下载掌阅APP,畅读海量书库
立即打开
IT服务管理的基本原理如图 2-16 所示。可简单地用“二次转换”来概括,第一次是“梳理”,第二次是“打包”。
首先,将纵向的各种技术管理工作(这是传统IT 管理的重点),如服务器管理、网络管理和系统软件管理等,进行“梳理”,形成典型的流程,比如CMMI-SVC中的过程域。流程主要是供IT服务提供方内部使用的,客户对此并不感兴趣,仅有这些流程并不能保证服务质量或客户满意,还需将这些流程按需“打包”成特定的IT服务,然后提供给客户,这是第二次转换。第一次转换将技术管理转化为流程管理,第二次转换将流程管理转化为服务管理。之所以要进行这样的转换,有多方面的原因。从客户的角度说,IT 只是其运营业务流程的一种手段,不是目的,需要的是IT 所实现的功能,客户没有必要,也不可能对IT有太多的了解,他们和IT服务提供者之间的交流,应该使用“商业语言”,而不是“技术语言”,IT技术对客户应该是透明的。为此,我们需要提供IT 服务。为了灵活、及时和有效地提供这些IT 服务,并保证服务质量、准确计算有关成本,服务提供商就必须事先对服务进行一定程度上的分类和“固化”。流程管理是满足这些要求的一种比较有效的方式。
图2-16 IT服务管理的基本原理
IT服务管理与企业的业务管理不同,即IT服务管理与ERP、CRM 和SCM 等管理方法和软件不同,前者面向IT 管理,后者面向业务管理。IT 服务管理属于企业信息化的一部分。IT服务管理利用一套全新的方法,对IT基础架构进行全面而集中的管理,并根据业务的实际需要,提供可计量成本的、可测量质量的IT服务,以确保业务的平稳、高效运营,实现企业目标。IT服务管理和企业信息化的关系如图 2-17 所示。
图2-17 IT服务管理和企业信息化的关系
IT服务管理不是通用的IT 规划方法,其重点是IT 的运营和管理,而不是IT 的战略规划。如果把组织的业务过程比作安排一辆汽车去完成一趟运输任务,那么IT规划的任务相当于为这次旅行选定正确的路线、合适的汽车和司机。而IT服务管理的任务则是确保汽车行驶过程中司机遵循操作规程和交通规则,对汽车进行必要的维修和保养,尽量避免其出现故障;一旦出现故障也能很快修复;并且当汽车到达目的地时,整个行驶过程中的所有费用都可以准确地计算出来,以便于衡量成本效益,为做出有关调整提供决策依据。简单地说,IT规划关注的是组织的IT方面的战略问题,而IT服务管理是确保IT战略得到有效执行的战术性和运营性活动。
虽然技术管理是IT服务管理的重要组成部分,但IT服务管理的主要目标不是管理技术。有关IT的技术管理是系统管理和网络管理的任务,IT服务管理的主要任务是管理客户和用户的IT 需求。这有点像营销管理。营销管理的本质是需求管理,其目标在于如何让组织生产的最终产品或提供的服务满足市场(客户)的需求。同样,在IT服务管理中,IT部门或IT 外包商是IT 服务的提供者,业务部门是IT部门或IT外包商的客户,如何有效地利用IT资源,以恰当地满足业务部门的需求,就成了IT服务管理的最终使命。换个角度说,对客户而言,业务部门只需关心IT服务有没有满足其要求,至于IT服务本身能不能或者怎样满足其要求,业务部门作为客户不用也没有必要关心。
IT服务管理有很多创新性的方法论或标准体系,如面向信息技术服务管理的CMMI-SVC服务成熟度模型,ITIL服务管理框架,ISO/IEC 20000 服务管理体系标准,面向信息技术风险控制的COBIT模型和ISO/IEC38500 标准体系,ISO/IEC 27001 信息安全管理体系,面向业务连续性管理的BS25999 标准体系,等等。
CMMI的全称是Capability Maturity Model Integrated,即软件能力成熟度模型集成,是由美国国防部投资的软件工程研究所(SEI,卡内基梅隆大学)开发和研制的成熟度模型。SEI在 2010 年 11 月颁布了最新的CMMI v1.3 版本模型组,由 3 个模型组成:CMMI for Development(CMMI-DEV),CMMI for Services(CMMI-SVC),CMMI for Acquisition(CMMI-ACQ);分别用于开发、服务、采购和外包领域。
