IT服务与信息安全PPT课件

,IT服务管理和信息安全,LeoLuk大中华区区域解决方案架构师ClientSolutionsOrganization,今天的内容,IT服务管理(ITSM)概要介绍业界最佳实践ITIL基於ITIL的ITSM-SunTone信息安全标准BS7799实施建议及成功案例,IT管理面临的主要压力,领导关注的问题,系统和IT资源日益复杂，如何对它们进行有效管理?,IT运营管理面对的挑战,如何能達到所承諾的服務级别?,如何实现IT与业务的精确校准，帮助企业节约发展成本、增强系统性能?,为什么一些运营商有着与其国际竞争对手一样的甚至更先进的系统、软件，但是系统的建设效果并没有对方好呢?,现在部门的组织结构是否合理?,用户对服务的质量有很高的期望值、但对所提供服务的质量很有意见管理机制分散、部门间各自为政、缺乏沟通管理手段落后只关注系统性能而忽略关注所提供服务的质量,其它运营管理经常遇见的问题:,IT运营管理面对的挑战,如何能有效解决以上种种的运营管理问题?,实现面向业务的IT服务管理(ITSM),IT服务管理是IT组织用来计划,研发,实施,运维高质量服务的准则:,什么是IT服务管理(ITSM),日常运作和基础架构管理,业务与应用、平台关联性管理,服务流程管理和应用管理,面向客户关注流程强调成本使服务可衡量化,IT服务管理的层面,人员操作(People),技术(Products),Process,管理流程(Process),40%,40%,40%,40%,20%,20%,如最终用户、系统管理、服务人员,如规则、备份、变更及问题管理,如服务器、储存系统、应用系统及中心环境等,数据中心运营管理出问题的原因分析:,流程Process,技术Products,人员People,实现流程的自动化，电子化，并监测服务的实施,对服务规划，开发和部署进行管理和维护,使用,执行,被执行,设计服务，定义ITSM流程,IT服务管理(ITSM)的三大要素,IT服务管理(ITSM)带来的好处,今天的内容,IT服务管理(ITSM)概要介绍业界最佳实践ITIL基於ITIL的ITSM-SunTone信息安全标准BS7799实施建议及成功案例,什么是ITIL,ITILITInfrastructureLibrary，是一系列的技术文档，用以协助IT服务管理(ITSM)架构的构建是国际上公認的IT运营管理的最佳实践指南。清晰表述IT运营的最佳流程架构。目的是使IT服务能配合业务的发展需要。ITIL最关键的核心文档为服务运营(ServicesSupport)和服务战术(ServicesDelivey),www.itil.co.uk,ITILPublicationMap,ITSM业界的最佳实践-ITIL,ITIL主要服务管理流程,可分为十个核心过程和两个主要领域及功能组,针对整体运营的规划和管理长远的发展路向,-针对每天发生的事情和实施操作-改善对每件事情的处理流程质量,发布管理流程-保障你的生产环境配置管理流程-标淮化你的基础设施变更管理流程-由一个已知、受控的状态改变成另一个已知、受控的状态问题管理流程-找出问题发生的根本原因突发事件管理流程-迅速的处理事件以满足服务质量的承诺服务台(function,notaprocess)-赢取客户对你的信赖,ITIL-服务运营(ServiceSupport),服务运营(ServiceSupport)流程模型,16,配置管理数据库,Incidents,CIsRelationships,Changes,Releases,ProblemsKnownErrors,管理工具,突发事件管理,配置管理,业务，客户，用户,服务台,突发事件,问题管理,变更管理,发布管理,变更,发布,服务级别管理流程-用户期望值的管理可用性管理流程-周详的规划以满足服务可用性的要求能力管理流程-在IT基础建设与成本开支间取得平衡财务管理流程-掌握所提供服务的相关成本持续性管理流程-在突发事故发生前把相应的风险管理好,ITIL-服务战术(ServiceDelivery),服务战术(ServiceDelivery)流程模型,18,业务，客户，用户,疑问，咨询,沟通，更新，报告,服务级别管理,需求，目标，成绩,可用性管理,能力管理,IT财务管理,持续性管理,警报，异常，变更,管理工具,今天的内容,IT服务管理(ITSM)概要介绍业界最佳实践ITIL基於ITIL的ITSM-SunTone信息安全标准BS7799实施建议及成功案例,SunTone是由Sun发起并由独立第三方维护和推动的业界标准，它主要关注於:,什么是SunTONE?,1.改善基於网络(network-based)的服务的质量；和2.提供一个基准，让客户能针对市场上所提供的不同产品、服务，能更容易地作出准确的评估,,什么是SunTone?,SunTone主要由以下三个部分组成-基於ITIL的规范(Specification);-质量启动(QualityEnablers)和-认证/审计流程(AuditandCertification),SunTone被设计成“以协助客户在构建基础框架、部署和管理一个高质量的网络IT服务”为主要目标,全球目前有超过1900家企业和机构已通过SunTone的认证,如何才能实现IT管理的目标,AchieveThis,ProcessDefinition,DeployedSolution,SunTonespecifiesrequiredprocessesfororganizationsITILprovidesguidanceanddetailedadviceforeachprocess,实践指南与标淮,SunTonevsITIL,SunTone和ITIL在相关领域基本采用相同的术语来进行描述、并互为完善和补充;ITIL推荐服务管理领域的每种可能流程,范围广泛实施时间长;SunTones采用更为注重实效的方法,精简每个领域的系统管理流程和策略而将精力关注于关键需求,从而实现最高质量的投资回报.ITIL对其推荐的规范和方法建议应当由专门的ITIL专家人员来进行IT服务的实施管理;SunTone则对其推荐的规范和方法定义了直观的质量评估和考核指标来指导IT服务的实施管理ITIL在实施以及效果衡量方面仅仅注重考核认证那些培训实施人员的经验和能力;SunTone则注重考核实际实施的质量和结果.