ISO 20000: принципы использования и область применения международного стандарта

История разработки стандарта

История появления и распространения международного документа для компаний, занимающихся информационными технологиями, началась в Великобритании. В конце 1980-х годов правительство страны задумалось о том, что необходимо обобщить опыт работы успешных компаний и организовать Библиотеку инфраструктуры ИТ (ITIL). Экспертам удалось это сделать – было выпущено семитомное руководство по методам управления ИТ-услугами. Эти документы затем легли в основу британского стандарта BS 15000. На его основе в 2005 году был выпущен действующий вариант ISO, который с того времени несколько раз обновлялся.

Определение понятия «управление ИТ-услугами»

В основе стандарта ISO содержится понятие IT Service Management, или управление ИТ-услугами. Что оно означает? Суть подхода в следующем: предприятие задействует такое количество персонала и процессов, с которым получится достичь поставленных целей в заранее определенные сроки. Управляя ИТ-услугами, поставщики применяют документацию ITIL, в которой описаны базовые процессы, поддерживающие предоставление ИТ-сервисов:

• управление инцидентами;
• управление конфигурациями;
• управление проблемами;
• управление непрерывностью;
• управление изменениями;
• управление релизами;
• управление доступностью;
• управление уровнем услуг;
• управление мощностями (емкостью);
• управление финансами.

Основной смысл понятия «управление ИТ-услугами» прост. ИТ-компания, работающая по международным стандартам ISO, должна сосредоточить свое внимание не на самих технологиях, а на запросах пользователей услуг.

Назначение и использование стандарта

Документ содержит критерии оценки ИТ-компаний, функция которых – дать пользователям уверенность в том, что качество услуги их не разочарует. Если поставщик ИТ сервиса соответствует положениям стандарта и прошел сертификацию, он может рассчитывать на доверие своих пользователей, а также увеличить поток новых клиентов.

Чтобы понять назначение стандарта, необходимо рассмотреть его структуру. Разработчики разбили его на два больших блока. Первый носит название Information technology: Specification. В десяти разделах части расписаны основные требования, которым должна отвечать ИТ-организация, полностью удовлетворяющая запросы своих пользователей. Разработчики обращают внимание на процессы информационных технологий, которые распределены по пяти основным группам:

• процессы предоставления услуг, Service delivery process (управление уровнем услуг, их непрерывностью, доступностью, информационной безопасностью; составление отчетности, бюджетирование, учет расходов на ИТ-услуги);
• процессы группы контроля, Control processes (управление конфигурациями, изменениями);
• процессы группы взаимоотношений, Relationship processes (отношения с бизнесом, с поставщиками);
• процессы группы разрешения, Resolution processes (управление инцидентами, проблемами);
• процессы группы релизов, Release process (генерирование новых идей, внесение изменений).

Если первая часть – теоретическая, то вторая – Information technology: Code of Practice – имеет сугубо практическое назначение. К ней обращаются аудиторы, которые проводят сертификацию предприятий, либо сами ИТ-компании, чтобы подготовиться к оценке и успешно пройти аттестацию.

Область применения

Разработчики стандарта выделили целевую аудиторию, которой предназначается документ, регламентирующий процессы управления ИТ-услугами:

• непосредственно ИТ-корпорации (поставщики услуг подтверждают свой уровень знаний и навыков, надежность на рынке, завоевывая авторитет среди конкурентов и пользователей);
• организации, которые нуждаются в мониторинге, чтобы внести изменения в действующую систему управления услугами;
• предприятия, которые требуют согласованного подхода от поставщиков услуг, включая цепочки поставок;
• пользователи услуг ИТ-корпораций (предприятия, которые нуждаются в эффективных ИТ-решениях, обращают внимание на то, есть ли у фирмы сертификация; ее наличие говорит о том, что услуги поставщика соответствуют требованиям);
• эксперты в области ИТ-аудита (они применяют стандарт, когда ведут оценочную работу, занимаются составлением отчета по итогам мониторинга).

Чтобы объединить практики систем управления ИТ-компаний, британские разработчики ИСО/МЭК 20000 взяли за основу национальный стандарт BS 15000. Обновленная версия – ISO/IEC 20000-1-2011 – была выпущена в 2011 году, и она имеет ряд отличий от первоначального варианта – ISO/IEC 20000-1-2005. В новом документе появилось больше требований к разработке и внедрению ИТ-услуг.

Требования к системе менеджмента IT сервисов

Согласно ISO 20000-1, основная цель системы менеджмента IT сервисов – наладить работу компании так, чтобы протекающие процессы приносили результат, который удовлетворяет пожелания покупателей услуг. Достичь этой цели можно, если учтены требования к системе менеджмента:

• Ответственность руководителей (топ-менеджмент ИТ-корпорации должен представить доказательства того, что им ведется работа по внедрению, реализации и улучшению системы менеджмента);
• Требования к документации (чтобы пройти сертификацию, поставщики ИТ-сервисов должны предъявить документы по планированию своей работы, мониторингу и контролю на всех этапах);
• Подтверждение знаний, осведомленность и подготовка (регулярные обзоры и управление компетентностью персонала, выполнение каждым сотрудником своих документально закрепленных функций, осведомленность каждого о своей роли в корпоративном управлении).

Среди требований стоит отметить такой пункт в ISO/IEC 20000, как ответственность руководства. Глава предприятия и его заместители должны видеть свои краткосрочные и долгосрочные цели, политику компании, заниматься планировочной работой, выделять средства и время на совершенствование системы управления. Руководители обязаны обеспечить компанию ресурсами и уметь управлять рисками.

Принципы менеджмента качества согласно ИСО

В основу ИСО/МЭК 20000 были положены определения, данные в ISO 9001. Это стандарт, который содержит требования к системе менеджмента качества и применяется для организаций разного вида деятельности, размера и уровня развития. Опираясь на его положения, перечислим принципы менеджмента качества, присущие компаниям, занимающимся информационными технологиями:

• лидерство (ответственность руководителей за получаемый результат, умение организовывать и управлять процессами);
• вовлечение сотрудников (персонал должен участвовать в деятельности организации, понимать свою ценность для корпорации);
• процессный подход (управление ИТ-услугами как процессом c использованием соответствующих ресурсов);
• ориентация на потребителя (отслеживание пользователей, работа по улучшению услуг);
• системный подход (умение организовать управленческие процессы в системном взаимодействии);
• выстраивание взаимовыгодных отношений с поставщиками (постоянное взаимодействие с бизнес-партнерами);
• умение предпринимать шаги на основе объективных данных (способность работать на основе анализа и обработки информации);
• постоянное самосовершенствование (выявление и устранение факторов, препятствующих улучшению качества услуг и их соответствию ИСО/МЭК 20000).

Что такое ГОСТ Р ИСО/МЭК 20000

Это российская версия международного регламента по оценке качества работы ИТ-сервиса. По сути этот документ представляет собой перевод ИСО/МЭК 20000, то есть содержание обоих документов совершенно идентично. На практике имеется одно весьма существенное отличие: в наше стране осуществлять сертификацию по ГОСТ Р ИСО/МЭК 20000-1-2010 могут аудиторские фирмы, которые не относятся к числу структур Международной организации по стандартизации (ISO).

ГОСТ был утвержден и принят к руководству в 2010 году. Спустя год появилась обновленная версия: были внесены корректировки в терминологию и понятия GOST, включены разъяснения по требованиям надзора, определению границ и методологии сертификации. Разработчики ГОСТ Р ИСО/МЭК 20000-1 нового образца «выровняли» его в соответствии с нормами ISO 9001 и ISO 27001.

С 2013 года действует ГОСТ Р ИСО/МЭК 20000-1-2013 – российская версия требований к системе управления услугами. Она полностью повторяет ИСО/МЭК 20000, выпущенный в 2011 году. Важно, что ГОСТ Р ИСО/МЭК 20000-1-2013 применим к любым поставщикам ИТ-услуг, невзирая на размер компании, тип и характер ее деятельности. Документ способствует налаживанию скоординированной интеграции, внедрению непрерывного управления, получению высокого результата и постоянному стремлению к решению новых амбициозных задач. Одним из важнейших условий для успешного прохождения сертификации является правильная организация работы Службы поддержки пользователей и отдела функционирования систем. Также необходимо наличие инструментов и ресурсов.

Методология PDCA (Цикл Деминга-Шухарта)

Цикл Деминга-Шухарта – это метод, который применяется для улучшения системы управления услугами. Чтобы соответствовать нормам, заявленным в международном стандарте, компания, которая рассчитывает на успешное прохождение сертификации, должна применять этот цикл на практике. Для этого необходимо обеспечить выполнение на предприятии следующих задач:

• планирование – поэтапная работа по установке целей, разработке планов и согласованию политики предприятия;
• выполнение – внедрение и использование системы управления услугами с целью улучшения их качества;
• проверка – регулярный мониторинг и оценка труда, выявление соответствий и несоответствий с требованиями ИСО/МЭК 20000 и ГОСТ 20000;
• корректировка – нахождение слабых мест, исправление недочетов, работа над повышением качества услуг.

По первым буквам задач на английском языке цикл Деминга-Шухарта получил название PDCA (plan, do, check, act). Все этапы методологии имеют равнозначную ценность, но стоит отдельно выделить важность этапа проверки. В международном стандарте и отечественном ГОСТ 20000 даются рекомендации: компании желательно заранее планировать проведение аудита через определенные промежутки времени. Для этого предприятие должно привлекать компетентные лица, которые будут проводить мониторинг и отвечать за их документальное оформление.

Несоответствия, если они были выявлены, должны быть приняты к сведению для быстрой корректировки. По итогам принятых мер сотрудниками компании и аудиторами составляется отчет. Этот документ понадобится для анализа текущей ситуации и недопущения повторного возникновения проблем.

Версии стандартов

ISO/IEC 20000, как мы уже выяснили, состоит их нескольких основных и дополнительных частей. Ранее были названы две главные части: ISO 20000-1-2011 – Информационные технологии, Управление сервисами, часть 1: Требования к системам управления сервисами (теоретический блок) и ISO 20000-2-2005 – Информационные технологии, Управление сервисами, часть 2: Кодекс лучших практик (практическое руководство). Но у ИСО/МЭК 20000 есть еще несколько дополнительных частей:

• ISO/IEC 20000-3 – руководство по определению области действия и применимости ISO/IEC 20000-1;
• ISO 20000-4 представляет собой практические рекомендации по разработке и развитию модели управления сервисами;
• ISO 20000-5-2010 – образец внедрения ИСО/МЭК 20000.

Как происходит сертификация компаний

Как показывает практика, в сертификации на соответствие международным стандартам нуждаются организации, которые предоставляют услуги хостинга, создания сайтов и программного обеспечения. Пошаговое руководство по прохождению сертификации выглядит следующим образом.

1. Формирование и отправка письма в аттестационный центр.

Запрос на прохождение сертификации должен содержать полную информацию о компании: название и основной вид деятельности, наименование услуг, количество сотрудников и примерный объем аудиторской работы. В зависимости от данных показателей аудиторы определят, какой срок понадобится для проведения проверки, а также какова ее стоимость.

2. Процесс мониторинга и проверки.

Его условно можно поделить на две части. На первоначальном этапе команда аудиторов должна составить подробный план своих дальнейших действий и определить сотрудников, ответственных за их выполнение. После этого начинается работа с документацией организации. Проводится анализ всех процессов управления, в том числе на соответствие методологии PDCA. По итогам проверки формируется отчетный документ, в котором указаны все обнаруженные недочеты и рекомендации по их исправлению. Второй этап проверки включает в себя исследование политики компании и оценку рисков. Результаты этого мониторинга также попадают в отчет.

3. Получение документа об успешной сертификации.

После устранения всех недочетов, которые были выявлены в процессе проверки, ИТ-компания может рассчитывать на получение сертификата. Срок его действия – три года, после этого потребуется снова пройти через аудиторский контроль, чтобы продлить документ.

Компании могут выбрать один из двух вариантов: пройти только сертификацию ISO 20000 либо расширить область регистрации, получив новый сертификат вдобавок к уже имеющемуся (ISO 9001:2000).

Заключение

Качество услуг – это важнейший показатель работы любой бизнес-структуры, который определяет авторитет, прибыльность и перспективность компании. Большинство организаций, занимающихся информационными технологиями, хорошо это понимает, поэтому проходит сертификацию системы управления на соответствие ISO 20000. Международный стандарт успешно применяется большими и малыми мировыми ИТ-компаниями в качестве инструмента для определения качества услуг. Он помогает определить уровень развития системы управления ИТ-процессами и повысить ее результативность. Получение сертификата дает возможность организации подтвердить компетентность и профессионализм, что в свою очередь ведет к повышению авторитета и увеличению клиентской базы.