IT거버넌스(IT Governance)기반의 IT서비스관리, IT비즈니스 투자평가

2015. 10. 05

이규철

kclee@cnu.ac.kr

IT거버넌스(IT Governance)기반의

IT서비스관리, IT비즈니스 투자평가

목 차

2

IT거버넌스

IT서비스 관리

IT거버넌스

거버넌스의 정의

사전적 의미

 권력을 통한 통치 또는 지배

 대상 분야에 대해서 영향력을 행사

 가이드 또는 통제

IT거버넌스

 기업 및 조직의 목표를 달성하기 위하여 IT와 IT를 활용하는 비즈니스 자원과 프로세스를 통제하고 관리하기 위한 이해관계자들의 관계, 조직구조, 업무프 로세스

목적

저비용,고효율의 IT관리/통제 구조를 달성하는 것

IT자산의 활용 및 운영에 대한 명확한 원칙, 역할 및 책임을 정의하고 체계 적인 IT관리/통제가 필요

IT거버넌스의 개요

4

위험요소 극복  IT 투자를 지속적으로 강화

투자대비 성과에 대한 지속적인 평가 확보  다양한 영역에 대한 IT거버넌스 체계 필요

IT거버넌스의 구성요소

< IT거버넌스의 5대 구성요소 >

< IT거버넌스 구성요소간의 상관관계도 >

COBIT의 개념

Control Objectives for Information and related Technology

ISACA(국제정보시스템감사통제협회)의 Control Objectives에 기반을 둔 참조모델로 가장 권위 있는 IT거버넌스 통제 프레임워크

IT거버넌스를 설명하고 현재의 수준을 진단하며 IT 통제/관리를 지속적으 로 개선

IT거버넌스 체계를 확보하고 개선할 수 있음

ITIL, CMMi, ISO/IEC17799, ISO/IEC9000 등 국제표준 및 업계표준에 접 근 가능

명확한 정책 및 Best practice 등 IT거버넌스 통제 프레임워크를 개발하여 기업의 경영자, IT전문가, 감사자(Auditor)들에 의해 활용될 수 있도록 하 는 것이 주요 목적

COBIT 프레임워크를 활용한 IT거버넌스 구축

6

COBIT의 진화방향

감사(Audit)기능을 중심으로 프레임워크가 만들어져 2012년에 COBIT5로 개정되면서 IT거버넌스 뿐만 아니라 기업 IT의 거버넌스로 발전

COBIT 프레임워크를 활용한 IT거버넌스 구축 (계속)

< COBIT framework의 진화 >

COBIT 프레임워크를 활용한 IT거버넌스 구축 (계속)

COBIT 4.1

비즈니스 목표를 달성하기 위해 체계화 된 프로세스를 사용하는 IT자원에 대한 통제와 관리를 수행

세부 IT통제사항을 IT일반통제사항과 응용통제사항으로 구분

기업의 IT프로세스 도메인의 4개의 큰 축(Process)을 기준으로 생성

34개의 통제목적이 프로세스 별로 정의

 계획수립 및 조직화 – 10개

 도입 및 구축 – 7개

 운영 및 지원 – 13개

 모니터링 및 평가 - 4개

8

< COBIT 4.1 프레임워크 >

COBIT 5로의 진화

COBIT 4의 단점: 기업 전체 거버넌스에 대한 관리의 어려움 2012년 ISACA에서 COBIT 5를 만듦

COBIT 5의 특징

중요한 조직의 목표달성을 위해 비즈니스 부문과 IT 부문의 책임을 명확하 게 구분

효과적인 기업 거버넌스 및 관리를 위해 필요한 사항 지원

5대 원칙을 새롭게 정립하고 기존의 COBIT에 비해 더욱 상세화

기존 프로세스 성숙도 모델을 ISO/IEC 15504(SPICE) 기반 표준으로 대체 IT거버넌스의 국제표준인 ISO/IEC 38500과 정렬(Alignment)됨

COBIT 프레임워크를 활용한 IT거버넌스 구축 (계속)

