Портал №1 по управлению цифровыми
и информационными технологиями

Обучение
по ITIL 4, ITSM, PRINCE2
Деловые
игры
Консалтинг
по управлению ИТ

Павел Дёмин

Нужен ли процесс управления доступностью?

Управление доступностью – уникальный процесс. Уникальный в первую очередь тем, что является изобретением авторов ITIL и не замечен как отдельный процесс (если я не отстал от жизни) ни в одном известном мне своде знаний по управлению ИТ, кроме ITIL, или процессной модели известной мне реальной компании. Почему – вопрос, который я хочу поднять в этой заметке, и поделиться своими размышлениями на этот счет. Причина 1: Доступность уже обеспечивается другими процессами Взглянем на задачи процесса: Создавать и вести план доступности, отражающий текущие и будущие потребности заказчиков. По услуге такой план может быть частью SIP. Кроме того, задача сильно пересекается с аналогичной в управлении...

Определение атрибутов процесса с помощью COBIT 5

Недавно заново для себя открыл структуру описания фактора влияния из COBIT 5[1]. У каждого фактора влияния заданы универсальные атрибуты. Вот они: Источник: COBIT 5: Бизнес-модель по руководству и управлению ИТ на предприятии Причем, не важно речь о процессе, услуге или, скажем, информации, набор атрибутов не изменится. Утверждается, что единая структура позволяет: работать со всеми факторами влияния на единой, простой и структурированной основе; управлять комплексными взаимодействиями; обеспечивать успешные результаты работы факторов влияния. Вроде все слова понятные, но вот что из них следует – здесь у меня было больше вопросов, чем ответов. И лишь недавно, на мой взгляд, картинка в целом сложилась. В этой...

Девять принципов ITSM-профессионала

Второй (после введения) раздел ITIL Practitioner Guidance посвящен руководящим принципам (Guiding Principles). Начиная свое знакомство с драфтом публикации в декабре, я, признаюсь, не придал большого значения материалу. Ну принципы и принципы – набор, если не прописных истин, то более или менее очевидных посылов, важность которых понятна многим. И также знакомы трудности следования принципам на практике. И направился читать материал, имеющий большую практическую применимость. Напомнил о себе этот раздел Guidance при сдаче экзамена ITIL Practitioner. Оказалось, что явно придерживаясь принципов можно сильно упростить себе задачу поиска правильного ответа. И чем дальше, тем больше этот материал мне кажется отнюдь не проходным – не только...

ITIL Practitioner: краткий обзор

Как вы, скорее всего, уже знаете, в семействе публикаций ITIL случилось пополнение. Вышел ITIL Practitioner Guidance (далее – Guidance) – первое серьезное обновление библиотеки с 2011 года, вокруг которого AXELOS строит новую квалификацию. С февраля 2016 года будут доступны курс и экзамен, в том числе в РФ. Но сегодня я хочу рассказать не о курсе и экзамене, а о самой публикации – какие темы в ней освещены и насколько, на мой взгляд, хорошо; чего не хватает; какие основные мысли и концепции решили донести до масс светлые головы из AXELOS. О чем публикация? Если упростить – о том, как внедрять ITIL. Пробел понятный. Пятикнижие (SS,...

COBIT 5 for Risk: основные области ИТ-рисков

Мы уже писали о публикации Risk Scenarios using COBIT5 for Risk. Кроме того, ей был посвящен недавно прошедший вебинар CleverTALK. В этой заметке хочу подвести краткие итоги того, какие области рисков в ИТ, по мнению авторов, являются наиболее критичными и нуждаются в пристальном внимании. Несмотря на то, что публикация содержит лишь примеры, так называемых, сценариев и не является исчерпывающим перечнем ИТ-рисков, выводы о том, где висят грозовые тучи, сделать можно и, на мой взгляд, весьма любопытные. Большое внимание авторы COBIT5 for Risk уделяют инсайдерской угрозе. Собственные сотрудники могут нарушать работу процессов, модифицировать клиентскую информацию, проводить фиктивные транзакции в финансовых системах, проводить несанкционированные изменения или, например, вступая в...

