Norma ISO podstawowe informacje oraz jej znaczenie dla nowoczesnych przedsiębiorstw

Transkrypt

1 Sylwester TELUS, Wioletta KRUPIŃSKA, Zbigniew MROZIŃSKI Koło Naukowe Zarządzania Produkcją i Konsultingu, Politechnika Łódzka, Wydział Organizacji i Zarządzania wioletta_krupinska@interia.pl Norma ISO podstawowe informacje oraz jej znaczenie dla nowoczesnych przedsiębiorstw Międzynarodowe normy z serii ISO umoŝliwiają sprawniejsze współdziałanie przedsiębiorstw na całym świecie. Są źródłem wytycznych dla firm odnośnie poszczególnych dziedzin ich działalności. RównieŜ obszar zarządzania usługami informatycznymi został poddany uregulowaniu poprzez stworzenie w 2005 roku normy ISO Powstała norma, ze względu na fakt, iŝ jest stosunkowo nowa, nie jest powszechnie znana jak pozostałe normy takie jak ISO 9000, ISO czy teŝ ISO Nieliczna grupa firm jest świadoma tego, czego dotyczy nowa norma ISO Jeszcze mniej liczna grupa firm wdroŝyła w swych zakładach zarządzanie usługami informatycznymi zgodne z ową normą. Dlatego teŝ niniejsze opracowanie ma na celu odpowiedzenie na pytanie: Czym jest norma ISO oraz jakie ma znaczenie dla funkcjonowania przedsiębiorstw i współprace między nimi? Opracowanie zawiera: podstawowe informacje dotyczące normy ISO 20000, korzyści płynące z wdroŝenie normy ISO 20000, niezbędne etapy przy wprowadzaniu normy ISO Wprowadzenie W dzisiejszych czasach informatyka jest obecna w kaŝdej dziedzinie naszego Ŝycia. Część firm świadczy usługi informatyczne, część zaś jest tylko biernymi odbiorcami oferowanych usług. Paleta firm świadczących usługi informatyczne rozwija się dynamicznie, ale czy za owym rozwojem idzie w parze wzrost jakości świadczonych usług? Niewystarczające zabezpieczenia i ogranizacja obszaru IT spowodowały wystąpienie zapotrzebowania na rynku na jego uregulowanie. Mimo, istniejącej juŝ brytyjskiej normy BS i metodyki ITIL (IT Infrastructure Library) pojawiały się problemy z bezpieczeństwem świadczonych usług informatycznych i przechowywania danych. Występowały liczne przypadki niekompetentnych firm, oferujących usługi na bardzo niskim poziomie. Firmy outsourcingujące usługi IT potrzebowały jakiegoś wyznacznika poziomu jakości od dostawców. Odpowiedzią na to zapotrzebowanie jest opracowana w 2005 roku norma zarządzania ISO Omawiana norma ma na celu uregulowanie obszaru IT. W sposób jasny i czytelny definiuje wymagania oparte na wytycznych ITIL. Dlaczego warto uzyskać certyfikat zgodności z ISO 20000: Zapewnia przewagę nad konkurencyjnymi firmami, gdyŝ świadczy, o jakości i wysokich standardach świadczonych usług, 218

