笔记-标准化知识与IT服务相关标准-11.2 IT服务国际标准
11.2 IT服务国际标准
11.2.1 ISO/IEC20000系列标准
2000年11月,英国标准协会(BSI)发布了以ITIL为核心的国家标准BS15000。随后,2005年5月,国际标准组织(ISO)快速通道的方式批准通过了ISO/IEC20000的标准决议,并于12月15日正式发布了ISO/IEC20000标准。
ISO/IEC20000标准对于企业或组织的IT服务管理有重要的指导作用,ISO/IEC20000具体规定了IT服务管理行业向企业及其客户有效地提供服务的、一体化的管理过程以及过程建立的相关要求,帮助识别和管理信息技术服务的关键过程,保证提供有效的信息技术服务以满足客户和业务的需求。它着重于通过“信息技术服务标准化”来管理信息技术问题,即将信息技术问题归类,识别问题的内在联系,然后依据服务级别协议进行计划、管理和监控,并强调与客户的沟通。
在我国,目前已经以等同采用的方式,正式发布了两项ISO/EC20000标准,分别是:
- GB/T24405.1 信息技术服务管理第1部分:规范。
- GB/T24405.2 信息技术服务管理第2部分:实践导则。
11.2.2 ISO/IEC27000系列标准
ISO27000 系列标准是信息安全管理体系系列标准,包括:
- ISO27000 原理与术语
- ISO27001 信息安全管理体系要求
- ISO27002 信息技术安全技术信息安全管理实践规范
- ISO27003 信息安全管理体系实施指南
- ISO27004 信息安全管理体系指标与测量
- ISO27005 信息安全管理体系风险管理
- ISO27006 信息安全管理体系认证机构的认可要求ISMS
- ISO27007 信息技术-安全技术信息安全管理体系审核员指南
其中ISO/IEC27001是标准族的主标准,其前身为英国的BS7799标准,各类组织可以按照ISO/IEC27001的要求建立自己的信息安全管理体系(ISMS)。ISO/IEC27001标准规定了在组织背景下建立、实施、维护和持续改进信息安全管理体系,还包括信息安全风险评估和处置要求,可裁剪以适用于组织等。该标准的要求是通用的,适用于所有的组织,不考虑类型、规模和特征。
ISO/IEC27002可作为组织基于ISO/IEC27001实现信息安全管理体系(ISMS)过程中选择控制时的参考,或作为组织在实现通用信息安全控制时的指南。ISO/IEC27002共包括35个主要安全类别以及114项控制。
11.2.3 ISO9000系列标准
ISO9000系列标准是质量管理体系标准,是由国际标准化组织(ISO)TC176制定并颁布的国际标准。ISO9000系列标准自1987年推出第一版以来,已成为ISO迄今为止应用最广泛、最成功的标准。ISO9000系列标准为各类组织建立了一个质量管理的通用框架和语言,也为组织赢得顾客对其生产合格产品的基本信任明确了途径,为全球经济合作效率的提升起到了基础作用。ISO9000系列标准包括以下三个核心标准:
(1)ISO9000/GB/T19000《质量管理体系基础和术语》为正确理解和实施质量管理体系标准提供必要的基础。在制定ISO9000系列标准过程中考虑到了ISO9000详细描述的质量管理原则。这些原则本身并不等同于要求,但构成了质量管理体系所规定要求的基础,并定义了应用于质量管理体系的术语、定义和概念。
(2)ISO9001/GB/T19001《质量管理体系要求》规定的要求旨在为组织的产品和服务提供信任,从而增强顾客满意。正确实施本标准也能为组织带来其他预期利益,例如:改进内部沟通,更好地理解和控制组织的过程。
(3)ISO9004/GB/T19004《追求组织的持续成功质量管理方法》为组织选择超出本标准要求的质量管理方法提供指南,关注能够改进组织整体绩效的更加广泛的议题。ISO9004包括自我评价方法指南,以便阻止能够对其质量管理体系的成熟度进行评价。
11.2.4 ISO/IEC38500标准
2008年4月,ISO/IEC正式发布IT治理标准ISO/IEC38500:2008,它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段,而且也标志着信息化正式进入IT治理时代。这一标准将促使国内外一直争论不休的IT治理理论得到统一,也促使我国在引导信息化科学方面发挥重要作用。
ISO/IEC38500:2008可以用于任何规模的组织,包括公/私有性质的公司,政府机构以及非营利组织。这一标准提供了一个IT治理的框架,以协助组织高层管理者理解并履行他们对于其组织IT使用的既定职责,实现IT治理的有效性、可用性及效率。
ISO/IEC38500提出了IT治理的EDM模型,它略微不同于管理者典型使用的PDCA模型。在这一模型中,管理者依据业务压力、监管责任、利益相关者期望及业务需求来监督(Monitor)并评估(Evaluate)组织的IT使用,而后指导(Direct)实施政策方针以弥补差距。该模型如图11.3所示。
ISO/IEC38500给出了IT治理的基本、原则性的建议,定义了组织开展IT治理的6个基本原则,并结合EDM模型的应用,形成了IT治理的相关任务和要求。近年来,ISO/IECSC40工作组也在推进ISO38500标准的改版和修订,ISO/IEC38501、ISO/IEC38502等系列标准的研究也在稳步推进中。
11.2.5 ISO22301
ISO22301由社会安全技术委员会ISO/TC223制定,规定了建立和管理一个有效的业务连续性管理体系(BCMS)的要求。一个BCMS强调以下方面的重要性包括:
(1)理解组织的需求和建立业务连续性管理方针和目标的必要性。
(2)实施和运行控制措施和测量来管理组织管理中断事件的整体能力。
(3)监视和评审BCM体系的绩效和有效性。
(4)基于客观测量的持续改进。
一个BCMS像任何其他管理系统一样,包括如下关键部分:
一个方针
有明确职责的人
同下列内容相关的管理过程:
- 方针
- 策划
- 实施和运行
- 绩效评估
- 管理评审
- 改进
提供审核证据的文件化信息
任何同组织相关的业务连续性管理过程
业务连续性有助于构建更有弹性的社会。更广泛的社区和对组织产生影响的环境以及其他的组织都有可能需要涉及到恢复的过程中。本标准采用了“规划(Plan)—实施(Do)一检查(Check)—处置(Act)”(PDCA)模型来规划、建立、实施、运行、监视、评审、保持和持续改进组织的BCMS的有效性。
图11.4说明了BCMS是如何把利益相关方连续管理的要求作为输入,通过必要的措施和过程,产生满足这些要求的连续结果的。
有关PDCA模型的具体解释见表11.2。
阶段 | 内容 |
---|---|
规划(建立) | 建立与改进业务连续性管理相关的业务连续性政策、目标、指标、控制措施、过程和程序,以产生与组织总方针和总目标相符合的结果 |
实施(实施和运行) | 实施和运行业务连续性方针、控制措施、过程和程序 |
检查(监视和评审) | 对照业务连续性方针和目标监视和评审业务连续性的绩效,并将结果报告管理者以供评审,确定和授权补救和改进措施 |
处置(保持和改进) | 基于管理评审的结果,采取纠正措施以保持和改进业务连续性管理体系,并重新评审和评价业务连续性管理体系的范围以及业务连续性方针和目标 |
11.2.6 ITIL
ITIL(Information Technology Infrastructure Library, IT基础架构库)从复杂的IT管理活动中梳理出各组织所共有的最佳实践(如事件管理、问题管理、变更管理、配置管理、服务水平管理、可用性管理等),然后将这些流程规范化、标准化,明确定义各个流程的目标、范围、职能和责任、成本和效益、规划和实施过程、主要活动、主要角色、关键成功因素、绩效评价指标以及其他流程的相互关系等。
自从1980年至今,ITIL经历了4个主要的版本:
1. Version1(1986—1999年)
原始版,主要基于职能型的实践,开发了40多卷图书。ITILv1由10位顶级IT管理专家共同编写,后来这10位专家将其传播到全球,特别是传播到欧洲各国。荷兰政府将ITILv1作为政府信息技术服务采购的强制标准,之后ITILv1在欧洲得到广泛应用。
2. Version2(1999—2006年)
ITILv2版,主要基于流程型的实践,共有10本图书,包含7个体系,分别是服务支持、服务提供、实施服务管理规划、应用管理、安全管理、基础架构管理及ITIL的业务前景。ITILv2在全球得到广泛应用的转折点是4大ITSM软件厂商将其作为其ITSM软件的强制标准。图11.5所示为ITILv2框架图。
3. Version3(2004—2007年)
基于服务生命周期的ITILv3整合了v1和v2的精华,与时俱进地融入了IT服务管理领域当前的最佳实践。5本生命周期图书形成了ITILv3的核心,它主要强调ITIL最佳实践的执行支持,以及在改善过程中需要注意的细节。其框架图如图11.6所示。
4. Version(2011—2011年)
ITIL的持续改进是为了加强服务管理办法中的逻辑组织和业务一致性。ITIL的2011年版本使用5个主要书面指导文件,分别论述了IT服务的服务战略、服务设计、服务转换、服务运营和服务的持续改进。涉及4个职能:服务台、运营管理、应用管理、技术管理;以及26个流程:事件管理、事故管理、请求实施、问题管理、资产与配置管理、变更管理、发布与部署管理、服务级别管理、连续性管理、可用性管理、能力管理、IT服务财务管理、信息安全管理、服务报告、业务关系管理、供应商管理、知识管理、服务目录管理、战略制定、需求管理、服务组合管理、评估、服务验证与测试、转换规划与支持、访问管理,如图11.7所示。
11.2.7 COBIT
成立于1969年的美国信息系统审计与控制协会(ISACA),于1996推出了用于“IT审计”的知识体系COBIT(Control Objectives for Informationan drelated Technology 信息系统和技术控制目标),COBIT包含34个信息技术过程控制,并归集为4个控制域:
- IT规划和组织(PlanningandOrganization)
- 系统获得和实施(AcquisitionandImplementation)
- 交付与支持(DeliveryandSupport)
- 信息系统运行性能监控(Monitoring)
COBIT目前已成为国际上公认的IT管理与控制框架,已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效地利用信息资源,有效地管理与信息相关的风险。该框架如图11.8所示。
该框架的意义在于:COBIT实现了企业目标与IT治理目标之间的桥梁作用。
首先,COBIT考虑了企业自身的战略规划,对业务环境和企业总的业务战略进行分析定位,并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境,并由此确定IT准则。
IT为企业战略提供了基于技术的解决方案,为满足业务战略需求提供了技术与工具。在IT准则的指导下,利用控制目标模型,分别从规划与组织、获取与实施、交付与支持、监控等过程进行控制、管理信息资源。在IT管理的同时,引入审计指南,从而保证IT资源管理的安全性、可靠性和有效性。
COBIT实现可跟踪的业绩衡量,通过平衡记分卡可以在财务(企业资源管理)、客户(客户关系管理)、过程(内部网,工作流工具)、学习(知识管理)等方面维持平衡,评价企业目标的实现情况以及IT绩效,并调整业务目标和IT战略,进行持续的IT管理。
COBIT采用成熟度模型,可以定位自己企业的IT管理目前在业界所处的位置,以及未来努力的方向,通俗地说就是给IT管理“打分”。
COBIT还提供了目前最佳案例和关键成功因素(CSF),供企业和组织借鉴。
从内容上看,COBIT覆盖了从分析、设计到开发、实施到运营、维护的整个过程,COBIT覆盖整个信息系统的全部生命周期,其视野是最为开阔的。