ISO/IEC 20000 -standardisarja (IT-palvelujen johtaminen ja hallinta)

Vaatimusstandardi ISO/IEC 20000-1Ohjeistostandardit, osat 2, 3, 5, 9, 10

Arviointistandardit, osa 4 ja ISO/IEC 15504-8

1

Tervetuloa luentoaineiston käyttäjäksi!

Tämän luentoaineiston ovat laatineet Jyrki Lahnalahti Inspecta Sertifiointi Oy:stä ja Risto Nevalainen FiSMA ry:stä. Kalvosarja on tuotettu SFS:n projektirahoituksella.

Kalvosarja esittelee IT-palvelujen hallinnan standardisarjan ISO/IEC 20000 eri osat sekä työn alla olevat uudistukset. Yksityiskohtaisesti käsitellään standardisarjan osan 1 sisältö.

Aineisto on suunnattu ammattikorkeakoulujen ja yliopistojen opettajille ja opiskelijoille. Aineistoon pohjautuva opetuskokonaisuus on 3 oppituntia, kukin kestoltaan 45 minuuttia. Suositeltavat oppituntikokonaisuudet ovat•tunti 1: sivut 6 - 25•tunti 2: sivut 26 - 43•tunti 3: sivut 44 - 59

2

Aineiston käyttö ja tekijänoikeudet

Tämän luentoaineiston tekijänoikeudet omistaa Suomen Standardisoimisliitto SFS ry.

Esitystä saa vapaasti käyttää opetustarkoituksiin ja sitä saa tarvittaessa muokata. Aineistoa lainattaessa lähde tulee mainita.

Aineiston käyttö kaupallisiin tarkoituksiin on kielletty.

Tämä materiaali on päivitetty viimeksi 18.12.2015.

3

Sisältö

• IT-palveluiden hallinta ja ISO/IEC 20000• ISO/IEC 20000 ja muut standardit ja mallit• hallintajärjestelmät ja erityisesti

palvelunhallintajärjestelmä• ISO/IEC 20000-1:n sisältö

– palvelunhallintajärjestelmä (osa 1, kohta 4)– prosessit palvelujen kehittämiseen, toimittamiseen,

hallintaan ja ohjaamiseen (osa 1, kohdat 5–9)• standardisarjan kehitystyö ja käyttökokemuksia

4

IT-palveluiden hallinta jaISO/IEC 20000

5

Mitä on IT-palveluiden hallinta?

• tietotekniseen infrastruktuuriin tai ohjelmistoihin liittyvä tuki- ja palvelutoiminta– ei laitekauppaa eikä ohjelmistoprojekteja– tyypillisesti jatkuvaa toimintaa pikemmin kuin

määräaikaista tai projektimuotoista– esimerkkejä: tuotannon valvonta, Service Desk,

ylläpito, SaaS, ympäristöjen tasaus ja hallinta• vaikuttavia tekijöitä

– ulkoistukset, off-shore-hankkeet, palveluiden suhteellisen arvon raju kasvu laitteiden muuttuessa ”bulkiksi”

– teknologiatrendit: pilvipalvelut, verkostoituminen, IoT

6

Mikä on ISO/IEC 20000:n mukainen palvelunhallintajärjestelmä?

7

Standardisarja ISO/IEC 20000

8

Tämä on standardisarjan ydin, muut osat tukevat sen vaatimusten tulkintaa ja hallintajärjestelmän

rakentamista.(Lähde:

ISO/IEC 20000-10:2015)

Standardisarja ISO/IEC 20000: osa 1

Osa 1: palvelunhallintajärjestelmää koskevat vaatimukset•vaatimusstandardi, käytetään mm. sertifioinnin referenssistandardina•se osa sarjasta, jonka ympärille muut rakentuvat ja jota ne tukevat

9

Standardisarja ISO/IEC 20000: osa 2

Osa 2: ohjeistusta palvelunhallintajärjestelmien toteuttamiseen•osan 1 vaatimusten tulkintaa helpottava ja täydentävä ohjeistus•sisältää mm. analyysin eri prosessien välisistä kytkennöistä

