وب سایت علیرضا صائبی وبلاگ علیرضا صائبی
استانداردهای مدیریت فناوری اطلاعات چیست؟
پیش مقدمه و مقدمه و داستان و منبر …
درچه حوزههایی از مدیریت فناوری اطلاعات میتوانیم مطابق با استانداردهای بینالمللی پیش برویم؟
آیا اصولا در حوزه مدیریت فناوری اطلاعات استانداردسازی انجام پذیرفته است یا شرکتها و سازمانهای بزرگ در سطح بینالمللی از “تجارب موفق” (Best practiceها) برای مدیریت فناوری اطلاعات استفاده میکنند؟
اصولا استفاده از استانداردها یا تجارب موفق بینالمللی چه فایدهای برای سازمان یا شرکت ما خواهد داشت؟
این سوالات (و مواردی مشابه اینها)، سوالاتی است که در هنگام طرح یک ایده جدید ذهن برخی مدیران فناوری اطلاعات را به خود مشغول نموده و در بیشتر اوقات چون طرحها فقط جنبه “پزدادن” و “کار قشنگ” (و یا حتی در مواردی “کار دانشگاهی”) انجام دادن دارند (که نمیدانم اشکال این کار کجاست که سازمانی کار قشنگ یا دانشگاهی انجام دهد!)، کنار گذاشته شده و کار هیئتی از سر گرفته میشود.
البته بصورت تجربی، شخصا اکثر سازمانهای موفقی که دیدم حتما با استانداردهای بینالمللی خیلی جدی درگیر شده و آن را بعنوان فرهنگ سازمانی خود مورد استفاده قراردادهاند، برای مثال به خاطر میآورم زمانی از شرکت برق خوزستان بازدیدی داشتم و میدیدم که با هزار مشقت مسئله برق دزدی و چند مسئله جدی دیگر را مدیریت میکنند. از مدیر کل مربوطه پرسیدم چه میکنید؟ پاسخ جالبی شنیدم. ایشان گفتند ما مسائل روزانه و وقت گیر را با کمک ISO:9000 به روتینهایی ساده تبدیل کردیم و در حال حاضر بیش از ۸۰٪ مسائلی که پیشتر از ما وقت میگرفت، بصورت روتینهایی انجام میپذیرند که:
اولا: سازمان روش مشخصی برای اجرای آنها دارد و در نتیجه کارشناسان و بدنه سازمان در حال اجرای آن موارد هستند و نیازی به تصمیمگیری مدیران در همه زمینهها نیست.
ثانیا: ارزیابی و کنترل این فرایندها بصورت خودکار توسط مدیران اجرایی و سرپرستان بخشها انجام پذیرفته و در حد گزارشاتی روتین و هفتگی و ماهانه برای مدیران ارشد ارسال میشود و در نتیجه مشکلات خود را در موقت مقتضی نشان داده و در همان سطح کارشناسی حل میشوند.
ثالثا: از طریق سیستمهای استاندارد رسیدگی به شکایات، ترتیبی دادیم تا واحد مربوطه بصورت خودکار به موضوعات رسیدگی کند و در نتیجه تنها یکی دو مورد در ماه به مدیرکل میرسد.
و از این طریق ما وقت پیدا کردیم تا برای حل مسائل مهم سازمان وقت بگذاریم و فکر کنیم و راه حل پیدا کنیم که همان کار را نیز از طریق بکارگیری مشاورین متبحر و مسلط به استانداردهای بینالمللی انجام میدهیم.
وقتی به حرف ایشان ایمان آوردم که حتی پشت درب دستشویی سازمان، تاریخ و ساعتهای نظافت و بازدید منظم وسائل دستشویی مثل دستمال کاغذی و مایع دستشویی و … را در فرمهای بازدید دورهای ایزو دیدم که بسیار جالب بود. (هنوز عکس آن فرم را دارم! :) )
بگذریم …
واقعا مهمترین معیارها در مدیریت فناوری اطلاعات کدام معیارها هستند؟
در گزارشی از قول Yves Morieux میخواندم که دو عامل جدی مانع حرکت سازمانها به سمت تغییر و تحول میشوند:
۱- عدم وجود سیستمی برای اندازهگیری میزان کار انجام شده (توسط پرسنل، ماشینها، روباتها و …) که در نتیجه مدیران درک دقیقی از میزان کار قابل تعریف یا انجام شده و یا حتی توان فنی تیمهای زیرمجموعه خود نخواهند داشت. من از این مشکل با عنوان “کارهام” یاد میکنم. :) فکر میکنم همه ما با همکارانی در ردههای کارشناسی و مدیریت مواجه شدیم که هر وقت از آنها بپرسیم چه میکنی؟ در پاسخ میگویند: “کارام مونده” یا “کارا زیاد شده و …” و معنی و مفهوم فارسی آن به نظر من این است که “من نمیدانم دقیقا مدیرم از من چه کاری میخواهد، برنامه خاصی هم برای انجام امور ندارم، صبحها سر کار میآیم و با چند تا جلسه خودم را مشغول میکنم، خروجی مشخص قابل اندازهگیری هم ندارم و خلاصه … هر چه پیش آید خوش آید، دور هم هستیم با دوستان تا ببینیم چه میشود … انشاءالله که خدا بزرگه” (اینها کلمه به کلمه عباراتی است که آنقدر زیاد شنیدم و در مطالعات انجام شده دیدم که به خودم اجازه دادم مقابل دیدگان شما درج کنم، حتی آخرین عبارت :) )
۲- وابستگی شدید به نیروی انسانی متخصص و عدم درک مدیران از کار متخصصین که در نتیجه آن مدیران کاملا تسلیم تصمیمات آن نیرو یا نیروهای متخصص خواهند بود و حتی نتایج ارزیابی نیز نمیتواند خللی در رویه اجرای تصمیمات آن نیروهای کلیدی ایجاد نماید. این مشکل البته راه حلهای فراوانی دارد که بصورت مشخص مورد نظر این متن نیست).
فراموش نمیکنم که همیشه از دکتر کرباسیان (رئیس گمرک) میشنیدم که اگر سعی کنیم با معیارهای جهانی خودمان را بسنجیم، راههای خوبی برای بهبود سازمان یا شرکت خود پیدا میکنیم. لذا تصور میکنم اگر سطح کاری خود را با استانداردهای مدیریت فناوری اطلاعات در سطح بینالمللی مقایسه کنیم و بعد برای بهبود سازمان یا شرکت خود تصمیم بگیریم، تصمیمات موثرتری خواهیم گرفت، هرچند از نظر زیرساختی با کشورهای پیشرفته تفاوتهای چشمگیری داشته باشیم.
و اما اصل موضوع …
به همین منظور و برای آگاهی دوستان عزیزم، مجموعه موضوعات و حوزههای پیشنهادی برای مدیریت فناوری اطلاعات را که بعنوان مجموعه استانداردهای مدیریت فناوری اطلاعات پیشنهاد شده را در این مطلب درج میکنم تا انشاءالله عزیزان مطالعه نموده و سعی کنند سازمان یا شرکت خود را به سمت همگامی و همسویی با این استانداردها سوق دهند.
۱- حاکمیت فناوری اطلاعات
ITG به فرایندهایی گفته میشود که اطمینان حاصل میکنند فناوری اطلاعات بصورتی کارا و اثربخش در سازمان به کار گرفته شده و به اهداف مورد نظر در سازمان دست یافته است.(۱)
در این حوزه معمولا از CoBit و معیارهای ارزیابی آن به همراه رویههای طراحی شده در ITIL استفاده میشود.
۲- مدیریت پروژه
PM یا مدیریت پروژه عبارتست از کاربرد دانش، مهارتها، ابزارها و فناوریهایی که باعث میشوند فعالیتهای (طراحی شده برای) پروژه، نیازمندیهای پروژه را پوشش دهند.(۱)
در این حوزه روشی که بکار گرفته میشود کاملا بستگی به ماهیت پروژه دارد و معمولا برای پروژههایی که میزان کار در آنها مشخص و قابل برآورد است از روشهای کلاسیک مانند CPM یا PERT استفاده شده و برای پروژههایی نظیر توسعه نرمافزار که مدت زمان فعالیتها دقیقا قابل برآورد نیست، معمولا از روشهای چابک مبتنی بر کار تیمی مانند Scrum و یا ترکیب Scrum و KanBan استفاده میشود.
۳- مدیریت خدمات فناوری اطلاعات
به فرایند اجرا و مدیریت کیفیت خدمات فناوری اطلاعات در تامین نیازمندیهای یک کسب و کار، مدیریت خدمات فناوری اطلاعات میگویند(۲).
۴- مدیریت امنیت اطلاعات (ISO/IEC 27000)
به مجموعه فرایندها، سیاستها، معیارها و دیگر اجزایی که در حوزه تامین امنیت اطلاعات بکارگرفته میشوند، مدیریت امنیت اطلاعات اطلاق میگردد.(۲)
۵- مدیریت ریسک (ISO 31000)
مدیریت ریسک شامل مجموعه فرایندها و معیارهایی است که به سازمان کمک میکند مخاطرات و ریسکهای موجود یا محتمل را شناسائی، ارزیابی و مدیریت نمایند. از جمله این ریسکها ریسکهای بازار، ریسکهای اعتباری، ریسکهای عملیاتی را میتوان نام برد. (۲)
۶- مدیریت رکوردها
مدیریت رکوردها به کلیه فناوریها و فرایندهایی اطلاق میگردد که سازمان را قادر به اعمال سیاستها و قوانین خود، در اجرا و مستندسازی تراکنشهای کسب و کار میسازد(۲). البته از مدیریت رکورد به مدیریت ثبت تغییرات و نتایج ارزیابیها نیز یاد میشود که این موارد در اینجا مورد نظر نیست.
۷- سیستمها و مهندسی نرمافزار
شامل مدیریت کاربردها، مدیریت فرایندها در چرخه حیات نرمافزار، مدیریت فرایندهای چرخه حیات سیستم و طرح معماری سیستم و نرمافزار این بخش شامل کلیه کاربردهایی است که از خدمات فناوری اطلاعات در سازمان حاصل میشود و مراد از چرخه حیات، کلیه فرایندها، مقاطع، رخدادها و اقداماتی است که برای ارائه خدمت سازمان به مشتریان خود از طریق فناوری اطلاعات مطرح میگردد. (۲)
۸- استمرار کسب و کار و بهبود روشهای مقابله با بحرانها
این فرایند از فرایندهای کسب و کار میباشد و وظیفه مدیریت مخاطراتی ﴿ریسکهایی﴾ را بر عهده دارد که بطور جدی ممکن است بر کسب و کار تاثیر بگذارند. همچنین این فرایند مسئول محافظت از علاقمندیهای دینفعان کلیدی، شهرت و اعتبار کسب و کار، عنوان تجاری و فعالیتهای ارزشآفرین است. بر این اساس مدیریت استمرار کسب و کار،اهداف، حوزهها و نیازمندیهای فرایند مدیریت استمرار خدمات IT را مشخص مینماید.(۲)
۹- مدیریت و بهبود مصرف انرژی
مراد، سامانههای مدیریت و بهبود مصرف انرژی در ساختمانها، سازمانها و شرکتهاست که بعنوان مثال میتوان از استاندارد ISO 50001 در این خصوص نام برد. بدیهی است که فناوری اطلاعات میتواند با بکارگیری صحیح و به میزان مورد نیاز کسب و کار (برای مثال با تکنیکهای مجازیسازی) بهبود مناسبی در مصرف انرژی سازمان یا شرکت ایجاد نماید.(۱)
۱۰- مدیریت کیفیت (ISO 9000)
سامانه مدیریت کیفیت به مجموعهای فرایندهایی گفته میشود که وظیفه آنها این است که اطمینان حاصل کنند کلیه عملیات یک سازمان با کیفیت مناسب و بصورتی قابل اعتماد اجرا میشوند تا به اهداف یا سطح توافق شده سرویس در کسب و کار دست یابند.(۱)
بصورت کلی ISO (بعنوان مهمترین مرجع استانداردهای بینالمللی) مجموعه زیر را بعنوان استانداردهای مدیریت فناوری اطلاعات پیشنهاد مینماید:
| Description | Standard No./Name |
| Risk management — Vocabulary | ISO/Guide 73:2009 |
| Information and documentation — Vocabulary | ISO 5127:2001 |
| Information technology — Open Systems Interconnection — Basic Reference Model: The Basic Model — Part 1 | ISO/IEC 7498-1:1994 |
| Information processing systems — Open Systems Interconnection — Basic Reference Model — Part 2: Security Architecture | ISO 7498-2:1989 |
| Information technology — Open Systems Interconnection — Basic Reference Model: Naming and addressing — Part 3 | ISO/IEC 7498-3:1997 |
| Information processing systems — Open Systems Interconnection — Basic Reference Model — Part 4: Management framework | ISO/IEC 7498-4:1989 |
| Quality management systems — Fundamentals and vocabulary | ISO 9000:2005 |
| Quality management systems — Requirements | ISO 9001:2008 |
| Quality management systems — Requirements TECHNICAL CORRIGENDUM 1 | ISO 9001:2008/Cor.1:2009 |
| Managing for the sustained success of an organization — A quality management approach | ISO 9004:2009 |
| Quality management systems — Guidelines for quality management in projects | ISO 10006:2003 |
| Systems and software engineering — Software life cycle processes | ISO/IEC 12207:2008 |
| Environmental management systems — Requirements with guidance for use | ISO 14001:2004 |
| Environmental management systems — General guidelines on principles, systems and support techniques | ISO 14004:2004 |
| Environmental management — Vocabulary | ISO 14050:2009 |
| Systems and software engineering — System life cycle processes | ISO/IEC 15288:2008 |
| Information technology — Process assessment — Part 1: Concepts and vocabulary | ISO/IEC 15504-1:2004 |
| Information technology — Process assessment — Part 2: Performing an assessment | ISO/IEC 15504-2:2003 |
| Information technology — Process assessment — Part 2: Performing an assessment TECHNICAL CORRIGENDUM 1 | ISO/IEC 15504-2:2003/Cor.1:2004 |
| Information technology — Process assessment — Part 3: Guidance on performing an assessment | ISO/IEC 15504-3:2004 |
| Information technology — Process assessment — Part 4: Guidance on use for process improvement and process capability determination | ISO/IEC 15504-4:2004 |
| Information technology — Process assessment — Part 9: Target process profiles | ISO/IEC 15504-9:2011 |
| Information technology — Process assessment — Part 10: Safety extension | ISO/IEC 15504-10:2011 |
| Information and documentation — Records management — Part 1: General | ISO 15489-1:2001 |
| Information and documentation — Records management — Part 2: Guidelines | ISO/TR 15489-2:2001 |
| Information technology — Process assessment — Part 5: An exemplar software life cycle process assessment model | ISO/IEC 15504-5:2012 |
| Information technology — Process assessment — Part 8: An exemplar process assessment model for IT service management | ISO/IEC 15504-8:2012 |
| Document management — Information stored electronically — Recommendations for trustworthiness and reliability | ISO/TR 15801:2009 |
| Conformity assessment — Requirements for the operation of various types of bodies performing inspection | ISO/IEC 17020:2012 |
| Conformity assessment — Requirements for bodies providing audit and certification of management systems | ISO/IEC 17021:2011 |
| General requirements for the competence of testing and calibration laboratories | ISO/IEC 17025:2005 |
| Guidelines for auditing management systems | ISO 19011:2011 |
| Information technology — Service management — Part 1: Service management system requirements | ISO/IEC 20000-1:2011 |
| Information technology — Service management — Part 2: Guidance on the application of service management systems | ISO/IEC 20000-2:2012 |
| Information technology — Service management — Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1 | ISO/IEC 20000-3:2012 |
| Information technology — Service management — Part 4: Process reference model | ISO/IEC TR 20000-4:2010 |
| Information technology — Service management — Part 5: Exemplar implementation plan for ISO/IEC 20000-1 | ISO/IEC TR 20000-5:2013 |
| Information technology — Service management — Part 10: Concepts and terminology | ISO/IEC TR 20000-10:2013 |
| Event sustainability management systems — Requirements with guidance for use | ISO 20121:2012 |
| Guidance on project management | ISO 21500:2012 |
| Societal security — Terminology | ISO 22300:2012 |
| Societal security — Business continuity management systems — Requirements | ISO 22301:2012 |
| Societal security — Business continuity management systems — Guidance | ISO 22313:2012 |
| Information technology — Security techniques — Information security management systems — Overview and vocabulary | ISO/IEC 27000:2014 |
| Information technology — Security techniques — Information security management systems — Requirements | ISO/IEC 27001:2013 |
| Information technology — Security techniques — Code of practice for information security controls | ISO/IEC 27002:2013 |
| Information technology — Security techniques — Information security management system implementation guidance | ISO/IEC 27003:2010 |
| Information technology — Security techniques — Information security management — Measurement | ISO/IEC 27004:2009 |
| Information technology — Security techniques — Information security risk management | ISO/IEC 27005:2011 |
| Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems | ISO/IEC 27006:2011 |
| Information technology — Security techniques — Guidelines for information security management systems auditing | ISO/IEC 27007:2011 |
| Information technology — Security techniques — Guidelines for auditors on information security controls | ISO/IEC TR 27008:2011 |
| Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications | ISO/IEC 27010:2012 |
| Information technology — Security techniques — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 | ISO/IEC 27011:2008 |
| Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 | ISO/IEC 27013:2012 |
| Information technology — Security techniques — Governance of information security | ISO/IEC 27014:2013 |
| Information technology — Security techniques — Information security management guidelines for financial services | ISO/IEC TR 27015:2012 |
| Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors | ISO/IEC 27018:2014 |
| Information technology — Security techniques — Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry | ISO/IEC TR 27019:2013 |
| Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity | ISO/IEC 27031:2011 |
| Information technology — Security techniques — Guidelines for cybersecurity | ISO/IEC 27032:2012 |
| Information technology — Security techniques — Network security — Part 1: Overview and concepts | ISO/IEC 27033-1:2009 |
| Information technology — Security techniques — Network security — Part 2: Guidelines for the design and implementation of network security | ISO/IEC 27033-2:2012 |
| Information technology — Security techniques — Network security — Part 3: Reference networking scenarios — Threats, design techniques and control issues | ISO/IEC 27033-3:2010 |
| Information technology — Security techniques — Network security — Part 4: Securing communications between networks using security gateways | ISO/IEC 27033-4:2014 |
| Information technology — Security techniques — Network security — Part 5: Securing communications across networks using Virtual Private Networks (VPNs) | ISO/IEC 27033-5:2013 |
| Information technology — Security techniques — Application security — Part 1: Overview and concepts | ISO/IEC 27034-1:2011 |
| Information technology — Security techniques — Information security incident management | ISO/IEC 27035:2011 |
| Information technology — Security techniques — Information security for supplier relationships — Part 3: Guidelines for information and communication technology supply chain security | ISO/IEC 27036-3:2013 |
| Information technology — Security techniques — Information security for supplier relationships — Part 1: Overview and concepts | ISO/IEC 27036-1:2014 |
| Information technology — Security techniques — Information security for supplier relationships — Part 2: Requirements | ISO/IEC 27036-2:2014 |
| Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence | ISO/IEC 27037:2012 |
| Risk management — Principles and guidelines | ISO 31000:2009 |
| Corporate governance of information technology | ISO/IEC 38500:2008 |
| Information technology — Governance of IT — Framework and model | ISO/IEC TR 38502:2014 |
| Systems and software engineering — Architecture description | ISO/IEC/IEEE 42010:2011 |
| Asset management — Overview, principles and terminology | ISO 55000:2014 |
| Energy management systems — Requirements with guidance for use | ISO 50001:2011 |
| Asset management — Management systems — Requirements | ISO 55001:2014 |
| Asset management — Management systems — Guidelines for the application of ISO 55001 | ISO 55002:2014 |
| Software engineering — Guidelines for the application of ISO 9001:2000 to computer software | ISO/IEC 90003:2004 |
| Information technology — Guidelines for the application of ISO 9001:2008 to IT service management and its integration with ISO/IEC 20000-1:2011 | ISO/IEC TR 90006:2013 |
| Document management — Information stored electronically — Recommendations for trustworthiness and reliability | ISO/TR 15801:2009 |
ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
(۱) موسسه گارتنر، وب سایت http://www.gartner.com/it-glossary
(۲) واژهنامه ITIL، وب سایت https://saebi.ir/itil
(۳) لینک منبع اصلی مجموعه استانداردهای مدیریت فناوری اطلاعات https://www.iso.org/obp/ui/#iso:pub:PUB200013:en
با سلام و احترام
خیر، من متن استانداردهای مورد نظر را ندارم.
پیشنهاد میکنم با سازمان استاندارد تماس بگیرید و از کتابخانه آن سازمان موارد مورد نظر خود را درخواست کنید. ضمنا اگر برای اولین بار با استانداردها برخورد میکنید، پیشنهاد میکنم حتما از کسی که دوره آشنایی و ممیزی آن را گذرانده کمک بگیرید تا بصورت موثرتری استاندارد را پیاده کنید.
موفق باشید
با سلام و احترام
اینجانب دانشجوی کارشناسی رشته شبکه هستم از شما تقاضا دارم درصورتیکه به متن لاتین استاندارد iso 27033 پارت ۱و۲ دسترسی دارید آنرا برای من ارسال نمایید یا راهنمایی کنید چگونه رایگان دانلود کنم با تشکر از شما