Styrning och ledning av IT med stöd av internationella standarder Ledningssystem för IT-tjänster sixten.bjorklund@sipit.se 2013-11-05 Sip It AB, Sixten Björklund 1
Kort om Sixten Konsult i eget bolag Ledning och styrning av IT, outsourcing, upphandling främst offentlig sektor Service Management i drygt 10 år Internationella Standardiseringen Ordförande i SIS TK303/AG2 (representerar itsmf) Medlem i ISO JTC1 arbetsgrupper för IT Governance, Service Management, Systems Quality Management, ITES/BPO 2013-11-05 Sip It AB, Sixten Björklund 2
Agenda Ledningssystem Integrerat ledningssystem Säkerhet vs tjänster Ledning och styrning av tjänster Governance Service Management Vad är på gång inom standardiseringen 2013-11-05 Sip It AB, Sixten Björklund 3
VAD ÄR ETT LEDNINGSSYSTEM 2013-11-05 Sip It AB, Sixten Björklund 4
Vad är ett ledningssystem enligt ISO Grupp av samverkande eller varandra påverkande delar av en organisation för att upprätta policy och mål samt processer för att uppnå dessa mål. Ett ledningssystem kan gälla ett enda ämnesområde eller flera ämnesområden. Systemets delar innefattar organisationens struktur, roller och ansvar, planering, verksamhet etc. Ett ledningssystem kan omfatta hela organisationen, specifika och identifierade funktioner inom organisationen, specifika och identifierade delar av organisationen, eller en eller flera funktioner inom en grupp organisationer. 2013-11-05 Sip It AB, Sixten Björklund 5
Vad är en tjänst En kedja av händelser eller aktiviteter i vilken en kund interagerar med ett tjänsteföretag i syfte att tillgodose vissa behov. Tjänsten "finns" inte förrän den upplevs av kunden, och det är vanligt att produktion, leverans och konsumtion av en tjänst sker samtidigt. [ NE] Sätt att leverera värde för kunden genom att underlätta de resultat kunden vill uppnå. [ISO20000] 2013-11-05 Sip It AB, Sixten Björklund 6
Inte bara regler, avtal och dokument Grupp av samverkande eller varandra påverkande delar av en organisation för att upprätta policy och mål samt processer för att uppnå dessa mål. VAD: planer, ekonomi, syfte, mål, strategi, uppföljning, sakkunskap, roller, ansvar, metodik, policy, struktur, processer HUR: kommunikation, motivation, hantera personer, frågor/svar, gruppdynamik, engagera, konflikthantering, relationer, känslor, coaching 2013-11-05 Sip It AB, Sixten Björklund 7
Vad är ett ledningssystem Organisationens förutsättningar Ledarskap Planering Stöd Verksamhet Förbättringar Utvärdering av prestanda 2013-11-05 Sip It AB, Sixten Björklund 8
Vad är ett ledningssystem Organisationens förutsättningar Ledarskap Planering Stöd Verksamhet Förbättringar Utvärdering av prestanda Förstå organisationen och dess förutsättningar Förstå intressenters behov och förväntningar Bestämma omfattning Upprätta och Upprätthåll ledningssystemet inklusive nödvändiga processer samt arbeta med Ständiga förbättringar 2013-11-05 Sip It AB, Sixten Björklund 9
Vad är ett ledningssystem Organisationens förutsättningar Ledarskap Planering Stöd Verksamhet Förbättringar Utvärdering av prestanda Högsta ledningens ledarskap och åttagande Policy Befattningar, ansvar och befogenheter 2013-11-05 Sip It AB, Sixten Björklund 10
Vad är ett ledningssystem Organisationens förutsättningar Ledarskap Planering Stöd Verksamhet Förbättringar Utvärdering av prestanda Riskhantering Upprätta mål Planera för att nå målen 2013-11-05 Sip It AB, Sixten Björklund 11
Vad är ett ledningssystem Organisationens förutsättningar Ledarskap Planering Stöd Verksamhet Förbättringar Utvärdering av prestanda Resurser Kompetens Kunskap om och förståelse för ledningssystemet Kommunikation Dokumentation 2013-11-05 Sip It AB, Sixten Björklund 12
Vad är ett ledningssystem Organisationens förutsättningar Ledarskap Planering Stöd Verksamhet Förbättringar Utvärdering av prestanda Införa, planera och styra processer Styra ändringar och granska konsekvenser Säkerställa att outsourcade processer är styrda 2013-11-05 Sip It AB, Sixten Björklund 13
Vad är ett ledningssystem Organisationens förutsättningar Ledarskap Planering Stöd Verksamhet Förbättringar Utvärdering av prestanda Hantera avvikelser och korrigerande åtgärder Ständiga förbättringar 2013-11-05 Sip It AB, Sixten Björklund 14
