ISO 20000: зрелое управление ИТ-услугами

Закрепленный в стандарте ISO 20000 переход к сервисной модели ИТ реализуется путем внедрения формальной системы управления ИТ-сервисами (СУИС).

Международная организация по стандартизации опубликовала 12 декабря 2005 года новый стандарт BS ISO/IEC 20000-1:2005 «Information technology — Service management. Part 1: Specification». Он заменил британский стандарт BS 15000:2002, причем в него вошло 99% содержательной части последнего.

Цель разработки этого стандарта заключалась в создании универсальных критериев, с помощью которых любая фирма или служба, предоставляющая ИТ-услуги, сможет оценивать их эффективность и выполнение требований заказчиков с учетом их бизнеса. Стандарт задумывался как «отраслевой» аналог ISO 9001:2000, нацеленный на ИТ-услуги. Такой процессно-отраслевой подход гарантирует решение многих вопросов и бизнес-задач компаний, позволяет им минимизировать затраты на сертификацию. Кроме того, на его основе проверяющий орган по сертификации может проводить интегрированную оценку и сертификацию.

История вопроса

Идея обобщения лучших практик оказания ИТ-услуг принадлежала британскому правительству, которое в 1989 году инициировало разработку ITIL — библиотеки лучших практик организации процессов и процедур, обеспечивающих оказание ИТ-услуг. Реализацию проекта поручили специальному агентству British Central Computer & Telecommunications (CCTA). В нем из представителей ИТ-поставщиков, пользователей и консультантов создали рабочую группу, которая должна была обобщить передовой опыт в области информационных технологий. Результаты ее деятельности были опубликованы в серии из 40 книг, позволили создать единый словарь терминов. После переработки этих материалов их издали в виде семи томов, собственно, и получивших название ITIL. В них изложена методика управления ИТ-инфраструктурой с целью предоставления и поддержки ИТ-услуг, соответствующих бизнес-требованиям компаний.

Для разработки новых процессов и процедур оказания ИТ-услуг в 1991 году был создан Форум ITSM. В середине 90-х он обратился к Британскому институту стандартов (BSI) с просьбой разработать стандарт, спецификации которого могли бы служить критериями при оценке качества предоставления ИТ-услуг. Данный стандарт впоследствии был назван BS 15000.

К созданию BS 15000 были привлечены British Broadcasting Corporation (BBC), British Computer Society (BCS), Office of Government Commerce (OGC), IT Service Management Forum (itSMF), а координировал всю работу BSI. Стандарт BS 15000 стал сборником лучших практик, которые необходимы компаниям для совершенствования ИТ-услуг, оказываемых как внутренним, так и внешним потребителям. Он определял требования к организации ИТ-услуг, выполнение которых обеспечивало гарантии их качества на приемлемом для пользователей уровне.

Стандарт BS 15000, описывающий требования к управлению ИТ-сервисами, появился в 2000 году. Впоследствии он был обновлен и опубликован в двух частях:

• BS 15000-1:2002 IT Service Management. Part 1: спецификация на управление ИТ-услугами;
• BS 15000-2:2003 IT Service Management. Part 2: сборник практик управления ИТ-сервисами.

Стандарт BS 15000 обеспечивает определенную культуру предоставления ИТ-услуг и методологию организации сервиса в соответствии с бизнес-требованиями. Он определяет важнейшие процессы оказания ИТ-услуг, взаимосвязь между этими процессами в зависимости от типов услуг, задает общие направления для выработки целей и методов управления, необходимых для предоставления ИТ-услуг.

В декабре 2005 года Технический комитет IST/15 Software and systems engineering и его подкомитет IST 15/-/8 IT service management международной организации по стандартизации ISO дословно преобразовали стандарт BS 15000:2002 в международный стандарт BS ISO/IEC 20000-2:2005. Одновременно ему был присвоен статус британского стандарта.

