Anasayfa » ISO 20000 » ISO 20000 Nedir?
iso 20000 nedir

ISO 20000 Nedir?

ISO 20000 Nedir?

ISO 20000, kuruluşun iç ve dış müşterilerine yönelik verdiği bilişim hizmetlerini bir yönetim sistemi modeli ile yönetmesi ve geliştirmesini hedefleyen bir yönetim sistemidir.

ISO 20000 Bilgi Teknolojileri Hizmet Yönetimi standardı temelinde ITIL (Information Technology, Infra Structure Library) bilgi tabanı kullanılmıştır. Diğer bir deyişle, ITIL’ın yönetim sistemi modeli uygulamasıdır.

ISO 20000 Bilgi Teknolojileri Hizmet Yönetimi standardı içerisinde 13 adet süreç barındırmaktadır. Yönetim sistemi mantığı çerçevesinde kuruluşlar da bu 13 adet süreç üzerine olanakları kurgulanmaktadır.

ISO 20000 Bilgi Teknolojileri Hizmet Yönetim Sisteminin temel süreçleri:

Hizmet Seviye Yönetimi (Service Level Management)

Amaç:

Hizmet seviyelerini tanımlamak, hizmet seviyeleri üzerinde mutabık kalmak, hizmet seviyelerini kayıt altına almak ve yönetmek.

Kuruluşların hizmet verdiği departmanlara vermekle zorunlu olduğu servislerin izlenmesi, ölçülmesi, yönetilmesi, raporlanması; servislere ait hizmet seviyelerinin (SL) prosesi gerçekleştiren departmanlar, gerekse hizmet verilen departmanlar ile karşılıklı imzalanarak (sla) garanti altına alınması; iş birimleriyle eş güdüm sağlanarak, verilen hizmetin talep edilen hizmet olduğundan emin olunan süreçtir.

SLA içerisinde minimum aşağıdakilerin olması veya bu durumlara atıf yapılması gerekmektedir. Bunlar;

  • Hizmetin kısaca açıklanması,
  • Geçerlilik süresi ve/veya SLA değişiklik kontrol mekanizması,
  • Onaya ilişkin ayrıntılar,
  • Raporlama da dahil olmak üzere kurulacak iletişimin kısaca açıklanması,
  • Acil durumlarda gerekli işlemleri yapacak, ihlal olaylarına müdahale edecek ve sorun giderme işlemi ile, kurtarma çalışmasına katılacak yetkili personelin iletişim bilgileri,
  • Çalışma saatleri – örneğin, 09:00- 17:00 gibi – çalışılmayacak tarihler (hafta sonları, resmi tatil günleri), kritik iş dönemleri ve çalışma saatlerinin dışında kalan zaman,
  • İşte yaşanacak, planlı ve üzerinde mutabık kalınan kesintilere ilişkin yapılacak bildirimler ve her seferinde ne kadarlık bir süreyi kapsadığının belirtilmesi,
  • Müşterinin sorumlulukları, örneğin; güvenlik,
  • Hizmet sağlayıcının sorumlulukları, örneğin; güvenlik,
  • Etki ve önceliğe ilişkin belirlenen hareket tarzları,
  • Eskalasyon ve bildirimde bulunma prosesi,
  • Şikâyet iletme prosedürü,
  • Verilecek hizmet hedefleri,
  • İş gücü sınırları (alt ve üst sınırlar), örneğin; belli sayıdaki kullanıcıyı ya da iş hacmini, sistemin çıktısını destekleyecek hizmetin verilebilmesi,
  • Mali yönetime ilişkin üst seviyedeki ayrıntılar; örneğin, masraf kodları vb.,
  • Hizmetin kesintiye uğraması durumunda uygulanacak işlemler,
  • İşyerinde verilecek genel hizmetlerle (temizlik, uygun çalışma koşullarının muhafazası) ilgili prosedürler,
  • Kullanılan terimlerin sözlüğü,
  • Destekleyici ve ilişkili hizmetler,
  • SLA’da geçen terimlerin kullanılmasına ilişkin istisnalar.

