OPPILAITOSPORTAALI

1. OPPILAITOSPORTAALI

2. ISO/IEC 20000 -standardisarja(IT-palvelujen johtaminen ja hallinta) Vaatimusstandardi ISO/IEC 20000-1 Ohjeistostandardit, osat 2, 3, 5 Arviointistandardit, osat 4 ja 8

3. Tervetuloa luentoaineiston käyttäjäksi! Tämän luentoaineiston ovat laatineet Risto Nevalainen FiSMA ry:stä ja Jyrki Lahnalahti Inspecta Oy:stä. Kalvosarja on tuotettu SFS:n projektirahoituksella. Aineisto on suunnattu ammattikorkeakoulujen ja yliopistojen opettajille ja opiskelijoille. Kalvosarja esittelee IT-palvelujen hallinnan standardin ISO/IEC 20000 keskeisen sisällön sekä työn alla olevat uudistukset. Tässä kalvosarjassa ei käsitellä kaikkia IT-palvelujen hallinnan standardeja yksityiskohtaisesti, vaan yleisen johdanto-osan jälkeen esitellään lähinnä osan 1 vaatimuksia ja palvelujen hallinnassa tarvittavia prosesseja.

4. Aineiston käyttö ja tekijänoikeudet • Tämän luentoaineiston tekijänoikeudet omistaa Suomen Standardisoimisliitto SFS ry. • Esitystä saa vapaasti käyttää opetustarkoituksiin ja sitä saa tarvittaessa muokata. Aineistoa lainattaessa lähde tulee mainita. • Aineiston käyttö kaupallisiin tarkoituksiin on kielletty. • Tämä materiaali on päivitetty viimeksi 27.8.2012.

5. Sisältö • IT-palveluiden hallinta • Standardien ja mallien kokonaisuus • Hieman ISO/IEC 20000:n viitekehyksestä • ISO/IEC 20000 -standardiperhe • Hallintajärjestelmä ISOn standardeissa • PDCA-sykli • Yksittäiset vaatimukset ja prosessit • Palvelujen hallinnan järjestelmä (Osan 1 luku 4) • Palvelujen kehittäminen (luku 5) • 13 prosessia palvelujen tuottamiseen ja hallintaan (luvut 6–9)

6. Mitä on IT-palveluiden hallinta? • Tietotekniseen infrastruktuuriin tai ohjelmistoihin liittyvä tuki- ja palvelutoiminta • Ei laitekauppaa eikä ohjelmistoprojekteja • Tyypillisesti jatkuvaa toimintaa pikemmin kuin määräaikaista tai projektimuotoista • Esimerkkejä: tuotannon valvonta, help desk, ylläpito, Saas, ympäristöjen tasaus ja hallinta • Muutaman vuoden takaa suhdelukuja • UK:ssa laitekaupan ja IT-palveluiden taloudellisen arvon suhde (noin) 1:15 • kulmakerroin nyt vielä jyrkempi • Vaikuttavia tekijöitä • Ulkoistukset, off-shore-hankkeet, raudan muuttuminen bulkkitavaraksi • Teknologiatrendit, open source, pilvipalvelut, X-aas

7. Mikä on ISO/IEC 20000? Customer reqs Service Management System Cust. satisf. Business reqs Processes Business results Tools, facilities, resources Service Desk New services Roles, responsibilities Other processes Other processes Quality assurance Service A Service B Service C Service D Service E Service F

8. ISO/IEC 20000:n paikka standardien maailmassa

9. ISO/IEC 20000:n eri osat ja ISO/IEC 15504 (SPICE) Julkaistu huhtikuussa 2011 Julkaistu 2012 tammikuussa Julkaistu 2009 Julkaistu 2010 Työn alla, tulossa 2012 lopussa? Julkaistu 2010

10. Standardisarja ISO/IEC 20000: osa 1 • Information technology – Service Management – Part 1: Service management systems requirements • vaatimusstandardi, käytetään mm. sertifioinnin referenssistandardina • se osa sarjasta, jonka ympärille muut rakentuvat ja jota ne tukevat