10

Standardisarja ISO/IEC 20000: osa 3

Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1•ohjeistusta erityisesti sertifiointia suunnittelevalle organisaatiolle•erittäin hyviä esimerkkejä verkostoista

11

Standardisarja ISO/IEC 20000: osa 4

Part 4: Process reference model•puhdas prosessimalli kaikkiin vaatimusstandardin (osa 1) alueisiin, myös kohtaan 4•ylätasolla yhteensopiva muiden prosessistandardien kanssa (esim. ISO/IEC/IEEE 15288)

12

Standardisarja ISO/IEC 20000: osa 5

Part 5: Exemplar implementation plan for ISO/IEC 20000-1•vaiheittainen hallintajärjestelmän toteutustapa tavoitteena täysi vaatimustenmukaisuus osan 1 vaatimuksien kanssa

13

Standardisarja ISO/IEC 20000: osa 9

Part 9: Guidance on the application of ISO/IEC 20000-1 to cloud services•auttaa soveltamaan osan 1 vaatimuksia pilvipalveluiden tarjoamiseen•kattaa erilaiset pilvipalvelut: IaaS, PaaS, SaaS

14

Standardisarja ISO/IEC 20000: osa 10

Part 10: Concepts and terminology•antaa yleiskuvan standardisarjan terminologiaan, rakenteeseen ja käsitteisiin•auttaa ymmärtämään eri osien välisiä sidoksia ja myös standardisarjan kytkentöjä muihin standardeihin ja malleihin

15

ISO/IEC 20000:n läheiset standardit ja mallit

16

ISO/IEC 20000:n paikka standardien maailmassa

17

ISO/IEC 20000 -standardin kytkennät muihin standardeihin ja malleihin

• malleja tekemiseen– ITIL v2 ja v3– CMMI for Services– COBIT– teknologiavalmistajien malleja (Microsoft, IBM, …)– joitakin kansallisia malleja (Hollanti, …)

• malleja arviointiin ja/tai sertifiointiin– SPICE, erityisesti ISO/IEC 15504-8– CMMI for Services– COBIT

18

Standardi ISO/IEC 90006

ISO/IEC 90006: Guidelines for the application of ISO 9001:2008 to IT service management and its integration with ISO/IEC 20000-1:2011•antaa ohjeita ISO 9001:n sovittamiseen palveluiden hallintaan sekä näiden kahden standardin hyödyntämiseen yhdessä•sisältää myös standardien ISO/IEC 20000-1:2011 jaISO 9001:2008 vaatimusten vertailun

19

Standardi ISO/IEC 15504-8

ISO/IEC 15504 Part 8: An exemplar process assessment model for IT service management•ISO/IEC 20000-4:n prosessit täydennettyinä prosessien kyvykkyyden arvioinnin mahdollistavilla indikaattoreilla (Base Practices, Inputs, Outputs)•osa tunnettua SPICE-standardiperhettä prosessien parantamiseen

20

CMMI for Services

• osa yhdysvaltalaisen CMMI Instituten ylläpitämää CMMI-malliperhettä

• yleisesti palveluprosessien kehittämiseen tarkoitettu malli - ei vain IT-palveluille

• CMMI-DEV-mallin (ohjelmistokehitys) kanssa yhteensopiva– 16 yhteistä prosessialuetta– 1 jaettu prosessialue (SAM)– 7 palveluiden prosessialuetta– samat konseptit, samat

arviointimallit

21

Mitä hyötyä kyvykkyysarvioinneista (CMMI, SPICE)?

• ISO/IEC 20000-1 sisältää joukon eritasoisia vaatimuksia, jotka kaikki pitää yhtäläisesti täyttää

• kuinka tietää arvioinnin pohjalta, mihin suunnata kehittämispanostuksia, missä suurimmat heikkoudet ovat?

• mikä on taso muihin yksiköihin tai yrityksiin nähden?• ”Tietysti olemme hyviä (?), mutta kuinka hyviä?”

