Certificazione del sistema di gestione dei servizi IT secondo lo standard ISO/IEC 20000
Un’organizzazione, sia essa privata o pubblica, necessita sempre di più, nella conduzione della propria attività, dell’ausilio di tecnologie informatiche.Servizi IT che possono essere forniti da competenze interne alla stessa azienda, oppure acquistati sul mercato, ma che comunque devono essere oggetto di attenta valutazione, sia in fase di definizione dei requisiti del servizio richiesto, che in fase di valutazione delle performance.
- Il 15 dicembre 2005 è stato pubblicato dall’ISO il primostandard per l'IT Service Management globalmente riconosciuto e certificabile, sviluppato sulla base della precedente norme inglese BS 15000 della quale ne mantiene la struttura, completamente allineata con l’IT Infrastructure Library (ITIL), i cui contenuti, lo ricordiamo sono:
- Service Support
- Service Delivery
- ICT Infrastructure Management
- Application Management
- Security Management
- Planning to Implement Service Management
- The Business Perspective
- Lo standard ISO/IEC 20000, applicabile ad organizzazioni di tutte le dimensioni, si compone di due parti, sotto il titolo generale di Information Technology - Service Management (noto anche con il nome di “sicurezza informatica”):
- Parte 1: Specification (lo Standard vero e proprio); pubblicato come ISO/IEC 20000-1. Contiene una lista di controlli a cui una organizzazione “deve” essere aderente per fornire dei servizi ad una qualità accettabile per i suoi clienti, e potersi certificare.
- Parte 2: Code of practice; pubblicato come ISO/IEC 20000-2. Descrive le best practice in maggior dettaglio, fornendo un riferimento e raccomandazioni per i processi di gestione del servizio che rientrano nell’ambito dello standard ufficiale. Contiene linee guida e suggerimenti che “dovrebbero” essere messi in pratica dalle organizzazioni, e risulta particolarmente utile a quelle organizzazioni che desiderano prepararsi per essere certificate ISO 20000 o pianificano semplici miglioramenti del servizio.la disponibilità delle informazioni, cioè assicurare che gli utenti autorizzati abbiano accesso alle informazioni e ai beni collegati quando richiesto e/o necessario.
- Obiettivi e Vantaggi
Lo standard consente alle organizzazioni che decidono di adottarlo, di poter effettuare dei benchmark sulla propria capacità nell’erogazione dei servizi, nel misurare i livelli di servizio e nella valutazione delle performance. Obiettivi di un Sistema di gestione dei servizi IT sono:- garantire l’applicazione dei principi universalmente riconosciuti di Best Practice-ITIL; l’integrità delle informazioni, cioè salvaguardare l'accuratezza e la completezza delle informazioni e dei metodi di elaborazione;
- la disponibilità delle informazioni, cioè assicurare che gli utenti autorizzati abbiano accesso alle informazioni e ai beni collegati quando richiesto e/o necessario.
- L’adozione di un Sistema di Gestione per la Sicurezza delle Informazioni permette di:
- assicurare la continuità del business, inteso come assicurazione della continuità dei servizi erogati da un’organizzazione alla propria clientela/utenza, anche in caso di incidente alla sicurezza sia esso incidentale o doloso;
- promuovere rapporti di fiducia con clienti, partner, enti pubblici, aziende di crediti ed azionisti;
- di avere un controllo efficace ed un miglioramento continuo dell’intero complesso di prestazioni dell’IT service management;
- sviluppare le relazioni tra le diverse divisioni aziendali, in ottica di cliente interno;
- migliorare la formazione del personale addetto.
- Come opera TÜV Italia
Come ente terzo, sia attraverso il riconoscimento itSMF (IT Service Management Forum) della casa madre, che attraverso un percorso di accreditamento italiano, le cui regole sono in corso di definizione nell’ambito di un GdL Accredia, promosso da TÜV Italia. - Procedure di certificazione
Le principali fasi dell'iter comprendono- Pre-audit (su richiesta): verifica preliminare per analizzare le eventuali lacune e per valutare la conformità del cliente ai requisiti della norma.
- Verifica di I° stadio: verifica di adempimento ai requisiti legislativi applicabili della documentazione del Sistema di Gestione dei servizi IT.
- Verifica di II° stadio: verifica per il raggiungimento della certificazione attraverso il controllo dell’implementazione del sistema di gestione, l’analisi dei documenti, osservazioni su campo, interviste al personale, il cui esito positivo conduce all’emissione del certificato.
- Sorveglianza: visite periodiche per garantire la conformità del Sistema alla norma di riferimento, nell'ottica del miglioramento continuo.
- Validità della Certificazione
Triennale, al termine del periodo la certificazione può essere rinnovata secondo l'iter precedentemente descritto.
