信息系统运维服务管理课件3.ppt

信息系统运维服务管理 3 符长青博士 第3章信息技术治理和信息技术服务标准 在信息技术发展的过程中 出现了许多信息系统管理的框架 模型和架构 有的成为了信息行业事实上的标准 有的成为了公认的国际标准 由于不可能存在一个全能的信息系统管理框架普遍适用于所有的情形 因此 如何理解这些公认的最佳实践框架就是一个人们十分感兴趣的课题 主要内容 1 企业信息化战略规划和信息技术治理 2 信息系统审计标准 COBIT 3 信息安全管理标准 BS7799 ISO IEC17799和ISO IEC27001 4 信息技术治理标准 ISO IEC38500 5 信息技术服务管理标准 ISO IEC20000 公司治理的概念 公司治理是通过有效制度约束 激励机制 协调企业内外部不同利益关系者之间的行为 公司治理问题是由所有权和经营权的分离而引起的 合理配置权利和义务是公司治理的主要内容 其目的是增加公司信息披露的透明度 最大限度保护股东和投资人的权益 企业信息化战略规划的定义 企业信息化战略规划是指在企业发展战略目标的指导下 在理解企业发展战略目标与业务规划的基础上 诊断 分析 评估企业管理和信息技术现状 优化企业业务流程 结合所属行业信息化方面的实践经验和对最新信息技术发展趋势的掌握 提出企业信息化建设的远景 目标和战略 制定企业信息化的系统架构 确定信息系统各部分的逻辑关系 以及具体信息系统的架构设计 选型和实施策略 对信息化目标和内容进行整体规划 全面系统地指导企业信息化的进程 协调发展地进行企业信息技术的应用 及时地满足企业发展的需要 以及有效充分地利用企业的资源 以促进企业战略目标的实现 满足企业可持续发展的需要 企业信息化战略规划在时间上的跨度一般是三到五年 每年要根据企业面临的新环境 企业的新发展和技术上的新趋势等因素对其做出调整和完善 信息化战略规划是信息化建设的基本纲领和总体指向 是信息系统设计和实施的前提与依据 企业信息化战略规划的原则 1 与企业战略相一致原则 2 与企业发展相配合原则 3 整体规划原则 4 系统集成一体化原则 企业信息化战略规划的作用 企业信息化不仅是一项技术 而更是一种管理理念 是建立现代化企业管理制度的基础与必要条件 企业信息化战略规划的作用主要有以下几方面 1 对企业战略的实现给予信息技术的有力支持和保证 2 提升管理水平 与国际化 现代化企业管理制度接轨 3 实现企业资源利用最大化 形成核心竞争力 4 弥补管理漏洞 提高企业各层级执行效率 5 建立科学化预算 经营 分析体系 规避财务风险 6 建立系统化营销体系和客户服务体系 提高企业的市场获取和维系能力 7 建立规范化渠道管理模式 有效掌控 驾驭渠道资源 8 建立有效的市场预警体系 9 提高企业经营决策定位的准确性和全面性 10 提高企业效率 降低经营成本 企业信息化战略规划的步骤 1 明确企业信息化战略思想 2 借助第三方信息化咨询机构 3 企业动态环境分析 4 制定企业信息化战略目标 5 制定企业信息化战略方案 6 实施企业信息化战略 7 控制企业信息化战略实施过程 信息安全的定义 信息安全是指保护信息系统的硬件 软件及相关数据 使之不因为偶然或者恶意侵犯而遭受破坏 更改及泄露 保证信息系统能够连续 可靠 正常地运行 凡是涉及到保密性 完整性 可用性 可追溯性 真实性和可靠性保护等方面的技术和理论 都是信息安全所要研究的范畴 也是信息安全所要实现的目标 在商业和经济领域 信息安全主要强调的是消减并控制风险 保持业务操作的连续性 并将风险造成的损失和影响降低到最低程度 信息安全的风险和基本目标 1 信息安全面临的最普遍的三类风险 1 信息泄漏 2 信息篡改 3 信息破坏2 信息安全主要目标 1 保密性 2 完整性 3 可用性 4 信息可追溯性 5 抗抵赖性 6 真实性 7 可控性 信息安全整体规划的制定 企业在信息安全建设方面要制定较长期 例如2 3年 的整体规划 