a3 1 processi di gestione sistemi ict v13.ppt [modalità ...€¦ · &rph q frvwuxlwr...
Post on 11-Aug-2020
5 Views
Preview:
TRANSCRIPT
A3_1 V1.3
Processi di Gestione dei Sistemi ICT
Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale e per supporto a lezioni universitarie.Ogni altro uso è riservato, e deve essere preventivamente autorizzato dall’ autore.
Sono graditi commenti o suggerimenti per il miglioramento del materiale
GESTIONE DEI SISTEMI ICT
Paolo Salvaneschi
Università di BergamoDip. di Ingegneria gestionale, dell'informazione e della produzione
INDICE
A3 – Processi gestione ICT Paolo Salvaneschi 2
• Relazione tra governo e gestione
• Processi
• Standard di riferimento
• I processi che esaminiamo
• Orientamento al servizio
Relazioni tra governo e gestione
A1 – Governo sistemi ICT Paolo Salvaneschi 3
ISO/IEC 38500:2008
Governo
Gestione
Interfaccia
Relazioni tra governo e gestione
A2 – Strutture organizzative Paolo Salvaneschi 4
• Allineamento al business
• Nei Sistemi Informativi:– Relazione tra il top management e l’IT
– Relazione tra la Direzione IT e le Direzioni Business
• Nelle Software / System House:– Relazione tra la Direzione e le strutture operative
Relazioni tra governo e gestione
A2 – Strutture organizzative Paolo Salvaneschi 5
• Allineamento al business
– Stabilire gli obiettivi del business
– Tradurre gli obiettivi del business in obiettivi dell’IT
– Identificare e organizzare adeguati processi IT
– Generare piani di azione, vincoli e costi condivisi
Relazioni tra governo e gestione
A2 – Strutture organizzative Paolo Salvaneschi 6
• Allineamento al business
– Rendere visibili e comprensibili le attività al management
– Fornire misure sull’andamento dei piani
– Generare informazioni utili alla gestione degli eventi imprevisti e dei rischi
– Fornire misure e valutazioni sulla qualità dei processi
Relazioni tra governo e gestione
A2 – Strutture organizzative Paolo Salvaneschi 7
• Allineamento al business
– Condividere obiettivi e punti di vista
– Stabilire una comprensione condivisa dei processi in atto basata su un linguaggio comune
– Scambiare informazioni e supporto
NOTA: Importanza di costruire-- Non solo piani, processi, misure,….-- Ma anche comportamenti condivisi (i principi
dello standard ISO/IEC 38500:2008)
Processi
A3 – Processi gestione ICT Paolo Salvaneschi 8
ISO/IEC 38500:2008
Gestione
Interfaccia
Processi
A3 – Processi gestione ICT Paolo Salvaneschi 9
• Quali processi?
• Come gestire?– Definire e organizzare i processi
– Definire obiettivi
– Misurare
– Retroagire
• Riferimenti normativi
• Molte norme/ guide: COBIT, ITIL, ISO 9001, ISO12207, ……
Processi
A3 – Processi gestione ICT Paolo Salvaneschi 10
• Norme/ guide:
‒ COBIT Framework gestionale
‒ ITIL Servizi
‒ ISO 9001:2008 Sistema qualità
‒ ISO/IEC 12207:2008 Processi software
‒ ISO/IEC 15504 Maturità
‒ ISO 27001Security
‒ …..
A3 – Processi gestione ICT Paolo Salvaneschi
Standard di riferimento
• COBIT
Control Objectives for
Information and related
Technology
http://www.isaca.org/Knowledge-Center/cobit/
11
A3 – Processi gestione ICT Paolo Salvaneschi
• Modello (framework) per il governo e la gestione dell’ICT creato nel 1992 da:– Associazione americana degli auditor dei sistemi informativi:
Information Systems Audit and Control Association - ISACA
https://www.isaca.org
– Istituto indipendente senza scopo di lucro: IT Governance Institute (ITGI)
http://www.itgi.org/
Standard di riferimento
COBIT
12
A3 – Processi gestione ICT Paolo Salvaneschi
• Modello orientato ai processi
per il governo e la gestione dell’IT
• E’ un tool adatto per:– Business management
– IT management
– IT process managers
– IT Auditors
• Fornisce good practices
• È principalmente focalizzato sugli aspetti di controllo dei processi piuttosto che sugli aspetti operativi.
