Tieturi: It governance - muuttuvat standardit

Helsinki, Tampere, Turku, Tukholma, Göteborg | www.tieturi.fi

Business is developing – you should too!

IT governance

- muuttuvat standardit

13.9.2011

Agenda

• Standardit, auditointi ja parhaat käytännöt

• ISO/IEC 20000-1:2011

• ITIL 2011 Edition

• COBIT 5

• Q & A

Copyright © Tieturi Oy 2 itgov-muuttuvat stdt

3

Standardiserkukset - yleiskuva

ITIL® V2 ITIL® 2011 Edition

CobiT®

MOF

ISO/IEC 20000

ISO 9000

CMM CMMI

ISO/IEC 15504

Software Engineering

maturity degree model

IT Management

Framework

Quality Management

standard/methodology

BS 15000

Six Sigma

Adoption of concepts

precedesor

ISO/IEC 27000

(from CobiT V4)

itgov-muuttuvat stdt Copyright © Tieturi Oy

Osa 1:

ISO/IEC 20 000


Muutosloki

• Vain part 1 (shall) on uudistettu, part 2 (should) on :2005

• Yhdenmukaistettu

• ISO 9001

• ISO 27001

• ITIL (”to reflect international usage”)

• Lisätty terminologiaa (esim. service management

system)

• Uusina vaatimuksina uuden palvelun suunnittelu ja

transitio

• Tarkennuksia: yksi lause => usein kokonainen kappale

• n. 250 vaatimusta => n. 300 vaatimusta

itgov-muuttuvat stdt Copyright © Tieturi Oy 5

Esimerkki

Copyright © Tieturi Oy 6

2011:

Changes to the documented service requirements, catalogue of

services, SLAs and other documented agreements shall be

controlled by the change management process. The catalogue

of services shall be maintained following changes to services

and SLAs to ensure that they are aligned.

2005:

The SLAs shall be under control of the change management

process

itgov-muuttuvat stdt

ISO/IEC 20000 and ITIL - relationships


Basics:

IT Service Management

(e.g. ITIL® , MOF, COBIT® )

and Quality Management

(e.g. ISO 9000)

ISO/IEC 20000-2

ISO/IEC

20000-1

SHALL / MUST - HAVE’s

Minimum requirements

Check lists

SHOULD - HAVE’s

Enhancement of part 1

Recommendations

Management responsibility

Establish the SMS

Basic structure ISO/IEC 20000-1:2011


Business relationship management

Supplier management

Budgeting & accounting

for services

Information security

management

Service level management

Service reporting Capacity management

Service continuity &

availability management

Incident and service request management

Problem management

Configuration management

Change management

Release and deployment

management

Control processes

Resolution processes Relationship processes

Design and transition of new or changed services

Service delivery processes

Governance of processes

operated by other parties

Documentation management

Resource management

Service Management System (SMS)

Osa 2:

Copyright © Tieturi Oy

ITIL® is a registered trade mark of the Cabinet Office

ITIL ®

9 itgov-muuttuvat stdt

ITIL 2011 Edition - pääkohdat

• Nimeäminen – versionumerointi poistuu

• Kirjojen rakenne on yhtenevä

• Selkeämpää tekstiä, paremmat kuvat

• Uusia prosesseja, poistettuja prosesseja

• Prosessikuvaukset yhdenmukaistuneet

• Korjauksia määrittelyihin, sisältöönkin

• Uusia prosessikaavioita ja päivitettyjä kaavioita

• Sertifikaatteja ei tarvitse uusia

• Koulutus heti uuden 2011 materiaalin pohjalta

• Suomenkieliset termit


Versionumerointi

• ITIL V1, ITIL V2, ITIL V3 jää pois

• Jatkossa ITIL, tai ITIL 2011 Edition

• Väliaikaisesti ITIL (V3) 2011 Edition

• ITIL Foundation sertifikaatti ennallaan

• Testikysymykset kohdistuvat uuteen painokseen

• Tieturin kurssimateriaalit ajantasalla heti

• ITIL Expert sertifiointikoulutus

• Muutosten merkitys pienempi


ITIL 2011 Edition


Kirjojen muutokset

• Strategia-kirja

• Käsitteitä selvennetty, enemmän esimerkkejä

• Selkeät prosessit ja niiden kuvaukset

• CSI-kirja

• 7 askeleen kehitysprosessia ja sen suhdetta PDCA-sykliin

(Deming Cycle) ja tietämyksenhallintaan selkeytetty

• Kirja jäsennetty paremmin, asiat helpompi sisäistää

• Kaikkien kirjojen rakenne on yhtenevä

• Kaksi ensimmäistä kappaletta samansisältöisiä kaikissa kirjoissa

• Jokaisessa kirjassa kolme yhtenevää liitettä


Kirjojen rakenne

1. Introduction

2. Service management as a practice

3. Service design principles

4. Service design processes

5. -- core book specific contents -- Service design technology-related activities

6. Organizing for service design

7. Technology considerations

8. Implementing service design

9. Challenges, risks and critical success

factors

App. X: Related guidance

App. Y: Risk assessment and management

App. Z: Examples of inputs and outputs

across the service lifecycle


Kuvia selvennetty


Supplier

Management

Suppliers

F E D C B Service A SLA(s)

UCs

SLA(s) SLR(s)

Determine,

document & agree

requirements for

new services,

SLRs & make SLAs

Monitor service

performance

against SLA &

produce service

reports

Conduct service

review & instigate

improvements

within an overall

SIP

Document

standards &

templates

Assist with the

Service Catalogue &

maintain document

templates

Develop

Contacts &

relationships,

record & manage

complaints &

compliments

Collate,

measure &

improve

customer

satisfaction

Review & revise

SLAs, service

scope &

underpinning

agreements

Service

Catalogue

Service

Reports

Support

teams

OLAs

2007 Edition

Lähde: the Cabinet Office ITIL® material

Kuvia selvennetty


2011 Edition

Lähde: the Cabinet Office ITIL® material

Prosessit

• Uusia prosesseja

• Design coordination (SD)

• Business relationship management (SS)

• Strategy management for IT services (SS)

• Muuttunut nimi

• Evaluation => Change evaluation (ST)

• Poistetut prosessit

• Service reporting (CSI)

• Service monitoring (CSI)

• Strategy generation (SS)


Elinkaaren vaiheet ja prosessit


Service

Strategy

Service

Design

Service

Transition

Service

Operation

Cont. Service

Improvement

Strategy

management

for IT services

Design

coordination

Transition planning

and support

Event

management

The seven-step

improvement process

Service portfolio

management

Service catalogue

management

Change

management

Incident

management

Financial

management

for IT services

Service level

management

Service asset and

configuration

management

Request

fulfilment

Service measuring

Service reporting

Demand

management

Availability

management

Release and deployment

management

Problem

management

Business

relationship

management

Capacity

management

Service validation

and testing

Access

management

IT service continuity

management

Change

evaluation

Information security

management

Knowledge

management

Supplier

management


Prosessikuvaukset

• Standarditapa kuvata prosessit,

jokaisella prosessilla mm:

• Tarkoitus, tavoitteet ja rajaus;

purpose, objectives and scope

• Kriittiset menestystekijät ja

niihin liittyvät suorituskyky-

mittarit, critical success factors

(CSF) and key performance

indicators (KPI)

• Rajapinnat muihin prosesseihin

• Useammalla prosessilla on

esimerkkikaavio, vanhoja

kaavioita on tarkennettu

• Rakenne looginen ja

systemaattinen • a.b.1 Purpose and objectives

• a.b.2 Scope

• a.b.3 Value to business

• a.b.4 Policies, principles and basic concepts

• a.b.5 Activities, methods and techniques

• a.b.6 Triggers, inputs, outputs and interfaces

• a.b.7 Information management

• a.b.8 CSFs and KPIs

• a.b.9 Challenges and risks


Muutoksenhallinnan tarkoitus (purpose)

Edition 2011:

To control the lifecycle of all changes, enabling beneficial changes

to be made with minimum disruption to IT services

Edition 2007:

To ensure that:

standardized methods and procedures are used for efficient and

prompt handling of all changes

all changes to service assets and configuration items are recorded

in the Configuration Management System

overall business risk is optimized


Lähde: the Cabinet Office ITIL® material.

.

Change management

Purpose: > To control the lifecycle of all changes, enabling beneficial changes to be made with minimum disruption to IT services

Objectives: • Respond to changing business requirements

while maximizing value, reducing incidents, disruption and re-work

• Respond to requests for change that will align services with business needs

• Ensure changes are recorded and evaluated and that changes are prioritized, planned, tested, implemented, documented and reviewed in a controlled manner

• Ensure that all changes to CIs are recorded in the CMS

• Optimize overall business risk – it is often correct to minimize business risk, but sometimes it is appropriate to knowingly accept a risk because of the potential benefit

Scope: What is in scope ..

• Changes to IT services and configuration items

• Covers changes to any of the five aspects of service design; e.g. service solutions including functional requirements, resources and capabilities needed

• Includes changes to architectures, processes, tools, metrics and documentation

.. and out of scope

• Out of scope is usually departmental organization, policies and business operation and operational level changes like repair to printers



.


Häiriönhallinta - esimerkkikaavio


.

itgov-muuttuvat stdt 22


Palvelupyyntö-

prosessi -

esimerkkikaavio

itgov-muuttuvat stdt 23


.

Määrittelyt

• Incident (häiriö) = suunnittelematon katkos

• Incident management, täsmennetty

• Known error–määritelmä ennallaan

• CSI approach, oli CSI-model

• CSI register, uusi


Häiriönhallinta (Incident management)

Edition 2011:

The process responsible for managing the lifecycle of all incidents.

Incident management ensures that normal service operation is

restored as quickly as possible and the business impact is minimized.

Edition 2007:

Incident Management is the process for dealing with all incidents; this

can include failures, questions or queries reported by the users

(usually via a telephone call to the Service Desk), by technical staff, or

automatically detected and reported by event monitoring tools.



.

Roolit

• Geneeriset roolit prosesseille: owner, manager, practitioner

• Change management process owner, change management process manager,

change practitioner

• Myös muita rooleja:

• Change initiator, change authority, CAB member, CAB chair

• Service manager –rooli muutettu yleisnimitykseksi

• Product manager –rooli poistunut

• Viittaukset korvattu service owner-roolilla


Service manager

Mitä tarkoitetaan palvelupäälliköllä (Service manager)?

Palvelupäällikkö on yleinen termi mille tahansa palvelutuotannon

päällikköroolille.

Yleisimmin termiä käytetään viittaamaan liikesuhdevastaavaan

(Business relationship manager), prosessipäällikköön tai yleisesti IT-

palveluista vastaavaan johtotason henkilöön.

Palvelupäällikölle kuuluu usein esimerkiksi liikesuhteidenhallinnan,

palvelutasonhallinnan ja jatkuvan palvelun parantamisen tehtäviä.


Selventävää sisältöä

• Taloudenhallinnan prosessi (SS)

• Käsitteet budgeting, accounting, charging tuotu takaisin

• Palvelusuunnittelu (SD)

• Palvelusuunnittelun näkökulmia selvennetty

• Palvelun siirtymistä palveluportfolion sisällä selkiytetty

• Palvelukehitysputki, palveluluettelo, käytöstä poistetut palvelut

• Milloin ja millä perusteella palvelukuvaus asiakkaan nähtäväksi

• Palveluluettelon jakautumista asiakas-/tekniseen-näkymään

selvennetty

• Palvelutransitio (ST)

• CI, CMS ja SKMS käsitteiden kuvausta parannettu


Selventävää sisältöä

• Palvelutuotanto (SO)

• Kaikille prosesseilla nyt esimerkkikaaviot

• Aiempia kaaviota parannettu

• Palvelupyynnön, palvelupyyntömallin ja ennakoivan

ongelmanhallinnan käsitteitä selvennetty

• Jatkuva palvelun parantaminen (CSI)

• CSI-rekisteri esitelty uutena käsitteenä

• Sisältää kaikki kehitysehdotukset

• Toteutettavien ehdotusten valinnan ja priorisoinnin väline

• CSI-mallin nimi muutettu CSI-lähestymistavaksi

• Palvelun mittaaminen ja raportointi eivät ole enää prosesseja

• 7 askeleen kehitysprosessin kuvausta täsmennetty


Suomenkieliset termit

• itSMF Finlandin työryhmä Liisa Torkkeli, Pirkko Lankinen, Marianne Vapaavuori,

Timo Hyvönen, Ben Kalland

• Valmistui 7.9.2011. Tärkeimmät havainnot:

• ITIL, CI, IT, CMDB – isoilla

• palvelu, prosessi, ongelma - pienillä

• Incident = häiriö, prosessi on häiriönhallinta

• Known error = tunnettu virhe

• Charter = perustamiskirja

• Service provider = palveluntuottaja


Osa 3:

COBIT


®

COBIT® is a registered trademark of ISACA and the IT Governance Institute

Cobit 5

Governance and

Management Processes

Cobit 5:n elementit

Copyright © Tieturi 34

Ohjaus Monitorointi

Arviointi

EDM

Yrityksen hyvän hallintotavan prosessit Viitekehys

Sidosryhmät

Resurssit

Arvo Riskit

Yhdenmukaisuuden, suunnittelun

Ja organisoinnin prosessit (12 kpl)

APO

BAI

DSS

MEA

Kokoamisen, hankinnan ja

käyttöönoton prosessit (8 kpl)

Palveluiden tuottamisen ja

tukemisen prosessit (8 kpl)

Seurannan

ja

arvioinnin

prosessit

3 kpl

IT:n hyvä hallintatapa / Cobit 5

Copyright © Tieturi

Toiminnan ja

IT:n sidos

Palvelun

kehitys-

vaatimukset

Hyödyt

toiminnalle

Palveluiden

hallinta

Portfilioiden

hallinta

Liiketoiminta-

tavoite Mittaaminen

EA

-Investointi

- ohjelma

- projekti

Riskit Arvo

- CobiT - ITIL

Build

Deliver

Align,Plan,

AS8015

ISO38500

Togaf

Zachman

35

Cobit 5 EDM


Yrityksen hyvä hallintotapa

EDM 1: Luo ja ylläpidä hyvän hallintotavan viitekehystä

EDM 2:

Varmista arvon

luonnin optimointi.

EDM 5:

Varmista toiminnan

läpinäkyvyys

sidosryhmille.

EDM 3:

Varmista riskien

hallinnan optimointi.

EDM 4:

Varmista resurssien

käytön optimointi.

Ydintoiminta-

strategia

ICT-

strategia


Cobit 5 APO

Aktiivinen ydintoiminnan tavoitteiden

tukeminen

Portfolioiden hallinta:

Investointi – ja

projektiportfoliot

Kokonais-

arkkitehtuuri

ICT-riskit ICT- laatu Prosessit HR Innovaatiot

Talous

Palvelun tuottajat -> sopimusten hallinta

KONTROLLIT

37

Cobit 5 BAI


Ydintoiminta-

strategia Projektien ja

Hankkeiden

hallinta

Vaatimusten

hallinta

Muutoshankkeiden

johtaminen

Palveluiden

kehittyminen /

muutos

Muutoksen hallinta

Kyvykkyyden hallinta

- Organisaatio

- Johtaminen

- Osaaminen

38

Cobit 5 DSS


Ydintoiminnan prosessit

39

Kontrollit

Jatkuvuus

Turvallisuus

Palvelutuotanto

Palvelupyynnöt

Tapahtumat

Ongelmat

Tuotantoon

liittyvät

Omaisuudet

Ja

Konfiguraatio

Cobit 5 MEA


Hyvän hallintotavan ja prosessien hallinnan

seuranta ja arviointi

Suorituskyvyn

ja

Vaatimusten-

mukaisuuden

arviointi

Sisäisten

kontrollien

toimivuuden

seuranta.

Ulkoisten

vaatimusten (lait, asetukset yms)

noudattamisen

arviointi ja

seuranta


Q & A

Kiitos!

Ben Kalland, Jari Kasslin, Jukka Tenkamaa [email protected]

Tieturi Oy, Tammasaarenkatu 5, 00180 Helsinki, www.tieturi.fi

tel. +358 (0) 10 432 1000
