Microsoft Word - QQXQTGAVKVLI.doc

Transcription

1 Service Management Guide ISO 과효과적인 ITSM

2 머리말 안녕하십니까? IT 서비스관리분야의국제표준인 ISO/IEC 20000이 2005년 12월에제정된이후만 3년이지났습니다. 길지않은기간이었지만예상보다많은 IT 조직이인증을획득하였고 2007년 7월에지식경제부기술표준원에서우리나라표준인 KS 20000으로제정하여확산속도가더욱빨라지고있습니다. 인증기관인 BSI가 2007년에 ISO 인증을받은세계 63개기업을대상으로설문조사한결과 ISO 20000이조직에꼭필요하다고생각하는기업이 80% 를차지하였습니다. ISO 20000은 IT 서비스관리역량을시장에서인정받는수단이자지속적인성과개선을위한프레임워크로서앞으로더욱많이활용될것입니다. 이책자는처음에내부용도로작성하기시작하였으나 ISO 20000에대한상세한정보를원하시는고객이많아 IT 서비스관리실무자를위한공개가이드라인으로발간하였습니다. 실무적인내용을전달하는데중점을두었으므로 ISO 요건을이해하고구현하는데도움이될것으로기대합니다. 프로젝트를수행하면서작성하다보니시간과노력에제약이있어처음의도했던내용을담지못했거나단순나열된내용이적지않습니다. 앞으로기회가되는대로더욱충실하고구체적인내용으로찾아뵙겠습니다. 감사합니다. 참여저자 블루프린트 ( 코오롱베니트 ( 동부 CNI ( 강성수수석컨설턴트 안정선책임컨설턴트, 박남수이사 박현정과장 도서정보 정가 25,000 원 라이센스비상업적목적으로사용하는개인사용자를위한무료버전입니다. 인터넷사이트등공개적인장소에서다른사람과공유할수없습니다. 문의처 블루프린트서비스데스크

3 목차 1 ITSM 과 ISO PART 1: ITSM 개요...8 IT 서비스관리 (ITSM) 8 ITIL(IT Infrastructure Library) 8 IT 서비스관리포럼 (itsmf) 10 프로세스성숙도프레임워크 11 ITSM과 IT Governance 12 ITSM과 Six Sigma 13 PART 2: ISO 와국제표준...14 ISO에대하여 14 ISO 표준의목적 15 ISO 표준의이익 15 인증제도 16 PART 3: ISO ISO 20000의배경 19 ISO 적용범위 20 ISO 인증기대효과 20 ISO 요구사항의핵심 21 ISO 프로세스 22 ISO 20000의제정이력 26 다른모델 / 표준과의관계 27 2 ITSM 추진과정 30 PART 4: ITSM 추진단계...32 ITSM 추진단계 : 개요 32 ITSM 추진단계 : Set-up 32 ITSM 추진단계 : As-Is 33 ITSM 추진단계 : To-Be 36 ITSM 추진단계 : 이행 39 ITSM 추진단계 : 인증 41 ITSM 추진단계 : 지속적개선 41 PART 5: ISO 인증심사절차...43 인증범위선정시고려사항 43 ISO 인증심사절차 44 3 ITSM 구현및개선 49 PART 6: 관리시스템수립...50 관리시스템이란? 50 경영진이해야할일 51 관리시스템문서화 57 역할및책임 59 PART 7: 서비스관리기획및실행...61 PDCA 방법론 61 서비스관리계획 (Plan) 64 서비스관리실행 (Do) 67 서비스관리점검 (Check) 70 서비스관리조치 (Act) 72

4 신규서비스기획및제공 79 PART 8: 서비스제공 (Delivery) 프로세스...82 서비스수준관리 (Service level management) 82 서비스보고 (Service reporting) 85 서비스가용성관리 (Service availability management) 87 서비스연속성관리 (Service continuity management) 90 IT 서비스에대한예산수립및회계 (Budgeting and accounting) 94 용량관리 (Capacity management) 96 정보보안관리 (Information security management) 98 PART 9: 관계 (Relationship) 프로세스 비즈니스관계관리 (Business relationship management) 101 관계프로세스 : 공급자관리 (Supplier management) 104 PART 10: 해결 (Resolution) 프로세스 인시던트관리 (Incident management) 109 문제관리 (Problem management) 113 PART 11: 통제 (Control) 프로세스 구성관리 (Configuration management) 116 변경관리 (Change management) 122 PART 12: 릴리스 (Release) 프로세스 릴리스관리 (Release management) 127 부록 Ⅰ - ITSM 을성공으로이끄는비법 부록 Ⅱ - ITSM 구현예시 부록 Ⅲ - ITSM 자동화고려사항 부록 Ⅴ - ITSM 주요산출물 참고자료...162

5 그림목차 그림 1 ITIL 3판구성...9 그림 2 프로세스성숙도프레임워크 ( 출처 : ITIL V3 서비스설계 ) 그림 3 IT 관리프로세스성숙도모델 ( 출처 : Gartner, 2005년 9월 ) 그림 4 IT Governance 모델 ( 출처 : AS 8015:2005) 그림 5 ISO 표준제정절차 그림 6 산업영역별특정경영표준 그림 7 ISO/IEC 서비스관리프로세스 그림 8 ISO 9001과 ISO 20000의관계 그림 9 ISO 20000과 ITIL의관계 그림 10 ITSM 추진절차 그림 11 인증심사절차 그림 12 심사기간산정기준 그림 13 인증심사전최종점검예시 그림 14 심사발견사항등급예시 그림 15 The Shewhart Cycle( 출처 : 위키백과 ) 그림 16 서비스관리프로세스에대한계획-실시-점검-조치방법론 그림 17 데밍사이클 (The Deming Cycle) 그림 18 지속적인서비스개선모델 ( 출처 : ITIL V3 CSI) 그림 19 7 단계개선프로세스 ( 출처 : ITIL V3 CSI) 그림 20 서비스수준협약추진단계 그림 21 서비스복구수준 그림 22 서비스데스크상호작용 그림 23 인시던트분류예시 그림 24 우선순위예시 그림 25 변경위험범주및변경우선순위평가예시 그림 26 서비스분류사례 그림 27 프로세스프레임워크사례 그림 28 프로세스맵사례 그림 29 프로세스역할및책임사례

6 1 ITSM 과 ISO ISO/IEC 20000( 이하 ISO ) 은효과적인 IT 서비스관리 ( 이하 ITSM ) 시스템을구현하기위한필수요구사항을담고있다. 이책의목적은 ISO 인증을획득하려는조직의실무자에게상세한가이드를제공하는것이다. ITSM에대한전반적인정보는 ITIL(IT Infrastructure Library) 에있으므로이장에서는 ISO 20000을이해하는데필요한기본사항을정리하였다. ITSM은 IT 서비스에대한관리이므로일반적인서비스에대한기본개념을위키백과에서찾아보았다. 서비스 (Service) 또는용역 ( 用用 ) 은물질적재화이외의생산이나소비에관련한모든경제활동을일컫는다. 상품을제외한교사의수업, 이발사의이발, 일용직근로자들의일따위가서비스에속한다. 대개서비스는개인이남을위하여일하는행위를뜻하지만경제학에서도토지 자본 노동이라는각생산요소또는정부가무엇인가를생산하거나일상생활을위한인간적욕구를충족하기위해하는일련의행동을포함한다. 서비스는상품의 ( 비물질적 ) 동의어이다. 서비스를제공하는것은그결과가소유권으로나타나지않는경제적활동이고이것이물질적상품을제공하는것과다른점이다. 서비스는고객의변화, 고객이소유한물리적소유의변화또는고객의보이지않는자산의변화를통해이익을만드는프로세스라할수있다. 서비스제공자는일정수준의기술, 독창성및경험을공급하며, 재고를운반해야하는제약사항이나대량원자재에대한걱정없이경제에기여한다. 반면에경쟁우위를위해마케팅, 역량강화등전문성에대한투자가필요하다. 고객의요구는서비스로변환되어고객의이익이된다. 서비스관리는서비스를제공하는서비스공급자가자신의활동을관리하는것이다. 고객과자신의이익을위하여서비스공급자는고객이요구하는서비스가무엇인지, 어떤서비스를구현하고제공해야하는지, 이를잘수행해내려면어떤역량을갖추어야하는지, 시장에서자신의서비스를많이판매하기위해서어떻게해야하는지고민해야한다. IT 서비스는 ITIL V2의정의에따라주로정보시스템을의미했지만, 정보시스템에한정하지않고 IT 서비스기업이제공하는서비스인 IT 컨설팅, 시스템통합, IT 아웃소싱, 네트워크통합, 패키지솔루션등을모두포함하는것으로보아야한다. IT 서비스를관리하는프로세스는 ITIL V2의서비스제공 (delivery) 과서비스지원 (support) 중심으로 ITSM이구축되어왔기때문에 ITSM은어플리케이션및인프라운영 (operation) 활동으로인식되었다. ISO 20000도기존제공및지원프로세스에경영시스템표준으로서의요구사항 PART 1: ITSM 개요 6

7 이추가되었는데 COBIT과비교하면전체 IT 관리프로세스를포괄한다고보기어려우나 ITIL V3의출간을계기로 ITSM이 IT 서비스및프로세스전반을포괄할것으로예상한다. 중요한것은 IT 조직이자신의 IT 관리프레임워크를구축하고이를기반으로다양한표준, 모델을수용하는것이다. 7 ISO/IEC 과효과적인 ITSM

8 PART 1: ITSM 개요 ISO 20000은 ITSM에대한국제표준이므로먼저 ITSM과 ITIL에대해간단히요약해보았다. ITSM을처음접할때 ITSM과 ITIL을착각할수있다. ITSM은 EA, BPM과같은관리또는기술영역을의미하며 ITIL은 ITSM 관련베스트프랙티스및가이드를제공하는책을말한다. IT 서비스관리 (ITSM) ITIL은서비스를 고객이특정비용및위험부담없이달성하려는결과를얻을수있도록촉진하여 (facilitate) 고객에게가치를제공하는수단 으로정의하고있다. 서비스관리는어플리케이션제공, 서버관리, 장애처리같은관리활동을포괄하지만협소하게접근해서는안되며 IT가비즈니스의일부로서가져야하는경쟁력 이라는넓은의미로바라보아야한다. 서비스관리는 IT 조직의성공을위해아래와같은이슈들을다룬다. IT 전략수립 비즈니스목표와 IT 목표연계 지속적인서비스개선 IT 효과성및효율성측정 ROI 산정및입증 비즈니스및 IT 간관계증진 프로젝트성공률향상 아웃소싱의사결정 효과적 IT 거버넌스입증 ITIL(IT Infrastructure Library) 영국 OGC(Office of Government Commerce) 가주도하여 1989년부터출판한 ITIL은 IT서비스관리 (IT Service Management) 의선진사례 (Best Practice) 를제공하는공개적인프레임워크이며현재사실상업계표준이되었다. ITIL 최초버전은 IT 서비스제공의모든측면을다루는 31권의책으로구성되었으며 2판 (ITIL V2) 에서연계및일관성을강화하여 7권으로통합되었다. 그리고 2007년에 3판 (ITIL V3) 이발행되었으며서비스수명주기를다루는 5권의핵심책자 (Core books) 와공식소개책자 (Official Introduction) 한권으로구성되었다. PART 1: ITSM 개요 8

9 그림 1 ITIL 3 판구성 ITIL V3 책제목 서비스전략 (Service Strategy) 주요내용 전략적인목표를달성하기위해서는서비스관리를전략적자산으로사용해야 하며, 이를위해서비스관리를전략적자산으로변환하는방법에대한가이드 를제공 전략적자산으로서서비스관리에대한가이드 서비스시장개발, 서비스자산, 서비스카다로그, 서비스수명주기에서전략구현 서비스설계 (Service Design) 전략을실현하고고객이만족하는고품질서비스를비용효과적으로제공할수 있도록 IT 서비스를설계하기위한가이드를제공 서비스관리와서비스관리프로세스설계및개발가이드 전략적목표를서비스자산으로변환하는방법과설계원칙 서비스전환 (Service Transition) 신규및변경서비스를운영으로전환하는역량을개발하기위한가이드를제공 새로운서비스운영역량개발가이드 위험, 실패및장애통제 서비스운영 (Service Operation) 전략적목표는궁극적으로서비스운영을통해실현되며, 서비스제공및지원 을효과적, 효율적으로수행하기위한가이드를제공 서비스운영을통한전략적목표실행가이드 서비스운영프로세스, 운영도구 지속적인서비스개선 (Continual Service Improvement) 더좋은설계, 전환그리고운영을통해고객의가치를창출하고유지하기위한 지침을제공 서비스를통한고객가치창출및유지도구 품질관리, 변경관리, 역량향상원칙 9 ISO/IEC 과효과적인 ITSM

10 전세계적으로수천개의조직이 ITIL을적용하고있으며주요기대효과는다음과같다. IT 서비스에대한사용자및고객만족도증대 향상된서비스가용성을통해비즈니스성과에기여 재작업및서비스중단의감소, 자원관리및활용의효율화로원가절감 신규제품및서비스의개발및출시기간단축 의사결정개선및위험관리최적화 IT 서비스관리포럼 (itsmf) itsmf는 IT Service Management Forum을의미하며 1991년영국에서설립된 IT 서비스관리분야의독립적이고국제적으로인정받는비영리조직이다. itsmf는전적으로회원들에의해소유되고운영된다. itsmf는 itsmf 인터내셔널과각국가의지부 (Chapter) 로구성되며 2008년현 PART 1: ITSM 개요 10

11 재전세계적으로약 6,000여개의회원사가활동중이며 40개이상의지부에 70,000명의개인이가입되어있다. itsmf 인터내셔널이운영통제, 정책설정그리고목적및방향수립의임무를맡고있다. 한국 itsmf(itsmf Korea) 는 2004년 9월에공식창립되었으며 2005년부터매년 ITSM 컨퍼런스를개최하는등다양한활동들을통해국내 ITIL 보급및확산에기여하고있다. ITIL 개발및확산 ISO 인증의소유와관리 IT 서비스관리전문가경력개발프로그램운영 매년국제컨퍼런스, 전시회, 세미나등을개최 격월저널 Service Talk 발행 ITIL 인증위원회 (ITIL Certification Board) 에 OGC, ISEB & EXIN 등과함께참여 프로세스성숙도프레임워크 ITSM 프로세스역량은성숙도모델을통해벤치마킹할수있다. ITIL V3는 SEI(Software Engineering Institute) 의역량성숙도모델 (CMM) 을참조하여프로세스성숙도프레임워크를제시하였다. IT 거버넌스프레임워크인 CoBIT은성숙도의 3가지관점으로역량 (capability), 통제 (control), 범위 (coverage) 를제시하였다. 성숙도모델과 ISO 인증은의도하는목적이달라인증획득시성숙도모델의어느수준에해당하는지직접적으로정할수없다. 그림 2 프로세스성숙도프레임워크 ( 출처 : ITIL V3 서비스설계 ) 11 ISO/IEC 과효과적인 ITSM

12 그림 3 IT 관리프로세스성숙도모델 ( 출처 : Gartner, 2005 년 9 월 ) ITSM 과 IT Governance IT 거버넌스에대해다양한관점과견해가존재한다. ITSM과 IT 거버넌스의관계를살펴보기위해호주의 IT 거버넌스표준인 AS 8015(AS Corporate governance of information and communication technology) 를참조하였다. ITSM과 IT 거버넌스도관점 ( 고객과서비스제공자, 통제자와피통제자 ) 이다르므로동일선상에서비교할수없다. 다만 AS 8015가제시하는 IT 거버넌스모델에서보면 IT 거버넌스는위쪽삼각형, ITSM은아래사각형에보다치중한다고생각할수있겠다. PART 1: ITSM 개요 12

13 그림 4 IT Governance 모델 ( 출처 : AS 8015:2005) ITSM 과 Six Sigma 2007년에 itsmf 한국지부는 itsmf 네덜란드지부가발간한 Six Sigma for IT Management 를번역하여 6시그마와 IT 서비스 라는책을펴냈다. 이책은 ITIL과 6시그마의기본개념, ITSM에 6시그마가필요한까닭, 6시그마를적용하여 IT 프로세스를개선하는방법을포함하였으며다양한사례와실제적용시활용할수있는여러가지기법과템플릿을제공한다. 앞으로나올이러한해설상자에는상황에따라필요 한추가정보나참조또는개념이나용어의뜻을풀 어놓았다. 13 ISO/IEC 과효과적인 ITSM

14 PART 2: ISO 와국제표준 ISO(International Organization for Standardization, 국제표준화기구 ) 는 1947년에설립된세계최대의국제표준제정및출판기관으로서 157개국의국가표준기관들의네트워크이다. ISO란이름은 국제표준화기구 (International Organization for Standardization) 라는의미를갖는약자가언어별로달라서 ( 영어로는 IOS, 프랑스어로는 OIN - Organisation internationale de normalisation) 설립자가별도로 ISO라고부여하였으며, ISO는그리스어의평등 (equal) 을뜻하는 isos에서유래하였다.) ISO 에대하여 ISO의설립목적은상품및서비스의국제적교환을촉진하고, 지적, 과학적, 기술적, 경제적활동분야의협력증진을위해국제표준화및관련활동의발전을도모하는것이며이러한목적을달성하기위해다음과같은업무를수행한다. 표준화및관련활동이세계적으로더욱조화되도록필요한조치를취한다. 국제규격을개발, 발간하며, 이규격들이국제적으로사용되도록한다. 회원기관및기술위원회의작업에관한정보의교환을주선한다. 관련문제에관심을갖는다른국제기구와협력하고, 특히이들이요청하는경우, 표준화사업에관한연구를통하여타국제기구와협력한다. ISO의회원가입현황은 2007년 5월현재정회원 (Member body) 에 104개국, 준회원 (Correspondent Member) 에 43개국, 간행물구독회원 (Subscriber Member) 에 9개국등총 156개국이가입, 활동하고있다. 우리나라는 ( 구 ) 공업진흥청표준국이 KBS(Korean Bureau of Standards) 라는명칭으로우리나라를대표하여 1963년 ISO에정회원으로최초가입하였으며, 정부조직개편에따라 1997년국립기술품질원 (KNITQ: Korean National Institute of Technology and Quality) 으로회원기관명칭을변경하였고, 1999년이후로는기술표준원 (KATS: Korean Agency for Technology and Standards) 이정회원으로활동하고있다. ISO 조직은이사회 (Council) 를중심으로총회 (General Assembly), 중앙사무국 (Central Secretariat), 기술관리이사회 (Technical Management Board), 정책개발위원회 (Policy Development Committee), 이사회상임위원회 (Council Standing Committee), 특별자문그룹 (Ad hoc Advisory Group) 으로구성되어있으며, 표준개발을담당하는기술위원회 (Technical Committee) 는기술관리이사회에속해있다. ISO 20000은정보기술 (Information Technology) 산업의표준을담당하는 JTC1(Joint Technical Committee, IEC와의공동기술위원회 ) 에서제정및개정된다. ISO 표준제정절차는일반적으로제안부터발행까지 6단계로구성되며, ISO/IEC 기술작업지침서 (Directive) 를준수한다. 신규규격제안은 ISO 국가회원기관, TC/SC 간사기관, 연계기관, 기술 PART 2: ISO 와국제표준 14

15 관리이사회또는자문그룹, ISO 사무총장에의해이루어질수있고, 작업안은해당기술위원회의 정회원들에게회부되어투표를거친다. 그림 5 ISO 표준제정절차프로젝트단계 문서명칭 약어 0. 예비단계 예비업무항목 PWI 1. 제안단계 신규업무항목제안 NP 2. 준비단계 작업초안 WD 3. 위원회단계 위원회초안 CD 4. 질의단계 질의안 ( 국제규격안 ) DIS 5. 승인단계 최종국제규격안 FDIS 6. 출판단계 국제규격 ISO IEC는국제전기기술위원회이며 International Electrotechnical Commission 의약자이고전기및전자분야에서표준화에대한제반현안및관련사항에대한국제간협력을촉진하여국제간의이해를증진하고자설립되었다. ISO 표준은 IEC가 ISO/IEC 기술작업지침서 (Directive) 에따라 ISO와공동으로개발하였으며두기구의표준이므로 ISO와 IEC를병기하여표기한다. ISO 표준의목적 ISO 표준은다음과같은역할을한다. 더욱효율적이고안전하며깨끗한제품및서비스를개발, 제조및공급한다. 국가간무역을촉진하고더공정하게한다. 정부가건강, 안전및환경법규마련시기술적기반과적합성평가를제공한다. 기술적진보와바람직한관리방법을공유한다. 혁신을전파한다. 제품과서비스의고객및일반사용자를보호한다. 공통적인문제들의해결책을제시하여삶을더쉽고편하게한다. ISO 표준의이익 ISO 표준은기술적, 경제적, 사회적이익을제공하며각이해관계자는다음과같은이익을기대할수있다. 비즈니스측면에서국제표준이광범위하게채택된다는것은공급자들이각산업분야에서국제적으로널리받아들이는요구사항을충족하는제품과서비스를생산및제공한다는것을의미한 15 ISO/IEC 과효과적인 ITSM

16 다. 따라서국제표준을사용하는회사들은전세계에걸쳐더많은시장에서경쟁할수있다. 새로운기술을개발할때는국제표준의용어, 호환성및안전성같은측면들이혁신을전파할수있고제조및판매가가능한제품을더쉽게개발할수있도록한다. 국제표준에기반하여개발된제품및서비스의전세계적기술경쟁력은고객들에게더넓은선택기회를제공하며공급자들의경쟁효과로도이익을볼수있다. 또한제품및서비스의국제표준적합성은품질, 안전및신뢰성에대한보증을제공한다. 정부에게는건강, 안전및환경법규를떠받치는기술적과학적기반을제공하며무역과관련해서는해당시장의모든경쟁자들에게 공정한경쟁환경 (a level playing field) 을만들고기술적무역장벽의역할도하여정치적무역협정을적용하는기술적수단이기도하다. 국제표준은우리가사용하는운송수단, 기계및도구가안전하다고확신할수있게하여일반적으로모든사람의삶의질에기여한다. 공기, 물및토양의질, 가스의배출그리고제품의방사능및환경적측면의국제표준은우리가살고있는지구의환경보존노력에기여할수있다. 인증제도 ISO 표준중에 ISO 9001이나 ISO 같은경영표준 (Management Standards) 은좋은관리사례 (Practice) 에대한요구사항 (requirements) 이나가이드를제공하며 ISO가제안하는것들중에서도가장잘알려져있다. 최근에는표 1.2와같은특정산업영역의수요를충족하기위한경영표준들이더욱늘어나고있으며 IT 서비스관리에대한 ISO/IEC 20000( 이하 ISO 20000) 도그중하나이다. 그림 6 산업영역별특정경영표준 산업 (Sector) 관련표준 (Standard) 식품안전 (Food safety) ISO 22000:2005 정보보안 (Information security) ISO/IEC 27001:2005 공급망보안 (Supply chain security) ISO 28000:2007 자동차 (Automotive) ISO/TS 16949:2002 석유및가스 (Petroleum and gas) ISO 29001:2003 의료장비 (Medical devices) ISO 13485:2003 교육 (Education) IWA 2:2007 의료 (Health care) IWA 1:2005 지방정부 (Local government) IWA 4:2005 ISO 에서 인증 (certification) 은독립적인외부기관이경영시스템 (management system) 을 심사하여표준에서정한요구사항에적합하다는것을검증하고발행한문서화된보증 ( 인증서, PART 2: ISO 와국제표준 16

17 the certificate) 을의미한다. 등록 (registration) 은인증과유사한의미로인증기관이고객등록부에인증을부여한사실을기록하는것을의미한다. 일반적으로인증이라는용어가널리사용되며등록은북아메리카에서선호된다. 인정 (accreditation) 을인증과같은뜻으로사용하는것은잘못이며인정은다른의미이다. 인정은인증기관 (certification body) 이특정비즈니스영역에서 ISO 인증을수행할수있는자격을갖추었다는것을특별한기관 - 인정기관 (accreditation) - 이공식적으로승인했음을뜻한다. 간단히말하면인정은인증기관에대한인증이라고할수있다. ISO 자체적으로조직을심사하거나인증서를발행하지않으며인증심사는고객 ( 인증을받고자하는조직 ) 과공급자 ( 인증기관 ) 간의문제이다. ISO 인증체계 (scheme) 는 itsmf가승인한제3자인증기관이독립적으로검증하여인증을수여하게한다. 17 ISO/IEC 과효과적인 ITSM

18 PART 3: ISO ISO 20000은 IT 서비스관리시스템 (ITSMS: IT Service management system) 요구사항을담고있다. ITSMS는내부또는외부고객에게제공하는서비스가일정수준이상임을보장할목적으로회사의 IT 부서또는 IT 서비스아웃소싱제공자가사용할수있다. ISO 20000은 IT 서비스관리활동을수행하고현재의 IT 서비스관리를벤치마크하기원하는조직이라면어떤규모의조직에도적용가능하다. ISO 20000은국제적으로인지도를높이고있는 IT 서비스관리포럼 (itsmf) 이개발한영국표준 BS 15000을기반으로하였다. ISO 20000은경영시스템표준의한종류이다. 경영시스템표준의근간은통합시스템운영으로중복과비용을줄이는다른경영시스템표준 ( 예 : ISO 9001) 과마찬가지로계획-실행-점검-조치주기 (PDCA, Plan-Do-Check-Act 주기 ) 이다. 또한 ISO 20000은 ITIL(IT Infrastructure Library) 에기반하였으므로이를통해모범사례에대한역량을입증할수있다. ISO 20000은 IT 서비스제공조직이내, 외부고객에대한 IT 서비스품질을높이는관리방법을이해하고적용할수있는인증요구사항 (ISO/IEC :2005) 과해석지침 (ISO/IEC :2005) 으로구성되었다. ISO/IEC :2005 (ITSM. Specification for Service Mgmt) 은 IT 서비스관리에대한인증요구사항으로 IT 서비스관리의착수, 실행, 유지관리에초점을두고있다. 이조항들은 Shall (~ 해야한다 ) 이라는문구를포함하고있으며, 인증획득을위해반드시충족되어야한다. ISO/IEC :2005 (ITSM. Code of Practice for Service Mgmt) 은 ISO 의요구사항을충족하기위한지침과권고를제공한다. IT 서비스제공조직은자사의 IT 서비스관리시스템이이규격의요구사항을만족하고있다는것을인증기관의독립적심사를통해검증받음으로써 ISO 인증을획득할수있다. ISO 20000은 2005년 12월 BS 이국제표준 ISO 20000이되었으며두부분으로출판되었다. ISO/IEC :2005 Part 1: Specification ISO/IEC :2005 Part 2: Code of practice 2008 년 3 월현재사용할수는없지만파트 3 과파트 4 로표준이확대되고있다. ISO/IEC :2007 Part 3: Scoping and applicability ISO/IEC :2007 Part 4: Service Management Process Reference Model 그리고, ISO 표준과함께사용할수있는지침들이있다. BIP 0005: A Manager s Guide to Service Management BIP 0015 IT Service Management: Self-assessment Workbook ( 현재 ITIL V2 에대한심사 PART 3: ISO

19 용이며 ITIL V3 용으로개정중임.) ISO 파트 1 과파트 2 는 2007 년한국산업규격으로제정되었다. KS X ISO/IEC :2007 정보기술 - 서비스관리 - 제 1 부 : 명세서 KS X ISO/IEC :2007 정보기술 - 서비스관리 - 제 2 부 : 실행지침 ISO 20000의핵심은고객에게 IT 서비스를제공하고관리하기위한통합된프레임워크이다. 이표준은 IT 서비스관리의모범사례인 ITIL(IT Infrastructure Library) 에기반하였다. ISO 은비즈니스요구사항을만족하는서비스를제공할수있는서비스문화와방식을포함하여다음사항들을제공한다. 서비스관리프로세스와관련된많은프로세스들을규정 프로세스간의관계를식별하고조직내에서프로세스적용시이러한독립적인관계들을정의 조직이전문화된서비스 (managed service) 를제공할수있도록가이드라인, 목표, 통제사항을제시 ISO 의배경 서비스제공자는고객에게최선의결과를제공할필요가있지만때때로신기술또는보이지않는조건및환경에직면하여어려움을겪게된다. ISO 20000은조직내 IT 부서, 외부아웃소싱사업자등 IT서비스제공자를위한모범사례들을포함한다. 시간, 비용과같은비즈니스조건속에서서비스제공자들은흔히문제를예방하는것보다문제에대응하는데에훨씬많은시간을사용한다. 우수한서비스제공자들은다른무엇보다도문제가발생하지않을것임을보장하기위해고객과함께계획, 교육훈련, 조사및작업을수행한다. 고객에게높은수준의서비스를제공하기위해애쓰는동안서비스제공자들은또한개선된품질, 저비용그리고더빠른고객대응을요구받는다. 고객에게 IT 서비스를제공하고관리하기위한통합된프레임워크는조직내에서통제, 더큰효과성그리고개선을위한기회들을제공할수있다. ISO 20000은바로이러한프레임워크를대표한다. 이프레임워크의핵심에서 IT 서비스관리시스템 (ITSMS) 은고객 ( 내부또는외부 ) 에게제공되는 IT 서비스관리에대한시스템적접근법을구성하며사람, 프로세스및 IT 시스템을포함한다. ISO 20000은 IT 서비스관리시스템에대한요구사항을정하며, 비즈니스및고객의요구를충족시키는효과적 IT 서비스제공을위한핵심프로세스를식별하고관리하는것을지원한다. 19 ISO/IEC 과효과적인 ITSM

