ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006

ISO/IEC 20000:2005 Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 André Jacobucci andre.jacobucci@ilumna.com +55 11 5087 8829 www.ilumna.com

Objetivos desta Apresentação Permitir um contato inicial com a norma internacional ISO/IEC 20000 Avaliar o interesse das empresas com operações de TI no Brasil Desenvolver a aceitação da norma no Brasil junto à ABNT Apoiar a estruturação do esquema de certificação no Brasil junto a organizações certificadoras Garantir que, em seu desenvolvimento no Brasil, o selo Certificado ISO/IEC 20000 signifique, efetivamente, um diferencial de qualidade para as empresas que o possuírem.

Agenda 1. ISO/IEC 20000 O que é A quem se destina Para quê serve 2. Processo de certificação 3. Esquema de Certificação Na Inglaterra No Brasil (proposta) 4. Conteúdo da Norma Resumo dos Processos Objetivo dos Processos e Exemplo de Requisitos 5. Mais Informação

1. ISO/IEC 20000:2005 O que é? É uma norma internacional que permite que as práticas de gerenciamento de serviços de TI propostas pelo ITIL possam ser auditadas de forma objetiva por uma organização externa. A norma foi publicada em 15 de dezembro de 2005 pela ISO/IEC (International Organization for Standardization, International Electrotechnical Commision) O ITIL (IT Infrastructure Library) é uma biblioteca contendo melhores práticas para o gerenciamento de serviços de TI. ITIL é uma marca registrada do OGC (Office of Government Commerce)

1. ISO/IEC 20000:2005 O que é? A norma é composta de duas partes, sob o título geral de Information Technology Service Management : Parte I Especificação Descreve os requisitos mandatórios que o provedor de serviços deve satisfazer através de evidências objetivas para demonstrar sua capacidade de entregar e gerenciar a qualidade dos serviços para seus clientes Parte II Código de Práticas Descreve um conjunto de orientações e recomendações sobre como os requisitos mandatórios podem ser implementados NÃO é um padrão para um produto ou um serviço específico. É um padrão para um sistema de gestão e, por este motivo, trata de processos de gestão.

ISO/IEC 20000: A quem se destina? Prestadores de serviço (internos ou externos) que fornecem serviços habilitados por tecnologias da informação (TI) para seus usuários (internos ou externos) e possuem controle gerencial sobre tais serviços. Pode ser o departamento de TI do negócio Não serve para empresas que fornecem exclusivamente mão de obra ( bodyshop ), equipamentos ou softwares Não serve para brokers (intermediários) de serviços. Controle gerencial significa: Conhecimento e controle sobre os inputs e outputs dos processos Autonomia para decisões de processos, recursos, investimentos, métricas, etc. Responsabilidade pelo fornecimento e pela qualidade dos serviços Definição, medição e revisão das melhorias nos processos

ISO/IEC 20000: Para quê serve? A norma ISO/IEC 20000 estimula e promove a adoção de uma abordagem de processos integrados para entregar, efetivamente, serviços de TI de encontro com requisitos de Negócio e do Cliente. A norma ISO/IEC 20000 constitui um diferencial competitivo para os provedores de serviço. Para o comprador/usuário do serviço, ela constitui uma garantia de qualidade. Como a norma é capaz de fazer isso? Definindo requisitos específicos (parte 1 da norma) que um provedor de serviços de TI deve apresentar para demonstrar sua habilidade para entregar serviços que vão de encontro às expectativas de qualidade de seus Clientes e Usuários Permitindo o estabelecimento de um esquema formal de certificação Exigindo auditorias independentes e periódicas para garantir a efetividade dos processos de gestão e a manutenção da certificação

Atenção! Por ser um padrão baseado em processos, a ISO/IEC 20000 NÃO se destina à avaliação de produtos! Entretanto, empresas desenvolvedoras de equipamentos, softwares e soluções para gerenciamento de serviços podem utilizar a especificação (parte 1 da norma) e o código de práticas (parte 2 da norma) para ajudá-las a desenvolver seus produtos...

Em que situações o padrão poderia ajudar? A norma pode ser usada: a) por empresas que estão buscando provedores externos para seus serviços de TI; b) por negócios que exigem uma abordagem consistente para todos os fornecedores de serviço de sua cadeia de suprimentos; c) por provedores de serviço que querem comparar sua capacidade de gestão de serviços de TI; d) como base para uma avaliação independente; e) por uma empresa que precisa demonstrar sua habilidade em fornecer serviços que satisfaçam os requisitos de seus clientes; e f) por uma empresa que almeja melhorar seus serviços através da aplicação efetiva de processos para monitorar e melhorar a qualidade.

