Poslat e-mailem

Zpráva byla odeslána. Děkujeme za Váš zájem.
Poslat další.
Kontakt:
E-mail příjemce:   
Text zprávy:

ISMS nebo ITIL?

 

V prvním díle seriálu o ISMS byly zmíněny i další důležité normy, které se zabývají bezpečností Informačních systémů. Mezi jinými byla popsána norma ISO/IEC 20000 Informační technologie - management služeb. Druhá důležitá informace byla o knihovně ITIL (Information Technology Infrastructure Library). A právě o těchto možnostech přístupu k bezpečnosti Informačních systémů bude dnešní díl seriálu.

 

ITIL, ISO 20000 nebo ISO 15000?

V oblasti řízení a správě poskytovaných služeb IT se poměrně dlouhou dobu hovoří o knihovně nejlepších postupů, známých pod názvem ITIL. ITIL vznikl jako sada knižních publikací popisujících způsob řízení IT služeb a ICT infrastruktury. Dnes je zcela samostatným oborem činnosti a podnikání a zahrnuje v druhé verzi knihovnu čítající 8 svazků. V roce 2005 společnost OGC zahajuje projekt „ITIL Refresh", jehož cílem je vývoj třetí verze knihovny ITIL, která je v roce 2007 vydána. ITIL předkládá sadu osvědčených „Best Practices" z oblasti řízení služeb ICT, které, jsou-li implementovány, napomáhají dosažení kvality. ITIL je rámec pro design procesů.

Mezinárodním standardem, v rámci kterého jsou tyto nejlepší zkušenosti shrnuty do konkrétně popsaných kritérií je ISO/IEC 20000 - 1:2005 Information technology - Service management (Informační technologie - Management služeb - část1: Specifikace) a ISO/IEC 20000 - 2:2005 Information technology - Service management (informační technologie - Management služeb - část2: Soubor postupů.

Tato norma historicky vychází z BS 15000 (British Standards) a popisuje implementaci ITSM. ITSM je zkratkou pro IT Service Management, (Řízení služeb informačních technologií). Obsah ITSM je definován následujícími britskými normami (vydanými British Standard Institute v roce 2000): BS 15000-1:2002 - IT service management. Specification for service management a BS 15000-2:2003 - IT service management. Code of practice for service management.

Jak je patrno, vedle ISMS máme k dispozici minimálně další tři možné cesty, jak nasadit bezpečný systém řízení a managementu ICT. Britský systém managementu ICT je poněkud odlišný od našeho středoevropského pojetí, britové celý systém nejlepších postupů (BS 15000) založili na zkušenostech ze státní správy. Implementace celé knihovny ITIL je běh na velmi dlouhou trať a ten, kdo to myslí vážně, měl by si opatřit alespoň základní literaturu od ITILu.

To, čím se dnes budeme zabývat je norma ISO/IEC 20000 - Management služeb.

Tak tedy ISO 20000?

Stejně jako v případě automobilového průmyslu je specifikace TS 16949 zpřesněním a zpřísněním systémových norem, především pak ISO 9001, je norma ISO 20000 podobným dokumentem pro služby ICT a navazuje na normu ISO 27001.

ISO 20000

Na obrázku vidíte, jakých typických oblastí se tato norma dotýká a které jsou typické pro řízení a poskytování IT služeb. V předmluvě normy je její účel definován zcela pregnantně: „ISO/IEC 20000 stanovuje požadavky, které jsou kladeny na poskytovatele služeb a které se týkají dodávky řízených služeb v kvalitě přijatelné pro jeho zákazníky".

Norma ISO 20000 definuje pro tyto procesy velmi jasná pravidla. Jasně říká, kde má být dokumentovaný postup, kde je povinný záznam a stanovuje jejich povinný obsah. Právě na otázky hloubky přiměřeného plnění toho či onoho prvku mohou být v rámci implementace podle ISO 27001 často různé názory. Tato norma však řadu kritérií pro tuto oblast činnosti zpřesňuje tím, že ma v sobě to rozhodující slovo „MUSÍ".

 

Mezi nejpodstatnější odlišnosti od normy ISO 27001 patří tzv. povině řízená dokumentace:

  • - dokumentované politiky a plány managementu služeb
  • - dokumentované dohody o úrovni služeb
  • - dokumentované procesy a postupy požadované normou
  • - záznamy požadované normou

 

Mnohem větší důraz je kladen na monitorování, měření a přezkoumávání. Veškeré tyto činnosti musí být prováděny v pravidelných intervalech, musí být o nich vedeny záznamy a musí být pravidelně vyhodnocovány.

