iso20000体系介绍及认证讲解@new.ppt

1、体系介绍及认证讲解,2014年11月,目录,资历 大型外资银行开发中心，系统分析师及高级软件工程师，核心银行系统开发、二线支持。 四大会计师事务所IT风险咨询部门，咨询顾问 专业领域 IT审计，IT流程咨询 ISO20000，ISO27001认证咨询服务 SOX,C-SOX和PN21等合规审计中的IT审计服务。 专业资格 国际注册信息系统审计师（CISA） 注册信息系统安全专家 (CISSP) 注册内部审计师 (CIA) ITIL V3 Foundation 认证,中钞信达体系认证项目,明确目标：拿证 or 落地 有的放矢：审核员的关注点 端正态度：与审核老师的沟通 心态放好： ISO2000

2、0 与 ISO27001 认证的通过情况 项目进度说明,目录,1,3,ISO20000 带来的变化与需配合事项,2,ISO20000 认证和审核步骤介绍,ISO20000 体系介绍,ISO20000 带来的变化与需配合事项,ISO20000 认证和审核步骤介绍,目录,ISO20000 体系介绍,ITIL Information Technology Infrastructure Library 即信息技术基础构架库，由英国政府商务办公室最初在二十世纪80年代发布的一套IT服务管理的最佳实践指南。ITIL在全球是最为广泛的用于提供IT服务的管理方法。,ISO20000 IT服务管理体系简介 -什

3、么是ITIL,ISO20000 IT服务管理体系简介 -什么是ISO20000,ISO20000是国际标准组织基于IT服务管理最佳实践提出的一套IT服务管理标准。它从服务的视角出发，将IT服务归纳为13个管理流程，并结合ISO体系的PDCA循环，形成一套IT服务管理的标准要求。ISO20000标准体系是基于ITIL最佳实践与BS15000英标体系进行构建的，并于2005年12月由ISO组织发布的第一部具有国际权威性的IT服务管理体系标准。,“用标准来管理IT，像制造产品一样生产IT服务”,ISO20000提供第三方进行验证的独立标准。 ITIL提供IT服务管理的最佳实践。 ITIL并非获得IS

4、O20000的必经之路，但导入ITIL会有更健全的服务基础，且更易于取得认证。,验证标准,最佳实践,ISO20000 IT服务管理体系简介 -ISO20000与ITIL的关系,服务、服务管理与IT服务管理,一整套专门的组织能力，并以服务的形式为客户提供价值。,实施和管理优质的IT服务，以满足业务的需要。IT服务管理由IT服务提供者来实施，依赖于合适的人员构成、服务流程以及信息技术。,IT服务管理,服务管理,为客户提供价值的一种手段，使客户不用承担特定的成本和风险就可方便的获得希望的结果。,服务,IT服务管理名词定义,流转和处理,IT组织化的能力和措施,流程、职能和服务,服务 1,服务 3,服务

5、 x,服务 2,技术手段,第三方服务,输入,流转和处理,输出,流程模型和特征,流程是指一系列为达成同一目标而进行的相关活动。,一个流程由一个事件或一个条件出发，流程结束后会达成一个结果。,每个流程的管控和衡量依赖于该流程结果相关的KPI。,流程中的角色,负责规划流程。控制流程的日常活动和运营，也撰写报告帮助流程所有者比较流程的实际执行效果与预期的结果。,负责执行定义好的流程活动，向流程经理汇报。,流程执行者,流程经理,负责流程的结果/输出。定义流程的活动，以及负责最终确认流程的实际结果是否与期望的结果相符合，同时不断改进流程和指标。,流程所有者,ISO20000 IT服务管理体系简介 -ISO

6、20000IT服务管理体系实施范围,ISO20000 IT服务管理体系简介 -各流程要点介绍,事件管理（Incident management) 流程目的：尽快恢复业务的运营，最小化对业务运营的消极影响，以保证服务质量和服务水平。 流程主要内容： 事件来源：用户报告（电话、服务台系统），监控系统报警等 处理流程：创建、受理、分析、处理、升级、解决、关闭 事件记录：流程涉及人员、事件优先级、分类、处理方案、状态、关键节点时间,问题管理 流程目的：通过问题根本原因的处理，避免重复发生的事件，最小化可能由问题造成对服务水平的影响。 流程主要内容： 问题来源：事件（重复发生、重大事件），测试发现，监控

