Funkcionisanje IT sektora ima sve veći uticaj na poslovanje kompanija. Brz razvoj IT infrastrukture, kao i web i aplikativnih tehnologija, utiče na sve veća očekivanja korisnika poslovnih usluga, koja često premašuju kapacitet internih i eksternih IT resursa.

Na krajnje iskustvo korisnika poslovne usluge više nije moguće uticati samo uspešnim upravljanjem IT infrastrukturom, već se taj uticaj neraskidivo povezuje s kvalitetom IT servisa. Za efikasno upravljanje IT servisima i visok kvalitet IT usluge neophodno je efikasno i integrisano upravljanje procesima, ljudima i IT infrastrukurom. Na taj način postiže se kontinuirano unapređenje nivoa IT servisa. Upravljanjem IT servisima se, pored kvaliteta IT servisa, ostvaruje optimizacija upotrebe resursa i unapređuje efikasnosti poslovanja.

Postoji veliki broj poslovnih okvira, metodologija, standarda i alata čijom se primenom ostvaruje efikasno upravljanje IT servisima. Neki od najznačajnijih su:

• ITIL – najboljasvetskapraksauupravljanjuITservisima
• COBIT – kontrolni okvir koji nudi referentni procesni model za IT poslovanje
• CMMI – najbolja praksa za unapređenje procesa, akvizicije i održavanja proizvoda i servisa
• Balanced scorecard – alat koji pomaže i prati izvršenje strategije kroz finansijske i nefinansijske mere
• SIX Sigma – metodologija za unapređenje procesa
• ISO/IEC 20000 – standard za upravljanje IT servisima
• ISO/IEC 27001 – standard za upravljanje sigurnošću informacija.

Pre svega ITIL

Od navedenih, ITIL je globalno najšire prihvaćen i najobuhvatniji okvir za upravljanje IT servisima. ITIL obuhvata sve oblasti IT poslovanja, grupisane po oblastima životnog ciklusa servisa, počevši od strategije, preko dizajna, tranzicije, isporuke, do unapređenja servisa.

Strategijom su obuhvaćeni procesi koji opredeljuju koje će IT servise kompanija pružati korisnicima, kao i koji kapacitet i sposobnosti će biti potrebni da bi se postigli željeni kvalitet i performanse servisa. Dizajnom su obuhvaćeni procesi kojima se upravlja kreiranjem novih i izmenom ili unapređenjem postojećih servisa, tako da mogu da odgovore na korisničke zahteve. Tranzicija obuhvata procese koji se bave razvojem servisa i njihovim uvođenjem u produkciju, kao i koordinacijom aktivnosti u vezi s upravljanjem izmenama samih servisa i IT procesa kojima kompanija upravlja.

Isporuka se odnosi na procese kojima se postiže efektivna i efikasna svakodnevna isporuka servisa krajnjim korisicima. To uključuje ispunjavanje standardnih zahteva korisnika, rešavanje incidenata u funkcionisanju servisa, rešavanje problema u radu, kao i obavljanje rutinskih operativnih aktivnosti. Kontinuiranim unapređenjem obuhvaćeni su procesi kojima se neprekidno unapređuju efektivnost i efikasnost samih servisa i IT procesa za upravljanje IT poslovanjem.

Dva ISO standarda

ISO/IEC 20000 je prvi i za sada jedini formalni internacionalni standard koji se bavi svim aspektima upravljanja IT servisima. Tesno je povezan sa ITIL‑om, ali je opsegom uži. Veza nije kontrolnog već konceptualnog tipa, odnosno ispunjenje zahteva standarda nije direktno vezano za primenu konkretne ITIL preporuke. ISO/IEC 20000 se sastoji od nekoliko delova, od kojih prvi, ISO/IEC 20000‑1:2011, sadrži obavezne zahteve, dok ostali delovi sadrže preporuke i uputstva koji nisu obavezujući ali mogu pomoći u realizaciji sistema za upravljanje IT servisima.

ISO/IEC 20000 sertifikat je potvrda kompaniji koja nabavlja IT uslugu da je kompanija koja poseduje sertifikat sposobna da konzistentno isporučuje dogovoreni kvalitet servisa. S druge strane, kompanija koja pruža IT uslugu sertifikatom dokazuje da je sposobna da efikasno upravlja funkcionalnostima i performansama servisa koje nudi kroz sve životne faze servisa.

