笔记-标准化知识与IT服务相关标准-11.3 IT服务国家标准及行业标准
11.3 IT服务国家标准及行业标准
11.3.1 ITSS标准体系
ITSS(Information Technology Service Standards,ITSS)是一套成体系和综合配套的信息技术服务标准库,全面规范了信息技术服务产品及其组成要素,用于指导实施标准化和可信赖的信息技术服务。
1. ITSS的来源
ITSS是在工业和信息化部、国家标准化管理委员会的联合指导研制的,是我国IT服务行业最佳实践的总结和提升,也是我国从事IT服务研发、供应、推广和应用等各类组织自主创新成果的固化。
2. 组成要素
▲▲▲ IT服务由**人员(People)、过程(Process)、技术(Technology)和资源(Resource)**组成,简称“PPTR”。其中:
(1)人员:指提供IT服务所需的人员及其知识、经验和技能要求。
(2)过程:指提供IT服务时,合理利用必要的资源,将输入转化为输出的一组相互关联和结构化的活动。
(3)技术:指交付满足质量要求的IT服务应使用的技术或应具备的技术能力。
(4)资源:指提供IT服务所依存和产生的有形及无形资产。
3. 生命周期
IT服务生命周期由**规划设计(Planning&Design)、部署实施(Implementing)、服务运营(Operation)、持续改进(Improvement)和监督管理(Supervision)**5个阶段组成,简称“PIOIS”。
(1)规划设计
从客户业务战略出发,以需求为中心,参照ITSS对IT服务进行全面系统的战略规划和设计,为IT服务的部署实施做好准备,以确保提供满足客户需求的IT服务。
(2)部署实施
在规划设计基础上,依据ITSS建立管理体系、部署专用工具及服务解决方案。
(3)服务运营
根据IT服务部署情况,依据ITSS,采用过程方法,全面管理基础设施、服务流程、人员和业务连续性,实现业务运营与IT服务运营的全面融合。
(4)持续改进
根据IT服务运营的实际情况,定期评审IT服务满足业务运营的情况,以及IT服务本身存在的缺陷,提出改进策略和方案,并对IT服务进行重新规划设计和部署实施,以提高IT服务质量。
(5)监督管理
本阶段主要依据ITSS对IT服务质量进行评价,并对IT服务供方的服务过程、交付结果实施监督和绩效评估。
4. ITSS标准体系4.0
ITSS是依据上述原理制定的一系列标准,是一套完整的信息技术服务标准体系,包含了信息技术服务的规划设计、部署实施、服务运营、持续改进和监督管理等全生命周期阶段应遵循的标准,涉及咨询设计、集成实施、运行维护、服务管控、服务运营和服务外包等业务领域。
信息技术服务标准(ITSS)体系的提出主要从产业发展、服务管控、业务形态、实现方式、服务安全、内容特征和行业应用等7个方面考虑,分为基础标准、服务管控标准、服务业务标准、服务外包标准、服务安全标准、服务对象特征和行业应用标准,体系框架如图11.9所示。
ITSS体系框架内容如下所述:
(1)基础标准旨在阐述信息技术服务的业务分类和服务原理、服务质量评价方法、服务人员能力要求、服务定额规范等。
(2)服务管控标准是指通过对信息技术服务的治理、管理和监理活动,以确保信息技术服务的管控经济有效。阐述治理的要求、实施、指标、审计以及对数据的治理;阐述服务管理的方法、实现以及技术规范;阐述信息技术服务各个环节和层面的监理规范等。
(3)服务业务标准按业务类型分为面向IT的服务标准(咨询设计,集成实施和运行维护)和IT驱动的服务标准(云服务运营、数据服务、互联网服务),按标准编写目的分为通用要求、服务规范和实施指南等类型,其中通用要求是对各业务类型基本能力要
素的要求,服务规范是对服务内容和行为的规范,实施指南是对服务的落地指导。
(4)服务外包标准是信息技术服务采用外包方式时的通用要求及规范。
(5)服务安全标准重点规定事前如何预防、事中如何控制、事后如何审计服务安全以及整个过程如何持续改进,并提出组织的服务安全治理规范,以确保服务安全可控。
(6)服务对象特征按照对象类型分为数据中心和终端。数据中心围绕数据中心的建设、运营和外部服务内容和行为进行规范;终端主要定义终端分类指南等。
(7)行业应用标准包含各行业进行定制化应用落地的实施指南和结合行业特点的相关标准。
ITSS体系是动态发展的,与信息技术服务相关的技术和产业发展紧密相关,同时也与标准化工作的目标和定位紧密相关。
11.3.2 GB/T29264-2012
《信息技术服务分类与代码》(GB/T29264-2012)规定了信息技术服务的分类与代码。本标准的研究成果已应用于工业和信息化部《软件产业统计制度(修订版)》及GB/T4754-2011《国民经济行业分类》。
