/ ISO 20000 PRAKTICKY
Oskar Zviják24.2.2015
www.tempest.sk
/ISO 20000
Obsah prezentácie
Stručná história – väzba na ITIL
O norme – základné informácie
Súbor noriem ISO 20000-1 až n ( n=11)
Súvisiace normy
Praktické postrehy- prístup k
implementácii
www.tempest.sk
/HISTÓRIA VZNIKU A VÝVOJA
1986-89 začalo to ITIL
2000 BS 15000 Specification of ITSM
2002 BS 15000-1
2003 BS 15000-2 Code of practice
2005 ISO/IEC 20000-1 ITSM Specification
ISO/IEC 20000-2 ITSM Code of practice
2011 ISO/IEC 20000-1 SMS requirements
2012 ISO/IEC 20000-2 Guidance on
application
www.tempest.sk
/HISTÓRIA VZNIKU A VÝVOJA
2005 ISO/IEC 20000
2008 – slovenský preklad
IT Manažment služieb – špecifikácia
IT Manažment služieb – odporúčania z praxe
2011 ISO/IEC 20000-1
2012 slovenský preklad – 1.6.2014
Manažérstvo služieb IT – požiadavky na SMS
2012 ISO/IEC 20000-2
2015 slovenský preklad
www.tempest.sk
/O NORME – ZÁKLADNÉ INFORMÁCIE
Predmet normy – pre koho je norma
určená
Predmet – požiadavky na poskytovateľov
služieb
Určenie:
zákazníci hľadajúci dodávateľov
poskytovatelia služieb - preukázanie
spôsobilosti, zlepšovanie, porovnávanie,
audítory
www.tempest.sk
/O NORME ISO 20000
Princípy
SMS - service management system
(systém manažérstva služieb)
o Životný cyklus služby (design, transition,
operation, CSI)
vyžaduje celkový procesný prístup
vyžaduje PDCA
nezávislosť od iných noriem
-------------------------------------------------------------
www.tempest.sk
/OBSAH NORMY- KAPITOLY
/1 Predmet normy
/2 Normativne odkazy
/3 Termíny a definície
/4 Všeobecné požiadavky na SMS
/5 Návrh a tranzícia nových/zmenených
služieb
/6 Procesy dodávanie služieb
/7 Procesy vzťahov
/8 Procesy riešenia
/9 Riadiace procesy
www.tempest.sk
/OBSAH NORMY- KAPITOLY
/1 Predmet normy
popisuje účel, cile, určenie normy a podmienky platnosti normy
/2 Normativne odkazy
slúži na zabezpečenie zhodného čislovania s normou ISO20000-2
/3 Termíny a definície
- 37 pojmov
/4 Všeobecné požiadavky na SMS
zodpovednosti vrcholového manažmentu, identifikácia cieľov
SMS, princíp governance procesov , riadenie dokumentácie,
riadenie záznamov, riadenie zdrojov, riadenie zlepšovania SMS,
riadenie zlepšovania procesov a služieb (PDCA)
www.tempest.sk
/OBSAH NORMY- KAPITOLY
/5 Návrh a tranzícia nových/zmenených
služieb
špecialny proces pre plánovanie, návrh a vývoj, zavedenie
(desingn- development- transition)
nových služieb alebo zmien existujúcich služieb
/6 Procesy dodávanie služieb
SLM, Reporting, Dostupnosť a kontinuita, Kapacita, Účtovanie a
rozpočtovanie, Informačná bezpečnosť
/7 Procesy vzťahov
vzťahy so zákazníkmi
Vzťahy s dodávateľmi – kontrola subdodávateľov
www.tempest.sk
/OBSAH NORMY- KAPITOLY
/8 Procesy riešenia
incidenty a požiadavky
problémy
/9 Riadiace procesy
Change – riadenie zmien
Release – riadenie nasadení (SW/HW)
Configuration – databáza konfiguračných položiek (CMDB)
www.tempest.sk
/SÚBOR NORIEM ISO/IEC 20000
20000-1 požiadavky na SMS
20000-2 návod k implementácii
20000-3 návod k definovaniu rozsahu
20000-4 TR referenčný model procesov
20000-5 TR príklad plánu implementácie
20000-6 WD požiadavky na certifikačné orgány
20000-7 PDTR aplikovanie na cloud
20000-8 WD návod pre malé spoločnosti
20000-9 PDTR zase cloud
20000-10 TR koncepty a terminológia
20000-11 PDTR mapovanie vzťahu ISO a ITIL
www.tempest.sk
/VSUVKA
Stretnú sa ITIL a COBIT
ITIL: dobrý deň, som Best Practice pre ITSM
COBIT: pekný deň, aj ja som Best Practice
ITIL: ale vy hovoríte, čo urobiť, ale nie ako
COBIT: ale aj vy hovoríte, čo, ale nie ako
A prichádza ISO 20000 ...
www.tempest.sk
/SÚVISIACE NORMY
/ ISO/IEC 27001:2013 Information security management
system- Requirements
nie je potrebné plniť kapitolu 6.6 ISO 20000-1
/ ISO/IEC 27013: 2012 Guideline on the integrated
implementation of ISO/IEC 20000-1 and ISO/IEC 27001 –
ktorá predstavuje súbor postupov pre spoločnú
implementáciu oboch noriem a poskytuje odporúčania pre:
---------------------------------------------------------------------------------------
Do októbra 2014 bola ešte možná certifikácia podľa ISO/IEC
27001:2005
www.tempest.sk
/ISO 27013 POKRAČOVANIE
/ Implementáciu ISO/IEC 27001 ak ISO/IEC 20000-1 je užimplementovaná, alebo opačne
/ Spoločnú implementáciu oboch noriem ak nie je implemetovaná
ani jedna z noriem ( prakticky to predstavuje veľkú výzvu)
/ Zladenie už existujúcich systémov riadenia podľa ISO 27001 a ISO
20000-1
/ Výhody: spoločný slovník, spoločný audit, systém prepojených
procesov či prepojený systém riadenia procesov.
/ V konečnom dôsledku by to malo vieť k zvýšeniu účinnosti a
efektívnosti systémov riadenia.
www.tempest.sk
/ISO 38500
/IT governace - ISO/IEC 38500:2008
Corporate governance of information
technology
rámec pre vyhodnotenie, smerovanie a
monitorovanie využitia IT a IT služieb
oddelenie manažment od governace a
definuje ich kompetencie.
Norma je v prvom rade určená pre štatutárne
resp. vedúce orgány spoločnosti a doplňa
koncept riadenia IT služieb o celkové
fungovanie IT v organizácii.
www.tempest.sk
/ISO 15504
ISO/IEC TS 15504-8:2012 An Exemplar
process assessment model fot IT service
management - model vyhodnotenia vyspelosti
procesov ITSM.
Napriek tomu že samotná norma ISO/IEC
20000-1 nevyžaduje toto vyhodnotenie ani
nepredpisuje povinnú úroveň vyspelosti
procesov je zrejmé, že použitie vyhodnotenia
vyspelosti procesov je ukážkou zavedenia
kontinuálneho zlepšovania a PDCA cyklu
v praxi. (využíva aj rámec COBIT 5 v plnom
rozsahu).
www.tempest.sk
/PRÍSTUP K IMPEMENTÁCII
1) Prečítať si znenie noriem najmä ISO/IEC 20000-1 aj -2
2) Identifikovať pridanú hodnotu
a)Pre poskytovateľov služieb – preukázanie spôsobilosti
b)Aj pre organizácie, ktoré nemajú záujem o certufikáciu – min.
fungovanie podľa požiadaviek doby ,
c) pripraviť Business case pre rozpoznanieť: Koľko bude implemntácia stáť (s alebo bez certifikácie)
Koľko to zaberie času (ak s procesným riadením nemáme skúsenosti uvažujme
skôr o dobe 1 rok a viac)
Aké budú reálne prínosy, vieme vyčísliť finančný prínos?
3) Prečítať si aj normy ISO/IEC 20000-3 prípadne -5 a ISO/IEC 15504.
4) Identifikovať požadovaný rozsah. -najmä pre požadovanú certifikáciu.
K tomuto bodu sa viackrát počas a po implemntácii vrátime.
5) Ziskať podporu vedenia
6) Spustenie oboznamovacej kampane
www.tempest.sk
/PRÍSTUP K IMPLEMENTÁCII 2
7) Príprava projektu a projektového tímu
8) Zaškolenie tímov
9) Vykonanie interného auditu
10) Spustenie projektu – nezabudnúť na:
/ Identifikovanie vlastníkov procesov a ich menovanie vedením spoločnosti
/ Vytvorenie zoznamu zodpovedností a právomocí (RACI)
/ Rozdeliť projekt na etapy ( celý slon sa na posedenie nedá zjesť)
11) Vykonať kontrolný interný poimplementačný audit
/ Ak je to potrebné.
12) Prevedenie ostého certifikačného auditu – 2 až 3 dni
www.tempest.sk
/POZNÁMKY
Poučenie:
Nechať si outsourcovať zavedenie procesov je ako nechať si
vycvičiť psa
Nechať si certifikovať zlý postup znamená dodržiavať ho
ISO 20000 hovorí inou rečou ako ISO 9001 alebo ISO 27001
www.tempest.sk
/POSLEDNÉ SLOVÁ
Ďakujem za pozornosť