购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

2.1 IT服务的发展和现状

2.1.1 IT服务概述

现代服务业发展迅速,其趋势为不断的网络化、专业化、融合化、全球化。全球产业结构呈现由“工业型经济”向“服务型经济”迅猛转型,全球化和专业化分工进一步促进了现代服务业的发展。

IT服务管理的产生基于IT管理,而IT管理的发展大致经历了以下阶段。

(1)设备管理阶段。事实上,从计算机出现的第一天起,IT 管理就存在了。只是那个时候,计算机设备非常庞大和复杂,而其处理的任务又相对简单和单一,因此IT管理的主要任务是管理计算机硬件设备,而且这种管理主要采用人工方式。

(2)系统和网络管理阶段。到 20 世纪 60 年代,信息系统开始兴起,计算机设备在企业中的应用也越来越广泛,这时IT管理的任务除了设备管理阶段的硬件管理之外,还增加了对信息系统本身的管理。20 世纪 60 年代到 90 年代是系统管理高速发展和趋于成熟的时期,在这段时期内,企业内和企业间的网络得到普遍应用,网络管理成了IT管理中一项日益重要的工作。特别是伴随 20 世纪 90 年代中期Internet的兴起和随后的快速发展和广泛应用,企业纷纷采用分布式系统管理和网络管理。到现在,系统管理和网络管理已经融为一体,一般不再作明确区分。

(3)服务管理阶段。如果说第一个阶段人们关注的是硬件管理,第二个阶段人们关注的是软件和技术管理的话,第三个阶段,即服务管理阶段,人们对IT 管理的关注点则转移到了IT 服务的管理上。IT服务管理的产生背景如图 2-1 所示。

图2-1 IT服务管理产生背景

2.1.2 IT服务发展状况

回顾IT服务管理(ITSM)在国内的发展,总体上可以分为 3 个阶段。

1.第一阶段(1999—2003 年):ITSM=软件

这个阶段的显着特征是IT服务管理被理解成了一套软件,而且被看成与网管软件类似,或与网管软件互补的一种软件。厂商向用户介绍的、用户关注的都是ITSM软件功能和性能,ITSM并没有被提升到一个理念或者方法论的高度。ITSM相关的专业咨询和培训服务既相对缺乏,也不被用户所重视。由于国外技术与产品“水土不服”及客户自身对IT服务管理理解不深,项目实施效果大多不够理想。这一阶段,发展比较快的是IT 运维服务市场和IT 服务管理软件产品市场。在此阶段软件产品厂商占据了市场的主导地位,这是由于部分产品厂商片面强调购买IT服务管理软件产品的重要性,向客户灌输实施IT 服务管理就是购买工具软件,而不用考虑配套的组织架构、岗位职责、规章制度、管理流程、绩效考核等是否同步建设、落实的错误理念。

2.第二阶段(2004—2007 年):ITSM=软件+流程

20 世纪 80 年代中期,人们开始一边总结以前在IT服务方面的经验和教训,一边从质量可测量、成本可计量的原则出发,摸索提供IT服务的规范化方法。在全世界范围内的有关专家、组织和政府部门的共同努力下,20 世纪 80 年代后期至 20 世纪 90 年代初期,CCTA(英国中央计算机与电信局)陆续发布了按照流程(Process) 组织的有关IT服务管理的最佳实践——IITILV 1. 0 。至此,人们确定了以流程为中心的IT服务管理方法。

经过前几年的摸索,用户和开发商都逐步认识到,单纯地将ITSM看成一套软件而忽略了相应的流程重组和人员意识的转变是很难将软件真正用起来的。大家逐渐认识到,工具要想落地,意识首先要落地,然后在流程设计的基础上用软件工具将流程、规则进行适度地固化,这才能真正地将IT服务管理的理念和方法落地。因此,在这个阶段除了 ITSM软件之外,相关的培训、咨询和实施等服务开始被用户接受,对IT服务管理的重要性有了一定的认识,普遍认可其重要价值。在此阶段开始形成拥有自有知识产权的IT服务管理软件产品。

3.第三阶段(2008—2010 年):ITSM=软件+流程+人员

经过第二阶段的发展,众多用户设计了先进的IT服务管理流程,也部署了相应的IT服务管理软件。在IT服务管理实践中逐步认识到,要确保ITSM真正落到实处,光有软件和流程是不够的,人员的意识、能力和执行力才是决定ITSM项目最终成败的关键。在这个阶段,ITSM实施者开始将人员培训作为ITSM项目的一项重要工作来抓,而作为实现ITSM的规范和标准,也逐步被人们认识和应用。随着行业客户的逐步成熟和IT服务管理业务经营企业实施经验的不断积累,电信、金融、电子政务等行业或部门的IT服务管理发展迅速。咨询服务、IT 运维服务、IT 服务管理软件各自都呈现出了良好的发展态势。

ITIL确立的以流程为中心的IT服务管理方法,使人们“统一了思想”、“认清了方向”。更为重要的是,ITIL的出现,使IT服务管理不再是一个虚无缥缈的概念,而成为了一个独立的领域,并正在形成一个有着巨大发展潜力的行业。自此,从 20 世纪 90 年代初开始,IT服务管理从萌芽期进入了快速发展期。

在IT服务管理的快速发展期,呈现的是百花齐放的局面。首先,越来越多的公司进入这个领域并加大了在这个领域的投入,力图占据一个有利的位置,例如,BMC公司通过收购Peregrine 公司的Remedy解决方案切入这个市场。其次,围绕ITIL,人们正在开发各种各样的IT服务管理方法,比如荷兰Virje大学软件工程研究中心(SERe)正在组织开发IT服务能力成熟度模型(IT Service CMM),微软公司为所有微软产品开发了MOF(管理运营框架),HP公司开发了该公司实施IT服务管理的方法论HP ITSM Reference Model (惠普IT服务管理参考模型),如图 2-2 所示。

图2-2 惠普IT服务管理参考模型

再次,经过一系列的开发、并购和整合,针对IT服务管理的软件系统和解决方案越来越完善,可为客户提供越来越多的服务,比如CA公司的Unicenter服务管理解决方案已经可以实现ITIL各核心流程的集成管理。

最后,世界范围内越来越多的企业认识到了IT服务管理的重要性,并已经开始或正准备开始实践IT服务管理。这些企业实施IT服务管理的经验和教训奋力地促进了IT 服务管理方法的改进、提高和发展。正是因为有了这么多新鲜“血液”的输入,英国政府商务部(OGC,CCTA于 2001 年并入了该机构)在 2000—2003 年期间发布了ITIL的全新版本ITILV2.0。ITIL2.0 版本的发布是IT服务管理发展期的一个“中期总结”,必将有利于IT服务管理领域更为快速的发展。

虽然到目前为止,IT服务管理已经取得了很大的发展,但它还远未成熟。有关IT服务管理的各种标准和方法大部分还处于开发中,还没有经过企业的大量实践,更谈不上作为成熟的成果进行大规模的推广。针对IT服务管理的软件系统和解决方案还有待完善,与ERP、CRM 和SCM等领域相比,IT服务管理在企业应用的深度和广度方面还有待提高。一方面,IT服务管理厂商和相关组织需要进行更广泛的市场推广,以便让更多企业理解和认识它;另一方面,这些厂商和组织应协助企业更多地成功实施IT服务管理,让企业真正发现IT服务管理的价值。其中,企业实施的效果对IT服务管理的最后成功至关重要,否则,它将不过昙花一现的概念而已。