按照本标准内容,信息技术服务的具体分类如表11.3所示。
| 代码 | 类别名称 |
说明 |
|---|---|---|
| 01 | 信息技术咨询服务 | 在信息资源开发利用、工程建设、人员培训、管理体系建设、技术支撑等方面向需方提供的管理或技术咨询评估服务。 |
| 0101 | 信息化规划 | 提出行业、区域或领域的信息化远景、目标、战略和总体框架等,全面系统地指导信息化建设,以满足其可持续发展需要的咨询服务。 |
| 0102 | 信息系统设计 | 基于需方的信息化规划,根据其实际业务需求,对信息系统的架构、选型和实施策略进行设计,为信息系统的开发和建设提供设计方案的服务。 |
| 0103 | 信息技术管理咨询 | 协助需方提升和优化信息化管理活动的咨询服务。 包括:信息技术治理、信息技术服务管理、质量管理、信息安全管理、过程能力成熟度等咨询服务。 |
| 0104 | 信息系统工程监理 | 依据国家有关法律法规、技术标准和信息系统工程监理合同,独立第三方机构提供的监督管理信息系统工程项目实施的服务。 包括:通用布缆系统工程监理、电子设备机房系统工程监理、计算机网络系统工程监理、软件工程监理、信息化工程安全监理、信息技术服务工程监理。 |
| 0105 | 测试评估认证 | 具有相关资质的第三方测试评估认证机构提供的对软件、硬件、网络、质量管理、能力成熟度评估、信息技术服务管理及信息安全管理等是否满足规定要求而进行的测试、评估和认证服务。 |
| 0106 | 信息技术培训 | 为开发、应用信息技术提供的培训服务。 >包括:信息技术标准培训、信息技术应用培训、信息技术职业技能培训等服务。 >不包括:学历教育 |
| 0199 | 其他信息技术咨询服务 | 凡属于01类而上述各类中未包含的服务内容可纳入此类中。 |
| 02 | 设计与开发服务 | 受需方委托以承接外包的方式提供的硬件设计、软件设计和软件开发等服务。 |
| 0201 | 硬件设计 | 通过承接外包的方式,向需方提供的硬件设计服务。 包括:a)计算机系统及部件:如便携式计算机、中央处理器、电源、计算机网络设备等。 b)半导体及半导体生产设备:如各种型号和容量的芯片及晶圆、刻机、激光切割机等。 c)科学仪器:各种测量和检验仪器,如质谱仪、示波器、图像分析仪等。 d)其他产品:计算器、自动取款机、印刷电路、电子开关、连接装置、光缆、平板显示屏、多媒体开发工具等。 |
| 0202 | 软件设计与开发 | 通过承接外包的方式,向需方提供软件体系结构设计、概要设计、详细设计、功能单元设计以及软件应用部署设计等服务,以及为需方提供计算机软件、信息系统或者设备中嵌入的软件,或者在系统集成、应用服务等技术服务时提供软件的开发服务。 包括:基础软件、支撑软件、应用软件、嵌入式软件、信息安全软件、计算机(应用)系统、工业软件以及其他软件的开发。 供方不拥有服务过程中产生的著作权。 |
| 0299 | 其他设计与开发服务 | 凡属于02类而上述各类中未包含的服务内容可纳入此类中。 |
| 03 | 信息系统集成实施服务 | |
| 0301 | 基础环境集成实施服务 | 为保证信息系统正常运行所必需的机房电力、空调、消防、安防等基础环境的建设提供的服务。 包括:机房电力、消防、安防等系统的集成实施。 |
| 0302 | 硬件集成实施服务 | 将硬件设备(包括主机、存储、网络设备等)及其附带软件进行安装、调试的服务。 |
| 030201 | 网络集成实施服务 | 将计算机网络设备中的路由器、交换机、网关、集线器、终端接入设备等实施集成的服务。 |
| 030202 | 主机集成实施服务 | 将计算机设备中的巨/大/中型机、小型机、PC服务器等实施集成的服务。 |
| 030203 | 存储集成实施服务 | 将存储设备中的磁盘阵列、存储用光纤交换机、光盘库、磁带机、磁带库、网络存储设备等实施集成的服务。 |
| 030299 | 其他硬件集成实施服务 | 图像及音视频设备、视频监控设备、输入输出设备、会议系统设备、硬件设备虚拟化、其他硬件设备的集成实施服务,以及其他属于0302类而上述各小类未包含的服务。 |
| 0303 | 软件集成实施服务 | 将各个分离的软件、功能和信息等集成到相互关联的、统一和协调的平台之中的服务。 |
| 030301 | 应用系统集成实施服务 | 将多应用系统间功能、流程等进行整合的服务。 |
| 030302 | 数据(信息)集成实施服务 | 将不同来源、格式的数据进行整合的服务。 |
| 030303 | 界面集成实施服务 | 通过统一界面实现多应用系统访问和交互的服务。 |
