ГОСТ Р 53633.10-2015
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии. Сеть управления электросвязью
РАСШИРЕННАЯ СХЕМА ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ СВЯЗИ (eTOM)
Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Управление организацией. Управление рисками организации
Information technologies. Telecommunications management network. Enhanced telecom operations map (eTOM). Process decompositions and descriptions. eTOM level 2 processes. Enterprise management. Enterprise risk management
ОКС 35.020
Дата введения 2015-09-01
Предисловие
1 РАЗРАБОТАН Автономной некоммерческой организацией "Научно-технический центр информатики" (АНО "НТЦИ")
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 480 "Связь"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 10 июня 2015 г. N 594-ст
4 Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта МСЭ-Т М.3050.2. (03.2007)* "Сеть управления электросвязью. Расширенная схема деятельности организации связи. Декомпозиция и описания процессов" [ITU-T M.3050.2 (03.2007) "Telecommunications management network. Enhanced Telecom Operations Map (eTOM) - Process decompositions and descriptions", NEQ]
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - .
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Октябрь 2018 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Группа стандартов "Расширенная схема деятельности организации связи (eTOM)" разработана с учетом рекомендаций М.3050.x сектора стандартизации электросвязи Международного союза электросвязи (МСЭ-Т).
Рекомендации по eTOM (Enhanced Telecom Operations Map) входят в состав серии рекомендаций М.3ххх МСЭ-Т, которая стандартизирует "Сеть управления электросвязью" TMN (Telecommunications Management Network) - модель управления оборудованием, сетями и услугами электросвязи.
Стандарты eTOM устанавливают классификационную схему производственных процессов организаций связи, терминологию, метод иерархической декомпозиции процессов, стандартные элементы процессов и методологию построения моделей производственных процессов из стандартных элементов.
Модель eTOM, определенная группой рекомендаций МСЭ-Т по eTOM, была разработана международной ассоциацией ТМ Forum (Форум управления телекоммуникациями) в рамках программы работ "Новое поколение систем управления и программного обеспечения" NGOSS (New Generation Operations Systems and Software).
Модель eTOM предназначена для применения при моделировании и реорганизации производственных процессов, при разработке систем управления и OSS/BSS - систем поддержки деятельности/бизнеса организаций связи, при системной интеграции систем автоматизации производственных процессов из компонентов разных производителей.
Общая структура бизнес-процессов eTOM, стандартизированная в ГОСТ Р 53633.0, определяет структуры уровней для уровней 0 и 1 eTOM, а также их элементы. Структуры и элементы процессов для уровней 2 и 3 иерархической структуры eTOM определяются другими стандартами группы eTOM.
Структура и элементы процессов уровня 2 образованы в результате декомпозиции групп процессов уровня 1 eTOM. Каждой группе процессов уровня 1 соответствует своя совокупность элементов процессов уровня 2, которая устанавливается отдельным стандартом.
Настоящий стандарт определяет структуру и элементы процессов уровня 2 для группы процессов уровня 1 "Управление рисками организации" в главной области процессов "Управление организацией".
Соблюдение основных положений стандарта при автоматизации деятельности организаций связи обеспечит возможность построения систем автоматизации из компонентов со стандартными интерфейсами и позволит выбирать лучшие в своем классе компоненты среди компонентов разных производителей.
1 Область применения
Настоящий стандарт устанавливает структуру и элементы процессов уровня 2 для группы процессов "Управление рисками организации" (Enterprise risk management), являющейся элементом структуры уровня 1 в главной области "Управление организацией" модели eTOM (Enhanced Telecom Operations Map). Эта группа процессов определена в базовом стандарте ГОСТ Р 53633.0.
Настоящий стандарт распространяется на процессы управления рисками, которые включают выявление рисков и угроз доходам или репутации организации, выполнение необходимых управляющих действий для минимизации или устранения влияния выявленных рисков. Успешное управление рисками позволяет организации выполнять свои критически важные функции, процессы и приложения в условиях серьезных инцидентов, связанных с угрозами/нарушениями безопасности и с попытками мошенничества.
Стандарт предназначен для применения организациями связи, системными интеграторами и производителями систем автоматизации производственных процессов.
Организации связи, выступающие в роли оператора связи и/или оператора сети, могут применять настоящий стандарт при моделировании, оптимизации и реорганизации производственных процессов и структуры организации, а также при заказе систем автоматизации производственных процессов.
Системные интеграторы могут применять настоящий стандарт при проектировании комплексных систем автоматизации производственных процессов с использованием систем и компонентов разных производителей.
Производители систем автоматизации производственных процессов могут применять настоящий стандарт при разработке компонентной структуры и интерфейсов своих систем, а также при согласовании с заказчиками требований на их поставку.
Требования настоящего стандарта не распространяются на действующие стандарты, которые были приняты до введения его в действие.
2 Нормативные ссылки
В настоящем стандарте использована нормативная ссылка на следующий стандарт:
ГОСТ Р 53633.0 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Общая структура бизнес-процессов
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 бизнес-процесс (business process): Производственный процесс организации связи.
3.2 иерархическая декомпозиция процесса (hierarchical process decomposition): Метод последовательной детализации процессов более высокого уровня на процессы более низкого уровня с целью обеспечения возможности моделирования протекания процессов высокого уровня с помощью процессов нижележащего уровня.
3.3 клиент (customer): Физическое или юридическое лицо, покупающее у организации связи или получающее бесплатно продукты и услуги.
3.4 оператор связи (service provider): Юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии; поставщик инфокоммуникационных услуг клиентам.
3.5 оператор сети (network operator): Организация связи, производственная деятельность которой направлена на предоставление трактов передачи информации и соединений через сети электросвязи.
3.6 организация (enterprise): Юридическое лицо, осуществляющее деятельность в области связи в качестве основного вида деятельности.
3.7 основная деятельность (operations; OPS): Главная область бизнес-процессов eTOM, относящихся к повседневной деятельности персонала организации.
3.8 партнер (partner): Участник совместной с организацией связи деятельности по предоставлению услуг клиентам, связанный с организацией договорными отношениями, которые определяют долю прибыли и материальную ответственность по рискам.
3.9 поставщик (supplier): Юридическое лицо, взаимодействующее с организацией связи в обеспечении товаров и услуг, которые используются организацией при предоставлении продуктов и услуг клиентам.
Примечание - Предполагается, что организация связи использует средства eTOM для моделирования своих производственных процессов.
3.10 продукт (product): Материальная и/или нематериальная сущность, предлагаемая или предоставляемая организацией связи клиенту.
Примечание - Продукт должен включать компонент предоставления услуги. Продукт может включать также обработанные материалы, программное обеспечение и/или аппаратные средства и любую их комбинацию.
3.11 процесс (process): Последовательность связанных действий или задач, необходимых для достижения определенного результата.
3.12 расширенная схема деятельности организации связи (Enhanced Telecom Operations Map; eTOM): Эталонная общая структура производственной деятельности организации связи, определяющая стандартные элементы процессов, из которых должны строиться модели всех производственных процессов.
3.13 ресурсы (resource): Физические и логические компоненты, используемые для формирования услуг.
Примечание - В качестве ресурсов используются приложения, средства вычислительной техники и элементы сетевой инфраструктуры.
3.14 сеть управления электросвязью (Telecommunications Management Network; TMN): Модель управления оборудованием, сетями и услугами электросвязи, определенная в серии рекомендаций М.3000 МСЭ-Т.
3.15 система поддержки бизнеса (Business Support System; BSS): Система, поддерживающая процессы eTOM из главной области "Стратегия, инфраструктура и продукт".
3.16 система поддержки основной деятельности (Operations Support System; OSS): Система, поддерживающая процессы eTOM из главной области "Основная деятельность".
3.17 сквозной процесс (end-to-end process flow): Совокупность всех подпроцессов, действий и порядок их следования, которые необходимы для достижения целей выполнения процесса.
Примечание - Сквозные процессы проектируются с использованием стандартных элементов процессов, определенных в eTOM.
3.18 стратегия, инфраструктура и продукт (Strategy, infrastructure and product; SIP): Главная область бизнес-процессов eTOM, осуществляющих планирование и управление жизненным циклом сетевой инфраструктуры и продуктов.
3.19 сущность (entity): Конкретизация или абстракция, различаемые в пределах системы.
Примечание - Примерами сущностей являются система, подсистема, компонент, класс, объект, интерфейс, клиент, процесс, приложение, спецификация.
3.20 управление организацией (Enterprise Management; EM): Главная область бизнес-процессов eTOM, осуществляющих управление организацией и поддержку ее бизнеса.
3.21 услуга связи (service): Деятельность по приему, обработке, хранению, передаче, доставке сообщений электросвязи или почтовых отправлений. Является составной частью продукта, предназначенной для продажи клиенту в составе продукта.
Примечание - Одна и та же услуга может входить во множество различных продуктов, предоставляемых по различной цене.