7、系统报警等 处理流程：创建、受理、分析、处理、升级、解决、知识库更新、关闭 问题记录：流程涉及人员、问题优先级、分类、处理方案（知识库解决方案更新）、状态、关键节点时间,练习题,你是某个IT组织中的服务台人员。有一个用户呼叫电话说它的某个终端设备不能使用了。请问这是一个？ 事件 已知错误 问题 变更请求,练习题,一个良好的事件管理流程将可以： 确保事件像处理紧急变更一样进行处理 快速地诊断事件发生的潜在原因 在事件发生后尽快地恢复正常的服务运作 以上三项都是,练习题,下列哪项活动属于事件管理的职责？ 变更在基础架构中的应用 检测事件产生的原因 识别事件背后的潜在问题 事件的排除,练习题,“已知

8、错误（Known Error）”与“问题”在ISO20000中的不同之处表现在哪些方面？ 导致已知错误的潜在原因是已知的，而导致问题的潜在原因是未知的 已知错误与IT基础架构中出现的错误有关，而问题则与其无关 已知错误通常某个事件，而问题则不完全是这样的 对问题而言，与其有关的配置项已经发现和确认，而与已知错误有关的配置项通常仍未发现,练习题,以下哪项活动属于主动问题管理？ 处理变更请求（RFC） 进行趋势分析，发现潜在的事件的问题 跟踪所有的事件和服务中断 尽量减少由于IT环境的变更而造成的服务中断,练习题,当导致某个问题产生的原因发现后，此问题的状态转变以下哪种？ 事件 已知错误 已解决的

9、 变更请求,练习题,一个用户向服务台抱怨说，当他使用某个应用系统的时候，有一个错误总是反复地出现，从而导致网络连接的中断。下面哪个流程负责检测该错误产生的原因？ 事件管理 网络管理 问题管理 系统开发,ISO20000 IT服务管理体系简介 -各流程要点介绍,变更管理（Change Management) 流程目的：一方面对用户需求的变化做出快速响应，另一方面通过变更减少事件的发生及不必要的重复工作等，从而使变更的效益最大化 流程主要内容： 变更来源：用户提出的需求，事件、问题的解决方案，系统升级、扩容等 处理流程：计划、申请、评估、审批、开发、测试、上线、关闭 变更记录：流程涉及人员、变更分

10、类、优先级、各步骤控制记录、状态、关键节点时间,发布管理(Release Management) 流程目的：通过对发布合理计划，对变更的上线进行合理、有效的安排，在受控条件下将变更的发布包部署在目标环境中。 流程主要内容： 发布来源：准备转移到生产环境的变更 处理流程：计划、测试结果、回退计划、上线前审阅、上线发布、上线后审阅 发布记录：流程涉及人员、发布计划、关联的变更、状态、关键节点时间,ISO20000 IT服务管理体系简介 -ISO20000IT服务管理体系实施范围,练习题,当某个软件包的最新版本被安装到某个台式机时，它可能会影响其它软件包。哪个流程负责检查和判断其它软件包是否有必要测

11、试或者重新安装？ 变更管理 IT服务持续性管理 问题管理 发布管理,练习题,哪个IT服务管理流程负责检查变更请求（RFC）的合理性、可行性和必要性？ 变更管理 事件管理 问题管理 配置管理,练习题,以下哪项变更必须经变更管理流程批准后才能实施？ 用户录入数据到数据库中 改变密码 给系统增加一位新用户 将打印机从二楼移到三楼,练习题,下列哪项活动属于发布管理流程？ 检查组织内部的电脑上是否使用了非法软件 在组织内部的电脑上安装原版软件 记录哪些软件版本是可用的,练习题,下面哪一项不是发布管理流程的目标？ 评估软件变更的影响 与变更管理协商软件发布的具体内容 为在组织内部分发软件变更设计和实施有效

12、的程序 防止软件病毒进入组织,配置管理（Configuration management) 流程目的：定义并管控服务的各个组件，维护服务与基础架构的配置项在历史记录、计划状态以及当前的配置信息的准确性。 流程主要内容： 配置项包括：软件信息、硬件信息、人员信息、受控文件信息等 主要活动：配置项建立，配置项维护，配置管理数据库审计 配置项信息：配置项名称、属性、负责人（部门）、当前状态、历史版本、变更记录等,ISO20000 IT服务管理体系简介 -各流程要点介绍,ISO20000 IT服务管理体系简介 -ISO20000IT服务管理体系实施范围,ISO20000 IT服务管理体系简介 -各流程

13、要点介绍,问题发生时，怎样快速有效 地定位故障，找出解决方案？,日益复杂的IT环境，怎样有 效管理（系统组成，相互关 系等）？,怎样正确了解IT服务的成本， 从而在需要的时候进行正确 决策？,怎样快速评估某一IT设备/系 统的故障对业务或其他系统 产生的影响？,在实施变更时，怎样有效评 估其所带来的影响/风险？,怎样确定一个服务的IT设备/系 统的组成情况，以确定服务级 别目标（SLO）？,ISO20000 IT服务管理体系简介 -各流程要点介绍,数据库,广域,ISO20000 IT服务管理体系简介 -各流程要点介绍,练习题,可以从哪个数据收集工具提取统计信息用来深入了解IT基础设施的结构和组

14、成？ 能力管理数据库（CMD） 配置管理数据库（CMDB） 最终硬件库（DHS） 最终软件库（DSL）,练习题,配置管理数据库（CMDB）中的哪个属性有助于查明某个时刻的哪些配置项正在进行维护？ 购买日期 责任人（Owner） 位置 状态,练习题,由于产品本身的问题，用户现有的声卡被一块新的声卡替换。为方便以后参考，需对这块由另外一个制造厂商生产的新声卡进行登记。请问这项工作应由哪个流程负责执行？ 变更管理 配置管理 事件管理 问题管理,练习题,某个组织内即将安装一批新的PC。下列哪项活动不属于配置管理的职责？ 检查有关这些PC的相关数据的完整性和准确性 检查这些PC是否能够正常工作 给这台P

15、C命名并记录有关这些PC的相关数据 记录关于这些PC的相关数据的状态并确保这些状态的安全,练习题,下列哪项是配置基线？ 配置管理数据库中的标准配置 标准配置项的描述 以交付的一系列配置项 有关一项产品或服务的“快照”，以作为配置审计和变更回撤的基准,ISO20000 IT服务管理体系简介 -各流程要点介绍,服务级别管理（Service level Management) 流程目的：确保IT服务组织提供的所有服务都达到了其承诺的水平，同时确保对未来服务水平的承诺是可以达到的。 流程主要内容： 确定服务级别协议：确定用户对服务水平的需求，确定自身能力可完成的服务级别指标，协商确定服务级别协议 监控

16、服务级别指标：通过对KPI的监控了解服务水平执行情况 改善服务水平：了解服务可改善环节，制定整改措施，并纳入持续改进计划,服务报告(Service Report) 流程目的：对IT服务各流程运行情况进行总结、分析，使IT服务用户了解IT服务执行情况，帮助管理者了解IT服务管理体系运行现状及改进方向。 流程主要内容： 对外服务报告：IT服务内容介绍，IT服务请求完成情况，SLA主要指标完成情况等 对内服务报告： IT服务请求完成情况，SLA主要指标完成情况，IT服务管理体系各流程主要问题与改进计划等,ISO20000 IT服务管理体系简介 -ISO20000IT服务管理体系实施范围,SLA模板示

17、例,服务目录模板示例,ISO20000 IT服务管理体系简介 -各流程要点介绍,ISO20000 IT服务管理体系简介 -SLA主要活动,ISO20000 IT服务管理体系简介 -SLA主要活动,服务级别协议(SLA) 由IT部门和客户之间签订的描述将要提供的一项或多项服务的一份协议； 用非技术语言进行描述； 在协议期间它可作为评价和调整IT服务的标准。 运营级别协议(OLA) ITSP与IT部门内部某个具体的职能或岗位就某项IT服务所签订的协议； 支持IT部门提供各种服务； 是对SLA的细化。 支撑合同(UC) 与外部提供商就某项服务的供应所签订的合同； 通常是正式的合同，而SLA和OLAs

18、通常不是法律文本。,SLA：Service Level Agreement OLA：Operation Level Agreement UC：Underpinning Contract,服务B,服务A,服务C,IT基础架构,练习题,服务级别经理已经与客户签订服务级别协议（SLA），但IT部门却不能满足服务级别协议（SLA）中规定的要求。导致这种情况出现的主要原因是采购部门每个月只购买一次硬件，而IT部门经常不能等到那个时候才拿到所需要的硬件，因为服务级别协议（SLA）已经规定要“按需”供应。为了避免这种情况，IT部门应与购买部门共同签订或审查哪些问题？ 运作级别协议（OLA） 服务级别需求（S