为了满足大量服务型组织过程改进的需求,SEI很早就开始着手编写CMMI 服务模型。该模型是为服务型(特别是IT服务)企业、组织提供建立、管理和交付服务。
CMMI-SVC 的重点在于提供组织内部及外部客户服务的参考模式,服务范围覆盖所有的服务行业,不仅仅局限于IT 行业。该模型成功地集成了以下内容的概念和最佳实践,用于指导组织改进服务流程、提高服务水平和客户满意度:
(1)CMMI 其他模型。
(2)信息技术基础构架库(ITIL)。
(3)ISO/IEC 20000:信息技术—服务管理。
(4)信息和相关技术的控制目标(CobiT)。
(5)信息技术服务能力成熟度模型(ITSCMM)。
CMMI-SVC模型分为 5 个成熟度等级,包含 24 个过程域(PA),如图 2-18 所示。CMMI对 5 个等级的定义如下。
(1)初始级(Initial):软件开发过程是无序的,有时甚至是混乱的,对过程几乎没有定义,成功与否取决于个人的努力,管理也是被动反应式的。
(2)已管理级(Managed):建立了基本的项目管理过程来跟踪费用、进度和功能特性。制定了必要的开发要求,能重复以前类似的成功经验。
(3)已定义级(Defined):已将软件管理和工程两方面的过程文档化、标准化,并形成该组织的标准软件开发过程。所有项目均使用经批准、剪裁的标准软件开发过程来开发和维护软件,软件产品的生产在整个软件开发过程中是可见的。
(4)量化管理级(Quantitatively Managed):分析对服务过程和产品质量的度量数据,对服务过程和产品建立定量的理解与控制。有一定的客观依据,管理者能够在一定范围内进行预测。
(5)持续改进级(Optimizing):服务过程的量化反馈和先进的新思想、新技术,促进开发过程持续不断地改进。
图2-18 CMMI过程域
每个过程域中设定了通用目标和特殊目标,每个目标下由若干实践组成。这些实践是根据各个组织长期开发实践活动的成功经验逐渐总结、提炼形成的,被认为是具有共性的最佳惯例。
CMMI模型的层次结构如图 2-19 所示。
图2-19 CMMI模型的层次结构
CMMI-SVC模型向服务型企业提供各种最佳实践,让组织决定应该提供什么样的服务,确定服务的标准,并且使他们在业界为人所知;确保他们具备所有向服务对象提供服务时所需的资源,如人员、过程、耗材和设备等;在建立新的服务系统,变更现有系统,或者取消作废系统时,能够保证没有任何意外影响到服务;能够建立协议,来管理服务请求并且运行服务系统;并以适宜的成本确保拥有足够的资源来交付服务,在需要时就能提供服务;从一开始就阻止突发事件等类似事件的发生;能够随时准备从潜在灾难中恢复,当出现大灾难时能够迅速地恢复提供服务。
2005 年 12 月,国际标准机构ISO(International Standard Orgnization)发布了ISO/IEC 20000 服务管理体系标准,成为第一个IT服务管理国际标准体系。ISO/IEC20000 标准的前身可以看做是英国国家标准BS15000,而BS15000 则是英国标准协会BSI(British Standard Institute)于 2001 年发布的。
ISO/IEC 20000 的核心内容主要包括两部分。
第一部分是规范要求:《IT服务管理第二部分——服务管理规范》。这一部分全面阐述了组织若要实施有效的服务管理需要完成的工作,涉及管理体系、关系框架、术语定义、服务流程等几部分。通过列出详细的工作目标和工作内容,ISO/IEC 20000 对企业如何落实服务管理标准要求提供了规范指导,帮助组织在内部建立、实施和维护IT服务管理体系,从而达到对IT服务的管理和控制,同时也为企业获得ISO/IEC 20000 认证提供了指导。
第二部分是实施细则:《IT服务管理第二部分——服务管理实施细则》。此部分采用了与第一部分一样的结构,针对第一部分提出的要求进行了更详细的描述和适当的扩展。相较而言,第二部分减少了专业术语,更具体,更易执行。实施细则提供了组织内按照ISO/IEC 20000 进行IT服务管理的具体实践要点和方法指南,是组织准备通过ISO/IEC 20000-1 认证或进行服务改进规划的重要工具。
