ILUMNA web Introducao ISOIEC20000 v1.1

(1)

ISO/IEC 20000:2005

Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro

Versão 1.1, 15.09.2006

André Jacobucci

andre.jacobucci@ilumna.com +55 11 5087 8829

(2)

Objetivos desta Apresentação

Permitir um

contato inicial

com a norma internacional ISO/IEC

20000

Avaliar o interesse

das empresas com operações de TI no Brasil

Desenvolver a

aceitação

da norma no Brasil junto à ABNT

Apoiar a estruturação do

esquema de certificação

no Brasil junto a

organizações certificadoras

Garantir que, em seu desenvolvimento no Brasil, o selo “Certificado

ISO/IEC 20000”

signifique, efetivamente, um diferencial de

(3)

Agenda

1. ISO/IEC 20000

O que é

A quem se destina

Para quê serve

2. Processo de certificação

3. Esquema de Certificação

Na Inglaterra

No Brasil (proposta)

4. Conteúdo da Norma

Resumo dos Processos

Objetivo dos Processos e Exemplo de Requisitos

5. Mais Informação

(4)

1. ISO/IEC 20000:2005 O que é?

É uma

norma internacional

que permite que as práticas de

gerenciamento de serviços de TI propostas pelo

ITIL

®

_{possam ser}

auditadas de forma objetiva por uma organização externa.

A norma foi publicada em

15 de dezembro de 2005

pela ISO/IEC

(International Organization for Standardization, International

Electrotechnical Commision)

O ITIL

®

_{(IT Infrastructure Library) é uma biblioteca contendo}

melhores práticas para o gerenciamento de serviços de TI.

ITIL

®

_{é uma marca registrada do}

_OGC

_{(Office of Government}

(5)

1. ISO/IEC 20000:2005 O que é?

A norma é composta de

duas partes

, sob o título geral de “Information

Technology – Service Management”:

Parte I –

Especificação

Descreve os requisitos mandatórios que o provedor de serviços deve

satisfazer através de evidências objetivas para demonstrar sua

capacidade de entregar e gerenciar a qualidade dos serviços para seus

clientes

Parte II –

Código de Práticas

Descreve um conjunto de orientações e recomendações sobre como os

requisitos mandatórios podem ser implementados

NÃO

é um padrão para um produto ou um serviço específico.

É um padrão para um

sistema de gestão

e, por este motivo, trata de

(6)

ISO/IEC 20000: A quem se destina?

Prestadores de serviço

(internos ou externos) que

fornecem serviços habilitados por tecnologias da informação (TI) para

seus usuários (internos ou externos) e

possuem

controle gerencial

sobre tais serviços.

Pode ser o departamento de TI do negócio

Não

serve para empresas que fornecem exclusivamente mão de obra

(“bodyshop”), equipamentos ou softwares

Não

serve para “brokers” (intermediários) de serviços.

“

Controle gerencial

” significa:

Conhecimento e controle sobre os “inputs” e “outputs” dos processos

Autonomia para decisões de processos, recursos, investimentos,

métricas, etc.

Responsabilidade pelo fornecimento e pela qualidade dos serviços

(7)

ISO/IEC 20000: Para quê serve?

A norma ISO/IEC 20000 estimula e promove a adoção de uma

abordagem de

processos integrados

para entregar, efetivamente,

serviços de TI de encontro com requisitos de Negócio e do Cliente.

A norma ISO/IEC 20000 constitui um

diferencial competitivo

para

os provedores de serviço.

Para o comprador/usuário do serviço, ela constitui uma

garantia de

qualidade

.

Como a norma é capaz de fazer isso?

Definindo

requisitos específicos

(parte 1 da norma) que um

provedor de serviços de TI deve apresentar para demonstrar sua

habilidade para entregar serviços que vão de encontro às

expectativas de qualidade de seus Clientes e Usuários

Permitindo o estabelecimento de um

esquema formal de

certificação

Exigindo auditorias independentes

e periódicas para garantir a

efetividade dos processos de gestão e a manutenção da

(8)

Atenção!

Por ser um padrão baseado em processos, a ISO/IEC 20000

NÃO

se destina à avaliação de

produtos

!

Entretanto, empresas desenvolvedoras de equipamentos, softwares

e soluções para gerenciamento de serviços podem utilizar a

especificação (parte 1 da norma) e o código de práticas (parte 2 da

norma) para ajudá-las a desenvolver seus produtos...

(9)

Em que situações o padrão poderia ajudar?