明确信息安全目标和原则 发掘信息安全需求 落实信息安全组织和责任 做好阶段计划和成果诉求 内容包括 1 目标 2 对象 3 规范 4 流程 信息技术治理的定义 信息技术治理 InformationTechnologyGovernance ITG 是指专注于信息技术体系及其绩效和风险管理的一组治理规则 由领导关系 组织结构和过程组成 以确保信息技术能够支撑组织的战略目标 它是使参与信息化过程的各方利益最大化的制度措施 也是一个由关系和过程所构成的体制 用于指导和控制企业 通过平衡信息技术与过程的风险 增加价值来确保实现企业的目标 其主要任务是保持企业信息化与业务目标一致 推动业务发展 促使收益最大化 合理利用信息资源 以及信息系统相关风险的适当管理 信息技术治理的目标 明确信息技术治理的目标将帮助管理层树立以组织战略为导向 以外界环境为依据 以业务与IT整合为中心的观念 正确定位信息技术部门在整个组织中的作用 信息技术治理目标主要有 1 与业务目标一致 2 有效利用信息资源 3 风险管理 信息技术治理的流程 交付价值 管理资源 控制风险 锁定目标 衡量绩效 信息技术治理 IT治理 信息技术治理的作用 信息技术治理可以解决企业以下几个方面的问题 1 发现信息系统本身的问题 2 有助于提高企业的灵活性和适应性 3 自我评估信息系统管理的效果 信息技术治理的设计框架 信息技术治理侧重于建立整个企业信息系统运作的规范和框架 以此监控企业信息化战略的制定和机构的建立 以便组织实施 保证企业信息系统的运营始终处在正确的轨道上 企业战略和组织 IT组织和期望行为 信息技术治理安排 信息技术治理机制 IT决策 原则 架构 基础设施 应用 投资 企业绩效目标 IT指标和责任 信息技术治理与管理的关系 管理强调的是 做正确的事 即计划 组织 领导 监督 治理更多强调的是通过组织架构 权力分配等制度安排 来实现不同利益相关者之间的相互制衡 实质上这二者之间并没有严格的边界 尤其是在大型上市公司中 治理与管理总是同时存在 互相促进 以实现股东利益的最大化 这好比是一个硬币的两面 谁也不能脱离谁而存在 信息技术治理是信息系统管理的基石 某种意义上可认为信息技术治理比信息系统管理更重要 如果没有好的公司治理 约束和激励 机制 公司管理的好是偶然的 管理不好是必然的 同样 对于企业信息系统而言 如果存在好的信息技术治理机 信息系统管理的好就是必然的 管理不好是偶然的 与信息技术治理和管理相关的主要标准 信息系统审计治理标准 COBIT 信息系统与相关技术控制目标 ControlObjectivesforInformationandrelatedTechnology COBIT 既是目前国际上通用的信息系统审计标准 也是一个在国际上公认的信息技术治理和管理框架 已经为世界上一百多个国家的政府部门 企业所采用 被用于指导这些组织有效地利用信息资源 有效地管理与信息系统相关的风险 COBITv5 0能够为企业使信息系统在整体上得以治理和管理 并承担整个端到端业务和信息系统功能区域的责任 同时兼顾内 外部利益相关者与IT部门相关的利益 COBIT具有很好的通用性 能够适用于各种规模的组织和机构 包括商务 非营利或公共机构等 COBIT可应用在所有的企业信息系统 包括了个人计算机 小型计算机 大型主机和分布式运算环境 它建立在一个信息技术资源必须被一套自然分类的程序所管理的想法上 而这种想法是为了要能提供组织要达成目标的适当且可靠的信息 COBIT的发展历程 1 审计框架阶段 1996年COBITv1 0作为一个审计框架被提出 2 控制框架阶段 1998年COBITv2 0在增加了控制目标和实施工具集后出版 是一个控制框架 3 管理框架阶段 2000年COBITv3 0在增加了管理方针和其他详细控制目标后出版 是一个管理框架 4 治理框架阶段 2005年COBITv4 0在第三版的基础上进行了重大更新 更加注重帮助董事会和员工应对不断增加的职责 是一个彻底的IT治理架构 5 整合框架阶段 2012年4月10日 ITGI正式发布COBITv5 0 这是它发展16年来最重大的一次改进 该框架中提供了全球广泛认可的原则 最佳实践 分析工具和模型 可帮助组织获得对信息系统的信任并从中产生价值 COBIT的主要内容 COBIT覆盖了信息系统的整个生命周期 即从系统分析设计 开发实施到运营维护的整个过程 其视野是最为开阔的 1 在分析设计阶段COBIT主要是考察组织的需求 并根据这些需求设计合理的资源组合 设立合理的服务级别 以确保能提供满足客户需求的信息技术服务 2 在信息技术服务管理的阶段COBIT主要解决的问题包括为满足客户的需要提供哪些资源 这些资源之间的成本是多少 如何在信息技术服务成本和服务的效益之间达到一个恰当的平衡点 3 COBIT指导企业管理层对信息系统运营进行外部控制和内部审计 以确保信息系统与业务实现精确的同步协调 以及实现信息技术持续不断的应用和对信息系统持续不断的改进 4 作为信息技术治理的核心模型 COBIT是一个基于信息技术治理概念的 面向企业信息化建设过程的信息技术治理实现指南和审计标准 它有6个主要组件 归集为四个控制域 并包含34个信息系统过程控制 每个过程都有一个高层控制目标 在34个高层目标下 共有302个低层的具体控制目标 这些控制目标描述了一些通过具体的控制步骤可以达到的结果 为信息系统控制提供了清晰的政策 COBIT的主要组件 1 管理指导方针 2 管理者摘要 3 架构 4 审计指导方针 5 控制目标 6 应用工具集 COBIT的四大领域及其34个IT程序 1 IT规划和组织 Planning Organization PO 定义一个策略性的IT计划 定义信息的架构 决定采用技术的方向 定义IT组织及其关系 管理对IT的投资 管理目标和方向的沟通 管理人力资源 确保遵循外部的条件 资产风险 项目管理 品质管理 2 系统获得和实施 AcquisitionandImplementation AI 辨识解决方案 应用软件的取得与维护 技术架构的取得与维护 IT程序的发展与维护 系统的安装与确认 变革管理 3 交付与支持 DeliveryandSupport DS 定义服务的层次 第三者提供服务的管理 效果和能力的管理 持续服务的确保 系统安全的确保 成本的确认和分摊 使用者的教育和训练 对IT客户的协助和建议 型态设定的管理 问题和意外事件的管理 数据的管理 相关设施的管理 运营管理 4 信息系统运行性能监控 Monitoring M 流程监测 内部控制适当性的评估 自主性保证的获得 自主性审计的提供 国际信息系统审计师认证 国际信息系统审计师 CertifiedInformationSystemsAuditor CISA 认证是由信息系统审计与控制协会 ISACA 发起的 是信息系统审计 控制与安全等专业领域中取得公认成绩的象征 拥有CISA资格证书说明持证人已经具备了国际上认可的实践能力和专业水平 随着对信息系统审计 控制与安全专业人士需求的增长 CISA已成为全球范围内个人与公司机构不可或缺的认证 它还为持证人带来相当的职业成就和经济利益 例如 美国电子签章法案要求具有CISA资格的人员才能执行独立性审计 以确认其安全管理的有效性 由此足见CISA的市场前景 CISA认证已有十多年的历史 它适用于企业信息系统管理人员 IT审计人员和其他对信息系统审计感兴趣的人员 以及信息化咨询顾问 信息安全厂商 信息技术服务提供商等 申请国际信息系统审计师认证的条件 1 顺利通过CISA的考试 2 遵守信息系统审计与控制协会 ISACA 的 职业道德规范 3 提供从事信息系统审计 控制与安全工作5年以上经验的证明 具有下列经验者 可申请替代部分年限 并出示适当的证明 4 具备如下资历者 可以申请替代1年的信息系统审计 控制与安全的工作经验要求 满1年的非信息系统审计工作经验 或 满1年的信息系统工作经验 