• kyvykkyysarvioinnit kertovat hyvinkin yksityiskohtaisesti mihin prosessien kehittämiskohteisiin panostamalla saadaantoimintaa parannettua ja nostettua seuraavalle tasolle

22

ITIL – Information Technology Infrastructure Library

• kokoelma kirjoja, jotka dokumentoivat prosesseina parhaita käytäntöjä IT-palveluiden hallintaan ja tukeen

• malli ei ota kantaa palveluiden tai tuotteiden laatuun• kehitystyö käynnistyi Isossa-Britanniassa 1980-luvulla

julkisen hallinnon toimesta• muodostunut de-facto-standardiksi omalla alueellaan• erilaisia henkilösertifikaatteja (Foundation, Expert,

Master, …), mutta ei prosessien tai organisaatioiden sertifiointeja

23

COBIT

• paljon palvelunhallintaan liittyviä prosesseja (control objectives) ja niille tehtäviä (activity)

• dokumentit, mittarit, vastuut määritelty hyvin tarkkaan

• ISO/IEC 20000 kattaa vain osan COBITin maailmasta, mutta menee siinä tarkemmalle tasolle

• uusin versio 5, joka on yhteensopiva ISO/IEC 33000 (ex-ISO/IEC 15504) -sarjan kyvykkyysmallin kanssa

24

Hallintajärjestelmät ja erityisesti palvelunhallintajärjestelmä

25

Hallintajärjestelmien ominaisuuksia

• johtamisen työkaluja, joissa johdon sitoutuminen on tärkeä peruselementti

• laatu, ympäristö, työterveys, IT-palveluiden hallinta, tietoturvallisuus jne. voidaan toteuttaa ja arvioida yhdistettynä johtamisjärjestelmänä

• organisaation toiminnan vaatimusten tunnistaminen ja tavoitteiden asettaminen

• prosessimainen, suunnitelmallinen toimintatapa ja jatkossa yhä merkittävämmin myös riskienhallinta

• prosessien ja toiminnan jatkuva parantaminen on kaikkien hallintajärjestelmästandardien vaatimus

26

ISO 9001ISO 14001

OHSAS 18001ISO/IEC 27001

ISO/IEC 20000-1ISO 22301ISO 55001ISO 50001ISO 22000

Palvelunhallintajärjestelmä

• kohta 4 standardissa ISO/IEC 20000-1 tekee siitä hallintajärjestelmästandardin

• kohdan 4 vaatimukset ovat elintärkeitä organisaation toiminnalle, jotta palveluiden hallinnan prosessit (kohdat 5-9) muodostavattoimivan, palveluntarjoajanliiketoimintaa tukevan jaasiakkaiden vaatimuksiinvastaavan kokonaisuuden

• palvelunhallintajärjestelmäärakennettaessa tämän kohdanvaatimukset vaativat useineniten työtä

27

Palvelunhallintajärjestelmä, standardin kohta 4

28

4 Palvelunhallintajärjestelmiä koskevat yleiset vaatimukset

• organisaation ylimmän johdon näkyväosallistuminen ja tuki hallintajärjestelmän kehittämiseen ja ylläpitämiseen on välttämätöntä

• kohdassa 4 on johdolle tarjolla monia työkaluja ja hyviä käytäntöjä– palvelunhallintapolitiikka– viestintäkäytännöt– riskien hallinta– dokumentointikäytännöt– resurssien hallinta– jatkuva parantaminen

29

4.1.1 Johdon sitoutuminen

Kohta 4.1.1 esittelee kohdassa 4 myöhemmin kuvattavat menetelmät ja käytännöt ja vastuuttaa nämä ylimmälle johdolle

