Не раз слышал мнение о том, что стандарт ISO 20000 предъявляет требования процессам управления ИТ, таким как управление инцидентами, изменениями, конфигурациями и проч. Это не так.
ISO 20000 - это стандарт, определяющий требования к системе менеджмента качества (ISO 9000) в ИТ. В основе стандарта лежит 3 ключевых принципа. Попробую их сформулировать.
Принцип 1. Процессный подход
Деятельность ИТ-подразделения представляется в виде совокупности процессов. Разные методологии и стандарты по-разному определяют процессы. Например, ITIL определил 27 процессов, Cobit - 34 процесса, ISO 20000 - 13 (хотя и тут как подсчитать).
С точки зрения стандарта, не важно как поделены процессы в организации. Важно, чтобы эта деятельность выполнялась. Также в ISO 20000 есть требования к тому, чтобы отдельные виды деятельности (процессы, процедуры) были документированы.
Принцип 2. Цикл Деминга
Все процессы (вся деятельность ИТ-подразделения) должны выполняться в соответствии с циклом качества Деминга Plan-Do-Check-Act.
Plan - Планирование. Деятельность (процессы) должна планироваться. Начиная с постановки целей, описания деятельности, определения ресурсов и ответственных, и заканчивая конкретными планами, которые требуются в рамках отдельных процессов (например, планы по доступности, по мощностям, планы аудитов и т.п.).
Do - Выполнение. Процессы должны выполняться в соответствии с планами (см. выше). В ходе выполнения процессы должны оставлять следы - записи, которые так или иначе должны фиксироваться. Записи являются свидетельствами существования процессов и их корректности. Примерами записей являются зарегистрированные инциденты, достигнутые показатели доступности, протоколы аудитов, протоколы совещаний и т.д. и т.п.
Check - Проверка. Необходимо регулярно проводить проверку процессов на соответствие планам, на предмет проблем и рисков, на соответствие стандартам. Необходимо проверять достижение целевых показателей и проводить анализ трендов. ISO 20000 определяет несколько инструментов для выполнения проверки. Среди них контроль достижения целевых показателей, анализ проблем и рисков, внутренние и внешние аудиты, анализ системы управления со стороны руководства. Результаты проверки должны фиксироваться.
Act - Корректировка. На основании результатов проверки должны планироваться корректирующие действия. Для каждого выявленного несоответствия и проблемы необходимо запланировать меры по устранению, должны быть определены ответственные и сроки. Стандарт жестко требует, чтобы корректирующие действия выполнялись в соответствии с планом. Невыполнение плана корректирующих действий является намного более серьезным несоответствием, чем отдельные несоответствия процессов стандарту.
Цикл Plan-Do-Check-Act должен функционировать непрерывно, для каждого процесса, для каждой ИТ-услуги.
Принцип 3. Ответственность руководства
ISO 20000 (как и 9000) не может быть внедрен без активного участия руководства. В управлении ИТ-услугами участвуют все уровни организации, включая высшее руководство. Руководство определяет политики и устанавливает цели, контролирует реализацию, проводит анализ результатов деятельности. Это очень важно. Задача внедрить ISO 20000 (9000) без привлечения и активного участия руководства - нереализуема (честным путем).
В итоге
ISO 20000 - это стандарт, который:
- Определяет набор видов деятельности (процессы), которые должны выполняться.
- Определяет требования к тому, чтобы процессы постоянно планировались, выполнялись в соответствии с планами, проверялись, и проводились корректирующие действия.
- Определяет значимую роль руководства в управлении этими процессами и управлении ИТ-услугами.
Основной задачей внедрения ISO 20000 является внедрение этих ключевых принципов. Внедрение и оптимизация процессов управления носит вторичный характер.
2 комментария:
все же не совсем так. к каждому из 13 процессов таки предъявляется несколько (около десятка)требований, и это делает стандарт ценным. Если бы их не было, ISO20k ничего не добавлял бы к ISO9000.
Вот, например,
*************
Процесс управления инцидентами: цель и требования
Цель: Как можно быстрее восстановить согласованную услугу для бизнеса
или выполнить запрос на обслуживание.
Требования:
• Все инциденты должны быть записаны.
• Должны быть приняты процедуры управления степенью влияния инцидентов.
• Процедуры процесса должны определять запись, приоритезацию, оценку влияния на бизнес, классификацию, обновление/дополнение информации, эскалацию, разрешение и формальное закрытие всех инцидентов.
• Заказчик должен быть постоянно информирован о продвижении работ по зарегистрированным им инцидентам или запросам, заранее предупрежден о невозможности обеспечения согласованных уровней услуг и необходимости принятия согласованных действий.
• Весь персонал, вовлеченный в процесс управления инцидентами, должен иметь доступ к необходимой информации об известных ошибках, решениях проблем и к базе данных управления конфигурациями (CMDB).
• Значительные инциденты должны классифицироваться и управляться в соответствии с процессом.
*****************
это ведь требования к конкретному процессу, верно?
Те требования, что вы написали, априори выполняются в 90% организациях. Если одно или несколько из этих требований не выполняется, то это не критично с точки зрения аудитора, да и исправить ситуацию бывает как правило достаточно просто.
А не функционирование системы P-D-С-A является наиболее критичным нарушением с точки зрения аудитора. И корректирующие действия здесь отнимут намного больше времени и нервов.
И в конце концов, 20К - это 9К для достаточно узкой предметной области - ИТ.
Отправить комментарий