COBIT 5의 5대 원칙

1. 이해관계자의 요구사항 충족

 거버넌스의 궁극적 목적 중 하나인 이해관계자의 요구 사항에 대한 가치 창출

2. 조직의 모든 부분 포괄

 조직의 계층간 포괄적인 역할, 활동 및 관계에 대해 정 의하고 프로세스 정립

3. 하나의 통합적인 프레임워크 적용

 기존 프레임워크에서 흩어져 관리되던 지식체계를 하 나로 통합하여 통합적 통제 및 관리방법 제시

4. 통합적인 접근방법을 활용

 원리, 정책과 프레임워크를 기반으로 프로세스, 조직구 조, 문화/윤리/행위, 정보, 서비스/구조/어플리케이션, 사람/기술, 역량 등에 대한 접근방법을 활용

COBIT 프레임워크를 활용한 IT거버넌스 구축 (계속)

10

< COBIT 5의 5대 원칙 >

5. 거버넌스와 관리의 분리

 조직의 방향을 설정하기 위한 거버넌스를 EDM(Evaluate, Direct, Monitor) 체계로 확보

 기업목표를 달성하기 위한 거버넌스 전체에 대한 구체적인 활동들을 계획, 구 축, 운영 및 모니터링하는 관리체계를 분리

 Plan(APO)  Build(BAI)  Run(DSS)  Monitor(MEA)

• Align, Plan and Organize: 연계, 계획수립 및 조직화

• Build, Acquire and Implement: 구축, 도입 및 시행

• Deliver, Service and Support: 제공, 서비스 및 지원

• Monitor, Evaluate and Assess: 감시, 평가 및 감사

COBIT 프레임워크를 활용한 IT거버넌스 구축 (계속)

IT서비스 관리

IT서비스 관리 (ITSM): IT서비스에 대한 체계적인 관리와 서비스 품질을 보증하는 수단

IT서비스의 표준 모델(Best Practice)인 ITIL(IT Infrastructure Library) 을 활용, 기업 간 거래형태에 따라 IT 아웃소싱으로 진행

IT서비스가 실현되기 위해 서비스 수준에 대한 협약(SLA)필요

협약된 SLA는 IT서비스 품질의 측정기준이며 SLM을 활용하여 체계적 관 리 수행

IT서비스에 대한 업무요청은 CSR 프로세스 활용

IT서비스 관리의 개요

< IT서비스관리 기술의 상호관계도 >

IT서비스관리와 연관된 표준

eSCM(eSourcing Capability Model)

 서비스 제공자가 고객에게 IT서비스를 제공하기 위해 품질과 역량을 객관적 으로 평가하는 국제적인 품질평가모델

 비즈니스 전 단계에서 IT서비스 이행 지침을 제시

ISO/IEC20000

 BSI(영국표준협회)의 BS15000인증을 개편하여 IT서비스관리 활동에 대한 요건을 명확히 정의한 국제표준

IT서비스 관리의 개요 (계속)

14

ITIL의 정의

IT서비스 관리 업계의 모범사례를 집대성한 IT서비스 관리 프레임워크 IT서비스 관리에 대한 표준지침을 제공

IT서비스 체계를 명확하고 투명하게 확인할 수 있도록 프로세스를 제공

ITIL의 역사

2014년 기준으로 버전3까지 발표

 버전1

• 1980년대 영국 정부의 CCTA에서 IT에 대한 의존성에 대응하기 위하여 표준적인 참고문헌으로 개발

 버전2

• 2000년~2001년 사이에 발표. ITIL v2용어집이 출판

 버전3

• 2007년에 영국 재무부 산하 OGC에서 발표(ITIL 2007판)

• 2011년 7월 기존의 ITIL 2007판을 개선하여 ITIL 2011판을 출판

ITIL의 개념

ITIL v2 프로세스

ITIL v2의 핵심 구성요소는 크게 서비스 제공(Service Delivery)과 서비스 지원(Service Support)의 두 영역으로 구성

ITIL의 개념 (계속)

16

‘The Business Perspective’

 비즈니스의 영속성 관리 및 파트너쉽과 아웃소싱 영역 등을 다룸

‘ICT Infrastructure Management’

 네트워크 서비스관리와 오퍼레이션 관리, 컴퓨터 설치 및 접근, 시스템 관리 등의 영역을 다룸

ITIL의 개념 (계속)

