Standardin julkaisutilaisuus 2014-09-04

SFS-ISO/IEC 20000-2 (2014): Ohjeistusta palvelunhallintajärjestelmien toteuttamiseen

Jyrki Lahnalahti2014-09-02

Versio 1.0

Palvelunhallintajärjestelmä

Standardi SFS-ISO/IEC 20000-2 (2014)

2

SFS-ISO/IEC 20000-2 (2014), johdannon alku:

Standardin ISO/IEC 20000 tässä osassa

3

Yksi standardi, monta osaa – mitä ihmettä?

ISO/IEC 20000-

Nimi Tila Huomaa

1 Palvelunhallintajärjestelmää koskevat vaatimukset

Service management system requirements

Julkaistu.Suomalainen kansallinen standardi 2013.

Vaatimus-standardi sertifiointiin

2 Ohjeistustapalvelunhallintajärjestelmien toteuttamiseen

Guidance on the application of service management systems

Julkaistu.Suomalainen kansallinen standardi 2014.

3 Guidance on scope definition and applicability of ISO/IEC 20000-1

Julkaistu

4 (TR) Process reference model Julkaistu.

5 (TR) Exemplar implementation plan for ISO/IEC 20000-1

Julkaistu.

6 Requirements for bodies providing audit and certification of service management systems

WD Vaatimus-standardi sertifiointi-elimille

4

ISO/IEC 20000 –standardin osat ja työkohteet 1 (2)

ISO/IEC 20000-

Nimi Tila Huomaa

8 Guidance on the application of service management systems for smaller organizations

WD

9 (TR) Application of ISO/IEC 20000-1 to the Cloud DIS

10 (TR) Concepts and Terminology Julkaistu.

11 (TR) Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks

PDTR

Ei numeroa

Guidance on the relationshipbetween ISO/IEC 20000-1:2011 and service management frameworks: CMMI-SVC®

NWIP

5

ISO/IEC 20000 –standardin osat ja työkohteet 2 (2)

• Standardin ISO/IEC 20000 tässä osassa esitetään ohjeistusta standardin ISO/IEC 20000-1 mukaisen palvelunhallintajärjestelmän toteuttamiseen. Standardin ISO/IEC 20000 tässä osassa ei esitetä uusia vaatimu ksia standardissa ISO/IEC 20000-1 esitettyihin vaatimuksiin nähden, e ikä tässä osassa kerrota yksiselitteisesti, miten näyttöä voidaan antaa arvi oijalle tai auditoijalle.

• Standardin ISO/IEC 20000 tämän osan tarkoitus on mahdollistaa se, että organisaatiot ja yksilöt voivat tulkita standardia ISO/IEC 20000-1 tarkemmin ja siten käyttää sitä vaikuttavammin.

• Standardin ISO/IEC 20000 tätä osaa voivat käyttää organisaatiot, jotka haluavat ohjeistusta palvelunhallinnan parantamiseen riippumatta siitä, aikovatko ne hakea sertifiointia.

6

Ohjeistusta palvelunhallintajärjestelmien toteuttam iseen. 1 (2)

• 1.2 Soveltaminen• Palveluntuottaja on vastuussa palvelunhallintajärjestelmästä eikä sen vuoksi voi

pyytää toista osapuolta täyttämään standardin ISO/IEC 20000-1:2011 kohdassa 4 esitettyjä vaatimuksia. Palveluntuottaja ei voi esimerkiksi pyytää toista osapuolta järjestämään ylintä johtoa ja osoittamaan ylimmän johdon sitoutumista tai osoittamaan muiden osapuolten käyttämien prosessien hallinnointia.

• Toinen osapuoli voi suorittaa jotkin kohdassa 4 esitetyistä toiminnoista palveluntuottajan hallinnoimana. Palveluntuottajat voivat esimerkiksi palkata muita osapuolia suorittamaan sisäisen auditoinnin puolestaan.

• Täsmäohjeita liittyen osan 1 vaatimusten täyttämiseen.

7

Ohjeistusta palvelunhallintajärjestelmien toteuttam iseen. 2 (2)

• huomionarvoista: osan 2 nimi on– Informaatioteknologia. Palvelunhallinta. Osa 2: Ohjeistusta

palvelunhallintajärjestelmien toteuttamiseen• mutta varsinaisessa sisällössä ja vaatimuksissa viitataan

informaatioteknologiaan hyvin ohuesti• edelleen osassa 1 todetaan: ”kaikki standardin ISO/IEC 20000

tässä osassa esitetyt vaatimukset ovat yleisluontoisia ja niiden on tarkoitus olla sovellettavissa kaikkiin palveluntuottajiin tyypistä, koosta tai toimitettavien palveluiden luonteesta riippumatta .”