目前,市场上并不只有IT服务管理一种IT管理方法,在“得标准者得天下”的时代,IT服务管理与COBIT、ISO27001 等标准之间存在着很强的竞合关系,最终几者之间形成何种态势,现在下结论还为时过早。

IT服务管理作为管理IT的一种方法和理念,从初期概念的提出到实施标准ITIL(信息技术基础设施库)的成功开发和在世界范围内的广泛应用,已成为一个受到重视的、有相对独立的概念和发展迅速的领域。目前,已经形成了包括IT服务管理标准制定、咨询、培训、认证、软件开发和服务实施的完整产业价值链。

在IT服务管理领域,我国与国外存在着 10 年以上的差距。直至今天,IT服务管理还处于方兴未艾的发展期。“十一五”期间,IT 服务管理市场保持了高速增长的趋势。国内IT 服务管理市场的市场容量不断增大,保持了较高的增长率。其中,图 2-3 显示了 2008—2010年IT服务管理的市场规模和增长情况,如在 2010 年IT 服务管理市场总体规模达到了425.6 亿元,较 2009 年增长了 16.7%。

图2-3 2008—2010 年IT服务管理的市场规模和增长情况

表 2-1 显示了细分市场的业务规模。

表2-1 细分市场的业务规模    (单位:亿元)

如图 2-4 显示,国内IT 服务管理市场增长迅速,主要得益于对IT 依赖度高且IT 建设成熟度相对较高的银行、电信等行业,并且在地域上主要集中在经济比较发达的地区,未来这几个行业的需求仍然会保持旺盛的增长。除此之外,IT 服务管理在能源、交通等行业也获得了一定的发展。

IT 服务管理市场的业务需求伴随着行业信息系统建设成熟度的提高以及对信息系统依赖度的增强而呈现平稳较快增长,并逐步保持稳定。根据预测,2015 年IT 服务管理市场规模将达到 853 亿元(见图 2-5)。

图2-4 IT服务管理行业分布

图2-5 IT服务管理增长预测 M6F1GHtsyqVHVFED1WTmfMw+7zzpJlZce+RXjnHJZFY9IFKsT3BpZwZ04mhZew2j



2.2 IT服务的特点

2.2.1 IT服务的相关定义

要理解IT服务管理的含义,了解IT服务管理的特点,理解以下一些基本定义是必要的。

1.信息技术

信息技术(Information Technology,IT)所指范围相当广泛,包括技术基础设施(硬件、系统软件和通信设施)、应用基础设施(应用软件和数据库)和设施以及文档等。IT是信息系统(Information System,IS)的重要组成部分(见图 2-6)。

图2-6 IT和IS的关系

2.过程

过程(流程,Process)是把输入转化为输出的一系列相关活动的结合,它增加输入的价值并创造出对接收者更为有效的输出(见图 2-7)。过程是为完成特定的目标而设计的一组结构化的活动,一个完整的过程应该包括输入、输出、目标、质量要求、绩效考核指标、角色与职责、子过程或活动等要素。过程一般突出两个关键点:一是流程的核心使命在于实现输入和输出之间的转化,二是强调流程要实现价值的增值。

图2-7 过程定义

过程通常应具备以下特点。

(1)可测量:过程应当可以基于某些指标对其效果性(Effectiveness)和效率性(Efficiency)进行测量。例如,在故障管理流程中,故障解决率是效果性指标,平均解决时间是效率性指标。

(2)具有特定的结果:过程所产生的结果应当是可识别和可计量的。例如,故障管理流程产生的结果应该是恢复业务运作。

(3)具有明确的客户:每个过程都需要向其客户(不论内部还是外部)交付相应的结果以满足客户的期望。例如,服务请求履行流程需要履行客户的服务请求;故障管理流程需要处理客户的故障,以尽快恢复客户的业务环境。

(4)响应特定的事件:不论什么流程,它都应当可以追溯到某个特定的触发事件。例如,当用户无法访问其CRM系统时,可以触发故障管理流程,而业务部门针对其核心业务系统提出的某个新的业务需求可以触发变更管理流程。

3.产品(Product)

产品是一组将输入转化为输出的相互关联或相互作用的活动的结果,即“过程”的结果。产品有狭义的和广义的两种概念,狭义的产品是指被生产出的物品,具有具体的物理形态;而广义的产品则是指经过加工可以满足人们需求的一切载体,它可以没有具体的物理形态。

4.服务(Service)

服务是指服务方为被服务方提供一系列的活动,以满足被服务方需求的一种价值,它可以使被服务方免于承担额外的成本和风险。服务与产品存在着很大的不同,服务侧重的并不是结果,而恰恰是服务的过程。因此,与产品相比,服务就具有以下三大特性:

(1)无形性(不可储存性):狭义上的服务不能表现为一个具体的、有形的物品,而是无形的,同时也是不可存储的。服务的这个特点也决定了服务的不可封装性,即服务的质量不可事先被确定。

(2)时效性:服务不同于其他产品,它是随着时间的流逝而消亡的。它只有在一个特定的服务需求时段内提供才具有价值。

(3)交互性(同步性):服务的交付过程与使用的过程是同一个过程,两者是不可分离的。服务不是依靠服务提供者单方面就可以完成的活动,它需要服务方和被服务方共同参与才能实现。

广义概念的产品是包括服务在内的,但在IT服务管理领域中,产品通常是指狭义的、有形的IT产品。服务的概念是与产品相互独立、互不包含的。

5.IT服务(IT Service)

IT服务指综合利用人、资源和程序,以满足客户的信息需求,是由IT服务提供商支持的、以让客户感觉协调一致的方式满足客户的一种或多种需求的可用系统或功能。

6.管理(Management)

管理指在提供和交付服务中使用的战略级、战术级和运营级的概念和实践,它涉及使用各种资源,包括设备、人力、流程和理念等来实现某个目标,在这里是指交付恰当的服务。

7.IT治理(IT Govener)和IT管理(IT Management)

IT治理是一个由关系和流程所构成的体制,用于指导和控制企业达成其目标,它主要通过平衡IT和IT流程的风险和收益,来增加企业价值,实现企业目标。涉及信息系统、技术、通信、业务、利益相关者以及公司治理所关心的其他问题,IT治理是最高管理层(董事会)和执行管理层的责任,是公司治理的组成部分,由领导体制、组织结构和相关流程构成,以确保组织内部的IT系统持续支持和拓展组织的战略和目标。IT治理包括以下几个方面:

(1)IT治理必须和公司战略目标保持一致,确保IT支持业务目标的实现。

(2)IT治理以明确的期望值和衡量手段,保证IT按照目标交付适用的功能和期望的收益,同时使风险透明化,保证利益相关者的权益。

(3)IT治理和公司治理一样,是组织利益相关者和经营者共同的责任。

(4)IT治理不是孤立的规范和活动,而是公司治理的有机组成部分,公司治理影响并驱动IT治理的目标设定,而IT治理活动又为公司治理提供关键的信息输入。

与IT管理相比,IT治理侧重于建立整个企业IT运作的规范和框架,以此监控IT的战略制定、机构建立以及组织实施,保证企业信息和信息系统的运营始终处在正确的轨道上。而IT管理就是在这个框架下,确定IT的目标并采取行动以实现此目标。所以,IT管理和IT 治理是相辅相成,缺一不可的。

从广义上来讲,IT管理可以指组织中所有与IT相关的管理活动。在这个定义下,如果按照生命周期进行划分,IT管理又可以进一步分为软件开发管理、测试管理、IT项目实施管理、IT运维管理等。按照管理的对象分,IT管理又可以进一步分为IT技术管理、IT 人员管理、IT流程管理、IT风险管理、IT项目管理、IT质量管理、IT财务管理等。而IT 技术管理又可以进一步划分为桌面管理、网络管理、服务器管理、数据库管理、应用管理、中间件管理、存储管理等。

从狭义上讲,IT管理一般主要是针对已经上线使用的IT基础设施和应用系统进行监控和维护的一系列活动。通常,业界更倾向于从狭义的角度理解IT管理。

综上所述,IT管理就是在既定的IT治理模式下,管理层为实现公司的目标而采取的一系列管理措施。

8.IT服务管理(ITSM)

IT服务管理是信息及信息系统的运营、确定IT目标及实现此目标而采取的行动。IT服务管理是IT部门在IT系统运营阶段中在管理方面采用的方法论、手段、技术、制度、 流程、文档的统称。常用的三种IT服务管理的定义如下。

(1)IT服务管理是一套通过服务级别协议来保证IT服务质量的协同流程,它融合了系统管理、网络管理、系统开发管理等管理活动和变更管理、资产管理、问题管理等许多流程的理论和实践。

(2)IT服务管理是一种以流程为导向、以客户为中心的方法,它通过整合IT服务与组织业务,提高组织IT服务提供和服务支持的能力及其水平。

(3)IT服务管理是实施和管理优质的IT服务,以满足业务的需求。需要注意的是,这里的服务是指“客户所体验的、IT服务组织提供的可交付物”,它不仅指“使IT资源为客户所用”,还包括提供持续优质的IT服务。

从以上三种定义可以看出,目前对IT服务管理的定义主要是采用流程化的方法确保IT服务的质量满足业务的需求。IT服务管理是指从人员、技术和流程三个方面提升IT服务的效率和效果,确保IT服务与组织的业务需求保持一致的一整套管理方法和体系(见图 2-8)。

图2-8 ITSM的定义

2.2.2 IT服务的形态特征

IT服务管理的核心思想是,IT组织不管是企业内部的还是外部的,都是IT服务提供者,其主要工作就是提供低成本、高质量的IT服务。而IT服务的质量和成本则需从IT服务的客户(购买IT服务的)和用户(使用IT服务的)方加以判断。IT服务管理也是一种IT管理,不过与传统的IT管理不同,它是一种以服务为中心的IT管理。或者,我们也可以形象地把IT服务管理看成IT管理的“ERP解决方案”。从组织层面上来看,它将企业的IT部门从成本中心转化为服务中心和利润中心;从具体IT运营层面上来看,它不是传统的以职能为中心的IT管理方式,而是以流程为中心,从复杂的IT管理活动中梳理出那些核心的流程,比如事故管理、问题管理和配置管理,将这些流程规范化、标准化,明确定义各个流程的目标和范围、成本和效益、运营步骤、关键成功因素和绩效指标、有关人员的责权利,以及各个流程之间的关系。

实施IT服务管理的根本目的有 3 个:

(1)以客户为中心提供IT服务。

(2)提供高质量、低成本的服务。

(3)提供的服务是可准确计价的。

IT服务是为支持组织用户的业务运营或个人用户任务,贯穿IT应用系统整个生命周期的各项服务的统称。主要包括产品维护支持服务与专业服务两大类,具体服务形态包括IT咨询、IT系统集成、IT教育与培训、IT系统管理外包、业务流程外包、软件和硬件维护与支持等服务。

(1)IT咨询:帮助客户评估不同的技术策略,从而将其技术策略同商业(或生产)策略结合起来,这些服务按照客户对信息技术的要求,为其提供策略性的、架构性的、运作性的、实施性的规则。

(2)IT系统集成:将不同的软、硬件产品集成起来,并在此基础上为客户开发专门定制的应用软件,最终形成满足客户需求的计算机系统。包括定制软件开发、应用软件平台转换、新增功能开发、集成和调试等。

(3)IT教育与培训:包括当面或异地传授信息系统的概念、使用技巧和管理方面的知识,但不包括大专院校进行的学历教育。

(4)IT系统管理外包:企业战略性选择外部专业技术和服务资源,以替代内部部门和人员来承担企业IT系统的运营、维护和支持的IT服务。

(5)业务流程外包:组织用户为降低成本、提升核心业务能力,而将支持性职能或核心业务流程中的某项任务的管理与执行责任转移给外部服务供应商的一种组织运营方式。其内容通常包括客服、人力资源、采购、财会、单据处理,等等。

(6)软件和硬件维护与支持服务:包括保修期内的厂商服务成本和保修期后的延展收费服务。①硬件产品支持:维护或者优化硬件的预防和补救服务,包括在现场或在专门维修中心进行的安装、调试、维护、保障硬件升级和突发性修理,也包括电话或在线解决技术故障等。②软件产品支持:维护或者优化软件的预防和补救服务,包括软件产品的安装、调试、维护、换代升级、问题解决等。

随着各国竞争的加剧和世界范围内电子商务的兴起,IT受到了企业越来越多的重视。一方面,企业不断投资构建各种硬件、系统软件和网络;另一方面,不断开发实施ERP系统、SCM系统、CRM系统、决策支持系统和知识管理系统等各种各样的系统。但是,经过长期的投资和建设,许多企业发现IT并没有达到他们所期望的效果。从而产生“IT黑洞”、“信息悖论”和盲目投资等现象。

这些现象的产生有很多原因,首先,是由信息系统本身的特点所决定的。现代信息系统规模越来越大,服务器节点和客户端成百上千已是常例,一个信息系统甚至可能分布在几个国家;功能越来越多,从计算、数据库、事务处理到各种Internet/Intranet服务,等等;信息系统变化快;硬件、软件、网络和应用不断地更新升级。另外,信息系统构造复杂多变,主要包括:

(1)系统结构异构性。信息系统可能采用主机/终端模式,两层或三层客户/服务器模式,客户/服务器聚集模式,Intranet模式,以及这些模式的各种组合,等等。

(2)平台异构性。一个企业系统可能采用不同的平台,从MVS小型机,UNIX服务器,NT工作站到Window 微型机都有。

① 网络异构性。众多的客户机和服务器可以通过各种网络和协议互联,如SNA、TCP/IP。

② 数据异构性。企业的数据以各种不兼容的格式存储在各种数据库和文件中。常见的数据库包括DB2、Oracle、Sybase、MS SQL Server 等,文件的格式也有很多种,从文本文件、多媒体文件、字处理文件到各种Web文件。

