Wdrożenie i certyfikat ISO 20000 – system zarządzania jakością usług IT
Czym jest ISO 20000?
To że ISO/IEC 20000-1 zawiera wytyczne odnośnie zarządzania usługami IT dla firm jest rzeczą oczywistą. Zgodnie z założeniami firma, która wdroży wymagania ISO 20000 powinna osiągnąć stabilny poziom jakości świadczenia usług IT oraz pełna zdolność techniczną do ich świadczenia. Lecz jak to wygląda w praktyce?
Korzyści z wdrożenia ISO/IEC 20000-1:
Założeniem autorów normy, oprócz zapewnienia systemu wysokiego poziomu jakości świadczonych usług, jest zwiększenie jej zdolności biznesowych, co za tym idzie wdrożenie musi zwiększyć efektywność firmy.
Przy każdym proponowanym rozwiązaniu, należy sobie zadać podstawowe pytania:
• Co to rozwiązanie da mojej firmie?
• Jakie korzyści będzie miała moja firma?
Głównym założeniem normy jest ustabilizowanie warunków świadczenia usługi na rzecz klienta. W ramach systemu tworzy się tzw. „Podręcznik usług”, w którym oprócz specyfikacji usługi zawiera się również SLA czyli czasy reakcji na poszczególne potrzeby klientów.
W trakcie tworzenia „Podręcznika usług” musimy zidentyfikować elementy składowe (parametry) poszczególnych usług. Identyfikacja tych parametrów zapewnia nam możliwość prawidłowego korzystania z usługi po stronie klienta i zdolność do niezakłóconego dostarczania usługi przez firmę. Do najważniejszych możemy zaliczyć:
1. Wymagania sprzętowe po stronie firmy i klienta.
2. Wymagania dla oprogramowania (środowiska) po stronie firmy i klienta.
3. Jeżeli usługi są świadczone za pomocą łączy, wymagania wobec tych łączy.
4. Poziom umiejętności (kompetencji) po stronie firmy i klienta.
Pozwala to nam (jako firmie wdrażającej wymagania ISO 20000 na dokonanie pełnej inwentaryzacji naszych usług i zdolności technicznych, a co za tym idzie wprowadza porządek w nasze struktury.
Określenie czasów reakcji (SLA), które również zamieszczamy w „Podręczniku” powoduje, że zarówno my jak i klient mamy świadomość ograniczeń technicznych usług, co skutkuje (podobnie jak w przypadku wymagań technicznych) organiczną roszczeniowość ze strony klienta.
Następnym atutem wdrożenia ISO 20000 jest konieczność wprowadzenia nadzoru nad infrastrukturą, która świadczymy usługi. Przez nadzór należy rozumieć takie zagadnienia jak:
• Zarządzanie wersjami,
• Zapewnienie rozdzielności środowisk testowych i produkcyjnych (co najmniej logicznej),
• Zarządzanie zmianą w środowisku,
• Zapewnienie backupów sprzętowych, danych, softu,
• Zapewnienie bezpieczeństwa środowisk i łączy,
• Zapewnianie kompatybilności wersji i rodzajów sprzętu i oprogramowania,
• Zapewnienie klientowi „przyjaznego” środowiska usługi i wsparcia usługi (Helpdesk).
Każdy kto zajmuje się profesjonalnym świadczeniem usług w zakresie IT stwierdzi, że są to standardy, które nie podlegają dyskusji. Oczywiście, gdy zaczynamy wdrażać te standardy, zderzamy się z prozą życia i pojawiają się problemy. Główne z nich to: koszty, wprowadzanie zmian do istniejącej i pracującej topologii sieci, zmiana mentalności pracowników i znowu koszty!
Oczywiście musimy pamiętać o dwóch rzeczach:
1. To my decydujemy w jakim zakresie świadczonych usług wdrażamy ISO 20000-1, więc na początku realizacji projektu musimy wiedzieć o poziomie naszych możliwości i w oparciu o tą zdroworozsądkową zasadę realizować projekt.
