Методическое руководство для подготовки к профессиональным экзаменам ISO 20000 Foundation / ISO 20000 Foundation Bridge

Лариса Будкова, Роман Журавлёв
Издание компании Cleverics
Редактор – Олег Скрынник

Назад Содержание Вперёд

3.3.18.Рекомендации и практики для процессов предоставления услуг

В этот раздел вошли рекомендации и практики в области трех процессов предоставления услуг: управления непрерывностью и доступностью услуг, управления мощностями и управления информационной безопасностью

Рекомендации и практики в области процесса управления непрерывностью и доступностью услуг

• Обязательства поставщика по обеспечению непрерывности и доступности услуг следует определять с учетом приоритетов бизнеса заказчика, Соглашений об уровне услуг и оценки рисков
• Поставщик услуг должен поддерживать достаточный уровень внутренних возможностей и иметь работоспособные планы для обеспечения доступности согласованных уровней услуг при любых условиях (от нормального функционирования услуги до полной остановки услуги)
• Поставщику услуг следует планировать рост и сокращение численности пользователей или объема данных, подлежащих хранению, ожидаемые пики и провалы загруженности, а также любые другие изменения условий предоставления услуг
• Обязательства поставщика услуг должны содержать не только параметры общей доступности услуг, но и детализацию до различных уровней доступа, отдельных компонентов услуг и параметров поддержки, влияющих на обеспечение доступности и непрерывности (например, учитывать время реакции)
• Для обеспечения предоставления согласованных уровней услуг управление доступностью и управление непрерывностью услуг должны планироваться и исполняться совместно
• В охват процессов управления доступностью и непрерывностью следует также включить те элементы предоставления услуг, которые находятся под контролем заказчика или других поставщиков услуг

Мониторинг доступности и другие виды деятельности по обеспечению доступности услуг

Следующие виды деятельности следует реализовать в рамках управления доступностью:

• мониторинг и регистрация значений параметров доступности услуги
• поддержание в актуальном состоянии исторических данных о доступности услуг и компонентов
• сопоставление фактически достигнутых значений параметров доступности со значениями, определенными в Соглашениях об уровне услуг, выявление несоответствий
• документирование и анализ выявленных несоответствий фактической и плановой доступности услуг и компонентов
• прогнозирование будущих требований к доступности
• прогнозирование вероятных проблем и возможных превентивных действий

Стратегия непрерывности услуг

Поставщику услуг следует разработать и поддерживать в актуальном состоянии стратегию, определяющую общий подход к выполнению обязательств по непрерывности услуг. Разработка стратегии должна включать в себя оценку рисков, определение согласованных часов предоставления услуги и периодов, критичных для бизнеса.

Для каждой группы заказчиков и каждой услуги поставщику следует согласовать параметры:

• максимально допустимую продолжительность незапланированного прекращения предоставления услуги
• максимально допустимую продолжительность предоставления услуги со сниженным качеством
• допустимый уровень понижения качества предоставления услуги во время её восстановления

Стратегию непрерывности услуг следует пересматривать через согласованные интервалы времени, но не реже одного раза в год.

Любые изменения в стратегии должны быть формально согласованы.

Планирование и тестирование непрерывности услуг

Поставщику услуг следует обеспечить, что:

• в планах обеспечения непрерывности услуг учитываются зависимости между услугами и компонентами услуг
• планы обеспечения непрерывности услуг и другие документы, необходимые для обеспечения непрерывности услуг, зарегистрированы и поддерживаются в актуальном состоянии
• ответственность за инициацию действий по выполнению планов обеспечения непрерывности услуг четко определена, распределена ответственность за выполнение действий по достижению каждой цели обеспечения непрерывности услуг
• резервные копии данных, документов и программных средств, а также любое оборудование и персонал, необходимые для восстановления услуг, будут готовы незамедлительно после того, как произошёл крупный сбой или авария
• по крайней мере, одна копия каждого документа по обеспечению непрерывности услуг хранится и поддерживается в актуальном состоянии в защищенном месте на расстоянии, обеспечивающим её безопасность, вместе с оборудованием, необходимым для исполнения планов по обеспечению непрерывности услуг
• сотрудники понимают свои роли в инициации и/или выполнении планов по обеспечению непрерывности услуг, а также имеют доступ к документам по обеспечению непрерывности услуг

Планы обеспечения непрерывности услуг и другие документы, имеющие отношение к планам (например, контракты), должны быть связаны с процессом управления изменениями и процессом управления договорами.

Тестирование готовности к выполнению планов по обеспечению непрерывности услуг, следует проводить с частотой, достаточной для обеспечения уверенности в том, что эти планы эффективны и останутся такими при изменении систем, процессов, персонала и потребностей заказчика. Такая проверка должна выполняться совместно заказчиком и поставщиком услуг, базируясь на согласованном наборе целей обеспечения непрерывности услуг.

Ошибки, выявленные при проведении проверки, следует задокументировать и оценить целесообразность включения действий по их устранению в план улучшения услуг.

Рекомендации и практики в области управления мощностями

• Прогнозы развития бизнеса заказчиков и предварительные оценки рабочей нагрузки следует преобразовать в конкретные требования к услугам и документировать.
• Результат отклонений от согласованной рабочей нагрузки или изменений в окружающей среде должен быть предсказуем, поэтому необходимо регулярно собирать и анализировать данные о ресурсах
• Процесс управления мощностями должен быть центром, координирующим решение всех вопросов в области производительности и мощности предоставляемых услуг
• Процесс управления мощностями должен содействовать созданию новых и внесению изменений в существующие услуги посредством предоставления сведений об объемах (производительности) услуг и моделирования услуг
• В Плане мощностей документируются сведения о фактической производительности инфраструктуры и ожидаемых требований к производительности. Поставщику услуг следует составлять (актуализировать) план мощностей с периодичностью, соответствующей темпу изменений в предоставляемых услугах, объемам предоставляемых услуг, информации, содержащейся в отчетах управления изменениями, а также соответствующей темпу изменений бизнеса заказчика
• План мощностей следует разрабатывать не реже одного раза в год. Документ должен содержать оценку затрат на выполнение бизнес-требований заказчика услуг и предлагаемые решения, обеспечивающие достижение согласованных целевых показателей уровней услуг, определенных в Соглашениях об уровне услуг
• Организации следует иметь четкое понимание своей технической инфраструктуры, а также её текущих и прогнозируемых потенциальных возможностей

Рекомендации и практики в области управления информационной безопасностью

Информационная безопасность – это результат реализации комплекса политик и процедур, созданных для идентификации, контроля и защиты информации, а также любого оборудования, используемого для хранения, передачи и обработки информации.

Всему персоналу поставщика услуг и, в первую очередь, специалистам по обеспечению информационной безопасности, следует быть хорошо знакомыми с ISO/IEC 17799, Сводом практик для управления информационной безопасностью».

Идентификация и классификация информационных активов

Поставщику услуг следует:

• поддерживать в актуальном состоянии инвентаризационные данные об информационных активах (например, о компьютерах, средствах связи, окружающем оборудовании, документации и др.), необходимых для предоставления услуг
• классифицировать каждый актив в соответствии с его критичностью для предоставления услуги и требуемым уровнем защиты, а также назначить владельца актива
• ответственность за защиту информационного актива возложить на владельца этого актива

Меры по оценке рисков в области безопасности

Оценка рисков в области безопасности должна:

• проводиться с согласованной периодичностью
• записываться
• актуализироваться при изменениях (потребностей бизнеса, процессов и конфигураций)
• способствовать пониманию того, что может повлиять на услугу, находящуюся под управлением
• предоставлять информацию для принятия решений о том, какие виды управления необходимо использовать.

Риски, связанные с информационными активами

Риски, связанные с информационными активами, следует оценивать с учетом:

• их природы (например, сбой программного обеспечения, ошибки эксплуатации, отказ средств связи и др.)
• вероятности
• потенциального влияния на бизнес
• накопленного опыта

Безопасность и доступность информации

При оценке рисков особое внимание следует уделить следующим вопросам:

• возможности получения конфиденциальной информации сторонами, не имеющими на это прав
• неточности, неполноте или недостоверности информации
• недоступности информации для использования (например, из-за нарушения энергоснабжения)
• физическому повреждению или уничтожению оборудования, необходимого для предоставления услуг

Также необходимо учесть цели политики информационной безопасности, необходимость выполнения особых требований заказчика услуг в области информационной безопасности (например, к уровню доступности информации) и установленные законодательством или регулирующими органами требования по обеспечению информационной безопасности.

Средства управления и контроля

Дополнительно к другим средствам управления, применение которых может быть оправдано, и к советам, содержащимся в других разделах настоящего стандарта, поставщику услуг в качестве хорошей практики управления информационной безопасностью следует применять следующее:

• высшему руководству необходимо определить свою политику информационной безопасности, довести её до сведения персонала и до заказчиков услуг и осуществлять деятельность, гарантирующую её эффективное исполнение
• роли и ответственности в управлении информационной безопасностью должны быть определены и назначены на соответствующих сотрудников поставщика услуг
• группа ответственных представителей руководства (роль может быть закреплена за сотрудником, исполняющим роль ответственного руководителя) должна осуществлять мониторинг и поддерживать эффективность политики информационной безопасности
• персонал, исполняющий важные роли по обеспечению информационной безопасности, должен проходить соответствующую подготовку
• весь персонал должен быть ознакомлен с политикой информационной безопасности
• для оценки рисков и внедрения средств управления и контроля информационной безопасности должна быть предусмотрена возможность привлечения экспертов
• эффективность работы средств управления и контроля информационной безопасности не должна понижаться при проведении каких-либо изменений
• об инцидентах в сфере информационной безопасности должно быть сообщено согласно процедурам управления инцидентами, а также должна быть инициирована обратная связь

Документы и записи

Записи в области информационной безопасности следует периодически анализировать для предоставления руководству сведений:

• об эффективности политики информационной безопасности
• о выявленных тенденциях в части инцидентов в области информационной безопасности
• о входной информации для актуализации плана улучшения услуг
• о контроле доступа к информации, активам и устройствам

Система управления информационной безопасностью, должна быть корректно документирована.

3.3.19.Рекомендации и практики для процессов поддержки услуг

В этой части рассматриваются рекомендации и практики в области управления инцидентами и проблемами.

Общие рекомендации для процессов разрешения

Управление инцидентами и управление проблемами являются отдельными процессами, но они тесно взаимосвязаны. В рамках управления инцидентами принимаются меры по восстановлению услуги, а в рамках управления проблемами – по выявлению и устранению причин инцидентов.

Установление приоритетов

• Целевые значения параметров услуг для устранения инцидентов или решения проблем должны быть основаны на приоритетах
• Приоритет следует определять на основе учёта степени влияния и срочности
• Степень влияния следует определять на основании размера фактического или потенциального ущерба от инцидента или проблемы для бизнеса
• Срочность следует определять на основании времени от момента обнаружения инцидента или проблемы до момента, начиная с которого инцидент или проблема начнет оказывать существенное отрицательное влияние на бизнес

При определении порядка устранения инцидентов или решения проблем, необходимо обращать внимание на следующее:

• приоритет
• доступность сотрудников соответствующей квалификации
• конкурирующие между собой требования на использование ресурсов
• эффективность/стоимость реализуемого способа решения
• величину общего времени, затрачиваемого на реализацию выбранного решения

Примечание: понятие «приоритет» используется практически во всех процессах управления услугами, но своё основное применение приоритет находит в процессах управления инцидентами и управления проблемами

Обходные решения

• В рамках процесса управления проблемами должен происходить поиск новых и актуализация существующих обходных решений для содействия процессу управления инцидентами в восстановлении услуги самостоятельно пользователями или с помощью сотрудников поставщика услуг
• Известную ошибку следует закрывать только тогда, когда изменение для устранения этой ошибки успешно произведено, или когда ошибка больше не актуальна (например, услуга больше не используется заказчиком)
• Процесс управления проблемами должен иметь доступ к информации о бизнес-аспектах работы заказчиков, находящихся под влиянием проблем
• Информацию об обходных решениях необходимо хранить в базе знаний
• Информацию о применимости и эффективности обходных решений следует сохранять и поддерживать в актуальном состоянии

Рекомендации и практики в области управления инцидентами

Примечание 1:

Процесс управления инцидентами может быть реализован с помощью Службы Сервис-деск, которая действует как точка ежедневного контакта с пользователями.

Примечание 2:

Процесс управления инцидентами следует организовать таким образом, чтобы он был как проактивным, так и реактивным процессом, реагирующим на инциденты, которые влияют или потенциально могут повлиять на услугу и её предоставление, и ориентированным на восстановление предоставления заказчику согласованной услуги, а не на выявление причин инцидентов.

• В охват процесса управления инцидентами следует включить:

  • прием обращений, регистрацию, назначение приоритета и классификацию
  • устранение инцидента на первой линии или назначение на вторую линию для дальнейшей обработки
  • рассмотрение возможных вопросов информационной безопасности
  • отслеживание и управление инцидентом на всех этапах его жизненного цикла
  • проверку результативности решения инцидента и закрытие
  • обеспечение обратной связи с пользователями силами первой линии поддержки
  • эскалацию
• Информация об инциденте может быть передана по телефону, при помощи голосовой почты, при личном контакте, письмом по факсу или электронной почте. Также инциденты могут регистрироваться непосредственно пользователями, имеющими доступ к системе регистрации инцидентов, или на основании сообщений от систем автоматического мониторинга
• Все инциденты следует регистрировать таким образом, чтобы существовала возможность получения и анализа необходимой информации об инцидентах.
• Информацию о достигнутых результатах в ходе решения инцидента, следует доводить до сведения тех сотрудников, на деятельность которых он влияет, или которые могут потенциально оказаться под влиянием этого инцидента
• Все действия по работе с инцидентом должны быть зарегистрированы в записи об инциденте
• Персоналу, реализующему процесс управления инцидентами, необходимо иметь доступ к актуальной базе знаний, содержащей информацию о технических специалистах, о прошлых инцидентах, о связанных с ними проблемах и известных ошибках, об обходных решениях, а также к перечню действий, которые могут помочь в восстановлении предоставления заказчику согласованного уровня услуги
• Заказчикам услуг должна быть предоставлена возможность продолжения бизнес-операций, даже если это связано со снижением качества услуги, например, с помощью блокировки поврежденной функциональности системы. Это необходимо для минимизации отрицательного влияния инцидента на бизнес
• Если причина инцидента неизвестна, но он устранен обходным решением, следует задокументировать этот факт для использования при дальнейшей диагностике проблемы и при возникновении аналогичных инцидентов
• Окончательное закрытие инцидента следует производить только после того, как пользователь, сообщивший об инциденте, подтвердил, что инцидент устранен, и предоставление услуги восстановлено

Значительные инциденты

• Следует четко определить, что является значительным инцидентом и кто имеет право изменить обычный порядок реализации процессов управления инцидентами и управления проблемами
• Для любого момента времени следует четко определить руководителя, отвечающего за устранение значительных инцидентов
• Руководителю, отвечающему за устранение значительных инцидентов, следует предоставить персональные полномочия, позволяющие ему координировать управление всеми аспектами устранения значительных инцидентов
• Этот руководитель должен так же отвечать за эффективность эскалации и обмена информацией по всем вопросам, связанным с устранением значительных инцидентов, со всеми сторонами, вовлеченными в решение инцидента, а также с заказчиками, попавшими под влияние этого инцидента

Примечание: такой уровень полномочий руководителя, отвечающего за устранение значительных инцидентов, может быть временным и действовать только в период решения значительных инцидентов.

• Процесс управления инцидентами должен включать в себя процедуру по проведению анализа значительных инцидентов. Результаты анализа должны использоваться в качестве входной информации для формирования плана улучшения услуг

Рекомендации и практики в области управления проблемами

Процесс должен быть направлен на исследование причин, лежащих в основе появления инцидентов.

• В рамках процесса управления проблемами следует осуществлять предупреждение повторений инцидентов и известных ошибок. При этом необходимо руководствоваться требованиями бизнеса.

Инициация управления проблемами

• Для определения проблем, инциденты следует классифицировать. Классификация инцидентов может быть связана с существующими проблемами и изменениями

Примечание: на начальной стадии регистрации инцидентов в качестве оснований для классификации могут использоваться предоставляемые услуги, области бизнеса заказчика, оказавшиеся под влиянием инцидента, а также сообщенные пользователем признаки проявления инцидента.

Известные ошибки

• Если определена корневая причина инцидента и установлен способ устранения этого инцидента, проблему следует классифицировать как известную ошибку
• Все известные ошибки следует зарегистрировать с указанием услуг, которые оказались или могут оказаться под влиянием ошибки, и конфигурационной единицы, которая, как предполагается, является причиной сбоя
• Информацию об известных ошибках, относящихся к действующим услугам, следует передать в управление услугами и зарегистрировать в базе знаний совместно с обходными решениями
• Известная ошибка не может быть закрыта раньше её успешного устранения

Примечание:

Заказчик или поставщик услуг могут прийти к выводу, что решение слишком дорого или не несет выгоды для бизнеса. В таком случае этот факт следует четко документировать. Запись об известной ошибке следует оставлять открытой, так как могут произойти последующие инциденты и/или могут потребоваться обходные решения и/или потребуется пересмотр установленного способа решения проблемы.

Решение проблемы

После того, как корневая причина инцидента определена и для её устранения определено решение, выполнение этого решения должно быть проведено через процесс управления изменениями.

Обмен информацией

Информацию об обходных и об постоянных решениях проблем, а также о ходе решения проблем, следует доводить до сведения тех сотрудников заказчиков услуг, которые оказались под влиянием этих инцидентов и проблем.

Данную информацию следует доводить до сведения тех сотрудников поставщика услуг, которым она необходима для обеспечения предоставления услуг, находящихся под влиянием таких инцидентов и проблем.

Отслеживание и эскалация

• Ход решения всех проблем должен отслеживаться
• Все спорные вопросы следует эскалировать соответствующим сторонам

• В процесс следует включить:

  • регистрацию передачи ответственности за обработку проблемы в течение её жизненного цикла
  • выявление инцидентов, приводящих к нарушению целевых значений параметров услуг
  • передачу сотрудникам заказчика и поставщика услуг информации, которая необходима им для реализации действий по минимизации отрицательного влияния нерешённых проблем
  • определение точек эскалации
  • регистрацию сведений об использованных ресурсах и принятых действиях

Закрытие инцидента и проблемы

Процедура закрытия инцидента и проблемы должна включать в себя проверку, обеспечивающую что:

• точно зафиксированы сведения о способе разрешения
• выполнена категоризация причины – для облегчения последующего анализа
• при необходимости, заказчик услуги и персонал, обеспечивающий её предоставление, осведомлены о разрешении проблемы
• заказчик подтверждает успешное разрешение проблемы
• если решения проблемы нет или оно не может быть выполнено, то заказчик проинформирован об этом

Анализ проблем

Поставщику услуг следует осуществлять анализ нерешенных и необычных проблем, а также проблем с высоким влиянием.

Анализ проблем предназначен для совершенствования процесса управления проблемами и предупреждения повторения инцидентов и ошибок.

Как правило, анализ проблем включает:

• оценку отдельных инцидентов и статусов связанных с ними проблем
• совещания руководства для определения тех проблем, которые требуют безотлагательных действий по их решению
• совещания руководства для проведения анализа тенденций и передачи результатов анализа в другие процессы управления услугами, например, передачи информации о необходимости соответствующего обучения и подготовки пользователей

Задачи анализа проблем

Анализ проблем должен включать:

• определение тенденций
• выявление повторений проблем с конкретным компонентом услуги или инфраструктуры или компонентами с конкретным месторасположением
• выявление нехватки ресурсов, недостаточной подготовки персонала или некорректной документации
• выявление нарушений стандартов, политик и законов
• выявление известных ошибок в запланированных релизах
• определение готовности сотрудников поставщика услуг к работе по устранению инцидентов и решению проблем
• выявление повторений ранее устранённых инцидентов и решённых проблем

Предложенные улучшения в услугах или в процессе управления проблемами следует зарегистрировать и использовать в качестве входной информации для формирования плана улучшения услуг.

Необходимая информация должна быть добавлена в базу знаний процесса управления проблемами.

Вся соответствующая документация должна быть обновлена, например, руководство пользователя, системная документация и т.д.

Предупреждение проблем

Проактивное управление проблемами должно вести к сокращению количества инцидентов и проблем.

Проактивное управление проблемами должно опираться на информацию, способствующую проведению анализа, такую как:

• информацию об активах и конфигурациях
• информацию процесса управления изменениями
• информацию об известных ошибках и обходных решениях, полученную от поставщиков
• информацию о подобных проблемах, существовавших раньше

Предупреждение проблем должно охватывать различные аспекты, начиная с предупреждения отдельных инцидентов и заканчивая стратегическими решениями. Последнее может потребовать больших затрат на реализацию решения, например, такого, как создание сети обмена данными с большей пропускной способностью. На этом уровне проактивное управление проблемами начинает объединяться с процессом управления доступностью.

В проактивное управление проблемами также следует включать предоставление информации пользователям или проведение обучения с целью уменьшения количества обращений пользователей, а также с целью предупреждения инцидентов, вызванных недостатком знаний или навыков пользователей.

Назад Содержание Вперёд