A3 1 Processi di Gestione Sistemi ICT V13.ppt [modalitÃ ...€¦ · &rph q frvwuxlwr grfxphqwdwr...

A3_1 V1.3

Processi di Gestione dei Sistemi ICT

Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale e per supporto a lezioni universitarie.Ogni altro uso è riservato, e deve essere preventivamente autorizzato dall’ autore.

Sono graditi commenti o suggerimenti per il miglioramento del materiale

GESTIONE DEI SISTEMI ICT

Paolo Salvaneschi

Università di BergamoDip. di Ingegneria gestionale, dell'informazione e della produzione

INDICE

A3 – Processi gestione ICT Paolo Salvaneschi 2

• Relazione tra governo e gestione

• Processi

• Standard di riferimento

• I processi che esaminiamo

• Orientamento al servizio

Relazioni tra governo e gestione

A1 – Governo sistemi ICT Paolo Salvaneschi 3

ISO/IEC 38500:2008

Governo

Gestione

Interfaccia


A2 – Strutture organizzative Paolo Salvaneschi 4

• Allineamento al business

• Nei Sistemi Informativi:– Relazione tra il top management e l’IT

– Relazione tra la Direzione IT e le Direzioni Business

• Nelle Software / System House:– Relazione tra la Direzione e le strutture operative




– Stabilire gli obiettivi del business

– Tradurre gli obiettivi del business in obiettivi dell’IT

– Identificare e organizzare adeguati processi IT

– Generare piani di azione, vincoli e costi condivisi




– Rendere visibili e comprensibili le attività al management

– Fornire misure sull’andamento dei piani

– Generare informazioni utili alla gestione degli eventi imprevisti e dei rischi

– Fornire misure e valutazioni sulla qualità dei processi




– Condividere obiettivi e punti di vista

– Stabilire una comprensione condivisa dei processi in atto basata su un linguaggio comune

– Scambiare informazioni e supporto

NOTA: Importanza di costruire-- Non solo piani, processi, misure,….-- Ma anche comportamenti condivisi (i principi

dello standard ISO/IEC 38500:2008)

Processi


ISO/IEC 38500:2008

Gestione

Interfaccia

Processi


• Quali processi?

• Come gestire?– Definire e organizzare i processi

– Definire obiettivi

– Misurare

– Retroagire

• Riferimenti normativi

• Molte norme/ guide: COBIT, ITIL, ISO 9001, ISO12207, ……

Processi


• Norme/ guide:

‒ COBIT Framework gestionale

‒ ITIL Servizi

‒ ISO 9001:2008 Sistema qualità

‒ ISO/IEC 12207:2008 Processi software

‒ ISO/IEC 15504 Maturità

‒ ISO 27001Security

‒ …..

A3 – Processi gestione ICT Paolo Salvaneschi

Standard di riferimento

• COBIT

Control Objectives for

Information and related

Technology

http://www.isaca.org/Knowledge-Center/cobit/

11


• Modello (framework) per il governo e la gestione dell’ICT creato nel 1992 da:– Associazione americana degli auditor dei sistemi informativi:

Information Systems Audit and Control Association - ISACA

https://www.isaca.org

– Istituto indipendente senza scopo di lucro: IT Governance Institute (ITGI)

http://www.itgi.org/


COBIT

12


• Modello orientato ai processi

per il governo e la gestione dell’IT

• E’ un tool adatto per:– Business management

– IT management

– IT process managers

– IT Auditors

• Fornisce good practices

• È principalmente focalizzato sugli aspetti di controllo dei processi piuttosto che sugli aspetti operativi.


COBIT

13



• Il punto di vista CHE ADOTTIAMO:

• COBIT è utilizzato come framework entro cui ospitare altri standard che dettagliano gli aspetti operativi di specifici processi

14



COBIT FrameworkGuida per l’audit Guida per il management

senza indicazioni operative

ITILISO 9001

ISO 12207ISO 27001 ISO 15504

Standard operativi per specifici processiProcessassessment

15

ISO/IEC 38500:2008Governo

Gestione


• COBIT Identifica 34 Processi IT appartenenti a 4 aree– Pianificazione e Organizzazione (PO)

– Acquisizione e Implementazione (AI)

– Erogazione e Supporto (DS)

– Monitoraggio e Valutazione (ME)


COBIT

16


• Pianificazione e Organizzazione (PO)– PO1 Definire un Piano Strategico per l'IT

– PO2 Definire l’architettura informatica

– PO3 Definire gli indirizzi tecnologici

– PO4 Definire i processi, l’organizzazione e le relazioni dell’IT

– PO5 Gestire gli investimenti IT

– PO6 Comunicare gli obiettivi e gli orientamenti della direzione

– PO7 Gestire le risorse umane dell’IT

– PO8 Gestire la Qualità

– PO9 Valutare e Gestire i Rischi Informatici

– PO10 Gestire i Progetti


COBIT

17


• Acquisizione e Implementazione (AI)– AI1 Identificare soluzioni automatizzate

– AI2 Acquisire e mantenere il software applicativo

– AI3 Acquisire e mantenere l’infrastruttura tecnologica

– AI4 Permettere il funzionamento e l’uso

– AI5 Approvvigionamento delle risorse IT

– AI6 Gestire le modifiche

– AI7 Installare e certificare soluzioni e modifiche


COBIT

18


• Erogazione e Supporto (DS)– DS1 Definire e gestire i livelli di servizio

– DS2 Gestire i servizi di terze parti

– DS3 Gestire le prestazioni e la capacità produttiva

– DS4 Assicurare la continuità di servizio

– DS5 Garantire la sicurezza dei sistemi

– DS6 Identificare e attribuire i costi

– DS7 Formare e addestrare gli utenti

– DS8 Gestione del Service Desk e degli incidenti

– DS9 Gestione della configurazione

– DS10 Gestione dei problemi

– DS11 Gestione dei dati

– DS12 Gestione dell’ambiente fisico

– DS13 Gestione delle operazioni


COBIT

19


• Monitoraggio e Valutazione (ME)– ME1 Monitorare e valutare le prestazioni dell’IT

– ME2 Monitorare e valutare i controlli interni

– ME3 Assicurare la conformità alla normativa

– ME4 Istituzione dell’IT Governance


• Per ogni processo COBIT fornisce (esempio)………….

COBIT

20

A3 – Processi gestione ICT

Paolo Salvaneschi


COBIT

21


Paolo Salvaneschi


COBIT

22


Paolo Salvaneschi

COBIT


23

Responsible - Chi è responsabile di fare…Accountable - Chi, alla fine deve rendere conto di…


Paolo Salvaneschi

COBIT


24


Paolo Salvaneschi

COBIT


25


• COBIT è uno strumento di aiuto alla comprensione e gestione dell’IT da parte di tutte le parti interessate (direzione generale, auditors, direzione IT) – un linguaggio comune

• Non contiene guide operative per la costruzione di specifici processi

• Non è uno strumento per la certificazione• Non è uno strumento per la valutazione di

maturità dei processi


COBIT

26


• ITIL V2– Service delivery (certificazione ISO 20000)– Service support (certificazione ISO 20000)– ICT Infrastructure Management– Application Management– Security Management– Planning to Implement Service Management– The Business Perspective

• ITIL V3 (2007)Inclusione dei contenuti V2 in un ciclo di vita: strategia, progettazione, transizione, operatività e miglioramento dei servizi


ITIL

27


• ITIL ® (IT Infrastructure Library) provides a framework of “best practice” guidance for IT Service Management


28


• Service delivery


ITIL ®

29


• Service support


ITIL ®

30


• ICT Infrastructure Management

ITIL La qualità del servizio

ITIL ®

31


• Application Management


ITIL ®

32


• Security Management


ITIL ®

33


• Planning toImplementServiceManagement


ITIL ®

34


• The Business Perspective


ITIL ®

35



36

• ISO (International Organization for Standardization) Organizzazione internazionale, nata nel 1947, che si occupa di definire gli standard in tutti i settori produttivi, di cui fanno parte gli enti normativi nazionali di più di 130 paesi. http://www.iso.ch

• Standard ISO (o norme):

• Sistema metrico decimale

• Sistemi di filettatura di viti e bulloni

• Definizione dei processi software

• Definizione di sistemi di gestione della qualità

• ….



37

• La norma ISO 9001: 2015

• Definisce i criteri di gestione dei sistemi qualità delle organizzazioni e si rivolge a tutte le organizzazioni che desiderano sviluppare un Sistema Qualità

• Ogni organizzazione che vuole seguire la norma deve seguire i criteri definiti dalla norma adattandoli alla propria tipologia di organizzazione– Azienda manifatturiera

– Software house

– Ospedale– …..



38

• Sistema di gestione per la qualità:

“Sistema di gestione per guidare e tenere sotto controllo un’organizzazione con riferimento alla qualità”

• Assicurare la qualità dei prodotti e dei servizi

• Realizzare un miglioramento continuo dei processi aziendali



39

• Sistema di gestione per la qualità di una azienda che sviluppa software:– Definire i propri processi produttivi

– Definire le procedure da seguire (per progettare, per controllare, per gestire versioni e configurazioni del software, per gestire le segnalazioni di errore dei clienti…)

– Definire standard di documentazione

– Misurare la qualità dei processi e dei prodotti e instaurare un processo di valutazione periodica e di decisione per il miglioramento

– ……



40

• Certificazione

• Un’organizzazione che realizza un sistema qualità corrispondente alla norma ISO 9001: 2015 può chiedere di essere certificata rispetto alla norma

• Per uno specifico insieme di prodotti e servizi

• Esempio: •Consulenza, progettazione, sviluppo, installazione di sistemi software

•Commercializzazione e assistenza hardware e software

•Commercializzazione e assistenza hardware e software per telecomunicazioni



41

• Perché far certificare un’azienda?– Effettuare un salto di qualità formalizzando e

razionalizzando i processi aziendali

– Passare da un livello di qualità individuale ad un livello ingegnerizzato e industrializzato dell’organizzazione (qualità di impresa)

– Attivare un processo di miglioramento continuo

– Ottenere un certificato considerato referenza e prerequisito per poter partecipare a gare



42

• Come è costruito / documentato un Sistema qualità:– Manuale della qualità.

Raccoglie tutti gli aspetti di gestione della qualità

Richiama tutte le procedure e gli specifici strumenti messi in atto per gestire la qualità

– Procedure gestionali

– Istruzioni di lavoro

– Schemi di documenti



• ISO 9001-2015 un sistema di gestione della qualità basato sui processi ed il miglioramento continuativo

43

B2 - Normativa Paolo Salvaneschi 44

• 15 settembre 2015 - la nuova edizione della norma ISO 9001 "Quality Management Systems" - che sostituisce la ISO 9001:2008

• Transizione dei vecchi accreditamenti: un periodo transitorio di 3 anni dalla pubblicazione

• Nuovi accreditamenti con la nuova versione


B2 - Normativa Paolo Salvaneschi 45

• Gestione dei rischi nei processi aziendali

• Più appropriata applicazione della norma al settore dei servizi

• Semplificazione documentale

• …



• ISO/IEC 12207:2008 Systems and software engineering -- Software life cycle processes


46


• ISO/IEC 15504 Information technology - Process assessment

• Basata sui processi definiti dalla norma ISO 12207


0 Incompleto

(Incomplete)

Il processo non è implementato o comunque nonraggiunge i risultati attesi

1 Eseguito

(Performed)

Il processo implementato raggiunge lo scopo ed irisultati attesi

2 Gestito

(Managed)

Il processo Eseguito produce risultati chesoddisfano i requisiti espressi, nei tempi definiti econ le risorse allocate.

