Palvelunhallinta digitalisaation pyörteissä –seminaari 2015-10-23

ISO/IEC 20000-1 nyt ja tulevaisuudessa: kehityksen keskeisiä suuntaviivoja

Jyrki Lahnalahti 2015-10-19

Versio 1.0

Palvelunhallintajärjestelmä ja ISO/IEC 20000

Copyright © 2015 Inspecta Sertifiointi Oy 2

• hallintajärjestelmä (SFS-EN ISO 22301 (2015)) – joukko organisaation toisiinsa liittyviä tai vaikuttavia osia, joiden avulla luodaan

toimintaperiaatteet ja tavoitteet sekä prosessit, joilla nämä tavoitteet saavutetaan

• service management system (SMS) (ISO/IEC TR 20000-10:2013) – management system to direct and control the service management activities of

the service provider – Note 1 to entry: A management system is a set of interrelated or interacting

elements to establish policy and objectives and to achieve those objectives. – Note 2 to entry: The SMS includes all service management policies,

objectives, plans, processes, documentation and resources required for the design, transition, delivery and improvement of services and to fulfil the requirements specified in ISO/IEC 20000-1:2011.

Copyright © 2015 Inspecta Sertifiointi Oy 3

Hallintajärjestelmät Termejä ja sanastoa

SFS-ISO/IEC 20000-1 Palvelunhallintajärjestelmää koskevat vaatimukset

• nykyinen englanninkielinen versio on julkaistu 2011-04-15

• tausta vuoden 2005 ensimmäisessä ISO/IEC-versiossa, ja vuoden 2002 UK-standardissa BS 15000-1

• kansallinen suomenkielinen versio julkaistiin 2013-12-09

4 Copyright © 2015 Inspecta Sertifiointi Oy 4

• osassa 1 todetaan: ”kaikki standardin ISO/IEC 20000 tässä osassa esitetyt vaatimukset ovat yleisluontoisia ja niiden on tarkoitus olla sovellettavissa kaikkiin palveluntuottajiin tyypistä, koosta tai toimitettavien palveluiden luonteesta riippumatta.”

• standardi on sovellettavissa muihinkin kuin IT-palveluihin! (?)

• standardin nykyisen version kehittämisen aikaan tämä irtiotto IT:stä herätti paljon keskustelua

5

Kertauksena: millaisten palveluiden hallintaan standardi ISO/IEC 20000 on tarkoitettu?

Copyright © 2015 Inspecta Sertifiointi Oy

Scope and applicability of the standard Does the standard maintain the focus on and scope of IT Service Management? Is the standard applicable to and achievable for both large and small internal or external service providers in both the public and private sectors? Relationship to other standards and frameworks Is the standard usable for certification alone or with ISO 9001? Is the Information Security process within the standard aligned to ISO 27001?

6

Spirit and Intent (2009) of ISO/IEC 20000

Copyright © 2015 Inspecta Sertifiointi Oy

Relationship to other standards and frameworks Is the alignment between the standard and ITIL maintained as in the statement below? ITSMF International and OGC endorse alignment between ISO/IEC 20000 and ITIL so that adoption of ITIL positions a service provider to achieve ISO/IEC 20000. ITIL and ISO/IEC 20000 are aligned: 1. ITIL is not based on ISO/IEC 20000 2. ISO/IEC 20000 is not based on ITIL. The links between ISO/IEC 20000 and ITIL are ones of spirit and intent, not of control. Both serve different purposes and are therefore different in intent, format, structure, style and detail.

7

Spirit and Intent (2009) of ISO/IEC 20000

Copyright © 2015 Inspecta Sertifiointi Oy

ISO/IEC 20000 is: • Aligned with other ISO management systems standards such as ISO 9001 and

ISO/IEC 27001, as well as the principles of ISO/IEC 38500, for Governance of IT. • Based on a service management system (SMS) that is defined as a management

system to direct and control the service management activities of the service provider.

• Technology independent and framework independent, enabling it to be used by a very wide range of organizations.

• Flexible and based on principles that enable it to be adapted to many service models including Information, Communication and Technology enabled services, Cloud services, Hybrid services, Business Process Outsourcing and Multi-Sourcing.

8

Study Group Report (2015-05-05) on Revision of ISO/IEC 20000

Copyright © 2015 Inspecta Sertifiointi Oy

Copyright © 2015 Inspecta Sertifiointi Oy 9

ISO/IEC 20000 –standardisarjan eri osat

ISO/IEC 20000-

Nimi Tila Huomaa

1 Palvelunhallintajärjestelmää koskevat vaatimukset Service management system requirements

Julkaistu. Suomalainen kansallinen standardi 2013.

