環保署,給人感覺IT並非其業務、營運中的關鍵角色,但仍致力提升IT服務,透過ITIL重新改造監資處,寫下第一個拿到ISO 20000、ISO 27001雙認證的公務機關。
全名是環境監測及資訊處的監資處,從單位名稱就可看出其人力之緊縮,實際負責IT的僅有三科及四科共12人,加上廠商駐點人員10人,服務的使用者包括環保署內、外埠單位及附屬機關共約1,100人。然而人「少」志氣高,僅管面臨著與其他公務部門相同的人力不足問題,以及IT部門績效無法展現等窘況,他們仍努力尋找能改善現況的IT治理之道。
導入為了建立IT部門的紀律
目前為止,全台通過ISO 20000 IT服務管理系統認證者僅5家,除3家資訊服務業者與1家學術研究機構外,環保署是唯一的公務機關。不是來自任何主管機關的要求,也並非為了企業門面,他們沒有多一事不如少一事的想法反而自發性地導入ITIL,究竟所求為何?
監資處處長朱雨其表示,許多公務機關的資訊部門都難免遇到人員管理上的問題,環保署也不例外,經高考通過後進來的IT人員,隨著時間一久是否能跟得上日新月異的IT技術與觀念,尤其現今所謂的「IT服務」已與過去大為不同,IT人員面對使用者不能再抱持著中毒問題請找甲、郵件問題找乙的想法。「就如同飯店服務,顧客只要打櫃檯總機就可得到所有服務,這也是我們希望能做到的。」朱雨其希望能讓監資處同仁體認到IT服務的觀念已經改變。
此外,資訊部門績效難以有效彰顯也是一大問題,許多同仁因為同事情誼會直接請IT人員幫忙,而沒有經過正常的表單申請程序,但太多的「舉手之勞」往往使得IT人員的績效消失在無形之中,朱雨其稱之為“shadow effort”。另一嚴重的問題則是SOP沒有確實落實、缺乏嚴謹的管理機制,過去曾發生過委外的資安監控中心(SOC)發佈通知給負責人員系統某處弱點應儘速修復,後來同仁竟忘了處理而導致資安事件的發生。因此,朱雨其在訪談過程中再三強調欲藉此建立起紀律。
再加上前年曾經有過政府改造的計畫,要將環保署等相關部會做一整併,屆時可能會面臨的是上萬名使用者,監資處的改造勢在必行。而環保署由於署長陳重信本身對於業務領域建立公信力的作法相當支持,包括負責各縣市掩埋場的環境督察隊也已通過ISO 9000認證,因此監資處的「建置資訊作業程序即導入資訊服務管理標準」專案在取得署長的支持下順利展開。
善用現有報修系統,結案後連結到簡訊平台
經過同仁自行研究並派員受訓之後,在顧問輔導團隊前後歷經8個月的協助導入下,環保署在去年2月順利通過ISO 20000認證。值得一提的是,早在ISO 20000專案開始之前,ISO 27001的顧問輔導專案已經開始。當時環保署整合兩邊不同的顧問輔導團隊一起進行專案會議,協議將ISO 20000當中有關資訊安全的部分挪到ISO 27001專案來做,以避免重工,並將相關的表格文件整合統一。
在2個管理制度導入的過程中,IT服務管理比較鎖定在監資處本身的流程,需要跨部門協調部分不多,而在資安管理系統的部份,則有一項新規定需要各業務單位配合,即新系統上線前需要先填單經過SOC進行應用系統弱點檢測後,才能上線,委外開發的系統也是。由於監資處僅負責公文管理等相關的19個行政管理系統,而其餘業務單位各自維運所屬的諸如事業廢棄物申報系統、資源回收管理系統等30多項。因此這項系統上線檢測表單就需要各部門共同配合。
談到跨部門間的溝通,朱雨其指出要求使用者配合填表單這件事,習慣需要慢慢養成。一開始若有使用者打電話進來要求維修,監資處同仁還是可以先幫他們代填單,但可以婉轉告知:「下次找我如果不在,你也可以上系統填單。」用此方式慢慢建立起使用者的習慣。
