XX银行XX分行IT管理工作思路.doc

XX银行XX分行IT管理工作思路XX银行XX分行IT管理工作思路 现在商业银行对于科技的投入越来越大，设备数量的增多，应用的增多，应用复杂度的增加，均使得日常维护等管理工作变得比过去更加严峻和复杂，内部需求的驱动也使得这一切变得更迫切，越来越多的商业银行开始 “向管理要效益”。因此，商业银行IT运维管理不能仅满足于业务系统运行能正常运行，如何加强IT运维的安全性、可用性，提高响应时间，提升管理效率，便成为银行科技部门在开放平台服务管理方面面临的挑战。 XX银行XX分行新成立之初，更面临着如何构建一个坚实的IT运维基础，无论从具体的操作还是到日常管理方式和应急事件处理，都要预先进行规划，为以后降低运营成本，保证业务稳定、持续健康地的发展创造良好的条件，以下是关于XX银行XX分行成立后IT运维工作的思路。一、各类业务系统和企业网系统按照分行需求及时部署到位并开展运行维护（1）系统运行能力管理 能力管理主要关注业务和IT基础架构之间的关系，它不仅要评价和改进现有服务能力，而且还应分析和预测组织未来的业务需求，从而据此确定未来应当配置的服务能力的级别。XX分行在IT设备能力管理方面，最重要的手段是定期进行健康检查。定期对目前的设备运行状况进行检查，检查其处理能力能否满足当前以及将来的业务需求，并且检查其处理能力是否已经发挥其最佳效能。然后，对检查的结果进行分析，如果处理能力不足，那么可以考虑更换和增加设备、系统拆分等方式来提高服务器处理能力。（2）资源监控 资源监控是保证设备持续稳定运行、防范突发故障的重要措施，它和IT服务可持续性和可用性管理相衔接。资源监控基本分为三类：硬件监控、系统资源和应用资源。其中，对于硬件监控，目前仅个别硬件厂商能提供监控软件，但功能和范围有限。所以，应进行统一考虑，尽早实现统一监控。针对系统资源，目前比较完善的监控平台，能够对目前主流的系统平台的资源，如、内存、/活动情况等，提供简单有效的图形显示方式，并且能够根据预定义的阀值进行报警，对主流的数据库、中间件的各种信息，也有相当丰富的监控指标。（3）备份管理 数据备份是保证IT服务管理可持续发展的一个重要手段。数据备份的一个实施目标是：采用自动化、集中化的工作方式，满足对业务数据的备份与恢复需求；实现对光纤存储局域网的支持，对连接在光纤存储局域网上的各服务器进行高速数据备份及恢复；实现对光纤存储局域网上的磁带库、磁带机、磁带设备共享使用；对未连接在光纤存储局域网上的服务器通过以太网实现数据备份及恢复；对业务数据进行在线备份，不影响业务正常运转；提供与事件管理平台的集成接口，对数据备份中出现的报警事件进行及时处理。 目前，各商业银行的备份流程已基本规范下来，以后应着重在备份效率等方面进行考虑，对现有备份系统作合理调整，减少备份窗口，提高可恢复数据时效，降低对应用系统的影响。（4）IT服务可持续性和可用性管理IT服务可持续性管理就是负责预防灾难、增强IT基础架构的恢复能力和容错能力的流程，它需要确保组织在发生灾难后有足够的技术、财务和管理资源来确保IT服务的持续性运作。可用性管理是有关设计、实施、监控、评价和报告IT服务的可用性，以确保持续地满足业务可用性需求的服务管理流程。为了确保可用性，一般的措施有：定期检查，确定重点问题；安排计划解决重点问题。可以采用下面一些方法来保证IT服务的可持续性：服务器进行备份；服务器进行负载均衡；服务器异地灾备；使用自动化手段对数据进行备份；有完善的备份管理制度和流程等。二、按照IT服务管理的规范对各项操作建立合规和高效的流程（1）分行IT部门和业务部门的服务关系（2）服务等级管理对商业银行来说，可以简单认为，科技部门是服务供应商，业务部门是客户。以前对于科技部门的服务水平没有指标，对于业务部门需要的投入也没有限定，因此双方在服务水平和服务满意度上有一定的分歧。