ITSS服务能力评估.pdf

引 言 ITSS Information Technology Service Standards 信息技术服务标准 简 称ITSS 是一套体系化的信息技术服务标准库 全面规范了信息技术服务产品及其组 成要素 用于指导实施标准化的信息技术服务 以保障其可信赖 ITSS是在工业和信 息化部软件服务业司的指导下 由信息技术服务 以下简称 IT服务 标准工作组 组织研究制定的 是我国IT服务行业最佳实践的总结和提升 也是我国从事IT服务研 发 供应 推广和应用等各类组织自主创新成果的固化 ITSS经过200多家小组成员的共同讨论 集合了众多业内资深企业的意见 还参 考了大型部委 电力 能源 电信运营商等行业现有的管理规范 并在典型用户中进 行了试点 和其他行业的一些国家标准相比 ITSS与中国国情的结合度更高 实用性 更强 ITSS既是一套成体系的标准库 又是一套指导IT服务选择和供应的方法学 我 国境内需要IT服务 提供IT服务或从事IT服务相关的理论研究和技术研发的单位或个 人都需要ITSS 包括行业主管部门 IT服务需方 IT服务供方 高校和科研院所以及 个人 经验表明 IT服务供需双方通过实施基于ITSS的IT服务管理方案可以取得良好的 效益 可以提升IT服务质量 优化IT服务成本 强化IT服务效能 降低IT服务风险 从而增强其市场竞争优势 中国软件评测中心是信息技术服务标准工作组成员之一 作为创始单位 参与了 ITSS标准的起草制定等工作 并积极推广该标准的实施及应用 同时 中国软件评测 中心还是工信部指定的ITSS服务能力评估机构 指导信息技术服务企业建立ITSS服务 体系 并对其服务能力进行客观公正的评估和评价 中国软件评测中心着眼于解决信 息技术服务企业的服务管理难题 为信息技术服务企业持续提供优质高效的服务 并 一直致力于为工信部提供严格公正的服务支撑 推动ITSS服务能力评估工作的全面开 展 专业就是实力 引 言 1 第一章 ITSS相关标准 3 一 信息技术 运维服务系列标准介绍 3 二 ITSS通用要求 标准 解答 10 第二章 ITSS体系建立 14 一 集成行业业务特点 14 二 标准和体系框架的选择 14 三 IT服务管理体系规划 15 第三章 ITSS评估准备 18 一 企业ITSS评估准备 18 二 机构ITSS评估准备 19 第四章 评 定 26 一 计算机信息系统集成企业资质运行维护能力评定流程简介 26 二 计算机信息系统集成企业资质运行维护能力评定条件浅析 30 目 录 本期主题 ITSS信息服务能力评估 3 信息技术服务 2013年 第1期 第一章 ITSS相关标准 一 信息技术 运维服务系列标 准介绍 进入 十一五 后 随着信息技术 在各行业的普遍应用 运维服务已成为 支撑行业业务正常运行的关键要素 如 何保证信息系统安全稳定地运行 充分 发挥现有信息系统的作用 是行业用户 和运维服务提供商共同面临的课题 近年来随着ITIL和ISO20000标准 的引入 对信息技术运维行业有了一定 的促进 但是受行业发展的限制 信息 技术运维的标准体系尚未构建 使行业 面临诸多问题 如信息技术服务供应方 提供的运维服务水平参差不齐 运维服 务目前缺乏边界定义 与系统集成 系 统测试 IT服务 内容服务混淆不清 严重影响运维行业的独立发展 ITIL和 ISO20000并不是针对运维的服务产品标 准 如运维的基础内容的信息系统维护 和监控等方面它们都没涉及 并不能对 运维行业起到系统地指导作用等 所有 这些都阻碍了行业的健康发展 由于缺 乏统一的 规范的 体系化的信息技术 运维服务标准规范指导市场 运维行业 只能寄希望于供方的内部管控水平以及 信息技术服务人员的个人素质 尽快建 立适应我国信息技术服务市场需求的运 维标准 引导和推动信息技术服务业健 康发展已成为政府 企业等关注的重点 内容之一 随着 信息技术 运维服务 相关标准的发布和ITSS标准实施评估 信息系统运维将进入一个崭新的阶段 1 信息技术运维服务系列标准的基 本架构介绍 图1 信息技术运维服务系列标准的基本架构图 信息技术服务 运行维护 第4部分 数据中心服务规范 信息技术服务 运行维护 第2部分 交付规范 信息技术服务 运行维护 第3部分 应急响应规范 信息技术服务 运行维护 第5部分 桌面及外围设备服务规范 信息技术服务 运行维护 第6部分 应用系统服务规范 服务对象 服务过程 服务能力 信息技术服务 运行维护 第1部分 通用要求 专业就是实力 运维服务系列标准计划由图1所示的 6个标准构成 其中 信息技术 运维服 务通用要求 是基础标准 它是其他标 准的基础和节点 二个专业标准 信息技术 运维 服务交付规范 信息技术 运维服务 应急响应规范 它们是基本运维都必 须保证的专业基础 在提供运维服务时 是不可缺少的 三个运维专业标准把信息系统划分 为 数据中心 外围设备 应用系统三 类 并具体规定每类对象的服务类型和 服务内容 对具体对象运维提供依据和 参考 系列标准从运维服务提供商的基础 要求 运维服务的专业要求和具体运维 对象服务要求构建了一个系统的运维服 务的核心要素体系 解决了目前业界所 关心和模糊的一些问题 1 ITIL只是IT服务或运维服务 的最佳工具 它不是标准 不能解决信 