Ylimmän johdon on osoitettava, että se on sitoutunut palvelunhallintajärjestelmän ja palveluiden suunnitteluun, laatimiseen, käyttöönottoon, käyttöön, seurantaan, katselmointiin, ylläpitoon ja parantamiseen. Tämä sitoutuminen on osoitettava seuraavin tavoin:a) laaditaan palvelunhallinnan soveltamisala, politiikka ja tavoitteet sekä tiedotetaan niistäb) varmistetaan, että palvelunhallintasuunnitelma on laadittu ja käyttöönotettu ja että sitä ylläpidetään, ja näin noudatetaan politiikkaa, saavutetaan palvelunhallinnan tavoitteet ja täytetään palveluvaatimuksetc) tiedotetaan palveluvaatimusten täyttämisen tärkeydestäd) tiedotetaan lakien ja viranomaisten vaatimusten sekä sopimuksellisten velvoitteiden täyttämisen tärkeydestäe) varmistetaan, että riittävät resurssit on varattuf) suoritetaan johdon katselmuksia suunnitelluin aikaväleing) varmistetaan, että palveluihin kohdistuvat riskit on arvioitu ja että niitä hallitaan.

30

PDCA-malli IT-palvelujen hallinnassa (kohta 4.5)

• Suunnittele (Plan): palvelunhallintajärjestelmän laatiminen ja dokumentointi sekä siitä sopiminen.

• Toteuta (Do): palvelunhallintajärjestelmän toteuttaminen ja käyttäminen.

• Arvioi (Check): palvelunhallintajärjestelmän ja palveluiden seuranta, mittaaminen ja katselmointi politiikkojen, tavoitteiden, suunnitelmien ja palveluvaatimusten suhteen sekä saatujen tulosten raportointi.

• Toimi (Act): palvelunhallintajärjestelmän ja palveluiden suorituskyvyn jatkuva parantaminen erilaisten toimenpiteiden avulla.

31

Yksittäiset prosessit tiivistettyinä

(osa 1, kohdat 5–9)

32

5 Uusien tai muuttuneiden palveluiden suunnittelu ja transitio

• kytkentä muutoksenhallinnan ja kohdan 5 kesken– Palveluntuottajan on käytettävä tätä prosessia kaikkiin uusiin

palveluihin ja sellaisiin palveluihin tehtyihin muutoksiin, joilla saattaa olla merkittävä vaikutus palveluihin tai asiakkaaseen.

– Kohtaan 5 sisältyvät muutokset on määritettävä osana muutoksenhallintaprosessia, joka on sovitun muutoksenhallintapolitiikan mukainen.

• kokoonpanonhallintaakaan ei saa unohtaa– Kohtaan 5 sisältyviä konfiguraatioyksiköitä, joihin uudet tai

muuttuneet palvelut vaikuttavat, on hallittava konfiguraationhallintaprosessilla.

• erikseen todettava suunnittelun tulosten riittävyys ja vaatimustenmukaisuus, ja tehtävä päätös edetäänkö niiden mukaan

33

5.2 Uusien tai muuttuneiden palveluiden suunnitteleminen

• tunnistetaan vaatimukset– Palveluntuottajan on tunnistettava uusien tai muuttuneiden palveluiden

palveluvaatimukset. Uudet tai muuttuneet palvelut on suunniteltava siten, että ne täyttävät palveluvaatimukset.

• huomioitava laajasti mahdolliset palvelun tuottamisen sivuvaikutukset: taloudelliset, organisatoriset ja tekniset

• mahdolliset vaikutukset hallintajärjestelmään on arvioitava

• suunnitteluun kohdistuu useita täsmällisiä sisältövaatimuksia

• palvelun poistaminen on suunniteltava, ja muut tuottamiseen tarvittavat osapuolet tunnistettava ja arvioitava

34

5.3 Uusien tai muuttuneiden palveluiden suunnittelu ja kehittäminen

• suunnittelussa on dokumentoidusti todettava mitä uuden tai muutetun palvelun käyttöönotto ja tuottaminen vaatii ja tarkoittaa, mm.