A norma pode ser usada:

a) por empresas que estão buscando provedores externos para

seus serviços de TI;

b) por negócios que exigem uma abordagem consistente para todos

os fornecedores de serviço de sua cadeia de suprimentos;

c) por provedores de serviço que querem comparar sua capacidade

de gestão de serviços de TI;

d) como base para uma avaliação independente;

e) por uma empresa que precisa demonstrar sua habilidade em

fornecer serviços que satisfaçam os requisitos de seus clientes; e

f) por uma empresa que almeja melhorar seus serviços através da

aplicação efetiva de processos para monitorar e melhorar a

(10)

Processo de Certificação

Os primeiros aspectos a serem considerados são:

O provedor de serviços é

elegível

para certificação? Ou seja, a

norma aplica-se a este fornecedor?

Se o provedor é elegível, então qual é o

escopo

dos processos que

serão auditados para a certificação?

Uma vez determinada a elegibilidade e o escopo da certificação

(quais

serviços

, quais clientes, quais regiões geográficas, quais

operações, etc.), a organização faz uma avaliação para verificar

lacunas entre sua operação atual e os requisitos (parte 1) da norma.

As lacunas são endereçadas e é feita uma nova avaliação antes da

auditoria formal.

Um órgão acreditado conduz a auditoria de certificação e, caso o

provedor de serviços satisfaça os requisitos da norma dentro do

escopo definido, o certificado é emitido.

(11)

ISO/IEC 20000:

Organização Usuária Final, Provedor de Serviço e Fornecedores

Negócio / Cliente (Organização Usuária Final)

Provedor de Serviço (interno ou externo) Fornecedor(es) Líder(es) ou Fornecedor(es) Fornecedor(es) Subcontratado(s)

A organização em busca da certificação é o

“Provedor de Serviço”.

Porém, tudo depende da cadeia de

suprimentos que está sendo considerada, ou

seja:

De qual(is) serviço(s) estamos falando?

Quem é o usuário final deste(s) serviço(s)?

Quem é o responsável por gerenciar a

prestação do(s) serviço(s)?

(12)

Esquema de Certificação na Inglaterra

itSMF OGC Standards Bodies Accreditation Authorities Examination/ Accreditaion Panels

ITIL ISO 20000 Certification Scheme Courses/ Exam Registered Certification Bodies (Auditors) Training/ Consulting Organizations

Certified / Certifiable Organizations

Influences Advises Engages Engages

Publishes Set Accredit & Manage

Manage

Controls Are run by

Audit/Certify Train & Consult Train

& Assist

May be member of

(13)

Esquema de Certificação proposto para o Brasil

itSMF Brasil

OGC ABNT INMETRO

Painéis de Acreditação e Exame ITIL (livros em português) NBR ISO 20000 Esquema de Certificação Cursos/ Exames Organizações Certificadoras (Auditorias) Organizações de Treinamento e Consultoria

Organizações Certificadas / Certificáveis

Influencia Aconselha Engaja Engaja

Publica Lança Acredita e Gerencia

Gerencia

Controla São executados por

Audita/Certifica Treinamento e Consultoria Treina

e Apóia

Pode ser membro do

(14)

4. Conteúdo da Norma ISO 20000

Requisitos para o Sistema de Gestão

Planejamento e Implementação da Gestão dos Serviços

Planejamento de Novos Serviços ou Mudanças nos Serviços

Processos de Entrega de Serviços

Processo de Liberação

Gerenciamento de Liberações Processos de Resolução Gerenciamento de Incidentes Gerenciamento de Problemas Processos de Relacionamento Gerenciamento do Relacionamento com o Negócio Gerenciamento de Fornecedores Responsabilidade Gerencial Requisitos de Documentação Competências, Conscientização e Treinamento Planejamento, Implementação, Monitoração e Melhoria (Plan, Do, Check, Act)

Planejamento e implementação de novos serviços ou mudanças em serviços Processos de Controle Gerenciamento de Mudanças Gerenciamento da Configuração Gerenciamento da Segurança da Informação Orçamento e Contabilidade para Serviços de Ti Gerenciamento da Capacidade G. da Continuidade e da Disponibilidade dos Serviços G. de Níveis de Serviço

Organização

Metodologia

Projeto

Entrega,

Suporte,

Controle

(15)

Metodologia para os Processos de Gestão de Serviços (PDCA)

Requisitos de Negócio

Requisitos dos Clientes

Requisição de Mudança ou Novo Serviço Processos de Negócio, de Fornecimento, e de Clientes Service Desk Outras Equipes (Segurança, Operações , etc.) Resultados de Negócio