息系统所有者和服务提供者的边界与总 则问题 而ITSS系列标准中的 专业标 准 和 对象标准 就是为解决具体运 维服务的这些问题设计的 2 ISO20000是信息技术服务规 范标准 但属于管理体系标准系列 与 ISO27001一样适合对信息系统所有者 甲方 的相关认证 而不太适合对供 方 乙方 的认证 因为乙方对甲方的 信息系统支配权不能满足ISO20000认证 的要求 而运维标准针对服务提供方 提出了具体的要求 能满足服务提供方提 供运维服务管理能力 也为服务需求方 选择合格的供应商提供了技术标准 2 主要标准介绍 信息技术 运维服务通用要求 1 标准的目的 该标准从人员 技术 资源和过程4个角度出发 制定能 够综合评判组织运维服务能力的管理类 技术标准 为规范 统一信息技术运维 服务市场提供了参考依据 2 标准的适用范围 从事信息技 术运维的各类组织 需方选择和供方评 价 评价或认定各类运维服务组织能力 水平的第三方 3 建立了信息技术运维服务模 型 模型给出信息技术运维服务的四个 关键要素 人员 资源 技术和过程 每个要素通过关键指标反映运维服务的 能力 在运维服务提供过程中 供方通 过策划 实施 检查和改进实现运维服 务能力的持续提升 4 核心内容 人员 确保提供运维服务的相关人 员具备应有的运维服务能力 为保证故障响应 解决问题和交付 结果可控 供方应在人力资源管理 组 本期主题 ITSS信息服务能力评估 5 信息技术服务 2013年 第1期 织结构和人员的知识 技能 经验等方 面达到应有的水平 资源 确保供方具备足够的资源能 力 以满足与需方约定的及需方未来的 运维服务需求 a 运维工具 明确了供方应使用有 效工具实施和管理运维服务 运维工具 包括监控工具 过程管理工具 专用工 具等 b 服务台 使用有效手段和方法受 理需方的运维服务请求 及时跟踪服务 请求的处理进展 确保实现服务级别协 议要求 c 备品备件库 与运维服务设备匹 配的备品备件 为保障运维服务级别协 议要求所配置的备用整机 d 知识库 运维服务活动相关的知 识积累 以保证在整个组织内收集 共 享 重复使用所积累的知识和信息 技术 确保供方具备与运维服务 策划相适应的技术和手段 根据需方要 求或技术发展趋势 具备发现和解决问 题 技术储备以及研发 应用新技术和 前沿技术的能力 过程 为了确保供方具备相应的服 务管理能力 至少应建立以下过程 a 服务级别管理 b 服务报告 c 事件管理 d 问题管理 e 配置管理 f 变更管理 g 发布管理 h 安全管理 信息技术 运维服务交付规范 1 该标准目的 所有从事信息 技术运维服务工作的企业 机构 部门 向需方交付有效 高效和合理的运维服 务 使需方和供方对运维服务交付标准 达成一致 为需方和供方提供运维交付 的最佳实践和质量评估依据 2 标准范围 该标准为需方和供 方在运维服务交付过程中 对交付管理 的规划 实施 检查和改进方面提供了 原则框架 并对交付内容 交付方式和 交付成果给出指导建议 3 标准模型 如图2 4 核心内容 交付管理 供方通过对服务交付过 程的规划 实施 检查和改进以保障运 维服务SLA的达成 交付内容 供方根据需方需求和SLA 承诺 提供的例行操作服务 响应支持 服务 优化改善服务 咨询评估服务 a 例行操作 通过提供预定的例行 服务 以及时获取运维对象状态 发现 并处理潜在的故障隐患 保障需方业务 稳定运行 专业就是实力 b 响应支持 供方在接到需方服务 请求或故障申报后 在SLA的承诺内完成 交付工作 尽快降低和消除对需方业务 的影响 c 优化改善 为适应需方业务需求 变化或信息技术发展要求 供方通过提 供调优改进服务 达到提高运维对象性 能或管理能力的目的 保障需方业务稳 定高效运行 d 咨询评估 结合需方业务需求变 化或信息技术发展要求 供方通过对运 维对象的调研和分析 提出咨询建议或 评估方案 指导需方的运维服务发展 交付方式 供方向需方交付服务所 采用的现场支持或远程支持方式 交付成果 供方在服务交付过程 中 向需方提供的无形或有形的交付成 果 以达成运维服务的SLA要求 信息技术 运维服务应急响应 规范 1 该标准目的 通过以下方 式 促进所有组织有效 高效和合理的 应对可能出现的应急事件 并不断提升 组织的应急响应能力 使各方组织对信 息技术运维服务应急响应基本过程和要 求达成一致 为信息技术运维服务应急 图2 信息技术 运维服务交付规范 标准模 改 进 策 划 实 施 检 查 交付内 供方需方 SLA满足SLA需求 交付管 支付方 例行 操作 响应 支持 优化 改善 咨询 评估 现场远程 支付成 本期主题 ITSS信息服务能力评估 7 信息技术服务 2013年 第1期 响应体系的规划 建设 实施 评估等 提供参考和依据 为服务提供方提供最 佳实践参考和服务衡量标准 该标准规 定了信息技术运维服务中应急响应的类 别包括重点时段保障和应急响应 2 标准范围 规定了信息技术运 维服务中应急响应的应急准备 测试与预 警 应急处置 总结改进四个主要环节 和每个主要环节的实施要求和管理要求 适用于从小型到大型不同规模的组织 而 不考虑其对IT利用的程度 3 核心内容 应急分类 a 重点时段保障 需要提升服务等 级 为确保某一时间段内重要活动或重 点业务的开展所采取的措施和行为 b 运维服务应急事件 