标准包含 10 个条款,其中:
(1)范围:说明IT服务管理的应用范围。
(2)术语与定义:定义了可用性、基线、配置项、配置管理数据库、事故、问题、记录、发布、变更请求、服务等级协议、服务管理等 15 个标准中常用的术语。
(3)管理体系要求:IT服务管理的目标是提供管理体系,包括方针和框架,以有效管理和实施所有的IT服务。该条款包括管理职责、文件要求和能力、意识和培训。
(4)服务管理的策划与实施:对服务管理的实施和交付进行策划和实施,整合了ISO管理体系标准基于流程导向的方法(PDCA),主要流程为:服务管理策划—实施服务管理并提供服务—监视、测量和评审—持续改进,上述过程形成PDCA循环,实现持续改进。
ISO/IEC 20000 的组织概貌如图 2-20 所示。
图2-20 ISO/IEC 20000 的组织概貌
ISO/IEC 20000 展示了一套完整的IT管理流程,旨在帮助IT组织识别并管理IT服务的关键流程,确保向业务和客户提供高质量的IT服务。ISO/IEC 20000 使用通用术语和服务标准,能持续改进服务质量;它具有正式、完整的认证体系,提供正式的ISO/IEC 20000 IT服务管理质量标准审核规范,为评估组织内部的 IT服务质量提供了通用且可审计的标准。
ISO/IEC 20000 标准符合行业的需求,由于IT服务难以度量,无论是客户还是服务提供商都需要一种标准来评判、显示IT服务的水平。ISO/IEC 20000 的出现已经使IT服务管理形成完整的框架,建立了一套独立且与业务管理兼容的体系,ISO/IEC 20000 标准推进了IT服务管理实践的发展。任何想通过ISO/IEC 20000 认证的组织,必须按ISO/IEC 20000的要求进行服务的计划、管理、发布、监控、报告、评审和持续改进。通过ISO/IEC 20000认证的过程,就是组织运用这套科学的管理方法论改善IT服务管理的过程。
应用ISO/IEC 20000 标准进行持续改进的模式如图 2-21 所示。
图2-21 应用ISO/IEC 20000 标准进行持续改进的模式
ITI的全称为Information Technology Infrastructure Library,即信息技术基础架构库,是英国国家计算机和电信局 CCTA(现在已并入英国商务部)于 20 世纪 80 年代中期开始开发的一套针对 IT 行业的服务管理标准库。ITIL 产生的背景是为了提高政府部门 IT 服务的质量,而开发出来的一套规范化的、可进行财务计量的IT资源使用方法。这种方法应该是独立于厂商的并且可适用于不同规模、不同技术和业务需求的组织。
ITIL的特点主要表现在以下几个方面。
英国商务部为提高政府部门和英国企业的服务质量,开发了一系列最佳实践指南。ITIL作为信息技术方面的最佳指南之一,从发布的第一天起就免费供企业和政府部门参照使用。同时,任何公司都可以以ITIL为基础,提供增值产品和服务,比如培训、咨询以及开发支持ITIL的软件和工具。
ITIL的整体框架如图 2-22 所示,其核心架构是基于服务生命周期的。服务战略是生命周期运转的轴心;服务设计、服务转换和服务运营是实施阶段;服务改进则在于对服务的定位和基于战略目标对有关的进程和项目进行优化改进。
图2-22 ITIL的整体框架
(1)服务战略:从组织能力、战略资产两个战略角度,为组织在设计、开发和实施服务管理等领域提供指导。该模块提出了服务管理实践过程中整个ITIL服务生命周期的政策、指南和流程。服务战略是服务设计、服务转换、服务运营和服务改进的基础,它的主题包括了市场开发、内部和外部的服务提供、服务资产、服务目录以及整个服务生命周期过程中战略的实施。此外,还包括了财务管理、服务投资组合管理、组织的制定和战略风险等另一些重要的主题。组织通过这些指导可以设定面向客户的服务绩效目标、期望及市场空间,并能够很好地识别、选择和优化机会。服务战略确保组织能处理与服务投资组合相关的成本和风险,建立运营的有效性和实现出色的绩效。服务战略制定的决策将产生深远的影响。
