Tiêu chuẩn quốc gia TCVN 8695-3:2023 (ISO/IEC 20000-3:2019) về Công nghệ thông tin - Quản lý dịch vụ - Phần 3 cung cấp hướng dẫn chi tiết về việc xác định phạm vi và khả năng áp dụng của tiêu chuẩn TCVN 8695-1 (ISO/IEC 20000-1) đối với Hệ thống quản lý dịch vụ (SMS) của các tổ chức. Tiêu chuẩn này áp dụng cho mọi tổ chức, không phân biệt quy mô, loại hình hay tình trạng thương mại, đang vận hành hoặc có nhu cầu thiết lập, duy trì và cải tiến một hệ thống quản lý dịch vụ đạt chuẩn quốc gia và quốc tế.

- Khả năng áp dụng của TCVN 8695-1

• Xác định tổ chức: Tổ chức trong phạm vi của SMS phải được xác định một cách chính xác. Chứng chỉ phù hợp tiêu chuẩn thường được cấp cho một pháp nhân duy nhất thay vì một nhóm các pháp nhân không liên quan, trừ trường hợp các thực thể liên quan có chung một cơ quan giám hộ và pháp nhân chủ quản chịu trách nhiệm giám quản chung.
• Tình trạng thương mại và tài sản: Dịch vụ có thể được chuyển giao trên cơ sở thương mại hoặc phi thương mại. Cơ sở tài chính của việc bàn giao dịch vụ không ảnh hưởng đến khả năng áp dụng tiêu chuẩn hoặc phạm vi của SMS. Tổ chức cũng không nhất thiết phải sở hữu các tài sản được sử dụng để bàn giao dịch vụ.
• Yêu cầu tuân thủ cốt lõi: Tổ chức phải đáp ứng toàn bộ các yêu cầu quy định trong TCVN 8695-1 đối với phạm vi của SMS. Các yêu cầu từ Điều 6 đến Điều 10 có thể do các bên khác đáp ứng với điều kiện tổ chức chứng minh được các biện pháp kiểm soát hiệu quả đối với các bên đó. Tuy nhiên, các yêu cầu tại Điều 4 (Bối cảnh của tổ chức) và Điều 5 (Sự lãnh đạo) bắt buộc phải do chính tổ chức tự thực hiện.
• Quyền hạn và trách nhiệm giải trình: Tổ chức phải duy trì trách nhiệm giải trình cuối cùng đối với tất cả các yêu cầu trong tiêu chuẩn, ngay cả khi có sự tham gia hỗ trợ từ các bên khác trong vòng đời dịch vụ.

- Các bên liên quan và cơ chế kiểm soát trong SMS

• Các kiểu bên cung ứng: Tổ chức có thể kết hợp nhiều loại hình bên cung ứng bao gồm bên cung ứng nội bộ (có thỏa thuận tư liệu hóa quy định rõ sự đóng góp cho SMS), bên cung ứng ngoài (quản lý thông qua hợp đồng thương mại), và khách hàng đóng vai trò là bên cung ứng (yêu cầu phải có hai thỏa thuận riêng biệt: một thỏa thuận về bàn giao dịch vụ cho khách hàng và một thỏa thuận quy định các điều kiện kiểm soát đối với khách hàng khi họ đóng vai trò cung ứng).
• Trách nhiệm giải trình và kiểm soát: Tổ chức phải chịu trách nhiệm giải trình về việc đo lường, đánh giá kết quả thực hiện quy trình và tính hiệu quả của các dịch vụ hoặc cấu phần dịch vụ do bên khác cung cấp. Lãnh đạo cao nhất phải cam kết thực hiện và duy trì các biện pháp kiểm soát này.
• Tích hợp và phối hợp dịch vụ (SIAM): Tổ chức cần tích hợp một cách phù hợp các dịch vụ, cấu phần dịch vụ và quy trình do chính mình hoặc các bên khác vận hành. Vai trò "bên tích hợp dịch vụ" có thể do chính tổ chức hoặc một bên cung ứng đảm nhận nhằm quản lý, điều phối chuỗi cung ứng phức tạp, đảm bảo đạt được giá trị tối đa và đầu ra dự kiến.
• Định nghĩa về kiểm soát và đo lường: Tổ chức phải áp dụng các biện pháp kiểm soát cụ thể đối với hiệu suất của quy trình và dịch vụ từ bên thứ ba, ví dụ như thiết lập tiêu chí hài lòng của khách hàng, đo lường sự tuân thủ mức dịch vụ (SLA) trong quản lý sự cố, và đưa các yêu cầu an ninh thông tin vào hợp đồng văn bản.

