De fleste kender ITIL som rammeværk når vi snakker service management, men hvor mange ved at der findes en standard for IT Service Management? Og at der er andre standarder, som også er relevante i denne sammenhæng.

Dette blog indlæg vil forsøge at give en introduktion til disse, hvem der står bag og hvordan det hele hænger sammen.

Hvem udvikler og ejer standarder?

I Danmark er det Dansk Standard, som står for standardiseringsarbejde. Det gør man på linie med andre nationale standardiseringsorganer som f.eks. BSI og ANSI.

På globalt niveau kommer man ikke uden om ISO (International Organization for Standardization, reference 5) og IEC (International Electrotechnical Commission, reference 6) når vi snakker standarder generelt og specifikt inden for IT. ISO og IEC er gået sammen om at udvikle en lang række standarder i nogle fælles tekniske kommitterer og underkommitterer. Derfor støder man på JTC1/SC7 (Joint Technical Committee 1/Sub Committee 7) når vi snakker om udviklingen af standarden for service management. Denne standard hedder ISO/IEC 20000 og udvikles af arbejdsgruppe 25 (WG25). Disse arbejdsgrupper mødes fysisk et par gange om året og bl.a. af denne grund er standardiseringsarbejde forholdsvis langsommeligt. Næste møde finder sted til maj i Niigata i Japan.

I dansk regi svare JTC1/SC7 til udvalget DS/S-440 og det er dette og andre lignende udvalg der repræsentere Danmark i det internationale standardiseringsarbejde. Se reference 2. Som det ses er itSMF Danmark gået ind i denne arbejdsgruppe med fokus på de standarder inden for JTC1/SC7 der er relevante i service management sammenhæng.

Hvad består service management standarden af?

ISO/IEC 20000 består af flere dele. Oprindeligt er ISO/IEC 20000 udviklet fra BS 15000 (såkaldt fast tracked) og bestod af 2 dele, men yderlige 3 er kommet eller er på vej. Standarden består derfor af:

1. ISO/IEC 20000-1:2005 Specification (selve standarden med hvad man skal gøre, ny version i 2011)


2. ISO/IEC 20000-2:2005 Code of practice (vejledning i hvad man bør gøre, ny version i 2012)


3. ISO/IEC 20000-3:2009 Guidance on scope definition and applicability of ISO/IEC 20000-1


4. ISO/IEC 20000-4:2010 Process reference model


5. ISO/IEC 20000-5:2010 Exemplar implementation plan for ISO/IEC 20000-1

Årstallet indgår altså i standardens navn, som det ses.

Processerne i ISO/IEC 20000 er opdelt i 8 grupper og består af (Numrene i parentes henviser til afsnittene i ISO/IEC 20000-1:2005):

1. Requirements for a Management system (3)
   a. Management Responsibility
   b. Documentation Requirements
   c. Competence, Awareness and Training


2. Planning & implementing Service Management (4)
   a. Plan Service Management
   b. Implement Service Management and Provide the Services
   c. Monitoring, Measuring and Reviewing
   d. Continual Improvement


3. Planning and Implementing New or Changed Services (5)


4. Service Delivery Processes (6)
   a. Service Level Managementb. Service Reporting
   c. Service Continuity and Availability Management
   d. Budgeting and Accounting for IT services
   e. Capacity Managementf. Information Security Management


5. Relationship Processes (7)
   a. Business Relationship Management
   b. Supplier Management


6. Resolution Processes (8)
   a. Incident Management
   b. Problem Management


7. Control Processes (9)
   a. Configuration Management
   b. Change Management


8. Release Process (10)
   a. Release Management

I alt 21 processer.

Andre relevante standarder

Der er andre standarder, som også er relevante i service management sammenhæng. De omfatter bl.a.:

ISO 9001 – krav til quality management systems

ISO/IEC 15504 - Software process assessment (JTC1/SC7/WG10)

ISO/IEC 19770 - SW Asset Management (JTC1/SC7/WG21)

ISO/IEC 27001 - Specification for information security management systems (JTC1/SC27/WG1)

ISO/IEC 38500 - Corporate governance of information technology (JTC1/WG6)

ISO/IEC 42010 - Recommended practice for architectural description of software-intensive systems (JTC1/SC7/WG41)

I parentes ses hvilke arbejdsgrupper der arbejder med de respektive standarder.

Er der en sammenhæng mellem disse standarder?

Ja og nej. Mellem nogle af dem er der en sammenhæng, som jeg lige vil afdække her.

Der er en række uformelle sammenhænge mellem ISO/IEC 20000 og ISO 9001, ISO/IEC 15504 og ISO/IEC 27001. Disse uformelle sammenhænge er ved at blive konkretiseret.

For sammenhængen mellem ISO/IEC 20000 og ISO 9001 kommer det til at ske via ISO/IEC 90006, som kommer til at hedde Guidelines for the application of ISO 9001 of IT Service Management. Det er specielt i relation til Plan-Do-Check-Act continual improvement. ISO/IEC 90006 kommer først efter en opdateret udgave af ISO/IEC 20000-1 til næste år.

Mellem ISO/IEC 20000 og ISO/IEC 15504 er der også en relation, mere specifikt mellem ISO/IEC 20000-4 (Process reference model) og ISO/IEC 15504-8 (Process assessment model). ISO/IEC 15504-8 er altså specifik på hvorledes service management processer skal assesses i forhold til de processer ISO/IEC 20000-1 nævner kravene til og som ISO/IEC 20000-4 uddyber beskrivelserne af.