Processo de Certificação Os primeiros aspectos a serem considerados são: O provedor de serviços é elegível para certificação? Ou seja, a norma aplica-se a este fornecedor? Se o provedor é elegível, então qual é o escopo dos processos que serão auditados para a certificação? Uma vez determinada a elegibilidade e o escopo da certificação (quais serviços, quais clientes, quais regiões geográficas, quais operações, etc.), a organização faz uma avaliação para verificar lacunas entre sua operação atual e os requisitos (parte 1) da norma. As lacunas são endereçadas e é feita uma nova avaliação antes da auditoria formal. Um órgão acreditado conduz a auditoria de certificação e, caso o provedor de serviços satisfaça os requisitos da norma dentro do escopo definido, o certificado é emitido.

ISO/IEC 20000: Organização Usuária Final, Provedor de Serviço e Fornecedores Negócio / Cliente (Organização Usuária Final) Provedor de Serviço (interno ou externo) Fornecedor(es) Líder(es) ou Fornecedor(es) A organização em busca da certificação é o Provedor de Serviço. Porém, tudo depende da cadeia de suprimentos que está sendo considerada, ou seja: De qual(is) serviço(s) estamos falando? Quem é o usuário final deste(s) serviço(s)? Quem é o responsável por gerenciar a prestação do(s) serviço(s)? Fornecedor(es) Subcontratado(s)

Esquema de Certificação na Inglaterra itsmf Influences Advises Engages Engages OGC Standards Bodies Publishes Set Accredit & Manage Accreditation Authorities Manage Examination/ Accreditaion Panels ITIL ISO 20000 Certification Scheme Courses/ Exam May be member of Controls Are run by Registered Certification Bodies (Auditors) Audit/Certify Train & Assist Training/ Consulting Organizations Train & Consult Certified / Certifiable Organizations

Esquema de Certificação proposto para o Brasil itsmf Brasil Influencia Aconselha Engaja Engaja OGC ABNT INMETRO Publica Lança Acredita e Gerencia Gerencia Painéis de Acreditação e Exame ITIL (livros em português) NBR ISO 20000 Esquema de Certificação Cursos/ Exames Pode ser membro do Controla São executados por Audita/Certifica Organizações Certificadoras (Auditorias) Treina e Apóia Organizações de Treinamento e Consultoria Treinamento e Consultoria Organizações Certificadas / Certificáveis

4. Conteúdo da Norma ISO 20000 Organização Metodologia Projeto Requisitos para o Sistema de Gestão Planejamento e Implementação da Gestão dos Serviços Planejamento de Novos Serviços ou Mudanças nos Serviços Responsabilidade Gerencial Requisitos de Documentação Competências, Conscientização e Treinamento Planejamento, Implementação, Monitoração e Melhoria (Plan, Do, Check, Act) Planejamento e implementação de novos serviços ou mudanças em serviços Entrega, Suporte, Controle Gerenciamento da Capacidade G. da Continuidade e da Disponibilidade dos Serviços G. de Níveis de Serviço Processo de Liberação Gerenciamento de Liberações Processos de Entrega de Serviços Processos de Controle Gerenciamento de Mudanças Gerenciamento da Configuração Processos de Resolução Gerenciamento de Incidentes Gerenciamento de Problemas Gerenciamento da Segurança da Informação Orçamento e Contabilidade para Serviços de Ti Processos de Relacionamento Gerenciamento do Relacionamento com o Negócio Gerenciamento de Fornecedores

Metodologia para os Processos de Gestão de Serviços (PDCA) Requisitos de Negócio Requisitos dos Clientes Requisição de Mudança ou Novo Serviço Processos de Negócio, de Fornecimento, e de Clientes Service Desk Outras Equipes (Segurança, Operações, etc.) Gerenciamento dos Serviços ACT Melhoria Contínua PLAN Planejar o gerenciamento de serviços CHECK Monitorar, medir e revisar DO Implementar gerenciamento de serviços Círculo de Qualidade de Deming Resultados de Negócio Satisfação dos Clientes Serviço Novo ou Modificado Processos de Negócio, de Fornecimento, e de Clientes Satisfação das Equipes e Pessoas

Resumo dos Requisitos e Processos da Norma Organização Requisitos para o Sistema de Gestão Responsabilidade Gerencial Requisitos de Documentação Competências, Conscientização e Treinamento Requisitos para um Sistema de Gestão Objetivo: Fornecer um sistema de gestão, incluindo políticas e uma estrutura que habilite uma eficaz gestão e implementação de todos os serviços de TI Componentes: Responsabilidade Gerencial, Requisitos de Documentação e Competência, Conscientização e Treinamento