– c) uudet tai muuttuneet henkilöresurssivaatimukset, jotka sisältävät myös asiaankuuluvat opinto-, koulutus-, taito- ja kokemusvaatimukset

– e) uudet tai muuttuneet tekniset ratkaisut, joilla tuetaan uusien tai muuttuneiden palveluiden toimittamista

– h) muutokset palvelunhallintajärjestelmään– i) uudet tai muuttuneet palvelutasosopimukset

35

5.4 Uusien tai muuttuneiden palveluiden transitio

• transitio on usein projektitoimintaa• palataan vaatimuksiin ja palvelun suunnitteluun

– Uudet tai muuttuneet palvelut on testattava siten, että saadaan todennettua, että ne täyttävät palveluvaatimukset ja dokumentoidun suunnittelun.

• voidaanko palvelu hyväksyä (viittaus kohtaan 5.2 i)– Uudet tai muuttuneet palvelut on testattava palveluntuottajan ja

sidosryhmien etukäteen sopimien palveluiden hyväksymiskriteerien suhteen.

• viedään tuotantoon– Uudet tai muuttuneet palvelut on otettava käyttöön tuotantoympäristössä

julkaisun ja käyttöönoton hallintaprosessin avulla.

• tarkastellaan saavutettiinko se, mitä tavoiteltiin– Transitiotoimintojen suorittamisen jälkeen palveluntuottajan on

raportoitava sidosryhmille saavutetuista tuloksista verrattuna odotettuihin tuloksiin.

36

6.1 Palvelutason hallinta

• sovittava asiakkaan kanssa, mitä ja miten toimitetaan– keskeinen käsite palveluvaatimus (service

requirement)• asiakkaan ja palvelun käyttäjien tarpeet, joihin sisältyvät

palvelutasovaatimukset sekä palveluntuottajan tarpeet• kuvattava paitsi palvelut, myös niiden väliset

riippuvuudet• muutokset, myös vaatimuksiin, käsiteltävä

muutoksenhallinnan kautta• seurattava myös palvelutasojen trendejä ja

tunnistettava kehittämiskohteet• erikseen mainittu vaatimukset asiakkaan ja sisäisen

ryhmän (internal group) välisestä SLA:sta

37

6.2 Palveluraportointi

• sovittava eri osapuolien kesken kunkin raportin elementit ja mm. yksityiskohdat tietolähteestä– sidosryhmä

• henkilö tai ryhmä, jolle palveluntuottajan toiminnon tai toimintojen suorituskyky tai onnistuminen on erityisen mielenkiinnon kohde

• ESIM. Asiakkaat, omistajat, johtajat, palveluntuottajaorganisaation henkilöstö, toimittajat, pankkiirit, liitot tai yhteistyökumppanit.

• raporttien on perustuttava palveluiden hallinnasta kertyviin oikeisiin tietoihin

• asiakastyytyväisyydestä täytyy raportoida paitsi mittaustulokset ja valitukset niin myös näiden analyysit

38

6.3 Palveluiden jatkuvuuden ja saatavuuden hallinta

• jatkuvuuden ja saatavuuden hallinnan kokonaisvaltaisuus• lähtökohtana palveluiden jatkuvuus- ja saatavuus-

vaatimukset ja näihin kohdistuvien riskien hallinta• erotettu aiempaa selkeämmin toisistaan jatkuvuus ja

saatavuus• kytkeytyy tietoturvallisuuteen mm. riskien arvioinnin kautta• linkkejä muihinkin prosesseihin kuten kapasiteetin-

hallinta, muutoksenhallinta ja palvelutason hallinta• laaja joukko vaatimuksia jatkuvuudenhallinnan

prosessille, jonka suorittaminen alusta loppuun useinhaasteellista: jatkuvuussuunnitelmien testaukset koetaan raskaiksi

• service continuity– capability to manage risks and events that could have serious impact

on a service or services in order to continually deliver services at agreed levels

• availability– ability of a service or service component to perform its required

function at an agreed instant or over an agreed period of time

39

6.4 Palveluiden budjetointi ja kirjanpito

• palvelun ”kirjanpito” eli toteutuneiden kustannusten raportointi sekä käyttäminen palvelun hallinnassa ja kehittämisessä