Vaatimus-standardi sertifiointiin

2 Ohjeistusta palvelunhallintajärjestelmien toteuttamiseen Guidance on the application of service management systems

Julkaistu. Suomalainen kansallinen standardi 2014.

3 Guidance on scope definition and applicability of ISO/IEC 20000-1

Julkaistu

4 (TR) Process reference model Julkaistu.

5 (TR) Exemplar implementation plan for ISO/IEC 20000-1 Julkaistu.

6 Requirements for bodies providing audit and certification of service management systems

CD Vaatimus-standardi sertifiointi-elimille

ISO/IEC 20000 –standardin osat ja työkohteet 1 (2)

Copyright © 2015 Inspecta Sertifiointi Oy 10

ISO/IEC 20000-

Nimi Tila Huomaa

8 Guidance on the application of service management systems for smaller organizations

WD

9 (TR) Guidance on the application of ISO/IEC 20000-1 to cloud services

Julkaistu.

10 (TR) Concepts and Terminology Julkaistu, uusi versio julkaisussa.

11 (TR) Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: ITIL®

PDTR

12 (TR) Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: CMMI-SVC®

PDTR

13 (TR) Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: COBIT®

NWP

15 Guidance for the customer Study group proposal

ISO/IEC 20000 –standardin osat ja työkohteet 2 (2)

Copyright © 2015 Inspecta Sertifiointi Oy 11

ISOlla on mahdollisuus myös antaa standardeja ilmaiseen jakeluun. WG 2 sai hyväksynnän tuoda kaksi osaa ISO/IEC 20000 –sarjasta tähän jakeluun.

• osoitteessa http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html on

listaus ilmaisista standardeista

• ISO/IEC 20000-10 on jo saatavilla ja ISO/IEC 20000-11 tulee julkaisunsa jälkeen

12

Ilmaisiakin lounaita on

Copyright © 2015 Inspecta Sertifiointi Oy

• SFS-ISO/IEC 20000-1: vaatimusstandardi – sanamuotona ”tulee” (”shall”) – tarkoitettu esimerkiksi sertifiointiin – pituus noin 25 sivua (ilman liitteitä)

• SFS-ISO/IEC 20000-2: ohjestandardi

– sanamuotona ”olisi” (”should”) tai muu konditionaali – tarkoitettu hallintajärjestelmän rakentamiseen tai osan

1 vaatimusten selventämiseen – velvoittava viittaus osaan 1, jota siis käytettävä myös

tätä osaa 2 sovellettaessa – pituus noin 76 sivua (ilman liitteitä)

• vain osaa 1 vasten voi sertifioitua

13

Osat 1 ja 2 – siis mitä ja mihin?

Copyright © 2015 Inspecta Sertifiointi Oy

Hallintajärjestelmä

Copyright © 2015 Inspecta Sertifiointi Oy 14

• hallintajärjestelmä (SFS-EN ISO 22301 (2015)) – joukko organisaation toisiinsa liittyviä tai vaikuttavia osia, joiden avulla luodaan

toimintaperiaatteet ja tavoitteet sekä prosessit, joilla nämä tavoitteet saavutetaan

• service management system (SMS) (ISO/IEC TR 20000-10:2013) – management system to direct and control the service management activities of

the service provider – Note 1 to entry: A management system is a set of interrelated or interacting

elements to establish policy and objectives and to achieve those objectives. – Note 2 to entry: The SMS includes all service management policies,

objectives, plans, processes, documentation and resources required for the design, transition, delivery and improvement of services and to fulfil the requirements specified in ISO/IEC 20000-1:2011.

Copyright © 2015 Inspecta Sertifiointi Oy 15

Hallintajärjestelmät Termejä ja sanastoa

• johtamisen työkaluja, joissa johdon sitoutuminen on ehkä tärkein peruselementti

• laatu, ympäristö, työterveys, palveluiden hallinta, tietoturvallisuus ym. voidaan toteuttaa ja arvioida yhdistettynä johtamisjärjestelmänä

• organisaation toiminnan vaatimusten tunnistaminen ja tavoitteiden asettaminen

• prosessimainen, suunnitelmallinen toimintatapa

• jatkossa yhä merkittävämmin myös riskienhallinta

• prosessit ja niiden jatkuva parantaminen on kaikkien hallintajärjestelmästandardien vaatimus

