В настоящее время все больше и больше ИТ-подразделений различных организаций переходят к использованию стандарта ISO 20000. Почему так происходит? Чтобы разобраться в этом, необходимо вначале рассмотреть, что представляет собой современное управление ИТ-услугами (Information Technology Service Management — ITSM).
Стандарты в области ITSM
Современный ITSM представляет собой набор хороших международных практик [1, 2], включающий как международные стандарты, так и общепризнанные международные методики по управлению ИТ¬услугами. К основным международным стандартам в области ITSM относят:
- ISO 20000 (система управления ИТ-услугами);
- ISO 27001 (система управления информационной безопасностью);
- ISO 19770-1 (управление активами ИТ);
- ISO 38500 (корпоративное стратегическое управление ИТ).
Стандартизация в области ITSM продолжается, поэтому представленный выше список не является конечным. К общепризнанным международным методикам в области ITSM относят:
- Information Technology Infrastructure Library (ITIL) — библиотека в области инфраструктуры информационных технологий, в настоящее время действует третья версия (ITIL v3);
- Capability Maturity Model Integration (CMMI) — модель зрелости организации;
- Control Objectives for Information and related Technology (COBIT) — объекты контроля для информационных и связанных технологий;
- Management of Risk (M_o_R) — управление рисками;
- eSourcing Capability Model for Service Providers (eSCM-SP) — модель услуг для удовлетворения потребностей заказчиков на протяжении всего жизненного цикла сорсинга для поставщиков услуг.
Такое множество хороших международных практик в области ITSM привело к необходимости определения одной основной практики. Эта практика должна быть эталоном, использование которого позволяло бы, с одной стороны, ИТ-подразделению осуществлять эффективное управление ИТ-услугами и, с другой стороны, достаточно быстро проверить, насколько соответствует такая деятельность основным положениям ITSM. Именно для этих целей предназначен стандарт по системам управления ИТ-услугами — ISO 20000 [4].
Предназначение основных общепризнанных международных практик в области ITSM и количество содержащихся в них процессов представлены в табл. 1. Как видно, стандарт ISO 20000 содержит меньший, чем у других общепризнанных международных практик по ITSM, набор процессов управления ИТ-услугами. Такой минимальный набор основных процессов управления ИТ-услугами дает возможность достаточно быстро провести аудит ИТ-подразделения любой организации. Результаты аудита позволяют оценить соответствие деятельности ИТ-подразделения требованиям стандарта ISO 20000 и соответственно основным положениям ITSM. Именно поэтому стандарт ISO 20000 считается основным стандартом в области ITSM.
ISO 20000 и другие практики и стандарты
Используя международные практики в области ITSM, компании создают свои, корпоративные практики. Для упорядочения всех практик в области ITSM используется их классификация, представленная на рис. 1 [3]. На рис. 1 показаны три наиболее известные корпоративные практики международных компаний Microsoft, Hewlett-Packard, IBM. К этому же уровню относится практика любого ИТ-подразделения, использующего ITSM. На сегодняшний день общепринято, что стандарт ISO 20000 является универсальным критерием для оценки соответствия деятельности любого ИТ-подразделения основным положениям ITSM. Такая оценка не зависит от того, какие конкретно международные практики по ITSM используются в этом ИТ-подразделении. Ее проведение — одно из предназначений стандарта [4].
Именно этот, ключевой аспект предназначения стандарта подчеркивает целесообразность его внедрения и первоочередного, приоритетного применения в повседневной деятельности любого ИТ-подразделения, по сравнению с другими международными практиками в области ITSM. Сертификация ИТ-подразделения организации по этому стандарту осуществляется на основе проведения аудита соответствующим сертифицирующим органом. Порядок проведения такого сертификационного аудита аналогичен тем, которые проводятся по другим стандартам, например, по стандарту ISO 9001. Если у организации есть сертификат соответствия ее ИТ-подразделения требованиям стандарта ISO 20000-1, это подтверждает ее способность предоставлять ИТ-услуги, соответствующие запросам потребителей [4].
