В идеале модель выглядит так: сертификация от производителя нужна нам для подтверждения уровня экспертизы, плюс это позволяет получить скидку от вендора, чтобы быть конкурентоспособными на тендерах. Производитель сертифицирует своих партнёров — уверенность в качестве работ и профессионализме интегратора прежде всего. Сертификат выдаётся раз в год.
Ключевое условие для прохождения аудита — наличие обученных сертифицированных специалистов и сданных специализаций — архитектур, а также наличие проектов, реализованных с использованием технологий вендора. У Cisco именно так: чтобы получить золото, нужно реально двигать рынок: с этого года требования довольно сильно поменялись и ужесточились.
Исходя из моего опыта, подготовиться с нуля к аудиту на «золото» — сложно. Но, к счастью, мы проходим эту историю уже с 2002 года, плюс у нас есть аудиты по ISO, немецкому TÜV SÜD и другим нормативам.
Аудит мы проходили на этот раз с проектами инфраструктуры железнодорожной пассажирской и крупной энергетической компаний, государственной корпорации и т.п. Аудитор иногда нервно вздрагивал, когда мы показывали документы по инфобезопасности.
Что нужно, чтобы пройти аудит
- Иметь в штате 20 специалистов с соответствующим образованием и личными сертификатами.
- Сделать не менее трёх крупных проектов за последние два года с использованием технологий вендора.
- Показать компетенции по 4 разным областям: например, по корпоративной связи, сетям и инфраструктуре дата-центра, аварийному восстановлению и виртуализации. И отдельно менеджмент на таком примерно уровне, как требуется по ISO 9001. По факту это означает, что у вас либо должна быть развёрнута собственная дата-центровая инфраструктура Cisco, либо вам придётся продавать клиентам партнёрскую. У нас развернутое плечо дата-центра на VCE Vblock (там сетевая инфраструктура передачи и хранения данных — Cisco Nexus), вычислительные ресурсы (Cisco UCS), виртуализация на VMware vSphere, хранение на EMC VNX и управление Cisco UCS Director.
Самое сложное – показать сервисы. Мы показывали в этом году виртуальные рабочие места, виртуальные файрволлы и виртуальные маршрутизаторы, плюс аварийное восстановление ЦОДа как сервис на базе решения Zerto (они авторизованы Cisco). По каждому из сервисов есть набор требований — и к документам, и к описанию процессов (как это должно быть построено), и к технике. Необходимо наличие сертифицированных спецов именно по данным решениям, причём не меньше 4 человек на сервис.
Нужна готовность компании реально оказывать эти услуги. По факту это означает очень детальное оформление всех бизнес-процессов. Например, нужно иметь прописанные регламенты эскалации тикетов в поддержке и регламены разработки маркетинговых материалов для продвижения. Процессы строятся на базе ITIL — нужны спецы и соответствие требованиям. Короче говоря, готовить бумаги — та ещё веселуха.
Часть своих процессов пришлось подточить под бизнес-требования, принятые на Западе и включённые в аудит. Например, есть требования, что обязательно должны быть описаны стандартные и нестандартные изменения — и по каждому процесс. Сделано это изначально для того, чтобы админы не накосячили с их железом. Потому что, например, накатить новую прошивку на банковский коммутатор — это приключение, и если что-то пойдёт не так, банк запомнит не админа Петрова, а компанию Cisco.
Итак, в процессе есть SLA — там описаны стандартные изменения, которые обязательно в течение суток должны быть проведены с момента обращения. Стандартное — это то, что часто повторяется: заведение нового пользователя, изменение номера телефона, установка переадресации. Нестандартные — изменение маршрутизации, схемы прохождения трафика, того, что требует тестирования, нового функционала типа правил форвардов (вроде переключений между интернет-каналами). В нестандартных регламентах надо предупреждать другие подразделения, проверять, не завалишь ли ты сеть заказчика, согласовывать, составлять бумаги и подписывать их, только потом делать. Циско хочет знать, что ты подумал и предупредил всех. Ещё обязательно делается план отката до прошлой версии и критерии применения этого плана.
Аудитора интересует отчётность, например, что будет видеть заказчик по мощности использования сервиса, сколько фильтровано атак и сколько трафика отброшено. Всё это надо подготовить и показать.
Подготовка и сдача
Начинается подготовка с получения правил прохождения аудита с сайта вендора. Там перечислены все актуальные требования на английском. В тот момент, когда планируется аудит, фиксируется со стороны аудитора версия, по какой он будет проводиться (это чтобы в момент обновления не было сюрпризов). Правила прохождения аудита меняются постоянно, но довольно плавно.
Потом мы собираемся на установочной встрече: распределяем, кто за какие пункты отвечает. В этом году было целых три инженерных команды из разных подразделений.