Что и с чем

В рамках ISO/IEC 20000 определены 13 важнейших процессов, собранных в пять ключевых групп (рис. 1):

• процессы оказания услуг (Service delivery process). В группу входят управление уровнем услуг (Service level management), управление доступностью (Service continuity and availability management) и управление возможностями сервисов (Capacity management);
• процессы взаимоотношений (Relationship processes). Эта область включает в себя связи и отношения между поставщиком услуг, клиентом и подрядными организациями;
• процессы решения проблем (Resolution processes). Разработчики стандарта фокусируются на инцидентах, которые удалось предотвратить или успешно разрешить;
• процессы контроля (Control processes). В данном разделе рассматриваются процессы управления изменениями, активами и конфигурациями;
• процессы релиза (Release process). Речь идет о выработке новых и коррекции уже имеющихся решений;
• кроме того, выдвигаются требования к мере ответственности руководителей компании, предоставляющей ИТ-услуги, а также к управлению документацией, компетенции, осведомленности и подготовке персонала.

ISO 20000:2005 отличается от библиотеки ITIL в первую очередь тем, что этот стандарт не только дает общие рекомендации и представляет опыт обеспечения ИТ-поддержки процессов, нацеленных на оказание ИТ-услуг. В нем предлагаются и универсальные критерии, по которым можно объективно оценивать возможности компании при выполнении требований пользователей. Конечно же, целью ISO 20000:2005, как и любых других стандартов управления, не является аккумуляция всего огромного объема знаний, который собран в библиотеках практик, выработанных в разных областях деятельности. В стандарте отмечены лишь наиболее важные вехи и цели, без учета которых невозможно говорить об эффективно функционирующей системе менеджмента.

Рис. 1. Процессы ISO/IEC 20000

Оценка соответствия ИТ-услуг требованиям ISO 20000-1:2005 позволяет представить объем нереализованных требований. Кроме того, удается запланировать их выполнение с учетом рекомендаций ISO 20000-2:2005, библиотеки ITIL, любой другой методологии или рекомендаций, связанных с ИТ-услугами и ИТ-процессами, а также с применением собственного опыта. Внедрение ISO 20000-2:2005 или ITIL не является обязательным требованием соответствия стандарту ISO/IEC 20000-1:2005, но использование практик, упоминаемых в ISO 20000-2:2005 или ITIL, делает этот процесс гораздо более простым и ясным. Следует учитывать, что структуры процессов, представленных в ISO 20000-1:2005 и ITIL, не полностью соответствуют друг другу: сегодня ITIL только приводится в соответствие стандарту. А вот стандарт ISO 20000-2:2005, состоящий из свода практик, структурно полностью соответствует ISO 20000-1:2005.

Дополнительное использование IT Service Management Self-assessment Workbook помогает компаниям оценивать результативность собственных лучших практик, используемых в процессах предоставления ИТ-услуг. Они получают четкое представление о тех областях, которые необходимо совершенствовать в рамках внедренных СУИС. В том числе можно оценить, каким образом лучше достичь соответствия стандарту BS ISO/IEC 20000-1:2005. На рис. 2 приведена оптимальная структура построения процессов управления ИТ-услугами.

Рис. 2. Оптимальная структура построения процессов управления ИТ-услугами

Отметим, что внедрение ISO 20000-1:2005 оказывается наиболее эффективным, если имеется базисная основа процессов — внедренная система менеджмента качества на основе ISO 9001:2000 и действующая система информационной защиты, базирующаяся на ISO 27001:2005 (ранее BS 7799-2). Организации, прошедшие сертификацию на соответствие ISO 27001:2005, отвечают и требованиям ISO 20000-1:2005 к процессам обеспечения информационной безопасности. А сертификация по ISO 9001:2000 создает общую основу для развития всех процессов компании, влияющую на степень удовлетворенности потребителя.

Процесс

Существуют две возможные схемы сертификации.

1. Расширение области регистрации. После завершения сертификации по ISO 9001:2000 аудитор проверяет компанию на соответствие требованиям ISO 20000. Если результат сертификации оказывается положительным, за счет расширения области регистрации в сертификат добавляется информация о том, что предприятие продемонстрировало соответствие требованиям ISO 20000:2005.

2. Сертификат ISO 20000. В данном случае компания проходит сертификацию на соответствие стандарту ISO 20000 отдельно. Представители сертифицирующей организации посещают предприятие с целью установить соответствие его системы управления ИТ-услугами требованиям ISO 20000. При положительных результатах аудита выдается сертификат на систему, включающий в себя информацию о соответствии этой системы требованиям ISO 20000-1:2005.

