浅议基于ITIL规范运维保障体系在企业中建设及应用.docVIP

浅议基于ITIL规范运维保障体系在企业中建设及应用摘要：该文通过对质量管理体系、ITIL和信息系统安全等级保护三套标准进行分析，提出了一种以质量管理体系为框架，ITIL流程控制为主线，等级保护管理标准为保障的综合运维保障体系建设方法。并通过梳理实施过程中各项主要工作的关系，根据分段实施、稳步推进原则，总结了一条可操作、可落地的规范运维保障体系实施路线。 关键词：质量管理；规范运维；企业 中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）09-2028-03 大多企业经过十余年的信息化发展，大规模的信息化建设基本完成，即将面临着长期的系统运行维护的问题。但与信息系统建设的较高水平相比，还普遍存在IT服务管理较弱的问题，缺乏有效的管理手段与方法，这就使信息化的投入充满了很大的不确定性，也使信息化效果很难控制。因此，如何对企业庞大的技术系统进行科学、高效的管理，从而发挥它的最大效能，降低运营成本，是当前企业信息化过程中必须面对的挑战。 1 三套标准在运维体系中的适用性分析 ISO9000质量管理体系标准在各企业和单位中的运用非常广泛，是对整个单位运作、服务过程进行质量控制管理的体系，通过质量手册、文件控制、记录控制等方面为管理对象的实施提供指导，侧重于对宏观运作流程的控制，但不包括各专业业务层面的特定要求。 ITIL作为一种以流程为基础、以客户为导向的IT服务管理指导框架，它摆脱了传统IT管理以技术管理为焦点的弊端，实现了从技术管理到流程管理，再到服务管理的转化，适用于IT服务管理和服务流程的控制。 等级保护管理体系是对信息系统的科学、安全运行进行监督和控制的体系，从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面为信息安全专业层面提供指导，适用于运作流程中各节点的安全控制。其中的保护等级划分，也为信息安全投入和安全保障水平提供了平衡点。 对于已经实施ISO9000的单位，信息化职能部门在ISO9000贯彻实施时往往与自身信息化业务无法融合，即便进行了融合也常以信息化的一般性运维工作为主，没有考虑规范化安全运维工作在整个单位和组织质量控制体系中的重要性。因此将ITIL、等级保护思路与ISO9000融合，即可具体落实ISO9000体系中的流程控制，也可以弥补等级保护在体系要求、文件控制和记录控制等方面的薄弱环节，同时完善ISO9000体系中对信息安全领域的专业性，最终形成以质量管理体系为框架，ITIL流程控制为主线，等级保护管理标准为保障的综合运维保障体系。 2 规范运维保障体系架构设计与文件体系建设 结合三套标准的特点进行运维管理架构设计时，在体系结构层面要考虑运维体系的建设周期、各标准在运维体系中所处的层次、每个层次要达到的要求及PDCA方法论等。在服务流程层面要考虑结合企业的现状，IT服务支持模式和管理流程及最佳实践等。在具体操作层面要考虑响应方式、实现工具、安全要求、监控方法等。将三大标准体系体系结构层面设计：在整个运维生命周期中，包括运维体系建设、运维支持管理、运维成效管理及运维持续改进四个阶段。这四个阶段形成一个PDCA持续改进的管理循环。通过建立检查、反馈机制，对信息安全管理体系运行情况进行监督和控制，建立动态调整机制，确保信息安全管理体系符合新形势、新技术发展要求。 服务流程层面设计：系统运维的服务流程是信息化工作部门和服务供应商向业务部门的服务交付和支持过程，通过建立“一站式”的服务台和规范的流程程序，提高IT部门对事件的响应能力和IT运维工作的规范性，防范手工方式出现对用户请求的遗忘，以及非规范的操作引起的系统风险，同时要帮助信息化工作部门实现运维知识的积累和共享，提升运维和管理的整体水平。 具体操作层面设计：在系统运行维护中，各项工作（事件、变更等）的处理程序、操作步骤、完成时限及服务要求等，均要制订相应的标准和规范，在涉及安全管控点时，可通过建立符合信息系统等级保护要求的安全配置基线，统一信息系统建设和运行技术配置标准。 按照上述三个层面之间的关系，落实到文件体系中时，可以质量管理体系为总体框架，将体系文件分为三个级别：一级程序文件为纲领性文件，用于描述整个体系架构运作流程和运维方针策略。主要包括信息化建设与管理程序，信息系统运维管理程序，涵盖信息化建设与运维全过程。二级程序文件按ITIL流程管理为主线，为一级程序提供可操作的流程化文件。主要包括：项目管理、事件管理、问题管理、配置管理、发布管理、变更管理、应急管理等流程。三级流程涉及具体操作规范，落实二级流程文件中涉及的各方面运维和安全管理内容。主要包括：沟通管理、授权与审批管理、文件规范性管理、介质管理、资产管理、网络管理、系