至於導入過程中在工具的使用上,環保署以原有的報修系統為基礎未購置新工具,只略作微調以產出符合標準所需的統計報表。但另外將中華電信簡訊平台結合這套報修系統,將來系統若有緊急事件則可發出通知簡訊到相關負責人及處長手機。朱雨其強調為防止系統掛掉根本發不出警示訊息,所以假日期間特別設定系統有正常運作也要發簡訊,「系統出事、沒事都要發簡訊過來,可能是因為我神經很小條的關係!」他開玩笑地說。
然而由於是第一個導入ISO 20000的公務機關,在許多部份仍會與民間企業的導入有所不同,最明顯的就是服務水準協定(SLA, Service Level Agreement)的簽訂,以企業來說是直接簽給使用者即業務部門,但對環保署來說有多達50個單位,就連輔導、驗證公司過去也沒有經驗可提建議,後來終於協調出解決之道,符合標準且實際可行-由署長核准,例如公文系統的當機率是訂在5%。
充滿危機感的監資處
在談到導入IT服務管理的組織將來有可能面臨的問題時,朱雨其指出首先需要適度客製化。組織須視自己的規模、人力而定,不一定每個流程都要做,否則可能團隊成員會抱怨文件太多做不完。第二、與使用者直接相關的Call Center先做,且為了讓使用者方便,收案來源可以是由Service Desk代填或自行填單。第三、跟老闆報告,此一專案如何與組織目標扣合,不是只對IT部門有好處而是對整個業務運作有何效益。
朱雨其特別強調,IT部門不能在像過去一樣躲在機房裡面做事,以為擁有操作大型主機的技術無人能敵,現在使用者的IT技能比起過去已大幅提升,而IT工作交由委外服務也日漸盛行,這時IT部門必須努力思考如何凸顯在組織裡的地位與角色,如何運用IT工具來引導業務流程的改善。言談中充滿危機感的朱雨其舉例他們如何呈現IT的價值。以環保署來說,業務單位同仁直接站在前線面對民眾,處理各種事件,例如蘇花高興建的環境評估就會面臨各方團體的抗議,這時IT部門就如同聯勤總部在後方提供前線支援,因此IT部門建議將會議過程透過視訊在網路直播,並結合公眾論壇,如此能公正、公開呈現在大眾面前以減少人員的衝突及社會成本。
把IT目標與營運方向結合不只是企業資訊部門所致力,連公務機關都開始有此觀念。此外,朱雨其更認為IT部門所提供的IT服務要在使用者提出需求前就先準備好,而不是等使用者提。他舉例,今年監資處所要進行的資料倉儲計畫就是在預先做準備,要先將系統裡的歷史資料先做好整併,等到使用者提出需求,馬上就可以跑出報表。
成效具體:加速回覆時間、績效量化、改善駐點人員合作關係
最後,在談到導入IT服務管理的效益時,朱雨其肯定監資處同仁與使用者以及協力廠商駐點人員三方之間的關係認知已有調整,經過ITIL的培訓課程後同仁的心態已逐漸改變。另外較為具體的則是由於所有服務都被留下記錄,因此能依據系統產出的報表每週進行檢討,例如現在每週約檢討100件。如此一來的成效便是處理問題的回應時間大幅縮減,約可縮短數小時。朱雨其舉例,現在處理系統重灌、重設定或安裝特殊軟體等IT服務都能在1天之內就解決。這樣的成效透過每半年一次內部線上使用者問卷調查的結果也得到了證實,已大幅提升使用者滿意度。
長期來看,監資處還希望能透過系統分析出問題的種類並對應到部門,這樣還可以對部門加強教育訓練…。未來的計畫還很多等著執行,朱雨其也認為要將工作紀律內化成為組織文化、服務心態的調整可能還需要1~2年的時間,但一旦開始做了,未來會繼續PDCA的持續下去,創造IT美好明天。