주혁 | 베니트 IT 컨설텅팀 책임컨설턴트
대다수의 기업들이 기업 성장과 비즈니스를 수행하기 위해 다양하면서도 복잡한 IT 기술에 의존하고 있다. 이런 IT 기술은 급변하는 비즈니스 환경을 효과적으로 반영해야만 하는데, 오늘날 비즈니스 환경을 대표하는 키워드로는 민첩성과 통합, 글로벌화를 꼽을 수 있다.
비즈니스 환경 가운데 가장 대표적인 것이 바로 고객의 변화다. 오늘날의 고객은 예전에 비해 더욱 향상된 지식으로 무장하고 있으며, 만족스러운 서비스를 제공받길 원하고 있다. 그리고 원하는 서비스를 지체없이 즉시 제공받고자 하는데, 이런 고객들로 인해 비즈니스 환경은 더욱 빠르게 변화하고 있다.
고객의 변화와 함께 기업 규모도 점차 대형화되고 있다. 이에 따라 비즈니스 운영 규모와 복잡성도 대형화라는 모습으로 통합돼 증가하면서 IT 서비스에 대한 의존도와 규모도 함께 증가하고 있는 것이다.
마지막 화두인 글로벌화는 이미 오래 전부터 이야기돼 온 것으로, 특히 비즈니스 측면에서 무엇보다 중요한 이슈라고 할 수 있다. 글로벌한 비즈니스 환경 변화의 중심에 IT가 자리잡고 있기에 IT 환경 또한 급격히 변하고 있다. 때문에 IT는 더 이상 IT만의 기술 요소가 아닌 기업이 반드시 보유하고 있어야 할 필수요소로 자리매김하고 있으며, 그 중요성도 더욱 확대되고 있다.
게다가 IT가 보조수단으로서가 아닌 그 자체가 비즈니스인 경우도 급증하고 있어, IT 인프라를 잘 관리하고 안전하게 보호하는 것은 기업 비즈니스의 성패를 좌우하는 결정적인 요인으로 작용하고 있다. 결국 IT 서비스를 고객이나 조직이 원하는 수준으로 제공하고 유지하는 것이야말로 성공하는 기업의 필요충분조건이 되는 셈이다. 때문에 향후 IT는 그 자체로서의 목적이 아니라 지속적인 비즈니스의 과정으로, 더 나아가 전사적인 가치와 신뢰를 지속하는 것에 중점을 둬야만 한다.
그렇다면 이런 서비스의 고품질이 보장되는 IT 서비스를 제공하고 지원하기 위해서는 무엇이 필요할까? 유능한 IT 인력과 고가의 장비와 소프트웨어만 있다면 좋은 품질, 바른 품질의 서비스를 보장받을 수 있을까? 구슬이 서말이라도 꿰어야 보배라는 말처럼 고품질의 IT 서비스를 지속적으로 유지하기 위해서는 훌륭한 IT 인력과 자원들을 잘 다듬어진 프로세스에 맞게 조화시키는 것이 중요하다.
ITSM의 새로운 인증 모델 ISO/IEC 20000
과거는 물론 현재에 이르기까지 'IT는 기술적인 것이며, 복합하고 눈에도 잘 보이지 않는, 그래서 더욱 관리하기 어려운 것'이라는 부정적인 시각이 지배적이다. 때문에 기업들은 네트워크나 애플리케이션, 데이터베이스 등 IT 인프라를 각각의 성능과 안정성을 위주로 하는, 주로 눈에 보이는 IT 관점만을 가지고 관리하고 있다. 즉, IT 인프라 혹은 IT 자체가 실제 비즈니스에 어떤 영향을 끼치는가 라는 점을 체계적으로 분석하는 것 자체가 불가능한 것이라고 인식해 온 것이다.
그러나 비즈니스 측면에서 IT 인프라를 관리한다면 IT 시스템이 어떤 비즈니스를 수행하고 창출하는지를 정확하게 분석할 수 있다. 또한 장애가 발생했을 경우 비즈니스에 어떤 영향을 미치는지 정확하게 파악해 대처함으로써 기업들은 IT 인프라 관리비용을 절감하고 비즈니스에 최적화된 IT 인프라를 유지할 수 있게 되는 것이다.
