Miten pilvipalveluita pitäisi

johtaa palveluina?

Hallitusti turvalliseen pilveen -seminaari 22.11.2016

Jyrki Lahnalahti,

tuotepäällikkö, Inspecta

Hallitusti turvalliseen pilveen –seminaari 2016-11-22 Miten pilvipalveluita pitäisi johtaa palveluina?

Jyrki Lahnalahti, tuotepäällikkö Julkinen

2016-11-20

JULKINEN 2

Osalla Inspectasta on juurensa julkisissa organisaatioissa ja yrityksissä. Pitkä lahjomattomuuden, laatuun panostamisen ja ammattitaidon perintö. Vahva kasvu orgaanisesti ja yritysostoin Suomessa, Ruotsissa, Norjassa, Tanskassa, Latviassa, Liettuassa ja Virossa.

Historia Inspectasta

Suomen valtio perustaa Teknillisen tarkastus- keskuksen

Ruotsi perustaa Statens Anläggnings- Provning –tarkastus-laitoksen

Markkinat vapautuvat Ruotsissa

Markkinat vapautuvat Suomessa, Inspecta Suomi

Inspecta Latvia

Inspecta Viro

Inspecta Ruotsi

Inspecta Norja

Inspecta Tanska

Inspecta Liettua

Inspecta Puola

Inspecta osaksi ACTA* Groupia yhdessä Kiwan ja Shieldin kanssa

JULKINEN 3

Lisää Inspectasta

JULKINEN 4

Luomme turvallisuutta, luotettavuutta ja kestävää kehitystä Pohjois-Euroopassa.

We bring safety, trust and environmental

sustainability to northern Europe.

Visiomme Tämä on Inspecta

JULKINEN 5

Ihan kuten muitakin palveluita, mutta painotukset ja kriittiset tekijät tunnistaen

Miten pilvipalveluita pitäisi johtaa palveluina?

JULKINEN 6

Pilvipalveluiden johtamisen ja hallinnan painotukset

Palveluiden jatkuvuus

Viestintä ja tiedonjako Skaalautuvuus

Tehokas ja toimiva asiakasrajapinta

Ketteryys

Tietoturvallisuus

JULKINEN 7

ISO/IEC 20000 Miten pilvipalveluita pitäisi johtaa palveluina?

Palvelunhallintajärjestelmä

Prosessit

Työkalut, tilat, resurssit

Asiakasvaatim.

Liiketoimintav.

Service Desk Roolit ja vastuut

Laadunvarmistus Muut prosessit

Palvelu A

Palvelu B

Palvelu C

Palvelu D

Asiakastyytyv.

Liiketoimintatul.

Uudet palvelut

Muut prosessit

Palvelu F

Palvelu E

JULKINEN 8

►service management system (SMS) (ISO/IEC TR 20000-10:2015) ►management system to direct and control the service management activities of the service provider

► Note 1 to entry: A management system is a set of interrelated or interacting elements to establish policy and

objectives and to achieve those objectives. ► Note 2 to entry: The SMS includes all service management policies, objectives, plans, processes,

documentation and resources required for the design, transition, delivery and improvement of services and to fulfil the requirements specified in ISO/IEC 20000-1:2011.

► Note 3 to entry: Adapted from the definition of ‘quality management system’ in ISO 9000:2005.

Termejä ja sanastoa Hallintajärjestelmät

JULKINEN 9

SFS-ISO/IEC 20000-1 Palvelunhallintajärjestelmää koskevat vaatimukset

JULKINEN 10

►ISO/IEC TR 20000-9:2015

JULKINEN 11

►The guidance in this part of ISO/IEC 20000 can be used by organizations that are involved in the provision or management of services that include cloud services.

►It can also be of interest to organizations that are faced with changes to their existing services and support arrangements as part of a move to cloud computing. ISO/IEC 20000 can be used by service providers that offer dedicated or shared services to internal and external customers.

ISO/IEC TR 20000-9:2015

JULKINEN 12

►Key benefits of adopting ISO/IEC 20000 for service providers that offer cloud services can include: ►a) greater credibility with internal or external customers of the organization, through delivery of

reliable and cost effective services; ►b) the opportunity to build a service management system that is based on a tried and proven

best practice approach; ►c) ongoing control, greater effectiveness and efficiency as well as prioritized continual

improvement of services and processes; ►d) improved communication within the cloud service provider organization, including a

greater understanding by service management and specialist technical personnel of each other’s viewpoints;

►e) improved communication between the cloud service provider organization and cloud customers and users

►An SMS can be integrated with an information security management system based in ISO/IEC 27001, which includes requirements for information security in more detail than those specified in ISO/IEC 20000-1.