19、LR） 服务说明书（Service Specification Sheet） 支持合同（UC）,练习题,服务级别协议（SLA）中包含以下哪项？ 关于所要提供的服务的内容 过去某个时期的可用性统计 对TCP/IP协议的详细的技术性描述 有关设立服务级别管理流程行动计划（SQP）,练习题,网络部门与外部组织就提供内部服务方面达成协议，将在何处说明此协议？ 运作级别协议 服务级别协议 服务级别需求 支持合同,练习题,考虑下列说法： 1.SLA应该定义协议双方的角色和职责 2.对SLA的实现情况应该进行监控，定期制作服务级别报告并报送相关人员 3.在SLA签订之前应该对支撑合同进行评审 没有一个是正确

20、的 1和2是正确的 2和3是正确的 上述三个说法都是正确的,练习题,下列哪项是配置基线？ 配置管理数据库中的标准配置 标准配置项的描述 以交付的一系列配置项 有关一项产品或服务的“快照”，以作为配置审计和变更回撤的基准,ISO20000 IT服务管理体系简介 -各流程要点介绍,IT服务预算与财务管理 流程目的：通过对IT服务预算、核算的管理，对IT的项目实施、运维服务、支持服务等的成本、效益进行有效的评估和控制。 流程主要内容： 制定预算：以IT服务的视角，考虑服务资源、IT组件、运维成本、外部服务成本等预计支出 预算使用控制 成本核算：根据预算，对IT服务成本进行核算，确保不出现不合理的大的

21、偏差,能力管理（Capacity Management) 流程目的：对IT服务所需人员、经费、技术等方面的需求进行管理，确保IT服务组织有足够能力满足IT服务水平的需求。 流程主要内容： 制定能力计划：制定和维护一个恰当的，与时俱进的，能够反映当前和将来业务需求的能力计划，应包括人员需求、财务需求、技术需求等方面 协助诊断和解决与能力相关（性能、容量等）的事件或问题,ISO20000 IT服务管理体系简介 -ISO20000IT服务管理体系实施范围,在一个IT组织内部，财务管理流程通过以下三个主要的子流程来得以实施的： 预算 会计核算 计费,ISO20000 IT服务管理体系简介 -IT服务预

22、算与财务管理流程,CDB,有关BCM、和的 计划,ISO20000 IT服务管理体系简介 -能力管理流程,练习题,概念不属于IT服务的预算及核算管理？ 预算编制 计费 采购 核算,练习题,下面哪个说法是错误的？ 为核算IT服务的成本，计费是必要的 IT服务预算和成本核算对于实施有效的服务管理是非常重要的 在实施计费之前最好进行IT服务预算和核算 计费可以实现成本的回收,练习题,下面关于IT服务的预算及核算管理表述中哪一项是不正确的？ IT服务财务经理需要负责确认和计量IT成本并为所提供的IT服务制定价格 为了能够建立IT服务预算和核算体系，应该先签订SLA和OLA 只有当对客户使用的服务进行计

23、费时才有可能提高成本意识 IT服务的预算及核算管理必须在建立成本核算模型之前与客户就收费问题达成协议,练习题,哪个流程负责为需求中的IT服务的购买事宜制定（长期）计划？ 可用性管理 能力管理 配置管理 服务级别管理,练习题,由于需要安装新的计划性的软件包的发布，需要对网络服务器进行升级。下面哪个流程负责调查网络服务器中所需要的磁盘空间？ 能力管理 网络管理 可用性管理 服务级别管理,练习题,某钢铁公司被竞争对手兼并。IT部门以及两个公司的IT基础架构需要整合，IT基础架构整合后运行应用程序所需要的磁盘空间将由下列哪项流程决定。 应用管理 能力管理 计算机操作管理 发布管理,练习题,下列有关能力

24、管理的使命的描述正确的是？ 确保符合客户需求的成本合理的IT能力总是存在 确保在当前的采购周期内拥有充分的IT能力来满足客户的需求 确保在需求的高峰时期也具有充分的IT能力，并且是以最低的成本提供这种能力,ISO20000 IT服务管理体系简介 -各流程要点介绍,连续性与可用性管理 流程目的：维护IT服务连续性计划和灾难恢复计划以支持公司整体的业务连续性计划。对IT服务可用性指标持续监控以保证承诺的服务级别指标可以达成。 流程主要内容： IT连续性计划及灾难恢复计划：通过风险评估、业务影响分析，制定并演练IT连续性计划 可用性指标管理：确定SLA中对可用性指标的需求，对可用性指标进行监控，提出