 

Hizmet Raporlama (Service Reporting)

Amaç:

Gerekli bilgilere sahip olarak karar verilmesi ve etkili iletişim için kabul görmüş, güncel, güvenilir ve doğru raporların hazırlanması.

Hizmet raporları; zamanında, açık, güvenilir ve sade olmalıdır. Hizmet raporları, raporu alacak kişinin ihtiyaçlarını karşılamalı ve bir karar destek aracı olarak kullanılacağından yeterli doğrulukta olmalıdır.
Sunum, raporun anlaşılmasına yardımcı olmalıdır. Bu sayede, tabloların kullanımı gibi hususlarıbenimsemek kolaylaşacaktır.
Bazı rapor türleri aşağıdaki hususları içerecek şekilde hazırlanmalıdır:

  • Ne olduğunu gösteren tepki raporları,
  • Önemli olayların önceden ikazı mahiyetinde olan, böylelikle yapılacak işlem için ön alınmasına imkan sağlayan proaktif raporlar (örneğin; SLA’lardaki mevcut eksiklerin rapor edilmesi),
  • Planlanan faaliyetleri gösteren gelecek döneme ilişkin raporlar.

 

Hizmet Süreklilik ve Kullanılabilirlik Yönetimi (Service Continuity And Availability Management)

Amaç:

Üzerinde mutabık kalınan hizmetin sürekliliğinin ve kullanılabilirliğine ilişkin müşterilere verilen taahhütlerin her koşul altında yerine getirilebilmesini sağlamak.

Hizmet verilirken meydana gelen büyük arızalar ya da felaketler, hizmetin yok sayılması, saldırıya maruz kalınması, geniş kitleleri etkileyen virüs salgınlarının olması, izin verilmeyen varlıklara erişim sağlanması ya da bir doğa felaketi gibi pek çok nedenden dolayı ortaya çıkabilir.

Kullanılabilirliğin izlenmesi ve faaliyetler

Kullanılabilirlik yönetimi aşağıdaki hususları içermelidir:

  • Hizmetin kullanılabilirliğinin izlenmesi ve kayıt altına alınması,
  • Geçmişe ilişkin doğru verilerin saklanması,
  • Mutabık kalınan kullanılabilirlik hedefleriyle uygunsuzluk olup olmadığının belirlenmesi amacıyla SLA’larda tanımlanan gereksinimlerle karşılaştırma yapılması,
  • Uygunsuzlukların dokümante edilmesi ve gözden geçirilmesi,
  • Gelecekteki kullanılabilirlik seviyesinin tahmin edilmesi

 

Hizmet Yönetimi için Bütçe ve Finans Yönetimi (Budgeting and accounting for IT services)

Amaç:

Hizmet sunumunun maliyetinin bütçelenmesi ve muhasebesinin yapılması

Bu süreç; bilgi teknolojilerinin bütçelenmesini ve muhasebeleştirilmesini kapsar. Uygulamada, pek çok hizmet sağlayıcı, bu tür hizmetler verecektir. Bununla birlikte, hizmetin üstlenilmesi tercihe bağlı olduğundan bu standardın kapsamında yer almamaktadır. Hizmetin üstlenildiği yerlerde, hizmet sağlayıcıların olması tavsiye edilir ve hizmetin, bu şekilde yapılması için mekanizma açık bir biçimde tanımlanır ve ilgili tüm taraflarca kabul edilir.

 

Kapasite Yönetimi (Capacity Management )

Amaç:

Hizmet sağlayıcının, müşterinin iş ile ilgili ihtiyaçlarının mevcut ve gelecekteki taleplerini karşılamak için her zaman yeterli kapasiteye sahip olduğundan emin olunması.

