Портал №1 по управлению цифровыми
и информационными технологиями

ISO и стандарты по ITSM: последние известия

Опубликовано 20 августа 2010
Рубрики: ISO 20000, ITSM, Источники знаний
Комментарии

Документы ISO/IEC 20000-1:2005 и ISO/IEC 20000-2:2005 многим хорошо известны. Однако этими двумя важными составляющими мир стандартов в области ITSM не ограничивается. Более того, ITSM-стандарты в недалёком будущем обновятся и дополнятся новыми интересными документами.

В мае этого года прошло очередное заседание комитета SC7 (sub-committee 7), отвечающего за стандарты в области ПО, системной инженерии и ITSM. Этот подкомитет входит в комитет JTC1 (Joint Technical Committee 1), занимающийся вопросами международной стандартизации в области информационных технологий. Итогом заседания SC7 (которые проводятся раз в полугодие) стала чёткая картина по ITSM-стандартам:

  1. ISO/IEC 20000-1 – "Service management system requirements" – будет немного обновлён в 2011 году, включая корректировку названия (было – "Service management specification"), чтобы отразить ещё большую важность построения именно системы управления.
  2. ISO/IEC 20000-2 – "Guidance on implementation of service management systems" – будет доработан и обновлён в 2012 году, чтобы соответствовать новой версии первой части, при этом название также изменится (было "Code of Practice").
  3. ISO/IEC TR 20000-3 – "Guidance on scope definition and applicability of ISO/IEC 20000-1" – был опубликован в октябре 2009 года, пока останется без изменений
  4. ISO/IEC TR 20000-4 – "Process Reference Model" – будет опубликован в этом году. Содержащиеся в нём высокоуровневые описания процессов послужат основой для последующей разработки модели для оценки процессов, чтобы таковую можно было проводить в соответствии со стандартом ISO/IEC 15504.
  5. ISO/IEC 20000-5 – "Exemplar implementation plan for ISO/IEC 20000-1" – уже опубликован в апреле 2010 года, содержит описание поэтапного подхода к внедрению системы управления ИТ-сервисами
  6. ISO/IEC 20000-8 – "Exemplar assessment model for IT service management" – будет опубликован осенью 2011 года, и будет содержать ту самую модель для оценки процессов (PAM, Process Assessment Model)
  7. ISO/IEC 90006 – "Guidelines for the application of ISO 9000:2008 to IT Service Management" – запланирован на 2013 год, и будет описывать применение стандарта ISO 9001:2000 к последней версии ISO 20000-1, в том числе – трактовать разногласия.
  8. ISO/IEC 27013 – "IT Security – Security techniques – Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001" – будет опубликован не ранее 2011 года (чтобы отразить изменения в стандарте ISO/IEC 20000-1).

Комментариев: 15

  • Павел Солопов

    Хочется ISO/IEC TR 20000-3 — “Guidance on scope definition and applicability of ISO/IEC 20000-1” заполучить ознакомиться, нет ли у кого во временное пользование?
    А то какая-то полнейшая ерунда у нас сейчас творится в части оперделения “какие ИТ-услуги” сертифицируем.
    Общался тут с аудитором. “Что является ИТ-услугой, а что нет”,-спрашиваю, – “вот например избавление компьютерной техники от пыли или погрузка/разгрузка и перемещение, это ИТ-услуги”.
    “Избавление от пыли – услуга, а погрузка/разгрузка – нет”, – говорит аудитор. “Почему так?”, – не унимаюсь я. “Мне так кажется, а вообще если она у вас в каталоге, то будет ИТ-услугой…”.
    Вот и не понятно, обладает ли ИТ-услуга какой-то спецификой, которая отличает их от неИТ-услуг? Сам стандарт определения IT-service не даёт, что весьма странно, или это для англичан такая вещь понятная всем и вся как мама, папа, воздух, солнце и жизнь, что и не нуждается в дополнительном определении?
    А если не обладает никакой уникальностью ИТ-услуга, то к чему огород городить и создавать отдельный стандарт для ИТ-услуг? Ведь в определённой трактовке и для услуг, например химчистки тоже надо управлять доступностью, мощностью, взаимоотношениями с клиентом и т.д., чтобы она называлась качественной.

    • Мой опыт общения с аудиторами по ISO 20K говорит о том, что всё зависит от конкретного аудитора и степени его владения предметом. Точнее, понимания базовых принципов ITSM.

      Тот же опыт говорит о том, что не все аудиторы их понимают. Им приходится проверять кучу разных организаций на соответствие куче разных стандартов. Странно ожидать, что аудитор будет специалистом в каждой области.

