IT Service Management (ITSM) Standards and Best Practices
กล่าวถึงปรัชญาของหลักการ IT Service Management (ITSM) ก็คือ การใช้เทคโนโลยีสารสนเทศเพื่อสนับสนุนความต้องการและเป้าหมายทางธุรกิจขององค์กร (Business Requirements & Objectives) เรียกได้ว่า IT ต้อง “Support” Business ไม่ใช่ Business Support IT องค์กรส่วนใหญ่ในปัจุบันนั้นให้ความสำคัญแก่ “Business Requirement” เป็นลำดับแรก โดยใช้หลัก “Business Leads IT” เทคโนโลยีสารสนเทศถูกนำมาใช้เพื่อเป็นกลไกในการขับเคลื่อนทางธุรกิจธุรกรรมต่างๆ ขององค์กร ดังนั้น การนำเทคโนโลยีสารสนเทศมาใช้ในการให้บริการโดยอ้างอิงจาก กระบวนการบริหารจัดการงานบริการเทคโนโลยีสารสนเทศ “IT Service Management” หรือ “ITSM” ซึ่งเน้นเรื่องการบริหารจัดการทางด้านเทคโนโลยีสารสนเทศให้ตอบสนองต่อความต้องการของธุรกิจ และ มุ่งไปที่ความพึงพอใจของผู้ใช้ระบบสารสนเทศ (Users) หรือ ลูกค้า (Customers) เป็นใหญ่ (ดูรูปที่ 2 )
การนำเทคโนโลยีสารสนเทศมาใช้ในอดีตมักจะเน้นเรื่องทางด้านเทคนิค หรือ “Technology” เป็นจุดสำคัญและมุ่งไปที่การให้บริการภายในองค์กรเท่านั้น แต่ในปัจจุบันองค์กรสมัยใหม่นิยมนำเทคโนโลยีสารสนเทศมาใช้ในการให้บริการลูกค้าให้เกิดความพึงพอใจสูงสุด (Customer Satisfaction) โดยเน้นไปที่ “คุณภาพในการให้บริการ” หรือ “Quality of Service” เช่น เรื่อง Service Level Agreement (SLA) ในสัญญาการให้บริการเทคโนโลยีสารสนเทศ เป็นต้น (ดูรูปที่ 3 และ รูปที่ 4)
“ITSM” เป็นหลักการที่เน้นเรื่องของ “กระบวนการ” หรือ “Process-focused” ซึ่งมุ่งเน้นในการพัฒนากระบวนการให้มีประสิทธิภาพมากยิ่งขึ้นโดยสามารถใช้ร่วมกับหลักการ Best Practice อื่นๆ (ดูรูปที่ 5) ยกตัวอย่างเช่น การนำหลักการ TQM , Six Sigma, CMMI หรือ Business Process Improvement (BPM) มาใช้ร่วมกับ ITSM เป็นต้น โดยแนวความคิด ITSM ไม่เน้นเรื่อง “Technology” หรือ “Product” แต่อย่างใด แต่จะเน้นเรื่องกระบวนการในการให้บริการแก่ users และ customers เป็นหลัก และ ITSM ยังสนับสนุนหลักการ “IT Governance” หรือ “GRC” (Governance , Risk Management and Compliance) อีกด้วย
หลักการ ITSM โดยปกติแล้วจะไม่รวมเรื่องการบริหารโครงการ หรือ “Project Management” อยู่ในตัว ITSM เอง แต่จะนำ “Best Practices” ของการบริหารโครงการมาใช้ร่วมกันกับ ITSM มากกว่า ยกตัวอย่าง ในประเทศอังกฤษนิยมนำ Best Practices ด้าน “Project Management” ได้แก่ “PRINCE2” (PRojects IN Controlled Environment) ของ OGC (Office of Government Commerce) มาใช้ร่วมกับ Framework “ITIL” หรือ บางองค์กรอาจนำ “PMBOK” (Project Management Body of Knowledge) ของ PMI (Project Management Institute) มาใช้แทน PRINCE2 ก็สามารถทำได้เช่นกัน
แนวคิด ITSM ยังรวมถึงเรื่องการวางแผนการใช้งานเทคโนโลยีสารสนเทศ (IT Planning) และการบริหารด้านการเงิน (Financial Management) ที่มีส่วนคล้ายกับหลักการ “IT Portfolio Management” ซึ่งเป็นอีกแนวคิดหนึ่งที่องค์กรขนาดใหญ่นิยมนำมาใช้ โดย “IT Portfolio Management” จะประกอบด้วย 3 Portfolio ได้แก่ Application Portfolio, Project Portfolio และ Resource Portfolio Management (RPM)
