*[[LP5: Verbessern der Services|LP5: Verbes­sern der Services]]
*[[LP5: Verbessern der Services|LP5: Verbes­sern der Services]]
*[[SP7: Gewährleisten der Sicherheit|SP7: Gewähr­leisten der Sicher­heit]]
*[[SP7: Gewährleisten der Sicherheit|SP7: Gewähr­leisten der Sicher­heit]]
*[[SP8: Vorbereiten auf Katastrophen-Ereignisse|SP8: Vor­bereiten auf Kata­strophen-Ereignisse]]
*[[SP8: Gewährleisten von Kontinuität|SP8: Gewähr­leisten von Kontinuität]]
|
|
* Anforderungen an die Service­verfügbarkeit und die Verfügbar­keitsziele sind in den Service-Definitionen festgelegt, die den Kunden-Service­vereinbarungen als Anlagen hinzugefügt werden. In den Service-Implemen­tierungs-Konzepten, die während der Service-Design-Phase erstellt werden, ist beschrieben, mit welchen technischen und sonstigen Maßnahmen die Service­verfügbarkeit sichergestellt wird.
* Anforderungen an die Service­verfügbarkeit und die Verfügbar­keitsziele sind in den Service-Definitionen festgelegt, die den Kunden-Service­vereinbarungen als Anlagen hinzugefügt werden. In den Service-Implemen­tierungs-Konzepten, die während der Service-Design-Phase erstellt werden, ist beschrieben, mit welchen technischen und sonstigen Maßnahmen die Service­verfügbarkeit sichergestellt wird.
* Während des Service-Betriebs wird die Service­verfügbarkeit überwacht und in Service-Qualitäts­berichten dokumentiert. Wenn die Verfügbar­keitsziele verfehlt werden, wird der Service-Verbesserungs-Prozess die Risiken in Bezug auf die Verfügbarkeit der Services neu bewerten und ggf. korrigierende Maßnahmen einleiten.
* Während des Service-Betriebs wird die Service­verfügbarkeit überwacht und in Service-Qualitäts­berichten dokumentiert. Wenn die Verfügbar­keitsziele verfehlt werden, wird der Service-Verbesserungs-Prozess die Risiken in Bezug auf die Verfügbarkeit der Services neu bewerten und ggf. korrigierende Maßnahmen einleiten.
* Anforderungen an die Service­kontinuität sind in den Service-Definitionen festgelegt, die den Kunden-Service­vereinbarungen als Anlagen hinzugefügt werden.
* Anforderungen an die Service­kontinuität sind in den Service-Definitionen festgelegt, die den Kunden-Service­vereinbarungen als Anlagen hinzugefügt werden.
* Der Prozess für das Managen von Katastrophen­ereignissen führt regelmäßige Bewertungen der Risiken in Bezug auf die Service Continuity durch und pflegt ein Register der Katastrophen­ereignisse, für die Kontinuitäts-Mechanismen und vorbereitende Maßnahmen einzurichten sind.
* Der Prozess für das Gewährleisten der Service-Kontinuität führt regelmäßige Bewertungen der Risiken in Bezug auf die Service Continuity durch und pflegt ein Register der kritischen Ereignisse, für die Kontinuitäts-Mechanismen und vorbereitende Maßnahmen einzurichten sind.
* In regelmäßigen Abständen werden die Sicherheits­risiken bewertet und das Register der Sicherheits­risiken aktualisiert. In diesem Register werden die relevanten Sicherheits­risiken benannt, einschließlich der Maßnahmen und Vorkehrungen zur Verminderung der Risiken.
* In regelmäßigen Abständen werden die Sicherheits­risiken bewertet und das Register der Sicherheits­risiken aktualisiert. In diesem Register werden die relevanten Sicherheits­risiken benannt, einschließlich der Maßnahmen und Vorkehrungen zur Verminderung der Risiken.