  • Hizmetler için mevcut ve beklenen iş gereksinimlerinden, hizmetlerin iş yapılan müşterilere sunulmasını mümkün kılmak amacıyla işin neye ihtiyaç duyduğu anlaşılmalıdır.
  • İş ile ilgili tahminler ve iş gücü hesaplamaları belirli gereksinimlere yönelik olmalı ve dokümante edilmelidir. İş gücünde ve ortamdaki değişimlerin sonuçları tahmin edilebilir olmalı; prosesi desteklemek için uygun bir seviyede, mevcut ve önceki bileşen ile kaynak kullanımı konusundaki veri alınmalı ve analiz edilmelidir.
  • Tüm performans ve kapasite konuları için kapasite yönetimi odak noktasını teşkil etmelidir.
  • Proses, hizmetlerin boyutunun belirlenmesini ve modellenmesini sağlayarak yeni ve değişen hizmetlerin gelişimine doğrudan destek vermelidir.
  • Altyapının gerçek performansı ile beklenen gereksinimlerin yazılı olduğu bir kapasite planı; hizmetlerdeki değişim hızı ile hizmet hacmi, değişiklik yönetim raporlarındaki bilgi ve müşterinin işi göz önüne alınarak uygun zaman aralıklarıyla hazırlanmalıdır.
  • Kapasite planı yılda en az bir defa yapılmalıdır.

 

Bilgi Güvenliği Yönetimi (Information Security Management)

Amaç:

Tüm hizmet faaliyetlerinde bilgi güvenliğini etkili bir biçimde yönetmek.

  • Bilgi varlıklarının belirlenmesi ve sınıflandırılması
  • Güvenlik risk değerlendirme uygulamaları
  • Bilgi varlıklarının maruz kalacağı riskler
  • Bilginin güvenliği ve kullanılabilirliği
  • Kontroller
  • Dokümanlar ve kayıtlar

Bilgi Güvenliği Yönetimi ile ilgili daha fazla detaya girmek için ISO 27001 Standardını okuyabilirsiniz.

 

İş ilişkileri Yönetimi (Business Relationship Management)

Amaç:

Hizmet sağlayıcı ile müşteri arasında, müşteriyi ve müşterinin işi ile ilgili önemli konuları anlamaya dayalı iyi bir ilişkinin kurulması ve sürdürülmesi.

İş ilişkileri yönetimini 3 başlıkta toplarsak

  • Hizmetin gözden geçirilmesi
  • Hizmet ile ilgili şikayetler ve
  • Müşteri memnuniyetinin ölçülmesi olarak değerlendirebiliriz.

 

Tedarikçi Yönetimi (Supplier Management)

Amaç:

Kesintisiz ve kaliteli hizmetin verilmesini garanti etmek için tedarikçilerin yönetilmesi.

Tedarikçilerin yönetimi ile ilgili bir süreç tasarlanmalıdır. Asgari düzeyde aşağıdakileri içerebilir.

  • Tedarikçi tarafının, hizmet sağlayıcıya karşı olan yükümlülüklerini bilmesi,
  • Yasal gereksinimler ile üzerinde mutabık kalınan gereksinimler, mutabık kalınan hizmet seviyeleri ve kapsam çerçevesinde karşılanması,
  • Değişikliklerin yönetilmesi,
  • İlgili tüm taraflar arasındaki iş ilişkisinin kayıt altına alınması,
  • Tüm tedarikçilerin performansı konusundaki bilginin gözlemlenebilmesi ve gerekli işlemlerin yapılabilmesi.

Bunlara ek olarak  Sözleşme yönetimi, hizmetin tanımı, çoklu tedarikçilerin yönetimi, sözleşmelerde çıkan anlaşmazlıkların yönetimi, sözleşmenin sonlandırılması ve cezai şartlar ile ilgili durumların da ele alınması gerekmektedir.

 

Olay Yönetimi (Incident Management)

Amaç:

Mutabık kalınan hizmetlerin mümkün olan en kısa sürede iş ortamına yeniden kazandırılması ya da hizmet taleplerine karşılık verilmesi. Bu madde için ISO 18044 standardını incelemenizi öneririm.

İhlal Olayı yönetiminde firmalar bir yardım masası uygulaması kullanabilirler.