< ITIL v2 Framework >

ITIL v3 프로세스

IT거버넌스를 지원하고 IT서비스관리를 비즈니스 전 영역으로 확장한 비즈 니스 모델

ITIL v2의 서비스지원 영역과 서비스 제공 영역의 프로세스를 강화 ISO/IEC20000의 Requirement Process를 포함

라이프사이클 관점의 비즈니스 연계 기준의 전략과 IT서비스 라이프사이클 개선에 목표

성과평가(ROI)를 강화하고 그 결과를 다시 서비스 전략에 반영함으로써 기 업의 IT서비스 역량을 강화

ITIL의 개념

18

ITIL v3 라이프사이클

서비스 전략 서비스 설계  서비스 이행  서비스 운영  지속적 서비 스 개선의 5단계 프로세스가 반복적으로 사이클 형태로 순환

ITIL의 개념

< ITIL v3 Lifecycle >

ITIL v2와 v3의 비교

ITIL의 개념 (계속)

20

비교항목 Version 2 Version 3

Library ^• 총 8권 (Core Service Support, Delivery) • 총 5권 및 추가

• (Introduction & Dic)

Process ^• 1개의 Function + 10개의 Process • 5 Major Process

Usage ^• Best Practice

• ISO20000 Guideline (Part2)

• Best Practice

• Framework + Standard 확장

• ISO20000 개정 진행

Key Point ^• IT Service Management Library

• Best Practice 모음집

• Service Level Management 중심의 서비스 관 리 체계

• More Library, Best Practice 모음집

• Business Value중심의 IT Service Asset 제공 (IT Governance)

• Lifecycle Approach

• Continual Service Improvement

Restrictions &

ITIL Version 3 Improvement

• IT서비스 전 영역의 지원 부족

• 비즈니스 연계 부족 (성과, 지표, 프로세스)

• IT Governance 제시 부족 (연계, 모델)

• 현재 프로세스와 Gap (SOA, BSM 등)

• IT Service Lifecycle 제시

• Business Value Driven IT Service 제시

• IT Strategy와 IT서비스 설계, 이행, 개선 모델

• 현재 사용중인 SOA, BRM, IT운영 프로세스 연 계

아웃소싱

경쟁우위에 있거나 중요한 업무 영역  자사에서 수행

비전략적 부분, 상대적 열세인 업무영역  외부 전문가나 전문업체에 위탁 IT부문을 활용하는 것을 IT 아웃소싱이라고 함

IT 아웃소싱 도입 프로세스

IT 아웃소싱

IT 아웃소싱의 형태

Total Outsourcing

 IT 기능 전체를 하나의 벤더에게 전부 위탁하는 형태

 책임소재가 명확하고 업무효율성 증대

 경쟁부재에 따른 독점적 문제 부각

Selective Outsourcing

 선택된 기능 또는 업무단위를 여러 벤더에게 위탁하는 형태

 경쟁으로 인한 가격과 품질측면의 향상

 문제발생 시 책임소재에 대한 문제와 고객의 요구사항이 정확하게 전달되기 어려움

IT 아웃소싱 (계속)

22

IT 자회사 Outsourcing

 IT 전문법인을 별도로 설립하고 아웃소싱하는 형태

 동료의식으로 인한 단결과 의사소통 향상

 관련비용이 증가할 수 있고 수익성이 확보되지 않았을 경우 모회사에게도 위 험요소로 작용

Co-Sourcing

 IT 기획 및 전략과 IT서비스 수행을 분리하는 형태

 급변하는 환경에 대응하기 유리한 형태

 Total Outsourcing의 문제점을 부분적으로 해결할 수 있지만 전략과 수행의 갭(Gap)이 발생할 경우 다양한 조율이 필요

IT 아웃소싱 (계속)

IT 아웃소싱 고려사항

IT아웃소싱 수행 시 발생할 수 있는 문제점과 이러한 문제점을 해결하기 위 한 고려사항

 특정 업무영역이 아니라 비즈니스 프로세스 전체 또는 일부를 아웃소싱하여 협업하고자 할 경우에는 BPO(Business Process Outsourcing)의 도입 및 운영이 필요

IT 아웃소싱 (계속)

24

SLA

IT서비스 공급기업과 고객 간의 서비스 적정수준에 대하여 서비스의 범위, 항목, 형태, 성능, 측정방법, 가격 등에 대한 협약

SLM (service Level Management)

SLA를 지속적으로 모니터링하고 변경·관리하는 체계

SOW (Statement Of Work)

SLA의 세부적인 서비스 및 작업 내용을 규정한 작업명세서

프로젝트 관리에서는 요구사항기술을 기술한 작명명세서로도 사용

SLA (Service Level Agreement)

