/ ISO 20000 PRAKTICKY

Oskar Zviják24.2.2015

www.tempest.sk

/ISO 20000

Obsah prezentácie

Stručná história – väzba na ITIL

O norme – základné informácie

Súbor noriem ISO 20000-1 až n ( n=11)

Súvisiace normy

Praktické postrehy- prístup k

implementácii

www.tempest.sk

/HISTÓRIA VZNIKU A VÝVOJA

1986-89 začalo to ITIL

2000 BS 15000 Specification of ITSM

2002 BS 15000-1

2003 BS 15000-2 Code of practice

2005 ISO/IEC 20000-1 ITSM Specification

ISO/IEC 20000-2 ITSM Code of practice

2011 ISO/IEC 20000-1 SMS requirements

2012 ISO/IEC 20000-2 Guidance on

application

www.tempest.sk

/HISTÓRIA VZNIKU A VÝVOJA

2005 ISO/IEC 20000

2008 – slovenský preklad

IT Manažment služieb – špecifikácia

IT Manažment služieb – odporúčania z praxe

2011 ISO/IEC 20000-1

2012 slovenský preklad – 1.6.2014

Manažérstvo služieb IT – požiadavky na SMS

2012 ISO/IEC 20000-2

2015 slovenský preklad

www.tempest.sk

/O NORME – ZÁKLADNÉ INFORMÁCIE

Predmet normy – pre koho je norma

určená

Predmet – požiadavky na poskytovateľov

služieb

Určenie:

zákazníci hľadajúci dodávateľov

poskytovatelia služieb - preukázanie

spôsobilosti, zlepšovanie, porovnávanie,

audítory

www.tempest.sk

/O NORME ISO 20000

Princípy

SMS - service management system

(systém manažérstva služieb)

o Životný cyklus služby (design, transition,

operation, CSI)

vyžaduje celkový procesný prístup

vyžaduje PDCA

nezávislosť od iných noriem

-------------------------------------------------------------

www.tempest.sk

/OBSAH NORMY- KAPITOLY

/1 Predmet normy

/2 Normativne odkazy

/3 Termíny a definície

/4 Všeobecné požiadavky na SMS

/5 Návrh a tranzícia nových/zmenených

služieb

/6 Procesy dodávanie služieb

/7 Procesy vzťahov

/8 Procesy riešenia

/9 Riadiace procesy

www.tempest.sk

/OBSAH NORMY- KAPITOLY

/1 Predmet normy

popisuje účel, cile, určenie normy a podmienky platnosti normy

/2 Normativne odkazy

slúži na zabezpečenie zhodného čislovania s normou ISO20000-2

/3 Termíny a definície

- 37 pojmov

/4 Všeobecné požiadavky na SMS

zodpovednosti vrcholového manažmentu, identifikácia cieľov

SMS, princíp governance procesov , riadenie dokumentácie,

riadenie záznamov, riadenie zdrojov, riadenie zlepšovania SMS,

riadenie zlepšovania procesov a služieb (PDCA)

www.tempest.sk

/OBSAH NORMY- KAPITOLY

/5 Návrh a tranzícia nových/zmenených

služieb

špecialny proces pre plánovanie, návrh a vývoj, zavedenie

(desingn- development- transition)

nových služieb alebo zmien existujúcich služieb

/6 Procesy dodávanie služieb

SLM, Reporting, Dostupnosť a kontinuita, Kapacita, Účtovanie a

rozpočtovanie, Informačná bezpečnosť

/7 Procesy vzťahov

vzťahy so zákazníkmi

Vzťahy s dodávateľmi – kontrola subdodávateľov

www.tempest.sk

/OBSAH NORMY- KAPITOLY

/8 Procesy riešenia

incidenty a požiadavky

problémy

/9 Riadiace procesy

Change – riadenie zmien

Release – riadenie nasadení (SW/HW)

Configuration – databáza konfiguračných položiek (CMDB)

www.tempest.sk

/SÚBOR NORIEM ISO/IEC 20000

20000-1 požiadavky na SMS

20000-2 návod k implementácii

20000-3 návod k definovaniu rozsahu

20000-4 TR referenčný model procesov

20000-5 TR príklad plánu implementácie

20000-6 WD požiadavky na certifikačné orgány

20000-7 PDTR aplikovanie na cloud

20000-8 WD návod pre malé spoločnosti

20000-9 PDTR zase cloud

20000-10 TR koncepty a terminológia

20000-11 PDTR mapovanie vzťahu ISO a ITIL

www.tempest.sk

/VSUVKA

Stretnú sa ITIL a COBIT

ITIL: dobrý deň, som Best Practice pre ITSM

COBIT: pekný deň, aj ja som Best Practice

ITIL: ale vy hovoríte, čo urobiť, ale nie ako

COBIT: ale aj vy hovoríte, čo, ale nie ako

A prichádza ISO 20000 ...