3 Stabilito

(Established)

Il processo Gestito è eseguito sulla base di unprocesso standardizzato e raggiunge risultatipredefiniti.

4 Prevedibile

(Predictable)

Il processo Stabilito è eseguito costantemente,entro limiti stabiliti quantitativamente eraggiungendo costantemente i risultati predefiniti.

5 Ottimizzante

(Optimizing)

Il processo Prevedibile cambia dinamicamente perrispondere efficacemente ai bisogni di businessattuali e futuri.

47


AS400

0

1

2

3

4ACQ1

SVIL1SVIL2

SVIL3

SVIL4

SVIL5

SVIL6

SVIL7

SVIL8

ESE1

ESE2

ESE3

MAN1

MAN2CON1

CON2CON3CON4CON5CON6

MIGL1

MIGL2

GDOC1

GCNF2

GCNF3

GPIA1

GPIA2

GPIA3

GPER1

COM1

COM2KNM1

KNM2

CONTROLLO

SVILUPPO,ESERCIZIOED EVOLUZIONE

COMUNICAZIONE

GESTIONE

2004

RETAIL

0

1

2

3

4ACQ1

SVIL1SVIL2SVIL3

SVIL4

SVIL5

SVIL6

SVIL7

SVIL8

ESE1

ESE2

ESE3

MAN1MAN2


CON6MIGL1

MIGL2

GDOC1

GCNF2

GCNF3

GPIA1

GPIA2

GPIA3

GPER1

COM1COM2

KNM1KNM2

CONTROLLO


GESTIONE

COMUNICAZIONE

Azzurro: stato 2004Rosso: obiettivi di miglioramento definiti dopo la valutazione del 2004

AS400

AS400

0

1

2

3

4ACQ1

SVIL1SVIL2

SVIL3

SVIL4

SVIL5

SVIL6

SVIL7

SVIL8

ESE1

ESE2

ESE3

MAN1

MAN2CON1


MIGL1

MIGL2

GDOC1

GCNF2

GCNF3

GPIA1

GPIA2

GPIA3

GPER1

COM1

COM2KNM1

KNM2

CONTROLLO


COMUNICAZIONE

GESTIONE

2008

ValutazioneConfronto 2004-2008

ISO 15504 ed i modelli di maturità

48


• ISO 27001 Politica di gestione della sicurezza di un Sistema Informativo (certificazione di processo).

• ISO 27002 guida (best practices)

• ISO 15408 (Common Criteria) Procedure e misure tecniche per gestire la sicurezza durante il ciclo di vita di un sistema IT (certificazione di prodotto).

Definire e validare un dato livello di security


49

I processi che esaminiamo


• Quali processi esaminiamo?– Gestione dello sviluppo software

– Acquisizione di prodotti e servizi

– Gestione operativa e supporto

– Evoluzione

– Pianificazione

– Misura

– Gestione della conoscenza

Orientamento al servizio


• Quale è il punto di vista che supportiamo?

• Orientamento al servizio delle organizzazioni IT– Considerare i “consumatori” dei propri servizi non soltanto

come utenti ma come Clienti

– Allargare la focalizzazione sulle tecnologie, per includere

l’attenzione ai processi

– Passare da una organizzazione IT reattiva ad una propositiva

– Arricchire i tradizionali skill IT con nuove capacità orientate

al Cliente, imparando ad ascoltare il Cliente

A3 1 Processi di Gestione Sistemi ICT V13.ppt [modalitÃ ...€¦ · &rph q frvwuxlwr grfxphqwdwr...

Documents

Transcript of A3 1 Processi di Gestione Sistemi ICT V13.ppt [modalitÃ ...€¦ · &rph q frvwuxlwr grfxphqwdwr...