结论:两种标准体系应该互为补充和完善,因为两种方法体系完整论述了从人员培训到实际服务提供和实际管理的整个方面;,SUNITSM模型的特点:ITIL+SunTone,SunTone规范中新增了ITIL架构体系所没有专门论述的内容:服务架构:论述服务目的,设计以及宏观层面架构,其关键在于通过全面规范设计实现服务质量,并且贯穿服务提供的整个生命周期.安全管理:特别表述访问控制,防火墙和安全审计等内容,更广泛和相关性地涉及安全和私密性相关的所有问题.数据中心管理:基于Sun运行环境的管理经验,包括相关关键技能和竞争力的特定建议.SunTone中没有ITIL中的财务管理,SUN公司的ITSM参考模型,流程管理,管理平台,服务级别管理,事件管理器,资源管理器,架构管理工具,业务,功能,雇员,技术,人员,技术,流程,SUNITSM服务-管理流程设计,服务管理,角色和职责投产步骤部件验证,配置管理帮助台管理事件管理问题管理变更管理发布管理服务水平管理,可用性管理安全管理容量管理服务持续性管理IT财务管理,硬件配置软件部件服务等级配给可用性需求安全考虑,容量规划IT服务持续性配给IT财务考虑验收/验证,验收测试技术能力客户技术能力,服务架构,服务实施,今天的内容,IT服务管理(ITSM)概要介绍业界最佳实践ITIL基於ITIL的ITSM-SunTone信息安全标准BS7799实施建议及成功案例,BS7799标准,BS7799是以风险为基础的信息安全体系，共分为两个部分:BS7799-1:1999/ISO17799(守则)“信息安全管理实施细则”给出了控制实例BS7799-2:2002(规范)“信息安全管理体系规范”给出了检查标准BS7799是目前最广为接受的信息安全管理标准BS7799-2:2002在申请ISO标准过程中,FinancialServicesHSBC,AssociationofBritishInsurers,InstituteofInternalAuditorsCommunicationsBritishTelecommunicationsRetailMarksandSpencerInternationalFocusKPMG,ShellInternationalPetroleum,WhoFormulatedBS7799,BS7799-2CertificatesperCountry,(asof6Dec2004),TheAbsoluteTotalrepresentstheactualnumberofcertificates.TheRelativeTotalreflectscertificatesthatrepresentmulti-nationregistrationsoraredual-,全球通过BS7799-2认证的机构,通过BS7799-2认证的国内公司名单,(asof6Dec2004),访问控制,资产分类和管理,安全策略,组织的安全,人员安全,物理的和环境的安全,通信和运营管理,系统的开发与维护,业务连续性管理,符合性,信息资产,BS7799所覆盖的10个安全领域,完整性,保密性,可用性,36控制目标127控制,信息安全管理系统(ISMS)管理的对象,达到均衡状态,今天的内容,IT服务管理(ITSM)概要介绍业界最佳实践ITIL基於ITIL的ITSM-SunTONE信息安全标准BS7799实施建议及成功案例,基于项目的服务(在ITSM研讨会后基于客户的需求选择）,基于项目的服务(在ITSM研讨会后基于客户的需求选择）,基于项目的服务(在ITSM研讨会后基于客户的需求选择）,基于项目的服务(在ITSM研讨会后基于客户的需求选择）,基于项目的服务(在ITSM研讨会后基于客户的需求选择）,基于项目的服务(在ITSM研讨会后基于客户的需求选择）,基于项目的服务(在ITSM研讨会后基于客户的需求选择）,基于项目的服务(在ITSM研讨会后基于客户的需求选择）,SUNITSM分阶段实施规划,ITIL/SunTONE实施的参考时间,ISO/IEC17799:2000,信息安全管理系统(ISMS)实施流程,建立安全论坛(SecurityForum),成立安全推动小组(drivingteam),小组接受培训和理解BS7799-2标淮,制定目标,制定安全政策,风险评估,制定风险应对计划和适用性说明书(SOA),制定相关文件纪录、及其管理和管制的措施,安全警觉性培训,实现安全管制(ImplementControls),内部审计,管理层审核(ManagementReview),外部预审,采取更正和预防措施,5.2,4.2.1,.3,5.2.2,.1,.1,.15.1,5.2,4.2.2AppendixA,,4.2.3,6.1,6.2,6.3,Plan,Do,Check,Act,,4.2.4,7.1,7.2,7.3,进行安全差距分析(BaseEvaluation),Timeframe:6monthsManpowerinvolved:71ProjectManager;2LeadBS7799consultant,2Consultants,2EngineersResultsWorldwiderecognizedsecuritystandardImprovedServiceLevelIncreasedtendersuccessfulrateBenchmarkforHutchisonworldwide,SampleofBS7799certification,参考案例-SunIT,超过300个办事处,在全球170多个国家有业务运作,6个主要的数据中心，分布於三个不同的时区,1,000+供应商和合作伙伴,CentralizedInfrastructure,20,000+雇员,NetworkInstallationsin100+countries,7FirewallComplexes,6800Subnets,400NetworkApplications,5.7Millione-mailsperday,5000Servers,18,600Websites,27,000SunRays,99.995%Reliability,500TBofDataindatacenters,范围与规模,ServerUtilization