Впровадження та сертифікат ISO 20000 – системи управління якістю ІТ-послуг

Сертифікат ISO / IEC 20000-1

 

Що таке ISO 20000?

Само собою зрозуміло, що ISO / IEC 20000-1 містить вказівки щодо управління ІТ-послугами для компаній. Відповідно до припущень, компанія, яка впроваджує вимоги ISO 20000, повинна досягти стабільного рівня якості надання ІТ-послуг і повної технічної спроможності їх надання. Але як це працює на практиці?

Переваги впровадження ISO/IEC 20000-1:

Припущенням авторів стандарту, окрім забезпечення системи високого рівня якості послуг, що надаються, є підвищення її бізнес-можливостей , а отже впровадження має підвищити ефективність компанії.
З кожним запропонованим рішенням ви повинні поставити собі кілька основних запитань:

  • Що дасть це рішення моїй компанії?
  • Що виграє моя компанія?

Основним припущенням стандарту є стабілізація умов надання послуг клієнту. Так звані «Service Manual», який, окрім специфікації послуг, також містить SLA, тобто час реагування на індивідуальні потреби клієнта.

Під час підготовки «Інструкції з обслуговування» ми повинні визначити складові (параметри) кожної послуги. Ідентифікація цих параметрів дозволяє нам правильно використовувати послугу на стороні клієнта та забезпечувати безперебійне надання послуг компанією. Найбільш важливими є:

  1. Вимоги до обладнання з боку компанії та клієнта.
  2. Вимоги до програмного забезпечення (середовища) з боку компанії та клієнта.
  3. Якщо послуги надаються за посиланнями, вимоги до цих посилань.
  4. Рівень навичок (компетенцій) з боку компанії та клієнта.

Це дозволяє нам (як компанії, яка впроваджує вимоги ISO 20000 ), зробити повну інвентаризацію послуг і технічних можливостей, і таким чином навести порядок у структурах.

Визначення часу відповіді (SLA) , яке також міститься в «Посібнику», означає, що і ми, і клієнт знаємо про технічні обмеження послуг, що призводить (як у випадку з технічними вимогами) до органічних заяв з боку клієнта .

Ще однією перевагою впровадження ISO 20000 є необхідність запровадження нагляду за інфраструктурою, якою ми надаємо послуги. Під наглядом слід розуміти такі питання, як:

  • Керування версіями,
  • Забезпечення поділу тестового та робочого середовища (принаймні логічного),
  • Управління змінами в середовищі,
  • Надання резервних копій обладнання, даних і програмного забезпечення,
  • Забезпечення безпеки середовищ і зв’язків,
  • Забезпечення сумісності версій і типів апаратного та програмного забезпечення,
  • Надання клієнту «дружнього» середовища обслуговування та сервісної підтримки (Helpdesk).

Кожен, хто має справу з професійним наданням ІТ-послуг, переконається, що це стандарти, які не підлягають обговоренню. Звичайно, коли ми починаємо впроваджувати ці стандарти, ми стикаємося з прозою життя і виникають проблеми. Основні з них: витрати, внесення змін до існуючої та робочої топології мережі, зміна менталітету співробітників і знову витрати!

Звичайно, ми повинні пам’ятати дві речі:

  1. Ми вирішуємо, до якого обсягу послуг ми впроваджуємо ISO 20000-1 , тому на початку проекту ми повинні знати про рівень можливостей і реалізовувати проект на основі принципу здорового глузду.
  2. Ми заробляємо на послугах!!!

Реалізація вимог ISO 20000 в основному зводиться до двох основних аспектів:

  • Наведення порядоку в наданих послугах
  • Розробка циклу зворотного зв’язку між:

– компанія і клієнт
– співробітники, між собою

  • Введення правила – спочатку плануємо, а потім реалізуємо.

Якщо ми знаємо ці правила і хоча б трохи застосовуємо їх у нашій компанії, ми можемо сміливо підійти до впровадження ISO 20000 , і це не створить нам проблем.

Забезпечення зворотного зв’язку між нами та клієнтом дозволить нам змінити продукт і його підтримку так, щоб продукт був зручним для користувачів. Слід пам’ятати, що люди за своєю природою шукають найпростіші рішення та інструменти, оскільки ці рішення займуть найменше часу, коли вони навчаться ними користуватися.

Підсумовуючи найважливіші переваги:

  • Сервісна інструкція
  • Конкретні SLA
  • Управління проектами (спланувати – зробити – перевірити – реалізувати)
  • Замовлення обладнання та програмного забезпечення
  • Зручний сервіс
  • Зворотній зв’язок між користувачем і компанією.

Витрати на впровадження ISO 20000:

Нижче наведено орієнтовну вартість впровадження ISO20000-1 для компанії на основі стандартних інформаційних рішень, доступних на ринку. Припущення для проекту такі:

  • Ми не збільшуємо зайнятість (ми маємо бути прибутковими),
  • Ми робимо ставку на реконфігурацію існуючих технічних рішень, закупівля обладнання є крайнім засобом .