• vaatimus kytkennästä muuhun taloushallintoon• tehtävä budjetteja ja seurattava näiden toteutumista• tiedettävä palvelukohtaisesti

kokonaisuutena tuotantokustannukset• pystyttävä tarjoamaan tietoa muutosten

kustannuksista• prosessi koskee palveluntarjoajan sisäistä

talouden hallintaa - ei asiakaslaskutusta

40

6.5 Kapasiteetinhallinta

• paitsi teknisen kapasiteetin niin myös henkilöresurssien tehokkaan käytön ja riittävyyden varmistaminen

• sovittava kapasiteettivaatimukset asiakkaan ja mm. alihankkijoiden kanssa

• oltava muutoshallinnan alainen, toteutettu kapasiteettisuunnitelmaa) palveluiden nykyinen ja ennustettu kysyntäb) sovittujen vaatimusten odotetut vaikutukset saatavuuteen, palveluiden

jatkuvuuteen ja palvelutasoihinc) palvelukapasiteetin päivittämisen aikataulut, kynnysarvot ja kustannuksetd) lakeihin, viranomaisvaatimuksiin, sopimuksiin ja organisaatioon tehtävien

muutosten mahdolliset vaikutuksete) uusien teknologioiden ja tekniikoiden mahdolliset vaikutuksetf) ennustavan analyysin mahdollistavat menettelyt tai niihin viittaaminen.

• Palveluntuottajan on toimitettava riittävä kapasiteetti, jotta sovitut kapasiteettia ja suorituskykyä koskevat vaatimukset täyttyvät.

41

6.6 Tietoturvallisuuden hallinta

• tietoturvallisuus on tässä standardissa tietojen luottamuksellisuutta, eheyttä ja saavutettavuutta (~ saatavuus)

• laaja kokonaisuus sisältäen mm. tietoturvapolitiikan, sisäisen auditoinnin ja ulkoisille sidosryhmille asetettavat tietoturvavaatimukset

• keskeinen aktiviteetti on tunnistaa tietoturvariskit, joita lievennetään ns. hallintakeinoilla kutenroolikohtaiset valtuudet, fyysinen kulunvalvonta, varmuuskopioinnit

• koskee sekä palveluiden tuottamista että palveluntarjoajan omien tietojen hallintaa

• prosessi on linjattu ISO/IEC 27000 -sarjan terminologiaan ja keskeisiin vaatimuksiin

42

7.1 Liikesuhteiden hallinta

• vaatimuksia vastuisiin ja asiakkaan toiminnan ymmärtämiseen

– Palveluntuottajan on nimettävä jokaiselle asiakkaalle asiakassuhteen hallinnasta ja asiakastyytyväisyydestä vastaava henkilö.

– Viestintämekanismin on edistettävä palvelun liiketoimintaympäristön sekä uusien tai muuttuneiden palveluiden vaatimusten ymmärtämistä.

• palvelua koskeva valitus (~ reklamaatio) on määriteltävä ja sen käsittelyyn oltavadokumentoitu menettely raportointeineen sekä eskalointimalli

• asiakastyytyväisyyttä on mitattava vaikuttavastija mittaustuloksia on käytettävä

• sopimusmuutosten välittäminen koko organisaatioon ja kaikkiin prosesseihin

43

7.2 Toimittajanhallinta

• vaatimuksia vastuisiin ja erityisesti kirjalliseen sopimukseen

• koko toimittajaketju oltava hallinnassa mm. sopimusten kautta

• toimittajan suorituskykyä seurattava dokumentoidusti, sopimusta katselmoitava ja tarvittaessa päivitettävä

• dokumentoitu menettely sopimuksellisten erimielisyyksien hoitamiseen

• toimittajan suoriutumista omista vastuistaan pitää seurata ja valvoa jatkuvasti

• osassa 3 on joukko esimerkkitilanteita palvelujen tuottamisesta monen osapuolen toimesta

44

Osa 3: esimerkki toimittajaverkostoista ja palveluiden laajuudesta (Scope statement) –

sisäinen palvelujen tuottaja

• Scope statement: The SMS that supports the delivery of all internal IT services to Customer C by the internal service provider of Customer C.