| 030399 | 其他软件集成实施服务 | 凡属于0303类而上述各小类未包含的服务内容可纳入此类中。 |
| 0304 | 安全集成实施服务 | 满足信息系统安全技术要求和安全管理要求的集成实施服务。包括: a)安全技术要求包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等; b)安全管理要求包括安全管理制度、安全管理机构、人员安全管理等。 |
| 0305 | 系统集成实施管理服务 | 整体承担基础环境、硬件、软件、安全等的信息系统总集成实施工作而提供的服务。 |
| 0399 | 其他信息系统集成实施服务 | 凡属于03类而上述各类中未包含的服务内容可纳入此类中。 |
| 04 | 运行维护服务 | 不包括:硬件和软件产品保修期内的支持服务。 |
| 0401 | 基础环境运维服务 | 对保证信息系统正常运行所必需的电力、空调、消防、安防等基础环境的运维。包括:机房电力、消防、安防等系统的例行检查及状态监控、响应支持、故障处理、性能优化等服务。 |
| 0402 | 硬件运维服务 | 对硬件设备(网络、主机、存储、桌面设备以及其他相关设备等)及其附带软件的例行检查及状态监控、响应支持、故障处理、性能优化等服务。 |
| 040201 | 网络运维服务 | 面向计算机网络设备的运维服务。 |
| 040202 | 主机运维服务 | 面向计算机设备中的巨/大/中型机、小型机、PC服务器等的运维服务。 |
| 040203 | 存储运维服务 | 面向存储设备中的磁盘阵列、存储用光纤交换机、光盘库、磁带机、磁带库、网络存储设备等的运维服务。 |
| 040204 | 桌面运维服务 | 面向台式机、便携式计算机、掌上电脑等计算机设备以及输入输出设备等的运维服务。 |
| 040299 | 其他硬件运维服务 | 面向图像及音视频设备、视频监控设备、会议系统设备、终端设备、硬件设备虚拟化、其他硬件设备的运维服务,以及其他属于0402类而上述各小类未包含的服务。 |
| 0403 | 软件运维服务 | 对软件(包括基础软件、支撑软件、应用软件等)的功能修改完善、性能调优,以及常规的例行检查和状态监控、响应支持等服务。 |
| 040301 | 基础软件运维服务 | 面向操作系统、数据库系统、中间件、语言处理系统和办公软件等基础软件的运维服务。 |
| 040302 | 支撑软件运维服务 | 面向需求分析软件、建模软件、集成开发环境、测试软件、开发管理软件、逆向工程软件和再工程软件等支撑软件的运维服务。 |
| 040303 | 应用软件运维服务 | 面向各种应用软件的运维服务。。 |
| 040399 | 其他软件运维服务 | 凡属于0403类而上述各小类未包含的服务内容可纳入此类中。 |
| 0404 | 安全运维服务 | 对信息系统提供的安全巡检、安全加固、脆弱性检查、渗透性测试、安全风险评估、应急保障等服务。 |
| 0405 | 运维管理服务 | 整体承担基础环境、硬件、软件、安全等综合性运维而提供的管理服务。 |
| 0499 | 其他运行维护服务 | 数据迁移服务、应用迁移服务、机房或设备搬迁服务等以及其他属于04类而上述各类中未包含的服务。 |
| 05 | 数据处理和存储服务 | 向需方提供的信息和数据的分析、整理、计算、存储等服务。 |
| 0501 | 数据加工处理 | 向需方提供数据分析、整理、计算、编辑等加工和处理服务。包括:各种数据库活动、业务流程外包、网站内容更新、文件扫描存储等。 |
| 0502 | 存储服务 | 供方根据需方需求提供的合理、安全、有效的数据保存服务。 包括:以在线、离线等方式提供的数据备份、容灾等服务,以及数据中心、存储中心或灾备中心提供的数据存储、数据备份、容灾等服务。 |
| 0599 | 其他数据处理和存储服务 | 凡属于05类而上述各类中未包含的服务内容可纳入此类中。 |
| 06 | 运营服务 | 包括:软件运营服务、平台运营服务、基础设施运营服务等。 |
| 0601 | 软件运营服务 | 向需方提供软件系统的部分或全部功能的租用服务。 包括:在线企业资源规划(ERP)、在线客户关系管理(CRM)、在线杀毒等。 |
| 0602 | 平台运营服务 | 向需方提供应用系统开发、测试、部署、管理等工具平台以及业务支撑平台的租用服务。 包括:在线ERP开发和部署平台、在线娱乐开发和部署平台、在线软件测试平台、电子商务平台、在线教育平台等的租用服务。 |
| 0603 | 基础设施运营服务 | 向需方提供信息系统基础设施的租用服务。 包括:计算资源租用服务、网络资源租用服务、存储资源租用服务、服务器托管等。 |