按照IT服务管理标准的指引，商业银行的业务部门在IT服务上也必须具有成本意识，要和科技部门进行服务水平的约定，确定业务部门需要投入多少，以及科技部门需要达到什么样的服务水平等。在对成本和服务水平进行界定时，各商业银行可以考虑以下内容：明确业务部门的业务需求及相应的IT服务需求；确保以合理的成本提供约定的IT服务等级；确保实际的IT服务等级达到约定的服务等级的要求。a、IT工作与业务的整合b、业务的可用性要求 可用性级别=每年计划内停机时间+非计划停机时间可用性级别每年停机时间99.999 %5分钟99.99 %53分钟99.9 %8.8小时99 %87.6小时c、IT部门和业务部门间的服务级别协议 例如：（3）IT服务财务管理 IT服务财务管理考虑IT资源的效率及经济价值，旨在将基于预算的IT组织转变为类似于商业组织的具有成本意识的组织，为用户提供成本合理的IT服务。IT服务财务管理主要包括预算编制、IT核算2个子流程。 从IT服务财务管理的标准来看，XX分行的科技部门也必须具有成本意识。IT服务的财务管理不善，将导致IT服务成本的上升或者IT资源的浪费。此外，科技部门在强调质量的同时也必须强调效率。 对比IT服务管理的标准，根据服务等级水平的不同来制定不同的成本标准；尝试内部成本计算，在满足内部服务标准的前提下控制内部成本的增加；考虑和关注成本与生产运行风险的关系，尽量在成本和风险之间做好平衡。（4）配置管理 配置管理使得各个设备/组件的整个生命周期，从采购、使用到报废，包括软硬件配置信息，它主要有三部分工作：s 登记组成服务的资产信息s 登记这些资产之间的关系确保配置管理信息库中的各类相关信息能够得以及时更新，确保其他管理流程可以及时、高效地获取相关的配置信息配置管理是由识别和确认系统的配置额、记录和报告配置项状态及变更请求、检验配置项正确性和完整性活动等构成的服务管理流程。在配置管理中，最基本的信息单元是配置项。所有软件、硬件和各种文档，比如变更请求、服务、服务器、环境等都可称为配置项。配置管理不同于IT资产管理，后者是一个计量过程，它记录了资产的购置时间、购买价格以及放置位置等方面的情况。而配置管理除了记录配置项本身的情况外，还记录了各配置项之间的关系，以及有关配置项的标准和授权方面的信息，同时它还记录了配置项的当前状态和变更情况。在IT服务管理的框架中，配置管理是一个基础，因此，完善配置管理对于XX分行的IT管理非常重要，为整个IT管理的其余内容提供坚实的基础。（5）事件管理 IT事件管理是一个很关键的流程，它为组织提供首先检测IT事件然后准确确定正确的支持资源以便尽快解决事件的能力。该流程还为管理层提供关于影响组织的事件的准确信息，以便他们能够确定必需的支持资源，并为支持资源的供给做好计划。 事件管理流程旨在确保检测到事件，然后记录服务请求。记录确保没有遗漏的事件或服务请求，允许记录得到跟踪。 事件管理的主要目标是尽快恢复正常服务运作，并最小化对业务运营的的负面影响，从而确保维持良好的服务质量和可用性事件管理的目标包括：s 尽快恢复正常服务。s 最小化事件对业务的影响。s 确保一致地处理事件和服务请求而不会有任何遗漏。s 定向到最需要的支持资源。s 提供允许优化支持流程、减少事件数量和执行管理计划的信息。事件管理的主要工作：s 检测和记录 事件通过系统管理软件检测出来或用户打电话进来，所有事件记录进事件日志中；s 判断并分派 确定是事件、服务请求还是申述。如果是服务请求，依照服务请求流程；如果是申诉,依照申述流程；如不是，进行事件的影响、收集信息等，尝试解决问题；s 服务请求及申述流程 跟事件处理无关，是IT部门的相关流程；s 判断是否已解决 确定问题是否已解决，如解决，由帮助台确认；如没解决，继续诊断，必要时转由二线,三线进行支持解决等；s 调查和诊断 二线和三线支持人员利用自身技能和相关工具，力图在规定的时间内提出解决方案，尝试解决事件；s 帮助台确认 对事件的解决方案进行确认，如未解决,根据情况采取相应动作；s 结束 如果确认已解决，关闭记录，更新文档；必要时进行回顾；s 定期产生报表 事件支持人员将根据管理要求定期产生相关报表。突发事件管理突发事件管理的作用是快速有效地响应最终用户，使它们能够迅速恢复工作，以减小对最终用户的影响。突发事件管理包括故障管理，通过帮助台接线员以及二线技术人员的工作，迅速解决客户的故障。 突发事件管理对人员的技术水平要求：s 第一种是不具备深层次技术背景的人员，他们只记录最终用户的故障，将故障事件转交给二线支持人员，跟踪故障解决定过程，保持与最终用户联系以提供相应的满意度s 第二种是具有一定技术的人员，他们可以解决大部分的初级故障第三种是技术专家本身作为帮助台人员，他们能够解决绝大多数的故障事件管理流程图（6）问题管理 问题管理的核心是建立一个稳定的系统服务环境，减少报告给帮助台的故障数量。 主要包括三方面的工作： 一是确认问题，从大量的故障报告中找出问题。 二是找到导致问题的根源并解决。 三是为解决某个问题，可能需要向变更管理人（经理）提出变更请求。 问题管理的主要工作：s 接受升级事件 当事件满足升级条件时，问题管理流程接受该事件；s 分析事件 定期分析事件，找出潜在问题；s 生成问题记录 问题记录在帮助台中生成并把所有相关事件与此记录关联起来；s 分派 问题记录将根据问题内容分派给适当的技术小组；s 根本原因分析 被分派的小组人员将调查问题以期找出其原因，制定解决方案或变通方法或提出预防性措施以消除产生原因或在重发时使其影响力最小化；s 更新已知错误 这是流程中的关键一步，记录必须被更新以反映它是已知错误状态，并且把任何变通方法、避免或最小化负面影响的动作行为也记录下来；s 提出变更请求 对问题的解决方案进行评估，通过变更请求（RFC）进行测试和实施。根据RFC对业务的影响和成本进行评估并决定继续进行与否。并非所有问题需要解决，例如, 如果一个新的应用系统将要实施，那么老应用系统里的一个错误可能不需要解决；s 关闭 一旦找出问题根本原因，实施了解决方案，并确认已解决了问题，问题记录可以关闭；s 事后回顾 问题必须进行回顾以发现流程和服务得以改进的机会或总结预防性措施。包括改进事件监测、找出技能差距和文档资料改进等. 这对于回顾解决方案的成功与否也很关键。（7）变更管理 变更管理是在最经济有效的范围内，在对最终用户影响最小的条件下，为提高服务质量或为解决某些问题而作相应的配置改变。 它包括三个不同的流程： 一是对要采取的变更作风险和影响分析； 二是将风险和影响分析以及变更计划交给变更审批部门，由他们根据这些信息决定下一步要采取得行动，是批准，还是延迟或拒绝该变化申请； 三是实施该变更，指定相关人员实现每一步变化，并对变化的流程进行记录，通知配置管理更新配置数据库。 另外在上一种新业务时，同样适用于变更管理的流程。 变更管理的主要工作：s 批准变更请求（RFC） 变更申请人提出变更请求后，对该变更请求有批准权的负责人参加变更审核，必要时参与评估。评估后该负责人根据判断决定是否批准该变更请求；s 检查变更计划测试结果，并批准实施 变更管理人（经理）确定合适人员主管该变更并参与变更审核， 称为变更主管。变更请求得到评估和批准后，变更主管安排相应资源进行变更的构建开发，然后需要对将要实施到生产环境的变更进行测试，并制定实施计划，随后提交测试结果和计划给变更管理人（经理）以获得实施。变更管理人（经理）必需要确保测试结果和计划都有文档记录和得到签署，并确认变更对生产环境没有影响或影响可以得到控制。这一步骤为变更流程的关键质量检查点；s 规划变更请求（RFC） 变更请求一旦获得批准，它必须根据资源和其他情况进行规划，确定实施日期，分配相应资源，并通知变更请求人；s 协调变更实施 一切就绪后，可以实施变更；s 更新变更状态 在整个变更过程中，变更的状态从登记，评估，回顾到最后关闭是不同的。