或 具有大专学历 大学60个学分或同等学历 拥有学士学位 大学120个学分或同等学历 者 可以替代2年信息系统审计 控制与安全工作经验 2年相关领域 计算机科学 会计 信息系统审计等 大学专职讲师经验可以替代1年信息系统审计 控制与安全工作经验 无最高可替代年限限制 6年大学讲师经验可以替代3年信息系统审计 控制与安全工作的经验 COBIT在信息系统运维服务管理中的应用 1 COBIT应用于IT运维服务管理的步骤 按照COBIT运维域标准 进行信息系统运维服务流程的梳理 并在运维任务 制度和各种操作流程等方面进行规范 定义关键业务系统的相应服务级别 实施服务台管理 配置管理 问题管理 变更管理等 明确各流程之间的相互关系和人员配置 形成了一个完整 统一 相互协调的管理控制网络 2 COBIT应用于IT运维服务管理的作用 1 变被动为主动的管理模式 2 能提高用户满意度 3 变 人治 为 法治 4 建立起高效的信息系统运维机制 5 能提高科学管理的决策能力 BS7799信息安全管理标准 BS7799是英国标准协会 BSI 针对信息安全管理而制定的一个标准 最早始于1995年 后来被转化为国际标准 1 BS7799 1转化为ISO IEC17799标准 信息安全管理实施细则 主要供负责信息安全系统开发的人员作为参考使用 其中分11个标题 定义了133项安全控制 最佳惯例 2 BS7799 2转化为ISO IEC2700标准 信息安全管理体系规范 是建立信息安全管理体系 ISMS 的一套规范 详细说明了建立 实施和维护信息安全管理体系的要求 信息安全管理体系及ISO27001 信息安全管理体系 ISMS 是组织整体管理体系的一个部分 是组织在整体或特定范围内建立信息安全方针和目标 以及完成这些目标所用方法的体系 ISO27001是建立和维护信息安全管理体系的标准 它要求应该通过这样的过程来建立ISMS框架 确定体系范围 制定信息安全策略 明确管理职责 通过风险评估确定控制目标和控制方式 ISO27001认证 实施ISO27001认证有两种途径 1 自己做认证在组织内部成立专人专项工作组 按照计划自我实施 2 聘请咨询机构做认证选择有实力的咨询机构 帮助组织完成ISO27001认证 ISO IEC17799标准的主要内容 ISO IEC17799 2005 信息安全管理实施细则 从11个方面定义了133项控制措施 可供信息安全管理体系实施者参考使用 1 安全策略控制措施2个 控制目标1个 2 组织信息安全控制措施11个 控制目标2个 3 资产管理控制措施5个 控制目标2个 4 人力资源安全控制措施9个 控制目标3个 5 物理和环境安全控制措施13个 控制目标2个 6 通信和操作管理控制措施32个 控制目标10个 7 访问控制控制措施25个 控制目标7个 8 信息系统获取 开发和维护控制措施16个 控制目标6个 9 信息安全事件管理控制措施5个 控制目标2个 10 业务连续性管理控制措施5个 控制目标1个 11 符合性控制措施10个 控制目标3个 ISO IEC17799标准的10项最佳措施 1 与法律相关的控制措施 知识产权 遵守知识产权保护和软件产品保护的法律 保护组织的记录 保护重要的记录不丢失 破坏和伪造 数据保护和个人信息隐私 遵守所在国的数据保护法律 2 与最佳实践相关的控制措施 信息安全策略文件 高管批准发布信息安全策略文件 信息安全责任的分配 清晰地定义所有的信息安全责任 信息安全意识 教育和培训 全体员工应该接受恰当的意识培训 正确处理应用程序 防止应用程序中信息出错 损坏或篡改及误用 漏洞管理 防止利用已发布的漏洞信息来实施破坏 管理信息安全事件和改进 确保采取有效方法来管理信息安全事件 业务连续性管理 减少业务活动中断 保护关键业务过程不受重大事件或灾难影响 ISO IEC27001 2005标准的主要内容 利用PDCA循环方法建立开发 实施 维护并持续改进一个文档化的ISMS 1 建立ISMS Plan 2 实施和操作ISMS Do 3 监视和复查ISMS Check 4 维护并改进ISMS Act 5 信息安全管理体系 6 管理层责任 7 ISMS管理评审 8 ISMS持续改进 ISO IEC27001 2005标准的主要重点 1 ISO27001 2005标准指出ISMS应该包含的主要内容有 用于组织信息资产风险管理 确保组织信息安全的及包括为制定 实施 评审和维护信息安全策略所需的组织机构 目标 职责 程序 过程和资源 2 ISO27001 2005标准要求建立ISMS框架的过程包括制定信息安全策略 确定体系范围 明确管理职责 通过风险评估确定控制目标和控制方式 3 ISO27001 2005非常强调信息安全管理过程中文件化的工作 ISMS的文件体系应该包括安全策略 适用性声明文件 实施安全控制所需的程序文件 ISMS管理和操作程序 以及组织围绕ISMS开展的所有活动的证明材料 ISO IEC27001 2013新版本的改进 1 旧版本以资产与技术为主体 新版本以组织业务为主体 2 新版本将旧版本的4 1节扩展为第4章 对ISMS建立的基础进行了调整和明确 新版本增加了许多指引供企业参考 组织可以通过不同的方面以及风险进行深度的强化 3 旧版本原有11个领域 133项控制措施 新版本目前调整为14个领域 113个控制措施 新增的领域或是将原分散在各领域中的部分控制目标级别提升 组成新领域 如加密与供应链管理因其重要性而被独立出来成为新领域 或是将原有领域分拆 如将通讯与作业管理分开成两个独立的领域 以反映目前信息安全的发展趋势 而控制措施减少则是通过合并重复的项目来进行 像变更管理在不同的领域中有重复就予以合并 也有新增的控制项目 比如对智能型装置的管理 以及系统开发项目管理的信息安全要求等 SO IEC38500的来历及其主要内容 ISO IEC38500 2008标准 信息技术治理 是第一部信息技术治理国际标准 于2008年4月正式发布 它为人们提供了广泛指导方针和在组织中进行信息技术监督的实施框架 其目的是使信息技术治理成为公司治理的重要组成部分 ISO IEC38500基于澳大利亚的标准AS8015 由标准化组织 ISO 发行 它提供了一个IT治理的框架 包括系统的模型 原则和词汇 用来帮助公司IT治理的实施 该标准一共包括3个部分的内容 其中第一部分是 范围 应用和目标 第二部分是 良好的IT治理框架 介绍了IT治理的原则和模型 第三部分是 组织IT治理实施指南 介绍了IT治理实施的6个方面的原则 1 ISO IEC38500标准发布的目标 1 确保利益相关者对于组织IT治理的信心 2 指导管理者治理组织的IT使用 3 为IT治理的目标评估提供了基础 2 ISO IEC38500目标读者 1 高级管理者 2 组织中的资源监控团队成员 3 外部的业务或技术专家 包括法律或财务专家 行业协会及专业团体 4 硬件 软件 通讯及其他IT产品的厂商 5 内部或外部的服务提供者 包括咨询顾问 6 信息系统审计师 ISO IEC38500标准发布的目标 ISO IEC38500信息技术治理的原则 1 职责分工 2 IT支持组织发展 3 可获得性 4 可用性 5 符合性 6 尊重人的因素 ISO IEC38500的模型 IT治理 业务要求 业务推动 评价 指导 监控 业务过程 IT项目 IT项目 IT运行 ISO IEC38500标准的特点 1 这是第一个IT治理国际标准 2 这个标准简短的 易读 但相关概念十分复杂 3 为信息技术治理提供了一个有效 易实施 高效的框架 更好的将组织决策与IT联系起来 4 该标准中的建议与指南适用于任何形式规模的组织 5 该标准中的建议与指南不仅供管理者使用 而且组织中各个层面的人都能读懂 6 该标准为所有关键员工提供了合适的IT治理基本指南 7 该标准介绍了好的治理所需要的一些特征及治理流程 但是离真正的实施还有距离 