이런 프로세스를 새롭게 만드는 것은 많은 수고와 위험을 동반하게 되는데, ITSM은 여기에 대한 적합한 해결책이 될 수 있다. ITSM은 IT 서비스를 지원하고 구축, 관리하기 위한 일련의 IT 서비스 관리 프로세스들로 구성돼 있으며, IT 서비스 제공 기업이 고객에게 고품질의 IT 서비스를 제공함으로써 고객의 비즈니스 목표를 달성할 수 있도록 기반을 제공하는 것이라고 정의할 수 있다.
각 기업들은 ITSM의 주요 프로세스 모델을 채택해 IT 서비스 관리 분야에서 ISO/IEC 20000과 같은 품질 시스템에 대한 인증을 받을 수 있으며, 결과적으로 IT 서비스에 대한 품질 인증은 물론 IT 프로세스 중심의 실질적이면서도 실천적인 모델을 보유할 수 있다.
ISO/IEC 20000은 국제표준화기구(ISO)에서 지난해 12월에 발표한 IT 서비스 관리의 국제 표준으로, 전 세계 IT 서비스 관리의 모범 사례를 실현하는데 활용할 수 있도록 정의된 인증 규격이다. 그 동안 IT 서비스 관리의 실질적인 국제 인증으로 활용돼 온 영국의 국가 표준인 BS 15000 인증이 새롭게 전환돼 발표된 ISO/IEC 20000 인증은 총 2개의 파트로 구성돼있다.
파트 1 : 서비스 관리 사양(Specification for service management)
- 서비스 관리를 위한 필수 규격으로 IT 서비스 관리를 효과적으로 적용하고 이를 문서화하기 위한 요구사항을 담고 있다. IT 서비스 수행을 위한 목적과 통제를 담고 있는 프로세스들에 대한 설명으로 구성돼 있다.
파트 2 : 서비스 관리의 실행 규격(Code of practice for service management)
- 서비스 관리를 위한 가이드 역할을 수행하는 것으로, 파트 1에서 정의된 IT 서비스 관리 프로세스에 대한 실행 규격(Code of practice)을 언급하고 있다. 파트 2는 IT 서비스 조직이 파트 1의 필수 규격 요건을 이해하고 고객에게 제공하는 서비스의 품질을 어떻게 높일 수 있는지 실행적인 측면에서 지원한다.
새로운 인증에 필요한 요건 사항
ISO/IEC 20000은 IT 서비스 관리 프로세스와 서비스 관리를 위한 관리시스템(Management System)의 결합으로 정의된 규격이다. 그림에서 볼 수 있듯이 ISO/IEC 20000은 경영진의 의사 결정과 프로세스를 수행하고자 하는 의지의 표명이 매우 중요하다. 이런 의지표명이 바로 서비스 경영계획에 반영돼야 하며, 이를 지원하기 위해 필요한 자원도 충분히 공급돼야 한다. 아울러 'PLAN-DO-CHECK-ACT'로 알려진 품질 개선 사이클에 따라서 신규 혹은 기존 서비스의 개선 계획을 수립하고(PLAN), 서비스를 수행하기 위한 필요한 자원 할당을 통해 계획된 서비스를 구현하며(DO), 계획된 서비스의 구현 후 서비스의 목표 달성 여부를 확인하고(CHECK), 발견된 개선 사항을 실제 서비스에 적용될 수 있도록(ACT) 해야 한다.
이제 본격적으로 ISO/IEC 20000 인증에 필요한 요건 사항을 중심으로 살펴보자.
ISO/IEC 20000의 파트 1은 인증을 받기 위한 필수적인 요건들을 묘사하고 있는데, 1장에서는 ISO/IEC 20000의 범위에 관해 고객에게 수용 가능한 품질 수준을 제공하는 서비스 제공자에 대한 요구사항을 언급하고 있다. 2장에서는 ISO/IEC 20000 목적상 사용될 용어와 그 정의가 명시돼 있다. 1장과 2장에서는 인증과는 직접적인 인과관계가 성립되지 않지만, 그 내용은 사전에 충분히 숙지하고 있어야만 한다.
