ЛР5_ИМ

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное автономное образовательное учреждение высшего образования

«САНКТ-ПЕТЕРБУРГСКИЙ УНИВЕРСИТЕТ АЭРОКОСМИЧЕСКОГО ПРИБОРОСТРОЕНИЯ»

КАФЕДРА № 82

ЛАБОРАТОРНАЯ РАБОТА

ЗАЩИЩЕНА С ОЦЕНКОЙ

РУКОВОДИТЕЛЬ

доцент, канд. техн. наук				О.М. Поляков
должность, уч. степень, звание		подпись, дата		инициалы, фамилия

ОТЧЁТ О ЛАБОРАТОРНОЙ РАБОТЕ №5

СТАНДАРТ ISO 20000 И ЕГО РОССИЙСКАЯ АДАПТАЦИЯ ГОСТ P ICO/МЭК 20000

по курсу: Информационный менеджмент

РАБОТУ ВЫПОЛНИЛ

СТУДЕНТ ГР. №	4616				А.В. Павлов
			подпись, дата		инициалы, фамилия

Санкт-Петербург

2020

Цель работы:

ИЗУЧЕНИЕ СТАНДАРТА ISO 20000: 2005

Ход работы:

История появления и распространения международного документа для компаний, занимающихся информационными технологиями, началась в Великобритании. В конце 1980-х годов правительство страны задумалось о том, что необходимо обобщить опыт работы успешных компаний и организовать Библиотеку инфраструктуры ИТ (ITIL). ISO 20000 – первый международный стандарт по управлению качеством ИТ-услуг, он состоит из двух частей: «Information technology – Service management. Part 1: Specification» и «Information technology – Service management. Part 2: Code of Practice».

ISO 20000-1:2005 «Information technology – Service management. Part 1: Specification» содержит полное и подробное описание требований к системе управления ИТ-сервисами, а также ответственность за их в организациях. Первая часть состоит из 10 разделов, которые содержат 13 процессов в пяти ключевых группах:

- Процессы предоставления сервисов (Service delivery process). В группу входит управление уровнем сервисов, управление непрерывностью и доступностью, управление мощностями, отчетность по предоставлению сервисов, управление информационной безопасностью, бюджетирование и учет затрат.

- Процессы управления взаимодействием (Relationship processes). Эта область включает в себя управление взаимодействием с бизнесом, управление поставщиками.

- Процессы разрешения (Resolution processes). Разработчики стандарта фокусируются на инцидентах, которые удалось предотвратить или успешно разрешить, – управление проблемами, управление инцидентами.

- Процессы контроля (Control processes). В данном разделе рассматриваются процессы управления изменениями и конфигурациями.

- Процессы управления релизами (Release process). Речь идет о выработке новых и коррекции уже имеющихся решений.

ISO 20000-2:2005 «Information technology – Service management. Part 2: Code of Practice» – это практическая часть, в которой содержатся рекомендации по процессам и требованиям, описанным в первой части. Состоит из 10 разделов и предназначена для аудиторов и компаний, намеренных пройти сертификацию.

Оценка ИТ-сервисов согласно требованиям ISO 20000-1:2005 дает возможность увидеть объем нереализованности управления, что позволяет запланировать его выполнение по рекомендациям ISO 20000-2:2005, библиотеки ITIL® или любой другой методологии. Использование данных методологий не является обязательным, но в значительной мере упрощает процесс перехода к сервисной модели и делает его более понятным.

Кроме того, стандарт выдвигает требования к мере ответственности руководства компании, предоставляющей ИТ-сервисы, а также к управлению документацией, компетенции, осведомленности и подготовке персонала.

В 2010 году был утвержден российский ГОСТ Р ИСО/МЭК 20000 «Информационная технология. Менеджмент услуг», который также был опубликован в двух частях. Российский ГОСТ является точным переводом оригинального текста ISO 20000 (с точки зрения законности эти стандарты равны и однозначны), но выполняться он может организациями, не имеющими никакого отношения к структуре регистраторов ISO.

В 2011 году стандарт ISO 20000 получил обновление – вышла новая редакция ISO/IEC 20000:2011, авторы отметили следующие изменения в этой версии:

- более тесное «выравнивание» (alignment) со стандартом ISO 9001;

- более тесное «выравнивание» со стандартом ISO 27001;

- изменения в терминологии для отражения специфики интернационального применения;

- добавление большого количества новых определений терминов, удаление двух определений и изменение некоторых ранее существовавших;

- объединение разделов 3 и 4 версии ISO/IEC 20000–1:2005, чтобы собрать все общие требования к системе управления ИТ-услугами в одном разделе стандарта;

- разъяснения к требованиям надзора (governance) за процессами, которые выполняются третьими сторонами, вовлеченными в предоставление или потребление ИТ-услуг;

- разъяснения по определению границ сертификации (области охвата сертифицируемой системы управления ИТ-услугами);

- разъяснения по применению методологии (methodology) PDCA к системе управления ИТ-услугами и, в частности, к процессам и к ИТ-услугам;

- появление новых требований к проектированию и внедрению (design and transition) новых и измененных ИТ-услуг.ГОСТ Р ИСО/МЭК 20000 это российская версия международного регламента по оценке качества работы ИТ-сервиса.

По сути этот документ представляет собой перевод ИСО/МЭК 20000, то есть содержание обоих документов совершенно идентично. На практике имеется одно весьма существенное отличие: в наше стране осуществлять сертификацию по ГОСТ Р ИСО/МЭК 20000-1-2010 могут аудиторские фирмы, которые не относятся к числу структур Международной организации по стандартизации (ISO). ГОСТ был утвержден и принят к руководству в 2010 году. Спустя год появилась обновленная версия: были внесены корректировки в терминологию и понятия GOST, включены разъяснения по требованиям надзора, определению границ и методологии сертификации. Разработчики ГОСТ Р ИСО/МЭК 20000-1 нового образца «выровняли» его в соответствии с нормами ISO 9001 и ISO 27001. Документ способствует налаживанию скоординированной интеграции, внедрению непрерывного управления, получению высокого результата и постоянному стремлению к решению новых амбициозных задач. Одним из важнейших условий для успешного прохождения сертификации является правильная организация работы Службы поддержки пользователей и отдела функционирования систем. Также необходимо наличие инструментов и ресурсов.

ISO 20000 представляет собой подробное описание требований к системе менеджмента ИТ сервисов и ответственность за инициирование, выполнение и поддержку в организациях. Эта часть состоит из 10 разделов, 13 процессов, собранных в пять ключевых групп:

• Процессы предоставления сервисов (Service delivery process): в группу входят управление уровнем сервисов, управление непрерывностью и доступностью, управление мощностями, отчётность по предоставлению сервисов, управление информационной безопасностью, бюджетирование и учёт затрат.

• Процессы управления взаимодействием (Relationship processes): эта область включает в себя управление взаимодействием с бизнесом, управление поставщиками.

• Процессы разрешения (Resolution processes): разработчики стандарта фокусируются на инцидентах, которые удалось предотвратить или успешно разрешить – управление проблемами, управление инцидентами.

• Процессы контроля (Control processes): в данном разделе рассматриваются процессы управления изменениями и конфигурациями.

- Процессы управления релизами (Release process): речь идёт о выработке новых и коррекции уже имеющихся решений.

Согласно ISO 20000, основная цель системы менеджмента IT сервисов – наладить работу компании так, чтобы протекающие процессы приносили результат, который удовлетворяет пожелания покупателей услуг. Достичь этой цели можно, если учтены требования к системе менеджмента:

- Ответственность руководителей (топ-менеджмент ИТ-корпорации должен представить доказательства того, что им ведется работа по внедрению, реализации и улучшению системы менеджмента);

- Требования к документации (чтобы пройти сертификацию, поставщики ИТ-сервисов должны предъявить документы по планированию своей работы, мониторингу и контролю на всех этапах);

- Подтверждение знаний, осведомленность и подготовка (регулярные обзоры и управление компетентностью персонала, выполнение каждым сотрудником своих документально закрепленных функций, осведомленность каждого о своей роли в корпоративном управлении).

Отношения между этими процессами зависят от их применения в пределах организации. В общем случае такие отношения являются слишком сложными для модели. Перечень целей и средств управления, содержащихся в настоящей части стандарта, не является исчерпывающим, и любая организация может определить для себя дополнительные цели и средства управления, необходимые для удовлетворения специфических потребностей своей деятельности. Природа деловых отношений между провайдером услуг и организациями, которым услуги предоставляются, будет определять, каким образом требования данной части стандарта выполняются для обеспечения полного достижения целей.

Среди требований стоит отметить такой пункт в ISO/IEC 20000, как ответственность руководства. Глава предприятия и его заместители должны видеть свои краткосрочные и долгосрочные цели, политику компании, заниматься планировочной работой, выделять средства и время на совершенствование системы управления. Руководители обязаны обеспечить компанию ресурсами и уметь управлять рисками.

В основе стандарта ISO содержится понятие IT Service Management, или управление ИТ-услугами. Что оно означает? Суть подхода в следующем: предприятие задействует такое количество персонала и процессов, с которым получится достичь поставленных целей в заранее определенные сроки. Управляя ИТ-услугами, поставщики применяют документацию ITIL, в которой описаны базовые процессы, поддерживающие предоставление ИТ-сервисов:

- управление инцидентами;

- управление конфигурациями;

- управление проблемами;

- управление непрерывностью;

- управление изменениями;

- управление релизами;

- управление доступностью;

- управление уровнем услуг;

- управление мощностями (емкостью);

- управление финансами.

Основной смысл понятия «управление ИТ-услугами» прост. ИТ-компания, работающая по международным стандартам ISO, должна сосредоточить свое внимание не на самих технологиях, а на запросах пользователей услуг.

Группа предоставления услуг содержит следующие процессы:

1. Управление производительностью: компании требуются ресурсы, необходимые для предоставления услуг: люди, оборудование и средства связи. Таким образом, организация с ISO 20000 должна предвидеть возможный пик нагрузки или увеличение производительности ИТ-услуг, предлагаемых ее клиентам. В том случае, если необходимо увеличить мощности (людей, оборудование и т. д.) важно обновить договоры об оказании услуг и также необходимо определить расходы.

2. Непрерывность обслуживания и управление доступностью: необходимо определить сценарии аварийных ситуаций и определить стратегии действий в чрезвычайных ситуациях, чтобы таким образом служба была бесперебойной или возможное отключение не сильно повлияло на работу службы. Таким образом, организация может гарантировать, что сервис по-прежнему работает с приемлемым уровнем качества. Также очень важно определить план тестирования, чтобы периодически проверять правильность установленных процедур.

3. Управление уровнем обслуживания: соглашения должны быть определены таким образом, чтобы было четко установлено, какой вид обслуживания предоставляется и на каких условиях. Существует три типа соглашений: Соглашение об уровне обслуживания (соглашение с клиентом), Соглашение об оперативном уровне (по внутреннему поставщику) и соглашение о поддержке (соглашение с внешним поставщиком). В этом случае очень важно наладить регулярные встречи для проверки соблюдения договоренностей.

4. Отчеты о сервисе: периодические отчеты должны быть определены с подробной информацией о сервисе. Важно составить план поставки и представить результаты клиентам, которые будут иметь подробную информацию о состоянии сервиса (возможные сбои, обновления, изменения во внутренних операциях, техническое обслуживание, улучшения, поломки и т.д.).). Таким образом, клиент будет иметь глобальное видение статуса услуги, и эта информация будет приходить периодически, так что клиент может принимать решения, подкрепленные фактической информацией.

5. Управление информационной безопасностью: необходимо определить меры безопасности для защиты информации от угроз. Все информационные системы имеют риски; 100% безопасность невозможна, и мы должны гарантировать информацию нашего клиента. В этом случае очень важно определить методологию управления рисками для выявления активов, анализа угроз / уязвимостей, расчета риска и разработки плана лечения для снижения его до приемлемого уровня.

6. Бюджетирование и учет услуг: как и ожидалось, деньги также важны. Вам нужно контролировать затраты и прибыль на оказание услуг, потому что вы должны знать, является ли ваша услуга прибыльной или вам нужно сделать новые инвестиции. Кроме того, вам необходимо знать стоимость ресурсов, основных средств и оборудования и анализировать фактические затраты по сравнению с плановыми.

Ну, это все, что я могу вам сейчас сказать о группе доставки услуг. Эта группа процессов является базовой для управления ИТ-услугами, поскольку все компании должны управлять предоставлением своих услуг.

Процессы группы взаимоотношений описывают два взаимозависимых аспекта – управление взаимоотношениями с бизнесом и управление поставщиками. Цель: Устанавливать и поддерживать взаимовыгодные отношения между поставщиком услуг и заказчиком, основанные на понимании потребностей заказчика и движущих сил их бизнеса. Поставщик услуг должен определять и документировать сведения о заинтересованных лицах и заказчиках услуг. Поставщик услуг и заказчик не менее одного раза в год должны производить обзор услуг для обсуждения изменений в охвате, соглашениях об уровне услуг, контрактов (при их наличии) или потребностей бизнеса; а также проводить промежуточные встречи через согласованные интервалы времени для обсуждения производительности, достижений, проблем и планов действий. Эти встречи должны документироваться. Иные заинтересованные лица также могут приглашаться на встречи. Следствиями таких совещаний будут являться изменения в контракте(ах), в случае их наличия, и в соглашениях об уровне услуг. Эти изменения должны контролироваться в рамках процесса управления изменениями. Поставщик услуг должен оставаться информированным о потребностях бизнеса и значимых изменениях для того, чтобы быть готовым удовлетворить эти потребности.