需要其他标准的补充 ISO IEC38500标准与COBIT对比 ISO IEC20000标准的由来 ISO IEC20000国际标准源自于英国标准协会 BritishStandardsInstitute BSI 针对信息技术服务管理 ITSM 而制定的BS15000标准 ISO IEC20000标准第一个版本是由国际标准化组织 ISO 于2005年发布的 该国际标准的发布预示着信息技术服务管理 ITSM 进入到一个全新时代 建立以ISO IEC20000标准为基础的信息技术服务 ITS 管理体系 成为企业提高信息技术服务水平与管理能力的主要方向 ISO IEC20000标准的发展 1 第一部分 ISO IEC20000 1 2005 服务管理系统需求 规范了信息技术服务过程包含的13个流程 是认证的依据 2011年4月12日ISO发布了最新版本ISO IEC20000 1 2011 在2005版本的基础上 融合了ISO IEC9001 ISO IEC27001和ITILv3 2 第二部分 ISO IEC20000 2 2005 服务管理系统应用指南 涉及ITSM过程的最佳实践指南 2012年2月14日ISO发布ISO IEC20000 2 2012版本 有助于更加准确地理解和有效使用ISO IEC20000 1 随着ISO IEC20000 2 2012新版的发布 ISO IEC20000产品家族更新升级的步伐将进一步加快 ISO IEC20000新版标准的认证工作也将可以采用新的ISO IEC20000产品家族作为支撑 ISO IEC20000标准系列 1 ISO IEC20000 1服务管理体系需求 2 ISO IEC20000 2服务管理体系应用指南 3 ISO IEC20000 3ISO IEC20000 1范围定义和适用性指南 4 ISO IEC20000 4流程参考模型 5 ISO IEC20000 5实施计划模板 6 ISO IEC20000 6服务管理体系审核与认证机构要求 7 ISO IEC20000 7ISO IEC20000 1应用于云的指南 8 ISO IEC20000 8ISO IEC20000 1应用于小组织的指南 9 ISO IEC20000 10概念与术语 10 ISO IEC20000 11ISO IEC20000 1 2011与ITIL关系指南 ISO IEC20000标准的管理体系 1 管理体系要求 组织高层管理在信息技术服务方面的职能 信息技术服务管理体系文件化方面的要求 在人员能力 意识和培训方面的要求 2 策划和实施服务管理 对服务管理进行策划 制订服务管理计划 实施服务管理并交付服务 根据服务计划提供所承诺的服务 监视 测量和评价 对服务管理过程进行监视和测量 持续改进 要求服务提供商持续改进服务过程 3 策划和实施新的或变更的服务 ISO IEC20000标准的关键过程 ISO IEC20000规定了5个关键的服务管理过程及13个管理面 服务交付过程能力管理服务级别管理信息安全管理服务连续性和可用性管理服务报告信息技术服务的预算和核算 控制过程配置管理变更管理 发布过程发布管理 解决过程事件管理问题管理 关系过程业务关系管理供方管理 ISO IEC20000标准的特点 1 完整的框架 使ITSM形成完整的框架 与业务管理兼容的体系 2 认证的依据 具有正式 完整的认证体系 3 服务标准化 使用通用术语和服务标准 4 一体化管理 规定了提供一体化管理过程及要求 5 管理流程化 一套完整的信息技术服务管理流程 6 最佳实践指南 采纳了ITILv2中的全部主要流程 并对几个关键的管理流程做了补充 ISO IEC20000与ISO9000比较 1 ISO IEC20000与ISO9000的实用范畴不同 2 ISO IEC20000与ISO9000的侧重点不同 3 ISO IEC20000关注的内容和ISO9000相比 除信息技术服务质量外 还关注财