| 0699 | 其他运营服务 | 凡属于06类而上述各类中未包含的服务内容可纳入此类中。 |
| 07 | 数字内容服务 | 数字内容的加工处理,即将图片、文字、视频、音频等信息内容运用数字化技术进行加工处理并整合应用的服务。包括:数字动漫、游戏设计制作、地理信息加工处理等。 |
| 08 | 呼叫中心服务 | 受企事业单位委托,利用与公用电话网或因特网连接的呼叫中心系统和数据库技术,经过信息采集、加工、存储等建立信息库,通过固定网、移动网或因特网等公众通信网络向用户提供有关该企事业单位的业务咨询、信息咨询和数据查询等服务。 |
| 09 | 其他信息技术服务 | 凡属于上述各大类未包含的信息技术服务内容可纳入此类中。 |
本标准适用于信息技术服务的分类、管理和编目;也适用于信息技术服务的信息管理、信息交换及统一核算,供科研、规划、统计等工作使用,作为各类信息技术服务信息系统进行信息交换的准则。
11.3.3 GB/T28827.1-2012
《信息技术服务运行维护第1部分:通用要求》GB/T28827.1-2012为运行维护服务组织提供了一个运行维护服务能力模型,规定了运行维护服务组织在人员、资源、技术和过程方面应具备的条件和能力。
标准主要内容:
运行维护服务是供方依据需方提出的服务级别要求,采用相关的方法、手段、技术、制度、过程和文档等,针对运行维护服务对象(应用系统、基础环境、网络平台、硬件平台、软件平台、数据等)提供的综合服务。为确保提供的运行维护服务符合与需方约定的质量要求,供方应具备实施运行维护服务的基本条件和能力。本标准提出了通用运维服务能力模型、关键要素、指标、管理原则等内容。
1. 通用运行维护服务能力模型
2. 要素
模型给出运行维护服务能力的四个关键要素:人员、资源、技术和过程,每个要素通过关键指标反映运行维护服务的条件和能力。这四个要素间的相互关系为:在供方范围内,人员利用资源和运用技术,按照既定的过程为需方提供信息技术运行维护服务。
3. 关键指标
关键指标是运行维护服务所涉及到的核心能力参数,在本部分中主要体现在人员、资源、技术、过程四个方面,并应用于供方的运行维护服务能力评价。
4. 管理原则
在运行维护服务提供过程中,供方通过策划、实施、检查和改进实现运行维护服务能力的持续提升。本标准适用于:
(1)计划提供运行维护服务的组织建立运行维护服务能力体系;
(2)运行维护服务供方评估自身条件和能力;
(3)要求供应链中所有运行维护服务供方具备一致的条件和能力的组织;
(4)运行维护服务需方评价和选择运行维护服务供方;
(5)第三方评价和认定运行维护服务组织能力。
11.3.4 GB/T28827.2-2012
《信息技术服务运行维护第2部分:交付规范》GB/T28827.2-2012给出了运维服务供需双方从服务级别协议签署到结束的过程中,对交付管理的策划、实施、检查和改进方面提供的原则框架,以及对交付内容、交付方式、交付成果给出的指导建议。本标准除了为运维服务需方和供方提供参考依据外,还可以为运维服务质量的评估、审计人员提供指南。
标准主要内容
供方根据对服务级别协议需求的理解,通过交付过程的策划、实施、检查和改进四个关键环节的管理,以现场或远程交付方式为手段,向需方提供满足服务级别协议的交付内容和交付成果。
运维服务交付规范的框架如图11.11所示。
(1)交付管理,供需双方通过对服务交付的策划、实施、检查和改进以保障服务级别协议的达成。
(2)交付内容,供方根据服务级别协议要求,向需方提供的例行操作服务、响应支持服务、优化改善服务和咨询评估服务。
(3)交付方式,供方根据服务级别协议要求,采用现场支持和远程支持方式向需方提供服务。
(4)交付成果,供方根据服务级别协议要求,向需方提供的无形和有形的交付成果。
本标准适用于:
(1)使需方和供方对运维服务交付标准达成一致。
(2)为需方和供方提供运维服务交付的最佳实践和质量评估依据。
11.3.5 GB/T28827.3-2012
《信息技术服务运行维护第3部分:应急响应规范》GB/T28827.3-2012规定了应急响应的基本过程和管理方法,包括应急准备、监测与预警、应急处置和总结改进等内容。
标准主要内容
本标准将运行维护服务中应急响应过程划分为四个主要阶段:应急准备、监测与预警、应急处置和总结改进。
应急响应各阶段的工作内容如下:
(1)应急准备阶段的工作包括:
组建应急响应组织,确定应急响应制度,系统性识别运行维护服务对象及运行维护活动中可能出现的风险,定义应急事件级别,制定预案,开展培训和演练。
(2)监测与预警阶段的工作包括:
进行日常监测,及时发现应急事件并有效预警,进行核实和评估,以规定的策略和程序启动预案,并保持对应急事件的跟踪。
