La certificazione ISO/IEC 20000-1:2005: casi pratici



Documenti analoghi
La Certificazione di qualità in accordo alla norma UNI EN ISO 9001:2000

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

1- Corso di IT Strategy

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

Qualità è il grado in cui un insieme di caratteristiche intrinseche soddisfa i requisiti (UNI EN ISO 9000:2005)

CEPAS Viale di Val Fiorita, Roma Tel Fax: scrivi_a@cepas.it Sito internet:

MANUALE DELLA QUALITÀ Pag. 1 di 6

Sviluppo Sistemi Qualit à nella Cooperazione di Abitazione

Diventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER ESPERTI IN MARKETING & COMUNICAZIONE

SCHEMA REQUISITI PER LA QUALIFICAZIONE DEI CORSI DI FORMAZIONE PER FOOD SAFETY AUDITOR / LEAD AUDITOR

SISTEMA DI GESTIONE AMBIENTALE

DELIBERA. Art. 1. Requisiti di Accreditamento

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

SISTEMA DI GESTIONE INTEGRATO. Audit

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

Documento in attesa di approvazione definitiva Nota per la Commissione Consultiva Permanente

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR / RESPONSABILE GRUPPO DI AUDIT DI SISTEMI DI GESTIONE FORESTALE

ISO/IEC : 2005 per i Laboratori di Prova

La gestione della qualità nelle aziende aerospaziali

La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in

Il Sistema di Gestione per la Qualità nelle RSA. Principi metodologici della consulenza

PASSAGGIO ALLA ISO 9000:2000 LA GESTIONE DELLE PICCOLE AZIENDE IN OTTICA VISION

3. APPLICABILITÀ La presente procedura si applica nell organizzazione dell attività di Alac SpA.

visto il trattato sul funzionamento dell Unione europea,

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

QUESTIONARIO 3: MATURITA ORGANIZZATIVA

Linea 4. Accompagnamento alla certificazione di Qualità. - Documento operativo preliminare: struttura e attività previste -

CORSO: Auditor interni di servizi per l apprendimento relativi all istruzione ed alla formazione non formale

PIANO ESECUTIVO DI GESTIONE - VERIFICA FINALE

Progetto Atipico. Partners

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI SISTEMI DI GESTIONE DELL ENERGIA (S.G.E.)

Politica per la Sicurezza

LA CERTIFICAZIONE. Dr.ssa Eletta Cavedoni Responsabile Qualità Cosmolab srl Tortona

QUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE

ISO 9001:2015 e ISO 14001:2015

SCHEMA REQUISITI PER LA QUALIFICAZIONE DEI CORSI DI FORMAZIONE PER AUDITOR/LEAD AUDITOR QUALITA /AMBIENTE

DIREZIONE SISTEMI INFORMATIVI PASCUZZI FRANCESCA. Descrizione dettagliata dell'obiettivo

Appendice III. Competenza e definizione della competenza

Effettuare gli audit interni

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

AZIENDA SANITARIA LOCALE TO1 - SC MEDICINA LEGALE - OBITORIO CIVICO

Norme per l organizzazione - ISO serie 9000

OHSAS 18001:2007 Sistemi di Gestione della Sicurezza e della Salute sul Lavoro

LIFE09ENVIT EnvironmentalCOoperation model for Cluster - Acronimo: ECO-CLUSTER

IL SISTEMA DI GESTIONE AMBIENTALE PER UN COMUNE

S.A.C. Società Aeroporto Catania S.p.A.

Download. Informazioni F.A.Q. Link. 1 di 5 27/12/ Lo strumento DOCET

Sistemi Qualità Certificazione ISO9001

PARTNER DI PROGETTO. Università degli Studi di Palermo Dipartimento di Ingegneria Industriale

Gli 8 principi della Qualità

SCELTA DELL APPROCCIO. A corredo delle linee guida per l autovalutazione e il miglioramento

BS OHSAS 18001:2007 OHSAS Revisione marzo Sara Zullo (Firma) Preparato da

Certificazione ISO Il sistema di gestione per la qualità

Qualità UNI EN ISO Ambiente UNI EN ISO Registrazione EMAS. Emission trading. Sicurezza BS OHSAS 18001:2007

lcertificare il Sistema di Gestione per la Qualità Certificazione dei Sistemi di Gestione per la Qualità (Norma UNI EN ISO 9001:2008)

