Обзор международного стандарта ISO/IEC 20000:2005. Процессы, сертификация ISO 20000.
Международный стандарт ISO/IEC 20000:2005, основанный на стандарте BS 15000:2002, разработанном BSI, является обобщением мирового опыта в организации управления ИТ сервисами и применим к любой организации, вне зависимости от отрасли и размеров, в деятельности которой ИТ сервисы играют важную роль.
Стандарт определяет требования и взаимосвязанные процессы, необходимые для создания и эффективного использования системы менеджмента. В нём предлагаются универсальные критерии, по которым можно объективно оценивать возможности компании при выполнении требований пользователей с учётом особенностей бизнеса.
Стандарт состоит из двух частей:
ISO 20000-1:2005 «Information technology — Service management. Part 1: Specification» представляет собой подробное описание требований к системе менеджмента ИТ сервисов и ответственность за инициирование, выполнение и поддержку в организациях. Эта часть состоит из 10 разделов, 13 процессов, собранных в пять ключевых групп:
- Процессы предоставления сервисов (Service delivery process): в группу входят управление уровнем сервисов, управление непрерывностью и доступностью, управление мощностями, отчётность по предоставлению сервисов, управление информационной безопасностью, бюджетирование и учёт затрат.
- Процессы управления взаимодействием (Relationship processes): эта область включает в себя управление взаимодействием с бизнесом, управление поставщиками.
- Процессы разрешения (Resolution processes): разработчики стандарта фокусируются на инцидентах, которые удалось предотвратить или успешно разрешить – управление проблемами, управление инцидентами.
- Процессы контроля (Control processes): в данном разделе рассматриваются процессы управления изменениями и конфигурациями.
- Процессы управления релизами (Release process): речь идёт о выработке новых и коррекции уже имеющихся решений.
ISO 20000-2:2005 «Information technology — Service management. Part 2: Code of Practice» - это практические рекомендации по процессам, требования к которым сформулированы в первой части. Является руководством для аудиторов и компаний, намеренных пройти сертификацию. Содержит 10 разделов.
Оценка соответствия ИТ сервисов требованиям ISO 20000-1:2005 позволяет представить объём нереализованных требований. Кроме того, удаётся запланировать их выполнение с учётом рекомендаций ISO 20000-2:2005, библиотеки ITIL® или любой другой методологии. Внедрение ISO 20000-2:2005 или ITIL® не является обязательным требованием соответствия стандарту ISO 20000-1:2005, но использование практик, упоминаемых в ISO 20000-2:2005 или ITIL®, делает этот процесс гораздо более простым и ясным.
Стандарт ISO 20000:2005 предлагает модель улучшения процессов - цикл PDCA (более известен как цикл Деминга):
- PLAN: Спроектируйте или измените процесс для улучшения результатов
- DO: Осуществляйте выполнение
- CHECK: Проведите измерение и подготовьте отчет о работе
- ACT: Решите, какие изменения необходимы для улучшения процесса
Кроме того, в стандарте выдвигаются требования к мере ответственности руководителей компании, предоставляющей ИТ сервисы, а также к управлению документацией, компетенции, осведомлённости и подготовке персонала.
Чтобы обеспечить интегрированный подход к оказанию высококачественных и эффективных ИТ сервисов, стандарт ISO 20000:2005 предлагает переход к сервисной модели ИТ, который реализуется путём разработки и внедрения формальной системы управления ИТ сервисами (СУИС). СУИС позволяет повысить уровень капитализации предприятия и способствует его признанию на международном уровне.
После внедрения СУИС предприятие вплотную подходит к сертификации. В ходе сертификации по стандарту ISO 20000 проверяются политика и цели компании, система оценки рисков ИТ сервисов, используемые процедуры и соответствие требованиям стандарта.
Варианты сертификации:
- Расширение области регистрации. Компания после завершения сертификации по ISO 9001:2000 проверяется на соответствие требованиям ISO 20000 и, таким образом, расширяет область регистрации ISO 9001.
- Сертификат ISO 20000.
В данном случае компания проходит сертификацию на соответствие стандарту ISO 20000 отдельно. Представители сертифицирующей организации посещают предприятие с целью установить соответствие его системы управления ИТ сервисами требованиям ISO 20000. При положительных результатах аудита выдается сертификат на систему, включающий в себя информацию о соответствии этой системы требованиям ISO 20000-1:2005.
Таким образом, ISO 20000:2005 предоставляет, во-первых, средства для оценки и измерения эффективности деятельности внутренней организации ИТ. Во-вторых, стандарт направлен на реализацию задач, связанных с проведением тендеров при выборе внешнего поставщика ИТ сервисов. Независимая сертификация по этому стандарту позволяет организациям продемонстрировать своим клиентам соответствие качества оказываемых услуг лучшим мировым практикам.
