Styrning och ledning av IT med stöd av internationella standarder Ledningssystem för IT-tjänster
[email protected] 2013-11-05
© Sip It AB, Sixten Björklund
1
Kort om Sixten • Konsult i eget bolag • Ledning och styrning av IT, outsourcing, upphandling – främst offentlig sektor • Service Management i drygt 10 år • Internationella Standardiseringen – Ordförande i SIS TK303/AG2 (representerar itSMF) – Medlem i ISO JTC1 arbetsgrupper för IT Governance, Service Management, Systems Quality Management, ITES/BPO 2013-11-05
© Sip It AB, Sixten Björklund
2
Agenda • • • • • • •
Ledningssystem Integrerat ledningssystem Säkerhet vs tjänster Ledning och styrning av tjänster Governance Service Management Vad är på gång inom standardiseringen
2013-11-05
© Sip It AB, Sixten Björklund
3
VAD ÄR ETT LEDNINGSSYSTEM
2013-11-05
© Sip It AB, Sixten Björklund
4
Vad är ett ledningssystem – enligt ISO • Grupp av samverkande eller varandra påverkande delar av en organisation för att upprätta policy och mål samt processer för att uppnå dessa mål. – Ett ledningssystem kan gälla ett enda ämnesområde eller flera ämnesområden. – Systemets delar innefattar organisationens struktur, roller och ansvar, planering, verksamhet etc. – Ett ledningssystem kan omfatta hela organisationen, specifika och identifierade funktioner inom organisationen, specifika och identifierade delar av organisationen, eller en eller flera funktioner inom en grupp organisationer. 2013-11-05
© Sip It AB, Sixten Björklund
5
Vad är en tjänst • En kedja av händelser eller aktiviteter i vilken en kund interagerar med ett tjänsteföretag i syfte att tillgodose vissa behov. Tjänsten "finns" inte förrän den upplevs av kunden, och det är vanligt att produktion, leverans och konsumtion av en tjänst sker samtidigt. [≈NE] • Sätt att leverera värde för kunden genom att underlätta de resultat kunden vill uppnå. [ISO20000] 2013-11-05
© Sip It AB, Sixten Björklund
6
Inte bara regler, avtal och dokument • Grupp av samverkande eller varandra påverkande delar av en organisation för att upprätta policy och mål samt processer för att uppnå dessa mål. • VAD: planer, ekonomi, syfte, mål, strategi, uppföljning, sakkunskap, roller, ansvar, metodik, policy, struktur, processer … • HUR: kommunikation, motivation, hantera personer, frågor/svar, gruppdynamik, engagera, konflikthantering, relationer, känslor, coaching … 2013-11-05
© Sip It AB, Sixten Björklund
7
Vad är ett ledningssystem • • • • • • •
Organisationens förutsättningar Ledarskap Planering Stöd Verksamhet Förbättringar Utvärdering av prestanda
2013-11-05
© Sip It AB, Sixten Björklund
8
Vad är ett ledningssystem • • • • • • •
Organisationens förutsättningar Ledarskap • Förstå organisationen och dess förutsättningar Planering • Förstå intressenters behov och förväntningar • Bestämma omfattning Stöd • Upprätta och Upprätthåll ledningssystemet inklusive nödvändiga processer samt arbeta med Verksamhet Ständiga förbättringar Förbättringar Utvärdering av prestanda
2013-11-05
© Sip It AB, Sixten Björklund
9
Vad är ett ledningssystem • • • • • • •
Organisationens förutsättningar Ledarskap Planering • Högsta ledningens ledarskap och åttagande • Policy Stöd • Befattningar, ansvar och befogenheter Verksamhet Förbättringar Utvärdering av prestanda
2013-11-05
© Sip It AB, Sixten Björklund
10
Vad är ett ledningssystem • • • • • • •
Organisationens förutsättningar Ledarskap Planering • Riskhantering • Upprätta mål Stöd • Planera för att nå målen Verksamhet Förbättringar Utvärdering av prestanda
2013-11-05
© Sip It AB, Sixten Björklund
11
Vad är ett ledningssystem • • • • • • •
Organisationens förutsättningar Ledarskap • Resurser Planering • Kompetens • Kunskap om och förståelse för ledningssystemet Stöd • Kommunikation • Dokumentation Verksamhet Förbättringar Utvärdering av prestanda
2013-11-05
© Sip It AB, Sixten Björklund
12
Vad är ett ledningssystem • • • • • • •
Organisationens förutsättningar Ledarskap Planering • Införa, planera och styra processer • Styra ändringar och granska konsekvenser Stöd • Säkerställa att outsourcade processer är styrda Verksamhet Förbättringar Utvärdering av prestanda
2013-11-05
© Sip It AB, Sixten Björklund
13
Vad är ett ledningssystem • • • • • • •
Organisationens förutsättningar Ledarskap Planering • Hantera avvikelser och korrigerande åtgärder Stöd • Ständiga förbättringar Verksamhet Förbättringar Utvärdering av prestanda
2013-11-05
© Sip It AB, Sixten Björklund
14
Vad är ett ledningssystem • • • • • • •
Organisationens förutsättningar Ledarskap Planering • Övervakning, mätning, analys och utvärdering • Intern revision Stöd • Ledningens genomgång Verksamhet Förbättringar Utvärdering av prestanda
2013-11-05
© Sip It AB, Sixten Björklund
15
Ledningssystem ISO 9001 (QMS)
ISO 20000-1 (SMS)
ISO 27001 (ISMS)
Kvalitetsledning
Tjänster
Informationssäkerhet
• Kvalitet i produkter • Processbaserad (definiera själv) • Kundtillfredsställelse • Ständiga förbättringar PCDA
• Upprätthålla tjänster • Processbaserad • Följsam till ITIL • Ständiga förbättringar PDCA
• Skydda info.tillgångar • Åtgärdsbaserad • Hantera risker • Ständiga förbättringar PDCA
2013-11-05
© Sip It AB, Sixten Björklund
16
INTEGRERAT LEDNINGSSYSTEM
2013-11-05
© Sip It AB, Sixten Björklund
17
Integrerat ledningssystem • • • • • • • • •
Olika delar och funktioner inom organisationen Beroenden inom och mellan ledningssystemen Delar som är lika, delar som skiljer Påverkan på kunder, underleverantörer, mfl Påverkan på respektive område Påverkan på system och stödsystem Planering införande, etapper Införande, utbildning och medvetenhet Upprätthåll spårbarhet till krav i respektive standard
2013-11-05
© Sip It AB, Sixten Björklund
18
Integrerat ledningssystem • • • • • • • • • •
Omfattning Organisation för ledningssystemet Policyer Planera aktiviteter Ansvar och befogenheter Riskhantering Processer Rutiner och arbetssätt Termer och begrepp Resurser
2013-11-05
© Sip It AB, Sixten Björklund
19
Scenarios för omfattning (scope)
A
B
A
2013-11-05
B
A
A
© Sip It AB, Sixten Björklund
B
B
20
Organisatoriska gränser
D
A
B
Tjänsteleverantör
Kund
C
2013-11-05
© Sip It AB, Sixten Björklund
21
Analys vid integration Organisation
“Verktygslådan” Separata delar …
Gemensamma delar …
Separata delar …
Likadana delar … 2013-11-05
© Sip It AB, Sixten Björklund
22
SÄKERHET OCH TJÄNSTER
2013-11-05
© Sip It AB, Sixten Björklund
23
Säkerhet och tjänster Informationstillgångar
Organisation Tjänster Processer
Åtgärder “Verktygslådan” Separata delar
Gemensamma delar
Separata delar
Informationsklassning Hantera informationstillgångar
Många delar i processerna
SLA, nya och ändrade tjänster, ekonomi, hantera verksamhet
Likadana delar Ständiga förbättringar, efterlevnad, PDCA, hantera dokumentation m.m. 2013-11-05
© Sip It AB, Sixten Björklund
24
Informationssäkerhet och tjänster ett område för samordning ISO 27001 • Scopet för ISO 27001 behöver inte omfatta tjänsterna.
A
2013-11-05
B
ISO 20000-1 • I ISO 20000-1 ska informationssäkerhet hanteras för tjänsterna • Görs med fördel med ISO 27001
A
© Sip It AB, Sixten Björklund
B
?
A
B
25
Informationssäkerhet viss skillnad i definition ISO 27001 • Bevarande av konfidentialitet, riktighet och tillgänglighet hos information • Med tillgänglighet i ISO 27001 avses såväl åtkomst som användbarhet
2013-11-05
ISO 20000-1 • Bevarande (skydd) av konfidentialitet, riktighet och åtkomst till information • Tillgänglighet används i ISO 20000-1 avseende förmåga hos en tjänst eller tjänstekomponent att fungera som avsett
© Sip It AB, Sixten Björklund
26
Tillgång något som har värde för organisationen ISO 27001 • Tillgångar kopplat till informationssäkerhet
Informationstillgångar
2013-11-05
ISO 20000-1 • Tillgångar kopplat till tjänster, tex licenser • CI - element som ska kontrolleras • CMDB – databas för CI CI
© Sip It AB, Sixten Björklund
27
Risk – hanteras med fördel samordnat osäkerhetens effekt ISO 27001 • Riskbaserad • Kombinationen av sannolikhet och konsekvens
Risk information
2013-11-05
Risk tjänster
ISO 20000-1 • Risk för tjänster • Osäkerhetens effekt på mål • Hantera risk i bla: – – – – –
© Sip It AB, Sixten Björklund
Skapa och hantera SMS Planering av tjänster Förändringar och Releaser Kontinuitetshantering Hantering av CI
28
Incident skillnad att observera ISO 27001 • Informationssäkerhetsincident • en enskild eller en serie av oönskade eller oväntade informationssäkerhetshändelser som har en signifikant sannolikhet att äventyra verksamheten och hota informationssäkerheten
2013-11-05
ISO 20000-1 • Incident •
oplanerat avbrott i en tjänst, en minskning i kvaliteten hos en tjänst eller en händelse som ännu inte har påverkat leveransen av en tjänst till kunden
• Informationssäkerhetsincident • Allvarlig incident • Känt fel • Problem
© Sip It AB, Sixten Björklund
29
LEDNING OCH STYRNING AV ITTJÄNSTER 2013-11-05
© Sip It AB, Sixten Björklund
30
Några standarder för ledning och styrning
2013-11-05
© Sip It AB, Sixten Björklund
31
Grundläggande egenskaper Principer
Processer
Fokus på ”Use of IT”
Fokus på produkter
Organisation Fokus på informationstillgångar
Fokus på tjänster
Informationssäkerhetsåtgärder 2013-11-05
Processer © Sip It AB, Sixten Björklund
32
2013-11-05
© Sip It AB, Sixten Björklund
ITIL
ISO 20000
Cobit
ISO 38500
ISO 27000
ISO 9000
Olika standarder bidrar i olika delar
33
GOVERNANCE OF IT
2013-11-05
© Sip It AB, Sixten Björklund
34
Governance • The process of decision-making and the process by which decisions are implemented (UN ESCAP)
• The action or manner of governing (Oxford dictionary)
Govern: härska, regera, styra, leda, besluta (Nationalencyklopedin)
2013-11-05
© Sip It AB, Sixten Björklund
35
Högsta ledningen • Ansvarar för en effektiv, ändamålsenligt och acceptabel användning av IT inom organisationen • Styr genom formulering av strategier och policys samt genom att mäta och följa upp företagsledningens prestation, användningen av IT • Tydliggöra ansvar, ansvar kan delegeras till företagsledningen avseende delar av den övergripande styrningen • Säkerställa att risker hanteras 2013-11-05
© Sip It AB, Sixten Björklund
36
Governance övergripande styrning
• • • • • • •
Hur engagera högsta ledningen? Vad ska de göra? Vad är IT? Vilken information ska de ha? Hur får de mer information? Vilket ansvar ska de ha? Vilket ansvar vill de ha?
2013-11-05
© Sip It AB, Sixten Björklund
37
ISO/IEC 38500 Högsta Ledning
Rätt
Utvärdera
Prestanda Följsamhet
Följa upp Förslag
Planer Policys
Styra
• • • •
frågor ansvar mandat beslut
på rätt nivå i organisationen
Verkställande ledning
Ledningssystem för användning av IT
2013-11-05
© Sip It AB, Sixten Björklund
38
Tre huvuduppgifter • Utvärdera den nuvarande och framtida användningen av IT • Styra strategier, planer och policys för att säkerställa att IT stöder verksamhetens mål • Följa upp regelefterlevnad och prestation i förhållande till planerna
2013-11-05
© Sip It AB, Sixten 39 Björklund
Sex principer • • • • • •
Ansvar Strategi Anskaffning Prestanda Regelefterlevnad Mänskligt beteende
2013-11-05
© Sip It AB, Sixten 40 Björklund
SERVICE MANAGEMENT
2013-11-05
© Sip It AB, Sixten Björklund
41
Verkställande ledning • Ansvarar för att nå organisationens mål inom ramen för de strategier och policyer som är framtagna, dvs inom ramen för modellen för övergripande styrning • Införa och upprätthålla ett ledningssystem för användning av IT • Effektiv styrning kräver ett effektivt system för uppföljning och intern kontroll i företaget 2013-11-05
© Sip It AB, Sixten Björklund
42
Ledningssystem för tjänster ISO/IEC 20000-1
2013-11-05
© Sip It AB, Sixten Björklund
43
Ledningssystem för tjänster ISO/IEC 20000-1 – ”tjänsteprocesser”
2013-11-05
© Sip It AB, Sixten Björklund
44
VAD HÄNDER INOM STANDARDISERINGEN 2013-11-05
© Sip It AB, Sixten Björklund
45
ISO/IEC 20000-serien Relaterade standarder
Ledningssystem för IT-tjänster
ISO/IEC 20000-4 Referensmodell för processer
ISO/IEC 20000-2 Vägledning
ISO/IEC 20000-3 Vägledning definition av omfattning ISO/IEC 20000-7 Vägledning användning av ISO/IEC 20000-1 för cloud
ISO/IEC 20000-8 Vägledning Service management för små organisationer
ISO/IEC 20000-1 KRAV ISO/IEC 20000-5 Exempel för stegvist införande
ISO/IEC 20000-10 Koncept och terminologi
ISO/IEC 20000-6 Krav på organisationer som utför granskning och certifiering
ISO/IEC 20000-11 Vägledning jämförande med ITIL
ISO/IEC 90006 Vägledning användning av IS0 9001 för service management
ISO/IEC 27013 Vägledning integrerat införande ISO/IEC 27001 och ISO/IEC 20000-1
ISO/IEC 15504-8 Exempel på modell för värdering av processer för service management
= Uppdaterad/publicerad = Under uppdatering = Under framtagande
2013-11-05
© Sip It AB, Sixten Björklund
46
ISO/IEC 38500-serien Övergripande styrning av IT Governance of IT För organisationer Standard under uppdatering Publicering början av 2014
Governance of IT Vägledning för införande Ny standard under arbete
Governance of IT Struktur och modell, egenskaper för governance och management Ny standard, publicering början av 2014
2013-11-05
© Sip It AB, Sixten Björklund
47
Frågor
[email protected]
2013-11-05
© Sip It AB, Sixten Björklund
48