(3)应急处置阶段的工作包括:
采取必要的应急调度手段,基于预案开展故障排查与诊断,对故障进行有效、快速的处理与恢复,及时通报应急事件,提供持续性服务保障,进行结果评价,关闭事件。
(4)总结改进阶段的工作包括:
对应急事件发生原因、处理过程和结果进行总结分析,持续改进应急工作,完善信息系统。
在应急管理工作中,应将信息系统所支撑业务的数据采集、使用和管理纳入应急响应过程中。在应急准备阶段,结合业务领域突发事件级别和运维活动中的应急事件级别,制定总体应急预案,开展培训和演练。在监测与预警阶段,从运行维护对象和数据两个角度开展监测预警。在应急处置阶段,根据业务数据变化情况采取相应措施。在总结改进阶段,也应该对业务数据采集、使用和管理体系进行完善。
在上述四个阶段中,每个阶段都包括若干重点任务,这些任务覆盖了日常工作、故障响应和重点时段保障等不同类型的活动。表11.4描述了不同类型活动与重点任务的基本对应关系。
| 主要阶段 | 重点任务 | 日常工作 | 故障响应 | 重点时段保障 |
|---|---|---|---|---|
| 应急准备 | 建立应急响应组织 | √ | ||
| 应急准备 | 制定应急响应方针 | √ | ||
| 应急准备 | 风险评估与改进 | √ | ||
| 应急准备 | 划分应急事件级别 | √ | ||
| 应急准备 | 预案制定 | √ | √ | |
| 应急准备 | 培训与演练 | √ | √ | |
| 监测与预警 | 日常监测与预警 | √ | √ | √ |
| 监测与预警 | 核实与评估 | √ | √ | |
| 监测与预警 | 预案启动 | √ | √ | |
| 应急处置 | 应急调度 | √ | √ | |
| 应急处置 | 排查与诊断 | √ | ||
| 应急处置 | 处理与恢复 | √ | ||
| 应急处置 | 事件升级 | √ | √ | |
| 应急处置 | 持续服务 | √ | √ | |
| 应急处置 | 事件关闭 | √ | √ | |
| 总结改进 | 应急事件总结 | √ | √ | |
| 总结改进 | 应急体系的保持 | √ | √ | |
| 总结改进 | 应急工作的改进 | √ | √ | √ |
本标准适用于:
(1)指导在经济建设、社会管理、公共服务以及生产经营等领域重要信息系统运行维护服务中的应急响应实施和管理。
(2)组织为满足应急响应实施需要而开展的信息系统完善和升级改造工作。
11.3.6 SJ/T11564.4-2015
《信息技术服务运行维护第4部分:数据中心规范》SJ/T11564.4-2015 通过例行操作、响应支持、优化改善、调研评估四种服务类型对数据中心运维对象提供服务,以保证数据中心连续、稳定、高效及安全的运行。
标准主要内容
本标准定义了数据中心运维服务对象与服务类型、运维服务策略、运维服务内容及服务报告,为数据中心运维服务提供标准支撑。
1. 服务对象与类型
服务对象与类型的关系如图11.12所示。
服务对象:根据数据中心的特点,数据中心的服务对象分为机房基础设施、网络及网络设备、服务器及存储、软件、数据五类。
交付内容:包括例行操作、响应支持、优化改善和咨询评估四类服务作业过程。
2.运维服务基本目标
本标准定义的运维服务基本目标包括以下四方面:
(1)及时:供方应采取适当的手段确保提供满足SLA时间指标要求的运维服务。
(2)规范:供方应建立适当的服务管理过程、服务活动指导文件或实施规则,以保证服务过程的规范运作。
(3)安全:服务的供、需双方应采取各种安全手段或措施,有效控制数据中心运维服务的各个环节,保护数据中心运维服务中的物理安全、网络安全、系统安全、应用安全和数据安全。
(4)可用:供方应采取适当措施,确保按服务协议提供长期、持续的优质服务,保持服务对象符合SLA的可用性要求。
3. 运维服务内容
本标准定义的运维服务内容包括机房基础设施、网络及网络设备、服务器及存储、数据库、中间件、数据、应用软件。
(1)基本活动包括例行操作、响应支持、优化改善和咨询评估。
- 例行操作包括:监控、预防性检查、常规作业。
- 响应支持:事件驱动响应、服务请求响应。
- 优化改善:适应性改进、增强型改进、预防性改进。
- 咨询评估:包含空调、供配电设备等的建议。
(2)运维服务报告
运维服务实施中,供方应按要求进行服务报告编制、提交。服务报告通常分为常规报告、事件报告和专题报告三类。
本标准适用于:
(1)供方设计和交付数据中心运行维护服务产品。
(2)供方或需方设计和开发数据中心运行维护系统。
(3)需方管理供方的数据中心运行维护服务交付内容。
11.3.7 SJ/T11445.2-2012
在服务外包行业,数据保护已成为离岸外包的贸易壁垒。欧盟已制定了相关法律保护欧洲经济共同体内数据的合法、有序流动,并对向欧盟以外的国家传输数据,制定了严苛的规则,如与美国的“安全港协议”;日本则以法律与行业自律相互救济的方式保护数据,并采用P-MARK认证机制保证企业相应管理体系的充分、有效。我国要大力发展服务外包产业,需要制定一套符合国际标准的数据保护标准。《信息技术服务外包第2部分:数据(信息)保护规范》SJ/T11445.2-2012提出了数据保护的整体框架和规则,规定了个人信息保护、商业数据保护相关术语和定义、数据保护原则、数据主体权利、数据管理者的权利和义务、数据保护体系的建立和实施等基本规则和要求。
标准主要内容
1. 数据保护原则
本标准应遵循目的明确、权利限制、数据质量、使用限制、安全保障以及责任等相关原则。
2. 数据主体权利
数据主体应享有数据的知情权、支配权以及疑义和反对的权利。
3. 数据管理者责任和义务
数据管理者应保障和维护数据主体的权益,收集目的明确,并负有告知、质量保证、安全和保密等相关责任和义务。
4. 数据保护体系
包括数据保护方针、管理机制、保护机制、安全机制、过程改进机制等。
(1)数据保护方针指数据管理者应基于实际情况,依据国家相关法规、标准的原则和措施,以简洁、明确的语言阐述、公示,以指导数据保护工作。
(2)管理机制指数据管理者应制定实施数据保护体系应遵循的规章和制度,包括基本规章和适用于各从属机构、部门特点的管理细则,并切实执行。
(3)安全机制指包括风险管理、物理环境管理、工作环境管理、网络行为管理、信息安全管理、存储管理、使用管理、备份和恢复、人员管理、备案管理。
(4)过程改进机制包括监察内审、持续改进。
本标准适用于信息技术服务外包组织中数据(个人信息、商业数据)的保护,为个人信息保护、商业数据保护提供基本的规则和要求,以构建数据保护体系。本标准还可为服务外包企业建立数据保护机制提供可供参考的依据,提高其数据保护能力和数据安全规范管理水平和质量,最大程度降低因偶然的或者恶意的原因,遭到破坏、篡改、泄露、窃取.
11.3.8 SJ/T11565.1-2015
本标准提出了信息技术咨询服务模型、关键要素以及提供信息技术咨询服务的各类组织在这些要素方面应具备的条件和能力。本部分旨在为信息技术咨询服务供方提供评价自身能力的依据;为信息技术咨询服务需方提供评价供方的依据;为第三方提供评价信息技术咨询服务供方能力的依据。
咨询关键要素
流程、人员、方法、资源作为咨询的关键要素在咨询服务模型中进行体现,每个要素通过关键指标反映应具备的条件和能力。模型的各组成要素反映了供方基于资源、组织人员、利用方法,按照一定的流程为需方提供咨询服务。要素可用于评价或选择咨询服务供方。
(1)人员:提供咨询服务的专业人员,包括人员管理、岗位、技能、知识等。
(2)过程:提供系统建设咨询所需建立的服务过程,包括前期准备、项目启动、管理诊断、规划设计、集成实施、成果确认及交付等。
(3)方法:在提供咨询服务过程中运用的咨询架构和方法,包括咨询规划方法、参考架构模型、咨询评价方法等。
(4)资源:支持咨询规划和实施所必需的资源,包括知识库、标准库等。
本标准适用于:
(1)计划提供信息技术咨询服务的组织,建立能力体系;
(2)信息技术咨询服务供方评价自身能力;
(3)信息技术咨询服务需方评价供方;
(4)第三方评价信息技术咨询服务供方能力。
11.3.9 SJ/T11435-2016
《信息技术服务服务管理技术要求》SJ/T11435-2016 给出通用的ITSM工具功能及技术要求,提出满足客户业务需求的IT服务管理所需的ITSM工具的基本功能、高级功能等。主要提出包括对服务台、事件管理、问题管理、配置管理、变更管理、发布管理、服务级别管理、可用性管理、能力管理、连续性管理等具体的功能要求,并包含ITSM工具的体系结构、功能要求、接口要求、技术要求等规范,重点对客户所需的ITSM各流程的基本功能、高级功能、可选功能要求进行说明。
标准主要内容
1. 管理信息流
信息技术服务管理的对象是信息技术服务,实施管理的目的是确保提供符合服务级别协议的服务。信息技术服务管理需要保障相关管理信息流能够在管理对象与管理主体之间有效流动,令管理主体能够获得对象的相关信息,做出响应,确保服务级别协议的达成。
在管理主体与管理对象之间的管理信息流可被分为支持流与管控流两种,如图11.14所示。
信息技术服务管理的核心技术包括监控管理技术、过程管理技术和决策支撑技术。提出这些技术要求的目标是确保信息技术服务管理中的管理信息流能够:
(1)不同层次间存在互相支撑的信息流动。
(2)正确的信息流动到正确的层次。
(3)通过管理信息流能够让所有层次相互协调,协同工作。
管理信息流框架图能够说明管理信息如何流动,能够确保所有层次协同工作。
2. 总体框架
信息技术服务管理技术要求总体框架(如图11.15所示)说明了在信息技术服务管理中涉及要素之间的关系:
(1)管理主体通过管理过程对管理对象实施管理;
(2)管理过程包括监控管理、过程管理和决策支撑;
(3)管理主体包括需方与供方;
(4)管理对象包括资源对象、人员对象和过程对象。
信息技术服务管理主体包括需方和供方。信息技术服务管理对象包括资源对象、人员对象和过程对象。资源对象包括IT基础设施和应用系统,人员对象是指服务的执行人员,过程对象是指事件、问题、变更、配置和发布管理过程。管理行为包括监控管理、过程管理和决策支撑。
信息技术服务管理宜从监控管理、过程管理和决策支撑三个层面构建信息技术服务管理技术要求。
(1)监控管理:
监控管理面向管理对象和过程管理,目的是明确信息技术服务管理目标,并向上层过程管理传递管理对象相关状态信息,是信息技术服务管理的基础。其技术要求包括管理对象信息的采集、存储和传输。
(2)过程管理:
过程管理负责服务过程的控制和执行,是信息技术服务管理的核心。其技术要求包括过程控制活动、关键指标的获取、过程间的信息交互和过程流转。
(3)决策支撑:
决策支撑面向过程管理和管理主体,通过对过程管理的关键指标和交互信息进行统计分析,归结出相关评价数据,提供给管理主体完成决策;对过程管理提供指导,实现信息技术服务的持续改进,是信息技术服务管理的目标体现。其技术要求包括通过服务运营水平和服务运营要素的分析获得关键管理指标,帮助服务管理形成质量评价与财务评价,产生过程改进决策。
3. 信息接口技术要求
从标准实施的角度出发,接口仅涉及数据集成接口,对不同层次间的集成数据提出了要求,没有要求具体的实现方法。
接口包括两个层次:
(1)监控管理与过程管理之间的信息交互。
(2)过程管理向决策支撑的信息传递。
监控管理与过程管理间接口对三种接口作了规范:双向配置接口、从监控到过程的单向告警和性能接口。
过程管理与决策支撑之间对十种接口作了规范:事件信息传递接口、问题信息传递接口、变更信息传递接口、发布信息传递接口、服务级别信息传递接口、可用性信息传递接口、能力信息传递接口、持续性信息传递接口、业务关系信息传递接口和服务台信息传递接口。
本标准适用于:
(1)为供方提供一个参考依据来指导其信息技术服务管理,并为需方提供依据来选择和评价供方的服务管理能力和水平。
(2)为供方提供一个实施指南来指导其信息技术服务管理。
(3)指导供方开发信息技术服务管理工具、需方选择信息技术服务管理工具、第三方机构测试信息技术服务管理工具。
11.3.10 SJ/T11623-2016
《信息技术服务从业人员能力规范》SJ/T11623-2016是信息技术服务职业能力管理的基本准则,是科学化、规范化、专业化的职业能力管理标准。
该标准是以职业活动为导向、以职业技能为核心,依据相关的国际、国内标准、法规,参照国际、国内通行的职业能力标准,构建信息技术服务行业职业技能标准体系。
1. 标准架构
该标准是泛指信息技术服务业的职业能力标准。信息技术服务业的职业种类因工作类型的不同,纷繁复杂,各具不同的工作性质。但是,各个不同的职业种类,具有一些相同的共性,职业技能的规范化、科学化、专业化和标准化,应制定统一的规则。
该标准规范了信息技术服务从业人员职业能力的共性,制定了各个不同职业种类应遵循的同一的规则和依据,保证了信息服务业职业技能要求的关联性和持续性,并分别根据各个职业种类不同的特点、市场需求和职业发展情况,定义了相应的知识、技能和经验等应遵循的准则。
2. 能力模型
该标准依据信息技术服务行业发展的要求,将信息技术服务从业人员能力划分为知识、技能和经验三个维度,如图11.16所示。
其中,知识包括:基础知识、专业知识和相关知识,技能包括基本技能、专业技能和行为技能。
3. 职业种类
职业种类是制定该标准的基础。职业种类具有工作性质的同一性,然而,信息技术服务业职业种类纷繁复杂,在发展过程中不断分化、融合。职业种类划分并没有权威的、统一的标准,国内信息技术服务业的发展,具有鲜明的中国特色。职业种类的划分,应该既符合中国的职业特点,又与国际发展相接轨,标准结合了GB/T29264-2012《信息技术服务分类与代码》中相应信息技术服务业务的划分,将职业种类分为9个大类,如表11.5所示。
| 序号 | 职业种类 | 序号 | 职业种类 |
|---|---|---|---|
| 01 | 信息技术咨询服务 | 06 | 运营服务 |
| 02 | 设计与开发服务 | 07 | 数字内容服务 |