Endelig er der en sammenhæng mellem ISO/IEC 20000-1 og ISO/IEC 27001. Begge stander kræver et management system (nævnt første gang i ISO/IEC 20000-3 som et service management system, SMS) og i ISO/IEC 27013 Guidance on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001 gives der retningslinier på hvorledes man undgår dobbeltarbejde.

Nedenstående figur, som er gengivet med tilladelse fra Jenny Dugmore og itSMF UK, viser disse sammenhænge.

Der er også en sammenhæng mellem ISO/IEC 20000 og ITIL. Det er naturligvis to forskellige ting (standard versus best practice rammeværk) og processerne er ikke delt op på hel samme måde, men det er en rigtig god ide at finde flere detaljer i ITIL bøgerne, hvis man vil i gang med en ISO/IEC 20000 certificering. Her vil nye og opdaterede whitepapers med bl.a. mapninger se dagens lys.
Og så er der måske en helt ny standard på vej. Lige nu arbejder en studiegruppe på et oplæg til en standard med den foreløbige titel IT Enabled Services / Business Process Outsourcing. Mødet i Niigata vil afgøre om den udvikler sig til en standard.

Certificeringer
Et er standarder, noget helt andet er at blive auditeret og til dette formål har IT Service Management Forum (itSMF) i England udviklet et såkaldt certification scheme. Det er en model eller struktur for hvorledes man bliver certificeret via en audit og ikke mindst hvile spilleregler en auditor skal følge og i det hele taget hvordan man bliver en sådan. Auditor kaldes for Registered Certification Body (RCB) og en af disse er DS Certificering, som er et datterselskab af Dansk Standard. Dette scheme, hvem der er RCB’ere og hvilke firmaer der er blevet certificeret under dette scheme kan ses på reference 3.

Ud over at akkrediterede RCB’ere kan certificere virksomheder kan man også bliver personligt certificeret i ISO/IEC 20000. Der findes ind til flere såkaldte qualification schemes.

itSMF UK udbyder to certificeringer, en consultant og en auditor certificering. Beskrivelse af certificeringerne og hvem der udbyder kurser kan også ses på reference 3.

BCS-ISEB (British Computer Society - Information Systems Examination Board) udbyder en ISO/IEC 20000 Foundation, som kursusudbydere akkrediteret af ISEB har mulighed for at afholde.

Endelig udbyder EXIN (Examination Institute for Information Science) et helt forløb af kurser, som de tilsvarende EXIN akkrediterede kursusudbydere kan afholde. Selve forløbet er beskrevet i reference 4.

Hvem er blevet certificeret i Danmark?

Første virksomhed der blev certificeret i Danmark var CSC i 2006. De er siden blevet efterfulgt af Post Danmark Informationsteknologi i 2008 og KMD i 2009.
Læg mærke til at det ikke er hele organisationen som sådan der er blevet certificeret. Enhver certificering indeholder et scope, som viser hvilke leverance til hvilke kunder der er blevet auditeret. Dette scope findes på reference 3. Bemærk at alle områder af standarden skal være opfyldt. Man kan altså ikke blive certificeret i nogle af processerne, alle 21 skal være med.

Har jeg noget at bruge ISO/IEC 20000 til i min service management praksis, hvis ikke jeg ønsker en certificering?

Der er mange der tror at man kun har noget at bruge standarder til, hvis man er på vej til audit og certificering. Man kan dog sagtens have glæde af en standard selv om man ikke har disse planer. Se på f.eks. ISO/IEC 20000-1 som en checkliste, hvor man helt præcist kan se hvad kravene er til de enkelte processer. Gør man det standarden kræver, er man ganske godt på vej. Ved at kigge i de øvrige dele af standarden (2, 4 og 5) kan man blive yderligere inspireret. Del 3 vil jeg mene er irrelevant med mindre man skal certificeres. Man kan med andre ord sætte de krav der er i standarden om som mål og et af midlerne til at når disse mål kunne være ITIL, men også andre best practices kunne være midler i denne sammenhæng. Det vil jeg komme tilbage til i et senere blog indlæg.

Hvor kan jeg læse mere?

Ud over de allerede nævnte referencer kan man læse mere på Jenny Dugmores blog (Reference 1). Jenny er WG25 convener (indkalder) og dermed lige p.t. den ledende drivkraft bag videreudviklingen af ISO/IEC 20000. Hvis man er medlem af itSMF kan man i itSMF UK’s medlemsblad ServiceTalk læse en uddybende artikel i april nummeret fra i år, hvor ovenstående tegning stammer fra. Og så findes der naturligvis selv standarden, som bl.a. kan købes hos ISO og Dansk Standard, og en lang række bøger fra diverse forlag. Ingen nævnt ingen glemt.

Referencer:

1. http://www.itpreport.com/default.asp?Mode=Show&A=2302&R=GL


2. http://www.ds.dk/da-DK/ydelser/Standardisering/S-udvalg/S-440/Sider/default.aspx


3. http://www.isoiec20000certification.com/


4. http://www.takeanotherlook.it/web/index.php?page=levels


5. http://www.iso.org/iso/home.html


6. http://www.iec.ch/