Курс Методологии проектирования и внедрения корпоративных информационных систем |
Стратегический аудит состояния информационных систем
3.1.3. Аудит ИТ-процессов
Процессы управления информационными технологиями целесообразно рассматривать с точки зрения применения методов лучшего мирового опыта. С данных позиций наибольшее распространение получили следующие подходы к управлению ИТ: COBIT и ITIL/ITSM. Оба подхода ориентированы на удовлетворение потребностей бизнес-подразделений ИТ-службой, базируются на процессном подходе и оперируют измеримыми показателями деятельности.
Стандарт COBIT охватывает 34 ИТ-процесса, сгруппированных по следующим направлениям:
- планирование и организация (10 процессов);
- проектирование и внедрение (7 процессов);
- эксплуатация и сопровождение (13 процессов);
- мониторинг (4 процесса).
В совокупности перечисленные 4 группы содержат 302 объекта контроля. Все ресурсы, используемые объектами контроля, оцениваются с точки зрения их соответствия критериям, которые логически вытекают из бизнес-задач организации. Перечень этих критериев (эффективность, технический уровень, безопасность, целостность, пригодность, согласованность, надежность) совпадает с критериями оценки деятельности организации в целом. Для количественной и качественной оценки по критериям широко используется сравнение с лучшими мировыми показателями (на основании модели зрелости). Все это в совокупности обеспечивает полную, объективную и актуальную информацию о текущем состоянии ИТ, возможных решениях по изменению ситуации, перспективах и рисках их реализации.
В современных условиях происходит смещение акцентов в управлении ИТ, связанное с тем, что, фактически, подразделения организации потребляют не информационные системы, а ИТ-услуги, оценка которых должна производится не только по предоставляемой функциональности, но и по качеству обслуживания. При этом серьезно меняется модель управления ИТ, объектом управления становится услуга (а не информационная система), целью – решение бизнес-задачи (а не обеспечение технических возможностей использования ИС).
Основные идеи этого подхода были воплощены в типовой модели бизнес-процессов ИТ-службы ITIL/ITSM (IT Infrastructure Library / IT Service Management). Инициированный правительством Великобритании проект ITIL воплощает в себе основные принципы передовой практики организации ИТ-процессов, сформированные на основе анализа успешных решений (результаты этого анализа издаются в виде постоянно обновляемой библиотеки обобщенных ИТ-процессов). Разработанная компанией Hewlett-Packard на основе принципов ITIL модель ITSM представляет собой описание целостной системы взаимосвязанных ИТ-процессов.
Основные отличия управления ИТ-услугами от управления информационными системами заключаются в следующем:
- бизнес формулирует требования к ИТ-услугам, а ИТ-служба обеспечивает их реализацию;
- информационные системы для ИТ-службы имеют статус ресурса;
- финансовый результат ИТ-службы определяется традиционным для бизнес-единицы образом: доходы за счет предоставления услуг минус расходы по их разработке, внедрению и сопровождению;
- контроль деятельности ИТ-службы осуществляется на основе показателей, имеющих ценность с позиций клиента;
- прозрачность деятельности ИТ-службы обеспечивается за счет формализации управленческих процедур в виде пакета документов, являющихся нормативной базой для всех ИТ-процессов.
Модель ITSM группирует ИТ-процессы в 5 тематических блоков:
- Блок стратегического управления включает в себя следующие процессы:
- процесс анализа потребностей бизнеса, основной задачей которого является согласование целей и приоритетов между подразделениями предприятия и ИТ-службой;
- процесс управления клиентами, определяющий и согласовывающий требования по конкретным услугам, необходимым подразделениям;
- процесс разработки стратегии развития ИТ, организующий интегрированный корпоративный процесс по развитию информационных технологий для обеспечения их соответствия основным целям и потребностям бизнеса предприятия.
