معرفی خانواده استاندارد ISO 20000

  • نویسنده: پگاه عیوضی
  • تاریخ انتشار: شنبه ، ۳۱ خرداد ماه ۹۹
  • تعداد بازدید: 1496
  • تعداد نظرها: 0
  • دسته بندی: سیستم مدیریت امنیت اطلاعات

مقدمه:

استانداردهای خانواده 20000 اولين دسته استاندارد در زمينه مديريت خدمات فناوري اطلاعات هستند که توسط سازمان جهاني استاندارد (ISO) منتشر شده است. در حال حاضر بسیاری از شرکت ها و سازمان ها در سراسر جهان در کنار چارچوب محبوبی همچون ITIL، از رهنمودهای استانداردی این خانواده نیز استفاده می کنند. در این مطلب سعی می شود ضمن معرفی استانداردهای موجود و در دست انتشار این خانواده، ویژگی ها و هدف از انتشار هر یک از این استانداردها بیان شود.
ISO/IEC 20000 اولين استاندارد در زمينه مديريت خدمات فناوري اطلاعات است که توسط سازمان جهاني استاندارد (ISO) منتشر شده است. اين استاندارد با رويکردي فرايندگرا، در جهت دستيابي به اهداف کسب و کار و نیازمندی ­های مشتريان در حوزه مديريت خدمات IT تدوين گرديده است.

این محصول در سال 2005 توسط کمیته ISO/IEC JTC1/SC7 تدوین شده و در سال­ های 2011 و 2018 تجدید نظر شده است. در اين استاندارد از رویکرد کتابخانه­ اي از بهترين افکار، الگوها و روش ­ها (Best Practice) براي مديريت خدمات فناوري اطلاعات استفاده شده، که مرجع آن چارچوب (IT Infrastructure Library (ITIL است. گرچه این کمیته در تدوین این استاندارد از سایر چارچوب­ ها و رویکردهای مدیریت خدمات فناوری اطلاعات از جمله چارچوب عملیات مایکروسافت و مؤلفه­ های چارچوب COBIT ISACA نیز استفاده شده است و از آن ­ها نیز پشتیبانی می­ کند.

استاندارد ISO 20000 معیارهای برنامه ­ریزی، ایجاد، مدیریت، نظارت، بررسی، نگهداری و بهبود رویکرد مدیریت خدمات را که بر فناوری اطلاعات در سازمان ­ها متمرکز است، تعیین می کند. در این راستا، هدف این استاندارد کاهش هزینه های سازمانی و افزایش رقابت سازمانی است و برای اثبات این موضوع است که به تمامی مشتریان، خدمات یا سرویس های فن آوری اطلاعات به صورت قابل اعتماد ارائه می شوند. استقرار این استاندارد و اخذ گواهینامه آن به مشتریان کمک می کند ریسک های کسب و کار خود را با دریافت پشتیبانی امن سرویس های IT به حداقل برسانند. این گواهینامه همچنین به مشتریان سرویس، قابلیت اطمینان و کیفیت سرویس فناوری اطلاعات را نشان می دهد.

سیستم مدیریت خدمات فناوری اطلاعات همچنین به عنوان مدیریت خدمات برای پاسخگویی به نیازهای کسب و کار تعریف شده است. از آنجا که فعالیت های ارائه خدمات فناوری اطلاعات باید به شیوه ای صحیح و منظم مطابق با اهداف زیر انجام شود:

  • پشتیبانی از سرویس های فناوری اطلاعات در تمام زمان های درخواستی از سوی مشتریان

  • کاهش هزینه های IT

  • مدیریت ریسک سرویس های فناوری اطلاعات

  • اطمینان از انطباق با الزامات قانونی بالادستی

  • مدیریت تغییرات در سرویس های شرکت

  • استفاده از سرویس های فناوری اطلاعات با توجه به نیازهای کسب و کار

در نهایت، سیستم مدیریت خدمات فناوری اطلاعات ISO 20000 یک مدل یا چارچوب را فراهم می کند که می تواند برای همه سازمان ها، بدون در نظر گرفتن اندازه آن ها و بخش هایی که در آن فعالیت می کنند، اعمال شود. در این راستا، این سیستم به ویژه برای شرکت های زیر طراحی شده است:

  • شرکت هایی که می خواهند سرویس های ارائه شده به مشتریان را از طریق نظارت، بررسی و فرایندهای اصلاحی، بهبود دهند

  • شرکت هایی که می خواهند خدمات کامل و بی عیب و نقص ارائه دهند

  • شرکت هایی که می خواهند تأمین کنندگان خود را به صورت سازگار مدیریت کنند

  • شرکت هایی که می خواهند کیفیت خدمات را ثابت کنند

استانداردهای خانواده ISO 20000:

استاندارد ISO/IEC 20000-1

فناوری اطلاعات مدیریت خدمات - قسمت 1: الزامات سیستم مدیریت خدمات

ISO/IEC 20000-1:2018 الزامات "ایجاد، اجرا، نگهداری و بهبود مستمر سیستم مدیریت خدمات" را مشخص می کند. سیستم مدیریت خدمات از چرخه مدیریت خدمات شامل طراحی، پیاده سازی، نگهداری و بهبود سیستم پشتیبانی می کند و شرایط مورد توافق با مشتری را برآورده نموده و برای مشتریان، کاربران و سازمان ارائه دهنده خدمات ارائه ارزش می نماید.

نسخه 2018 (ISO/IEC 20000-1:2018) شامل ده بخش به شرح زیر است:

  • محدوده

  • منابع

  • اصطلاحات و تعاریف

  • فضای سازمان

  • رهبری

  • برنامه ریزی

  • پشتیبانی از سیستم مدیریت خدمات

  • عملیات سیستم مدیریت خدمات

  • سنجش عملکرد

  • بهبود

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2005 منتشر شد و در حال حاضر نسخه سال 2018 در 31 صفحه به عنوان آخرین نسخه معتبر استاندارد محسوب می شود. 

 


ISO/IEC 20000-2

فناوری اطلاعات - مدیریت خدمات - قسمت 2: راهنمایی در مورد استفاده از سیستم های مدیریت خدمات

ISO/IEC 20000-2:2019 راهنمایی در مورد استفاده از الزامات سیستم مدیریت خدمات بر اساس الزامات موجود در ISO/IEC 20000-1:2018 ارائه می دهد. هدف اصلی این استاندارد ارائه راهنما برای پیاده سازی سیستم مدیریت خدمات است.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2005 منتشر شد و درحال حاضر نسخه سال 2019 در 63 صفحه به عنوان آخرین نسخه معتبر محسوب می شود. البته در سال 2020 اصلاحیه مختصر بر روی این استاندارد اعمال گردید. 

 


ISO/IEC 20000-3

فناوری اطلاعات - مدیریت خدمات - قسمت 3: راهنمایی در مورد تعریف دامنه و کاربرد ISO/IEC 20000-1

ISO/IEC 20000-3:2019 راهنمایی هایی در مورد تعریف دامنه، کاربرد و نشان دادن انطباق برای ارائه دهندگان خدمات با هدف برآورده کردن الزامات ISO/IEC 20000-1 و یا برای ارائه دهندگان خدمات که در حال برنامه ریزی برای بهبود خدمات هستند و قصد استفاده از ISO/IEC 20000 به عنوان یک هدف تجاری را دارند، ارائه می دهد.

در واقع سازمان ­هایی که قصد شروع استقرار سیستم مدیریت خدمات را دارند، می­ توانند از این راهنما جهت تعیین محدوده سیستم استفاده نمایند. با توجه به اینکه ممکن است بخشی از خدمات فناوری اطلاعات در سازمان ها توسط واحدهای بیرون از سازمان و یا واحدهای سازمانی غیر از فناوری اطلاعات انجام شود، نحوه صحیح تعیین محدوده در این استانداردها حیاتی است.

در واقع در این استاندارد، محدوده تعیین شده و در استاندارد ISO 20000-2 راهنمای کاربردپذیری آن تعیین می شود.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2009 منتشر شد و درحال حاضر نسخه سال 2019 در 28 صفحه به عنوان آخرین نسخه معتبر محسوب می شود. 

 


ISO/IEC 20000-4

فناوری اطلاعات - مدیریت خدمات - قسمت 4: مدل مرجع فرآیند

هدف از ISO/IEC TR 20000-4:2010 تسهیل توسعه مدل ارزیابی فرایند مطابق با اصول ارزیابی فرایند ISO/IEC 15504 است. ISO/IEC 15504-1 مفاهیم و اصطلاحات مورد استفاده برای ارزیابی فرآیند را توصیف می کند و ISO/IEC 15504-2 الزامات انجام ارزیابی و مقیاس اندازه گیری برای ارزیابی توانایی فرآیند را توصیف می کند.

مدل مرجع فرآیند ارائه شده در ISO/IEC TR 20000-4:2010 یک نمایش منطقی از عناصر فرآیندهای موجود در مدیریت خدمات است که می تواند در یک سطح کلان انجام شود. استفاده از مدل مرجع در یک کاربرد عملی ممکن است به عناصر اضافی متناسب با محیط و شرایط نیاز داشته باشد و این مدل برای هر سازمان با توجه به شرایط و محیط سازمان متفاوت است.

هر سازمان می تواند فرآیندهایی را با عناصر اضافی تعریف کند تا متناسب با محیط و شرایط خاص آن باشد. با این حال، هدف و نتایج توصیف شده در استاندارد ISO/IEC TR 20000-4:2010 حداقل برای تحقق الزامات ISO/IEC 20000-1 در نظر گرفته شده است. برخی فرایندها، جنبه های استراتژیک کلی سازمان را مورد بررسی قرار می دهند. این فرآیندها به منظور پوشش کلیه الزامات ISO/IEC 20000-1 شناسایی شده اند.

باید توجه داشت مدل مرجع فرآیند، شواهد مورد نیاز ISO/IEC 20000-1 را ارائه نمی دهد. همچنین رابط های بین فرآیندها را مشخص نمی کند.

آخرین نسخه/وضعیت: این نسخه در سال 2010 در 23 صفحه منتشر شد و در حال حاضر منسوخ است.

 


ISO/IEC 20000-5

فناوری اطلاعات - مدیریت خدمات - قسمت 5: برنامه اجرای نمونه ای برای ISO/IEC 20000-1

ISO/IEC TR 20000-5:2013 یک برنامه اجرایی نمونه است که راهنمایی در مورد نحوه اجرای سیستم مدیریت خدمات برای تحقق الزامات ISO/IEC 20000-1:2011 ارائه می دهد.

ISO/IEC TR 20000-5:2013 راهنمایی برای ارائه دهندگان خدمات درمورد نظم مناسب جهت برنامه ریزی، پیاده سازی و بهبود سیستم مدیریت خدمات با استفاده از، به عنوان مثال، یک رویکرد سه مرحله ای عمومی برای مدیریت پیاده سازی است. ارائه دهنده خدمات می تواند ترتیب خود را برای پیاده سازی سیستم مدیریت خدمات انتخاب کند.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2010 منتشر شد و درحال حاضر نسخه سال 2013 در 41 صفحه به عنوان آخرین نسخه معتبر محسوب می شود.

 


ISO/IEC 20000-6

فناوری اطلاعات - مدیریت خدمات - قسمت 6: الزامات مربوط به دستگاه های ارائه دهنده خدمات ممیزی و صدور گواهینامه سیستم های مدیریت خدمات

ISO/IEC 20000-6:2017 الزامات را مشخص کرده و راهنمایی هایی را برای نهادهای صدور گواهینامه ارائه ممیزی و صدور گواهینامه سیستم مدیریت خدمات مطابق با ISO/IEC 20000‑1 ارائه می دهد. الزامات تعیین شده در این استاندارد، الزامات ISO/IEC 20000‑1 را تغییر نمی دهد. ISO/IEC 20000-6:2017 همچنین توسط نهادهای اعتباربخشی می تواند برای اعتبار سنجی نهادهای صدور گواهینامه مورد استفاده قرار گیرد.

انتظار می رود یک نهاد صدور گواهینامه که گواهینامه سیستم مدیریت خدمات ارائه می دهد، بتواند علاوه بر الزامات موجود در ISO/IEC 20000-6:2017، تحقق الزامات مندرج در ISO/IEC 17021‑1 را نیز نشان دهد.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2017 در 13 صفحه منتشر شد و به عنوان آخرین نسخه معتبر محسوب می شود.

 


ISO/IEC 20000-7

فناوری اطلاعات - مدیریت خدمات - قسمت 7: راهنمایی در مورد یکپارچگی و همبستگی استقرار ISO/IEC 20000-1: 2018 با ISO 9001:2015 و ISO/IEC 27001: 2013

ISO/IEC TR 20000-7:2019 راهنمایی در مورد اجرای یکپارچه یک سیستم مدیریت خدمات بر اساس ISO/IEC 20000-1:2018 با یک سیستم مدیریت کیفیت مبتنی بر ISO 9001:2015 و یا یک سیستم مدیریت امنیت اطلاعات مبتنی بر ISO/IEC 27001:2013 را فراهم می کند.

یکی از دغدغه هایی که سازمان ­ها دارند، همبستگی و یکپارچگی بین سیستم های مختلف است که در سازمان پیاده سازی می شوند. این امر همواره به عنوان یک دغدغه از سوی مدیران فناوری اطلاعات مطرح می شود.

این استاندارد برای سازمان ها با شرایط زیر کاربردپذیر است:

الف–جهت پیاده سازی ISO 9001 هنگامی که ISO 20000 پیش از آن در سازمان پیاده سازی شده است، یا برعکس؛

ب- جهت پیاده سازی ISO 27001 هنگامی که ISO 20000 پیش از آن در سازمان پیاده سازی شده است و یا برعکس.

ج- جهت پیاده سازی هم زمان دو استاندارد ISO 9001 و ISO 20000-1 و یا پیاده سازی هم‌زمان دو استاندارد ISO 27001 و ISO 20000-1

د- جهت پیاده سازی هم‌ زمان  استانداردهای ISO 20000-1 ،ISO 9001 و ISO 27001  

ه- و  یا ادغام سیستم های مدیریت موجود بر اساس ISO 20000-1 ،ISO 9001 و ISO 27001.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2019 در 57 صفحه منتشر شد و در حال حاضر به عنوان آخرین نسخه معتبر محسوب می شود.

 


ISO/IEC 20000-9

فناوری اطلاعات - مدیریت خدمات - قسمت 9: راهنمایی در مورد استفاده از ISO/IEC 20000-1 در خدمات ابری

ISO/IEC TR 20000-9:2015 راهنمایی ­هایی را در مورد استفاده از ISO/IEC 20000‑1: 2011 برای ارائه دهندگان خدمات ابری ارائه نموده است.

این راهنما برای دسته های مختلف خدمات ابری اعمال می شود، مانند موارد تعریف شده در ISO/IEC 17788/ITU-T Y.3500 و ISO/IEC 17789/ITU-T Y.3502 که شامل موارد زیر و (نه محدود به آن ها) است:

 الف) زیرساخت به عنوان یک سرویس (IaaS)؛

ب) پلت فرم به عنوان یک سرویس (PaaS)؛

ج) نرم افزار به عنوان سرویس (SaaS).

همچنین برای مدل های استقرار ابری عمومی، خصوصی، اجتماعی و ترکیبی کاربرد دارد.

کاربرد ISO/IEC 20000‑1 مستقل از نوع فناوری یا مدل خدمات مورد استفاده در ارائه خدمات است. کلیه الزامات موجود در ISO/IEC 20000‑1 برای ارائه دهندگان خدمات ابری قابل اعمال است.

ساختار ISO/IEC TR 20000-9:2015 از ساختار ISO/IEC 20000‑1 پیروی نمی کند. این راهنما به عنوان مجموعه ای از سناریوها ارائه می شود که می تواند بسیاری از فعالیت های معمولی ارائه دهنده خدمات ابری را مشخص کند. همچنین راهنمایی که در ISO/IEC TR 20000-9:2015 آمده است، می تواند برای مشتریان ارائه دهندگان خدمات ابری مفید باشد.

این بخش از ISO/IEC TR 20000-9:2015 می تواند به عنوان راهنمایی برای ارائه دهنده خدمات ابری در طراحی، مدیریت یا بهبود سیستم مدیریت خدمات برای پشتیبانی از خدمات ابری استفاده شود.

ISO/IEC TR 20000-9:2015 هیچ موردی را به موارد مندرج در ISO/IEC 20000‑1 اضافه نمی کند و صریحاً بیان نمی کند که چگونه شواهد می تواند به ممیز سیستم ارائه شود.

آخرین نسخه/وضعیت: این نسخه در سال 2015 در 30 صفحه منتشر شد و در حال حاضر منسوخ است.

 


ISO/IEC 20000-10

فناوری اطلاعات - مدیریت خدمات - قسمت 10: مفاهیم و واژگان

ISO/IEC TR 20000-10:2018 مفاهیم اصلی ISO/IEC 20000 را توصیف می کند و نشان می دهد که چگونه بخش های مختلف از ISO/IEC 20000‑1:2018 پشتیبانی می کنند، همانند روابط بین ISO/IEC 20000 و سایر استانداردهای بین المللی و گزارش های فنی. این بخش از ISO/IEC 20000 همچنین اصطلاحات به کار رفته در سری ISO/IEC 20000 را توضیح می دهد، بنابراین سازمان ها و افراد می توانند مفاهیم را به درستی تفسیر کنند.

این سند می تواند توسط افراد و سازمان­ های زیر مورد استفاده قرار گیرد:

الف) سازمان هایی که به دنبال درک شرایط و تعاریف برای حمایت از استفاده از ISO/IEC 20000 (همه بخش ها) هستند.

ب) سازمان هایی که به دنبال راهنمایی در مورد چگونگی استفاده از قسمت های مختلف ISO/IEC 20000 برای دستیابی به هدف خود هستند.

ج) سازمان هایی که مایل به درک چگونگی استفاده از ISO/IEC 20000 (همه قسمت ها) در ترکیب با سایر استانداردهای بین المللی هستند.

د) ممیزین و طرف ‌های دیگر که مایل به درک درستی از ISO/IEC 20000 (کلیه قسمت ها) هستند.

 آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2013 منتشر شد و درحال حاضر نسخه سال 2018 در 28 صفحه به عنوان آخرین نسخه معتبر محسوب می شود.

 


ISO/IEC 20000-11

فناوری اطلاعات - مدیریت خدمات - قسمت 11: راهنمایی در رابطه بین ISO/IEC 20000-1: 2011 و چارچوب های مدیریت خدمات: ITIL®

ISO/IEC TR 20000-11:2015 یک گزارش فنی است که راهنمایی در مورد رابطه ISO/IEC 20000-1:2011 و چارچوب ITIL ارائه می دهد و می تواند توسط هر سازمان یا شخصی که مایل به درک چگونگی استفاده از ITIL با ISO/IEC 20000-1:2011 است، استفاده شود، از جمله:

الف) ارائه دهنده خدمات كه نشان داده است و يا قصد نشان دادن انطباق با الزامات مندرج در ISO/IEC 20000-1:2011 را دارد و به دنبال راهنمايي در مورد استفاده از ITIL براي برقراري و بهبود سیستم مدیریت خدمات و سرویس ها است.

ج) ارائه دهنده خدمات که از ITIL استفاده می کند و به دنبال راهنمایی در مورد چگونگی استفاده از ITIL برای پشتیبانی از تلاش ها برای نشان دادن انطباق با الزامات مندرج در ISO/IEC 20000-1:2011 است.

د) یک ممیز که مایل به استفاده از ITIL به عنوان پشتیبانی برای دستیابی به الزامات مندرج در ISO/IEC 20000-1:2011 است.

 یکی از موضوعاتی که همواره به عنوان دغدغه مدیران فناوری اطلاعات مطرح است، پاسخ به این سؤال است که استقرار ITIL اولویت دارد یا استقرار ISO 20000. مطالعه این استاندارد، به این سؤال پاسخ داده و راهنمایی در خصوص استقرار این دو موضوع است.

 آخرین نسخه/وضعیت: این استاندارد در سال 2015 در 47 صفحه به عنوان آخرین نسخه معتبر منتشر شد.

 


ISO/IEC 20000-12

فناوری اطلاعات - مدیریت خدمات - قسمت 12: راهنمایی در رابطه بین ISO/IEC 20000-1:2011 و چارچوب های مدیریت خدمات: CMMI-SVC

ISO/IEC TR 20000-12:2016 یک گزارش فنی است که راهنمایی در مورد رابطه ISO/IEC 20000-1:2011 و یک چارچوب مدیریت خدمات متداول، CMMI-SVC ارائه می دهد.

ارائه دهندگان خدمات می توانند از این راهنمایی ها به عنوان مرجع متقابل بین دو سند استفاده کنند تا به آن ها در برنامه ریزی و اجرای سیستم مدیریت خدمات کمک کند.

ISO/IEC TR 20000-12:2016 می تواند توسط هر سازمان یا شخصی که مایل به درک چگونگی استفاده CMMI-SVC با ISO/IEC 20000‑1: 2011 باشد، استفاده شود که می تواند شامل موارد زیر باشد:

الف) ارائه دهنده خدمات كه قصد دارد انطباق با الزامات ISO/IEC 20000‑1:2011 را نشان دهد و به دنبال راهنمایی در مورد استفاده از CMMI-SVC برای ایجاد و نگهداری سیستم مدیریت خدمات و خدمات باشد.

ب) ارائه دهنده خدمات كه مطابق با الزامات ISO/IEC 20000‑1:2011 بوده و به دنبال راهنمایی در مورد راه های استفاده از CMMI-SVC برای بهبود سیستم مدیریت خدمات و خدمات است.

ج) ارائه دهنده خدمات كه قبلاً از CMMI-SVC استفاده كرده و به دنبال راهنمايي در مورد چگونگي استفاده از CMMI-SVC براي حمايت از تلاش ها براي نشان دادن انطباق با الزامات مشخص شده در ISO/IEC 20000‑1:2011 باشد.

د) یک ممیز که مایل به استفاده از CMMI-SVC به عنوان پشتیبانی از الزامات مندرج در ISO/IEC 20000‑1:2011 است.

همچنین می توانید از ISO/IEC TR 20000-12:2016 با سایر قسمت های سری ISO/IEC 20000 استفاده کنید.

 آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2016 در 32 صفحه منتشر شد و به عنوان آخرین نسخه معتبر محسوب می شود.

 


ISO/IEC 20000-13

فناوری اطلاعات - مدیریت خدمات - قسمت 13: راهنمایی در رابطه بین ISO / IEC 20000-1: 2018 و چارچوب های مدیریت خدمات: COBIT

ISO/IEC TR 20000-13 یک گزارش فنی است که راهنمایی هایی در مورد رابطه بین ISO/IEC 20000-1:2018 و یک چارچوب مدیریت خدمات متداول، COBIT 2019 ارائه می دهد.

در این استاندارد ارتباط مابین چارچوب حاکمیت فناوری اطلاعات (COBIT) و استاندارد سیستم مدیریت خدمات فناوری اطلاعات را بیان می نماید. در واقع معرفی مشترکات این استانداردها و راهنمای پیاده سازی آن ها هدف اصلی این استاندارد است.

آخرین نسخه/وضعیت: این نسخه هم اکنون در دست تهیه است و انتشار آن اواخر سال 2020 است.

 

نتیجه ­گیری:

در این مقاله تلاش شد، خانواده استاندارد ISO 20000 به صورت مختصر معرفی گردد. برخی از استانداردهای این خانواده الزامات استقرار و ممیزی را تعیین می نمایند و برخی از استانداردها به عنوان راهنمای پیاده سازی و یا راهنمای فنی مورد استفاده قرار می گیرند. در جدول زیر خانواده استاندارد ISO 20000 به صورت خلاصه نمایش داده شده است.