③ 应用异构性。一个企业很可能运行几百乃至几千种应用程序。这些应用常常是由多个第三方厂家开发的,缺乏一个公共的基础平台来互相交流和协调。

对现代信息系统的管理已经成为一项越来越复杂的工作,同时,人们对信息系统的要求越来越高,采用以前的传统管理方式已很难满足要求。

其次,从生命周期的观点看,无论是硬件还是软件,大致可以分为规划和设计、开发(购买)和测试、实施、运营和终止 5 个阶段。而前 3 个阶段从时间的角度看,只占硬件和软件生命周期的 20%,其余 80%的时间基本上是对其进行运营(虽然前 3 个阶段的花费可能占整个IT投资的 80%)。如果整个IT的运营管理做得不好,那么这些花费大笔投资建立起来的系统功能再强也没有用,其对企业的价值贡献甚微,甚至为负,因为使用者根本无法顺利地使用它们,或者虽然可以使用但却不能带来预期的效益,反而为企业增加不必要的成本。

如图 2-9 所示是IT系统问题分布的统计结果。在IT系统经常出现的问题中,源自技术或产品(包括硬件、软件、网络、电力失常及天灾等)方面的只占 20%,流程失误占 40%,人员疏失占了 40%。流程失误包括变更管理没有做好、超载、没有测试等流程上的错误或不完整,人员疏失包括忘了做某些事情、训练不足、备份错误或安全疏忽等。

图2-9 IT系统问题分布的统计结果

信息技术的发展和应用,无疑对现代服务业产生了深远的影响,最直接的表现就是促进了业务运作模式的转变,即从传统的业务运作模式转变到以信息技术运用为基础的现代业务运作模式。随着信息化程度的提高与投资规模的增加,如何保证IT系统安全稳定运行、为业务提供可持续性的支撑、最大化发挥IT投资的效益,这就对已上线运行的IT系统的维护支持,以及IT部门对业务部门提供 IT服务的水平提出了新的要求。IT服务管理就是通过制定规范化的流程来管理IT 运维与IT服务交付水平,以提高IT服务质量,满足企业业务运营对IT的要求。

2.2.3 IT服务面临的挑战

中国IT服务管理发展的特点以及面临的挑战如下。

信息化工作已经从以前大规模建设阶段进入到了深入、整合应用的阶段,如何用好成了普遍关注的问题。甲方单位目前的角色要进行转化,应从执行层面转变为管理层面,应从以前的管理角色上升到决策角度,这样的角色转换需要我们配备相应的管理能力。这是大家非常关注的,包括甲方单位和运维商都非常关注。对乙方,即IT提供服务商而言,如何进行规范化、科学化、专业化的IT服务管理,已经成了非常关注的问题。

如图 2-10 所示,在整个信息化的生命周期中,应用(运行和维护阶段)占了 80%的时间。大量信息化效益的体现是在这个阶段,信息化工作想要真正体现价值和效益,离不开运行和维护(以下简称“运维”)阶段。这个过程中,信息化的投资投入过去是重建设而轻维护,在建设阶段投入了很多资金,而运维阶段的资金投入不足。IT生命周期与成本的关系如图 2-10 所示。

整个信息化的发展阶段,已经逐步由大规模的建设转到了以应用为主的运维阶段。针对运维,现在各单位依旧存在诸多挑战,沿用建设时期的管理思路和管理方法与现阶段的管理需要已不相适应。主要挑战包括:

图2-10 IT生命周期与成本的关系

(1)IT和业务无法充分融合的问题,如何使信息化真正能够带给业务价值。

(2)对运维工作的定位面临很大的挑战,很多企业对运维定位不准确,包括运维的界面的划分都很难达成共识。

(3)建设转运维的问题,很多领域和行业,开发、建设、运维部门协调起来是非常大的挑战。例如,政府单位的信息系统建设由一家外包商来做,但是如果运维转到另一家外包商就会面临很大的挑战。

(4)业务需求模糊和人力资源短缺的问题。业务部门需求不断,人力资源短缺,业务需求不稳定,业务需求缺少规范化的管理。

(5)外部合规性的要求。作为银行业和美国上市公司,要符合国外Basel II和SOX的要求,还要符合国资委全面风险管理的要求,奥运保障的要求,等等。是否能够建立以不变应万变的机制,是否可以把这套管理体系建立起来,也是一个很大的问题。要变被动为主动,建立规范化的管理控制体系。

(6)运维模式选择和运维外包的管理。目前,很多单位的运维是分散和低效的。对外包商的管理等是现在非常关注的问题,目前还没有一套有效的方法能把外包商管理起来。

(7)运维费用的问题。做专业化的运维,想去外包,但是没有经费,因为从财政这方没有预算的口径,没有办法申请这笔钱。以前从专项经费、办公经费中挤钱来做运维工作,但是随着建设大规模完成之后,到了应用阶段,经费非常困难。

(8)IT绩效。IT效益、价值如何体现出来。

从以上情况可以看出,当前我国信息化建设中最大的问题,不是技术问题,也不是资金问题,而是缺乏科学的IT管理理念;我国IT领导者最大的问题不是缺少经验和能力,而是缺乏卓越的管理理念和管理方法。IT应用层次的差异不是取决于信息技术的先进性,而是由IT管理水平的高与低造成的,IT管理将在相当长的一段时期内成为我国信息化建设的瓶颈。IT仅仅是个工具,并且这个工具并不是改善管理、业务流程、商业实践的万能工具。因此,和其他工具一样,必须通过有效的应用才能体现价值。而要想让IT得到有效的应用,并让信息系统绩效最优,最根本的不是取决于信息技术和设备的先进性,而是要向管理要效益。因此,我国信息化建设迫切需要解决的不是技术问题,而是完善的IT治理机制与IT管理理念。

针对IT管理的特点,需要解决上述所面临的挑战,识别IT服务管理的特点,提升IT服务管理水平。信息化工作和IT服务不是IT部门一个部门的事情,要从IT治理的机制入手,进行责权利划分。IT建设转运维问题,表面上是应用运维没有做好,但是问题不在运维本身,而在于治理层面。这种频繁的需求,如果没有治理层面的需求管理规范,清晰划分业务—IT的责权,本质问题就不能解决,IT部门就将长期停留在被动响应业务需求的局面。

因此,IT服务管理水平的提升,需要从治理—管理—执行多个层面做工作。图 2-11 是体现这个思路的模型实例。

图2-11 工厂服务管理水平提升实现模型

治理机制层面,要关注信息化的组织、决策,要解决治理的内容、管控。例如,业务需求,IT投资决策,项目优先级排序,IT风险的管控,信息化的绩效,这些都属于治理的内容。同时要关注决策的流程、程序、分工、责权等。治理是要从机制层面解决问题,如果没有机制的保障,单纯从方法的角度解决,问题是得不到彻底解决的。

管理层面,可以借鉴和总结国内外的最佳实践和方法,如ITIL、ISO 20000、CobiT、CMMI-SVC等,构建服务管理体系。管理体系可以分成几个层面:第一个层面是总的指南和方针要制定,整个信息化或者是IT运维的目标、方式和方法要确立下来;第二个层面包含具体的流程、管理制度等,要达到标准化必须可操作;第三个层面是操作指南和实施细则,这需要伴随管理成熟度逐渐完善;第四个层面是表单,如果没有规范的执行层面的表单,今天是这样一个表,明天是那样的表,没有规范化和标准化,效率也很难提升。想要真正体现ITIL、ISO 20000、CMMI-SVC的先进理念,这 4 个层面都必须实现。但是,在实际工作中,我们看到,有一些单位只是实现了第一个方面,有很好的手册或者是制度,却没有真正用起来。而有一些单位实现了第三个层面,却很零散,没有形成一个面。我们必须要点面结合,只有这样,才能体现其价值。