실제적으로 인증에 필요한 요건은 3장부터 10장에 걸쳐 기술돼 있는데, 각 프로세스별 목적과 필요한 요건 사항들을 정의하고 있다. 앞서 ISO/IEC 20000이란 IT 서비스 관리 프로세스와 서비스 관리를 위한 경영 시스템의 결합이라고 언급한 바 있는데, 3장과 5장에 걸쳐 관리 시스템에 해당하는 필요 요건들을 제시하고 있다.
그 시작인 3장 관리시스템 요구사항(Requirements for a Management System)에서는 조직의 서비스 능력을 개발, 구현하고 개선하기 위한 최고 경영진의 의지에 관한 실행증거를 리더쉽과 행동을 통해 제공해야 함을 강조하고 있다.
4장 서비스 관리 계획과 이행(Planning and Implementing Service Management) 부분에서는 프로젝트 개발 방법론의 하나인 PLAN-DO-CHECK-ACT 원칙에 의해 PLAN 단계에서는 서비스 관리와 인도 계획을 수립해 서비스 관리 프로세스들의 인도, 변경, 개선 계획에 대한 내용을 작성하도록 하는 내용을 다룬다. DO 단계에서는 서비스를 관리하고 인도하기 위한 계획을 실행을 하는 내용을 정의하고 있는데, 특히 서비스관리 계획(Service Management Plan)을 이행함으로써 서비스 관리 계획에서 설정한 서비스의 구체적인 목표를 달성 관리하는데 필요한 내용을 설명한다. CHECK 단계에서는 성취돼야 할 서비스 관리 목표와 계획을 모니터링하고 측정, 검토하는 내용을, 마지막으로 ACT 단계에서는 서비스 인도와 관리의 효과성이나 효율성을 개선하는 활동을 중점적으로 정의하고 있다. 5장 신규 또는 변경 서비스의 계획과 이행(Planning and Implementing New or Changed Services) 부분에서는 신규 서비스와 서비스의 변경이 합리적인 비용과 서비스의 품질로 관리가 가능함을 보장하는 내용을 담고 있다.
ISO/IEC 20000의 핵심 프로세스
6장부터 10장까지는 ITSM의 기본 프로세스이면서 ISO/IEC 20000의 핵심 프로세스로 일컬어지는 부분이다.
6장의 1절인 서비스 수준 관리(Service Level Management)에서는 SLA(Service Level Agreement)를 통해 서비스의 수준을 정의하고 합의하며 기록 관리하기 위한 프로세스를 정의한다. 이때 SLM 프로세스의 주요 성공 요소는 서비스의 수준을 고객이나 여러 이해당사자들과의 합의를 통해서 그 품질의 질과 양을 어떻게 정의하느냐에 따라 달라진다. 이렇게 서비스의 수준을 사전에 일정한 절차를 통해서 합의하고 정의하면 고객과 서비스 제공자 간의 명확한 역할과 책임을 지정해, 결과적으로 고객과의 관계 증진이라는 결과를 가져올 수 있다.
6장 2절 서비스 보고(Service Reporting)는 정보에 근거해 의사 결정 사항의 생산이나 효과적인 의사소통을 위해 사전에 합의되고 신뢰성이 있는 정확한 보고서를 제공하는 것을 목적으로 한다.
6장 3절 서비스 연속성과 가용성 관리(Service Continuity and Availability Management)는 어떤 상황에서도 고객과 합의된 사항을 이행하기 위한 프로세스다. 프로세스의 주요 성공 요소는 조직 내에서 위험평가 정보를 토대로 비즈니스의 요구에 가장 적합한 복구 수준이나 가용성의 기준을 정의하는 데 있다. 따라서 주요 손실에 대비해 합의된 바에 따라 요구 사항을 충족하고 있음을 보장하기 위해 정기적인 검토가 요구된다.
6장의 4절 IT 서비스 예산과 회계(Budgeting and Accounting for IT Services)는 서비스 제공에 대한 예산을 수립하고 비용을 분석하기 위한 프로세스다. 모든 IT 자산이나 자원, 운영비용, 인력에 대한 예산 수립 이나 회계 관리의 정책과 절차를 프로세스의 근간으로 삼는다. 이 프로세스가 성공하기 위해서는 IT 비용의 효율성과 효과성을 기반으로 하는 합리적인 비용 관리 체계를 마련해야 한다.
