امکان سنجی تغییرات و مدیریت تغییرات در ITIL

با توجه به اهمیت انجام تغییرات در سیستم‌ها و سرویس‌ها، مقاومت پرسنل در برابر انجام تغییر، پیچیدگی و حجم کار، گستردگی و نیاز به تفکیک وظایف افراد درگیر در تغییر، نیاز به یک سامانه یک‌پارچه جهت ثبت و گزارش‌گیری از تغییرات بیش از پیش احساس می‌شود.

در نسخه جدید ITIL با عنوان ITIL4 علاوه بر بحث مدیریت تغییرات به بیان به‌روش دیگری با عنوان امکان سنجی تغییرات پرداخته است. در این به‌روش به چرایی، چگونگی و جوانب تحت تاثیر تغییر از نگاه ذینفعان فنی تغییر می‌پردازد تا بدین ترتیب میزان اثربخشی تغییر و همچنین همراهی پرسنل فنی سازمان با تغییر را بهبود بخشد.این به‌روش به جهت به‌كارگيري سيستماتيك رويه‌ها و روش‌های استاندارد براي قبول، كنترل، نظارت بر نصب، اجرا و ارزيابي تمامي تغييرات مورد نیاز زيرساختارهاي واحد فناوری اطلاعات و پاسخگويي سريع و اثربخش به آن‌ها، به‌ گونه‌اي است كه كمترين تأثیر را بر كيفيت خدمات داشته باشند.

مديريت تغييرات کسب و کار نیز بخش دیگری از مدیریت تغییرات در ITIL4 به شمار می‌رود که مي‌تواند توازن بين تغييرات سازمانی، کسب و کاری و فنی سرویس را تعادل بخشد و در راستای بهبود منابع مختلف سازمان بر درخواست‌ها و نیازهای مشتریان از سرویس موثر باشد. مدیریت تغییرات در هر دو دسته امکان سنجی و مدیریت تغییرات کسب و کار باید به گونه‌ای تبیین شود که، فرآيند تغيير را به‌ گونه‌اي در دستور كار خود قرار دهد، ‌كه محدودكننده وقوع رخدادهاي نامطلوب مرتبط با اجراي تغییرات باشد.

هدف از مدیریت تغییرات
به‌طوركلي اهداف مديريت تغييرعبارتند از‎:

•   شناسایی و ثبت تغییرات اساسی
•   برنامه­‌ریزی و آزمون تغییرات
•   تشخیص و ارزیابی اثرات بالقوه تغییرات مانند اثر امنیتی آن در سیستم
•   داشتن موافقت‌نامه رسمی جهت تغییرات پیشنهادشده
•   اعلام ریز تغییرات به افراد مربوطه
•   رویه جایگزینی در مواقع اضطراری، شامل رویه‌ها و مسئولیت‌ها برای توقف بحران و اجرای عملیات بازنشانی که براثر تغییرات اشتباه در سیستم به‌وجود آمده است.

تعاریف و اصطلاحات
تغيير (Change): هر عنصر فناوری اطلاعات جديد و یا تحول‌یافته كه تعمداً به محيط فناوری اطلاعات معرفي شود و بتواند بر سطح خدمت فناوری اطلاعات يا عملكرد محيط و يا يكي از اجزاي آن اثر بگذارد، تغيير ناميده می‌شود. ‎
مدير تغيير (Change Manager): فردي است كه مسئول اداره فعاليت‌هاي فرايند مديريت تغيير در سازمان فناوری اطلاعات می‌باشد. ‎
مدیریت تغییرات: عبارت است از اجراي سیاست­‌ها و رویه‌هایی که به‌منظور آشکارسازي، تحلیل، ارزیابی و شناسایی تهدیدات امنیتی ناشی از اعمال تغییر در وضعیت دارایی‌­ها به اجرا گذاشته می‌­شوند.
فرم درخواست تغيير (RFC): فرمی است كه تمامي اطلاعات مربوط به تغيير در آن ارائه‌شده است.
بورد مشورتي تغيير (Change Advisory Board(CAB (اتاق مشاوره): گروهي هستند كه درخواست‌هاي تغيير را از نظر نيازهاي كسب‌وكار، اولويت‌بندي، سود، هزينه و نيز اثرات تغییر بر فرآيندها يا سيستم‌هاي ديگر را ارزيابي كرده و پیشنهاد‌هایی را براي اجراي تحليل‌هاي موردنیاز، تأخير قابل‌قبول در انجام و يا لغو درخواست تغيير مي‌دهند.( متشکل از تیم اجرایی و مدیریتی پروژه تغییر می‌­باشد.)
محدودیت تغییر (Change Freeze): انجام تغییرات در تعطیلات رسمی کشور، ضمن مزایای موثر بر مشتری مانند کاهش سطح استفاده از خدمات و گستره تاثیرگذاری کمتر بر کاربر نهایی، ریسک هابی را نیز به سیستم تحمیل می کند.