Bu süreç yönetimi minimum aşağıdaki hususları içermelidir:

  • Hizmeti etkileyen ya da etkileme olasılığı bulunan ihlal olaylarına karşılık vermek üzere hem proaktif, hem de reaktif prosesi,
  • İhlal olaylarının nedenlerini belirlemek yerine, müşteriye verilen hizmetin yeniden verilmeye
    başlanmasıyla ilgilenilmesini.
  • Başvuru yapılacak yerin aranması, kayıt altına alınması, önceliğin belirlenmesi ve sınıflandırılması,
  • Birinci kademe çözüm üretilmesi ya da sevk edilmesi,
  • Güvenlik konularının dikkate alınması,
  • İhlal olayının izlenmesi ve ömür devri yönetimi,
  • İhlal olayının doğrulanması ve kapatılması,
  • Birinci kademedeki müşteri irtibatı,
  • Sözleşme fiyatının maliyetlerdeki artışa göre güncellenmesi.

Problem Yönetimi (Problem Management)

Amaç:

İhlal olaylarının nedeninin önceden tanımlanması ve çözümlenmesiyle, sorunun ortadan
kaldırılıncaya kadar yönetilmesiyle iş düzeninde meydana gelebilecek düzensizlikleri en aza indirgemek.

Problem yönetimi;

Yönetimin kapsamı, başlatılması, bilinen hatalar (bir ihlal olayının asıl nedeni ve ihlal olayını giderme metodu tespit edilmesi), çözümü, iletişimi, problemin izlenmesi, üst yönetim veya varsa üst mercilere (makam) bildirilmesi, kapatılması, gözden geçirilmesi gibi başlıkları kapsar.

Konfigürasyon Yönetimi (Configuration Management)

Amaç:

Hizmetin ve altyapının ögelerini tanımlamak ve kontrol etmek, doğru konfigürasyon bilgisinin
sürekliliğini sağlamak.

Konfigürasyon yönetimi, hizmet sağlayıcının kendi BT varlıklarını ve konfigürasyonlarını etkili bir biçimde yönetebilmesini sağlayan değişiklik ve sürüm yönetimi ile birlikte planlanmalı ve gerçekleştirilmelidir.

Konfigürasyon yönetim planları aşağıdaki hususları içermeli ya da açıklamalıdır:

  • Kapsam, hedefler, politikalar, standard roller ve sorumluluklar,
  • Hizmette/Hizmetlerde ve altyapıdaki konfigürasyon parçalarını, konfigürasyonlardaki kontrol değişikliklerini, konfigürasyon parçalarının durumunun kayıt altına alınmasını ve rapor edilmesini, konfigürasyon parçalarının tamlığının ve doğruluğunun teyit edilmesini tanımlamak amacıyla konfigürasyon yönetim proseslerini,
  • Güvenlik, yasal ve düzenleyici mevzuat ile iş gerekleri gibi nedenler için, hesap verilebilirlik, izlenebilirlik, denetlenebilirlik gereksinimleri,
  • Konfigürasyon kontrolü (erişim, koruma, sürüm, oluşturma, hizmete sunma kontrolleri),
  • Sistem ara yüzleri ve kullanıma sunulanlar gibi, iki ya da daha fazla sayıdaki kuruluşun ortak sınırında yer alan konfigürasyon parçalarının ve bilginin belirlenmesi, kayıt altına alınması ve yönetilmesi için ara yüz kontrol prosesi,
  • Varlıkları ve konfigürasyonları kontrol altına almak ve eğitim gibi konfigürasyon yönetim sistemini sürdürmek için gerekli olan kaynakların planlanması ve oluşturulması,
  • Konfigürasyon yönetimini gerçekleştiren tedarikçilerin ve alt yüklenicilerin yönetimi,

Değişim Yönetimi (Change Management)

Amaç:

Tüm değişikliklerin kontrol altında değerlendirilmesini, onaylanmasını, gerçekleştirilmesini ve gözden geçirilmesini sağlamak.

