ISO 20000 Standardı güncellendi : ISO/IEC 20000-1:2011

1. ISO 20000′in yeni versiyonunun ön izlemesi için şu PDF dokümana bakabilirsiniz.

2. Göze çarpan ilk değişiklik artık IT servis yönetim sistemi yerine sadece Servis Yönetim Sistemi olarak isim değiştirmiş olması.

3. Artık ITSMS yerine SMS olarak kısalatacağız ISO 20000 den bahsederken.

4. Madde 10 silindi. Madde9′un içine yedirildi. Artık Sürüm Süreçleri diye bir aile yok.  Release Management yerine 9.3 Release and Deployment

Management sürecimiz var.

5. Service Continuity genişletildi ve alt 2-3 madde eklendi.

6. Information Security Management süreci genişletildi ve security incident kavramı getirildi.

7. Madde 8. e incident ile beraber incident and request manageent ismi verilmiş. Req.Man. sürci eklenmiş oldu.

8. Part 3-4-5 bu standarta anılmaya başlandı. ISO 20000-3, ISO 20000-4, ISO 20000-5 yayınlanmış olduğundan artık resmi olarak kullanımları önerilmeye

başlandı.

9. Standart ISO 9001 ve ISO/IEC 27001′e daha uyumlu hale getirildi.

10. Tanımlar bölümüne yeni terimler eklendi.

11. ISO/IEC 20000-1:2005 madde 3 ve madde4 birlştirilip Yönetim Sistemi gereklilikleri tek maddede toplandı

12. Yönetim ve kapsam belirleme ilgili gereklilikler açımlandı.

13. Yeni standarda göre çalışmalar değişecek ve zenginleşecek.

14. Genel olarak ITIL V3 ile gelen değişkliklerin ISO 20000′e daha derin yansımalarının olmasını beklerdik.

15. Event Management, Access Management, Demand Management gibi süreçleri hala ISO 20000 kapsamında işleyemiyoruz.

16. Lifecyle yaklaşımına vurgu yapılması ve PDCA döngüsünün sadece süreçlere ve ITSMS’e değil tüm servislere de uyarlanması gerektiği ITIL V3′den gelen

bir katkı daha..

17. Sertifika sahibi kurumlar için değişen bir şey yok fakat 2 yıl içerisinde upgrade ve artık yeni belgelendirmelerin yeni sürüme göre yapılması gündeme gelecektir.

ITIL Güncelleniyor

Öncelikle belirteyim bu bir yeni versiyon değil güncelleme.
5 kitap 2011 Edition adı altında 29 Temmuz’da basılıyor.
Bizimki gibi akredite kurumlara önceden ayrıca yayın olarak ulaşıyor.
4 yıldır alınan feedbacklere dayanarak kitapları daha kolay anlaşılır ve akıcı bir yapıya kavuşturmak amaçlanmış. Özellikle service strategy kitabında epey zor bir dil vardı IT camiası için. IT üstyönetimlerinin bile kullanmadığı terminolojiyi IT personeline anlatırken epey ter döküyorduk. Umarım bu yeni yayında daha bol örnek yer alır.

Bu güncelleme mevcut sertifikalarınızı etkilemeyecek ve şemada değişiklik yok.
Sınavlara girecekler için telaş yapmayı gerektircek bir durum var. Ağustos itibariyle kurs içeriklerini ve sınavları güncelliyoruz. Bu durumda artık yeni versiyon için tekrar eğitim almanız gerekebilir. Aslında gerekmez ama ben böyle olmasını tercih ederim.
8 Ağustos 2011 itibariyle biz courseware provider ve training providerları ilgilendiren bir konu var ki o da syllabus değişiyor.

Bu durumda examination institute’lerin sınavları da güncellenecek. Foundation ve Intermediate seviyesinde tüm coursewarelerimiz tekrar elden geçecek. Bu korkunç bir iş yükü olacak tabi akredite kurs notu sunucusu ve eğitim sunucu olarak bize iş yükü getirecek.
Tüm kursların aynı zamanda akredite online versiyonlarını ve scorm formatlarını da güncellemek daha da korkutucu.