Что читать про управление непрерывностью

В продолжение предыдущей заметки публикую список ключевой, на мой взгляд, литературы по теме управления непрерывностью, которая обстоятельно не раскрыта в наших любимых сводах знаний. ISO 22301:2012 Societal security – Business continuity management systems – Requirments Основной, с 2012 года ставший международным, а ранее известный как BS25999, стандарт по управлению непрерывностью бизнеса. Вводит важную терминологию, предъявляет требования к планированию, проектированию, внедрению, сопровождению, оценке и постоянному совершенствованию системы управления непрерывностью бизнеса. ISO 22313 Societal Security – Business continuity management systems – Guidance Если в ISO 22301 содержатся требования, с которыми более удобно работать аудиторам, то ISO 22313 дает руководство по тому, как эти требования могут быть...

Что читать про управление ИТ-рисками

В заголовок этого поста я вынес вопрос, который довольно часто звучит после курса PPO. Как известно, в ITIL тема не раскрыта, а значит нужно черпать вдохновение откуда-то еще. Здесь я хочу привести небольшой список наиболее, на мой взгляд, интересных и полезных с точки зрения практики стандартов и публикаций. Вдруг пригодится. ISO 31000 (ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство). Тоненький стандарт, базовые принципы и описание цикла управления рисками, который с минимальными вариациями можно найти в большинстве прочих актуальных на сегодня стандартах и подходах. Помимо всего прочего, обращает внимание на важность непрерывных мониторинга и анализа, а также коммуникаций и консультаций, которые...

COBIT 5 в реальных проектах: Правительство Бахрейна

В референтной модели COBIT5 37 процессов. Можно предположить, что 37 – это чересчур. С другой стороны – нет и однозначно ненужных процессов. Поэтому, например, на курсе, с целью архивирования информации мы предлагаем некоторую группировку. Не единственный возможный вариант, конечно. Похожую задачу выполнили в Совете по руководству информационными технологиями и телекоммуникациями (ICTGC) – на минуточку – Бахрейна, перед которым стояла задача разработки модели для руководства и управления ИТ в свете развития электронного правительства (e-Government). Основными целями проекта были заявлены: повышение безопасности, снижение рисков, как ИТ, так и деловой деятельности, оптимизация затрат на ИТ, повышение надежности предоставляемых ИТ-услуг, прозрачность для последующих аудитов...

Граница между доступностью и непрерывностью

Граница между двумя процессами – управление доступностью и управление непрерывностью ИТ-услуг – неочевидна, и часто вызывает сложности, особенно у тех, кто только знакомится с ITIL. Действительно, процессы используют схожие техники. В основе обоих процессов лежит понятие риска: мы должны идентифицировать нежелательные события, угрожающие вывести из строя услуги, затем думать, как с этим справляться. И в том, и в другом случае требуется понимание критических бизнес-функций (VBF) и анализ влияния отказов услуг/систем на бизнес-процессы (BIA). Оба процесса, в конечном счете, решают задачу обеспечения устойчивости организации к отказам. Так ли важно разделять эти процессы? На прошедшем недавно курсе PPO мы с группой составили небольшую табличку, иллюстрирующую различия, которую я...

Что включать в отчет о PIR?

Все чаще на курсах, когда разбираем процесс управления изменениями, слушатели интересуются Post-Implementation Review в целом и форматом отчета с итогами оценки в частности. На основании рекомендаций ITIL, открытых источников и проектного опыта видится приблизительно следующая картина: 1. Введение 1.1 Состав группы оценщиков 1.2 Охват и критерии оценки 2. Результаты оценки 2.1 Достижение целей, стоявших перед изменением (например, сократить затраты на обслуживание, сократить ресурсные или временные затраты на те или иные операции, предоставить новую функциональность, повысить производительность, сократить количество инцидентов, повысить безопасность и т.д.) Цель Что было Что хотелось Что получилось Отметка о достижении 2.2 Параметры качества (если целью изменения было воздействие...

Как формулировать риск

Риски, угрозы, дестабилизирующие воздействия, нежелательные события – в литературе и, как следствие, в практике можно встретить совершенно различное понимание всех «неприятностей», которые поджидают ИТ-услуги на их и так не простом пути формирования ценности для заинтересованных сторон. Все бы ничего, но когда дело доходит до составления реестра, рисками называют и события, и угрозы, которые приводят к наступлению нежелательных событий, и уязвимости, и негативное влияние. Это затрудняет и непосредственно процесс оценки, и разработку мероприятий по снижению рисков. А ведь там и без того сложностей хватает. Хочется разобраться. Открыв ISO 31000, можно увидеть, что "риск – это влияние неопределенности на цели", где: Влияние (воздействие, эффект)...

 
DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM