Chyba większości z nas, normy kojarzą się z formalnymi wymaganiami i audytami. Z jakiś względów większość tego nie lubi. Nie mam na myśli tylko IT ale również inne branże. Po co więc wprowadzać normy, tam gdzie wydają się niepotrzebne? Czy norma ISO 9001, związana z zarządzaniem jakością, może przynieść jakieś korzyści? Według mnie może, jeżeli chcemy zastosować metodyczne podejście, które będzie powtarzalne. Pozwoli ono na uporządkowanie wykonywanych działań i standaryzację przeprowadzanych czynności. Czy warto to zrobić?
Którą normę wybrać ISO 20000 czy ISO 9001?
Wiele jest norm, jednak do zarządzania usługami IT możemy zastosować dwie: ISO 20000 i ISO 9001. Tak naprawdę dedykowanym standardem w zarządzaniu usługami IT jest ISO 20000. Niestety jest to już leciwa norma, bo z 2005 roku. Jej zaletą jest to, że jest zgodna z procesami ITIL wersja 2. Wadą jednak jest jej złożoność, która wymaga aby wszystkie 13 procesów było wdrożonych w organizacji. Nie można strać się o certyfikację ISO 20000 jeżeli nie mamy funkcjonujących prawidłowo wszystkich procesów. Między innymi z tego powodu, niewiele organizacji IT w Polsce działa zgodnie z tą normą.
Rozwiązaniem pośrednim jest skorzystanie z normy ISO 9001 i opisanie procesów zarządzania usługami IT, według wymagań w niej zawartych. Zaletą jest elastyczne podejście, pozwalające na objęcie standardem tylko wybranych procesów. Jeżeli będziemy chcieli możemy w przyszłości wdrażać kolejne procesy.
Jak wdrożyć ISO 9001 w zarządzaniu usługami IT?
- Na początek wybieramy procesy zarządzania usługami IT, które chcemy wdrożyć. Zaczynamy od tych procesów, które najlepiej funkcjonują w naszej organizacji, aby nie próbować zastosować procedur, tam gdzie organizacja nie jest dojrzała. Wybieramy z 13 procesów:
- Zarządzanie poziomem usług (Service Level Management)
- Zarządzanie pojemnością (Capacity Management)
- Zarządzanie dostępnością usług i ciągłością (Continuity and Availability Management)
- Zarządzanie budżetem i rachunkowością dla usług informatycznych (Budgeting and Accounting for IT Services)
- Zarządzanie bezpieczeństwem informacji (Information Security Management)
- Obsługa serwisowa i raportowanie (Service reporting).
- Zarządzanie kontaktami biznesowymi (Business Relationship Management)
- Zarządzanie dostawami (Supplier Management)
- Zarządzanie zdarzeniami (Incident Management)
- Zarządzanie problemami (Problem Management)
- Zarządzanie konfiguracją (Configuration Management)
- Zarządzanie zmianami (Change Management)
- Zarządzanie wydawaniem – wersjami (Release Management)
- Opracowujemy procedurę dla każdego procesu. Brzmi to trochę dziwnie ale ISO 9001 funkcjonuje na poziomie procedur, więc proces zarządzania usługami IT musimy zapisać w formie procedury. Każdy proces opisujemy w oddzielnej procedurze. Dla procedury powstaje również diagram, który obrazuje jej przebieg.
- W każdej procedurze ustalamy przynajmniej jeden zapis. Jeżeli chcemy może być więcej zapisów w jednej procedurze, jednak jeden to minimum, inaczej sensowność procedury stoi, pod znakiem zapytania. Zapis to dowód, że działamy zgodnie z procedurą i produkt, który można później zweryfikować np podczas audytu.
- Wprowadzamy opracowane procedury do systemu zarządzania przez jakość, w ten sposób formalnie je wdrażając. Im więcej procedur tym musimy być przygotowani na większy zakres prac. Na tym etapie procedury pod względem formalnym powinny być zweryfikowane przez osobę odpowiedzialną za system zarządzania jakością ISO 9001 w organizacji.
- Przechodzimy audyt, najpierw wewnętrzny, po którym powinniśmy wprowadzić poprawki, wynikające z nieprawidłowości wykrytych podczas audytu. Tak przygotowani przechodzimy audyt zewnętrzny, prowadzony przez uprawnioną firmę, którego poprawnym zakończeniem jest uzyskanie certyfikacji ISO 9001 w zakresie zarządzania usługami IT.
- Po audycie, działamy na co dzień zgodnie, z zasadami zapisanymi w procedurach.
Co dalej i czy warto?
Jak już będziemy mieli wdrożone wszystkie 13 procesów zgodnie z ISO 9001, możemy pomyśleć o certyfikacji do ISO 20000. Oczywiście, wdrożenie czy to ISO 9001, czy tym bardziej ISO 20000, wymaga zaangażowania całej organizacji IT, w tym jej szefa, który musi popierać i akceptować taki podejście. Nie muszę pisać, że takie wdrożenie wiąże się z dodatkowymi kosztami dla IT, które trzeba uwzględnić w planowaniu i budżecie.
Jakie mamy korzyści z zastosowania norm i standardów:
- Zewnętrzni dostawcy IT mogą używać certyfikatu do „chwalenia” się na rynku i w ten sposób pozyskiwać nowych klientów
- Poprawiamy jakość, wydajność i niezawodność świadczonych usług IT oraz zmniejszamy ich koszty
- Ponieważ audyty odbywają się przynajmniej raz w roku, są sposobem na ocenę, jak działają procesy zarządzania usługami IT w naszej organizacji
- Norma ISO/IEC 20000 jest w pełni zgodna ze najlepszymi praktykami ITIL (IT Infrastructure Library).
Pytanie: Jak w Twojej organizacji IT stosowane są normy ISO 9001 lub ISO 20000?