• standardi on sovellettavissa muihinkin kuin IT-palveluihin!

• standardin kehittämisen aikaan tämä irtiotto IT:stä herätti paljon keskustelua

8

Kertauksena: millaisten palveluiden hallintaan stan dardin ISO/IEC 20000 osat 1 ja 2 (ainakin) on tarkoitettu?

• SFS-ISO/IEC 20000-1: vaatimus standardi– sanamuotona ”tulee” (”shall”)– tarkoitettu esimerkiksi sertifiointiin– pituus noin 25 sivua (ilman liitteitä)

• SFS-ISO/IEC 20000-2: ohje standardi– sanamuotona ”olisi” (”should”) tai muu konditionaali– tarkoitettu hallintajärjestelmän rakentamiseen tai osan

1 vaatimusten selventämiseen– velvoittava viittaus osaan 1, jota siis käytettävä myös

tätä osaa 2 sovellettaessa– pituus noin 76 sivua (ilman liitteitä)

• osaa 2 vasten ei voi sertifioitua

9

Osat 1 ja 2 – siis mitä ja mihin?

Hallintajärjestelmät

10

Hallintajärjestelmät

• johtamisjärjestelmä: johdon sitoutuminen on peruselementti

• palvelunhallinta, laatu, ympäristö, työterveys, tietoturvallisuus ym. voidaan toteuttaa ja arvioida yhdistettynä hallintajärjestelmänä

• prosessit ja niiden jatkuva parantaminen ovat kaikkien hallintajärjestelmästandardien vaatimuksia

ISO 9001ISO 14001ISO 22000ISO 22301

OHSAS 18001ISO/IEC 27001

ISO/IEC 20000-1

11

Hallintajärjestelmän sertifiointiprosessi ja seuran ta-arvioinnit

Sertifiointihakemus

Ennakkoarviointi (tarvittaessa)

Sertifioinnin vaihe 1 (suunnittelu)

Sertifioinnin vaihe 2 (arviointi)

Arvioinnin tulokset (arviointiraportti)Seuranta-arvioinnit (1-2/vuosi)

Sertifikaatti

Korjaavat toimenpiteet TAIUusinta-arviointi

Puutteita havaittu Uudelleensertifiointi-

arviointi (joka 3. vuosi)

12

Palvelunhallinnan standardi ISO/IEC 20000

13

SFS-ISO/IEC 20000-2: odotettu suomenkielinen standa rdi

• uusin englanninkielinen versio julkaistiin 2012-02-15

• taustat vuoden 2005 ensimmäisessä ISO/IEC-versiossa, ja vuoden 2002 UK-standardissa BS 15000.

• ei ole suomennettu aiemmin

• keskeiset termit käännettiin suomeksi syksyllä 2013 julkaistuun suomenkieliseen osaan 1

• käännöstyössä oli aktiivisesti mukana myös itSMF Finlandin sanastotyöryhmä

14

ISO/IEC 20000 ja ITIL

• ISO/IEC 20000 ei ole ITIL-standardi

• ISO/IEC 20000 elää omaa elämäänsä kansainvälisenä standardina –ITILin muutokset eivät automaattisesti vaikuta ISO/IEC 20000:een

• mutta toki terminologia, prosessit ja käytännöt pyritään pitämään linjassa keskenään

15

ISO/IEC 20000:n paikka standardien ja mallien maail massa

16

• Foreword• Introduction• 1 Scope• 2 Normative references• 3 Terms and definitions• 4 Abbreviated terms

• 5 Introduction to ISO 9001 and ISO/IEC 20000-1– 5.1 Introduction to the International Standards– 5.2 The application of ISO 9001 to services and

service management– 5.3 The integration of ISO 9001 and ISO/IEC

20000-1– 5.4 Comparison of ISO 9001 and ISO/IEC

20000-1

• 6 Management system requirements in ISO 9001 related to ISO/IEC 20000-1– 6.1 Scope– 6.2 Normative references

– 6.3 Terms and definitions– 6.4 Quality management system– 6.5 Management responsibility– 6.6 Resource management– 6.7 Product realization– 6.8 Measurement, analysis and improvement

• 7 Management system requirements in ISO/IEC 20000-1 and not in ISO 9001– 7.1 Rationale for additional clauses and

requirements in ISO/IEC 20000-1– 7.2 Clauses of ISO/IEC 20000-1 not found in ISO

9001

• Annex A (informative) Comparison of requirements between ISO 9001:2008 and ISO/IEC 20000-1:2011

• Annex B (informative) Comparison of requirements between ISO/IEC 20000-1:2011 and ISO 9001:2008

• Annex C (informative) Integration of ISO 9001:2008 and ISO/IEC 20000-1:2011

• Bibliography

17

ISO/IEC TR 90006:2013Guidelines for the application of ISO 9001:2008 to IT service management and its integration with ISO/IEC 20000-1:2011