Какой бы путь ни выбрала компания, ее система будет подвергаться последующим периодическим проверкам в рамках действующей регистрации. Для предприятия, вплотную подошедшего к сертификации после внедрения СУИС, немаловажно, чтобы аудиторы имели опыт оценки СУИС на соответствие требованиям ISO 20000-1, а также зарегистрированные и подтвержденные технические коды, которые непосредственно связаны с областью деятельности клиента.

Нужно получить у аудитора ответы на все вопросы, возникшие на начальной стадии сертификации. Он должен предоставить и калькуляцию, в которой зафиксированы все этапы сертификации, их продолжительность и стоимость. Калькуляция дает четкое представление о размере первоначальных затрат и стоимости поддержания регистрации.

Компании следует оформить заявку, по которой будет выделена команда аудиторов. Вначале она проверит документацию на систему управления ИТ-сервисами и определения процессов системы. Хорошо, если есть возможность провести предварительный (тренировочный) аудит: он поможет подготовить предприятие к сертификационному аудиту и выявить области, требующие совершенствования. Результаты необходимо зафиксировать в отчете; в нем должны подробно описываться все положительные стороны системы и выявленные несоответствия.

В ходе сертификационного аудита анализируются система оценки рисков ИТ-услуг, политика компании, объемы информации, соответствие стандарту и используемые процедуры. В результате могут быть выявлены все упущения, которые потребуется устранить. Затем осуществляется проверка внедренной СУИС, по окончании которой подготавливается отчет. В нем указываются выявленные в ходе оценки сильные и слабые стороны СУИС, а также даются официальные рекомендации.

Аргументы

Любая оптимизация (а тем более применение грамотно построенной СУИС) ведет к сокращению расходов и бизнес-потерь, которые очевидны при отсутствии структуры и порядка. Система делает управление ИТ-услугами более «прозрачным» для руководства компании, так как подразумевает четкую идентификацию и взаимосвязь бизнес-процессов, наличие критериев мониторинга и оценки их эффективности. Все это позволяет высшему руководству легко отслеживать проблемные области и оценивать эффективность предложенных корректирующих мер.

Внедрение СУИС благотворно влияет и на общую организацию работ, и на профессионализм сотрудников. Оно подразумевает понимание их ответственности за создание и поддержание системы, постоянное повышение их уровня компетенции. Требованиями системы являются также обучение и проверка эффективности использования полученных знаний.

Может ли СУИС улучшить отношения с партнерами и клиентами? Конечно, да. Те и другие видят, что компания стремится уменьшить их риски, соблюдать требования к качеству предоставляемых ИТ-услуг, а в результате уровень доверия клиентов и партнеров неизбежно повышается. В случае низкого качества услуг мониторинг процессов и исполнения параметров SLA гарантирует своевременное вмешательство — предложение корректирующих мер, нацеленных на устранение уже имеющихся негативных тенденций и предупреждение возникновения новых.

Стандарт ISO 20000:2005 предъявляет лаконичные требования к СУИС. Он не навязывает конкретных путей их реализации, а предоставляет возможность самим компаниям выбирать пути развития ИТ-услуг. Другими словами, стандарт определяет «что» должно быть сделано в хорошо управляемой системе, а организация выбирает, «как» она это осуществит.

Стандарт направлен на реализацию задач, связанных с проведением тендеров при выборе поставщика ИТ-услуг и с оценкой собственных ИТ-сервисов. Компания может провести независимую оценку того, способны ли ее процессы предоставления ИТ-услуг удовлетворять потребности внешних пользователей в долгосрочной перспективе. Такая оценка станет основой формальной сертификации. Кроме того, стандарт обеспечивает планирование путей дальнейшего совершенствования ИТ-сервисов.

Сертификация по стандарту ISO 20000-1 предоставляет компании конкурентные преимущества:

• она может продемонстрировать партнерам, клиентам, конкурентам, инвесторам и государственным органам, что в ней налажено эффективное управление ИТ-услугами;
• своевременно выявляются проблемы бизнес-процессов, связанных с управлением ИТ-услугами;
• появляется возможность выработки рекомендаций, нацеленных на повышение уровня зрелости процессов организации ИТ-сервисов;
• снижаются риски прямых потерь из-за предоставления некачественных ИТ-услуг.

