Модели зрелости процессов домена "Эксплуатация и сопровождение "
DS 4. Обеспечение непрерывности ИТ сервисов
Управление процессом "Обеспечение непрерывности ИТ сервисов" удовлетворяет следующим бизнес требованиям к ИТ минимизация последствий для организации в случае сбоя в оказании ИТ услуг и соответствует характеристикам:
0. Несуществующий
Нет понимания рисков, уязвимых мест и угроз по отношению к функционированию ИТ, а также негативного воздействия на бизнес, обусловленного потерей ИТ услуг. Обеспечение непрерывности услуг не рассматривается как вопрос, нуждающийся во внимании со стороны руководства.
1. Начальный/Повторяющийся эпизодически и бессистемно
Ответственности по обеспечению непрерывности услуг не формализованы, полномочия ответственных лиц ограничены. Руководство начинает осознавать риски, связанные с потребностью обеспечения непрерывного предоставления услуг. Основное внимание сосредоточено на обслуживании ресурсов инфраструктуры, а не на ИТ услугах. Пользователи применяют свои собственные приемы, чтобы справляться со сбоями в предоставлении ИТ услуг. Реакция службы ИТ на крупные сбои заранее не продумана и не подготовлена. Практикуются плановые отключения системы в целях ИТ обслуживания, без учета выполнения бизнес требований.
2. Повторяющийся, но интуитивный
Назначены сотрудники, ответственные за обеспечение непрерывности услуг. Подходы, применяемые к обеспечению непрерывности услуг, характеризуются фрагментарностью. Поступающая информация относительно доступности системы отличается неполнотой и не учитывает состояние бизнеса. Нет документального плана обеспечения непрерывности обслуживания, хотя имеется такое намерение и определены главные принципы его реализации. Существует перечень критических систем и компонентов, но он может быть не достаточно исчерпывающим. Возникает стандартизация методов обеспечения непрерывного обслуживания, однако успех здесь зависит от усилий отдельных сотрудников.
3. Определенный
Однозначно определена подотчетность и назначены лица, ответственные за планирование и контроль обеспечения непрерывной поставки услуг. План непрерывного обслуживания оформлен документально и основан на критичности систем и учете негативного воздействия на бизнес. Налажена периодическая отчетность по проверкам обеспечения непрерывности предоставления услуг. По инициативе отдельных сотрудников осуществляется дальнейшая стандартизация и обучение по преодолению последствий крупных инцидентов или аварийных ситуаций. Руководство последовательно рассматривает вопросы, связанные с потребностью обеспечения непрерывного обслуживания. Постепенно начинается использование компонентов, характеризующихся высокой работоспособностью и избыточностью системы. Поддерживается перечень критических систем и компонентов.
4. Управляемый и измеряемый
Распределены ответственности и установлены стандарты для обеспечения непрерывного обслуживания. Назначены лица, ответственные за планирование мероприятий по обеспечению непрерывного обслуживания. Работа службы поддержки основана на результатах сервисного тестирования, внутренних лучших практиках и учитывает изменения ИТ и корпоративной среды. Осуществляется сбор и анализ систематизированных данных по обеспечению непрерывного обслуживания, на основе которых готовится отчетность и принимаются необходимые меры. Осуществляется обучение персонала по вопросам обеспечения непрерывного обслуживания. Последовательно внедряются лучшие практики в области доступности системы. Практика по этому вопросу и планирование предоставления услуг оказывают влияние друг на друга. Классифицированы возможные случаи нарушения непрерывного обслуживания. Соответствующим сотрудникам хорошо известна схема действий по каждому случаю. Цели и контрольные показатели непрерывного обслуживания могут быть внедрены и согласованы, но при этом непоследовательно измеряться.
5. Оптимизированный
Интегрированные процессы обеспечения непрерывного обслуживания основаны на сравнительном анализе и внешних лучших практиках. Планы обеспечения непрерывного обслуживания и планы обеспечения непрерывности бизнеса интегрированы друг с другом, соответствуют друг другу и постоянно поддерживаются. Требования по обеспечению непрерывного обслуживания обеспечены соглашениями с поставщиками. Проводятся масштабное тестирование плана обеспечения непрерывного обслуживания, результаты тес¬тирования используются для обновления плана. Реализация обратной связи по результатам тестирования является частью процесса совершенствования. Практика в отношении доступности связана с планированием оказания услуг. Руководство уверено в том, что крупный инцидент не произойдет в результате сбоя в одном единственном месте. Практики по реализации плана осознаны и используются в полной мере. Проводится систематическое измерение контрольных показателей. Руководство совершенствует планирование непре¬рывного обслуживания, основываясь на данных анализа контрольных показателей.