SCHEMA REQUISITI PER LA QUALIFICAZIONE DEI CORSI DI FORMAZIONE PER SAFETY AUDITOR/LEAD AUDITOR

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

INFORMAZIONE FORMAZIONE E CONSULENZA. benchmark ingbenchmarking benchmarkingbench marking

CERTIFICAZIONE DI QUALITA

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

Ridurre i rischi. Ridurre i costi. Migliorare i risultati.

Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive

NUMERICA RISK STP FUNZIONI FONDAMENTALI SII

Firenze 19-Giugno-07 Il ruolo degli Enti di Certificazione

MANDATO INTERNAL AUDIT

Procedura di gestione delle verifiche ispettive interne < PQ 03 >

Norma ISO appunti alle lezioni - a.a prof. V. Vaccari 68

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Sistema di Gestione Integrata Qualità/Ambiente/Sicurezza Doc.3 Politiche aziendale. Qualità/Ambiente

Audit & Sicurezza Informatica. Linee di servizio

Qualification Program in Information Security Management according to ISO/IEC Cesare Gallotti Milano, 23 gennaio 2009

Corso formazione su Sistema di gestione della qualità. Standard ISO 9001:2000/2008 Vision 2000

Funzione dell Ente di Accreditamento

I SISTEMI DI GESTIONE DELLA SICUREZZA

Associazione Italiana Information Systems Auditors

BILANCIARSI - Formazione e Consulenza per la legalità e la sostenibilità delle Organizzazioni

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR DI S.G.Q. NEL SETTORE COSTRUZIONI E IMPIANTI

Corso di Amministrazione di Sistema Parte I ITIL 1

Modello dei controlli di secondo e terzo livello

Bureau Veritas. 23 gennaio Maurizio Giangreco (Team Leader Qualità) For the benefit of business and people

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

La certificazione ISO 9001:2000 nelle scuole

Presentazione Formazione Professionale

Manuale della qualità. Procedure. Istruzioni operative

Informazioni sulla FSMA. (Legge per la modernizzazione della sicurezza alimentare) Proposta di legge sull accreditamento di auditor terzi

MODALITÀ E CRITERI PER IL RINNOVO DELLA CERTIFICAZIONE NEL SETTORE SECURITY

ACCREDIA L ENTE ITALIANO DI ACCREDITAMENTO

ALLEGATO TECNICO PER L ACCREDITAMENTO DEGLI ORGANISMI DI FORMAZIONE CERTIFICATI

Security Network. Certificazione dei. istituti di vigilanza. Certificazione delle centrali operative e di telesorveglianza

Il Regolamento REACh e la Check Compliance: proposta di Linee Guida

Corso per la qualifica di Auditor Interno su Sistemi di Gestione per la Qualità ISO 9001 nel Settore Agroalimentare

MANDATO DI AUDIT DI GRUPPO

L integrazione dei sistemi qualità, sicurezza, ambiente

Transcript:

La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002 a livello internazionale) individua i requisiti che un Service Provider deve soddisfare per erogare servizi IT ad un livello di qualità atteso dai clienti. E possibile dimostrare la conformità ai requisiti di questa norma attraverso un percorso di certificazione. Lo schema di certificazione ISO/IEC 20000-1 è gestito dall itsmf (IT Service Management Forum; www.itsmf.org) che garantisce l indipendenza e correttezza del processo di verifica rispetto alla ISO/IEC 20000, attraverso la pubblicazione dei regolamenti di certificazione e il controllo degli organismi che effettuano le verifiche (Registered Certification Body). itsmf è l unico organismo attualmente riconosciuto a livello internazionale con questo ruolo. A fine luglio 2007, DNV ha rilasciato in Italia, a T.S.F. Tele Sistemi Ferroviari S. p. A., il primo certificato ISO/IEC 20000-1:2005 riconosciuto da itsmf. Nel corso dell ultimo anno, inoltre, DNV Italia ha condotto presso altre aziende delle attività di assessment rispetto alla ISO/IEC 20000, senza finalità di certificazione. Questo articolo vuole rendere conto delle esperienze maturate da DNV Italia, oltre ad illustrare il percorso di certificazione che DNV Italia offre alle aziende interessate. 1 Il riconoscimento itsmf DNV Italia, per dare la giusta importanza alle certificazioni ISO/IEC 20000 ha deciso di operare all interno dello schema di certificazione di itsmf. Per questo, è stato deciso di seguire i regolamenti pubblicati che stabiliscono, tra gli altri, i criteri di conduzione delle verifiche, di qualifica degli auditor e di gestione dei rapporti con i clienti. Per gestire i rapporti con itsmf, DNV Italia ha chiesto il supporto della filiale di DNV UK, che è stato uno dei primi Organismi di Certificazione accreditati presso ITSMf. Nell ambito dei rapporti tra Italia e UK, un Lead Auditor inglese ha partecipato ad alcune verifiche, condotte da auditor italiani, al fine di qualificare i team di verifica e supportarli nella conduzione nella conduzione delle verifiche e per garantire un approccio omogeneo e allineato a livello internazionale nella interpretazione dello standard. 2 Le modalità di audit di DNV Italia Conformemente alle specifiche di ITSMf e sulla base dell esperienza maturata nell ambito di altri schemi di certificazione (i più noti sono quelli ISO 9001 e ISO/IEC 27001), DNV Italia propone un percorso di certificazione strutturato su almeno tre passi: 1) Verifica Documentale, che ha l obiettivo di valutare al conformità del sistema documentale ai requisiti dello standard. 2) Verifica Preliminare, che ha l obiettivo di ottenere un overview sui requisiti utili a condurre la verifica di certificazione e comprendere il grado di implementazione degli stessi. 3) Verifica di Certificazione, che ha l obiettivo di focalizzarsi sulla conformità ai requisiti dello standard e la loro efficace implementazione

A questi passi può essere aggiunta un attività di preassessment precedente l avvio del processo di certificazione: tale attività mira a determinare il grado di preparazione dell organizzazione alle attività di certificazione. L impegno necessario per stimare le attività di verifica, è calcolato sulla base di tabelle stabilite da itsmf, tenendo conto anche del numero di sedi coinvolte nel perimetro di certificazione, della complessità dei servizi oggetto di verifica, della presenza di eventuali altri certificati intestati all azienda. Successivamente al conseguimento del certificato, la validità dello stesso è associata all effettuazione di attività di verifica periodica, per verificare se l IT Service Management System continua ad essere conforme ai requisiti della ISO/IEC 20000-1. Le date di verifica sono sempre concordate in anticipo con l azienda. 2.1 Pre-assessment Questa verifica ha l obiettivo di fornire all azienda che vuole conseguire la certificazione ISO/IEC 20000-1:2005 una misura del proprio stato di conformità rispetto ai requisiti dello standard. Le attività di audit, in generale, comprendono un analisi del sistema documentale e un campionamento sulle attività e sui processi essenziali per il Service Management. In questo modo, l auditor può comprendere ad esempio quali strumenti sono utilizzati e come contribuiscono al controllo dei servizi. Al termine della attività, è emesso un rapporto con i risultati della verifica. 2.2 Verifica della documentazione Questa attività è svolta presso l azienda stessa, con il supporto del personale aziendale. Viene verificato che l azienda abbia sviluppato una documentazione di sistema conforme ai requisiti dello standard, in particolare per quanto riguarda le politiche del Service Management, le procedure e la descrizione dei processi oggetto di verifica. In questa occasione sono riesaminati i servizi o le classi di servizi che si vogliono certificare e viene valutato dall auditor se l azienda ne ha il pieno controllo gestionale, secondo i regolamenti di certificazione di itsmf. Nel corso della valutazione della documentazione verrà definito il campo di applicazione, ossia la dicitura presente sul certificato che indica i servizi o le classi di servizio oggetto del Service Management. Lo Scopo di certificazione potrà essere revisionato nelle successive verifiche, a seguito di considerazioni da parte dell azienda. Al termine di questa fase, il Lead Auditor illustra e condivide con i rappresentanti dell azienda le eventuali carenze riscontrate. 2.3 Visita preliminare Sono analizzate le caratteristiche dei siti, dei processi, dei sistemi e delle reti informatiche a supporto del Service Management, nonché della completezza e coerenza dei piani di miglioramento e dei report richiesti dallo standard. Come sempre, al termine della visita, il Lead Auditor illustra e condivide con i rappresentanti dell azienda gli eventuali rilievi riscontrati e, se l azienda è pronta per la Verifica Iniziale, prepara un piano per tale verifica, utile a garantire la disponibilità del personale da contattare per le attività di verifica. E possibile condurre congiuntamente la Verifica della documentazione e la Verifica Preliminare.

2.4 Visita iniziale Sono analizzate nel dettaglio le modalità con cui l azienda soddisfa i requisiti della ISO/IEC 20000-1:2005, e della documentazione del sistema (processi, procedure, istruzioni) ovvero l Azienda sottoposta a verifica è tenuta a dimostrare sul campo l effettiva ed efficace applicazione di ciò che ha formalizzato. Requisito per poter affrontare tale verifica è quello di avere registrazioni attestanti l utilizzo dell IT Service Management System da almeno tre mesi, dalla data di verifica. Sono inoltre verificate le interfacce tra i vari processi, il livello di sensibilizzazione del personale, il coinvolgimento della Direzione nel mantenimento dell IT Service Management. Al termine della visita, il Lead Auditor illustra e condivide con i rappresentanti dell azienda gli eventuali rilievi riscontrati e, se non sono state riscontrate gravi mancanze, l auditor propone al comitato di certificazione di DNV la richiesta per l emissione del certificato. Nel caso siano state riscontrate gravi mancanze (Non Conformità maggiori), dovrà essere svolta una verifica di chiusura delle non conformità per permettere all auditor di verificare l efficace implementazione delle azioni correttive e solo successivamente all esisto positivo di tale verifica sarà proposta l emissione del certificato. 3 Le attività di verifica svolte Le attività che, ad oggi, DNV Italia ha svoltosono state pre-assessment, assessment mirato sulla coerenza di alcuni processi ai requisiti dello standard, e nel caso di TSF, attività di certificazione. Gli esempi raccolti sono trattati nei successivi paragrafi. 3.1 Scopo di certificazione e eligibility Un argomento molto delicato per la certificazione ISO/IEC 20000-1:2005 riguarda la scelta dei servizi da certificare e, conseguentemente, il campo di applicazione da riportare sul certificato. Per la ISO/IEC 20000-1:2005, ITSMf ha emanato delle linee guida sulla idoneità alla certificazione di un azienda. Queste linee guida richiedono esplicitamente che l azienda dimostri di controllare tutti i processi descritti dalla norma, inclusi eventuali processi esternalizzati, in particolare per quanto riguarda la loro definizione, la definizione degli elementi di input e degli output. I casi sin qui analizzati riguardano servizi erogati da outsourcer, piuttosto che servizi che un organizzazione eroga per i propri clienti interni. Questo ha portato a individuare come servizi da certificare quelli di gestione dell infrastruttura IT a supporto dei servizi di business. In altre parole, i servizi sottoposti a certificazione non sono stati quelli verticali (come potrebbero essere un sistema di fatturazione o un sistema di controllo del traffico ferroviario), ma quelli orizzontali a loro supporto. Infatti, per i servizi verticali, viene esercitato un forte controllo da parte dei clienti. In particolare, per TSF, il campo di applicazione del certificato è: The IT service management system for delivery and support of IT infrastructure, networking, management of applications and support of Call Centre Service Desk. Le attività di pre-assessment, nei casi in cui è stata coinvolta DNV, sono state utili ai clienti per meglio indirizzare il campo di applicazione del certificato, rispetto a quello inizialmente definito. I risultati di tali attività, infatti, hanno messo in luce alcune carenze in merito al controllo completo di alcuni processi (perché condizionati dai clienti) di gestione dei servizi verticali, contrariamente a quanto emerso considerando i servizi orizzontali.