Kısacası kullanıcı tarafında endişelenecek bir durum yok sadece ITIL kitaplarını satın almadıysanız temmuz sonunu bekleyin yeni versiyonu alın diyebilirim. Sınava da henüz girmediyseniz Ağustos sonuna kadar zamanınız var.

Değişikliklerin özetle neler olduğunu kopyalıyorum, çevirmek zor geldi :

ITIL Service Strategy
The concepts within the publication have been clarified, without changing the overall message. The updated publication includes more practical guidance and more examples where relevant.
The newly defined process of strategy management for IT services is responsible for developing and maintaining business and IT strategies, and there are now separate descriptions of business strategy and IT strategy. Financial management has been expanded, and business relationship management and demand management are now covered as processes.

ITIL Service Design
Throughout the updated ITIL Service Design publication, there has been particular focus on alignment with ITIL Service Strategy.
A number of concepts and principles have been clarified, most significantly the flow and management of activity throughout the overall service design stage with the addition of the ‘design coordination’ process. Other significant clarifications include the five aspects of service design, the design of the service portfolio and the terminology related to views of the service catalogue.

ITIL Service Transition
The structure, content and relationships of the configuration management system (CMS) and service knowledge management system (SKMS) have been clarified to help the reader to understand these key concepts.
There is new content explaining how a change proposal should be used. The evaluation process has been renamed ‘change evaluation’ and the purpose and scope have been modified to help clarify when and how this process should be used.
The service asset and configuration management process has additional content relating to asset management, and there are improvements in the flow and integration of a number of processes, including change management, release and deployment management, and change evaluation.

ITIL Service Operation
Process flows have been updated or added for all processes including request fulfillment, access management and event management.
Key principles – including guidance around service requests and request models, and proactive problem management – have been clarified. The publication has been updated to explain how basic events flow into filters and rule engines to produce meaningful event information. The relationship between application management activities versus application development activities is also clarified.
Other clarifications include an expanded section on problem analysis techniques, procedure flow for incident matching and further guidance for escalating incidents to problem management. In addition, the guidance for managing physical facilities has been expanded.

ITIL Continual Service Improvement
The seven-step improvement process – and its relationship with the Deming ‘Plan-Do-Check-Act’ cycle and knowledge management – has been clarified. The CSI model has been re- named the CSI approach and the concept of a CSI register has been introduced as a place to record details of all improvement initiatives within an organization.
Minor changes have been made throughout the book to clarify the meaning and to improve readability. Particular emphasis has been made on documenting the interfaces from CSI to other lifecycle stages.

Erman Taşkın

Risk management standardının rehberi geliyor – Code of practice and guidance for the implementation of BS ISO 31000

Risk yonetimi standardi yayınlanmıştı şimdi bunun rehber standardı hazırlanıyor.
İcerigi aşağıdaki gibi planlanıyor.
Bsi draft standartlarına girip gorus verebilirsiniz.

Aşağıdaki adrese girip Kayit olmanız gerekiyor. son gorus verme tarihi 31 Mart 2011..

http://drafts.bsigroup.com/

 

1 Scope
2 Framework
3 Process
Glossary
Bibliography

Annexes
Annex A (informative) Correspondence between BS ISO 31000:2009, BS 31100 and the high level structure for management systems under development by ISO
Annex B (informative) Risk management tools
Annex C (normative) Incorporating potentially positive consequences of risk
Annex D (informative) Effects of controls
Figures
Figure 1 – Relationships between the principles, framework, and process
Figure 2 – Risk management perspectives
Figure 3 – Illustrative set of instances of the risk management process in a larger organization
Figure 4 – Components of the risk management framework
Figure 5 – Overview of documentation for risk management
Figure 6 – Items to include in the description of the framework
Figure 7 – The risk management process

Tables
Table 1 – Examples of tailoring
Table 2 – One possible breakdown of roles
Table 3 – Leadership responsibilities
Table 4 – Minimum responsibilities for everyone in the organization
Table 5 – Role of a risk management function
Table 6 – Features of culture
Table 7 – Items to cover related to competence
Table 8 – Roles involved in communication
Table 9 – Communication content and roles involved
Table 10 – Features of risk identification
Table A.1 – Correspondance of BS 31100 with BS ISO 31100:2009 and ISO’s high level structure for management systems
Table B.1 – Examples of risk management tools (including techniques)

kaynak. Erman Taşkın

 

Süreç denetim standardı çıkıyor ISO 33000 serisi

Türkiye’de komite başkanı olduğum JTC1 komitesinden yeni çıkanbir standart için oylama çağrısı geldi.