Дивіться також:
Навчання ISO

 

Статті витрат та їх опис:

  1. Придбання послуги по впровадженню СУЯ ISO20000 – вартість від 150 тис. (залежить від розміру компанії). Звичайно, можна знайти і дешевші, але тоді потрібно задати собі питання: чому так дешево? Консультанти зроблять за нас (але ми повинні брати в цьому активну участь):
    • Розробка документації СУЯконсультанти повинні підготувати всі документи , ми не повинні допустити, щоб дослідження було передано нам, тому що ми додатково обтяжуємо наших співробітників тим, за що консультанти беруть гроші. Крім того, власна розробка документації зумовлює продовження проекту. Наше завдання – давати висновки щодо документації , а не створювати її!
    • Навчання ISO20000 – ми робимо акцент на роз’ясненні сенсу положень стандарту, ми повинні їх розуміти , інакше станемо залежними від консультантів!
    • Внутрішні аудити – консультації можна проводити, і в перший раз вони обов’язково проведуть їх більш професійно, ніж ми.
  2. Придбання послуги сертифікації – вартість від 75 тис. (може бути вище для великої компанії). Пам’ятайте, що виданих сертифікатів мало, тому аудитори, як і ми, вчаться у нас! Вибирайте підрозділ, який акредитований на сертифікацію ISO 20000-1 , а його аудитори мають прагматичний підхід до оцінки відповідності вимогам стандарту! Тоді вони не заподіють нам шкоди, і ми заодно навчимося чогось нового.
  3. Наймати нових співробітників – такої необхідності немає. Завдяки т. зв системні вимоги (проведення внутрішнього аудиту, перевірки керівництва, дослідження задоволеності клієнтів, нагляд за документацією та записами тощо) у нас буде близько 3-5 робочих днів на рік! Протягом 2-3 років, за рахунок цільового підвищення ефективності роботи, слід відзначити зниження витрат часу на виконання завдань порівняно з початковим рівнем.
  4. Закупівля обладнання та програмного забезпечення. Цей елемент з’явиться, лише якщо:
    • Ми не можемо створити логічно ізольоване тестове середовище на існуючому обладнанні,
    • Ми використовуємо піратське програмне забезпечення – ми повинні його легалізувати,
    • Ми не створюємо резервні копії – ми повинні забезпечити принаймні резервне копіювання даних,
    • У нас немає апаратно-програмної безпеки – у нас повинні бути хоча б брандмауери та антивіруси.
    • У нас немає відповідного підключення до даних.

    Замість того, щоб купувати нові рішення, ми використовуємо існуючі , давайте приділимо час перевірці, чи використовуємо ми всі можливості нашого обладнання, програмного забезпечення та людей! Компанії зазвичай витрачають великі суми грошей на нове рішення просто тому, що системні адміністратори або користувачі не хочуть навчитися максимально використовувати існуючий ресурс!

Інших статей витрат не буде. Пам’ятайте, що інвестиційна інтенсивність впровадження багато в чому залежить від нашої кмітливості та кмітливості консультантів!

 

Безкоштовна оцінка вартості

 

 

Впровадження ISO / IEC 27001 на існуючу систему управління, сумісну з ISO / IEC 20000-1

Стандарти у сфері якості, навколишнього середовища, здоров’я та безпеки та системи управління ризиками, опубліковані після 2000 року, мають спільну основу. Вперше він був опублікований у стандарті ISO 9001 . Його складовими є:

  1. Контроль документів
  2. Контроль за записами
  3. Внутрішні аудити
  4. Коригувальні та запобіжні дії (у деяких стандартах також коригувальні)
  5. Огляди керівництва
  6. Нагляд за інфраструктурою
  7. Нагляд за кадрами
  8. Зобов’язання керівництва

Впроваджуючи систему управління інформаційною безпекою (ISMS), сумісну з ISO / IEC 27001 , до вже існуючої системи управління якістю відповідно до ISO / IEC 20000-1, ми розробили процеси (описані в процедурах) у межах, представленому вище. З боку механістів реалізація цих процесів у цих системах нічим не відрізняється.

Елементи, які повинні бути реалізовані в СУІБ і відсутні в СУЯ ISO 20000-1 :

  1. Виявлення загроз, вразливостей і ризиків для компанії,
  2. Розробка заходів безпеки у сфері особистої та фізичної безпеки,
  3. Розробка окремих заходів безпеки у сфері ІТ безпеки,
  4. Реалізація цих гарантій,
  5. Розширення управління інцидентами на сфери персональних, фізичних та ІТ-допоміжних процесів надання послуг,
  6. Огляд системи СУІБ на рівні операційного менеджменту, середнього та вищого менеджменту,
  7. Розробка документації з описом вищевказаних напрямків.

Робоче навантаження для впровадження СУІБ на основі вже існуючої системи менеджменту якості ISO 20000-1 має бути на 20-40% нижчим порівняно з впровадженням СУІБ в компанії без систем менеджменту, що відповідають стандартам ISO.

Дивіться також:

Прокрутка до верху