6장 5절 용량 관리(Capacity Management)는 서비스 제공자가 현재나 잠재적인 미래의 고객 비즈니스 요구를 충족시킬 수 있는 충분한 용량을 보유하는 것에 초점을 맞추고 있다. 이런 용량관리를 위해서는 예측 분석이 가능한 데이터와 프로세스를 준비하는 것이 무엇보다 중요하다.
모든 서비스 활동에 있어 정보 보안을 효과적으로 관리하는 것을 목적으로 하는 6장의 6절 정보 보안 관리(Information Security Management)는 보안 정책의 수립과 배포를 통해 주요 보안 통제를 문서화하고 보안 관리 시스템을 구현하는 활동을 포함한다. 또한 선행 보안 활동을 통해 잠재된 보안 취약점을 식별해 개선하는 작업도 함께 행한다.
관계 프로세스에 대한 내용을 정의하는 7장에서는 비즈니스 관계 관리와 공급자 관리의 두 가지 측면을 기술하고 있다. 먼저 비즈니스 관계 관리(Business Relationship Management)는 무엇보다 고객과 고객의 비즈니스 동인(Drivers)에 대한 이해를 바탕으로 서비스 제공자와 고객 간의 바람직한 관계를 유지하는 부분에 초점을 맞추고 있다. 고객과의 바람직한 관계를 유지하기 위한 방법으로는 다른 무엇보다 고객 만족을 위한 효과적인 활동들을 어떻게 하느냐에 그 성패가 달려 있다. 서비스 제공 후 고객과 서비스 리뷰를 통해 도출된 요구사항의 신속한 반영 또한 고객 만족을 위한 효과적인 활동 중 하나가 될 수 있을 것이다.
공급자 관리(Supplier Management) 프로세스는 서비스 제공자가 고객에게 한결같은 품질의 서비스를 제공하기 위해 공급업체를 관리하는 것을 주 목적으로 한다.
8장에서는 해결 프로세스(Resolution Processes)를 다룬다. 1절 인시던트 관리(Incident Management)는 장애 발생 시 신속한 대응을 통해 서비스 중단을 최소화하고 가능한 빨리 정상적인 서비스로 복구하도록 하는 프로세스다. 이 단계에서는 인시던트의 기록, 우선순위 선정, 비즈니스 영향과 분류, 업데이트, 에스컬레이션, 해결 및 공식적인 종료 등의 수립 절차를 마련하는 활동을 수행한다. 또한 고객과의 신뢰감과 유대감을 향상시키기 위해 인시던트의 진행 사항을 보고하기도 한다.
2절 문제 관리(Problem Management)에서는 비스니스 중단을 최소화하기 위해 장애의 원인을 선행 식별하고 분석해 장애의 근본원인을 제거하는 작업을 수행한다.
9장은 구성 관리(Configuration Management)와 변경 관리(Change Management)를 주요 골자로 한다. 구성 관리는 서비스의 구성 항목을 정의하고 통제해 정확한 구성 정보를 유지하는 것으로, 무엇을 구성 항목과 하부 요소로 정할 것인가에 대한 정책 마련이 중요 요소로 작용한다. 그리고 변경 관리에서는 모든 변경을 평가하고 승인하며, 이행, 검토한다. 주요 활동으로는 모든 변경이 일어나기 전에 위험 요소나 비즈니스 영향을 평가하는 활동과 변경의 범위를 사전에 명확히 식별하는 활동을 꼽을 수 있다.
마지막 10장 릴리스 관리(Release management)는 하나 혹은 그 이상의 변경을 운영환경으로 배포하는 것을 인도, 배부, 추적, 관리하는 것을 주 목적으로 한다. 프로세스의 효율성을 높이기 위해 배포 주기나 크기 등 릴리지의 주요 정책을 고객과 합의해 적용하면 더욱 효과적인 프로세스 운영이 될 것이다.
ISO/IEC 20000 인증의 기대효과
지금까지 ISO/IEC 20000 규격의 프로세스를 주요 목적 위주로 살펴봤다. 지면 관계상 ISO/IEC 20000에 필요한 모든 요건을 설명하지 못했지만 프로세스별로 정의하고 있는 주요 목적을 충분히 이해한다면 ISO/IEC 20000 인증을 받기 위한 출발 선상에 설 수 있는 자격은 충분하다고 본다.
