Звоните: +7 (495) 517-57-25

Стандарт ISO/IEC 20000 «Information technology — Service management» был впервые принят в 2005 году. С тех пор по данной редакции стандарта было сертифицировано более пятисот компаний по всему миру, в России — по разным оценкам от 25 до 30. Наконец, в 2011 году вышло долгожданное обновление стандарта. Насколько он отличается от предшественника и стал ли лучше?

Введение. Немного истории

iso and itil timeline

Стандарт ISO/IEC 20000 «Information technology — Service management» стал первым международным стандартом в области управления качеством ИТ-услуг1. В своей первоначальной редакции стандарт состоял из двух частей. Часть 1 «Specification» содержала формальные требования к системе управления ИТ-услугами и являлась основанием для официальной сертификации на соответствие стандарту. Часть 2 «Code of practice» имела структуру, идентичную первой части, но содержала разъяснения и рекомендации, которые были разработаны для помощи в реализации системы управления ИТ-услугами согласно требованиям первой части стандарта.

В 2010 году2 был утверждён российский ГОСТ Р ИСО/МЭК 20000 «Информационная технология. Менеджмент услуг», также в двух частях. С одной стороны отечественный ГОСТ разработан методом аутентичного перевода оригинального текста ISO 20000, то есть с точки зрения «буквы закона» эти стандарты одинаковы и равноценны. С другой — они совершенно разные с позиции «правоприменительной практики», поскольку сертификация на соответствие ГОСТ Р ИСО/МЭК 20000 выполняется организациями, не имеющими никакого отношения к структуре регистраторов ISO, что в очередной раз заставляет задуматься о ценности способа, который был выбран для «интеграции» отечественной нормативной базы с международной.

И, наконец, в 2011 году стандарт ISO 20000 получил обновление — вышла новая редакция ISO/IEC 20000:2011.

Что изменилось: мнение авторов стандарта

Прежде всего необходимо отметить, что в разделе «Введение» версии 2011 года присутствует краткий список изменений (what's new). Он включает в себя следующие пункты:

  • более тесное «выравнивание» (alignment) со стандартом ISO 9001;
  • более тесное «выравнивание» со стандартом ISO 27001;
  • изменения в терминологии для отражения специфики интернационального применения;
  • добавление большого количества новых определений терминов, изменение некоторых ранее существовавших и удаление двух определений;
  • объединение разделов 3 и 4 версии ISO/IEC 20000–1:2005, чтобы собрать все общие требования к системе управления ИТ-слугами в одном разделе стандарта;
  • разъяснения к требованиям надзора (governance) над процессами, которые выполняются третьими сторонами, вовлечёнными в предоставление или потребление ИТ-услуг;
  • разъяснения по определению границ сертификации (области охвата сертифицируемой системы управления ИТ-услугами);
  • разъяснения применения методологии (methodology) PDCA к системе управления ИТ-услугами и, в частности, к процессам и к ИТ-услугам;
  • появление новых требований к проектированию и внедрению (design and transition) новых и изменённых ИТ-услуг.

Могу подтвердить — все перечисленные пункты действительно описывают изменения в стандарте. Обратное, однако, не верно — не все изменения представлены в данном списке.

Что изменилось: впечатления независимого эксперта

Общие изменения

Во-первых, стандарт существенно вырос в размере. Так, если судить по числу «содержательных» страниц, которое используется при расчёте стоимости стандарта, то в версии 2005 года их 16, в то время как в версии 2011 года их уже 26. То есть рост содержательной части стандарта составил более 60%, а это, согласитесь, немало. Основных источников увеличения объёма я вижу три: существенное расширение требований в части проектирования и внедрения ИТ-услуг, существенное расширение глоссария, более ясное изложение многих пунктов и требований.

И во-вторых, существенно улучшены структура и язык стандарта. Новая редакция лучше воспринимается при чтении, удалены или переработаны требования, которые допускали слишком вольные трактовки (например «Changes … shall be implemented in a controlled manner» из версии 2005 года). Таким образом, новая версия значительно сокращает разрыв в понимании стандарта внешним аудитором и проверяемой организацией. И это, может быть, самое важное изменение.