* Sicherheits­vorkehrungen werden über die Service-Design- und -Erstellungs-Prozesse oder über den Sicherheits-Management-Prozess konzipiert und implementiert. Sicherheits-Betriebs­handbücher stellen Anweisungen für den Betrieb der Sicherheits­vorkehrungen bereit.
* Sicherheits­vorkehrungen werden über die Service-Design- und -Erstellungs-Prozesse oder über den Sicherheits-Management-Prozess konzipiert und implementiert. Sicherheits-Betriebs­handbücher stellen Anweisungen für den Betrieb der Sicherheits­vorkehrungen bereit.
Version vom 12. November 2023, 17:01 Uhr
Vergleich: YaSM und ISO 20000 (ISO/IEC 20000:2018)
Abb. 1: YaSM und ISO/IEC 20000 Prozessmodelle und Dokument-Vorlagen für jede ISO 20000-Anforderung.
Ein wichtiges Ziel bei der Erstellung von YaSM® war es, ein Prozessmodell bereitzustellen, das sich eng an ISO/IEC 20000 (oder kurz 'ISO 20000') orientiert - dem international anerkannten Service-Management-Standard.
Die Zertifizierung gemäß ISO 20000 wird oft angestrebt, weil Organisationen damit den Nachweis erbringen können, dass sie Services auf kundenorientierte, effiziente und effektive Weise erbringen. Das Zertifikat kann somit zu Marketing-Zwecken dienen, oder auch um Zugang zu Kunden zu erhalten, die von ihren Dienstleistern die Zertifizierung nach ISO 20000 zwingend fordern.
ISO 20000 definiert "Anforderungen zum Erstellen, Implementieren, Pflegen und kontinuierlichen Verbessern eines Service-Management-Systems (SMS)".
Um diese Anforderungen zu erfüllen, müssen Organisationen typischer Weise eine Reihe von Service-Management-Prozessen definieren und implementieren, die mit dem Standard konform sind. Aber ISO 20000 schreibt keine bestimmten Prozesse vor und enthält auch keine detaillierten Beschreibungen, die Organisationen als Leitlinien nutzen könnten.
Etwas ausführlichere Hinweise finden sich in den bekannten Service-Management-Frameworks und ‑Methoden wie z. B. ITIL®, CMMI-SVC®, COBIT®, VeriSM™, SIAM™ etc. Manche dieser Frameworks enthalten jedoch nur übersichtsartige Beschreibungen von Service-Management-Prozessen, während andere nicht in allen Bereichen mit ISO 20000 übereinstimmen, insbesondere bezüglich der Anforderungen an das Service-Management-System.
Hieraus ergibt sich die Notwendigkeit für detaillierte Prozess-Beschreibungen, die auf den etablierten Service-Management-Frameworks und ‑Methoden beruhen und gleichzeitig besser an ISO 20000 ausgerichtet sind:
Das YaSM-Prozessmodell enthält solche detaillierten Beschreibungen in Form von grafischen, leicht verständlichen Prozess-Templates. Darüber hinaus stellt YaSM auch Dokument-Templates für die Richtlinien und andere dokumentierte Informationen bereit, die in der Regel für das Zertifizierungs-Audit vorzubereiten sind.
Das YaSM-Modell bietet somit eine Lösung für jede ISO 20000-Anforderung, und die Implementierung der YaSM Service-Management-Prozesse ist ein geradliniger Weg zur Erlangung des ISO 20000-Zertifikats.
ISO 20000-Anforderungen und relevante Service-Management-Prozesse
Da sich YaSM eng an ISO 20000 orientiert, gibt es einen oder mehrere relevante Service-Management-Prozesse zu jedem Abschnitt in ISO/IEC 20000:2018, Teil 1 (Verpflichtende Anforderungen), die in den folgenden Tabellen exemplarisch dargestellt werden:
Die folgende Tabelle enthält nicht die Abschnitte 1 bis 3 von ISO 20000, Teil 1 (die Abschnitte 1 bis 3 behandeln Scope, normative Referenzen sowie Begriffe und Definitionen).