3.22 цепочка поставок (supply chain): Сущности и процессы, в том числе внешние процессы организации, которые задействованы при поставке товаров и услуг, необходимых для предоставления продуктов и услуг клиентам.
3.23 элементы процессов (process elements): Стандартные блоки или компоненты, используемые для сборки сквозных бизнес-процессов.
4 Общие положения
4.1 Расширенная схема деятельности организации связи (eTOM) является инструментальным средством для моделирования, анализа, оптимизации и реорганизации производственных процессов и структуры организаций связи.
4.2 Стандартные группы процессов уровня 1 и элементы процессов уровней 2 и 3 eTOM являются категориями, используемыми для классификации производственных процессов организации, а не моделями реальных процессов. Они определены с максимально возможной степенью общности таким образом, чтобы быть независимыми от продуктов, услуг и технологий сетей электросвязи.
4.3 Настоящий стандарт устанавливает структуру и элементы процессов уровня 2 для группы процессов уровня 1 "Управление рисками организации" из главной области "Управление организацией".
Элементы процессов уровня 2, определенные настоящим стандартом, могут использоваться в качестве строительных блоков при построении потоковых диаграмм реальных производственных процессов, связанных с выявлением рисков, инцидентов нарушения безопасности, фактов мошенничества и угроз потери доходов, а также при построении процессов, которые обеспечивают минимизацию или устранение влияния выявленных рисков.
5 Идентификация процессов
5.1 Для индикации позиционирования элементов процессов уровня 2 на графическом представлении структуры уровня 1 eTOM применяют пиктограммы матричной структуры eTOM. Матричная структура образуется путем наложения вертикальных групп процессов на горизонтальные группы процессов eTOM.
Место элемента процессов или группы процессов в структуре уровня 1 eTOM показывают путем выделения темным фоном соответствующих элементов матрицы на пиктограмме.
На рисунке 1 приведено стандартное графическое представление структуры уровня 1 eTOM в соответствии с ГОСТ Р 53633.0. Пиктограмма группы "Управление рисками организации" представлена на рисунке 2. На обоих рисунках рассматриваемая группа процессов выделена темным фоном.
|
Рисунок 1 - Структура уровня 1 общей структуры бизнес-процессов eTOM
|
Рисунок 2 - Пиктограмма группы процессов уровня 1 "Управление рисками организации"
5.2 В eTOM принята схема нумерации главных областей, групп и элементов процессов с помощью идентификаторов процессов ID (identifier). Идентификатор процессов имеет следующий формат:
aaaaaa.b.x.c.d.e,
где аааааа - номер, назначаемый организацией связи. Этот номер является префиксом к ID стандартного элемента процесса. Префикс применяется в тех случаях, когда организация считает необходимым расширить или изменить определение стандартного элемента процесса;
b - цифра, указывающая разработчика процесса. Значение 1 относится к ТМ Forum, значение 2 - ко всем другим разработчикам;
х - цифра, представляющая номер главной области процессов. Принята следующая нумерация: 1 - "Основная деятельность" OPS, 2 - "Стратегия, инфраструктура и продукт" SIP, 3 - "Управление организацией" ЕМ;
с - цифра, представляющая номер группы процессов уровня 1 в пределах главной области. В главных областях OPS и SIP принята нумерация горизонтальных групп процессов сверху вниз в пределах области в соответствии с рисунком 1;
d - цифра, представляющая номер элемента процессов уровня 2 в структуре группы процессов уровня 1;
е - цифра, представляющая номер элемента процессов уровня 3 в структуре элемента процессов уровня 2.
5.3 Идентификаторы процессов связаны с функциональными описаниями групп и элементов процессов eTOM и используются в качестве ссылок на определения стандартных процессов.
6 Структура и назначение процессов группы "Управление рисками организации"
6.1 Структура группы процессов "Управление рисками организации" и соответствующие элементы процессов уровня 2 приведены на рисунке 3.
Идентификатор группы: 1.3.2.
|
Рисунок 3 - Декомпозиция группы процессов "Управление рисками организации" на элементы процессов уровня 2
6.2 Процессы группы 1.3.2 предназначены для выявления рисков и угроз потери доходов или репутации организации, кроме того, они должны обеспечивать минимизацию или устранение влияния выявленных рисков. Обнаружение рисков должно осуществляться как для физических, так и для логических/виртуальных рисков.
6.3 Процессы управления рисками должны обеспечивать выполнение целевых задач, процессов, приложений и взаимодействий в условиях серьезных инцидентов, связанных с угрозами/нарушениями безопасности и с попытками мошенничества.