45

Osa 3: esimerkki toimittajaverkostoista ja palveluiden laajuudesta (Scope statement) –

service desk ja ylläpito ulkoistettu

• Scope statement: The SMS that supports the provision of all infrastructure management services to Customer E by the internal service provider of Customer E.

46

8.1 Häiriönhallinta ja palvelupyyntöjen hallinta

• erotettu toisistaan häiriö (incident) ja palvelupyyntö (service request)

• molempien käsittelyyn on oltava dokumentoidut periaatteet, jotka voivat toki olla samoja

• laajavaikutteisen häiriön (major incident) -menettelylle merkittäviä vaatimuksia

• tästä prosessista ITILin soveltaminen yleensä aloitetaan

47

8.2 Ongelmanhallinta

• standardin tärkein laadunparantamisprosessi• muuten sama menettelyvaatimus kuin häiriöille, mutta

mukana myös tunnistaminen ─ on siis oltava kuvattu miten ongelmat tunnistetaan

• perussyyt on etsittävä ja keinot poistaa ne on löydettävä

– Palveluntuottajan on analysoitava häiriöitä ja ongelmia koskevia tietoja ja kehityssuuntia, jotta ongelmien perussyyt sekä mahdolliset ehkäisevät toimenpiteet voidaan määritellä.

• tarvittaessa tehtävä muutospyyntö(jä), todettava väliaikaisratkaisuja ja tunnettuja virheitä onkirjattava

• prosessin toimivuutta ja vaikuttavuutta onseurattava ja raportoitava

48

9.1 Konfiguraationhallinta 1 (2)

• konfiguraatiotietokannan (CMDB) portinvartijaprosessi• atomitasolla on määriteltävä mikä on

konfiguraatioyksikkökonfiguraation rakenneosaCI–tekijä, jota pitää hallinnoida, jotta palvelu tai palvelut voidaan toimittaa

• CMDB voi koostua useasta eri tietojärjestelmästä, sen ei tarvitse olla yksi tietokanta tai ohjelmisto

49

9.1 Konfiguraationhallinta 2 (2)

• CMDB:n luotettavuus on varmistettava mm. käyttöoikeuksien, ohjeiden, jäljitettävyyden ja suunniteltujen auditointien avulla

• CMDB:n tietojen hallinnan tasossa otettava huomioon mm. palvelun vaatimukset ─ ei siis tarvitse tavoitella kaikilta osin samaa korkeaa tasoa

• Hallinnan on oltava sen tasoista, että palveluiden ja palvelukomponenttien eheys säilyy, kun palveluvaatimukset ja konfiguraatioyksiköihin liittyvät riskit otetaan huomioon.

• oltava keino tallentaa konfiguraation perustaso (baseline) ennen julkaisua

• Asiaankuuluvista konfiguraatioyksiköistä on luotava konfiguraation perustaso ennen julkaisun käyttöönottoa tuotantoympäristössä.

• vaatimuksena kirjasto tai varasto mm. dokumentteja, lisenssitietoja ja ohjelmistojen asennuspaketteja varten

• kytkentä taloushallinnon prosesseihin varmistettava

50

9.2 Muutoksenhallinta

• standardin megaprosessi– viittauksia lähes kaikista muista prosesseista

• muutoksenhallintapolitiikka• merkittävän vaikutuksen (major impact) -muutokset

(esim. palvelun lopettaminen ja siirto)– linkitys kohtaan 5 (Uusien tai muuttuneiden palveluiden suunnittelu ja

transitio)

• muutospyyntö– ehdotus palveluun, palvelukomponenttiin tai

palvelunhallintajärjestelmään tehtävästä muutoksesta– HUOM. Palveluun tehtävä muutos sisältää uuden palvelun

toimittamisen tai turhaksi käyneen palvelun poistamisen.

