作者:侯维栋,麻德琼,高军,虞衔,周彦倜
出版社:清华大学出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
ISO 20000认证与实践试读:
前言
随着信息化的不断发展和渗透,人类生活受信息化的影响无论是在深度或是广度上都达到了前所未有的程度,对信息化的依赖也日益提高。在一些信息化发展较快的行业里,如何深化信息化的应用和加强信息化的运维管理备受管理者关注,很多组织都在思考如何从“以产品为中心”向“以客户和服务为中心”转变,从关注“技术创新”向关注“服务创新、管理创新”转变,这种转变的需求催生了IT服务管理的国际标准——ISO/IEC 20000:2005(以下简称ISO20000)。
ISO20000是在ITIL基础上发展完善形成的国际标准,它为IT管理者提供一套可以持续优化IT服务的流程化管理体系。随着ITIL的方兴未艾,ISO20000也得到越来越多的关注和重视,它不仅为组织提供管理依据和帮助,也为组织提供一个验证和证明自身服务管理能力的方法。由于国内引入ITIL的时间不长,很多组织的IT服务管理基础相对薄弱,因此国内通过ISO20000认证的组织目前并不多。此外,无论是ITIL还是ISO20000都是“舶来品”,如何与国情和组织实际情况相结合,使其真正落地,不至于沦为通过认证的“表面工夫”,也是众多希望借助ISO20000改变IT服务管理水平的管理者所担心的问题。
与众多介绍ITIL体系的书不同,本书旨在从ISO20000认证和实践的视角,与读者分享ISO20000实施的经验和体会。因此,本书对ISO20000体系和IT服务管理理论基础的介绍点到为止,更多着笔于ISO20000的认证方法和如何实践ISO20000的管理体系和管理流程,也为读者提供一些有借鉴意义的工具范例。本书中的工具、范例和方法论并非完全由编者原创,而是编者在实践过程中综合利用并检验有效的。本书可以作为组织信息化建设过程中,建立IT管理控制体系的实践指南,也可以作为组织通过ISO20000认证前的参考书。
全书14章共分为三个部分。其中第一部分为ISO20000介绍,涉及的主题包括ISO20000背景、ISO20000体系、与其他管理体系和管理工具的比较。通过这一部分读者可以了解ISO20000是如何从ITIL演变而来,组织为什么要实施ISO20000,ISO20000标准中的基本要求,从而对体系有一个初步的认识。第二部分为ISO20000认证,涉及的主题包括认证准备、差距分析、流程实施与改进、认证审核。通过这一部分读者可以了解认证过程中需要完成的工作内容,并学习到一些实用的工具范例。第三部分为ISO20000实践,涉及的主题包括IT服务体系管理、规划和实施服务管理、规划和实施新/变更服务管理、服务交付过程、解决过程、关系过程、控制与发布过程。通过这一部分读者可以全面了解ISO20000各流程的实践要点,以及如何建立维护服务管理体系,保持流程的持续改进。
在本书的编写过程中,编委会的各位成员付出了辛苦的劳动,向他们表示感谢。另外还有大量的“无名英雄”,虽然没有参与本书的编写工作,但在ISO20000的实践过程中做出了最大的努力,本书描述的内容也凝聚着他们的智慧结晶,特别提出感谢的有杨蔚蔚、修永春、郑仕辉、张剑、王海东、周珠玲、夏卫民、孙磊、邹嘉麟、胡丹、艾敏、潘浩、赵莉、茹惠蕊、潘艳、张岚(排名不分先后)。感谢史文博协助修改全书的图片和表格。
本书出版过程中,清华大学出版社的编辑给予了大力支持和帮助,在此表示衷心感谢!
由于本书的编写过程较为仓促,编者的水平也有限,存在错漏在所难免,请广大读者谅解并批评指正。侯维栋第一部分 ISO20000介绍
在介绍ISO20000的认证和实践之前,本书将首先从ISO20000背景开始对ISO20000这个IT服务管理领域的国际标准进行详细介绍。从ITIL诞生到ISO20000成为国际标准,历经了近20年的时间,IT服务管理从最佳实践中产生,又指导实践的开展,这正是它具备强大生命力的最大原因。
此外,ISO20000作为管理体系的新军,需要管理者与其他的一些管理体系或方法论进行比较、取舍或融合,使之发挥更大的效用。第1章 ISO20000背景1.1 ISO20000起源
21世纪是全球信息化的时代,信息技术(information technology)的发展日新月异,已经或正在渗透到人类生活的各个领域,教育、医疗、金融、商务、交通、通信等等。可以毫不夸张地说,信息技术正在以前所未有的方式改变着人类的生活,所有的事物都变得更加快捷,人类对信息系统的依赖性日益提高,信息系统的稳定和可靠运行将成为人类生活的一个基本保障。
为了满足不断变化的需求,信息系统在不断广泛化、复杂化、大型化,由此导致信息系统出现的问题也越来越复杂,已经不是单纯提高软件或硬件质量所能解决的,IT服务质量开始影响行业的发展和进步,甚至关乎企业的存亡。因此,越来越多的企业开始从简单关注软件或硬件的质量转变为关注IT的整体服务质量,由此诞生了IT服务管理(IT service management)这个新的领域,相关的研究方兴未艾,受到各界越来越高的关注和重视。1.1.1 ITIL V1
20世纪80年代,英国政府部门认为他们接受的IT服务质量不佳,于是以提高IT服务质量、高效经济地使用IT资源为目标,要求中央计算机和通信管理局(CCTA, central computer and telecommunications agency,后来成为英国政府商务部OGC, office of government commerce)连同国内外著名IT厂商和专家一起进行研究,试图探讨一套规范化的IT资源使用方法,这套方法独立于厂商,不同规模、不同需求的组织都可以根据这套方法来进行IT服务管理。CCTA开发出了当时的信息技术基础设施库,即现在被广泛认可的ITIL(information technology infrastructure library)第一版,即ITIL V1,成为IT服务的最佳实践指南,它包含了31个流程,具体内容如图1-1所示。
20世纪90年代,为了使ITIL的方法论和知识体系能够得到更广泛的发展,英国政府商务部将ITIL V1汇总成《服务支持》(Service Support)和《服务交付》(Service Delivery)两本指南,很快ITIL V1得到了很多欧洲国家的认可,成为当时欧洲IT服务管理的实际参考标准。
ITIL立足于IT运营,侧重于IT过程管理,从服务支持和服务支付两个方面对IT服务管理流程的活动过程进行整理,将流程规范化,明确每个流程的目标、活动、关键成功因素、职责角色、成本以及和其他流程的关系等内容。ITIL是以流程为导向、以客户服务为核心的IT服务管理最佳实践,被广泛用于各种规模、形式,不同技术水平、业务需要的企业(或组织)。20世纪90年代末,ITIL被引入中国。1.1.2 ITIL V2
2000年初,英国政府商务部OGC对ITIL第一版的两本指南进行了修订和完善,形成ITIL V2知识体系。ITIL V2的模块框架如图1-2所示。
ITIL V2框架由六个模块组成,分别是业务管理、服务管理、IT基础架构管理、应用管理、安全管理和IT服务管理规划与实施。这六个模块基本涵盖了IT服务管理的各方面,对ITIL的10个核心流程和1项服务职能从目标、范围、活动过程、关键绩效指标、关键成功因素、流程之间的关系等方面的定义和指导。ITIL的核心思想是从业务而不是IT技术的角度去理解IT服务需求,只有先明确业务需求才能确定所需要的IT基础架构,更好地处理业务和IT系统的关系。
ITIL的核心模块是服务管理,分为服务提供和服务支持两部分,共10个核心流程,其中服务提供包括服务级别管理、IT服务财务管理、IT服务持续性管理、可用性管理和容量管理五个流程,服务提供的五个流程主要关注IT部门服务级别协议的签订和SLA目标实现过程的监控,主要管理活动包括明确需求、制定计划和服务变更升级等;服务支持包括事件管理、问题管理、配置管理、变更管理和发布管理五个流程和服务台组成,主要关注IT部门如何按照SLA标准向客户提供服务,主要的管理活动包括IT管理和控制、提供IT服务等。
业务管理强调以客户需求为核心而不是从IT服务提供方的角度去理解IT服务需求,IT部门在提供IT服务的时候首先要考虑的是业务需求,深入了解IT基础架构支持业务流程的能力,为业务发展提供最大的贡献。
作为IT管理的对象,IT基础架构是IT基础设施的有机整合,包括对基础设施的实施和维护,从识别业务需求、实施和部署、对基础设施的建设和维护角度来确保IT基础架构管理是稳定可靠的,能够支撑业务持续稳定地运行。
为了确保应用系统能够满足客户的使用需求,IT服务管理的职能应该介入应用系统的开发、测试和运行,指导IT服务提供方协调应用系统的开发和维护,对应用系统的整个生命周期都进行管理,为客户的业务运作提供支持和服务。
安全管理的目标是保护IT基础架构在未授权的情况下不被使用,防止对IT基础架构造成的人为或外力的破坏。对企业的IT基础架构中的风险点和薄弱点进行风险评估和风险控制,制定安全策略和政策及其处理安全事件的操作手册等。ITIL的安全管理模块侧重从政策、策略的角度来指导如何进行安全管理,并没有详细的安全管理方法和步骤。
ITIL V2以上的五大模块明确了企业在IT服务管理中需要实施的活动内容,IT服务管理规划与实施模块是对这些流程的整合,告诉企业如何去实现目标。为企业树立愿景目标、分析和评估现状、进行差距分析、对流程的实施情况进行监控和评审。1.1.3 BS15000
2001年,英国标准协会(BSI)在国际IT服务管理论坛(itSMF)年会上正式发布了世界上第一个基于ITIL的IT服务管理英国国家标准BS15000。BS15000标准由两部分构成。第一部分是BS15000的标准体系,包括管理系统、服务规划、流程关系、服务交付、控制、发布过程,指导企业如何遵循BS15000标准体系,并通过该体系认证来提高IT服务管理水平。第二部分是实践指南,对第一部分的理论体系作了详细解释,给企业提供实际指导。虽然BS15000是英国国家标准,但是已经得到澳大利亚和南非等多个国家的认可和采用。1.1.4 ISO20000
2002年BS15000被提交给国际标准组织(ISO),申请成为IT服务管理的国际标准。要成为ISO标准,可以由相关的国家共同创造和使用,或者通过国际标准快速通道。2005年5月17日,BS15000通过了国际标准快速通道的投票,BS15000-1:2002&BS15000-2:2003正式发布成为ISO国际标准,ISO20000-1:2005&ISO20000-2:2005成为了IT服务管理的第一个国际标准。从一个国家标准BS15000发展成为国际标准ISO/IEC20000(以后简称ISO20000),标志着IT服务管理标准将推广到更大范围,为全球企业的IT服务和业务管理带来更深远的影响。
ISO20000规定了IT组织对客户提供IT服务和支持的全部活动过程,展现了一套完整的IT服务管理流程,帮助IT组织识别并管理IT服务的关键流程,保证向客户提供高质量的IT服务。和ITIL V2的10个核心管理流程相比,ISO20000有13个管理流程,新增的业务关系管理与供应商管理,对应于ITIL的服务级别管理。新增的服务报告,贯穿在ITIL的每个管理流程之中。很多企业认为,要通过ISO20000的标准,必须先做到ITIL,因为ITIL是IT服务管理的最佳实践,只要按照ITIL体系去做,就能建立标准的ISO20000服务管理流程。其实ITIL只是告诉你要如何做,在实施ITIL的过程中逐渐提高管理水平。而ISO20000关注的是结果和效果,它为企业提供了一个完整的管理框架,为IT服务提供方和客户之间建立了一套双方都理解、认可的服务评价指标。ISO20000作为IT服务管理的国际标准,是从ITIL发展而来的,是ITIL的最佳实践指南。1.2 ISO20000的意义
在这个信息化的年代,信息技术的发展直接推动了企业信息化的发展,很多企业为了实现其“以客户为中心,以市场为导向”的业务目标,需要对IT投资成本进行评估,实施相应的信息化战略来满足客户的需求和业务的发展,希望能够在国际化的竞争中获得优势,很多企业开始认识到IT基础架构不再是孤立的硬件设施,而是为企业的业务运行提供整体性支持的IT服务。于是,很多企业开始研究和探讨如何能够使IT服务得到最有效的管理。
当你问一家企业CIO如何管理企业IT系统,如何让IT服务支撑企业的业务流程时,他可以向你介绍企业的IT部门职责、IT事件如何进行汇总和及时解决率等所有关于IT服务的内容,或者也可以用一句言简意赅的话回答你:我们已经获得了ISO20000的认证。
在美国、英国、加拿大、澳大利亚等国家共超过10000家公司和很多部门政府成功实施了IT服务管理,全球共有超过15万人通过了IT服务管理认证考试,可是我国由于引入IT服务管理理念的时间比较短,也没有专业的机构进行宣传和推广,有关IT服务管理及其领域咨询、培训的公司也较少,所以,虽然ISO20000标准已经得到国内很多企业的认可,但是目前国内通过ISO20000认证的企业还比较少,不过越来越多的企业开始接受ISO20000的标准认证,在IT行业,ISO20000认证已经成为IT服务管理的代名词,一个企业通过了ISO20000的认证标志着它秉持IT服务管理的最佳实践,有高效的IT服务管理支撑,在同行业中有着更强的竞争力。全球的IT服务业日趋庞大,在印度、韩国等其他国家,也兴起了认证风潮,因为这些企业明白,一旦拥有了认证,就象征着企业具有最可靠的IT服务后盾。
那么当一个企业通过了IS020000的认证,坚持实施最佳实践后,高效的IT服务管理究竟可以给企业带来哪些效益呢?