执行层面,要树立一个理念:IT服务管理要始于设计,在设计阶段就要考虑运维。同时,要确保“说、做、写”的一致性,要确保我们的制度(“写”)、执行(“做”)与大家的意识和交流语言(“说”)保持一致,真正将IT服务管理理念融入到组织文化中。

推进IT服务管理,可以考虑从以下几个方面进行。

第一,要从目标、管理模式、制度规范、技术支撑等层面,以体系化的思路构建管理体系。图 2-12 为建立管理体系的示例。

图2-12 建立管理体系的示例

第二,关注IT服务管理的价值及价值链组成。IT服务管理能给实施它的企业、企业员工及其他利益相关者提供多方面的价值。这些价值包括商业价值、财务价值、员工利益、创新价值和内部价值。

(1)商业价值。IT在商业中扮演着越来越重要的角色,通过实施IT服务管理,可以获取多方面的商业价值,比如:

① 确保IT流程支撑业务流程,整体上提高了业务运营的质量;

② 通过事故管理流程、变更管理流程和服务台等提供了更可靠的业务支持;

③ 客户对IT有更合理的期望,并更加清楚为达到这些期望他们所需要的付出;

④ 提高了客户和业务人员的生产率;

⑤ 提供更加及时、有效的业务持续性服务;

⑥ 客户和IT服务提供者之间建立了更加融洽的工作关系;

⑦ 提高了客户满意度。

(2)财务价值。IT服务管理不但提供商业价值,而且使企业在财务上直接受益,比如:

① 降低了实施变更的成本;

② 当软件或硬件不再使用时,可以及时取消对其的维护合同;

③ “量体裁衣”的能力,即根据实际需要提供适当的能力,如磁盘容量;

④ 恰当的服务持续性费用。

(3)员工利益。IT服务管理也使服务人员多方面受益,比如:

① 更加清楚地了解对员工的期望,并有合适的流程和相应的培训,以确保员工能够实现这些期望;

② 提高了IT人员的生产率;

③ 提高了IT人员的士气和工作满意度;

④ 使IT部门的价值得到更好的体现,从而提高了员工的工作积极性。

(4)创新价值。IT服务管理提供的创新价值包括:

① IT服务提供方更为清楚地理解客户的需求,确保IT服务有效支撑业务流程;

② 更多地了解当前提供的IT服务的有关信息;

③ 改进IT支持,使业务部门能够更加灵活地使用IT;

④ 提高了服务的灵活性和可适应性;

⑤ 提高了预知未来发展趋势的能力,从而能够更加迅速地采用新的服务需求和进行相应的市场开发。

(5)内部价值。IT服务管理提供的内部价值包括:

① 理解客户的需求,提升IT服务策划、估算能力,提升IT服务监控水平。

② 流程优化,提高IT服务效率和效果。

③ 信息化技术的深入实施,保证IT服务管理的可用性和连续性。

④ 收集、分析数据,形成组织财富积累,指导后续服务项目的不断改进。

⑤ 形成不断改进的循环机制。

图 2-13 显示了IT服务管理价值链的组成模式。

图2-13 IT服务管理价值链的组成模式

第三,建立良好的组织结构,流程与职能结合,关注端到端的服务(见图 2-14)。

图2-14 职能和流程结合

第四,需要建立IDEAL、PDCA等持续改进的机制,如图 2-15 中所示的PDCA循环机制。

图2-15 持续改进模型 M6F1GHtsyqVHVFED1WTmfMw+7zzpJlZce+RXjnHJZFY9IFKsT3BpZwZ04mhZew2j



2.3 IT服务管理原理、模式和方法

2.3.1 IT服务管理基本原理

IT服务管理的基本原理如图 2-16 所示。可简单地用“二次转换”来概括,第一次是“梳理”,第二次是“打包”。

首先,将纵向的各种技术管理工作(这是传统IT 管理的重点),如服务器管理、网络管理和系统软件管理等,进行“梳理”,形成典型的流程,比如CMMI-SVC中的过程域。流程主要是供IT服务提供方内部使用的,客户对此并不感兴趣,仅有这些流程并不能保证服务质量或客户满意,还需将这些流程按需“打包”成特定的IT服务,然后提供给客户,这是第二次转换。第一次转换将技术管理转化为流程管理,第二次转换将流程管理转化为服务管理。之所以要进行这样的转换,有多方面的原因。从客户的角度说,IT 只是其运营业务流程的一种手段,不是目的,需要的是IT 所实现的功能,客户没有必要,也不可能对IT有太多的了解,他们和IT服务提供者之间的交流,应该使用“商业语言”,而不是“技术语言”,IT技术对客户应该是透明的。为此,我们需要提供IT 服务。为了灵活、及时和有效地提供这些IT 服务,并保证服务质量、准确计算有关成本,服务提供商就必须事先对服务进行一定程度上的分类和“固化”。流程管理是满足这些要求的一种比较有效的方式。

图2-16 IT服务管理的基本原理

IT服务管理与企业的业务管理不同,即IT服务管理与ERP、CRM 和SCM 等管理方法和软件不同,前者面向IT 管理,后者面向业务管理。IT 服务管理属于企业信息化的一部分。IT服务管理利用一套全新的方法,对IT基础架构进行全面而集中的管理,并根据业务的实际需要,提供可计量成本的、可测量质量的IT服务,以确保业务的平稳、高效运营,实现企业目标。IT服务管理和企业信息化的关系如图 2-17 所示。

图2-17 IT服务管理和企业信息化的关系

IT服务管理不是通用的IT 规划方法,其重点是IT 的运营和管理,而不是IT 的战略规划。如果把组织的业务过程比作安排一辆汽车去完成一趟运输任务,那么IT规划的任务相当于为这次旅行选定正确的路线、合适的汽车和司机。而IT服务管理的任务则是确保汽车行驶过程中司机遵循操作规程和交通规则,对汽车进行必要的维修和保养,尽量避免其出现故障;一旦出现故障也能很快修复;并且当汽车到达目的地时,整个行驶过程中的所有费用都可以准确地计算出来,以便于衡量成本效益,为做出有关调整提供决策依据。简单地说,IT规划关注的是组织的IT方面的战略问题,而IT服务管理是确保IT战略得到有效执行的战术性和运营性活动。

虽然技术管理是IT服务管理的重要组成部分,但IT服务管理的主要目标不是管理技术。有关IT的技术管理是系统管理和网络管理的任务,IT服务管理的主要任务是管理客户和用户的IT 需求。这有点像营销管理。营销管理的本质是需求管理,其目标在于如何让组织生产的最终产品或提供的服务满足市场(客户)的需求。同样,在IT服务管理中,IT部门或IT 外包商是IT 服务的提供者,业务部门是IT部门或IT外包商的客户,如何有效地利用IT资源,以恰当地满足业务部门的需求,就成了IT服务管理的最终使命。换个角度说,对客户而言,业务部门只需关心IT服务有没有满足其要求,至于IT服务本身能不能或者怎样满足其要求,业务部门作为客户不用也没有必要关心。

