Реинжиниринг процесса CHN (2)

процесса
Метрики и ключевые показатели эффективности
Дорожная карта по реинжинирингу (на обсуждение)

всех изменений в предоставляемых ИТ-услугах, включая оборудование, операционные системы, промежуточное программное обеспечение, программные платформы и приложения и др.
Целью процесса управления изменениями является успешная реализация как можно большего количества изменений ИТ-услуг, ИТ-систем или их окружения в соответствии с поставленными целями, запланированными сроками и с минимальным неблагоприятным воздействием. Также, целями являются управление рисками и обеспечение специфических регуляторных требований.
Успешность измеряется как баланс своевременности и полноты реализации изменений и минимизации нарушений, вызванных в целевой системе или

ИТ-инфраструктуры.
ИТ-операций
Информ безопасности
Опер/ИТ/ИБ- рисков
Опер. блока
Фин. Блока
другие ЗС по необходимости

ПОВЕСТКА:
Новые изменения для анализа бизнес-ценности, влияния и рисков
Рассмотрение изменений, прошедших технический комитет
Утверждение приоритизации бэклога запросов на изменения
Проведение оценки после внедрения (соответ. уровня риска)
Рассмотрение показателей процесса управления изменениями
Утверждение преавторизованных типов изменений
Согласование экстренных запросов на изменения
Контроль качества внедренных изменений

Комитет по изменениям (CAB)

Проверка изменения после внедрения для понимания реализации ожидаемой ценности для бизнеса

Унифицированный процесс с воронкой обработки запросов на изменения различных типов с единой точкой контакта в ИТ

Процедура оценки и анализа, основанная на рисках

Общий подход к приоритезации - value case prioritization (benefit/cost/risk) с единым бэклогом изменений

Категоризация запросов на изменения, позволяющая стандартизовать их обработку

Быстрая реализация, основанная на спринтах

ПОВЕСТКА:
Новые проекты/ инновации/ изменения на рассмотрение
Проверка и коррекция категоризация изменений
Высокоуровневая оценка реализуемости, влияния, охвата и рисков

КУИТ

ИТ менеджмент
Представители бизнес-блоков
ИТ-Бизнес партнеры / PMO
Менеджер ИТ-Изменений
Главный Архитектор

Участие опционально
(по требованию)

Члены Комитета по изменениям

Модель участия

Применяемые практики

Модель руководства

Планирование по Agile-спринтам

Планы спринтов ИТ команды

Авторизованные изменения

Спринты (анализа, внедрения)

Руководство процессом CHM

SLA
Тактические изменения
Изменение существующих услуг или процессов
Изменения ИТ и инфраструктуры
Регуляторные и законодательные изменения
Операционные изменения
Стандартные и плановые изменения ИТ
Аварийные изменения
Изменения по уязвимостям в информ. безопасности

Потребности бизнеса

Управление ИТ-услугами

Управление услугами поставщиков

Внешние операции

Внешние услуги

Внешний провайдер программного продукта (проект)

КУИТ

CAB

Проектный CM

Процесс CM

Управление конфигурациями

Управление релизами

Управление мощностями

Каталог ИТ-услуг

ИТ-операции
(Поддержка, Сопровождение, Инфраструктура)

