PRIPRAVOVANÉ ZMENY V NORME ISO/IEC 20000-1 a 2 Oskar Zviják ITIL/ITSM, ISO/IEC 20000 Consultant Lenka Gondová Audítor ISO 20000-1

Stav pripravovaných noriem Momentálne platné verzie: ISO 20000-1:2005 ISO 20000-2:2005 Prevzaté do STN prekladom Príprava nových verzií: ISO 20000-1 v stave FCD, predpoklad vydania 2011 ISO 20000-2 v stave CD, nadväzuje na Part 1, oneskorenie

Prejav harmonizácie manažérskych noriem: Zásadné zmeny ISO 20000-1 Prejav harmonizácie manažérskych noriem: Pribudli definície pojmov prevzatých z ISO 9000:2005 Rozvinuté kapitoly týkajúce sa PDCA a zodpovednosti vedenia Spresňovanie požiadaviek a zvýšenie prehľadnosti Číslovanie a podrobnejšie členenie /hlavne kap.1-5/ Jasné formulácie týkajúce sa požiadaviek Napr. na dokumentáciu /proces -> dokumentovaný postup/

Prejav harmonizácie manažérskych noriem: Zásadné zmeny ISO 20000-1 Prejav harmonizácie manažérskych noriem: Pribudli definície pojmov prevzatých z ISO 9000:2005 Rozvinuté kapitoly týkajúce sa PDCA a zodpovednosti vedenia Spresňovanie požiadaviek a zvýšenie prehľadnosti Číslovanie a podrobnejšie členenie /hlavne kap.1-5/ Jasné formulácie týkajúce sa požiadaviek Napr. na dokumentáciu /proces -> dokumentovaný postup/

Prehľad zmien ISO 20000-1 Predhovor – referencie na ISO 20000-2 a 3 a pripravované -2 /nová/, -4, -5, -8 Úvod – PDCA, harmonizácia s ISO 9001, ISO 27001 ale zdôraznená nezávislosť ISO 20000-1 Termíny pojmov – pribudli pojmy súvisiace s manažerskými systémami: continual improvement, corrective action, customer, effectiveness, nonconformity, procedure, process, supplier, top management Ale aj pojmy súvisiace so spresneniami: business, interested party, internal group, risk, service, transition

Zvýšenie prehľadnosti a podrobnosti 3 Requirements for a management system 4 Service management system general requirements 3.1 Management responsibility   3.2 Documentation requirements     3.3 Competence, awareness and training 4.1 Management responsibility 4.1.1 Management commitment 4.1.2 Service management policy 4.1.3 Responsibility, authority and communication 4.1.4 Management representative 4.2 Governance of processes operated by other parties 4.3 Documentation management 4.3.1 General 4.3.2 Control of documents 4.3.3 Control of records 4.4 Resource management 4.4.1 Provision of resources 4.4.2 Human resources 4.4.2.1 General 4.4.2.2 Competence, awareness and training

Zvýšenie prehľadnosti a podrobnosti Pokračovanie kap.4 4 Planning and implementing service management 4.1 Plan service management (Plan) 4.2 Implement service management and provide the services (Do) 4.3 Monitoring, measuring and reviewing (Check) 4.4 Continual improvement (Act) 4.4.1 Policy 4.4.2 Management of improvements 4.4.3 Activities 4.5 Plan, operate, monitor and improve service management 4.5.1 General 4.5.2 Establish scope 4.5.3 Plan service management 4.5.4 Implement and operate 4.5.5 Monitor, measure and review 4.5.5.1 General 4.5.5.2 Internal audit 4.5.5.3 Management review 4.5.6 Improve 4.5.6.1 General 4.5.6.2 Management of improvements

4 Service management system general requirements 4.1 Management responsibility Povinnosť definovať a komunikovať scope Plnenie legislatívnych a zmluvných požiadaviek Zaistiť zdroje Podrobnejšie požiadavky na politiku riadenia služieb, predstaviteľa vedenia, 4.2 Governance of processes operated by other parties Úplne nové, požiadavky na zaistenie kontroly a plnenie delegovaných častí riadenia služieb na interné alebo externé subjekty 4.3 Documentation management Vychádza z požiadaviek manažerských noriem 4.4 Resource management Zaistenie zdrojov, riadenie ľudských zdrojov - vychádza z požiadaviek manažerských noriem. 4.5 Plan, operate, monitor and improve service management Definovať scope vrátane geografickej lokácie, zákazníkov a ich lokalít, používanej technológie Management review – exaktne definované vstupy, zahŕňa súčasné a predpovedané informácie

Zvýšenie prehľadnosti a podrobnosti 5 5 5 Planning and implementing new or changed services 5 Design, development and transition of new or changed services process 5.1 General 5.2 Plan the design, development and transition of new or changed services 5.3 Design and development of new or changed services 5.4 Transition of new or changed services

Design, development and transition of new or changed services process 5.1 General Povinnosť politiky na stanovenie zmien, ktoré majú potenciálne veľký dopad na služby alebo zákazníkov Povinnosť stanoviť a dokumentovať požiadavky a návrh odsúhlaseného riešenia Identifikovať nezhody a riziká pre nové alebo zmenené služby 5.2 Plan the design, development and transition of new or changed services Pribudla požiadavka stanoviť riziká, časové línie plánovaných aktivít a identifikovať závislosti s ostatnými službami 5.3 Design and development of new or changed services Požiadavky na návrh a dokumentáciu nových alebo zmenených služieb, viac menej zodpovedajúce pôvodným požiadavkám na plány, pribudli: Technické nástroje a zdroje Plány dostupnosti, kontinuity služieb, kapacity a bezpečnosti Zmeny SMS, SLA, aktualizácia katalógu služieb 5.4 Transition of new or changed services Úplne nová časť, povinnosti: testovania, väzby na change a release, reporting súladu s požiadavkami dosiahnutého voči očakávaniam

Kapitoly > 5 – minimálne zmeny v štruktúre 6 Service delivery processes 6.1 Service level management 6.2 Service reporting 6.3 Service continuity and availability management 6.4 Budgeting and accounting for services 6.5 Capacity management 6.6 Information security management 6.6.1 Information security policy 6.6.2 Information security controls 6.6.3 Information security changes and incidents 7 Relationship processes 7.1 Business relationship management 7.2 Supplier management 8 Resolution processes 8.1 Incident management and request fulfilment 8.2 Problem management 9 Control processes 9.1 Configuration management 9.2 Change management 9.3 Release and deployment management 6 Service delivery process 6.1 Service level management 6.2 Service reporting 6.3 Service continuity and availability management 6.4 Budgeting and accounting for IT services 6.5 Capacity management 6.6 Information security management 7 Relationship processes 7.1 General 7.2 Business relationship management 7.3 Supplier management 8 Resolution processes 8.1 Background 8.2 Incident management 8.3 Problem management 9 Control processes 9.1 Configuration management 9.2 Change management 10 Release process 10.1 Release management process

6. Procesy dodávania služieb (Service delivery processes) 6.1 Manažment úrovne služieb (Service level management) Dôraz na: “agreed level of services” Povinný Katalóg služieb Povinné schválenie Katalógu služieb zákazníkom a poskytovateľom Povinnosť udržiavať Katalóg služieb 6.2 Reportovanie služieb (Service reporting) V podstanie žiadna zmena Zavádza sa pojem “nonconformity” ( z ISO 9000)

6.3 Manažment kontinuity a dostupnosti služieb (Service continuity and availability management) Identifikova ť a schváliť (požiadavky na ITSCM a AM) Zákazník a “Interested parties“ 6.4 Rozpočtovanie a účtovanie pre IT služby (Budgeting and accounting for services) Rozpočtovanie a účtovanie nákladov spojených s poskytovaním služieb Spoplatňovanie nie je povinné, ale ak je, musí byť zdokumentované Vypadlo IT

6.5 Manažment kapacít (Capacity management) Kapacitný plán zvažuje ľudské, technické, informačné a finančné zdroje Zavádza sa pojem “Demand“ V kapacitnom pláne je potrebne posúdiť dopad štatutárnych, regalotórnych, legislatívnych, odvetvových, organizačných zmien 6.6 Manažment informačnej bezpečnosti (Information security management) Pôvodne jedna kapitola, po novom tri kapitoly (ISO 27000) Policy ISM pre fyzickú, administratívnu a technickú bezpečnosť a ochrana “CIA” informácií Povinnosti manažmentu (policy, plans, criteria, risk assessment, audit) Opatrenia informačnej bezpečnosti “Controls“ “Security changes“ “Security incident“ , RFC – risk and impact

7. Procesy vzťahov (Relationship processes) 7.1 Manažment vzťahov so zákazníkom (Business relationship management) povinnosť menovať pre každého zákazníka jednu kontaktnú osobu pre udržiavanie vzťahov povinnosť zriadiť komunikačný mechanizmus 7.2 Manažment dodávateľov (Supplier management) povinnosť menovať pre každého dodávateľa kontaknú osobu povinný obsah zmluvy s dodávateľom (minimálny) Incidenty, ktoré vznikajú v infraštruktúre, rieši proces Incident Management. Incidenty sú oznamované na Service Desk – Service Desk je funkcia (organizačná jednotka), ktorá ale zároveň plní rolu 1.úrovne podpory v procese Incident Managementu. Incident Management potrebuje znalostnú databázu, ktorú riadi proces Problem Managementu a konfiguračnú databázu (CMDB), ktorú poskytuje proces Configuration Managementu. Proces Incident Management použije na vyriešenie incidentu informácie z obidvoch databáz, ale prečo incident nastal sa stále nevie – zistiť príčinu incidentu je úloha pre Problem Management. Incident Management nie je jediným zdrojom problémov – prakticky každý proces, vrátane procesov taktických môže iniciovať vznik problémov. Problem Management použije informácie z konfiguračnej databázy (CMDB), zistí základnú príčinu pôvodného incidentu alebo problému a zaháji kroky vedúce k odstráneniu tejto príčiny, tzn. iniciuje Request for Change (RfC), ktorým sa ďalej zaoberá proces Change Managementu. Problem Management nie je jediným zdrojom RfC – aj niektoré ďaľšie procesy môžu iniciovať RfC. Change Management opäť potrebuje informácie z CMDB, aby mohol naplánovať realizáciu zmeny čo najefektívnejšie, tzn. s čo najmenším dopadom na prevádzku služieb a s čo najmenšími nákladmi. O samotné nasadenie zmeny do infraštruktúry sa postará proces Release Management, ale až po tom, keď je zmena pripravená a otestovaná vo vývojovom prostredí => povolenie na implementáciu dáva Change Management, priebeh implementácie potom riadi Release Management. Pri implementácii je nasadená príslušná verzia softwaru z Definitive Software Library (DSL). Po úspešnej implementácii zmeny sa vykoná aktualizácia CMDB.     Dve poznámky:   Ústredným prvkom (jadrom) celého ITSM je Configuration Management – informácie z konfiguračnej databázy využívajú všetky procesy ITSM (dá sa povedať, že všetky ostatné procesy sú na týchto informáciách závislé)   Táto schéme slúži len na ilustráciu, t.j. sú na nej znázornené a popísané len tie najvýznamnejšie a najzrejmejšie väzby – v skutočnosti sú väzby a súvislosti medzi procesmi oveľa zložitejšie (dá sa povedať, že v realite má každý proces nejakú väzbu na každý z ostatných procesov).

8. Procesy riešenia (Resolution processes) 8.1 Manažment Incidentov a Plnenie požiadaviek (Incident management and request fulfilment) Povinnosť zdokumentovať postupy , procedúry riadenia požiadaviek na službu “Service request“ Požiadavka na službu – záznam, priorita (dopad a naliehavosť), .... Záznam všetkých incidentov a požiadaviek na službu Informovanie “Top managementu” o major incidente Preskúmavanie major incidentu po obnove služby 8.2 Manažment problémov (Problem management) Presnejší popis preventívnej činnosti (proaktivity) Zavedený pojem “Known error“ – Problém s identifikovanou príčinou Povinnosť zaznamenávať známe chyby Povinnosť redukovať nepriaznivý dopad problémov s identifikovanou základnou príčinou, ak sa nedá problém trvalo vyriešiť

9. Procesy riadenia (Control processes) 9.1 Manažment konfigurácií (Configuration management) Riadenie komponentov a infraštruktúry a služieb,udržiavanie aktuálnych konfiguračných informácií Definícia každého typu CI aj komponentov služieb “Service component“ Požiadavky na minimálne informácie o každej CI Do DML aj kópie konfigurácií HW (ak sú dostupné) 9.2 Manažment zmien (Change management) Odhad , odsúhlasenie, implementácia a revízia všetkých zmien kontrolovaným spôsobom, riadenie CI Definovať vzor RFC Zmeny s potencionálne veľkým dopadom sa riešia podľ a kapitoly 5 Vypadol Change record nahradený CMDB record Update CMDB record po úspešnom nasadení zmeny

9.3 Proces manažmentu vydaní (Release and deployment management) Povinnosť testovať vydanie pred nasadením Overovanie vydania oproti akceptačným kritériám Schvaľovanie pred nasadením Ak neboli akceptačné kritéria splnené musí poskytovateľ spolu so zainteresovanými stranami rozhodnť o ďalšom postupe

Guidance on implementation of service management systems ISO 20000-2 Zásadná zmena štruktúry dokumentu Zmena názvu z Code of practice na Guidance on implementation of service management systems Zmena názvu zodpovedá aj zmene charakteru textov s cieľom poskytnúť návod

ISO 20000-2 Úvodných 5 kapitol sleduje štruktúru pripravovanej verzie ISO 20000-1 a doplňujú ich o ďalšie návody (ako napr. controlling, quality control, Technical product inclusion and exclusions ai.) Kapitoly 6-9 na úrovni každej podkapitoly dodržiavajú jednotnú štruktúru: Intent of the requirements Concepts Explanation of requirements Documents and records Authorities and responsibilities Interfaces and integration Dvojnásobný rozsah pripravovanej normy (povodne 34 strán, nová verzia 89 strán) Príloha : príloha A tabuľka všetkých rolí ( názov roly, popis roly)

Príklad ISO20000 – 2 8.1 Incident management and Request fulfilment 8.1.1 Zámer procesu spracovať požiadavky Zaistiť riešenie 8.1.2 Koncept procesu Záznam, sledovanie, riešenie incidentu a požiadavky 8.1.3 Priorita – tabuľka urgency and impact 8.1.4 Major incident – postup spracovania 8.1.5 Dokumentácia a záznamy - incident, SR, major incident, riešenie 8.1.6 Právomoci a zodpovednosti Process owner, incident process mananager, Service desk Major incident manager, resolution team, external supplier 8.1.7 Rozhrania procesu – problem,SLM, Config, Change, ITSCM&AM, capacity 8.1.8 Integrita Incident mng a SMS - zlepšenia, kompetencie

Zhrnutie prínosov Z pohľadu poradenstva Z pohľadu auditu

Vaše otázky Ďakujeme za pozornosť Kontakt : Literatúra: Ing. Lenka Gondová, CISA, CGEIT Ing. Oskar Zviják, ITIL Expert Literatúra: BS ISO/IEC 20000-1:2005 BS ISO/IEC 20000-2:2005 ISO/IEC Essentials