Değişiklik yönetim prosesleri ve prosedürleri, aşağıdaki hususları sağlamalıdır:

  • Değişikliklerin, açık bir biçimde tanımlanmış ve dokümante edilmiş kapsamı olduğunu,
  • Yalnızca, iş menfaatini sağlayan değişikliklerin onaylanması; örneğin; ticari, yasal, düzenleyici ve resmi.
  • Değişikliklerin öncelik ve risk faktörleri göz önüne alınarak planlandığı,
  • Konfigürasyon değişikliklerinin, değişikliğin gerçekleştirilmesi sırasında doğrulanabileceği,
  • Değişikliklerin gerçekleştirilme zamanının izlendiği ve gerekli olduğu yerde iyileştirildiği,

Sürüm Yönetimi (Release Management)

Amaç:

Bir ya da daha fazla sayıdaki değişikliği gerçek ortama sunmak, dağıtmak ve izlemek.

Sürüm yönetimi, dağıtım alanı boyunca bir sürümün planlanması ve ulaştırılması için hizmet sağlayıcının, pek çok tedarikçinin faaliyetlerini ve işini koordine etmelidir.

Sürüm yönetimi içerisinde olması gerekenler;

  • Sürüm Politikası
  • Sürüm ve tanıtımın planlanması
  • Yazılımın geliştirilmesi veya edinilmesi
  • Tasarımın, kurulumun ve konfigürasyonun kullanıma sunulması
  • Sürümün doğrulanması ve kabul edilmesi
  • Dokümantasyon
  • Tanıtım, dağıtım ve kurulum
  • Ön sürüm ve tanıtım

Diğer ISO standartlarında olduğu gibi, sürekli gelişim, liderlik, çalışanların katılımı, tedarikçilerin yönetimi gibi toplam kalite yönetimi prensiplerini içinde barındırır.

 

ISO 20000 Bilgi Teknolojileri Hizmet Yönetim Sisteminin temel amaçları:

  • Bilgi teknolojisi hizmetlerini çalışır durumda tutmak,
  • Bilgi teknolojisi maliyetlerini optimize etmek,
  • Bilgi teknolojisi risklerini ve karmaşıklığını yönetmek,
  • Yasal ve düzenleyici şartlara uygunluğu sağlamak,
  • Daha büyük boyutlardaki değişiklikleri yönetmek,
  • Bilgi teknolojisi hizmetlerini iş ihtiyaçlarına göre kullanmak.

ISO 20000 Bilgi Teknolojileri Hizmet Yönetim Sisteminin temel faydaları:

  • Artan hizmet kalitesi ve daha güvenir kurumsal destek,
  • IT yeteneklerinin net olarak görülebilmesi,
  • Var olan hizmetler hakkında daha net bir bilgi,
  • Yeteneklerin doğru analizi ve iş tatmini ile daha motive çalışanlar,
  • Müşteri ihtiyaçlarını doğru anlama ve doğru hizmet ve destek ile müşteri tatminin sağlanması,
  • Hizmet süreçlerinde güvenlik, sürat ve erişilebilirlikte artış,
  • BT yönetim ve işletim maliyetlerinin düşürülmesi,
  • Etkin kaynak yönetimi ve kaynakların verimli kullanımı,
  • İşlerin/problemlerin tekrar tekrar ele alınmasını engellenmesi,
  • Gereksiz işlerin elimine edilmesi,
  • BT hizmetlerinin erişilebilirliğinin artırılması,
  • Müşteri, son kullanıcı ve iş ihtiyaçlarını karşılayan hizmetlerin sunulmasının garanti altına alınması,
  • Hizmetlerin sunumunda yer alan kişilerin rol ve sorumlulukların belirlenmesi,
  • BT ekiplerinin memnuniyetinin artması,
  • Geçmiş deneyimlerden öğrenme sürecinin sağlanması,

ISO 20000 ile ilgili detaylı makalemi umarım beğenirsiniz. ISO 20000 ile ilgili makaleleri yazmaya devam edeceğim.

Hakkında Burak Ekşi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi başta olmak üzere ISO 9001, ISO 14001, ISO 22301 vb. standartlarda danışmanlık, eğitmenlik ve baş denetçi olarak çalışmaktayım. ISO 27001 BGYS standardında Onaylı Baş Denetçi Eğitmeniyim. BEK Danışmanlık ve Eğitim hizmetleri Limited Şirketi'nin kurucusuyum.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir