ITIL的誕生與演進

陳光楷 2008/02/13 05:00:00 2007年五月底正式發佈的ITIL v3，再度攫獲了巿場對ITIL的注意力。由於資訊技術（IT）的生命週期愈來愈短、管理環境愈趨複雜與變化速度愈來愈快，連帶地，相關的規範與最佳範例就必須再做強化及更新，ITIL v3的出現亦然。

由來

ITIL（Information Technology Infrastructure Library）最早出現在1980年代，主要是英國政府希望藉由業界最佳實務，以結構化的作法來提升IT部門的服務品質，因而編寫出一套描述作業流程與最佳實務的叢書。

發展迄今，ITIL已被視為落實IT服務管理的要件。也正因為如此，當IT組織尋求IT服務管理的改善之道時，幾乎都會採用及實踐ITIL所建議的流程與實務。

IT服務管理風潮

然而，1980年代就已發佈第一版的ITIL，為何直到近幾年來備受重視，甚至捲起一陣ITIL風潮？關鍵就在於IT組織當前所面臨的壓力及挑戰日益倍增。

IT已經深入企業的運作脈絡之中，成為不可或缺的營運要件，企業對IT的期望及要求也愈來愈高，一方面要提升運作效率及支援效益，另一方面又要控管成本及提升投資報酬率。

分析IT組織主要面臨的挑戰，大致可歸類為4C，也就是變動（Change）、法規（Compliance）、複雜度（Complexity）與成本（Cost）。這四個C相互影響，環環相扣，但傳統的IT環境以技術為導向，造就了許多互不相通的壁壘與區塊，缺乏整體縱觀的觀點與全面整合的作法。

ITIL正是為上述困局解套的關鍵。許多人眼中的ITIL，是服務管理的同義詞，事實上，ITIL v2的內容遠多於此。在ITIL v2的叢書裡，涵蓋了業務目標、IT服務管理、應用程式管理、軟體資產管理、安全管理、ICT基礎架構管理。但巿場公認，ITILv2最精華的內容當推IT服務管理(IT Service Management) ，ITIL裡的IT服務管理由服務供應、服務支援兩大區塊所組成，服務支援偏向運作面，以日常作業內容為重；服務供應則偏戰術面，主要在訂定策略計畫，以管理日常作業內容。這也是為什麼一提到ITIL，就會直接聯想到IT服務管理的原因。

ITIL新舊版本與其他標準規範的相輔相成

有人認為，ITIL v3的出現等於是取代ITIL v2，其實不然。ITIL就像是一套愈來愈完整的百科全書，這套百科全書是由v1、v2、及v3共同組成，每個版本都有各自的叢書內容，v3是在增修及補充v2的不足之處，例如；

1.v2較缺乏導入所需明確的指導方針(how-to guidelines)

2.v2部份流程重疊並且不明確(Change與Release Management)

3.v2缺乏IT治理的相關流程並僅涵蓋部份IT管理的流程

ITIL V3 VS ITIL V2

ITIL v2與ITIL v3最大的差異在於，ITIL v2是以作業流程為導向並著重於流程執行所需的最佳典範(Best Practice)，ITIL v3則採用生命週期的觀念，強化IT與業務面的對應，同時增加了更多實作方法，主要內容包括(Five Core Books)從服務策略的制定以符合企業的需求、服務設計、服務轉換、服務運行，以及持續改善服務。

異曲同工

值得注意的是，除了ITIL之外，業界還有許多作業標準規範與專業認證，內容與ITIL或有重疊及互補之處，業界流程相關標準規範與專業認證目標差異如下圖:

流程相關標準規範與專業認證	目標
CMMI (Capability Maturity Model Integration)	改善專案相關流程
COBIT (Control Objectives for Information and related Technology) version 4.1	IT治理
ISO 17799	評量資訊安全管理導入成效
ISO 20000	評量IT服務管理導入成效
ITIL (Information Technology Infrastructure Library)	提供IT管理流程最佳典範
Six Sigma	提供持續流程品質改善的方法

以ISO 20000為例，它在2006年正式成為IT服務管理的國際標準規範，內容可與ITIL相輔相成。但最大差別在於ISO 20000會評量企業的實踐成果並授與認證證書，ITILv2的實踐則並未搭配任何認證制度。ITIL v.2的導入可透過ISO20000的標準來評量企業的流程是否已經到達IT管理成熟的階段。但v.3超過ISO 20000的標準，企業要評估的是需不需要導入超過那些標準的投資(ROI)。

也正因為如此，歐美國家偏重導入ITIL並以改善自我管理流程為目標，亞洲國家則獨鍾透過ISO 20000導入以取得認證以驗證ITIL導入的成效。

另一個常被提及的標準規範則是COBIT。ISACA（國際電腦稽核協會）在1996年首度提出COBIT（Control Objectives for Information and related Technology），它的性質偏重在策略規劃，以及控管點查核，因此，最用來稽核IT治理或法規遵循的控管目標，ITIL則可視為落實這些控管目標的框架，所以，ISACA在去年也發佈了一份名為「Aligning COBIT, ISO17799 and ITIL」的文件。

不同的標準規範各有訴求重點，而IT服務管理應該從使用者的角度，來決定採行的標準，例如若企業IT服務重點在營運面的改善(Operational Improvement)， ITIL的導入與ISO20000的落實驗證便很適合；若是治理或規劃的需求，則與COBIT（Control Objectives for Information and related Technology，資訊與相關技術控制目標）成為最佳搭檔。因此，根據企業需求的輕重緩急，選擇最合適的標準規範與作業實務，才是最佳的解決之道。

作者為台灣IBM IT服務管理資深顧問暨ITIL認證服務管理經理