20 ISO 적용범위 ISO 규격에서는적용범위를다음과같이정의하고있다. 이규격은고객에게만족스러운품질의서비스를제공하기위해서비스제공자에대한요구사항을정의하고있다. 이규격은다음의경우에사용된다. a 서비스를제공하기위한비즈니스 b 공급망에있는모든서비스제공자에게일관된접근방법이요구되는비즈니스 c IT 서비스관리를벤치마크하고자하는서비스제공자 d 독립적심사를위한근거 e 고객요구사항을만족하는서비스제공능력에대한입증이필요한조직 f 서비스품질을모니터하고개선하기위한프로세스의효과적인적용을통해서비스를개선하고자하는조직 이규격을적용하는더구체적인사례는다음과같다. IT 서비스를아웃소싱으로제공하는 IT 서비스회사 (SI 회사 ) 세계여러공장의 IT 아웃소싱이일관된접근방법으로제공되기원하는자동차회사 현재의 IT 서비스관리수준이국제적인수준에부합하는지, 무엇이부족한지알기원하는회사 ISO 인증심사시 해외진출을위해자사의서비스제공능력이국제수준임을입증하고자할때 서비스수준향상을위해관리프로세스를개선하고자할때 ISO 인증기대효과 ISO 적용을통해조직이얻을수있는이점은다음과같다. 서비스품질향상및 IT서비스의가용성, 신뢰성및보안성향상 서비스품질대비 IT 비용계량화 비즈니스, 고객및사용자요구사항을만족하는서비스제공 주요 IT 프로세스통합 서비스제공조직의책임및역할정의및인식 경험에서축적된검증된지식활용 IT 서비스관리의명확한성과지표제시 ISO 인증을획득하면다음과같은효과를기대할수있다. PART 3: ISO

21 서비스관리역량을공인받아대내외인지도및신뢰성향상 ISO 20000은 ITIL(IT Infrastructure Library) 에기반하였으므로인증을통해 Best Practice 이행역량을입증할수있다. 통합된시스템운영으로중복제거및비용감소 ISO 20000은경영시스템을기반으로한다. 다른경영시스템표준 ( 예 : ISO 9001) 과마찬가지로 PDCA 주기에기초하여통합된시스템을운영할수있어중복을제거하고비용을줄일수있다. 지속적인성과개선기반마련서비스관리프로세스가상호작용하도록연계및통합하여실행하면지속적개선을위해필요한상시적인통제, 높은효율성및개선기회를얻을수있다. 프로세스준수통제를위한효과적수단제공 6개월에한번씩내 / 외부심사를실시하게되어프로세스준수에대한통제뿐만아니라개선기회를도출할수있다. ISO 요구사항의핵심 ISO 의핵심요구사항은다음 4 가지사항을꼽을수있다. 최고경영자의의지 (Management commitment) 최고경영자의의지를객관적으로입증하도록요구 프로세스를기본으로한접근방식 (Process based system) 모든서비스관리활동에입력과출력을전제로한프로세스접근방식을요구 지속적인개선을전제로한시스템의성과와유효성확보 (Performance improvement & effective management) 자원을투입한만큼반드시성과를얻을수있도록시스템을수립하고운영하도록요구 시스템의성과를확보할수있도록서비스관리방침과연계한측정가능한관리목표를수립하고주기적으로모니터링할것을요구 고객만족의달성 (Customer satisfaction) 고객만족은서비스관리의궁극적인목표 고객요구사항을파악하고이를만족할것을요구 고객만족모니터링 21 ISO/IEC 과효과적인 ITSM

22 위 4가지핵심요구사항은다음과같은 IT 서비스관리 8원칙에입각한것이다. ISO 20000은품질경영표준이므로품질경영 8원칙에따른다. 고객중심 (Customer focus) 조직은고객에의존하고있다. 따라서, 현재및미래의고객의요구를이해하고고객요구사항을충족하며고객의기대를능가하도록노력하여야한다. 리더십 (Leadership) 리더는조직의목적과방향의일관성을확립한다. 리더는사람들이조직의목표를달성하는데전적으로참여할수있는내부환경을조성하고유지하여야한다. 전원참여 (Involvement of people) 모든계층의사람들이조직의필수요소이다. 따라서전원이참여함으로써그들의능력이조직의이익을위하여발휘될수있다. 프로세스접근방법 (Process approach) 관련된자원및활동이하나의프로세스로관리될때바라는결과가보다효율적으로얻어진다. 경영에대한시스템접근방법 (System approach to management) 상호연계된프로세스를하나의시스템으로파악하고이해하며관리하는것은조직의목표를효과적이며효율적으로달성하는데이바지한다. 지속적개선 (Continual improvement) 조직의총체적성과에대한지속적개선은조직의영구적인목표이다. 의사결정에대한사실적접근방법 (Factual approach to decision making) 효과적인의사결정은데이터및정보의분석에근거한다. 상호유익한공급자관계 (Mutually beneficial supplier relationship) 조직및조직의공급자는상호의존적이며, 이들의상호이익이되는관계는가치를창출하기위한양쪽모두의능력을증진시킨다. ISO 프로세스 ISO 20000은명시적으로아래 5개서비스관리프로세스그룹을규정한다. 그러나, 적용조직에서는관리시스템요구사항을비롯하여전체 ISO 요구사항을충족시키기위하여더많은프로세스를수립, 이행할필요가있다. 서비스제공프로세스 (Service Delivery Processes) 서비스수준관리, 가용성관리, 용량관리등 관계프로세스 (Relationship Processes) 서비스제공자와고객및공급자간의인터페이스를포함 PART 3: ISO

23 해결프로세스 (Resolution Processes) 해결또는예방할인시던트에초점을맞춤 통제프로세스 (Control Processes) 변경관리, 구성관리등 릴리스프로세스 (Release Process) 신규또는변경소프트웨어 / 하드웨어의배포관리 그림 7 ISO/IEC 서비스관리프로세스 ISO 은프로세스접근법의적용을촉진시켜비즈니스및고객요구사항을충족하는전문 화된서비스 (managed service) 가보다효과적으로제공되도록한다. 관리시스템요구사항 요구사항조항 관리책임 요구사항요약 모든 IT 서비스를효과적으로관리하고구현하도록하는관리방침과프레임워 크를포함하는관리시스템을제공 핵심단어 : 최고경영진의 ITSM 에대한의지, 서비스관리방침및목표, 고객 만족, ITSM 책임자선임, 위험관리, 서비스관리검토 문서화요구사항 효과적인기획, 운영및통제를보장하기위해문서와기록관리 핵심단어 : 서비스관리방침문서화, 서비스관리계획문서화, SLA 문서화, 프로세스문서화, 문서관리절차, 기록관리절차 적격, 인식및교육훈 련 서비스관리의역할및책임을효과적인실행을위한적격성과함께정의하고 유지, 교육훈련필요성파악, 계획, 실시및평가 핵심단어 : 서비스관리역할및책임, 적격성, 교육훈련, 직원들의인식 23 ISO/IEC 과효과적인 ITSM

24 서비스관리기획및실행 요구사항조항 서비스관리계획 (Plan) 요구사항요약 서비스관리의구현및제공을위한계획을수립 핵심단어 : 서비스관리계획 (SMP), 서비스관리계획시필수정의항목, 서 비스관리계획관리절차 서비스관리실행및 서비스제공 (Do) 서비스관리계획실행 핵심단어 : 서비스관리계획실행, 위험관리, 팀관리, 진척관리, 프로세스 조정 모니터링, 측정및검 토 (Check) 서비스관리목적과계획의달성여부, 달성현황점검및검토 핵심단어 : 서비스관리모니터링및측정, 서비스관리검토, 서비스관리심 사 지속적개선 (Act) 서비스제공및관리의효과성과효율성향상 핵심단어 : 서비스개선방침, 시정조치, 개선활동에대한역할및책임, 제안 된개선사항관리, 서비스개선계획, 서비스개선프로세스, 기준선, 벤치마 킹, 개선목표 신규또는변경서비스기획및구현 요구사항조항 하위조항없음. 요구사항요약 신규서비스또는변경사항이합의된비용및서비스품질로제공되고관리됨 을보장 핵심단어 : 신규서비스제안, 변경관리연계, 신규서비스계획, 신규서비 스인수, 신규서비스모니터링및보고, 신규서비스구현후검토 서비스제공프로세스 요구사항조항 서비스수준관리 요구사항요약 서비스수준을정의, 합의, 검토, 개선 핵심단어 : 서비스카탈로그, 서비스수준협약, SLA 변경, SLA 검토, 서비스 수준모니터링및보고, 서비스수준관리프로세스개선 서비스보고 정보에근거한의사결정과효과적인의사소통을위하여합의되고적시의신뢰 성있는정확한보고를제공 핵심단어 : 서비스보고서포함사항, 서비스보고서활용 서비스연속성및가 용성관리 고객과합의한서비스연속성과가용성의이행의지를어떠한상황에서도보장 하기위함. 핵심단어 : 가용성과서비스연속성요구사항, 가용성및서비스연속성계획, 계획검토및변경, 계획재테스트, 가용성측정및기록, 정상적인사무실접 근금지시대비, 서비스연속성계획테스트및조치 PART 3: ISO

25 IT 서비스예산및회 계 서비스제공비용에대한예산수립및회계 핵심단어 : 예산및회계방침, 예산수립및회계프로세스, 서비스중심간 접비 / 직접비, 효과적인권한부여, 비용모니터링및보고, 변경에대한비용 산정및승인 용량관리 서비스제공자가항상고객비즈니스요구로인한현재및미래의합의된수 요를충족하기위해충분한용량을확보 핵심단어 : 용량관리계획, 현재및미래용량, 서비스업그레이드, 영향평가및예측, 예측데이터및프로세스, 용량모니터링, 용량관리방법 / 절차 / 기법 정보보안관리 모든서비스활동에있어효과적인정보보안관리 핵심단어 : 보안방침및의사소통, 보안관리문서화, 접근보안정의및합 의, 보안인시던트처리, 보안인시던트분석, 정보보안관리개선 관계프로세스 요구사항조항 비즈니스관계관리 요구사항요약 고객과고객의비즈니스드라이브에대한이해를토대로서비스공급자와고 객사이의원활한관계를수립하고유지 핵심단어 : 이해당사자및고객프로파일, 서비스검토회의, 계약 /SLA 변경, 불만처리, 고객관리담당자, 고객만족도측정, 고객관계관리개선 공급자관리 일정한품질의서비스제공을보증하기위한공급자관리 핵심단어 : 공급자관리프로세스문서화, 계약관리자, 공급자서비스수준협약, 프로세스인터페이스문서화및합의, 주 / 부공급자, 공급자서비스검토, 공급자서비스수준협약변경, 계약분쟁처리, 서비스조기종료처리프로세스, 서비스수준모니터링및검토, 공급자관리개선 해결프로세스 요구사항조항 인시던트관리 요구사항요약 합의된서비스가가능한빨리비즈니스에복구또는서비스요청에대응 핵심단어 : 인시던트기록, 영향관리, 인시던트관리절차, 고객의사소통, 인 시던트관리에필요한정보, 주요인시던트관리 문제관리 인시던트의원인을사전에식별하고분석하고문제의종결관리를통해비즈 니스의중단을최소화 핵심단어 : 문제기록, 영향관리, 문제관리절차, 예방적활동, 문제해결안 모니터링및보고, 지식관리, 문제관리개선 25 ISO/IEC 과효과적인 ITSM

26 통제프로세스 요구사항조항 구성관리 요구사항요약 서비스구성요소와인프라를정의및통제하고정확한구성정보를유지 핵심단어 : 변경및구성에대한통합접근법, 프로세스인터페이스, 구성항 목식별, 구성정보정의, 통제메커니즘, 변경영향정보제공, 추적및심사, 무결성유지, 기준선설정, DML, CMDB, 구성정보공유 변경관리 모든변경들이통제된방식으로심사, 승인, 구현및검토됨을보장 핵심단어 : 문서화된변경범위, 변경요청기록 / 분류 / 영향평가, 변경전복구, 변경후검토, 긴급변경, 변경및릴리스일정연계, 변경일정공유, 변경 분석, 변경개선 릴리스프로세스 요구사항조항 릴리스관리 요구사항요약 릴리스에있는하나또는그이상의변경을운용환경에제공하고배포하며 추적 핵심단어 : 릴리스방침, 릴리스계획, 릴리스전복구, 릴리스관리절차, 긴급릴리스, 인수테스트환경, 무결성유지, 릴리스측정, 릴리스분석, 릴리스개선 ISO 의제정이력 최초가이드라인발행 (1995) PD 0005: 1995/1998 서비스관리이행가이드 (A code of practice for Service Management) 영국표준발행 (2000) BS : 2000 서비스관리요구사항 (Specification for Service Management) PD 0015: 2000 IT 서비스관리자가진단워크북 (IT Service Management Selfassessment Workbook) 영국표준개정발행 (2002/3) BS : 2002 파트 1 서비스관리요구사항 (Specification for Service Management) BS : 2003 파트 2 서비스관리이행가이드 (Code of Practice for Service PART 3: ISO

27 Management) BIP 0005:2003 IT 서비스관리자를위한가이드 (IT Service Management: A Manager s Guide) PD0015: 2002 IT 서비스관리자가진단워크북 (IT Service Management Self-assessment Workbook) 국제표준발행 (2005) BS 을 ISO 으로전환발행함. ISO 과다른모델 / 표준의관계 ISO 은 ISO 9001 품질경영시스템표준을근간으로하여제정되었다. 따라서 ISO 을 충분히이해하기위해서는 ISO 9001, ISO 등다른표준을참고해야한다. 그림 8 ISO 9001과 ISO 20000의관계 ISO 9001 ISO 품질경영시스템 4.1 일반요구사항 4.2 문서화요구사항 3.2 문서화요구사항 일반사항 품질매뉴얼 문서관리 3.2 문서화요구사항 기록관리 3.2 문서화요구사항 5. 경영책임 3.1 관리책임 5.1 경영의지 3.1 관리책임 5.2 고객중심 3.1 관리책임 5.3 품질방침 5.4 기획 4.1 서비스관리기획 5.5 책임, 권한및의사소통 5.6 관리검토 3.1 관리책임 6 자원관리 6.1 자원확보 4.2 서비스관리구현 (Do) 6.5 용량관리 6.2 인적자원 4.2 서비스관리구현 (Do) 6.5 용량관리 적격성, 인식및교육훈련 3.3 적격성, 인식및교육 6.3 기반구조 4.2 서비스관리구현 (Do) 27 ISO/IEC 과효과적인 ITSM

28 6.4 업무환경 4.2 서비스관리구현 (Do) 7. 제품실현 7.1 제품실현의기획 6.1 서비스수준관리 7.2 고객관련프로세스 7.1 비즈니스관계관리 6.1 서비스수준관리 7.3 설계및개발 5. 신규서비스또는변경된서비스기획및구현 7.4 구매 7.3 공급자관리 7.5 생산및서비스제공 4.2 서비스관리구현 (Do) 생산및서비스제공의관 모든요구사항및프로세스 리 생산및서비스제공에대 4.3 모니터링, 측정및검토 (Check) 한프로세스의타당성확인 7.5 식별및추적성 9.1 구성관리 9.2 변경관리 10.1 릴리스관리 고객재산 제품의보존 9.1 구성관리 9.2 변경관리 10.1 릴리스관리 7.6 모니터링장치및측정장치의 관리 8. 측정, 분석및개선 8.1 일반사항 4.3 모니터링, 측정및검토 (Check) 6.1 서비스수준관리 8.2 모니터링및측정 4.3 모니터링, 측정및검토 (Check) 고객만족 7.1 비즈니스관계관리 내부심사 4.3 모니터링, 측정및검토 (Check) 프로세스의모니터링및측 6.2 서비스보고 정 제품의모니터링및측정 6.1 서비스수준관리 8.3 부적합제품의관리 8.1 인시던트관리 8.2 문제관리 8.4 데이터의분석 4.3 모니터링, 측정및검토 (Check) 6.2 서비스보고 8.5 개선 4.4 지속적개선 지속적개선 시정조치 예방조치 PART 3: ISO

29 ISO 과 ITIL 의관계를그림에표현하였다. ISO 은 IT 서비스관리를효과적으로수 행할수있는최소한의요구사항이고요구사항에대한적합성이중요하며, ITIL 은 ITSM 의베스 트프랙티스및가이드라인을제공하므로범위가더넓고구체적이다. 그림 9 ISO 과 ITIL 의관계 29 ISO/IEC 과효과적인 ITSM

30 2 ITSM 추진과정 ITSM 도입은 IT 조직의프로세스혁신 (PI) 활동이다. 따라서중장기적이고종합적인청사진에따라추진해야한다. 그렇지만많은사례에서 ITSM 솔루션의도입및구축을 ITSM의핵심으로인식하고있음을볼수있었다. 효과적인서비스관리에프로세스자동화가필수적이지만, 일개정보시스템을구축해서혁신활동이완성될수없다는것은 IT 서비스를제공하는우리가누구보다더잘아는사실이다. ITIL V2나 ISO 같은프로세스프레임워크를도입하는것이좋은시작이될수있지만문제를해결하는것은또다른일이라는것을우리는경험으로잘알고있다. ITSM 도입은외모나스타일이아니라체질이나습관을바꾸는일이다. Phased VS Big-bang ITIL 및 ISO 경험이많은우리주변의전문가들은모두단계적인접근법을추천한다. 우선개선이필요한부분 ( 예 : 인시던트감소 ) 이나기반이되는부분 ( 예 : 구성관리 ) 에명확한달성목표를정하고차근차근추진해나가는것이바람직하다고생각한다. ITSM 구축방식 사례를통해 ITSM 도입방식및장단점을살펴보았다. 구분방식내용장단점 Case 1 1 ITIL 기반 ITSM 컨설팅 프로세스컨설팅, 구축, 인 비용이많이소요됨. 2 ITSM 시스템구축 증을모두별도로추진하였 ISO 을충족하기위해서 3 ISO 인증추진 음. 재작업이필요함 내부역량강화와개선기회가 많음. Case 2 1 ISO 인증추진 서비스일부범위에대해 인증획득효과가적음. 2 ITSM 시스템구축 먼저인증을획득하고차후 상호시너지효과적음. 전면적인시스템을구축하 파일럿차원의인증프로젝트 였음. 를통해전면도입의위험감 소 Case 3 1 ISO 인증추진최초부터인증획득을전체 초기부터균형잡힌프레임워 PART 3: ISO

31 목표로설정하고구축을포 함하여중장기적으로추진 하였음 크수립후실행 비용이가장적게들고재작업 도최소화할수있음. 31 ISO/IEC 과효과적인 ITSM

32 PART 4: ITSM 추진단계 여기에소개하는 ITSM 추진단계는앞서살펴본 ITSM 추진방식중에서 Case 3 에해당한다. ITSM 추진단계 : 개요 ITSM 수립을위한추진절차는 Set-up, As-Is, To-Be, 실행, 인증, 개선의 6 단계로되어있으며 각단계별세부활동은그림과같다. 그림 10 ITSM 추진절차 ITSM 추진단계 : Set-up 환경파악 (SU100) 대내외적인비즈니스환경을파악하고이를바탕으로핵심서비스요구사항 (CSR) 을도출한다. 개략적인 IT 서비스현황을파악하여다음단계의상세서비스를정의하기위한입력사항으로활용한다. 활동산출물도구및기법 비즈니스환경파악 IT 환경파악 비즈니스환경정의서 핵심서비스요구사항 IT 환경정의서 검토 인터뷰 샘플링 비즈니스환경파악 PART 4: ITSM 추진단계 32

33 고객을파악하고고객의비즈니스를정의한다. IT 서비스가지원하는비즈니스프로세스를파악한다. 서비스관리설계의입력으로필요한비즈니스요구사항을정리한다. 신규서비스에대한수요를파악한다. IT 환경파악 IT 환경파악은 IT 서비스를정의하고 ITSM 프레임워크초안을수립하기위해필요한정보를조사하는활동이다. IT 서비스파악 (SU200) IT 서비스를중심으로누가서비스를사용하는가 ( 고객및사용자 ), 어떤서비스를제공하는가, 누가서비스를제공하는가 ( 서비스제공자및공급자 ) 를구체적으로파악한다. 진단단계에서진단대상을명확히하기위해현재서비스관리프로세스를파악한다. 활동산출물도구및기법 사용자및고객파악 상세서비스파악 현행프로세스파악 고객정의서 서비스카탈로그 ( 초안 ) 현행프로세스목록 워크샵 브레인라이팅 사용자및고객파악사용자및고객은비즈니스의외부와내부로구분하고향후 SLA를체결할고객범위및대표조직을식별한다. 상세서비스파악비즈니스서비스와테크니컬서비스로구분하여서비스범주및유형, 관련조직, 서비스시간, 가용성목표등을서비스카탈로그에정의한다. 현행프로세스파악현재프로세스들을대 / 중 / 소 (Mega process/process/sub process) 분류로파악하고표준화필요성이큰프로세스를식별한다. ITSM 추진단계 : As-Is IT 프로세스진단 (AI100) 인터뷰, 문서검토, 현장조사를통해 ITIL 과 ISO 대비현 IT 서비스관리프로세스의현 황을조사및진단한다. 활동산출물도구및기법 진단준비 진단일정 설문 33 ISO/IEC 과효과적인 ITSM

34 진단수행 진단설문지 현황조사서 인터뷰기록 추가확인사항목록 인터뷰 진단준비인터뷰를포함한진단일정을수립하고표준진단설문지와현황조사서를해당조직에맞게수정한다. 진단수행수립된일정표에따라진단을실시하고진단중에충분히파악되지않은사항은별도로목록을작성해두었다가향후에추가조사나자료확인을한다. IT 프로세스분석 (AI200) 진단결과를바탕으로 ITIL 및 ISO 대비현 IT 서비스프로세스를분석한다. 실행해야 할활동의수행여부, 수행하는활동의수준에대해서분석하고실행수준을점수로산정한다. 활동 산출물 도구및기법 IT 프로세스분석 프로세스분석결과 핵심성공요인 델파이기법 SWOT 분석 벤치마킹 인과관계도 IT 프로세스분석 진단결과를정리하고프로세스별 SWOT 분석을수행하여최종보고서를작성한다. 일반적인프로세스분석핵심활동및고려사항 1. 조직전반에걸쳐 ITSM과그적용에필요한프로세스파악 ( 아웃소싱포함 ) ITSM에필요한프로세스파악 ( 프로세스계층, 프로세스이름 ) 각프로세스의고객 ( 내부및 / 또는외부 ) 및이들의요구사항파악 프로세스소유자 (Owner) 파악및임명 외주처리되는프로세스조사 각프로세스의입력및출력파악 2. 프로세스순서와상호작용결정 프로세스의전반적인흐름표현 ( 프로세스맵, 프로세스플로우차트등 ) 프로세스의상호관계결정 ( 상호주고받는입력, 출력파악 ) PART 4: ITSM 추진단계 34

35 필요한문서화수준결정 ( 문서체계, 문서이름, 작성항목등 ) 3. 프로세스관리를효과적으로수행하기위한기준및방법의결정 의도되거나의도되지않은결과의특성예측 모니터링, 측정및분석기준수립 경제적문제 ( 원가, 시간, 낭비기타 ) 파악 데이터수집에대한적절한방법결정 4. 프로세스의운영과모니터링을지원하는데필요한자원과정보의가용성보장 각프로세스에필요한자원과의사소통경로파악 프로세스에대한외부및내부정보의확보방법결정 피드백획득방법결정 수집이필요한데이터와필요한기록파악 5. 프로세스에대한측정, 모니터링및분석 프로세스성과모니터링방법및필요한측정항목결정 수집된정보를최적으로분석하기위한방법 ( 통계적기법등 ) 분석결과를통해파악할사항, 행동할사항 6. 프로세스의계획된결과의달성과지속적개선에필요한조치실행 프로세스를개선할방법결정 필요한시정조치또는예방조치결정 시정및예방조치실행및효과성파악 IT 조직분석 (AI300) IT 서비스관리조직구조, 역할과책임을분석한다. 활동산출물도구및기법 조직구성및역할분석 단위기능및업무분석 조직분석결과 벤치마킹 조직구성및역할분석기구조직도및조직별인력현황을작성하고조직별 ( 또는조직간 ) 역할을분석한다. 단위기능및업무분석단위조직들이담당하는업무기능을파악하고서비스관리를수행하는데있어서의문제점및애로사항을조사한다. 단위조직과업무영역간의연관성을파악하기위한조직 / 업무매트릭스를작성한다. 개선계획수립 (AI400) 35 ISO/IEC 과효과적인 ITSM

36 설문 / 면담및업무현황분석을통해프로세스의문제점및개선요구사항을반영한개선항목을 도출한다. 활동산출물도구및기법 개선과제후보도출 개선과제우선순위설정 개선과제로드맵수립 개선과제후보목록 개선과제로드맵 델파이기법 워크샵 개선과제후보도출프로세스와조직 ( 역할 ) 영역의진단결과를종합하여개선과제후보를도출한다. 유사한사항들은묶어서후보로만든다. 개선과제우선순위설정선정된개선항목에대해중요성, 효과성, 긴급성등의관점에서개선우선순위를도출한다. 개선항목평가를통해도출한우선순위결과를기반으로, 유사성이높은항목을통합하고정보시스템부분개선과제와중복되지않게하고하위순위개선항목을제외하여프로세스부문개선과제를선정한다. 개선과제로드맵수립개선과제우선순위에따라개선과제들을시간, 단계, 영역에따라배치하여한눈에전체진행계획을볼수있도록한다. ITSM 추진단계 : To-Be ITSM 정의 (TB100) ITSM TO-BE 모델을정의한다. 블루프린트는 ITSM을 8가지요소로정의하며 8가지요소는고객, 서비스, 서비스제공자, 목표, 프로세스, 문서, 역할및책임, 정보시스템이다. 활동산출물도구및기법 고객정의 서비스정의 서비스제공자정의 공급자정의 고객정의서 서비스카탈로그 서비스제공자정의서 공급자정의서 프로세스분석 벤치마킹 고객정의서비스제공자입장에서외부고객과내부고객을구분하여고객을파악하고필요하면사용자와고객을분리하여정의한다. 서비스정의 PART 4: ITSM 추진단계 36

37 IT 서비스파악단계에서개략적으로파악된서비스카탈로그를보다정확한정보로갱신하고상세화한다. 서비스제공자정의서비스별로관련된서비스제공자조직을파악한다. OLA가필요한지검토한다. 공급자정의서비스별로공급자를파악하고서비스범위, 유형, 시간, 관련조직등을상세하게정의한다. 프로세스정의 (TB200) ITIL 및 ISO 20000의프로세스를조직에맞게식별하고, 각프로세스에대해개요, 단계, 활동, 측정지표등을정의한다. 활동산출물도구및기법 ITSM 프레임워크수립 ITSM 프로세스맵정의 ITSM 프로세스정의 ITSM 역할및책임정의 ITSM 프레임워크 ITSM 프로세스맵 ITSM 프로세스정의서 역할및책임정의서 흐름도작성 ITSM 프레임워크수립프로세스그룹 ( 대 / 중 / 소 ) 에따라프로세스를논리적으로식별한다. ITSM 프로세스맵정의프로세스들의상호관계, 주고받는산출물을한눈에볼수있도록맵으로작성한다. 프로세스맵은상 / 중 / 하수준으로나누어작성하는것이바람직하다. ITSM 프로세스정의각프로세스별로프로세스정의서를작성한다. 프로세스를수행하는실무담당자들이쉽게이해할수있도록작성하고판단이나분류를해야하는경우상세한기준을작성한다. ITSM 역할및책임정의프로세스수립단계에서정의하는역할및책임은프로세스정의서를작성하기위해필요하다. 역할리스트및조직체계메트릭스를작성하여역할을배정하고프로세스활동별 RACI를정의한다. 역할별상세한책임및권한은이후지속적으로업데이트한다. 프로세스자동화 (TB300) ITSM 프로세스를자동화하기위한자동화요건을조사및정의하고이를기반으로자체개발 또는상용 ITSM 솔루션도입및구축을포함하여다양한자동화를계획및실행한다. 활동 산출물 도구및기법 자동화기획및요건정의 자동화계획서 인터뷰 37 ISO/IEC 과효과적인 ITSM

38 자동화구축 자동화검증 자동화적용 자동화요건정의서 요구사항분석및설계서 자동화시스템 검토및테스트기록서 조치기록서 릴리스계획서 적용보고서등 설문 자동화기획및요건정의 ITSM 시스템을구축하기위한계획을수립하고수립된프로세스와현재조직의현황에따라프로세스자동화요건을도출하고요건정의서에상세내역을작성한다. 자동화구축자동화요건을기반으로요구사항분석및설계를실시하고개발및테스트를수행한다. 자동화검증구축된시스템을검토및테스트하고릴리스및변화관리계획을수립한다. 자동화적용 ITSM 시스템을적용하고주간 / 월간회의를통하여보완, 개선하며지속적으로변화관리를실시한다. 서비스관리기획 (TB400) 서비스관리계획서, 서비스개선계획서등프로세스별연간운영계획을수립한다. 활동산출물도구및기법 서비스관리계획수립 주요프로세스별관리계획수립 신규 / 변경서비스기획 연간서비스관리계획서 연간가용성관리계획서 연간연속성관리계획서 ( 재난복구계획서 ) 연간용량관리계획서 연간정보보안관리계획서 연간품질관리계획서등 신규 / 변경서비스계획서 5W1H 기법 서비스관리계획수립연간서비스관리계획을수립한다. 서비스관리계획은관리규모에따라서비스별로작성하거나전체서비스를총괄하여작성할수있다. 서비스관리계획은프로세스정의서에서정한작성항목을준수하여작성한다. 주요프로세스별관리계획수립 PART 4: ITSM 추진단계 38

39 프로세스별연간관리계획을수립한다. 서비스관리계획서와같은문서로관리하거나개별문서로관리한다. 어떤프로세스에대해연간관리계획을작성할것인지필요성, 활동중요성, 관리규모등을고려하여정한다. 신규 / 변경서비스기획신규서비스를출시하거나기존서비스를대폭변경해야할경우서비스기획프로세스에따라기획하고프로젝트관리프로세스와연계하여추진한다. ITSM 추진단계 : 실행 적용교육훈련 (TR100) TO-BE 모델을적용하기위하여시나리오, 수립된프로세스정의서를사용하여실무담당자대상으로교육을실시한다. 활동산출물도구및기법 프로세스오너교육 프로세스실무자교육 교육교재 교육결과보고서 프로세스시나리오 워크샵 프로세스오너교육프로세스오너는 ITIL, ISO 20000의핵심개념과방향을이해하고조직에수립된프로세스에따라실무자들을리드할수있는교육이필요하다. 프로세스실무자교육프로세스실무자는조직의프로세스를준수하여이행하고적용초기저항을줄일수있는교육이필요하다. 프로세스실행 (TR200) 공식적인적용일을베이스라인으로하여프로세스를적용한다. 이행초기중점적인변화관리와지원을통해시행착오를최소화한다. 활동산출물도구및기법 프로세스실행 성과보고 성과검토 후속조치 월간보고서 월간회의록 개선보고서 근본원인분석 파레토도 인과관계도 프로세스실행 39 ISO/IEC 과효과적인 ITSM

40 수립된프로세스및연간관리계획에따라이행한다. 성과보고월간 ITSM 이행실적을월간보고서로작성한다. 월간보고서설계는 ISO 20000의서비스보고요건을고려하며요약및분석된내용 ( 고객이관심있는내용 ) 과기본적인데이터 ( 의미를파악하기위한가공전데이터 ) 를함께포함하여작성한다. 성과검토월간보고서가작성되면프로세스오너주관으로월간검토회의를실시한다. 목표대비실적이미흡하면별도의방안이나개선활동을식별하여이행한다. 후속조치월간검토회의에서도출된후속조치는단계적계획과실행후검토까지지속적으로모니터링되어야한다. 서비스심사및관리검토 (TR300) 실행결과에대해서비스심사와관리검토를실시하고미흡한부분을파악하여개선활동으로연계한다. 활동산출물도구및기법 서비스심사계획 서비스심사보고 관리검토실시 시정조치 서비스심사계획서 서비스심사원교육훈련기록 서비스심사원자격평가기록 서비스심사보고서 관리검토자료 관리검토회의록 개선보고서 샘플링 인터뷰 파레토도 근본원인분석 서비스심사계획서비스심사를위해별도의서비스심사팀을구성하고 ( 기존내부심사조직이있는경우프로세스관점의심사가가능한지파악 ) 서비스심사팀장주관으로서비스심사계획을수립한다. 서비스심사보고서비스심사계획에따라서비스심사를수행하고전반적인의견과발견사항을보고한다. 관리검토실시관리검토사항으로정의된각항목이누락되지않도록관련보고서를취합하여관리검토자료를작성한다. 서비스관리책임자주관으로관리검토를실시한다. 관리검토결과도사전정의된사항에따라도출되어야하며개선사항이나서비스관리책임자의지시사항은개선등록부에등재하여개선활동을관리한다. 시정조치 PART 4: ITSM 추진단계 40

41 서비스심사및관리검토에서나온발견사항및개선사항에대해시정조치나개선활동을 실시한다. ITSM 추진단계 : 인증 인증심사 (IS 100) 당초수립된인증심사일정에맞추어심사대상, 세부일정등을인증기관과협의하여수립한다. 인증심사는예비심사, 문서심사, 본심사로구분한다. 문서심사는업무의기준이되는정책, 프로세스, 계획등에대하여심사하며발견된부적합은본심사전까지모두시정조치완료한다. 활동산출물도구및기법 인증심사실시 인증심사후속조치 심사일정표 심사보고서 개선보고서 샘플링 인터뷰 파레토도 인증심사실시인증기관및심사원과협의하여심사일정을수립하고이에따라심사를수행한다. 인증심사후속조치심사발견사항은전체개선사항에함께포함시켜관리하고후속심사시심사원이검토할수있도록준비한다. ITSM 추진단계 : 지속적개선 지속적개선 (CSI100) 개선과제를도출하여우선순위및일정을수립한다. 활동산출물도구및기법 개선과제도출 개선계획수립 개선계획이행 개선등록부 개선계획서 개선보고서 비용 - 효과분석 벤치마킹 개선과제도출개선활동은정의된프로세스에따라상시적으로수행되어야하며개선활동을조직 KPI에식별하여관리한다. 개선계획수립 41 ISO/IEC 과효과적인 ITSM

42 조직전체나여러프로세스에관련된주요개선사항에대해서개선계획과개선로드맵을작성한다. 개선계획이행각과제별로조치방안을수립하고관련프로세스와협업하여이행하고적용결과를검토한다. 도구및기법 인터뷰 SMART 기법 브레인라이팅 설문 워크샵 인과관계도 핵심성공요인 (CSF) 근본원인분석 벤치마킹 SWOT 분석 델파이기법 샘플링 원가-이익분석 흐름도작성 히스토그램 파레토도 PART 4: ITSM 추진단계 42

43 PART 5: ISO 인증심사절차 인증심사비용, 절차, 범위등은인증기관및심사원에게직접문의하여야하며현재국내에서 ISO 인증심사를수행하는대표적인인증기관은다음과같다. LRQA( 로이드인증원 ) Korea - BSI( 영국표준협회 ) Korea - 인증범위선정시고려사항 인증을받으려는서비스제공자는심사전에심사를받을서비스범위를결정하고심사원과합의해야한다. 인증범위를명시한문구는심사원이확인하고심사보고서에인용한다. 인증을받으려는서비스제공자는전체조직일수도있고조직의부분일수도있다. 심사범위내프로세스들을단일서비스제공자가수행하는지, 부분적으로다른조직이수행하는지는인증에중요하지않다. 단일서비스제공자에대한인증이다른공급자조직의이행증거나기여에의존할수있다. 범위를정할때다음사항을고려해야한다. ISO 인증은법률상의단일조직에만수여될수있으므로서비스제공자는서비스관리프로세스들에관계된여러법률상조직들이각각어떤프로세스 ( 또는프로세스의일부 ) 를수행하는지명확히하는것이바람직하다. 프로세스이름은무엇으로하더라도상관없다. ISO 인증범위에는인증이보증하게될전문화된서비스 (managed service) 만을정의하면된다. 서비스제공자가서비스를상업적으로제공하느냐, 비상업적으로제공하느냐는중요하지않다. 서비스제공자는인프라또는구성요소를소유할필요가없다. 인증을받으려는서비스제공자는자신이직접통제하는프로세스와일부또는전체를아웃소싱하는프로세스를식별할필요가있다. 서비스제공자는서비스관리프로세스에관계된공급자들의역할과문서화하여합의한프로세스상의그들의역할및책임을명확히할필요가있다. 서비스제공자는 ISO 파트1의모든요구사항을충족한다는증거를제공해야한다. 이것은 ISO 20000의모든서비스관리프로세스가예외없이이행되어야한다는의미이다. 범위기술문은다음사항을명시해야한다. 43 ISO/IEC 과효과적인 ITSM

44 심사대상이되는서비스 지리적또는위치상의경계 ( 예 : 지점, 지역적또는국가적경계 ) 조직측면또는기능측면의경계 아웃소싱프로세스구성요소 ( 예 : 용량관리의성과데이터수집요소 ) ISO 인증심사절차 ISO 인증심사의전과정에대해상세하게살펴보기전에인증추진을시작할때그리고인증획득후에반드시생각해보아야할사항을알아본다. 인증을본격적으로추진하기에앞서다음과같은사항들을살펴보고준비하였는가? 실행예산은충분하고항목별로적절한가? 개선에초점이맞추어지지않고인증획득만을위한분위기는아닌가? 조직구성원이변화에참여할수있는상황이고거부감은극복할만한수준인가? 현재수준과기대수준사이의 Gap이지나치게크지않은가? 경영진의관심, 의지, 후원이있는가? 인증을획득한후에 ITSM을지속적으로개선하기위해서다음을경계하고주의하는가? 최초의열의가연기처럼사라지고있지는않은가? 지속적개선의필요성에대한인식이부족하지않은가? 비즈니스전략이나사업추진방식의변경을모니터링하는가? 최초의후원, 옹호세력이이탈하지는않는가? 인증획득후에변화에대한저항이강해지지는않았는가? 그림 11 인증심사절차 PART 5: ISO 인증심사절차 44

45 1. 고객상담및심사견적 Stage1, 2 인증심사에대한기간산정은인증범위조직의인원수에따라달라지며표와같은방 법으로심사기간을산정한다. 그림 12 심사기간산정기준 인원수 심사일수 (M/D) Stage 1 Stage ~ 3 8 ~ ~ 3 9~ 10 본표는예시이며정확한기간은인증기관에문의 2. 인증신청 인증신청시사업내용과인증을원하는부분, 신청조직의조직도및특수한상황을작성하여 인증을요청한다. ( 특수한심사를위해특별심사원이필요한지판단함 ) 3. 계약체결 제출한신청서를기초로인증기관은견적서및계약서를해당조직에제출하며해당조직이서 명한계약서를접수함으로써계약이이루어진다. 4. 일정계획수립인증기관은해당조직의협의하에 1단계심사 ( 문서심사 ), 2단계심사 ( 본심사 ) 의일정계획을수립한다. 1단계심사와 2단계심사사이에통상 1개월이상의간격을둔다 (1단계심사에서나타난문제점해결시간을갖기위함 ). 45 ISO/IEC 과효과적인 ITSM

46 5. 예비심사 ( 선택사항 ) 신청조직의요청에따라서 1 단계심사전에예비심사를실시할수있으며이과정에서잠재적 인부적합사항을파악하고사전에조치하여시스템의개선기회를확보할수있다 6. 문서심사 (1단계심사 ) 문서를심사하는단계로이는시스템의오류및시정조치가필요한사항을명확히한다. 문서심사시심사범위를명확히정의함으로써심사프로그램이원활히진행될수있도록한다. 문서심사의주목적은다음과같다. 문서화된관리시스템의심사규격요구사항적합성검토 심사범위, 주요프로세스, 심사코드, 심사일수의확인및현장방문 관련법규요구사항의파악 본심사대비준비상태의점검 본심사프로그램의작성 효과적인문서심사를위해신청조직에서준비해야할사항은다음과같다. 심사범위에포함된제품과관련한법규및고객요구사항 관리시스템과제품실현기획의결과물 심사규격에서요구하는문서화 ( 방침, 목표, 매뉴얼, 절차서등 ) 고객인식, 제품, 프로세스모니터링및측정결과 관리시스템의효과 ( 사업 / 프로세스 / 제품목표에대한경향및실적의기록, 내부심사보고서등 ) 개선활동의기록 ( 시정조치, 예방조치, 관리검토 ) 그림 13 인증심사전최종점검예시 ISO 요구사항 피심사조직 프로세스및이행요약산출물인터뷰 7.2 서비스제공자는서비스이해 고객관리프로세스 이해관계자목록 홍길동 당사자와고객을식별하여문 5.1 고객식별에이해당사자와 (ITSM 시스템의 서화하여야한다. 고객을식별하여이해관계자목 SLM 하위메뉴에서 록에작성하도록규정 도조회가능 ) PART 5: ISO 인증심사절차 46

47 7. 본심사문서심사를통해문서화된시스템이적합한것으로판단되었더라도본심사에서시스템의신뢰성을보여주어야한다. 심사원은해당업무부서와현장을직접방문하여시스템의실행상태를심사한다. 8. 심사결과보고 심사종료시점에서심사내용을기술한심사보고서를작성하여신청조직에제공한다. 이보고 서에는만족스럽게이행하고있는내용, 시스템의취약부분및부적합사항등을포함한다. 그림 14 심사발견사항등급예시 용어 설명 Major NC ( 중부적합 ) Minor NC ( 경부적합 ) RC SFI Major Non- Conformity Minor Non- Conformity Require Correction Scope for Improvement 실행및유지되지않는관리시스템요소 / 상황이하나또는그이상존재함. 조직의방침이나목표를달성하거나법적규제적요구사항 (ISO 요구사항포함 ) 을만족시키는데있어서시스템의능력이심각하게의심됨. 조직이공급하는제품 / 서비스의품질이심각하게의심됨. 시스템, 프로세스, 기록또는특정한활동의약점을나타내는발견사항 시정조치없이방치되거나조직의관심이없을경우장래중부적합이될것으로의심되는상황 심사표준또는조직의관리시스템의같은조항에서경부적합이많이발생되는경우에중부적합이될수있음. 시정조치가요구되지는않지만조직의관심이필요한사항 ( 시정 correction, 시정조치 corrective action을구분 ) 심사원은다음심사시해당항목에대하여확인함. 관리시스템을개선하기위한심사원의의견또는이를위하여조직이고려하기바라는사항 심사원은다음심사시해당항목에대하여일반적으로확인하지않음. 9. 심사결과검토 심사보고서가타당한지검토한다. 이러한타당성검토를통하여시스템이해당요건및절차에 따라적절히수립, 실행되는지검증하며, 심사시발견된시스템의결함또는부적합사항을검 토한다. 47 ISO/IEC 과효과적인 ITSM

48 10. 인증서발행신청조직의관리시스템이심사규격의요건을만족하며원활하게실행하면인증서를발행한다. 인증서에는인증범위가명시되어있으며, 해당조직의관리시스템이만족스럽게유지됨을전제로 3년간유효하다. 11. 사후관리심사및갱신심사사후관리심사는인중후매 6개월단위로실시되며, 심사규격의요구사항을지속적으로충족하고변경사항을충실히반영하고있다는신뢰감을고객에게제공하는활동이다. 갱신심사는인증서의유효기간인 3년이되는시점에, 최초본심사와동일한수준으로재인증을위한심사를수행한다. PART 5: ISO 인증심사절차 48

49 3 ITSM 구현및개선 3장 ITSM 구현및개선은 ISO 요구사항해설이다. 효과적인 IT 서비스관리시스템을구축하려면 ISO 요구사항을충족하여야한다. ISO 파트1의요구사항을중심으로정리하였으며가능한요구사항과관련된 ITIL V2, ITIL V3와 ISO 파트2의주요내용을참조할수있도록하였다. ISO 20000은 ISO 9001을기반으로제정되었으므로 ISO 9000 및 ISO 9001을학습하면ISO 20000을이해하는데큰도움이된다. 변화 변화는내부에서만열수있는문이다. 테리네일 (Terry Neil) 49 ISO/IEC 과효과적인 ITSM

50 PART 6: 관리시스템수립 관리시스템이란? 관리시스템 (Management system) 은모든 IT 서비스를효과적으로관리하고구현하도록하는관리 방침과프레임워크를포함한다. 관리시스템개념영문 Management System은일반적으로경영시스템으로번역하나 ITSM을 IT 서비스관리로부르므로한국산업규격은 ITSMS를 IT 서비스관리시스템으로번역하였음. 경영시스템은백과사전에시스템개념을적용하는경영관리방법이라고나와있으며특징으로는 1 상호작용의관계에있는각부분으로이루어진전체라는점, 2 환경에서물자 자금 정보 인력을입력 (input) 하여그것을출력 (output) 으로전환시키는과정을가지는점, 3 일정한목적을달성하기위한통제메커니즘을가지는점등을들수있다. IT서비스관리시스템 (ITSMS) 은서로상호작용하는프로세스들의집합이고, 이러한프로세스는입력을출력으로변환시키는활동및과정이며, ITSM 목적을달성하도록서비스심사, 관리검토를비롯한통제메커니즘을가지고있다. 서비스관리의입력은서비스제공자의자산인자원과역량이며출력은고객에게가치를제공하는서비스이다. 관리시스템수립을위한핵심요소 IT 서비스관리시스템을수립하기위하여다음요소에대하여명확히파악, 정의하여야한다. 고객은누구인가? - 고객층 - 기타주요한이해관계자 ( 예 : 정부 ) - 최종사용자 서비스제공자는누구인가? - 직원의프로필 - 교육및기술수준 - 이직률 - 전문가와비전문가의비율 - 기술과설비 - 보안, 저작권등 PART 6: 관리시스템수립 50

51 공급자는누구인가? - 주요외주업체 ( 협력업체 ) - 품질에대한영향도 - 관리가능한범위 - 실질적인관리가미치는범위 비즈니스환경은어떠한가? - 경쟁환경 - 주요경쟁자 - 상대위치 - 고객의기대 - 법규, 규제사항 경영진이해야할일 번호 과제목록 평가 상태 1 조직의비즈니스와고객요구사항을기반으로조직의서비스능력을개발, 구현, 개선하기위한의지의실행증거를리더십과행동을통해제시한다 2 서비스관리방침, 목표및계획을수립한다 3 서비스관리목표를달성하는것의중요성과지속적개선의필요성에대해직원과의사소통을한다 4 고객만족을높이기위하여고객요구사항을결정하고충족한다 5 모든서비스들을조정하고관리할책임을지는경영자를선임한다 6 서비스제공및관리를기획, 구현, 감시, 검토, 개선하기위한자원을결정하고제공한다 ( 예 : 인력채용, 이직관리 ) 7 서비스관리조직및서비스에대한위험을관리한다 8 지속적인적절성, 충족성및효과성을보장하기위하여계획된주기로서비스관리에대해검토한다 핵심단어 최고경영진의 ITSM 에대한의지, 서비스관리방침및목표, 고객만족, ITSM 책임자선임, 위험관리, 서비 스관리검토 0. 다음용어및개념을알아둡시다 서비스관리 (service management): ISO 에서는서비스관리를 비즈니스요구사항을만족 시키는서비스관리 라고매우일반적으로정의하였으며 ITIL V3 는서비스관리를서비스의형 51 ISO/IEC 과효과적인 ITSM

52 태로고객에게가치를제공하기위한조직의전문화된역량 (capabilities) 의집합으로정의하였다. 최고경영진 (top management): 최고계층에서조직을지휘하고관리하는사람또는그룹. IT 조직의형태에따라비즈니스측경영진이될수도있고 IT 조직만의경영진이될수도있다. (ISO 9000:2000) 1. 조직의비즈니스와고객요구사항을기반으로조직의서비스능력을개발, 구현, 개선하기위한의지의실행증거를리더십과행동을통해제시한다리더쉽 (leadership) 은한가지이상의이끄는행위를하는것, 사람의행동에영향을주어미션을달성하는능력, 목표를정하거나목표를달성하도록집단의사람들에게영향을주는것등을의미한다. ITSM이내재화되고기대했던성과를달성하고지속적으로개선되기위해서최고경영진의리더쉽과행동은핵심성공요소이다. 다음예시와같은활동을주기적으로반복하는것이중요하다. 최고경영진이참여하는경영회의의안건에 ITSM 이슈및성과가포함된다. 워크샵, 교육등직원들이참여하는주요행사에최고경영진이참여하여 ITSM에대해발표한다. 사내 CEO 메일에 ITSM 관련사항을포함한다. 프로세스운영회의나서비스개선회의에최고경영진이참여한다. ITSM 역할및책임을잘수행한직원을칭찬하고시상한다. 독서경영의주제로서 ITSM 책을선정한다. ITIL 교육참여와자격증취득을독려한다. 리더쉽부도덕한리더는사람들을경멸하는사람이다. 훌륭한리더는사람들을바꾸어놓는사람이다. 위대한리더는사람들로하여금 우리스스로그것을해냈다 고말할수있게하는사람이다. 노자 ( 老子, Lao Tsu), 중국의도가철학자 2. 서비스관리방침, 목표및계획을수립한다서비스관리목표는다음과같이설정하여야한다. 측정가능할것 문서화할것 지속적개선에대한의지를포함한관리방침과일관성을유지할것 서비스의요구사항을충족시키기위한요구사항을포함할것 PART 6: 관리시스템수립 52

53 목표는성과목표 ( 매출액, 이익, 생산량, 불량률등 ) 과수단목표 ( 프로세스준수율향상, 고객과 의의사소통활성화등 ) 의두가지유형이있다. 서비스관리목표의영역은개선혹은유지, 문 제의경감혹은제거이다. 3. 서비스관리목표를달성하는것의중요성과지속적개선의필요성에대해직원과의사소통을한다의사소통의도구로서다음과같은것을고려할수있다. 이러한도구를활용하여경영자는목표달성의중요성, 지속적개선의필요성을직원과의사소통을해야한다. 팀브리핑, 회의 게시판 사내신문, 사보 시청각자료및전자매체 목표삶을성공적으로만드는사람은착실하게그의목표를향해빗나가지않고나아가는사람이다. 세실 B. 드밀 (Cecil B. De Mille), 영화감독겸제작자 목표는명백하고현실적이어야한다. 목표는측정할수있어야한다. 목표는최종기한에맞추어야한다. 목표는모든사람과분명한대화를통해설정해야한다. 목표를달성하거나초과달성했을때에는보상을해야한다. 목표의종류가너무많아서는안된다. ( 예상하지않았던성과를내려면목표는 3개이하여야한다. 그래야집중도가유지될수있다.) 4. 고객만족을높이기위하여고객요구사항을결정하고충족한다 ISO 20000은고객만족서비스관리시스템이다. 고객중심적인요건이많으며이조항은대표적이다. 고객요구사항은 ITSM 및신규서비스를기획및설계할때주요입력사항이된다. 고객요구사항을결정하고충족여부를파악하려면고객요구사항을정의하고문서화해야한다. 특히고객요구사항은서비스별로파악할필요가있다. 5. 모든서비스들을조정하고관리할책임을지는경영자를선임한다 실행을보장하기위하여경영진중한사람을서비스관리계획에관한책임자로선정하여야하 53 ISO/IEC 과효과적인 ITSM

54 며관리대리인, 서비스관리책임자등조직에맞는호칭을부여한다 (ISO 9001 품질경영시스템은경영자대리인 ). 이대리인은서비스관리계획의전체인도에대해책임질수있어야하며역할은지속적인프로젝트기반의서비스개선활동에필요한자원을확보하는것이다. 대리인은관리방침을정의하고그결정을집행하기에충분한권한을가진의사결정그룹에의해지원받아야한다. 6. 서비스제공및관리를기획, 구현, 감시, 검토, 개선하기위한자원을결정하고제공한다 ( 예 : 인력채용, 이직관리 ) 서비스를제공하는조직의기본적인운영활동이다. ITIL V3는가치창출의근간을자원과역량으로보며자원은다음과같다. 자본 (Financial capital) 인프라 (Infrastructure) 어플리케이션 (Applications) 정보 (Information) 사람 (People) 7. 서비스관리조직및서비스에대한위험을관리한다 위험관리는해설상자비즈니스영향도분석및위험평가를참조한다. 8. 지속적인적절성, 충족성및효과성을보장하기위하여계획된주기로서비스관리에대해검토한다 ISO 20000의서비스관리검토를이해하기위해서는 ISO 9001의경영검토를참조하여야하며마찬가지로 ISO 20000에는서비스관리검토항목이명시되어있지않지만 ISO 9001에따라다음항목을반드시검토하여야한다. 심사결과 고객피드백 프로세스성과및서비스적합성 예방조치및시정조치의상태 이전의서비스관리검토에따른후속조치또한서비스관리검토후그결과로서다음사항과관련된결정사항및조치가포함되어야한다. ITSM의효과성및그프로세스의효과성개선 고객요구사항과관련된서비스개선 PART 6: 관리시스템수립 54

55 자원의필요성 비즈니스영향도분석및위험평가위험관리를위해서는비즈니스영향도분석및위험평가 (Business Impact Analysis and Risk Assessment) 가선행되어야한다. 고려해야할사항과프로세스에대해알아보자. 비즈니스영향도분석및위험평가는조직이비즈니스를유지하는데핵심적인업무나기능을결정하기위해수행한다. 업무나기능의가치를결정하기위해다음과같은질문들을생각해볼수있다. 전혀수행되지않는다면얼마나많은손실이발생할것인가? 주기적으로일정시간수행되지않는다면얼마나많은재무적손실을볼것인가? 이업무나기능은법적및 / 또는계약적의무를만족시키는가? 이업무나기능은규제준수적의무를만족시키는가? 이업무나기능없이조직은얼마나오래동안지속될수있는가? 한사람, 하나의정보와같이실패를유발하는단일요인들이존재하는가? 비즈니스영향도분석및위험평가방법은매우다양하며여기서는일반적인프로세스를소개 한다. Step 1 정보자산식별 (Identify Information Assets) 정보자산은조직에중요한하드웨어, 소프트웨어, 시스템, 서비스및관련기술자산으로식별된다. 이자산들은너무상세하지도너무부족하지도않게적절한수준으로식별되어야하고중복되는정보자산이최소가되도록해야한다. 어떤경우에는자산들을묶는것이적절할수있는 ( 예 : 일반직원을위한모든개인용컴퓨터 ) 반면에다른상황에서는특정자산을명시할수있다 ( 예 : 메일서버, 특정학습용소프트웨어패키지 ). 또한명확한책임자를정하는것이적절할수있다 ( 예 : CRM 시스템에책임지는영업책임자, 회계소프트웨어패키지를사용하는재무팀장 ) 이러한결과로 2단계에서설명하는대로우선순위를부여할수있는정보자산의목록을얻게된다. Step 2 자산취합및우선순위화 (Aggregate and Prioritize the Assets) 정보자산들을핵심, 필수, 보통으로우선순위를부여하기위한기준을선택한다. 기준은중요도, 영향도, 실패비용, 공공성, 법적 / 윤리적이슈등을고려한다. 평가팀이공통기준및이것이의미 55 ISO/IEC 과효과적인 ITSM

56 하는바에합의하고결정하는것이중요하다. 평가팀은기준을종합적으로고려하고자산을분류하기위해경험을활용한다. 특정우선순위에속하는정보자산의수는임의적이지만많아질수록다루기힘들어진다. 이렇게하면나머지프로세스에서사용할우선순위가정해진자산목록이만들어진다. 핵심 (Critical) 아주짧은시간이라도이정보자산없이는비즈니스가불가능하다. 필수 (Essential) 이정보자산없이조직은며칠또는아마도일주일동안임시적으로일할수있지만결국복구되어야만한다. 보통 (Normal) 이정보자산이없으면불편하거나대체수단을찾을필요가있지만조직은운영될수있다. Step 3 위험식별 (Identify Risks) 먼저일반적인위험 ( 여기서위험이란문제와위협을포함한다 ) 목록을작성하거나구해서조직에맞는위험목록을만든다. 위험은하나또는그이상의자산과관련하여실질적이고구체적이어야한다. 각팀원의참여를독려한다. 중복을제거하거나유사위험을연계하고팀원이피부로느끼지못하는위험을제외하여최종적인목록을작성한다. Step 4 우선순위부여 (Prioritize Risks) 이제위험의우선순위를결정할수있다. 우선순위부여가꼭필요한일은아니지만이를통해계획되어야할조치에대한아이디어가도출될수있다. 또한정렬이되면나머지과정을보다관리용이하게해준다. 즉리스트의상위에는보다많은수의비중이큰자산에영향을미치는위험이올라와야한다. Step 5 위험정의 (List and Define Risks) 일단위험의우선순위가정해지면각위험에번호를부여하고설명을작성한다. 목록에어떤위험을넣을지설명을얼마나상세하게작성할지는팀원이얼마나그위험에대해알고있는지에달려있다. Step 6 핵심자산및위험연계 (Reference Risks to Critical Assets) 목록의가장상위에있는핵심자산들을위험분석문서에나열하고관련위험의번호를작성한다. 상황을명확하게하기위해필요한설명을추가한다. 이문서는핵심자산과관련위험들을위한잠재적해결책과실행가능한계획을검토하는데유용하다. Step 7 위험해결방안수립 (Recommendations for Resolving Risks) PART 6: 관리시스템수립 56

57 다음세가지선택사항이있다. 자산에대한위험은명확한목표시한내에해결되고해결책을정의하기위해약간의설명이필요함 자산에대한위험은정의되나위험에대한정보의내용에따라통제는실행되지않음 ( 예 : 예상되는새로운소프트웨어, 새로운장소로이동등 ) 자산에대한위험을해결할통제는조직의요인 ( 시간, 예산등 ) 에의해실행되지않음 위험관리계산된위험을받아들여라. 이는경솔한것과는매우다른것이다. - 조지 S. 패튼, 장군당신이잡지못한공은모두놓치게된다. - 웨인그레츠키, 프로하키선수 관리시스템문서화 번호 과제목록 평가 상태 1 효과적인기획, 운영및통제를보장하기위해문서와기록을제시한다 2 서비스관리방침및계획을문서화한다 3 서비스수준협약을문서화한다 4 프로세스및절차를문서화한다 5 기록을문서화한다 6 다양한유형의문서와기록을생성, 검토, 승인, 유지, 폐기및통제하기위한절차와책임을수립하고문서화한다 핵심단어 서비스관리방침문서화, 서비스관리계획문서화, SLA 문서화, 프로세스문서화, 문서관리절차, 기록관 리절차 0. 다음용어및개념을알아둡시다문서 (document): 정보와그것을지원하는매체이다. 기록은취지에대한증거라기보다는활동의증거로써기능을한다는점에서문서와다르다. 문서의예로는방침, 계획서, 절차서, 서비스수준협약및계약을포함한다. 기록 (record): 달성된결과를명시하거나수행한활동의증거를제공하는문서이다. 기록의예로는심사보고서, 변경요청서, 인시던트보고서, 개인훈련기록과고객에게송부된청구서를포함한다. 57 ISO/IEC 과효과적인 ITSM