Resumo dos Requisitos e Processos da Norma Metodologia Planejamento e Implementação da Gestão dos Serviços Planejamento, Implementação, Monitoração e Melhoria (Plan, Do, Check, Act) Planejamento da Gestão dos Serviços (PLAN) Objetivo: Planejar a implementação e a entrega da gestão dos serviços Implementação da Gestão dos Serviços e Fornecimento dos Serviços (DO) Objetivo: Implementar o plano e os objetivos da gestão dos serviços Monitoramento, Mensuração e Revisão (CHECK) Objetivo: Monitorar, medir e revisar que o plano e os objetivos da gestão dos serviços estão sendo atingidos Melhoria Contínua (ACT) Objetivo: Melhorar a eficácia e a eficiência da entrega do serviço e de sua gestão

Resumo dos Requisitos e Processos da Norma Projeto Planejamento de Novos Serviços ou Mudanças nos Serviços Planejamento e implementação de novos serviços ou mudanças em serviços Planejamento e implementação de novos serviços ou mudanças em serviços Objetivo: Garantir que os novos serviços ou as mudanças nos serviços existentes serão entregues e gerenciados dentro do custo e da qualidade acordados

Resumo dos Requisitos e Processos da Norma Gerenciamento da Capacidade G. da Continuidade e da Disponibilidade dos Serviços G. de Níveis de Serviço Processos de Entrega de Serviços Gerenciamento da Segurança da Informação Orçamento e Contabilidade para Serviços de Ti Gerenciamento de Nivel de Serviço Objetivo: Definir, acordar, registrar e gerenciar níveis de serviço Exemplos de Requisitos: Cada serviço provido deve ser definido, acordado e documentado em um ou mais acordos de nível de serviço (SLAs) Acordos de Nível de Serviço (SLAs), juntamente com acordos de serviço que os suportam, contratos com fornecedores e procedimentos correspondentes, deve ser acordados por todas as partes relevantes e registrados

Resumo dos Requisitos e Processos da Norma Gerenciamento da Capacidade G. da Continuidade e da Disponibilidade dos Serviços G. de Níveis de Serviço Processos de Entrega de Serviços Gerenciamento da Segurança da Informação Orçamento e Contabilidade para Serviços de Ti Relatórios de Serviço Objetivo: Produzir, conforme acordado e com pontualidade, relatórios confiáveis e precisos para tomada de decisão informada e comunicação eficaz Exemplos de Requisitos: Deve haver uma descrição clara dos relatórios de serviço incluindo sua identificação, propósito, audiência e detalhes da fonte dos dados Decisões gerenciais e ações corretivas devem levar em consideração os pontos encontrados nos relatórios de serviço e devem ser comunicados para as partes relevantes.

Resumo dos Requisitos e Processos da Norma Gerenciamento da Capacidade G. da Continuidade e da Disponibilidade dos Serviços G. de Níveis de Serviço Processos de Entrega de Serviços Gerenciamento da Segurança da Informação Orçamento e Contabilidade para Serviços de Ti Gerenciamento de Continuidade e Gerenciamento de Disponibilidade Objetivo: Garantir que os acordos de continuidade e disponibilidade dos serviços, compromissados com os clientes possam ser atingidos em todas as circunstâncias Exemplos de Requisitos: Requisitos de disponibilidade e continuidade dos serviços devem ser identificados com base nos planos de negócio, SLAs e avaliações de risco O processo de gerenciamento de mudanças deve avaliar o impacto de qualquer mudança na disponibilidade e no plano de continuidade dos serviços

Resumo dos Requisitos e Processos da Norma Gerenciamento da Capacidade G. da Continuidade e da Disponibilidade dos Serviços G. de Níveis de Serviço Processos de Entrega de Serviços Gerenciamento da Segurança da Informação Orçamento e Contabilidade para Serviços de Ti Orçamento e contabilidade para Serviços de TI Objetivo: Orçar e contabilizar os custos do fornecimento dos serviços Exemplos de Requisitos: Deve haver políticas e processos claros para a recuperação de custos indiretos e a alocação dos custos diretos para os serviços Os custos devem ser orçados com suficiente detalhe para permitir controle financeiro e tomada de decisão eficazes

Resumo dos Requisitos e Processos da Norma Gerenciamento da Capacidade G. da Continuidade e da Disponibilidade dos Serviços G. de Níveis de Serviço Processos de Entrega de Serviços Gerenciamento da Segurança da Informação Orçamento e Contabilidade para Serviços de Ti Gerenciamento da Capacidade Objetivo: Garantir que o provedor de serviços possua, em todos os momentos, suficiente capacidade para satisfazer as demandas acordadas, atuais e futura, das necessidades de negócio do cliente Exemplos de Requisitos: O gerenciamento da capacidade deve endereçar as necessidades de negócio e inclui a avaliação dos efeitos de upgrades previstos no serviço, de requisições de mudança, e de novas tecnologias e técnicas sobre a capacidade Métodos, procedimentos e técnicas devem ser identificadas para monitorar a capacidade do serviço, ajustar o desempenho do serviço e fornecer capacidade adequada