2.3.2 IT服务管理的常用模式和方法

IT服务管理有很多创新性的方法论或标准体系,如面向信息技术服务管理的CMMI-SVC服务成熟度模型,ITIL服务管理框架,ISO/IEC 20000 服务管理体系标准,面向信息技术风险控制的COBIT模型和ISO/IEC38500 标准体系,ISO/IEC 27001 信息安全管理体系,面向业务连续性管理的BS25999 标准体系,等等。

1.CMMI-SVC模型

CMMI的全称是Capability Maturity Model Integrated,即软件能力成熟度模型集成,是由美国国防部投资的软件工程研究所(SEI,卡内基梅隆大学)开发和研制的成熟度模型。SEI在 2010 年 11 月颁布了最新的CMMI v1.3 版本模型组,由 3 个模型组成:CMMI for Development(CMMI-DEV),CMMI for Services(CMMI-SVC),CMMI for Acquisition(CMMI-ACQ);分别用于开发、服务、采购和外包领域。

为了满足大量服务型组织过程改进的需求,SEI很早就开始着手编写CMMI 服务模型。该模型是为服务型(特别是IT服务)企业、组织提供建立、管理和交付服务。

CMMI-SVC 的重点在于提供组织内部及外部客户服务的参考模式,服务范围覆盖所有的服务行业,不仅仅局限于IT 行业。该模型成功地集成了以下内容的概念和最佳实践,用于指导组织改进服务流程、提高服务水平和客户满意度:

(1)CMMI 其他模型。

(2)信息技术基础构架库(ITIL)。

(3)ISO/IEC 20000:信息技术—服务管理。

(4)信息和相关技术的控制目标(CobiT)。

(5)信息技术服务能力成熟度模型(ITSCMM)。

CMMI-SVC模型分为 5 个成熟度等级,包含 24 个过程域(PA),如图 2-18 所示。CMMI对 5 个等级的定义如下。

(1)初始级(Initial):软件开发过程是无序的,有时甚至是混乱的,对过程几乎没有定义,成功与否取决于个人的努力,管理也是被动反应式的。

(2)已管理级(Managed):建立了基本的项目管理过程来跟踪费用、进度和功能特性。制定了必要的开发要求,能重复以前类似的成功经验。

(3)已定义级(Defined):已将软件管理和工程两方面的过程文档化、标准化,并形成该组织的标准软件开发过程。所有项目均使用经批准、剪裁的标准软件开发过程来开发和维护软件,软件产品的生产在整个软件开发过程中是可见的。

(4)量化管理级(Quantitatively Managed):分析对服务过程和产品质量的度量数据,对服务过程和产品建立定量的理解与控制。有一定的客观依据,管理者能够在一定范围内进行预测。

(5)持续改进级(Optimizing):服务过程的量化反馈和先进的新思想、新技术,促进开发过程持续不断地改进。

图2-18 CMMI过程域

每个过程域中设定了通用目标和特殊目标,每个目标下由若干实践组成。这些实践是根据各个组织长期开发实践活动的成功经验逐渐总结、提炼形成的,被认为是具有共性的最佳惯例。

CMMI模型的层次结构如图 2-19 所示。

图2-19 CMMI模型的层次结构

CMMI-SVC模型向服务型企业提供各种最佳实践,让组织决定应该提供什么样的服务,确定服务的标准,并且使他们在业界为人所知;确保他们具备所有向服务对象提供服务时所需的资源,如人员、过程、耗材和设备等;在建立新的服务系统,变更现有系统,或者取消作废系统时,能够保证没有任何意外影响到服务;能够建立协议,来管理服务请求并且运行服务系统;并以适宜的成本确保拥有足够的资源来交付服务,在需要时就能提供服务;从一开始就阻止突发事件等类似事件的发生;能够随时准备从潜在灾难中恢复,当出现大灾难时能够迅速地恢复提供服务。

2.ISO/IEC 20000 服务管理体系标准

2005 年 12 月,国际标准机构ISO(International Standard Orgnization)发布了ISO/IEC 20000 服务管理体系标准,成为第一个IT服务管理国际标准体系。ISO/IEC20000 标准的前身可以看做是英国国家标准BS15000,而BS15000 则是英国标准协会BSI(British Standard Institute)于 2001 年发布的。

ISO/IEC 20000 的核心内容主要包括两部分。

第一部分是规范要求:《IT服务管理第二部分——服务管理规范》。这一部分全面阐述了组织若要实施有效的服务管理需要完成的工作,涉及管理体系、关系框架、术语定义、服务流程等几部分。通过列出详细的工作目标和工作内容,ISO/IEC 20000 对企业如何落实服务管理标准要求提供了规范指导,帮助组织在内部建立、实施和维护IT服务管理体系,从而达到对IT服务的管理和控制,同时也为企业获得ISO/IEC 20000 认证提供了指导。

第二部分是实施细则:《IT服务管理第二部分——服务管理实施细则》。此部分采用了与第一部分一样的结构,针对第一部分提出的要求进行了更详细的描述和适当的扩展。相较而言,第二部分减少了专业术语,更具体,更易执行。实施细则提供了组织内按照ISO/IEC 20000 进行IT服务管理的具体实践要点和方法指南,是组织准备通过ISO/IEC 20000-1 认证或进行服务改进规划的重要工具。

标准包含 10 个条款,其中:

(1)范围:说明IT服务管理的应用范围。

(2)术语与定义:定义了可用性、基线、配置项、配置管理数据库、事故、问题、记录、发布、变更请求、服务等级协议、服务管理等 15 个标准中常用的术语。

(3)管理体系要求:IT服务管理的目标是提供管理体系,包括方针和框架,以有效管理和实施所有的IT服务。该条款包括管理职责、文件要求和能力、意识和培训。

(4)服务管理的策划与实施:对服务管理的实施和交付进行策划和实施,整合了ISO管理体系标准基于流程导向的方法(PDCA),主要流程为:服务管理策划—实施服务管理并提供服务—监视、测量和评审—持续改进,上述过程形成PDCA循环,实现持续改进。

ISO/IEC 20000 的组织概貌如图 2-20 所示。

图2-20 ISO/IEC 20000 的组织概貌

ISO/IEC 20000 展示了一套完整的IT管理流程,旨在帮助IT组织识别并管理IT服务的关键流程,确保向业务和客户提供高质量的IT服务。ISO/IEC 20000 使用通用术语和服务标准,能持续改进服务质量;它具有正式、完整的认证体系,提供正式的ISO/IEC 20000 IT服务管理质量标准审核规范,为评估组织内部的 IT服务质量提供了通用且可审计的标准。

ISO/IEC 20000 标准符合行业的需求,由于IT服务难以度量,无论是客户还是服务提供商都需要一种标准来评判、显示IT服务的水平。ISO/IEC 20000 的出现已经使IT服务管理形成完整的框架,建立了一套独立且与业务管理兼容的体系,ISO/IEC 20000 标准推进了IT服务管理实践的发展。任何想通过ISO/IEC 20000 认证的组织,必须按ISO/IEC 20000的要求进行服务的计划、管理、发布、监控、报告、评审和持续改进。通过ISO/IEC 20000认证的过程,就是组织运用这套科学的管理方法论改善IT服务管理的过程。