,TimetoDeploy,Ports/Admin,Terabytes/DBA,Availability,Servers/Admin,Efficiency,SleeplessNights,参考案例-SunIT的ITSM服务水平,参考案例-HutchisonGlobalCentre,-WorldClassDataCentreSunTONE(2001)andBS7799(2003)Certified-PremiumServiceswithSLA100%poweruptimeinthepassOracleFinancialOutsourcingServicesITOutsourcingFirewallandNetworkManagementServicesDRandBCPServices-4000m2with600cabinets(49U)90%rentedout,over100DBinstance,200+applications,1000+serversMajorclients:Hutchisonandbanking&Finance,参考案例-HutchisonGlobalCentre,ProductSummary,CustomerExperiences,参考案例-HutchisonGlobalCentre,22%,问题解答?,65%,EndofthePresentation,谢谢!,SupportingSlides,什么是基于ITIL的IT服务管理(ITSM),基于ITIL的IT服务管理（ITSM）有别于传统的IT管理ITSM以ITIL为基础，强调IT和业务需求的有效融合，同时注重IT投入的成本和效益。ITSM应针对组织业务和客户的真实的可用性需求对IT基础架构配置进行合理的安排和设计，避免盲目的IT投资和重复建设；ITSM应通过事件管理、问题管理等流程支持IT基础架构和组织业务的持续运作，保证IT资源的有效利用和业务运作的高可用性、高持续性和高安全性。ITSM应将所有IT投入纳入统一核算，为考核IT服务的成本和效益提供了可靠的评价依据。,ITILforServiceManagement,HowSunLeveragesSunTone,ITIL&SunSigma,Operations,HelpDesk,ITIL:BestPractices(What),SunSigma:Tools(How),VOC,QFD,CTQ,ProcessCapability,AffinityDiagram.,KanoDiagram,ProcessMap,FMEACharts:Control,Pareto,Frequesncy,Run,etc.Statistics:Regression,ANOVA,DOEetc.,ReliabilityServiceabilityMaintainabilitySecurity,RiskAnalysisAvailabilityPlanSystemAnalysisetc.,SLMChangeMngmt.CapacityMngmt.ProblemMngmt.etc.,ArchitectImplementManage,SunTone:Framework,ITILandSuntoneMapping,ProductMap,IT服务管理管理架构,StrategicProcesses,61,Supplier,AccountManagement,OperationalProcesses,Services,User/Customer,Client,Management,ServiceSupport,ServiceDelivery,RelationshipManagement,ServiceLevelManagement,ConfigurationManagement,Production,ProblemManagement,Development,ServiceDesign,ServiceBuild&Test,ServicePlanning,SecurityManagement,FinanceMgmt.ForITServices,Availability&ITContinuityMgmt.,CapacityManagement,RFC,ReleaseManagement,ServiceDeskIncidentManagement,Data,ChangeManagement,RFC,一个用来管理组织的框架，强调管理应依靠系统化的流程和步骤而非根据个人的取向,甚麽是管理体系(WhatisManagementSystem),政策-demonstrationofcommitmentandprinciplesforaction规划-identificationofneeds,resources,structure,responsibilities实施和运作-awarenessbuildingandtraining效能评估-monitoringandmeasuring,handlingnon-conformities,audits改进(correctiveandpreventiveaction,continualimprovement)管理层审核(Managementreview),管理体系的组成要素,IT管理体系ImplementationMethodolgy,戴明(Deming)质量改进循环(PDCA循环),InterestedPartiesITManagementSystemRequirements&Expectations,InterestedPartiesManagedITSystemsandInformationSecurity,IT管理体系ITSMISMS,服务战术(ServiceDelivery),ITIL服务运营(ServiceSupport),理解BS7799-2认证的模型,ISMS,AuditTeam,AccreditationBodies,Organization,CertificationBody,BS7799ISMSPart2,EA7/03,参考案例-SunIT组织架构,SourcingCouncil,BusinessSystemsCouncil,CTO,CIO,StratPlanningArchit