Знакомство со стандартом ISO 20000: Откуда он взялся и как сертифицировать компанию

в 8:09, , рубрики: Help Desk Software, service desk, Блог компании ИТ Гильдия, сертификация, Управление e-commerce, Управление продуктом

В 2005 году Британский институт стандартов (BSI) выпустил новый стандарт ISO/IEC 20000:2005, который предъявляет требования к качеству предоставления IT-услуг. Принятие стандарта позволило оценить эффективность предоставляемых пользователям сервисов.

Стандарт опирается на лучшие мировые практики управления IT-сервисами и подходит для организаций любых размеров — от небольших контор до крупных технологических [и не только] компаний. В этом материале мы совершим небольшой экскурс в историю создания ISO 20000 и поговорим о том, каким образом проводится сертификация компании.

Знакомство со стандартом ISO 20000: Откуда он взялся и как сертифицировать компанию - 1/ фото WOCinTech Chat CC

Развитие стандарта

Идея об обобщении лучших практик IT-сервисов в едином документе принадлежала британскому правительству, которое в 1989 году поручило начать разработку «Библиотеки инфраструктуры информационных технологий», или ITIL. Первый этап проекта реализовало агентство British Central Computer & Telecommunications, на базе которого было создано сообщество представителей IT-провайдеров, корпораций и консультантов. Результатом их деятельности стал семитомный свод рекомендаций, в котором были проработаны комплексные методики управления IT-инфраструктурой.

Основой же для ISO 20000 послужила последняя версия британского стандарта BS 15000, разработанного BSI и содержащего описание универсальных критериев для оценки системы управления IT-сервисами организации. ISO 20000 изначально готовился для применения в технической области, поэтому был сформирован с учетом запросов и специфики работы IT-компаний — он содержит ссылки на методологию оценки IT-рисков и применим для оценки систем информационной безопасности.

ISO 20000 состоит из двух частей: Information technology: Specification и Information technology: Code of Practice. Первая часть содержит подробное описание требований к системе управления IT-сервисами, а также ответственность за них. В ней определены 13 самых важных IT-процессов, разбитых на пять групп:

  • Процессы предоставления услуг (Service delivery process). В неё входят управление уровнем услуг (Service Level Management), управление доступностью (Availability Management) и управление возможностями сервисов (Capacity Management). Сюда также относятся отчетность по предоставлению сервисов, управление информационной безопасностью, бюджетирование.
  • Процессы управления взаимодействием (Relationship processes). Эта область включает в себя управление процессами, происходящими между поставщиком сервисов, клиентом и подрядчиками.
  • Процессы разрешения инцидентов (Resolution processes). Сюда входят процессы решения проблем, сфокусированные на критических событиях в IT-структуре компании.
  • Процессы контроля (Control processes). Здесь рассматриваются процессы управления изменениями и конфигурациями. Руководители компании должны иметь представление не только о ключевых параметрах качества, но и о методиках их сбора.
  • Процессы управления релизами (Release process). Речь идет о выработке новых и коррекции уже имеющихся решений.

Вторая часть стандарта — Information technology: Code of Practice — является практической и содержит рекомендации по процессам и требованиям, описанным в первой части. Она предназначена для аудиторов и компаний, намеренных пройти сертификацию. Оценка IT-сервисов, согласно требованиям ISO 20000, дает возможность увидеть объем нереализованности управления, что, в свою очередь, позволяет запланировать его выполнение по рекомендациям стандарта, библиотеки ITIL или любой другой методологии.

В 2011 году стандарт ISO 20000 получил обновление — вышла новая редакция ISO/IEC 20000:2011. В новой версии стандарта расширились требования к проектированию и внедрению IT-услуг и расширился глоссарий, что сделало подачу информации более понятной.

Все стандарты ISO [ISO 20000] взаимосвязаны. Это «строительные блоки», которые ложатся в основу адаптивной структуры любой организации. Инициатива создания новых стандартов исходит от компаний, пользующихся этими нормативными документами. Они формируют базовые требования к стандарту и передают их региональным ISO-представителям. После этого решается вопрос о целесообразности разработки новых стандартов.