ISO 33000 serisi şunları içerecek :

ISO 33001 Information technology — Process assessment — Concepts and terminology

ISO 33002 Information Technology — Process Assessment — Requirements for performing process assessment

ISO 33003 Information technology — Process assessment — Requirements for process measurement frameworks

ISO 33004 Information technology — Process assessment — Requirements for Process Reference, Process Assessment and Organizational Maturity

Models

ISO 33020 Information Technology — Process Assessment — Measurement framework for assessment of process capability and organizational maturity

süreç değerlendirmesi işindeki firmaların muhakkak bilmesi ve uyması gereken standartlar olacak bunlar. Bu alanda bir standartlaşma gereksinimi vardı. Ayrıca bu standart ailesi ile “Process Assessment Business Line” net olarak öne çıkacaktır. Her kurumun kendi meşrebince çalıştığı bir alan ve ayakları yere basmayan bir metodlar yığını halinde idi. CMMI, SQUARE, SPICE, COBIT, ITIL.. hepsi kendine göre CMM modelini uayarlıyorlardı. BDDK denetimlerinde de bu değerlendirmeler COBIT bazlı yapılıyor fakat model ve süreç firma insiyatifine kalıyordu. Bu da epey tartışma yaratan kaygan bir tartışma ortamı doğuruyordu. Sektöre standartlar geliyor ve bu iş kolunda çalışacak firmalar için netleşecej işler. Aslında enönemli katısı bu “flu” iş kolunu biraz daha net tanımlamak olacak.

Zira müşterilerin de bu alanda ne istediklerini tama olarak bilmediklerini görüyoruz. Denetim metodları birbirine karışıyor. Yönetim sistemi denetimi ile IT adit, yazılım kalite denetimi ile süreç olgnluk denetimi, güvenlik denetimi ile penetration test, süreç denetimi ile kurumsal olgunluk denetimleri, gap analiz ile uyumluluk denetimleri, mali kontrol ile iç denetim birbirine karışıyor…

http://blog.ermantaskin.com/?p=258

ISO 20000 Amerikan Hükümeti tarafından zorunlu hale getiriliyor.

ISO 20000 US’de başta devlet, hava kuvvetleri ve NIST gibi kurumlarca zorunlu standart haline getiriliyor. 2011′de bu alanda kesin kararlar yayınlayacaklar. Ayrıca çalışılacak kurumun tüm IT kapsam dahilinde olacak şekilde bu sistemi uygulamaları ve sadece belge almanın yeterli olmayacağı da vurgulanmış.

CMMI gibi, COBIT gibi bu da ithal edilecek ve yayılacak. Suanda halihazırda bir çok kurum şartnamesinde görmeye başladık. Fakat bu genel bir regülasyon değil henüz. bt POTA muadili bir güç olarak öne çıkarılacağı da biliniyordu zaten. CMMI tek bir kamu kurumu tarfndan benimsendi ve bu nedenle biraz güdük kaldı. Aslında bir diğer nedeni de sahipliğinin bir enstitüde ve o enstitiünün de biraz kapalı bir model ile çalışıyor olması idi. Örneğin bugün hala CMMI denetçisi 1 veya 2 kişi vardır Türkiye’de. Gerçi ISO 20000′de de halihazırda onaylı tek Türk denetçi benim. (bkz. http://www.irca.org IRCA No: 01197355) CMMI’daki kadar zorlu bir süreç var fakat onunki kadar imkansız değil. Lead auditor eğitimi veya itSMF auditor eğitimi almanız gerekiyor. 35 adam.gün iso 2000 denetimini 4-5 farklı firmada yapmanız gerekiyor ve bunu IRCA’ya ispatlamanız gerekiyor. IT backgroundını saymıyorum zaten o olmazsa ne eğitimi ne de denetimleri yapabilirsiniz. Yaparsınız belki ama komik olur. Kimyager ve fizik kökenli iki denetçi olduğu söyleniyor iso 20000′den bir kaç kurumda denetçi olarak gördüm. Tabi bunları siz kendiniz takdir ediniz.

