Kvalitativní standardy v IS/ICT. Část 3. Koncept ITIL

ITIL zahrnuje celkem 8 základních oblastí, které prezentuje 8 základních publikací ITIL. Jsou to:

1. The Business Perspective,

2. Planning to Implement Service Management,

3. Service Management - Service Delivery,

4. Service Management - Service Support,

5. Application Management,

6. ICT Infrastructure Management,

7. Security Management,

8. Software Asset Management.

ITIL popisuje jednak procesy potřebné pro zajištění IT Service Managementu, jednak zásady jejich implementace, tj.:

jednotlivé procesy a vzájemné vazby mezi nimi,

cíle, vstupy, výstupy a dílčí aktivity jednotlivých procesů,

role a odpovědnosti v jednotlivých procesech,

způsoby měření kvality poskytovaných IS/ICT služeb a účinnosti jednotlivých procesů,

postupy auditu a zásady reportingu pro jednotlivé procesy,

kritické faktory úspěchu (CSF), potenciální problémy a možnosti jejich ošetření, atd.

ZÁKLADNÍ DISCIPLÍNY

resp. procesy IT Service Managementu v pojetí ITIL jsou:

a) Taktická úroveň - Service Delivery:

Service Level Management

Cílem tohoto procesu je vytvářet, udržovat a neustále zlepšovat kvalitu poskytovaných IS/ICT služeb a tím i vztahů se zákazníky, a to zejména prostřednictvím definování Service Level Agreements (SLA), Operation Level Agreements (OLA) a Underpinning Contracts (UC), jejich následné aplikování, měření a vyhodnocování.

Financial Management for IT Services

Cílem tohoto procesu je vykonávat nákladově efektivní správu IS/ICT aktiv a zdrojů, využívaných pro poskytování služeb, a to prostřednictvím plánování a rozpočtování prostředků na jednotlivé IS/ICT služby, jejich uvolňování k čerpání, monitorování a vyhodnocování, event. řízení výnosové stránky (tam kde je to relevantní).

Capacity Management

Má zaručit dostatek "nákladově ospravedlnitelných" IS/ICT kapacit pro naplňování současných i budoucích obchodních potřeb, a to prostřednictvím vyrovnávání nabídky IS/ICT útvaru a poptávky ze strany obchodních útvarů organizace, resp. hledáním rovnováhy mezi kapacitou a náklady na její pořízení/udržení.

IT Service Continuity Management

Cílem tohoto procesu je zaručit kontinuitu obchodních aktivit organizace, které vyžadují IS/ICT zařízení, v souladu s požadovanými a odsouhlasenými časovými požadavky, a to prostřednictvím definování a implementace kontingenčních plánů, resp. minimalizace rizik souvisejících s výpadky IS/ICT služeb.

Availability Management

Má zaručit optimální dostupnost IS/ICT služeb dle požadavků "zákazníků" a za vynaložení přijatelných výdajů, a to prostřednictvím plánování, měření a monitorování dostupnosti poskytovaných služeb.

b) Operativní úroveň - Service Support:

Service Desk

Cílem tohoto procesu je umožnit kontakt se zákazníky a uživateli poskytovaných služeb, přijímat jejich požadavky týkající se poskytovaných služeb a zajistit jejich vyřízení, a to v definovaných časech a dle definovaných pravidel. Sekundárně pak zajistit integraci a koordinaci dalších operačních procesů.

Incident Management

Zaměřuje se na obnovu normálního provozu poskytované služby, a to tak rychle, jak je to možné, za minimalizace dopadu na provoz obchodních procesů (resp. zaručení, že sjednané služby budou poskytovány dle stanovených SLA) prostřednictvím včasné detekce incidentů a jejich co nejrychlejšího odstraňování.

Problem Management

Směřuje k minimalizaci dopadu incidentů a problémů vzniklých v IS/ICT infrastruktuře na organizaci, resp. zabránění opakování incidentů, a to prostřednictvím monitorování a analyzování incidentů, hledání jejich příčin a podnikání kroků k jejich odstranění a prevenci.

Configuration Management

Cílem tohoto procesu je dokumentace a poskytování věrohodných informací o konfiguraci jednotlivých komponent IS/ICT infrastruktury ostatním ITSM procesům, a to prostřednictvím vytváření a udržování databáze konfigurací jednotlivých komponent IS/ICT infrastruktury (CMDB).

Change Management

Směřuje k minimalizaci nežádoucích dopadů do fungování a kvalitu IS/ICT služeb způsobených změnami v IS/ICT infrastruktuře, a to prostřednictvím implementace standardizovaných metod a procedur řízení změn.

Release Management

Má zaručit hladký a kontrolovaný průběh zprovozňování nových (autorizovaných a řádně otestovaných) verzí SW a souvisejícího hardware, a to prostřednictvím vytvoření a implementace efektivních procedur distribuce a instalace změn v IS/ICT infrastruktuře a provádění odpovídající dokumentace (CMDB, Definitive Software Library).

VZTAH ITIL A COBIT^*)

Oba modely - jak ITIL, tak COBIT - představují určitý manažerský model organizace a řízení IS/ICT. ITIL a COBIT se navzájem nepopírají, ba naopak - jsou do určité míry kompatibilní. COBIT má širší zaměření a současně menší hloubku než ITIL, a je proto vhodný spíše do strategické úrovně řízení IS/ICT, zatímco ITIL spíše do taktické, příp. operativní úrovně řízení. COBIT se více zaměřuje na identifikaci procesů, jejich základních parametrů, cílů a metrik z pohledu jejich řízení, resp. na posuzování jejich stávající úrovně a plánování jejich zlepšování. ITIL naopak předkládá relativně podrobný "manuál" jak procesy nastavit a provozovat, aby bylo možné dosahovat vytyčených cílů. Jednotlivé objekty obou modelů lze navzájem mapovat (propojovat). Za tímto účelem existují detailní srovnávací tabulky.