(2)服务设计:对服务及服务管理流程设计和开发的指导。它包括了将战略目标转变成服务投资组合和服务资产的原则和方法。服务设计的范围不仅限于新的服务,它还包括了为了保持和增加客户价值,而实行服务生命周期过程中必要的变更和改进,服务的连续性,服务水平的满足,以及对标准、规则的遵从性。它指导了组织如何开发设计服务管理的能力。
(3)服务转换:为如何将新的或变更的服务转换到运营过程中有关能力的开发和改进的指导。服务战略需求通过服务设计进行编码,而服务转换则是探讨如何将这种编码有效地导入到服务运营的体系中,与此同时,还应控制失败的风险和服务中断。对于如何将变更转换成服务和服务管理流程,并在此革新的过程中避免出现不良的结果也进行指导。此外,它还提供了客户与服务提供商之间转换过程中对服务控制的指导。
(4)服务运营:在服务运营管理方面,对如何达到服务支持和交付的效果和效率,以确保客户与服务供应商的价值提供了指导。战略目标最终需要通过服务运营来实现,因此,它是一种非常重要的能力。它对如何在设计、规模和服务水平变化的情况下,如何保持服务运营稳定性提供了指导。服务运营有两种主要的控制:被动的和主动的。服务运营还通过对诸如共享服务(Shared Service)、效用计算(Utility Computing)、网络服务(Network Service)和移动商务(Mobile Service)等新模型和架构的应用为支持运营提供指导。
(5)服务改进:为创造和保持客户价值,而用更优化的服务设计、导入和运营提供指导。它结合了质量管理、变更管理和能力改进方面的原则、实践和方法。组织要学会在服务质量、运营效率和业务连续性方面的不断提高和改进的意识。此外,服务改进还为改进所取得的成就与服务战略、服务设计和服务转换之间如何建立关联提供指导。服务改进还对建立基于PDCA模型(Plan、Do、Check和Act),建立闭环反馈系统提供指导。
生命周期模型的引入改变了模块之间相互割裂、独立实施的局面,从战略、战术和运作三个层面针对业务和IT快速变化提出了服务管理实践方法。它通过连贯的逻辑体系,以服务战略作为总纲,通过服务设计、服务转换和服务运作加以实施,并借助持续服务改进不断完善整个过程,使IT服务管理的实施过程被有机地整合为一个良性循环的整体。
组织收集和分析各种有关组织如何解决服务管理问题等方面的信息,找出那些对客户有益的做法。ITIL的各部分之间并没有严格的逻辑关系。ITIL来源于实践,经过合理的提炼,反过来又可以指导实践。ITIL列出了各个服务管理流程的“最佳”目标、活动、输入和输出,以及各个流程之间的关系。其重点是保证各流程实现其应有的功能并与其他流程相协调。至于具体怎样实现这些功能,不同企业可根据实际需要采取不同的方式。这有点近似于现在流行的“面向对象编程”的思想:各个流程(对象)是相对独立的,实现了某些特定的功能;流程之间及流程和业务之间的关系(接口)已根据业务和IT管理方面的需要事先规划好;这样我们就可以方便地实施或放弃某个流程,同时其他流程还可以继续保持运作。
随着信息技术的发展以及企业对信息技术依赖程度的提高,IT已成为许多业务流程必不可少的部分,甚至是某些业务流程赖以运作的基础。这对IT本身是件好事,但这种地位的提升同时意味着IT要承担更大的责任。这种责任主要表现在两个方面:一是提高业务的运作效率;二是降低业务流程的运作成本。可实际情况往往是IT在这两个方面的表现都不是很让人满意。其原因部分是因为IT部门自认为是公司的“特殊部门”,往往从技术而不是业务的角度考虑问题;或者即使发现需要改进,也找不到合适的方法和工具。
为了解决这些问题,ITIL贯彻质量思想,应用质量的方法和标准来管理IT服务。服务提供流程制定服务级别协议、监督协议的执行并评价最终结果;服务支持流程根据服务协议以合理的成本提供服务。这整个过程关注的不仅仅是IT部门是否提供了某种服务,更重要的是IT部门是否提供了让客户满意的服务。