Copyright © 2015 Inspecta Sertifiointi Oy 16

Hallintajärjestelmien ominaisuuksia

ISO 9001 ISO 14001

OHSAS 18001 ISO/IEC 27001

ISO/IEC 20000-1 ISO 22301 ISO 55001 ISO 50001 ISO 22000

• Annex SL eli “ISO/IEC Directives, Part 1. Consolidated ISO Supplement - Procedures specific to ISO. Annex SL: Proposals for management system standards” – ISO = International Organization for Standardization

• ISOn tavoite: luoda yhtenäinen rakenne ja yhteisten osa-alueiden vaatimusmassa kaikille hallintajärjestelmästandardeille

• tukee usean hallintajärjestelmän yhtäaikaista rakentamista ja sertifiointia

• muodostaa rungon ja pohjan hallintajärjestelmästandardeille, mutta eri toimialat tarvitsevat edelleen omia vaatimuksiaan ja vaatimusten muotoilujaan

• suuri periaatteellinen muutos: ”johtajuus” (”leadership”) on korvannut ”johtamisen” (”management”)

• hallintajärjestelmä on aito osa organisaation johtamista ja tapaa toimia – ei erillinen käsikirja tai intrasivusto Copyright © 2015 Inspecta Sertifiointi Oy 17

Annex SL 1 (2) Merkittävä uudistus ISOn hallintajärjestelmästandardeihin

Copyright © 2015 Inspecta Sertifiointi Oy 18

Annex SL 2 (2) Merkittävä uudistus ISOn hallintajärjestelmästandardeihin

• kaikkien hallintajärjestelmästandardien tulee olla yhteneviä − rakenteeltaan (sisällysluettelo) − terminologialtaan −määritellyiltä yhteisiltä vaatimuksiltaan (esim. ylimmän johdon rooli,

dokumentoidun tiedon hallinta, viestintä, jatkuva parantaminen) • ISO 22301:2012 oli ensimmäinen tämän

rakenteen mukainen standardi • myös ISO/IEC 27001:2013, ISO 9001:2015 ja

ISO 14001:2015 ovat Annex SL:n mukaisia esim. ISO 9001 ja ISO/IEC 27001 on helppo sovittaa yhteen ja samaan kokonaisuuteen johtamisjärjestelmäksi

Johtamisjärjestelmä koko organisaation johtamis- ja toimintamalli

Copyright © 2015 Inspecta Sertifiointi Oy 19

Kaikessa tässä on kyse johtamisesta ja johtajuudesta

Liiketoiminnan jatkuvuuden

hallinta ISO 22301

Tietoturvalli-suuden hallinta ISO/IEC 27001

IT-palveluiden hallinta

(ITIL-prosessit) ISO/IEC 20000-1

Ympäristön-, omaisuuden-,

energian-, työturvallisuuden-

hallinta ISO xxxx

ISO/IEC yyyy

Laadunhallinta ISO 9001

Riskienhallinnan viitekehys ja prosessit (ISO 31000)

Toimintaympäristön ja sidosryhmien tunnistaminen ja huomiointi, laki- ja viranomaisvaatimukset, asiakaslupaukset, ylimmän johdon työkalut kuten politiikat, roolit, vastuut, valtuudet, viestintä, dokumentointikäytännöt, osaamisen hallinta,

mittaaminen, sisäinen auditointi, johdon katselmus, jatkuva parantaminen, …

Jatkuvuuden hallinnan elementtejä

Tietoturvallisuuden hallinnan elementtejä

Katakri

VAHTI 2/2010

Hallintajärjestelmän sertifiointiprosessi ja seuranta-arvioinnit

Sertifiointihakemus

Ennakkoarviointi (tarvittaessa)

Sertifioinnin vaihe 1 (valmistelu)

Sertifioinnin vaihe 2 (arviointi)

Arvioinnin tulokset (arviointiraportti) Seuranta-arvioinnit (1-2/vuosi)

Sertifikaatti

Korjaavat toimenpiteet tai Uusinta-arviointi

Puutteita havaittu Uudelleensertifiointi-

arviointi (joka 3. vuosi)

20

ISO/IEC 20000:n uudistaminen

Copyright © 2015 Inspecta Sertifiointi Oy 21

Copyright © 2015 Inspecta Sertifiointi Oy 22

ISO/IEC 20000 –standardisarjan keskeiset työkohteet

• ISO/IEC 20000:n päivittämisen periaatteita tutkinut study group jätti raporttinsa (85 sivua) toukokuun 2015 kokoukseen

• pyritty keräämään eri lähteistä mahdollisimman kattava näkemys siitä mitä seuraavaan versioon tulisi huomioida

• aiempi keskustelu Annex SL:n noudattamisesta tai noudattamatta jättämisestä onneksi loppui

• ehdotetaan päivitettyä periaatelistaa (15 kpl) ISO/IEC 20000:n kehittämiseen, esimerkkeinä 13. Changes to the ISO/IEC 20000 series should be to the benefit of the service providers using the standard and the customers of the services. 14. Changes to the ISO/IEC 20000 series should take into account the current market for the standard and allow that market to grow and not be likely to decline.

Copyright © 2015 Inspecta Sertifiointi Oy 23

Uudistustyön pohjaa

• liittymä IT-hallintatapoihin (governance) • palveluintegraatio (SIAM) • liiketoiminnan ja IT:n tiiviimpi yhteistyö • loppukäyttäjäkokemus (EUX) • monikanavatuki • tietämyksen hallinta • digitalisaation laajentuminen (mobiililaitteet,

IoT) • BYOD BYOT • Big data • pienet palveluntarjoajat • …

Copyright © 2015 Inspecta Sertifiointi Oy 24

Tunnistettuja palvelunhallinnan kehityssuuntia

Kyselyn tulosten pohjalta koostetut suositukset: 1. Add Knowledge Management (Source: Study Group Survey) 2. Add Service Portfolio Management (Source: Study Group Survey) 3. Delete “6.4 budgeting and accounting” (Source: Study Group Survey) 4. Improve “7.2 Supplier Management” (Source: Study Group Survey) 5. Improve “5.0 Design and Transition of new or change services” (Source: Study Group Survey) 6. Separate combined process “6.3 Service Continuity and Availability” (Source: Study Group Survey) 7. Separate combined process “8.1 Incident and Service Request” (Source: Study Group Survey)

25

ISOn kautta toteutettu kysely ISO/IEC 20000 kehittämisestä

Copyright © 2015 Inspecta Sertifiointi Oy

Copyright © 2015 Inspecta Sertifiointi Oy 26

Kehityssuositusten konkretiaa

JTC 1/SC 40 instructs its Secretariat to progress the revision of ISO/IEC 20000 Information technology – Service management – Part 1: Service management system requirements, within the current scope, assigned to WG2, with a target date for publication of 2018, and with, subject to the approval of their national bodies, project editors as follows: • Lynda Cooper, GB – Project editor • Pierre Thory, FR – Co-editor • Steve Tremblay, CA – Co-editor JTC1/SC 40 further instructs its Secretariat to subsequently launch an appropriate call for experts.

27

JTC 1/SC 40 Meeting Report - 18-22 May 2015, Sao Paulo, Brazil

Copyright © 2015 Inspecta Sertifiointi Oy

Copyright © 2015 Inspecta Sertifiointi Oy 28

Annex SL ja ISO/IEC 20000-1

SFS-ISO/IEC 20000-1:201X • Esipuhe • 0 Johdanto • 1 Soveltamisala • 2 Velvoittavat viittaukset • 3 Termit ja määritelmät • 4 Organisaation toimintaympäristö • 5 Johtajuus • 6 Suunnittelu • 7 Tukitoiminnot • 8 Toiminta • 9 Suorituskyvyn arviointi • 10 Parantaminen • Kirjallisuus

SFS-ISO/IEC 20000-1:2013 • Esipuhe • Johdanto • 1 Soveltamisala • 2 Velvoittavat viittaukset • 3 Termit ja määritelmät • 4 Palvelunhallintajärjestelmiä koskevat yleiset vaatimukset • 5 Uusien tai muuttuneiden palveluiden suunnittelu ja

transitio • 6 Palveluiden toimitusprosessit • 7 Liikesuhdeprosessit • 8 Ratkaisuprosessit • 9 Ohjausprosessit • Kirjallisuus

Huomaa: tämä on todennäköinen kehityskulku, mutta uudistustyö on vasta alkutekijöissään

• palvelunhallinta ei ole eristetty saari – liittymien merkitys korostuu edelleen (mm. hallintatavat, muut hallintajärjestelmästandardit, tietoturvallisuus jne.)

• asiakas ja käyttäjä ovat eri asioita – molemmat pitää huomioida ja entistäkin paremmin

• palveluintegraatio, monikanavaisuus, BYOT, päästä-päähän-palvelut, palveluiden laatu, …

Copyright © 2015 Inspecta Sertifiointi Oy 29

ISO kuva

Kysymyksiä, kommentteja?

30

31 Copyright © 2015 Inspecta Sertifiointi Oy