Service Desk

Управление инцидентами

Управление проблемами

Комитет по инцидентам

прилагает описание бизнес-требований (Сотрудник ГО бизнес-подразделения, любой сотрудник ИТ).
Согласующий регистрацию - отвечает за начальную верификацию запроса на изменение. В роли согласующего, как правило, выступает руководитель Автора запроса на изменение.
Координатор изменений (выбирается на основе данных о группе сервисов или направлении ИТ) отвечает за оперативное руководство процессом по своему направлению (например, все ЗНР или все изменения в инфраструктуре): выполняет первичный анализ изменений, координирует выполнение всех изменений, выполняет приоритизацию по скоринг-модели, отслеживает статус,, проверяет и закрывает изменения, участвует во встречах CAB.
Специалист ИБ согласует вывод готового изменения в боевое окружение.
Технический специалист (Исполнитель) просматривает и анализирует новые входящие запросы на изменение. Участвует во встречах CAB, помогая в и выполняя оценку изменения на предмет выполнимости, влияния, риска и объема необходимых для его реализации ресурсов. Исполняет задачи по изменению, запрашивая дополнительную информацию и привлекает необходимых специалистов.(Аналитик, разработчик, тестировщик, архитектор, системный инженер, ..)
Команда ИТ – группа технических специалистов, которая отвечает за сервис, продукт, компонент (модуль) или направление инфраструктуры или сопровождения. ИТ-команда состоит из специалистов различных подразделений Блока ИТ, отвечающих за развертывание, эксплуатацию и поддержку. (Примеры: команда разработчиков продукта, команда DWH, команда поддержки и развития сетей и т.п. )
Менеджер Сервиса - ИТ-бизнес партнер, PO / CPO (Product Owner, Chief Product Owner) – Участвует во встречах CAB, отвечает за оценку, авторизацию и приоритизацию изменений для своего продукта/сервиса или группы продуктов/сервисов. Расставляет приоритеты для изменений соответствующего уровня риска, в рамках своих полномочий. Выполняет оценку влияния экстренных изменений на бизнес-функции.
Менеджер процесса отвечает за контроль и организацию соблюдения процесса всеми исполнителями. Выявляет и разрешает конфликтные ситуации, участвует в оценке и пересмотре процесса.
Владелец процесса отвечает за достижение целей процесса, подтверждает цели, политики и задачи процесса, показатели качества работы процесса.

Роли процесса CHM

Изменения

Менеджер Сервиса, Тех специалист, Координатор Изменений

Общая диаграмма процесса CHM

Управление изменениями

1.0 Регистрация/ Инициация изменения

3.0 Приоритизация и авторизация изменения

Управление проблемами

Управление запросами на обслуживание

Управление инцидентами

4.0 Координация разработки изменения

5.0 Координация внедрения изменения

6.0
Проверка и закрытие изменения

7.0 Содержание списка стандартных изменений

Управление инцидентами

Плановое обслуживание

Управление проблемами

Управление конфигурациями

Управление конфигурациями

Управление релизами

8.0 Мониторинг и отслеживание изменения

2.0
Оценка и анализ изменения

Схема процесса CHM

Управление Каталогом и Уровне услуг

Разработка и Тестирование

Координатор Изменения, CAB

Координатор Изменения

скоупа, полномочий и исключений
сопровождение регламентной правовой базой (ВНД, приказы, презентации)
назначение / распределение ответственных и участников
Тестирование работы через САВ
план внедрения (на примере 1-2 ключевых систем с дальнейшим тиражированием)
Регулярное предоставление информации на УКО: что сделано, что планируем, какие проблемы.
Последующие шаги – в течении 2023
Анализ и классификация инициируемых требований Бизнеса посредством ИТ-бизнес партнеров и CAB для приоритизации изменений и сокращения бэклога и нагрузки на разработчиков
Сбор обратной связи от заказчиков и предоставление данных на NPS
Построение целевой модели процесса CHM
разработка правил, политик и процедур процесса
закрепление процессных ролей
Определение ИТ-Услуг с учетом управления изменениями
Включение в каталог ИТ-услуг сопровождение изменений в системах или в группах систем
Владельцы, Заказчики, требования, SLA, сервисные операции
Организация единой точки входа для всех изменений с применением Каталога ИТ-услуг
Измерение и анализ процесса по метрикам и показателям
Совершенствование процесса через проверку/корректировку шагов и отчетностью на САВ, КУИТ, NPS, УКО, ..

изменениями в боевом (production) окружении ИТ-Услуг
изменения в бизнес-приложениях, информационных системах и сервисах (ИС)
изменения в СУБД и платформах
изменения в системах и сети хранения данных
изменения в настройках аппаратного обеспечения серверов
изменения в системном программном обеспечении серверов (гипервизор, операционная система) и инфраструктурных сервисах
изменения в настройках инженерного оборудования ЦОД (источники бесперебойного питания, системы климат-контроля), включая любые физические операции с оборудованием и коммутацией в ЦОД
изменения в сетевом оборудовании и каналах связи
управление технологическими окнами (окнами обслуживания)
изменения в составе ИТ-Услуг
В границы управления изменениями не входят:
любые изменения в средах разработки и тестирования
изменения программного продукта (ИС), находящегося в стадии разработки
стандартные изменения, обрабатываемые в рамках управления запросами на обслуживание (хотя сам список стандартных изменений и процедуры их выполнения являются предметом управления процесса CHM)

