ISO 20000: кому обязательно и как получить

Существует сертификат, который подтверждает, что в компании была внедрена IT-система высокого качества.Для соответствия стандарту ISO 20000 управление всеми IT-сервисами на предприятии должно осуществляться согласно определенным правилам.

Чаще всего к сертификации по данному стандарту прибегают фирмы, связанные напрямую со сферой информационных технологий, например, тех, которые оказывают клиентам услуги технической поддержки, разработчики различного программного обеспечения, провайдеры связи. Однако, это могут быть и любые другие предприятия, которые имеют в своем составе большой IT-департамент.

Еще в 1980 году, когда IT сфера только начала развиваться, была предложена идея упорядочить знания, имеющиеся об информационных технологиях на крупных предприятиях в библиотеку знаний, которая была названа ITIL. Эта информация легла в основу стандарта BS 15000, созданного Британским институтом стандартов BSI. Впоследствии в 2005 году был выпущен стандарт ISO 20000, одна из версий которого и используется в настоящее время.

Позже он был переведен на русский язык и назван ГОСТ Р ИСО/МЭК 20000, так появился российский аналог данного стандарта. Несмотря на то, что они идентичны по своему внутреннему содержанию, законодательно они находятся совершенно в разных категориях, ведь сертифицировать по российской версии могут компании, не входящие в структуру регистраторов ISO.

Основное понятие, используемое в стандарте ИСО 20000 - это управление IT-услугами. Что имеется в виду? Подразумевается, что в компании существует такой штат сотрудников и задействуется такое количество процессов, которое позволяет соблюсти сроки и осуществить поставленную задачу. С помощью документа ITIL менеджеры IT-департамента управляют отделами, в том числе регулируют работу с проблемами, финансами, доступностью, релизами, конфигурациями, непрерывностью и др. При этом акцент делается на том, какие запросы есть у пользователей, а не непосредственно на самих технологиях.

Скачать ИСО 20000

Существует метод, применяемый для повышения качества системы управления услугами. При прохождении проверки на соответствие стандарту ИСО 20000 обращается внимание на использование цикла Деминга-Шухарта. В чем он заключается? Такой цикл также называются PDCA, то есть "Plan, Do, Check, Act" - "планируй, делай, проверяй, корректируй". Разберем подробнее:

1. Планирование - ставятся цели, разрабатывается план их достижения, формируется политика организации;
2. Выполнение - непосредственно внедрение на предприятии и применение системы, управляющей услугами и улучшающей качество функционирования;
3. Проверка - мониторинг с целью понять, насколько работа соответствует требованиям стандартов;
4. Исправление - после того, как слабые места были найдены, производится "работа над ошибками", исправляются недочеты, а также происходит общая корректировка качества услуг. 

После проведения аудита составляется документ с отчетом и рекомендациями, которые помогут избежать возникновения повторных проблем. 

Целью внедрения и в работу стандарта ИСО 20000 является достижение такой работы компании, которая будет удовлетворять результатом работы потребителей услуг. Для этого необходимо учитывать следующие моменты:

• документация должна отвечать соответствующим требованиям, необходимо планировать работы, осуществлять мониторинг и контроль на всех этапах деятельности. Эти моменты закрепляются документально;
• сотрудники имеют необходимые знания, проходят курсы повышения квалификации, исполняют свои функции, прописанные в должностной инструкции и каждый осведомлен о своих обязанностях;
• руководители несут ответственность за своевременное внедрение правил, обязуются улучшать системы менеджмента, ставят долгосрочные и краткосрочные цели, планируют бюджет, управляют рисками.

В выданном документе должны содержаться указанные ниже данные:

• наименование СДС, его номер, наименование органа по сертификации.
• кому выдан - наименование, ИНН, КПП, юридический адрес организации.
• регистрационный номер сертификата.
• дата регистрации и срок окончания действия бумаги.
• фамилии, инициалы и подписи руководителя органа по сертификации и эксперта.
• печать органа, зарегистрировавшего документ.

Получение данного вида сертификата в России является исключительно добровольным мероприятием. Каждое предприятие самостоятельно принимает решение о необходимости получения. Но хочется отметить, что крупным компаниям, специализирующимся на предоставлении услуг связи или прочих, тесно связанных со сферой информационных технологий, такой сертификат будет крайне желаемым документом. Получение сертификата рекомендовано системным интеграторам, разработчикам программного обеспечения, страховым компаниям, банкам.

Обратить внимание на принципы, описанные в стандарте ИСО 20000 следует:

• фирмам, которые хотят ввести систему мониторинга и усовершенствовать текущую схему управления услугами;
• крупным IT-компаниям;
• IT-экспертам, которые занимаются аудитом, составляют отчеты на основании данных мониторинга;
• потребителям, получающим IT-услуги от корпораций, если они желают сделать ИТ-решения эффективнее, а значит хотят проверить сертификаты и качество предоставляемых услуг.

Стандарт ISO 20000 включает в себя две части.

1. Information technology: Specification. Данный раздел описывает, как должно проходить управление ИТ-сервисами и какая в этой области есть ответственность. Процессы, которые рассматриваются в данном контексте можно отнести к одной из пяти категорий:

• управление взаимодействием (между предприятием, потребителям и партнерами).
• контроль со стороны руководства (методы сбора параметров качества предоставления услуг, мониторинг).
• предоставление услуг (уровень качества, доступность, возможности, информационная безопасность, бюджеты, отчеты).
• управление релизами (разработка новых решений и корректировка старых).
• решение инцидентов (урегулирование проблем и критических ИТ-событий).

2. Information technology: Code of Practice. Практическая часть, которая адресована тем фирмам, которые планируют получить сертификат, а также аудиторам. С помощью оценки ИТ-работы можно понять, какие моменты в управлении остались нереализованными, усовершенствовать его, опираясь на ITIL или другие библиотеки.

Содержание стандарта ИСО 20000 регламентирует следующие виды работ:

• аудиты.
• информационная безопасность.
• распределение бюджетов и учет средств.
• управление обслуживанием.
• правила взаимоотношений.
• работа с инцидентами, возникшими сложностями, регулирование работ с учетом изменений и конфигураций.
• правила, описанные в документе, применяются при настройке взаимоотношений с партнерами и клиентами, решении проблем в работе, обслуживании компании в отношении ИТ.

Для чего компаниям оформлять сертификат соответствия стандарту ISO 20000? Ведь это требует не только временных затрат, но и финансовых.

В первую очередь, хочется отметить важность такой процедуры для тех организаций, которые планируют участие в тендерах, ведь к некоторым из них допускают только фирмы с соответствующими документами.

Кроме того, наличие официальной бумаги положительно скажется на конкурентоспособности, положении на рынке, уважении партнеров, привлечет инвесторов.

Если говорить о внутренней политики компании, то сертификация может мотивировать сотрудников, дать им возможность развиваться и повышать квалификацию, а также пройти обучение.

Издержки предприятия будут снижены, ведь процесс работы будет оптимизирован наилучшим образом.

Подчеркнем важность сертификации для компаний, планирующих выход на международный рынок. Часто можно услышать со стороны иностранных коллег, насколько важным это является для иностранных компаний, планирующих партнерство. В некоторых странах наличие подтверждающего документа является обязательным условием для сотрудничества.

ISO 20000 и ГОСТ Р ИСО МЭК 20000 являются полными аналогами друг друга. Интеграция возможна со стандартами СМК ИСО 9001, системой управления информационной безопасностью ИСО 27001, а также управлением в экономической области ИСО 14001. 

Если было принято решение заняться оформлением сертификата ISO 20000, то для начала необходимо внедрить стандарт на предприятии. Сделать это можно самостоятельно или с помощью специалистов. Часто бывает, что компании, предлагающие помощь в сертификации, могут сделать это "с нуля", то есть совместить работы по вводу стандарта в фирме с последующим оформлением подтверждающих документов. Если же стандарт уже был внедрен, то после того, как компания начала работать по соответствующим правилам, можно перейти непосредственно к сертификации.

Подача онлайн-заявки

На сайте выбранного центра сертификации потребуется найти форму подачи заявки. Если таковая отсутствует, то можно обратиться посредством электронной почты к менеджеру или связаться по телефону. Обычно в первичной заявке необходимо уточнить название фирмы, количество сотрудников, сферу деятельности. Это поможет посчитать предварительную стоимость услуг и договориться о сотрудничестве на первом этапе.

Передача необходимых документов

После этого в центр сертификации необходимо предоставить:

• заявление (соответствующее образцу);
• реквизиты организации и ее учредительные документы;
• список НТД, который регламентирует работу компании;
• состав фирмы, данные об ответственном за качество услуг, лица;
• копии лицензий, если имеются;
• краткое описание состава предприятия, то есть схема отделов и их функций.

Список документов может отличаться для разных систем добровольной сертификации, точную информацию можно уточнить у менеджера.

Расчет стоимости

Заключение договора

Если обе стороны устраивают предложенные условия, то между ними заключается договор, который свидетельствует о начале работ по сертификации.

Получение сертификата

Для того, чтобы подтвердить, что компания соответствует требованиям стандарта ИСО 20000, проводится проверка в два этапа.

Составляется план аудита с подробным перечислением всех моментов, нуждающихся в проверке. Назначаются дата, время, ответственные лица. Проверяются все документы, в том числе технические, а также процессы управления на соответствие их методу PDCA. После этого составляется отчет, который может включать в себя недочеты и рекомендации по их устранению.

Вторым этапом анализируются риски предприятия, его политика, бизнес-процессы. После него также составляется отчетный документ.

После того, как аудит был пройден, а все недочеты устранены, составляется акт о прохождении проверки и рекомендация к получению сертификата. Данные о документе вносятся в реестр системы сертификации РосТестСтандарт. Далее сам сертификат доставляется получателю.

Стоимость услуг зависит от пакета (с внедрением стандарта или без него), количества сотрудников в организации и некоторых других аспектов. Конечная сумма рассчитывается индивидуально. Стоит обратить внимание, что средняя цена составляет около 15 тысяч рублей, сумма значительно ниже среднерыночной должна вызвать подозрение в надежности компании. Также внимательно стоит отнестись к центрам сертификации, обещающих доставить сертификат через несколько часов после подачи заявки, ведь на прохождение аудита требуется достаточно много времени.

Документ оформляется сроком на три года, по истечению первого и второго года проводятся подтверждающие проверки.

Данное решение принимается на усмотрение руководителей организации, при этом следует учитывать размер организации, с кем она планирует сотрудничество и будет ли осуществляться выход на международный рынок или участие в тендерах.