      В таком случае задача сводится к убеждению аудитора, и тут уж как сложится…

      • Павел Солопов

        Убеждать аудитора в чём-то смысла не вижу, вопрос в другом, в доверии к выданным сертификатам. Сертифицировали “не-пойми что”, на соответствие “не-пойми чему”…

        • Не убеждать не получится, это неизбежное зло, насколько я понимаю.

          Встречаются довольно забавные моменты. Ладно область охвата, тут ещё можно подискутировать – существует же вполне конкретное требование:

          “All incidents shall be recorded.”

          Есть ведь жизненные примеры бессмысленности или невозможности регистрации ВСЕХ инцидентов.

          • Павел Солопов

            Ну вот тут вообще вопрос тогда, а на кой вам по стандарту сертифицироваться, если у вас всё не по стандарту.
            Ведь если вы притащили мне бумажку, где сказанно, что у вас всё по стандарту, я ожидаю, что у вас «All incidents are recorded», а потом выясняется, то у вас recorded только 50%, поскольку по вашим соображениям регистрация остальных 50% бессмыслена, что вы и объяснили аудитору.
            Считаете, что стандарт не прав – не сертифицируйтесь по нему.

            • Отчего же стандарт не прав? Как обычно с законами, вопрос трактовки.

              ISO 20000 никак не определяет термин “service request”, и не содержит отдельного процесса обработки. Поэтому один читатель этого стандарта, назовём его аудитором, может посчитать, что service request – это такой вид инцидентов. Тем более, что есть в стандарте такое примечание в определении понятия “инцидент”:

              “NOTE: This may include request questions such as “How do I…?” calls”

              И ВСЕ они должны быть зарегистрированы.

              Другой читатель того же стандарта (назовём его “организация, желающая получить сертификат” – ОЖПС), найдёт такую строчку в стандарте:

              “The customer shall be kept informed of the progress of their reported incident or service request…”

              Из чего ОЖПС сделает вывод, что всё же это разные понятия, и регистрировать все обращения пользователей вида “как там поживает моя заявка?” не обязательно.

              И тут начинается дискуссия…
              🙂

              • Павел Солопов

                Не рассмотрена позиция ещё одной стороны, организации желающей получать услуги (ОЖПУ) от организации желающей получать сертификат (ОЖПС).

                • Если я пользователь (потребитель, клиент), позвонил в службу поддержки узнать судьбу своей заявки, мне на вопрос ответили – то какая мне разница зарегистрировали ли они как-то этот мой звонок или нет?

                  • Исходя из такой логики в чём тогда вообще смысл сертификации?
                    Получается, что видя сертификат, я вообще ни в чём не могу быть уверен. Мало ли в чём ОЖПС убедила аудитора. Может они вообще ничего не регистрируют?
                    И почему вы решили, что мне не важно знать как мои сотрудники интересуются судьбой заявок? Может я особо радеющих буду премировать.

    • Да, кстати, купить стандарт можно довольно недорого прямо в ISO – http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=51235

  • Павел Солопов

    Ну Вы Олег сказали тоже, КУПИТЬ! 🙂
    Да и не сказал бы я чтобы недорого 3 с лишним тысячи за несколько страниц. Вообще стандарты должны быть бесплатными, если есть цель обеспечить всеобщую стандартизацию.

    • А кто за банкет платить тогда будет?

      Бюджет ISO – 140 миллионов тех самых франков в год, 45% которого поступает от продажи стандартов и прочих сопутствующих услуг.

      Это я не к призывам к совести/честности, просто тут вполне понятно куда уходят эти деньги. Далеко не во всех организациях так.

      Например, куда и сколько уходит от сдачи экзаменов по ITIL – большой вопрос. Можно отследить только косвенно (http://www.realitsm.ru/2010/06/one-reason-why-ogc-has-to-make-some-serious-money-out-of-itil-and-prince2/)

      • Павел Солопов

        Платить должен тот, кто заинтересован во всеобщей стандартизации. Предположительно это правительства всяких-разных государств.
        Ну да что там говорить, у нас и само государство ставит перед собой цели “достижения упорядоченности в сферах
        производства и обращения продукции и повышение конкурентоспособности продукции, работ или услуг”, но свободного доступа к стандартам не предоставляет. Т.е. чтобы твоя деятельнсоть или продукция соответствовала требованиям стандарта это на уровне государства хорошо, но ты должен за стандарт заплатить…
        Это всё равно, что если бы бог сказал Моисею “Пусть люди твои живут по 10 заповедям моим. Заповеди для ознакомления они смогут преобрасти за умерянную плату…”

        • Конкретно в случае с ISO всё довольно понятно – “ISO is a non-governmental organization that forms a bridge between the public and private sectors”.

  • Павел Солопов

    Однако членом её, со стороны РФ, по крайней мере, является вполне себе государственное агентство по стандартизации.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM