Консультанты ISO 27001, ISO 20000, BS 25999

ISO 20000 - Сложно ли внедрить систему управления услугами?

Сложно ли внедрить систему управления услугами в соответствии со стандартом ISO 20000-1:2001? Ответ вполне ожидаемый и очень прост - зависит ! И чтобы мой ответ не был очень уклончивым, я обьясню что имею ввиду.

Сложно ли внедрить систему управления услугами в соответствии со стандартом ISO 20000-1:2001? Ответ вполне ожидаемый и очень прост - зависит ! И чтобы мой ответ не был очень уклончивым, я обьясню что имею ввиду. Если в вашей организации уже внедрили систему менеджмента качества (ISO 9001), систему менеджмента информа-ционной безопасности (ISO 27001) и процессы ITIL-a (IT Infrastructure Library), без особых усилий вы можете развернуть свою системu управления услугами (ISO 20000). Потому что у вас и вашего руководства уже есть понимание важности и навыки для внедрения и поддержания систем управления. У вас уже есть основные процедуры, требуемые стандартов как: процедуры для управления документами и записями, для внутренних аудитов, для преду-преждающих и корректирующих действий. Вы уже внедрили процессы анализа со стороны руководства и улучшения системы. У вас работают процессы ITIL-а, которые требуются по ISO 20000-1:2011.Вам нужно только привести свои документы к требованиям стандарта, интегрировать свою систему менеджмента сервисов с существую-щей системой управления качеством и системой управления информационной безопасностью и без особых усилий у вас будет свой ISO 20000. Вы скажете - ну, так действительно легко, но сколько таких организациий, которые уже внедрили ISO 9001, ISO 27001 и процессы ITIL-а? Ну не так уж мало. Тем не менее, продолжим дальше - предположим, что ваша организация большая или средная ИТ-компания, которая имеет опыт сотрудничества с крупнымм международным поставщиком ИТ и телекоммуникационных решений.В этом слу-чае вы неизбежно уже ввели систему управления качеством и систему управления информационной безопасностью из-за требования клиентов (государственные учреждения, банки, телекоммуникационные компании и др). Вы неизбежно должны иметь специалистов, которые знакомы с процессами ITIL-а снова из-за характера Вашей работы. Партнерство с установленными поставщиками ИТ и телекоммуникационных решений неибежно привело вам к внедрению лучших практик в поставки сервисов, потому что это практика крупных производителей - они требуют от своих партнеров соблюдения определенных правил в отношении предоставления услуг и выполняют ежегодные аудиты что бы проверить, как вы соблюдаете их. В этом случае с большой уверенностью можно сказать, что у вас уже реализо-ваны следующие функции и процессы ITIL-а: help desk, планирование и внедрение новых или измененных сервисов, управление уровнем сервисов, отчетность сервисов, управление непрерывностью и доступностью сервисов, управле-ние инцидентами и проблемами, управление изменениями, процесса ввода в эксплуатацию и развертывания. Процесс управления информационной безопасностью обеспечивается внедренной системой управления информационной безо-пасностью. Процессы управления поставщиками и деловыми отношениями могут быть предоставлены внедренной сис-темой менеджмента качества. В этом случае необходимо реализовать некоторые дополнительные процессы, такие как: бюджетирование и бухгалтерский учет сервисов, управление емкости, управление конфигурациями, которое при наличии приобретенных навыков организации для внедрения и поддержания процессов, никак не сложно. Ну, а если ваша организация не имеет опыта сотрудничества с международным производителем ИТ и коммуникацион-ного оборудования и не внедряла ни одного из вышеуказанных процессов? Ну, тогда вам нужно реализовать все это. Конечно, если у вас действует система менеджмента качества и система менеджмента информационной безопас-ности, это облегчит вашу работу так как вы можете использовать их для обеспечения процессов управления постав-щиками, деловыми отношениями и безопасностью информации. А если вы не внедрили ISO 9001 и ISO 27001? Ну, тогда вам придется больше поработать. Вот почему я начал статью с этим "зависит". Впрочем вполне нормально ожидать от организации, в которой возникла необходимость осуществления ISO 20000, что она использует передовой опыт в области ИТ-сервисов ...

Система управления ИТ сервисами – ISO 20000 скажет как лучше

Группа стандартов ISO 20000 - требования и рекомендации по управлению ИТ сервисов

Целью данной статьи является ознакомление читателей с особенно интересной и применимой группой стандартов ISO – группа стандартов управления ИТ сервисами ISO 20000.

Прежде всего – что такое система управления?
Есть много различных определений понятия "система управления", касающихся различных аспектов деятельности организации. Наше понимание этого понятия связано с интерпретацией некоторых международных стандартов. Стандарт ISO 9000:2005 предоставляет следующее определение системы управления: "система, позволяющая устанавливать политику и цели, и достигнуть эти цели". Стандарт ISO 27000:2009 предоставляет дополнительные характеристики, а именно: "рамка политик, процедур, указаний и связанных с ними ресурсов для достижения целей организации».
В более широком смысле, система управление следует понимать как единый комплекс, в том числе организационная структура, ресурсы, документированные процедуры и политики, процессы и практики в рамках организации.

Система управления ИТ-сервисами СУИТС (IT services management system ITSMS)
Система управления ИТ-сервисами СУИТС (IT services management system ITSMS) или система менеджмента ИТ сервисов СМИТС – это система осуществляющaя руководство и контроль деятельности по управлению ИТ-услуг со стороны поставщика.
Система особенно пригодна для следующих типов организации:
- Компании, основной деятельностью которых является предоставление ИТ-услуг для третьих лиц (сервисные организации, системные интеграторы, софтверные компании, хостинговые компании, центры обработки данных и т.д.)
- Крупные организации, для которых обеспечение качество ИТ-сервисовг внутри организации имеет решающее значение для их работы (например государственная администрация, телекоммуникации, финансовые учреждения и др.)
Основными преимуществами внедрения системы менеджмента ИТ сервисов являются:
- Обеспечение высокого качества и надежности ИТ-сервисов
- Повышение эффективности и добавленной стоимости предоставляемых услуг
- Повышение доверия со стороны клиентов
- Укрепление конкурентных преимуществ

Группа стандартов ISO 20000
ISO 200000 – ето группа стандартов, которая определяет требования и дает лучшие практики для разработки, внедрения, управления и совершенствования систем менеджмента ИТ сервисов в организации. Рекомендации основаны на библиотеке наилучшей практики ITIL (IT Infrastructure Library).
ISO 20000 группа в настоящем времени состоит из 5 опубликованных стандартов описаны ниже:
ISO 20000-1:2011 - Information technology --Service management -- Part 1: Service management system requirements
ISO 20000-1:2011 – Информационные технологии –Управление сервисами -- Част 1: Требования к системам управления сервисами
Это основной стандарт группы и определяет требования для разработки, внедрения, управления и совершенствования систем управления ИТ-услугами. Требования стандарта основаны на библиотеке наилучшей практики ITIL. Это новая версия стандарта и в отличие от последней здесь принята общая структура стандартов ISO 9001, 27001, 14001 и четко определенны требования к процессам управления документами и записями, внутренными аудитами, корректирующими и предупреждающими действиями, анализу со стороны руководства. Таким образом, системы управления ИТ-услугами значительно проще могут интегрироваться с системами управления качеством и с системами управления информационной безопасностью.
ISO 20000-2:2005 - Information technology -- Service management -- Part 2: Code of practice
ISO 20000-2:2005 – Информационние технологии - Управление сервисами – Част 2: Кодекс лучших практик
Стандарт дает рекомендации для успешного внедрения, управления и совершенствования систем менеджмента ИТ-услуг на основе библиотеки передового ИТ-опыта ITIL. К данному моменту этот стандарт соответствует структуре последней версии стандарта ISO 20000-1 и в процессе разработки новая версия стандарта, которая, как ожидается, будут опубликована в первой половине 2012 года.
ISO 20000-3:2009 - Information technology -- Service management -- Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1
ISO 20000-3:2009 - Информационние технологии - Управление сервисами – Част 3: Руководство по определению области действия и применимости ISO / IEC 20000-1
Как ясно из его названия, этот стандарт является руководством для определения области действия и применимости ISO 20000-1 к системе управления ИТ-услугами. К данному моменту этот стандарт тоже соответствует структуре последней версии стандарта ISO 20000-1 и в процессе разработки новая версия стандарта.
ISO 20000-4:2010 - Information technology -- Service management -- Part 4: Process reference model
ISO 20000-4:2010 - Информационние технологии - Управление сервисами – Част 4: Процесс-ориентированная модель
Вспомогательный стандарт, который фокусируется на процессно-ориентированной модели внедрения, управления и улучшения систем управления ИТ-услугами и предоставляет рекомендации по их развитию.
ISO 20000-5:2010 - Information technology -- Service management -- Part 5: Exemplar implementation plan for ISO/IEC 20000-1
ISO 20000-5:2010 - Информационние технологии - Управление сервисами – Част 5: Пример плана внедрения стандарта ISO / IEC 20000-1
Стандарт имеет практический харктер и прелагает пример плана реализации системы управления ИТ-услугами, отвечающие требованиям ISO 20000-1 и построен на лучших практиках ITIL
В заключение хочу сказать, что развитие группы стандартов ISO 20000 еще предстоит. К настоящему моменту В настоящее время готовятся новые версии двух стандартов группы и новый стандарт.