2. Na usługach mamy zarabiać!!!
Wdrożenie wymagań ISO 20000 w dużej mierze sprowadza się do dwóch podstawowych aspektów:
• Zrobienia porządku w zakresie świadczonych usług
• Wypracowania sprzężenia zwrotnego między:
– firmą, a klientem
– pracownikami, pomiędzy sobą
• Wprowadzenia zasady – najpierw planujemy, później realizujemy.
Jeżeli zasady te są nam znane i stosujemy je choć trochę w naszej firmie, możemy spokojnie podchodzić do wdrożenia ISO 20000 i nie sprawi nam ono problemu.
Zapewnienie feedback-u pomiędzy nami, a klientem pozwoli nam na modyfikację produktu i jego wsparcia, tak aby produkt były przyjazne dla użytkownika. Należy pamiętać, że ludzie, w swojej naturze, szukają rozwiązań i narzędzi najprostszych, bo te rozwiązania zabiorą im najmniej czasu, gdy będą uczyć się z nich korzystać.
Podsumowując najważniejsze korzyści:
• Podręcznik usług
• Określone SLA
• Zarządzanie projektowe (planuj – wykonaj – sprawdź – wdróż do stosowania)
• Porządek w sprzęcie i oprogramowaniu
• Usługa przyjazna dla użytkownika
• Feedback pomiędzy użytkownikiem, a firmą.
Koszty wdrożenia ISO 20000:
Poniżej przedstawiamy szacunkowy kosztorys wdrożenia ISO20000-1 dla firmy, która opiera się o standardowe, dostępne na rynku rozwiązania informacyjne. Założenie dla projektu jest następujące:
• Nie zwiększamy zatrudnienia (mamy być rentowni),
• Opieramy się o rekonfigurację istniejących rozwiązań technicznych, zakupy sprzętu są ostatecznością.
Pozycje kosztowe i ich opis:
1. Zakup usługi polegającej na wdrożeniu SZJ ISO20000– koszt od 20 do 80 tys. (zależy od wielkości firmy). Oczywiście można znaleźć tańszych, lecz trzeba sobie wtedy zadać pytanie: dlaczego tak tanio? Konsultanci zrobią za nas (lecz musimy w tym czynnie uczestniczyć):
• Opracowanie dokumentacji SZJ – konsultanci powinni opracować wszystkie dokumenty, nie wolno pozwalać na przeniesienie opracowania na nas, gdyż dodatkowo obciążamy swoich pracowników, czymś za co Konsultanci biorą pieniądze. Dodatkowo, opracowanie dokumentacji przez nas samych powoduje wydłużenie projektu. Naszym zadaniem jest opiniowanie dokumentacji, nie jej tworzenie!
• Szkolenie z zakresu ISO20000 – kładziemy nacisk na to, aby wytłumaczono nam znaczenie postanowień normy, musimy je zrozumieć, bo inaczej uzależnimy się od konsultantów!
• Audyty wewnętrzne – konsultacje mogą je przeprowadzić, i za pierwszym razem na pewno wykonają je bardziej profesjonalnie od nas.
2. Zakup usługi certyfikacji – koszt od 10 do 50 tys. (może być wyższy w przypadku dużej firmy). Pamiętajmy, że wydanych certyfikatów jest mało, a więc audytorzy, podobnie jak my, uczą się, lecz na nas! Wybierz jednostkę, która ma akredytację na certyfikacje ISO 20000-1, a jej audytorzy podchodzą pragmatycznie do oceny spełnienia wymagań normy! Wtedy nie zrobią nam krzywdy, a przy okazji i my nauczymy się czegoś nowego.