图 2-23 显示了核心 ITIL 模块服务提供、服务支持的范围及其之间的逻辑关系。
图2-23 ITIL模块之间的关系
IT服务管理的基础是信息技术,组织对信息安全的要求随着组织业务对信息技术的依赖而产生,在处理信息安全的过程中,人们逐步发现光从产品和技术上应对信息安全的问题是远远不够的,如何通过标准化的管理体系全面地应对信息安全问题是目前普遍关注的焦点。
ISO/IEC 27001 标准从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提出了要求。它规定了为适应不同组织或部门的需要而定制的安全控制措施的实施要求。该标准适用于所有类型的组织,如商业企业、政府机构、非营利性组织。ISO/IEC 27002:2005 标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和一般原则,=其列出的目标为通常所接受的信息安全管理的目的提供了一般性指南。ISO/IEC 27001 标准可供有关组织的所有员工,以及利益相关者、供应商、第三方、顾客或其他外部方使用,其框架如图 2-24 所示。
图2-24 ISO/IEC 27001 框架
ISO/IEC 27001 标准从 11 个方面提出了 39 个信息安全控制目标和 133 个控制措施。每个具体控制措施、标准都给出了详细的实施指南,以方便用户使用。
标准的 11 个控制措施,以及具体的控制目标和控制措施数量分别是:
(1)安全方针(控制目标:1 个,控制措施:2 个)。
(2)信息安全组织(控制目标:2 个,控制措施:11 个)。
(3)资产管理(控制目标:2 个,控制措施:5 个)。
(4)人力资源安全(控制目标:3 个,控制措施:9 个)。
(5)物理和环境安全(控制目标:2 个,控制措施:13 个)。
(6)通信和操作管理(控制目标:10 个,控制措施:32 个)。
(7)访问控制(控制目标:7 个,控制措施:25 个)。
(8)信息系统获取、幵发和维护(控制目标:6 个,控制措施:16 个)。
(9)信息安全事件管理(控制目标:2 个,控制措施:5 个)。
(10)业务连续性管理(控制目标:1 个,控制措施:5 个)。
(11)符合性(控制目标:3 个,控制措施:10 个)。
治理、风险与合规管理标准ISO/IEC 38500 是从澳大利亚标准AS80152005 基础上发展而来的,是IT 治理国际标准,于 2008 年 4 月正式发布,这是第一个IT治理国际标准,它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段,而且也标志着信息化正式进入IT治理时代。
该标准提供了一套系统的模型、原则和词汇,用来帮助公司IT治理的实施,确保利益相关者对于组织IT治理的信心。标准一共包括 3 个部分的内容,其中第一部分是“范围、应用和目标”;第二部分是“良好的IT治理框架”,介绍了 IT治理的原则和模型;第三部分是“组织IT治理实施指南”,介绍了 IT治理实施的 6 个方面的原则。ISO/IEC 38500 标准模型如图 2-25 所示。
图2-25 ISO/IEC 38500 标准模型
COBIT全称为信息及相关技术的控制目标(Control OBjectives for Information and related Technology,COBIT)。依据ISACA的控制目标而建立,并通过吸收国际先进技术和各种专业行业标准,如技术标准、执行规则、信息系统质量标准、内控和审计专业标准以及工业实践和行业需求等,不断得以完善,更加专注于帮助高层和员工应对其所面临的不断发展的职责要求,并且更加重视COBIT与其他标准(ITIL、CMMI、COSO、PMBOK、ISF和ISO 17799)之间的协调。COBIT已经成为国际上信息及相关技术控制的事实标准,并通过大量的企业实践,指导企业有效地管理和控制与IT相关的风险,是一套行之有效的IT治理模型和开放性标准。