ISO 27001′in benzeri bir yükseliş bu standartta da kaçınılmaz. Halihazırda bu konuda yapılmış 25 çalışma var bildiğimiz kadaıyla Türkiye’de. Bu çalışmaların 20 sinde ben bulundum şahsen. Bu sayının 27001 için 100 ü geçtiğini biliyoruz. ISO 20000′in bu sayıyı 2011 sonunda bulması mümkün. ISO 20000 belgelendirmesine henüz hiçbir Türk firması girebilmiş değil. Burada bariyerler biraz daha yukarıda. Bu nedenle kalite de biraz daha yukarıda kalacak umarım.

Breakthrough: ISO20000 is now required by US Government

ISO20000 is now specifically required by US Government, as a requirement for service providers who want of offer their services for government IT services. Recently, the US Air force, for their Enterprise Integration and Services Management (EISM) system, required an ISO20000 certificate from sourcing providers.

Requirements are very specific: “The prime contractor shall have evidence of ISO/IEC 20000 certification throughout the life of the contract, inclusive of options. The Government will evaluate (confirm) the offeror’s certification(s) based on the documentation provided in the proposal.” This obviously requires a regular confirmation of the certified status.

Also: “This certification must be held at the organizational level of the legal entity performing the contract.” Which means that a service provider cannot get this status cheap, by certifying just one team or just one service against the ISO20000 requirements (which is a common trick amongst providers, ever since the introduction of ISO standards).

Another RFP by US Dept of Defense, to be published in February, will be requiring the ISO 20000 certification. Also, NIST seems to be going to require ISO 20000 for an upcoming proposal, as well as the US Veteran’s Affairs has indicated a preference for ISO 20000 certificate for upcoming Help Desk proposals. These findings confirm the uptake of ISO20000 in the US.

Source: http://blog.ermantaskin.com/?p=202

IRCA Onaylı Tek Türk ISMS ISO 27001 Denetçisi Erman Taşkın

IRCA Uluslararası denetçi kütüğünde kendi alanında denetçi ünvanını hakeden kıdemli denetçileri titiz bir inceleme sonucunda onaylayan ve yönetim sistemleri alanında tek otorite olan bir kurumdur.

Bu kuruma yaptığım başvuru sonucunda ISMS Auditor (ISO 27001) Bilgi Güvenliği Yönetim Sistemi Denetçisi ünvanını bana layık gördüler.

Bu alanda Auditor olarak IRCA’dan onaylanan Tek Türk olmaktan da mutluluk duyuyorum. IRCA Kayıt No 01197355 http://www.irca.org

IRCA Uluslararası denetçi kütüğünde kendi alanında denetçi ünvanını hakeden kıdemli denetçileri titiz bir inceleme sonucunda onaylayan ve yönetim sistemleri alanında tek otorite olan bir kurumdur.Bu kuruma yaptığım başvuru sonucunda ISMS Auditor (ISO 27001) Bilgi Güvenliği Yönetim Sistemi Denetçisi ünvanını bana layık gördüler.Bu alanda Auditor olarak IRCA’dan onaylanan Tek Türk olmaktan da mutluluk duyuyorum. IRCA Kayıt No 01197355 http://www.irca.org

http://www.ermantaskin.com

ITMS Days Sektör Uzmanlarını Çağırıyor

http://www.itmsdays.com

IT Management System Days etkinliği ile sektör uzmanlarını her oturumda farklı bir IT yönetim disiplinini mercek altına alıp deneyim ve bilgi aktarımı amacıyla düzenlenen ITMS DAYS etkinliğinin 5.sinin hazırlıklarına başlanmıştır. Bilgi paylaşımında bulunmak isteyenler için başvuru süreci başlamıştır. Katılımcılarının ilgi ve deneyim alanlarına göre belirlenen içerik için öneriler de Kasım sonuna kadar alınacaktır.