 

Vlastní implementace normy je prováděna podle druhé části normy a v následující tabulce vidíte její náležitosti:

 

Požadavek

Počet kapitol

Poznámka

Požadavky na systém managementu

5

Management systém

Plánování a implementace managementu služeb

10

Service management

Plánování a implementace nových služeb

2

Planning and impl. New or changing services

Procesy dodávek služby

28

Service delivery

Procesy vztahů

12

Relationship processes

Procesy řešení

17

Resolution process

Řídící procesy

11

Kontrol processes

Proces uvolnění

10

Relase process

 

V následujících kapitolách jsou uvedeny stručně povinné části, které je nutné v rámci zavedení normy aplikovat:

Požadavky na systém managementu

  • - odpovědnost managementu
  • - požadavky na dokumentaci
  • - Odborná způsobilost, vědomí závažnosti, výcvik
  • - Profesní rozvoj
  • - Uvažované přístupy

 

Materiál: Dokument, který popíše ustavení Systému managementu, popíše jak je nakládáno s dokumentací, jak a kde je popsána odborná způsobilost, výcvik, profesní rozvoj a celkovou personální politiku.

Plánování a implementace managementu služeb

Součástí plánu managementu služeb by mělo být upřesnění rozsahu managementu služeb. Vedení by mělo stanovit rozsah jako součást svých manažerských odpovědností. Namísto jednoho rozsáhlého plánu může být použito více plánů managementu služeb. Tyto plány musí být součástí veškeré strategie organizace a vrcholové vedení za něj nese plnou odpovědnost.

Součástí úspěšné implementace je plán monitoringu, měření a následné analýzy procesů managementu služeb. Výsledky analýz tvoří vstupy do plánu pro zlepšování služeb.

Poskytovatelé služeb (ať vnitřní nebo venkovní), by si měli uvědomit, že vždy existují možnosti dodávat služby lépe a efektivněji. Proto norma nařizuje mít politiku zlepšování služeb.                      


Plánování a implementace nových služeb

Cílem je zajistit, aby nové služby a změny ve službách byly proveditelné a řiditelné při dohodnutých nákladech a kvalitě poskytovaných služeb. Všechny změny, které se plánují a následně realizují musí být uvedeny v záznamech managementu služeb, což jsou například nábory zaměstnanců, školení uživatelů, komunikace o změnách apod. 

Procesy dodávky služeb

Výsledkem je  podrobný dokument popisující všechny kapitoly, především SLM (Service Level Management) , systém pro kontinuitu a dostupnost, a v neposlední řadě management kapacit. Snad nejdůležitější kapitola, kde jsou popsány vlastní pravidla, podmínky a metriky vázané ke kvalitě poskytovaných služeb. Dále je zde popsána činnost směřující ke kontinuitě poskytovaných služeb v případě výpadku systému, zničení systému apod. 

Procesy vztahů

Podrobné dokumenty popisující vztah služeb poskytovaných IT směrem k primárnímu byznysu a druhý dokument popisující řízení vztahů s dodavateli služeb. Tato kapitola může popisovat principy poskytované tzv. Vnitřnímu zákazníkovi (IT oddělení poskytuje například email pro celou firmu), ale lze jej využít i v případě, že organizace nakupuje určité služby venku (outsourcing). 

Procesy řešení

Management incidentů a problémů jsou samostatné procesy, i když jsou spolu úzce provázány. Incident řeší obnovu služeb pro uživatele, zatímco problém se týká identifikace a odstraňování příčin incidentů. Cíle řešení musí být založeny na prioritách. Priority byly stanoveny v rámci analýzy rizik a ohodnocení míry aktiv působící na jednotlivá aktiva organizace. Hlavním cílem je co nejdříve obnovit dohodnuté služby pro byznys nebo reagovat na požadavky na službu. 

Řídící procesy

Dokument popisující celkový systém managementu konfigurací, včetně principu změnového řízení, záznamů, dokumentace a ukončení změn. Management konfigurací by měl být plánován a implementován společně s managementem změn a uvolnění tak, aby bylo zajištěno, že poskytovatel služeb může efektivně spravovat svá IT aktiva a jejich konfigurace. Cílem je aby bylo možné stanovovat a řídit jednotlivé prvky služeb a infrastruktury a udržovat přesné konfigurační informace. 

Proces uvolnění

Pro úspěšnou přípravu a distribuci uvolnění (např. verzi SW) a pro řízení souvisejících dopadů a rizik na byznys a IT je nezbytné přesné plánování a řízení. Do přípravy uvolnění musí být zahrnuta aktualizace veškeré související dokumentace, musí být provedena analýza dopadu na byznys a musí být vzaty v úvahu všechny technické i netechnické aspekty.

 

Přínosy implementace normy

Pro organizaci může implementace normy ISO 20000 znamenat například zefektivnění činnosti při poskytování služeb v oblasti ICT. Následně pak snížení výskytu incidentů, nedostupnosti služeb ICT a snížení finančních ztrát. Na druhou stranu bude celý proces implementace znamenat zvýšenou zátěž pro organizaci a to jak finanční tak personální. Možná proto, není tato norma v České republice ještě tolik rozšířena, jako například IS0 270001.

 

 

zajímavé odkazy:

Oficiální stránka projektu ITIL www.itil.org.uk

Český normalizační institut www.cni.cz

České stránky projektu ITIL www.itil.cz

 

 

  



Potřebujete poradit? Mám zájem… F.A.Q.

 

Bezpečnost - GiTy

Více o ocenění