2 Posiadanie certyfikatu sprawia, iŝ firma jest postrzegana jako bardziej wiarygodna, W przyszłości duŝe firmy wymagać będą certyfikatów od dostawców (mimo, iŝ obecnie w normie nie ma Ŝadnej wzmianki o konieczności posiadania przez organizację posiadającą certyfikat ISO dostawców legitymujących się owym certyfikatem), Powiązania pomiędzy IT a biznesem są bardziej przejrzyste certyfikat zgodności z ISO jest skutecznym narzędziem wyznaczania celów, oczekiwań i oceny obszaru IT. Norma ta umoŝliwia skuteczne zarządzanie IT przez najwyŝsze kierownictwo, co do tej pory było praktycznie niemoŝliwe. Pozyskanie środków na finansowanie technologii jest znacznie łatwiejsze przeprowadzone inwestycje w obszarze IT są bardziej zrozumiałe dla kadry zarządzającej, Jakość IT staje się mierzalna, Proces certyfikacji daje moŝliwość ograniczenia liczby auditów dostawców, przez co redukowane są koszty, Certyfikat według normy ISO jest działaniem długofalowym i ustawicznym zapewnia ciągłe podnoszenie jakości nie zaś chwilowe sukcesy. 2. Charakterystyka ISO ISO ma na celu pomoc w sprawnym zarządzaniu infrastrukturą informatyczną. Norma w swych załoŝeniach oparta jest na brytyjskiej normie BS oraz związana jest z metodologią ITIL. Norma ISO jako zbiór wytycznych daje moŝliwość pomiaru i sprawdzenia sukcesu przedsiębiorstwa przy wdraŝaniu najlepszych procedur wyznaczanych przez ITIL. Przedsiębiorstwa legitymujące się posiadaniem BS oraz stosujące metodykę ITIL są w stanie sprostać wymaganiom stawianym przez normę ISO i co za tym idzie podniesieniu wiarygodności oraz jakości. Norma BS określa minimalny zestaw wymagań pod kątem, których firma moŝe zostać poddana ocenie skuteczności procesów zarządzania usługami informatycznymi. Norma określa kryteria oceny w ramach audytu. BS zawiera pięć podstawowych grup procesów: Świadczenie usług, kontaktami, Rozwiązywanie problemów, Publikacji, Kontroli. Ściśle związane z normą ISO są standardy ITIL. W skład ITIL wchodzi siedem ksiąg, w których zawarte są definicje wytycznych najlepszych procedur dla indywidualnych obszarów zarządzania usługami informatycznymi.iso reguluje zbiór najwaŝniejszych procesów IT powiązanych m.in. z: m poziomem opis ogólny działań mających na celu zapewnienie gwarantowanego poziomu usług,\ m dostępnością oraz ciągłością działania stworzenie BCM Business Continuity Management (strategia ciągłości działania), oraz PCD (Plan ciągłości działania), m finansami - jeden z podstawowych elementów, silnie powiązany z pozostałymi. Warunkuje stabilność działania obszaru IT, m pojemnością zarządzanie wydajnością oraz planowanie zasobów na przyszłe okresy rozliczeniowe, m bezpieczeństwem informacji bezpieczeństwo informacji nie ogranicza się tylko i wyłącznie do wprowadzenia technicznych zabezpieczeń. Konieczna 219

3 jest równieŝ analiza potencjalnych źródeł zagroŝenia dla świadczonych usług i posiadanych danych, m incydentami reagowanie na sytuacje awaryjne, nieoczekiwane. Wypracowanie odpowiednich procedur, aby reakcja na powstałe błędy była szybka i efektywna, m problemami analiza przyczyn powstałych błędów, w celu uniknięcia ich ponownego wystąpienia, m wersjami, BudŜetowaniem i rozliczaniem kosztów, m konfiguracją, m zmianą, m dostawcami, Obsługą serwisową. dostępnością oraz ciągłością działania poziomem Proces tworzenia usług i zarządzania nimi finansami bezpieczeństwem informacji Procesy kontrolne konfiguracją zmianą Obsługa serwisowa BudŜetowanie i rozliczanie kosztów Procesy publikacji wersjami Procesy rozwiązań incydentami problemami Procesy związku pojemnością dostawcami Rys. 1. Obszary uregulowane przez normę ISO Źródło: Opracowanie własne Fig. 1. Areas grouped by ISO ISO a ciągłe doskonalenie Warunkiem koniecznym prawidłowego wdroŝenia norm z grupy ISO jest ciągłe doskonalenie. Poziom jakości musi być systematycznie zwiększany. Sposób podnoszenia jakości bazuje w głównej mierze na koncepcji W. Edwarda Deminga. Koncepcja ta opiera się na czterech działaniach: Plan (zaplanuj), Do (zrób), Check (sprawdź) Act (działaj). 220

4 Plan Do Koło Deminga Act Check Rys. 2. Schemat: Zaplanuj-Zrób-Sprawdź-Działaj. Źródło: Opracowanie własne Fig. 2. Scheme: Plan-Do-Check-Act Przy wprowadzaniu normy ISO konieczne jest postępowanie według następujących kroków: 1. Teoretyczne opracowanie praktyki organizacyjnej. 2. Zastosowanie opracowanej praktyki. 3. Sprawdzenie efektów. 4. Uznanie rozwiązania za normę organizacyjną. 4. Do kogo skierowana jest norma ISO 20000? ISO Organizacje: - związane z usługami finansowymi, - zakłady uŝyteczności publicznej, - opieka zdrowotna. Przedsiębiorstwa świadczące outsourcing usług informatycznych Przedsiębiorstwa z wysoko rozwiniętą infrastrukturą informatyczną Rys. 3. Adresaci normy ISO Źródło: Opracowanie własne Fig. 3. Adressees of ISO