导致或即将 导致信息化设施运行中断或运行质量降 低或需要实施重点时段保障的事件 应急准备 a 应急管理组织 确保组建合适的 组织以满足日常运维和应急响应的服务 要求 b 风险评估与改进 系统性识别运 维服务对象及运维活动中可能出现的风 险并提前修改应急事件级别 应急事件 可划分为四级 灾难事件 级 重 大事件 级 严重事件 级 和 一般事件 级 c 预案制定 提供应对运维服务应 急事件的操作性文件 d 培训与演练 监测与预警 a 日常监测与预警 保障运维服务 的可用性和连续性 及时发现运维服务 应急事件并有效预警 b 核实与评估 对出现的运维服务 应急事件进行有效识别 c 预案启动 确保按照规定的策略 和程序启动预案 并保持对应急事件的 跟踪 应急处置 a 应急调度 明确应急调度手段 规范应急调度过程整体及归档 b 排查与诊断 基于启动的预案 开展排查与诊断 c 处理与恢复 对故障进行有效 快速的处理与恢复 d 升级与信息通报 通过实施有效 评审 实现对应急处置的升级与通报 e 持续服务与评价 为应急故障处 置提供持续性服务保障 并完成对故障 处置结果的评价 f 事件关闭 规范并明确应急处置 的关闭流程 总结改进 a 应急事件总结 在事件关闭之 后 应组织相关人员对本次事件的原 专业就是实力 因 处理过程和结果进行分析 总结经 验教训 并采取必要的后续措施 b 应急体系的保持 为保证应急体 系的有效性和时效性 需要对应急体系 进行不定期及定期的维护和审核 以确 保组织具有足够的应急响应能力 c 应急准备工作的改进 组织应根 据应急事件总结报告中给出的建议项和 体系评审结果来调整应急准备和风险应 对的策略 信息技术 数据中心运维服务 规范 1 该标准目的 标准将有利于规 范数据中心运维服务提供方行为 改进 服务能力 提高数据中心运维服务的工 作效率 该标准将为参与数据中心运维 服务的各个环节提供行动指南 推动数 据中心运维服务产业链的健康 有序发 展 2 标准范围 数据中心运维服 务是通过例行操作 响应支持 优化改 善 咨询评估四种服务方式对数据中心 运维对象提供运维服务 以保证数据中 心运行的连续 稳定 高效及安全 数据中心运维服务的需方也可以参 照该标准提出明确的数据中心运维服务 需求 亦适用于服务需方选择和评价服 务提供方 3 服务对象与类型 模型如图3 所示 图3 信息技术 数据中心运维服务规范 模型 例行型服务响应型服务改进型服务咨询型服务 应用系统应用系统 数据 软件 系统软件 应用软件 服务器 存储 网络及网络设备 机房基础设施 本期主题 ITSS信息服务能力评估 9 信息技术服务 2013年 第1期 服务对象 根据数据中心的特点 数据中心 的服务对象划分为机房基础设施 网络 及网络设备 服务器及存储 软件 数 据五类 这五类对象的集合构成应用系 统 以满足用户特定需求 提供最终应 用 服务类型 a 例行操作服务 监控 指通过各类工具和技术 对 数据中心运维对象的运行状态进行记录 和分析 包括对象状态 运行状况和变 化情况 发展趋势等 预防性检查 指为保证服务对象的 正常运行 供方根据服务对象的运行条 件和运行状况进行检查和趋势分析 发 现其脆弱性 以便消除或改进 b 响应支持服务 事件驱动响应 由于不可预测原因 导致服务对象整体或部分功能丧失 性 能下降 触发将服务对象恢复到正常状 态的服务活动 事件驱动响应的触发条 件包括外部事件 系统事件和安全事件 三种 服务请求响应 由于需方提出各类 服务请求 引发的需要针对服务对象 服务等级做出调整或修改的响应型服 务 此类响应可能涉及服务等级变更 服务范围变更 技术资源变更 服务提 供方式变更等 应急响应 指数据中心出现跨越预 定的应急响应阈值的重大事件 或由于 政府部门发出行政指令或服务需方提出 要求时 应当启动应急处理程序 c 优化改善服务 适应性改进 为保持数据中心服务 对象在已变化或正在变化的环境中可持 续运行而实施的改造 增强性改进 根据数据中心的运行 需求或服务对象的设计缺陷 采取相应 改进措施增强数据中心的安全性 可用 性和可靠性 预防性改进 检测和纠正数据中 心服务对象运行过程中潜在的问题或缺 陷 以降低系统风险 满足数据中心未 来可靠运行的需求 d 咨询评估服务 被动性咨询服务 根据需方提出的 需求 对服务对象进行现状调研和系统 评估 识别出服务对象的运行健康状况 和弱点 并提出改进建议 主动性咨询服务 根据应用系统的 特点和运行需求 对服务对象的运行状 况 运行环境进行分析和系统评估 提 出改进或处理的建议和方案 4 运维服务策略 运维服务的指标性要求 及时 供方应采取适当的手段确保 专业就是实力 提供满足SLA时间指标要求的运维服务 规范 供方应建立适当的服务管理 流程文件 服务活动指导文件或实施规 则 以保证服务过程的规范运作 安全 服务的供 需双方应采取各 种安全手段或措施 有效控制数据中心 运维服务的各个环节 保护数据中心运 维服务中的硬件安全 软件安全 网络 安全和数据信息安全 可用 供方应利用自身专业优势和 经验 采取适当措施 确保按服务协议 提供长期 持续的服务 保持服务对象 符合SLA的可用性 5 运维服务内容 是服务类型在具体服务对象中的细 化表述 运维服务是目前信息技术领域的热 门 但尚未成熟 随着系列标准的推出 一定会推动信息技术服务的快速发展 并 帮助行业形成长效机制 为中国信息技 术服务产业的长期 稳定 高速发展奠 定基础 二 ITSS通用要求 标准 解答 2012年11月5日 国家标准化管理 委员会下发 中华人民共和国国家标准 2012年第28号公告 宣布 信息技术 服务 运行维护 第1部分 通用要求 信息技术服务 运行维护 第2部分 交 付规范 信息技术服务 运行维护 第3部分 应急响应规范 正式成为国家 标准 并正式实施 其国家标准号分别 为 GB T 28827 1 GB T 28827 2 GB T 28827 3 自标准颁布后 信息系统运 维企业参与ITSS运维能力符合性评估的 积极性很高 但对ITSS运维服务能力评 估要求有很多的疑问 在此我们结合评 估经验 并对企业提出的各类问题进行 汇总 整理 供企业参考 1 什么是 信息技术服务 运行维 护 第1部分 通用要求 符合性评估 答 信息技术服务 运行维护 第 1部分 通用要求 以下称 通用要 求 符合性评估是指信息系统运维服 务能力符合 通用要求 要求的证实活 动 包括 第一方评估 由运维服务供方自行 开展的 通用要求 符合性评估 目的 是检查自身的运维服务能力符合 通用 要求 的情况 第二方评估 由运维服务需方开展 的 通用要求 符合性评估 目的验证 运维服务能力符合ITSS的情况 第三方评估 由独立于运维服务 供方和需方之外的组织开展的 通用要 求 符合性评估 2 通过 通用要求 符合性评估能 带来什么好处 本期主题 ITSS信息服务能力评估 11 信息技术服务 2013年 第1期 答 通用要求 提供了一个运维 服务能力模型 规定了运维服务组织在 人员 资源 技术和过程方面应具备的 条件和能力 通过 通用要求 符合性 评估能够做到如下几点 1 全面了解自身在运维服务方面 的条件和能力现状 为进一步提升和改 进运维服务能力指明方向 2 向运维服务需方证明已建立有 效的信息系统运维服务能力管理体系 3 在保障运维服务质量的前提 下 有助于进一步提高运维服务交付能 力 缩短交付时间 降低交付成本 4 必要时 可作为合规性证明 或申请相关资质时 作为证明 例如 计算机信息系统集成企业资质运行维 护能力评定 3 如何实施 通用要求 答 实施 通用要求 一般分为六 个阶段 1 现状评估 主要是按照 通 用要求 自行评估或邀请外部机构 独立评估师评估组织的信息系统运维能 力现状 找出与 通用要求 要求的差 距 明确运维服务能力改进方向和内 容 2 制定实施计划 根据现状评估 结果 制定详细的实施计划 并提供必 要的资源保障 在制定计划过程中 须 综合考虑人力资源管理 技术研发 运 维服务交付管理 质量管理等相关部门 的人员如何参与 如何协调一致 3 运维服务能力管理体系建设 根据 通用要求 按计划建立运维服 务能力管理体系 在建立运维服务能力 管理体系的过程中 宜重点考虑整体的 运维服务能力管理计划 人员资源管 理 技术研发 流程管理以及运维服务 业务运营中所需的各类资源管理 4 运维服务能力管理体系试运 行 结合自身的业务发展现状 运行已 建立的运维服务能力管理体系 并重点 在日常的运维服务人员管理 技术研发 以及运维服务项目实施过程中贯彻执 行 5 运维服务能力管理体系内部评 审 待运维服务能力管理体系试运行一 段时间后 一般需要6个月 组织的领 导 运维服务业务负责人 人力资源负 责人 技术研发负责人等利益相关方 对运维服务管理体系实施内部评审 以 验证体系本身的有效性 合理性和科学 性 6 外部评估 条件成熟时 可邀 请外部评估机构 对运维服务能力管理 体系是否符合 通用要求 进行符合 性评估 另外 信息技术服务标准 ITSS 专业就是实力 工作组制定了一系列运维标准 除通用 要求外 还包括 信息技术服务 运行维护 第2部 分 交付规范 信息技术服务 运行维护 第3部 分 应急响应规范 信息技术服务 运行维护 第4部 分 数据中心服务规范 信息技术服务 运行维护 第5部 分 桌面及外围设备服务规范 在实施 通用要求 的过程中 建 议参考上述标准 综合考虑运维服务能 力管理体系的建设 4 如何申请 通用要求 符合性评 估 答 申请 通用要求 符合性评估 的程序如下 1 填写 通用要求 符合性评估 申请表 可到 下载 2 选择评估机构 通过www 查找评估机构名单 按注册所在 地选择评估机构 例如 注册地在四川 境内的企业 只能选择评估地域范围为 四川省的评估机构 3 选择独立评估师 通过www 查找独立评估师名单 并结合自 身的情况选择独立评估师 5 通用要求 符合性评估可能涉 及哪些收费 答 有关 通用要求 符合性评估 可能涉及哪些收费项目 以及每个项目 的收费金额是多少 请咨询评估机构 6 通用要求 符合性评估证书有 效期为多久 答 通用要求 符合性评估证书 有效期为3年 7 如何申请成为 通用要求 符合 性评估机构 答 经报请工业和信息化部软件 服务业司同意 ITSS工作组秘书处已于 2012年7月31日公布首批认定的评估机 构 目前 暂不在ITSS验证与应用试点 省市之外认定评估机构 8 如何申请成为 通用要求 符合 性评估师 答 通用要求 符合性评估人员 分为专职评估师和独立评估师 申请程 序如下 1 须参加ITSS工作组秘书处组织 的 通用要求 