عناصر محدوده مدیریت تغییرات و نحوه ارتباطات آن‌ها
عناصر محدوده مدیریت تغییرات شامل موارد زیر است:

•   نرم‌افزارها: سیستم‌عامل، ابزارهاي سیستم، نرم‌افزارهاي کاربردي، بانک‌هاي اطلاعاتی و ...
•   سخت­‌افزارها: کامپیوتر، تجهیزات پشتیبان،UPS ، ژنراتورها و ...
•   زیرساخت‌های شبکه: کابل­کشی، شبکه‌هاي بی‌سیم، تجهیزات سوییچینگ، مسیریابی و ...
•   الگوهاي رمزنگاري: سیاست‌های کلمه عبور، مکانیزم­‌هاي کدگذاري و ...
•   منابع انسانی: کارکنان، مدیریت، پیمانکاران، مشاوران و ...
•   سامانه‌هاي مدیریتی: روش‌های اجراي فرآیندهاي سازمانی، زیر فرآیندها، توالی اجرا و ...

هرگونه تغییر در دارایی‌­هاي اطلاعاتی ممکن است موجب بروز وقایع ناخواسته شود. این وقایع ممکن است منجر به بروز حوادثی شود که موجب نقض امنیت یا تحمیل ضرر و زیان شود‎. پارامترهای فرم درخواست تغییر در بررسی موردی شامل موارد ذيل است:

دلايل متفاوتي منجر به درخواست تغيير مي‌شوند كه مهم‌ترین آن‌ها عبارتند از:

•   حل رخداد يا مشكل
•   درخواست ارتقاي خدمات
•   اجراي خدمات جديد
•   حل مجدد رخداد يا مشكل

فرم RFC یا درخواست برای تغییر بايد به سؤال‌های: چه چيزي، چه كسي، كي، چرا، كجا و چگونه كه همگي با تغيير پیشنهادشده ارتباط دارند، پاسخ دهد. RFC بايد تغيير را شرح دهد و اينكه چه كسي چه كارهايي را بايد براي اجراي تغيير انجام دهد و نيز روش اجرا چگونه بايد باشد را مشخص سازد. همچنين، مي‌بايستي آيتم‌هاي پيكربندي درگير را معرفي كند. RFCها توسط آغازكننده تغيير، تهیه‌ شده و براي بررسي، رد يا قبول براي مدير تغيير ارسال مي‌شوند.

اولویت‌بندي تغییر
پس از پذيرش درخواست‌هاي تغيير، اولويت‌بندي و طبقه‌بندي آن‌ها براي انجام عمليات بعدي صورت مي‌گيرد. اولويت يك تغيير، اهميت درخواستي را براي اجرا در 4 حالت ذيل مشخص مي‌كند:

•   اولويت پايين: يك تغيير مطلوب است اما مي‌تواند تا یک‌زمان مناسب صبر كند.
•   اولويت نرمال: تغيير كه فوريتي در انجام آن نيست، اما نبايد به تعويق بيفتد. اين اولويت در جلسه كميته CAB تعيين می‌شود.
•   اولويت بالا: تغييري كه مربوط به برطرف كردن خطايي است كه تعدادي از كاربران با آن مواجه شده و يا با موضوعات مهم ديگر ارتباط دارد، این تغییر باید با اولویت بالا انجام گیرد.
•   اولويت بسيار بالا: اين تغييرات از فوريت بالاتری برخوردارند و تعويق در اجراي آن‌ها سازمان را با ريسك زياد مواجه مي‌سازد. براي تخصيص منابع به اين تغييرات يك جلسه فوق‌العاده كميته CAB/EC موردنیاز است كه قدرت تصميم‌سازي داشته باشد.

سطوح اولويت‌بندي، به‌اندازه و ساختار تغییر وابسته‌ است و تحت SLA هايي كه بين واحد فناوری اطلاعات و کسب‌وکاری كه درخواست خدمت را داشته، مشخص مي‌شوند.