Границы управления изменениями

необходимо запланировать, выполнить разносторонний анализ (трудозатраты, выполнимость, стоимость, ценность для бизнеса, риски) и реализовать. Ввиду различного масштаба и уровня риска нормальные изменения требуют различных уровней авторизации для эффективной работы процесса.
Стандартное изменение
Предварительно авторизованное изменение с низким уровнем риска, которые хорошо понятны и задокументированы. Для них требуется трекинг, но не требуется оценка риска и авторизация. Чаще всего на практике реализуются через запросы на обслуживание. Когда процедура для реализации стандартного изменения создается или модифицируется, проводится оценка риска и авторизация этой процедуры.
Экстренное изменение
Изменение, которое необходимо реализовать как можно скорее, например, для устранения инцидента. Для этого типа характерен высокий риск. Гибкий перечень согласующих, обычно включающий небольшое количество руководителей соответствующего уровня, которые понимают связанные с изменением бизнес-риски. Может выполняться отложенное документирование.

Ключевые термины процесса CHM

и ресурсов, необходимых для реализации.
В зависимости от профиля риска, основанного на анализе влияния на бизнес, утверждение будет выполняться на разных уровнях авторизации.
Экстренные изменения:
Имеют высокую критичность для бизнеса и недостаточно времени для нормальной обработки.
Должны следовать нормальному процессу, но требуют ускоренного прохождения (документирование выполняется пост-фактум), например, в случае устранения аварии или закрытия уязвимости ИБ.
Влияние может быть существенным, более склонно к ошибкам.
Количество изменений такого типа должно быть минимальным
Преавторизованные (стандартные) изменения:
Предварительно авторизованы и выполняются в установленном порядке (согласно операционным инструкциям).
Задачи хорошо известны и имеют низкий риск, например, апгрейд рабочей станции, создание виртуального сервера для разработки/тестированиия, установка определенного вида ПО.

Высокоуровневая оценка

Very high

Подлежит уточнению на основе определений влияния на бизнес и вероятности

Risk Impact

Матрица оценки риска

High

Medium

Low

Very low

Подлежит уточнению на основе определений влияния на бизнес и вероятности

Подлежит уточнению на основе определений влияния на бизнес и вероятности

Подлежит уточнению на основе определений влияния на бизнес и вероятности

Подлежит уточнению на основе определений влияния на бизнес и вероятности

Типы и классификация изменений

отправки запроса на изменение (входная информация для процесса).
Правила оповещений. Описывает правила уведомления заинтересованных лиц на всех этапах жизненного цикла изменения.
Правила по использованию стандартных изменений. Эти Правила устанавливает правила идентификации, управления и использования стандартных изменений.
Правила уровней риска и сроки планирования. Определяет риски, связанные с изменением и время (Lead time), необходимое для безопасного выполнения изменения.
Правила планирования изменений. Описывает требования к подготовке планов развертывания, отката, верификации/тестирования, а также необходимых коммуникаций для разных типов изменений.
Правила классификации изменений. Описывает допустимые классификации и принципы их применения.
Правила приоритизации изменений. Описывает допустимые приоритеты и принципы их применения.
Правила использования окон обслуживания и blackout/freeze периодов. Описывает, каким образом устанавливаются технологические окна и порядок обработки исключений, в случае необходимости, а также использование периодов запрета на проведение любых изменений или изменений определенного типа.
Правила по управлению конфликтами изменений. Описывает правила обработки конфликтов при внедрении изменений.
Правила эскалаций. Описывает правила привлечения дополнительных ресурсов.
Правила проверки и закрытия изменения. Описывает правила проверки после внедрения (PIR), критерии качества и правила закрытия изменений.
Положение по организации работы Комитета по изменениям. Описывает состав Комитета и детальную информацию по проведению совещаний САВ (примеры повестки, регулярность проведения, каналы коммуникации).

Рекомендуемые Правила процесса CHM

изменение

да

1.2 Зарегистрировать / корректировать запрос на изменение

Согласующий регистрацию

1.4 Выполнить первичную верификацию запроса

да

!

да

Сотрудник ГО бизнес-подразделения, любой сотрудник ИТ

да

Если автор – сотрудник ИТ, то не требуется

список всех задач и плановые даты их реализации
Хочу чтобы сроки по задач были реалистичными
Хочу чтобы задачи реализовывались в плановые сроки
Хочу самостоятельно управлять приоритетами
Хочу чтобы применение изменений не приводило к проблемам в АБИС
Хочу чтобы аналитики помогали мне подготовить требования к изменениям
Если ожидания не оправдываются, то заказчик как правило не доволен.