| 03 | 信息系统集成实施服务 | 08 | 呼叫中心服务 |
| 04 | 运行维护服务 | 09 | 其他信息技术服务 |
| 05 | 数据处理和存储服务 |
4. 职业等级
人社厅发[2012]72号《国家职业技能标准编制技术规程》将职业资格分为5个等级,规程更多地从技术工人的能力水平出发,考虑了技工层面的职业等级划分,而该标准根据我国信息技术服务行业特点、市场需求、职业种类的不同,以及知识、技能和经验的不同要求,将职业资格划分为6个等级,更加突出了信息技术服务从业人员高技术、高创新性的特点,强调了高级技术从业人员(高级架构设计、高级项目经理等)对于信息技术服务行业的重要性和引领作用。基于职业能力标准,通过客观公正、科学规范的评价和鉴定从业人员的能力水平,并授予合格者相应的职业资格等级。该标准职业等级划分如表11.6所示。
| 职业等级 | 等级要求 |
|---|---|
| 6级(高级) | 能运用职业种类所需的知识和技能,独立完成高度复杂的工作,精通关键的专业技能,并在专业技能方面有革新,能够在专业领域内提供有效的专业技能指导,具有相当丰富的工作经验 |
| 5级(高级) | 能运用职业种类所需的知识和技能,独立完成复杂的工作,掌握关键的专业技能,并在专业技能方面有一定创新,能够在专业领域内提供一定的专业技能指导,具有丰富的工作经验 |
| 4级(中级) | 能运用职业种类所需的知识和技能,独立完成较为复杂的工作,具备指导他人工作的能力,具有一定的工作经验 |
| 3级(中级) | 能运用职业种类所需的知识和技能,独立完成所承担的工作,具有一定的工作经验 |
| 2级(初级) | 能运用职业种类所需的知识和技能,在他人的指导下完成所承担的工作,并具有一定独立工作能力,具有一定的实践经历 |
| 1级(初级) | 能运用职业种类所需的知识和技能,在他人的指导下完成所承担的工作 |
5. 能力评价
能力评价是组织及第三方机构对信息技术服务从业人员职业能力水平的考核活动。该标准根据职业特点,确定了职业能力评价的内容为知识、技能和经验的测量和评价,并根据不同职业种类及职业特点,分别采用考试(包括知识考试、技能考试)、履历鉴定和面试等考核方法,评估和判断职业能力水平。
6. 人员培养
该标准围绕信息技术服务从业人员的职业能力要求明确了培养内容、方式及阶段,并根据不同职业能力发展阶段提出了从业人员能力培养地图,如图11.17所示,为组织或处于不同阶段的人员提供了能力培养的路径和指导。
7. 方法学的实践推广
该标准围绕信息技术服务从业人员的职业能力需要,提出了职业种类、能力标准、能力评价方法和能力培养模式等方法学,同时以附录等方式对方法学在组织内的落地实施予以指导,使组织能够更加有效地依据本标准构建体系、实施评价和发展能力。
11.3.11 ITSS运维能力成熟度模型
ITSS运维服务能力成熟度模型的建立,参考了信息技术服务领域有关成熟度的各类模型,它是反映运维服务能力水平的框架。该模型按照运维服务组织能力建设和管理的发展历程,定义了逐步进化的四个等级,自低向高分别为基本级、拓展级、改进(协同)级和提升(量化)级。每个能力成熟度等级都由能力管理和能力四要素(人员、过程、技术和资源)组成,随着能力成熟度等级自低向高的提升,对这五方面的实施程度也规定了逐步提高的管理要求,如图11.18所示。
成熟度等级的设定表明,运维服务能力水平的提升是通过渐进的方式实现的,较高的成熟度等级涵盖了低等级的全部要求,成熟度等级不可跨级,即较高的成熟度等级必然以低成熟度等级为基础。
运维服务能力成熟度的基本级和拓展级以GB/T28827.1—2012《信息技术服务运行维护第1部分:通用要求》为基础提出成熟度要求。运维服务组织通过改进服务能力管理水平,达到基本级和拓展级要求,表明该组织的运维服务能力管理已达到基础成熟度水平。运维服务能力成熟度的改进(协同)级和提升(量化)级,模型以GB/T28827.1—2012《信息技术服务运行维护第1部分:通用要求》为基础并融合运维系列标准扩展了能力管理要素。运维服务组织基于业务发展的需要达到改进(协同)级和提升(量化)级,表明其运维服务能力管理已达到较高的成熟度水平。运维服务能力成熟度模型在实践中为运维服务组织持续深化服务能力建设,提供了路线图和方法论。
ITSS运行维护服务能力成熟度模型作为我国自主研发的管理理论和最佳实践集合,针对IT服务的能力管理、人员、过程、资源和技术等方面进行了规范和引导。该模型于2015年2月正式发布,同时中国电子工业标准化技术协会信息技术服务分会发文,从2015年3月1日起,开展ITSS.1—2015《信息技术服务运行维护服务能力成熟度模型》的应用工作,以及针对运维服务供方开展的符合性评估工作。