دسته‌بندي تغيير
بر اساس حجم تغییرات، ميزان اثر تغيير بر زيرساخت، كاربران، محيط فناوری اطلاعات و كسب‌وكار تغییرات دسته‌بندی می‌شود.‎ مثلاً اين‌كه آيا اين تغيير بر يك كاربر يا يك واحد و يا تمامي كاربران تأثيرگذار است؟ ازاین‌رو در با توجه به وضع موجود در مطالعه موردی، تغییرات در 3 گروه دسته‌بندي می‌شود:

•   بزرگ: تغييري كه گروه بزرگي را تحت تأثیر قرار مي‌دهد، مانند گستردگي تغيير در سطح يك واحد، شركت، خدمت و يا شبكه
•   متوسط: تغييري كه محدوده اثر آن گسترده است، مانند تغيير مؤثر بر يك گروه در واحد
•   كوچك: تغييري كه بر تعداد كمي از افراد اثر مي‌گذارد، مانند تغییر چاپگر در يك واحد

گروه‌های تغيير
تغييرات به سه گروه تغييرات استاندارد، طبيعي و اضطراري تقسيم مي‏گردد.

•   تغييرات استاندارد: در مديريت تغيير، تغييرات مشخصی که از قبل مجوزدهي شده، بخشي از عمليات کسب‌وکار است و روال‏‌هاي پذیرفته‌شده‌ای براي این‌گونه تغييرات تعريف می‌شود. اين نوع تغييرات، تغيير استاندارد هستند که در خدمات و يا زيرساخت اتفاق مي‌‏افتند. این نوع تغییر معمولاً برای بار اول ثبت شده و در دفعات بعدی الزامی جهت تهیه درخواست جدید برای آن نمی‌باشد. به‌عنوان‌مثال، ارتقاي يک PC براي استفاده از يک نرم‌افزار استاندارد، که از قبل بودجه­‌بندي شده است يا جابه‌‏جايي ميز کار براي يک کاربر يک تغيير است. وقتي رويکرد مديريت تغييرهاي استاندارد موردتوافق قرار گرفت، بايد فرآيندهاي تغيير استاندارد و جريان‏هاي کاري تغييرات وابسته، ايجاد و باهم مرتبط شوند. براي افزايش کارايي، تغييرات استاندارد بايد از همان ابتدا در هنگام ايجاد فرآيند مديريت تغيير شناسايي شوند. در غير اين صورت، اين نوع پياده‏‌سازي مديريت تغيير، لايه‏‌هاي اجرايي زائد و مقاوم در فرآيند مديريت تغيير ايجاد خواهد کرد. اين تغييرات با تکميل درخواست تغيير به جريان افتاده و توسط مدیر تغییر، مستقیماً ثبت و براي اقدام ارسال مي‏‌شوند.
•   تغييرات نرمال: اين گروه از تغييرات دامنه وسيع‌‏تري را پوشش داده، ازآن‌جا که احتمالاً دستورالعمل از پيش تعیین‌شده‌ای براي استقرار آن‌ها وجود ندارد، لذا با برنامه‌‏ريزي و استفاده از روال‏‌هاي خاص از پيش تعیین‌شده بايد نسبت به تصويب و استقرار آن‌ها اقدام نمود.
•   تغييرات اضطراري: تغييرات اضطراري، تغييراتي هستند که به‌منظور رفع خطاي رخ‌داده در يک خدمت فناوري اطلاعات با تأثيرات منفي بر کسب‌وکار مورداستفاده قرار مي‏گيرند. تغييرات اضطراري به‌منظور معرفي بهبودهاي مورد نیاز کسب‏ وکار، به‌عنوان تغييرات طبيعي مدیریت‌شده و با داشتن بالاترين ضرورت ارزيابي می‌شوند. تعداد تغييرات اضطراري پیشنهاد شده، بايد در حداقل ممکن حفظ شود. زيرا معمولاً اين تغييرات، مستعد شکست هستند. تمامي تغييرات مورد نیاز بايد پيش‏‌بيني و برنامه‌‏ريزي شوند و منابع مورد نیاز براي ايجاد و آزمون اين تغييرات در نظر گرفته شود.

به‌طور خلاصه مراحل اجراي مدیریت تغییرات به شرح زیر است:

•   در بررسی موضوعات ابتدا باید مشخص شود چه چیزي تغییر می‌کند و سپس به شناسایی تغییر اقدام نمود. درخواست‌ دهنده تغییر باید مطابق فرم درخواست تغییر(RFC) مشخصات لازم جهت انجام تغییر را ثبت نماید. همچنین دلایل توجیهی درخواست تغییر باید اعلام و ثبت شود. این دلایل شامل مواردي نظیر حجم کار، موانع و مشکلات، عوامل انسانی و... است. بعضی از تغییرات که تأثیری در کسب‌وکار شرکت ندارند، مانند پاک کردن یک برنامه در سیستم یک کاربر و همچنین مواردی که به‌صورت یک روال و فرآیند انجام می‌شوند مثلاً درصورتی‌که سیستم یک کاربر فریز شده و نیاز به ری­بوت دارد، نیاز به طی کردن روال مدیریت تغییرات ندارد، ولی مواردی همچون اضافه کردن یک پورت باز به سوییچ، نصب نرم‌افزار جدید بر روی سرور، استفاده از سخت‌افزار جدید در اتاق سرور و غیرو نیازمند طی کردن روال مدیریت تغییرات می‌­باشد. این تصمیمات توسط کمیته CAB بررسی و نهایی می‌شود.
•   باید در نظر داشت درخواست تغییر از جانب چه بخشی و یا چه کسی مطرح‌شده و چه دلایلی براي تغییر اعلام‌شده است. لازم است قبلاً افرادي که داراي مسئولیت و حق اعلام نظر در خصوص پذیرش یا عدم پذیرش تغییرات می­‌باشند مشخص‌شده و کلیه تغییرات به تأیید ایشان برسد. دلایل تأیید یا رد درخواست تغییرات باید در قالب گزارشی رسمی ثبت و سوابق آن نگهداري شود. همچنین فاکتورهایی نظیر تأثیر زمان‌بر شرایط تغییر و تأثیر تغییر بر موقعیت سازمان باید در نظر گرفته شود. در صورت عدم‌تأیید تغییر خواسته‌شده باید اقدامات انجام‌شده تا این مرحله در سیستم ثبت شده و فرآیند خاتمه می­‌یابد.
•   در صورت تأیید انجام تغییر توسط مراجع ذیصلاح باید اثر و ریسک حاصل از پیامدهاي احتمالی تغییر بررسی شود. سپس در صورت قابل‌پذیرش بودن، ریسک مجوز انجام تغییر، صادر می‌شود. در صورت غیرقابل‌پذیرش بودن ریسک باید اقدامات انجام‌شده تا این مرحله ثبت شده و فرآیند خاتمه می­‌یابد. سطحی که نیاز به کسب مجوز تغییر است، بستگی به نوع تغییر دارد، مثلاً تغییرات جزئی نیاز به مجوز مالک ریسک دارایی، و تغییر بر روی سرورها و سوییچ‌ها نیاز به تأییدیه پیمانکار مربوطه و مدیران ارشد فناوری اطلاعات دارد.
•   در گام بعد باید به چگونگی انجام تغییرات پرداخت، این‌که تغییرات موردنظر به چه امکانات و تجهیزاتی نیاز دارد. بنابراین لازم است مراحل اجراي تغییرات برنامه­‌ریزي شود. ممکن است فرآیند تغییر بخش بزرگی از دارایی­‌های شرکت را در برگیرد و یا بر بخش بزرگی از دارایی‌­ها تأثیر گذارد. لازم است برنامه‌­ریزي مدون و مکتوب شده و به تایید افراد ذیربط بر اساس نظر مدیر تغییر و مسئول تغییر مربوطه برسد. درصورتی‌که نیاز به تغییر در نوع بهره‌برداری یا مشخصه‌های هر یک از دارایی‌­هاي شرکت باشد باید هماهنگی لازم با مالک آن دارایی انجام شود.
•   سپس به تأمین نفرات و وظایف آن‌ها، امکانات و تجهیزاتی که براي انجام تغییر به آن‌ها نیاز می­‌باشد اقدام می‌شود.
•   در مرحله بعدی تغییر موردنظر انجام خواهد شد.
•   پس از انجام تغییر باید رفتار سیستم تا مدت معینی که در تحلیل ریسک تعیین می‌شود پایش و کنترل شود.
•   در صورتی‌ که وضعیت پس از تغییر مطلوب ارزیابی‌شده و موردقبول باشد و کلیه الزامات تدوین‌شده برآورده شده باشد باید کلیه مراحل انجام‌شده ثبت شود و پس‌ازآن فرآیند خاتمه می­‌یابد. در غیر این صورت باید روال از ابتدا به اجرا درآید.
•   به‌طورکلی نهاد متصدي تغییرات به‌عنوان واحد مسئول تغییرات با استناد به مقررات، مصوبات، الزامات قانونی و نیز تغییرات محیطی، اقدامات لازم را در مورد بازنگری در وضعیت دارایی­‌هاي اطلاعاتی درخواست می‌نماید. درخواست­‌هاي ارائه‌شده باید متناسب با حجم فعالیت‌ها و نیازهاي واقعی واحد مربوطه بوده و براي رفع مشکلات موقتی و ارتقاء شخصی نباشد.

لازم به دکر است این روال بطور کامل در نرم افزار مدیریت امنیت اطلاعات ISOAfzar سفارشی‌سازی شده و کلیه مراحل به طور سیستماتیک و با ارسال یادآور به اطلاع کلیه اشخاص درگیر در تغییر می‌رسد