình cho Tổ chức A. Điều này cho phép quản lý nhất quán các dịch vụ, quá trình và báo cáo.
A.4.3.3 Xác định phạm vi cho Tổ chức A là gì?
Xác định phạm vi cho Tổ chức A có thể
là: SMS hỗ trợ cung cấp của các dịch vụ ứng dụng tài chính đến
A.4.3.4 Bên C có thể chứng minh phù hợp không?
Có. Trong Kịch bản 7, tiềm năng về sự phù hợp của các bên cung ứng ngoài giống như Kịch bản 3.
A.4.3.5 Bên B có thể chứng minh phù hợp không?
Đối với Bên B để chứng minh sự phù hợp, Bên B nên cung cấp tích hợp dịch vụ như một dịch vụ với SMS của riêng mình, được chỉ đạo và kiểm soát bởi lãnh đạo cao nhất của mình. Nó không thể chỉ vận hành các quá trình quản lý dịch vụ trong phạm vi SMS của khách hàng.
Nếu cả Tổ chức A và Bên B đều muốn chứng minh sự phù hợp, cần cẩn thận để đảm bảo rằng phạm vi của SMS cho mỗi tổ chức được xác định một cách chính xác. Tổ chức A không thể chứng minh sự phù hợp nếu họ được thuê ngoài quá nhiều, họ không còn có các dịch vụ riêng biệt trong phạm vi SMS. Tổ chức A có thể sử dụng các dịch vụ thuê ngoài từ Bên B như các cấu phần dịch vụ nhưng phải có các dịch vụ riêng trong phạm vi SMS của họ để chứng minh sự phù hợp.
Xác định phạm vi cho Bên B có thể là:
SMS hỗ trợ bàn giao dịch vụ các dịch vụ tích hợp đến
A.4.3.6 Bên B có thể chứng minh sự phù hợp cho nhiều khách hàng không?
Có. Nếu Bên B cung cấp tích hợp dịch vụ như một Bên ngoài, thì các ràng buộc đối với việc bàn giao các dịch vụ đó cho nhiều khách hàng được mô tả trong Kịch bản 2.
Xác định phạm vi cho Bên B có thể là:
SMS hỗ trợ bàn giao dịch vụ các dịch
vụ tích hợp đến
A.5 Các Kịch bản với việc thay đổi các thông số SMS
A.5.1 Bối cảnh
Khi phạm vi của SMS được sửa đổi, xác định phạm vi cần được xem xét và sửa đổi nếu cần. Như được mô tả trong 6.5 và 6.6, điều này có thể yêu cầu đánh giá nội bộ và có thể mở rộng đối với đánh giá phạm vi. Kịch bản này được trình bày theo ba giai đoạn (Kịch bản 8a, Kịch bản 8b và Kịch bản 8c) thể hiện một loạt các gia tăng về phạm vi theo thời gian và tác động đến phạm vi. Đối với mỗi bước, các thay đổi về phạm vi đối với Tổ chức A và Bên C (bên cung ứng ngoài cho Tổ chức A nhưng cũng đang tìm kiếm chứng nhận) được chứng minh.
A.5.2 Các Kịch bản cho những thay đổi phạm vi
Hình A.11 minh họa phạm vi ban đầu của Kịch bản 8. ở trạng thái ban đầu này chúng ta có Tổ chức A bàn giao các dịch vụ nội bộ cho khách hàng của chính mình tại một địa điểm.
Hình A.11 - Kịch bản 8 - Phạm vi ban đầu
A.5.3 Kịch bản 8 - Phạm vi ban đầu
Hình A.11 minh họa các trường hợp cho khách hàng của Tổ chức A. Trong Kịch bản 8, Tổ chức A có thể đáp ứng các yêu cầu quy định trong TCVN 8695-1 (ISO/IEC 20000-1) trong nội bộ.
Xác định phạm vi có thể là: SMS hỗ trợ tất cả các dịch vụ do Tổ chức A cung cấp cho khách hàng nội bộ của mình.
A.5.4 Kịch bản 8a - Gia công các dịch vụ hỗ trợ tại chỗ
Tổ chức A đã lên kế hoạch tham gia vào một chương trình mua lại và do đó đã quyết định thuê ngoài các dịch vụ hỗ trợ tại chỗ. Với mục đích của Kịch bản 8a thể hiện trong Hình A.12, Tổ chức A thuê một bên cung ứng ngoài (Bên C) để bàn giao các dịch vụ hỗ trợ tại chỗ và yêu cầu Bên C chứng minh sự phù hợp với TCVN 8695-1 (ISO/IEC 20000-1) trong một thời gian cố định sau khi một hợp đồng được ký kết.
