معرفی استاندارد ISO/IEC 20000-1:2018 - الزامات پیاده‌سازی سیستم مدیریت سرویس‌های فناوری اطلاعات (SMS)

  • نویسنده: محسن دهقان
  • تاریخ انتشار: یک‌شنبه ، ۱۴ اردیبهشت ماه ۹۹
  • تعداد بازدید: 1595
  • تعداد نظرها: 0
  • دسته بندی: سیستم مدیریت امنیت اطلاعات

مقدمه

امروزه، فناوری اطلاعات، بخش جداناپذیر از کسب‌وکار سازمان ­ها است. سازمان ­های مختلف، فارغ از نوع فعالیتشان، در راستای نیل به اهداف بنیادین خود، نیازمند فناوری اطلاعات و سرویس‌های آن هستند.

انواع سرویس‌های فناوری اطلاعات شامل سرویس‌های مدیریت کاربران و منابع، انواع نرم‌افزارها و برنامه‌های کاربردی، سرویس‌های مختلف نظارتی و گزارش‌گیری، سرویس‌های امنیتی، سرویس‌های پشتیبانی و ... در کنار و به کمک هم نقش حیاتی در سرعت بخشی، افزایش دقت، صحه‌گذاری و کاهش خطاهای انسانی در فرآیندهای سازمان ایفا می‌کنند.

در این خصوص، پیاده‌سازی یک سیستم مدیریتی یکپارچه جهت مدیریت ارائه سرویس‌ها، شامل: برنامه‌ریزی، طراحی، بهره‌برداری، ارائه و بهبود سرویس‌ها، کمک شایانی به ارائه بهینه سرویس‌ها می‌نماید. جهت پیاده‌سازی این سیستم می‌توان از الگوهای معتبر مانند ITIL استفاده نمود.

ITIL مجموعه‌ای از Best Practice ها در زمینه ارائه بهینه، با کیفیت، مقرون‌به‌صرفه و با رویکرد تمرکز بر مشتری سرویس و نیازهای ایشان است. یکی دیگر از اهداف ITIL، پوشش نیازمندی‌ها و الزامات استانداردهای این حوزه است. (در این زمینه، به مقاله تاریخچه ITIL رجوع شود).

یکی از استانداردهای این حوزه، استاندارد ISO/IEC 20000 است که با عنوان سیستم مدیریت سرویس‌ها (خدمات) شناخته می‌شود. این استاندارد، اولین استاندارد بین‌المللی در حوزه مدیریت سرویس‌ها است که ابتدا در سال 2005 و با مرجع استاندارد BS 15000 تدوین گردید و سپس در سال‌های 2011 و 2018 موردبازنگری قرار گرفت.

خانواده استاندارد ISO/IEC 20000 شامل چند استاندارد است که با شماره‌های (1، 2، ...) تفکیک شده‌اند. برخی از این استانداردها به شرح زیر است:

ISO/IEC 20000-1: فناوری اطلاعات، مدیریت سرویس، بخش اول، الزامات

ISO/IEC 20000-2: راهنمای پیاده‌سازی الزامات بخش اول

ISO/IEC 20000-3: راهنمای انتخاب محدوده و کاربردپذیری

ISO/IEC 20000-6: الزامات ممیزی استاندارد

 

در این مقاله، نگاهی بر کلیات و الزامات بخش اول این استاندارد (ISO/IEC 20000-1) خواهیم داشت.

 

مزایای سیستم مدیریت سرویس‌ها برای سازمان

ارائه سرویس­ های مناسب و با کیفیت موردنیاز به مشتریان درونی و بیرونی سازمان همواره یکی از اهداف اصلی سازمان و دغدغه‌های مهم مدیریت است. جهت نیل به این هدف، لازم است که سرویس‌های موردنیاز جهت ارائه خدمات، ابتدا به‌صورت صحیح شناسایی شده و با توجه به نیاز و ساختار سازمان، طراحی و اجرا گردند.

فرآیند استانداردسازی مدیریت سرویس، علاوه بر ارائه الزامات در زمینه‌های مختلف در راستای ارائه بهینه سرویس‌ها جهت برآورده سازی انتظارات مشتریان، موارد عمومی مدیریت نظیر مستندسازی، ساختاردهی، ایجاد چرخه PDCA و البته بازنگری و بهبود مستمر سیستم را برای سازمان فراهم می‌سازد.

لازم به ذکر است، مدیریت ارشد هر سازمان، باید طی بیانیه‌ای، نیاز سازمان و اهداف آن در راستای استقرار سیستم مدیریت سرویس را بیان نماید که البته این نیاز ممکن است علاوه بر تبعات مثبت، تبعات منفی (مانند هزینه، افزایش حجم کار، ...) نیز به همراه داشته باشد.

 

مخاطبین این استاندارد، چه کسانی هستند؟

همان‌گونه که اشاره گردید، این استاندارد دارای دامنه کاربرد وسیعی است به‌نحوی‌که تمامی کسب‌وکارهایی که به هر نحو با فناوری اطلاعات سروکار دارند، می‌توانند در جهت ارائه سرویس موردنیاز مشتریان با کیفیت موردتقاضا و همچنین، یکپارچه‌سازی فرآیند تولید سرویس، الزامات این استاندارد را پیاده‌سازی نمایند.

این استاندارد به سازمان این امکان را می‌دهد که توانایی خود در خصوص ارائه یک سرویس را موردسنجش قرار دهد و البته درصورتی‌که سیستم مدیریت سرویس در سازمان مستقر شده است، آن را مورد پیمایش، سنجش اثربخشی و بازنگری قرار دهد. سازمان همچنین می‌تواند وضعیت انطباق خود با الزامات این استاندارد را مورد ارزیابی قرار دهد.

لازم به ذکر است، این استاندارد به‌صورت عمومی تدوین شده است، به‌نحوی‌که صرف‌نظر از اندازه، نوع یا ماهیت هر سازمان، در آن قابل پیاده‌سازی باشد. لذا تمامی الزامات این استاندارد الزامی بوده و ادعای کاربرد ناپذیری درخصوص آن موردقبول نیست.

 

معرفی ساختار استاندارد ISO/IEC 20000-1:2018

استاندارد ISO/IEC 20000-1:2018 Information technology-Service management دارای 10 فصل (1 تا 10) به شرح زیر است که فصول 1 تا 3، مقدمه و کلیات را بیان نموده و از فصل 4 تا 10 به بیان الزامات پرداخته شده است.

  

فصل چهارم: شناسایی سازمان

در این فصل، به‌عنوان اولین الزام اصلی استاندارد، باید شناخت کامل و دقیق از سازمان، اهداف سازمان، نیازمندی‌های سازمان در حوزه فناوری اطلاعات، نیازمندی‌های ذی‌نفعان و ... حاصل شده و ضمن این شناخت، محدوده استقرار سیستم مدیریت سرویس تعیین گردد. همچنین، سازمان باید نسبت به طراحی و استقرار سیستم مدیریت سرویس در راستای پیاده‌سازی الزامات استاندارد اقدام نماید.

سند بیانیه محدوده اولین سند الزامی استاندارد است که در این فصل الزامات تدوین آن بیان گردیده است.

 

فصل پنجم: رهبری

الزامات این فصل مربوط به تعهدات مدیریت ارشد سازمان در خصوص حمایت از سیستم مدیریت سرویس است که طی آن، مدیریت ارشد، ضمن حصول اطمینان از پیاده‌سازی صحیح سیستم مطابق با اهداف و استراتژی‌های سازمان، باید نسبت به موارد زیر نیز متعهد باشد:

  • وجود ساختار سازمانی مشخص در راستای تصمیم‌گیری، سیاست‌گذاری و اجرای فرآیندهای تعریف‌شده؛
  • به رسمیت شناخته شدن سیستم مدیریت سرویس به‌عنوان بخشی از فرآیندهای سازمان؛
  • فراهم آوری منابع موردنیاز جهت استقرار بهینه سیستم؛
  • حصول اطمینان از نیل به اهداف تعیین‌شده در سیستم؛
  • برنامه‌ریزی جهت پایش اثربخشی و بهبود مداوم سیستم؛
  • ...

همچنین، مدیریت ارشد، مسئولیت تصویب سیاست‌ها و اهداف کلی سازمان و نظارت بر اجرای صحیح آن را نیز عهده‌دار است. نکته مهم در این استاندارد تعیین جایگاه رهبری برای مدیریت ارشد است که تفاوت نگاه با نسخه های قدیمی را نمایش می­ دهد.

 

فصل ششم: برنامهریزی و طراحی

طبق الزامات مطرح‌شده در این فصل، سازمان باید با توجه به سیاست‌ها و اهداف تعیین‌شده، نسبت به برنامه‌ریزی و طراحی سیستم مدیریت سرویس اقدام نماید.

بخش اول این برنامه‌ریزی مربوط به شناسایی عوامل مؤثر در نیل به اهداف و همچنین ریسک‌ها و موانع موجود در این مسیر است. از جمله الزامات این بخش می‌توان به موارد زیر اشاره کرد:

  • توجه به سیاست‌ها و اهداف سازمان و حصول اطمینان از برآورده سازی آن‌ها؛
  • پیشگیری و کاهش تأثیرات ناخواسته استقرار سیستم (هزینه‌های احتمالی، فرآیندهای اضافی، ...)؛
  • توجه به خواسته‌های مشتریان و ذی‌نفعان سرویس؛
  • توجه به ریسک‌های مربوط به بروز عدم انطباق؛
  • تعیین شرایط پذیرش ریسک‌ها؛
  • ...

در بخش بعد، اهداف مدیریت سرویس و چگونگی دستیابی به آن‌ها تعیین شده و برنامه‌ریزی می‌گردد. این اهداف باید ضمن انطباق با سیاست‌های کلی سازمان، قابل‌اندازه‌گیری و قابل پیمایش باشند و در صورت نیاز در مقاطع مختلف به‌روزرسانی گردند.

الزامات دستیابی به این اهداف نیز شامل مواردی از قبیل زمان‌بندی، تعیین منابع، تعیین مسئولیت‌ها و پاسخگویی، تعیین خروجی‌ها و ... است.

بخش آخر این فصل مربوط به طراحی سیستم مدیریت سرویس و الزامات این سیستم است که شامل تدوین لیست سرویس‌ها، تعیین محدودیت‌های سرویس‌ها، تعیین مسئولیت‌ها، تعیین منابع موردنیاز، تعیین رویکرد همکاری با گروه‌های مرتبط با ارائه سرویس‌ها و ... است.


 فصل هفتم: پشتیبانی

فصل هفتم استاندارد، مشابه سایر سیستم‌های مدیریتی، الزامات ساختار پشتیبانی از سیستم مدیریت سرویس‌ها را ارائه می‌دهد. در این فصل به موضوعات زیر پرداخته می‌شود:

  • الزامات تأمین منابع (اعم از مالی، نیروی انسانی، فنی، ...)؛
  • الزامات تعیین صلاحیت افراد مرتبط با فرآیند و در صورت نیاز، آموزش افراد؛
  • آموزش و آگاهی‌رسانی عمومی و اختصاصی جهت کارکنان مرتبط با فرآیندها؛
  • ارتباطات با عوامل (اشخاص، شرکت‌ها، ...) داخلی و بیرونی مرتبط با سیستم؛
  • فرآیند مستندسازی (تدوین، به‌روزرسانی، کنترل، ...)؛
  • فرآیند جمع‌آوری دانش فنی جهت پشتیبانی سیستم.

 

فصل هشتم: اجرا

در این فصل، الزامات پیاده‌سازی و بهره‌برداری از سیستم در یک بخش کلی و 6 فرآیند کلی ارائه گردیده است.

  1. Operational planning and control: الزامات این بخش شامل تعیین کیفیت موردنیاز از ارائه سرویس و کنترل سرویس‌ها در راستای دستیابی به کیفیت موردنیاز.
  2. Service Portfolio: این بخش مربوط به مدیریت سرویس در تمام چرخه حیات (Lifecycle) آن و شامل الزامات در موارد زیر است:
    • الزامات ارائه سرویس طبق نیاز مشتری
    • طراحی سرویس
    • کنترل گروه‌های مرتبط با چرخه حیات سرویس
    • مدیریت سرویس کاتالوگ شامل اطلاعات سرویس، منابع موردنیاز، کاربران، پشتیبانی، ...
    • مدیریت دارایی‌ها
    • مدیریت مؤلفه‌های مرتبط با سرویس (CI)
  3. Relationship and agreement: در این بخش، موارد مربوط به مدیریت ارتباطات و توافق‌ها در ارائه سرویس به شرح زیر موردبررسی قرار می‌گیرد.
    • مدیریت ارتباط داخلی و بیرونی در فرآیند سرویس
    • مدیریت سطح سرویس
    • مدیریت تأمین‌کنندگان و زنجیره تأمین
  4. Supply and demand: فرآیند درخواست و پشتیبانی ارائه سرویس‌ها به شرح زیر در این بخش قرار دارد:
    • مدیریت بودجه‌بندی سرویس‌ها
    • مدیریت تقاضا
    • مدیریت ظرفیت
  5. Service design, build and transition: فرآیند طراحی، ساخت و ارائه سرویس و همچنین مدیریت تغییرات و انتشار در این بخش بررسی می‌شود.
  6. Resolution and fulfilment: مدیریت رخدادها، درخواست‌ها و مشکلات در این بخش بررسی می‌گردد.
  7. Service assurance: حصول اطمینان از کیفیت ارائه سرویس، بحث آخرین بخش پیاده‌سازی است.

 

فصل نهم: پایش اثربخشی

پس از طراحی و اجرای سیستم مدیریت سرویس و در راستای فاز Check از چرخه PDCA، باید اثربخشی سیستم مورد پایش و بررسی قرار گیرد. در این فصل الزامات این فرآیند در بخش‌های زیر ارائه شده است:

  • پایش، سنجش، تحلیل و ارزیابی سیستم با شاخص ­های اثربخشی SMS
  • ممیزی داخلی و تحلیل وضعیت انطباق سیستم با الزامات استاندارد
  • بازنگری مدیریت
  • گزارش اثربخشی سیستم مدیریت سرویس.

فصل دهم: بهبود

در فصل پایانی استاندارد، الزامات مربوط به رفع عدم انطباق‌ها و بهبود مستمر سیستم ذکر شده است. پس از ارزیابی و ممیزی سیستم، ممکن است برخی الزامات استاندارد برآورده نشده و یا به‌صورت ناقص پیاده‌سازی شده باشد، همچنین فرصت‌هایی برای بهبود سیستم شناسایی می‌شود که در این فصل، الزامات رفع آن‌ها ارائه گردیده.

 

نتیجه­ گیری

هدف اصلی این مقاله، آشنایی با ساختار کلان و الزامات استاندارد ISO/IEC 20000-1:2018 بود. برای این منظور، تلاش شد که معرفی کلان در 10 فصل استاندارد صورت پذیرد. سؤال بسیاری از سازمان ­ها این است که برای استقرار سیستم مدیریت سرویس­ها در سازمان از کجا باید شروع کرد؟ با توجه به حساسیت ­های سرویس ­های فناوری اطلاعات، شاید اولین گام موردنیاز، انتخاب مشاور در استقرار سیستم مدیریت سرویس­ ها است و در ادامه باید گام ‌به‌گام مطابق با الزامات فصل 4 تا 10 استاندارد پیش رفت.

در این خصوص در آینده مقالاتی ارائه خواهد شد که ضمن معرفی سایر استانداردهای خانواده ISO/IEC 20000، حوزه­ های فصل 8 این استاندارد تشریح می ­گردد. مسئله مهم، داشتن رویکرد سرویس گرا و توجه به نیازهای مشتری در سرویس های فناوری اطلاعات است.