Стандарт ISO 20000. Для чего?
То, что ISO/IEC 20000-1 предоставляет рекомендации и требования по управлению ИТ-услугами для компаний, само собой разумеется. Согласно стандарту компания, которая внедрит требования ISO 20000, должна обеспечить стабильный уровень качества ИТ-услуг и полную техническую возможность их предоставления. Но как это выглядит на практике?
Польза от внедрения ISO/IEC 20000-1:
Авторы стандарта, кроме системы обеспечения высокого уровня качества услуг, подумали о увеличении бизнес-потенциала, чтобы внедрение требований позволило повысить эффективность работы компании.
При каждом предлагаемом решении необходимо задать основные вопросы:
- Что это решение даст моей компании?
- Какую пользу это принесет моей компании?
Основная идея стандарта заключается в стабилизации условий для предоставления услуг клиенту. В рамках системы создается, так называемый „Справочник или каталог услуг”, в котором, кроме спецификации услуг, указывается SLA или время отклика и реакции на конкретные запросы клиентов.
Обратите внимание:
Тренинги ISO
Во время создания „Справочника или каталога услуг” необходимо идентифицировать составляющие элементы (параметры) для каждой услуги. Идентификация этих параметров дает нам возможность правильного использования услуги со стороны клиента и возможность беспрепятственно предоставлять услуги. Наиболее важными из них являются:
- Требования к оборудованию на стороне компании и у клиента.
- Требования к программному обеспечению (среде) у компании и у клиента.
- Если услуги предоставляются через каналы связи, требования к этим каналам связи.
- Уровень навыков (компетенций) у компании и у клиента.
Это позволяет нам, как компании, внедряющей требования ISO 20000, на проведение полной инвентаризации наших услуг и технических возможностей, и, таким образом, навести порядок в наших структурах.
Определение времени отклика (SLA), которые также должны быть размещены в «Справочнике» означает, что и мы, и клиент осознаем технические ограничения услуг, что приводит (как и в случае с техническими требованиями) к ограничению претензий и неудовлетворенности со стороны клиента.
Еще одним преимуществом внедрения стандарта ISO 20000 является необходимость контролировать инфраструктуру, с помощью которой мы предоставляем услуги. Под контролем следует понимать:
- Управление версиями,
- Обеспечение разделения тестовых и производственных сред (по крайней мере, логически),
- Управление изменениями
- Обеспечение резервов оборудования, backupов данных, программного обеспечения
- Обеспечение безопасности окружения и соединений
- Обеспечение совместимости версий и типов аппаратного и программного обеспечения
- Предоставление клиенту «дружественного» интерфейса, среды услуги и поддержки (Helpdesk).
Каждый, кто занимается профессиональным предоставлением ИТ-услуг подтвердит, что это стандарты, которые не подлежат обсуждению. Конечно, когда мы начинаем внедрять эти стандарты, мы сталкиваемся с прозой жизни и возникают проблемы. Основные из них: затраты, внесение изменений в существующую и действующую топологию сети, изменение мышления сотрудников и снова затраты!
Конечно же мы должны помнить о двух вещах:
- Это мы решаем, в какой сфере предоставляемых услуг мы внедрим ISO 20000-1, поэтому в начале проекта нам нужно знать об уровне наших возможностей и, основываясь на этом принципе здравого смысла, реализовать проект.
- На услугах мы должны зарабатывать!!!
Внедрение требований ISO 20000 в значительной степени сводится к основным аспектам:
- Навести порядок в сфере предоставляемых услуг
- Выработка качественной обратной связи между::
– фирмой и клиентом
– сотрудниками и подразделениями между собой
- Введения принципа – сначала планируем, потом внедряем, реализуем.
Если эти правила нам известны, и мы их используем, хотя бы в нашей компании, то можно легко приступать к внедрению ISO 20000, и это не вызовет у нас никаких проблем.
Обеспечение обратной связи (feedbackа) между нами и клиентом, позволит нам модифицировать продукт и его поддержку, чтобы продукт был удобным для пользователя. Следует помнить, что люди по своей природе ищут простейшие решения и инструменты, потому что эти решения заберут у них наименьшее количество времени, когда они будут учится их использовать.
Обобщая наиболее важные преимущества:
- Справочник услуг
- Установленные SLA
- Проектное управление (планируй – выполняй – проверяй – внедряй и совершенствуй)
- Порядок в оборудовании и программном обеспечении
- Удобное обслуживание – услуга user-experience
- Feedback между пользователем и компанией.
Внедрение ISO/IEC 27001 на существующую систему менеджмента ISO/IEC 20000-1
Внедряя систему управления информационной безопасностью (ISMS) в соответствии с ISO/IEC 27001, в уже существующую систему управления качеством в соответствии с ISO/IEC 20000-1 у нас есть разработанные процессы (описанные в процедурах) в вышеупомянутом объеме. С механистической стороны реализация этих процессов в этих системах ничем не отличается.
Элементы, которые должны быть внедрены в ISMS, но не представлены в SMS ISO 20000-1:
- Идентификация угроз, уязвимостей и рисков для нашей компании
- Разработка методов и средств защиты в сфере безопасности персональной и физической
- Разработка некоторых мер безопасности в области ИT
- Внедрение разработанных мер безопасности
- Расширение управления инцидентами для персональной, физической и ИТ сфер, поддерживающих процессы предоставления услуг
- Пересмотр системы ISMS на уровне руководства операционного, среднего и высшего звена
- Разработка документации, описывающей вышеуказанные области.
Объем работ и нагрузка при внедрение ISMS на основе существующей системы менеджмента качества ISO 20000-1 должны быть на 20-40% ниже по сравнению с внедрением ISMS в компании без систем управления, соответствующих стандартам ISO.