11. Standardisarja ISO/IEC 20000: osa 2 • Information technology – Service management – Part 2: Guidance on application of service management systems • osan 1 vaatimuksia täydentävä ohjeistus • hyödyllinen esimerkiksi vaatimusten tulkintaa täsmennettäessä

12. Standardisarja ISO/IEC 20000: osa 3 • Information technology — Service management — Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1 • ohjeistusta erityisesti sertifiointia suunnittelevalle organisaatiolle • erittäin hyviä esimerkkejä verkostoista

13. Standardisarja ISO/IEC 20000: osa 4 (ja osa 8) • osa 4: Information technology - Service management - Part 4: Process reference model • puhdas prosessimalli kaikkiin vaatimusstandardin alueisiin, myös kappaleet 4 ja 5 • (mahdollisesti) osa 8: Information technology — Process assessment — Part 8: An exemplar assessment model for IT service management

14. Standardisarja ISO/IEC 20000: osa 5 • Information technology - Service management - Part 5: Exemplar implementation plan for ISO/IEC 20000-1 • vaiheittainen implementointitapa vaatimuksiin tavoitteena sertifiointi

15. ISO/IEC 20000 -standardin kytkennät muihin standardeihin ja malleihin • malleja tekemiseen • ITIL v2 ja v3 • CMMI for Services • COBIT • teknologiavalmistajien malleja (Microsoft, IBM, …) • joitakin kansallisia malleja (Hollanti, …) • malleja arviointiin ja/tai sertifiointiin • CMMI for Services • COBIT • ISO 9001

16. ITIL – Information Technology Infrastructure Library • kokoelma kirjoja, jotka dokumentoivat prosesseina parhaita käytäntöjä IT-palveluiden hallintaan ja tukeen • huomaa: malli ei ota kantaa palveluiden tai tuotteiden laatuun • kehitystyö käynnistyi Isossa-Britanniassa 1980-luvulla julkisen hallinnon toimesta • muodostunut de-facto-standardiksi omalla alueellaan • erilaisia henkilösertifikaatteja (Foundation, Expert, Master, …)

17. COBIT v 4.1 • paljon palvelunhallintaan liittyviä prosesseja (control objectives) ja niille tehtäviä (activity) • dokumentit, mittarit, vastuut määritelty hyvin tarkkaan • ISO/IEC 20000 kattaa vain osan COBITin maailmasta, mutta menee siinä tarkemmalle tasolle • Uusi versio 5.0 julkaistiin toukokuussa 2012

18. Mitä hyötyä kyvykkyysarvioinneista (CMMI, SPICE)? • ISO/IEC 20000-1 sisältää joukon eritasoisia vaatimuksia, jotka ovat kuitenkin samanarvoisia: kaikki pitää täyttää • ”The description of each service report, including its identity, purpose, audience, frequency and details of the data source(s), shall be agreed between the service provider and interested parties.” • ”Information shall be provided to the change management process to support the assessment of the impact of requests for change on releases and plans for deployment.” • Kuinka tietää arvioinnin pohjalta, mihin suunnata kehittämispanostuksia, missä suurimmat heikkoudet ovat? • Mikä on taso muihin yksiköihin tai yrityksiin nähden? • ”Tietysti olemme hyviä (?), mutta kuinka hyviä?”

19. IT-palvelujen hallinnan järjestelmä ja palvelujen kehittäminen (luku 4 ja 5) – joitakin poimintoja

20. ISO/IEC 20000 jäsentely (osa 1)

21. PDCA ja SMS nähtyinä prosesseina (osa 4)

22. Luku 4. PDCA-malli IT-palvelujen hallinnassa • Plan: establishing, documenting and agreeing the SMS • Do: implementing and operating the SMS • Check: monitoring, measuring and reviewing the SMS • Act: taking actions to continually improve performance of the SMS and the services

23. Luku 5. Design and transition of new or changed services • Palvelun kehittämisen pitää olla koko ajan aktiivista • Uusien vaatimusten keruu • Muutospyyntöjen keruu • Muutosten mahdolliset vaikutukset palvelujen hallintaan, asiakkuuteen yms. • Palvelun muuttaminen pitää yksilöidä (spesifikaatio) • As input to planning, the service provider shall take into consideration the potential financial, organizational, and technical impact of delivering the new or changed services. • Palvelu pitää testata ja siirtää Release and deployment -prosessille (luku 9.3) otettavaksi käyttöön

24. Yksittäiset prosessit pikalukuna (osa 1, luvut 6–9)

25. 6.1 Service level management • sovittava asiakkaan kanssa, mitä ja miten toimitetaan • Keskeinen termi: service requirement • needs of the customer and the users of the service, including service level requirements, and the needs of the service provider • kuvattava paitsi palvelut, myös niiden väliset riippuvuudet • muutokset, myös vaatimuksiin, käsiteltävä muutoshallinnan kautta • seurattava myös palvelutasojen trendejä ja tunnistettava kehittämiskohteet • erikseen mainittu vaatimukset asiakkaan ja sisäisen alihankkijan (internal group) välisestä SLA:sta

26. 6.2 Service reporting • sovittava eri osapuolien kesken kunkin raportin elementit ja mm. yksityiskohdat tietolähteestä (!) • interested party • person or group having a specific interest in the performance or success of the service provider’s activity(ies) • EXAMPLES: Customers, owners, management, people in the service provider’s organization, suppliers, bankers, unions or partners. • raporttien on perustuttava palveluiden hallinnasta kertyviin tietoihin • ei mutua  • asiakastyytyväisyydestä täytyy raportoida paitsi mittaustulokset ja reklamaatiot niin myös näiden analyysit

27. 6.3 Service continuity and availability management • Continuity: palvelun jatkuvuus perustuen suunnitelmaan ja uhkiin varautumiseen • Availability: palvelun saatavuus perustuen vaatimuksiin ja lupauksiin asiakkaalle • rakenne ja vaatimukset muuttuneet merkittävästi 2005-versioon verrattuina • esillä jatkuvuuden ja käytettävyyden hallinnan kokonaisvaltaisuus • erotettu selkeämmin toisistaan jatkuvuus ja käytettävyys • kytkeytyy tietoturvallisuuteen mm. riskien arvioinnin kautta • linkkejä muihinkin prosesseihin kuten kapasiteetin hallinta, muutoshallinta ja palvelutasonhallinta

28. 6.4 Budgeting and accounting for services • Palvelun talouden hallinta: kustannuslaskenta, resurssointi, investointitarpeet... • tehtävä budjetteja ja seurattava näiden toteutumista • tiedettävä palvelukohtaisesti kokonaisuutena tuotantokustannukset • pystyttävä tarjoamaan tietoa muutosten kustannuksista • Pääasiana kuitenkin palvelun ”kirjanpito” eli toteutuneiden kustannusten raportointi sekä käyttäminen palvelun hallinnassa ja kehittämisessä

29. 6.5 Capacity management • paitsi teknisen kapasiteetin niin myös henkilöresurssien tehokkaan käytön ja riittävyyden varmistaminen • sovittava kapasiteettivaatimukset asiakkaan ja mm. alihankkijoiden kanssa • oltava muutoshallinnan alainen, toteutettu kapasiteettisuunnitelma a) current and forecast demand for services; b) expected impact of agreed requirements for availability, service continuity and service levels; c) time-scales, thresholds and costs for upgrades to service capacity; d) potential impact of statutory, regulatory, contractual or organizational changes; e) potential impact of new technologies and new techniques; f) procedures to enable predictive analysis, or reference to them. • viimeisenä vaan ei vähäisenä • The service provider shall provide sufficient capacity to fulfil agreed capacity and performance requirement

30. 6.6 Information security management • Tietoturvan aikaansaamisen kontrollit, esim. roolikohtaiset valtuudet , fyysinen kulunvalvonta, varmuuskopioinnit. • Vahvistettu ja parannettu huomattavasti 2005-versioon verrattuna, eli tietoturvan merkitys korostuu myös palvelujen hallinnassa • erityisesti riskien hallinta • Tietoturva-insidenttien kirjaaminen • Prosessi on linjattu ISO/IEC 27000 -sarjan terminologiaan ja keskeisiin vaatimuksiin • Koskee sekä palveluiden tuottamista että palveluntarjoajan omien tietojen hallintaa

31. 7.1 Liiketoimintasuhteiden hallinta (1/2) • Tunnistetut ja kirjatut asiakkuudet, käyttäjät ja muut osapuolet (interested parties) • Vastuuhenkilö kutakin asiakkuutta kohti, vastuuna suhteiden hoito ja asiakastyytyväisyys • Pitää olla asiakaskohtainen tiedottamisen menettely. • ” The communication mechanism shall promote understanding of the business environment in which the services operate and requirements for new or changed services. This information shall enable the service provider to prepare to respond to these requirements.” • Palvelujen tehokkuus pitää käydä läpi yhdessä asiakkaan kanssa määrävälein (with planned intervals).

32. 7.1 Liiketoimintasuhteiden hallinta (2/2) • Palvelun muutostarpeet hallitaan muutoshallinnan prosessilla. SLA-muutosten osalta koordinointi palvelutason hallinnan prosessin kanssa. • Asiakasvalituksille pitää olla sovittu, dokumentoitu menettely asiakkaan kanssa. Valituksen tila pitää hallita: • The service provider shall record, investigate, act upon, report and close service complaints. • Where a service complaint is not resolved through the normal channels, escalation shall be provided to the customer. • Asiakastyytyväisyys pitää mitata määrävälein. Otoksen pitää kattaa sekä asiakkuus että käyttäjät. Tuloksia pitää analysoida ja käydä läpi mahdollisten kehityskohteiden tunnistamiseksi.

33. 7.2 Toimittajasuhteiden hallinta • Toimittajiin kohdistuu samat vaatimukset kuin itselle: • The service provider shall agree with the supplier service levels to support and align with the SLAs between the service provider and the customer. • Vastuista toimittajan kanssa pitää sopia: • The service provider shall ensure that roles of, and relationships between, lead and sub-contracted suppliers are documented. The service provider shall verify that lead suppliers are managing their sub-contracted suppliers to fulfil contractual obligations. • Toimittajan suoriutumista omista vastuistaan pitää seurata ja valvoa jatkuvasti • Osassa 3 on joukko esimerkkitilanteita palvelujen tuottamisesta monen osapuolen toimesta

34. Part 3: esimerkki toimittajaverkostoista ja palveluiden laajuudesta (Scope statement) – sisäinen palvelujen tuottaja • Scope statement: The SMS that supports the delivery of all internal IT services to Customer C by the internal service provider of Customer C.

35. Part 3: esimerkki toimittajaverkostoista ja palveluiden laajuudesta (Scope statement) – service desk ja ylläpito ulkoistettu • Scope statement: The SMS that supports the provision of all infrastructure management services to Customer E by the internal service provider of Customer E.

36. 8.1 Incident and service request management • erotettu toisistaan incident ja servicerequest • oltava dokumentoidut periaatteet molempien käsittelyyn, jotka voivat toki olla samoja • major incident -menettelyllemerkittäviävaatimuksia • huomio • tästä ITILin soveltaminen yleensä aloitetaan

37. 8.2 Problem management • standardin tärkein laadunparantamisprosessi • muuten sama menettelyvaatimus kuin insidenteille, mutta mukana myös tunnistaminen ─ on siis oltava kuvattu miten ongelmat tunnistetaan • juurisyyt on etsittävä ja keinot poistaa ne on löydettävä • The service provider shall analyse data and trends on incidents and problems to identify root causes and their potential preventive action. • tarvittaessa tehtävä muutospyyntö(jä), todettava väliaikaisratkaisuja ja tunnettuja virheitä on kirjattava • prosessin toimivuutta ja vaikuttavuutta on seurattava ja raportoitava

38. 9.1 Configuration management (1/2) Osat ja palaset ojennukseen • konfiguraatiotietokannan (CMDB) portinvartijaprosessi • atomitasolla on määriteltävä mikä on • configuration item CI • element that needs to be managed in order to deliver a service • arviointikäytäntö • CMDB voi koostua useasta eri tietojärjestelmästä, sen ei tarvitse olla yksi tietokanta tai ohjelmisto

39. 9.1 Configuration management (2/2) Osat ja palaset ojennukseen • CMDB:n luotettavuus on varmistettava mm. käyttöoikeuksien, ohjeiden, jäljitettävyyden ja suunniteltujen auditointien avulla • CMDB:n tietojen hallinnan tasossa otettava huomioon mm. palvelun vaatimukset ─ ei siis tarvitse tavoitella kaikilta osin samaa korkeaa tasoa • The degree of control shall take into consideration the service requirements and risks associated with the CIs. • oltava keino tallentaa baseline ennen julkaisua • A configuration baseline of the affected CIs shall be taken before deployment of a release into the live environment. • vaatimuksenakirjasto tai varasto mm. dokumentteja, lisenssitietojajaohjelmistojenasennuspakettejavarten • kytkentä taloushallinnon prosesseihin varmistettava

40. 9.2 Change management • standardin megaprosessi • viittauksia lähes kaikista muista prosesseista • Muutoshallinnalta vaaditaan enemmän kuin aiemmissa versioissa, uusia vaatimuksia mm. • Muutoshallintapolitiikka: voi sisältää monenlaisia menettelyjä • major impact -muutokset (esim. palvelun lopettaminen ja siirto) • linkitys kappaleeseen 5 (Design and transition of new or changed services) • request for change -käsitettä tarkennettu ja nostettu enemmän esiin • proposal for a change to be made to a service, service component or the SMS • NOTE A change to a service includes the provision of a new service or the removal of a service which is no longer required. • palautumissuunnittelun testaus ja epäonnistuneiden muutosten analysointi

41. 9.3 Release and deployment management • release • collection of one or more new or changed configuration items deployed into the live environment as a result of one or more changes • keskeistä asennusten/julkaisuiden suunnitelmallisuus ja riskien hallinta • muutoksia ei viedä tuotantoon kuin julkaisujen kautta • puoli-identtinen kaksonen muutoshallintaprosessille • yhdenmukaisuus vielä vahvempi kuin 2005-versiossa

42. Standardin kehitystyö lähitulevaisuudessa • Kukin osa uusitaan oman aikataulunsa mukaan • Part 2 julkaistiin vuoden 2012 alussa • Part 3 uusi versio loppusuoralla • Part 5 uusiminen myös käynnissä • Lisäksi uusia osia tulossa kaiken aikaa, esim. • ISO/IEC 20000-7: uusi projekti aiheesta palvelunhallinta pilvipalveluissa (Guidance on the application of ISO/IEC 20000-1 to the cloud). • ISO/IEC TR 20000-10: dokumentti ISO/IEC 20000 -standardisarjan konsepteista ja terminologiasta. • ISO/IEC TR 20000-11: kartoitus osan 1 ja muiden viitekehysten välisistä suhteista.

43. Standardin käyttökokemuksia Suomessa • Laajaa mielenkiintoa sekä käsikirjamaiseen käyttöön että ulkoiseen sertifiointiin • Sisäisen auditoinnin käyttöön • Palvelujen jatkuvaan kehittämiseen • Joko palvelu- tai asiakaskohtaisten tai yleisten sertifikaattien myöntäminen • Standardi on verraten yksityiskohtainen (Osa 1 sisältää 256 vaatimusta), joten se ei sovellu ihan vasta-alkajille • Käytön voi kuitenkin aloittaa joistakin prosesseista, esim. Incident Management

44. Lisätietoa standardeista • Standardiperheestä vastaa kansainvälinen ISO/IEC JTC 1/SC7 -alikomitea, erityisesti sen työryhmä 25 (WG 25 IT Service Management). Moni muukin SC7:n työryhmä on mukana IT-palvelujen standardien laadinnassa. • Suomen osalta FiSMA ry (Finnish Software Measurement Association) seuraa SC7-alikomitean ja sen työryhmien työtä ja laatii kansallisia kannanottoja.