符合性评估培训 并通 过考试 2 申请成为专职评估师 须是评 估机构的专职人员 3 除评估机构的专职人员外 任 何个人均可申请成为独立评估师 9 如何选择独立评估师 答 申请 通用要求 符合性评估 的单位 可结合下列情况选择独立评估 本期主题 ITSS信息服务能力评估 13 信息技术服务 2013年 第1期 师 1 经过ITSS工作组秘书处认定 名单可通过查询 2 拟选择的独立评估师有无从事 与信息系统设计 集成实施和运行维护 相关的管理 技术研发 咨询或培训相 关的工作经历 3 拟选择的独立评估师所在 单位与申请单位有无业务竞争关系 4 拟选择的独立评估师有无从事 CMMI GB T 24405 1 ISO IEC 20000 1 GB T 22080 ISO IEC 27001 等相 关标准的评估或审核经验 包括内外部 评估或审核 5 拟选择的独立评估师应具备良 好的职业素养 专业就是实力 随着客户对IT服务的需求和级别要 求能力的不断提升 面向客户提供各种 IT服务的企业也基于业务驱动 日益加 强对IT服务的管控 并对IT服务管理体 系建设和认证加大投入 这些提供IT服 务的企业如何才能使建立的IT服务管理 体系对外符合国际标准要求 满足多层 次客户需求 对内满足多种类服务交付 的复杂IT管理情况 又能实际将体系实 施落地 这就需要企业从多维度多视角 灵活地制定符合自身业务特点的IT服务 管理体系 一 集成行业业务特点 体系的建立首先从业务角度出发 大部分集成企业已经或正处于从集成类 型企业向服务型企业的过渡阶段 因此 对外交付的业务类型和交付方式都很多 样化 并且无论集成系统实施还是长期 的IT运维服务均习惯以项目形式实施交 付 并进行相应的预算核算 同时服务 交付形式也非常多样化 包括 定期为客户提供的巡检 系统升 级等 长期驻场在客户实际运维环境 中提供各种服务包括技术支持 监控维 护 值班等 远程提供的各种IT服务 包括服 务台 系统维护 远程监控 机房环境 的提供和维护等 以及各类多种系统 网络 基础 设施的部署实施类的集成项目 项目复 杂度和周期更是不同 一些集成公司还成立了研发团 队 凭借着对各类产品积累的长期经 验 根据客户需求提供二次开发工作及 自主产品的研发 因此对于集成行业这种相对复杂 的IT服务提供商 该如何管理IT运维 如何真正实现从集成到服务的转型 形 成标准的服务产品化 为客户提供专业 的服务目录和交付有保障的IT服务 成 为众多集成行业管理层所关注的实际问 题 二 标准和体系框架的选择 集成企业的服务对象通常也是多 样化的 不同行业 不同规模的客户都 成为集成企业的服务对象 对外 为了 满足客户需求 集成企业也需要对客户 的业务进行深入了解 保证提供的IT服 务能够满足客户所属行业的监管需求及 客户自身的业务需求 对内 从企业业 务发展及持续的提升改进角度 管理层 第二章 ITSS体系建立 本期主题 ITSS信息服务能力评估 15 信息技术服务 2013年 第1期 也希望内部管理体系和流程的建立能顺 畅执行 以交付各种客户所需的优质服 务并应对各种内外部不断变化的业务需 求 因此 为IT服务管理体系建设选择 正确适用的框架是至关重要的 此项工 作是管理体系的建立和实施基础 从IT治理的角度可以参考COBIT内 控框架进行测评 建立自己企业所需的 流程 设计体系框架及实施程度和优先 次序 根据选择所需内容并依据ITSS ISO20000 ITIL V2 ITIL V3等IT服务 管理方面的国际标准和最佳实践 其中 的内容可为企业提供更详细的体系建设 依据和实施方法 收集不同行业监管机构对IT服务 相关的法律法规和其它规范要求 例如 面向金融行业提供IT服务的集成企业 最好掌握 商业银行风险管理指引 其 中对IT服务管理提出的要求 无论从交 付IT服务还是对客户的业务需求掌握都 可以收到很好的效果 不同行业的各监 管机构及国内外都已出台很多相关的法 律法规要求 例如等级保护 电子签名 等 考虑企业自身所需执行的法律法 规和标准要求 对于已经上市的企业必 须满足国家对上市企业的相关要求 对 于在国外上市的企业甚至要满足SOX 且 有些集成行业公司已经通过ISO9001 ISO27001等相关国际认证 在建设IT服 务管理体系的同时也需要考虑体系整 合 与企业现已执行的体系进行无缝融 合 才能保证IT服务管理体系满足企业 自身的大环境特点 切实落地且避免实 施人员的重复工作 并避免实施人员陷 入过于复杂的流程活动中 影响服务交 付 三 IT服务管理体系规划 1 业务目标为驱动 IT服务管理体系的策划应以业务目 标为驱动 保障业务的连续性 可以考 虑通过体系流程 将业务目标分解至各 个流程 形成支撑IT服务业务交付的IT 服务管理体系 2 整体规划 分步实施 无论体系的策划 建立还是实施 都是长期持续改进的过程 一方面IT服 务管理体系建设是系统工程 需要根据 前期所选择的标准和框架进行统一规 划 另一方面IT服务管理体系实施不可 能一蹴而就 需要根据现有资源及业务 重点 从支撑业务的基础流程和最能影 响客户感受的流程 例如事件管理 变 更管理 配置管理 开始实施 直至形 成一定的数据积累 才能深入实施后续 流程 例如容量管理 可用性管理 专业就是实力 定制优先级后分步实施 从无到有 从 有到精 