Vad är ett ledningssystem Organisationens förutsättningar Ledarskap Planering Stöd Verksamhet Förbättringar Utvärdering av prestanda Övervakning, mätning, analys och utvärdering Intern revision Ledningens genomgång 2013-11-05 Sip It AB, Sixten Björklund 15
Ledningssystem ISO 9001 (QMS) Kvalitetsledning Kvalitet i produkter Processbaserad (definiera själv) Kundtillfredsställelse Ständiga förbättringar PCDA ISO 20000-1 (SMS) Tjänster Upprätthålla tjänster Processbaserad Följsam till ITIL Ständiga förbättringar PDCA ISO 27001 (ISMS) Informationssäkerhet Skydda info.tillgångar Åtgärdsbaserad Hantera risker Ständiga förbättringar PDCA 2013-11-05 Sip It AB, Sixten Björklund 16
INTEGRERAT LEDNINGSSYSTEM 2013-11-05 Sip It AB, Sixten Björklund 17
Integrerat ledningssystem Olika delar och funktioner inom organisationen Beroenden inom och mellan ledningssystemen Delar som är lika, delar som skiljer Påverkan på kunder, underleverantörer, mfl Påverkan på respektive område Påverkan på system och stödsystem Planering införande, etapper Införande, utbildning och medvetenhet Upprätthåll spårbarhet till krav i respektive standard 2013-11-05 Sip It AB, Sixten Björklund 18
Integrerat ledningssystem Omfattning Organisation för ledningssystemet Policyer Planera aktiviteter Ansvar och befogenheter Riskhantering Processer Rutiner och arbetssätt Termer och begrepp Resurser 2013-11-05 Sip It AB, Sixten Björklund 19
Scenarios för omfattning (scope) A B A B A B A B 2013-11-05 Sip It AB, Sixten Björklund 20
Organisatoriska gränser D A B Tjänsteleverantör Kund C 2013-11-05 Sip It AB, Sixten Björklund 21
Analys vid integration Organisation Verktygslådan Separata delar Gemensamma delar Separata delar Likadana delar 2013-11-05 Sip It AB, Sixten Björklund 22
SÄKERHET OCH TJÄNSTER 2013-11-05 Sip It AB, Sixten Björklund 23
Säkerhet och tjänster Informationstillgångar Åtgärder Organisation Tjänster Processer Separata delar Informationsklassning Hantera informationstillgångar Verktygslådan Gemensamma delar Många delar i processerna Likadana delar Ständiga förbättringar, efterlevnad, PDCA, hantera dokumentation m.m. Separata delar SLA, nya och ändrade tjänster, ekonomi, hantera verksamhet 2013-11-05 Sip It AB, Sixten Björklund 24
Informationssäkerhet och tjänster ett område för samordning ISO 27001 Scopet för ISO 27001 behöver inte omfatta tjänsterna. ISO 20000-1 I ISO 20000-1 ska informationssäkerhet hanteras för tjänsterna Görs med fördel med ISO 27001 A B A B A B? 2013-11-05 Sip It AB, Sixten Björklund 25
Informationssäkerhet viss skillnad i definition ISO 27001 Bevarande av konfidentialitet, riktighet och tillgänglighet hos information Med tillgänglighet i ISO 27001 avses såväl åtkomst som användbarhet ISO 20000-1 Bevarande (skydd) av konfidentialitet, riktighet och åtkomst till information Tillgänglighet används i ISO 20000-1 avseende förmåga hos en tjänst eller tjänstekomponent att fungera som avsett 2013-11-05 Sip It AB, Sixten Björklund 26
Tillgång något som har värde för organisationen ISO 27001 Tillgångar kopplat till informationssäkerhet ISO 20000-1 Tillgångar kopplat till tjänster, tex licenser CI - element som ska kontrolleras CMDB databas för CI Informationstillgångar CI 2013-11-05 Sip It AB, Sixten Björklund 27
Risk hanteras med fördel samordnat osäkerhetens effekt ISO 27001 Riskbaserad Kombinationen av sannolikhet och konsekvens Risk information Risk tjänster ISO 20000-1 Risk för tjänster Osäkerhetens effekt på mål Hantera risk i bla: Skapa och hantera SMS Planering av tjänster Förändringar och Releaser Kontinuitetshantering Hantering av CI 2013-11-05 Sip It AB, Sixten Björklund 28
Incident skillnad att observera ISO 27001 Informationssäkerhetsincident en enskild eller en serie av oönskade eller oväntade informationssäkerhetshändelser som har en signifikant sannolikhet att äventyra verksamheten och hota informationssäkerheten ISO 20000-1 Incident oplanerat avbrott i en tjänst, en minskning i kvaliteten hos en tjänst eller en händelse som ännu inte har påverkat leveransen av en tjänst till kunden Informationssäkerhetsincident Allvarlig incident Känt fel Problem 2013-11-05 Sip It AB, Sixten Björklund 29
