miten pilvipalveluita pitäisi johtaa palveluina?
TRANSCRIPT
Miten pilvipalveluita pitäisi
johtaa palveluina?
Hallitusti turvalliseen pilveen -seminaari 22.11.2016
Jyrki Lahnalahti,
tuotepäällikkö, Inspecta
Hallitusti turvalliseen pilveen –seminaari 2016-11-22 Miten pilvipalveluita pitäisi johtaa palveluina?
Jyrki Lahnalahti, tuotepäällikkö Julkinen
2016-11-20
JULKINEN 2
Osalla Inspectasta on juurensa julkisissa organisaatioissa ja yrityksissä. Pitkä lahjomattomuuden, laatuun panostamisen ja ammattitaidon perintö. Vahva kasvu orgaanisesti ja yritysostoin Suomessa, Ruotsissa, Norjassa, Tanskassa, Latviassa, Liettuassa ja Virossa.
Historia Inspectasta
Suomen valtio perustaa Teknillisen tarkastus- keskuksen
Ruotsi perustaa Statens Anläggnings- Provning –tarkastus-laitoksen
Markkinat vapautuvat Ruotsissa
Markkinat vapautuvat Suomessa, Inspecta Suomi
Inspecta Latvia
Inspecta Viro
Inspecta Ruotsi
Inspecta Norja
Inspecta Tanska
Inspecta Liettua
Inspecta Puola
Inspecta osaksi ACTA* Groupia yhdessä Kiwan ja Shieldin kanssa
JULKINEN 4
Luomme turvallisuutta, luotettavuutta ja kestävää kehitystä Pohjois-Euroopassa.
We bring safety, trust and environmental
sustainability to northern Europe.
Visiomme Tämä on Inspecta
JULKINEN 5
Ihan kuten muitakin palveluita, mutta painotukset ja kriittiset tekijät tunnistaen
Miten pilvipalveluita pitäisi johtaa palveluina?
JULKINEN 6
Pilvipalveluiden johtamisen ja hallinnan painotukset
Palveluiden jatkuvuus
Viestintä ja tiedonjako Skaalautuvuus
Tehokas ja toimiva asiakasrajapinta
Ketteryys
Tietoturvallisuus
JULKINEN 7
ISO/IEC 20000 Miten pilvipalveluita pitäisi johtaa palveluina?
Palvelunhallintajärjestelmä
Prosessit
Työkalut, tilat, resurssit
Asiakasvaatim.
Liiketoimintav.
Service Desk Roolit ja vastuut
Laadunvarmistus Muut prosessit
Palvelu A
Palvelu B
Palvelu C
Palvelu D
Asiakastyytyv.
Liiketoimintatul.
Uudet palvelut
Muut prosessit
Palvelu F
Palvelu E
JULKINEN 8
►service management system (SMS) (ISO/IEC TR 20000-10:2015) ►management system to direct and control the service management activities of the service provider
► Note 1 to entry: A management system is a set of interrelated or interacting elements to establish policy and
objectives and to achieve those objectives. ► Note 2 to entry: The SMS includes all service management policies, objectives, plans, processes,
documentation and resources required for the design, transition, delivery and improvement of services and to fulfil the requirements specified in ISO/IEC 20000-1:2011.
► Note 3 to entry: Adapted from the definition of ‘quality management system’ in ISO 9000:2005.
Termejä ja sanastoa Hallintajärjestelmät
JULKINEN 11
►The guidance in this part of ISO/IEC 20000 can be used by organizations that are involved in the provision or management of services that include cloud services.
►It can also be of interest to organizations that are faced with changes to their existing services and support arrangements as part of a move to cloud computing. ISO/IEC 20000 can be used by service providers that offer dedicated or shared services to internal and external customers.
ISO/IEC TR 20000-9:2015
JULKINEN 12
►Key benefits of adopting ISO/IEC 20000 for service providers that offer cloud services can include: ►a) greater credibility with internal or external customers of the organization, through delivery of
reliable and cost effective services; ►b) the opportunity to build a service management system that is based on a tried and proven
best practice approach; ►c) ongoing control, greater effectiveness and efficiency as well as prioritized continual
improvement of services and processes; ►d) improved communication within the cloud service provider organization, including a
greater understanding by service management and specialist technical personnel of each other’s viewpoints;
►e) improved communication between the cloud service provider organization and cloud customers and users
►An SMS can be integrated with an information security management system based in ISO/IEC 27001, which includes requirements for information security in more detail than those specified in ISO/IEC 20000-1.
ISO/IEC TR 20000-9:2015
Johtamisjärjestelmä koko organisaation johtamis- ja toimintamalli
JULKINEN 13
Kaikessa tässä on kyse johtamisesta ja johtajuudesta
Liiketoiminnan jatkuvuuden
hallinta ISO 22301
Tietoturvalli-suuden hallinta ISO/IEC 27001
IT-palveluiden hallinta
(ITIL-prosessit) ISO/IEC 20000-1
Ympäristön-, omaisuuden-,
energian-, työturvallisuuden-
hallinta ISO xxxx
ISO/IEC yyyy
Laadunhallinta ISO 9001
Riskienhallinnan viitekehys ja prosessit (ISO 31000)
Toimintaympäristön ja sidosryhmien tunnistaminen ja huomiointi, laki- ja viranomaisvaatimukset, asiakaslupaukset, ylimmän johdon työkalut kuten politiikat, roolit, vastuut, valtuudet, viestintä,
dokumentointikäytännöt, osaamisen hallinta, mittaaminen, sisäinen auditointi, johdon katselmus, jatkuva parantaminen, …
Jatkuvuuden hallinnan elementtejä
Tietoturvallisuuden hallinnan elementtejä
Katakri
VAHTI 2/2010
AQAP-2110
JULKINEN 15
Malli pilvipalveluiden johtamiseen
Pilvipalveluiden toimintaympäristö ja
tavoitteet
Pilvipalveluiden johtamisen strategia ja
suunnittelu
Palveluluettelo Palveluvaatimukset
Pilvipalveluiden suunnittelu ja toteutus
Asiakkuuden hallinta Asiakassopimus
Resurssien hallinta Johtamismallin ja palveluiden jatkuva parantaminen
Asiakassopimuksen päättäminen Palvelun siirto Palvelun poisto
Palveluiden seuranta ja raportointi Asiakkuuden käynnistys Palveluiden toimitus ja
operointi
JULKINEN 18
Liiketoiminnan jatkuvuuden merkittävimmät uhat 2016
Lähde: Business Continuity Institute, Horizon Scan Report 2016
JULKINEN 19
► 5.5 Design and develop a new cloud service ► … the service continuity and availability of the new service should be designed to ensure that the delivered availability
can fulfil the service requirements … ► 5.7 Establish a cloud service agreement
► … service continuity planning … ► 5.9 Deliver and operate the cloud services
► … management of the availability, continuity, capacity and information security requirements for the service … ► 5.10 Monitor and report cloud services
► This includes activities to monitor and report the service performance, capacity, availability, information security and/or continuity of the cloud service.
► 5.13 Terminate a cloud service contract ► Backup data and log data should be maintained by the cloud service provider during the exit process, until a
completion point is reached, to ensure business continuity for the cloud customer. ► 5.14 Transfer a cloud service
► … the removal of the customer information from the service continuity and availability plans, capacity plan and configuration records. The service can continue to be used by other customers …
► 5.15 Remove a cloud service ► … removal of the service for each customer individually, or complete removal from the service continuity and
availability plans, capacity plan and CMDB for all customers …
ISO/IEC TR 20000-9 Jatkuvuuden hallinnan huomioinnin esimerkkejä
JULKINEN 20
SFS-EN ISO 22301 Liiketoiminnan jatkuvuuden hallintajärjestelmä
Politiikan ja tavoitteiden määrittely (johto)
Toimintaympäristön, liiketoiminnan jatkuvuusvaatimusten ja hallintajärjestelmän
kattavuuden määrittely
Liiketoiminnan vaikutusanalyysi (BIA) Riskien arviointi ja käsittely
Liiketoiminnan jatkuvuuden strategia
Jatkuvuusmenettelyt (häiriönhallinta, viestintä, jatkuvuussuunnitelmat, toipuminen)
Liiketoiminnan jatkuvuuden tavoitteet ja suunnitelmat niiden saavuttamiseksi
Menettelyiden harjoittelu ja testaus
Jatkuvuuden-hallintapolitiikka
BIA, riskienhallinta
Menettely-kuvaukset
Jatkuvuuden tavoitteet
Testausraportit
Kattavuus
Microsoft is the first hyperscale cloud service provider to receive the ISO 22301 certification for business continuity management. The British Standards Institute (BSI), an independent certification body, awarded this certification to Microsoft Azure, Microsoft Azure Government, Microsoft Intune, and Microsoft Power BI after a stringent audit covering all aspects of their business continuity processes. The audit covered the in-scope services listed below as well as Azure management features, the Azure Portal, and the systems used to monitor, operate, and update the in-scope services. https://www.microsoft.com/en-us/trustcenter/Compliance/ISO-22301