- Блок планирования и управления услугами включает в себя следующие процессы:
- процесс планирования услуг, основной задачей которого является проектирование спецификаций услуг;
- процесс управления качеством сервиса, согласующий спецификации по составу и параметрам услуг и предоставляемые ИТ-службой ресурсы, а также создающий и согласующий регламентирующий взаимоотношения документ (договор) - Соглашение об уровне сервиса;
- процесс управления инфраструктурой, включающий управление безопасностью, управление устойчивостью (способностью поддерживать услуги в чрезвычайных ситуациях), а также управление пропускной способностью;
- процесс управления затратами, осуществляющий расчет издержек, пользовательских цен, а также поиск путей снижения затрат.
- Блок разработки и внедрения услуг включает в себя следующие процессы:
- процесс разработки и тестирования, основной задачей которого является реализация услуги в соответствии с ее спецификациями;
- процесс ввода в эксплуатацию, обеспечивающий инфраструктуру функционирования новой услуги, осуществляющий подготовку справочных руководств и обучение специалистов по технической поддержке сервиса.
- Блок оперативного управления включает в себя следующие процессы:
- процесс управления операциями, осуществляющий регламентные работы по поддержанию ИТ-инфраструктуры предприятия (функции системного администратора);
- процесс управления инцидентами, обеспечивающий восстановление услуги путем обработки инцидентов – событий, не являющихся частью нормального ее функционирования, приводящих (потенциально) к отказу услуги или снижению ее качества;
- процесс управления проблемами, предназначенный для устранения причин возникновения инцидентов.
- Блок управления изменениями и конфигурациями включает в себя следующие процессы:
- процесс управления изменениями, задачами которого являются регистрация изменений, разрешение и отсев изменений, оценка воздействия изменений на ИТ-среду и т.п.;
- процесс управления конфигурацией, поддерживающий в актуальном состоянии данные по конфигурации информационных систем.
Переход к сервисной модели ИТ в 2002 году был отражен в стандарте BS 15000 "Управление ИТ-сервисом", недавно получившем официальный международный статус ISO 20000. Стандарт ISO 20000 конкретизирует процессный подход, развиваемый в ITIL, применительно к менеджменту ИТ-услуг. Он определяет требования и взаимосвязанные процессы, необходимые для создания и эффективного использования системы менеджмента. Стандарт состоит из двух частей:
- ISO 20000-1 " Information technology — Service management. Part 1: Specification " представляет собой описание требований к системе менеджмента ИТ-услуг и состоит из 10 разделов: Область применения, Термины и определения, Требования к системе управления, Планирование и применение управления услугой, Планирование и внедрение новых или измененных услуг, Процесс оказания услуг, Процессы взаимосвязей, Процессы разрешения проблем, Процессы контроля, Процесс управления релизом.
- ISO 20000-2 " Information technology — Service management. Part 2: Code of Practice " воплощает практические рекомендации по процессам, требования к которым сформулированы в первой части.
В конце 2000 года международный институт стандартов ISO на базе первой части британского BS 7799 "Управление информационной безопасностью. Практические рекомендации по управлению информационной безопасностью" (Information Security Management – Code of Practice for information Security Management) разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799 "Информационные технологии. Управление информационной безопасностью" (Information Technology – Information Security Management). Стандарт является совокупностью практических правил по управлению информационной безопасностью, разработанных на основе передового мирового опыта и описывает:
- требования к политике информационной безопасности;
- организационные меры безопасности;
- классификация и контроль информационных ресурсов;
- кадровые аспекты информационной безопасности;
- физическую защиту информационных ресурсов;
- управление технологическим процессом;
- управление доступом;
- требования к безопасности компонентов систем в ходе их разработки, эксплуатации и сопровождения;
- правила обеспечения непрерывности работы и восстановления;
- требования к соответствию систем информационной безопасности нормативным и руководящим документам.
Следует отметить, что ISO 17799 не является техническим стандартом и не зависит от конкретного средства защиты или технологии. Он описывает концептуальные основы управления информационной безопасностью.
Кроме того, в международной практике широко применяется вторая часть стандарта BS 7799 – "Управление информационной безопасностью. Технические требования" (Information Security Management – Requirements Specification). Она определяет возможные меры по обеспечению защиты в соответствии с требованиями первой части стандарта и по предотвращению реализации угроз информационной безопасности (так называемое управление рисками информационной безопасности).