Международный статус стандарта значительно выше, чем уровень общественного признания специализированной библиотеки ITIL. А потребители гораздо лучше понимают смысл сертификации по международным стандартам, чем по заявлениям руководителей ИТ-структур, в соответствии с которыми они строго придерживаются отраслевых методологий управления.

Формально внедренная и зарегистрированным престижным международным органом по сертификации СУИС увеличивает стоимость брэнда. Она является одним из аргументов инвесторов при покупке компаний, положительным фактором при слиянии, получении кредитов и правительственных заказов. Такая СУИС позволяет повысить уровень капитализации предприятия и способствует его признанию на международном уровне. Все это следует учитывать фирмам, планирующим выход на европейские рынки и рынок IPO.

Интеграция

Доп.олнительную выгоду можно получить за счет интеграции СУИС с другими системами управления. Хотя международные стандарты на различные системы управления существуют автономно, все они имеют схожую структуру и организованы по единому принципу (цикл PDCA — планирование — осуществление — проверка — действие), что позволяет интегрировать их в единую систему управления. Это существенно повышает их потенциал, дает возможность наращивать стоимость предприятия и эффективность его работы.

Интегрированные системы управления быстро становятся необходимым предварительным условием участия в международной торговле, закрепления партнерских отношений и обеспечения лояльности клиентов.

Они помогают предприятию работать как единый организм и способствуют его сбалансированному равномерному развитию. Мы надеемся, что сертификация российскими компаниями систем управления повысит качество оказания ИТ-услуг, инвестиционную привлекательность таких фирм и создаст необходимую основу для их успешного развития.

Наталья Горобец — генеральный директор BSI Management Systems CIS LLC, Natalia.Gorobets@bsi-global.com

BSI

Британский институт стандартов (BSI) основан более 100 лет назад. На протяжении всей своей истории эта ведущая некоммерческая организация занимается разработкой национальных стандартов и независимой сертификацией. В 1979 году BSI создал стандарт BS 5750, который стал основой для разработки международного стандарта ISO 9000, что стимулировало рост интереса к системам менеджмента во всем мире. Аналогичную связь можно отметить между стандартами BS 7799-2 и ISO 27001:2005, а также многими другими стандартами на системы управления. BSI является и одним из крупнейших в мире органов сертификации систем менеджмента, который имеет более 80 тыс. клиентов, в числе которых как крупные корпорации, так и представители малого бизнеса.

Широким шагом

Сегодня уже можно сказать, что процесс сертификации систем управления ИТ-услугами по стандарту BS ISO/IEC 20000-1:2005 начал свое триумфальное шествие. Институт BSI первым из международных органов провел независимую оценку на соответствие BS ISO/IEC 20000-1:2005 уже в прошлом году. Сразу после опубликования международного стандарта количество запросов на независимую сертификацию системы управления ИТ-услугами значительно возросло. Это связано со спецификой бизнеса. Стандарт «Система менеджмента качества» (ISO 9001:2000) применим и к предприятиям, предоставляющим ИТ-услуги, но BS ISO/IEC 20000-1:2005 лучше учитывает их специфику. Можно сказать, что он ИТ-ориентирован.

Более 40% всех проведенных в мире независимых сертификационных экспертиз на соответствие стандарту BS ISO/IEC 20000-1:2005 (BS 15000) осуществил BSI. Среди клиентов этой организации — такие известные компании, как Fujitsu Limited, LG CNS, Lloyds TSB Group, JAPAN TELECOM, Korea Telecom Freetel, The bank of Korea, Mitel Networks Limited, Northrop Grumman, Dell Computers, Datalect, ALPHATEC, China Ocean Oil Company и многие другие.

Компания «КРОК» в мае 2006 года (впервые в России) внедрила систему управления ИТ-сервисами (СУИС) и прошла сертификацию на соответствие требованиям BS ISO/IEC 20000-1:2005. Начав в 2004 году с системы менеджмента качества, она в 2005 году одной из первых прошла сертификацию в BSI MS CIS на соответствие ее системы управления информационной безопасностью стандарту ISO 27001. К настоящему времени «КРОК» доработала свои процессы в соответствии с ISO 20000.

К внедрению формальной СУИС уже приступили некоторые российские организации, в том числе Сбербанк России, компания «Ай-Теко», ряд операторов мобильной связи.