Сертификация по ISO 20000 — не обязательная, а добровольная. Но, несмотря на ее необязательность, увеличивается количество организаций, ИТ-подразделения которых сертифицированы по этому стандарту. Как отмечалось ранее, стандарт предназначен не только для проведения аудита, но и для использования в повседневной деятельности ИТ-подразделения. Такое использование стандарта ИТ-подразделением позволяет бизнесу организации получить следующие преимущества [5]:
- повысить прозрачность всей деятельности ИТ-подразделения (а не только по отдельным процессам или видам деятельности);
- снизить затраты на ИТ (за счет снижения расходов на эксплуатацию ИТ систем, проведения оптимизации численности ИТ-подразделения и др.);
- снизить риски, связанные с ИТ.
В связи с этим количество ИТ-подразделений различных организаций, использующих стандарт ISO 20000, увеличивается значительно быстрее, чем сертифицированных по этому стандарту.
Состав и назначение частей ISO 20000
Для удобства такого комплексного применения стандарт ISO 20000 состоит из нескольких частей. В 2005 году, на момент опубликования, ISO 20000 содержал две части. Однако данный стандарт, так же как другие стандарты и методики по ITSM, продолжает развиваться. В настоящее время он состоит из следующих пяти частей:
- ISO 20000-1 — Part 1: Specification (Часть 1. Спецификация);
- ISO 20000-2 — Part 2: Code of practice (Часть 2. Кодекс практической деятельности);
- ISO 20000-3 — Part 3: Guidance for the scoping and applicability of ISO 20000-1 (Часть 3. Руководство по определению области действия и применимости первой части стандарта)1;
- ISO 20000-4 — Part 4: Process Reference Model (Часть 4. Эталонная модель процессов) 1;
- ISO 20000-5 — Part 5: Exemplar implementation plan for ISO 20000-1 (Часть 5. Образец плана внедрения первой части стандарта) 1.
Первая часть стандарта (Спецификация) содержит требования к системе управления ИТ-услугами, действующей в ИТ-подразделении, включая требования к каждому из 13 основных процессов данной системы. Для удобства применения в стандарте используется модель этих процессов. В данной модели процессы объединены в пять групп (рис. 2).
В первой части стандарта также содержатся требования к совершенствованию системы управления ИТ-услугами, ее документированию, к ответственности руководства организации. Эти требования аналогичны тем, которые изложены в стандарте на систему менеджмента качества — ISO 9001. В этой связи стандарт ISO 20000 общепринято называть стандартом на систему менеджмента качества для ИТ-подразделения. Именно эта, первая часть стандарта используется для проведения аудита ИТ-подразделения.
Вторая часть стандарта (Кодекс практической деятельности) содержит рекомендации, выполнение которых сотрудниками ИТ-подразделения обеспечит соответствие требованиям, изложенным в первой части стандарта. Эти положения предназначены для использования в повседневной деятельности ИТ-подразделения.
Проект третьей части стандарта (Руководство по определению области действия и применимости первой части стандарта) содержит рекомендации, помогающие определить область действия стандарта и методы его использования в различных ИТ-подразделениях. Это особенно актуальнo для тех ИТ-подразделений, часть функций которых (например, сопровождение прикладного ПО) передана на аутсорсинг.
Проект четвертой части стандарта (Эталонная модель процессов) содержит эталонную модель процессов системы управления ИТ-услугами. В модели определены как предназначение, так и основные результаты реализации каждого из процессов системы управления ИТ-услугами. Использование четвертой части стандарта позволяет организовать деятельность ИТ-подразделения в строгом соответствии с требованиями первой части стандарта.
Проект пятой части стандарта (Образец плана внедрения первой части стандарта) содержит рекомендации по подходу к внедрению в любом ИТ-подразделении требований первой части стандарта ISO 20000. Предусмотрено три фазы поступательного внедрения требований первой части стандарта. В пятой части представлен детализированный состав мероприятий по внедрению на каждой из трех фаз требований стандарта и определены роли сотрудников, ответственных за реализацию этих мероприятий. Применение на практике пятой части стандарта имеет специфические особенности. Они рассматриваются ниже.