3. Zatrudnienie nowych pracowników – nie ma takiej potrzeby. Ze względu na tzw. wymagania systemowe (przeprowadzanie audytów wewnętrznych, przeglądów zarządzania, badanie satysfakcji klienta, nadzór nad dokumentacją i zapisami, itp.) przybędzie nam zadań w wymiarze około 3 do 5 dni roboczych w ciągu roku! W ciągu 2-3 lat ze względu na docelowe zwiększenie wydajności pracy, powinniśmy notować spadek czasochłonności dla wykonywanych zadań względem poziomu startowego.
4. Zakup sprzętu, oprogramowania. Pozycja ta wystąpi tylko w przypadku gdy:
• Nie mamy możliwości stworzenia izolowanego logicznie środowisk testowego na istniejącym sprzęcie,
• Korzystamy z pirackiego oprogramowania – musimy je zalegalizować,
• Nie tworzymy backupów – musimy zapewnić co najmniej backup danych,
• Nie mamy zabezpieczeń sprzętowych i softowych – musimy posiadać co najmniej zapory i antywirusy.
• Nie mamy odpowiednich łączy do transmisji danych.
5. Zamiast kupować nowe rozwiązania, wykorzystujemy już istniejące, poświęćmy czas na sprawdzenie, czy wykorzystujemy wszystkie możliwości posiadanego sprzętu, oprogramowania i ludzi! Często zdarza się, że firma wydaje duże kwoty na nowe rozwiązanie tylko dlatego, że administratorzy systemów lub użytkownicy nie chcą nauczyć się w pełni wykorzystać istniejącego zasobu!
Innych pozycji kosztowych nie będzie. Pamiętajmy że inwestycyjnochłoność wdrożenia w dużej mierze zależy od naszej pomysłowości i pomysłowości konsultantów!
Wdrożenie ISO/IEC 27001 na istniejący system zarządzania zgodny z ISO/IEC 20000-1
Normy w zakresie systemów zarządzania jakością, środowiskiem, BHP, ryzykiem publikowane po roku 2000 mają wspólny fundament. Został on po raz pierwszy opublikowany w normie ISO 9001. Jego elementy składowe to:
1. Nadzór nad dokumentami
2. Nadzór nad zapisami
3. Audyty wewnętrzne
4. Działania korygujące i zapobiegawcze (w niektórych normach, również korekcyjne)
5. Przeglądy zarządzania
6. Nadzór nad infrastrukturą
7. Nadzór nad zasobami ludzkimi
8. Zaangażowanie kierownictwa
Wdrażając system zarządzania bezpieczeństwem informacji (ISMS) zgodny z ISO/IEC 27001 na już istniejący system zarządzania jakością wg ISO/IEC 20000-1 mamy opracowane procesy (opisane w procedurach) w przedstawionym powyżej zakresie. Od strony mechanistycznej realizacja tych procesów nie różni się niczym w tych systemach.
Elementy, które muszą być wdrożone w ISMS, a nie występują w SZJ ISO 20000-1 to:
1. Identyfikacja zagrożeń, podatności i ryzyk dla naszej firmy,
2. Opracowanie zabezpieczeń w zakresie bezpieczeństwa personalnego i fizycznego,
3. Opracowanie niektórych zabezpieczeń w zakresie bezpieczeństwa IT,
4. Wdrożenie tych zabezpieczeń,
5. Rozszerzenie zarządzania incydentami na obszary personalny, fizyczny i IT wspierającego procesy świadczenia usług,
6. Przeglądy systemu ISMS na poziomie kierownictwa operacyjnego, średniego i najwyższego szczebla,
7. Opracowanie dokumentacji opisującej powyższe obszary.
Nakład pracy na wdrożenie ISMS w oparciu o już istniejący system zarządzania jakością ISO 20000-1 powinien być od 20 do 40% niższy w porównaniu do wdrożenia ISMS w firmie bez systemów zarządzania zgodnych z normami ISO
Ile kosztuje wdrożenie i certyfikat ISO 20000?
Poznaj szacunkowy koszt wdrożenia systemu zarządzania jakością zgodnego z normą ISO 20000