Standard di riferimento
COBIT
13
A3 – Processi gestione ICT Paolo Salvaneschi
Standard di riferimento
• Il punto di vista CHE ADOTTIAMO:
• COBIT è utilizzato come framework entro cui ospitare altri standard che dettagliano gli aspetti operativi di specifici processi
14
A3 – Processi gestione ICT Paolo Salvaneschi
Standard di riferimento
COBIT FrameworkGuida per l’audit Guida per il management
senza indicazioni operative
ITILISO 9001
ISO 12207ISO 27001 ISO 15504
Standard operativi per specifici processiProcessassessment
15
ISO/IEC 38500:2008Governo
Gestione
A3 – Processi gestione ICT Paolo Salvaneschi
• COBIT Identifica 34 Processi IT appartenenti a 4 aree– Pianificazione e Organizzazione (PO)
– Acquisizione e Implementazione (AI)
– Erogazione e Supporto (DS)
– Monitoraggio e Valutazione (ME)
Standard di riferimento
COBIT
16
A3 – Processi gestione ICT Paolo Salvaneschi
• Pianificazione e Organizzazione (PO)– PO1 Definire un Piano Strategico per l'IT
– PO2 Definire l’architettura informatica
– PO3 Definire gli indirizzi tecnologici
– PO4 Definire i processi, l’organizzazione e le relazioni dell’IT
– PO5 Gestire gli investimenti IT
– PO6 Comunicare gli obiettivi e gli orientamenti della direzione
– PO7 Gestire le risorse umane dell’IT
– PO8 Gestire la Qualità
– PO9 Valutare e Gestire i Rischi Informatici
– PO10 Gestire i Progetti
Standard di riferimento
COBIT
17
A3 – Processi gestione ICT Paolo Salvaneschi
• Acquisizione e Implementazione (AI)– AI1 Identificare soluzioni automatizzate
– AI2 Acquisire e mantenere il software applicativo
– AI3 Acquisire e mantenere l’infrastruttura tecnologica
– AI4 Permettere il funzionamento e l’uso
– AI5 Approvvigionamento delle risorse IT
– AI6 Gestire le modifiche
– AI7 Installare e certificare soluzioni e modifiche
Standard di riferimento
COBIT
18
A3 – Processi gestione ICT Paolo Salvaneschi
• Erogazione e Supporto (DS)– DS1 Definire e gestire i livelli di servizio
– DS2 Gestire i servizi di terze parti
– DS3 Gestire le prestazioni e la capacità produttiva
– DS4 Assicurare la continuità di servizio
– DS5 Garantire la sicurezza dei sistemi
– DS6 Identificare e attribuire i costi
– DS7 Formare e addestrare gli utenti
– DS8 Gestione del Service Desk e degli incidenti
– DS9 Gestione della configurazione
– DS10 Gestione dei problemi
– DS11 Gestione dei dati
– DS12 Gestione dell’ambiente fisico
– DS13 Gestione delle operazioni
Standard di riferimento
COBIT
19
A3 – Processi gestione ICT Paolo Salvaneschi
• Monitoraggio e Valutazione (ME)– ME1 Monitorare e valutare le prestazioni dell’IT
– ME2 Monitorare e valutare i controlli interni
– ME3 Assicurare la conformità alla normativa
– ME4 Istituzione dell’IT Governance
Standard di riferimento
• Per ogni processo COBIT fornisce (esempio)………….
COBIT
20
A3 – Processi gestione ICT
Paolo Salvaneschi
Standard di riferimento
COBIT
21
A3 – Processi gestione ICT
Paolo Salvaneschi
Standard di riferimento
COBIT
22
A3 – Processi gestione ICT
Paolo Salvaneschi
COBIT
Standard di riferimento
23
Responsible - Chi è responsabile di fare…Accountable - Chi, alla fine deve rendere conto di…
A3 – Processi gestione ICT
Paolo Salvaneschi
COBIT
Standard di riferimento
24
A3 – Processi gestione ICT
Paolo Salvaneschi
COBIT
Standard di riferimento
25
A3 – Processi gestione ICT Paolo Salvaneschi
• COBIT è uno strumento di aiuto alla comprensione e gestione dell’IT da parte di tutte le parti interessate (direzione generale, auditors, direzione IT) – un linguaggio comune
• Non contiene guide operative per la costruzione di specifici processi
• Non è uno strumento per la certificazione• Non è uno strumento per la valutazione di
maturità dei processi
Standard di riferimento
COBIT
26
A3 – Processi gestione ICT Paolo Salvaneschi
• ITIL V2– Service delivery (certificazione ISO 20000)– Service support (certificazione ISO 20000)– ICT Infrastructure Management– Application Management– Security Management– Planning to Implement Service Management– The Business Perspective
• ITIL V3 (2007)Inclusione dei contenuti V2 in un ciclo di vita: strategia, progettazione, transizione, operatività e miglioramento dei servizi
Standard di riferimento
ITIL
27
A3 – Processi gestione ICT Paolo Salvaneschi
• ITIL ® (IT Infrastructure Library) provides a framework of “best practice” guidance for IT Service Management
Standard di riferimento
28
A3 – Processi gestione ICT Paolo Salvaneschi
• Service delivery
Standard di riferimento
ITIL ®
29
A3 – Processi gestione ICT Paolo Salvaneschi
• Service support
Standard di riferimento
ITIL ®
30
A3 – Processi gestione ICT Paolo Salvaneschi
• ICT Infrastructure Management
ITIL La qualità del servizio
ITIL ®
31
A3 – Processi gestione ICT Paolo Salvaneschi
• Application Management
Standard di riferimento
ITIL ®
32
A3 – Processi gestione ICT Paolo Salvaneschi
• Security Management
Standard di riferimento
ITIL ®
33
A3 – Processi gestione ICT Paolo Salvaneschi
• Planning toImplementServiceManagement
Standard di riferimento
ITIL ®
34
A3 – Processi gestione ICT Paolo Salvaneschi
• The Business Perspective
Standard di riferimento
ITIL ®
35
A3 – Processi gestione ICT Paolo Salvaneschi
Standard di riferimento
36
• ISO (International Organization for Standardization) Organizzazione internazionale, nata nel 1947, che si occupa di definire gli standard in tutti i settori produttivi, di cui fanno parte gli enti normativi nazionali di più di 130 paesi. http://www.iso.ch
• Standard ISO (o norme):
• Sistema metrico decimale
• Sistemi di filettatura di viti e bulloni
• Definizione dei processi software
• Definizione di sistemi di gestione della qualità
• ….
A3 – Processi gestione ICT Paolo Salvaneschi
Standard di riferimento
37
• La norma ISO 9001: 2015
• Definisce i criteri di gestione dei sistemi qualità delle organizzazioni e si rivolge a tutte le organizzazioni che desiderano sviluppare un Sistema Qualità
• Ogni organizzazione che vuole seguire la norma deve seguire i criteri definiti dalla norma adattandoli alla propria tipologia di organizzazione– Azienda manifatturiera
– Software house
– Ospedale– …..
A3 – Processi gestione ICT Paolo Salvaneschi
Standard di riferimento
38
• Sistema di gestione per la qualità:
“Sistema di gestione per guidare e tenere sotto controllo un’organizzazione con riferimento alla qualità”
• Assicurare la qualità dei prodotti e dei servizi
• Realizzare un miglioramento continuo dei processi aziendali
A3 – Processi gestione ICT Paolo Salvaneschi
Standard di riferimento
39
• Sistema di gestione per la qualità di una azienda che sviluppa software:– Definire i propri processi produttivi
– Definire le procedure da seguire (per progettare, per controllare, per gestire versioni e configurazioni del software, per gestire le segnalazioni di errore dei clienti…)
– Definire standard di documentazione
– Misurare la qualità dei processi e dei prodotti e instaurare un processo di valutazione periodica e di decisione per il miglioramento
– ……
A3 – Processi gestione ICT Paolo Salvaneschi
Standard di riferimento
40
• Certificazione
• Un’organizzazione che realizza un sistema qualità corrispondente alla norma ISO 9001: 2015 può chiedere di essere certificata rispetto alla norma
• Per uno specifico insieme di prodotti e servizi
• Esempio: •Consulenza, progettazione, sviluppo, installazione di sistemi software
•Commercializzazione e assistenza hardware e software
•Commercializzazione e assistenza hardware e software per telecomunicazioni
A3 – Processi gestione ICT Paolo Salvaneschi
Standard di riferimento
41
• Perché far certificare un’azienda?– Effettuare un salto di qualità formalizzando e
razionalizzando i processi aziendali
– Passare da un livello di qualità individuale ad un livello ingegnerizzato e industrializzato dell’organizzazione (qualità di impresa)
– Attivare un processo di miglioramento continuo
– Ottenere un certificato considerato referenza e prerequisito per poter partecipare a gare
A3 – Processi gestione ICT Paolo Salvaneschi
Standard di riferimento
42
• Come è costruito / documentato un Sistema qualità:– Manuale della qualità.
Raccoglie tutti gli aspetti di gestione della qualità
Richiama tutte le procedure e gli specifici strumenti messi in atto per gestire la qualità
– Procedure gestionali
– Istruzioni di lavoro
– Schemi di documenti
A3 – Processi gestione ICT Paolo Salvaneschi
Standard di riferimento
• ISO 9001-2015 un sistema di gestione della qualità basato sui processi ed il miglioramento continuativo
43
B2 - Normativa Paolo Salvaneschi 44
• 15 settembre 2015 - la nuova edizione della norma ISO 9001 "Quality Management Systems" - che sostituisce la ISO 9001:2008
• Transizione dei vecchi accreditamenti: un periodo transitorio di 3 anni dalla pubblicazione
• Nuovi accreditamenti con la nuova versione
Standard di riferimento
B2 - Normativa Paolo Salvaneschi 45
• Gestione dei rischi nei processi aziendali
• Più appropriata applicazione della norma al settore dei servizi
• Semplificazione documentale
• …
Standard di riferimento
A3 – Processi gestione ICT Paolo Salvaneschi
• ISO/IEC 12207:2008 Systems and software engineering -- Software life cycle processes
Standard di riferimento
46
A3 – Processi gestione ICT Paolo Salvaneschi
• ISO/IEC 15504 Information technology - Process assessment
• Basata sui processi definiti dalla norma ISO 12207
Standard di riferimento
0 Incompleto
(Incomplete)
Il processo non è implementato o comunque nonraggiunge i risultati attesi
1 Eseguito
(Performed)
Il processo implementato raggiunge lo scopo ed irisultati attesi
2 Gestito
(Managed)
Il processo Eseguito produce risultati chesoddisfano i requisiti espressi, nei tempi definiti econ le risorse allocate.
3 Stabilito
(Established)
Il processo Gestito è eseguito sulla base di unprocesso standardizzato e raggiunge risultatipredefiniti.
4 Prevedibile
(Predictable)
Il processo Stabilito è eseguito costantemente,entro limiti stabiliti quantitativamente eraggiungendo costantemente i risultati predefiniti.
5 Ottimizzante
(Optimizing)
Il processo Prevedibile cambia dinamicamente perrispondere efficacemente ai bisogni di businessattuali e futuri.
47
A3 – Processi gestione ICT Paolo Salvaneschi
AS400
0
1
2
3
4ACQ1
SVIL1SVIL2
SVIL3
SVIL4
SVIL5
SVIL6
SVIL7
SVIL8
ESE1
ESE2
ESE3
MAN1
MAN2CON1
CON2CON3CON4CON5CON6
MIGL1
MIGL2
GDOC1
GCNF2
GCNF3
GPIA1
GPIA2
GPIA3
GPER1
COM1
COM2KNM1
KNM2
CONTROLLO
SVILUPPO,ESERCIZIOED EVOLUZIONE
COMUNICAZIONE
GESTIONE
2004
RETAIL
0
1
2
3
4ACQ1
SVIL1SVIL2SVIL3
SVIL4
SVIL5
SVIL6
SVIL7
SVIL8
ESE1
ESE2
ESE3
MAN1MAN2
CON1CON2CON3CON4CON5
CON6MIGL1
MIGL2
GDOC1
GCNF2
GCNF3
GPIA1
GPIA2
GPIA3
GPER1
COM1COM2
KNM1KNM2
CONTROLLO
SVILUPPO,ESERCIZIOED EVOLUZIONE
GESTIONE
COMUNICAZIONE
Azzurro: stato 2004Rosso: obiettivi di miglioramento definiti dopo la valutazione del 2004
AS400
AS400
0
1
2
3
4ACQ1
SVIL1SVIL2
SVIL3
SVIL4
SVIL5
SVIL6
SVIL7
SVIL8
ESE1
ESE2
ESE3
MAN1
MAN2CON1
CON2CON3CON4CON5CON6
MIGL1
MIGL2
GDOC1
GCNF2
GCNF3
GPIA1
GPIA2
GPIA3
GPER1
COM1
COM2KNM1
KNM2
CONTROLLO
SVILUPPO,ESERCIZIOED EVOLUZIONE
COMUNICAZIONE
GESTIONE
2008
ValutazioneConfronto 2004-2008
ISO 15504 ed i modelli di maturità
48
A3 – Processi gestione ICT Paolo Salvaneschi
• ISO 27001 Politica di gestione della sicurezza di un Sistema Informativo (certificazione di processo).
• ISO 27002 guida (best practices)
• ISO 15408 (Common Criteria) Procedure e misure tecniche per gestire la sicurezza durante il ciclo di vita di un sistema IT (certificazione di prodotto).
Definire e validare un dato livello di security
Standard di riferimento
49
I processi che esaminiamo
A3 – Processi gestione ICT Paolo Salvaneschi 50
• Quali processi esaminiamo?– Gestione dello sviluppo software
– Acquisizione di prodotti e servizi
– Gestione operativa e supporto
– Evoluzione
– Pianificazione
– Misura
– Gestione della conoscenza
Orientamento al servizio
A3 – Processi gestione ICT Paolo Salvaneschi 51
• Quale è il punto di vista che supportiamo?
• Orientamento al servizio delle organizzazioni IT– Considerare i “consumatori” dei propri servizi non soltanto
come utenti ma come Clienti
– Allargare la focalizzazione sulle tecnologie, per includere
l’attenzione ai processi
– Passare da una organizzazione IT reattiva ad una propositiva
– Arricchire i tradizionali skill IT con nuove capacità orientate
al Cliente, imparando ad ascoltare il Cliente
top related