Satisfação dos Clientes

Serviço Novo ou Modificado

Processos de Negócio, de Fornecimento, e

de Clientes

Satisfação das Equipes e Pessoas

Gerenciamento dos Serviços

Círculo de Qualidade de Deming ACT Melhoria Contínua CHECK Monitorar, medir e revisar DO Implementar gerenciamento de serviços PLAN Planejar o gerenciamento de serviços

(16)

Resumo dos Requisitos e Processos da Norma

Objetivo: “Fornecer um sistema de gestão, incluindo políticas e uma estrutura que habilite uma eficaz gestão e implementação

de todos os serviços de TI”

Componentes: Responsabilidade Gerencial, Requisitos de Documentação e Competência, Conscientização e Treinamento

Requisitos para um Sistema de Gestão Requisitos para o Sistema de Gestão Responsabilidade Gerencial Requisitos de Documentação Competências, Conscientização e Treinamento

Organização

(17)

Resumo dos Requisitos e Processos da Norma

Objetivo: “Monitorar, medir e revisar que o plano e os objetivos da gestão dos serviços estão sendo atingidos” Monitoramento, Mensuração e Revisão (CHECK)

Objetivo: “Melhorar a eficácia e a eficiência da entrega do serviço e de sua gestão”

Melhoria Contínua (ACT) Planejamento e Implementação

da Gestão dos Serviços

Planejamento, Implementação, Monitoração e Melhoria (Plan, Do, Check, Act)

Objetivo: “Planejar a implementação e a entrega da gestão dos serviços”

Planejamento da Gestão dos Serviços (PLAN)

Objetivo: “Implementar o plano e os objetivos da gestão dos serviços” Implementação da Gestão dos Serviços e Fornecimento dos Serviços (DO)

(18)

Resumo dos Requisitos e Processos da Norma

Objetivo: “Garantir que os novos serviços ou as mudanças nos serviços existentes serão entregues e gerenciados dentro do custo e da qualidade acordados” Planejamento e implementação de novos serviços ou mudanças em serviços

Planejamento de Novos Serviços ou Mudanças nos Serviços

Planejamento e

implementação de novos serviços ou mudanças em serviços

(19)

Resumo dos Requisitos e Processos da Norma

Gerenciamento da Segurança da Informação Orçamento e Contabilidade para Serviços de Ti Gerenciamento da Capacidade G. da Continuidade e da Disponibilidade dos Serviços G. de Níveis de Serviço

Objetivo: “Definir, acordar, registrar e gerenciar níveis de serviço”

Exemplos de Requisitos:

“Cada serviço provido deve ser definido, acordado e documentado em um ou mais acordos de nível de serviço (SLAs)”

“Acordos de Nível de Serviço (SLAs), juntamente com acordos de serviço que os suportam, contratos com fornecedores e procedimentos correspondentes, deve ser acordados por todas as partes

relevantes e registrados” Gerenciamento de Nivel de Serviço

(20)

Resumo dos Requisitos e Processos da Norma

Objetivo: “Produzir, conforme acordado e com pontualidade, relatórios confiáveis e precisos para tomada de decisão informada e comunicação eficaz”

“Deve haver uma descrição clara dos relatórios de serviço incluindo sua identificação, propósito, audiência e detalhes da fonte dos dados”

“Decisões gerenciais e ações corretivas devem levar em consideração os pontos encontrados nos relatórios de serviço e devem ser comunicados para as partes relevantes.”

(21)

Resumo dos Requisitos e Processos da Norma

Objetivo: “Garantir que os acordos de continuidade e disponibilidade dos serviços, compromissados com os clientes possam ser atingidos em todas as circunstâncias”

“Requisitos de disponibilidade e continuidade dos serviços devem ser identificados com base nos planos de negócio, SLAs e avaliações de risco”

“O processo de gerenciamento de mudanças deve avaliar o impacto de qualquer mudança na disponibilidade e no plano de continuidade dos serviços”

(22)

Resumo dos Requisitos e Processos da Norma

Objetivo: “Orçar e contabilizar os custos do fornecimento dos serviços”

“Deve haver políticas e processos claros para a recuperação de custos indiretos e a alocação dos custos diretos para os serviços”

“Os custos devem ser orçados com suficiente detalhe para permitir controle financeiro e tomada de decisão eficazes”

(23)

Resumo dos Requisitos e Processos da Norma

Objetivo: “Garantir que o provedor de serviços possua, em todos os momentos, suficiente capacidade para satisfazer as demandas acordadas, atuais e futura, das necessidades de negócio do cliente”