Die Angaben basieren auf ISO/IEC 20000:2018, Teil 1. Eine Zusammenfassung zur neuen Ausgabe des ISO-20000-Standards finden Sie hier:
Eine detaillierte Gegenüberstellung der YaSM Service-Management-Prozesse und jeder einzelnen ISO 20000-Anforderung ist in Form der YaSM - ISO 20000 Bridge erhältlich, einer zusätzlichen Komponente zur YaSM-Prozesslandkarte.
Mit Hilfe der ISO 20000 Bridge können, ausgehend von den im YaSM-Prozessmodell enthaltenen Referenz-Prozessen, ISO-20000-konforme Prozesse für die Organisation entwickelt werden.
Die übergeordnete Service-Management-Richtlinie enthält einen Abschnitt, der die für die Organisation maßgeblichen Faktoren aufzählt. Dazu gehören Angaben zu deren Auswirkungen und zu der Art und Weise, wie diese Faktoren im SMS berücksichtigt werden.
Die Service-Management-Richtlinie enthält eine Übersicht über die interessierten Parteien und deren Anforderungen.
Der Geltungsbereich des SMS ist in der übergeordneten Service-Management-Richtlinie definiert.
Führung
Prozesse für ISO 20000 Abschnitt 5: 'Leadership' (Führung)
Der Prozess für das Einrichten und Pflegen des SMS stellt sicher, dass Richtlinien und Ziele festgelegt werden.
Die Organisation pflegt verschiedene Service-Management-Pläne, insbesondere den strategischen Plan und die Service- und Prozess-Verbesserungspläne.
Verantwortlichkeiten und Befugnisse werden durch die RACI-Matrix zugewiesen (Teil des Prozessmodells)
Die Kontrolle anderer Parteien wird durch den Supplier-Management-Prozess sichergestellt.
Die Anforderungen des SMS werden beim Prozess-Design berücksichtigt, zum Beispiel durch Einbeziehen der Service-Anforderungen und Einbinden des Compliance Managements.
Ressourcen werden z.B. durch das Finanz-Management und das Personalmanagement bereitgestellt.
Regelmäßige Reviews der Prozesse und Services stellen sicher, dass das SMS die angestrebten Ergebnisse erzielt.
Kontinuierliche Verbesserung wird erreicht durch die Prozesse zur Verbesserung der Services und der Service-Management-Prozesse.
Planung
Prozesse für ISO 20000 Abschnitt 6: 'Planning' (Planung)
Die übergeordneten Service-Management-Ziele sind in der Service-Management-Richtlinie festgehalten. Detailliertere Ziele werden z.B. in der Form strategischer Ziele oder Zielvorgaben für Prozesse, Services, Projekte etc. festgelegt.
Die Service-Management-Prozesse, wie durch das Prozessmodell definiert und vorgegeben, stellen sicher, dass die Planungsaktivitäten mit den verschiedenen Elementen des Service-Management-Plans im Einklang sind.
Planungen werden auf verschiedenen Ebenen durchgeführt: Auf strategischer Ebene, auf der Ebene der Services und Prozesse, und weiterhin für individuelle Projekte und Initiativen.
Die Bewertung der Ergebnisse wird sichergestellt, indem z.B. regelmäßige strategische Reviews bzw. Reviews von Services, Prozessen und Projekten durchgeführt werden.
Unterstützung des SMS
Prozesse für ISO 20000 Abschnitt 7: 'Support of the service management system' (Unterstützung des Service-Management-Systems)
Wenn Services oder (Teile des) Service-Management-Systems einzurichten oder zu erweitern sind, werden entsprechende Initiativen geplant und in diesem Zuge auch die benötigten Ressourcen bestimmt. Solche Initiativen werden typischerweise durch den strategischen Plan und die verschiedenen Service- und Prozess-Verbesserungspläne gemanagt.
Kompetenzen werden durch den Personalmanagement-Prozess gemanagt und im Kompetenz-Verzeichnis dokumentiert.
Bewusstsein für die Service-Management-Richtlinien wird erreicht durch Veröffentlichen und Kommunizieren der Richtlinien, zum Beispiel über ein Service-Management-Portal im Intranet.
Bewusstsein für die Liste der Services wird geschaffen, indem das Service-Portfolio in der ganzen Organisation zugänglich gemacht wird.
Das Datenmodell (eine spezielle Sicht im Prozessmodell) bietet eine komplette Übersicht über die im SMS benötigten dokumentierten Informationen.
Betrieb des SMS
Prozesse für ISO 20000 Abschnitt 8: 'Operation of the service management system' (Betrieb des SMS)
Relevante Service-Mgmt.-Prozesse
Anmerkungen
Abschnitt 8.1: 'Operational planning and control' (Betriebliche Planung und Steuerung)
Die Service-Management-Prozesse werden über die Prozessverbesserungs-Pläne geplant und implementiert. Die Definition und Dokumentation der Prozesse erfolgt im Prozessmodell.
Änderungen an den Service-Management-Prozessen und ‑Richtlinien sowie an den Services werden durch den Change-Management-Prozess kontrolliert.
Outgesourcte Services und Prozesse werden durch den Supplier-Management-Prozess gesteuert. Dies schließt das Spezifizieren von Anforderungen für Service Supplier mit ein, so dass diese mit den Anforderungen an das SMS im Einklang sind.
Beschreibungen der Services, deren Zweck und die angestrebten Ergebnisse sind im Service-Portfolio und den Service-Definitionen aufgeführt.
Service-Kataloge sind spezifische Sichten auf das Service-Portfolio für bestimmte Kunden und Benutzer.
Service-Anforderungen werden während des Service-Designs bestimmt und in den Service-Definitionen dokumentiert.
Vorschläge für Änderungen an den Services können aus unterschiedlichen Prozessen hervorgehen, z.B. aus dem strategischen Prozess, aus dem Kundenbeziehungs-Management oder aus der Service-Verbesserung.
Die CI-Typen, für die Konfigurations-Informationen verwaltet werden, sind im Konfigurations-Modell definiert.
Konfigurations-Informationen werden als Configuration Item (CI) Records aufgezeichnet, wie im Konfigurations-Modell spezifiziert. Konfigurations-Informationen werden in der Regel in einer Datenbank gespeichert, so dass der Zugang gesteuert werden kann. Auf diese Art und Weise wird auch die Nachverfolgbarkeit von Änderungen an den Konfigurationsinformationen sichergestellt.
Die Attribute, die für jedes CI zu erfassen sind, sind im Konfigurations-Modell spezifiziert.
Abschnitt 8.3: 'Relationship and agreement' (Relationship und Agreement)
Regelmäßige Kommunikation mit den Kunden, insbesondere durch Kundengespräche und Umfragen, gewährleisten, dass die Organisation stets über neue oder geänderte Service-Anforderungen auf einem aktuellen Stand ist.
Anforderungen aus Kundensicht sind ein entscheidender Input beim Definieren der Services im Service-Design und in der kontinuierlichen Service-Verbesserung.
Der Kundenbeziehungs-Prozess umfasst Aktivitäten für das Erfassen, Untersuchen und Lösen von Kundenbeschwerden.
Die Service-Eigenschaften, einschließlich der Service-Level-Ziele, sind in den Service-Definitionen spezifiziert.
Der Service-Betriebs-Prozess vergleicht laufend die vereinbarten mit den tatsächlich erreichten Service Levels und erstellt Service-Qualitäts-Berichte.
Jedem Supplier wird ein Supplier-Manager zugeordnet, wie im Lieferanten-Portfolio dokumentiert.
Die Eigenschaften der zu erbringenden Services sowie die Befugnisse und Verantwortlichkeiten der Vertragsparteien sind in externen Servicevereinbarungen und den dazugehörigen Servicedefinitionen spezifiziert.
Abschnitt 8.4: 'Supply and demand' (Angebot und Nachfrage)
Die Kosten werden über das Finanz-Budget und Budget-Anfragen budgetiert und kontrolliert.