58 프로세스 (Process): 입력을출력으로변환시키는상호관련되거나상호작용하는활동의집합이다. 프로세스로의입력은일반적으로다른프로세스의출력이다. 조직의프로세스는일반적으로가치를부가하기위하여통제된조건하에서계획되고수행된다. 결과로산출된제품의적합성이즉시또는경제적으로검증될수없는경우의프로세스를흔히 특별프로세스 라고부른다. 절차 (Procedure): 활동또는프로세스를수행하기위해규정한방식이다. 절차는문서화될수도있고문서화되지않을수도있다. 절차가문서화되면문서화된절차라고하며절차를포함하고있는문서를절차서라고한다. 1. 효과적인기획, 운영및통제를보장하기위해문서와기록을제시한다 문서화된절차 라는용어는절차의수립, 문서화, 실행및유지됨을의미한다. IT 서비스관리시스템문서화의정도는다음과같은이유로인해조직에따라다를수있다. 조직의규모및활동의형태 프로세스의복잡성및상호작용 인원의능력문서화는어떠한형태나형식의매체가될수있다. 문서화에의하여의도를전달하고, 행동에일관성부여를가능하게한다. 문서화는다음사항에기여한다. 고객요구사항에대한적합의달성및품질개선 적절한교육훈련의실시 재현성및추적성 객관적증거의제공 서비스관리시스템의유효성및적절성이지속되고있음을평가문서의작성은그자체가목적이아니고, 가치를부가하는활동이되는것이바람직하다 2. 서비스관리방침및계획을문서화한다 ( 해설없음 ) 3. 서비스수준협약을문서화한다 ( 해설없음 ) 4. 프로세스및절차를문서화한다 ( 해설없음 ) 5. 기록을문서화한다 ( 해설없음 ) 6. 다양한유형의문서와기록을생성, 검토, 승인, 유지, 폐기및통제하기위한절차와책임을수립하고문서화한다 IT 서비스관리시스템에서요구되는문서는다음과같이관리하여야한다. 문서는발행전에적정함을승인 필요시문서의검토및갱신, 그리고재승인 PART 6: 관리시스템수립 58

59 문서의변경및최신개정상태의식별을보장 적용되는문서의해당본이사용되는장소에서이용가능하다는것을보장 문서는읽기쉽도록유지되고, 쉽게식별되어유지됨을보장 외부출처문서의식별및배포상태가관리됨을보장 효력이상실된문서는의도되지않는사용을방지하고관리하여야하며, 만일어떠한목적으로보관하려면적절하게식별됨을보장 기록관리를위해서는다음사항을이행하여야한다. IT 서비스관리시스템의효과적인운영과요구사항에적합하다는증거를제공하기위해요구되는기록을작성하고유지하여야한다. 기록은읽기쉽고, 식별및검색이가능하도록유지되어야한다. 기록의식별, 보관, 보호, 검색, 보유기간및처분에필요한관리를정하기위한문서화된절차를수립하여야한다. 역할및책임 번호 과제목록 평가 상태 1 모든서비스관리의역할및책임은효과적인실행을위한적격성과함께정의하고유지한다. 2 직원이역할을효과적으로수행할수있도록적격성과교육훈련의필요성을검토하고관리한다. 3 최고경영진은직원들이자신의활동에대한관련성및중요성을인식하고, 그들이서비스관리목적을달성하는데어떻게기여하는지를인식하도록한다. 핵심단어 서비스관리역할및책임, 적격성, 교육훈련, 직원들의인식 0. 다음용어및개념을알아둡시다 적격성 (competence): 서비스관리를위해주어진역할및책임을효과적으로수행하기위해규 정한조건에알맞은자격을지니는것. 1. 모든서비스관리의역할및책임은효과적인실행을위한적격성과함께정의하고유지한다. 서비스관리업무에종사하는인원들이해당업무를수행하는데적격하다는것을판단할수있는기준에는개인의지식, 이해, 기술및능력등이있다. 적격성의기준을만족시키기위해서는해당업무를수행하기에충분한교육이나훈련을통해기술이나경험을쌓게해야한다. 서비스 59 ISO/IEC 과효과적인 ITSM

60 제공자는조직에서일하거나 ( 임직원 ) 조직을대신해일하는인원들 ( 외주 / 협력업체직원등 ) 이해 당업무를수행하는데적격한지를평가하여추가적인교육훈련이필요한지를판단하고필요한 경우이러한교육훈련을실시하기위한절차를마련해야한다. 2. 직원이역할을효과적으로수행할수있도록적격성과교육훈련의필요성을검토하고관리한다. 적격성기준에따라서비스관리에관여하는모든직원들에대해개인별로적격성평가를시행하고평가결과가교육훈련필요성파악의입력으로제공되어야한다. 임직원들에대한교육훈련필요성파악 파악한필요성에따라교육훈련계획을수립 교육훈련계획에따라대상임직원에대한교육훈련실시 실시한교육훈련기록을문서화하고교육효과성을모니터링 교육성과에대한평가 다음사항을고려한다. 적격성기준을모두충족하는직원만이반드시해당역할을수행해야하는것은아님. ITSM 도입전에수립된직무체계에도 IT 역할과적격성이있지만 ITSM 개념, 프로세스그리고여기에기반한역할을반영해야함. 매년개인별로평가하고이력을관리해야하므로 HR 시스템등에자동화하는것이바람직함. 평가기준을객관적으로수립하고평가결과를교육훈련에활용하는것이중요함. 3. 최고경영진은직원들이자신의활동에대한관련성및중요성을인식하고, 그들이서비스관리목적을달성하는데어떻게기여하는지를인식하도록한다. MBO(Management by Objective) 체계에따라각직원들에게개인목표를부여하고관리하면직원들이목표달성에어떻게기여하는지인식하고그관련성및중요성을알수있다. 동기부여어떤사람이먹을것과입을것그리고쉴곳을갖추고나면가장큰동기부여요인은그를인정하는것이다. E.M. 카우프만, 제약기업가 PART 6: 관리시스템수립 60

61 PART 7: 서비스관리기획및실행 PDCA 방법론 서비스관리기획및구현은 계획-실시-점검-조치 로알려진방법론은모든프로세스에적용될수있다. 계획-실시-점검-조치 모델은다음과같이기술할수있다. a 계획 : 고객요구사항및조직의방침에따라결과물을제공하는데필요한목표와프로세스를수립 ; b 실시 : 프로세스구현 ; c 점검 : 방침, 목적및요구사항에따라프로세스와서비스를모니터링, 측정하고, 그결과를보고 ; d 조치 : 프로세스성과를지속적으로개선하기위한행동. 핵심단어 계획 - 실시 - 점검 - 조치 (PDCA: Plan-Do-Check-Act) 방법론 그림 15 The Shewhart Cycle( 출처 : 위키백과 ) PDCA는많은사람들이현대품질관리의아버지로생각하는에드워드데밍박사 (Dr. W. Edwards Deming) 가만들었다. 그러나그는항상 PDCA를슈워트사이클 (Shewhart cycle) 이라고불렀다. 그는말년에 PDCA를그의생각을더잘표현하도록 "Plan, Do, Study, Act" (PDSA) 로수정하였다. PDCA의개념은프랜시스베이컨 (Francis Bacon) 의작품 (Novum Organum, 1620) 에서개발된과학적기법에서나왔다. 과학적기법은가설-실험-평가 (hypothesis - experiment - evaluation) 또는계획, 실행및점검 (Plan, Do, and Check) 으로나타낼수있다. 슈워트는제조산업을시방 ( 요구사항, specification), 생산 (production), 검사 (inspection) 의 3단계로관리 ( 통계적관리 ) 되는것으로설명했다. 또한그는이것을명시적으로가설, 실험및평가의과학적기법과연관지어설명했다. 그는통계학자는상품의품질이한계범위 (tolerance range) 에어떻게근접하는지, 상품의품질을어떻게개선하는지를보여줌으로써상품에대한요구를변화시키는것을도와야만한다고말했다. 분명히슈워트는분석가는평가의결론에근거하여조치 61 ISO/IEC 과효과적인 ITSM

62 를취해야한다고생각하였다. 데밍에따르면그가 1950년대초반일본에서강의하는동안일본인참여자들은그러한단계들을현대의전통적인계획, 실행, 점검, 조치로단순화시켰다. 데밍은계획, 실행, 학습, 조치로불렀는데영어에서학습이라는단어가점검보다슈워트의의도를더잘반영한다는이유였다. 이러한인식하에우리는아마도 PDCA가아니라 PDSA로참조해야할지모른다. 과학적기법및 PDCA의근본적원리는반복 (iteration) 이다. 일단가설을확증하고사이클을다시실행시키는것은지식을더욱확장시킬것이다. PDCA 사이클을반복하는것은완벽한운영과결과물이라는우리의목표에더가깝게해줄것이다. 6 시그마프로그램에서 PDCA 사이클은정의, 측정, 분석, 개선, 통제 (DMAIC: Define, Measure, Analyze, Improve, Control) 로불린다. 사이클의반복속성도 DMAIC 절차에명시적으로포함되어있다. PDCA는체계내의증가하는지식을궁극적인목표에집중시키는나선형속에서반복되어야하며각사이클은이전보다목표에더가깝게된다. 이러한접근법은우리의지식과기술에한계가있지만개선되고있다는믿음에기반한것이다. 특히프로젝트시작시에는핵심정보가알려져있지않지만 PDCA는우리의추측 ( 가설 ) 을확증하기위한피드백을제공하고우리의지식을증가시킨다. 변화의속도 ( 개선의속도 ) 는오늘의세계에서핵심경쟁요소이다. 카이젠 (Kaizen, 동양식접근법과연관지어빈번한작은개선을의미 ) 뿐만아니라 PDCA도성과의중대한 점프 (jump) 를가능하게한다 ( 흔히서양식접근법에서는 'breakthroughs'). 데밍의개념이강력한것은명확한단순성이다. 과학적기법에서의피드백개념은오늘날교육분야에깊게이식되어있다. 이해하기쉬운반면에측정결과에기반하여제안이나가설을판단하는것은지적으로쉽지않은일이므로일상적으로매일매일달성해나가는것은어렵다. 많은사람들은심지어객관적인측정에의해서라도 잘못되어 보이는것에대해감정적인두려움을가지고있다. 그러한비교를피하기위해서우리는대신에자기만족, 방심, 집중력상실, 의지부족, 우선순위재부여, 자원부족등을말한다. 계획 (Plan) 단계 이프로세스의고객은누구인가? 고객의니즈와기대는무엇인가? 프로세스목표는무엇인가? 왜그러한목표가정해졌는가? 프로세스를실행하기위해필요한자원이확보되어있는가? 필요한직원이정해져있는가? 진척상황과달성상황은어떻게감시하도록되어있는가? 문제점은어떻게관리되도록되어있는가? 프로세스개선은어떻게실시되도록되어있는가? PART 7: 서비스관리기획및실행 62

63 실행 (Do) 단계 무엇을실시하고있는가? 무엇을해야하는지에대해어떻게이해하고있는가? 목표를달성하기위해어떻게하고있는가? 만약무슨일이생기면어떻게하는가? 이것은계획되어있었던일인가? 점검 (Check) 단계 어떠한모니터링이이루어지고있는가? 검증과타당성확인은어떻게이루어지고있는가? 누구에게책임이있는가? 어떠한증거가입수가능한가? 프로세스가유효함을나타내는지표는무엇인가? 어떠할때시정, 예방조치가필요한가? 이것은계획되어있었던일인가 조치 (Act) 단계 어떠한상황에서어떠한조치가취해지고있는가? 누가조치책임을갖는가? 취한조치는어떻게 Follow-up 되고있는가? 시정, 예방조치는어떻게프로세스개선에연결되는가? 프로세스개선에관하여어떠한증거가입수가능한가? 이것은계획되어있던것인가? 63 ISO/IEC 과효과적인 ITSM

64 비즈니스요구사항 고객요구사항 신규 / 변경된서비스요청 다른프로세스들예, 비즈니스, 공급자, 고객 서비스데스크 기타부서예, 보안, IT 운영 서비스관리관리책임계획서비스관리기획실시조치서비스관리구현지속적개선체크모니터, 측정, 검토 비즈니스결과 고객만족 신규 / 변경된서비스 다른프로세스들예, 비즈니스, 공급자, 고객 팀및관련자 만족도 그림 16 서비스관리프로세스에대한계획 - 실시 - 점검 - 조치방법론 서비스관리계획 (Plan) 번호 과제목록 평가 상태 1 서비스관리계획을수립한다 2 서비스관리계획을검토, 승인, 의사소통, 구현, 유지하는데대한명확한관리지침과 책임을문서화한다 3 모든프로세스의세부계획은서비스관리계획과일관성있게수립한다 핵심단어 서비스관리계획 (SMP), 서비스관리계획시필수정의항목, 서비스관리계획관리절차 0. 다음용어및개념을알아둡시다서비스관리계획서 (Service Management Plan, SMP): 연간단위로작성하는운영계획서이다. SMP라고부르기도한다. 당해년도관리일정등전반적인활동에대한계획과함께 IT 서비스관리프로세스중에서구체적인계획을수립하여실행및관리해야하는프로세스에대해서작성한다. ( 예 : 용량관리, 가용성관리 ) 1. 서비스관리계획을수립한다 서비스관리계획은최소한다음사항을반드시포함하여야한다. PART 7: 서비스관리기획및실행 64

65 서비스제공자의서비스관리범위 서비스관리로달성할목적및요구사항 수행하여야하는프로세스 선임책임자, 프로세스담당자및공급자측경영진을포함한관리자의역할및책임프레임워크 서비스관리프로세스간의인터페이스및활동을조율하는방법 정의한목적달성시발생하는이슈및위험의식별, 심사, 관리를위한접근방법 서비스생성또는변경을하는프로젝트와상호작용하기위한방안 수립한목적을달성하는데필요한자원, 설비, 예산 프로세스지원에적절한도구 서비스품질의관리, 심사및개선방법 서비스관리계획은 IT 서비스관리체계를수립하고운영하기위한전반적인기획활동이다. 위에언급된계획사항을서비스관리계획서 (SMP) 에모두포함할필요는없으며관리정책서, 프로세스, 계획서등에나누어져문서화하며서로참조하면된다. 서비스관리계획은다음을달성해야한다. 서비스관리의구현 ( 혹은서비스관리의일부 ) 서비스관리프로세스의제공 서비스관리프로세스변경 서비스관리프로세스개선 신규서비스 ( 합의한서비스관리범위내에서프로세스들에게영향을주도록확장 ) 서비스관리계획은서비스관리프로세스와다음과같은변경요인으로인해유발된서비스변경을만족시켜야한다. 서비스개선 서비스변경 인프라표준화 법률변경 규정변경예, 지방세율변경 기업의규제철폐또는규제 합병및인수 ITSM 프로세스수립및관리 ITSM 을수립하기위하여다음사항들이필수적으로고려되고이행되어야한다. 65 ISO/IEC 과효과적인 ITSM

66 프로세스특성파악 ( 입력, 출력, 목표, 관리기준및방법, 제약조건등 ) 주요성과지표설정 ( 성과지표, 수단지표 ) 및성과측정방법강구 현재의성과평가 ( 현재수준파악 ) 프로세스순서및상화관계파악 ( 프로세스플로우 ) 활동분석 ( 입력, 출력, 자원, 태스크 5W1H) 및효과적인프로세스관리 시스템요구사항및고객요구사항전개 리스크분석 (BIA: 비즈니스영향도분석 ) 생산성분석 ( 불필요한입출력의제거 ) 정보의필요성분석 ( 의사소통및문서화필요성결정 ) 변화관리 ( 변화저항요소는?) 요구사항에따라 IT 서비스관리시스템 (ITSMS) 을수립, 문서화, 실행, 유지및지속적개선해야하며프로세스를관리하여야한다. 이를위해다음사항을이행하여야한다. 1 조직전반에걸쳐 ITSM과그적용에필요한프로세스의파악 ( 아웃소싱포함 ) 2 프로세스에대한순서및상호작용결정 3 프로세스를효과적으로관리하고운영하기위한기준과방법결정 4 프로세스에대한모니터링과운영을지원하는데필요한자원과정보의가용성을보장 5 프로세스에대한측정, 모니터링및분석실시 6 프로세스에서의계획된결과의달성과지속적인개선에필요한조치의실행 프로세스관리의핵심은다음과같이요약될수있다. 조직의핵심프로세스파악 프로세스의입력 / 출력요소및상호관계파악 출력단에성과목표설정 프로세스의주기적인모니터링 / 측정및지속적개선 (P D C A) 아웃소싱프로세스도관리 IT 서비스관리시스템 (ITSMS) 의실행요건은다음과같이요약될수있다. 프로세스의파악및관리 프로세스의순서와상호작용결정 프로세스의효과적인관리를위한기준및방법의결정 성과와지속적개선을위한프로세스의측정, 감시분석및조치 프로세스의효과적인운영과감시를위한정보의유용성보장 PART 7: 서비스관리기획및실행 66

67 2. 서비스관리계획을검토, 승인, 의사소통, 구현, 유지하는데대한명확한관리지침과책임을문서화한다프로세스자산관리또는문서및기록관리프로세스를수립하고서비스관리계획에다른문서들을포함한다. ( 예 : 서비스관리정책서, 프로세스정의서, 지침서, 서비스관리계획서 ) 3. 모든프로세스의세부계획은서비스관리계획과일관성있게수립한다 ( 해설없음 ) 서비스관리실행 (Do) 번호 과제목록 평가 상태 1 서비스를관리하고제공하기위한서비스관리계획을실행한다 2 자금과예산을배정한다 3 역할및책임을배정한다 4 각각의프로세스또는일련의프로세스에관한방침, 계획, 절차, 정의를문서화하고유지한다 5 서비스의위험을식별하고관리한다 6 팀을관리한다 ( 서비스데스크, 운영팀을포함한팀에대한적절한직원의채용및양성, 그리고지속적관리등 ) 7 설비및예산을관리한다 8 계획대비진행상황을보고한다 9 서비스관리프로세스들을상호조정한다 핵심단어 서비스관리계획실행, 위험관리, 팀관리, 진척관리, 프로세스조정 0. 다음용어및개념을알아둡시다 ( 해설없음 ) 1. 서비스를관리하고제공하기위한서비스관리계획을실행한다 ( 해설없음 ) 2. 자금과예산을배정한다 ( 해설없음 ) 3. 역할및책임을배정한다 프로세스별로정의된역할및책임을실제개인에게할당한다. ( 예 : 개인별업무분장표 ) 4. 각각의프로세스또는일련의프로세스에관한방침, 계획, 절차, 정의를문서화하고유지한다 ( 해설없음 ) 67 ISO/IEC 과효과적인 ITSM

68 5. 서비스의위험을식별하고관리한다 ( 해설없음 ) 하단 M_o_R 소개를참조한다. 6. 팀을관리한다 ( 서비스데스크, 운영팀을포함한팀에대한적절한직원의채용및양성, 그리고 지속적관리등 ) ( 해설없음 ) 7. 설비및예산을관리한다 ( 해설없음 ) 8. 계획대비진행상황을보고한다 ITSM 목표대비성과보고 SLA 서비스수준목표대비성과보고 개인별 MBO 목표대시성과보고 프로세스별목표대비성과보고 신규서비스계획대비진척보고등 9. 서비스관리프로세스들을상호조정한다 프로세스조정은프로세스자체변경이나재설계를의미하지않는다. 프로세스관리자가프로세스실행을모니터링하고필요시조정한다. 우선순위를변경하여병목현상해결 작업지시배포규칙을변경 작업에참여하는팀구성을변경 PART 7: 서비스관리기획및실행 68

69 M_o_R M_o_R 은 Management of Risk 의약자로 OGC 가위험관리에대한 지침을제공하기위해출판하였다. 몇가지개념을간단히알아보자. 위험관리원칙 (Principles) 기업거버넌스요구사항에따라수립된위험관리를위한 12개의대원칙이다. 조직상황 (context) 이해관계자참여 조직목표 위험관리접근법 보고 역할및책임 지원구조 조기경보지표 검토주기 위험관리장애극복 협력적인 (supportive) 문화 지속적개선 위험관리접근법위험관리원칙을이행하기위한방법이며다음과같은문서를생성한다. 위험관리정책 위험관리프로세스지침서 위험관리계획위험관리접근법을구현하기위해서는다음과같은핵심적인위험관리개념들을고려해야한다. 위험욕구및용량 위험임계치 이관절차 책임및역할 위험의가능성, 영향도, 기대가치및접근성평가 본래의위험과잔여위험위험대응범주는 5가지로분류할수있다. 축소 (Reduction) 69 ISO/IEC 과효과적인 ITSM

70 제거 (Removal) 전가 (Transfer) 감수 (Retention) 공유 (Share) 위험관리프로세스위험관리프로세스는연속되는네단계로정의된다. 식별 (Identify) 평가 (Assess) 계획 (Plan) 실행 (Implement) 중요한것은생각이아니라실행이다당신이해야만하는일이있고할수있다고꿈꾸는일이있을때는그것이무슨일이든일단시작하라. 바로지금행동하라. 행동은특수한재능과힘그리고불가사의한마법을그안에담고있다. 요한볼프강폰괴테단지움직이는것만을신뢰하라. - 알프레드아들러 (Alfred Adler), 심리학자 서비스관리점검 (Check) 번호 과제목록 평가 상태 1 적절한방법으로서비스관리프로세스를모니터링하고측정한다 2 모니터링및측정을통하여프로세스가계획한결과를달성할능력이있음을확인한다 3 경영진은서비스관리가 ISO 요구사항에부합하고효과적으로구현및유지되는지결정하기위하여계획된주기에따라검토한다 4 이전심사결과뿐만아니라프로세스의상태, 중요성그리고심사영역을고려하여심사프로그램을계획한다 5 심사기준, 범위, 주기및방법에대한절차를수립한다 6 심사원선정및심사수행을공정하고객관적으로수행한다 ( 심사원은자신의업무를심사할수없다 ) 7 서비스관리검토, 심사그리고심사의목적을그러한심사및검토의발견사항과식별된관련조치와함께기록한다 PART 7: 서비스관리기획및실행 70

71 8 중대한부적합또는관심필요영역에대하여관련이해관계자들과협의한다 핵심단어 서비스관리모니터링및측정, 서비스관리검토, 서비스관리심사 0. 다음용어및개념을알아둡시다심사 (audit): 심사기준이충족되어있는정도를판정하기위하여심사증거를수집하고그것을객관적으로평가하기위한체계적이고, 독립적이며문서화된프로세스심사프로그램 (audit program): 어떤목적의달성을위하여정해진기간내에실시하도록계획된일련의심사 1. 적절한방법으로서비스관리프로세스를모니터링하고측정한다서비스제공자는서비스및서비스관리프로세스그리고관련된시스템들을모니터, 측정, 분석그리고검토하는것을계획하고구현한다. 다음항목을모니터, 측정, 검토한다. 정의한서비스목표에대한달성 고객만족도 자원활용 동향 주요부적합 2. 모니터링및측정을통하여프로세스가계획한결과를달성할능력이있음을확인한다 목표달성여부를파악하고미달성시그원인이프로세스자체 ( 프로세스정의, 프로세스설계 ) 에서기인한것인지검토한다. 3. 경영진은서비스관리가 ISO 요구사항에부합하고효과적으로구현및유지되는지결정 하기위하여계획된주기에따라검토한다 관리시스템요구사항의서비스관리검토를참조한다. 4. 이전심사결과뿐만아니라프로세스의상태, 중요성그리고심사영역을고려하여심사프로그램을계획한다심사프로그램을다음과같이계획한다. 전회심사결과참조 금회심사되어야할활동및영역의상태와중요성고려 71 ISO/IEC 과효과적인 ITSM

72 심사범위, 주기및방법정의 심사원의독립성 ( 본인의업무를심사할수없음을주지 ) IS 은심사실행지침을제공한다. 5. 심사기준, 범위, 주기및방법에대한절차를수립한다 서비스심사프로세스를별도로수립하거나다른프로세스의부분으로수립한다. 6. 심사원선정및심사수행을공정하고객관적으로수행한다 ( 심사원은자신의업무를감사할수없다 ) 자신의업무가아니면심사할수있으나공정을기하기위해서본인이속한팀은심사하지않는것이바람직하다. 7. 서비스관리검토, 심사그리고심사의목적을그러한심사및검토의발견사항과식별된관련 조치와함께기록한다 계획서, 보고서, 검토기록 ( 회의록등 ) 을작성할때목적, 발견사항, 관련조치를함께기록한다. 8. 중대한부적합또는관심필요영역에대하여관련이해관계자들과협의한다 서비스개선프로그램을운영하여공식적, 정기적으로이해관계자들과협의하는것이좋다. 서비스관리조치 (Act) 서비스관리조치활동의목적은서비스제공및관리의효과성과효율성을향상시키는것이다. 번호 과제목록 평가 상태 1 서비스개선에대한방침및목표를수립한다 2 ISO 또는서비스관리계획에부적합한것은바로잡는다 ( 수정, 제거, 개선, 경감등 ) 3 서비스개선활동에대한역할및책임을명확히정의한다 4 제안된모든서비스개선사항을평가, 기록, 우선순위결정및승인한다 5 상시적으로서비스개선활동을식별, 측정, 보고및관리하기위한프로세스를수립한다 6 기준선을수립하고서비스제공및서비스관리프로세스의역량을벤치마크하기위해데이터를수집, 분석한다 7 개선사항을식별, 계획및실행한다 PART 7: 서비스관리기획및실행 72

73 8 관련된모든이해관계자들과협의한다 9 품질, 비용, 자원사용에대한개선목표를수립한다 10 개선사항에대한관련정보및데이터를고려한다 11 서비스개선사항을측정, 보고및의사소통한다 12 필요한경우서비스관리방침, 프로세스, 절차및계획을개정한다 13 모든승인된조치가수행되고의도된목적이달성됨을보장한다 핵심단어 서비스개선방침, 시정조치, 개선활동에대한역할및책임, 제안된개선사항관리, 서비스개선계획, 서비 스개선프로세스, 기준선, 벤치마킹, 개선목표 0. 다음용어및개념을알아둡시다개선 (Improvements): ' 이전 ' 상태와비교했을때결과물로서, 바람직한지표의측정증가치또는바람직하지않은지표의측정감소치 ( 개선을위해서는반드시측정을해야한다는점을다시생각해보면개선에대한정의가분명해진다. 지표를측정해서좋은값은올리고나쁜값은내리는것이개선이며그차이가개선결과이다 ) 이익 (Benefits): 개선의실현을통해얻은것으로서보통금전적가치로표현됨 ROI(Return on Investment): 달성된이익과그이익을위해지불된금액간의차이로서비율로표현됨 ( 또는금액 ) VOI(Value on Investment): 비금전적가치또는장기적결과물을포함하여이익확립에의해창출되는확장가치. ROI는 VOI의하위요소임 1. 서비스개선에대한방침및목표를수립한다서비스개선목표는성과개선또는문제의경감이나제거에대해수립한다. 서비스개선목표는연간단위를베이스라인으로하여매년지속적으로개선하는목표와연중에개선필요성이제기되어신규개선활동을할때수립하는목표가있다. 서비스개선목표는품질, 비용, 자원활용측면에대해서수립해야한다. 2. ISO 또는서비스관리계획에부적합한것은바로잡는다 ( 수정, 제거, 개선, 경감등 ) 개선활동을시정조치 ( 발생한부적합 ), 예방조치 ( 발생예상부적합 ), 개선조치 ( 일반적인개선 활동 ) 로나누면이요건은주로시정조치에해당된다. 3. 서비스개선활동에대한역할및책임을명확히정의한다 서비스개선관리자의역할및책임이중요하다. ITIL V3 지속적개선은서비스개선의역할및 73 ISO/IEC 과효과적인 ITSM

74 책임을상세히설명한다. 4. 제안된모든서비스개선사항을평가, 기록, 우선순위결정및승인한다 다른모든 IT 서비스관리프로세스에서식별, 도출된개선사항은중앙집중적으로수집되어야 한다. 5. 상시적으로서비스개선활동을식별, 측정, 보고및관리하기위한프로세스를수립한다프로세스는다음두가지개선사항을포함한다. 프로세스담당자가일반직원과함께실현할수있는개별프로세스의개선사항 ( 예 : 개별적시정및예방조치를수행함 ) 조직전체또는하나이상의프로세스에걸친개선사항 서비스관리를지속적으로개선하는목적은고객및기타이해관계자의만족을향상시키는가능성을증가시키는것이다. 개선을위한활동에는다음사항이포함된다. 개선의영역을명확히하기위해현상황을분석하고평가한다. 개선의목표를설정한다. 목표달성을위하여가능한해결책을찾는다. 해결책을평가하고선정한다. 선정한해결책을실행한다. 목표가충족되었는지를결정하기위해실행결과를측정하고검증하고분석하고평가한다. 변경을공식화한다. 필요한경우, 한층더개선의기회를명백히하기위하여개선결과를리뷰한다. 개선활동은별도로정의된개선프로세스에따라수행되는것이바람직하며프로세스수립시에다음사항을고려하는것이중요하다. 개선범주 : 개선의시급성, 투입노력, 개선영향도등의요소에따라범주및우선순위결정 개선대상및원인 : 서비스, 프로세스 ( 절차 ), 사람, 도구등개선이필요한대상과잘못된절차, 교육훈련이부족한인력, 자동화부족등개선이필요한원인을분류하여관리 개선수명주기관리 : 일반적으로개선활동은개선사항을식별하고계획을수립하는데그침. 대부분의경우개선사항은이미쌓여있는데재발견하거나다른개선사항을찾는데자원을투입하고있음. 개선활동의상태, 과정을관리하고완료여부를파악하고효과를검토하는활동이개선프로세스의성공을좌우함. PART 7: 서비스관리기획및실행 74

