|
|
I december 2005 publicerades ISO 20000 som en internationell standard för IT Service Management. Standarden, som är baserad på ITIL, är en vidareutveckling av den brittiska standarden BS 15000 och ett oberoende hjälpmedel för att kontinuerligt utvärdera leveransförmåga, underlätta arbetet med att föra in Service Management med hjälp av ITIL. Med hjälp av ISO 20000 kan ett företag formellt mäta och kvalitetssäkra leveransen av IT tjänster samt skapa en kultur för kontinuerlig förbättring av processer som i sin tur ger ökad effektivitet och kvalitet.
Drivkrafterna bakom ISO 20000 är bland annat att det finns ett behov av ett formell internationellt tillvägagångssätt för att kvalitetssäkra hur IT tjänster levereras och att möjligheten finns att certifiera en organisation - inte bara på individnivå som är fallet med ITIL. En annan drivkraft är att den kräver att verksamhetsledningen tar ansvar för och engagerar sig för leveransen av IT-tjänster och det kontinuerliga förbättringsarbetet. Detta står uttryckligen i standarden och är något som historiskt sätt varit högst bristfälligt. ISO 20000 kommer även att fungera som utgångspunkt för att utvärdera och välja leverantörer och partners. I framtida upphandlingar kommer ISO 20000 säkerligen att vara ett krav. För alla företag som erbjuder tjänster kring IT-drift kommer standarden att innebära att nya och tuffa krav ställs på dem. ISO 20000 kommer att kontrollera att ITIL har implementerats och att företaget aktivt arbetar med IT Service Management frågor.
Men det är inte bara för externa leverantörer standarden kommer att innebära nya möjligheter. För interna IT-organisationer kommer den formella certifieringen vara ett bevis på att man har kontroll på kostnader, aktivt arbetar med kvalitetsfrågor och är fokuserad på att leverera tjänster på ett sätt som utvecklar affärsverksamheten.
Standarden kommer även att innebära ett incitament för att gå från ”bör” till ”skall” i arbetssättet., det vill säga att få medarbetarna att följa IT-organisationens processer, som oftast är baserade på ITIL.
Vid en revision finns inget formellt krav att företaget följer ITIL:s processer men en certifiering är dock svår att uppnå utan ITIL. Plan-Do-Check -Act modellen som är metoden för det kontinuerliga förbättringsarbetet inom ITIL är även central inom ISO 20000.
Standarden i sig är uppdelat i två dokument:
- ISO/IEC 20000-1 Part 1: Specification for Service Management
- ISO/IEC 20000-2 Part 2: Code of practice for Service Management
ISO/IEC 20000-1 är själva standarden som företaget mäts mot. Den är uttryckt i ”skall” krav och anger vad som måste var uppfyllt för att erhålla en certifiering.
ISO/IEC 20000-2 är ett dokument med riktlinjer och förslag på hur en organisation förbereder sig för att mätas mot ISO 20000-1. Detta dokument är uttryckt i ”bör” formuleringar.
Idag finns ett flertal ISO-standarder inom IT-branschen som täcker olika områden, som till exempel ISO/IEC 17799 (27001) för informationssäkerhet och ISO/IEC 90003 för applikationsutveckling, men fram till i december 2005 fanns ingen som är inriktad enbart på IT Service Management. ISO/IEC 9001 är en mycket bred och allmängiltig standard som integrerar ISO 20000.
Fotnot: ISO 20000 skall benämnas ISO/IEC 20000 men av tekniska skäl används inte denna benämning i denna text.
|
|
|
Vad händer på standardiseringsområdet inom Service Management och IT Governance.
Sixten Björklund representerar itSMF i arbetet med nationella och internationella standarder inom Service Management och IT Governance och är ordförande i den arbetsgrupp på SIS som arbetar med dessa standarder, TK303/AG2. Här redogör Sixten kort för arbetet med dessa standarder.
Standarden för Service Management, ISO/IEC 20000
Standarden för Service Management, ISO/IEC 20000, har sitt ursprung i ITIL. Standarden utvecklades ur den brittiska standarden BS 15000, vilken i sig togs fram med utgångspunkten att skapa en formell standard av ITIL. Nu säger vi att ISO/IEC 20000 är anpassad till ITIL och vice versa. Den svenska varianten av ISO/IEC 20000 har nu funnits i ca två år och intresset och användningen ökar stadigt, på svenska heter standarden ledningssystem för IT-tjänster. Standarden består idag av två delar:
- Del 1, beskriver krav som ska uppfyllas av den som levererar IT-tjänster.
- Del 2, ger stöd och idéer om vad som kan vara bra att införa eller tänka på för att uppfylla kraven i 20000-1.
Dessa delar ger de som arbetar med ITIL en bra och enkel sammanställning, en checklista, på vad som är viktigt att göra. De som har infört ITIL bör med lätthet kunna uppfylla de krav som ställs i standarden. ISO/IEC 20000 är också underlag för certifiering. Certifiering av organisationer som bevis på att de kan uppfylla ställda krav såväl som certifiering av enskilda personer som bevis på att de har god kunskap om standarden.