应用ISO/IEC 20000 标准进行持续改进的模式如图 2-21 所示。

图2-21 应用ISO/IEC 20000 标准进行持续改进的模式

3.ITIL服务管理框架

ITI的全称为Information Technology Infrastructure Library,即信息技术基础架构库,是英国国家计算机和电信局 CCTA(现在已并入英国商务部)于 20 世纪 80 年代中期开始开发的一套针对 IT 行业的服务管理标准库。ITIL 产生的背景是为了提高政府部门 IT 服务的质量,而开发出来的一套规范化的、可进行财务计量的IT资源使用方法。这种方法应该是独立于厂商的并且可适用于不同规模、不同技术和业务需求的组织。

ITIL的特点主要表现在以下几个方面。

1)公共框架

英国商务部为提高政府部门和英国企业的服务质量,开发了一系列最佳实践指南。ITIL作为信息技术方面的最佳指南之一,从发布的第一天起就免费供企业和政府部门参照使用。同时,任何公司都可以以ITIL为基础,提供增值产品和服务,比如培训、咨询以及开发支持ITIL的软件和工具。

ITIL的整体框架如图 2-22 所示,其核心架构是基于服务生命周期的。服务战略是生命周期运转的轴心;服务设计、服务转换和服务运营是实施阶段;服务改进则在于对服务的定位和基于战略目标对有关的进程和项目进行优化改进。

图2-22 ITIL的整体框架

(1)服务战略:从组织能力、战略资产两个战略角度,为组织在设计、开发和实施服务管理等领域提供指导。该模块提出了服务管理实践过程中整个ITIL服务生命周期的政策、指南和流程。服务战略是服务设计、服务转换、服务运营和服务改进的基础,它的主题包括了市场开发、内部和外部的服务提供、服务资产、服务目录以及整个服务生命周期过程中战略的实施。此外,还包括了财务管理、服务投资组合管理、组织的制定和战略风险等另一些重要的主题。组织通过这些指导可以设定面向客户的服务绩效目标、期望及市场空间,并能够很好地识别、选择和优化机会。服务战略确保组织能处理与服务投资组合相关的成本和风险,建立运营的有效性和实现出色的绩效。服务战略制定的决策将产生深远的影响。

(2)服务设计:对服务及服务管理流程设计和开发的指导。它包括了将战略目标转变成服务投资组合和服务资产的原则和方法。服务设计的范围不仅限于新的服务,它还包括了为了保持和增加客户价值,而实行服务生命周期过程中必要的变更和改进,服务的连续性,服务水平的满足,以及对标准、规则的遵从性。它指导了组织如何开发设计服务管理的能力。

(3)服务转换:为如何将新的或变更的服务转换到运营过程中有关能力的开发和改进的指导。服务战略需求通过服务设计进行编码,而服务转换则是探讨如何将这种编码有效地导入到服务运营的体系中,与此同时,还应控制失败的风险和服务中断。对于如何将变更转换成服务和服务管理流程,并在此革新的过程中避免出现不良的结果也进行指导。此外,它还提供了客户与服务提供商之间转换过程中对服务控制的指导。

(4)服务运营:在服务运营管理方面,对如何达到服务支持和交付的效果和效率,以确保客户与服务供应商的价值提供了指导。战略目标最终需要通过服务运营来实现,因此,它是一种非常重要的能力。它对如何在设计、规模和服务水平变化的情况下,如何保持服务运营稳定性提供了指导。服务运营有两种主要的控制:被动的和主动的。服务运营还通过对诸如共享服务(Shared Service)、效用计算(Utility Computing)、网络服务(Network Service)和移动商务(Mobile Service)等新模型和架构的应用为支持运营提供指导。

(5)服务改进:为创造和保持客户价值,而用更优化的服务设计、导入和运营提供指导。它结合了质量管理、变更管理和能力改进方面的原则、实践和方法。组织要学会在服务质量、运营效率和业务连续性方面的不断提高和改进的意识。此外,服务改进还为改进所取得的成就与服务战略、服务设计和服务转换之间如何建立关联提供指导。服务改进还对建立基于PDCA模型(Plan、Do、Check和Act),建立闭环反馈系统提供指导。

生命周期模型的引入改变了模块之间相互割裂、独立实施的局面,从战略、战术和运作三个层面针对业务和IT快速变化提出了服务管理实践方法。它通过连贯的逻辑体系,以服务战略作为总纲,通过服务设计、服务转换和服务运作加以实施,并借助持续服务改进不断完善整个过程,使IT服务管理的实施过程被有机地整合为一个良性循环的整体。

2)最佳实践框架

组织收集和分析各种有关组织如何解决服务管理问题等方面的信息,找出那些对客户有益的做法。ITIL的各部分之间并没有严格的逻辑关系。ITIL来源于实践,经过合理的提炼,反过来又可以指导实践。ITIL列出了各个服务管理流程的“最佳”目标、活动、输入和输出,以及各个流程之间的关系。其重点是保证各流程实现其应有的功能并与其他流程相协调。至于具体怎样实现这些功能,不同企业可根据实际需要采取不同的方式。这有点近似于现在流行的“面向对象编程”的思想:各个流程(对象)是相对独立的,实现了某些特定的功能;流程之间及流程和业务之间的关系(接口)已根据业务和IT管理方面的需要事先规划好;这样我们就可以方便地实施或放弃某个流程,同时其他流程还可以继续保持运作。

3)质量管理方法和标准

随着信息技术的发展以及企业对信息技术依赖程度的提高,IT已成为许多业务流程必不可少的部分,甚至是某些业务流程赖以运作的基础。这对IT本身是件好事,但这种地位的提升同时意味着IT要承担更大的责任。这种责任主要表现在两个方面:一是提高业务的运作效率;二是降低业务流程的运作成本。可实际情况往往是IT在这两个方面的表现都不是很让人满意。其原因部分是因为IT部门自认为是公司的“特殊部门”,往往从技术而不是业务的角度考虑问题;或者即使发现需要改进,也找不到合适的方法和工具。

为了解决这些问题,ITIL贯彻质量思想,应用质量的方法和标准来管理IT服务。服务提供流程制定服务级别协议、监督协议的执行并评价最终结果;服务支持流程根据服务协议以合理的成本提供服务。这整个过程关注的不仅仅是IT部门是否提供了某种服务,更重要的是IT部门是否提供了让客户满意的服务。

图 2-23 显示了核心 ITIL 模块服务提供、服务支持的范围及其之间的逻辑关系。

图2-23 ITIL模块之间的关系

4.ISO/IEC 27001 信息安全管理体系

IT服务管理的基础是信息技术,组织对信息安全的要求随着组织业务对信息技术的依赖而产生,在处理信息安全的过程中,人们逐步发现光从产品和技术上应对信息安全的问题是远远不够的,如何通过标准化的管理体系全面地应对信息安全问题是目前普遍关注的焦点。

ISO/IEC 27001 标准从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提出了要求。它规定了为适应不同组织或部门的需要而定制的安全控制措施的实施要求。该标准适用于所有类型的组织,如商业企业、政府机构、非营利性组织。ISO/IEC 27002:2005 标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和一般原则,=其列出的目标为通常所接受的信息安全管理的目的提供了一般性指南。ISO/IEC 27001 标准可供有关组织的所有员工,以及利益相关者、供应商、第三方、顾客或其他外部方使用,其框架如图 2-24 所示。