이제 ISO/IEC 20000 인증의 기대효과를 다음의 네 가지 측면에서 살펴보자.
·비즈니스 측면의 기대효과
- 고객이 IT로부터 기대할 수 있는 것과 이런 기대치를 충족하기 위해 IT로부터 어떤 것을 요구하는지에 대한 내용이 보다 명확해 질 수 있다.
- IT 서비스 제공자가 고객의 기대치를 보다 적극적으로 파악해 서비스를 제공함으로써 고객 만족도의 향상을 가져올 수 있다.
- IT 서비스에 대한 신뢰도와 가용성이 향상돼, 비즈니스와 고객의 상호 생산성이 증가된다.
·구성원들에 대한 기대효과
- 서비스 제공을 위해 그들이 무엇을 해야 하는 지에 대한 분명한 지침을 제시하는 프로세스가 제공되며, 이에 따른 적절한 교육 훈련 체계가 마련될 수 있다.
- IT 서비스 요원들의 생산성의 향상을 가져올 수 있다.
- 서비스 제공에 대한 IT 작업자들의 동기 부여가 확실해지며, 보다 효율적인 관리를 통해 작업수행에 대한 만족도가 향상될 수 있다.
·비즈니스 혁신 측면에서의 기대효과
- IT 서비스 제공 요건에 대한 보다 명확한 이해에 따라 IT 서비스가 비즈니스 프로세스를 지원하기 위해 제공된다는 점을 보장한다.
- IT 지원사항에 대한 이해도 향상에 따른 비즈니스 유연성의 증대를 가져올 수 있다.
- 변화 추세에 대한 인지 능력의 향상에 따라 새로운 요건과 시장 변화에 대한 민첩한 대응이 가능하다.
·IT 서비스 제공 조직 내부의 기대효과
- 향상된 프로세스 관리 지표나 관리 보고서로서 프로세스별로 객관적인 성과 관리가 가능하다.
- 보다 원활한 내부 조직 간의 커뮤니케이션 지원과 팀 간의 팀워크 향상이 가능하다.
- 반복적이고 일관적인 프로세스 개선의 효과를 조직에 적용할 수 있다.
ISO/IEC 20000 인증을 위한 가이드
·인증을 위한 프로젝트 계획 수립
프로젝트에 대한 전략과 계획, 이슈에 대한 관리방안과 대책을 포함한 구체적인 프로젝트 계획을 수립해야 한다. 그리고 가장 중요한 요소 중 하나인 경영진의 스폰서십과 참여 인원의 전략이나 목표에 대한 공유가 이뤄져야 한다. 이를 통해 계획된 일정에 만족스러운 결과를 얻을 수 있기 때문이다.
·인증을 위한 범위의 설정
IT 서비스 제공자와 고객의 필요에 목표를 둔 정확한 프로젝트 범위를 확정해야 한다. 범위가 설정되지 않으면 조직 전체가 나아갈 방향성을 상실하게 되는 것은 물론, 프로젝트 참여자와 관련 이해 관계자들에게 프로젝트가 주는 청사진을 제공할 수 없게 된다. 프로젝트 범위를 정확하게 서정하기 위해서는 다음과 같은 사항을 고려해야 한다.
- ISO/IEC20000 인증을 위한 서비스의 정확한 범위 결정
- 누구를 포함할 것인가에 대한 결정
- 어떤 프로세스들을 개선하고 도입해야 하는가에 대한 결정
- 고려해야 하는 인터페이스에 대한 사항(예: ISO 27001, CMMI 등) 결정
·IT 부서와 서비스 제공 인력들의 참여
IT 부서나 서비스 제공자에게 그들이 어떤 작업을 수행함으로써 고객에게 공헌하고 있는 지와 그들에게 주어질 프로세스 관점의 역할과 책임에 대한 이해도를 높이는 기회를 제공한다. 프로세스 개선은 서비스 제공 인력들의 적극적인 참여와 의견 교환이 없다면 큰 난관에 봉착할 수 있다.
