SFS-ISO/IEC 20000-1 (2013): palvelunhallintajärjestelmän vaatimukset Standardin julkaisutilaisuus 2014-01-22 Jyrki Lahnalahti 2014-01-17 Versio 1.0
Palvelunhallinta? Hallintajärjestelmä? Standardi SFS-ISO/IEC 20000-1 (2013) 2
Palvelunhallintajärjestelmää koskevat vaatimukset. 1 (2) standardin ISO/IEC 20000 tässä osassa esitetyt vaatimukset kattavat palveluiden suunnittelun, transition, toimittamisen ja parantamisen tavalla, joka täyttää palveluvaatimukset ja tuottaa lisäarvoa sekä asiakkaalle että palveluntuottajalle. standardin ISO/IEC 20000 tämän osan hyödyntäminen vaatii integroidun prosessimaisen toimintamallin, kun palveluntuottaja suunnittelee, laatii, käyttöönottaa, seuraa, katselmoi, ylläpitää ja parantaa palvelunhallintajärjestelmää. standardia voidaan käyttää palveluntuottajien arviointiin ja ohjaamiseen, palvelutuotannon kehittämiseen, ja vaatimusstandardia vasten voidaan sertifioitua puolueettoman sertifiointielimen toimesta 3
Palvelunhallintajärjestelmää koskevat vaatimukset. 2 (2) kaikki standardin ISO/IEC 20000 tässä osassa esitetyt vaatimukset ovat yleisluontoisia ja niiden on tarkoitus olla sovellettavissa kaikkiin palveluntuottajiin tyypistä, koosta tai toimitettavien palveluiden luonteesta riippumatta. mitään kohdissa 4 9 esitettyä vaatimusta ei voida jättää noudattamatta, jos palveluntuottaja ilmoittaa noudattavansa standardin ISO/IEC 20000 tätä osaa. Palveluntuottajan organisaation luonne ei vaikuta tähän vaatimukseen. kohdan 4 vaatimukset pitää organisaation täyttää kokonaan itse, kohtien 5-9 vaatimukset voivat tietyin ehdoin täyttyä toimittajan (alihankkija) toimesta 4
Millaisten palveluiden hallintaan SFS-ISO/IEC 20000-1 on tarkoitettu? huomionarvoista: standardin nimi on INFORMAATIOTEKNOLOGIA. PALVELUNHALLINTA. OSA 1: PALVELUNHALLINTAJÄRJESTELMÄÄ KOSKEVAT VAATIMUKSET mutta varsinaisessa sisällössä ja vaatimuksissa viitataan informaatioteknologiaan hyvin ohuesti edelleen siis: kaikki standardin ISO/IEC 20000 tässä osassa esitetyt vaatimukset ovat yleisluontoisia ja niiden on tarkoitus olla sovellettavissa kaikkiin palveluntuottajiin tyypistä, koosta tai toimitettavien palveluiden luonteesta riippumatta. standardi on sovellettavissa muihinkin kuin IT-palveluihin! standardin kehittämisen aikaan tämä irtiotto IT:stä herätti paljon keskustelua 5
Hallintajärjestelmät johtamisjärjestelmä: johdon sitoutuminen on peruselementti palvelunhallinta, laatu, ympäristö, työterveys, tietoturvallisuus ym. voidaan toteuttaa ja arvioida yhdistettynä hallintajärjestelmänä prosessit ja niiden jatkuva parantaminen ovat kaikkien hallintajärjestelmästandardien vaatimuksia ISO 9001 ISO 14001 ISO 22000 ISO 22301 OHSAS 18001 ISO/IEC 27001 ISO/IEC 20000-1 6
Hallintajärjestelmän sertifiointiprosessi ja seuranta-arvioinnit Sertifiointihakemus Ennakkoarviointi (tarvittaessa) Sertifioinnin vaihe 1 (suunnittelu) Sertifioinnin vaihe 2 (arviointi) Sertifikaatti Arvioinnin tulokset (arviointiraportti) Korjaavat toimenpiteet TAI Uusinta-arviointi Puutteita havaittu Seuranta-arvioinnit (1-2/vuosi) Uudelleensertifiointiarviointi (joka 3. vuosi) 7
8 Palvelunhallinnan standardisarja ISO/IEC 20000
SFS-ISO/IEC 20000-1: odotettu suomenkielinen standardi uusin englanninkielinen versio julkaistiin 2011-04-15 taustat vuoden 2005 ensimmäisessä ISO/IEC-versiossa, ja vuoden 2002 UK-standardissa BS 15000. ei ole suomennettu aiemmin käännöstyössä oli aktiivisesti mukana myös itsmf Finlandin sanastotyöryhmä tämä tuore käännös on hyvin linjassa juuri julkaistun SFS-ISO/IEC 27001:n kanssa 9
ISO/IEC 20000-1 ja ITIL ISO/IEC 20000-1 ei ole ITIL-standardi ISO/IEC 20000-1 elää omaa elämäänsä kansainvälisenä standardina ITILin muutokset eivät automaattisesti vaikuta ISO/IEC 20000-1:een mutta toki terminologia, prosessit ja käytännöt pyritään pitämään linjassa keskenään 10
11 ISO/IEC 20000:n paikka standardien ja mallien maailmassa