DS 5. Обеспечение безопасности систем
Управление процессом "Обеспечение безопасности систем" удовлетворяет следующим бизнес требованиям к ИТ обеспечение целостности информации и инфраструктуры обработки данных, а также минимизация последствий для бизнеса от инцидентов и уязвимостей в системе безопасности и соответствует характеристикам:
0. Несуществующий
Организация не осознает необходимость в обеспечении безопасности ИТ. Не определена ответственность и подотчетность по вопросам обеспечения безопасности. Не реализованы меры управления безопасностью ИТ. Не предусмотрены процедуры информирования по состоянию безопасности ИТ и реагирования на случаи нарушения безопасности. Полностью отсутствует какой-либо осязаемый процесс управления процессом обеспечения безопасности.
1. Начальный/Повторяющийся эпизодически и бессистемно Организация осознает необходимость в обеспечении безопасности ИТ. Однако степень этого осознания зависит от конкретных сотрудников. Меры по обеспечению безопасности ИТ, фактически, являются лишь реакцией на происходящие события и никак не оцениваются. В связи с неопределенной ответственностью при обнаружении случаев нарушения безопасности ИТ происходит реакция по типу "указывания пальцем". Реакции на случаи нарушения безопасности непредсказуемы.
2. Повторяющийся, но интуитивный
Ответственным и подотчетным лицом по вопросам обеспечения безопасности ИТ назначен координатор по вопросам обеспечения безопасности ИТ, не получивший при этом никаких управленческих полномочий. Знания по вопросам обеспечения безопасности имеют фрагментарный и ограниченный характер. Хотя информация, имеющая отношение к вопросам безопасности, генерируется системами, она не анализируется. Услуги сторонних организаций могут не отвечать специфическим потребностям организации. Разработаны политики безопасности, однако, продолжают использоваться неадекватные методы и средства. Отчетность по вопросам обеспечения безопасности страдает неполнотой, может ввести в заблуждение или быть бесполезной. Обучение по вопросам безопасности доступно, однако проводится в основном по инициативе отдельных сотрудников. Обеспечение ИТ безопасности понимается, в первую очередь, как обязанность службы ИТ и корпоративное руководство не принимает участие в управлении ИТ безопасностью.
3. Определенный
Имеется осведомленность по вопросам обеспечения безопасности, её повышение поощряется руководством. Определены процедуры обеспечения безопасности ИТ, соответствующие политике безопасности. Назначены лица, ответственные за обеспечение безопасности, однако их деятельность не в полной мере внедрена в практику. Существует план по обеспечению безопасности ИТ, обеспечивающий проведение анализа рисков. Отчетность по вопросам безопасности не в полной мере сосредоточена на потребностях бизнеса. Эпизодически выполняется тестирование аспектов обеспечения безопасности (например, возможности взлома системы).
4. Управляемый и измеряемый
Четко определены и внедрены ответственности по управлению ИТ безопасностью. Последовательно выполняется анализ рисков ИТ безопасности, а также возможных последствий. Завершено создание политик и процедур обеспечения безопасности, определены основные направления обеспечения безопасности с учетом особенностей данной организации. Информирование по вопросам осведомленности о безопасности принимает обязательный характер. Стандартизованы идентификация, аутентификация и авторизация пользователей. Введена аттестация персонала, ответственного за аудит и управление безопасностью. Тестирование системы безопасности является стандартизованным и формализованным процессом, направленным на повышение безопасности. Процессы обеспечения безопасности ИТ координируются со службой общей безопасности всей организации. Отчетность по обеспечению безопасности ИТ увязана с целями бизнеса. Обучение по вопросам обеспечения безопасности проводится как для бизнес подразделений, так и для персонала ИТ. Это обучение планируется и осуществляется в соответствии с бизнес потребностями и выявленными рисками безопасности. Цели и показатели управления безопасностью определены, но пока не подвергаются оценке.
5. Оптимизированный
Руководители основных бизнес подразделений и ИТ службы несут солидарную ответственность по вопросам обеспечения безопасности ИТ, которые интегрированы с корпоративными целями обеспечения безопасности бизнеса. Требования по обеспечению безопасности ИТ четко определены, оптимизированы и включены в утвержденный план мероприятий по обеспечению безопасности. Конечные пользователи и потребители ИТ услуг все в большей степени отвечают за определение требований по безопасности, а функции обеспечения безопасности интегрированы с прикладными задачами на стадии проектирования. В случаях инцидентов немедленно применяются формализованные и автоматизированные процедуры реагирования. В ходе периодически проводимых оценок состояния безопасности проверяется эффективность выполнения плана мероприятий по обеспечению безопасности. Систематически собирается и анализируется информация о новых угрозах и уязвимых местах. Своевременно обсуждаются и принимаются меры по снижению уровня опасности. Тестирование аспектов безопасности, анализ основных причин случаев нарушения безопасности и заблаговременное выявление рисков — все это служит основой непрерывного повышения уровня безопасности. Процессы и технологии обеспечения безопасности интегрированы в рамках организации. Фиксируются, собираются и доводятся до сведения заинтересованных сторон показатели управления безопасностью. Руководство применяет эти данные для постоянного совершенствования плана обеспечения безопасности.
DS 6. Определение и распределение затрат
Управление процессом "Определение и распределение затрат" удовлетворяет следующим бизнес требованиям к ИТ обеспечение прозрачности, понимание ИТ затрат и совершенствование эффективности затрат посредством должного информирования об использовании ИТ услуг и соответствует характеристикам:
0. Несуществующий
Полное отсутствие процесса идентификации и распределения затрат по информационным услугам. Организация не осознает наличие проблемы, связанной с учетом затрат, поэтому данная проблема даже не обсуждается.
1. Начальный/Повторяющийся эпизодически и бессистемно
Имеется общее понимание о затратах на информационные услуги, но без их разбивки по пользователям, клиентам, подразделениям, группам пользователей, функциям обслуживания, проектам или поставляемым продуктам. Фактически, нет никакого контроля над затратами, руководству сообщают только сумму совокупных затрат. Затраты на ИТ воспринимаются как эксплуатационные накладные расходы. Бизнес не получает информации о затратах или выгодах от предоставления услуг.
2. Повторяющийся, но интуитивный
Имеется общее понимание необходимости определения и распределения затрат. Распределение затрат основано на неформальных или недостаточно развитых исходных предположениях по затратам, например, по затратам на аппаратное обеспечение. Отсутствует какая либо связь с факторами, определяющими пользу для бизнеса. Процессы распределения затрат являются воспроизводимыми и некоторые из них начинают контролироваться. Не проводится никакого формально организованного обучения и обсуждения вопросов стандартизации процедур определения и распределения затрат. Не назначены ответственные лица.
3. Определенный
Определена и документально оформлена модель затрат на ИТ услуги. Определен процесс взаимосвязи между затратами на ИТ и предоставляемыми услугами. Достигнут необходимый уровень понимания затрат на информационные услуги. Бизнес обеспечивается самыми элементарными сведениями о затратах на ИТ.
4. Управляемый и измеряемый
Порядок управления и порядок отчетности по затратам на информационные услуги определены и полностью осознаны на всех уровнях, поставлено формализованное обучение по данному вопросу. Определяются и регистрируются прямые и косвенные затраты, о них делаются соответствующие сообщения руководству, менеджерам бизнес процессов и пользователям. В целом существует мониторинг и оценка затрат, и в случае выявления отклонений в затратах принимаются соответствующие меры. Отчетность о затратах на информационные услуги увязана с бизнес целями и соглашениями об уровне обслуживания и контролируется владельцами бизнес процессов. Существует система автоматизированного учета затрат, однако она в большей степени фокусируется на ИТ услугах, а не на бизнес процессах. Цели и показатели согласованы, но их измерение проводится непоследовательно.
5. Оптимизированный
Затраты на предоставленные услуги определяются, регистрируются, обобщаются и доводятся до сведения руководства, владельцев бизнес процессов и пользователей. Затраты идентифицированы как подлежащие оплате, поддерживается система компенсации затрат, позволяющая выставить счет пользователям за затраты, понесенные при предоставлении ИТ услуг. Подробная разбивка затрат содержится в соглашениях по уровням обслуживания. Мониторинг и оценка затрат на предоставление услуг применяются для оптимизации затрат на ИТ ресурсы. Полученные величины затрат используются при составлении бюджета организации. Сведения о затратах на ИТ услуги содержат заблаговременные предупреждения об изменении бизнес требований с помощью аналитических систем отчетности. Использование модели переменных затрат осуществляется с учетом объема каждой отдельной услуги. Управление затратами доведено до уровня лучших отраслевых практик, основанных на результатах непрерывного совершенствования и сопоставления с другими организациями. Оптимизация затрат является непрерывным процессом. Руководство анализирует цели и показатели в ходе постоянного совершенствования процесса управления затратами.