www.mscservices.eu/ru

ISO 27000 - группа стандартов по информационной безопасности. Обзор

Обзор актуальных стандартов ISO 27000 группы

В самом начале - что такое информационная безопасность?

Для торговцев продуктами безопасности, понимание информационной безопасности ограничено тем, что они продают. Для многих директоров и менеджеров информационная безопасность - это то, что они не понимают и с чем должны справляться ИТ-менеджеры. Для большинства пользователей ИТ-оборудования информационная безопасность означает ограничение их деятельности.
Все эти мнения очень упрощенные и опасны!

Информационная безопасность относится не только к соблюдению соответствия, демонстрации лучшей практики или внедрению новейших технологических решений.
В основном, информационная безопасность связана с управлением рисками для самого ценного актива, который имеет любая организация – ИНФОРМАЦИЯ.
По стандарту ISO 27001:2005 информационная безопасность – это: “обеспечение конфиденциальности, целостности и доступности информации; также возможно обеспечение и других свойств, таких как аутентичность, идентифицируемость, отказоустойчивость и надёжность”

Вот чем занимается группа стандартов ISO 27000 - обеспечением информационной безопасности организации.

На сегодняшний день есть 17 утвержденных и опубликованных стандартов группы ISO 27000.

Есть 4 вида групп стандартов:

Стандарты для обзора и введения в терминологию
Стандарты, которые определяют обязательные требования к СУИБ (система управления информационной безопасностью)
Стандарты, определяющие требования и рекомендации для аудита СУИБ
Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ.

Стандарты для обзора и введения в терминологию:

ISO/IEC 27000:2009 – Информационные технологии. Средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и словарь
Данный стандарт обеспечивает определение основной терминологии, которая используется в стандартах по информационной безопасности. В каждом стандарте есть и дополнительные термины. В данный момент разрабатывается новая версия стандарта ISO 27000.

Стандарты, которые определяют обязательные требования к СУИБ:

ISO/IEC 27001:2005 – Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

Это основной стандарт группы. Он определяет требования к разработке, внедрению, поддержке и улучшению систем менеджмента информационной безопасности В данный момент разрабатывается новая версия стандарта ISO 27001.

Стандарты, определяющие требования и рекомендации для аудита СУИБ:

ISO/IEC 27006:2011 - Информационные технологии. Средства обеспечения безопасности. Требования для органов, выполняющих аудит и сертификацию систем менеджмента информационной безопасности

Этот стандарт расширяет требований стандарта ISO 17021 специально для органов, проводящих аудит и сертификацию СУИБ

ISO/IEC 27007:2011 - Информационные технологии. Средства обеспечения безопасности. Руководящие указания для аудита систем менеджмента информационной безопасности

Стандарт ISO 27007 предлагает рекомендации по проведению аудитов СУИБ со стороны сертификационных организаций. Он полезен для аудиторов этих организаций.