1.建立紧密的跨部门协作关系和完善的员工考核制度
ISO20000的实施首先带来的是IT管理组织的自我调整,“以流程为主”的矩阵化管理模式,与国内企业传统的以“部门为主”的企业文化有着很大差异。而以往IT组织在实施服务管理时面临的最大挑战就是获得高层管理人员的关注和支持,但是要坚持执行ISO20000的管理体系,势必要对企业现有的架构进行重新改造,将以部门职能为主导的工作方式转变为以流程驱动为主的工作方式。
ISO20000的13个流程的输入输出帮助解决了员工工作无法量化的难题,IT工作被分解成13个不同的管理流程,每个部门、每位员工的日常工作都是13个流程中不同工作的组合,每个流程的负责人都能根据流程的量化数据对员工进行考核,对于员工所承担的流程责任也有了相应的考核体系。
2.遵循PDCA(计划—执行—检查—改进)的方法论,持续改进IT服务管理体系
企业建立IT服务管理的目标是为了给客户提供更优服务,建立以高质量客户服务为中心的不断自我完善的体系,ISO20000管理体系要求企业对每个流程和岗位工作都遵循PDCA方法论,不断地发现问题和解决问题,不断地完善;要求每位员工都要具有问题意识,在工作中不断优化自己的工作模式,提高工作效率。
3.提高市场竞争力
最后也是最重要的,就是增强企业在市场上的竞争优势,提高企业的声誉,提升投资回报,企业通过ISO20000认证,就保证了IT组织严格执行IT最佳实践,而客户更愿意也更信任这些有着持续完善的IT管理体系支撑的企业。目前国内通过ISO20000认证的企业不多,但ISO20000标准的核心ITIL已经被越来越多的组织认可和引入,越来越多的企业也开始对ISO20000标准高度重视,对于企业来讲,越早引入ISO20000国际标准,企业将越早的受益,提高在行业中的竞争力。第2章 ISO20000体系2.1 ISO20000基本框架
ISO20000作为ITIL服务管理最佳实践的指南,目的是为IT服务提供商提供一套IT服务管理方法,并通过第三方认证证实企业有能力满足客户的要求。
ISO20000标准包括两个部分:《IT服务管理第一部分:规范》(ISO/IEC20000-1:2005,Information technology Service management Part1:Specification),《IT服务管理第二部分:实施指南》(ISO/IEC20000-2:2005,Information technology Service management Part2:Code of Practice)。
第一部分阐述企业要实施有效的ISO20000服务管理需要完成的工作,包括管理体系、标准架构、术语定义、服务流程等几个部分,通过具体的流程目标和活动内容,ISO20000对企业如何实施IT服务管理体系制定了明确的规范和指导,帮助企业达到IT服务的管理和控制,也对企业获得ISO20000认证提供了帮助。第一部分的服务管理规范由以下10个部分组成:范围、术语与定义、管理体系要求、服务管理的策划与实施、新服务或变更服务的策划与实施、服务交付过程、关系过程、解决过程、控制过程和发布过程。
随着服务外包的日益普及和信息技术的飞速发展,服务提供者在不断提高客户服务水平的同时也要降低成本、增加IT服务的灵活性,对客户的需求做出更快的响应,高质量的服务管理对于组织创造价值并且符合成本效益是至关重要的,有效的服务管理能够交付高水平的客户服务和客户满意度,企业期望执行高质量的IT服务管理就必须采用流程整合的方法,持续控制和改善IT服务,有效地交付管理服务满足客户的需求。ISO/IEC 20000-1:2005定义了服务提供者交付顾客可接受的管理服务需求。它可以应用于以下几个方面(来自ISO20000-1:2005):
a)为外包服务寻找竞标的组织;
b)要求供应链中的所有服务提供商采用一致性方法的组织;
c)对IT服务实施标杆管理的服务提供商;
d)作为独立评估的基础;
e)需要证实具备满足客户需求的服务能力的组织;
f)通过有效应用流程监控并改进服务质量,以改进服务的组织。
第二部分采用了与第一部分一样的结构,但是针对第一部分提出的要求进行了更具体的描述和扩展,实施准则提供了组织内按照ISO20000-1进行IT服务管理的实践要点和方法指南,是组织通过ISO20000认证的重要参考指南。
图2-1(引用自ISO20000标准)表述了ISO20000的框架体系和IT服务管理过程。
和ITIL的服务管理过程相比,ISO20000增加了服务体系的管理要求,并将PDCA循环贯彻在整个IT服务管理流程中。2.2 ISO20000的流程概述2.2.1 服务级别管理
在ISO20000-1中明确定义了服务级别管理的目标:“定义、协商、记录和管理服务水平。”“所有相关方面应该协商并记录所有服务的服务水平目标以及工作量特性,所提供的服务应在一个或多个服务等级协议(SLAs)中定义、协商并书面记录。所有相关方应协商并记录服务等级协议、支持性服务约定、供方合同和相应的流程。服务等级协议应处于变更管理流程的控制之下。所有相关方应定期评审以保持服务等级协议是最新的和持续有效的。应根据目标来监控并报告服务等级,报告中应展示当前以及发展趋势信息,应报告并评审不符合的原因,应记录这一过程中确定的改进措施,并作为服务改进计划的输入。”2.2.2 服务报告
ISO20000-1中定义服务报告的目标为:“为决策和有效沟通及时完成可靠的、精确的、达成一致的报告。”
每一服务报告应清晰描述其标识、目的、目标读者以及详细数据来源。服务报告应为满足确定的需求和顾客要求而编制。服务报告应包括:
a)与服务水平目标相比较的绩效;
b)不符合项及存在问题,如不满足SLA、安全违规;
c)工作负载情况,如工作量、资源利用率;
d)重大事件后的性能报告,如重大事故和变更;
e)趋势信息;
f)满意度分析。
服务报告的结论中应考虑包括管理决策和改进措施,并与相关方沟通。
在IT服务管理中,需要记录并衡量IT服务的绩效及目标达成情况,找出目前相关工作的差距和不足,利用企业各种IT基础架构资源,不断改进所提供的服务。因此服务报告不是简单地罗列提供服务的情况,向客户报功。而是要对服务情况进行分析和检查,也可以认为是PDCA(详见本书后续章节说明)检查这个环节,并及时编制可靠准确的报告来支持决策和改进计划的制定,并保持与客户的良好沟通。2.2.3 服务连续性和可用性管理
企业的信息化程度越高,对IT服务的依赖程度也越高,在如今高度竞争的市场中,几小时甚至几分钟的IT系统瘫痪也会给企业的业务服务带来严重的负面影响,不仅经济上可能有损失,而且损失更大的可能是社会声誉。尤其是在自然灾害、人为灾难频发的情况下,维持业务系统不间断运行,随时提供对外服务对企业的发展甚至生存都有非常重大的意义。尤其是在“9.11”以后,企业对“灾难”的认识更加深刻。对于IT服务而言,灾难是指对企业的某个服务或系统造成严重影响甚至导致系统停止运行的事故,例如地震、火灾、水灾、海啸、恶意侵略攻击、恐怖活动等,当灾难发生后,企业需要付出非常大的代价来恢复系统先前的服务水平,有的企业可能因为灾难再也不能恢复到原有的水平,有的企业甚至因为一次灾难而彻底倒闭。但如果企业开展了IT服务连续性管理,根据业务情况制定了可用性和服务连续性计划,并且企业有足够的资源来保证IT服务的持续性运作,就能在灾难发生以后确保支撑业务运行的IT服务在规定时间内得到恢复,从而支持企业总体的业务持续性运营。
ISO20000-1中将服务连续性和可用性的目标定义为:“确保在所有状况下都可以实现与客户协商一致的服务连续性和可用性承诺。”“可用性及服务连续性需求应基于业务计划、服务等级协议和风险评估来确定,并且需求应包括访问权限、响应时间以及系统组件端对端的可用性。”按照ISO20000-1的要求,服务提供者应“开发可用性及服务连续性计划,且每年至少回顾一次,以确保在所有情况下都可以满足服务连续性需求,无论是正常情况还是主要服务失效的情况”,“服务连续性计划应按照业务需求进行测试,所有测试都应记录并将测试失效问题纳入改进计划中”。可用性和服务连续性与变更管理流程应建立密切的联系,当业务需求发生变化时,应对连续性计划进行维护;当业务环境发生重大变更时,应重新测试连续性计划;对任何变更都应评估其对连续性计划的影响。由于可用性和服务连续性往往是服务级别协议中最关注的部分,因此“应测量并记录可用性,对计划外的不可用应调查并采取适当的措施”。“当正常的办公访问被阻止时,应确保服务连续性计划、联系列表和配置管理数据库可用。”“服务连续性计划应包括返回正常工作状态的内容。”
虽然ISO20000将可用性和服务连续性作为一个流程,但实际工作中两者还是各有侧重,当然总的目标都是一致的,那就是保证服务一直可用。
可用性管理贯穿于IT服务运行的整个过程,客户在提出服务可用性需求的时候,服务提供者会评估这一需求所需的资源和基础架构,从而确定所需要的资源和成本投入,供客户进行选择和确定。然后IT服务提供者将根据这些可用性需求制定恢复方案和可用性计划,目的是在IT服务发生故障后,以最短的时间让服务恢复到正常状态。根据可用性计划对IT组件进行定期维护,监控业务发展对IT组件的需求,采取积极的措施改进IT组件和服务的可用性。为检验和评估可用性管理实施的效果,可用性管理需要衡量和记录可用性,并提供可用性报告。
服务连续性管理首先要对IT服务进行业务影响分析,明确需要重点实施连续性管理的范围,对IT服务进行风险分析和风险管理,识别运行中存在的薄弱环节和潜在威胁,制定连续性策略,以最低的成本将风险控制在最低的接受水平,在完成IT服务连续性计划的实施后,需要定期评审、测试。连续性管理应与变更管理建立密切的联系,无论是业务需求发生变化,还是技术参数、技术架构发生变更,都需要及时回顾并调整连续性计划,以确保其能真正发挥作用。2.2.4 IT服务预算和核算管理
IT服务作为支撑业务运行的一个重要组成部分,随着企业对IT服务的依赖程度日益增加,对IT服务的投入也逐渐增大,但作为成本中心的IT部门,不直接产生效益,经常会面临业务部门的抱怨,不知道每年庞大的IT投资是否产生了收益,提供外包IT服务的企业更是会面临客户对服务价格的质疑。于是随着IT预算的增长,企业开始考虑IT的开支是否与业务需求契合,资源的效率和经济价值如何,这正是IT治理较为关注的部分。因而制定财务管理流程,希望在不降低IT服务质量的情况下减少成本,帮助服务提供者对IT资源进行成本效益管理。
在ISO20000-1中明确定义IT服务预算和核算管理的目标:对IT服务成本进行预算和核算管理。标准要求应有清晰的策略和流程:
a)所有的组件(包括IT资产、共享资源、一般开销、外部服务、人员、保险和许可)进行预算和核算管理;
b)分摊服务的间接成本和直接成本;
c)有效的财务控制和授权。
ISO20000-1要求“成本预算应足够详细,才能确保有效的财务控制和决策。在完成预算后,就可以依据预算来监控并报告成本情况,评审财务预算并据此进行成本管理。服务变更也应计算成本并经过变更管理的批准”。
由于很多企业IT服务的服务提供者为企业内部部门,因此在标准中只定义了预算和核算管理,没有对定价和收费进行描述。而对于IT服务外包或内部计价的企业而言,同样需要对此建立一定的机制进行管理。
IT服务财务管理包括预算、核算和计费三个部分,预算是指监控当前预算执行情况和定期设定预算目标,作为IT服务运行控制成本的依据。在进行预算之前需要对IT服务产生的成本进行预测,使IT投资得到有效控制,提高IT服务经济效益;核算是指对IT服务运行中产生的各种效益和成本进行确认、计量和报告的过程,将实际的结果和预算相比较,找出差异进行分析,将差异产生的责任落实到人,并采取适当的措施处理这些差异;计费是指向使用IT服务的客户收取相应服务的费用来补偿IT投资成本,促使业务部门能够有效地控制需求,将需求合理化,降低整体服务成本,对于成本投资较大但是收益较小的服务进行改进。2.2.5 容量管理
在ISO20000-1中定义容量管理的目标:“确保服务提供者在任何时候都有足够的容量满足与客户约定的、当前和未来的业务需求。”实施容量管理,编制并定期维护容量计划是非常重要的,容量计划除描述业务需求外,还应包括以下内容:
a)当前和预测的容量和性能要求;
b)识别服务升级的时间表、阀值和成本;
c)评估预期的服务升级、变更请求、关于容量的新技术和方法的效果和影响;
d)预测外部变更的影响,如立法机构;
e)预测分析所需的数据和流程。
ISO20000-1要求除制定容量计划外,还应具备对服务容量监视、调优服务性能和提供充足容量所需的方法、程序和技术。
从前面几个流程的描述可以看出ISO20000的各个流程其实是环环相扣的。首先有客户需求产生SLA,通过可用性和服务连续性管理来保障服务可用,财务管理则要求必须在适度的预算下考虑可用性,而容量管理正是二者取得平衡的一个重要手段。通过容量预估在业务量增长时提前做好扩容,可以避免因容量不足导致的可用性降低;通过容量监控,及时减少冗余资源,避免资源的浪费。容量管理可以帮助企业以较高的性价比提供满足业务需求的IT服务容量。2.2.6 信息安全管理
随着互联网的普及,信息安全问题不断涌现,信息安全产品也日益增多,从信息加密、防病毒到防火墙、IDS、IPS入侵检测等等。但是要保障信息安全仅有安全产品和安全技术是不够的,那种靠购买安全产品和安全技术来保障企业信息安全的想法可能导致企业忽略一些严重的安全漏洞。在所有的安全事件中,安全产品只能解决由于外部非法攻击引起的事件,而由于人员的操作不当而引起的安全事件是不能靠安全产品解决的,可以通过加强管理而避免。因此,信息安全并不能只依靠产品和技术,企业需要通过对所有信息资产进行风险评估,从而制定相应的安全策略,建立完善的信息安全管理流程和内审机制,并可在不同的风险领域选择适当的安全产品和安全技术加以防范。
在ISO20000-1中定义安全管理目的为:“在所有服务活动中有效地管理信息安全。”在安全管理的主要活动中,首先,“经过适当授权的管理者应批准信息安全策略,并在适当的时候与所有相关人员和顾客沟通”。其次,要求“应采取适当的安全控制以实施信息安全策略的要求,并管理与服务或系统访问有关的风险。安全控制应记录在文件中,这些文件应描述与安全控制相关的风险以及安全控制的运行和维护方式。在实施控制措施变更前,应评估变更的影响”。
ISO20000-1还定义了信息安全管理流程的其他一些活动,包括:“外部组织访问信息系统和服务的合约应基于正式的协议,协议中应规定全部所需的安全要求。应根据事件管理流程尽快报告和记录安全事故。应实施可以确保调查所有的安全事故并采取管理措施的流程。应对安全事件和故障的类型、数量和影响建立量化和监控机制。应记录信息安全管理流程所识别的改进措施,并作为服务改进计划的输入。”
由于ISO标准体系中已经发布了专门的《ISO/IEC 17799信息技术—安全技术实施指南》,对信息安全管理进行了详细的阐述,ISO20000中对此未再做深入的介绍。2.2.7 业务关系管理
在ISO20000-1定义业务关系管理的目标为:“在对客户及其业务驱动了解的基础上,服务提供者与客户之间建立和维持良好的关系。”
ISO20000-1要求“服务提供者应识别并记录服务的利益相关者和客户。服务提供者和客户应每年至少进行一次服务回顾会,讨论服务范围、服务级别协议、合同或业务需求的任何变更,并按商议确定的周期召开临时会议对性能、成绩、问题和改进计划进行讨论。这些会议应有书面记录。也可邀请其他的服务利益相关者出席会议。合同和SLA应按照会议内容在适当时候进行变更。这些变更应遵循变更管理流程。服务提供者应对业务需求及重大变更持续了解,以便及时响应这些需求。应建立投诉流程。正式的服务投诉定义应与客户协商确定。服务提供者应记录、调查、采取行动、报告并正式关闭所有正式的服务投诉。当不能通过正常渠道解决投诉问题时,应为客户提供升级渠道。服务提供者应指定一人或多人负责管理客户满意和整个业务关系流程。应建立一个流程,定期通过客户满意度调查获取客户反馈并采取行动。在这一过程中识别出的改进措施应被记录并作为服务改进计划的输入”。
业务关系管理是ISO20000在ITIL基础上有所创新的一个流程,业务或客户的需求是IT服务存在的价值和意义。建立业务关系管理流程是为了更好地了解客户的需求,对客户提出的需求和不满给予及时的跟踪反馈,将客户的业务战略与IT战略进行结合,更好地提供交付服务,保证服务的整体质量。
根据ISO20000的要求,业务关系管理主要可分为三个方面:服务回顾、服务投诉和客户满意度管理。服务回顾是指服务提供者和客户共同对IT服务进行回顾,结合以往的记录和目前的状况进行讨论,明确新的业务需求,对不符合现阶段业务发展情况的服务进行改进。服务提供者应该建立完善的服务投诉流程,记录、研究、报告、跟踪整个投诉过程,并给客户提供满意的解决方案或意见,能够正式关闭投诉,并定期对投诉单进行分析和回顾作为改进相应的IT服务管理流程的依据。最后,服务提供者应定期对不同类型的客户进行满意度调查,并与客户一起讨论调查结论,找出目前流程中需要改进的地方,为客户提供一个更满意的服务流程。2.2.8 供应商管理
服务提供者在提供IT服务时,不可避免需要购置一些相关的软硬件和服务,这些软硬件和服务来自于很多不同的供应商,随着采购规模的不断扩大,对这些供应商的管理也越来越困难,管理不当会直接影响服务提供者的投资成本,甚至影响所提供的服务质量和效率。因此,在提供IT服务的过程中,对供应商的管理也非常重要。
在ISO20000-1定义供应商管理的目标为:“对供应商进行管理以确保提供高质量的无缝服务。”在ISO20000标准中不包括供应商采购的过程,而供应商提供的服务可能只是整个服务中的一部分。对于供应商管理流程的主要活动,ISO20000-1中做如下描述:“服务提供者应记录供应商管理过程,并为每一供应商指定一个合同管理者。供应商所提供服务的要求、范围和级别以及沟通过程应与各方面达成一致,并在服务级别协议或其他文件中记载。与供应商签订的服务级别协议应该和与业务签订的服务级别协议保持一致。应协商并书面确定所有方面使用的流程接口。应书面形式清楚确定主供应商与分包供应商之间的角色及关系。主供应商应展示其确保分包供应商能够满足合同要求的流程。应建立合同或正式协议的重要回顾流程,回顾每年至少进行一次,以确保业务需求和合同要求仍能满足。合同或服务级别协议应在回顾之后适当时候或在其他需要的时间进行变更,且任何变更都应遵从变更管理流程。应建立解决合同争议的流程。应建立流程管理服务的正常结束、提前结束或将服务转包给其他供应商。应根据服务级别目标来监控和评审绩效。在这一过程中识别出的改进措施应被记录并作为服务改进计划的输入。”2.2.9 事件管理
事件是指在业务运行中发生的某项服务中断或可能引起服务中断、服务质量下降不属于IT标准操作的活动。当企业中并行发生多个事件时,就需要事件管理流程来控制事件的处理过程,对事件的影响程度、范围、紧急程度和处理事件所需的时间来评定事件的级别,制定不同等级事件处理策略,事件管理流程涉及服务的整个生命周期。
在ISO20000-1中定义事件管理的目标是“尽快恢复约定的业务服务,或响应服务要求”。事件管理的主要活动包括:“记录所有的事件。采用一定的流程来管理事件的影响。流程应定义所有事件的记录、优先次序、业务影响、分类、更新、升级、解决和正式关闭。应将客户报告的事件或服务请求的进展情况通知客户,当不能达到服务级别时应提前警告客户,并与客户约定改进计划。事件管理所涉及的所有人员都应可以访问相关的信息,如已知错误、问题解决方案和配置管理数据库(CMDB)。对重大事件应有流程进行分类及管理。”
在事件管理流程中,首先在服务台中记录事件信息,根据事件发生的原因和所需支持的类别对事件进行分类,结合事件的影响范围和程度定义事件的优先级和级别,若是新产生的事件,需要将其和已知的问题进行匹配,匹配成功就能根据方案解决问题,若匹配不成功,则服务台将事件转交给事件管理员进行调查和研究,提出快速解决事件的应急措施或方法。事件解决的过程中,服务台需要跟踪事件的进度,并对用户进行反馈。当事件解决后,服务台应向客户确认处理的效果是否满足服务级别定义的要求、客户是否满意等。2.2.10 问题管理
ISO20000-1中定义问题管理的目标为“为最小化对业务的影响,对事件原因主动识别、分析、管理直至关闭问题”。主要活动包括:“应记录识别的所有问题。应建立识别、最小化或避免事件和问题影响的流程,这个流程应该定义所有问题的记录、分类、更新、升级、解决和关闭。应采取预防措施以减少潜在的问题,如事件数量和类型的趋势分析后采取的行动。纠正问题的根本原因所需的变更应提交变更管理流程。应监控、回顾问题的解决情况,并对问题解决的有效性进行报告。问题管理有责任确保事件管理能获得关于已知错误和已纠正问题的最新信息。在这一过程中识别出的改进措施应被记录并作为服务改进计划的输入。”
尽管事件管理和问题管理是紧密连接的,但由于这两个流程的目的不一样,在事件管理流程中追求以最快的速度恢复业务的正常运行,而引起事件发生的根源和潜在原因就需要靠问题管理去调查和解决。一个问题可能会产生多个事件,一个事件也可能和多个问题有关,问题管理就是通过IT基础设施的调查和分析来查明事件发生的根本原因,制定解决方案和预防措施来保证同类事件不再发生。