Standarden är också lämpad att använda för att ställa krav på sin IT-leverantör. Krav som bidrar till att relationen mellan beställare och leverantör fungerar bra under en avtalsperiod och att förväntningar på varandra är rätt när man går in i avtalen. Det pågår idag arbeten inom offentlig sida där man tittar på hur krav från ISO/IEC 20000 kan införas i allmänna avtal kring tjänsteleverans. Detta är något som även IT-företagen borde göra kring sina avtal. Varför kan vi i IT-branschen inte ta fram någon typ av partsförhandlade avtal liknande de som finns inom byggbranschen? Vi tror att det skulle underlätta för oss alla på marknaden.
Utveckling inom ISO/IEC 20000
Idag pågår ett arbete med utveckling av de två befintliga delarna av standarden för Service Management, dvs ISO/IEC 20000-1 och ISO/IEC 20000-2. En viktig ingrediens i detta arbete är anpassning till ITIL v3. ISO/IEC 20000 och ITIL går hand i hand, ibland är den ena lite före och ibland den andra. ITIL v3 hade som ett syfte att anpassa sig till befintlig version av ISO/IEC 20000 och nu anpassar sig 20000 till ITIL v3.
Förutom detta arbete med utveckling av befintliga standard pågår arbeten med framtagande av komplementära delar för att lättare kunna styra, granska och integrera med andra standarder. Delar som det arbetas med är 20000-3, 20000-4, 20000-5, 15504-8 samt 90006.
ISO/IEC 20000-3 är en vägledning, en teknisk rapport, till hur organisationer som vill certifiera sig ska definiera omfattning/avgränsning (scope) av det område som ska certifieras. Det handlar bl a om vilka tjänster, organisatoriska delar, geografiskt område samt vilka kunder som ska omfattas. Denna vägledning kommer att vara väldigt viktigt för de organisationer som vill certifiera sig. De som certifierar sig idag tillämpar beskrivningar som tillhandahålls av itSMF.
ISO/IEC 20000-4 är också en vägledning. En vägledning till de som önskar utvärdera och bedöma sina processer enligt de regelverk som finns i standarden ISO/IEC 15504. Det är också här som 15504-8 kommer in som en beskrivning av detta för Service Management. Grunder som måste finns för att utvärdera och bedöma processerna, som 20000-4 tar sikte på, är att processernas syfte och processernas resultat för att tillgodose syftet måste vara klart och tydligt beskrivet. Denna vägledning är viktig för revisorer och för de som önskar få sina processer utvärderade och bedömda.
ISO/IEC 20000-5 är en vägledning som beskriver ett stegvis tillvägagångssätt för att nå målet att uppfylla kraven enligt ISO/IEC 20000-1. Den benämns på engelska ”An Incremental Approach: Exemplar Implementation Plan for ISO/IEC 20000-1”. Denna standard kommer att vara viktig för de som vill göra ett stegvis införande av standarden, sannolikt till störts nytta för mindre organisationer som har som mål att bli certifierade. Noteras bör att alla krav i ISO/IEC 20000-1 måste vara uppfyllda för att certifiering ska kunna erhållas – inom det scope som har definierats.
Arbetet med ISO 90006 är något som ska nu ska påbörjas. Avsikten med denna standard är att vara en vägledning för hur krav som ställs i ISO 9001 relaterar till krav som ställs i ISO/IEC 20000. Denna standard kommer att vara viktigt för de organisationer som arbetar med integrerade ledningssystem och som tillämpar både 9000 och 20000.
När dessa arbeten beskrivs kommer direkt fråga – När är det då klart? Som många av er känner till så mal standardiseringens kvarnar långsamt. Det beror på att det är många länder involverade och det är många att ta hänsyn till. Men detta leder också till att det ofta blir bra resultat. De tekniska rapporterna går fortare att ta fram än de standarder som ställer formella krav. Standarder som ställer formella krav är 20000-1 och 20000-2, övriga standarder som nämns ovan är tekniska rapporter. Av dessa kommer sannolikt 20000-3 att vara den som först blir fastställd. Det är den nya standard som är mest angelägen och det är också den som kommit längst i processen. Förhoppningsvis får vi se denna standard under första halvan av 2009.
Standarden för Governance of IT, ISO/IEC 38500
Detta var kort lite om arbetet med standarder för Service Management. Det andra området vi arbetar med i TK303/AG2 är standarden för Governance of IT, dvs ISO/IEC 38500. På svenska heter denna standard Organisationers övergripande styrning av informationsteknik. Standarden släpptes i en första version på engelska i juni 2008.
ISO/IEC 38500 tillhandahåller en uppsättning grundläggande principer för att värdera, leda och övervaka den egna organisationens användning av IT i syfte att främja verksam, effektiv och godtagbar IT-användning. Principerna är riktade till den högsta ledningen i en organisation för att hjälpa dem att förstå och fullgöra sina legala, regulatorisk och etiska åtaganden vad gäller IT-användningen. Standarden omfattar definitioner, principer och en modell för hur styrning ska genomföras.
Det har nyligen tagits beslut om att det ska tas fram en vägledning till hur ISO/IEC 38500 ska användas för att dess syfte ska uppnås. I vägledning kommer det också att finnas råd för hur standarden används parallellt med ramverk som ITIL, CobiT and ValIT.
|
|
|
|
|
|
|
|