ในปัจจุบันหลักการ “IT Service Management” หรือ “ITSM” นั้นมีหลากหลาย Framework ให้องค์กรเลือกนำมาใช้ ได้แก่ ITIL Framework ของ OGC (Office of Government Commerce), CobiTและ Val IT Framework ของ ISACA, ITUP ของ IBM, ASL ของ Netherlands และ MOF ของ Microsoft เป็นต้น
กล่าวถึง “ITSM” ก็คงต้องพูดถึง “ITSMF” หรือ “IT Service Management Forum” เป็นองค์กรไม่แสวงหาผลกำไร ที่ตั้งอยู่ทั่วโลกกว่า 45 Chapters มีสมาชิกกว่า 5,000 บริษัท และเป็นสมาชิกบุคคลกว่า 70,000 คน โดย ITSMF มุ่งสนับสนุน ITIL Framework และ มาตรฐาน ISO/IEC 20000 ซึ่งใช้เป็นมาตรฐานในการตรวจสอบ “ITSM” Implementation (ITSM Audit Standard) มาตรฐาน ISO/IEC 20000 นั้นถูกพัฒนามาจากมาตรฐาน BS 15000 ของ BSI และ ITIL ของ OGC บางครั้งนิยมเรียก มาตรฐาน ISO/IEC 20000 เป็นมาตรฐาน “ITIL Assessment” หรือ “ITIL Standard”
“ITIL” เหมือน หรือ แตกต่างจาก “ITSM” ตรงไหน?
ความหมายของ “ITIL” และ “ITSM” นั้นมีความใกล้เคียงกันมากแต่ไม่เหมือนกัน กล่าวคือ ITIL เป็นองค์ความรู้ที่ประกอบด้วยตำราหลายเล่ม สำหรับ ITIL V2 มีตำราทั้งหมด 9 เล่ม และ ITIL V3 มีทั้งหมด 5 เล่ม แต่ ITSM เป็น “หลักการ” หรือ “Concept” ที่กล่าวถึงกระบวนการบริหารจัดการงานบริการเทคโนโลยีสารสนเทศดังที่กล่าวมาแล้วในตอนต้น ซึ่งการนำ ITIL มาใช้ร่วมกับหลักการ ITSM ก็เป็นวิธีการที่นิยมกันในปัจจุบัน โดย ITIL จะเน้นที่ “What” ว่าควรทำอะไรบ้าง แต่ ITSM จะเน้นที่ “How” คือการทำอย่างไรให้ “IT” สามารถ “Align” กับ “Business” โดย “ITIL” เปรียบเสมือนศาสตร์ (Science) และ “ITSM” เปรียบเสมือนศิลป (Art) ที่ต้องนำมาใช้ร่วมกันจึงจะเกิดประโยชน์สูงสุด
กล่าวถึงประวัติของ “ITIL” Framework นั้นเริ่มต้นพัฒนามาจาก Central Computer and Telecommunication Agency (CCTA) ซึ่งเป็นหน่วยงานของรัฐบาลประเทศอังกฤษ ในปัจจุบัน CCTA ก็คือ OGC (Office of Government Commerce) โดยใน ช่วงปี ค.ศ. 1992 – 1998 CCTA ได้ประกาศ ITIL Version 1 เป็นตำรากว่า 30 เล่ม และ ในปี ค.ศ. 2000 ได้ประกาศ ITIL Version 2 (ดูรูปที่ 1) ประกอบด้วยตำราหลักทั้งหมด 10 เล่ม เล่มแรกคือ “Introduction to ITIL” เล่ม 2 และ 3 ถือเป็น 2 เล่มหลักของ ITIL V2 ที่รวมเรียกว่า “Service Management” ได้แก่ 2 หัวข้อหลักคือ “Service Support” และ “Service Delivery” ประกอบไปด้วย กระบวนการบริหารจัดการงานบริการเทคโนโลยีสารสนเทศ 11 กระบวนการ (ดูรูปที่ 6 และ รูปที่ 7 )
โดย “Service Delivery” มีทั้งหมด 5 กระบวนการ ได้แก่
- Service Level Management
- Financial Management for IT Services
- Capacity Management
- IT Service Continuity Management
- Availability Management
ในส่วนของ “Service Support” มีทั้งหมด 6 กระบวนการ ได้แก่
- Service Desk
- Configuration Management
- Incident Management
- Problem Management
- Change Management
- Release Management
สำหรับ ITIL V2 เล่มที่ 4-8 ใช้เป็น “Operation Guidance” ได้แก่ “ICT Infrastructure Management” , “Security Management” (อ้างอิงมาตรฐาน ISO/IEC 27001) , “The Business Perspective”, “Application Management” และ “Software Asset Management” และเล่มที่ 9 คือแนวทางในการนำ “Service Management” มาใช้คือ “Planning to Implement Service Management” และเล่มสุดท้ายคือ “ITIL Small-Scale Implementation” หรือ “ITIL Lite” เหมาะสำหรับองค์กรขนาดเล็ก