• standardi, jossa hyödyllisiä vertailuita ja näkökohtia näiden kahden hallintajärjestelmästandardin mukaisen johtamisjärjestelmän samanaikaiseen toteuttamiseen

18

ISO/IEC 27013:2012 (uusi versio työn alla CD-vaihee ssa)Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

SFS-ISO/IEC 20000-2:n sisältö

19

20

SFS-ISO/IEC 20000-1:n ja -2:n rakennePalvelunhallintajärjestelmä

• Esipuhe• Johdanto• 1 Soveltamisala• 2 Velvoittavat viittaukset• 3 Termit ja määritelmät• 4 Palvelunhallintajärjestelmiä koskevat yleiset vaatimukset

– 4.1 Johdon vastuu– 4.2 Muiden osapuolten käyttämien prosessien hallinnointi– 4.3 Asiakirjahallinta– 4.4 Resurssienhallinta– 4.5 Palvelunhallintajärjestelmän laatiminen ja parantaminen

• 5 Uusien tai muuttuneiden palveluiden suunnittelu ja transitio

21

SFS-ISO/IEC 20000-2:n sisällysYlätasolla sama kuin SFS-ISO/IEC 20000-1:ssä

• 6 Palveluiden toimitusprosessit– 6.1 Palvelutason hallinta– 6.2 Palveluraportointi– 6.3 Palveluiden jatkuvuuden ja

saatavuuden hallinta– 6.4 Palveluiden budjetointi ja

kirjanpito– 6.5 Kapasiteetinhallinta– 6.6 Tietoturvallisuuden hallinta

• 7 Liikesuhdeprosessit– 7.1 Liikesuhteiden hallinta– 7.2 Toimittajanhallinta

• 8 Ratkaisuprosessit

– 8.1 Häiriönhallinta ja palvelupyyntöjen hallinta

– 8.2 Ongelmanhallinta• 9 Ohjausprosessit

– 9.1 Konfiguraationhallinta– 9.2 Muutoksenhallinta– 9.3 Julkaisun ja käyttöönoton

hallinta• Liite A (opastava) Prosessien väliset

rajapinnat ja projektien (!) integroiminen palvelunhallintajärjestelmän kanssa

• Kirjallisuus• Kuvat ja taulukot

22

SFS-ISO/IEC 20000-2:n sisällysYlätasolla sama kuin SFS-ISO/IEC 20000-1:ssä

Prosesseissa (luvut 5-9) aina ainakin nämä samat alaotsikot

6.1 Palvelutason hallinta– 6.1.1 Vaatimusten tarkoitus– 6.1.2 Perusteet– 6.1.3 Vaatimusten selitykset– 6.1.4 Asiakirjat ja tallenteet– 6.1.5 Valtuudet ja vastuut

Lisäksi voi prosesseissa (luvut 5-9) olla keskeisiä aihepiirejä nostettu alaotsikkotasolle

6.3 Palveluiden jatkuvuuden ja saatavuuden hallinta

– 6.3.1 Vaatimusten tarkoitus– 6.3.2 Perusteet– 6.3.3 Vaatimusten selitykset– 6.3.4 Palveluiden jatkuvuuden ja

saatavuuden seuranta ja testaus– 6.3.5 Asiakirjat ja tallenteet– 6.3.6 Valtuudet ja vastuut

23

SFS-ISO/IEC 20000-2:n sisällysYksityiskohdista löytyy eroja

SFS-ISO/IEC 20000-2 (2014)

Esimerkkejä sisällöstä

24

SFS-ISO/IEC 20000-2 (2014)4 Palvelunhallintajärjestelmiä koskevat yleiset vaa timukset

• 4.1 Johdon vastuu• 4.1.1 Johdon sitoutuminen• 4.1.1.1 Ylimmän johdon vastuut• Ylimmän johdon olisi oltava se osa johtoa, joka johtaa, seuraa ja ohjaa

palveluntuottajan toimintaa korkeimmalla tasolla.• Ylimmän johdon olisi oltava tietoinen siitä, että standardissa ISO/IEC 20000-

1 esitettyjen vaatimusten täyttäminen sisältää• a) sen osoittamisen, että ylin johto on sitoutunut osallistumaan kaikkiin

palvelunhallintajärjestelmän vaiheisiin aina palvelunhallintajärjestelmän suunnittelusta ja toteuttamisesta sen käyttöön, seurantaan, mittaamiseen, katselmointiin, ylläpitoon ja jatkuvaan parantamiseen asti

• …

• kohta ”4.1.1 Johdon sitoutuminen” on pituudeltaan yli 6 sivua• koko kohta 4 on pituudeltaan yli 21 sivua• hyvää ohjeistusta hallintajärjestelmän rakentamiseen!

25

6.3 Palveluiden jatkuvuuden ja saatavuuden hallinta

• 6.3.4.3 Saatavuutta koskevien riskien hallinta• Riskien arvioinnissa olisi tunnistettava tärkeät liiketoiminnot ja

saatavuusvaatimukset sekä liiketoimintaan liittyvät hyväksytyt riskit.• Riskien hallinnan olisi tuotettava ratkaisut, jotka mahdollistavat

vaadittujen saatavuustasojen toimittamisen ja mahdollisuuksien mukaan tunnistettujen riskien lieventämisen kustannustehokkaiden vastatoimien avulla.

• Vaatimuksia ei ole suositeltavaa ylittää huomattavilla taloudellisilla sijoituksilla, joiden kustannukset ovat huomattavasti suuremmat kuin parantuneesta saatavuudesta aiheutuvat hyödyt.

26

SFS-ISO/IEC 20000-2 (2014)

27

8.1 Häiriönhallinta ja palvelupyyntöjen hallinta

Vaikutukseen ja kiireellisyyteen perustuva prioriteettimatriisi olisi kehitettävä sekä häiriöille että palvelupyynnöille osana palvelutavoitteista keskustelua ja sopimista. Esimerkki häiriöiden ratkaisemisen tavoiteajoista prioriteettien perusteella on esitetty taulukossa 1. Häiriöille ja palvelupyynnöille olisi otettava käyttöön tavoitteiden yleiset periaatteet, jotka perustuvat useampiin luokkiin.

Taulukko 1 koskee häiriöitä, mutta palvelupyynnöillä voi olla eri tavoiteajat ja ne voivat vaatia erillisen taulukon.

SFS-ISO/IEC 20000-2 (2014)

9.2 Muutoksenhallinta

• 9.2.2 Perusteet• Muutoksenhallintaprosessi luo järjestelmällisen toimintamallin muutosten

vaikuttavaan toteuttamiseen, jolla vähennetään riskejä ja parhaassa tapauksessa estetään häiriöt, jotka johtuvat hallin noimattomista tai huonosti hallinnoiduista muutoksista .

• Vaaditun näkyvyyden ja ohjauksen mahdollistamista varten, olisi kaikki muutospyynnöt tallennettava ja luokiteltava. Olisi laadittava muutosten toteutusaikataulu, joka sisältää tietoa kehitettäviksi hyväksytyistä muutoksista ja niiden ehdotetuista toteutuspäivistä. Tämä aikataulu on tiedotettava sidosryhmille ja sitä olisi päivitettävä tarpeen mukaan.

28

SFS-ISO/IEC 20000-2 (2014)

Liite A (opastava) Prosessien väliset rajapinnat ja projektien (!) integroiminenpalvelunhallintajärjestelmän kanssa

29

Liite A (opastava) Prosessien väliset rajapinnat ja projektien (!) integroiminenpalvelunhallintajärjestelmän kanssa

30

Liite A (opastava) Prosessien väliset rajapinnat ja projektien (!) integroiminenpalvelunhallintajärjestelmän kanssa

31

Hallintajärjestelmästandardien yhteiselämä

32

• yhä enemmän organisaatioita, joiden johtamisjärjestelmä täyttää useamman hallintajärjestelmästandardin vaatimukset– standardeissa samoja tai lähes samoja vaatimusosioita kuten johdon

sitoutuminen, johdon katselmus, sisäinen auditointi, jatkuva parantaminen

• hallintajärjestelmästandardeja kirjoitettaessa kopioitiin em. vaatimusosioita tyypillisesti ISO 9001:stä

• � yhtenäinen termistö, rakenne ja vaatimuksia kootusti• � ISO/IEC Directives, Part 1, Consolidated ISO Supplement –

Procedures specific to ISO, 2012, Annex SL, Appendix 2

• tuttaville lyhyesti vain ”Annex SL”

33

Yhteinen rakenne ja vaatimuksia

Hallintajärjestelmästandardit nyt ja tulevaisuudess a

Annex SLYhteinenrakenneja vaatimuksia

34

• Annex SL:n mukaiset julkaistut standardit– ISO 22301:2012 Business continuity management systems– ISO/IEC 27001:2013 Information security management systems– ISO 55001:2014 Asset management

• Annex SL:n mukaiset, tulossa olevat ja aikataulutetut standardit– ISO 9001:2015 (?) Quality management systems– ISO 14001:2015 (?) Environmental management systems

• muut– ISO/IEC 20000-1:20xx Service management system (noin 2016-2017)– …

35

Annex SL:n mukaiset standardit (tilanne 2013-12)Ei välttämättä täydellinen listaus

Kysymyksiä, kommentteja?

36

4. syyskuuta 201437