IT服务管理之可持续性管理.docx

IT服务的可持续性管理 在当今服务导向的业务环境下，企业业务持续运作的能力，在很大程度上决定了其在市场上的竞争优势。对那些业务运作较多地依赖于IT的企业而言，IT服务持续运作的能力则成为决定企业竞争优势的直接因素。尤其是在发生重大灾难的情况下，如何确保IT服务运作的持续性，是值得IT服务管理人员特别关注的问题。 显而易见的是，信息系统对于现代企业来说越来越重要，并逐步成为现代企业生存运转的命脉。而火灾、水灾、爆炸、地震、雷击或设备线路故障等自然原因，以及黑客破坏、人为破坏等非自然原因引起的各种灾难，时刻萦绕在企业周围，使企业无法做到高枕无忧。另一方面，IT系统变更也是导致服务中断的主要原因之一，这类变更小到软件系统的升级，大到数据中心的整体搬迁。 IT服务持续性管理概述及目标： ITSCM，即IT服务持续性管理（IT Service Continuity Management），是指负责预防灾难发生、增强IT基础架构的恢复能力（Resilience）和容错能力（Fault Tolerance），并在灾难发生后迅速恢复IT服务正常运作的服务管理流程。IT服务持续性管理需要确保组织在灾难发生后有足够的技术、财务和管理资源来维持IT服务的持续运作。 BCM，即业务持续性管理（Business Continuity Management），是指将业务运作所面临的风险控制在最低水平，以及在业务运作中断后立即恢复业务运作的业务管理流程。组织实施这一流程的根本目的在于确保组织业务的持续运作，其关注的对象是所有影响组织业务持续运作的因素。 目标：确保业务运作所需的 IT基础架构和IT服务在灾难发生后在限定的时间内能够得到恢复，从而对组织的总体业务持续性管理（BCM）提供支持。 效益：可以对恢复他们的系统进行管理；减少服务不可用的时间，从而为用户提供了更好的持续性；可以最小化业务活动的终端。 IT服务持续性管理的流程 IT服务持续性管理流程模型： 保证 保证 教育 和培训 评价 和审计 测试 变更管理 阶段4 ： 运作管理 执行初始测试 开发恢复计划和程序 实施备用方案和降低风险措施 组织和实施规则 IT服务持续性策略 风险评估 业务影响分析 阶段3 ： 实施 定义ITSM的范围 阶段2 ： 需求分析和战略规划 阶段1 ：启动 与其他流程的关系： 服务级别管理、可用性管理、配置管理、能力管理、变更管理。如下图所示： IT服务持续性管理的活动 确定IT服务持续性管理的范围 业务影响度分析 风险评估 服务持续性战略 组织和实施规划 预防措施和恢复方案 制定恢复计划和程序 初始测试 培养和意识培养 评价和审查 测试 变更管理 保证 IT服务持续性管理的流程控制 有效的流程控制取决于：关键成功因素、管理报告、关键绩效指标。 关键成功因素： 有效的配置管理流程 整个组织的支持和承诺 最新的和有效的工具 对流程中涉及的所有人员进行专门的培训 对恢复计划进行定期测试 绩效指标： 确认的恢复计划中的缺点的数量 由于灾难所导致的收益减少 流程的成本 管理报告： 有关灾难发生原因及影响 如何成功应付的报告 恢复计划测试的评价报告 IT服务持续性管理的成本和可能产生的问题 成本： 发起、开发和实施ITSCM的时间和成本 与引入风险管理有关的投资 恢复安排的后续成本 IT服务持续性管理的日常运作成本 可能产生的问题： 资源 管理层承诺 获得恢复设施 估计损害 预算 得不到业务经理的支持 无限期推迟 失盲（Black Boxing） IT部门 熟悉业务 意识的缺乏 职责和角色 作为“保健医生”的ITSCM 为了避免灾难的发生导致IT服务的中断，IT服务持续性管理需要对支持关键业务流程的IT服务项目实施“保健”措施，即找出灾难发生可能性较大的环节，并制定相应的预防措施。这就好比对健康的人实施一定的保健和预防措施，以避免疾病的发生。具体来说，IT服务持续性管理实施“保健”措施主要有以下两项基本活动： 实施业务影响分析（BIA，Business Impact Analysis） 为了主动地实施持续性管理，管理人员需要确定当灾难或其他因素导致IT服务中断时，组织能够承受损失的最大程度及损失扩散的速度。通过业务影响分析可以帮助IT持续性管理人员了解哪些属于关键业务流程、关键业务流程发生中断可能对组织产生的损害或损失、服务中断发生后危害或损失程度的变化趋势等方面的信息，从而有助于实施风险评估。 实施风险评估（Risk Assessment） 实施风险评估可以帮助识别IT服务运作过程中存在的具体风险，从而明确相关的薄弱环节和存在的威胁。风险评估包括风险分析（Risk Analysis）和风险管理（Risk Management）两个环节。如图1所示。风险分析主要负责识别和评价IT组