Управление непрерывностью и доступностью услуг

 

Цель: Гарантировать, что согласованные обязательства перед потребителями услуг о непрерывности и доступности услуг будут выполнены при любых обстоятельствах.

Требования по обеспечению непрывности предоставления и доступности услуг должны определяться на основе планов бизнеса, Соглашений об уровне услуг и оценки соответствующих рисков. Обязательства должны определять права доступа и параметры времени отклика так же, как и требования к доступности компонент систем по всей цепи от точки производства услуги до ее потребителя.

Для гарантии того, что согласованные обязательства будут выполнены в любых условиях, планы обеспечения непрерывности и доступности услуг должны разрабатываться и пересматриваться не менее одного раза в год. Для гарантии того, что планы обеспечения непрерывности и доступности услуг отражают согласованные изменения, они должны поддерживаться в актуальном состоянии.

Проверка планов готовности к непрерывному предоставлению и доступности услуг, должна проводиться при каждом крупном изменении в бизнес-среде.

В рамках процесса управления изменениями должна проводиться оценка влияния любого изменения на планы обеспечения непрерывности и доступности услуг.

Доступность услуг должна измеряться и регистрироваться. Нарушения доступности услуг должны быть изучены, после чего должны быть приняты соответствующие меры.

Примечание - По возможности, необходимо выявлять возможные проблемы и выполнять предупреждающие действия.

Планы обеспечения непрерывности услуг, список контактов и конфигурационная база данных должны быть доступны даже тогда, когда обычный офисный доступ к ним затруднён. План обеспечения непрерывности услуг должен включать в себя действия, обеспечивающие возврат к нормальному режиму предоставления услуг.

План обеспечения непрерывности услуг должен проверятся на предмет его соответствия бизнес-потребностям

Все проверки готовности к непрерывному предоставлению услуг должны быть зарегистрированы. Все выявленные отклонения должны быть проанализированы, после чего должен быть составлен план устранения замечаний.

 

Бюджетирование и учёт затрат на услуги ИТ

 

Цель: Осуществлять бюджетирование и учёт затрат на предоставление услуг.

Примечание - В разделе рассматриваются вопросы бюджетирования и учёта затрат на услуги ИТ. На практике многие поставщики сталкиваются с выставлением счетов за подобные услуги. Однако выставление счетов является дополнительной деятельностью, не всегда осуществляемой и не входящей в рамки рассмотрения ГОСТ Р ИСО/МЭК 20000 -200Х. В случае использования подобной практики, поставщикам услуг рекомендуется использовать механизм выставления счетов, полностью определенный и понятный всем сторонам. Все используемые практики учёта затрат должны быть согласованы с принятыми правилами бухгалтерского учёта в организации поставщика услуг.

Должны быть четко определены политика и процессы:

а) бюджетирования и учёта затрат на все компоненты услуг и инфраструктуры ИТ, включая накладные расходы, затраты на активы ИТ, на общие ресурсы, на услуги от внешних подрядчиков, на персонал, на страхование и лицензирование;

б) распределения прямых и косвенных затрат на предоставление услуг;

в) эффективного финансового контроля и утверждения расходов денежных средств.

Затраты на предоставление услуг должны включаться в бюджет с детализацией, достаточной для эффективного финансового контроля и принятия решений по финансированию предоставляемых услуг.

Поставщик услуг должен контролировать расходование денежных средств и составлять отчеты о соответствии фактических затрат на предоставление услуг расходам, предусмотренным бюджетом, а также должен проводить анализ прогнозов своего финансового положения и управлять затратами в соответствии с полученными результатами такого анализа.

Изменения услуг с точки зрения их стоимости должны оцениваться и утверждаться в рамках процесса управления изменениями.

 

Управление мощностью

 

Цель: Гарантировать, что поставщик всегда будет иметь запас мощности, достаточный для выполнения текущих и согласованных будущих потребностей бизнеса потребителя услуг.

В рамках процесса управления должен разрабатываться и поддерживаться в актуальном состоянии план мощности.

Процесс управления мощностью должен быть ориентирован на бизнес- потребности пользователей услуг и включать:

а) текущие и прогнозируемые требования потребителей услугк мощности и к производительности услуг;

б) идентифицированные периоды времени, предельные значения и уровень затрат на увеличение мощности и повышение производительности услуг;

в) оценку влияния на мощность и производительность услуг результатов изменений услуг, реализации запросов на изменения, применения новых технологий и оборудования;

г) оценка влияния прогнозируемых внешних изменений, например, в области законодательства;

д) получение информации и реализацию процедур, позволяющих проводить упреждающий анализдостаточности мощности.

Для мониторинга мощности (ресурсоемкости) услуг, осуществления настройки их производительности и обеспечения достаточной мощности, должны быть определены соответствующие методы, процедуры и применяемое оборудование.

 

Управление информационной безопасностью

 

Цель: Эффективно управлять обеспечением информационной безопасности в рамках любой деятельности по поддержке и предоставлению услуг.

Примечание – ГОСТ Р ИСО/МЭК 17799 «Информационная технология. Практические правила управления информационной безопасностью» представляет собой руководство по управлению информационной безопасностью.

Руководители поставщика услуг, наделённые соответствующими полномочиями, должны утверждать политику в области информационной безопасности, которые должны быть доведены до всего персонала поставщика и потребителей услуг.

Средства контроля обеспечения информационной безопасности должны:

а) соответствовать требованиям политики в области обеспечения информационной безопасности;

б) управлять рисками, связанными с доступом к услугам или системам.

Средства контроля обеспечения информационной безопасности должны быть зарегистрированы. Документация должна описывать риски, которые связаны со средствами контроля, а также способ функционирования и поддержания в рабочем состоянии таких средств контроля.

Влияние изменений на средства контроля должны оцениваться до внедрения этих изменений.

Деятельность, в которую вовлечены внешние организации, имеющие доступ к услугам и к информационным системам, должна основываться на соглашениях, в которых должны быть определены все необходимые требования к обеспечению информационной безопасности.

Обо всех инцидентах в области информационной безопасности необходимо как можно быстрее сообщать соответствующим лицам поставщика услуг. Такие инциденты должны как можно быстрее регистрироваться согласно процедурам управления инцидентами. Для гарантии того, что все инциденты в области информационной безопасности исследованы и приняты соответствующие меры по их устранению, процедуры процесса управления инцидентами следует поддерживать в рабочем состоянии.

Должны действовать механизмы, позволяющие осуществлять мониторинг и определять типы, масштабы, влияние инцидентов и отказов в области информационной безопасности. Действия по улучшению процесса управления обеспечением информационной безопасности, выявленные при исполнении этого процесса, должны быть зарегистрированы и должны использоваться в качестве исходной информации для формирования плана улучшения.

 

Процессы отношений

 

Общие сведения

 

Процессы отношений описывают два взаимозависимых аспекта – управление отношениями с потребителями и управление подрядчиками.