通过不断分析 持续改进最终 实现IT服务管理体系在企业内部的有效 运转 3 保证体系灵活性 在面向多层次客户提供多形式服务 的集成企业 IT服务管理体系的设计和 流程制度的定制务必要保证一定的灵活 性 确定关键活动 对流程关键点进行 控制 但不能将流程设计僵化 同时要 考虑对于一些客户的特殊要求 例如对 于驻场外包人员首先须依据客户的管理 制度进行工作 四 ITSS服务管理体系建立 基于ITSS的IT服务体系的建立分为 四个阶段 1 IT服务管理培训及组织建立 1 开展ITSS相关知识的培训 使 全体人员了解IT服务管理相关知识 通过对全员进行ITSS标准相关 知识培训使全体员工了解ITSS标准的内 容 基本要求 实施办法和企业推行 ITSS意义和计划 通过对管理层进行ITSS标准的 结构 原理和内容概述 重要的质量概 念 实施标准的指导思想 领导在体系 中的作用 IT服务管理体系认证 维 护和改进的培训 使各管理层领导了 解ITSS标准的基本内容 领导在体系中 的作用 为什么要推行ITSS 如何推行 ITSS标准等内容 通过对ITSS工作小组和体系建立 人员进行IT服务管理体系文件结构 IT 服务管理体系编写 程序文件编写 工 作文件编写 管理计划制定 管理记录 编写等培训 使相关人员掌握文件编写 方法 了解如何结合本公司实际编制有 关文件 2 建立组织机构 成立领导小组 主要领导都应当参 与 任命管理代表 负责标准中规定的 职责 及时处理有关重大问题 组织管 理评审 成立专门工作机构 负责全公司推 行ITSS组织协调工作 作为一个办事核 心 应保证 所有各有关部门都能参与工作小 组 有专职人员 有骨干力量 骨干人员应对ITSS 进行过较全面系统的学习 最好有一定 相关工作经历 2 现状诊断 找出差距 确定诊断小组 依据ITSS标准 制 定诊断计划 通过现场对人员的访谈和 交流 检查现场文件和记录 如实记录 当前状况 分析现有体系与标准的符合 性 找出与ITSS标准之间差距 找出形 本期主题 ITSS信息服务能力评估 17 信息技术服务 2013年 第1期 成这些差距原因 3 编写体系文件并做试运行 根据差距分析的结果 确定服务 管理体系的范围 识别对现有服务管理 体系进行修改的内容 确定机构调整内 容 建立体系文件结构及文件目录 体系文件通常由质量手册 程序文 件 作业指导书 记录表格模版等几部 分构成 制定体系文件编写计划 为参加 文件编写的人员分配任务 文件编写人 员应包含各部门的人员 文件编写人员 按计划起草文件 完成初稿 由ITSS工 作小组组织文件评审 检查文件的适用 性和完整性 评审后的文件经批准后发 布 ITSS工作小组制定试运行计划 组织对体系文件的试运行 通过全员IT 服务管理方针 目标培训 宣传管理方 针 对管理人员实施体系文件的培训 宣贯IT服务管理流程 通过试运行记录 运行中发现的问题 并不断完善体系文 件 组织内部审核 管理评审 对体系 文件中不完善的地方进行修改 修改完 成后 发布IT服务管理体系的正式版 进行正式运行 4 实施ITSS认证 体系维持以下几 点 通过内审或外审 进一步完善体系 文件 为正式审核做准备 选择认证机 构 接受认证机构的正式审核 不断改 进和完善体系文件 不断巩固和提高IT 服务管理水平 专业就是实力 一 ITSS评估准备 运维企业在申请做 信息技术服 务 运行维护 第1部分 通用要求 符合 性评估时 需先从ITSS网站上下载 信 息技术服务 运行维护 第1部分 通用 要求 符合性评估申请表 按照申请表 的要求填写相关信息并提供附件资料 企业在完成申请表填写及附件资料准备 后 可以将申请表及附件资料提交给评 估机构进行文审 确认评估申请资料是 否正确 1 填写申请表 a 应填写申请单位基本情况 包括 企业名称 地址 规模 人数 评估地 址 联系人信息以及运维服务能力管理 体系运行时间等信息 b 填写申请单位业务范围 按照营 业执照上的业务范围填写申请单位的业 务范围 c 填写申请评估的范围 应按照 信息技术服务 分类与代码 中第4章 节的要求 填写企业准备接受评估的业 务范围 还可以填写接受评估的部门 接受评估的地理位置等信息以说明评估 的具体范围 d 填写评估活动限制条件 保密 范围等 填写企业根据自身特点要求 评估机构在评估过程中需遵守的保密约 束和评估范围的约束 e 填写从事运维服务业务的人员情 况简介 主要说明从事运维服务业务的 人员规模 以及人员的知识结构 各类 学历的人数及比例 拥有各类认证的人 员数量及比例 f 运维服务相关的技术研发情况 主要说明针对运维服务开展的技术研 发 包括研发团队 所取得的成果 已 获得的专利或著作权 以及研发成果的 应用情况 g 填写运维服务质量管理过程或体 系 简要说明针对运维服务采用的质量 管理过程或体系 包括已获得何种认证 或评估 例如 GB T19001 2008 SJ T11235等 及相应时间 h 填写运维服务相关的资源 简要 说明除提供运维服务的人员外 在备品 备件 运维工具及知识库等方面所拥有 的资源情况 2 准备附件资料 a 组织级运维服务目录 b 年度运维服务能力管理计划 包 含与运维服务能力管理相关的组织架构 第三章 ITSS评估准备 本期主题 ITSS信息服务能力评估 19 信息技术服务 2013年 第1期 和管理职责说明 应包含人员 资 源 技术 过程等方面的内容 c 运维服务能力质量管理机制 如 制度 规程 和相关计划 包括内审或 评估计划 提供内审 管理评审制度 及计划 d 运维服务能力管理计划或相关 计划的具体实施方案 现场业务部门提 供 应提供服务能力管理计划 指标 体系及考核报告 e 运维服务能力管理改进机制 包 括改进策略 改进流程 服务能力改进 计划等 f 组织与运维服务能力有关的培训 计划 g 运维服务能力管理及运维相关岗 位职责说明 h 服务台管理制度 i 服务级别管理过程手册 或文 件 j 服务报告管理过程手册 或文 件 k 事件管理过程手册 或文件 l 问题管理过程手册 或文件 m 配置管理过程手册 或文件 n 变更管理过程手册 或文件 o 发布管理过程手册 或文件 p 信息安全管理过程手册 或文 件 q 知识库管理和使用制度 r 针对运维服务的技术研发说明文 件 评估申请表填写完成应打印并请 法人代表签字及加盖公章 附件资料亦 应打印装订 寄给评估机构和ITSS秘书 处 同时提供申请表和附件资料的电子 版 二 机构ITSS评估准备 ITSS规定了IT服务的组成要素和 生命周期 并对其进行标准化 其核心 内容充分借鉴了质量管理原理和过程改 进方法的精髓 IT服务由人员 过程 技术和资源等四个要素组成 IT服务的 生命周期则由规划设计 部署实施 服 务运营 持续改进和监督管理组成 其 中 规划设计 从客户战略出发 以客 户需求为中心 参照ITSS对IT服务进行 全面系统的规划设计 为IT服务的部署 实施做好准备 以确保为最终客户提供 满足其需求的服务 部署实施 在规划设计的基础上 依据ITSS 建立管理体系 部署专用工 具及服务解决方案 服务运营 根据服务部署实施的结 果 依据ITSS要求 实现服务与业务的 有机结合 本阶段运营的重点内容包括 业务运营和IT运营 主要采用过程方 专业就是实力 法 对基础设施 服务流程 人员和业 务连续性进行全面管理 持续改进 本阶段主要根据服务运 营的实际效果 特别是服务满足业务的 实际情况 提出服务改进方案 并在此 基础上重新对服务进行规划设计 部署 实施 以提高IT服务质量 监督管理 本阶段主要依据ITSS 对IT服务全生命周期的服务质量进行评 价 并对服务供方的服务过程 交付结 果实施监理 对服务的结果进行绩效评 估 依据PDCA方法论 从策划 实施 检查 改进的维度分别对ITSS实施过程 的需求分析 规划设计 部署实施 优 化改进四个阶段进行总体管控 对ITSS 实施的分析 规划 过程 结果 以及 相关管理文档 体系 措施进行监督 测量 分析和评审并实施改进 从整 体上保证ITSS实施成果满足实施目标的 总体要求 企业申请ITSS评估时提交的 制度和程序文件 一定要遵循PDCA方法 论 并且程序文件和计划文件一定要具 体涉及到ITSS四要素 即人员 过程 技术 资源 以下是文件审核18个附录 文件要点和注意事项 1 运维服务目录 标准 5 2a 根据自身业务定位和能力 策 划运行维护服务对象的服务内容与要求 并形成服务目录 提交文件 组织级运维服务目录 文审要点 服务目录应详细描述服务种类 服 务内容 服务级别及响应等信息 2 年度运维服务能力管理计划 包 含与运维服务能力管理相关的组织架构 和管理职责说明 标准 5 2b 依据服务目录策划如何建立相 应的组织架构和管理制度 5 2c 对人员 资源 技术和过程进 行规划 建立相适应的指标体系和服务保 障体系 提交文件 运维组织架构图 运维部门管理职责 企业级最新年度运维能力管理计 划 文审要点 运维组织架构图应与服务目录相匹 配 运维部门管理职责应包含管理 技 术支持及操作等各岗位的职责 年度运维能力管理计划应从四个方 面去制定 3 运维服务能力质量管理机制 如 本期主题 ITSS信息服务能力评估 21 信息技术服务 2013年 第1期 制度 规程 和相关计划 包括内审或评 估计划 标准 5 2b 依据服务目录策划如何建立相 应的组织架构和管理制度 5 3a 制定满足整体策划的实施计 划 并按计划实施 5 4a 定期评审服务过程及相关管理 体系 以确保服务能力的适宜性和有效性 提交文件 提交文件 运维质量管理制度 内审程序文件或手册 内审计划 管理评审程序文件或手册 管理评审计划 文审要点 是否具有运维质量制度文件 内审程 序文件 管理评审程序文件 独立的服务 质量监察机构及职责 客户满意度调查表 4 运维服务能力管理计划或相关计 划的具体实施方案 标准 5 3a 制定满足整体策划的实施计 划 并按计划实施 5 3b 建立与需方的沟通协调机制 5 3c 按照服务能力要求实施管理活 动并记录 确保服务能力管理和服务过程 实施可追溯 服务结果可计量或可评估 提交文件 组织级和部门级制度 与运维目录相 对应 部门级的能力实施计划 文审要点 依据上述运维服务能力管理计划过程 的记录文件 实施过程的记录文件可在现 场评估时提供 5 运维服务能力管理改进机制 包 括改进策略 改进流程 服务能力改进 计划等 标准 5 5a 建立服务能力管理改进机制 5 5b 对不符合策划要求的行为进行 总结分析 5 5c 对未达成的指标进行调查分 析 5 5d 根据分析结果确定改进措施 制定服务能力改进计划 提交文件 服务能力改进程序文件 