“O gerenciamento da capacidade deve endereçar as necessidades de negócio e inclui a avaliação dos efeitos de upgrades previstos no serviço, de requisições de mudança, e de novas tecnologias e

técnicas sobre a capacidade”

“Métodos, procedimentos e técnicas devem ser identificadas para monitorar a capacidade do serviço, ajustar o desempenho do serviço e fornecer capacidade adequada”

(24)

Resumo dos Requisitos e Processos da Norma

Objetivo: “Gerenciar eficazmente a segurança da informação dentro de todas as atividades de serviço”

“Executivo com autoridade apropriada deve aprovar uma política de segurança da informação que deve ser comunicada para todo o pessoal relevante e aos clientes quando apropriado”

“Arranjos que envolvam o acesso de organizações externas a sistemas de informação e serviços devem ser baseados em um acordo formal que defina todos os requisitos de segurança necessários.”

(25)

Resumo dos Requisitos e Processos da Norma

Processos de Relacionamento

Gerenciamento do Relacionamento com o Negócio

Gerenciamento de Fornecedores

Objetivo: “Gerenciar os fornecedores para garantir a provisão de serviços de qualidade e sem rupturas”

“O provedor de serviços deve possuir processos documentados para gerenciamento de fornecedores e deve nomear um gerente de contrato responsável para cada fornecedor.”

“Os SLAs com os fornecedores devem estar alinhados com os SLAs com o negócio.” Gerenciamento de Fornecedores

(26)

Resumo dos Requisitos e Processos da Norma

Processos de Resolução _{Gerenciamento de Problemas}Gerenciamento de Incidentes

Objetivo: “Restaurar o serviço acordado para o negócio o mais rápido possível ou responder a requisições de serviço”

“Todos os incidentes devem ser registrados.”

“Procedimentos devem definir o registro, priorização, impacto ao negócio, classificação, atualização, escalonamento, resolução e fechamento formal de todos os incidentes.”

(27)

Resumo dos Requisitos e Processos da Norma

Processos de Resolução _{Gerenciamento de Problemas}Gerenciamento de Incidentes

Objetivo: “Minimizar a interrupção do negócio através da identificação pró-ativa e a análise de causa dos incidentes e através do gerenciamento dos problemas até seu fechamento”

“Procedimentos devem ser adotados para identificar, minimizar e evitar o impacto de incidentes e problemas.”

“O gerenciamento de problemas deve ser responsável por garantir que informações atualizadas sobre erros conhecidos e problemas corrigidos sejam disponibilizadas para o gerenciamento de incidentes.”

(28)

Resumo dos Requisitos e Processos da Norma

Processos de Controle Gerenciamento da Configuração_{Gerenciamento de Mudanças}

Objetivo: “Definir e controlar os componentes do serviço e a infra-estrutura e manter informações precisas de configuração”.

“Todos os itens de configuração devem ser identificados unicamente e registrados em um banco de dados de configuração (CMDB) para o qual o acesso de atualização deve ser estritamente

controlado.”

“Procedimentos para controle da configuração devem garantir que a integridade dos sistemas, serviços e componentes de serviço seja mantida.”

(29)

Resumo dos Requisitos e Processos da Norma

Processos de Controle Gerenciamento da Configuração_{Gerenciamento de Mudanças}

Objetivo: “Garantir que todas as mudanças sejam avaliadas, aprovadas, implementadas e revisadas de uma maneira controlada”.

“Todas as requisições de mudança deve ser registradas e classificadas.”

“Requisições de mudança devem ser avaliadas quanto a seu risco, impacto e benefício para o negócio.”

(30)

Resumo dos Requisitos e Processos da Norma

Processo de Liberação Gerenciamento de Liberações

Objetivo: “Entregar, distribuir e acompanhar uma ou mais mudanças em uma liberação para o ambiente de produção”.

“O provedor de serviços deve planejar com o negócio a liberação de serviços, sistemas, software e hardware.”

“Procedimentos do gerenciamento de liberações devem incluir a atualização e modificação da informação de configuração e dos registros de mudança.”

(31)

Mais Informação

Literatura Introdutória Recomendada:

Consultoria

|

Educação

|

Serviços

:

www.ilumna.com

Livros Disponíveis na

ILUMNA Bookstore

:

bookstore@ilumna.com

(32)

Sobre a ILUMNA

Atuando na área de Gestão de Serviços em TI desde 1997, os

consultores da ILUMNA prestam serviços de Consultoria,

Educação e Tecnologia, com o objetivo de garantir que todos os

serviços de TI fornecidos ou consumidos por seus Clientes sejam

efetivamente gerenciados segundo Normas e Melhores Práticas de

mercado.

(33)