NEJDŮLEŽITĚJŠÍ ISO STANDARDY PRO IS/ICT

Oblast organizace a řízení IS/ICT kromě v současnosti nejrozšířenějších modelů ITG/COBIT a ITSM/ITIL upravuje rovněž několik významných standardů řady ISO. Jsou to především:

ISO/IEC 20000 / Information Technology - Service management,

ISO/IEC 17799:2005 / Code of Practice for Information Security Management,

ISO/IEC TR 13335 / Information Technology - Guidelines for the Management of IT security,

a v obecné rovině rovněž i ISO 9001:2000, resp. ISO 9000-3 / Systémy managementu jakosti.

Lze říci, že tyto standardy do určité míry rozpracovávají určitou oblast organizace a řízení IS/ICT do většího detailu.

a) ISO/IEC 20000/ Information Technology - Service management

Tento mezinárodní standard, bezprostředně vycházející z ITIL (resp. British Standard BS 15000) obsahuje rady a doporučení v oblasti řízení IS/ICT služeb. Obsah koresponduje s ITIL (Planning to Implement Service Management, Service Delivery, Service Support), liší se jen v určitých rysech. ISO/IEC 20000 nejde do takové podrobnosti jako ITIL, zůstává spíše v obecnější rovině a vytváří tak určitý rámec pro auditování a certifikaci systémů řízení IS/ICT služeb.

b) ISO/IEC 17799:2005/Code of Practice for Information Security Management

Tento mezinárodní standard definuje systém řízení informační bezpečnosti a aplikuje best practices bezpečnostního managementu založeného na systematickém přístupu. Standard definuje jednotlivé okruhy řízení informační bezpečnosti - bezpečnostní politiku, organizační zajištění bezpečnosti informací, identifikaci informačních aktiv, bezpečnost s ohledem na lidské faktory, fyzickou a environmentální bezpečnost, způsoby a postupy kontrol bezpečnosti, způsoby zacházení s bezpečnostními incidenty, řízení kontinuity podnikání atd. Vychází z British Standards BS 7799, v současnosti je postupně přepracováván do nové řady norem ISO/IEC 27000 (ISO/IEC 27000 až 27006).

c) ISO/IEC TR 13335/Information Technology - Guidelines for the Management of IT security

Tato technická zpráva je defacto průvodcem jednotlivými aspekty bezpečnosti informačních technologií. Zpráva definuje koncepty a modely řízení bezpečnosti IT, postupy pro plánování a řízení IT bezpečnosti, jednotlivé techniky řízení bezpečnosti IT, jednotlivá bezpečnostní opatření a způsoby jejich výběru a věnuje se rovněž specifickým aspektům řízení bezpečnosti komunikačních sítí.

Kromě těchto zmíněných standardů, které se bezprostředně vztahují k IS/ICT dnes do oblasti řízení IS/ICT pronikají i metodiky pocházející z původně jiných oblastí. Typickým příkladem jsou metodiky pro řízení projektů (např. PMBOK či PRINCE-2).

DALŠÍ VÝVOJ

Chceme-li nahlédnout do budoucnosti a predikovat další vývoj v této oblasti, můžeme očekávat několik základních trendů souvisejících s kvalitou IS/IT:

1. Kvalitativní standardy budou stále intenzivněji pronikat (budou implementovány) do prostředí nejrůznějších organizací po celém světě, a to jak velkých korporací, tak i malých a středních podniků.

2. Jednotlivé kvalitativní modely a standardy budou postupně aktualizovány (na základě výzkumu a vývoje v oblasti IS/ICT a současně rozvíjejících se "best practice") a budou vzájemně konvergovat (zejm. modely COBIT a ITIL).

3. V dohledné době se kvalitativní standardy v oblasti IS/ICT stanou naprosto samozřejmou záležitostí, resp. automatickým požadavkem zákazníků při zadávání zakázek pro IS/ICT - tak jak je tomu dnes např. u generického standardu jakosti ISO 9001:2000. To znamená, že z dnešní "konkurenční výhody" plynoucí z implementace kvalitativních standardů se postupně stane "existenciální nutnost".

Ing. Martin Adámek
manažer organizace a informatiky společnosti SIPRAL, člen České asociace manažerů IS/ICT (CACIO).



Poznámka k předchozímu článku:

Na podporu vzájemného dialogu mezi manažery IS/ICT a jejich kolegy z jiných oblastí podnikového řízení jsme v MŘ č. 7, 8 a 9 uvedli přehled a klíčové charakteristiky nejdůležitějších a nejfrekventovanějších modelů řízení a kvalitativních standardů v oblasti IS/ICT.

Tato 3. část našeho miniseriálu uzavírá přehled nejdůležitějších a nejfrekventovanějších modelů řízení a kvalitativních standardů v oblasti IS/ICT.

V 1. části v MŘ č. 7/2006 na s. 61 až 63 byl představen strategický model IT Governance směřující k dosažení excelence v organizaci a řízení IS/ICT. Ve 2.části v MŘ č.8/2006 na s. 41 až 43 to byl manažerský rámec COBIT umožňující praktickou implementaci IT Governance a strategický model IT Service Management zajišťující, aby služby IS/ICT byly v souladu s obchodními požadavky organizací.

V MŘ č. 10 uvedeme zkušenosti uživatelů z implementace ITILu.

*) COBIT - viz MŘ č. 8/2006, s. 41 -43