ISO/IEC 20000:2005
Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro
Versão 1.1, 15.09.2006
André Jacobucci
andre.jacobucci@ilumna.com +55 11 5087 8829
Objetivos desta Apresentação
Permitir um
contato inicial
com a norma internacional ISO/IEC
20000
Avaliar o interesse
das empresas com operações de TI no Brasil
Desenvolver a
aceitação
da norma no Brasil junto à ABNT
Apoiar a estruturação do
esquema de certificação
no Brasil junto a
organizações certificadoras
Garantir que, em seu desenvolvimento no Brasil, o selo “Certificado
ISO/IEC 20000”
signifique, efetivamente, um diferencial de
Agenda
1. ISO/IEC 20000
O que é
A quem se destina
Para quê serve
2. Processo de certificação
3. Esquema de Certificação
Na Inglaterra
No Brasil (proposta)
4. Conteúdo da Norma
Resumo dos Processos
Objetivo dos Processos e Exemplo de Requisitos
5. Mais Informação
1. ISO/IEC 20000:2005 O que é?
É uma
norma internacional
que permite que as práticas de
gerenciamento de serviços de TI propostas pelo
ITIL
®possam ser
auditadas de forma objetiva por uma organização externa.
A norma foi publicada em
15 de dezembro de 2005
pela ISO/IEC
(International Organization for Standardization, International
Electrotechnical Commision)
O ITIL
®(IT Infrastructure Library) é uma biblioteca contendo
melhores práticas para o gerenciamento de serviços de TI.
ITIL
®é uma marca registrada do
OGC
(Office of Government
1. ISO/IEC 20000:2005 O que é?
A norma é composta de
duas partes
, sob o título geral de “Information
Technology – Service Management”:
Parte I –
Especificação
Descreve os requisitos mandatórios que o provedor de serviços deve
satisfazer através de evidências objetivas para demonstrar sua
capacidade de entregar e gerenciar a qualidade dos serviços para seus
clientes
Parte II –
Código de Práticas
Descreve um conjunto de orientações e recomendações sobre como os
requisitos mandatórios podem ser implementados
NÃO
é um padrão para um produto ou um serviço específico.
É um padrão para um
sistema de gestão
e, por este motivo, trata de
ISO/IEC 20000: A quem se destina?
Prestadores de serviço
(internos ou externos) que
fornecem serviços habilitados por tecnologias da informação (TI) para
seus usuários (internos ou externos) e
possuem
controle gerencial
sobre tais serviços.
Pode ser o departamento de TI do negócio
Não
serve para empresas que fornecem exclusivamente mão de obra
(“bodyshop”), equipamentos ou softwares
Não
serve para “brokers” (intermediários) de serviços.
“
Controle gerencial
” significa:
Conhecimento e controle sobre os “inputs” e “outputs” dos processos
Autonomia para decisões de processos, recursos, investimentos,
métricas, etc.
Responsabilidade pelo fornecimento e pela qualidade dos serviços
ISO/IEC 20000: Para quê serve?
A norma ISO/IEC 20000 estimula e promove a adoção de uma
abordagem de
processos integrados
para entregar, efetivamente,
serviços de TI de encontro com requisitos de Negócio e do Cliente.
A norma ISO/IEC 20000 constitui um
diferencial competitivo
para
os provedores de serviço.
Para o comprador/usuário do serviço, ela constitui uma
garantia de
qualidade
.
Como a norma é capaz de fazer isso?
Definindo
requisitos específicos
(parte 1 da norma) que um
provedor de serviços de TI deve apresentar para demonstrar sua
habilidade para entregar serviços que vão de encontro às
expectativas de qualidade de seus Clientes e Usuários
Permitindo o estabelecimento de um
esquema formal de
certificação
Exigindo auditorias independentes
e periódicas para garantir a
efetividade dos processos de gestão e a manutenção da
Atenção!
Por ser um padrão baseado em processos, a ISO/IEC 20000
NÃO
se destina à avaliação de
produtos
!
Entretanto, empresas desenvolvedoras de equipamentos, softwares
e soluções para gerenciamento de serviços podem utilizar a
especificação (parte 1 da norma) e o código de práticas (parte 2 da
norma) para ajudá-las a desenvolver seus produtos...
Em que situações o padrão poderia ajudar?
A norma pode ser usada:
a) por empresas que estão buscando provedores externos para
seus serviços de TI;
b) por negócios que exigem uma abordagem consistente para todos
os fornecedores de serviço de sua cadeia de suprimentos;
c) por provedores de serviço que querem comparar sua capacidade
de gestão de serviços de TI;
d) como base para uma avaliação independente;
e) por uma empresa que precisa demonstrar sua habilidade em
fornecer serviços que satisfaçam os requisitos de seus clientes; e
f) por uma empresa que almeja melhorar seus serviços através da
aplicação efetiva de processos para monitorar e melhorar a
Processo de Certificação
Os primeiros aspectos a serem considerados são:
O provedor de serviços é
elegível
para certificação? Ou seja, a
norma aplica-se a este fornecedor?
Se o provedor é elegível, então qual é o
escopo
dos processos que
serão auditados para a certificação?
Uma vez determinada a elegibilidade e o escopo da certificação
(quais
serviços
, quais clientes, quais regiões geográficas, quais
operações, etc.), a organização faz uma avaliação para verificar
lacunas entre sua operação atual e os requisitos (parte 1) da norma.
As lacunas são endereçadas e é feita uma nova avaliação antes da
auditoria formal.
Um órgão acreditado conduz a auditoria de certificação e, caso o
provedor de serviços satisfaça os requisitos da norma dentro do
escopo definido, o certificado é emitido.
ISO/IEC 20000:
Organização Usuária Final, Provedor de Serviço e Fornecedores
Negócio / Cliente (Organização Usuária Final)
Provedor de Serviço (interno ou externo) Fornecedor(es) Líder(es) ou Fornecedor(es) Fornecedor(es) Subcontratado(s)
A organização em busca da certificação é o
“Provedor de Serviço”.
Porém, tudo depende da cadeia de
suprimentos que está sendo considerada, ou
seja:
De qual(is) serviço(s) estamos falando?
Quem é o usuário final deste(s) serviço(s)?
Quem é o responsável por gerenciar a
prestação do(s) serviço(s)?
Esquema de Certificação na Inglaterra
itSMF OGC Standards Bodies Accreditation Authorities Examination/ Accreditaion PanelsITIL ISO 20000 Certification Scheme Courses/ Exam Registered Certification Bodies (Auditors) Training/ Consulting Organizations
Certified / Certifiable Organizations
Influences Advises Engages Engages
Publishes Set Accredit & Manage
Manage
Controls Are run by
Audit/Certify Train & Consult Train
& Assist
May be member of
Esquema de Certificação proposto para o Brasil
itSMF Brasil
OGC ABNT INMETRO
Painéis de Acreditação e Exame ITIL (livros em português) NBR ISO 20000 Esquema de Certificação Cursos/ Exames Organizações Certificadoras (Auditorias) Organizações de Treinamento e Consultoria
Organizações Certificadas / Certificáveis
Influencia Aconselha Engaja Engaja
Publica Lança Acredita e Gerencia
Gerencia
Controla São executados por
Audita/Certifica Treinamento e Consultoria Treina
e Apóia
Pode ser membro do
4. Conteúdo da Norma ISO 20000
Requisitos para o Sistema de Gestão
Planejamento e Implementação da Gestão dos Serviços
Planejamento de Novos Serviços ou Mudanças nos Serviços
Processos de Entrega de Serviços
Processo de Liberação
Gerenciamento de Liberações Processos de Resolução Gerenciamento de Incidentes Gerenciamento de Problemas Processos de Relacionamento Gerenciamento do Relacionamento com o Negócio Gerenciamento de Fornecedores Responsabilidade Gerencial Requisitos de Documentação Competências, Conscientização e Treinamento Planejamento, Implementação, Monitoração e Melhoria (Plan, Do, Check, Act)
Planejamento e implementação de novos serviços ou mudanças em serviços Processos de Controle Gerenciamento de Mudanças Gerenciamento da Configuração Gerenciamento da Segurança da Informação Orçamento e Contabilidade para Serviços de Ti Gerenciamento da Capacidade G. da Continuidade e da Disponibilidade dos Serviços G. de Níveis de Serviço
Organização
Metodologia
Projeto
Entrega,
Suporte,
Controle
Metodologia para os Processos de Gestão de Serviços (PDCA)
Requisitos de Negócio
Requisitos dos Clientes
Requisição de Mudança ou Novo Serviço Processos de Negócio, de Fornecimento, e de Clientes Service Desk Outras Equipes (Segurança, Operações , etc.) Resultados de Negócio
Satisfação dos Clientes
Serviço Novo ou Modificado
Processos de Negócio, de Fornecimento, e
de Clientes
Satisfação das Equipes e Pessoas
Gerenciamento dos Serviços
Círculo de Qualidade de Deming ACT Melhoria Contínua CHECK Monitorar, medir e revisar DO Implementar gerenciamento de serviços PLAN Planejar o gerenciamento de serviços
Resumo dos Requisitos e Processos da Norma
Objetivo: “Fornecer um sistema de gestão, incluindo políticas e uma estrutura que habilite uma eficaz gestão e implementação
de todos os serviços de TI”
Componentes: Responsabilidade Gerencial, Requisitos de Documentação e Competência, Conscientização e Treinamento
Requisitos para um Sistema de Gestão Requisitos para o Sistema de Gestão Responsabilidade Gerencial Requisitos de Documentação Competências, Conscientização e Treinamento
Organização
Resumo dos Requisitos e Processos da Norma
Objetivo: “Monitorar, medir e revisar que o plano e os objetivos da gestão dos serviços estão sendo atingidos” Monitoramento, Mensuração e Revisão (CHECK)
Objetivo: “Melhorar a eficácia e a eficiência da entrega do serviço e de sua gestão”
Melhoria Contínua (ACT) Planejamento e Implementação
da Gestão dos Serviços
Planejamento, Implementação, Monitoração e Melhoria (Plan, Do, Check, Act)
Objetivo: “Planejar a implementação e a entrega da gestão dos serviços”
Planejamento da Gestão dos Serviços (PLAN)
Objetivo: “Implementar o plano e os objetivos da gestão dos serviços” Implementação da Gestão dos Serviços e Fornecimento dos Serviços (DO)
Resumo dos Requisitos e Processos da Norma
Objetivo: “Garantir que os novos serviços ou as mudanças nos serviços existentes serão entregues e gerenciados dentro do custo e da qualidade acordados” Planejamento e implementação de novos serviços ou mudanças em serviços
Planejamento de Novos Serviços ou Mudanças nos Serviços
Planejamento e
implementação de novos serviços ou mudanças em serviços
Resumo dos Requisitos e Processos da Norma
Processos de Entrega de Serviços
Gerenciamento da Segurança da Informação Orçamento e Contabilidade para Serviços de Ti Gerenciamento da Capacidade G. da Continuidade e da Disponibilidade dos Serviços G. de Níveis de Serviço
Objetivo: “Definir, acordar, registrar e gerenciar níveis de serviço”
Exemplos de Requisitos:
“Cada serviço provido deve ser definido, acordado e documentado em um ou mais acordos de nível de serviço (SLAs)”
“Acordos de Nível de Serviço (SLAs), juntamente com acordos de serviço que os suportam, contratos com fornecedores e procedimentos correspondentes, deve ser acordados por todas as partes
relevantes e registrados” Gerenciamento de Nivel de Serviço
Resumo dos Requisitos e Processos da Norma
Processos de Entrega de Serviços
Gerenciamento da Segurança da Informação Orçamento e Contabilidade para Serviços de Ti Gerenciamento da Capacidade G. da Continuidade e da Disponibilidade dos Serviços G. de Níveis de Serviço
Objetivo: “Produzir, conforme acordado e com pontualidade, relatórios confiáveis e precisos para tomada de decisão informada e comunicação eficaz”
Exemplos de Requisitos:
“Deve haver uma descrição clara dos relatórios de serviço incluindo sua identificação, propósito, audiência e detalhes da fonte dos dados”
“Decisões gerenciais e ações corretivas devem levar em consideração os pontos encontrados nos relatórios de serviço e devem ser comunicados para as partes relevantes.”
Resumo dos Requisitos e Processos da Norma
Processos de Entrega de Serviços
Gerenciamento da Segurança da Informação Orçamento e Contabilidade para Serviços de Ti Gerenciamento da Capacidade G. da Continuidade e da Disponibilidade dos Serviços G. de Níveis de Serviço
Objetivo: “Garantir que os acordos de continuidade e disponibilidade dos serviços, compromissados com os clientes possam ser atingidos em todas as circunstâncias”
Exemplos de Requisitos:
“Requisitos de disponibilidade e continuidade dos serviços devem ser identificados com base nos planos de negócio, SLAs e avaliações de risco”
“O processo de gerenciamento de mudanças deve avaliar o impacto de qualquer mudança na disponibilidade e no plano de continuidade dos serviços”
Resumo dos Requisitos e Processos da Norma
Processos de Entrega de Serviços
Gerenciamento da Segurança da Informação Orçamento e Contabilidade para Serviços de Ti Gerenciamento da Capacidade G. da Continuidade e da Disponibilidade dos Serviços G. de Níveis de Serviço
Objetivo: “Orçar e contabilizar os custos do fornecimento dos serviços”
Exemplos de Requisitos:
“Deve haver políticas e processos claros para a recuperação de custos indiretos e a alocação dos custos diretos para os serviços”
“Os custos devem ser orçados com suficiente detalhe para permitir controle financeiro e tomada de decisão eficazes”
Resumo dos Requisitos e Processos da Norma
Processos de Entrega de Serviços
Gerenciamento da Segurança da Informação Orçamento e Contabilidade para Serviços de Ti Gerenciamento da Capacidade G. da Continuidade e da Disponibilidade dos Serviços G. de Níveis de Serviço
Objetivo: “Garantir que o provedor de serviços possua, em todos os momentos, suficiente capacidade para satisfazer as demandas acordadas, atuais e futura, das necessidades de negócio do cliente”
Exemplos de Requisitos:
“O gerenciamento da capacidade deve endereçar as necessidades de negócio e inclui a avaliação dos efeitos de upgrades previstos no serviço, de requisições de mudança, e de novas tecnologias e
técnicas sobre a capacidade”
“Métodos, procedimentos e técnicas devem ser identificadas para monitorar a capacidade do serviço, ajustar o desempenho do serviço e fornecer capacidade adequada”
Resumo dos Requisitos e Processos da Norma
Processos de Entrega de Serviços
Gerenciamento da Segurança da Informação Orçamento e Contabilidade para Serviços de Ti Gerenciamento da Capacidade G. da Continuidade e da Disponibilidade dos Serviços G. de Níveis de Serviço
Objetivo: “Gerenciar eficazmente a segurança da informação dentro de todas as atividades de serviço”
Exemplos de Requisitos:
“Executivo com autoridade apropriada deve aprovar uma política de segurança da informação que deve ser comunicada para todo o pessoal relevante e aos clientes quando apropriado”
“Arranjos que envolvam o acesso de organizações externas a sistemas de informação e serviços devem ser baseados em um acordo formal que defina todos os requisitos de segurança necessários.”
Resumo dos Requisitos e Processos da Norma
Processos de Relacionamento
Gerenciamento do Relacionamento com o Negócio
Gerenciamento de Fornecedores
Objetivo: “Gerenciar os fornecedores para garantir a provisão de serviços de qualidade e sem rupturas”
Exemplos de Requisitos:
“O provedor de serviços deve possuir processos documentados para gerenciamento de fornecedores e deve nomear um gerente de contrato responsável para cada fornecedor.”
“Os SLAs com os fornecedores devem estar alinhados com os SLAs com o negócio.” Gerenciamento de Fornecedores
Resumo dos Requisitos e Processos da Norma
Processos de Resolução Gerenciamento de ProblemasGerenciamento de Incidentes
Objetivo: “Restaurar o serviço acordado para o negócio o mais rápido possível ou responder a requisições de serviço”
Exemplos de Requisitos:
“Todos os incidentes devem ser registrados.”
“Procedimentos devem definir o registro, priorização, impacto ao negócio, classificação, atualização, escalonamento, resolução e fechamento formal de todos os incidentes.”
Resumo dos Requisitos e Processos da Norma
Processos de Resolução Gerenciamento de ProblemasGerenciamento de Incidentes
Objetivo: “Minimizar a interrupção do negócio através da identificação pró-ativa e a análise de causa dos incidentes e através do gerenciamento dos problemas até seu fechamento”
Exemplos de Requisitos:
“Procedimentos devem ser adotados para identificar, minimizar e evitar o impacto de incidentes e problemas.”
“O gerenciamento de problemas deve ser responsável por garantir que informações atualizadas sobre erros conhecidos e problemas corrigidos sejam disponibilizadas para o gerenciamento de incidentes.”
Resumo dos Requisitos e Processos da Norma
Processos de Controle Gerenciamento da ConfiguraçãoGerenciamento de Mudanças
Objetivo: “Definir e controlar os componentes do serviço e a infra-estrutura e manter informações precisas de configuração”.
Exemplos de Requisitos:
“Todos os itens de configuração devem ser identificados unicamente e registrados em um banco de dados de configuração (CMDB) para o qual o acesso de atualização deve ser estritamente
controlado.”
“Procedimentos para controle da configuração devem garantir que a integridade dos sistemas, serviços e componentes de serviço seja mantida.”
Resumo dos Requisitos e Processos da Norma
Processos de Controle Gerenciamento da ConfiguraçãoGerenciamento de Mudanças
Objetivo: “Garantir que todas as mudanças sejam avaliadas, aprovadas, implementadas e revisadas de uma maneira controlada”.
Exemplos de Requisitos:
“Todas as requisições de mudança deve ser registradas e classificadas.”
“Requisições de mudança devem ser avaliadas quanto a seu risco, impacto e benefício para o negócio.”
Resumo dos Requisitos e Processos da Norma
Processo de Liberação Gerenciamento de Liberações
Objetivo: “Entregar, distribuir e acompanhar uma ou mais mudanças em uma liberação para o ambiente de produção”.
Exemplos de Requisitos:
“O provedor de serviços deve planejar com o negócio a liberação de serviços, sistemas, software e hardware.”
“Procedimentos do gerenciamento de liberações devem incluir a atualização e modificação da informação de configuração e dos registros de mudança.”