SGSIT vs. SGQ: Integrazione del SGSI

09 luglio 2024

Il Field Operations Manager Dylan Harvie spiega perché integrare un Sistema di Gestione dei Servizi IT (SGSIT) con un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) è più vantaggioso rispetto a farlo con un Sistema di Gestione della Qualità (SGQ). Sottolinea come questo allineamento affronti i rischi specifici dell'IT e migliori la qualità del servizio e l'efficienza operativa.

Perché un SGSIT dovrebbe essere integrato con un SGSI piuttosto che con un SGQ e quali sono i benefici?

Quando si tratta di gestire i servizi IT, integrare un Sistema di Gestione dei Servizi IT (SGSIT) con un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) offre vantaggi distinti rispetto all'integrazione con un Sistema di Gestione della Qualità (SGQ). Questo allineamento è particolarmente cruciale date le esigenze e i rischi unici associati alla gestione dei servizi IT.

Allineamento agli standard ISO

Come per la maggior parte degli standard che verifichiamo presso NQA, ISO 20000 condivide una struttura di gestione di alto livello con diversi standard ISO, tra cui ISO 9001, 14001, 45001, 22301, 27001, 50001 e 55001 – come mostrato nello strumento di confronto Annex SL di NQA.

La struttura della ISO 20000, in particolare il suo Requisito 8, si sovrappone significativamente con la ISO 27001 e i suoi controlli dell'Annex A.

Ecco le principali aree di sovrapposizione:

Politica di sicurezza delle informazioni: Deve considerare gli obblighi all'interno di altre politiche implementate, standard appropriati e legislazione, requisiti contrattuali e la rilevanza della sicurezza delle informazioni nei servizi forniti o gestiti.
Gestione del rischio: Devono essere determinati controlli appropriati per mitigare i rischi di sicurezza delle informazioni.
Gestione degli incidenti: Include le richieste di servizio e la gestione dei problemi, estendendosi agli incidenti di sicurezza delle informazioni.
Gestione degli asset: Gli asset utilizzati per fornire il servizio gestito, in particolare quando si tratta di un elemento configurato (sebbene non menzioni esplicitamente gli asset informativi, le migliori pratiche suggeriscono la loro inclusione).
Gestione delle relazioni commerciali e dei livelli di servizio: Coinvolge fornitori interni ed esterni, e clienti che agiscono come fornitori.
Gestione della capacità: Garantire che i livelli di servizio siano mantenuti in base alle esigenze attuali e previste.
Gestione delle modifiche: Pianificazione e gestione delle modifiche nella fornitura del servizio.
Riferimenti al SDLC (o A.8 dell'Annex A della ISO 27001): Inclusi pianificazione di nuovi o cambiati servizi, design, costruzione, transizione, rilascio e gestione del deployment.
Continuità del servizio: Gestire la disponibilità e la continuità del servizio in caso di interruzioni significative.

Mentre la ISO 20000 e la ISO 27001 condividono molti elementi obbligatori (contenuti nei Requisiti 4-10), la ISO 20000 include anche requisiti unici, come:

Gestione delle conoscenze (7.6): Conservazione delle conoscenze organizzative e mantenimento delle competenze per supportare le operazioni e la fornitura dei servizi.
Riesame della direzione (9.3): Include requisiti aggiuntivi focalizzati sulla fornitura del servizio, sulle performance e sulla previsione delle risorse.
Reportistica del servizio (9.4): Determina i requisiti per la reportistica sulle performance e l'efficacia del sistema di gestione e della fornitura del servizio. Il report deve includere decisioni basate sui risultati derivanti dall'identificazione delle tendenze e qualsiasi azione di output deve essere comunicata alle parti rilevanti. Specifica inoltre che le metriche raccolte in questo report sono costituite da tutti i meccanismi di reportistica menzionati nel resto dello standard.
Portafoglio dei servizi: Copre la fornitura e la pianificazione dei servizi, oltre al controllo delle parti coinvolte nel ciclo di vita del servizio.
Gestione della domanda e dell'offerta: Include il budgeting e la contabilizzazione per i servizi gestiti, la gestione della domanda e della capacità.
Garanzia del servizio: Gestisce le richieste dei clienti, i requisiti di disponibilità e garantisce la continuità del servizio, simile alla continuità aziendale.
Gestione della disponibilità: Inclusa nella garanzia del servizio, considera i rischi relativi alla disponibilità del servizio, alla continuità e alla sicurezza delle informazioni, in base ai requisiti/obiettivi concordati.
Catalogazione dei servizi: Richiede un catalogo aggiornato dei servizi, inclusi quelli in sviluppo e quelli pianificati per la rimozione o la modifica. Può anche includere una compilazione di servizi raggruppati in un servizio a più livelli.
Gestione delle configurazioni: Ogni servizio dovrebbe classificare le informazioni configurate (CI) in base alla criticità, al tipo, allo stato e alla relazione con altri servizi. Le CI dovrebbero essere unicamente identificabili e individualmente auditabili per garantire l'integrità (la tracciabilità in questo caso è pertinente).

Vantaggi della certificazione ISO 20000: chi ne beneficia?

La certificazione secondo questo standard sarebbe estremamente vantaggiosa per aziende di tutte le dimensioni che forniscono servizi IT gestiti, servizi di help desk IT, call center e operazioni simili. Molte di queste organizzazioni implementano vari framework di gestione dei servizi IT come ITIL, COBIT o Microsoft Operations. Questi framework allineano i servizi IT di un'azienda con le sue esigenze aziendali e forniscono un insieme di best practice e metodologie per raggiungere questo allineamento.

Adottando un approccio olistico al ciclo di vita dei servizi IT, questi framework aiutano le organizzazioni a fornire servizi IT flessibili e integrati. Utilizzano i metodi più efficienti per migliorare l'efficienza operativa, ottenere una fornitura di servizi coerente e di alta qualità, migliorare i servizi IT e ridurre i costi complessivi.

Attualmente, ci sono opzioni limitate per le aziende per ottenere la certificazione per il loro framework scelto. La ISO 20000 offre un mezzo per le organizzazioni di verificare e certificare il loro framework di gestione dei servizi IT, aumentando così la loro desiderabilità come fornitori di servizi e potenziando il loro valore di mercato e il potenziale per assicurarsi più lavori e contratti.

ISO 20000 comprende il Requisito 8 più completo tra tutti gli standard ed è notevolmente più specifico nei suoi requisiti, specialmente se confrontato con la ISO 9001.

ISO 9001 appare spesso vaga nelle sue linee guida operative, poiché deve essere adattabile ai contesti diversificati delle organizzazioni in vari settori. Le operazioni dettagliate nella ISO 20000 forniscono essenzialmente un audit di qualità specificamente mirato ai fornitori di servizi IT. Pertanto, potrebbe essere più vantaggioso per le aziende IT cercare la certificazione ISO 20000 piuttosto che la ISO 9001, poiché quest'ultima omette alcuni elementi e processi critici necessari per auditare le organizzazioni IT.

Considerazioni finali: Dare priorità alla ISO 20000

Per massimizzare i vantaggi della ISO 20000, la percezione del settore su questo standard deve evolversi. Le aziende dovrebbero iniziare a stipulare la certificazione ISO 20000 come requisito piuttosto che la ISO 9001 quando esternalizzano le attività IT, garantendo la massima qualità del servizio lungo tutta la catena di fornitura.

In sintesi, ottenere la certificazione ISO 20000 piuttosto che la ISO 9001 sarebbe vantaggioso per le organizzazioni coinvolte nelle attività di servizi IT, così come per l'intero settore. Questo approccio garantisce che le organizzazioni IT ricevano un approccio alla gestione della qualità mirato specificamente all'IT, anziché uno generico.

Pronto a fare il primo passo? Contatta il nostro team.

Vuoi saperne di più sul nostro semplice processo di trasferimento? Dai un'occhiata al nostro webinar.