服务能力改进计划和实施记录 文审要点 文件要包含需改进项的发现和分析的 方案及具体实施方案的制定 6 组织与运维服务能力有关的培训 计划 标准 专业就是实力 6 2 1b 人员培训 供方应建立与运 行维护服务相关的培训体系或机制 在制 定培训时应识别培训要求 并提供及时和 有效的培训 提交文件 运维人员的培训计划 文审要点 运维人员培训计划 培训内容和培训 目标及绩效考核制度的内容 7 运维服务能力管理及运维相关岗 位职责说明 标准 5 2b 依据服务目录策划如何建立 相应的组织架构和管理制度 6 3a 管理岗人员和职责为 1 管理运行维护服务的人员 可以 是供方的人员或需方相关人员 2 与需方建立顺畅的沟通渠道 准 确地将需方的需求传递到运行维护服务 团队 3 规划 检查运行维护服务的各个 过程 对运行维护服务能力的策划 实 施 检查 改进的范围 过程 信息安 全和成果负责 6 3b 技术支持岗人员和职责为 1 在运行维护服务中负责技术支 持的人员 包括网络 操作系统 数据 库 中间件 应用开发 硬件 集成 信息安全等方面的专业技术人员 2 对运行维护服务过程中的请求 事件和问题做出响应 保障信息安全并 对处理结果负责 6 3c 操作岗人员和职责为 1 在运行维护服务中负责日常操作 实施的人员 2 根据规范和手册 执行运行维护 服务各过程 并对其执行结果负责 提交文件 运维岗位说明书 文审要点 管理岗位制度 技术岗位制度 操 作岗位制度 8 服务台管理制度 标准 7 3 1 a 设置专门的沟通渠道作为 与需方的联络点 沟通渠道可以是热线 电话 传真 网站 电子邮箱等 b 设定专人负责服务请求的处理 c 针对沟通渠道整合服务过程 建 立管理制度 包括服务请求的接收 记 录 跟踪和反馈等机制 以及日常工作 的监督和考核 提交文件 服务台管理制度 日常工作记录 用户评价记录 文审要点 问题的分类 及时联系相关部门及 本期主题 ITSS信息服务能力评估 23 信息技术服务 2013年 第1期 跟进 9 服务级别管理过程手册 或文 件 标准 9 2 a 建立服务目录 b 与需方建立SLA c 根据需方的考核评估要求 建 立SLA考核自评估机制 包括SLA完成情 况 达成率等 d 在SLA评估后制定改进内容及改 进措施 提交文件 服务级别管理过程手册 文审要点 内容应包含出现不同类型的故障时 所采取的详细步骤 10 服务报告管理过程手册 或文 件 标准 9 3 1 a 与服务报告过程一致的活 动 包括建立 审批 分发 归档等 b 服务报告计划 包括提交方式 时间 需方接收对象等 c 服务报告模板 包括格式 提纲 等 提交文件 服务报告管理过程手册 文审要点 服务报告管理制度及服务报告模 板 11 事件管理过程手册 或文件 标准 9 4 1 a 与事件管理过程一致的流 程 包括事件受理 分类和初步支持 调查和诊断 解决 进展监控与跟踪 关闭等流程 b 事件分类 分级机制 c 事件升级机制 d 满意度调查机制 e 事件解决评估机制 包括事件解 决率 事件平均解决时间等 提交文件 事件管理过程手册 文审要点 事件管理过程手册 包含流程 事 件分类和分级 事件升级 12 问题管理过程手册 或文件 标准 9 5 1 a 与问题管理过程一致的 流程 包括问题建立 分类 调查和诊 断 解决 错误评估 关闭等流程 b 问题分类管理机制 包括问题的 影响范围 重要程度 紧急程度并确定 优先级 c 问题导入知识库机制 d 问题解决评估机制 包括问题解 决率 问题平均解决时间等 提交文件 专业就是实力 问题管理过程手册 文审要点 内容应包含问题建立 分类 调 查和诊断 解决 错误评估 关闭等流 程 应具备知识库 导入知识库机制 达到可以随时查询的目的 13 配置管理过程手册 或文件 标准 9 6 1 a 与配置管理过程一致的流 程 包括识别 记录 更新和审计等流 程 b 配置数据库管理机制 c 配置项审计机制 提交文件 配置管理过程手册 文审要点 配置项审计机制 要保证更新频 率 达到数据的准确性 14 变更配置管理过程手册 或文 件 标准 9 7 1 a 建立与变更管理过程一 致的流程 包括请求 评估 审核 实 施 确认和回顾等环节 b 建立变更类型和范围的管理机 制 c 对变更完成情况进行统计分析 包括未经批准变更数量及占比 不同类 型的变更数量及占比 不成功的变更数 量及占比 取消的变更数量及占比 变 更 关联的配置数 提交文件 变更管理过程手册 文审要点 流程的完整性 变更类型和范围的 管理机制 15 发布管理过程手册 或文件 标准 9 7 1 a 建立与发布管理过程一致 的流程 包括规划 设计 建设 配置 和测试等流程 b 建立发布类型和范围的管理机 制 c 制定完整的方案 包括发布计 划 回退方案 发布记录等 d 对发布完成情况进行统计分析 包括发布成功率 发布及时率 是 否更新配置管理数据库等 提交文件 发布管理过程手册 文审要点 包含流程 发布类型和范围的管理 机制 16 信息安全管理过程手册 或文 件 标准 本期主题 ITSS信息服务能力评估 25 信息技术服务 2013年 第1期 9 9 1 a 建立与安全管理过程一致 的流程 包括识别 评估 处置和改进 等流程 b 建立与服务要求一致的信息安全 策略 方针和措施 提交文件 信