图2-24 ISO/IEC 27001 框架

ISO/IEC 27001 标准从 11 个方面提出了 39 个信息安全控制目标和 133 个控制措施。每个具体控制措施、标准都给出了详细的实施指南,以方便用户使用。

标准的 11 个控制措施,以及具体的控制目标和控制措施数量分别是:

(1)安全方针(控制目标:1 个,控制措施:2 个)。

(2)信息安全组织(控制目标:2 个,控制措施:11 个)。

(3)资产管理(控制目标:2 个,控制措施:5 个)。

(4)人力资源安全(控制目标:3 个,控制措施:9 个)。

(5)物理和环境安全(控制目标:2 个,控制措施:13 个)。

(6)通信和操作管理(控制目标:10 个,控制措施:32 个)。

(7)访问控制(控制目标:7 个,控制措施:25 个)。

(8)信息系统获取、幵发和维护(控制目标:6 个,控制措施:16 个)。

(9)信息安全事件管理(控制目标:2 个,控制措施:5 个)。

(10)业务连续性管理(控制目标:1 个,控制措施:5 个)。

(11)符合性(控制目标:3 个,控制措施:10 个)。

5.ISO/IEC 38500

治理、风险与合规管理标准ISO/IEC 38500 是从澳大利亚标准AS80152005 基础上发展而来的,是IT 治理国际标准,于 2008 年 4 月正式发布,这是第一个IT治理国际标准,它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段,而且也标志着信息化正式进入IT治理时代。

该标准提供了一套系统的模型、原则和词汇,用来帮助公司IT治理的实施,确保利益相关者对于组织IT治理的信心。标准一共包括 3 个部分的内容,其中第一部分是“范围、应用和目标”;第二部分是“良好的IT治理框架”,介绍了 IT治理的原则和模型;第三部分是“组织IT治理实施指南”,介绍了 IT治理实施的 6 个方面的原则。ISO/IEC 38500 标准模型如图 2-25 所示。

图2-25 ISO/IEC 38500 标准模型

6.COBIT

COBIT全称为信息及相关技术的控制目标(Control OBjectives for Information and related Technology,COBIT)。依据ISACA的控制目标而建立,并通过吸收国际先进技术和各种专业行业标准,如技术标准、执行规则、信息系统质量标准、内控和审计专业标准以及工业实践和行业需求等,不断得以完善,更加专注于帮助高层和员工应对其所面临的不断发展的职责要求,并且更加重视COBIT与其他标准(ITIL、CMMI、COSO、PMBOK、ISF和ISO 17799)之间的协调。COBIT已经成为国际上信息及相关技术控制的事实标准,并通过大量的企业实践,指导企业有效地管理和控制与IT相关的风险,是一套行之有效的IT治理模型和开放性标准。

COBIT控制原理源自这样一个假设:IT部门的最高准则和目标是及时向企业提供实现其战略或业务目标所需的、准确的信息,在此准则下,有必要将IT资源划分为一系列IT流程进行管理。这样,COBIT将信息准则、IT资源以及IT流程联系起来,形成一个三维的体系结构,如图 2-26 所示。

图2-26 COBIT框架模型

(1)信息准则:集中反映了企业的战略目标和业务需求。COBIT通过参考COSO 等控制模型,定义了 7 个不同的信息评价指标衡量其是否满足业务需求,即信息的有效性(Effectiveness)、高效性(Efficiency)、机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、一致性(Compliance)、可靠性(Reliability)。

(2)IT资源:IT资源主要包括人、应用系统、信息、基础设施在内的与信息相关的资源,这是IT流程处理的主要对象。

(3)IT流程:指的是在信息准则的指导下,对IT资源进行规划与处理。从本质上看,对IT资源的管理包含了三层工作:最底层是基本的活动和任务(Activity);往上是过程(Process),它由一系列关联的能够自然终止的活动和任务组成;再往上是过程按照组织结构中的责任区别划分的控制域(Domain),同时符合流程中的管理周期或生命周期。

如何在商业目标、IT资源、IT流程三者之间构建起一条畅通无阻的沟通纽带是十分重要的。COBIT通过在IT流程中建立起控制目标和控制程序,成功地将IT资源与信息准则(商业目标)连接起来。信息资源接受商业目标提出的需求,控制模型对信息资源进行管理与控制,商业目标从IT流程的控制模型中获取信息,判断其目标达到的程度。这样,在一个由三者共同组成的循环中,IT资源得以充分利用,IT流程得以优化,IT 准则得以实现,从而保障了组织目标的顺利达成。

7.SOX法案

SOX法案全称为萨班尼斯-奥克斯莱(Sarbanes-Oxley)法案,也叫做“上市公司会计改革与投资者保护法案”。SOX法案共分 11 章,其中第 1 章至第 7 章主要涉及对会计职业及公司行为的监管,而第 8 章至第 11 章主要涉及如何界定和追究公司高管及白领犯罪的刑事责任。无论是法案内容本身还是法案通过的过程,SOX法案都体现了美国金融市场的监管者要求“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的”的坚定决心,这也反映在对提高公司财务透明程度、规范程度和可信程度的要求上。

SOX法案要求企业针对产生财务交易的所有作业流程,做到可见、透明、可控、互通,详加记录以便追溯交易源头,并采取措施进行风险管理和欺诈防范。按照SOX法案的规定,公司的CEO和CFO(或任何执行此类职能的人)需要承担个人责任,他们必须保证公司向美国证券交易委员会(SEC)递交的法定申报信息中,所披露的季度和年度财务报告是准确的,信息披露的管理措施、步骤、实施和保持是合理的。

企业达到SOX法案要求的关键,是建立良好的公司治理环境和内部控制机制,而IT对此是不能置身事外的。其中主要有 4 项条款与IT部门相关,需要引起IT管理人员的重视,它们分别是 302 条款、404 条款、409 条款和 1102 条款,具体内容如表 2-2 所示。

表2-2 涉及IT的SOX法案条款

在SOX法案中,SOX404 是被人们提及频率最高的条款之一,它篇幅不长,从字面上看与IT没有丝毫联系。但实际上,正是SOX404 把IT推到了前台,使人们不得不重视IT在SOX法案中发挥的关键作用。

IT和财务信息处理流程的密切联系使IT成为在SOX法案中需要进行重点评估和控制的领域,提高企业对IT相关流程、技术、设备以及风险的控制能力是达到SOX法案的必然要求。在SOX法案中,IT的主要职责和活动包括:

(1)了解组织的内控项目和财务汇报流程。

(2)确定与内控活动或财务汇报流程相对应的IT系统。

(3)分析和辨别这些IT系统带来的风险。

(4)设计、执行控制措施,以降低或排除潜在风险,并对此进行监控,以保证控制措施的长期效力;将控制措施文档化和信息化,并进行测试。

(5)对IT控制进行必要的升级和变更,以配合公司内控或财务汇报流程的变化,随时监控IT控制的效力。 M6F1GHtsyqVHVFED1WTmfMw+7zzpJlZce+RXjnHJZFY9IFKsT3BpZwZ04mhZew2j

点击中间区域
呼出菜单
上一章
目录
下一章
×