Phạm vi của Tổ chức A vẫn được giữ nguyên vì họ vẫn đang bàn giao dịch vụ cho khách hàng nội bộ của mình tại địa điểm 1 nhưng đang sử dụng các bên khác để cung cấp một cấu phần của dịch vụ.
A.5.5 Xác định phạm vi ban đầu cho Bên C là gì?
Hình A. 12 - Kịch bản 8a - Phạm vi của Bên C
Trong Kịch bản 8a, minh họa trong Hình A.12, Bên C bàn giao các dịch vụ tại chỗ tại địa điểm 1 cho Tổ chức A.
Nếu Tổ chức A là khách hàng duy nhất của Bên C, khi đó xác định phạm vi được chấp nhận cho SMS của Bên C là: SMS hỗ trợ các dịch vụ tại chỗ do Bên C đặt tại địa điểm 1 cung cấp cho các khách hàng nội bộ của Tổ chức A.
Tuy nhiên, kịch bản càng có nhiều khả
năng là Bên C có nhiều loại dịch vụ cho một số khách hàng, vì vậy, ví dụ càng
thực tế hơn về tuyên bố phạm vi có thể là: SMS hỗ trợ
A.5.6 Kịch bản 8b với ba địa điểm mới
Hình A.13 - Kịch bản 8b - Phạm vi với ba địa điểm bổ sung
Các kế hoạch phát triển kinh doanh của Tổ chức A hiện bao gồm việc mua lại một tổ chức lớn khác, với nhiều chi nhánh ở ba địa điểm bổ sung. Các địa điểm bổ sung được thể hiện trong Hình A.13. Phạm vi của Tổ chức A vẫn được giữ nguyên bởi vì câu lệnh phạm vi không bao gồm hoặc loại trừ các địa điểm một cách rõ ràng, do đó tất cả các địa điểm được giả định là nằm trong phạm vi. Điều này chứng tỏ tầm quan trọng của việc xem xét phạm vi khi xảy ra những thay đổi quan trọng trong tổ chức. Nếu các địa điểm bổ sung không dự định đưa vào tự động, thì nên bổ sung tài liệu tham khảo cụ thể về các địa điểm trong phạm vi của Tổ chức A. Các địa điểm bổ sung có thể yêu cầu đánh giá bổ sung để đảm bảo rằng công việc tại các địa điểm này đáp ứng các yêu cầu.
Tổ chức A thay đổi hợp đồng với Bên C để cung cấp các loại hình dịch vụ tương tự nhưng đến nhiều địa điểm khách hàng hơn. Bên C liên kết với các bên cung ứng thầu phụ đề hỗ trợ khối lượng công việc và địa điểm bổ sung. Việc bổ sung các địa điểm mới bắt đầu ngay trước khi cuộc đánh giá đến hạn. Tại thời điểm đánh giá, các Địa điểm mới 2, 3 và 4 cũng đã nhận được các dịch vụ do Bên C cung cấp thông qua nhân sự có trụ sở tại cả 4 địa điểm nên cuộc đánh giá sẽ mở rộng phạm vi.
A.5.7 Tác động của ba địa điểm bổ sung đối với Bên C duy trì sự phù hợp là gì?
Vì nhân sự của Bên C hiện đang đặt tại tất cả bốn địa điểm, phạm vi SMS của họ đã được xác định lại để bao gồm cả bốn Địa điểm từ 1 đến 4, do sự thay đổi trong hợp đồng với Tổ chức A. Không có thay đổi về phạm vi như là kết quả của việc sử dụng các bên cung ứng thầu phụ, nhưng Bên C được yêu cầu duy trì các biện pháp kiểm soát đối với các bên cung ứng ngoài của mình.
Do đó, cuộc đánh giá bao gồm tính nhất quán của SMS và các dịch vụ trên bốn địa điểm. Điều này bao gồm phỏng vấn nhân viên và lấy mẫu bằng chứng từ bốn địa điểm.
Vẫn có mức độ cam kết cao của ban sự lãnh đạo và sự tham gia vào quản lý dịch vụ thực hành tốt trong chính Tổ chức A của Bên C quy định bởi các Điều từ 4 đến 5, TCVN 8695-1:2023 (ISO/IEC 20000-1:2018). Một số điểm không phù hợp đã được phát hiện trong việc thực hiện các yêu cầu đối với các dịch vụ mới, chủ yếu là do sự hiểu lầm của những người sử dụng dịch vụ mới, sau khi mua lại. Hành động khắc phục đã được đồng ý đối với tất cả sự không phù hợp, không đủ nghiêm trọng để ngăn chặn việc mở rộng phạm vi.
A.5.8 Xác định phạm vi là gì sau khi bao gồm ba địa điểm bổ sung?
Xác định phạm vi có thể được sửa đổi để thể hiện nhân sự của Bên C đặt tại cả bốn địa điểm.
Xác định phạm vi có thể là: SMS hỗ trợ
Như được mô tả ở phần 6.4.2 trong tiêu chuẩn này, tổ chức có thể gồm dịch vụ hoặc các địa điểm của khách hàng vào xác định phạm vi. Trong ví dụ này, xác định phạm vi sửa đổi đề cập đến địa điểm của nhân sự Bên C, không phải địa điểm của nhân sự bên khách hàng.
A.5.9 Kịch bản 8c với 30 địa điểm khách hàng và các thỏa thuận bên cung ứng đã sửa đổi
Trong kịch bản 8c thể hiện ở Hình A.14, các khách hàng đã tăng số lượng địa điểm lên 30. Tuy nhiên, Bên C đang hỗ trợ các địa điểm này từ 4 địa điểm hiện có.
Một lần nữa, các địa điểm bổ sung được tự động đưa vào phạm vi của Tổ chức A vì không có danh sách cụ thể các địa điểm được bao gồm hoặc loại trừ trong tuyên bố phạm vi.
Hình A.14 - Kịch bản 8c - Phạm vi với ba mươi địa điểm và các sắp xếp bên cung ứng đã được sửa đổi
Giữa các lần đánh giá, Bên C đã quyết định thực hiện những thay đổi lớn đối với việc sắp xếp bên cung ứng của mình, như thể hiện trong Hình A.14. Điều này bao gồm việc sử dụng bên cung ứng chính ở vùng thời gian khác. Tham khảo A.3.2 để biết các cân nhắc liên quan đến bên cung ứng đầu mối.
A.5.10 Hàm ý liên quan đến ba mươi địa điểm khách hàng
TCVN 8695-1 (ISO/IEC 20000-1) không quy định bất kỳ yêu cầu nào liên quan đến cấu trúc, các nhóm chức năng, các tên quá trình hoặc địa điểm của tổ chức. Tuy nhiên, những thay đổi như bên cung ứng chính mới và các bên cung ứng thầu phụ ở một vùng thời gian khác có thể làm thay đổi cơ sở đánh giá. Đánh giá đối với Bên C bây giờ nên bao gồm bất kỳ thay đổi nào đối với việc quản lý các bên cung ứng, bao gồm:
a) các biện pháp kiểm soát đối với các quá trình qua các vùng thời gian;
b) các dịch vụ do Bên C và khách hàng của Bên C thỏa thuận.
Vì một cuộc tái đánh giá lớn đã được lên lịch ba năm sau lần đánh giá ban đầu, những thay đổi đã được bao gồm trong lần đánh giá lại đầy đủ này. Xác định phạm vi bây giờ là gì?
Xác định phạm vi cho Bên C cũng giống như Kịch bản 8b vì địa điểm của khách hàng đã tăng lên nhưng không phải là các địa điểm mà từ đó hỗ trợ được cung cấp. Địa điểm nhân sự của Bên C không thay đổi. Các thỏa thuận với bên cung ứng mới, liên quan đến các bên cung ứng chính và các bên cung ứng thầu phụ, làm cho không có sự khác biệt đối với xác định phạm vi, mặc dù quy mô của dịch vụ và mức độ phức tạp của chuỗi cung ứng dịch vụ đã tăng lên.
Thư mục tài liệu tham khảo
[1] TCVN ISO 9001 (ISO 9001), Hệ thống quản lý chất lượng - Các yêu cầu;
[2] TCVN ISO/IEC 17021-1 (ISO/IEC 17021-1), Đánh giá sự phù hợp - Yêu cầu đối với tổ chức đánh giá và chứng nhận hệ thống quản lý - Phần 1: Các yêu cầu;
[3] TCVN ISO 19011 (ISO 19011 Hệ thống quản lý chất lượng - Hướng dẫn đánh giá hệ thống quản lý;
[4] TCVN 8695-1 (ISO/IEC 20000-1), Công nghệ thông tin - Quản lý dịch vụ - Yêu cầu hệ thống quản lý dịch vụ.
[5] TCVN 8695-2 (ISO/IEC 20000-2), Công nghệ thông tin - Quản lý dịch vụ - Phần 2: Hướng dẫn ứng dụng hệ thống quản lý dịch vụ.
[6] ISO/IEC TR 20000-5, Information technology - Service management - Part 5: Exemplar implementation plan for TCVN 8695-1 (ISO/IEC 20000-1) (ISO/IEC TR 20000-5, Công nghệ thông tin - Quản lý dịch vụ - Phần 5: Kế hoạch triển khai mẫu cho TCVN 8695-1).
[7] ISO/IEC 20000-6, Information technology - Service management - Part 6: Requirements for bodies providing audit and certification of service management systems (ISO/IEC 20000-6, Công nghệ thông tin - Quản lý dịch vụ - Phần 6: Yêu cầu đối với cơ quan cung cấp dịch vụ đánh giá và chứng nhận hệ thống quản lý dịch vụ).
[8] ISO/IEC TR 20000-7, Information technology - Service management - Part 7: Guidance on the integration and correlation of TCVN 8695-1:2023 (ISO/IEC 20000-1:2018) to ISO 9001:2015 and IS0/1 EC 27001:2013 (ISO/IEC TR 20000-7, Công nghệ thông tin - Quản lý dịch vụ - Phần 7: Hướng dẫn tích hợp và tương quan giữa TCVN 8695-1:2023 (ISO/IEC 20000-1:2018) với ISO 9001: 2015 và ISO/IEC 27001: 2013).
[9] ISO/IEC TR 20000-11, Information technology- Service management-Part 11: Guidance on the relationship between TCVN 8695-1:2011 and service management frameworks: ITIL® (ISO/IEC TR 20000-11, Công nghệ thông tin - Quản lý dịch vụ - Phần 11: Hướng dẫn về mối quan hệ giữa TCVN 8695-1: 2011 và các khuôn khổ quản lý dịch vụ: ITIL®).
[10] ISO/IEC TR 20000-12, Information technology- Service management-Part 12 Guidance on the relationship between TCVN 8695-1:2011 and service management frameworks: CMMI-SVC® (ISO/IEC TR 20000-12, Công nghệ thông tin - Quản lý dịch vụ - Phần 12 Hướng dẫn về mối quan hệ giữa TCVN 8695-1: 2011 và các khuôn khổ quản lý dịch vụ: CMMI-SVC®).
[11] TCVN ISO/IEC 27001, Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu;
[12] TCVN 9965 (ISO/IEC 27013), Công nghệ thông tin - Kỹ thuật an ninh - Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1.
Mục lục
Lời nói đầu
1 Phạm vi áp dụng
2 Tài liệu viện dẫn
3 Các thuật ngữ và định nghĩa
4 Đáp ứng các yêu cầu trong TCVN 8695-1
4.1 Cấu trúc của SMS
4.2 Chứng minh sự phù hợp
4.3 Các cơ quan có quyền hạn và trách nhiệm trong toàn bộ chuỗi cung ứng dịch vụ
5 Khả năng áp dụng của TCVN 8695-1
5.1 Các nguyên tắc áp dụng
5.2 Các bên liên quan đến SMS
5.3 Kiểm soát các bên khác
6 Các nguyên tắc chung về phạm vi của một SMS
6.1 Giới thiệu
6.2 Phạm vi của SMS
6.3 Các thỏa thuận giữa các khách hàng và tổ chức
6.4 Các tham số xác định phạm vi
6.5 Hiệu lực của xác định phạm vi
6.6 Thay đổi phạm vi
6.7 Các chuỗi cung ứng dịch vụ và phạm vi SMS
6.8 Tích hợp với các hệ thống quản lý khác
Phụ lục A (tham khảo) Các xác định phạm vi dựa trên kịch bản
A.1 Quy định chung
A.2 Các kịch bản đơn giản
A.3 Các kịch bản với các cấu phần được thuê ngoài
A.4 Các Kịch bản với chuỗi cung ứng dịch vụ phức tạp
A.5 Các Kịch bản với việc thay đổi các thông số SMS
Thư mục tài liệu tham khảo
Ý kiến bạn đọc
Nhấp vào nút tại mỗi ô tìm kiếm.
Màn hình hiện lên như thế này thì bạn bắt đầu nói, hệ thống giới hạn tối đa 10 giây.
Bạn cũng có thể dừng bất kỳ lúc nào để gửi kết quả tìm kiếm ngay bằng cách nhấp vào nút micro đang xoay bên dưới
Để tăng độ chính xác bạn hãy nói không quá nhanh, rõ ràng.