·지속적인 의사소통의 마련
앞에서 언급한 원칙에 따라 고객이든 IT 부서의 직원이든 ISO/IEC 20000을 위한 프로젝트에 참여했을 것이다. 이제는 무슨 일이 벌어지고 있는지, 어떤 일들이 달성됐는지를 참여자 모두가 정확히 알고 있는가에 대한 확인이 필요하다. 바로 의사소통의 통로가 다른 어떤 것보다 우선 필요하게 되는 것이다. 이런 의사소통 방법은 동원할 수 있는 도구를 활용해 원활하게 진행돼야 한다. 의사소통의 성공은 인증을 위한 프로젝트의 절반을 차지한다고 해도 과언이 아니다. 같은 언어를 가지고 같은 눈높이에서 시작하는 프로젝트는 절반의 성공을 거둔 것과 마찬가지다.
·고객의 참여
IT와 비즈니스는 불가분의 관계임을 직시해야 한다. 따라서 IT 혼자만의 서비스가 아닌 고객과의 커뮤니케이션을 통한 서비스 제공이 이뤄져야 한다. 고객이 참여하지 않은 채 진행되는 인증의 전후과정을 살펴보면 그 필요성을 분명하게 인식할 수 있을 것이다.
·문서와 기록의 중요성
ISO/IEC 20000의 각 프로세스들은 일부 문서화하거나 기록하는 작업을 필요로 한다. 이런 문서와 기록들은 IT 서비스 사용자가 고품질의 서비스를 제공받는 것에 있어 보다 효과적인 개선책을 마련하기 위한 수단이다. 또한 구체적인 목표를 정하고 그 목표를 달성하기 위한 지속적인 동인으로써 중요한 기반 정보가 되기도 한다. '측정하지 않으면 개선은 없다' 말처럼 정량적 측정을 가능하게 하는 문서와 기록의 작성은 지속적인 서비스 개선을 도모하는 데 큰 역할을 담당한다.
·효과적이고 효율적인 서비스 측정 방법 고려
ISO/IEC 20000에서 이야기하는 감시나 측정, 검토 조항들을 만족시키기 위해서는 특정 사항들이 요구되는데, 이를 만족시키고 관리하기 위한 프로세스 관리자(Owner, 검토자)가 필요하다. 지속적으로 확인하고 체크하는 일련의 과정들은 ISO/IEC 20000이 요구하는 것들에 대해 좀 더 효율적이고 효과적으로 파악하는 데 도움을 줄 것이다.
기업에 있어 IT가 담당하는 역할이 점점 중요해지고 있다. 이에 단순히 프로세스를 설계하고 조직에 적용하며 그에 따른 절차와 책임을 무작정 IT에 전가시키기보다는 프로세스의 라이프 사이클 전체를 통틀어 최적화하려는 적극적인 노력이 필요하다.
또한 오늘날의 비즈니스 환경은 IT 서비스 제공자나 그 서비스를 제공받는 모두에게 살아 움직이는 유기체와 같은 끊임없는 커뮤니케이션을 요구하고 있다. 체계화된 프로세스 간의 긴밀한 의사소통을 그 무엇보다 중요하게 생각하는 ISO/IEC20000 이런 비즈니스 환경의 요구를 만족시켜주는 대안으로 각광받고 있다. ISO/IEC20000이 제공하는 표준 운영 프로세스에 의해 업무를 처리해 체계적인 프로세스 관리가 가능해졌고, 이를 통해 운영 효율성을 높이고 정량적 업무 평가를 시행할 수 있게 됐기 때문이다.
무엇보다 중요한 사실은 ISO/IEC 20000이 비즈니스가 요구하는 '목적'이 아니라 하나의 '과정'이며 일련의 지속적인 프로세스 개선 과정이라는 것을 간과해서는 안 된다는 사실이다. 요건을 갖춘 인증은 개선의 끝이 아니라 새로운 시작임을 잊지 말아야 할 것이다.
월간 온더넷 2006년 9월호
'IT 이야기' 카테고리의 다른 글
| CIO에게 고전을 권하는 까닭 (0) | 2008.08.17 |
|---|---|
| 아웃소싱 품질 높이는‘ITSM’ 구축 방안 (0) | 2008.08.15 |
| ITSM 프로세스간 Chain-Model 수립을 통한 시너지효과 (0) | 2008.08.14 |
| ITSM과 ITIL (0) | 2008.08.14 |
| 프로젝트 관리 방법론과의 만남 (0) | 2008.07.25 |