5 Dla wszystkich firm, uzyskanie certyfikatu zgodności z ISO jest potwierdzeniem jakości świadczonych usług informatycznych. Posiadanie owego certyfikatu zapewnia przewagę nad konkurencyjnymi firmami, stanowi bowiem gwarancję wysokiego poziomu zarządzania infrastrukturą informatyczną w danym przedsiębiorstwie. Potencjalni klienci mogą być pewni wysokich standardów usług informatycznych świadczonych przez przedsiębiorstwo. Posiadanie certyfikatu zgodności z ISO moŝe być równieŝ pomocne przy pozyskiwaniu inwestorów. Potencjalni inwestorzy przychylniej spojrzą na przedsiębiorstwo deklarujące posiadanie systemów informatycznych zgodnych z normą ISO Obecnie niewiele firm posiada rozpatrywany certyfikat zgodności. Jednak w przyszłości moŝe on przestać być wyjątkiem, lecz stać się ogólnie panującym standardem. Firmy nieposiadające owego certyfikatu przestaną się liczyć na rynku. Dlatego juŝ teraz przedsiębiorstwa powinny rozpocząć starania mające na celu wprowadzenie procedur zgodnych z normą ISO Jest to bowiem proces długotrwały, wymagający starannego przygotowania i skrupulatnej realizacji. WiąŜe się on równieŝ z znacznymi kosztami, związanymi z wdraŝaniem zmian podyktowanych przez normę. 5. Jak uzyskać certyfikat ISO 20000? Wprowadzenie normy ISO wiąŝe się ze zrealizowaniem w organizacji czterech głównych etapów: Pierwszym etapem wprowadzenia normy ISO jest przeprowadzenie audytu: Dokładna analiza dokumentów w firmie oraz wyciągnięciem właściwych wniosków, Analiza wszystkich uregulowań informatycznych wewnątrz organizacji. Wyodrębnienie potrzeby w obszarze usług informatycznych, Kontrola mechanizmów administrowania w obrębie IT w oddziałach firmy, Zapoznanie się ze strukturą informatyczną w organizacji, Szkolenia wstępne dla pracowników. Zatrudnieni w firmie powinni zapoznać się z moŝliwościami oraz korzyściami wynikającymi z wprowadzenia ISO Drugim etapem wprowadzania normy ISO są standardy administrowania usługami IT: Ocena dotychczasowej działalności firmy związanej z usługami, Ocena realizacji procesów, Opracowanie oraz stworzenie struktury rozpoznawania i usprawniania świadczonych usług, WyróŜnienie operacji newralgicznych, Stworzenie wyznaczników usług mówiących o prawidłowości wykonania kaŝdej z nich. Kolejnym, trzecim etapem wprowadzania normy ISO jest opracowanie dokumentacji. W przygotowaniu dokumentacji waŝne jest to, aby przedstawione dokumenty były spójne. Przygotowanie dokumentacji (aktualizacja występujących oraz utworzenie nowych dokumentów) takich jak m.in.: budŝet, polityka zarządzania usługami, instrukcje, polityka zarządzania systemem, umowy Service Level Agreement, polityka ochrony informacji, plany ustawiczności i powszechności usług. Opracowanie programu procedur i ich punktów krytycznych, Sformułowanie zdolności zmian. 222

6 Czwartym i zarazem ostatnim etapem głównym, wprowadzania normy ISO 20000, jest wdroŝenie i certyfikacja: WdraŜanie rozstrzygnięć, Ocena efektywności podjętych kroków za pomocą audytów wewnętrznych, Powtórne sprawdzenie jakości świadczonych usług (audyty), Opinia zewnętrznego zespół certyfikującego (spełnienie wszystkich zobowiązań w obrębie formy sprecyzowania, udokumentowania oraz wprowadzenia normy ISO 20000). Finalnym etapem jest wydanie certyfikatu potwierdzającego, Ŝe system informatyczny jest zgodny z normą ISO Znaczenie automatyzacji dla normy ISO Aby podołać oczekiwaniom firm dzisiejsze działy informatyczne muszą dostosować się do ich wymagań oferując niezawodne, ekonomiczne a przede wszystkim elastyczne usługi informatyczne, które mają ogromne znaczenie dla działalności przedsiębiorstw. Dlatego teŝ działy informatyczne muszą ewoluować w stronę rozwiązań ITSM (IT Sernice Managment) by móc odpowiednio zarządzać infrastrukturą. W celu zastosowania ITIL niezbędne jest stworzenie procesów w róŝnych obszarach ITSM oraz połączenie procesów w tych obszarach. Nie jest to łatwe zadanie. Ponadto praktyka ciągłego doskonalenia będąca filarem ITIL oraz ISO wymaga ogromnego wysiłku. W bardzo złoŝonym środowisku informatycznym ręczne procesy nie spełniają swojej roli. Przedsiębiorstwa muszą zatem stosować narzędzia automatyzujące, które zapewnią odpowiednia kontrolę nad róŝnorodnymi środowiskami. Zalety automatyzacji: Ułatwia obniŝenie kosztów automatyzacja pomaga w zmniejszeniu kosztów personelu poprzez standaryzacje wykonywanych czynności, które normalnie trwają zbyt dugo oraz dzięki skróceniu czasu niedostępności usług, Zapewnia integrację procesów wymusza integrację procesów poprzez redukcje czynności wykonywanych manualnie, Zapewnia spójność i powtarzalność procesów ludzie często w trakcie wykonywania pracy wykonują ją w sposób najbardziej optymalny dla siebie, co powoduje niespójności. Automatyzacja zaś daje moŝliwość tworzenia procesów, które są spójne i powtarzalne oraz wymusza ich stosowanie, Ułatwia uzyskanie zgodności z przepisami pomaga przedsiębiorstwom tworzyć i egzekwować obligatoryjne, najlepsze procedury oraz daje wgląd w dziennik audytu, który umoŝliwia wykazanie zgodności z prawem. Z powodu duŝego znaczenia automatyzacji w uzyskaniu certyfikatu ISO przedsiębiorstwa powinny z wielką starannością dokonać wyboru rozwiązania w tym celu. Wskazówki wyboru rozwiązania do automatyzacji: Obsługa ITIL ze względu na podstawowe znaczenie ITIL dla ISO waŝnym elementem jest wybór rozwiązania do obsługi procesów ITIL. Powinno ono obsługiwać procesy obejmujące wszystkie obszary zarządzania usługami informatycznymi. Ponadto jednym z podstawowych wymagań ITIL jest integracja procesów między róŝnymi obszarami. NaleŜy wybierać takie rozwiązania, które gwarantują odpowiednią integrację róŝnych procesów, jednocześnie od strony procesów jak i danych a odrzucać te, które zapewniają jedynie odwzorowywanie między dziedzinami, Utrzymanie bazy danych CMBD (Configuration Management Database) następnym elementem, na który trzeba zwócić uwagę w trakcie wyboru rozwiązania do automatyzacji jest dostępność jednego źródła danych odniesienia dla pozostałych obszarów informatyki. W tym celu wymagane jest rozwiązanie, które do gromadzenia 223

7 danych o środowisku informatycznym wykorzystuje bazę danych do zarządzania konfiguracją. Dzięki bazie CMBD kaŝdy proces dysponuje spójnymi oraz bieŝącymi danymi. W wyniku płynności oraz złoŝoności infrastruktury informatycznej naleŝy poszukiwać takich rozwiązań, które zapewnią automatyczną aktualizację bazy w momencie wprowadzana zmian. Podsumowanie Opracowana w 2005 roku norma ISO wprowadziła standaryzację w obszarze IT, oraz sprawiła, iŝ stał się on czytelny i przejrzysty. Posiadanie systemu informatycznego zgodnego z normą ISO jest obecnie znaczną przewagą nad konkurencją, a wkrótce będzie obligatoryjne. Ze względu na szeroko pojętą kooperację firm, zarówno w systemach informatycznych jak i innych dziedzinach, wymagana będzie standaryzacja. Zgodność systemu informatycznego z normą ISO moŝe przekonać potencjalnego klienta, iŝ oferowana usługa wykonywana jest zgodne z jego oczekiwaniami i przyjętymi standardami. A to właśnie zadowolony klient jest głównym wyznacznikiem funkcjonowania przedsiębiorstwa. Literatura Streszczenie W dzisiejszych czasach informacja jest jednym z najbardziej porządanych zasobów. Firmy wykorzystują informację oraz nowoczesną technologię informatyczną by zyskać przewagę konkurencyjną. Dlatego tak waŝne jest odpowienie zarządzanie informacją a co za tym idzie wyznaczenie pewnych standardów dla firm outsourcingujących usługi IT. Ma w tym pomóc norma ISO Dzięki wprowadzeniu tej normy firmy mają pewność, Ŝe ich środowiska informatyczne odpowiadają najwyŝszym standardom, zaś dla potencjalnych klientów certyfikat ISO jest świadectwem wysokiej jakości świadczonych usług. Management of infomatics services by ISO Summary Nowadays, information is one of the most desirable supplies. Companies utilize both information and modern technology to gain the competitive vantage. That is why, the proper management of the information connected with pointing out some standards for companies that outsourcing IT service, is so important. There is an ISO norm to help this process. Thanks to inducting this norm companies have certainty that their information environment correspond to top standards, moreover for potential clients ISO certificate is evidence of the high quality services. 224