75 6. 기준선을수립하고서비스제공및서비스관리프로세스의역량을벤치마크하기위해데이터를수집, 분석한다기준선은현재의프로세스성과수준이다. 과거및현재측정한데이터를분석하여기준선을수립하고데이터가없거나부족하면우선잠정적으로정하고향후확정한다. 서비스관리프로세스의능력을벤치마크하는것은현재기준선과의 gap을파악하고개선수준 ( 목표기준선 ) 을정하기위해서다. 공개자료나인적네트워크를통해서타사사례나업계평균수준같은데이터를수집한다. 7. 개선사항을식별, 계획및실행한다여기서개선사항은개선과제, 개선활동이라기보다프로세스역량의목표수준이다. 현재수준을알고남들이얼마나잘하는지파악하였으므로이제얼마나더잘할것인지를정하고실천하는것이다. TIP 개선사항 (improvement) 의기본적인정의는좋은것은늘리고나쁜것은줄이는 정량적인증감수치 라는것을기억하자. 8. 관련된모든이해관계자들과협의한다 TIP 서비스개선관리자는고객을비롯하여서비스관리책임자, 프로세스관리자등개선사항과관련된이해관계자들과협의한다. 이러한활동은공식적인서비스개선프로그램을통해서실시하는것이바람직하다. ( 예 : 공개적인정보공유방법, 정기적인미팅및안건등 ) 9. 품질, 비용, 자원사용에대한개선목표를수립한다 품질 : 가용성, 장애발생건수, 변경적시처리율, 고객만족도등 비용 : 서비스원가, 인센티브 / 패널티, 요청건당처리비용등 자원사용 : 서비스사용자수, 인당요청처리건수, 적정용량유지율등 10. 개선사항에대한관련정보및데이터를고려한다 TIP 관련정보및데이터는고객피드백, 실적경향, 위험 / 이슈, 경영진관심사항, 벤치마크등 다양한경로를통해수집한다. 11. 서비스개선사항을측정, 보고및의사소통한다 TIP 서비스개선관리자가정기적으로서비스개선측정결과를바탕으로서비스개선보고서를 작성하여서비스관리책임자를비롯한이해관계자에게보고한다. 75 ISO/IEC 과효과적인 ITSM

76 12. 필요한경우서비스관리방침, 프로세스, 절차및계획을개정한다 ( 해설없음 ) 13. 모든승인된조치가수행되고의도된목적이달성됨을보장한다 TIP 서비스개선계획이최종완료될때까지모니터링, 검토및통제하고적용후결과를검토하여필요한조치를취하도록개선프로세스를정의하고이에따라실행한다. 데밍사이클조셉주란과함께품질혁명을이끌었던에드워드데밍 (W. Edwards Deming, ) 은측정할수없는것은개선할수없다고했다. 지속적인개선을개념화한그의데밍사이클은품질바퀴가 PDCA( 계획-실행-점검-조치 ) 사이클에따라언덕을계속올라가고밑으로는내려가지않도록하는굄목이있다. 그림 17 데밍사이클 (The Deming Cycle) 지속적인서비스개선모델 PART 7: 서비스관리기획및실행 76

77 그림 18 지속적인서비스개선모델 ( 출처 : ITIL V3 CSI) 지속적인개선이어떻게이루어지는가에대해서 ITIL V3에서는지속적서비스개선모델을제시한다. 업계서비스만족도 1등기업이되고싶은 IT 서비스기업입장에서지속적개선모델을생각해보자. 비전은무엇인가? 가장먼저달성하고자하는것, 가고싶은곳을정한다. 개선을위한이기업의비전은업계서비스만족도 1등이되는것이며더욱구체적으로해마다블루프린트에서발표하는산업별 IT 서비스만족도조사결과에서금융업종 1등을하는것이다. 지금어디에있는가? 다음은지금어느수준에위치하고있는지를파악한다. 성과지표측정치에서기준선을정하거나성숙도수준진단심사등을활용할수있으며사례의경우작년에블루프린트에서발표한결과가있으므로손쉽게올해순위인 5등을개선기준선으로정하였고왜 5 등밖에할수없었는지내부컨설턴트중심으로진단을수행하였다. 어디에있고싶은가? 개선활동을실시하는목표기간내에도달할수준을구체적으로정한다. 사례기업은 2008년목표를전년도보다두단계위인 3등으로정하였다. 어떻게도달할것인가? 목표를달성하기위한구체적인실행계획을수립한다. 진단결과를바탕으로도출한개선과제는가용성수준향상, 서비스데스크훈련프로그램운영및해피콜제도실시, 어플리케이션서비스모니터링강화이며각과제별로구체적인목표와실행계획을수립하였다. 그곳에도달했는가? 개선활동을완료하고목표달성여부를측정결과로확인한다.( 물론실행과정중정기적으로중간모니터링및측정을실시한다.) 각과제별목표는모두달성하였으며 2008년 77 ISO/IEC 과효과적인 ITSM

78 12월에조사결과가발표되었는데사례기업은 3등이되어목표를달성하였다. 추진력을어떻게유지할것인가? 개선활동은한두달, 일이년이아니라조직이지속하는동한계속되어야한다. 개선추진력을얼마나유지하느냐는결국그조직의역량이며 ISO 인증을획득했다고보장되는것이아니다. 최고경영자의관심과의지, 리더쉽이중요하다. 그림 19 7 단계개선프로세스 ( 출처 : ITIL V3 CSI) 지속적서비스개선모델은 7 단계개선프로세스를수립, 이행하는것으로구현된다. 1 단계 측정지표정의조직의목표를지원하는측정지표들을빠짐없이정의한다. 이단계에서는현재데이터를사용할수있느냐보다목표달성여부를알수있는지표들을식별하는데초점을둔다. 2 단계 측정가능지표정의측정이필요한지표들중에서현재측정가능한지표를정의한다. 측정이필요하지만불가능한지표들에대해서는이에따른위험과의미를분석하여고객과경영진에게보고한다. 모든지표를측정하기위해서새로운도구의도입이나프로세스, 측정방법의변경이필요할수있으며단기, 중기적인계획을수립하는것이바람직하다. 3 단계 데이터수집 정의한지표를측정하기위한데이터를수집한다. 데이터를수집하기위해서모니터링도 PART 7: 서비스관리기획및실행 78

79 구나프로세스가마련되어야하며수작업으로수집하는경우담당자의역할및책임, 주 기, 형식등을사전에명확히정의하는것이중요하다. 4 단계 데이터가공수집된데이터를필요한형식으로가공한다. 데이터의형식이나정확성을검증하고요구되는형식으로변환하거나정리한다. 서비스, 프로세스, 인프라요소별로가공하여서로의관계나영향을파악할수있도록한다. 5 단계 데이터분석 데이터분석은정보 ( 누가, 무엇을, 언제, 어디서 ) 를지식 ( 어떻게 ) 으로변환한다. 분석결과 를통해목표달성여부, 경향, 시정조치필요여부, 소요비용등을알수있다. 6 단계 보고및활용데이터분석에서얻은지식을의사결정에활용한다. 필요한사람에게적절한방법으로제공해야한다. 보고서에는달성한가치및효과, 서비스예외사항, 개선경향, 잘했거나긍정적인내용들을포함한다. 7 단계 시정조치서비스, 프로세스, 기술등을최적화, 개선, 시정하는활동을실시한다. 이러한시정조치는정의되고조직내에서의사소통되어야하며목표, 자원, 가능한투자규모등을고려한우선순위에따라실시된다. 개선활동을공식화하고명확한역할및책임을부여하기위해개선프로세스를독립적인프로 세스로운영하는것이바람직하다. 신규서비스기획및제공 신규서비스또는변경사항이합의된비용및서비스품질로제공되고관리됨을보장한다 번호 과제목록 평가 상태 1 신규또는변경된서비스에대한제안은서비스제공및관리로발생할수있는비용, 조직적, 기술적, 상업적영향을고려한다 2 서비스종료를포함하여신규또는변경된서비스를구현하는것은공식적인변경관리를통하여계획하고승인한다 3 기획및실행은서비스제공및관리에필요한변경이가능하도록적절한자금과자원을포함한다 4 신규또는변경된서비스에대한계획 ( 들 ) 을수립한다 5 신규또는변경된서비스들은운용환경에구현되기이전에승인한다 79 ISO/IEC 과효과적인 ITSM

80 6 신규서비스또는변경된서비스의구현이후, 계획대비실적성과를보고한다 7 계획대비실적에대한실행후검토 (PIR) 는변경관리프로세스를통하여수행한다 핵심단어 신규서비스제안, 변경관리연계, 신규서비스계획, 신규서비스인수, 신규서비스모니터링및보고, 신 규서비스구현후검토 0. 다음용어및개념을알아둡시다신규또는변경된서비스 (New or Changed Service): 신규또는변경된서비스에대한요구사항은최초고객요구부터서비스가기획, 구현및제공되고마지막으로폐기되는수명주기와변경관리간의상호작용에초점을둔다. 여기서변경된서비스의의미는요청이행 (Request fulfillment) 이나인시던트관리에따라발생하는운영성변경 (Operational change) 이아니라새로운서비스 ( 정보시스템 ) 에버금가는변경이므로대폭적인업그레이드나기능교체를의미한다. 조직에서는신규또는변경된서비스로구분하는업무 / 과제의기준을정하여야한다. ( 변경유형을 Major, Minor로구분하고이요건에해당하는변경된서비스를 Major 변경으로분류할수있다.) 신규또는변경된서비스를성공적으로구현하기위해서는프로젝트로식별되고관리되어야하므로결국개발프로젝트로분류하는기준이된다. 1. 신규또는변경된서비스에대한제안은서비스제공및관리로발생할수있는비용, 조직적, 기술적, 상업적영향을고려한다신규또는변경서비스의기획및실행을위한절차는다음사항을명확히해야한다. 신규또는변경서비스에대한고객요구는언제, 어디서, 어떻게접수되어변경관리로전달되는가? 변경관리프로세스 ( 변경을통제하고향후만들어진프로세스를운영할측 ) 와서비스기획및구현프로세스 ( 기획조직, 개발조직 ) 간에상호작용은어떻게이루어지는가? ( 시점, 주체, 활동, 산출물등에대해 ) 요구사항에명시된신규또는변경서비스기획사항들은어떤산출물에작성되는가? 서비스가구현되는과정중에도충분히상호검토등이이루어져당초의도대로구현되고위험을예방하도록보장하는가? 2. 서비스종료를포함하여신규또는변경된서비스를구현하는것은공식적인변경관리를통하 여계획하고승인한다 모든서비스변경은변경관리기록에반영되어야하며다음에관한계획을포함한다. PART 7: 서비스관리기획및실행 80

81 직원채용또는재교육 재배치 사용자교육 변경에대한의사소통 지원기술이갖는특성의변경 공식적서비스종료 3. 기획및실행은서비스제공및관리에필요한변경이가능하도록적절한자금과자원을포함한다 ( 해설없음 ) 4. 신규또는변경된서비스에대한계획 ( 들 ) 을수립한다계획에는다음사항을포함한다. 고객및공급자가수행하는활동을포함한신규서비스또는변경된서비스를구현, 운영, 유지하기위한역할과책임 기존서비스관리프레임워크및서비스에대한변경사항 관련당사자들과의의사소통 비즈니스요구의변경에따른신규또는변경된계약및합의 인적자원과인재채용요구사항 기술및교육훈련요구사항 ( 예 : 사용자, 기술지원 ) 신규또는변경된서비스와관련된프로세스, 측정지표, 방법, 도구 ( 예 : 용량관리, 재무관리 ) 예산및기간 서비스인수기준 측정가능한항목들로표현된신규서비스운영을통해기대되는성과 5. 신규또는변경된서비스들은운용환경에구현되기이전에승인한다 TIP 서비스인수기준 (Acceptance Criteria) 을충족하면승인후적용한다. 6. 신규서비스또는변경된서비스의구현이후, 계획대비실적성과를보고한다 TIP 계획단계에서정성적목표뿐만아니라정량적, 재무적목표를수립한다. 7. 계획대비실적에대한실행후검토 (PIR) 는변경관리프로세스를통하여수행한다 ( 해설없음 ) 81 ISO/IEC 과효과적인 ITSM

82 PART 8: 서비스제공 (Delivery) 프로세스 서비스수준관리 (Service level management) 번호 과제목록 평가 상태 1 서비스수준목표그리고업무량특성과함께제공되는전체서비스제공범위를관계자들과합의하고기록한다 2 제공되는각서비스를하나또는그이상의서비스수준협약 (SLA) 으로정의, 합의, 문서화한다. 3 모든관련이해관계자는지원서비스협약 (OLA), 공급자계약및관련절차와함께서비스수준협약을합의하고결과를기록한다 4 서비스수준협약은변경관리프로세스의통제대상으로한다 5 모든관계자들은서비스수준협약이최신으로유지되고시간이경과했어도유효한상태임을확신하기위해정기적으로서비스수준협약을검토한다 6 서비스수준의현재및경향을보여주도록서비스수준을모니터하고보고한다 7 부적합에대한원인을보고하고검토한다 8 프로세스에서식별된개선을위한조치를기록하고서비스개선계획을위한입력사항으로제공한다 핵심단어 서비스카다로그, 서비스수준협약, SLA 변경, SLA 검토, 서비스수준모니터링및보고, 서비스수준관리 프로세스개선 0. 다음용어및개념을알아둡시다서비스수준협약 (SLA: Service Level Agreement): 서비스제공자와고객사이에서비스와합의된서비스수준을문서화한협약이다. IT 서비스제공자와고객간합의이다. SLA는 IT 서비스를기술하고서비스수준목표를문서화하며 IT 서비스제공자와고객의책임을명시한다. 여러 IT 서비스또는여러고객들을하나의 SLA로운영할수있다. 서비스카탈로그 (service catalog): 전체서비스제공범위를기록하기위해서서비스카다로그작성이필요하다. 서비스포트폴리오는적용예정중인것을포함하여제공하고있는모든 IT 서비스에대한정보를담고있는데이터베이스또는구조화된문서이다. 서비스카다로그는단지서비스포트폴리오중에서고객에게발행된부분이며 IT 서비스의영업 ( 판매 ) 및제공을위해사용된다. 서비스카다로그는고객과직원모두가쉽게접근하여사용할수있어야한다. PART 8: 서비스제공 (Delivery) 프로세스 82

83 1. 서비스수준목표그리고업무량특성과함께제공되는전체서비스제공범위를관계자들과합 의하고기록한다 TIP 서비스카탈로그를작성한다. 2. 제공되는각서비스를하나또는그이상의서비스수준협약 (SLA) 으로정의, 합의, 문서화한다 SLA 는서비스제공자유형 ( 내부, 공유, 외부 ) 에따라서도개수나형태가달라질수있다. 3. 모든관련이해관계자는지원서비스협약 (OLA), 공급자계약및관련절차와함께서비스수 준협약을합의하고결과를기록한다 OLA 는서비스및조직의규모, 업무방식에따라생략할수있다. 4. 서비스수준협약은변경관리프로세스의통제대상으로한다서비스수준협약을변경관리대상으로하기위해서는서비스수준협약을구성항목으로정의하여구성관리데이터베이스에포함하여야한다. 초기에구성관리대상을정할때문서를제외하는경우가있는데서비스수준협약을포함하여서비스관리에사용되는문서는반드시구성관리대상에포함하여야한다. 5. 모든관계자들은서비스수준협약이최신으로유지되고시간이경과했어도유효한상태임을확 신하기위해정기적으로서비스수준협약을검토한다 TIP SLA 운영위원회를구성하여운영한다. 6. 서비스수준의현재및경향을보여주도록서비스수준을모니터하고보고한다 TIP 서비스수준모니터링및보고는반드시자동화가필요한영역이다. 엑셀을활용한관리는 한계가많다. 7. 부적합에대한원인을보고하고검토한다 ( 해설없음 ) 8. 프로세스에서식별된개선을위한조치를기록하고서비스개선계획을위한입력사항으로제공 한다 ( 해설없음 ) SLA 추진방법론 서비스수준협약구축방법에대해한국소프트웨어진흥원에서발간 83 ISO/IEC 과효과적인 ITSM

84 한서비스수준관리가이드라인의추진방법론을간단히소개한다. 1단계 2단계 3단계 4단계 서비스준비서비스정의서비스협약서비스관리 1.1 조직구성 2.1 서비스명세서작성 3.1 SLA 작성및협의 4.1 SLA 운영준비 1.2 추진계획수립 2.2 사용자요구정의 3.2 SLA 합의 4.2 모니터링및측정 1.3 교육및홍보 2.3 측정항목정의 3.3 SLA 공표및전파 4.3 서비스수준평가 1.4 서비스현황조사 2.4 측정기준정의 4.4 서비스수준개선 2.5 평가방법설정 4.5 SLA 개정 2.6 프로세스수립 그림 20 서비스수준협약추진단계 서비스준비단계 서비스준비는서비스수준관리 (SLM) 활동을수행하기위한준비단계로서비스사용자와서비스제공자가참여하는담당조직을구성하여서비스수준관리 (SLM) 활동과관련된목표및계획을수립하며필요한교육및현황조사를수행한다. 서비스준비를위한세부적인작업절차로는담당조직을구성하여역할및책임을정의하고, 목적과범위정의, 사용자인식조사및분석, 필요자원의식별및구체화, 활동및일정계획등의서비스수준협약 (SLA) 추진계획을수립한다. 작성된서비스수준협약 (SLA) 추진계획에따라교육및홍보계획을수립및시행하며업무및시스템현황조사를실시한다. 서비스정의단계서비스정의는제공하게될서비스의내용을명확하게정리, 제시하기위한단계로서비스사용자와서비스제공자가참여하여서비스명세서를작성하고서비스사용자요구사항조사를통해서비스측정항목및기준을정의하며서비스평가방법설정활동을수행한다. 서비스정의를위한세부적인작업절차로는서비스를정의하여서비스명세서를작성하고, 서비스사용자의요구사항을조사, 분석하여서비스수준협약 (SLA) 구조결정및서비스측정항목을정의한다. 정의된서비스측정항목에대한측정기준이마련되면서비스항목의초기측정치조사를실시하여서비스목표수준을설정하고서비스평가방법을정의한다. PART 8: 서비스제공 (Delivery) 프로세스 84

85 서비스협약단계서비스협약은서비스사용자와서비스제공자가최종적으로서비스수준을확정하는단계로, 서비스준비프로세스와서비스정의프로세스를통해결정된서비스측정항목정의서, 초기측정결과서, 서비스목표수준정의서, 서비스중요도분석서, 서비스평가방법정의서, 서비스수준관리서등의내용을근간으로서비스수준협약 (SLA) 초안을작성하고, 협의및승인을통해확정하여서비스수준협약 (SLA) 을공표및배포하는단계이다. 서비스협약의세부적인작업절차로는서비스수준협약 (SLA) 을위한문서화를수행하고, 이에대한협의, 조정, 확정, 계약체결절차를거쳐협약내용의공표, 배포및전파를수행한다. 서비스관리단계서비스관리는상호합의한서비스수준협약 (SLA) 이공표되면, 서비스사용자와서비스제공자간에서비스수준협약 (SLA) 에서제시한서비스목표, 수준및평가기준등을이행하기위해지속적으로관리하는단계이다. 서비스관리를위한세부적인작업절차로는필요시서비스수준관리 (SLM) 운영조직으로의이관을수행하고, 안정화를위한시범운영, 주기적인서비스수준데이터수집, 산출및모니터링, 서비스수준평가및성과보고서작성, 성과검토회의, 사용자만족도조사를실시한다. 만약서비스수준협약 (SLA) 목표에미달한경우에는이에대한개선계획을수립하여이행한다. 그리고서비스수준협약 (SLA) 에대한개정필요성검토후결과에따라개정처리를수행한다. 서비스수준 신용이없이는어떠한능력도소용이없다. 앤드류카네기 (Andrew Carnegie) 서비스보고 (Service reporting) 정보에근거한의사결정과효과적인의사소통을위하여합의되고적시의신뢰성있는정확한보 고를제공한다. 번호 과제목록 평가 상태 1 각서비스보고서는식별자, 목적, 보고서를읽는대상, 데이터의상세한출처를포함하여명확히기술한다 2 서비스보고서는식별된요구와고객요구사항을만족하도록작성한다 3 경영진의결정과시정조치는서비스보고에있는조사결과들을고려하며이해관계자들과의사소통한다 85 ISO/IEC 과효과적인 ITSM

86 핵심단어 서비스보고서포함사항, 서비스보고서활용 0. 다음용어및개념을알아둡시다 ( 해설없음 ) 1. 각서비스보고서는식별자, 목적, 보고서를읽는대상, 데이터의상세한출처를포함하여명확히기술한다서비스보고서는다음항목을포함한다 서비스수준목표대비성과 : 예 ) 서비스수준협약에정한목표대비실적 ( 달성, 미달성 ) 부적합과이슈사항 : 예 ) ISO 20000, 조직프로세스, 서비스수준협약등에불일치, 보안상허점 업무량특성 : 예 ) 인시던트건수, 문의및요청건수, 사용자수, 신규릴리스건수, 사용된용량 주요이벤트이후의성과보고 : 예 ) 주요인시던트 ( 장애 ), 변경, 릴리스, 재해복구훈련 경향정보 : 예 ) 주간, 월간, 분기, 반기등주기적추세정보 만족도분석 : 예 ) 인시던트건별만족도수준, 정기고객만족도조사결과, 고객불만건수 예정된이벤트, 변경중에서중요한내용 2. 서비스보고서는식별된요구와고객요구사항을만족하도록작성한다 서비스보고범위 서비스제공자가고객에게보고하는경우 서비스제공자내부에서관리자, 경영진에게보고하는경우 공급자가서비스제공자에게보고하는경우 서비스보고유형 발생한일에대한즉각적인보고 일정기간의서비스성과보고 중대한이벤트를미리경고하여예방적행동을취할수있도록하는사전보고 계획된활동들을보여주는향후일정보고 PART 8: 서비스제공 (Delivery) 프로세스 86

87 3. 경영진의결정과시정조치는서비스보고에있는조사결과들을고려하며이해관계자들과의사소통한다품질경영 8원칙중사실에입각한의사결정에해당한다. 생성되는서비스관리보고서중에서경영진에게보고되는비중이얼마나되느냐가 ITSM에대한경영진의리더쉽을보여주는간접지표가아닐까하고생각할때가있다. 보고하기와보고받기많은서비스제공자들이고객을위한보고서는고객의까다로운요구사항을받아들여정성을들이는반면에자신이고객입장인공급자들로부터는형편없는보고서를받는다. 시간이더걸리더라도 ISO 인증획득추진시공급자보고서를포함한공급자관리를재정립할필요가있다. 서비스가용성관리 (Service availability management) 번호 과제목록 평가 상태 1 가용성요구사항을비즈니스계획과서비스수준협약그리고위험평가를기초로하여식별한다 2 요구사항은접근권한, 응답속도뿐만아니라시스템종단컴포넌트사이의가용성도포함한다 3 서비스의정상적제공에서중대한손실에이르기까지모든상황에서합의한바에따라요구사항을충족하고있음을보장하기위해가용성계획을작성하고최소년 1회검토한다 4 가용성계획을비즈니스로인해요구되는합의된변경을반영하도록유지한다 5 가용성계획을비즈니스환경에대한주요변경이있을때마다다시테스트한다 6 변경관리프로세스는가용성계획에미치는영향을심사한다 7 가용성을측정하고기록한다 8 계획되지않은비가용성은조사하고적절한조치를실시한다 ( 가능하다면잠재적이슈들도예측하고예방적조치를실시한다 ) 핵심단어 가용성요구사항, 가용성계획, 계획검토및변경, 계획재테스트, 가용성측정및기록 0. 다음용어및개념을알아둡시다 가용성 (Availability): 구성요소또는서비스가명시된순간또는명시된기간이상으로요구되는 87 ISO/IEC 과효과적인 ITSM

88 기능을수행하는능력이다. 가용성은보통합의된서비스시간에대한실제비즈니스에활용가능한시간의비율로표현한다. 가용성은 요구될때합의된기능을완수하기위한구성항목또는 IT 서비스의능력 이다. 가용성은신뢰성 (Reliability), 유지보수성 (Maintainability), 편리성 (Serviceability), 성과 (Performance) 및정보보안 (Security) 에의해결정된다. 가용성은보통퍼센트로계산되며이계산은흔히합의된서비스시간 (Service Time) 과중지시간 (Downtime) 을근거로한다. IT 서비스의비즈니스결과물에대한측정값을바탕으로가용성을계산하는것이베스트프랙티스이다. 가용성관리와연속성관리구분 ISO 20000에서는가용성관리와연속성관리를한조항으로기술하고있지만 ITIL에서는두개의프로세스이다. 조직에서프로세스를구현할때는관계없지만두개념을구분해서이해할필요가있다. 가용성과연속성은기본적으로 약속한서비스를계속제공한다 는의미로보면유사하지만 (Continuous Availability는가용성 100% 를의미 ), 처하게된상황이다르고상황에따라수행해야할활동이달라지므로가용성관리와연속성관리를구분한다. 예를들어소나기가자주올때는지붕, 배수로를점검하고널어말리던것들도들여오고빗물을받아생활용수로쓸준비를할수있다. 그렇지만장마로홍수가나집이침수되거나쓸려내려가는상황에서는우선안전하게대피하고상황에따라가재도구를건사하는것이고작이고앞으로살거처를마련하는것이중요하다. 1. 가용성요구사항을비즈니스계획과서비스수준협약그리고위험평가를기초로하여식별한다가용성요구수준을다음과같이구분하여생각할수있다. 고가용성 (High availability) 특정한운영시간동안, 계획하지않은중단 (outage) 없이, 시스템또는어플리케이션을사용할수있음. ( 계획한중단은있음 ) 지속적인운영 (Continuous operations) 하루 24시간, 일주일 7일동안계획한중단없이시스템또는어플리케이션을사용할수있음. ( 계획하지않은중단은있음 ) 지속적인가용성 (Continuous availability) 하루 24시간, 일주일 7일동안계획한또는계획하지않은중단없이시스템또는어플리케이션을사용할수있음. 2. 요구사항은접근권한, 응답속도뿐만아니라시스템종단컴포넌트사이의가용성도포함한다 접근권한 : 사용해야할사람이권한이없어사용하지못하면비가용성임 응답속도 : 서비스가중단되지않았지만정상적인업무처리가어려울정도로느리면비가 PART 8: 서비스제공 (Delivery) 프로세스 88

89 용성임. 응답속도가가용성요건에있지만일반적으로성능관리에속하므로용량관리프로세스의 KPI로설정할수있음. ( 성능관리는용량관리가포함하는것으로볼때 ) 컴포넌트 : 서비스를구성하는어플리케이션, 서버, 네트워크등각요소별가용성목표필요 3. 서비스의정상적제공에서중대한손실에이르기까지모든상황에서합의한바에따라요구사항을충족하고있음을보장하기위해가용성계획을작성하고최소년 1회검토한다 TIP SLA, 공급자 SLA, 가용성계획등최소년 1회검토해야하는것들이여러가지이다. 조직규모에따라다를수있겠지만, 사전에각프로세스별로검토자료를작성하고관련된인원이모두참석하여한번에검토를할수있다. 4. 가용성계획을비즈니스로인해요구되는합의된변경을반영하도록유지한다 비즈니스가요구하여변경사항이발생하고가용성관리에관련된것이라면가용성계획을변경 관리프로세스에따라개정한다. 5. 가용성계획을비즈니스환경에대한주요변경이있을때마다다시테스트한다가용성테스트 ( 또는가용성계획테스트 ) 는가용성중단상황의발생을가정하고장애를해결하여정상업무로복귀하는과정을시험하는것이다. 다음은가용성테스트의예이다. 장애발생을대비한시스템복구훈련 이중화장비가정상작동하는지테스트 사용자폭주에대비한시스템부하테스트 6. 변경관리프로세스는가용성계획에미치는영향을심사한다 TIP 변경관리프로세스에 RFC 에따른영향심사시필수심사항목이누락되지않도록장치를 마련한다. ( 예 : 안내문구, 필수입력사항으로지정, 입력필드를각각마련등 ) 7. 가용성을측정하고기록한다 ( 해설없음 ) 8. 계획되지않은비가용성은조사하고적절한조치를실시한다 ( 가능하다면잠재적이슈들도예측하고예방적조치를실시한다 ) 가용성관리는사후대응적활동과사전예방적활동으로구성된다. 계획되지않은비가용성의조사및조치는인시던트관리프로세스와연계하여기본적으로실시된다. 따라서, 성숙한가용성관리는사전점검, 데이터분석, 개선사항도출등을통한사전예방적활동이활발하다. 89 ISO/IEC 과효과적인 ITSM

90 여러가지종류의인증과경영시스템조직의입장에서 ISO 9001, ISO 20000, ISO 27001, BS 등여러가지인증을받으면경영 ( 관리 ) 시스템도여러개가된다. 1년에내외부심사를수행하는일도만만치않다. 효과적으로운영하기위해서는통합프레임워크를수립해야한다. 통합프레임워크를통해서카멜레온처럼필요에따라맞는색을보여주어야하는데많은경우에여러가지색의옷을겹겹이입고있다가빨간색을보여달라면빨간옷을겉에입는식으로시스템을운영하고있다. 서비스연속성관리 (Service continuity management) 번호 과제목록 평가 상태 1 서비스연속성요구사항은비즈니스계획과서비스수준협약그리고위험평가를기초로하여식별한다 2 서비스의정상적제공에서중대한손실에이르기까지모든상황에서합의한바에따라요구사항을충족하고있음을보장하기위해서비스연속성계획을작성하고최소년 1회검토한다 ( 연속성계획은정상적인업무복귀포함 ) 3 서비스연속성계획을비즈니스로인해요구되는합의된변경을반영하도록유지한다 4 서비스연속성계획을비즈니스환경에대한주요변경이있을때마다다시테스트한다 5 변경관리프로세스는서비스연속성계획에미치는영향을심사한다 6 서비스연속성계획, 비상연락처, 구성관리데이터베이스를정상적인업무접근이금지되었을경우에도사용가능하도록조치한다. 7 서비스연속성계획은비즈니스요구에따라테스트한다 8 모든연속성테스트는기록하고테스트실패는조치계획에명확히기술한다 핵심단어 서비스연속성요구사항, 서비스연속성계획, 계획검토및변경, 계획재테스트, 정상적인업무접근금지 시대비, 서비스연속성계획테스트및조치 0. 다음용어및개념을알아둡시다 IT 서비스연속성관리 (ITSCM) 와비즈니스연속성관리 (BCM): ISO 20000은 IT 서비스연속성관리에대한요구사항이나 IT 서비스연속성관리는비즈니스연속성관리의일부로서접근해야한다. 비즈니스연속성관리 (BCM) 는비즈니스에심각한영향을미치는위험을관리하는비즈니스프 PART 8: 서비스제공 (Delivery) 프로세스 90

91 로세스이다. BCM은주요이해관계자의이익, 평판, 브랜드및가치창출활동들을보호한다. BCM 프로세스는위험을받아들일수있는수준으로축소시키는활동과비즈니스중단시복구를위한계획수립활동을포함한다. BCM은 IT 서비스연속성관리를위한목표, 범위및요구사항을설정한다. 복구목표시간 (RTO: Recovery Time Objective): 중단이후에 IT 서비스가복구되기까지허용되는최대시간. 제공되는서비스수준은정상적인서비스수준목표이하일수있다. 각 IT 서비스에대한복구목표시간은협의되고, 합의되고, 문서화되어야한다. 복구목표시점 (RPO: Recovery Point Objective): 중단이후에서비스가재개되었을때, 손실을입을수있는데이터의최대량. 복구목표시점은장애이전의시간의길이로표현된다. 예를들면, 복구목표시점이 1일인경우에는백업이하루에 1번이루어지고, 이에따라 24시간까지의데이터가손실을입을수있다. 각 IT 서비스에대한복구목표시점은협의되고, 합의되고, 문서화되고, 서비스설계및 IT 서비스연속성계획의요구사항으로활용되어야한다. 1. 서비스연속성요구사항은비즈니스계획과서비스수준협약그리고위험평가를기초로하여식별한다비즈니스계획, SLA, 비즈니스영향도평가 (BIA) 결과에따라서비스별중요도와 RTO, RPO를설정한다. 서비스중단시피해가막대하고하루 24시간, 일주일 7일제공되어야하는매우중요한서비스에대해서는 DR(Data Recovery) 센터같은철저한대비가바람직하지만 ISO 20000의필수사항은아니다. 우선순위가높은서비스에대해중장기계획을수립하고지속적으로고객을설득하고참여하도록노력하는것이중요하다. 2. 서비스의정상적제공에서중대한손실에이르기까지모든상황에서합의한바에따라요구사항을충족하고있음을보장하기위해서비스연속성계획을작성하고최소년 1회검토한다 ( 연속성계획은정상적인업무복귀포함 ) TIP 서비스연속성계획은한문서로작성할수도있고서비스연속성계획, 재난복구계획, 모의훈련계획등여러문서형태로구성할수있다. 3. 서비스연속성계획을비즈니스로인해요구되는합의된변경을반영하도록유지한다 ( 해설없음 ) 4. 서비스연속성계획을비즈니스환경에대한주요변경이있을때마다다시테스트한다서비스연속성테스트는현재 IT 서비스를제공하는전체인프라가재난등으로붕괴된상황을포함해야한다. (6번과제연계 ) 91 ISO/IEC 과효과적인 ITSM

92 5. 변경관리프로세스는서비스연속성계획에미치는영향을심사한다 ( 해설없음 ) 6. 서비스연속성계획, 비상연락처, 구성관리데이터베이스를정상적인업무접근이금지되었을경우에도사용가능하도록조치한다. 구성관리데이터베이스가단순파일형태가아니라전문데이터베이스형태이면구성정보를조회 ( 활용 ) 하기위한어플리케이션도준비되어야한다. 7. 서비스연속성계획은비즈니스요구에따라테스트한다 고객이비즈니스연속성이나 IT 서비스연속성관리에대해무관심한경우가많다. 서비스연속 성테스트 ( 재난복구모의훈련 ) 를실시할때가능한고객이참여하도록한다. 8. 모든연속성테스트는기록하고테스트실패는조치계획에명확히기술한다 테스트실패원인이나다른발견된부적합에대해서시정조치를실시한다. 서비스복구수준 서비스복구수준은복구목표시간에따라즉시복구, 신속복구, 중 간수준복구, 점진적복구, 미구축으로나눌수있다. 그림 21 서비스복구수준 구분예상복구시간특징 핫스탠바이 (Hot Standby) 즉시복구 (Immediate Recovery) 신속복구 (Fast Recovery) 중간수준복구 (Intermediate Recovery) 점진적복구 (Gradual Recovery) 즉시 24시간이내 24~72시간이내 72시간이상 서비스의손실없이 IT 서비스복구 미러링 (mirroring), 부하조절 (load balancing), 사이트분할 (split site) 등적용 핫스탠바이 (Hot Standby) 컴퓨터시스템을갖춘전용고정시설, IT 서비스를실행할수있도록구성이완료된소프트웨어사용 백업으로부터데이터재개 웜스탠바이 (Warm Standby) 컴퓨터시스템과네트워크구성요소를갖춘공유이동시설이나고정시설사용 콜드스탠바이 (Cold Standby) 환경적인지원과네트워크케이블은갖추고있지만, 컴퓨터시스템은없는이동시설이나고정시설사용 PART 8: 서비스제공 (Delivery) 프로세스 92

93 미구축 장기간복구불가 데이터백업보관 평상시테이프를타센터에소산보관 비즈니스연속성관리 (Business continuity management, BCM) BCM에대한영국표준이 2007년에 BS 25999로발행되었고이미국내에서인증을받은기업이있다. 비즈니스연속성관리시스템 (Business continuity management system, BCMS) 에대해구축과실행및운영의두부분으로간단히살펴보자. BCMS 구축을위한고려사항및활동은다음과같다. 프로그램요구사항 BCMS에대한요구사항, 목표및기대효과개발 공급자및아웃소싱파트너 조직의공급자및아웃소싱파트너의비즈니스연속성역량분석 BCM 방침 BCMS에대한모든직원의역할및책임, BCMS와연관된핵심활동및일정, BCMS의기록유지에대한방침개발 자원제공 예산, 인력및도구를포함하여 BCMS를효과적으로운영하기위해요구되는자원결정 교육훈련, 인식및적격성 BCMS에서핵심역할을수행하는인력의적격성을결정하고요구되는교육훈련제공 문서화및기록 BCMS의일부로서발생되는문서및기록을관리하기위한프로세스개발 BCMS 실행및운영을위한고려사항및활동은다음과같다. 비즈니스영향도분석 핵심조직활동이중단되는영향도를결정 위험평가 조직의핵심활동에대한위협및취약성이해 리스크처리방법선택 중단가능성을축소시키거나기간을제한함으로서위험을완화시키기위한전략적방법들을결정 복구방법선택 조직이핵심활동을복구하는방법을정의하고비핵심으로간주되는활동을어떻게책임질것인가를정의 대응활동 중단에대응하고비즈니스복구활동을관리하기위한프로세스결정 기획 앞선세활동에서결정된프로세스를문서화 모의훈련 계획및준비사항이효과적이고최신정보에따르고있음을확인 전략및계획검토 모의훈련이나검토결과에따라계획이나준비사항을갱신 BCMS 검토및유지 프로그램이효율적방법으로목표를달성하고있음을보장하기위해 BCMS 검토및개정 93 ISO/IEC 과효과적인 ITSM

94 재난에대처하는방법내일을위한최선의준비는오늘의일을최고로잘하는것이다. 윌리엄오슬러경 (Sir William Osler), 물리학자친구의집을자주방문하라. 잘이용하지않는길은잡초들이메운다. - 랠프왈도에머슨 (Ralp Waldo Emerson), 시인 / 철학자 IT 서비스에대한예산수립및회계 (Budgeting and accounting) 많은서비스제공자들은요금을부과하는것에관여하지만요금부과는선택적인활동이므로 ISO 20000에서는다루지않는다. 서비스제공자들은요금이부과되는경우에그것을수행하는 방법및절차를모든관계자들이잘정의하고이해하도록해야한다. 사용하는모든회계실무 는서비스제공자의해박한회계실무에따라조정되어야한다. 번호 과제목록 평가 상태 1 예산수립및회계에대한명확한정책과프로세스를수립한다 2 효과적인재무관리와의사결정이가능하도록충분히상세하게비용에대한예산을수립한다 3 예산에따라비용을모니터링하고보고해야하며재무적예측을검토하고그에따라비용을관리한다 4 서비스에대한변경은변경관리프로세스를통해비용을산정하고승인한다 핵심단어 예산및회계방침, 예산수립및회계프로세스, 서비스중심간접비 / 직접비, 효과적인권한부여, 비용모 니터링및보고, 변경에대한비용산정및승인 0. 다음용어및개념을알아둡시다서비스관리를위한재무관리 : 전통적인재무관리와다르며서비스관점 (service-oriented) 으로비용과자본항목을식별, 추적할수있어야한다. 간접비 (indirect cost): 전부를특정한고객에게할당할수없는 IT 서비스제공비용. 예로는공유서버나소프트웨어라이센스비용을들수있다. 오버헤드라고도불린다. 자산 (asset): 자원또는역량. 서비스제공자의자산에는서비스의제공에기여할수있는모든것이포함된다. 자산은다음과같은유형중의하나일수도있다. 경영진, 조직, 프로세스, 지식, 사람, 정보, 어플리케이션, 인프라, 재무자본등직접비 (direct cost): 전부를특정한고객, 비용센터, 프로젝트등에할당할수있는 IT 서비스제공비용. 예로는비공유서버나소프트웨어라이센스비용을들수있다. PART 8: 서비스제공 (Delivery) 프로세스 94

95 비용유형 (cost types): 하드웨어, 소프트웨어, 인력 (labor), 관리 (administration) 비용분류 (classification): 자본 / 운영 (capital/operational), 직접 / 간접 (direct/indirect), 고정 / 변동 (fixed/variable), 비용단위 (cost units) 평균적인비용의배분 : 동일비용배분, 고정비율, 가변비율 1. 예산수립및회계에대한명확한정책과프로세스를수립한다정책과프로세스를수립할때다음을반영하여야한다. IT 자산, 공유자원, 오버헤드, 외부에서공급받는서비스, 인원, 보험및라이센스를포함한모든구성요소들에관한예산수립및회계 서비스에간접비를배분하고직접비를할당 효과적인재무관리와권한부여 IT 예산수립및회계요구사항중에서 서비스에간접비를배분하고직접비를할당 하는사항이가장충족하기어렵다. 서비스분류체계를만들고서비스와구성항목을연계하고각구성항목에서발생하는비용을기준에따라서비스에할당해야한다. 이를위해서자산별비용을관리해야하며정보시스템을사용하지않으면어려운일이다. 결국재무관리요건을충족하고조직에서필요한수준으로관리하기위해서바람직한모습은자산관리 ( 자산별비용관리기능이포함된 ) 솔루션을도입하는것이다. 서비스별예산수립및회계는 IT 서비스를유틸리티로관리하기위한기반이된다. ( 서비스사용량에따른과금등 ) 2. 효과적인재무관리와의사결정이가능하도록충분히상세하게비용에대한예산을수립한다 ( 해설없음 ) 3. 예산에따라비용을모니터링하고보고해야하며재무적예측을검토하고그에따라비용을관리한다 ( 해설없음 ) 4. 서비스에대한변경은변경관리프로세스를통해비용을산정하고승인한다 ( 해설없음 ) 서비스대가만일당신이캔디회사를소유하고있고거울을보면서 거울아거울아, 이번가을에는사탕가격을얼마로정해야겠니? 라고묻고그거울은 조금더요 라고말한다면, 그것은괜찮은사업이다. 워렌버핏 95 ISO/IEC 과효과적인 ITSM

96 용량관리 (Capacity management) 고객비즈니스요구로인한현재및미래의합의된수요를충족하기위해항상충분한용량을 확보한다. 번호 과제목록 평가 상태 1 용량계획을수립하고유지한다 2 비즈니스요구사항을관리한다 3 현재용량과예측용량및성능요구사항을관리한다 4 서비스업그레이드를위한기간, 임계치및비용을관리한다 5 기대하는서비스업그레이드, 변경요청, 신기술및기법이용량에미치는영향을평 가한다 6 외부변화 ( 예 : 법률 ) 에따른영향을예측한다 7 예측분석을가능하게하는데이터와프로세스를관리한다 8 서비스용량을모니터하고서비스성능을조정하며적절한용량을제공하도록용량 관리방법, 절차그리고기법들을정의한다 핵심단어 용량관리계획, 현재및미래용량, 서비스업그레이드, 영향평가및예측, 예측데이터및프로세스, 용량 모니터링, 용량관리방법 / 절차 / 기법 0. 다음용어및개념을알아둡시다용량 (capacity): 구성항목이나 IT 서비스가합의한서비스수준목표를충족시키면서제공할수있는최고처리량. 디스크드라이브와같은일부 CI의경우, 용량은크기나양이될수있다. 용량관리 : IT 서비스와 IT 인프라의용량이합의한서비스수준목표를적시에비용효과적으로제공하도록하는책임을맡은프로세스. 용량관리는단기, 중기및장기적인비즈니스요구사항에적합한 IT 서비스와계획을제공하는데필요한모든자원을고려한다. 용량계획 : 용량계획은 IT 서비스를제공하는데필요한자원을관리하는데사용된다. 이계획은다양한비즈니스수요에대한시나리오, 합의한서비스수준목표를제공하기위한비용이산정된대안등을포함한다. 1. 용량계획을수립하고유지한다용량계획은용량관리대상, 용량관리활동및일정, 용량관리역할및책임, 용량관리방법 ( 기법 ), 용량관리도구등을작성하되프로세스정의서나지침서와중복되지않게한다. ( 계획에는올해의일정이수립되거나역할이실제직원에게배정되는등현시점의정보가담기게된다.) 용량예측, 용량증설계획은같은문서에작성하거나별도문서에작성하여연계한다. PART 8: 서비스제공 (Delivery) 프로세스 96

97 TIP ITIL V3 설계책자부록에용량계획템플릿이제시되어있다. 2. 비즈니스요구사항을관리한다 용량관리범주는비즈니스, 서비스, 컴포넌트로구분한다. 범주개요예시 비즈니스용량관리서비스용량관리컴포넌트용량관리 현재및미래의비즈니스요구사항에초점 비즈니스요구를서비스및 IT 인프라요구사항으로변환 미래비즈니스에필요한 IT 서비스용량을계량화하고적정시기에계획및이행 현재서비스제공에초점 IT 서비스의사용정도, 작업부하량관리 IT 인프라에초점 개별구성요소의성능, 활용도, 용량관리 시간당고객요청처리건수 신규통장발급시간 콜센터직원수 초당트랜잭션건수 시스템응답속도 메일저장용량 디스크용량 데이터베이스성능 3. 현재용량과예측용량및성능요구사항을관리한다용량을예측하려면비즈니스 ( 변경 ) 계획, 과거용량데이터뿐만아니라인프라요소별기술특성 (OS,DBMS 등 ) 을고려한객관적인계산기법이필요하다. ( 인터넷에서몇년전에한국전산원이발간한연구보고서와엑셀템플릿을구할수있으나실제로유용한지는확인하지못했습니다. 실용적인공개도구및기법에대해아는분은연락주시면고맙겠습니다.) 4. 서비스업그레이드를위한기간, 임계치및비용을관리한다 ( 해설없음 ) 5. 기대하는서비스업그레이드, 변경요청, 신기술및기법이용량에미치는영향을평가한다 변경관리프로세스에서영향을평가할때용량에대해서도실시한다. 6. 외부변화 ( 예 : 법률 ) 에따른영향을예측한다 법률등외부변화요소는 IT 서비스에대한비즈니스요구사항을정의할때함께문서화하여 유지하고변경시에용량을비롯한 IT 서비스에미치는영향을평가한다. 7. 예측분석을가능하게하는데이터와프로세스를관리한다 TIP ITIL V3 의용량시스템참조 97 ISO/IEC 과효과적인 ITSM

98 8. 서비스용량을모니터하고서비스성능을조정하며적절한용량을제공하도록용량관리방법, 절차그리고기법들을정의한다 용량관리프로세스, 용량관리지침서, 용량관리계획서에문서화한다. 정보보안관리 (Information security management) ISO/IEC 정보기술보안기법정보보안경영실행지침은정보보안관리에대한가이드를 제공한다. 번호 과제목록 평가 상태 1 적절한권한을가진경영진이정보보안방침을승인하고방침에대하여모든관련직원과타당한경우고객과함께의사소통을한다 2 정보보안방침의요구사항을실행한다 3 서비스또는시스템접근과관련된위험을관리한다 4 정보보안통제와관련된위험, 정보보안통제운영및유지보수방법을문서화한다 5 정보보안통제에대한변경영향평가는변경구현이전에실시한다 6 서비스와정보시스템에접근하는외부조직에대한정보보안설정은모든필요한보안요구사항이정의된공식적인합의를바탕으로한다 7 인시던트관리절차를모든보안인시던트가조사되고필요한조치가취해지도록정의한다 8 보안인시던트는가능한빨리인시던트관리절차에따라보고하고기록한다 9 정보보안메커니즘은보안인시던트와보안고장의유형, 발생량및영향을정량화하고모니터할수있도록구현한다 10 정보보안관리프로세스에서식별된개선활동을기록하고서비스개선계획의입력으로제공한다 핵심단어 보안방침및의사소통, 보안관리문서화, 접근보안정의및합의, 보안인시던트처리, 보안인시던트분 석, 정보보안관리개선 0. 다음용어및개념을알아둡시다정보보안관리시스템 (ISMS: Information Security Management System): 정보보안관리를위한 ISO 표준들이별도로 ISO Family 로구성되어있고이를기반으로 ISMS를구축할수있다. PART 8: 서비스제공 (Delivery) 프로세스 98

99 ISO 용어및정의 (Vocabulary and Definitions): 2008/2009 발행예정 ISO/IEC 27001:2005 요구사항 (ISMS Requirements): 2005년 10월발행 ISO/IEC 27002:2005 (ISO 17799) 가이드라인 (Code of Practice): 2007년 7월발행 ISO 구현가이드라인 (Implementation Guidance): 2008/2009 발행예정 ISO 지표및측정 (Metrics and Measurement): 2008/2009 발행예정 ISO (BS ) 위험관리 (Risk Management): 2008/2009 발행예정 1. 적절한권한을가진경영진이정보보안방침을승인하고방침에대하여모든관련직원과타당한경우고객과함께의사소통을한다 ( 해설없음 ) 2. 정보보안방침의요구사항을실행한다 ISO 27000에서제시하는정보보안통제영역은다음과같으며, 서비스관리및 ISO 인증범위에해당하는영역에서정보보안요구사항을충족하기위한통제활동을실시한다. 보안방침 정보보안조직 자산관리 인적자원보안 물리적환경적보안 의사소통및운영관리 접근통제 정보시스템획득, 개발및유지보수 인시던트관리 비즈니스연속성관리 규제준수 3. 서비스또는시스템접근과관련된위험을관리한다 ISO 20000에는위험관리에대한요구사항이중복하여나오지만구체적인실행방안을제시하지않기때문에프로세스를수립하기가쉽지않다. 정보보안관리프로세스는자체가위험관리활동이고이론적으로 IT 전영역을포괄하지만실제수행되는프랙티스측면에서정보보안관리프로세스가 IT 서비스에관련된모든위험을식별하고통제하는지확신하기어렵다. ( 예 : 서비스관리인력부족, 인프라노후 ) 따라서선택가능한접근법중하나는종합적인위험관리프로세스 ( 프레임워크 ) 가있고위험별통제활동은각관련프로세스에서실시하는것이다. ( 예 : 재난은연속성관리, 서비스접근관련위험은정보보안관리, 인프라노후는가용성관리, 재무위험은 IT 재무관리 ) 4. 정보보안통제와관련된위험, 정보보안통제운영및유지보수방법을문서화한다 99 ISO/IEC 과효과적인 ITSM

100 ISO 인증획득을전후하여 ISO 을별도로추진한경우대부분문서체계가서로 다르고프로세스간연계가미흡하였다. 통합프레임워크를기반으로동일한문서체계로구현해 야한다. 5. 정보보안통제에대한변경영향평가는변경구현이전에실시한다 정보보안통제에대한변경도변경관리프로세스에따르면된다. 6. 서비스와정보시스템에접근하는외부조직에대한정보보안설정은모든필요한보안요구사항 이정의된공식적인합의를바탕으로한다 보통합의는보안통제사항 ( 허가 / 비허가 ) 이기술된문서에관련된사람이서명한다. 7. 인시던트관리절차를모든보안인시던트가조사되고필요한조치가취해지도록정의한다 보안인시던트관리절차는인시던트관리절차에따르거나일관성있게수립해야한다. 8. 보안인시던트는가능한빨리인시던트관리절차에따라보고하고기록한다 ( 해설없음 ) 9. 정보보안메커니즘은보안인시던트와보안고장의유형, 발생량및영향을정량화하고모니터할수있도록구현한다메커니즘 mechanism [ 명사 ] 사물의작용원리나구조. 체제 로순화. 예 ) 소화과정의메커니즘정보보안관리프로세스및도구 ( 시스템 ) 에다음사항을정의하고구현하여야한다. 보안인시던트및보안고장의유형정의 보안인시던트및보안고장발생량측정및기록 보안인시던트및보안고장영향을정량화할수있는기준및기록 보안인시던트및보안고장현황을모니터링 10. 정보보안관리프로세스에서식별된개선활동을기록하고서비스개선계획의입력으로제공 한다 ( 해설없음 ) 의도하지않은결과우리가기대하는일은잘일어나지않는다. 주로일어나는일은우리가기대하지않았던것이다. 벤저민디즈레일리 (Benjamin Disraeli), 소설가겸영국총리 PART 8: 서비스제공 (Delivery) 프로세스 100

101 PART 9: 관계 (Relationship) 프로세스 관계프로세스는공급자관리와비즈니스관계관리두가지관련된측면을기술한다. 관계프로세스에서관계는고객, 서비스제공자, 공급자간의관계를말하며비즈니스관계관리는서비스제공자와고객의관계를, 공급자관리는서비스제공자와공급자의관계를서비스제공자가관리하는것을의미한다. 관계프로세스들은모든관계자들이다음과같음을보장해야한다. 비즈니스요구를이해하고만족시킨다. 역량과제약사항을이해한다. 책임과의무를이해한다. 비즈니스관계관리 (Business relationship management) 고객과고객의비즈니스추진력에대한이해를바탕으로서비스공급자와고객사이의원활한 관계를수립하고유지한다. 번호 과제목록 평가 상태 1 서비스이해관계자및고객을식별하여문서화한다 2 고객과함께서비스범위, 서비스수준협약, 계약 ( 있는경우 ) 또는비즈니스요구사항에대한변경사항을논의하기위해최소한년 1회서비스검토회의를실시한다 3 고객과함께성능, 성과, 이슈와조치계획들을논의하기위해합의된기간별로중간회의를실시한다 4 연간검토, 중간검토를포함하여고객과실시한회의는문서화한다 5 계약 ( 있는경우 ) 과서비스수준협약의변경은연간검토, 중간검토회의에따른다 6 계약 ( 있는경우 ) 과서비스수준협약의변경은변경관리프로세스에따른다 7 비즈니스요구사항과주요변경에대하여파악, 인지한다 8 서비스불만을정의하고고객과합의한다 9 불만처리절차를수립한다 10 모든공식적인서비스불만을기록하고, 조사하고, 조치하고, 보고하고, 공식적으로종결한다 11 불만이정상적인경로를통해해결되지않는경우고객이단계적으로처리경로를이관할수있도록한다 12 고객만족과전체비즈니스관계관리프로세스에대한관리책임을가진인력을선정한다 13 정기적인고객만족도측정을통해피드백을받고이에따른조치를실시하는절차 101 ISO/IEC 과효과적인 ITSM

102 를수립한다 14 비즈니스관계관리프로세스에서식별된개선사항을기록하고서비스개선계획에 대한입력사항으로제공한다 핵심단어 이해당사자및고객프로파일, 서비스검토회의, 계약 /SLA 변경, 불만처리, 고객관리담당자, 고객만족 도측정, 고객관계관리개선 0. 다음용어및개념을알아둡시다고객만족 (customer satisfaction): 제품이나서비스에대한고객의즐거움의정도또는제품이나서비스에대한고객의기대와실제성능사이의일치도. 흔히고객만족은고객만족도가높은상태의뜻으로쓰인다. 높은고객만족도를형성한제품이나서비스그리고기업의이미지는고정고객층의확보와호의적입소문효과를통해신규고객을개척하는효과가있다. 높은고객만족도를형성하기위해서는고객의만족을경영의궁극적목표로삼는경영자세와고객만족도를객관적으로측정하는지표 (Customer Satisfaction index) 의개발이필요하다. 1. 서비스이해관계자및고객을식별하여문서화한다이해관계자및고객문서화는고객관계관리뿐만아니라서비스포트폴리오구성, 서비스카탈로그관리, 서비스수준관리등서비스관리를위해공통적으로필요하다. 고객또는사용자프로파일을통해문서화하며필요에따라공급자프로파일도작성할수있다. 프로파일이작성되면이를기준으로다른서비스관리문서들이작성된다. ( 예 : 서비스카탈로그에는조직명 (Business Owner), 부문명 (Business Unit), 연락처등이활용된다.) 2. 고객과함께서비스범위, 서비스수준협약, 계약 ( 있는경우 ) 또는비즈니스요구사항에대한변경사항을논의하기위해최소한년 1회서비스검토회의를실시한다 ( 해설없음 ) 3. 고객과함께성능, 성과, 이슈와조치계획들을논의하기위해합의된기간별로중간회의를실시한다 2번과 3번과제는 SLA 정기검토회의를활용하여실시할수있다. 4. 연간검토, 중간검토를포함하여고객과실시한회의는문서화한다 ( 해설없음 ) 5. 계약 ( 있는경우 ) 과서비스수준협약의변경은연간검토, 중간검토회의에따른다변경이발생한경우검토회의록에변경필요성, 검토사항, 의사결정사항을작성하고관련서류를참조하도록표시한다. PART 9: 관계 (Relationship) 프로세스 102

103 6. 계약 ( 있는경우 ) 과서비스수준협약의변경은변경관리프로세스에따른다 변경관리프로세스에따르려면서비스계약, 서비스수준협약을구성항목으로등록해야한다. 7. 비즈니스요구사항과주요변경에대하여파악, 인지한다 공식적인비즈니스요구사항이나고객수요를접수하는경로외에도고객간담회, 고객업무현 장방문, 비정기적인미팅을활발히실시하면도움이된다. 8. 서비스불만을정의하고고객과합의한다고객불만을명확하게정의하는것은간단하지않다. 일반적인인시던트나변경요청이고객불만으로분류되지않도록구체적으로정의해야한다 ( 모호한예 : 불만창구로접수된것은모두고객불만으로한다 ). 또한공식적인고객불만경로를마련하고이해관계자에게공지할필요가있다. 9. 불만처리절차를수립한다 불만처리절차는인시던트처리절차를벤치마크하여수립한다. 10. 모든공식적인서비스불만을기록하고, 조사하고, 조치하고, 보고하고, 공식적으로종결한다 ( 해설없음 ) 11. 불만이정상적인경로를통해해결되지않는경우고객이단계적으로처리경로를이관할수있도록한다고객불만이관은경영진까지고려한다. 고객이직접이관할수있는수단을제공해야한다. 12. 고객만족과전체비즈니스관계관리프로세스에대해관리책임을가진인력을선정한다 TIP Business relationship manager, Account manager 13. 정기적인고객만족도측정을통해피드백을받고이에따른조치를실시하는절차를수립한다고객만족도측정은고객이서비스에대해얼마나만족하고있는지를파악한다는의미인데실제로는조직에서정한수단에따라측정한결과가만족하는정도를나타내지못하는경우가많다. 단순한설문항목으로구성된고객만족도조사결과가매년상승한다고해서고객이더만족하고서비스품질이향상되었다는뜻은아니다. 더욱이서비스나제품에대한만족도가높다고해서반드시사업이성공하는것도아니다. 고객만족도측정은서비스개선기회를찾기위한것이다. 고객만족도측정수단을다양화할필요가있으며고객만족경영이앞서있는제조업, 서 103 ISO/IEC 과효과적인 ITSM

104 비스업의프랙티스를벤치마킹한다. 고객만족도측정을통해식별된개선기회는개선프로세스로보내종료될때까지모니터 한다. 14. 비즈니스관계관리프로세스에서식별된개선사항을기록하고서비스개선계획에대한입력 사항으로제공한다 ( 해설없음 ) 고객만족 목표는고객을만족시키는것이아니라고객을기쁘게하는것이다. 작자미상 관계프로세스 : 공급자관리 (Supplier management) 번호 과제목록 평가 상태 1 공급자관리프로세스를문서화한다 2 각공급자에대해책임을지는계약관리자를지명한다 3 서비스수준협약 ( 또는다른문서 ) 에공급자가제공할서비스요구사항, 범위, 서비스 수준그리고의사소통프로세스를문서화하고모든이해관계자들의동의를받는다 4 공급자가포함된서비스수준협약은비즈니스가포함된서비스수준협약과일관성 있게한다 5 각관계자들이사용하는프로세스의인터페이스를문서화하고합의한다 6 주공급자와부공급자들사이의모든역할과관계를명확하게문서화한다 7 부공급자들이계약요구사항을충족시킨다는것을보장하기위하여주공급자로하여 금프로세스의효과성을입증하도록한다 8 비즈니스요구와계약의무가여전히충족됨을보장하기위하여최소한년 1회계약 또는공식적인합의에대한검토를실시하는프로세스를수립한다 9 검토에따라계약의변경 ( 해당하는경우 ) 또는서비스수준협약의변경을적절한시 점에또는필요한다른때에실시한다 10 모든변경은변경관리프로세스의대상으로한다 11 계약분쟁을다루는프로세스를수립한다 12 예상되는서비스종료, 서비스의조기종료또는다른이해관계자로의서비스이관을 다루는프로세스를수립한다 13 서비스수준목표대비성과를모니터하고검토한다 14 공급자관리프로세스에서식별된개선사항을기록하고서비스개선계획에대한입 력사항으로제공한다 PART 9: 관계 (Relationship) 프로세스 104

105 핵심단어공급자관리프로세스문서화, 계약관리자, 공급자서비스수준협약, 프로세스인터페이스문서화및합의, 주 / 부공급자, 공급자서비스검토, 공급자서비스수준협약변경, 계약분쟁처리, 서비스조기종료처리프로세스, 서비스수준모니터링및검토, 공급자관리개선 0. 다음용어및개념을알아둡시다공급자서비스협약 : ITIL의 UC(Underpinning Contract) 를의미한다. IT 서비스제공자와외부공급업체간의계약. 외부공급업체는고객에게 IT 서비스를제공하는것을지원하는제품이나서비스를제공한다. 외부공급계약은 SLA의합의한서비스수준목표를충족시키는데필요한목표와책임을정의한다. 1. 공급자관리프로세스를문서화한다공급자관리프로세스는다음활동을포함할수있다. 공급자관리정책수립및실행 계약및서비스수준협약정보관리 공급자및계약분류및위험평가 공급자및계약평가및선정 계약개발, 협상, 합의, 검토, 갱신및종료 공급자및서비스성과관리 공급자서비스개선계획합의및실행 표준계약, 규정및조항유지관리 계약에관련된분쟁의해결관리 하청공급자관리 2. 각공급자에대해책임을지는계약관리자를지명한다 ( 해설없음 ) 3. 서비스수준협약에공급자가제공할서비스요구사항, 범위, 서비스수준그리고의사소통프로세스를문서화하고모든이해관계자들의동의를받는다공급자서비스에대해다음정보들을관리한다. ( 공급자및계약데이터베이스 ) 서비스정의, 역할및책임 서비스범위 계약조건, 계약관리프로세스, 권한수준및계약종료 서비스대가지불관련사항 서비스보고 4. 공급자가포함된서비스수준협약은비즈니스가포함된서비스수준협약과일관성있게한다 105 ISO/IEC 과효과적인 ITSM

106 서비스수준협약과공급자서비스수준협약의주요서비스성과지표 (SPI) 를메트릭으로구성 하여일관성을검토한다. 5. 각관계자들이사용하는프로세스의인터페이스를문서화하고합의한다 공급자서비스수준협약에포함한다. 6. 주공급자와부공급자들사이의모든역할과관계를명확하게문서화한다 IT 아웃소싱형태, 서비스제공자의형태, 계약형태에따라다양하고복잡한관계가발생한다. SLA 의일관성, 중복방지, 투명성을위해관계를명확하게문서화한다. 공급자 1 공급자 2 서비스제공자 ( 내부혹은외부 ) 비즈니스 부계약공급업자 4 주계약공급자 3 서비스제공자와공급자관계예시 7. 부공급자들이계약요구사항을충족시킨다는것을보장하기위하여주공급자로하여금프로세스의효과성을입증하도록한다입증 (demonstration) 은실체를보여주는것이다. 이과제는서비스제공자와주공급자간에요구하고합의하는여러사항들 ( 공급자관리의다른과제들 ) 을주공급자와부공급자간에도동일하게적용할것을은연중에요구한다. 즉, 서비스제공자가 ISO 요건을충족하는공급자프로세스에따라주공급자를관리하듯이주공급자도부공급자를관리할때 ISO 요건을충족하면가장바람직하다. 주공급자는자신의프로세스가부공급자와서비스목표수준을합의하고부공급자의서비스성과를검토하며필요한개선활동을수행하도록되어있고이에따라과거또는현재의부공급자가서비스수준을달성했거나할수있음을제시해야한다. 8. 비즈니스요구와계약의무가여전히충족됨을보장하기위하여최소한년 1회계약또는공식적인합의에대한검토를실시하는프로세스를수립한다 ISO 20000은공급자능력에대한평가를명시적으로요구하지않으나 ISO 9001의요구사항이므로조직은이를고려하는것이바람직하다. PART 9: 관계 (Relationship) 프로세스 106

107 조직의요구사항에따라서비스공급에대한공급자의능력에따라공급자를평가하고선정하여야하며다음과같은방법이적용될수있다. 과거실적평가 품질, 가격, 납기및문제점에대한대응력 공급자의관리시스템평가및잠재능력평가 고객만족자료의검토 재정상태 서비스및지원능력 물류능력등공급자선정및주기적인평가를위한합격기준을정의하고평가결과및필요한조치사항을기록하고관리한다. 9. 검토에따라계약의변경 ( 해당하는경우 ) 또는서비스수준협약의변경을적절한시점에또는필요한다른때에실시한다 ( 해설없음 ) 10. 모든변경은변경관리프로세스의대상으로한다 ( 해설없음 ) 11. 계약분쟁을다루는프로세스를수립한다계약분쟁을다루는프로세스는계약관리활동의일부로서다음활동을포함한다. 계약분쟁유형 계약분쟁의영향도평가 계약분쟁식별및보고 법무조직을포함한분쟁관리역할및책임 계약분쟁이관 계약분쟁시나리오에따른방안수립 계약분쟁해결또는방안실행 계약분쟁종결 12. 예상되는서비스종료, 서비스의조기종료또는다른이해관계자로의서비스이관을다루는프로세스를수립한다서비스종료, 조기종료, 이관을다르는활동도계약관리활동의일부이며다음사항을고려한다. 계약종결조건 ( 인수기준등 ) 예상되는법적분쟁및대응방안 대체공급자선정 인수인계 ( 책임자, 산출물, 조건, 적용기간등 ) 107 ISO/IEC 과효과적인 ITSM

108 13. 서비스수준목표대비성과를모니터하고검토한다 ( 해당없음 ) 14. 공급자관리프로세스에서식별된개선사항을기록하고서비스개선계획에대한입력사항으로 제공한다 ( 해당없음 ) PART 9: 관계 (Relationship) 프로세스 108

109 PART 10: 해결 (Resolution) 프로세스 인시던트와문제관리는밀접하게연관되었음에도불구하고분리된프로세스이다. 서비스가중단되거나품질이저하되었을때근본원인을해결해야만서비스가정상화되는것은아니다 ( 예 : 간단한재부팅으로도서비스는복구될수있다 ). 서비스를재개하는일과근본원인을조사하여제거하는일은성격과활동이다르므로인시던트관리와문제관리는분리한다. 일의속성상전반적으로인시던트관리는 사후대응적 (Reactive) 이고문제관리는 사전예방적 (Proactive) 이라할수있다. 사후대응적, 사전예방적위용어를이해하기위하여부적합에대한조치와관련된개념인수정 (correction), 시정조치 (corrective action), 예방조치 (preventive action) 에대해알아보자. 수정은발견된부적합을제거하기위한조치이고, 시정조치는발견된부적합또는기타발견된바람직하지않은상황의원인을제거하기위한조치이며, 예방조치는잠재적인부적합또는기타바람직하지아니한잠재적인원인을제거하기위한조치이다. 시정조치는재발을방지하기위해취해지는반면예방조치는발생을미연에방지하기위해취해진다. 따라서, 인시던트관리는수정에해당하고문제관리는시정조치및예방조치에해당한다고볼수있다. 문제관리중에서도발생한인시던트의근본원인을조사하여제거하는것은시정조치이고경향분석이나사전점검등을통한문제관리는예방조치로볼수있다. 인시던트관리 (Incident management) 인시던트관리의목적은가능한빨리합의된서비스를복구하거나서비스요청에대응하는것이 다. 번호 과제목록 평가 상태 1 모든인시던트를기록한다 2 절차에따라인시던트의영향을관리한다 3 모든인시던트들에대한기록, 우선순위선정, 비즈니스영향, 분류, 갱신, 이관, 문제 해결, 공식적종료를절차에정의한다 4 고객에게보고된인시던트또는서비스요청의진행사항을지속적으로제공한다 5 서비스수준또는합의된조치가충족될수없는경우사전에고객에게알린다 6 인시던트관리에참여하는모든직원이알려진오류, 문제해결안, 구성관리데이터 109 ISO/IEC 과효과적인 ITSM

110 베이스와같은관련정보에접근할수있도록한다 7 중대인시던트는프로세스에따라분류하고관리한다 핵심단어 인시던트기록, 영향관리, 인시던트관리절차, 고객의사소통, 인시던트관리에필요한정보, 주요인시던 트관리 0. 다음용어및개념을알아둡시다인시던트 (incident): 서비스의정상적인운영부분이아닌서비스품질에대한지장을초래또는저하시키는원인이되거나될수있는사건이다. 이것은 제가어떻게하면되죠? 와같은문의성질문도포함될수있다. 인시던트는계획되지않은 IT 서비스의중단또는 IT 서비스품질의저하이다. 서비스에아직영향을미치지않은구성항목의고장도인시던트이다. ( 예를들어디스크이중화체계에서미러링되어있는디스크의고장 ) 서비스데스크 (service desk): 전체지원업무중대부분이고객응대인지원그룹이며서비스제공자와사용자들간의단일접점이다 (SPOC: The Single Point of Contact). 전형적인서비스데스크는인시던트와서비스요청을관리하며또한사용자들과의의사소통을다룬다. 그림 22 서비스데스크상호작용 1. 모든인시던트를기록한다인시던트는일반적으로장애와요청으로구분하는데단순문의를별도로분류할수있다. 장애 (Failure): 구성항목고장등으로서비스중단이나응답속도저하발생 요청 (Request): 고객이업무지원, 기능변경, 정보등을요청 문의 (Query): 사용법문의등고객의단순질의 PART 10: 해결 (Resolution) 프로세스 110

111 인시던트발견을위한경로는다음과같다. 전화, 이메일, 음성메일, 방문, 편지또는팩스등을통한보고 ITSM 시스템에서제공한화면에접근이허용된사용자들의기록 자동감시소프트웨어에의한기록고객의단순문의까지모두기록하는것이바람직하지만인시던트용어정의에서알수있듯이 어떻게할까요? 와같은고객전화질문은인시던트의범위에서제외할수있다. 인시던트란용어는고객요청을포함하는개념이므로인시던트관리를장애관리로번역하여사용하기어려웠으나 ITIL 3판에서인시던트관리를장애관리에치중토록하고별도로이벤트관리나요구이행 (request fulfillment) 프로세스를추가하였다. 그림 23 인시던트분류예시 2. 절차에따라인시던트의영향을관리한다접수, 기록한인시던트의분류와진단을통해인시던트의영향을평가하고영향도, 긴급도를고려하여우선순위를정의한다. 우선순위를결정할때다음사항을고려한다. 영향받는서비스수 재무적인손실의규모 비즈니스평판에대한영향 법규나규정위반여부 그림 24 우선순위예시 111 ISO/IEC 과효과적인 ITSM

112 영향도 High Medium Low 긴급도 High Medium Low < 우선순위 > 우선순위 설명 처리목표시간 1 Critical 1 시간 2 High 8 시간 3 Medium 24 시간 4 Low 48 시간 5 Planning 계획된시간 < 우선순위별처리목표시간 > 3. 모든인시던트들에대한기록, 우선순위선정, 비즈니스영향, 분류, 갱신, 이관, 문제해결, 공식적종료를절차에정의한다인시던트관리는인시던트의원인을조사하는것이아니라고객서비스의복구에초점을두어야하며인시던트관리프로세스는다음활동을포함한다. 인시던트감지 접수, 기록, 분류및초기지원 우선순위설정 ( 영향도, 긴급도 ) 조사및진단 인시던트해결및복구 보안이슈들에대한고려 인시던트추적과수명주기관리 인시던트검증및종결 고객의사소통 4. 고객에게보고된인시던트또는서비스요청의진행사항을지속적으로제공한다고객에게고객이요청한서비스요청이나인시던트가접수 / 기록, 계획, 진행, 완료되는단계마다정의된수단을통해진행현황을알려준다. 고객에게자신의요청사항을확인할수있는화면 (Web) 을제공하거나, 메일, 문자와같은방법을사용할수있다. PART 10: 해결 (Resolution) 프로세스 112

113 5. 서비스수준또는합의된조치가충족될수없는경우사전에고객에게알린다인시던트가서비스수준에정의된시간또는고객과서비스제공자가서로합의한시간안에해결될수없는경우합의된시간이되기전에고객에게현재진행현황을알려주고처리방안및해결시간을다시협의한다. 6. 인시던트관리에참여하는모든직원이알려진오류, 문제해결안, 구성관리데이터베이스와같은관련정보에접근할수있도록한다인시던트관리직원이서비스를복구할때도움을받을수있는기술전문가정보 ( 연락처등 ), 과거발생한인시던트, 관련된문제들과알려진오류들, 구성관리현황에관한정보를사용할수있도록한다. 이러한지식은 IT 지식관리시스템으로구현하는것이바람직하다. 7. 중대인시던트는프로세스에따라분류하고관리한다중대인시던트는장애로핵심서비스가중단된경우처럼서비스중단에따른영향이크고복구긴급성이높은인시던트이다. 인시던트분류기준에따라주요인시던트가구분되도록하고누가주요인시던트해결의모든측면을조정하고통제할지에대해역할을명확히정의한다. 인시던트 어떤문제든당신이최선을다해야하는기회이다. 듀크엘링턴 (Duke Ellington), 작곡가 / 연주자 문제관리 (Problem management) 문제관리는인시던트의원인을사전에식별, 분석하고문제해결및종결을통해비즈니스의 중단을최소화한다. 번호 과제목록 평가 상태 1 모든식별된문제를기록한다 2 절차에따라인시던트와문제의영향을식별하고최소화또는방지한다 3 모든문제의기록, 분류, 업데이트, 이관, 해결그리고종료를절차에정의한다 4 잠재적문제를줄이기위한예방적활동을수행한다 ( 예 : 인시던트의발생량과유형의 경향분석 ) 5 문제의원인을해결하기위한변경은변경관리프로세스에따라수행한다 6 문제해결안을모니터하고, 검토하며효과성에대해보고한다 7 알려진오류와해결된문제에대한최신정보를인시던트관리에서사용가능하도록 제공한다 8 문제관리프로세스에서식별된개선사항을기록하고서비스개선계획에대한입력 113 ISO/IEC 과효과적인 ITSM

114 사항으로제공한다 핵심단어 문제기록, 영향관리, 문제관리절차, 예방적활동, 문제해결안모니터링및보고, 지식관리, 문제관리 개선 0. 다음용어및개념을알아둡시다문제 (problem): 하나또는그이상의인시던트의알려지지않은잠재적인원인이다. 문제는하나또는더많은인시던트들의원인이다. 원인은일반적으로문제기록이생성되는시점에는알려져있지않다. 문제관리프로세스는원인을밝혀내기위해더많은조사를실시할책임이있다. 알려진오류 (Known-error): 알려진오류는근본원인과임시해결책이문서화되어있는문제이며문제관리에의해서문제의수명주기전반에걸쳐서생성되고관리된다. 또한알려진오류는개발자나공급자에의해서식별될수도있다. 근본적인해결전까지임시해결책에따라처리하고성공적인문제해결을통해알려진오류가종료된다. 그러나, 고객또는서비스제공자입장에서해결에너무많은비용이들거나비즈니스에이익이없으면알려진오류상태로계속유지할수있고관련된인시던트는지속적으로발생할수있다. 알려진오류데이터베이스 (KEDB): 알려진오류기록을담고있는데이터베이스로문제관리가생성하고인시던트관리와문제관리가사용한다. ITIL V3에서는서비스지식베이스로확대되어지식관리시스템의근간이된다. (KEDB는지식베이스의일부 ) 1. 모든식별된문제를기록한다문제관리를시작하도록하는입력사항은두가지유형으로생각할수있다. 대응적 (Reactive) 활동 : 발생한인시던트의근본원인을제거하는활동 예방적 (Proactive) 활동 : 누적된일정기간의인시던트데이터를분석하여재발및유사인시던트의발생이나발생이예상되는인시던트를예방하기위해조치를취하는활동문제관리는인시던트관리에비해서비스제공과직접적이지않기때문에프로세스정착및활성화가더욱어렵다. ITSM 이행초기부터서비스책임자와프로세스오너의적극적인자세와노력이매우중요하다. 많은조직에서당근 ( 예 : 지식관리제도와연계한보상 ) 과채찍 ( 예 : 조직 KPI에비중있게반영 ) 을병행한다. 2. 절차에따라인시던트와문제의영향을식별하고최소화또는방지한다 ( 해설없음 ) PART 10: 해결 (Resolution) 프로세스 114

115 3. 모든문제의기록, 분류, 업데이트, 이관, 해결그리고종료를절차에정의한다문제기록시다음사항을포함한다. 사용자에관한세부사항 서비스및장비에대한세부사항 최초로등록된일자및시간 우선순위및범주, 분류등에관한세부사항 인시던트의처리내용 ( 분석, 진단, 조치및해결에관한세부사항 ) 인시던트담당자의의견 4. 잠재적문제를줄이기위한예방적활동을수행한다문제분석및검토시다음사항을고려한다. 경향 ( 예 : 문제및인시던트재발, 알려진오류 ) 특정한범주, 구성요소의문제재발 자원, 교육또는문서화관련결함 계획된릴리스에포함된알려진오류 해결된인시던트나문제의재발 5. 문제의원인을해결하기위한변경은변경관리프로세스에따라수행한다 ( 해설없음 ) 6. 문제해결안을모니터하고, 검토하며효과성에대해보고한다문제해결안을적용한후문제해결여부, 문제해결시간, 필요한지원의조달용이성, 정량적인효과등을파악하여문제기록에작성한다. 7. 알려진오류와해결된문제에대한최신정보를인시던트관리에서사용가능하도록제공한다 ( 인시던트 6 번과제참조 ) 정보수집하기현명한사람은다른사람의경험을통해배운다. 보통사람은자신의경험을통해배운다. 바보는그누구의경험을통해서도배우지못한다. - 작자미상 8. 문제관리프로세스에서식별된개선사항을기록하고서비스개선계획에대한입력사항으로제 공한다 ( 해설없음 ) 115 ISO/IEC 과효과적인 ITSM

116 PART 11: 통제 (Control) 프로세스 구성관리 (Configuration management) 구성관리를통하여서비스구성요소와인프라를정의및통제하고정확한구성정보를유지한다. 번호 과제목록 평가 상태 1 통합된접근방법으로변경관리및구성관리를기획한다 2 구성관리와자산비용관리간의인터페이스를정의한다 3 무엇을구성항목과그구성요소로정의할것인지에대한방침을수립한다 4 효과적인서비스관리를위해필요한관계와문서를포함하여각구성항목에대해기록할정보를정의한다 5 서비스및인프라구성요소의버전을설정, 통제및추적하는메커니즘을수립한다 6 통제수준은비즈니스요구, 실패위험및서비스중요도를충족시키는데충분할정도로정한다 7 요청된변경이서비스및인프라구성에미치는영향에대한정보를변경관리프로세스에제공한다 8 구성항목에대한변경은필요할때 ( 예 : 하드웨어를변경하거나이동하려고할때 ) 추적과심사가가능하도록관리한다 9 시스템, 서비스및서비스컴포넌트의무결성이유지되도록구성통제절차를운영한다 10 적합한구성항목의기준선을운용환경에릴리스되기전에설정한다 11 디지털구성항목 ( 예 : 소프트웨어, 테스트제품, 지원문서 ) 의마스터사본을안전한물리적또는전자적라이브러리에서통제하고, 구성기록에서참조할수있도록한다 12 모든구성항목은유일하게식별하고 CMDB에기록하며 CMDB 갱신을위한접근 ( 권한 ) 은엄격하게통제한다 13 CMDB는적극적으로 ( 방치하지말고 ) 관리하고신뢰성과정확성을위해검증한다 14 구성항목의상태, 버전, 위치, 관련된변경및문제점, 연계된문서는필요한사람들이볼수있도록한다 15 구성심사절차에는결함기록, 시정조치착수및결과보고를포함시킨다 핵심단어 변경및구성에대한통합접근법, 프로세스인터페이스, 구성항목식별, 구성정보정의, 통제메커니즘, 변경영향정보제공, 추적및심사, 무결성유지, 기준선설정, DML, CMDB, 구성정보공유 0. 다음용어및개념을알아둡시다 PART 11: 통제 (Control) 프로세스 116

117 기준선 (baseline): 특정시점에서의서비스상태또는개별구성항목들의스냅샷이다. 기준선은참조점 (reference point) 으로사용되는벤치마크 (benchmark) 이다. 예를들어, ITSM 베이스라인은서비스개선계획의효과를측정하기위한시작점으로사용될수있고성과베이스라인은 IT 서비스의수명주기에걸친성과의변화를측정하는데사용될수있으며구성관리베이스라인은변경이나릴리스실패시 IT 인프라를알려진구성대로복구가능하게하는데사용될수있다. 구성항목 (configuration item, CI): 구성관리통제하에놓여있거나놓이게되는인프라의구성요소또는항목이다. 구성항목은모든하드웨어, 소프트웨어, 문서를포함하는전체시스템에서부터단일모듈또는단순한하드웨어구성요소에이르기까지복잡도, 크기및유형이광범위하다. 각구성항목에대한정보는구성관리시스템내구성기록에기록되며구성관리를통해수명주기에걸쳐유지된다. 구성항목들은전형적으로 IT 서비스, 하드웨어, 소프트웨어, 건물, 사람그리고프로세스문서및 SLA와같은공식문서등이다. 구성관리데이터베이스 (Configuration management database): 각구성항목에대한상세한정보와상호간중요한관계들에대한상세한정보를포함하는데이터베이스이다. CMDB는구성기록을전수명주기에걸쳐저장하기위해사용하는데이터베이스이다. 구성관리시스템은하나또는그이상의 CMDB를유지하며각 CMDB는 CI의속성과다른 CI들과의관계를저장한다. 자산관리와구성관리 : ITIL V2에서는자산관리와구성관리를구분하여다루었으나 ITIL V3에서는서비스자산및구성관리프로세스 (SACM: Service Asset and Configuration Management) 로통합되었다 ( 물론이것이단일프로세스, 단일관리시스템이어야만함을의미하지는않음 ). ITIL V3에정의된용어는다음과같다. 자산 : 자원또는역량. 서비스제공자의자산에는서비스의제공에기여할수있는모든것이포함된다. 자산은다음과같은유형중의하나일수도있다. 경영진, 조직, 프로세스, 지식, 사람, 정보, 어플리케이션, 인프라, 재무자본등 구성 : 하나의 IT 서비스또는 IT 서비스중에서인식가능한일부를제공하는데함께작동하는구성항목의집단을설명하는데사용되는일반적인용어. 또한구성은하나또는그이상의 CI에대한파라미터설정을서술하는데사용된다. 구성항목 : 자산, 서비스컴포넌트 ( 또는구성관리의통제대상이거나대상이될다른항목 ) 1. 통합된접근방법으로변경관리및구성관리를기획한다변경관리와구성관리프로세스를수립 ( 설계 ) 할때두프로세스에공통된기준을적용하여두개의독립된프로세스이지만마치한몸인것처럼상호작용하도록만들어야한다. 공통기준은프로세스, 사람, 기술측면에모두고려되어야한다. 통합된접근방법으로구현된변경관리및구성관리에서볼수있는특징의예이다. ( 상용솔루션은통합된접근방법에따라구현되었다.) 변경단위가구성항목으로되어있다. 117 ISO/IEC 과효과적인 ITSM

118 변경영향을평가하기위한정보를구성관리에서제공한다. 변경처리결과에따라구성정보가갱신된다. 구성항목의변경이력은변경기록을통하여추적, 조회된다. 2. 구성관리와자산비용관리간의인터페이스를정의한다 (Financial asset accounting을자산비용관리로번역 ) 자산비용관리는 ISO 범위에포함되지않는다. 자산비용관리는자산관리의일부로서 IT 재무관리의기반이된다. 구성관리와자산관리가별개프로세스이면두프로세스는공통정보를서로주고받게되므로이를위한인터페이스가필요하다. 3. 무엇을구성항목과그구성요소로정의할것인지에대한방침을수립한다일반적으로구성항목은다음항목들을포함한다. 정보시스템, 소프트웨어 시스템문서 ( 예 : 요구사항명세, 설계, 테스트보고서, 릴리스문서 ) 마스터하드카피, 전자라이브러리 ( 예 : 완성된소프트웨어라이브러리 ) 사용하는구성관리패키지또는도구 라이센스 보안구성요소 ( 예 : 방화벽 ) 재무적가치가있는자산, 관리또는비즈니스목적을위해추적할필요가있는물리적자산 ( 예 : 보안자기매체, 장비 ) 문서화관련서비스항목 ( 예 : 서비스수준협약, 절차 ) 설비지원서비스항목 ( 예 : 컴퓨터실의전원 ) 구성항목들사이의관계및의존성 4. 효과적인서비스관리를위해필요한관계와문서를포함하여각구성항목에대해기록할정보를정의한다구성항목의속성정보는다음과같은사항이있다. 구성항목의유형 (S/W, H/W, N/W ) 에따라구성항목에대해기록할정보는달라진다. 유일한식별자 구성항목유형 이름 / 설명 버전 장소 PART 11: 통제 (Control) 프로세스 118

119 공급일자 라이센스세부사항 소유자 / 관리인 상태 공급업체 / 출처 관련된문서원본 관련된소프트웨어원본 기록정보 적용가능한서비스수준계약 관계는구성항목이서비스를제공하기위해어떻게관련있는지설명한다 하나의구성항목이다른구성항목의일부이다 ( 부모자식간의관계 ) 하나의구성항목이다른구성항목과연결된다. 하나의구성항목이다른구성항목을사용한다. 하나의구성항목이다른구성항목에설치된다 5. 서비스및인프라구성요소의버전을설정, 통제및추적하는메커니즘을수립한다 버전을설정, 통제및추적하는일은사실상정보시스템의도움을받아자동화해야한다. ITSM 솔루션의구성관리기능과소프트웨어형상관리도구는이러한메커니즘을제공한다. 6. 통제수준은비즈니스요구, 실패위험및서비스중요도를충족시키는데충분할정도로정한다다음은적정한통제수준에대한사례이다. 트랜잭션이많아 CPU 파워와메모리용량이매우중요하다면구성항목을 CPU, 메모리단위까지고려해야한다. PC 유지보수서비스를제공한다면 PC를구성항목으로등록하고관리해야한다. 고객자산이많고입출이잦은데이터센터라면구성정보의정확성을보장하기위하여검증주기가짧거나통제방법을자동화 ( 예 : RFID) 해야한다. 다음은구성통제범위이다. 각대상별로통제수준을고려한다. 올바른라이센스사용을위한통제 변경관리 서비스자산, 소프트웨어및하드웨어버전, 릴리스버전통제 접근통제 119 ISO/IEC 과효과적인 ITSM

120 데이터및정보의상태변경, 물리적변경 구성정보베이스라인 구성항목의설치 DML의무결성을유지 7. 요청된변경이서비스및인프라구성에미치는영향에대한정보를변경관리프로세스에제공한다구성항목관계및속성정보에기초하여변경영향에대한다음정보를제공한다. 변경에직간접적으로영향을받는구성항목 영향을받는구성항목의주요속성정보 ( 관계, 위치, 사용자등 ) 영향을받는구성항목의중요도및중단시피해정보 영향을받는범위에서발생한주요장애, 변경정보등 8. 구성항목에대한변경은필요할때 ( 예 : 하드웨어를변경하거나이동하려고할때 ) 추적과심사가가능하도록관리한다구성항목의변경은변경관리프로세스에따라처리하고변경요청을비롯한변경기록은구성항목과연계하면추적과심사가가능하다. TIP 5번과제와연계하여이러한메커니즘은 ITSM 솔루션에구현되어있다. 9. 시스템, 서비스및서비스컴포넌트의무결성이유지되도록구성통제절차를운영한다구성항목에대한무결성을유지하려면다음과같은환경을제공해야한다. 인증하지않은변경 / 부정행위로부터보호하는환경 재해복구수단을제공하는환경 마스터 (S/W, Data, 문서 ) 재사용을통제하는환경 구성의상태를통제하는환경 취약한보안에대하여방어하는환경 10. 적합한구성항목의기준선을운용환경에릴리스되기전에설정한다기준선은특정시점에구성항목의구조와세부사항을캡쳐한것으로다음용도로만든다. 미래작업을위한기반 RFC가영향을미치고실제로변경한 CI의기록 일이잘못될경우복원할수있는시점 PART 11: 통제 (Control) 프로세스 120

121 11. 디지털구성항목 ( 예 : 소프트웨어, 테스트제품, 지원문서 ) 의마스터사본을안전한물리적또는전자적라이브러리에서통제하고, 구성기록에서참조할수있도록한다디지털구성항목의마스터사본은 DSL(Definitive Software Library) 을의미하며 ITIL을참조한다. 물리적통제 : CD, 서적, 파일철등을특정보관장소에서통제 전자적라이브러리통제 : 형상관리도구, 지식관리시스템, 파일서버의폴더체계등을이용해전산파일 ( 전자문서 ) 통제 12. 모든구성항목은유일하게식별하고 CMDB에기록하며 CMDB 갱신을위한접근 ( 권한 ) 은엄격하게통제한다 ( 해설없음 ) 13. CMDB는적극적으로 ( 방치하지말고 ) 관리하고신뢰성과정확성을위해검증한다 CMDB의신뢰성및정확성보장을위한활동은다음과같다. 모든새로운 CI 등록 CI 기록갱신 - 변경상태 - 책임자 / 임무 / 특성의변화 - 변경및릴리스에서생성된새로운문서의관계 - 변경된라이센스 - CI와관련있는인시던트, 문제, 변경, 릴리스기록의연결 변경과관련있는 RFC 갱신 CI 기록, 갱신, 삭제와관련된기록 구성관리자의정기적인 CMDB 검증 주기적인구성감사후 CMDB 업데이트 14. 구성항목의상태, 버전, 위치, 관련된변경및문제점, 연계된문서는필요한사람들이볼수있도록한다구성관리프로세스는각프로세스에게다음과같은구성항목정보를제공한다. 서비스데스크 서비스장애의영향, CI가지원하는서비스, 책임자및기술지원정보, CI 에가해진최근변경 인시던트관리 CI별인시던트추이분석, CI에기록된관련인시던트, 상위, 하위 CI의영향 재무관리 서비스가치산정활동에기여하는구성항목정보 가용성및연속성 CI 관계및중복성정보를통한장애취약지점의식별 서비스수준관리 서비스에영향을미치는구성항목간의관계및의존성파악 변경관리 변경이서비스에미치는영향을식별 121 ISO/IEC 과효과적인 ITSM

122 15. 구성심사절차에는결함기록, 시정조치착수및결과보고를포함시킨다정기적인구성심사외에다음상황발생시추가적인실시를고려한다. 새로운구성관리시스템시행후실시 IT 인프라에주요한변경이생긴전후 정기적인계획및훈련 인가하지않은 CI 발견 구성심사는기능적구성심사와물리적구성심사의두유형이있다. 기능적구성심사 : 구성항목이제품구성문서에명시된성능과기능적특성을달성하는지를검증하는공식적조사 물리적구성심사 : 구성항목이제품구성문서에적합함을검증하기위하여 구축되고생산된대로 구성항목이구성되었는지를검증하는공식적조사 변경관리 (Change management) 변경관리를통해모든변경들이통제된방식으로심사, 승인, 구현및검토됨을보장한다. 번호 과제목록 평가 상태 1 서비스및인프라변경의범위는명확하게정의하고문서화한다 2 모든변경요청 (RFC) 은기록하고분류한다 ( 예 : urgent, emergency, major, minor) 3 변경요청에내재하는위험, 영향, 비즈니스이익에대해평가한다 4 변경관리프로세스에변경실패에대비한복구 (reverse) 또는교정 (remedy) 방법을포함시킨다 5 변경을승인하고, 승인후점검하며통제되는방법으로실행한다 6 모든변경에대해성공여부와적용후실시된조치에대해검토한다 7 긴급변경에대한권한부여및실행을통제하기위한방침과절차를수립한다 8 예정된변경실행일정은변경및릴리스일정수립의기준으로사용한다 9 실행이승인된모든변경에대한상세사항이포함된일정과이변경을위해제안된변경실행일자를유지하고이해관계자들과의사소통되도록한다 10 변경증가수준, 자주재발하는유형, 부각되는경향및기타관련정보를발견하기위해변경기록을정기적으로분석한다 11 변경분석에서도출된결과및결론을기록한다 12 변경관리에서식별된개선사항을기록하고서비스개선을위한계획의입력으로제 공한다 PART 11: 통제 (Control) 프로세스 122

123 핵심단어 문서화된변경범위, 변경요청기록 / 분류 / 영향평가, 변경전복구, 변경후검토, 긴급변경, 변경및릴리스 일정연계, 변경일정공유, 변경분석, 변경개선 0. 다음용어및개념을알아둡시다변경기록 (change record): 승인된변경에따라어떤구성항목이영향을받고, 또한어떻게영향을받는지에대한상세사항을포함하는기록이다. 각변경기록은변경하나의수명주기를문서화한다. 변경기록은최종적으로거부되더라도모든변경요청 (RFC) 에대해생성된다. 변경기록은변경에의해영향을받는구성항목들을참고해야한다. 변경기록은구성관리시스템에저장된다. 변경요청 (request for change): 서비스또는인프라내에있는구성항목에대한변경요청을상세히기록하기위해사용되는양식또는화면이다. RFC는변경에대한공식적인제안이다. RFC는제안된변경의상세사항을포함하며종이또는전자적으로기록될수있다. 1. 서비스및인프라변경의범위는명확하게정의하고문서화한다변경관리와릴리스관리는매우다양한변경을다루어야하고변경종류별로 해야할일 ( 관리활동 ) 이많이달라지므로서비스및인프라변경의범위는변경규모, 변경구성항목, 변경방식등을반영한정의기준에따라분류되도록한다. ( 예 : Major 변경, Minor 변경 ) 2. 모든변경요청 (RFC) 은기록하고분류한다 ( 예 : urgent, emergency, major, minor) 변경형식에따라표준변경, 정규변경, 긴급변경으로변경내용에따라시정변경, 개선변경등으로나눌수있다. 표준변경 (Standard Change): 신입직원에게 PC를지급하거나오피스소프트웨어의버전을업그레이드하는변경은영향이적고위험이낮은변경이다. 이러한특정변경은일반적인변경과다른절차와승인으로처리한다. 정규변경 (Normal Change): 표준변경과긴급변경을제외한일반적인변경이다. 긴급변경 (Emergency Change): 생명이위태로워 119를부르는상황처럼막대한손실이예상되거나중요한공공서비스가중단될수있는위기시변경이다. 긴급변경후에실제로긴급한것이었는지검증하기위해검토가필요하다. 시정변경 (Corrective Change): 에러를고치는변경 개선변경 (Enhancement Change): 추가적인이점을제공하는변경 3. 변경요청에내재하는위험, 영향, 비즈니스이익에대해평가한다 변경에는항상위험이따른다. 단순한변경도비즈니스에큰손해가나게할수있다. 변경이비 즈니스에미치는영향과위험의발생가능성에따라변경위험을분류하고이를기준으로변경 123 ISO/IEC 과효과적인 ITSM

124 평가등이어지는변경관리활동의수준을정할수있다. 위험범주에따라변경평가를하고우선순위를정한다. 그림 25 변경위험범주및변경우선순위평가예시 4. 변경관리프로세스에변경실패에대비한복구 (reverse) 또는교정 (remedy) 방법을포함시킨다변경실패는변경을운영환경에적용했을때를의미한다. 릴리스관리도릴리스계획에복구또는교정방법을수립해야한다. 변경관리와릴리스관리의복구또는교정방법이같을수도있고다를수도있다. ( 릴리스관리는배포에적용한기술에따른복구또는교정방법도고려 ) 5. 변경을승인하고, 승인후점검하며통제되는방법으로실행한다 승인자에게승인이후진행한변경작업결과를보고해야한다. 6. 모든변경에대해성공여부와적용후실시된조치에대해검토한다실행후검토 (Post Implementation Review, PIR) 의목적은다음과같다. 기대했던효과가있고목적을달성했는가? 사용자와고객은결과에만족하는가? 기능성, 가용성, 용량, 성능, 보안, 유지등에관한기대하지않은또는바람직하지않은역효과는없는가? 변경을시행하기위해사용된자원은계획한범위이내인가? 수행계획을적절하게이행했는가? 변경은시간내에비용에맞게시행되었는가? 원복계획은올바르게되었는가? 7. 긴급변경에대한권한부여및실행을통제하기위한방침과절차를수립한다 PART 11: 통제 (Control) 프로세스 124

125 TIP 긴급변경을변경통제에서벗어나거나일을편하게하는수단으로이용하면안된다. 긴급 (emergency) 상황은 사람이물에빠져허우적대거나심장마비가왔을때 같이최대한빨리변경하지않으면손실이막대할경우이다. 긴급변경을제한적으로적용해야하며처리절차도일반변경과달라야한다. 긴급변경절차를일반변경과동일하게하고단지보고만사후에하는정도로운영하는경우가많다. 긴급변경은장애등으로가용성에영향을받아복구하거나곧발생하려는장애를방지하는데필요한변경에사용된다. 긴급변경의검토및승인은 CAB/EC를소집하여실시한다. 즉시실행해야하는변경은테스트를줄이거나극단적인경우완전히없어지게될수있다. ( 테스트감소에대해서논쟁의여지있음 ) 변경기록과구성업데이트는조치후에기록될수있다. 8. 예정된변경실행일정은변경및릴리스일정수립의기준으로사용한다 변경을운영환경 (Live Environment) 에적용할날짜를변경관리및릴리스관리관련이해관계 자가늘볼수있어야한다. 9. 실행이승인된모든변경에대한상세사항이포함된일정과이변경을위해제안된변경실행일자를유지하고이해관계자들과의사소통되도록한다변경을실행하기전에의사소통해야할이해관계자들은다음과같다. 영향받는고객 영향받는서비스담당자, 관련부서 릴리스관리자 관련전문가등 10. 변경증가수준, 자주재발하는유형, 부각되는경향및기타관련정보를발견하기위해변경기록을정기적으로분석한다변경기록을정기적으로분석하여관리보고서를작성한다. 관리보고서는다음을포함한다. 기간동안수행된변경의수 변경증가추이 재발하는변경유형 변경의실패원인 성공하지못한실시된변경의비율 변경에따른인시던트수와이유 125 ISO/IEC 과효과적인 ITSM

126 변경관리프로세스의효율성 / 효과성검토결과 11. 변경분석에서도출된결과및결론을기록한다 ( 해설없음 ) 12. 변경관리에서식별된개선사항을기록하고서비스개선을위한계획의입력으로제공한다 ( 해 설없음 ) PART 11: 통제 (Control) 프로세스 126

127 PART 12: 릴리스 (Release) 프로세스 릴리스관리 (Release management) 릴리스관리를통해릴리스에있는하나또는그이상의변경을운용환경에제공, 배포및추 적한다. 번호 과제목록 평가 상태 1 릴리스관리프로세스를구성관리및변경관리프로세스와통합한다 2 릴리스주기및유형을명시한릴리스방침을문서화하고합의한다 3 비즈니스와함께서비스, 시스템, 소프트웨어및하드웨어의릴리스를계획한다 4 모든이해관계자가릴리스방법에대한계획을합의하고허가한다 ( 예 : 고객, 사용자, 운영및지원직원 ) 5 릴리스관리프로세스에릴리스실패에대비한복구 (reverse) 또는교정 (remedy) 방법을포함시킨다 6 릴리스계획들에릴리스일자및인도물을기록하고관련된변경요청, 알려진오류및문제를포함한다 7 릴리스관리프로세스가적절한정보를인시던트관리프로세스로전달하도록한다 8 변경요청이릴리스계획에미치는영향을평가한다 9 릴리스관리절차에구성정보와변경기록의갱신및변경을포함시킨다 10 긴급변경관리프로세스와연계되어있는정의된프로세스에따라긴급릴리스를관리한다 11 배포전에모든릴리스를빌드하고테스트하기위한통제되는인수테스트환경을마련한다 12 설치하는동안에하드웨어및소프트웨어의무결성이유지될수있도록릴리스및배포를설계하고실행한다 13 릴리스의성공과실패를측정한다 14 릴리스실행후후속되는기간에이릴리스와관련하여발생한인시던트를측정한다 15 릴리스를분석하여릴리스가비즈니스, IT 운영및지원의인력자원에미치는영향을평가하고서비스개선을위한계획의입력물을제공한다 핵심단어 릴리스방침, 릴리스계획, 릴리스전복구, 릴리스관리절차, 긴급릴리스, 인수테스트환경, 무결성유 지, 릴리스측정, 릴리스분석, 릴리스개선 0. 다음용어및개념을알아둡시다 127 ISO/IEC 과효과적인 ITSM

128 릴리스 (release): 시험되고운용환경에도입된신규그리고 / 또는변경된구성항목들의집합이다. 릴리스는하드웨어, 소프트웨어, 문서, 프로세스또는기타승인된 IT 서비스의하나또는여러개의변경을구현하는데요구되는구성요소들의집합이다. 각릴리스의내용물들은단일개체 (entity) 로관리되고테스트되고적용된다. 릴리스프로세스 (release process): ISO 20000에서릴리스관리를포함하고있는프로세스그룹을부르는이름이다. ( 그렇지만릴리스관리외다른프로세스는포함하지않는다.) 릴리스프로세스는릴리스관리프로세스의동의어로도사용된다. 릴리스관리 (release management): 릴리스를테스트및실제환경에이전하는데대한계획을수립하고, 일정을수립하고, 통제하는책임을맡은프로세스. 릴리스관리의주요한목적은실제환경의무결성이보호되고, 올바른구성요소가릴리스되도록하는것이다. 릴리스관리는릴리스및배치관리프로세스의일부이다. 1. 릴리스관리프로세스를구성관리및변경관리프로세스와통합한다모든변경을대상으로동일한릴리스관리활동이필요한것이아니다. 릴리스관리요구사항은다음과같이주로일정규모이상의변경에중점적으로적용된다. 구성관리및변경관리와연계하여릴리스관리를설계할때이점을명확히하는것이중요하다. 대규모또는중요한하드웨어의이행 신규서비스구현및적용 주요소프트웨어의이행 관련된변경들을모아묶은번들이나배치 변경, 구성및릴리스관리의통합은서비스관리에상당한이점을제공한다. 변경관리가없으면구성정보는부정확하게되며, 정확한구성데이터가없으면변경의영향을정확하게평가할수없다. 그리고구성과변경관리가없으면릴리스를통제할수없게되며, 이런부정확한정보를통해서는올바른서비스도제공할수없다. 2. 릴리스주기및유형을명시한릴리스방침을문서화하고합의한다릴리스방침에는다음내용을포함할수있다. 릴리스주기와유형 릴리스관리역할및책임 인수테스트및실제운영환경에릴리스하는권한 릴리스를고유하게식별하는기준 변경을릴리스로그룹화하는방법 반복성과효율성을높이기위해릴리스생성, 설치, 배포를자동화하는방법 PART 12: 릴리스 (Release) 프로세스 128

129 릴리스검증및인수 릴리스주기와유형은릴리스접근법에따라달라진다. 빅뱅및단계적방식 빅뱅방식 (Big bang) 신규또는변경된서비스는한번에모든사용자영역으로배포 단계적방식 (Phased approach) 서비스가최초에부분적으로배포되고이후계획된 rollout 일정에따라순차적으로작업을반복 Push and Pull 방식 Push 서비스구성요소가중앙에서배포되고타겟위치로확장될때사용된다. 업데이트된서비스구성요소가모든사용자들에게한번에전달되는것을말한다. Pull 사용자또는에이전트가선택적으로중앙에위치한배포서버에접속하여업데이트를실시하는방식 ( 예 : 윈도우업데이트 ) 자동화 (Automation) 및수작업 (manual) 자동화 주로배치및자동화된솔루션을사용하며반복적인작업과정확성을기하는데효과적이다 수작업 긴급한릴리스나반복적이지않고특정부분에대하여릴리스를할경우에효과적이다. 3. 비즈니스와함께서비스, 시스템, 소프트웨어및하드웨어의릴리스를계획한다비즈니스에직접적인영향을주는릴리스는고객과협의하여계획을수립한다. 계획은관련서비스, 시스템, 소프트웨어, 하드웨어릴리스를포함한다. 릴리스계획에작성해야할사항은다음과같다. 릴리스정책 / 절차 릴리스내용에대한합의 모든인력의릴리스역할 / 책임 릴리스를운영환경으로의배포를지원하는툴 릴리스지원인력 원복계획수립 자원수준에대한계획 훈련및교육 릴리스일정수립 성공적릴리스를위한충분한용량확인 129 ISO/IEC 과효과적인 ITSM

130 4. 모든이해관계자가릴리스방법에대한계획을합의하고허가한다 ( 예 : 고객, 사용자, 운영및지원직원 ) ( 해설없음 ) 5. 릴리스관리프로세스에릴리스실패에대비한복구 (reverse) 또는교정 (remedy) 방법을포함시킨다 ( 해설없음 ) 6. 릴리스계획들에릴리스일자및인도물을기록하고관련된변경요청, 알려진오류및문제를포함한다 TIP 릴리스계획을 ITSM 시스템으로구현할경우이사항이누락되는경우가많다. 7. 릴리스관리프로세스가적절한정보를인시던트관리프로세스로전달하도록한다 ( 해설없음 ) 8. 변경요청이릴리스계획에미치는영향을평가한다변경관리에서구현할사항이다. 변경요청에따라릴리스일정, 릴리스패키지, 릴리스방식을변경할필요가있는지검토한다. 9. 릴리스관리절차에구성정보와변경기록의갱신및변경을포함시킨다 ( 해설없음 ) 10. 긴급변경관리프로세스와연계되어있는정의된프로세스에따라긴급릴리스를관리한다 긴급변경은긴급릴리스로한다. 11. 배포전에모든릴리스를빌드하고테스트하기위한통제되는인수테스트환경을마련한다성공적인릴리스를위해서는효과적인빌드및시험환경이마련되어야한다. 릴리스및배포동안에다음과같은유형의통제된시험환경이필요하게된다. 빌드환경 릴리스패키지나서비스자산의컴파일또는조합을위한시험환경 단위시험환경 개별서비스구성요소의기능성, 성능, 복구유연성, 유용성을확인하기위한시험환경 조합시험환경 개별서비스구성요소조합의기능성, 성능, 복구유연성, 유용성을확인하기위한시험환경 통합시험환경 서비스구성요소의빌드및통합 시스템시험환경 어플리케이션과기술적인인프라스트럭처를포함하는통합된서비스구조의모든형태를시험하기위한시험환경 서비스릴리스시험환경 통제된환경에서의릴리스패키지를설치, 빌드, 시험을위한환경 ( 종종시스템시험환경과같이사용 ) 서비스운영준비시험환경 실환경으로적용하기 전서비스및단위서비스성능을위한시험환경 PART 12: 릴리스 (Release) 프로세스 130

131 비즈니스시뮬레이션환경 서비스관리시뮬레이션환경 훈련환경 파일럿환경 백업및복구환경 12. 설치하는동안에하드웨어및소프트웨어의무결성이유지될수있도록릴리스및배포를설계하고실행한다 ( 해설없음 ) 13. 릴리스의성공과실패를측정한다복구또는수정한경우를실패로셈한다. 14. 릴리스실행후후속되는기간에이릴리스와관련하여발생한인시던트를측정한다 초기안정화지원기간동안발생한인시던트를중점측정관리한다. ( 인시던트발생건수가감소 하여일정수준이하로떨어질때까지 ) 15. 릴리스를분석하여릴리스가비즈니스, IT 운영과지원인력자원에미치는영향을평가하고서비스개선을위한계획의입력물을제공한다 비즈니스에기여한성과 비즈니스가서비스를사용하는정도 고객만족및불만 서비스개선사항 변경요청 지원인력작업량의증감등 131 ISO/IEC 과효과적인 ITSM

132 부록 Ⅰ - ITSM 을성공으로이끄는비법 보다큰목표에충실하라집념이성공을보장해주지는않는다. 하지만집념이부족하면실패가보장된다. 톰피터스 (Tom Peters), 미국경영학자 우리나라에 ITSM이라는주제가지난 2~3년간화려한조명을받고 IT 전문가사이에화두가많이되었으며꽤많은업체에서 ITSM 구축사업을진행하였으나제대로구축되어효과를보고있는업체를보기가힘들다는자조적인목소리가나오고있다. 하지만국내 ITSM 영역에관심을갖고있는전문가입장에있는분들이라면성공적으로 ITSM 을내재화하며지속적인발전단계에안착한모범사례가하나둘씩생겨나고있음을인지하고계실것이다. 그렇다면국내에서 ITSM 내재화에성공적인사례들을분석하여그비법이무엇인지공유하고자한다. 다음은간단할수있지만지키면반드시 ITSM을성공으로이끄는 4가지비법이다. ITSM이무엇인지제대로알고해야한다. 충분한고위층의스폰서쉽을얻어야한다. 시스템에집착하지않는다. ITSM은일회성프로젝트가아니라지속적인개선구조를가진다. 비법 1. ITSM이무엇인지제대로알고해야한다. 가장기본적이면서도중요한사항이지만이외로많은사업체에간과하는원칙이다. ITSM은프로세스를다루기에상호간의연결관계에매우중요해서 ITSM를실행하는사업체내부범위에서는공감대가형성되어야하고원할한의사통로가마련되어야한다. ITSM은기존에사용되지않았던개념이나프로세스, 역할이도입되면서기존업무에익숙했던 IT 관리자들은적잖은혼돈을가져온다. ITSM 도입을할때는 IT 서비스영역에종사하고있는분들의거의대부분이 ITSM이무엇인지학습하는단계를반드시거치는것이 ITSM 내재화성공의지름길이다. 다음은대표적인성공사례 A 이다. 사례 A 업체는 IT 운영에종사하는모든직원에게 ITIL(IT Infrastructure Library) Foundation 자격증을취득하게하였다. 직원들이자격증을취득하는과정에서 ITSM이무엇을추구하는지를이해하게되었고, 생경한용어나개념, 프로세스에익숙해지면서 ITSM 도입에대한반감이 부록 Ⅰ - ITSM 을성공으로이끄는비법 132

133 최소화되고적극적으로수용하면서내재화에대한소요기간도감소되었다. 이번에는성공적인사례 B이다. 전체적으로 ITIL 자격증을취득하기에비용등무리가있는경우에는 ITSM 구축을담당하는태스크포스팀을 ITSM 홍보원으로전략적이용을하는것이다. 5-6명으로이루어진팀을만들어철저하게외부전문가로부터교육을이수하게한다음내부직원들에게전파교육을하는것이다. 비용도저렴할뿐만아니라회사의 ITSM을이끌어갈태스크포스팀의역량이강화되므로일거양득의효과를볼수있다. 다음은최악의사례 C이다. 우리는모르니전문가인당신들이알아서하시오 라고외부전문가에서모두일임하는사례이다. 이런경우는내부적인공감대도형성되지않아향후 ITSM에대한거부감도극대화되며 ITSM 을이끌어나갈자생력도만들어지지않아지지부진하다끝날확률이크다. ITSM 성공의초석을놓으려면반드시 ITSM 무엇인지전체적으로이해하는단계를거쳐야한다. 비법 2. 충분한고위층의스폰서쉽을얻어야한다. 대부분의프로젝트가고위층의지원을받아야그프로젝트의성공확률이높아지겠지만 ITSM의경우는성패의 70% 이상을차지한다고할정도로고위층의지원은절대적인역할을한다. 계속강조하지만 ITSM은프로세스가물흐르듯원칙대로자연스럽게흐름이만들어져야성공할수있다. 이러한흐름을만들려면적절한역할과책임할당이뒷받침되어야하는데인사권한이없는아래직원끼리밀고당기고해보았자원활한역할위임은되지않고반목만남을수있다. 새로운조직변화나역할을할당할때는어쩔수없이생기는반발이나충돌을관리할수있는고위층의활약이필요하다. 대표적인국내사례 A이다. 대기업그룹의 IT를아웃소싱하고있는사례 A 업체는 CEO가 ITSM의중요성을자각하고 ITIL Foundation 자격증을습득하고임직원에게도 ITIL Foundation 자격증취득을독려하였다. 또한 ITSM의가장두드러진물리적조직인서비스데스크가신속히만들어지도록하고숙련된직원이서비스데스크에근무하게하여 1차장애해결율을높이도록적극적인후원을하였다. 다음은사례 B이다. ITSM 프로젝트진행중 Kick-Off, 월간회의, 중간보고, 종료보고등주요회의가열리게된다. 이러한주요회의에거의빠짐없이 CIO 등고위인사가참여하여진행사항이나이슈사항을점검해서부서간의책임문제나인사문제등의난해한과제를처리하여주는경우이다. 시원한고속도로를만들려다보면높은산봉우리도만나고깊은계곡을만나며폭넓은강을만나기도한다. 이때터널을뚫고다리를놓는어려운공사를해야한다. ITSM을하다보면조직을손질해야하는어려운난관에봉착하게된다. 이를해결하기위해서는실질적인권한이있는 133 ISO/IEC 과효과적인 ITSM

134 고위층에의존할수밖에없다. 비법 3. 시스템에집착하지않는다. 이부분은항상강조하지만쉽게흘려버리기도하고프로젝트수행하는책임자입장에서는마음먹고하려고해도잘안되는부분이다. 이과정은 욕심놓기, 마음비우기 의과정이기때문이다. ITSM 구축프로젝트를진행할때항상강조하는부분이 3P(People, Process, Product) 가균형있게상호작용을하여야성공한다는것이다. 이강조부문은귀에못이막히도록들어서고객들은매우식상해하는부문이기도하다. 그런데, 막상프로젝트를진행하면프로세스적인시각은저멀리사라져버리고, 우선순위가화면의외양의화려함을꾸미는것이우선순위의꼭대기로올라간다. 다음은성공적인사례의경우이다. 가장먼저 ITIL에서권하는 IT 프로세스를회사상황에맞게정교화한다. 이부분은내부전문가가있는경우도움을받도록하고, 경험이풍부한외부전문가의도움을받으면시행착오가줄고작업의진행에가속도가날수있다. 프로세스를만들때, 역할및책임을명확히하여작업의흐름에문제가없는지검토한다. 그다음으로는 ITSM 시스템에설계한프로세스및책임별접근권한이잘설정될수있는지검토한다. 이단계가가장중요하며여러번의검증단계를통해프로세스와시스템이일치되도록해야한다. 마지막단계로화면인터페이스작업을진행한다. 이부분은사람으로말하면화장을하는부분이기때문에바로앞단계의프로세스와시스템의일치화작업단계보다는중요도가떨어지는단계이다. 성공적으로 ITSM을내재화하는기업은프로세스를제대로만드는데우선순위를두고시스템은그프로세스를지원할수있는지에관심을둔다. ITSM을어렵게또는더디게내재화하는기업은시스템외양 (GUI) 꾸미기에프로젝트의많은부분을할애한다. 성공적으로 ITSM를내재화하게되면시스템을발전시키는프로세스도제대로돌아가면서궁극적으로시스템에담길내용이나화면, 리포트도알차게발전된다. 비법 4. 일회성프로젝트가아니라지속적인개선구조를가진다. ITSM 프로젝트진행할때보면짧은시간에매우높은 ITSM의성숙도를목표로하는경우가많다. 그리고 ITSM 높은성숙도의잣대가 ITSM을지원하는시스템의완전성에집중하여프로젝트가균형을잃고시스템에집중하다일시적인만족에그치고지속적인발전을이루지못하고만다. 따라서 ITSM 프로젝트를진행할때는조금설익었다하더라도프로세스와역할및시스 부록 Ⅰ - ITSM 을성공으로이끄는비법 134

135 템을지속적으로검토하고개선할수있는기반구조를갖추는데역점을두는것이가장중요하다. 이런자발적구조를갖게되면미미해보이는 ITSM의효과가드러나게되고프로세스나시스템의발전에가속도가붙게된다. 다음은 ITSM이지속적인개선구조를갖도록도움을주는활동이다. 1) ISO/IEC 20000인증 ISO20000에서기본으로요구하는사항을조목조목준비하다보면정책, 프로세스, 조직, 시스템에대해균형을가질수있으며지속적으로검토하는구조를갖고있지않으면인증을받을수없기에가장효과적인통제수단이다. 또한 2년동안 6개월마다사후심사를받아야되므로한시도긴장을놓칠수없다. 대내외홍보수단으로인증을받기도하지만실질적인 ITSM의내실을기하기위해서는 ISO/IEC 20000인증이매우유효하다. 2) 인사고과와각 ITSM 프로세스 KPI와의연계 ITSM 프로세스가잘돌면서지속적인개선구조를갖게하는가장강력한방법은프로세스별로주요성과지표 (Key Performance Indicator: KPI) 를모니터링하면서인사고과또는개인별, 팀별인센티브와연계시킨다. 얼마나객관적으로연결하느냐하는고민이있을수있지만 ITSM을내재화하고발전시키는데이만한처방이없다. 우스개소리일지도모르지만 같은컨설팅내용일지라도컨설팅에들어간돈의액수가클수록효과가커진다 라고한다. 가만히분석해보면위에서언급한비법이이우스개소리에다녹아들어있다고볼수있다. 돈이많이들어가면저절로경영진의관심도가많아져서의사결정에대한지원을쉽게확보할수있다. 또한컨설팅에기대하는바도커져서프로세스나조직에대한권고사항에대해상대적으로적은반발에따라프로세스의혁신및내재화가용이하다. 그렇다고마냥비싼비용에기댈것이아니라위에서언급한 ITSM의성공비법을최대한이용하고 ITSM의컨설팅및구축역량을갖춘외부인력을적절히활용하면 ITSM의내재화하는데실패하기가어려울것이다. 135 ISO/IEC 과효과적인 ITSM

136 부록 Ⅱ - ITSM 구현예시 IT 서비스는크게비즈니스서비스와기술서비스로분류할수있다. 물론비즈니스서비스는 IT 서비스의일부이지만고객비즈니스프로세스와의연계, 통합을위한고객관점의서비스분류이며기술서비스는 IT 관점에서어플리케이션이나하드웨어처럼구성요소별서비스분류이다. 그림 26 서비스분류사례 그림 27 프로세스프레임워크사례 부록 Ⅱ - ITSM 구현예시 136

137 그림 28 프로세스맵사례 그림 29 프로세스역할및책임사례 역할명 주요역할및책임 서비스제공및운영에대한총괄책임 최고정보관리책임자 서비스관리프로세스가수립, 실행및유지됨을보장 최고경영자에게 ITSM 시스템성과및개선필요성보고 137 ISO/IEC 과효과적인 ITSM