OPPILAITOSPORTAALI ISO IEC 20000 -standardisarja IT-palvelujen johtaminen ja

OPPILAITOSPORTAALI

ISO/IEC 20000 -standardisarja (IT-palvelujen johtaminen ja hallinta) Vaatimusstandardi ISO/IEC 20000 -1 Ohjeistostandardit, osat 2, 3, 5, 9, 10 Arviointistandardit, osa 4 ja ISO/IEC 15504 -8

Tervetuloa luentoaineiston käyttäjäksi! Tämän luentoaineiston ovat laatineet Jyrki Lahnalahti Inspecta Sertifiointi Oy: stä ja Risto Nevalainen Fi. SMA ry: stä. Kalvosarja on tuotettu SFS: n projektirahoituksella. Kalvosarja esittelee IT-palvelujen hallinnan standardisarjan ISO/IEC 20000 eri osat sekä työn alla olevat uudistukset. Yksityiskohtaisesti käsitellään standardisarjan osan 1 sisältö. Aineisto on suunnattu ammattikorkeakoulujen ja yliopistojen opettajille ja opiskelijoille. Aineistoon pohjautuva opetuskokonaisuus on 3 oppituntia, kukin kestoltaan 45 minuuttia. Suositeltavat oppituntikokonaisuudet ovat • tunti 1: sivut 6 - 25 • tunti 2: sivut 26 - 43 • tunti 3: sivut 44 - 59 3

Aineiston käyttö ja tekijänoikeudet Tämän luentoaineiston tekijänoikeudet omistaa Suomen Standardisoimisliitto SFS ry. Esitystä saa vapaasti käyttää opetustarkoituksiin ja sitä saa tarvittaessa muokata. Aineistoa lainattaessa lähde tulee mainita. Aineiston käyttö kaupallisiin tarkoituksiin on kielletty. Tämä materiaali on päivitetty viimeksi 18. 12. 2015. 4

Sisältö • IT-palveluiden hallinta ja ISO/IEC 20000 • ISO/IEC 20000 ja muut standardit ja mallit • hallintajärjestelmät ja erityisesti palvelunhallintajärjestelmä • ISO/IEC 20000 -1: n sisältö – palvelunhallintajärjestelmä (osa 1, kohta 4) – prosessit palvelujen kehittämiseen, toimittamiseen, hallintaan ja ohjaamiseen (osa 1, kohdat 5– 9) • standardisarjan kehitystyö ja käyttökokemuksia 5

IT-palveluiden hallinta ja ISO/IEC 20000

Mitä on IT-palveluiden hallinta? • tietotekniseen infrastruktuuriin tai ohjelmistoihin liittyva tuki- ja palvelutoiminta – ei laitekauppaa eikä ohjelmistoprojekteja – tyypillisesti jatkuvaa toimintaa pikemmin kuin määräaikaista tai projektimuotoista – esimerkkejä: tuotannon valvonta, Service Desk, ylläpito, Saa. S, ympäristöjen tasaus ja hallinta • vaikuttavia tekijöitä – ulkoistukset, off-shore-hankkeet, palveluiden suhteellisen arvon raju kasvu laitteiden muuttuessa ”bulkiksi” – teknologiatrendit: pilvipalvelut, verkostoituminen, Io. T 7

Mikä on ISO/IEC 20000: n mukainen palvelunhallintajärjestelmä? 8

Standardisarja ISO/IEC 20000 Tämä on standardisarjan ydin, muut osat tukevat sen vaatimusten tulkintaa ja hallintajärjestelmän rakentamista. (Lähde: ISO/IEC 20000 -10: 2015) 9

Standardisarja ISO/IEC 20000: osa 1 Osa 1: palvelunhallintajärjestelmää koskevat vaatimukset • vaatimusstandardi, käytetään mm. sertifioinnin referenssistandardina • se osa sarjasta, jonka ympärille muut rakentuvat ja jota ne tukevat 10

