В конце 2005 года был принят международный стандарт в области управления ИТ сервисами, ISO 20000. Российская и международная статистика прошедших лет говорит о том, что, хотя тема стандартизации управления ИТ сама по себе вызывает живой интерес специалистов, компаний, посчитавших уместным подтверждение своего соответствия требованиям нового стандарта, очень немного.
В чем суть требований стандарта? Возможно ли ему соответствовать? Нужна ли такая сертификация «нашей» компании? Какую пользу может стандарт принести работе конкретной службы ИТ?
Началом истории ISO 20000 можно считать 2000 год, когда была опубликована первая книга второй версии библиотеки ITIL®. Тогда же была начата работа по подготовке стандарта в области ITSM. В результате этой работы в 2002 году был принят BS 15000 – британский стандарт, текст которого практически без изменений или дополнений вошел в ISO 20000. В течение нескольких лет BS 15000 стал использоваться в качестве стандарта ITSM во многих странах, а в некоторых стал основой для соответствующих национальных стандартов. В 2005 году по ускоренной процедуре был принят и международный стандарт.
Что же дает ISO 20000 организациям? Какую пользу можно из него извлечь? Возможна ли, нужна ли и ценна ли сертификация, подтверждающая соответствие системы управления ИТ сервисами в компании требованиям ISO 20000? Как соотносятся применяемые организациями подходы к управлению ИТ и ИТ сервисами с требованиями и процессной моделью стандарта? Попробуем ответить на эти вопросы.
Стандарт включает в себя две части: спецификацию и свод практик.
Обе части содержат разделы, описывающие его назначение и структуру, а также глоссарий. Стандарт описывает систему управления ИТ сервисами как комплекс из 13 процессов, сгруппированных в пять разделов, каждый из которых содержит от одного до шести процессов.
Первая часть ISO 20000 – это набор требований к каждому процессу, а также к системе в целом. Требования сформулированы кратко, и для каждого процесса их определено не более десяти. Таким образом, получается довольно компактный документ – на английском языке первая часть стандарта - это 26 страниц текста, включая титульный лист, оглавление и т.п.
Вторая часть – свод практик (44 страницы) – содержит краткие рекомендации по организации процессов сервис менеджмента, призванные помочь в обеспечении соответствия требованиям первой части. Очевидно, они не могут заменить материал ITIL®, MOF или других подобных подходов, в которых каждому из процессов посвящено не меньше слов, таблиц, иллюстраций и примеров, чем в ISO-20000:2 – всей системе из 13 процессов.
Таким образом, рассматривать ISO 20000 как источник рекомендаций по управлению сервисами можно лишь в дополнение к другим, более масштабным публикациям. Следовательно, основное практическое применение стандарта возможно в качестве сборника требований.
Удивительно, но это так. Не хватало.
Что есть в ITIL®? Рекомендации по организации деятельности, в лучшем случае – примеры KPI для отдельных процессов. ITIL® можно следовать, но ITIL® невозможно соответствовать. То же относится к MOF или более экзотическим подходам.
ISO 20000 дает организациям критерии оценки действующей системы управления ИТ сервисами, соответствие которым предполагает как следствие достаточно высокий уровень уверенности в результативности деятельности в рамках каждого из процессов и в эффективности системы управления в целом. «В целом» – потому что сертификация по ISO 20000 предполагает соответствие всех процессов системы, а также деятельности руководства по управлению ею. Нельзя, например, сертифицировать только поддержку, а управление изменениями – оставить на потом.
Получается, что систему управления ИТ сервисами можно построить, следуя рекомендациям ITIL® и в соответствии с требованиями ISO 20000.
Однако процессы сервис менеджмента, как, впрочем, и любые другие бизнес процессы в организации, должны в первую очередь поддерживать достижение целей организации. Как же соотнести требования стандарта и требования стратегии ИТ? Могут ли возникнуть противоречия между ними?
Представим себе связь целей организации, целей ИТ и целей процессов ИТ менеджмента
Бизнес цели определяют цели ИТ с одной стороны и контроли, обеспечивающие их достижение в рамках бизнес процессов – с другой. Далее цели ИТ детализируются до уровня целей отдельных процессов ИТ менеджмента («общих ИТ контролей»). Тем временем бизнес процессы автоматизируются с применением ИТ сервисов, и предъявляют к этим сервисам специфические требования. Если связи в системе управления предприятием (и его ИТ-составляющей) не были нарушены, то ИТ организация в результате реализует как раз те процессы, которые нужны бизнесу, отвечая одновременно и стратегическим требованиям, и прикладным требованиям к отдельным сервисам.
Рассмотрим описанные связи на примере.
Пусть бизнес-цели включают в себя обеспечение, например, высокого уровня безопасности при проведении бизнес-операций.
Тогда цели ИТ, вероятно, будут включать в себя обеспечение высокого уровня информационной безопасности. Следовательно, руководство ИТ определит высокий уровень требований к процессу управления ИБ и обеспечит его реализацию на высоком уровне зрелости.
В это время бизнес подразделение «Х» определяет требования к информационному сервису, автоматизирующему какие-либо операции в рамках деятельности этого подразделения. И учитывая высокий уровень требований бизнес стратегии в области безопасности, в свою очередь потребует от ИТ-службы гарантий безопасности при предоставлении этого сервиса.
Если трансляция целей прошла корректно, ИТ тут же ответит на требования к конкретному сервису не удивленным «а как это делается?», а точной компетентной оценкой возможностей, ограничений и затрат, связанных с предоставлением требуемого уровня безопасности.
Зрелость процессов управления обеспечивает высокую степень надежности результатов этих процессов.
Требования стандарта ISO 20000 – суть требования к зрелости процессов управления ИТ сервисами с учетом их специфики и к зрелости системы, управляющей их взаимодействием.
Сертификация по ISO 20000 есть подтверждение зрелости системы управления ИТ сервисами в целом и каждого из 13 процессов этой системы.
Зрелые процессы управления ИТ сервисами повышают вероятность того, что соответствующие цели бизнеса будут поддержаны деятельностью ИТ службы.
Однако бизнес цели разных организаций отличаются, и требования к ИТ – тоже. Чем важнее какой-либо аспект управления для бизнеса, тем «лучше» должен быть соответствующий процесс в ИТ. Если представить целевой контур зрелости процессов управления ИТ в виде радарной диаграммы, то для каждой организации он будет своим, и при этом неравнобедренным, так как маловероятно существование бизнеса, требования которого ко всем процессам управления ИТ одинаковы и при этом высоки. А вот контур зрелости процессов управления ИТ сервисами в организации, соответствующей требованиям ISO 20000, будет выглядеть как равнобедренный многоугольник на уровне «4». Чем ближе «наш» целевой профиль к этому равнобедренному многоугольнику, тем более естественным, оправданным и уместным будет для нашей организации проект по сертификации на соответствие ISO 20000. Чем дальше «наш» профиль от профиля ISO 20000, тем искусственнее, сложнее и дороже нам обойдется сертификация.
А вот в этом случае сертификация более чем уместна. Подтверждая равно высокий уровень зрелости всех процессов управления ИТ сервисами, мы демонстрируем готовность одинаково хорошо предоставлять сервисы заказчикам любого профиля, гарантируя качественное управление именно теми аспектами качества сервисов, которые важны им.
Сертификация по ISO 20000 – свидетельство не только качества системы управления, но и ее универсальности.
Большинству же внутренних ИТ служб стандарт пригодится как база для сравнения, ориентир для планирования развития и источник критериев для внутреннего аудита.