问题管理可分为主动性管理和被动性管理。被动性管理就是传统意义上的问题管理,根据已经发生的事件或问题,来寻找问题的根本原因,并针对这些问题制定解决方案。主动性管理是指企业根据事件和问题报告的数据来预测IT服务运行的趋势,自发地寻找IT基础架构的薄弱环节来预防事件的发生,或者可以通过其他途径,例如用户反馈、调查等形式寻找IT服务欠缺之处,针对这些薄弱环节和欠缺之处制定积极的预防措施,通过提交变更请求、改进相关的流程等办法来避免事件和问题的再次发生。
我们应该充分发挥主动性问题管理能力,确保能够在潜在的问题发生之前就将问题解决掉,保证企业的IT系统能够高效运行,为客户提供更好的IT服务。2.2.11 配置管理
IT服务能否满足业务运行的需求主要取决于企业IT基础设施的信息和运作情况,这些信息不仅包括某个特定项目的属性,还包括项目与项目之间关系的信息。配置管理流程就是控制包括变更在内的其他流程引起的配置项修改是否被准确的记录下来,对配置项修改内容进行跟踪和比对,确保和变更计划内容一致,分析配置项被修改后给业务运行带来的影响。配置项的信息需要根据变更的实施情况进行及时更新,保证配置项的正确性、完整性和实时性,以确保配置管理数据库能实时反映IT基础架构的运行情况。
ISO20000-1定义配置管理的目标为“定义并控制服务和基础设施的组件,并维护准确的配置信息”。配置管理流程的主要活动包括:“在进行变更和配置管理的规划时应采用整合的方法。服务提供者应定义与财务资产会计过程的接口(但财务资产会计不属于配置管理范围)。应制定配置项及组件定义的策略。应定义每一配置项应记录的信息,包括有效的服务管理所需要的配置项关系及文档。配置管理应建立服务和基础设施可识别组件的识别、控制和追溯版本的机制,这个机制应确保控制程度充分满足业务需求、失效的风险和服务的重要性。配置管理应为变更管理流程提供与变更请求对于服务和基础设施配置影响有关的信息。配置项的变更在适当时候可追溯和可审计,如软件和硬件的变更和活动。配置控制流程应确保对系统、服务和服务组件的完整性进行维护。应在发布到实际运行环境之前建立配置项的基线。数据配置项的主拷贝应控制在安全的物理或电子数据库中,可将其参考信息记录在配置项中,如软件、测试产品和支持文件等。所有的配置项应能被唯一的识别,并记录在严格控制更新访问的CMDB(配置管理数据库)中。应主动管理并验证CMDB,以确保CMDB的可靠性和准确性。需要的人员应可看到配置项的状态、版本、位置、相关的变更和问题以及相关的文档。配置审计流程应包括记录差异、发起纠正措施和结果报告。”
配置管理作为整个IT基础架构的核心,对其他的流程运作具有很大的影响,因此在实施前,应先对配置管理进行充分的计划和安排,具体包括以下几个方面。
配置管理涉及的范畴:配置管理流程首先需要明确的是管理范围,因为企业的IT基础架构涉及的信息是海量级的,硬件可能包括大型机、小型机、服务器、路由器、交换机等,软件可能包括操作系统、数据库、中间件等系统软件和应用软件等,甚至包括一些技术文档、操作流程、架构图等有形或者无形的资料都属于IT基础架构的范畴,这就需要企业挑选出对业务运行至关重要的IT组件,将这些组件的相关信息纳入配置管理的范畴。
配置项的属性、颗粒度细化程度:在明确了配置管理的范畴之后,就需要明确在范畴之内的配置项的属性,例如版本号、物理位置、维护人员名单等信息和配置项的颗粒度,如果颗粒度太粗,那就无法为其他流程提供所需要的信息,但是定义的太细,配置项的管理和信息维护就会有相当大的难度,所以服务提供者必须选择适合自己实际状况的颗粒度。
配置管理数据库(CMDB)的设计理念、结构:CMDB可以分为集中式和分布式两种。集中式的模式方便企业对所有配置项的统一管理,能够与变更等流程进行紧密的结合,但是随着配置项的不断增多,对配置项属性的个性化需求增多,势必造成统一平台的压力很大,发展也会很困难。若选择分布式管理,虽然能够缓解平台的压力,但因为CMDB过于分散,导致平台间的接口复杂化,将配置管理网状化,不利于配置管理流程的统一规划和管理。应根据实际情况选择适合自身发展的配置管理数据库模式。
因为配置管理流程和其他流程有着密切的联系,变更、发布等流程的实施都会对配置管理数据库的内容进行更新,所以配置管理流程需要制定内部审计计划,定期对配置项进行审计,对差异项找明产生差异的原因,修正差异的内容,并形成审计报告提交给配置流程经理,评估是否需要对现有的配置管理流程进行改进。2.2.12 变更管理
企业的外部环境是不断变化的,客户对服务的要求和内容也会随着环境的变化而作出调整,支持业务运行的IT服务也必须进行必要的变更。但是如果与变更有关的事件和问题过于频繁却没有整体的规划,整个IT运行就会失去控制,因此变更管理是用来控制在计划的中断时间内完成IT基础架构或IT服务流程的变更流程,以减少因变更引起的计划外事件或问题。
ISO20000-1定义变更管理的目标为“确保以一种受控的方式对变更进行评估、批准、实施和回顾”。变更管理的活动包括:“应清楚定义服务和基础设施变更的范围,并形成文件。应对所有的变更请求进行记录和分类,如紧急、突发、重大和轻微等。应评估变更请求的风险、影响和业务收益。变更管理流程应包括回退和纠正失败变更的方法。变更必须被批准、检查,并以受控的方式实施。为确保成功应回顾所有变更以及实施后所采取的措施。应建立策略和流程控制紧急变更的授权和实施。计划的变更日期应作为变更和发布调度的基础。时间表应包括批准实施的所有变更以及建议实施日期的详细信息,建议的实施日期应与相关方沟通并维护。应定期分析变更记录,以检测变更级别的提升、频繁发生的类型、新出现的趋势以及其他相关信息。应记录变更分析所得出的结果和结论。在这一过程中识别出的改进措施应被记录并作为服务改进计划的输入。”
在变更管理流程的运作中需要建立变更评审委员会,负责对提交的变更进行评估,判断这些变更是否会影响系统的正常运行和服务交付;对这些变更进行批阅,对变更的影响程度和优先级给出专业意见。在变更实施后,对实施结果进行回顾,确保与预期的效果一致,否则将会对变更进行回退。变更委员会的成员包括变更管理流程经理、变更管理流程的成员、技术专家,以及其他相关人员等。
简单来说,在整个变更流程中,首先由变更请求人记录、描述变更的详细内容、实施的具体时间等,然后提交变更管理者或变更委员会进行评估或审批,通过审批后,实施人对变更进行实施,实施过程中若发生预期外无法解决的事件,就需要中止变更或进行回退。若实施成功,需要提交变更委员进行变更实施后回顾,确定变更是否达到了预期的目标和效果。2.2.13 发布管理
一项或多项经过审批的变更就组成了发布,发布管理采用项目规划的方法实施IT服务中的变更,贯穿了变更的整个生命周期,与变更管理不同的是,发布管理更关注变更的实施,而变更管理关注变更过程中的风险,发布管理流程应该在变更管理流程的控制下进行。
ISO20000-1定义发布管理的目标为“交付、分发并追溯在一个版本中发布到实际运行环境中的一个或多个变更”。发布管理流程的主要活动包括:“发布类型和频率的发布策略应取得各方同意并形成文件。服务提供者应与业务一起对服务、系统、软件和硬件的发布制定计划。如何启动发布计划应与所有相关方达成一致并取得授权,如客户、用户、运行和支持人员。流程应包括一旦发布失败的回退和纠正的方法。计划应记录发布的日期及可交付成果,并映射到相关的变更请求、已知错误和问题。发布管理流程应将适当的信息传递给事件管理流程。应评估变更请求对发布计划的影响。发布管理流程应包括对配置信息和变更记录的更新和变化。应按照与紧急变更管理规定的接口流程来管理紧急发布。应建立受控的接收测试环境,以在分发之前构建并测试所有的发布。为确保在安装、处置、包装和交付的过程中保持硬件和软件的完整性,应对发布和分发进行设计和实施。应衡量发布成功或失败。衡量应包括发布之后一段时期内与发布有关的事件,还应包括对业务、IT运行和支持性人力资源影响的评估分析,并作为服务改进计划的输入。”
发布管理过程涉及两个数据库:最终软件库(definitive software library, DSL),存放软件配置最终版本的物理仓库或逻辑空间。最终硬件库(definitive hardware store, DHS)存储最终确定的备用硬件空间。
在发布管理流程中,首先要制定发布策略,目的在于明确发布管理的角色定义和职责分配,策略应该包括有关发布内容的描述、指导性原则、回退计划、预期成果和最终软件库中配置的文档记录等信息。制定策略内容后应制定发布计划,明确发布的日期,经过批准的变更请求和变更委员会的审批结果,制定详细的测试计划、验收标准等。在正式发布前,必须对发布内容进行测试以确保发布的成功,缺少测试的发布是不可控的,绝对不允许直接投入到正在运行的业务系统中。同时,发布管理人员需要通知和发布内容有关的客户、业务人员,并和他们进行及时沟通,若有必要,需要对他们进行相关发布内容的培训,以确保发布后他们能及时给予反馈和意见,验证发布的效果是否和预期一致等。在完成发布活动后,发布管理员需要记录发布的软硬件版本,并对发布结果进行回顾,观察业务系统是否如预期的一样正常运行。2.3 ISO20000流程的相互关系
ISO20000的流程并不是独立存在的,流程之间需要相互交流信息,一个流程的输出可以是其他流程的输入,图2-2描述了ISO20000的13个流程的主要关系,下面将分别介绍这19种主要关系。需要说明的是,流程之间并不仅限于图2-2的这些关系,更详细的流程关系可参考本书第三部分。
1.服务报告与SLA
按照上节中ISO20000对服务报告的定义来说,服务报告就是SLA定义的服务目标是否达到的结论性报告。SLA对服务报告的内容是有决定性影响的,服务报告是围绕SLA描述各项服务的达成情况、哪些满足了SLA的要求、哪些没有满足、总体的资源消耗情况、趋势分析等等,为服务对象提供服务情况的全景式描述。为实现这一目标,IT服务管理的其他各流程需要准确记录日常运维产生的数据,为服务报告管理流程提供支持,确保其可采集到编制报告需要的数据。
从另一个角度来说,服务报告对于SLA的制定也提供了重要的依据和参考,应该按照服务的达成情况适时调整服务的目标、范围,改进不符合项,以确保SLA定义的服务是可以实现或可以完成的,更加贴近实际。
2.业务关系管理与SLA
从ISO20000的定义可以明确看出业务关系管理与服务级别管理的关系,SLA的制定和调整正是业务关系管理服务回顾需要关注的重要工作内容,同时SLA也是业务关系管理服务投诉和满意度调查的重要参考依据。
3.供应商管理与SLA