Изменения в глоссарии

Глоссарий существенно переработан, в целом в лучшую сторону.

Добавлено 24 новых определения. В их числе «Сервис» (Service) и «Система управления сервисами» (Service management system), отсутствие которых в стандарте 2005 года вызывало вопросы. Многие новые определения приведены в соответствие с другими стандартами ISO, прежде всего с ISO 9000:2005, ISO/IEC 27001:2005 и ISO 19011:2002.

Часть определений существенно улучшена. В частности, определение термина «Инцидент» (Incident) избавлено от противоречия с запросами на обслуживание (ранее инцидент определялся как нарушение предоставления ИТ-услуг, при этом сервисный запрос предлагалось считать частным случаем инцидента). Определение термина «Конфигурационная единица» (Configuration item) теперь делает акцент не на том, что это объекты учёта процесса управления конфигурациями, а на том, что это объекты, учёт которых необходим для обеспечения качества ИТ-услуг. Аналогично были улучшены определения терминов «Configuration baseline», «Problem», «Service provider» и многих других.

Два определения были исключены из глоссария, но мы ничего не потеряли:

  • термин «Change record» избыточен, поскольку есть определения «Request for change» и «Record»;
  • термин «Service desk» более в тексте стандарта не используется, а его прежнее определение в версии 2005 года не выдерживало никакой критики.

Вместе с тем, два изменения в глоссарии мне кажутся неудовлетворительными:

  • термин «Known error» определён как «Проблема, для которой установлена корневая причина ИЛИ3 способ снижения или устранения негативного влияния на ИТ-услуги посредством обходного решения»4. Таким образом, знание корневой причины и наличие обходных решений представлены как альтернативы: достаточно или одного, или другого. В то же время в глоссарии библиотеки ITIL® требуется и знание корневой причины, и наличие обходных решений. Зачем введена такая разница с библиотекой ITIL, которая в существенной степени является основой стандарта ISO 20000, мне не ясно;
  • определение нового термина «Service component» не даёт ясной границы с термином «Configuration item», что приводит к путанице в требованиях раздела 9.1 к управлению конфигурациями.

Изменения в требованиях к системе управления ИТ-услугами

Прежде всего, изменение заключается в более ясном и детальном изложении требований. Но кроме того есть три важных изменения:

  • новый раздел 4.1.4, среди прочего, содержит требование «Обеспечение уверенности в том, что активы, включая лицензии, используемые для предоставления услуг, управляются согласно требованиям регуляторов и контрактным обязательствам»5. Аудитор может трактовать это требование, как основание для проверки не только управления лицензиями на осуществление деятельности, но и на программное обеспечение. Возможно это — будущий «мостик» к стандарту ISO 19770 «Information technology — Software asset management», возможно — просто не очень чёткая формулировка;
  • добавлен новый раздел 4.2, посвящённый надзору (governance) над процессами, которые выполняются третьими сторонами. Новых требований данный раздел не несёт, но разъясняет, что требуется не только управление внутренними процессами (в охвате сертификации), но и общий надзор за действиями других вовлечённых сторон — потребителей и поставщиков услуг (внешних поставщиков и внутренних групп, которые исключены из области охвата сертификации), если они выполняют часть процессов системы управления ИТ-услугами;
  • добавлен новый раздел 4.5.1, поясняющий правила определения области охвата сертификации. Он исключает попытки предъявить к сертификации по ISO 20000 отдельные процессы управления ИТ-услугами.

Изменения в требованиях к проектированию и внедрению услуг

Данный раздел также существенно увеличился в размере. Если считать по пунктам, то вместо шести требований в версии 2005 года в новую версию включено 14 требований. Требования сформулированы более чётко, детализировано содержание проверяемых документов.

Изменения в требованиях к отдельным процессам управления

Так же как и в других разделах стандарта, изложение стало более чётким и структурным. Несколько важных содержательных изменений приведены в таблице 1.