Начинается всё с преквалификейшна: чтобы назначить дату аудита, надо загрузить кучу документов на людей и проекты. Они смотрят, говорят «да, вы условно подходите», назначают дату аудита.
Затем мы раз в неделю встречаемся и смотрим, кто что сделал. Ответственные за определённые пункты рассказывают, что как, и какие проблемы, какие пути их решения. К дате аудита частота встреч увеличивается, появляются прогоны — это по части демонстрации решений. В общем, бета-тесты. Вообще, бывает так, что в каком-нибудь пункте описания аудита добавляется одно слово, которое радикально меняет смысл. Вроде ты уже 10 раз это же делал, а в новом году — нет, не так, требования на порядок выше. Упрощая, например, к пункту может добавиться фраза «в реальном времени» — и всё, надо перекраивать инфраструктуру.
Вообще, в последние две недели перед аудитом никто не спит. Вроде и за 3–4 месяца начинали готовиться, и всё делали по графику — и всё равно каждый раз так выходит, что всплывают нежданчики.
На аудит приезжает гуру лично. Всё идёт на английском. Как показывает практика, сами аудиторы тоже с годами прокачиваются и понимают, где и как серьёзнее докопаться. Кроме того, они, поездив по другим компаниям по миру, начинают использовать это как дополнительное знание и спрашивают фичи, которые есть где-то ещё.
Например, в этом году прошли эксплуатацию дата-центра по Tier III (все три сертификата Аптайма теперь) — и в аудите Циско использовали кучу документации оттуда, особенно, по процессам и кадрам. ISO, немцы и другие нормативы — тоже всё очень помогает. Там много чего описано, остаётся доточить свои процессы узкоспециализированные. Кстати, аудит подстёгивает компанию приводить процессы к лучшим мировым стандартам. Может, конечно, закрасться идея подделать документацию и показать на бумаге то, чего нет в реальности, но это почти так же сложно, как реально внедрить процессы.
В этом году аудитор ещё гулял по офису, заходил в наш сетевой оперативный центр (техподдержку по-русски), разговаривал с людьми, убеждался, что на месте все действительно есть. Мы за сутки до его приезда провели генеральную уборку в комнате, сняли плакаты, в сатирической манере описывающие кое-какие дыры в прошивках. Саппорт приходил, пугался и думал, что перепутал кабинет.
Аудит планируется на 2 дня. В этом году мы показали основное за первый день, на второй оставили мелкие формальности, фактически, один раздел с отчётностью. В этот раз наш аудитор был родом из финансовой сферы, но сам, как оказалось, что-то админил по молодости, поэтому был прошарен и в технике тоже довольно нехило. Для них ещё головной офис проводит специальные техтренинги, поэтому к нам аудиторы приезжают более чем подготовленными.
Задумали сценарий: приходит крупная розница к нам, приносит портфель проблем — с безопасностью, со стабильностью сервисов, с текучкой сертифицированных кадров, с недоступностью удалённых офисов, когда не то что по телефону информацию не донести — на вездеходе не добраться, в общем, максимально приближенный к жизни по потребностям заказ. И в красках расписываем, как мы одну проблему за другой решаем, внедряем бизнес-коммуникации, берём всё на аутсорс и техподдержку. В общем, радикальным болезням — радикальное решение. Причём у нас похожее было, правда, не на их технологиях. Вендор, а затем и аудитор смотрят, слушают, потом качают головами: «Да ну, вы что, не бывает такого, чтобы бизнес жил с ИТ-инфраструктурой из 90-х, это же дичь какая-то. Слишком комплексное у вас».
Везёт им там на Западе, у них не бывает. Не стали мы им рассказывать, как исходящие каналы кое у кого в Сибири недавно делали телефонами, примотанными к швабрам изолентой, потому что иначе сигнал до БС не пробивался.
Ещё важно, что за годы работы аудиторы начинают понимать русский язык. При каких-то непредвиденных косяках мы говорим по-русски, а они палят. В документах они уже тоже знают, какие разделы как по-русски называются. Так, наш аудитор сам постоянно записывал новые слова. У него есть программка, где он по каждому пункту из требований должен поставить галочку, прозвучало или нет. Так, нужно было указать на root cause в одном из разделов, показываем, он кивает:
«Йес, йес, ай ноу, корнэвая прычына».
В документах по управлению сервисным каталогом он почему-то испугался слова «ликвидация» (где старые сервисы по определённым критериям убираются из каталога), сказал, что у него это слово ассоциируется только с киллерами
Ссылки
- Требования к партнёру золотого уровня
- Наши статусы с Cisco с 2000 года
- Облачное плечо Cisco в нашем ЦОД
- Моя почта — SVrublevskaya@croc.ru