变更管理人（经理）负责更新预先定义好的变更状态；s 回顾和关闭 实施变更后，变更管理人（经理）负责从技术和流程角度去回顾变更，该回顾在预先定义好的时间段针对变更单独进行，除确保变更请求得到了预期效果外，也寻找流程的改进机会，如资源计划和实际使用的一致性。确定是否满足了变更目的，有没有负面影响，否则需制定后续行动计划。随后，变更管理人（经理）负责利用预先定义好的结束状态关闭变更请求；s 总结汇报 向分行管理层提供流程报表，向业务部门提供变更的相关执行信息。定期向分行管理层根据流程衡量标准汇报很重要，只有如此，才可以基于现有环境的最新信息，作出进一步的改进建议；s 变更会议 变更管理人（经理）负责定期或不定期召开变更会议，以在IT内部以及与业务部门就变更管理有一个好的沟通。在会上，可以传递如：最近变更规划（），将要实施变更的信息，也包括对变更流程的反馈和建议等；s 变更流程回顾 建议定期回顾变更管理流程以提高效率和效能，在实施变更流程不久之后，可以进行第一次回顾，以确保流程得到正确实施并起到预期目的，发现的问题必须追根溯源并尽快解决。之后，可以定期举行正式的回顾如每三个月。三、按照风险管理和审计的相关要求细化各项IT管理制度并完善相关记录（1）制度风险管理风险管理方面，XX分行银行必须着眼高处。要建立IT安全规范与标准，这些安全规范与标准，应涵盖主机安全、数据库安全、开放平台安全、网络安全、应用安全等多方面，包括总体的安全策略、规范，同时，也要制定具体的技术标准。XX银行总行应该有一套比较完善的运维管理制度，XX分行要以这些制度为基础结合自身的特色形成符合自身的IT管理制度。有效的管理制度并能贯彻实施就能避免很多风险的发生。结合第一方面谈到的开展运维的具体内容和第三方面的事件管理，都需要形成相应的管理制度和流程规避其中的风险，这样才能避免风险事件的发生，保证业务的正常运行。（2）机房风险管理 各类服务器和网络系统的稳定、可靠运行要依靠机房的严格的环境条件，因此机房是核心系统和网络系统正常运行的依托。计算机应用系统和网络系统越重要，对机房的保障要求就越高，然而，各种各样的计算机系统，庞大的信息通讯网络，众多的机房保障系统，连续不间断的长期运转，注定了机房运行风险的客观存在。机房运行风险不是一成不变的，会随着机房内相关要素的各种变化而改变，或者影响其风险等级，或者会产生新的风险因素。风险等级级级级级风险分类分行机房发生火灾机房部分设备发生火险分行机房大面积漏水主要机房地面积水机房局部漏水分行机房大面积停电 备用电源故障供电异常消防系统失控消防系统异常空调系统失效或失控温度或湿度超范围 机房风险分类表（3）审计和相关记录管理 完善的记录是IT服务管理的重要环节，也是重要的依据。无论是哪个环节的IT服务管理都会形成相应的记录，有了记录，才能证明你所说的和所作的，才能便于日后的监督检查和审计。现代商业银行IT审计活动主要参照当今IT界公认的国际最佳实践COBIT而编制，以下列出分行级IT审计时所涉及的部分内容，而记录也是依据这些审计内容而存在的。流程发布的输出文件和信息名称输出提供方流程发布的输出文件和信息名称输出提供方IT年度计划 IT规划采购决议 基础设施的获取与维护IT项目组合 用于测试/安装的配置系统 IT服务组合 物理环境需求 IT资源计划 技术标准更新 IT采购计划 系统监控要求 优化的业务系统计划信息架构基础设施知识 IT管理章程 IT管理架构变更处理描述 变更管理明确系统所有者文件 变更状态报告 IT组织和关系,角色和职责规定文件 变更授权 IT管理章程，角色和职责规定 性能和容量信息 性能管理IT职能矩阵 IT人力资源管理性能和容量计划（需求） 用户技能和能力,包括个人培训 ,特别培训要求 性能变更需求 角色和职责规定 过程性能报告 风险评估 IT风险评估及管理应急测试结果 IT持续性计划风险报告 IT配置项的关键程度 IT相关风险管理指南 备份