25、改进方案优化IT服务可用性水平,信息安全管理 流程目的：IT服务管理流程满足信息安全管理的要求。 流程主要内容： 确定信息安全需求：以信息安全的视角，考虑IT服务管理体系的各流程对于信息安全的需求，并制定相应要求 与ISO27001信息安全管理体系融合：根据的ISO27001信息安全管理体系，结合ISO20000 IT服务管理体系，对IT服务流程中的安全要求进行规范,ISO20000 IT服务管理体系简介 -ISO20000IT服务管理体系实施范围,ISO20000 IT服务管理体系简介 -可用性概念框架,ISO20000 IT服务管理体系简介 -可用性设计,练习题,以下哪一项是IT服务持续性

26、管理流程的活动？ 通知终端用户有关系统故障方面的情况 将后备方案（Fallback Arrangement）文档化 提供可用性方面的报告 确保配置项始终是最新的,练习题,关于IT服务持续性计划，某个灾难的严重程度取决于： 灾难持续的天数 恢复灾难可用的人员数量 灾难的类型，如洪水、火灾等 对客户业务的影响,练习题,在哪两个服务管理流程中最有可能用到风险分析和风险管理方法？ 变更管理和成本管理 可用性管理和IT服务持续性管理 事件管理和变更管理 服务级别管理和IT服务持续性管理,练习题,保密性是安全管理流程要实现的目标之一。以下哪项正确地说明了“保密性”这个术语的含义？ 对数据的保护以防止未经授

27、权的访问和使用 随时访问数据的能力 验证数据正确性的能力 数据的正确性,练习题,某公司财务管理数据只能提供给授权的用户，安全管理采取措施来确保这点。这样做可以确保数据的哪个方面的安全性得到保证？ 可用性 完整性 稳定性 机密性,ISO20000 IT服务管理体系简介 -各流程要点介绍,业务关系管理 流程目的：了解用户对于IT服务的评价，对IT服务的改进需求，以及随着市场环境变化可能产生的新的需求，从而不断提高用户的满意度。 流程主要内容： 用户投诉：设立投诉渠道，对用户在使用IT服务过程中遇到的问题进行有效的沟通，并及时进行处理和反馈 满意度调查：定期对IT服务满意度进行调查，作为服务持续改进

28、的输入 新服务需求：建立机制，对用户可能产生的新的服务需求早作准备，迅速响应,供应商管理 流程目的：通过对供应商的管理，确保其向IT服务组织提供的服务能够满足IT服务组织向用户承诺的服务水平。 流程主要内容： 合格供应商评估：对供应商资质进行评估，确保准入供应商 服务评估：对服务供应商提供的服务进行评估，确认其服务水平达到其对IT服务组织承诺的水平,ISO20000 IT服务管理体系简介 -ISO20000IT服务管理体系实施范围,Service Support流程,业务、客户 和用户,事故 问题和已知错误 变更 发布 配置项关系,Service Delivery流程,ITSM流程模型,IT服

29、务连续性管理,用户,客户,应用管理,服务级别管理,IT服务财务管理,能力管理,可用性管理,配置管理,变更管理,安全管理,事故管理,问题管理,服务台,网络管理,CRM,服务支持,服务提供,发布管理,ISO27001 与 ISO20000的整合,ISO/IEC 27001:2005版的11 个方面： 1) 安全方针7) 访问控制 2) 信息安全组织8) 信息系统获取、开发和维护 3) 资产管理9) 信息安全事故管理 4) 人力资源安全10) 业务连续性管理 5) 物理和环境安全11) 符合性 6) 通信和操作管理,ISO20000 带来的变化与需配合事项,ISO20000认证和审核步骤,目录,ISO20000 体系介绍,ISO20000 模拟审核及认证审核,项目实施与认证机构的认证安排,ISO20000体系建立及运行,PLAN,CHECK,ACT,确定范围,现状调研,成熟度评估,差距分析,差距整改,实施ISO20000体系,试运行,复核认证范围,文档准备,内审,正式审核&颁发证书,管理评审,持续改进,关键控制点,定期审核,ISO20000 带来的变化与需