LEDNING OCH STYRNING AV IT- TJÄNSTER 2013-11-05 Sip It AB, Sixten Björklund 30
Några standarder för ledning och styrning 2013-11-05 Sip It AB, Sixten Björklund 31
Grundläggande egenskaper Principer Processer Fokus på Use of IT Fokus på produkter Organisation Fokus på tjänster Fokus på informationstillgångar Informationssäkerhetsåtgärder Processer 2013-11-05 Sip It AB, Sixten Björklund 32
ITIL ISO 9000 ISO 20000 ISO 27000 Cobit ISO 38500 Olika standarder bidrar i olika delar 2013-11-05 Sip It AB, Sixten Björklund 33
GOVERNANCE OF IT 2013-11-05 Sip It AB, Sixten Björklund 34
Governance The process of decision-making and the process by which decisions are implemented (UN ESCAP) The action or manner of governing (Oxford dictionary) Govern: härska, regera, styra, leda, besluta (Nationalencyklopedin) 2013-11-05 Sip It AB, Sixten Björklund 35
Högsta ledningen Ansvarar för en effektiv, ändamålsenligt och acceptabel användning av IT inom organisationen Styr genom formulering av strategier och policys samt genom att mäta och följa upp företagsledningens prestation, användningen av IT Tydliggöra ansvar, ansvar kan delegeras till företagsledningen avseende delar av den övergripande styrningen Säkerställa att risker hanteras 2013-11-05 Sip It AB, Sixten Björklund 36
Governance övergripande styrning Hur engagera högsta ledningen? Vad ska de göra? Vad är IT? Vilken information ska de ha? Hur får de mer information? Vilket ansvar ska de ha? Vilket ansvar vill de ha? 2013-11-05 Sip It AB, Sixten Björklund 37
Planer Policys Förslag Prestanda Följsamhet ISO/IEC 38500 Högsta Ledning Utvärdera Rätt Styra Följa upp frågor ansvar mandat beslut Verkställande ledning på rätt nivå i organisationen Ledningssystem för användning av IT 2013-11-05 Sip It AB, Sixten Björklund 38
Tre huvuduppgifter Utvärdera den nuvarande och framtida användningen av IT Styra strategier, planer och policys för att säkerställa att IT stöder verksamhetens mål Följa upp regelefterlevnad och prestation i förhållande till planerna 2013-11-05 Sip It AB, Sixten 39 Björklund
Sex principer Ansvar Strategi Anskaffning Prestanda Regelefterlevnad Mänskligt beteende 2013-11-05 Sip It AB, Sixten 40 Björklund
SERVICE MANAGEMENT 2013-11-05 Sip It AB, Sixten Björklund 41
Verkställande ledning Ansvarar för att nå organisationens mål inom ramen för de strategier och policyer som är framtagna, dvs inom ramen för modellen för övergripande styrning Införa och upprätthålla ett ledningssystem för användning av IT Effektiv styrning kräver ett effektivt system för uppföljning och intern kontroll i företaget 2013-11-05 Sip It AB, Sixten Björklund 42
Ledningssystem för tjänster ISO/IEC 20000-1 2013-11-05 Sip It AB, Sixten Björklund 43
Ledningssystem för tjänster ISO/IEC 20000-1 tjänsteprocesser 2013-11-05 Sip It AB, Sixten Björklund 44
VAD HÄNDER INOM STANDARDISERINGEN 2013-11-05 Sip It AB, Sixten Björklund 45
ISO/IEC 20000-serien Ledningssystem för IT-tjänster Relaterade standarder ISO/IEC 20000-2 Vägledning ISO/IEC 20000-3 Vägledning definition av omfattning ISO/IEC 20000-7 Vägledning användning av ISO/IEC 20000-1 för cloud ISO/IEC 20000-8 Vägledning Service management för små organisationer ISO/IEC 20000-1 KRAV ISO/IEC 20000-10 Koncept och terminologi ISO/IEC 20000-4 Referensmodell för processer ISO/IEC 20000-5 Exempel för stegvist införande ISO/IEC 20000-6 Krav på organisationer som utför granskning och certifiering ISO/IEC 20000-11 Vägledning jämförande med ITIL ISO/IEC 90006 Vägledning användning av IS0 9001 för service management ISO/IEC 27013 Vägledning integrerat införande ISO/IEC 27001 och ISO/IEC 20000-1 ISO/IEC 15504-8 Exempel på modell för värdering av processer för service management = Uppdaterad/publicerad = Under uppdatering = Under framtagande 2013-11-05 Sip It AB, Sixten Björklund 46
ISO/IEC 38500-serien Övergripande styrning av IT Governance of IT För organisationer Standard under uppdatering Publicering början av 2014 Governance of IT Vägledning för införande Ny standard under arbete Governance of IT Struktur och modell, egenskaper för governance och management Ny standard, publicering början av 2014 2013-11-05 Sip It AB, Sixten Björklund 47
Frågor sixten.bjorklund@sipit.se 2013-11-05 Sip It AB, Sixten Björklund 48