Таким образом, система менеджмента информационных сервисов может быть интегрирована с другой системой менеджмента, например, с системой менеджмента качества в соответствии с ISO 9001, системой экологического менеджмента в соответствии с ISO 14001, системой менеджмента информационной безопасности в соответствии с ISO 27001 и другими.

Также отметим, что в 2010 году был утвержден российский ГОСТ Р ИСО/МЭК 20000 «Информационная технология. Менеджмент услуг», который тоже имеет две части. Российский ГОСТ является точным переводом оригинального текста ISO 20000 (по сути, эти стандарты равны), но выполняться он может организациями, не имеющими никакого отношения к структуре регистраторов ISO.

Сертификация компании

В такой процедуре, как оформление стандарта ISO/IEC 20000-1:2011, в первую очередь заинтересованы владельцы сервисных организаций и компаний, оказывающих услуги хостинга. Это могут быть компании, занимающиеся разработкой программного обеспечения или веб-сайтов. Сам процесс сертификации компании представляет собой проверку ее политик, целей, системы оценки рисков IT-сервисов и используемых процедур на соответствие требованиям стандарта.

У компаний есть два варианта прохождения сертификации. Первый — расширение области регистрации, когда организация после получения ISO 9001:2000 проверяется на соответствие требованиям ISO 20000. Второй — компания проходит сертификацию на соответствие стандарту ISO 20000 отдельно.

Чтобы получить сертификат ISO/IEC 20000 организации нужно обратиться в аттестационный центр, то есть компанию, ответственную за предоставление сертификатов. Отметим, что аттестационные центры также должны быть сертифицированы по стандарту ISO 17021 и аккредитованы локальной сертификационной лабораторией.

Для получения сертификата необходимо пройти следующие этапы:

а) оформление запроса

Компания, которая хочет сертифицироваться по ISO/IEC 20000, подает запрос в аттестационный центр. В нем отражается информация о компании: количество человек, которых затронет аккредитация, основной вид деятельности, объемы работ и др. На основании этих данных центр аттестации вычисляет количество требуемых дней на проведение аудита и высылает руководству организации расчет стоимости процедуры.

б) аудит

Если компания принимает предложение сертификационного центра, его представители начинают аудит. Эта фаза разбивается на два этапа. Сперва группа аудиторов подготавливает план, регламентирующий все аспекты, которые должны быть подвергнуты проверке. Также в нем указываются ответственные лица, дата и время проведения аудита. На этом этапе проводится проверка документации, формируемой компанией: главные процессы, технические инструкции и так далее. Также проверяется все, что связано с системой менеджмента (PDCA). После первой фазы группа аудиторов составляет отчет, который отражает все обнаруженные отклонения в процессах.

На втором этапе группа аудиторов проводит анализ системы оценки рисков IT-услуг, политик компании и бизнес-процессов на соответствие стандарту. Во время проведения второй фазы аудита составляется отчет, в котором отмечаются все отклонения, в том числе пропущенные во время первой фазы.

в) получение сертификата

Если компания устраняет все ошибки, выявленные во время аудита, и предоставляет доказательства аттестационному органу, то последний формирует отчет о результатах оценки и одобряет выдачу сертификата. ISO-сертификат действителен на протяжении трех лет. В это время могут проводиться контрольные визиты. По прошествии трехлетнего периода, компания должна будет выдержать ресертификационный аудит, чтобы продлить действие сертификата.

Сертификация организации на соответствие требованиям ISO 20000 имеет как минимум два преимущества. Она дает возможность оценить эффективность деятельности IT-подразделения и помочь перейти на сервисную модель предоставления услуг в сфере информационных технологий. Еще независимая сертификация позволяет компании продемонстрировать своим клиентам, что качество процессов предоставления услуг соответствует ведущим мировым практикам — это положительно сказывается на престиже организации.

Если у вас есть вопросы, то узнать подробнее о сертификации компании на соответствие стандарту ISO 20000 вы можете у специалистов компании «ИТ Гильдия» — официального сертифицированного партнера ServiceNow.

Если у вас есть вопросы, будем рады ответить в комментариях. Немного подробнее о сертификации компании и соответствии стандарту ISO 20000 — здесь.

Автор: it-guild

Источник

Поделиться

* - обязательные к заполнению поля