供应商是服务提供者为客户提供服务的支持者,供应商提供的服务水平直接或间接地影响服务提供者对客户提供的服务水平。因此,服务提供者需要将SLA的要求按照供应商提供的服务范围进行任务或指标分解,并在支持合同(UC)中体现。
4.服务连续性和可用性管理与SLA
在签定SLA之前,首先要明确客户的可用性和连续性需求,在确定了SLA的可用性和连续性目标后,服务连续性和可用性管理应确保这些目标实现和达成,并提供实际的运行指标。
5.IT服务预算和核算管理与SLA
IT服务预算和核算管理为服务级别管理提供满足当前和未来业务需要的成本、组织的计费政策等信息。与客户签订的服务等级协议和满足客户需求需要的成本二者之间会互相影响,随着不同客户的不同服务级别的多元化和个性化,对IT服务进行成本预算和合算对企业的管理产生的效益也越大。
6.信息安全管理与SLA
服务级别管理确保提供给客户的服务协议得到明确的规定和高效的执行,安全管理为服务级别制定了安全措施,优化提供服务的级别:
●基于客户的业务利益,确认客户的安全需求;
●根据客户提出的安全需求,评估可行性;
●通过识别IT服务内部的安全需求,确定IT服务级别协议中的IT服务安全级别;
●监控安全标准,提供服务报告。
在制定服务级协议时通常已经存在基本的安全级别基线,对于客户额外的安全需求则应当在服务级别协议中明确定义。
7.容量管理与SLA
容量管理为服务级别管理确定在响应时间、服务级别需求等可行的服务级别而提供建议,对IT基础建设的性能水平进行评价和监控,为一项新的或现有服务的拓展所产生的对整体服务能力的影响提供信息。
8.配置管理与SLA
配置管理存储SLA有关的文档和资料,利用CMDB来确定某个配置项对服务的影响,检查有关响应时间和解决时间方面的SLA的执行情况,为服务级别管理报告服务质量提供依据。
9.配置管理与可用性和持续性管理
定义IT基础设施配置项基线,为IT服务可用性和持续性管理提供灾难发生后需要恢复的配置项信息和需要恢复的程度。
10.配置管理与预算和核算管理
收集有关IT成本的历史信息,存储资产数据。结合配置项使用情况和服务级别协议的信息来确定服务应该收取的费用。
11.配置管理与容量管理
为容量管理制定IT基础设施优化、分配负荷计划提供配置项数据。
12.配置管理与信息安全管理
配置管理数据库为信息安全管理的信息资产识别提供配置项数据。
13.配置管理与事件管理
配置管理数据库对于事件管理流程有着重要的意义,在CMDB中定义了资产、服务、用户与服务级别的关系,当某项IT基础设施产生事件时,可以通过CMDB的信息进行快速追查和采取适合的应急措施。
14.配置管理与问题管理
配置管理数据库中的基础设施、结构图、配置项之间的关联关系都对问题的解决至关重要。通过将基础设施的实际配置信息和配置管理数据库中经过审计的配置信息进行核实,找出配置信息不一致的地方和基础设施存在的缺陷。
15.配置管理与变更管理
利用配置管理数据库来确定实施变更的影响程度,负责记录变更引起的配置项的信息修改。
16.配置管理与发布管理
将最终软件库(DSL)中的软件和最终硬件库(DHS)中的硬件记录添加到配置管理数据库中。为发布管理计划提供配置项版本、状态、位置等信息。
17.事件管理与问题管理
事件管理对于问题管理来说是非常重要的信息提供者,有效的事件记录有助于快速发现、定位和解决问题。而问题管理定位并解决问题根源后,可以减少事件的发生。
18.问题管理与变更管理
问题管理在明确问题发生的根本原因后可能会提交变更请求,在变更过程中就变更实施的进度、效果和问题管理共同进行磋商,确保变更成功进行后能够彻底解决问题。
19.变更管理与发布管理
变更经常会引起一系列应用系统或者技术架构的开发和分发。许多影响IT应用系统或处于基础设施同一区域的变更也被整合到一个包发布,由发布管理统一管理。新发布的上线由变更管理控制。2.4 PDCA方法论2.4.1 PDCA方法论介绍
IT服务管理作为一种管理方法,是世界上很多企业(或组织)在进行IT管理过程中的经验总结,为了适应和满足更多组织的需要,IT服务管理方法只涵盖了企业普遍需要的和对企业IT服务管理最有效的方法,即所谓的“最佳实践”。而对于组织自身而言,每个组织都因为背景、所处行业、运营模式等方面的差别形成自己的特点,“最佳实践”不能完全照搬使用,必须根据自身情况进行调整和改造,可是在调整的过程中企业常会遇到这些问题,想要提高服务质量,但是要提高到什么程度?目标是什么?是否需要制定详细的计划?计划制定后,如何执行?靠什么体系去检验执行的结果是否和预期的一样?计划执行完成后是否还需要进行改善?以上种种问题都困扰着IT管理人员,这时就可以利用PDCA方法论。
ISO20000标准中用较大的篇幅阐述了Plan-Do-Check-Act(PDCA,计划—执行—检查—行动)这个持续改进的方法论。PDCA前身是PDSA(计划—执行—研究—行动),最初是由美国的休哈特博士(Walter Shewhart)在20世纪30年代构想,后被其学生戴明博士(Edwards Deming)在50年代前往日本讲学时大力推广并广泛应用,演绎为现在的PDCA,成为全面质量管理TQM的理论核心,因此PDCA又被称为戴明环(Deming Cycle)。虽然PDCA一开始是为质量管理提出的,但目前已被广泛应用到各个学科的管理和行动中,甚至在日常生活中也可加以运用。
简单来说,P就是制定计划;D就是实施计划;C就是检查总结计划执行的结果,找出存在的问题;A就是总结成功经验,予以标准化,推广指导今后的工作,总结失败的教训避免重现,并将未解决的问题纳入下一个循环中。在PDCA循环四个过程中,A是最困难也是最重要的一个环节,只有不停地改进,才能不断地提升流程的服务水平。
PDCA有三个主要的特点。一是周而复始持续运行,每个循环都解决一些问题,未解决的问题和新出现的问题又进入新的循环,使得组织能够及时识别出现的问题并采取行动加以解决,使组织不断持续进步。二是大环套小环,每个组织中可以有大大小小不同的多个循环,小到某一件具体的工作,大到整个组织,大环带小环,就像一组大小各异的齿轮,有机组成一个整体。三是阶梯式上升,每一个循环结束,解决了一些问题,水平得到提升,进入下一个循环时已经处在更高的水平,见图2-3。2.4.2 PDCA在ISO20000中的运用
在ISO20000标准中,明确提示PDCA方法论可以应用于所有的流程,并将PDCA描述如下。
●计划:按照客户需求和组织策略建立交付结果所需的目标和流程。
●执行:实施这些流程。
●检查:根据策略、目标和需求监视、度量这些流程,并报告结果。
●改进:采取措施持续改进流程性能。
ISO20000标准还针对PDCA方法论在服务管理过程中的应用定义了一个模型,如图2-4所示。
下面以实施ISO20000体系来介绍PDCA执行过程。
1.P——PLAN计划
制定流程改进的策略和计划。(1)需求分析
组织首先要分析是否有必要实施IT服务管理,这就需要从业务需求、技术需求两个方面去综合评定。
首先是业务的需求。由于业务发展对IT的依赖程度不同,对IT的服务质量要求也不尽相同,例如从事IT外包的企业,具备良好的IT服务管理水平将大大提高客户对IT服务的满意度,从而提高企业生存的核心竞争力。当然,无论何种情况,都需要IT服务管理从满足业务需求角度管理IT,提供更优的服务质量;然而,对提高IT服务质量需求的不一样就会导致对此投入的资源有所差别,这对实施IT服务管理范围、规模、深入程度都将有较大的影响。
其次是技术上的需要。尽管IT服务的对象是业务,但技术自身也有提高和自律的要求,尤其是在成本控制或资源有限时,服务提供者也可以通过实施IT服务管理来优化配置技术资源。(2)明确目标
在对组织的现状做完需求分析后,就需要制定组织的IT服务管理目标,目标可以分为远期目标和短期目标。短期目标耗时短、成效快,实施起来不会有太大的阻力;待短期目标实现后,再逐步完成远期目标的内容,但是无论是短期还是长期目标,两者不能出现相互矛盾和不一致的地方。在制定组织IT服务管理目标时需要为组织IT服务能力做一个简单的成熟度调查,确定成熟度级别,可以帮助组织制定更符合现状的目标。(3)制定计划书
评估了组织的需求,明确了实施的目标后,需要根据每个阶段的目标制定详细的服务管理计划书,目的是为了能够说明服务管理项目能够给组织带来的效益,和目前的IT基础架构相比,在成本和投资上的付出,以及这些改进能够带来的收益,如何提供对业务运行的支持能力等。在计划书中需要说明IT对业务的作用,IT目前的成熟度级别,实施项目的必要性和风险,项目实施过程中给企业带来哪些变革,需要投入的人力、物力,项目的进度和周期,项目实施后企业的收益,对业务的影响等方面的内容。
2.D——DO实施(1)明确利益相关者需求
在项目实施前,首先要找出项目的关键利益相关者,评估他们的需求以及服务管理对他们的价值所在,了解他们对服务管理的期望,并对他们的需求按照需求级别进行排序,将需求转变为实施过程中能够实现的具体目标。建立评价和报告机制,及时向利益相关者汇报实施进度和完成情况。(2)差距分析
分析组织IT服务管理的现状与制定的目标有哪些差距和不足,对实施具有重要意义。组织通过记录现有流程的日常活动:包括角色的职责、和其他流程之间的输入输出、客户满意度调查等记录来评定流程的执行效果,分析流程现有的弊端,和ISO20000对照寻找流程差距,确定流程改进的方向和目标,考虑随之带来的企业组织架构、人员、制度等的变动,制定流程改造的资源、周期、计划和目标。(3)人员安排
制定了流程改造的计划和方案,在实施阶段,恰当的人员组织和技术支持是实施项目的重要保障。(4)培训
在项目实施前,首先需要对项目组人员、利益相关者和企业员工进行IT服务管理知识的培训,使其了解如何制定各种流程,减少流程推广过程的阻力。(5)承诺
IT服务管理项目的实施离不开高层的支持,所以组织领导层的支持承诺和给予项目足够的时间、资源是必不可少的。另一方面,组织应该授予项目组设计和定义流程的权利,如有需要可以公开调研组织员工对某项流程的意见和建议。(6)角色
在实施项目的过程中,通常不会建立一个新的部门,而是赋予现有的部门成员新的流程角色,将组织传统的以部门为导向的工作模式转变为以流程为导向的工作模式。当然这种转变也会带来一系列的问题,例如员工不能习惯流程的工作模式,一旦出现利益冲突,员工难以判断如何解决问题;由于一个流程可能跨越多个部门,流程经理很难得到所有人员的尊重和积极配合,给流程的管理带来一定难度。针对这些问题,一方面需要流程经理和员工加强沟通和协调,另一方面组织需要考虑将流程的考核和组织的整体考核相结合,让员工尽快适应新的工作模式。
一个完整的流程不可能只由某个部门的某个人单独完成,需要几个部门共同协作,互相沟通交流才能使流程顺利的执行。例如ISO20000中的容量管理,可能会涉及多个技术领域,如网络、硬件、软件等,需要容量管理的流程经理清晰定义各部门在流程中的职责范围,将整体容量需求分解到不同的技术领域,确保整体容量目标的达成。所以在每一个流程中都需要对参与流程运行的人员进行明确的角色和职责定义,包括流程经理、流程负责人、流程协调人等。(7)流程实施
服务管理项目的实施涉及多个流程,考虑到每个流程复杂度和成熟度的差距各不相同,但多个流程之间又有相互关系,这就需要确定流程的实施顺序。组织可以选择先建立某个流程,但是因为流程过于单一,缺乏流程之间的协同,不会带来很好的效果;如果选择同步实施所有流程,风险和投入较高,对于流程的实施过程可能会带来很多阻力。因此需要根据组织的关注和投入程度来确定流程实施的先后顺序,一种方法是选择ISO20000中见效快的流程先实施,例如事件管理,可以较快地让客户感受到服务的改善,以争取更多的资源投入,全面实施各流程。另一种方法是先选择ISO20000的核心流程,例如变更管理、配置管理等进行实施,因为这些流程往往涉及面比较广泛,受益比较大,实施效果最为显著,当然实施的难度也会较大。(8)技术支持
作为IT服务管理体系的PDCA,在实施过程中离不开IT技术的支持,PDCA不仅需要有完美的设计,也需要有IT技术支持,技术无法实现的PDCA也只能是理想化的。同时若只有IT技术的改进,却没有IT组织架构、流程制度的变革,那也只是处于表层的改进。如何在技术和设计中寻求平衡点也是组织值得思考的问题。
3.C——Check检查(1)检查目标
在服务管理项目实施前需要为项目分阶段制定里程碑和关键绩效指标KPI,在完成每个阶段的任务后,进行实施回顾,测量每个流程是否符合预期的目标,为每个流程确立绩效基准。KPI中应该包含客户满意度指标,来确认流程的改进是否让客户感受到了服务质量的提高。流程负责人应该定期提交KPI指标管理报告和趋势分析报告,为流程的再改进提供切实的数据。(2)内部审查
在流程的执行过程中可能存在一定的弊端,或者并没有朝着预期的目标发展,这就需要组织成立内部审核组,定期组织对服务流程的内部审核,审核人员的选择和审核过程需要客观和公正,审核人员应提交审核差异报告。
4.A——Act行动(1)缺陷改进
组织中新的流程执行后,随着时间的推移和环境的变化,流程又会出现缺陷,通过对流程的监控、评价,对日常记录的跟踪分析,当流程不再符合ISO20000标准、不能达到客户的新需求时,组织都需要对流程进行提升或改造。(2)主动改进
流程人员需要对流程进行主动性的维护,通过客观的现状测量和对业务发展的预测,对流程进行主动性调整,来适应发展的需要。
上述的计划、改造、执行、再改造的过程就形成了PDCA循环不断地改进服务管理水平。2.5 指标体系
2.5.1 指标设置的意义
在ISO20000的PDCA过程中,检查(check)要求对过程进行监控、度量和评审,而监控、度量和评审需要借助的最重要的手段就是指标,只有依靠指标才能识别出流程运行的优劣,证明PDCA循环是否真的解决实际工作中的问题,并确保实现阶梯上升持续改进的目标。如果没有指标,流程的衡量会变得非常主观,也注定无法达到精细化管理的要求。
指标的应用已经受到越来越多的关注,成为IT服务管理领域一个重要的课题,在所有ITIL的流程中都有对指标的描述,在Planning to Implement Service Management一书中,第六章“How Do We Check Our Milestones Have Been Reached?”专门描述了ITIL各流程的关键成功因素CSF和关键绩效指标KPI,有较强的指导意义。
对于IT服务管理来说,指标最重要的作用在于作为控制和引导IT服务的机制,确保IT服务符合业务需求,符合公司治理和IT治理的要求。因此在指标设计过程中,必须首先明确设置指标的目的——即导向我们的服务满足客户或业务需求。通过对客户需求的分析可以生成SLA,并据此制定OLA,确定关键成功因素CSF和关键绩效指标KPI。
根据考核对象的不同,指标可以分为两类:对流程的评价;对流程中各岗位人员的评价。即使是针对流程评价的指标,为使指标能得到很好地运用,必须为指标指定明确的责任人,对流程的评价最终也是对流程经理的评价,因此归根结底还是可以纳入对人员的评价体系中。只有指标关联到切身利益,IT服务组织中的流程关系人员才会对指标的变化更加关注,确保指标向好的方向发展,达到关键成功因素要求,最终实现流程的目标。
根据指标的来源,也可以分为内部指标和外部指标。内部指标指组织内部设计并实施的指标,外部指标则指由独立第三方提供的一些评测指标。外部指标也可以根据工作职责加以分解或运算,转化为内部指标。2.5.2 指标的定义
虽然ISO20000中没有对指标的要求,但由于PDCA要求不断检查衡量流程运行的情况,尤其是在“Check”这个阶段,定量的指标更有助于对流程的监控和检查,以便制定更加准确的改进计划。下面具体介绍一下关键成功因素、关键目标指标和关键绩效指标的定义。
1.关键成功因素(critical success factors, CSF)
关键成功因素是由哈佛大学教授William Zani在1970年提出的信息系统开发规划方法。它为IT部门控制信息技术及其处理过程提供了实施指南;是信息技术处理过程中最关键的要素,是战略性的、技术性的过程或活动,勾画出了IT的控制轮廓。关键成功因素可以从标准控制模型和IT管理框架的目标与审计指南中获取。这些标准要求:信息技术要与企业的运营情况相符;信息技术使营运业务可行,并使其收益最大化;合理使用信息技术资源;适当管理IT的有关风险。在组织运行的业务系统中总是存在着多个影响达成业务系统目标关键的、主要的因素,通过识别这些关键成功因素能够找出实现目标所需的关键信息结合,围绕这些关键因素确定系统的需求和开发的优先次序。而关键成功因素主要来自以下几个方面。(1)组织自身的结构、特质和经营性质的不同决定了每个组织有独特的关键成功因素。(2)组织在市场中的地位、采取竞争策略的不同也会产生不同的关键成功因素。(3)组织所处环境的变化,市场需求的波动都会带来关键成功因素的改变。
2.关键目标指标(key goal indicator, KGI)
关键目标指标是指通过对控制业务绩效系统的创建和维护,来监督IT给组织带来的商业价值,体现了业务绩效处理的过程,并通过平衡记分卡的记录来评定处理结果。关键目标指标通常定义需要实现的目标。
3.关键绩效指标(key performance indicator, KPI)
关键绩效指标对关键成功因素进行评价,通过监测某IT处理过程的执行情况,告诉管理层该过程是否满足其经营需求。关键绩效指标是IT处理过程的性能指标,表现为IT的实际业绩。通过有效性、保密性、完整性、可用性、一致性、可靠性等指标来测定IT的绩效。
关键绩效指标是通过对组织内部某一流程的输入端、输出端的关键参数进行设置、取样、计算、分析,衡量流程绩效的一种目标式量化管理指标。对于ISO20000的管理流程而言,关键绩效指标可以分为三类:对流程本身的效率进行考核的指标、对流程管理人员进行考核的指标、对流程执行人员进行考核的指标。2.5.3 指标设计
指标的运用过程其实也是由无数的PDCA循环组成。首先自然是计划过程,即指标设计。《IT服务管理指标》一书对指标设计的几个原则进行了描述,其中最重要或者说是最基本的应该是SMART原则。SMART代表明确性(specific)、可衡量性(measurable)、可达到性(achievable)、现实性(realistic)和及时性(timely)。
明确性代表指标必须是具体的、有针对性的,每个指标都有明确的责任人,而不是模棱两可,或范围过大。所谓法不责众,如果跟一个指标有关系的人很多,但又没有主要责任人,那么这个指标可能不会被任何人关注。
可衡量性很好理解,也是设计一个指标最基本的要求,如果一个指标没有可以用来衡量的数据,也就无法产生指标应有的作用。
从字面意思来看,可达到性是很好理解的,但设计时要掌握好这个平衡也不太容易。如果一个指标设定为不可达到或在一个考核周期内不可达到,指标的责任人就失去了对完成指标的信心和兴趣。相反,如果一个指标轻易就能达到,指标的责任人也失去了持续改进和优化的动力,对其他的指标责任人也是不公平的。
现实性要求指标应是针对某个现实存在的可被改进的事物。
及时性就是要保证指标的数据采集周期和考核周期要匹配。否则PDCA循环的检查(check)就要等待数据的产生,就无法继续后续的改进过程,整个PDCA循环都可能被耽搁。
指标设计还有一些其他的推荐设计原则,但SMART原则应该是最基本也是最重要的,对指标的设计有较强的指导意义。此外,笔者认为还有一个重要的原则,就是适度原则。无论是利用软件工具统计指标,还是靠人工进行记录或抽查,指标的实施都是有成本的,因此不能设置过多的指标,避免出现为指标而指标的情况。
在明确了指标的设计原则后,就可进入指标的具体设计阶段。简单来说,指标的设计过程大体可分为调查、设计、征求意见、反馈修改、确定基线五个步骤。首先应针对需考核的对象进行调查和分析,确定要设置的指标。以变更为例,由于紧急变更的实施风险较大,需要加以控制,就可以针对紧急变更设置一个指标,如紧急变更占所有变更的比率。通过在流程相关人员中征求对该指标设置的意见,了解设置多大的占比是适当的,这就要看具体的情况,有的组织可能20%的占比也较为正常,而有的组织5%已经过高,这就需要一些历史数据作为参考,确定一个既能满足风险控制要求,又能符合组织实际情况的目标。在根据各方反馈意见修改指标后,最后就是要确定一个指标的基线,作为今后比较的基准值,以便明确掌握观察期内流程变化情况。2.5.4 指标实施和改进
指标设计好后,还需要严格地在流程运作过程中落实指标的实施。指标的实施过程中最重要的就是数据的采集。数据的采集主要依赖于流程的运行记录,这是ISO20000的认证和复审过程中审核员较为关注的,也是流程执行最为基础和重要的证据。如果运行记录缺失,指标也就成为无本之木,无源之水,因此,执行ISO20000标准的组织必须重视运行记录。对于已经建立电子化工具的流程,由于流程的运行过程都详细记录在信息系统中,相对于人工记录更易于保管、统计和分析,也规避了人工疏漏、差错的弊端。当然无论是依靠电子化工具还是依靠手工统计,都可以通过运行记录来采集指标数据,也都需要投入一定的管理成本。在完成指标数据的采集后,需要利用一些统计分析的手段对这些指标加以利用,以掌握流程运行的情况,提出改进方案。此外,指标的呈现也是近期业界较为关注的,一些厂商为顺应绩效管理的要求,纷纷推出自己的IT服务Dashboard(仪表板)解决方案,用简单的界面将绩效指标一目了然地展现给管理者或客户,尤其是通过与流程电子化工具的结合,实现指标的实时展现,流程管理者可以随时发现流程运行的异常,及时调整和修正,加快了PDCA的循环,也可大大提高服务的水平。
尽管指标本身是为衡量流程运行情况,促进PDCA持续改进而使用,但指标体系本身也应该根据流程需要进行持续改进,换句话说,就是PDCA方法论对于指标体系本身也是适用的。例如,当某个流程由原来的手工流转改为通过电子化工具流转,原先设定的一些指标可能就需要调整;或者经过一段时间的改进后,原来存在的一些问题已经彻底解决,指标的存在也没有意义了,就需要删除掉旧的指标,再根据现有情况设计新的指标。
随着信息地球村的发展,组织的业务将会更加多元化,行业之间的竞争也愈演愈烈,而支撑业务系统持续运行的IT系统的性能已经成为组织获得市场价值、实现自身商业目标的决定性因素,一旦IT基础架构出现漏洞或瘫痪,将会导致部分甚至整个组织不能正常运行,给组织带来巨大的经济损失,同时也给客户留下不好的印象。IT地位的提升意味着IT系统要承担更大责任,而这种责任主要表现在两个方面:一是提高业务系统的运行效率;二是降低业务流程的运行成本。很多IT部门都自以为是组织的“特殊部门”,单从技术而不是业务的角度去看待和处理问题,当IT系统出现问题导致业务无法继续正常运行和客户投诉时,IT部门就会用“IT系统找不到合适的解决方法和工具”为借口推卸责任。为了解决以上这些问题,越来越多的组织开始重视对IT系统的质量管理。
ISO20000以IT服务管理最佳实践为基础,将质量管理思想贯彻13个流程,应用质量管理的标准和方法来管理IT服务,是IT部门用来规划、研发、运维高质量服务的准则,是一种将IT服务和业务目标相结合,面向客户的服务。它不仅关心IT系统为客户提供了哪些服务,还需要对IT部门的工作流程进行标准化的管理,并对流程进行监控、记录和统计分析,来确定客户对这些服务是否满意。IT服务管理能够让业务部门和IT部门之间使用可量化的质量指标进行沟通,使IT部门提供的服务更加透明化,这与IT治理的目标也是一致的。
ISO20000的核心思想就是从业务而不是IT服务提供方的角度去理解IT服务需求。在提供IT服务的时候,我们首先要考虑业务的需求,根据业务需求确定所需的IT基础设施架构,更好地处理业务和IT系统的关系,根据13个流程的规范和实践,增强IT运营效率,降低IT服务成本,提高IT服务质量。
ISO20000在ITIL基础上另一个重要的贡献就是引入了PDCA方法论。通过实施ISO20000的流程,意味着组织目前已经具备了按照国际标准管理IT服务的能力,但要保持并不断提高这种能力,就必须不断持续改进。正如Peter Brookls在《IT服务管理指标》(Metrics for IT Service Management)一书中引用的《爱丽丝漫游仙境记》故事说明的道理一样,“当今的组织必须持续不断地进步,才能保住它们的地位”。第3章 其他管理体系和管理工具
无论是在信息技术领域,还是其他领域,人们现在遇到的问题不是缺乏管理工具和管理体系,而是形形色色的管理体系或者管理工具让人眼花缭乱、无所适从。究竟选择什么样的管理体系和工具,不同的管理体系和工具如何整合运用,是许多管理者或专家不得不面对的难题,例如ITIL V3中就设置了与其他管理体系的接口,如软件开发标准CMMI、IT治理控制框架COBIT、六西格玛绩效考核管理办法和PMP项目管理方法等。下面将针对ISO20000和一些应用较为广泛的管理体系和管理工具做初步的对比和分析。3.1 ISO20000与其他IT管理体系3.1.1 ISO20000与ISO27001:2005
如今,信息资产的重要性已经不言而喻,但是随着组织信息系统的数量、复杂性的增加,信息系统面对的危险也越来越大,包括非法入侵、黑客攻击、人为损坏、天灾人祸等,而这些信息资产的破坏不仅会给组织的IT基础设施带来严重的损失,更会影响到业务系统的正常运行。因此,英国标准协会(BSI)于1995年2月提出了BS7799标准,并于同年5月对该标准进行了重新修订,把标准分为两个部分。
第一部分BS7799-1信息安全管理实施规则,是组织实施信息安全管理体系的指导准则。将信息安全分为10个方面,分别为:安全策略、组织的安全、资产分类管理、人员安全、物力和环境安全、通信和操作管理、系统访问控制、系统开发和维护、业务持续性管理和符合性。
第二部分BS7799-2信息安全管理体系规范,说明了建立、实施和维护信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应制定一套风险评估体系来鉴定实施安全控制的要求。
2000年12月1日,国际标准化组织(ISO)将BS7799-1修订再版为ISO/IEC 17799标准。2005年,ISO组织对BS7799-2进行修订采用为ISO27001:2005。
ISO27001:2005超越传统IT范围,着重于组织整体的信息安全管理。ISO/IEC27001:2005的风险评估包括两个方面:一方面在IT的CIA(信息的保密性、完整性、可用性)遭到破坏后对组织带来的伤害和影响进行评估;另一方面是对这种威胁和破坏以及实际的合理控制而发生的实际可能性进行评估。ISO/IEC27001:2005定义了完整的信息安全流程管理,有助于组织预测危险性事件发生造成的后果,并采取措施规避这些事件的发生。
ISO20000的13个流程中,信息安全管理流程明确指出,只要组织符合BS7799标准的范畴大于ISO20000的标准范畴,就能满足ISO20000中信息安全管理流程的要求,若组织中只有某些部门符合BS7799标准,则该组织无法符合ISO20000的标准。
在ISO20000和ISO27001中都有对文档体系的要求,如果一个组织要同时执行这两套标准,在文档体系上应尽量采取兼容的方式,避免出现完全独立的两套文档体系。一个可行的办法是以ISO20000的文档体系为主要文档体系,将信息安全的要求落实到具体的流程管理文档、技术文档中,或作为ISO20000中信息安全管理流程的管理文档。
除文档体系的融合外,另一个需要融合的领域是指标体系的融合。ISO27001的133个控制点覆盖面非常广,可以在ISO20000的流程指标中融入安全的要求,在必要的领域设置专门的安全类指标,整合为一个完整的指标体系,使两个体系可以完全融合。3.1.2 ISO20000与CMMI
CMMI(capability maturity model integration)软件能力成熟度集成模型,是由美国国防部与卡内基-梅隆大学和美国国防工业协会(SEI)共同开发研制的。CMMI的前身是1994年SEI正式发布的软件CMM(capability maturity model)。在CMM(又称SW-CMM)发布后,相继又开发出了系统工程(SE-CMM)、软件采购(SS-CMM)、人力资源管理以及集成产品和过程开发(IPPD-CMM)方面等多个能力成熟度模型。2001年12月,SEI在原来的CMM基础上,正式发布CMMI1.1版本。CMMI涉及面更广,覆盖软件工程、系统工程、集成产品开发和系统采购,是一套融合多学科的、可扩充的产品集合。
CMMI提供连续模型和阶段模型这两种表示方法,组织可以根据自己的过程改进需求并自由选择合适的表示方法。阶段式表示方法把成熟度分为五个等级(详见表3-1);连续式过程区域分为四大类:过程管理、项目管理、工程以及支持。
CMMI的实施方法分为连续式和阶段式。与连续式方法由组织挑选评估项目不同的是,阶段式方法是由评估师来挑选评估项目,要求大部分的项目都要达到相应级别,因此阶段式方法的难度要大一些。但总体来说,其实质内容是完全一样的。
与ISO20000重点关注IT服务不同的是,CMMI重点关注的是软件的开发过程,也可以说是软件工程和系统工程结合的产物。因此ISO20000和CMMI可以应用在IT组织的不同部门或不同的工作领域。毫无疑问,在应用软件开发和基础架构项目中可以采用CMMI的模型和管理方法,在IT的运行和服务中可以采取ISO20000管理体系。
由于IT的软件或服务都不可避免的有开发到运行(提供服务)的生命周期,在这个生命周期中可以结合两种管理体系的精髓,在特定阶段分别发挥各自的特长,如图3-1所示。另外,图3-1也可看做一个大的PDCA循环,将运行过程中的问题反馈到开发过程,促进软件或开发过程的改进,同时为运行或服务过程提供更优的产品或服务内容。3.1.3 ISO20000与CobiT
CobiT(control objectives for information and related technology)即信息及相关技术控制目标,目前已成为国际上公认的IT治理与控制标准,由美国IT治理研究院(ITGI)开发与推广,从1994年推出第一版到现在已陆续发布四个版本。
CobiT的设计初衷就是通过对IT资源的管理和控制,确保IT的目标符合业务需求。CobiT 4.1中定义了7个业务需求、20个业务目标、28个IT目标、34个IT过程、100多个控制管理目标,还定义了专业的度量方法和能力成熟度评估模型。
CobiT将100多个控制目标和34个过程分为四个控制域:计划和组织(plan and organize)、获取和实施(acquire and implement)、交付和支持(deliver and support)、监控和评估(monitor and evaluate)。这四个控制域的相互关系如图3-2,与PDCA有些类似,但不完全一样。
与ISO20000关注方法和实施过程不同的是,CobiT更加关注企业整体战略。从使用者来说,CobiT是IT审计者、董事会/高管层、IT管理层的管理利器,而ISO20000则主要由IT人员或服务管理人员用来改善IT服务。尽管两者有着诸多的不同,但是目标却是一致的,实施上也并不矛盾。事实上因为SOX法案的要求,国外很多企业都采取整合方法应用这两个管理体系。ITGI和OGC还共同研究并发布了两者对应关系和如何整合应用方法,并且双方在各自体系升级时都会考虑与对方体系的对应关系。
具体而言,CobiT可以用在最高层次的IT治理,基于IT过程模型提供一个完整的控制框架,而ISO20000(ITIL)则提供更加细化、更加具体的实施流程,并且所有的流程都可对应到CobiT的框架当中去。CobiT为每一个过程提供的各种绩效指标,与ISO20000过程相结合可以建立过程管理的基准。3.2 ISO20000与其他管理体系3.2.1 ISO20000与ISO9000
作为国际标准化组织(ISO)一个非常具有代表性的标准,ISO9000不是指一个标准,而是一族标准的统称,最早可以追溯到1986年发布的ISO8402:1986,此后陆续发布了一系列的标准,于1994年将此前发布的标准统一做了修改,并正式将这些标准定义为“ISO9000标准族”。目前我国认证的版本仍然采用2000版,但ISO也在陆续开发推出更新的版本。由于ISO9000在质量管理领域有着广泛深刻的影响,在全球范围内被广泛应用于不同的行业,组织通过贯彻这一标准,不仅使内部的质量管理更加规范化,同时也建立起持续改进、自我完善的长效机制。
严格来说,ISO9000是ISO20000除ITIL以外的另一个来源和基础,ISO20000正是利用质量管理的PDCA方法论来确保IT服务质量的持续改进。但相对于ISO9000适用于各行各业质量管理不同,ISO20000只应用于IT服务管理,在IT企业和IT服务提供商中的应用较多,对IT服务流程进行管理和风险控制。ISO组织将IT业归类为适合实施ISO9000的39大行业中的第33类“信息技术”类。ISO20000可以认为是ISO9000在IT服务管理领域的具体应用和拓展。和ISO9000相比,ISO20000除了关注服务质量外,同时也关注财务管理、信息安全管理等。3.2.2 ISO20000与六西格玛
六西格玛(six sigma)管理最早起源于20世纪80年代中后期,面对不断被日本竞争对手吞食的市场,美国的摩托罗拉公司开始实施六西格玛管理,并迅速取得巨大成功。90年代中后期,许多知名的大公司开始实施这一管理方法,绝大多数公司都取得显著的收益,尤其是通用电气公司将其作为企业重要的战略举措,掀起了六西格玛的管理热潮。
σ(sigma)是统计学里的一个单位,表示与平均值的标准偏差。六西格玛表示在生产或服务过程中百万个产品中出现3.4个缺陷,即产品合格率可达到99.9997%。六西格玛管理并不简单的只是一个统计学概念,甚至超越了单纯的质量管理的范畴,进一步追求客户满意度提高和成本降低同步达成,并藉此提升企业核心竞争力、赢利能力和持续发展能力。
与PDCA方法论类似的,六西格玛也定义了持续改进的方法论——DMAIC过程,即D——定义、M——测量、A——分析、I——改善、C——控制。与PDCA不同的是,DMAIC对精细化的要求更高,突出强调了用科学的方法进行量化管理。此外,六西格玛也定义了很多的工具、技巧和方法,此处不再赘述,读者可参考介绍六西格玛的专业书籍。
由于六西格玛被越来越多的人所接受,也有很多人尝试将六西格玛运用到IT服务管理领域并取得成功,就连ITIL V3也在《服务改进》(Service Improvement)中提到如何与六西格玛关联,ITIL V3对于持续改进的七个步骤也与其类似,更偏重于对数据的采集、分析和利用。
就ISO20000和六西格玛的关系而言,笔者认为组织可以按照ISO20000要求建立统一的流程管理体系,并利用六西格玛的方法和技巧建立流程的KPI指标体系,测量并消除流程的缺陷,进一步提高服务质量,提升客户的整体满意度。
本章简单介绍了与IT服务管理相关的一些管理体系和方法论,这些管理体系各有所长,由于组织的资源有限,不可能也没必要实施所有的管理体系。但在实际工作中也不应囿于一种管理体系,应该博采众长,充分利用他山之石,弥补现有体系的不足。第二部分 ISO20000认证
在第一部分中已经详细介绍了ISO20000体系构成,事实上,组织现在比以往任何时候都更依赖IT服务,并期望IT服务不仅可以支持组织的运作,而且能为实现组织的整体目标提供新的选择。因此,组织内的IT服务提供者逐渐开始关注技术以外的部分,并通过建立某种IT服务管理体系来持久提高和改进。
本书第二部分将详细介绍如何在组织内建立符合ISO20000 IT服务管理标准的体系和获得认证的全过程,并穿插介绍ISO20000认证过程中各个环节、流程和要求。
IS20000认证全部过程可以归纳为PGIA过程,即:准备(prepare)、差距分析(gap analyze)、实施(implement)和审核(audit)。本文将逐一介绍PGIA四个阶段的主要活动,对ISO20000认证作深入介绍。第4章 认证准备4.1 前期准备
ISO20000是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT服务管理体系已成为各种组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO20000让IT管理者有一个参考框架用来管理IT服务,使得完善的IT管理水平也能通过认证的方式表现出来。
不同于ITIL只有个人认证系列,ISO20000则是对组织的整体认证,因此需要全方位地建立符合标准的体系,也意味着认证前期准备工作将是复杂而细致的。正所谓“万事开头难”,在着手进行认证之初,必须充分认识到良好而充分的前期准备工作是通过这样一项国际标准认证的基石。实际上,对于大多数组织而言,通常没有太多与认证工作相关的经验,因此在认证准备阶段打下扎实的基础,对于整个认证实践都是颇有益处的。
本书将从认证方案制定、调研访谈、咨询审核机构选择、组织内部流程4个方面来介绍认证准备阶段工作。事实上,虽然这4部分内容是大多数组织通过认证所必不可少的,但由于每个组织的组织架构和管理基础不同,前期准备需要完成的具体工作会有一定的差异,通过认证的过程也会不同。因此,组织应“因地制宜”地开展认证实践工作。4.1.1 制定认证方案
认证准备阶段第一步工作就是完成认证可行性方案的编写。如果把认证活动理解成一个项目,认证方案的编写就是通过对项目的主要内容、目标和相应配套条件(如管理基础、管理需求、项目规模、资源投入等),从技术、经济、工程等方面进行调查研究和分析比较,并对认证可能取得的经济效益及社会效益进行预测,从而形成该项目是否值得实施和如何实施的结论意见,为组织的高层提供项目决策的重要依据。从这个意义上来说,认证方案的制定也是认证准备阶段中最重要的工作。
1.可行性分析
可行性分析通常可包含投资必要性、组织可行性、技术可行性、财务可行性、经济可行性、社会可行性、风险因素及对策等部分。由于各类型项目因行业特点而差异很大,具体到ISO20000认证,通常需要从管理基础和效益两方面进行考虑和分析。
首先是管理基础分析。需要对组织自身的管理基础,包括ITIL体系实施的基础、当前的组织架构和当前管理体系在认证过程中的风险进行全面的评估。
IT服务管理体系的建设,首先是管理问题,其次才是技术问题。成功和失败的经验都表明,需要首先解决管理体制和机制的问题,建立以客户为中心的理念,培养服务意识和质量意识,建立可行、科学的服务模式;其次才是借助软件工具将管理流程固化和优化,利用自动化工具辅助和提升管理效率,实现技术和管理的有效结合。因此,在认证可行性分析时应更关注管理上的可行性,其次才是技术上的可行性。
对于那些已经成功实施基于ITIL的管理方法的组织来说,需要更标准化的成熟IT服务质量管理体系来确保管理与国际接轨。ISO20000认证将满足其进一步发展的战略需求,同时ISO20000的持续改进机制也确保其管理流程具备更强的生命力。
其次是效益分析。可以从资源配置的角度衡量认证项目的收益,评价认证项目在实现组织发展目标、有效配置IT资源、改善运行环境、提高流程效率、减少人员工作量、提升赢利能力等方面的效益。
虽然对于不同的组织来说可能带来的效益各有不同,但通常ISO20000可能为组织带来的效益包括以下内容。(1)在IT服务提供中有更多的管理手段,并能持续地改进。(2)改进服务交付的能力,为关键业务服务提供稳定的、高质量的、低成本的、可靠的服务。(3)通用的服务表达方式,方便不同组织之间的对话。(4)为组织内部运营过程提供一个管理和沟通的平台。(5)采纳最佳实践,提高组织内部服务水平以及服务级别的持续保持。(6)减少服务交付中的时间成本。(7)有效管理供应商的方法。(8)提高人员利用率,改善激励,降低人员流失。(9)有价值的管理数据,更好的决策支持。
……
2.认证实施计划
认证实施计划是认证方案书中的核心部分之一。提到计划,通常的理解就是步骤、任务、人员、周期、里程碑等内容,使用专业的工具如MS Project、Excel进行编辑和制定。按照项目计划的常用制定方法基本可以覆盖认证计划的主要内容,但必须注意认证实施计划与一般工作计划几个细节上的区别。(1)本书前面已经介绍过,认证过程主要分为前期准备阶段、差距分析阶段、流程建立改进阶段、试运行阶段和认证审核阶段等。各个阶段的时间和人员分配取决于组织自身的成熟度,可以适当调整几个阶段的资源分配。如果IT服务管理的基础较好,前期准备和流程建立改进阶段时间可以大大减少。(2)始终牢记各个流程必须全部达到ISO20000的要求才能获得认证,因此资源适当向基础薄弱、离标准要求有一定距离的管理流程倾斜,提早启动流程建立和改进阶段工作。(3)认证计划中需要包括审核机构的部分,由于整个审核过程会包括几个批次,每个批次之间另有再改进的时间,同时每一次审核需要提前预约,因此整个实施计划建议预留一些时间给审核机构。
图4-1是一个认证计划的样例,供读者参考。事实上,计划的形式并不重要,重要的是对制定认证计划这项工作的重视。
3.资源与费用
资源与费用也是认证方案准备过程中需要了解的内容之一。与实施计划一样,资源投入的多少主要取决于组织自身的成熟度,越成熟的组织需要在IT服务管理体系建设和完善上花费的资源相对越少。
人力资源:通常包括组织自身、第三方咨询机构、认证审核机构等的人力资源,其中通常较容易被忽视的是组织在全员培训上的人力投入。这在流程体系试运行和认证审核阶段都是相当关键的。
工具资源:现阶段,大多数组织的IT服务管理体系都与工具软件有一定关联,而且这种依存度正在逐渐上升。组织在实施ISO20000认证时,可能需要对其现有的工具平台进行一定的调整,也可能需要采购一些新的产品。
费用方面,通常认证实施项目包含以下5个部分。(1)认证咨询服务费(咨询合作方,可选)。(2)认证服务费(审核机构)。(3)培训费用(可选)。(4)认证相关参考资料、宣传费用(可选)。(5)工具软件费用(可选)。
具体费用根据组织规模而有所不同。对于希望通过该项认证的组织来说,在项目方案中应确认认证服务费用是否包含后续年度的复审、复评和证书管理费用等。
除以上介绍的管理基础分析、效益分析、认证实施计划、资源与费用等主要内容外,认证可行性方案中还可以包括ISO20000认证介
试读结束[说明:试读内容隐藏了图片]