ISO/IEC TR 20000-9:2015

Johtamisjärjestelmä koko organisaation johtamis- ja toimintamalli

JULKINEN 13

Kaikessa tässä on kyse johtamisesta ja johtajuudesta

Liiketoiminnan jatkuvuuden

hallinta ISO 22301

Tietoturvalli-suuden hallinta ISO/IEC 27001

IT-palveluiden hallinta

(ITIL-prosessit) ISO/IEC 20000-1

Ympäristön-, omaisuuden-,

energian-, työturvallisuuden-

hallinta ISO xxxx

ISO/IEC yyyy

Laadunhallinta ISO 9001

Riskienhallinnan viitekehys ja prosessit (ISO 31000)

Toimintaympäristön ja sidosryhmien tunnistaminen ja huomiointi, laki- ja viranomaisvaatimukset, asiakaslupaukset, ylimmän johdon työkalut kuten politiikat, roolit, vastuut, valtuudet, viestintä,

dokumentointikäytännöt, osaamisen hallinta, mittaaminen, sisäinen auditointi, johdon katselmus, jatkuva parantaminen, …

Jatkuvuuden hallinnan elementtejä

Tietoturvallisuuden hallinnan elementtejä

Katakri

VAHTI 2/2010

AQAP-2110

JULKINEN 14

ISO/IEC TR 20000-9:2015 - sisällysluettelo

JULKINEN 15

Malli pilvipalveluiden johtamiseen

Pilvipalveluiden toimintaympäristö ja

tavoitteet

Pilvipalveluiden johtamisen strategia ja

suunnittelu

Palveluluettelo Palveluvaatimukset

Pilvipalveluiden suunnittelu ja toteutus

Asiakkuuden hallinta Asiakassopimus

Resurssien hallinta Johtamismallin ja palveluiden jatkuva parantaminen

Asiakassopimuksen päättäminen Palvelun siirto Palvelun poisto

Palveluiden seuranta ja raportointi Asiakkuuden käynnistys Palveluiden toimitus ja

operointi

JULKINEN 16

►Pilvipalveluiden johtamisen yksi fokusalue: palveluiden jatkuvuuden hallinta

JULKINEN 17

Muinaisessa Egyptissä valtiollinen kehitys keskittyi jatkuvuuteen ja staattisuuteen.

JULKINEN 18

Liiketoiminnan jatkuvuuden merkittävimmät uhat 2016

Lähde: Business Continuity Institute, Horizon Scan Report 2016

JULKINEN 19

► 5.5 Design and develop a new cloud service ► … the service continuity and availability of the new service should be designed to ensure that the delivered availability

can fulfil the service requirements … ► 5.7 Establish a cloud service agreement

► … service continuity planning … ► 5.9 Deliver and operate the cloud services

► … management of the availability, continuity, capacity and information security requirements for the service … ► 5.10 Monitor and report cloud services

► This includes activities to monitor and report the service performance, capacity, availability, information security and/or continuity of the cloud service.

► 5.13 Terminate a cloud service contract ► Backup data and log data should be maintained by the cloud service provider during the exit process, until a

completion point is reached, to ensure business continuity for the cloud customer. ► 5.14 Transfer a cloud service

► … the removal of the customer information from the service continuity and availability plans, capacity plan and configuration records. The service can continue to be used by other customers …

► 5.15 Remove a cloud service ► … removal of the service for each customer individually, or complete removal from the service continuity and

availability plans, capacity plan and CMDB for all customers …

ISO/IEC TR 20000-9 Jatkuvuuden hallinnan huomioinnin esimerkkejä

JULKINEN 20

SFS-EN ISO 22301 Liiketoiminnan jatkuvuuden hallintajärjestelmä

Politiikan ja tavoitteiden määrittely (johto)

Toimintaympäristön, liiketoiminnan jatkuvuusvaatimusten ja hallintajärjestelmän

kattavuuden määrittely

Liiketoiminnan vaikutusanalyysi (BIA) Riskien arviointi ja käsittely

Liiketoiminnan jatkuvuuden strategia

Jatkuvuusmenettelyt (häiriönhallinta, viestintä, jatkuvuussuunnitelmat, toipuminen)

Liiketoiminnan jatkuvuuden tavoitteet ja suunnitelmat niiden saavuttamiseksi

Menettelyiden harjoittelu ja testaus

Jatkuvuuden-hallintapolitiikka

BIA, riskienhallinta

Menettely-kuvaukset

Jatkuvuuden tavoitteet

Testausraportit

Kattavuus

Microsoft is the first hyperscale cloud service provider to receive the ISO 22301 certification for business continuity management. The British Standards Institute (BSI), an independent certification body, awarded this certification to Microsoft Azure, Microsoft Azure Government, Microsoft Intune, and Microsoft Power BI after a stringent audit covering all aspects of their business continuity processes. The audit covered the in-scope services listed below as well as Azure management features, the Azure Portal, and the systems used to monitor, operate, and update the in-scope services. https://www.microsoft.com/en-us/trustcenter/Compliance/ISO-22301

JULKINEN 21

Kysymyksiä, kommentteja, ajatuksia?

Ota yhteyttä: jyrki.lahnalahti [at] inspecta.com

22