Внедрение стандарта ISO 20000
Первая особенность внедрения ISO 20000 заключается в определении того, что представляет собой система управления ИТ-услугами по отношению к ИТ-подразделению и каковы реальные цели ее внедрения.
Если придерживаться наиболее распространенных в России взглядов на систему менеджмента качества, соответствующую стандарту ISO 9001, тогда система управления ИТ-услугами, соответствующая стандарту ISO 20000, — это, в первую очередь, соответствующий комплект документов. Комплект содержит документы по политике организации в области качества производимых ею товаров и/или оказываемых ею услуг, а также руководства и планы по качеству, описания бизнес-процессов организации по производству товаров и/или оказанию услуг.
Необходимо отметить следующую особенность российской практики: бывает так, что бизнес-процессы, описанные в комплекте документации на систему менеджмента качества этой организации, не соответствуют реально реализуемым, особенно если они реализуются без использования автоматизированных систем. Как показывает опыт, в ИТ-подразделениях, использующих стандарт ISO 20000, этого не случается. В системе управления ИТ-подразделением, независимо от ее текущего состояния и соответствия стандарту ISO 20000, в том или ином виде реально реализуются процессы управления ИТ-услугами, определенные стандартом.
Как и любая система управления организацией, система управления ИТ-услугами состоит из следующих основных частей:
- взаимосвязанных и задокументированных процессов системы управления ИТ-услугами, основные из которых представлены на рис. 2;
- сотрудников ИТ-подразделения, реализующих эти процессы управления, а также представителя из состава руководства организации;
- систем и средств автоматизации, используемых сотрудниками ИТ-подразделения для реализации процессов управления ИТ-услугами.
Можно сделать вывод, что суть внедрения системы управления ИТ-услугами заключается в приведении управления ИТ-подразделением в состояние, отвечающее требованиям стандарта ISO 20000. При этом допускается внедрение процессов системы управления ИТ-услугами последовательно и/или отдельно друг от друга.
Внедрение системы управления ИТ-услугами реализуется в рамках одного или нескольких проектов. Роли участников такого проекта внедрения и их ответственности за реализацию каждого из мероприятий проекта должны быть четко определены и распределены между сотрудниками ИТ-подразделения. Для этого целесообразно использовать модель распределения ролей и ответственностей участников проекта по внедрению системы управления ИТ-услугами. В книге IT Service Management Best Practices, Volume 1 (сборник статей экспертов itSMF International, вышедший в 2008 г.) эта модель более детализирована, чем в проекте пятой части стандарта ISO 20000. Она представлена в табл. 2.
Полный состав ролей, представленный в табл. 2, адаптируется применительно к конкретной организации. Например, если в организации нет системы менеджмента качества, функционирующей в соответствии с требованиями стандарта ISO 9001, тогда роли «главного менеджера по качеству» и «менеджера по качеству ИТ» распределяются между другими сотрудниками этой организации.
Как показывает практика, отдельные мероприятия по внедрению системы управления ИТ-услугами иногда реализуются не в той последовательности, которая указана в табл. 2, или реализуются несколько раз. Например, мероприятия фазы принятия решения могут повторяться, пока не будет найдено решение, удовлетворяющее требованиям руководства организации по целям, срокам и бюджету. В некоторых случаях целесообразно решение о поэтапном внедрении системы управления ИТ-услугами, с внедрением одного или нескольких процессов на каждом из этапов. Это зависит от начального состояния системы управления ИТ-подразделением, в которой, в том или ином виде, функционирует система управления ИТ-услугами.
Кроме того, начальное состояние системы управления ИТ-подразделения бывает разное в различных организациях. Например, в ИТ-подразделении одной организации могут быть уже внедрены один или несколько процессов управления ИТ-услугами, а в другом — не внедрены. Поэтому состав работ по внедрению ISO 20000 и сроки их реализации различаются в зависимости от организации.
Вторая особенность внедрения ISO 20000 заключается в том, что процессы управления ИТ-услугами, внедренные ранее, могут не полностью соответствовать требованиям первой части стандарта. Практика показывает, что у процессов, внедренных с применением таких международных практик, как ITIL или COBIT, могут отсутствовать отдельные процедуры, определенные первой частью стандарта ISO 20000.
Например, очень часто это относится к следующим процедурам:
- для процесса управления инцидентами — обработка критических инцидентов;
- для процесса управления проблемами — эскалация и актуализация информации о проблемах.
Эффективность функционирования таких процессов, как отмечает компания Gartner [5], значительно ниже запланированной. Так, например, отсутствие задокументированной и контролируемой процедуры обработки критических инцидентов зачастую приводит к несвоевременному информированию руководителей ИТ-подразделения или к выделению недостаточного количества сотрудников и ресурсов для оперативного устранения таких инцидентов. В результате внедренные и реализуемые таким образом процессы не ускоряют, а замедляют достижение поставленных целей [5].
Для приведения внедренных ранее процессов управления ИТ-услугами в соответствие с требованиями ISO 20000 вначале проводят их аудит (или обследование), а затем, по результатам, определяют и реализуют соответствующие корректирующие мероприятия. Эти корректирующие мероприятия, как правило, включают:
- изменение порядка выполнения сотрудниками отдельных операций по реализации процесса управления ИТ-услугами;
- внесение необходимых изменений в документацию с описанием этого процесса;
- проведение необходимых изменений в настройках системы автоматизации процессов управления ИТ-услугами и в документации на нее.
Третья особенность внедрения ISO 20000 заключается в том, что при внедрении нужно учесть положительный опыт, накопленный в ИТ-подразделении и соответствующий требованиям стандарта, а также существовавшее до начала внедрения распределение ролей (зон ответственности и полномочий) между сотрудниками ИТ-подразделения. Учет положительного опыта и существующего распределения ролей способствует уменьшению сопротивления сотрудников ИТ-подразделения нововведениям. Сокращаются и сроки обучения сотрудников новым процессам. Это также позволяет максимально сократить усилия и сроки внедрения ISO 20000.
Системы автоматизации управления ИТ-услугами
Не все процессы системы управления ИТ-услугами могут быть автоматизированы, и тем более с одним и тем же уровнем автоматизации. Необходимо отметить, что стандарт ISO 20000 не предъявляет требований к системам и средствам автоматизации процессов системы управления ИТ-услугами. В то же время практика показывает, что такие системы и средства необходимо использовать. В противном случае возникает ситуация, точно определяемая пословицей: «Сапожник ходит без сапог».
Для автоматизации пяти так называемых «базовых» процессов управления ИТ-услугами, к которым относят управление инцидентами, проблемами, конфигурациями, изменениями и уровнями услуг, общепринято использовать системы, создаваемые на основе специализированного ПО типа HP Service Manager или BMC Remedy IT Service Management Suite. Для автоматизации других процессов управления ИТ-услугами рекомендуется дополнительно использовать системы мониторинга состояния ИТ-инфраструктуры, системы автоматической инвентаризации и распространения ПО, системы управления активами, а также управления проектами. Состав систем, используемых в ИТ-подразделении для автоматизации процессов управления ИТ-услугами, зависит от технологичности бизнеса организации, состава и структуры ее ИТ-инфраструктуры, количества пользователей и других факторов.
В настоящее время используется две методики для оценки функциональных возможностей специализированного ПО, предназначенного для автоматизации базовых процессов управления ИТ-услугами. Первая и наиболее известная из них — методика PinkVERIFY, разработанная компанией Pink Elephant. Вторая методика разработана относительно недавно, в начале 2009 г., компанией APM Group. Обе методики предъявляют требования к функциональным возможностям специализированного ПО. Эти обязательные функциональные возможности должны реализовываться с помощью настроек специализированного ПО, предусмотренных компанией — разработчиком данного ПО. Описание порядка проведения таких настроек следует включать в документацию, или они должны быть сделаны в специализированном ПО заранее компанией — разработчиком этого программного обеспечения. Поэтому подобные настойки являются стандартными.
Основное предназначение систем автоматизации базовых процессов управления ИТ-услугами — предоставление достоверной информации о деятельности ИТ-подразделения и о состоянии предоставляемых ИТ-услуг, необходимой для принятия обоснованных управленческих решений. В связи с этим эксперты Gartner рекомендуют автоматизировать базовые процессы управления ИТ-услугами с использованием стандартных настроек специализированного ПО. Эти настройки должны охватывать в среднем 80% требований сотрудников ИТ-подразделения к функциональным возможностям специализированного ПО.
После внедрения системы управления ИТ-услугами рекомендуется проводить последовательное наращивание уровня автоматизации процессов из состава этой системы. Такое наращивание уровня автоматизации должно реализовываться в комплексе с другими процессами управления ИТ-услугами, то есть в рамках постоянного улучшения системы управления ИТ-услугами, являющегося требованием первой части стандарта ISO 20000.
Если та или иная операция сотрудника ИТ-подразделения по реализации процесса управления ИТ-услугами автоматизируется за счет применения нестандартных настроек специализированного программного обеспечения, это очень часто увеличивает сроки внедрения систем автоматизации и соответственно стандарта ISO 20000. Такая ситуация, как правило, возникает, когда основным приоритетом при внедрении системы автоматизации становится не получение достоверной информации о деятельности ИТ-подразделения, необходимой для принятия обоснованных управленческих решений, а повышение уровня автоматизации деятельности отдельных сотрудников ИТ-подразделения в рамках отдельно взятого процесса управления ИТ-услугами. При этом, как правило, не учитываются другие процессы, автоматизированные или подлежащие автоматизации в дальнейшем с помощью этой же системы автоматизации.
Проведенная таким образом автоматизация может привести и к следующей проблеме: сделанные ранее нестандартные настройки не будут работать при выпуске и установке очередного обновления для этого специализированного ПО. Чтобы они заработали в обновленном ПО, необходимо заново провести аналогичные нестандартные настройки. Таким образом, автоматизация процессов управления ИТ-услугами за счет проведения нестандартных настроек специализированного ПО не только замедляет внедрение стандарта ISO 20000, но еще и повышает стоимость внедрения и последующего сопровождения систем автоматизации.
Проверки систем автоматизации основных процессов управления ИТ-услугами, проведенные в различных организациях в рамках аудитов (обследований) как до, так и после внедрения в них стандарта ISO 20000, показали следующее. Стандартные функциональные возможности (и соответствующие им стандартные настройки) специализированного ПО в таких системах автоматизации используются на 80—85%. Однако очень часто не используются такие стандартные функциональные возможности, как:
- автоматическое информирование соответствующих руководителей ИТ и бизнеса о критическом инциденте с определенной ИТ системой;
- автоматизированные опросные листы и скрипты для диагностики инцидента, возникшего в ИТ системе.
Таким образом, при внедрении ISO 20000 целесообразно в первую очередь и в максимально полном объеме использовать стандартные функциональные возможности систем автоматизации базовых процессов управления ИТ-услугами.
Выводы
- Стандарт ISO 20000 — это универсальный критерий, позволяющий оценить соответствие деятельности любого ИТ-подразделения общепринятым международным практикам в области ITSM.
- Использование ИТ-подразделением стандарта ISO 20000 обеспечивает эффективную работу этого подразделения, делает его функционирование более «прозрачным» для бизнеса организации, более спланированным и рентабельным.
- При внедрении стандарта ISO 20000 необходимо учитывать начальное состояние системы управления ИТ-подразделением, включая соответствие внедренных ранее процессов управления ИТ-услугами требованиям стандарта ISO 20000.
- Для сокращения сроков внедрения целесообразно учитывать положительный опыт, накопленный в ИТ-подразделении, существующее распределение ролей между сотрудниками ИТ-подразделения, а также автоматизировать эту деятельность на основе использования стандартных настроек специализированного ПО.
Литература
- An Introductory Overview of ITIL v3, ISBN 0‑9551245-8-1, p. 58.
- ITIL Version 3. Service Strategy, M ISBN: 9780113310456, р. 373.
- IT Service Management Best Practices, Volume 1.
- ISO 20000-1:2005 «Information technology — Service management — Part 1: Specification.
- Gartner. ITIL technology day. September 25, 2008 (презентации выступлений сотрудников).