6.4 Процессы страхования рисков должны применяться к внешним рискам, которые не могут быть минимизированы или устранены с помощью процессов, выполняющихся внутри организации.
6.5 Процессы аудита должны обеспечивать независимую оценку эффективности применения защитных и восстановительных действий.
6.6 Данные соответствия идентификаторов элементов процессов уровня 2 наименованиям этих процессов в составе группы процессов "Управление рисками организации" представлены в таблице А.1 приложения А.
7 Элементы процессов уровня 2 для группы "Управление рисками организации"
7.1 Функциональные описания элементов процессов уровня 2 устанавливают классификационные признаки, по которым реальные процессы могут быть отнесены к категории процессов, соответствующей конкретному элементу процессов.
7.2 Функциональное описание для элемента процессов уровня 2 содержит: идентификатор, наименование и функциональную характеристику. Всем элементам процессов уровня 2 соответствует одна общая пиктограмма, показанная на рисунке 2. Реальный процесс считается относящимся к стандартному элементу процессов eTOM, если он выполняет одну из функций, указанных в функциональной характеристике элемента процессов.
7.3 Функциональные описания элементов процессов уровня 2 для группы "Управление рисками организации" должны соответствовать данным таблицы 1.
Таблица 1 - Функциональные описания элементов процессов уровня 2 для группы "Управление рисками организации"
Идентификатор | Наименование элемента процессов | Функциональная характеристика |
1.3.2.1 | Обеспечение непрерывности бизнеса (Business continuity management) | Процессы разработки стратегий, политик, планов, ответственности подразделений и процедур реагирования, предназначенных для обеспечения бесперебойного функционирования бизнеса в случаях серьезных и/или длительных аварий. |
1.3.2.2 | Управление безопасностью (Security manage ment) | Процессы оценки угроз организации и обеспечения средств и управляющих воздействий для минимизации выявленных угроз. Процессы принимают меры по отношению к внутренним и внешним источникам нарушения безопасности. |
Процессы оперативного управления безопасностью, осуществляющие сбор детальных данных о деятельности организации, а также анализ данных мониторинга деятельности на наличие потенциальных угроз или нарушений безопасности. По выявленным угрозам/нарушениям безопасности проводят следственные действия для обнаружения злоумышленников. | ||
1.3.2.3 | Борьба с мошенничеством (Fraud management) | Процессы формирования корпоративной политики борьбы с мошенничеством, подготовки руководств, применения лучших практик и процедур управления для минимизации вреда от мошенничества. |
1.3.2.4 | Управление аудитом (Audit management) | Процессы предоставления высшему руководству организации гарантий в том, что операционные процессы и средства управления работают эффективно и соответствуют стандартам, принятым в организации (к принятым стандартам относятся как государственные и отраслевые стандарты, так и стандарты организации). |
1.3.2.5 | Управление страхованием (Insurance management) | Процессы оценки и управления рисками организации, которые подлежат страхованию. |
1.3.2.6 | Гарантирование доходов (Revenue assurance management) | Процессы внедрения базовой архитектуры политики гарантирования доходов и сопутствующих операционных средств, способных разрешить любые выявленные случаи снижения и потери доходов. |
Процессы выявления областей рисков утечек доходов внутри организации. Области риска утечек доходов разделяют по категориям и приоритетам. |
Приложение А
(обязательное)
Наименования и идентификаторы элементов процессов уровня 2 для группы процессов "Управление рисками организации"
А.1 Наименования и идентификаторы элементов процессов уровня 2 для группы процессов "Управление рисками организации" (Enterprise risk management) должны соответствовать данным таблицы А.1.
Таблица А.1 - Группа процессов "Управление рисками организации"
Идентификатор | Наименование элемента процессов | Английский эквивалент наименования |
1.3.2.1 | Обеспечение непрерывности бизнеса | Business continuity management |
1.3.2.2 | Управление безопасностью | Security management |
1.3.2.3 | Борьба с мошенничеством | Fraud management |
1.3.2.4 | Управление аудитом | Audit management |
1.3.2.5 | Управление страхованием | Insurance management |
1.3.2.6 | Гарантирование доходов | Revenue assurance management |
УДК 621.391:006.354 | ОКС 35.020 |
Ключевые слова: eTOM, общая структура бизнес-процессов, группы процессов, элементы процессов, декомпозиция процессов | |
Электронный текст документа
и сверен по:
, 2018