www.tempest.sk

/SÚVISIACE NORMY

/ ISO/IEC 27001:2013 Information security management

system- Requirements

nie je potrebné plniť kapitolu 6.6 ISO 20000-1

/ ISO/IEC 27013: 2012 Guideline on the integrated

implementation of ISO/IEC 20000-1 and ISO/IEC 27001 –

ktorá predstavuje súbor postupov pre spoločnú

implementáciu oboch noriem a poskytuje odporúčania pre:

---------------------------------------------------------------------------------------

Do októbra 2014 bola ešte možná certifikácia podľa ISO/IEC

27001:2005

www.tempest.sk

/ISO 27013 POKRAČOVANIE

/ Implementáciu ISO/IEC 27001 ak ISO/IEC 20000-1 je užimplementovaná, alebo opačne

/ Spoločnú implementáciu oboch noriem ak nie je implemetovaná

ani jedna z noriem ( prakticky to predstavuje veľkú výzvu)

/ Zladenie už existujúcich systémov riadenia podľa ISO 27001 a ISO

20000-1

/ Výhody: spoločný slovník, spoločný audit, systém prepojených

procesov či prepojený systém riadenia procesov.

/ V konečnom dôsledku by to malo vieť k zvýšeniu účinnosti a

efektívnosti systémov riadenia.

www.tempest.sk

/ISO 38500

/IT governace - ISO/IEC 38500:2008

Corporate governance of information

technology

rámec pre vyhodnotenie, smerovanie a

monitorovanie využitia IT a IT služieb

oddelenie manažment od governace a

definuje ich kompetencie.

Norma je v prvom rade určená pre štatutárne

resp. vedúce orgány spoločnosti a doplňa

koncept riadenia IT služieb o celkové

fungovanie IT v organizácii.

www.tempest.sk

/ISO 15504

ISO/IEC TS 15504-8:2012 An Exemplar

process assessment model fot IT service

management - model vyhodnotenia vyspelosti

procesov ITSM.

Napriek tomu že samotná norma ISO/IEC

20000-1 nevyžaduje toto vyhodnotenie ani

nepredpisuje povinnú úroveň vyspelosti

procesov je zrejmé, že použitie vyhodnotenia

vyspelosti procesov je ukážkou zavedenia

kontinuálneho zlepšovania a PDCA cyklu

v praxi. (využíva aj rámec COBIT 5 v plnom

rozsahu).

www.tempest.sk

/PRÍSTUP K IMPEMENTÁCII

1) Prečítať si znenie noriem najmä ISO/IEC 20000-1 aj -2

2) Identifikovať pridanú hodnotu

a)Pre poskytovateľov služieb – preukázanie spôsobilosti

b)Aj pre organizácie, ktoré nemajú záujem o certufikáciu – min.

fungovanie podľa požiadaviek doby ,

c) pripraviť Business case pre rozpoznanieť: Koľko bude implemntácia stáť (s alebo bez certifikácie)

Koľko to zaberie času (ak s procesným riadením nemáme skúsenosti uvažujme

skôr o dobe 1 rok a viac)

Aké budú reálne prínosy, vieme vyčísliť finančný prínos?

3) Prečítať si aj normy ISO/IEC 20000-3 prípadne -5 a ISO/IEC 15504.

4) Identifikovať požadovaný rozsah. -najmä pre požadovanú certifikáciu.

K tomuto bodu sa viackrát počas a po implemntácii vrátime.

5) Ziskať podporu vedenia

6) Spustenie oboznamovacej kampane

www.tempest.sk

/PRÍSTUP K IMPLEMENTÁCII 2

7) Príprava projektu a projektového tímu

8) Zaškolenie tímov

9) Vykonanie interného auditu

10) Spustenie projektu – nezabudnúť na:

/ Identifikovanie vlastníkov procesov a ich menovanie vedením spoločnosti

/ Vytvorenie zoznamu zodpovedností a právomocí (RACI)

/ Rozdeliť projekt na etapy ( celý slon sa na posedenie nedá zjesť)

11) Vykonať kontrolný interný poimplementačný audit

/ Ak je to potrebné.

12) Prevedenie ostého certifikačného auditu – 2 až 3 dni

www.tempest.sk

/POZNÁMKY

Poučenie:

Nechať si outsourcovať zavedenie procesov je ako nechať si

vycvičiť psa

Nechať si certifikovať zlý postup znamená dodržiavať ho

ISO 20000 hovorí inou rečou ako ISO 9001 alebo ISO 27001

www.tempest.sk

/POSLEDNÉ SLOVÁ

Ďakujem za pozornosť