Должен существовать процесс обработки жалоб. Определение формальной жалобы, связанной с услугой, должно быть согласовано с заказчиком. Все формальные жалобы должны быть записаны поставщиком услуг, исследованы, обработаны, формально закрыты и по ним должна быть предоставлена отчетность. Для случаев, когда удовлетворение жалобы утвержденным порядком невозможно, заказчику должна быть доступна возможность ее эскалации. Поставщик услуг должен определить сотрудника или нескольких сотрудников, персонально ответственных управление удовлетворенностью заказчиков и за процесс управления взаимоотношениями с бизнесом в целом. Должен существовать процесс, позволяющий, на основании регулярных измерений удовлетворенности заказчика, получать обратную связь и действовать в соответствии с её результатами. Действия по улучшению, выявленные при исполнении этого процесса, должны быть записаны, и использоваться в качестве входных данных для плана улучшения услуг. Цель: Определять и контролировать компоненты услуг и инфраструктуры, а также поддерживать точную информацию о конфигурациях. Должен использоваться интегрированный подход к планированию процессов управления изменениями и управления конфигурациями. Поставщик услуг должен определить интерфейс с процессом учёта финансовых активов. Должна существовать политика, определяющая понятие конфигурационной единицы (КЕ) и её составных частей. Для каждой конфигурационной единицы должна быть определена информация, подлежащая записи, включая взаимоотношения и документацию, необходимые для эффективного управления услугами. Процесс управления конфигурациями должен обеспечивать механизмы идентификации, контроля и отслеживания версий определяемых компонент услуг и инфраструктуры. Должен гарантироваться уровень контроля, достаточный для удовлетворения потребностей бизнеса, рисков возникновения сбоев и критичности услуги. Процесс управления конфигурациями должен обеспечить предоставление информации для процесса управления изменениями о влиянии запрашиваемого изменения на услуги и конфигурацию инфраструктуры. Изменения конфигурационных единиц должны быть, если это возможно, отслеживаемыми и проверяемыми, например, изменения и перемещения программных средств и оборудования. Процедуры контроля конфигураций должны гарантировать поддержание целостности систем, услуг и компонент услуг. До релиза в среду промышленной эксплуатации, должны быть созданы базовые состояния необходимых конфигурационных единиц. Мастер-копии цифровых конфигурационных единиц (например, программное обеспечение, средства тестирования, сопровождающая документация) должны находиться под контролем в защищенных физических или электронных библиотеках и иметь взаимосвязи с конфигурационными записями.

Управление инцидентами и управление проблемами являются отдельными процессами, хотя имеют тесную взаимосвязь. Цель: Как можно быстрее восстановить согласованную услугу для бизнеса или выполнить запрос на обслуживание. Все инциденты должны быть записаны. Должны быть приняты процедуры управления влиянием инцидентов. Процедуры должны определять запись, приоритезацию, влияние на бизнес, классификацию, обновление, эскалацию, разрешение и формальное закрытие всех инцидентов. Заказчик должен быть постоянно проинформирован о продвижении работ по зарегистрированным им инцидентам или запросам и заранее предупреждаться о невозможности обеспечения согласованных уровней услуг и необходимости действий. Весь персонал, вовлеченный в процесс управления инцидентами, должен иметь доступ к необходимой информации об известных ошибках, решениях проблем и базе данных управления конфигурациями (CMDB). Значительные инциденты должны классифицироваться и управляться согласно процессу. Цель: Минимизировать потери для бизнеса путем преактивного определения и анализа причин инцидентов и управления проблемами вплоть до их закрытия.

Подведем промежуточные итоги (об окончательных итогах можно будет говорить после завершения работы над ISO 20000). Стандарт ГОСТ Р ИСО/МЭК 20000 использует совершенно другую модель процессов, чем ITIL . Эта модель не является подмножеством модели ITIL , она структурирована иначе, чем жизненный цикл услуг в ITIL . Первые две части стандарта не включают никаких указаний на организацию процесса аудита, не содержат рекомендаций по практическим инструментам аудитора, описания ответственностей аудитора и т.п. Уровень детализации описаний в ГОСТ Р ИСО/МЭК 20000 таков, что все выводы, которые сделаны в тексте, очевидны на уровне обычного здравого смысла и фактически не требуют обоснований.

Принцип разбиения стандарта на две практически совпадающие по содержанию и структуре части остается непонятным. Мотивы такого решения в тексте не излагаются. Причины, по которым авторы предпочли использовать для оценки и улучшения процессов подход PDCA, а не реализованную уже CMMI-модель развитости процессов (CMU-SEI, 2009), неясны. Рассматривается незавершенный стандарт управления услугами ISO/IEC 20000, а также официальный перевод его на русский язык - ГОСТ Р ИСО/МЭК 20000. Этот стандарт содержит эталонную модель процессов управления услугами и предназначен для практического использования при оценке и сертификации организаций на соответствие требованиям ITIL. Отмечается, что процессная модель стандарта отличается как от модели ITIL , а также то, что изложение основных понятий управления услугами ведется на значительно более упрощенном уровне, чем в ITIL. В настоящем его виде стандарт ГОСТ Р ИСО/МЭК 20000 не включает практических рекомендаций по проведению аудита и сертификации.

Выводы:

В ходе лабораторной работы мы изучили стандарт ISO 20000: 2005