ในเดือนธันวาคม ค.ศ. 2005 ทาง OGC ซึ่งเป็นต้นกำเนิดของ ITIL ได้นำ ITIL V2 มาปัดฝุ่นเสียใหม่ (ITIL Refresh) เรียกว่า “Major Change” กันเลยทีเดียว ซึ่งเป็นการนำมาสู่ ITIL V3 ในเดือนพฤษภาคม ค.ศ. 2007 ซึ่ง ITIL V3 (ดูรูปที่ 8) นั้นจะประกอบด้วย ตำราทั้งหมดเพียง 5 เล่ม ได้แก่
- Service Strategy (Core of ITIL V3)
- Service Design
- Service Transition
- Service Operation
- Continual Service Improvement (CSI)
ใน ITIL Version 3 มีการรวมกันของ “Service Support” และ “Service Delivery” ไม่ได้แยกกันเหมือนใน ITIL
V2 โดย ITIL V3 จะพัฒนาเป็น “Service Lifecycle” ไม่ยึดติดกับ Service Delivery และ Service Support แบบเดิมอีกต่อไป
หลักการแนวคิด ITIL V3 มีการออกแบบใหม่ให้ใกล้เคียงกับมาตรฐาน ISO/IEC 20000 ยกตัวอย่างเรื่อง “Service Lifecycle Approach” มีการอ้างอิงทั้งใน ITIL V3 และ ISO/IEC 20000 เป็นต้นนอกจากนี้ ITIL V3 ยังเน้นเรื่องการ “Alignment” ระหว่าง “IT” กับ “Business” ITIL V3 มองเรื่องการสร้าง “Business Value” มากกว่าแค่ “Process Execution” เท่านั้น เรียกได้ว่า ITIL V3 นั้นเป็น “Best Practice” ที่ “support business” อย่างเต็มรูปแบบก็ว่าได้
สำหรับมาตรฐาน ISO/IEC 20000 (ดูรูปที่ 9) จะประกอบด้วย 5 กระบวนการหลัก ได้แก่
- Service Delivery Process
- Relationship Processes
- Control Processes
- Resolution Processes
- Release Process
อีกประเด็นหนึ่งที่ควรทำความเข้าใจก็คือ เราไม่ควรใช้คำว่า “Comply ITIL” หรือ “ITIL Compliant” เพราะ ITIL ไม่ใช่มาตรฐาน (Standard) แต่ ITIL เป็น “Framework” ซึ่ง CobiTก็เช่นกันเป็น Framework ไม่ใช่ “Standard” ถ้าจะพูดถึง “Compliance” ต้องอ้างอิงมาตรฐานสากลด้าน IT Service Management คือ ISO/IEC 20000
กล่าวโดยสรุปคือ หากกล่าวถึงมาตรฐานด้านความมั่นคงปลอดภัยข้อมูล หลายคนคงนึกถึงมาตรฐาน ISO/IEC 27001 หรือ Information Security Management System (ISMS) ที่กำลังเป็นที่นิยมปฏิบัติกันในองค์กรระดับ Enterprise ในประเทศไทยเวลานี้ โดยมีองค์กรที่ผ่านการรับรองมาตรฐาน ISO/IEC 27001 แล้วเกือบยี่สิบราย โดยมาตรฐาน ISO/IEC 27001 จะมุ่งเน้นไปที่ความมั่นคงปลอดภัยสารสนเทศในมุมมองของ CIA TRIAD (C = Confidentiality, I = Integrity, A = Availability) เป็นหลัก แต่เบื้องหลังความสำเร็จของการตรวจผ่านมาตรฐาน ISO/IEC 27001 ก็คือ การนำองค์ความรู้ “IT Service Management” (ITSM) ซึ่งเป็น “กระบวนการบริหารจัดการงานบริการเทคโนโลยีสารสนเทศ” มาช่วยเสริมในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001 เช่น การนำ ITIL (IT Infrastructure Library) Framework หรือ การใช้แนวทางการปฏิบัติจากมาตรฐาน ISO/IEC 20000 มาประยุกต์ใช้ในกระบวนการ “Change Management” (ISO/IEC 27001 Annex A. A.10.1.2) , “Capacity Management” (ISO/IEC 27001 Annex A. A.10.3.1) หรือ “Incident Management” (ISO/IEC 27001 Annex A. A.13) เป็นต้น (ดูรูปที่ 10)