Таблица 1. Изменения в требованиях к процессам управления

Процесс управления

Основные изменения

6.1. Управление уровнем услуг
Появилось явное требование наличия каталога ИТ-услуг.
6.2. Отчётность по услугам
Значимых изменений нет.
6.3. Управление непрерывностью и доступностью услуг
Больше конкретики, появились явные требования к содержанию планов управления доступностью и непрерывностью (причём требования весьма умеренные).
6.4. Бюджетирование и учёт затрат на ИТ-услуги 
Значимых изменений нет.
6.5. Управление мощностями
Больше конкретики, снижены требования к формализации процесса.
6.6. Управление информационной безопасностью
Существенно уточнены требования к проверяемой организации.
7.1. Управление отношениями с бизнесом
Значимых изменений нет.
7.2. Управление отношениями с поставщиками
Больше конкретики, снижены требования к формализации процесса, явные требования к содержанию контрактов с поставщиками.
8.1. Управление инцидентами и сервисными запросами
Больше конкретики, явное деление на управление инцидентами и запросами (однако, в рамках одного процесса), исключено явное требование регистрации всех инцидентов.
8.2. Управление проблемами
Больше конкретики, исключено явное требование регистрации всех выявленных проблем.
9.1. Управление конфигурациями
Самые спорные изменения. С одной стороны больше конкретики, с другой — в погоне за детализацией внесены весьма спорные изменения. Например, удалено требование интегрированного подхода к проектированию управления конфигурациями и изменениями (согласен, требование нечёткое, но лучше было его уточнить, чем удалять). Указан минимальный состав атрибутов конфигурационных единиц. Он включает в себя, например, версию и местоположение (но что такое версия в применении к рабочей станции, что такое местоположение базы данных?). При этом группа, ответственная за данную единицу по-прежнему не считается обязательным атрибутом.
9.2. Управление изменениями
Множество важных уточнений.
9.3. Управление релизами и развёртыванием
Процесс включен в группу процессов «Control processes», группы «Release processes» больше нет.

Выводы. И мысли о будущем

Безусловно, стандарт ISO 20000 в редакции 2011 года «подрос». И не только в размере, а в ясности изложения, в количестве деталей, которые способствуют лучшему пониманию сути требований. Думаю, что, несмотря на увеличение количества требований, новую версию стандарта будет проще применять при реализации систем управления ИТ-услугами.

iso standards groupКаким я вижу будущее стандарта? Прежде всего, в дальнейшей интеграции с другими существующими и будущими стандартами в области сопровождения и эксплуатации информационных систем / решений / услуг. Так, если пофантазировать немного об интегрированной архитектуре стандартов ISO, то мне кажется, получается вот что:

  • основу составляют:
    • ISO 9001 – в части общих требований к системам менеджмента на базе PDCA, безотносительно отраслевой специфики;
    • ISO 19011 – в части управления программой аудита систем менеджмента;
    • ISO/IEC 15504 – в части практики проверки процессов в области ИТ;
  • содержательная часть представлена следующими стандартами:
    • ISO/IEC 27001 – в части управления информационной безопасностью;
    • ISO/IEC 27031 – в части обеспечения непрерывности ИТ-услуг (или новый стандарт, который будет принят на его основе);
    • ISO/IEC 20000 – в части управления качеством ИТ-услуг;
    • ISO/IEC 19770 – в части управления программными активами (SAM), а в будущем может появиться и более целостный стандарт, посвящённый управлению ИТ-активами (ITAM).

И движение в этом направлении уже идёт полным ходом. Будущее, как обычно, ближе, чем нам кажется.

 


Сноски

  1. Текст ISO 20000, однако, основан на одноимённом национальном стандарте BS 15000, который был принят тремя годами ранее — в 2002 году. С лета 2006 года в связи с выходом стандарта ISO 20000 сертификация организаций на соответствие BS 15000 была прекращена.
  2. Приказы Росстандарта №№ 380-ст и 381-ст от 12 ноября 2010 года. 
  3. Выделено автором статьи. 
  4. Known error — problem that has an identified root cause or a method of reducing or eliminating its impact on a service by working around it. 
  5. Ensuring that assets, including licenses, used to deliver services are managed according to statutory and regulatory requirements and contractual obligations.
Дмитрий Исайченко