COBIT控制原理源自这样一个假设:IT部门的最高准则和目标是及时向企业提供实现其战略或业务目标所需的、准确的信息,在此准则下,有必要将IT资源划分为一系列IT流程进行管理。这样,COBIT将信息准则、IT资源以及IT流程联系起来,形成一个三维的体系结构,如图 2-26 所示。
图2-26 COBIT框架模型
(1)信息准则:集中反映了企业的战略目标和业务需求。COBIT通过参考COSO 等控制模型,定义了 7 个不同的信息评价指标衡量其是否满足业务需求,即信息的有效性(Effectiveness)、高效性(Efficiency)、机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、一致性(Compliance)、可靠性(Reliability)。
(2)IT资源:IT资源主要包括人、应用系统、信息、基础设施在内的与信息相关的资源,这是IT流程处理的主要对象。
(3)IT流程:指的是在信息准则的指导下,对IT资源进行规划与处理。从本质上看,对IT资源的管理包含了三层工作:最底层是基本的活动和任务(Activity);往上是过程(Process),它由一系列关联的能够自然终止的活动和任务组成;再往上是过程按照组织结构中的责任区别划分的控制域(Domain),同时符合流程中的管理周期或生命周期。
如何在商业目标、IT资源、IT流程三者之间构建起一条畅通无阻的沟通纽带是十分重要的。COBIT通过在IT流程中建立起控制目标和控制程序,成功地将IT资源与信息准则(商业目标)连接起来。信息资源接受商业目标提出的需求,控制模型对信息资源进行管理与控制,商业目标从IT流程的控制模型中获取信息,判断其目标达到的程度。这样,在一个由三者共同组成的循环中,IT资源得以充分利用,IT流程得以优化,IT 准则得以实现,从而保障了组织目标的顺利达成。
SOX法案全称为萨班尼斯-奥克斯莱(Sarbanes-Oxley)法案,也叫做“上市公司会计改革与投资者保护法案”。SOX法案共分 11 章,其中第 1 章至第 7 章主要涉及对会计职业及公司行为的监管,而第 8 章至第 11 章主要涉及如何界定和追究公司高管及白领犯罪的刑事责任。无论是法案内容本身还是法案通过的过程,SOX法案都体现了美国金融市场的监管者要求“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的”的坚定决心,这也反映在对提高公司财务透明程度、规范程度和可信程度的要求上。
SOX法案要求企业针对产生财务交易的所有作业流程,做到可见、透明、可控、互通,详加记录以便追溯交易源头,并采取措施进行风险管理和欺诈防范。按照SOX法案的规定,公司的CEO和CFO(或任何执行此类职能的人)需要承担个人责任,他们必须保证公司向美国证券交易委员会(SEC)递交的法定申报信息中,所披露的季度和年度财务报告是准确的,信息披露的管理措施、步骤、实施和保持是合理的。
企业达到SOX法案要求的关键,是建立良好的公司治理环境和内部控制机制,而IT对此是不能置身事外的。其中主要有 4 项条款与IT部门相关,需要引起IT管理人员的重视,它们分别是 302 条款、404 条款、409 条款和 1102 条款,具体内容如表 2-2 所示。
表2-2 涉及IT的SOX法案条款
在SOX法案中,SOX404 是被人们提及频率最高的条款之一,它篇幅不长,从字面上看与IT没有丝毫联系。但实际上,正是SOX404 把IT推到了前台,使人们不得不重视IT在SOX法案中发挥的关键作用。
IT和财务信息处理流程的密切联系使IT成为在SOX法案中需要进行重点评估和控制的领域,提高企业对IT相关流程、技术、设备以及风险的控制能力是达到SOX法案的必然要求。在SOX法案中,IT的主要职责和活动包括:
(1)了解组织的内控项目和财务汇报流程。
(2)确定与内控活动或财务汇报流程相对应的IT系统。
(3)分析和辨别这些IT系统带来的风险。
(4)设计、执行控制措施,以降低或排除潜在风险,并对此进行监控,以保证控制措施的长期效力;将控制措施文档化和信息化,并进行测试。
(5)对IT控制进行必要的升级和变更,以配合公司内控或财务汇报流程的变化,随时监控IT控制的效力。