Resumo dos Requisitos e Processos da Norma Gerenciamento da Capacidade G. da Continuidade e da Disponibilidade dos Serviços G. de Níveis de Serviço Processos de Entrega de Serviços Gerenciamento da Segurança da Informação Orçamento e Contabilidade para Serviços de Ti Gerenciamento da Segurança da Informação Objetivo: Gerenciar eficazmente a segurança da informação dentro de todas as atividades de serviço Exemplos de Requisitos: Executivo com autoridade apropriada deve aprovar uma política de segurança da informação que deve ser comunicada para todo o pessoal relevante e aos clientes quando apropriado Arranjos que envolvam o acesso de organizações externas a sistemas de informação e serviços devem ser baseados em um acordo formal que defina todos os requisitos de segurança necessários.

Resumo dos Requisitos e Processos da Norma Processos de Relacionamento Gerenciamento do Relacionamento com o Negócio Gerenciamento de Fornecedores Gerenciamento de Fornecedores Objetivo: Gerenciar os fornecedores para garantir a provisão de serviços de qualidade e sem rupturas Exemplos de Requisitos: O provedor de serviços deve possuir processos documentados para gerenciamento de fornecedores e deve nomear um gerente de contrato responsável para cada fornecedor. Os SLAs com os fornecedores devem estar alinhados com os SLAs com o negócio.

Resumo dos Requisitos e Processos da Norma Processos de Resolução Gerenciamento de Incidentes Gerenciamento de Problemas Gerenciamento de Incidentes Objetivo: Restaurar o serviço acordado para o negócio o mais rápido possível ou responder a requisições de serviço Exemplos de Requisitos: Todos os incidentes devem ser registrados. Procedimentos devem definir o registro, priorização, impacto ao negócio, classificação, atualização, escalonamento, resolução e fechamento formal de todos os incidentes.

Resumo dos Requisitos e Processos da Norma Processos de Resolução Gerenciamento de Incidentes Gerenciamento de Problemas Gerenciamento de Problemas Objetivo: Minimizar a interrupção do negócio através da identificação pró-ativa e a análise de causa dos incidentes e através do gerenciamento dos problemas até seu fechamento Exemplos de Requisitos: Procedimentos devem ser adotados para identificar, minimizar e evitar o impacto de incidentes e problemas. O gerenciamento de problemas deve ser responsável por garantir que informações atualizadas sobre erros conhecidos e problemas corrigidos sejam disponibilizadas para o gerenciamento de incidentes.

Resumo dos Requisitos e Processos da Norma Processos de Controle Gerenciamento da Configuração Gerenciamento de Mudanças Gerenciamento da Configuração Objetivo: Definir e controlar os componentes do serviço e a infra-estrutura e manter informações precisas de configuração. Exemplos de Requisitos: Todos os itens de configuração devem ser identificados unicamente e registrados em um banco de dados de configuração (CMDB) para o qual o acesso de atualização deve ser estritamente controlado. Procedimentos para controle da configuração devem garantir que a integridade dos sistemas, serviços e componentes de serviço seja mantida.

Resumo dos Requisitos e Processos da Norma Processos de Controle Gerenciamento da Configuração Gerenciamento de Mudanças Gerenciamento de Mudanças Objetivo: Garantir que todas as mudanças sejam avaliadas, aprovadas, implementadas e revisadas de uma maneira controlada. Exemplos de Requisitos: Todas as requisições de mudança deve ser registradas e classificadas. Requisições de mudança devem ser avaliadas quanto a seu risco, impacto e benefício para o negócio.

Resumo dos Requisitos e Processos da Norma Processo de Liberação Gerenciamento de Liberações Gerenciamento de Liberações Objetivo: Entregar, distribuir e acompanhar uma ou mais mudanças em uma liberação para o ambiente de produção. Exemplos de Requisitos: O provedor de serviços deve planejar com o negócio a liberação de serviços, sistemas, software e hardware. Procedimentos do gerenciamento de liberações devem incluir a atualização e modificação da informação de configuração e dos registros de mudança.

Mais Informação Literatura Introdutória Recomendada: Livros Disponíveis na ILUMNA Bookstore: bookstore@ilumna.com (11) 5087 8829 Consultoria Educação Serviços: www.ilumna.com

Sobre a ILUMNA Atuando na área de Gestão de Serviços em TI desde 1997, os consultores da ILUMNA prestam serviços de Consultoria, Educação e Tecnologia, com o objetivo de garantir que todos os serviços de TI fornecidos ou consumidos por seus Clientes sejam efetivamente gerenciados segundo Normas e Melhores Práticas de mercado.

André Jacobucci Diretoria de Serviços ILUMNA Consultoria e Sistemas Ltda andre.jacobucci@ilumna.com +55 11 5087 8829