Standardisarja ISO/IEC 20000: osa 2 Osa 2: ohjeistusta palvelunhallintajärjestelmien toteuttamiseen • osan 1 vaatimusten tulkintaa helpottava ja täydentävä ohjeistus • sisältää mm. analyysin eri prosessien välisistä kytkennöistä 11

Standardisarja ISO/IEC 20000: osa 3 Part 3: Guidance on scope definition and applicability of ISO/IEC 20000 -1 • ohjeistusta erityisesti sertifiointia suunnittelevalle organisaatiolle • erittäin hyviä esimerkkejä verkostoista 12

Standardisarja ISO/IEC 20000: osa 4 Part 4: Process reference model • puhdas prosessimalli kaikkiin vaatimusstandardin (osa 1) alueisiin, myös kohtaan 4 • ylätasolla yhteensopiva muiden prosessistandardien kanssa (esim. ISO/IEC/IEEE 15288) 13

Standardisarja ISO/IEC 20000: osa 5 Part 5: Exemplar implementation plan for ISO/IEC 20000 -1 • vaiheittainen hallintajärjestelmän toteutustapa tavoitteena täysi vaatimustenmukaisuus osan 1 vaatimuksien kanssa 14

Standardisarja ISO/IEC 20000: osa 9 Part 9: Guidance on the application of ISO/IEC 20000 -1 to cloud services • auttaa soveltamaan osan 1 vaatimuksia pilvipalveluiden tarjoamiseen • kattaa erilaiset pilvipalvelut: Iaa. S, Paa. S, Saa. S 15

Standardisarja ISO/IEC 20000: osa 10 Part 10: Concepts and terminology • antaa yleiskuvan standardisarjan terminologiaan, rakenteeseen ja käsitteisiin • auttaa ymmärtämään eri osien välisiä sidoksia ja myös standardisarjan kytkentöjä muihin standardeihin ja malleihin 16

ISO/IEC 20000: n läheiset standardit ja mallit

ISO/IEC 20000: n paikka standardien maailmassa 18

ISO/IEC 20000 -standardin kytkennät muihin standardeihin ja malleihin • malleja tekemiseen – ITIL v 2 ja v 3 – CMMI for Services – COBIT – teknologiavalmistajien malleja (Microsoft, IBM, …) – joitakin kansallisia malleja (Hollanti, …) • malleja arviointiin ja/tai sertifiointiin – SPICE, erityisesti ISO/IEC 15504 -8 – CMMI for Services – COBIT 19

Standardi ISO/IEC 90006: Guidelines for the application of ISO 9001: 2008 to IT service management and its integration with ISO/IEC 20000 -1: 2011 • antaa ohjeita ISO 9001: n sovittamiseen palveluiden hallintaan sekä näiden kahden standardin hyödyntämiseen yhdessä • sisältää myös standardien ISO/IEC 20000 -1: 2011 ja ISO 9001: 2008 vaatimusten vertailun 20

Standardi ISO/IEC 15504 -8 ISO/IEC 15504 Part 8: An exemplar process assessment model for IT service management • ISO/IEC 20000 -4: n prosessit täydennettyinä prosessien kyvykkyyden arvioinnin mahdollistavilla indikaattoreilla (Base Practices, Inputs, Outputs) • osa tunnettua SPICE-standardiperhettä prosessien parantamiseen 21

CMMI for Services • osa yhdysvaltalaisen CMMI Instituten ylläpitämää CMMI-malliperhettä • yleisesti palveluprosessien kehittämiseen tarkoitettu malli - ei vain IT-palveluille • CMMI-DEV-mallin (ohjelmistokehitys) kanssa yhteensopiva – 16 yhteistä prosessialuetta – 1 jaettu prosessialue (SAM) – 7 palveluiden prosessialuetta – samat konseptit, samat arviointimallit 22

Mitä hyötyä kyvykkyysarvioinneista (CMMI, SPICE)? • ISO/IEC 20000 -1 sisältää joukon eritasoisia vaatimuksia, jotka kaikki pitää yhtäläisesti täyttää • kuinka tietää arvioinnin pohjalta, mihin suunnata kehittämispanostuksia, missä suurimmat heikkoudet ovat? • mikä on taso muihin yksiköihin tai yrityksiin nähden? • ”Tietysti olemme hyviä (? ), mutta kuinka hyviä? ” • kyvykkyysarvioinnit kertovat hyvinkin yksityiskohtaisesti mihin prosessien kehittämiskohteisiin panostamalla saadaan toimintaa parannettua ja nostettua seuraavalle tasolle 23

ITIL – Information Technology Infrastructure Library • kokoelma kirjoja, jotka dokumentoivat prosesseina parhaita käytäntöjä IT-palveluiden hallintaan ja tukeen • malli ei ota kantaa palveluiden tai tuotteiden laatuun • kehitystyö käynnistyi Isossa-Britanniassa 1980 -luvulla julkisen hallinnon toimesta • muodostunut de-facto-standardiksi omalla alueellaan • erilaisia henkilösertifikaatteja (Foundation, Expert, Master, …), mutta ei prosessien tai organisaatioiden sertifiointeja 24

COBIT • paljon palvelunhallintaan liittyviä prosesseja (control objectives) ja niille tehtäviä (activity) • dokumentit, mittarit, vastuut määritelty hyvin tarkkaan • ISO/IEC 20000 kattaa vain osan COBITin maailmasta, mutta menee siinä tarkemmalle tasolle • uusin versio 5, joka on yhteensopiva ISO/IEC 33000 (ex-ISO/IEC 15504) -sarjan kyvykkyysmallin kanssa 25

Hallintajärjestelmät ja erityisesti palvelunhallintajärjestelmä

Hallintajärjestelmien ominaisuuksia • johtamisen työkaluja, joissa johdon sitoutuminen on tärkeä peruselementti • laatu, ympäristö, työterveys, IT-palveluiden hallinta, tietoturvallisuus jne. voidaan toteuttaa ja arvioida yhdistettynä johtamisjärjestelmänä • organisaation toiminnan vaatimusten tunnistaminen ja tavoitteiden asettaminen • prosessimainen, suunnitelmallinen toimintatapa ja jatkossa yhä merkittävämmin myös riskienhallinta • prosessien ja toiminnan jatkuva parantaminen on kaikkien hallintajärjestelmästandardien vaatimus ISO 9001 ISO 14001 OHSAS 18001 ISO/IEC 27001 ISO/IEC 20000 -1 ISO 22301 ISO 55001 ISO 50001 ISO 22000 27

Palvelunhallintajärjestelmä • kohta 4 standardissa ISO/IEC 20000 -1 tekee siitä hallintajärjestelmästandardin • kohdan 4 vaatimukset ovat elintärkeitä organisaation toiminnalle, jotta palveluiden hallinnan prosessit (kohdat 5 -9) muodostavat toimivan, palveluntarjoajan liiketoimintaa tukevan ja asiakkaiden vaatimuksiin vastaavan kokonaisuuden • palvelunhallintajärjestelmää rakennettaessa tämän kohdan vaatimukset vaativat usein eniten työtä 28

Palvelunhallintajärjestelmä, standardin kohta 4

4 Palvelunhallintajärjestelmiä koskevat yleiset vaatimukset • organisaation ylimmän johdon näkyvä osallistuminen ja tuki hallintajärjestelmän kehittämiseen ja ylläpitämiseen on välttämätöntä • kohdassa 4 on johdolle tarjolla monia työkaluja ja hyviä käytäntöjä – palvelunhallintapolitiikka – viestintäkäytännöt – riskien hallinta – dokumentointikäytännöt – resurssien hallinta – jatkuva parantaminen 30

4. 1. 1 Johdon sitoutuminen Kohta 4. 1. 1 esittelee kohdassa 4 myöhemmin kuvattavat menetelmät ja käytännöt ja vastuuttaa nämä ylimmälle johdolle Ylimmän johdon on osoitettava, että se on sitoutunut palvelunhallintajärjestelmän ja palveluiden suunnitteluun, laatimiseen, käyttöönottoon, käyttöön, seurantaan, katselmointiin, ylläpitoon ja parantamiseen. Tämä sitoutuminen on osoitettava seuraavin tavoin: a) laaditaan palvelunhallinnan soveltamisala, politiikka ja tavoitteet sekä tiedotetaan niistä b) varmistetaan, että palvelunhallintasuunnitelma on laadittu ja käyttöönotettu ja että sitä ylläpidetään, ja näin noudatetaan politiikkaa, saavutetaan palvelunhallinnan tavoitteet ja täytetään palveluvaatimukset c) tiedotetaan palveluvaatimusten täyttämisen tärkeydestä d) tiedotetaan lakien ja viranomaisten vaatimusten sekä sopimuksellisten velvoitteiden täyttämisen tärkeydestä e) varmistetaan, että riittävät resurssit on varattu f) suoritetaan johdon katselmuksia suunnitelluin aikavälein g) varmistetaan, että palveluihin kohdistuvat riskit on arvioitu ja että niitä 31 hallitaan.

PDCA-malli IT-palvelujen hallinnassa (kohta 4. 5) • • Suunnittele (Plan): palvelunhallintajärjestelmän laatiminen ja dokumentointi sekä siitä sopiminen. Toteuta (Do): palvelunhallintajärjestelmän toteuttaminen ja käyttäminen. Arvioi (Check): palvelunhallintajärjestelmän ja palveluiden seuranta, mittaaminen ja katselmointi politiikkojen, tavoitteiden, suunnitelmien ja palveluvaatimusten suhteen sekä saatujen tulosten raportointi. Toimi (Act): palvelunhallintajärjestelmän ja palveluiden suorituskyvyn jatkuva parantaminen erilaisten toimenpiteiden avulla. 32

Yksittäiset prosessit tiivistettyinä (osa 1, kohdat 5– 9)

5 Uusien tai muuttuneiden palveluiden suunnittelu ja transitio • kytkentä muutoksenhallinnan ja kohdan 5 kesken – Palveluntuottajan on käytettävä tätä prosessia kaikkiin uusiin palveluihin ja sellaisiin palveluihin tehtyihin muutoksiin, joilla saattaa olla merkittävä vaikutus palveluihin tai asiakkaaseen. – Kohtaan 5 sisältyvät muutokset on määritettävä osana muutoksenhallintaprosessia, joka on sovitun muutoksenhallintapolitiikan mukainen. • kokoonpanonhallintaakaan ei saa unohtaa – Kohtaan 5 sisältyviä konfiguraatioyksiköitä, joihin uudet tai muuttuneet palvelut vaikuttavat, on hallittava konfiguraationhallintaprosessilla. • erikseen todettava suunnittelun tulosten riittävyys ja vaatimustenmukaisuus, ja tehtävä päätös edetäänkö niiden mukaan 34

5. 2 Uusien tai muuttuneiden palveluiden suunnitteleminen • tunnistetaan vaatimukset – Palveluntuottajan on tunnistettava uusien tai muuttuneiden palveluvaatimukset. Uudet tai muuttuneet palvelut on suunniteltava siten, että ne täyttävät palveluvaatimukset. • huomioitava laajasti mahdolliset palvelun tuottamisen sivuvaikutukset: taloudelliset, organisatoriset ja tekniset • mahdolliset vaikutukset hallintajärjestelmään on arvioitava • suunnitteluun kohdistuu useita täsmällisiä sisältövaatimuksia • palvelun poistaminen on suunniteltava, ja muut tuottamiseen tarvittavat osapuolet tunnistettava ja arvioitava 35

5. 3 Uusien tai muuttuneiden palveluiden suunnittelu ja kehittäminen • suunnittelussa on dokumentoidusti todettava mitä uuden tai muutetun palvelun käyttöönotto ja tuottaminen vaatii ja tarkoittaa, mm. – c) uudet tai muuttuneet henkilöresurssivaatimukset, jotka sisältävät myös asiaankuuluvat opinto-, koulutus-, taito- ja kokemusvaatimukset – e) uudet tai muuttuneet tekniset ratkaisut, joilla tuetaan uusien tai muuttuneiden palveluiden toimittamista – h) muutokset palvelunhallintajärjestelmään – i) uudet tai muuttuneet palvelutasosopimukset 36