SLA 도입 시 효과

원활한 의사소통

 서비스 수요자와 공급자간의 의사소통 도구로 활용

갈등 방지

 수준에 대한 기대차이를 좁히고, 해결 근거를 마련

객관적 평가

 서비스 품질에 대한 객관적이고 정량적 평가 가능

지속적 통계

 서비스 관리에 대한 통제체계를 제공

SLA (계속)

26

SLA의 구성요소 및 항목별 지표

SLA의 구성요소

SLA (계속)

구성요소 설명

서비스 수준관리 지표

(Service Level Metrics) 서비스 제공 영역별 서비스 수준을 정량적으로 파악하기 위한 성과지표 서비스 목표 수준

(Service Level Objectives) 서비스 수준 관리 지표 별 목표치 및 최소치를 제시하고 미달 시에는 페널티 부과, 초과 달성 시에는 인센티브 부과 등의 기준 마련

서비스 성과측정 기준 (Service Level Measurements)

정의된 서비스 수준관리지표를 정량적으로 측정하기 위한 방법 (측정구간, 측정주제, 측정주기 등을 포함한다.)

서비스 수준 보고

(Service Level Reports) 서비스 수준에 대한 의사소통체계로써의 보고 형식 및 보고 방법

SLA의 구성요소 및 항목별 지표

SLA의 항목별 지표

 지표로 제시된 항목들은 서비스 수준 항목 또는 형상항목 (CI, Configuration Item)으로도 불림

SLA (계속)

28

항목 지표예시

응용 시스템 CSR적기처리율, 프로그램 변경 및 증감률, 시스템 응답속도 및 시간, 장애건수 등

하드웨어 시스템가동률, 백업준수율, 장애처리율, 시스템 장애건수, 장애처리절차 준수율, 거래특성별 거래건수, 월별 디스크 사용현황관리 등

네트워크 회선 장애율, 네트워크 장비 및 회선 가용성, 네트워크 가동률, 네트워크 문제해결 준수율 등 서비스 데스크 콜처리율, 유형별/업무별 처리건수, 콜대기율, 헬프데스크 시스템 가용률, 데스크 인력 근태 등

보안 사용자 IT 요청 즉시 처리율, 고객 프로파일 정확도, 보안교육 실시횟수, 개인정보보호를 위한 점검횟수 등

전략기획 제안권고안의 제출횟수, 정보화 교육의 계획 준수율 등

SLM

ITIL의 핵심프로세스 중 하나

고객과 합의된 품질 수준의 서비스가 제공되는 것을 보장하여 고객 신뢰 증 진 및 서비스 수준향상을 위한 프로세스를 관리 가능

SLA의 내용을 관리하고, SLA의 위배여부를 알려주는 기능을 제공

SLM (Service Level Management)

< SLM의 개념 및 범위 >

SLM의 구성요소

SLM (계속)

30

구성요소 개념

Service Catalog • 서비스 전체 목록을 설명한 메타데이터(문서) SLA • Service Level Agreement

• IT서비스 수준에 대한 상호 협약한 계약 문서 SLO • Service Level Objectives

• SLA에서 체결된 IT서비스 항목들

OLA

• Objectives Level Agreement

• 내부 조직 간 의사소통 및 관리를 효율적으로 수행하기 위해 서비스 공급자 내 부 부서간의 교환 합의서

Service Quality Plan • 합의된 서비스 수준의 보장을 위해 필요한 모든 내용을 기술한 내부 계획서 Service Report • 주기적으로 서비스 수준 위반 여부 검토

SLM엔진

• 서비스 수준을 관리하는 과정에서 서비스 수준 관리 지표 별 측정치를 산출하 고 보고서 작성 자동화 기능 등과 실시간 정보 서비스 모니터링을 수행하는 자 동화 엔진

SLA와 SLM을 운영할 시

수립한 서비스 수준에 대한 평가기준이 구체적이고 정량적이며 객관적이 어야 함

평가기준은 반드시 검증단계를 거쳐야 하며 베이스라인에 대한 설정과 변 경관리가 원활하게 이루어질 수 있도록 해야 함

각 항목별 책임사항을 명확하게 하여 분쟁에 사전 대비하여 신뢰성 있는 서 비스 수준 관리 자동화 관리 툴을 활용

SLM (계속)