- Các nguyên tắc chung về xác định phạm vi của SMS

• Yêu cầu đối với tuyên bố phạm vi: Tuyên bố phạm vi phải nêu rõ những gì được bao gồm trong SMS, đảm bảo tính đơn giản, ngắn gọn, dễ hiểu đối với các bên quan tâm bên ngoài mà không cần kiến thức chi tiết về nội bộ tổ chức. Tuyên bố phạm vi không được tham chiếu đến các tài liệu nằm ngoài phạm vi của SMS và phải làm rõ mọi loại trừ nếu có.
• Giới hạn phạm vi: Phạm vi có thể bao gồm toàn bộ tổ chức hoặc giới hạn trong một số dịch vụ cụ thể, dịch vụ cung cấp cho một khách hàng nhất định, hoặc dịch vụ được cung cấp từ một địa điểm cụ thể.
• Thỏa thuận với khách hàng: Tổ chức không được sử dụng các điều khoản hợp đồng hoặc thỏa thuận với khách hàng để giảm bớt nghĩa vụ đáp ứng các yêu cầu của TCVN 8695-1. Ví dụ, quy trình quản lý năng lực vẫn bắt buộc phải thực hiện đối với các dịch vụ trong phạm vi SMS ngay cả khi hợp đồng với khách hàng loại trừ điều khoản này.
• Các tham số xác định phạm vi tối thiểu: Phải bao gồm tên thực tế của đơn vị tổ chức bàn giao dịch vụ và các dịch vụ hoặc loại dịch vụ được đề xuất cho khách hàng. Các tham số bổ sung có thể gồm thông tin khách hàng, địa điểm vận hành quản lý dịch vụ, và địa điểm của khách hàng.

- Hiệu lực và thay đổi phạm vi SMS

• Duy trì hiệu lực: Tổ chức phải tiến hành đánh giá nội bộ theo định kỳ để đảm bảo phạm vi đã xác định luôn phù hợp với thực tế vận hành. Nếu có sự khác biệt, tuyên bố phạm vi phải được sửa đổi kịp thời.
• Quản lý thay đổi phạm vi: Khi có sự thay đổi về dịch vụ hoặc khách hàng (thêm vào hoặc bớt đi), tổ chức phải tuân thủ các yêu cầu của TCVN 8695-1 đối với phạm vi đã sửa đổi. Nếu SMS đã được chứng nhận, tổ chức phải thông báo cho tổ chức chứng nhận vì những thay đổi này có thể yêu cầu một cuộc đánh giá lại trước thời hạn.
• Sự tín nhiệm trong chuỗi cung ứng: Các bên thứ ba trong chuỗi cung ứng không bắt buộc phải đạt chứng nhận TCVN 8695-1, nhưng tổ chức phải có bằng chứng về việc áp dụng các biện pháp kiểm soát, đo lường và đánh giá hiệu quả đối với các hoạt động của họ thông qua quy trình quản lý bên cung ứng.
• Tích hợp với các hệ thống quản lý khác: TCVN 8695-1 được thiết kế để dễ dàng tích hợp với các hệ thống quản lý khác như Hệ thống quản lý an toàn thông tin (ISMS - ISO/IEC 27001) hoặc Hệ thống quản lý chất lượng (QMS - ISO 9001). Mặc dù có thể tích hợp các quy trình chung (như quản lý sự cố), phạm vi của từng hệ thống quản lý vẫn cần được xem xét và mô tả riêng biệt để phù hợp với trọng tâm của từng tiêu chuẩn.

- Hướng dẫn xác định phạm vi dựa trên các kịch bản thực tế

• Kịch bản đơn giản (Kịch bản 1 & 2): Minh họa việc bàn giao dịch vụ nội bộ trong doanh nghiệp với một bên cung ứng dịch vụ tài chính dùng chung, hoặc chuỗi cung ứng đơn có sự tham gia của một bên cung ứng ngoài cung cấp cấu phần dịch vụ hỗ trợ.
• Kịch bản thuê ngoài cấu phần (Kịch bản 3 & 4): Hướng dẫn cách xác định phạm vi khi tổ chức thuê ngoài một phần quy trình vận hành (như quầy dịch vụ, quản lý sự cố) cho bên cung ứng ngoài, hoặc mô hình quản lý thông qua bên cung ứng chính và các nhà thầu phụ.
• Kịch bản chuỗi cung ứng phức tạp (Kịch bản 5, 6 & 7): Phân tích trường hợp gia công phần mềm mở rộng, mô hình tích hợp dịch vụ nội bộ (tổ chức tự vận hành chức năng điều phối nhiều nhà cung cấp) và mô hình thuê ngoài hoàn toàn vai trò tích hợp dịch vụ cho một bên thứ ba.
• Kịch bản thay đổi thông số SMS (Kịch bản 8, 8a, 8b & 8c): Mô tả quá trình phát triển và mở rộng phạm vi của tổ chức theo thời gian, từ một địa điểm ban đầu lên nhiều địa điểm mới thông qua hoạt động mua lại doanh nghiệp, và tác động của việc thay đổi các thỏa thuận với nhà cung cấp đến việc đánh giá chứng nhận lại SMS.