3.2 Sistema Qualità Le aziende sin qui verificate disponevano di un Sistema Qualità certificato rispetto alla ISO 9001:2000. Questo ha semplificato molto le attività di implementazione dei requisiti per l IT Service Management System, dato che erano ben consolidati la cultura del miglioramento continuo, il ciclo Plan-Do-Check-Act, l approccio strutturato per processi, il sistema documentale, l orientamento verso la soddisfazione dei clienti. L approccio per processi è molto importante per la ISO/IEC 20000-1:2005, dato che ciascun processo descritto deve comunicare con altri e tali comunicazioni devono essere ben definite e gestite. A titolo di esempio, anche durante la verifica presso TSF è stato verificato come il processo di Incident Management comunicasse con il processo di Problem Management, e come questi interagivano con i processi di Change Management e di Release Management. 3.3 Benefici Le verifiche effettuate hanno permesso al DNV Italia di raccogliere nelle aziende i pareri di tutto il personale coinvolto nell ambito della certificazione, dalla Direzione ai responsabili fino ai tecnici. Per i vertici aziendali, la realizzazione di un ITSMS ha avuto come beneficio l introduzione di strumenti che hanno migliorato, in termini di efficacia, affidabilità e trasparenza, l IT Governance. Inoltre, la ISO/IEC 20000-1:2005 richiede la realizzazione di processi ben definiti per gestire le relazioni con i clienti e, nei casi analizzati, questo ha portato ad un aumento di fiducia degli stessi con conseguenti benefici. La messa in opera del IT Service Management System ha portato infatti le aziende ad introdurre metodologie di realizzazione dei progetti più in linea con le esigenze aziendali: individuazione delle responsabilità, chiarezza dei deliverable attesi e delle tempistiche, affidabilità delle previsioni di costo e di risorse (umane e materiali) da impegnare, completezza dei dati di performance da utilizzare per le successive analisi finalizzate al miglioramento. Lo standard richiede esplicitamente l orientamento all efficienza, richiedendo misurazioni, controllo degli SLAs, processi di budgeting e accounting interrelati con i processi di manutenzione (evolutiva, adattativa e correttiva) dell infrastruttura, l individuazione e la gestione dei rischi di business e di sicurezza. La completezza dei dati di performance, determinata dalla efficace messa in opera dei processi descritti dalla ISO/IEC 20000-1:2005, ha avuto ulteriori impatti positivi sui processi decisionali: - trasparenza nella giustificazione dell utilizzo di attività in outsourcing (make or buy) - efficace gestione delle risorse (IT e non), ad esempio rendendole disponibili solo quando necessarie. - aumentata capacità di gestione e controllo dei fornitori Dal punto di vista del personale tecnico, si è visto come la cultura di servizio ha stimolato la partecipazione e la responsabilizzazione, anche attraverso la comprensione delle necessità del cliente e dell utilizzatore finale dei servizi. Da una parte, l organizzazione dei flussi di comunicazione secondo quanto prescritto dalla ISO/IEC 20000 ha portato ad una riduzione delle inefficienze, dei ricicli di lavorazione e degli incidenti, che sono sempre all origine di forti spese. Dall altra parte, la norma richiede un elevato controllo degli asset e dei costi, considerando anche quelli generali; la messa in opera di questi

processi di controllo ha reso evidenti delle aree di riduzione dei costi e di efficientamento, nonché l allineamento dei contratti agli impegni economici effettivi. 4 Riferimenti Sito ufficiale della certificazione ISO/IEC 20000: http://www.isoiec20000certification.com Sito ufficiale dell itsmf: http://www.itsmf.org Sito DNV Italia: http://www.dnv.it Sito DNV corporate: http://www.dnv.com Conclusioni ***** Cesare Gallotti, ICT Schemes Responsible per l organismo di certificazione Det Norske Veritas (www.dnv.it), è Lead Auditor ISO 27001 (accreditato CEPAS) e ISO 9001, è Certified Information System Auditor (CISA). Fabrizio Monteleone, ICT Sector Market Manager per l organismo di certificazione Det Norske Veritas (www.dnv.it), è Lead Auditor ISO 27001 (accreditato CEPAS) e ISO 9001. Nota: questo articolo è di proprietà di DNV Italia e potrà essere pubblicato purché ne venga segnalata l origine e l autore.

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back