5. 4 Uusien tai muuttuneiden palveluiden transitio • transitio on usein projektitoimintaa • palataan vaatimuksiin ja palvelun suunnitteluun – Uudet tai muuttuneet palvelut on testattava siten, että saadaan todennettua, että ne täyttävät palveluvaatimukset ja dokumentoidun suunnittelun. • voidaanko palvelu hyväksyä (viittaus kohtaan 5. 2 i) – Uudet tai muuttuneet palvelut on testattava palveluntuottajan ja sidosryhmien etukäteen sopimien palveluiden hyväksymiskriteerien suhteen. • viedään tuotantoon – Uudet tai muuttuneet palvelut on otettava käyttöön tuotantoympäristössä julkaisun ja käyttöönoton hallintaprosessin avulla. • tarkastellaan saavutettiinko se, mitä tavoiteltiin – Transitiotoimintojen suorittamisen jälkeen palveluntuottajan on raportoitava sidosryhmille saavutetuista tuloksista verrattuna odotettuihin tuloksiin. 37

6. 1 Palvelutason hallinta • sovittava asiakkaan kanssa, mitä ja miten toimitetaan – keskeinen käsite palveluvaatimus (service requirement) • asiakkaan ja palvelun käyttäjien tarpeet, joihin sisältyvät palvelutasovaatimukset sekä palveluntuottajan tarpeet • kuvattava paitsi palvelut, myös niiden väliset riippuvuudet • muutokset, myös vaatimuksiin, käsiteltävä muutoksenhallinnan kautta • seurattava myös palvelutasojen trendejä ja tunnistettava kehittämiskohteet • erikseen mainittu vaatimukset asiakkaan ja sisäisen ryhmän (internal group) välisestä SLA: sta 38

6. 2 Palveluraportointi • sovittava eri osapuolien kesken kunkin raportin elementit ja mm. yksityiskohdat tietolähteestä – sidosryhmä • henkilö tai ryhmä, jolle palveluntuottajan toiminnon tai toimintojen suorituskyky tai onnistuminen on erityisen mielenkiinnon kohde • ESIM. Asiakkaat, omistajat, johtajat, palveluntuottajaorganisaation henkilöstö, toimittajat, pankkiirit, liitot tai yhteistyökumppanit. • raporttien on perustuttava palveluiden hallinnasta kertyviin oikeisiin tietoihin • asiakastyytyväisyydestä täytyy raportoida paitsi mittaustulokset ja valitukset niin myös näiden analyysit 39

6. 3 Palveluiden jatkuvuuden ja saatavuuden hallinta • • jatkuvuuden ja saatavuuden hallinnan kokonaisvaltaisuus lähtökohtana palveluiden jatkuvuus- ja saatavuusvaatimukset ja näihin kohdistuvien riskien hallinta erotettu aiempaa selkeämmin toisistaan jatkuvuus ja saatavuus kytkeytyy tietoturvallisuuteen mm. riskien arvioinnin kautta linkkejä muihinkin prosesseihin kuten kapasiteetinhallinta, muutoksenhallinta ja palvelutason hallinta laaja joukko vaatimuksia jatkuvuudenhallinnan prosessille, jonka suorittaminen alusta loppuun usein haasteellista: jatkuvuussuunnitelmien testaukset koetaan raskaiksi service continuity – capability to manage risks and events that could have serious impact on a service or services in order to continually deliver services at agreed levels availability – ability of a service or service component to perform its required function at an agreed instant or over an agreed period of time 40

6. 4 Palveluiden budjetointi ja kirjanpito • palvelun ”kirjanpito” eli toteutuneiden kustannusten raportointi sekä käyttäminen palvelun hallinnassa ja kehittämisessä • vaatimus kytkennästä muuhun taloushallintoon • tehtävä budjetteja ja seurattava näiden toteutumista • tiedettävä palvelukohtaisesti kokonaisuutena tuotantokustannukset • pystyttävä tarjoamaan tietoa muutosten kustannuksista • prosessi koskee palveluntarjoajan sisäistä talouden hallintaa - ei asiakaslaskutusta 41