ISO/IEC 20000 sarjan standardit ja työkohteet 1 (2) ISO/IEC 20000- Nimi Tila Huomaa 1 Service management system requirements Julkaistu Vaatimusstandardi 2 Guidance on the application of service management systems 3 Guidance on scope definition and applicability of ISO/IEC 20000-1 Julkaistu Julkaistu 4 (TR) Process reference model Julkaistu. 5 (TR) Exemplar implementation plan for ISO/IEC 20000-1 6 Requirements for bodies providing audit and certification of service management systems Julkaistu. WD 12
ISO/IEC 20000 sarjan standardit ja työkohteet 2 (2) ISO/IEC 20000- Nimi Tila Huomaa 7 Application of ISO/IEC 20000-1 to the Cloud CD 8 Guidance on the application of service management systems for smaller organizations 10 (TR) Concepts and Terminology Julkaistu. NP 11 (TR) Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks 15? Requirements to measure trustworthiness of a service (Service trustworthiness?) PDTR WD (Pre NWIP?) 13
ISO/IEC TR 90006:2013 Guidelines for the application of ISO 9001:2008 to IT service management and its integration with ISO/IEC 20000-1:2011 Foreword Introduction 1 Scope 2 Normative references 3 Terms and definitions 4 Abbreviated terms 5 Introduction to ISO 9001 and ISO/IEC 20000-1 5.1 Introduction to the International Standards 5.2 The application of ISO 9001 to services and service management 5.3 The integration of ISO 9001 and ISO/IEC 20000-1 5.4 Comparison of ISO 9001 and ISO/IEC 20000-1 6 Management system requirements in ISO 9001 related to ISO/IEC 20000-1 6.1 Scope 6.2 Normative references 6.3 Terms and definitions 6.4 Quality management system 6.5 Management responsibility 6.6 Resource management 6.7 Product realization 6.8 Measurement, analysis and improvement 7 Management system requirements in ISO/IEC 20000-1 and not in ISO 9001 7.1 Rationale for additional clauses and requirements in ISO/IEC 20000-1 7.2 Clauses of ISO/IEC 20000-1 not found in ISO 9001 Annex A (informative) Comparison of requirements between ISO 9001:2008 and ISO/IEC 20000-1:2011 Annex B (informative) Comparison of requirements between ISO/IEC 20000-1:2011 and ISO 9001:2008 Annex C (informative) Integration of ISO 9001:2008 and ISO/IEC 20000-1:2011 Bibliography 14
ISO/IEC 27013:2012 Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 standardi, jossa hyödyllisiä vertailuita ja näkökohtia näiden kahden hallintajärjestelmästandardin mukaisen johtamisjärjestelmän samanaikaiseen toteuttamiseen 15
16 SFS-ISO/IEC 20000-1:n sisältö
17 SFS-ISO/IEC 20000-1:n rakenne
SFS-ISO/IEC 20000-1:n sisällys Esipuhe Johdanto 1 Soveltamisala 2 Velvoittavat viittaukset 3 Termit ja määritelmät 4 Palvelunhallintajärjestelmiä koskevat yleiset vaatimukset 4.1 Johdon vastuu 4.2 Muiden osapuolten käyttämien prosessien hallinnointi 4.3 Asiakirjahallinta 4.4 Resurssienhallinta 4.5 Palvelunhallintajärjestelmän laatiminen ja parantaminen 5 Uusien tai muuttuneiden palveluiden suunnittelu ja transitio 18
SFS-ISO/IEC 20000-1:n sisällys 6 Palveluiden toimitusprosessit 6.1 Palvelutason hallinta 6.2 Palveluraportointi 6.3 Palveluiden jatkuvuuden ja saatavuuden hallinta 6.4 Palveluiden budjetointi ja kirjanpito 6.5 Kapasiteetinhallinta 6.6 Tietoturvallisuuden hallinta 7 Liikesuhdeprosessit 7.1 Liikesuhteiden hallinta 7.2 Toimittajanhallinta 8 Ratkaisuprosessit 8.1 Häiriönhallinta ja palvelupyyntöjen hallinta 8.2 Ongelmanhallinta 9 Ohjausprosessit 9.1 Konfiguraationhallinta 9.2 Muutoksenhallinta 9.3 Julkaisun ja käyttöönoton hallinta Kirjallisuus 19
4 Palvelunhallintajärjestelmiä koskevat yleiset vaatimukset Täältä se hallintajärjestelmä löytyy organisaation ylimmän johdon näkyvä osallistuminen vaikuttavan hallintajärjestelmän kehittämiseen ja ylläpitämiseen on välttämätöntä kohdassa 4 on johdolle tarjolla monia työkaluja ja hyviä käytäntöjä politiikka tiedotuskäytännöt riskienhallinta dokumentointikäytännöt resurssienhallinta jatkuva parantaminen kohta 4 nivoo yhteen kohtien 5-9 prosessit ja muodostaa niistä kokonaisuuden: hallintajärjestelmä 20