Regelmäßige Finanzberichte beleuchten die tatsächlichen Kosten für das Erbringen der Services. Diese Berichte sind eine wichtige Grundlage für das Erstellen von finanziellen Prognosen und das Planen von Budgets.
Die vom Finanz-Management bereitgestellten Berichte unterstützen das Treffen fundierter Entscheidungen bezüglich der Services.
Die Nachfrage nach Services und Kapazitäts-Anforderungen werden bestimmt, wenn neue oder geänderte Services spezifiziert werden.
Im Service-Betriebs-Prozess werden regelmäßig Service-Qualitätsberichte erstellt, die Informationen über die Kapazitäts-Nutzung und über Trends im Service-Verbrauch enthalten.
Die zukünftige Nachfrage nach Services wird auf unterschiedliche Art und Weise bestimmt, z.B. im Zuge von strategischen Assessments, Service-Reviews oder Kundengesprächen. Änderungen an der Service-Kapazität können über den Service-Verbesserungsplan gemanagt werden.
Abschnitt 8.5: 'Service design, build and transition' (Service Design, Build und Transition)
Elemente, die der Kontrolle des Change-Managements unterliegen, Change-Kategorien und Kriterien für die Bestimmung von Risikostufen sind in der Change-Richtlinie definiert. Die Art und Weise, wie Changes gemanagt werden, ist im Prozessmodell beschrieben, das eine detaillierte Definition des Change-Management-Prozesses enthält.
Die Gesichtspunkte, die bei der Bewertung vorgeschlagener Changes zu berücksichtigen sind, sind in der Change-Richtlinie spezifiziert. Die Fakten und Argumente, aufgrund derer ein Change freigegeben oder zurückgewiesen wird, werden in den Change Records dokumentiert.
Änderungsbedarf bei Ressourcen und Kompetenzen wird während des Service-Designs ermittelt und im Service-Implementierungs-Konzept dokumentiert.
Die relevanten Service-Definitionen werden während des Service-Designs aktualisiert. Falls erforderlich, werden die Kunden- und betrieblichen Service-Vereinbarungen im Zuge der Service-Implementierung aktualisiert, so dass sie im Einklang mit den geänderten Service-Vereinbarungen sind.
Services werden erstellt gemäß den Spezifikationen in den Service-Definitionen, den Anforderungs-Spezifikationen und den Service-Implementierungs-Konzepten. Der Service-Erstellungs-Prozess umfasst Aktivitäten zum Erstellen von Testfällen und Durchführen von Tests, um zu überprüfen, ob alle Service-Komponenten erfolgreich ausgerollt wurden. Je nach Ergebnis der Überprüfung werden ggf. korrigierende Maßnahmen eingeleitet.
Abschnitt 8.6: 'Resolution and fulfilment' (Resolution und Fulfilment)
Incidents werden im Incident-Management-Prozess gemanagt und in Incident Records dokumentiert.
Die zur Lösung von Incidents ergriffenen Maßnahmen werden in Incident Records dokumentiert.
Service Requests werden im Service-Request-Prozess gemanagt und in Service Request Records dokumentiert.
Die zur Lösung von Service Requests ergriffenen Maßnahmen werden in Service Request Records dokumentiert.
Der Problem-Management-Prozess führt Daten- und Trendanalysen durch, um Problems aufzudecken. Identifizierte Ursachen und Lösungen werden in Problem Records dokumentiert.
Falls möglich, identifiziert das Problem-Management temporäre Umgehungslösungen (Workarounds) und dokumentiert diese in den Problem Records. Ggf. werden Incident-Modelle für die Support-Mitarbeiter zur Verfügung gestellt, die detaillierte Anweisungen für die Anwendung der Workarounds zur Lösung bestimmter Arten von Incidents enthalten.
Known Errors werden in Problem Records mit identifizierten Ursachen und Workarounds dokumentiert.
