"IT Service Management (ITSM) Standards and Best Practices"

เรื่องน่ ารู้เกีย
่ วกับมาตรฐานและแนวทางปฎิบัติทีด
่ เี กีย
่ วกับกระบวนการ บริหาร
จัดการงานบริการเทคโนโลยีสารสนเทศทีผ ่ ู้ตรวจสอบภายในควรทราบ
Tue, 12 Jan 2010

รูปที่ 1 The ITSM standards and best practices pyramid

กล่าวถึงปรัชญาของหลักการ IT Service Management (ITSM) ก็คือ การใช้

เทคโนโลยีสารสนเทศเพื่อสนับสนุนความต้องการและเป้ าหมายทางธุรกิจของ องค์กร
(Business Requirements & Objectives) เรียกได้ว่า IT ต้อง "Support" Business
ไม่ใช่ Business Support IT องค์กรส่วนใหญ่ในปั จุบันนั้นให้ความสำาคัญแก่ "Business
Requirement" เป็ นลำาดับแรก โดยใช้หลัก "Business Leads IT" เทคโนโลยี
สารสนเทศถูกนำามาใช้เพื่อเป็ นกลไกในการขับเคลื่อนทางธุรกิจธุรกรรม ต่างๆ ของ
องค์กร ดังนั้น การนำาเทคโนโลยีสารสนเทศมาใช้ในการให้บริการโดยอ้างอิงจาก
กระบวนการบริหารจัดการงานบริการเทคโนโลยีสารสนเทศ "IT Service
Management" หรือ "ITSM" ซึ่งเน้นเรื่องการบริหารจัดการทางด้านเทคโนโลยี
สารสนเทศให้ตอบสนองต่อความ ต้องการของธุรกิจ และ ม่ง ุ ไปที่ความพึงพอใจของผู้ใช้
ระบบสารสนเทศ (Users) หรือ ลูกค้า (Customers) เป็ นใหญ่ (ดูรูปที่ 2 )
 รูปที่ 2 Business/IT Alignment

การนำาเทคโนโลยีสารสนเทศมาใช้ในอดีตมักจะเน้น เรื่องทางด้านเทคนิ ค หรือ

"Technology" เป็ นจุดสำาคัญและมุ่งไปที่การให้บริการภายในองค์กรเท่านั้น แต่ใน
ปั จจุบันองค์กรสมัยใหม่นิยมนำาเทคโนโลยีสารสนเทศมาใช้ในการให้บริการ ลูกค้าให้เกิด
ความพึงพอใจสูงสุด (Customer Satisfaction) โดยเน้นไปที่ "คุณภาพในการให้
บริการ" หรือ "Quality of Service" เช่น เรื่อง Service Level Agreement (SLA) ใน
สัญญาการให้บริการเทคโนโลยีสารสนเทศ เป็ นต้น (ดูรูปที่ 3 และ รูปที่ 4)

รูปที่ 3 How to use Standards and Best Practices (Strategic, Control and
Process Perspective)
 รูปที่ 4 How to use Standards and Best Practices (Holistic Approach)

"ITSM" เป็ นหลักการที่เน้นเรื่องของ "กระบวนการ" หรือ "Process-focused" ซึ่งมุ่ง

เน้นในการพัฒนากระบวนการให้มีประสิทธิภาพมากยิ่งขึ้นโดยสามารถใช้ ร่วมกับหลัก
การ Best Practice อื่นๆ (ดูรูปที่ 5) ยกตัวอย่างเช่น การนำาหลักการ TQM , Six
Sigma, CMMI หรือ Business Process Improvement (BPM) มาใช้ร่วมกับ ITSM
เป็ นต้น โดยแนวความคิด ITSM ไม่เนูนเรื่อง "Technology" หรือ "Product"
แต่อย่างใด แต่จะเนูนเรื่องกระบวนการในการใหูบริการแก่ users และ
customers เป็ นหลัก และ ITSM ยังสนับสนุนหลักการ "IT Governance"
หรือ "GRC" (Governance , Risk Management and Compliance) อีก
ดูวย

รูปที่ 5 : ITIL is the top IT strategy today

หลักการ ITSM โดยปกติแล้วจะไม่รวมเรื่องการบริหารโครงการ หรือ "Project

Management" อยู่ในตัว ITSM เอง แต่จะนำา "Best Practices" ของการบริหาร
โครงการมาใช้ร่วมกันกับ ITSM มากกว่า ยกตัวอย่าง ในประเทศอังกฤษนิ ยมนำา Best
Practices ด้าน "Project Management" ได้แก่ "PRINCE2" (PRojects IN
Controlled Environment) ของ OGC (Office of Government Commerce) มาใช้
ร่วมกับ Framework "ITIL" หรือ บางองค์กรอาจนำา "PMBOK" (Project
Management Body of Knowledge) ของ PMI (Project Management Institute)
มาใช้แทน PRINCE2 ก็สามารถทำาได้เช่นกัน
แนวคิด ITSM ยังรวมถึงเรื่องการวางแผนการใช้งานเทคโนโลยีสารสนเทศ (IT
Planning) และการบริหารด้านการเงิน (Financial Management) ที่มีส่วนคล้ายกับ
หลักการ "IT Portfolio Management" ซึ่งเป็ นอีกแนวคิดหนึ่ งที่องค์กรขนาดใหญ่นิยม
นำามาใช้ โดย "IT Portfolio Management" จะประกอบด้วย 3 Portfolio ได้แก่
Application Portfolio , Project Portfolio และ Resource Portfolio Management
(RPM)

ในปั จจุบน
ั หลักการ "IT Service Management" หรือ "ITSM" นัน
้ มีหลาก
หลาย Framework ใหูองค์กรเลือกนำ ามาใชู ไดูแก่ ITIL Framework ของ
OGC (Office of Government Commerce) , CobiT และ Val IT
Framework ของ ISACA , ITUP ของ IBM , ASL ของ Netherlands และ
MOF ของ Microsoft เป็ นตูน

กล่าวถึง "ITSM" ก็คงต้องพูดถึง "ITSMF" หรือ "IT Service Management Forum"

เป็ นองค์กรไม่แสวงหาผลกำาไร ที่ต้ง
ั อยู่ท่ัวโลกกว่า 45 Chapters มีสมาชิกกว่า 5,000
บริษทั และเป็ นสมาชิกบุคคลกว่า 70,000 คน โดย ITSMF มุ่งสนับสนุน ITIL
Framework และ มาตรฐาน ISO/IEC 20000 ซึ่งใช้เป็ นมาตรฐานในการตรวจสอบ
"ITSM" Implementation (ITSM Audit Standard) มาตรฐาน ISO/IEC 20000 นั้น
ถูกพัฒนามาจากมาตรฐาน BS 15000 ของ BSI และ ITIL ของ OGC บางครั้งนิ ยมเรียก
มาตรฐาน ISO/IEC 20000 เป็ นมาตรฐาน "ITIL Assessment" หรือ "ITIL Standard"

"ITIL" เหมือน หรือ แตกต่างจาก "ITSM" ตรงไหน?

ความหมายของ "ITIL" และ "ITSM" นั้นมีความใกล้เคียงกันมากแต่ไม่เหมือนกัน กล่าว

คือ ITIL เป็ นองค์ความรู้ท่ีประกอบด้วยตำาราหลายเล่ม สำาหรับ ITIL V2 มีตำาราทั้งหมด 9
เล่ม และ ITIL V3 มีท้ังหมด 5 เล่ม แต่ ITSM เป็ น "หลักการ" หรือ "Concept" ที่กล่าว
ถึงกระบวนการบริหารจัดการงานบริการเทคโนโลยีสารสนเทศดังที่กล่าวมา แล้วในตอน
ต้น ซึง
่ การนำา ITIL มาใช้ร่วมกับหลักการ ITSM ก็เป็ นวิธีการที่นิยมกันในปั จจุบัน โดย
ITIL จะเน้นที่ "What" ว่าควรทำาอะไรบ้าง แต่ ITSM จะเน้นที่ "How" คือการทำาอย่างไร
ให้ "IT" สามารถ "Align" กับ "Business" โดย "ITIL" เปรียบเสมือนศาสตร์ (Science)
และ "ITSM" เปรียบเสมือนศิลป (Art) ที่ต้องนำามาใช้ร่วมกันจึงจะเกิดประโยชน์สง ู สุด

กล่าวถึงประวัติของ "ITIL" Framework นั้นเริ่มต้นพัฒนามาจาก Central Computer

and Telecommunication Agency (CCTA) ซึ่งเป็ นหน่ วยงานของรัฐบาลประเทศ
อังกฤษ ในปั จจุบน
ั CCTA ก็คือ OGC (Office of Government Commerce) โดยใน
ช่วงปี ค.ศ. 1992 – 1998 CCTA ได้ประกาศ ITIL Version 1 เป็ นตำารากว่า 30 เล่ม
และ ในปี ค.ศ. 2000 ได้ประกาศ ITIL Version 2 (ดูรูปที่ 1) ประกอบด้วยตำาราหลัก
ทั้งหมด 10 เล่ม เล่มแรกคือ "Introduction to ITIL" เล่ม 2 และ 3 ถือเป็ น 2 เล่มหลัก
ของ ITIL V2 ที่รวมเรียกว่า "Service Management" ได้แก่ 2 หัวข้อหลักคือ "Service
Support" และ "Service Delivery" ประกอบไปด้วย กระบวนการบริหารจัดการงาน
บริการเทคโนโลยีสารสนเทศ 11 กระบวนการ (ดูรูปที่ 6 และ รูปที่ 7 )
 รูปที่ 6 : ITIL version 2 "Service Delivery" and "Service Support"

โดย "Service Delivery" มีท้ังหมด 5 กระบวนการ ได้แก่

1. Service Level Management

2. Financial Management for IT Services
3. Capacity Management
4. IT Service Continuity Management
5. Availability Management

ในส่วนของ "Service Support" มีท้ังหมด 6 กระบวนการ ได้แก่

1. Service Desk
2. Configuration Management
3. Incident Management
4. Problem Management
5. Change Management
6. Release Management

สำาหรับ ITIL V2 เล่มที่ 4-8 ใช้เป็ น "Operation Guidance" ได้แก่ "ICT

Infrastructure Management" , "Security Management" (อ้างอิงมาตรฐาน
ISO/IEC 27001) , "The Business Perspective", "Application Management"
และ "Software Asset Management" และเล่มที่ 9 คือแนวทางในการนำา "Service
Management" มาใช้คือ "Planning to Implement Service Management" และ
เล่มสุดท้ายคือ "ITIL Small-Scale Implementation" หรือ "ITIL Lite" เหมาะสำาหรับ
องค์กรขนาดเล็ก
 รูปที่ 7 : ITIL Process Implementation Priority

ในเดือนธันวาคม ค.ศ. 2005 ทาง OGC ซึ่งเป็ นต้นกำาเนิ ดของ ITIL ได้นำา ITIL V2 มาปั ด
ฝ่ ุนเสียใหม่ (ITIL Refresh) เรียกว่า "Major Change" กันเลยทีเดียว ซึง
่ เป็ นการนำามา
สู่ ITIL V3 ในเดือนพฤษภาคม ค.ศ. 2007 ซึ่ง ITIL V3 (ดูรูปที่ 8) นั้นจะประกอบด้วย
ตำาราทั้งหมดเพียง 5 เล่ม ได้แก่

1. Service Strategy (Core of ITIL V3)

2. Service Design
3. Service Transition
4. Service Operation
5. Continual Service Improvement (CSI)

ใน ITIL Version 3 มีการรวมกันของ "Service Support" และ "Service Delivery"

ไม่ได้แยกกันเหมือนใน ITIL
V2 โดย ITIL V3 จะพัฒนาเป็ น "Service Lifecycle" ไม่ยึดติดกับ Service Delivery
และ Service Support แบบเดิมอีกต่อไป

หลักการแนวคิด ITIL V3 มีการออกแบบใหม่ให้ใกล้เคียงกับมาตรฐาน ISO/IEC 20000

ยกตัวอย่างเรื่อง "Service Lifecycle Approach" มีการอ้างอิงทั้งใน ITIL V3 และ
ISO/IEC 20000 เป็ นต้น นอกจากนี้ ITIL V3 ยังเนูนเรื่องการ "Alignment"
ระหว่าง "IT" กับ "Business" ITIL V3 มองเรื่องการสรูาง "Business Value"
มากกว่าแค่ "Process Execution" เท่านัน ้ เรียกไดูว่า ITIL V3 นัน ้ เป็ น "Best
Practice" ที่ "support business" อย่างเต็มร้ปแบบก็ว่าไดู
 รูปที่ 8 : ITIL Version 3

สำาหรับมาตรฐาน ISO/IEC 20000 (ดูรูปที่ 9) จะประกอบด้วย 5 กระบวนการหลัก ได้แก่

1. Service Delivery Process

2. Relationship Processes
3. Control Processes
4. Resolution Processes
5. Release Process

รูปที่ 9 : ISO/IEC 20000 Standard

อีกประเด็นหนึ่ งทีค
่ วรทำาความเขูาใจก็ คือ เราไม่ควรใชูคำาว่า "Comply ITIL"
หรือ "ITIL Compliant" เพราะ ITIL ไม่ใช่มาตรฐาน (Standard) แต่ ITIL
เป็ น "Framework" ซึง ่ CobiT ก็เช่นกันเป็ น Framework ไม่ใช่ "Standard"
ถูาจะพ้ดถึง "Compliance" ตูองอูางอิงมาตรฐานสากลดูาน IT Service
Management คือ ISO/IEC 20000

กล่าวโดยสรุปคือ หากกล่าวถึงมาตรฐานด้านความมั่นคงปลอดภัยข้อมูล หลายคนคง

นึ กถึงมาตรฐาน ISO/IEC 27001 หรือ Information Security Management
System (ISMS) ที่กำาลังเป็ นที่นิยมปฏิบัติกน ั ในองค์กรระดับ Enterprise ในประเทศไทย
เวลานี้ โดยมีองค์กรที่ผ่านการรับรองมาตรฐาน ISO/IEC 27001 แล้วเกือบยี่สิบราย โดย
มาตรฐาน ISO/IEC 27001 จะม่ง ุ เน้นไปที่ความมั่นคงปลอดภัยสารสนเทศในมุมมองของ
CIA TRIAD (C = Confidentiality, I = Integrity, A = Availability) เป็ นหลัก แต่
เบื้องหลังความสำาเร็จของการตรวจผ่านมาตรฐาน ISO/IEC 27001 ก็คือ การนำาองค์
ความรู้ "IT Service Management" (ITSM) ซึ่งเป็ น "กระบวนการบริหารจัดการงาน
บริการเทคโนโลยีสารสนเทศ" มาช่วยเสริมในการบริหารจัดการความมั่นคงปลอดภัย
สารสนเทศตามมาตรฐาน ISO/IEC 27001 เช่น การนำา ITIL (IT Infrastructure
Library) Framework หรือ การใช้แนวทางการปฏิบัติจากมาตรฐาน ISO/IEC 20000
มาประยุกต์ใช้ในกระบวนการ "Change Management" (ISO/IEC 27001 Annex A.
A.10.1.2) , "Capacity Management" (ISO/IEC 27001 Annex A. A.10.3.1) หรือ
"Incident Management" (ISO/IEC 27001 Annex A. A.13) เป็ นต้น (ดูรูปที่ 10)

รูปที่ 10 : ITIL, ISO/IEC 20000 (ITSM) and ISO/IEC 27001(ISM) in big picture

ที่มา
http://www.acisonline.net/article/?p=13