4.2 Muiden osapuolten käyttämien prosessien hallinnointi Prosessien omistamista lisätty standardin 2011-versioon tämä osio tarkastellaan ensimmäiseksi, kun arvioidaan organisaation sertifiointivalmiutta ja ylipäätään mahdollisuutta sertifioitua mikäli joku tai jotkut prosessit (luvut 5 9) eivät ole sertifikaattia hakevan organisaation omistamia, sertifikaattia ei voida myöntää a) osoittamalla tilivelvollisuus prosesseista ja valtuus vaatia prosessien noudattamista b) hallitsemalla prosessien määrittelyä sekä rajapintaa muihin prosesseihin c) määrittämällä prosessin suorituskyky ja prosessivaatimusten noudattaminen d) hallitsemalla prosessin parannusten suunnittelua ja priorisointia. 21
5 Uusien tai muuttuneiden palveluiden suunnittelu ja transitio kohdassa 5 on vaatimukset palvelukehitykselle ja sen eri vaiheille suunnitteleminen (plan) suunnittelu ja kehittäminen (design and development) sekä käyttöönotolle testauksineen ja raportointeineen (transitio) usein projektitoimintaa 22
6 Palveluiden toimitusprosessit 6.1 Palvelutason hallinta palvelutasosopimukset (SLA) 6.2 Palveluraportointi tavoitteena raporttien vakiointi 6.3 Palveluiden jatkuvuuden ja saatavuuden hallinta ei vain osakokonaisuuksien vaan koko palvelun osalta! 6.4 Palveluiden budjetointi ja kirjanpito palveluiden tuottamisen sisäinen kustannuslaskenta 6.5 Kapasiteetinhallinta seurantaa ja varautumista tuleviin kapasiteettivaatimuksiin 6.6 Tietoturvallisuuden hallinta SFS-ISO/IEC 27001:n vaatimusten pienoismalli riskit ja niiden hallintakeinot! 23
7 Liikesuhdeprosessit 7.1 Liikesuhteiden hallinta asiakassuhteen ylläpitoa ja viestintää asiakastyytyväisyyden mittaaminen ja valitusmenettely 7.2 Toimittajanhallinta toimittajaketjun hallintaa yhteistyökäytäntöjen ja sopimusten muodossa 24
8 Ratkaisuprosessit 8.1 Häiriönhallinta ja palvelupyyntöjen hallinta kuvatut menettelyt häiriöiden ja myös palvelupyyntöjen hallintaan täsmävaatimuksia mm. häiriöiden priorisointiin laajavaikutteiset häiriöt 8.2 Ongelmanhallinta aitoa, operatiivista palveluiden laadun jatkuvaa parantamista! häiriöiden perussyiden etsimistä ja ratkaisemista häiriöiden määrän pienentämiseksi 25
9 Ohjausprosessit 9.1 Konfiguraationhallinta palveluiden konfiguraatioista huolehtimista määriteltyjen konfiguraatioyksiköiden puitteissa konfiguraatiotietokanta (CMDB) 9.2 Muutoksenhallinta elämää suurempi prosessi, vaikuttaa koko hallintajärjestelmään ja kaikkiin muihin prosesseihin hallitsemattomat muutokset kuriin 9.3 Julkaisun ja käyttöönoton hallinta vaatimuksia palveluiden ja niiden komponenttien tuotantoympäristöön viemisestä yhteistyössä asiakkaan ja sidosryhmien kanssa 26
27 Hallintajärjestelmästandardien yhteiselämä
Yhteinen rakenne ja vaatimuksia yhä enemmän organisaatioita, joiden johtamisjärjestelmä täyttää useamman hallintajärjestelmästandardin vaatimukset standardeissa samoja tai lähes samoja vaatimusosioita kuten johdon sitoutuminen, johdon katselmus, sisäinen auditointi, jatkuva parantaminen hallintajärjestelmästandardeja kirjoitettaessa kopioitiin em. vaatimusosioita tyypillisesti ISO 9001:stä yhtenäinen termistö, rakenne ja vaatimuksia kootusti ISO/IEC Directives, Part 1, Consolidated ISO Supplement Procedures specific to ISO, 2012, Annex SL, Appendix 2 tuttaville lyhyesti vain Annex SL 28
Hallintajärjestelmästandardit nyt ja tulevaisuudessa Annex SL Yhteinen rakenne ja vaatimuksia 29
Annex SL:n mukaiset standardit (tilanne 2013-12) Ei välttämättä täydellinen listaus Annex SL:n mukaiset julkaistut standardit ISO 22301:2012 Business continuity management systems ISO/IEC 27001:2013 Information security management systems Annex SL:n mukaiset, tulossa olevat ja aikataulutetut standardit ISO 9001:2015 (?) Quality management systems ISO 14001:2015 (?) Environmental management systems muut ISO/IEC 20000-1:20xx Service management system 30
31 Kysymyksiä, kommentteja?
32 23. tammikuuta 2014