6. 5 Kapasiteetinhallinta • • paitsi teknisen kapasiteetin niin myös henkilöresurssien tehokkaan käytön ja riittävyyden varmistaminen sovittava kapasiteettivaatimukset asiakkaan ja mm. alihankkijoiden kanssa oltava muutoshallinnan alainen, toteutettu kapasiteettisuunnitelma a) palveluiden nykyinen ja ennustettu kysyntä b) sovittujen vaatimusten odotetut vaikutukset saatavuuteen, palveluiden jatkuvuuteen ja palvelutasoihin c) palvelukapasiteetin päivittämisen aikataulut, kynnysarvot ja kustannukset d) lakeihin, viranomaisvaatimuksiin, sopimuksiin ja organisaatioon tehtävien muutosten mahdolliset vaikutukset e) uusien teknologioiden ja tekniikoiden mahdolliset vaikutukset f) ennustavan analyysin mahdollistavat menettelyt tai niihin viittaaminen. Palveluntuottajan on toimitettava riittävä kapasiteetti, jotta sovitut kapasiteettia ja suorituskykyä koskevat vaatimukset täyttyvät. 42

6. 6 Tietoturvallisuuden hallinta • tietoturvallisuus on tässä standardissa tietojen luottamuksellisuutta, eheyttä ja saavutettavuutta (~ saatavuus) • laaja kokonaisuus sisältäen mm. tietoturvapolitiikan, sisäisen auditoinnin ja ulkoisille sidosryhmille asetettavat tietoturvavaatimukset • keskeinen aktiviteetti on tunnistaa tietoturvariskit, joita lievennetään ns. hallintakeinoilla kuten roolikohtaiset valtuudet, fyysinen kulunvalvonta, varmuuskopioinnit • koskee sekä palveluiden tuottamista että palveluntarjoajan omien tietojen hallintaa • prosessi on linjattu ISO/IEC 27000 -sarjan terminologiaan ja keskeisiin vaatimuksiin 43

7. 1 Liikesuhteiden hallinta • vaatimuksia vastuisiin ja asiakkaan toiminnan ymmärtämiseen – Palveluntuottajan on nimettävä jokaiselle asiakkaalle asiakassuhteen hallinnasta ja asiakastyytyväisyydestä vastaava henkilö. – Viestintämekanismin on edistettävä palvelun liiketoimintaympäristön sekä uusien tai muuttuneiden palveluiden vaatimusten ymmärtämistä. • palvelua koskeva valitus (~ reklamaatio) on määriteltävä ja sen käsittelyyn oltava dokumentoitu menettely raportointeineen sekä eskalointimalli • asiakastyytyväisyyttä on mitattava vaikuttavasti ja mittaustuloksia on käytettävä • sopimusmuutosten välittäminen koko organisaatioon ja kaikkiin prosesseihin 44

7. 2 Toimittajanhallinta • vaatimuksia vastuisiin ja erityisesti kirjalliseen sopimukseen • koko toimittajaketju oltava hallinnassa mm. sopimusten kautta • toimittajan suorituskykyä seurattava dokumentoidusti, sopimusta katselmoitava ja tarvittaessa päivitettävä • dokumentoitu menettely sopimuksellisten erimielisyyksien hoitamiseen • toimittajan suoriutumista omista vastuistaan pitää seurata ja valvoa jatkuvasti • osassa 3 on joukko esimerkkitilanteita palvelujen tuottamisesta monen osapuolen toimesta 45

Osa 3: esimerkki toimittajaverkostoista ja palveluiden laajuudesta (Scope statement) – sisäinen palvelujen tuottaja • Scope statement: The SMS that supports the delivery of all internal IT services to Customer C by the internal service provider of Customer C. 46

Osa 3: esimerkki toimittajaverkostoista ja palveluiden laajuudesta (Scope statement) – service desk ja ylläpito ulkoistettu • Scope statement: The SMS that supports the provision of all infrastructure management services to Customer E by the internal service provider of Customer E. 47

8. 1 Häiriönhallinta ja palvelupyyntöjen hallinta • erotettu toisistaan häiriö (incident) ja palvelupyyntö (service request) • molempien käsittelyyn on oltava dokumentoidut periaatteet, jotka voivat toki olla samoja • laajavaikutteisen häiriön (major incident) -menettelylle merkittäviä vaatimuksia • tästä prosessista ITILin soveltaminen yleensä aloitetaan 48

8. 2 Ongelmanhallinta • standardin tärkein laadunparantamisprosessi • muuten sama menettelyvaatimus kuin häiriöille, mutta mukana myös tunnistaminen ─ on siis oltava kuvattu miten ongelmat tunnistetaan • perussyyt on etsittävä ja keinot poistaa ne on löydettävä – Palveluntuottajan on analysoitava häiriöitä ja ongelmia koskevia tietoja ja kehityssuuntia, jotta ongelmien perussyyt sekä mahdolliset ehkäisevät toimenpiteet voidaan määritellä. • tarvittaessa tehtävä muutospyyntö(jä), todettava väliaikaisratkaisuja ja tunnettuja virheitä on kirjattava • prosessin toimivuutta ja vaikuttavuutta on seurattava ja raportoitava 49

9. 1 Konfiguraationhallinta 1 (2) • konfiguraatiotietokannan (CMDB) portinvartijaprosessi • atomitasolla on määriteltävä mikä on konfiguraatioyksikkö konfiguraation rakenneosa CI – tekijä, jota pitää hallinnoida, jotta palvelu tai palvelut voidaan toimittaa • CMDB voi koostua useasta eri tietojärjestelmästä, sen ei tarvitse olla yksi tietokanta tai ohjelmisto 50

9. 1 Konfiguraationhallinta 2 (2) • • CMDB: n luotettavuus on varmistettava mm. käyttöoikeuksien, ohjeiden, jäljitettävyyden ja suunniteltujen auditointien avulla CMDB: n tietojen hallinnan tasossa otettava huomioon mm. palvelun vaatimukset ─ ei siis tarvitse tavoitella kaikilta osin samaa korkeaa tasoa • Hallinnan on oltava sen tasoista, että palveluiden ja palvelukomponenttien eheys säilyy, kun palveluvaatimukset ja konfiguraatioyksiköihin liittyvät riskit otetaan huomioon. • oltava keino tallentaa konfiguraation perustaso (baseline) ennen julkaisua • Asiaankuuluvista konfiguraatioyksiköistä on luotava konfiguraation perustaso ennen julkaisun käyttöönottoa tuotantoympäristössä. • • vaatimuksena kirjasto tai varasto mm. dokumentteja, lisenssitietoja ja ohjelmistojen asennuspaketteja varten kytkentä taloushallinnon prosesseihin varmistettava 51

9. 2 Muutoksenhallinta • standardin megaprosessi – viittauksia lähes kaikista muista prosesseista • muutoksenhallintapolitiikka • merkittävän vaikutuksen (major impact) -muutokset (esim. palvelun lopettaminen ja siirto) – linkitys kohtaan 5 (Uusien tai muuttuneiden palveluiden suunnittelu ja transitio) • muutospyyntö – ehdotus palveluun, palvelukomponenttiin tai palvelunhallintajärjestelmään tehtävästä muutoksesta – HUOM. Palveluun tehtävä muutos sisältää uuden palvelun toimittamisen tai turhaksi käyneen palvelun poistamisen. • palautumissuunnittelun testaus ja epäonnistuneiden muutosten analysointi 52

9. 3 Julkaisun ja käyttöönoton hallinta • julkaisu – yhden tai useamman uuden tai muuttuneen konfiguraatioyksikön kokoelma, joka otetaan käyttöön tuotantoympäristössä yhden tai useamman muutoksen seurauksena • keskeistä asennusten ja julkaisuiden suunnitelmallisuus ja riskien hallinta – muutoksia ei viedä tuotantoon kuin julkaisujen kautta • puoli-identtinen kaksonen muutoksenhallintaprosessille 53

Standardisarjan kehitystyö ja kokemuksia käytöstä

Standardin kehitystyö lähitulevaisuudessa • • • tärkein ja suurin työ on kirjoittaa uusi versio osasta 1 muiden osien kokonaisvaltainen päivitys mahdollista vasta kun osa 1 on valmistunut myös uusia osia työn alla kuten osat 6, 8, 12 ja 13 seuraavilla kahdella sivulla ajantasainen tilanne aineiston päivityksen aikaan sivustolta www. iso. org haettavissa standardin kehittämisen tila (käytä standardin numeroa esim. 20000 -12) marraskuussa 2015 suunniteltu aikataulu: 55

ISO/IEC 20000 –standardisarjan osat ja työkohteet 1 (2) ISO/IEC 200001 Nimi Tila 2015 -12 -18 Huomaa Palvelunhallintajärjestelmää koskevat vaatimukset Julkaistu. Suomalainen kansallinen standardi 2013. Annex SL: n mukainen seuraava versio WDvaiheessa Vaatimusstandardi sertifiointiin Service management system requirements 2 Ohjeistusta palvelunhallintajärjestelmien toteuttamiseen Guidance on the application of service management systems 3 Julkaistu. Suomalainen kansallinen standardi 2014. Guidance on scope definition and applicability of ISO/IEC 20000 -1 Julkaistu. 4 (TR) Process reference model Julkaistu. 5 (TR) Exemplar implementation plan for ISO/IEC 20000 -1 Julkaistu. Requirements for bodies providing audit and certification of service management systems DIS (Draft International Standard) 6 Vaatimusstandardi sertifiointielimille 56

ISO/IEC 20000 –standardisarjan osat ja työkohteet 2 (2) ISO/IEC 20000 - Nimi Tila 2015 -12 -18 Guidance on the application of service management systems for smaller organizations WD (Working Draft) 9 (TR) Guidance on the application of ISO/IEC 20000 -1 to cloud services Julkaistu. 10 (TR) Concepts and Terminology Julkaistu (uusin versio 2015 -1113) 11 (TR) Guidance on the relationship between ISO/IEC 20000 -1: 2011 and service management frameworks: ITIL® Julkaistu 12 (TR) Guidance on the relationship between ISO/IEC 20000 -1: 2011 and service management frameworks: CMMI-SVC® CD (Committee Draft) 13 (TR) Guidance on the relationship between ISO/IEC 20000 -1: 2011 and service management frameworks: COBIT® NWIP (New Work Item Proposal) Guidance for the customer Study group proposal 8 15 Huomaa 57

Standardin käyttökokemuksia Suomessa • laajaa mielenkiintoa sekä käsikirjamaiseen käyttöön että ulkoiseen sertifiointiin – palvelujen ja niiden hallinnan jatkuvaan kehittämiseen – sisäisen auditoinnin käyttöön – joko palvelu- tai asiakaskohtaisten tai yleisten sertifikaattien myöntäminen • standardi on hyvin yksityiskohtainen (osa 1 sisältää 256 vaatimusta), joten siihen perehtymiseen kannattaa varata aikaa – käytön voi kuitenkin aloittaa joistakin prosesseista, esim. häiriönhallinta tai konfiguraationhallinta 58

Lisätietoa standardeista • ISO/IEC 20000 -standardiperheestä vastaa kansainvälinen ISO/IEC JTC 1/SC 40 – alikomitea ja sen työryhmä 2 (WG 2 IT Service Management) • myös muilla SC 40: n sekä useilla SC 7: n työryhmillä on rajapintoja IT-palvelujen standardien laadintaan • Suomessa SFS: n seurantaryhmä 308 (SR 308, ”IThallintatavat”) seuraa SC 40 – alikomitean ja sen työryhmien työtä ja laatii kansallisia kannanottoja 59