ISO/IEC TR 27008:2011 - Информационные технологии. Методы обеспечения безопасности - Руководство для аудиторов по мерам и средствам обеспечения информационной безопасности
Данный стандарт, как и ISO 27007 является дополнительным стандартом к ISO 19011:2011 специально для СУИБ. Он специализирован для аудита средств управления информационной безопасностью в организации

Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ:

ISO/IEC 27002:2005 - Информационные технологии. Средства обеспечения. Свод практики для менеджмента информационной безопасности
Самый популярный стандарт группы после ISO 27001. Он дает отличные указания для разработки, внедрения, поддержки и совершенствовании СУИБ. Он является библией для консультантов.

ISO/IEC 27003:2010 - Информационные технологии. Руководство по осуществлению системы менеджмента информационной безопасности
Стандарт дает указания и методику для процессов разработки и внедрения СУИБ.

ISO/IEC 27004:2010 - Информационные технологии. Средства обеспечения безопасности. Измерения менеджмента информационной безопасности
Стандарт является руководством для выбора, проектирования, управления и улучшения средств и методов измерения эффективности и результативности системы

ISO/IEC 27005:2011 - Информационные технологии . Методы защиты. Менеджмент рисков информационной безопасности.
Этот стандарт является одним из самых важных в группе. Несмотря на то, что он только указательный, а не обязательный стандарт, его назначение состоит в том, что управление рисками - один из самых важных процессов (я думаю самый важный) для информационной безопасности.

ISO/IEC 27011:2010 - Информационные технологии. Средства обеспечения безопасности. Руководящие указания по менеджменту информационной безопасности для телекоммуникаций на основе ISO / IEC 27002
Это специализированное руководство по СУИБ в телекоммуникационных организациях.

ISO/IEC 27031:2011 - Информационные технологии - Методы обеспечения защиты – Руководство для готовности информационных и коммуникационных технологий по обеспечению непрерывности бизнеса
Новый, интересный стандарт - руководство по обеспечению непрерывности бизнеса в ИКТ

ISO/IEC 27033-1:2009 - Информационные технологии - Методы обеспечения защиты – Сетевая безопасность – Част 1 – Обзор и понятия
Первый из группы специализированных стандартов в области обеспечения информационной безопасности сетевой инфраструктуры

ISO/IEC 27033-3:2010 - Информационные технологии - Методы обеспечения защиты – Сетевая безопасность – Част 3 – Сетевые сценарии - Угрозы, методы проектирования и управления вопросами
Другой стандарт из группы специализированных стандартов в области обеспечения информационной безопасности сетевой инфраструктуры - с практическим значением

ISO/IEC 27034-1:2011 - Информационные технологии - Методы обеспечения защиты – Безопасность приложений – Част 1: Обзор и понятия
Первый из другой группы специализированных стандартов в области обеспечения информационной безопасности прикладного программного обеспечения.

ISO/IEC 27035:2011 - Информационные технологии - Методы обеспечения защиты – Управление инцидентами по информационной безопасности
Один из ценных стандартов в группе с практической стоимостью в области управления инцидентами по информационной безопасностью

ISO 27799:2008 - Информатика в здравоохранении. Менеджмент безопасности информации по стандарту ISO/IEC 27002
Это специализированное руководство по СУИБ в здравоохранении.

ISO/IEC 24762:2008 - Информационные технологии - Методы обеспечения защиты – Рекомендации по услугами для аварийного восстановления информационных и коммуникационных технологий
Тоже интересный стандарт с точки зрения практических рекомендаций по обеспечению аварийного восстановления ИКТ

Группа стандартов ISO 27000 получила очень серьезное развитие в последние годы. В настоящее время в различных стадиях подготовки находятся еще 25 новых стандартов, которые обеспечат необходимую помощь при разработке, внедрении, поддержании и улучшении СУИБ.

www.mscservices.eu