• palautumissuunnittelun testaus ja epäonnistuneiden muutosten analysointi

51

9.3 Julkaisun ja käyttöönoton hallinta

• julkaisu– yhden tai useamman uuden tai muuttuneen

konfiguraatioyksikön kokoelma, joka otetaankäyttöön tuotantoympäristössä yhden taiuseamman muutoksen seurauksena

• keskeistä asennusten ja julkaisuidensuunnitelmallisuus ja riskien hallinta– muutoksia ei viedä tuotantoon kuin julkaisujen

kautta• puoli-identtinen kaksonen muutoksenhallintaprosessille

52

Standardisarjan kehitystyö ja kokemuksia käytöstä

53

Standardin kehitystyö lähitulevaisuudessa

• tärkein ja suurin työ on kirjoittaa uusi versio osasta 1• muiden osien kokonaisvaltainen päivitys mahdollista vasta

kun osa 1 on valmistunut• myös uusia osia työn alla kuten osat 6, 8, 12 ja 13• seuraavilla kahdella sivulla ajantasainen tilanne aineiston

päivityksen aikaan• sivustolta www.iso.org haettavissa standardin kehittämisen

tila (käytä standardin numeroa esim. 20000-12)• marraskuussa 2015 suunniteltu aikataulu:

54

ISO/IEC 20000 –standardisarjan osat ja työkohteet 1 (2)

55

ISO/IEC 20000-

Nimi Tila 2015-12-18 Huomaa

1 Palvelunhallintajärjestelmää koskevat vaatimukset

Service management system requirements

Julkaistu.Suomalainen kansallinen standardi 2013.Annex SL:n mukainen seuraava versio WD-vaiheessa

Vaatimus-standardi sertifiointiin

2 Ohjeistusta palvelunhallintajärjestelmien toteuttamiseen

Guidance on the application of service management systems

Julkaistu.Suomalainen kansallinen standardi 2014.

3 Guidance on scope definition and applicability of ISO/IEC 20000-1

Julkaistu.

4 (TR) Process reference model Julkaistu.

5 (TR) Exemplar implementation plan for ISO/IEC 20000-1 Julkaistu.

6 Requirements for bodies providing audit and certification of service management systems

DIS (Draft International Standard)

Vaatimus-standardi sertifiointi-elimille

ISO/IEC 20000 –standardisarjan osat ja työkohteet 2 (2)

56

ISO/IEC 20000-

Nimi Tila 2015-12-18 Huomaa

8 Guidance on the application of service management systems for smaller organizations

WD (Working Draft)

9 (TR) Guidance on the application of ISO/IEC 20000-1 to cloud services

Julkaistu.

10 (TR) Concepts and Terminology Julkaistu (uusin versio 2015-11-13)

11 (TR) Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: ITIL®

Julkaistu

12 (TR) Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: CMMI-SVC®

CD (Committee Draft)

13 (TR) Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: COBIT®

NWIP (New Work Item Proposal)

15 Guidance for the customer Study group proposal

Standardin käyttökokemuksia Suomessa

• laajaa mielenkiintoa sekä käsikirjamaiseen käyttöön että ulkoiseen sertifiointiin– palvelujen ja niiden hallinnan jatkuvaan kehittämiseen – sisäisen auditoinnin käyttöön– joko palvelu- tai asiakaskohtaisten tai yleisten

sertifikaattien myöntäminen• standardi on hyvin yksityiskohtainen (osa 1 sisältää

256 vaatimusta), joten siihen perehtymiseen kannattaa varata aikaa– käytön voi kuitenkin aloittaa joistakin prosesseista,

esim. häiriönhallinta tai konfiguraationhallinta

57

Lisätietoa standardeista

• ISO/IEC 20000 -standardiperheestä vastaa kansainvälinen ISO/IEC JTC 1/SC40 – alikomitea ja sen työryhmä 2 (WG 2 IT Service Management)

• myös muilla SC40:n sekä useilla SC7:n työryhmillä on rajapintoja IT-palvelujen standardien laadintaan

• Suomessa SFS:n seurantaryhmä 308 (SR 308, ”IT-hallintatavat”) seuraa SC40 – alikomitean ja sen työryhmien työtä ja laatii kansallisia kannanottoja

58