S druge strane, implementacijom ISO/IEC 27001 standarda kompanija uvodi strukturiran i održiv pristup u zaštiti informacija kao imovine od posebnog značaja za kompaniju. Ispunjavanjem zahteva ISO/IEC 27001 kompanija potvrđuje da u potpunosti vlada sistemom za upravljanje sigurnošću informacija, koji obezbeđuje poverljivost, integritet i dostupnost informacija. Korisnicima i zainteresovanim stranama standard garantuje da su njihove informacije zaštićene i obezbeđene od oštećenja, gubitka ili zloupotrebe. Bez obzira da li su informacije generisane ili primljene od drugih, da li se čuvaju u sistemu ili se dalje prenose ručno ili elektronski, sistem za upravljanje sigurnošću informacija obezbeđuje kontrolu i upravljanje informacijama u skladu s procenjenim rizikom.

ISO se bavi razvojem internacionalnih standarda, ali ne i sertifikacijom ili akreditacijom za bilo koji od njih. Sertifikacijom se bave eksterna sertifikaciona tela, koja su uglavnom privatna. Indirektno, ISO Committee on Conformity Assessment (CASCO) bavi se izradom različitih standarda u vezi sa sertifikacionim procesom. Ovi standardi sadrže internacionalno usklađen koncenzus dobrovoljnih kriterijuma koje treba poštovati u postizanju dobre prakse u sertifikaciji. Kompanije koje se bave sertifikacijom na konzistentan i transparentan način obično to rade u skladu sa CASCO standardima, kao što je ISO/IEC 17021, po kome se vrši ocena organizacija koje se bave procenom i sertifikacijom menadžment‑sistema kao što su ISO/IEC 20000‑1:2011, ISO/IEC 27001:2013 i ISO/IEC 17024, po kojima se ocenjuju organizacije koje se bave sertifikacijom obučenosti i sposobnosti pojedinaca.

Sertifikacija

Kompanijama koje su zainteresovane za ISO sertifikaciju preporučuje se da razmotre više sertifikacionih tela, kao i da izaberu internacionalno prepoznatljivu akreditacionu šemu, čime potvrđuju kvalitet sertifikacionog procesa i dugoročno utiču na prihvatljivost svog sertifikata u poslovnom okruženju.

Na stranici Internacionalnog akreditacionog foruma (IAF) zainteresovani mogu da se informišu o nacionalnim akreditacionim telima, a preko njih o akreditovanim sertifikacionim telima u zemljama članicama foruma. Na ovoj stranici nalazi se i dogovor IAF MLA koga sve članice foruma moraju da se pridržavaju. U njemu se nalaze detalji o statusu i pravilima akreditacije za ISO standarde. Tako se može proveriti i da li sertifikaciono telo implementira ISO/IEC 17021:2011.

Proces sertifikacije je dugoročni program, koji se mora realizovati u više faza ili kroz više projekata. Kompleksnost i trajanje realizacije programa zavise od kompleksnosti same kompanije, što zahteva značajne resurse. Implementacija standarda sprovodi se obično paralelno sa implementacijom nekog okvira kao što je ITIL i alata za upravljanje IT servisima. Ne postoje brza rešenja. Kompanije koje žele da implementiraju ISO/IEC 20000 moraće da promene način IT poslovanja, što će zahtevati prelazak sa upravljanja IT infrastrukturom na upravljanje IT servisima.

Preporuka ja da se sertifikacioni proces za ISO/IEC 20000 i/ili ISO/IEC 27001 realizuje kroz nekoliko koraka. Najpre ide procena trenutnog stanja u odnosu na zahteve standarda. Ovaj posao zahteva kvalifikacije iz oblasti upravljanja servisima. Sledi kreiranje plana realizacije, koji obuhvata izbor, obuku i implementaciju referentnog okvira za upravljanje servisima i implementaciju unapređenja potrebnih da se ispune zahtevi. Potom se implementira sistem za upravljanje IT servisima (ISO/IEC 20000) i/ili sistem za upravljanje sigurnošću informacija (ISO/IEC 27001). Nakon toga sledi i sertifikacija.

Siniša Simić