Anforderungen an die Serviceverfügbarkeit und die Verfügbarkeitsziele sind in den Service-Definitionen festgelegt, die den Kunden-Servicevereinbarungen als Anlagen hinzugefügt werden. In den Service-Implementierungs-Konzepten, die während der Service-Design-Phase erstellt werden, ist beschrieben, mit welchen technischen und sonstigen Maßnahmen die Serviceverfügbarkeit sichergestellt wird.
Während des Service-Betriebs wird die Serviceverfügbarkeit überwacht und in Service-Qualitätsberichten dokumentiert. Wenn die Verfügbarkeitsziele verfehlt werden, wird der Service-Verbesserungs-Prozess die Risiken in Bezug auf die Verfügbarkeit der Services neu bewerten und ggf. korrigierende Maßnahmen einleiten.
Anforderungen an die Servicekontinuität sind in den Service-Definitionen festgelegt, die den Kunden-Servicevereinbarungen als Anlagen hinzugefügt werden.
Der Prozess für das Gewährleisten der Service-Kontinuität führt regelmäßige Bewertungen der Risiken in Bezug auf die Service Continuity durch und pflegt ein Register der kritischen Ereignisse, für die Kontinuitäts-Mechanismen und vorbereitende Maßnahmen einzurichten sind.
In regelmäßigen Abständen werden die Sicherheitsrisiken bewertet und das Register der Sicherheitsrisiken aktualisiert. In diesem Register werden die relevanten Sicherheitsrisiken benannt, einschließlich der Maßnahmen und Vorkehrungen zur Verminderung der Risiken.
Sicherheitsvorkehrungen werden über die Service-Design- und -Erstellungs-Prozesse oder über den Sicherheits-Management-Prozess konzipiert und implementiert. Sicherheits-Betriebshandbücher stellen Anweisungen für den Betrieb der Sicherheitsvorkehrungen bereit.
Evaluieren der Performance
Prozesse für ISO 20000 Abschnitt 9: 'Performance Evaluation' (Evaluieren der Performance)
Die Service Levels und ihre Zielwerte werden während des Service-Designs in den Service-Definitionen spezifiziert.
Überwachung und Messung der Services erfolgen auf der Grundlage der Service Levels.
Die Services werden im Zuge der Service-Reviews gegen die Service-Anforderungen evaluiert.
Prozess-Kennzahlen werden während des Prozess-Designs definiert.
Effektivität und Performance des SMS werden im Rahmen der regelmäßigen Prozess-Reviews evaluiert.
Überwachung und Messung der Service-Management-Prozesse erfolgen auf Basis von Prozess-Kennzahlen.
Die Service- bzw. Prozess-Betriebshandbücher enthalten Anweisungen für das Überwachen und Messen. Dort ist auch festgelegt, wann Service- und Prozess-Reviews durchzuführen sind.
Management-Reviews werden in regelmäßigen Intervallen in der Form strategischer Assessments durchgeführt. Die kontinuierliche Angemessenheit des Service-Management-Systems und der Services wird auch durch regelmäßige Service- und Prozess-Reviews gewährleistet.
Verbesserungen
Prozesse für ISO 20000 Abschnitt 10: 'Improvement' (Verbesserungen)
Mängel werden während Service- und Prozess-Reviews identifiziert. Wenn korrigierende Maßnahmen erforderlich sind, werden die entsprechenden Verbesserungs-Initiativen z.B. über die Service- und Prozess-Verbesserungspläne gemanagt.
Weiterhin überprüft der Compliance-Management-Prozess in regelmäßigen Abständen die Einhaltung von Standards und Regulierungen. Wenn korrigierende Maßnahmen erforderlich sind, werden diese eingeleitet.
Bewertungskriterien für potentielle Service- und Prozess-Verbesserungen sind in den Service-Management-Richtlinien spezifiziert.
Verbesserungs-Initiativen werden nur genehmigt, wenn diese mit klar definierten und messbaren Zielen und einem Business Case zur Freigabe vorgelegt werden.
[ISO, 2018] International Organization for Standardization: ISO/IEC 20000-1:2018, Information technology - Service management - Part 1: Service management system requirements. - Geneva, Switzerland, September 2018.