PRIPRAVOVANÉ ZMENY V NORME ISO/IEC 20000-1 a 2

Výročná odborná konferencia itSMF SlovenskoITSM - ITIL na Slovensku po 20tich rokoch

PRIPRAVOVANÉ ZMENY V NORMEISO/IEC 20000-1 a 2

Oskar Zviják ITIL/ITSM, ISO/IEC 20000 Consultant

Lenka GondováAudítor ISO 20000-1

Výročná odborná konferencia itSMF Slovensko, ITSM – ITIL na Slovensku po 20tich rokoch, 22.apríl 2010, Hotel Bonbón, Bratislava

Stav pripravovaných noriem

• Momentálne platné verzie: – ISO 20000-1:2005– ISO 20000-2:2005Prevzaté do STN prekladom

• Príprava nových verzií:– ISO 20000-1 v stave FCD, predpoklad vydania 2011– ISO 20000-2 v stave CD, nadväzuje na Part 1, oneskorenie


• Prejav harmonizácie manažérskych noriem: –Pribudli definície pojmov prevzatých z ISO 9000:2005–Rozvinuté kapitoly týkajúce sa PDCA a zodpovednosti

vedenia

• Spresňovanie požiadaviek a zvýšenie prehľadnosti –Číslovanie a podrobnejšie členenie /hlavne kap.1-5/–Jasné formulácie týkajúce sa požiadaviek

• Napr. na dokumentáciu /proces -> dokumentovaný postup/

Zásadné zmeny ISO 20000-1


Zásadné zmeny ISO 20000-1

• Prejav harmonizácie manažérskych noriem: –Pribudli definície pojmov prevzatých z ISO 9000:2005–Rozvinuté kapitoly týkajúce sa PDCA a zodpovednosti vedenia

• Spresňovanie požiadaviek a zvýšenie prehľadnosti –Číslovanie a podrobnejšie členenie /hlavne kap.1-5/–Jasné formulácie týkajúce sa požiadaviek

• Napr. na dokumentáciu /proces -> dokumentovaný postup/


Prehľad zmien ISO 20000-1

• Predhovor – referencie na ISO 20000-2 a 3 a pripravované -2 /nová/, -4, -5, -8

• Úvod – PDCA, harmonizácia s ISO 9001, ISO 27001 ale zdôraznená nezávislosť ISO 20000-1

• Termíny pojmov – pribudli pojmy súvisiace s manažerskými systémami:

– continual improvement, corrective action, customer, effectiveness, nonconformity, procedure, process, supplier, top management

–Ale aj pojmy súvisiace so spresneniami: business, interested party, internal group, risk, service, transition


Zvýšenie prehľadnosti a podrobnosti

3 Requirements for a management system

3.1 Management responsibility

3.2 Documentation requirements

3.3 Competence, awareness and training

4 Service management system general requirements 4.1 Management responsibility

4.1.1 Management commitment

4.1.2 Service management policy

4.1.3 Responsibility, authority and communication

4.1.4 Management representative

4.2 Governance of processes operated by other parties

4.3 Documentation management

4.3.1 General

4.3.2 Control of documents

4.3.3 Control of records

4.4 Resource management

4.4.1 Provision of resources

4.4.2 Human resources

4.4.2.1 General

4.4.2.2 Competence, awareness and training



4 Planning and implementing service management

4.1 Plan service management (Plan)

4.2 Implement service management and provide

the services (Do)

4.3 Monitoring, measuring and reviewing (Check)

4.4 Continual improvement (Act)

4.4.1 Policy

4.4.2 Management of improvements

4.4.3 Activities

Pokračovanie kap.4

4.5 Plan, operate, monitor and improve service

management

4.5.1 General

4.5.2 Establish scope

4.5.3 Plan service management

4.5.4 Implement and operate

4.5.5 Monitor, measure and review

4.5.5.1 General

4.5.5.2 Internal audit

4.5.5.3 Management review

4.5.6 Improve

4.5.6.1 General

4.5.6.2 Management of improvements


4.1 Management responsibility- Povinnosť definovať a komunikovať scope

- Plnenie legislatívnych a zmluvných požiadaviek

- Zaistiť zdroje

- Podrobnejšie požiadavky na politiku riadenia služieb, predstaviteľa vedenia,

4.2 Governance of processes operated by other parties • Úplne nové, požiadavky na zaistenie kontroly a plnenie delegovaných častí riadenia služieb na

interné alebo externé subjekty

4.3 Documentation management • Vychádza z požiadaviek manažerských noriem

4.4 Resource management• Zaistenie zdrojov, riadenie ľudských zdrojov - vychádza z požiadaviek manažerských noriem.

4.5 Plan, operate, monitor and improve service management • Definovať scope vrátane geografickej lokácie, zákazníkov a ich lokalít, používanej technológie

• Management review – exaktne definované vstupy, zahŕňa súčasné a predpovedané informácie

4 Service management system general requirements



55 Planning and implementing new or changed services

55 Design, development and

transition of new or changed services process

5.1 General

5.2 Plan the design, development and transition of new or changed services

5.3 Design and development of new or changed services

5.4 Transition of new or changed services


5.1 General- Povinnosť politiky na stanovenie zmien, ktoré majú potenciálne veľký dopad na služby alebo

zákazníkov

- Povinnosť stanoviť a dokumentovať požiadavky a návrh odsúhlaseného riešenia

- Identifikovať nezhody a riziká pre nové alebo zmenené služby

5.2 Plan the design, development and transition of new or changed services• Pribudla požiadavka stanoviť riziká, časové línie plánovaných aktivít a identifikovať závislosti s

ostatnými službami

5.3 Design and development of new or changed services• Požiadavky na návrh a dokumentáciu nových alebo zmenených služieb, viac menej zodpovedajúce

pôvodným požiadavkám na plány, pribudli:

• Technické nástroje a zdroje

• Plány dostupnosti, kontinuity služieb, kapacity a bezpečnosti

• Zmeny SMS, SLA, aktualizácia katalógu služieb

5.4 Transition of new or changed services• Úplne nová časť, povinnosti: testovania, väzby na change a release, reporting súladu s

požiadavkami dosiahnutého voči očakávaniam

Design, development and transition of new or changed services process


Kapitoly > 5 – minimálne zmeny v štruktúre

6 Service delivery process6.1 Service level management 6.2 Service reporting6.3 Service continuity and availability management 6.4 Budgeting and accounting for IT services6.5 Capacity management 6.6 Information security management 7 Relationship processes 7.1 General 7.2 Business relationship management7.3 Supplier management8 Resolution processes 8.1 Background8.2 Incident management8.3 Problem management9 Control processes9.1 Configuration management9.2 Change management 10 Release process 10.1 Release management process

6 Service delivery processes

6.1 Service level management

6.2 Service reporting

6.3 Service continuity and availability management

6.4 Budgeting and accounting for services

6.5 Capacity management

6.6 Information security management

6.6.1 Information security policy

6.6.2 Information security controls

6.6.3 Information security changes and incidents

7 Relationship processes

7.1 Business relationship management

7.2 Supplier management

8 Resolution processes

8.1 Incident management and request fulfilment

8.2 Problem management

9 Control processes

9.1 Configuration management

9.2 Change management

9.3 Release and deployment management


6. Procesy dodávania služieb (Service delivery processes)

6.1 Manažment úrovne služieb (Service level management)- Dôraz na: “agreed level of services”

- Povinný Katalóg služieb

- Povinné schválenie Katalógu služieb zákazníkom a poskytovateľom

- Povinnosť udržiavať Katalóg služieb

6.2 Reportovanie služieb (Service reporting)- V podstanie žiadna zmena

- Zavádza sa pojem “nonconformity” ( z ISO 9000)


6.3 Manažment kontinuity a dostupnosti služieb (Service continuity and availability management)

- Identifikova ť a schváliť (požiadavky na ITSCM a AM)- Zákazník a “Interested parties“

6.4 Rozpočtovanie a účtovanie pre IT služby (Budgeting and accounting for services)

- Rozpočtovanie a účtovanie nákladov spojených s poskytovaním služieb- Spoplatňovanie nie je povinné, ale ak je, musí byť zdokumentované- Vypadlo IT


6.5 Manažment kapacít (Capacity management)- Kapacitný plán zvažuje ľudské, technické, informačné a finančné zdroje- Zavádza sa pojem “Demand“ - V kapacitnom pláne je potrebne posúdiť dopad štatutárnych, regalotórnych, legislatívnych, odvetvových, organizačných zmien

6.6 Manažment informačnej bezpečnosti (Information security management)- Pôvodne jedna kapitola, po novom tri kapitoly (ISO 27000)- Policy ISM pre fyzickú, administratívnu a technickú bezpečnosť a ochrana “CIA” informácií- Povinnosti manažmentu (policy, plans, criteria, risk assessment, audit)- Opatrenia informačnej bezpečnosti “Controls“- “Security changes“ “Security incident“ , RFC – risk and impact


7. Procesy vzťahov (Relationship processes)

7.1 Manažment vzťahov so zákazníkom

(Business relationship management)- povinnosť menovať pre každého zákazníka jednu kontaktnú osobu

pre udržiavanie vzťahov

- povinnosť zriadiť komunikačný mechanizmus

7.2 Manažment dodávateľov (Supplier management)- povinnosť menovať pre každého dodávateľa kontaknú osobu

- povinný obsah zmluvy s dodávateľom (minimálny)


8. Procesy riešenia (Resolution processes)8.1 Manažment Incidentov a Plnenie požiadaviek (Incident management and request fulfilment)- Povinnosť zdokumentovať postupy , procedúry riadenia požiadaviek na

službu “Service request“- Požiadavka na službu – záznam, priorita (dopad a naliehavosť), ....- Záznam všetkých incidentov a požiadaviek na službu- Informovanie “Top managementu” o major incidente- Preskúmavanie major incidentu po obnove služby8.2 Manažment problémov (Problem management)- Presnejší popis preventívnej činnosti (proaktivity)- Zavedený pojem “Known error“ – Problém s identifikovanou príčinou- Povinnosť zaznamenávať známe chyby- Povinnosť redukovať nepriaznivý dopad problémov s identifikovanou základnou príčinou, ak sa nedá problém trvalo vyriešiť


9. Procesy riadenia (Control processes)9.1 Manažment konfigurácií (Configuration management)- Riadenie komponentov a infraštruktúry a služieb,udržiavanie

aktuálnych konfiguračných informácií- Definícia každého typu CI aj komponentov služieb “Service component“- Požiadavky na minimálne informácie o každej CI- Do DML aj kópie konfigurácií HW (ak sú dostupné)

9.2 Manažment zmien (Change management)- Odhad , odsúhlasenie, implementácia a revízia všetkých zmien

kontrolovaným spôsobom, riadenie CI- Definovať vzor RFC- Zmeny s potencionálne veľkým dopadom sa riešia podľ a kapitoly 5- Vypadol Change record nahradený CMDB record- Update CMDB record po úspešnom nasadení zmeny


9.3 Proces manažmentu vydaní (Release and deployment management)

- Povinnosť testovať vydanie pred nasadením- Overovanie vydania oproti akceptačným kritériám- Schvaľovanie pred nasadením- Ak neboli akceptačné kritéria splnené musí poskytovateľ spolu so

zainteresovanými stranami rozhodnť o ďalšom postupe


ISO 20000-2

• Zásadná zmena štruktúry dokumentu• Zmena názvu

– z Code of practice na

– Guidance on implementation of service management systems

–Zmena názvu zodpovedá aj zmene charakteru textov s cieľom poskytnúť návod


ISO 20000-2

• Úvodných 5 kapitol sleduje štruktúru pripravovanej verzie ISO 20000-1 a doplňujú ich o

ďalšie návody (ako napr. controlling, quality control, Technical product inclusion and

exclusions ai.)

• Kapitoly 6-9 na úrovni každej podkapitoly dodržiavajú jednotnú štruktúru:

– Intent of the requirements

– Concepts

– Explanation of requirements

– Documents and records

– Authorities and responsibilities

– Interfaces and integration

• Dvojnásobný rozsah pripravovanej normy (povodne 34 strán, nová verzia 89 strán)

Príloha : príloha A tabuľka všetkých rolí ( názov roly, popis roly)


Príklad ISO20000 – 2 8.1 Incident management and Request fulfilment• 8.1.1 Zámer procesu

– spracovať požiadavky – Zaistiť riešenie

• 8.1.2 Koncept procesu– Záznam, sledovanie, riešenie incidentu a požiadavky

• 8.1.3 Priorita – tabuľka urgency and impact• 8.1.4 Major incident – postup spracovania• 8.1.5 Dokumentácia a záznamy - incident, SR, major incident, riešenie• 8.1.6 Právomoci a zodpovednosti

– Process owner, incident process mananager, Service desk– Major incident manager, resolution team, external supplier

• 8.1.7 Rozhrania procesu – problem,SLM, Config, Change, ITSCM&AM, capacity

• 8.1.8 Integrita Incident mng a SMS - zlepšenia, kompetencie


Zhrnutie prínosov

• Z pohľadu poradenstva

• Z pohľadu auditu


Literatúra:• BS ISO/IEC 20000-1:2005 • BS ISO/IEC 20000-2:2005• ISO/IEC Essentials

Kontakt : Ing. Lenka Gondová, CISA, CGEITIng. Oskar Zviják, ITIL Expert

Ďakujeme za pozornosť

Vaše otázky