集团化IT服务管理方案.ppt

信息安全管理的发展，通常从无意识地对信息安全的管理开始。这些活动包括在系统集成以及运维过程中，包括对用户身份、权限、账号和密码等的管理。 本图示意了从组织有意识地对信息安全进行管理开始，一直到建立完成信息安全管理体系(ISMS)，并持续运行为止。 这里的安全评估和安全加固，是指传统的安全技术服务。往往是基于安全技术及产品。安全评估通过漏洞扫描、渗透性测试以及人工评估技术漏洞，然后通过修改技术架构、建立安全域和访问控制策略，以及采购网络及安全产品来完成对系统的加固。由于安全评估以发现漏洞为主，通常没有将漏洞与风险的大小和可接受程度进行关联，因此往往这种采购和加固的目标不够明确。 这些服务，往往围绕着安全和网络产品的销售进行，最终目的是销售安全产品。 下面的过程，基于实际情况略有不同。有些组织的风险评估和体系规划，是纳入到ISMS的建设过程中。而有些组织，则把风险评估和体系规划，作为单独的活动先开始。 以下会将信息安全管理的活动，与利害相关方，以及每个活动的服务要素使用表格分别展示。基于对利害干系人及服务要素的分析，可以得出针对组织不同的信息安全需求，可能的竞争对手、合作伙伴以及服务中客户关注的服务要素。基于这些分析结论，在第二章的业务拓展策略中，才能够有针对性地建立合作伙伴策略以及应对竞争对手的措施，并且通过变更当前咨询服务以及开发新服务的方式，ERS部门可以设计新的服务产品，系统性地应对当前市场的信息安全需求。 (此分析方法，参考了ITIL V3的Service Strategy and Service Design 的方法论，以及市场营销理论中的市场拓展策略。) * * * * 应用开发包括核心系统开发、办公自动化等； 系统集成包括软硬件集成、硬件采购、机房建设等； 体系建设包括与管理相关的改进，流程重组、安全、IT服务体系建设等 绩效管理包括体系绩效以及部门和人员绩效。体系绩效通常基于KGI及KPI进行，衡量整体体系及相应流程的有效性。部门人员绩效可基于KPI、MBO以及人员软技能进行 。 * 过渡： 其实IT相当难管理，我以前做过一家小公司的IT经理，事情繁杂、离不开IT，但是又不重视IT。 那时候一方面从公司的角度，经常有公司老总、各部门经理找我，当然，大多数情况是提要求，另一方面，我有４名同事，有两位还比较年轻，怎么分配任务、怎么让我们自身的管理越来越好，对我来说，一直都是很大的困扰。 而在我们这么大的央企，集团化公司，我相信IT管理的压力更不是一般的大。 * * * * * 过渡： 其实IT相当难管理，我以前做过一家小公司的IT经理，事情繁杂、离不开IT，但是又不重视IT。 那时候一方面从公司的角度，经常有公司老总、各部门经理找我，当然，大多数情况是提要求，另一方面，我有４名同事，有两位还比较年轻，怎么分配任务、怎么让我们自身的管理越来越好，对我来说，一直都是很大的困扰。 而在我们这么大的央企，集团化公司，我相信IT管理的压力更不是一般的大。 * * * 中海油　08年总收入　1983亿人民币，按6.8汇率，是291亿美金 * * 案例7 – 业务持续性管理 * 项目背景及工作内容： 为了提升市场竞争力，该银行邀请德勤，基于银行对于风险控制的战略要求，以风险战略、银行运营核心价值为出发点，结合其全面风险管理规划，对银行的业务连续性管理（BCM）工作进行整体规划，以建立稳定可靠的业务运行环境，满足监会的《商业银行操作风险管理指引》和巴塞尔新资本协议当中的高级业务连续性经营原则的要求。 我们在项目中在现状分析的基础上，协助客户完善了相关治理架构及职能，并提出了相应的BCM管理办法。随后通过对主要业务、技术、环境与管理的影响性分析和风险评估，考虑组织的业务发展情况、信息化建设等情况，系统地规划危机管理的有效组织与报告，业务连续性计划的业务优先级划分与紧急恢复步骤，以及灾难恢复计划中关于重要系统、资源及场所的恢复策略及措施。 客户: 五大国有商业银行之一 项目: 业务持续性管理 ?2010，德勤华永会计师事务所有限公司 案例7 – 业务持续性管理（续） * 项目收益： 满足监管部门对于业务持续性管理的要求； 通过建立和实施完备的业务连续性管理架构，银行将确保可能的运营中断损失被控制在银行可承受的范围之内；银行的核心运营流程将不会因重大的操作风险事件（如天灾、罢工、重大疫情、系统宕机等）而遭受严重的人员、财产与收益损失。 客户: 五大国有商业银行之一 项目: 业务持续性管理 ?2010，德勤华永会计师事务所有限公司 案例8 - 信息科技外包风险管理 * 项目背景及工作内容： 该项目是国内金融行业第一个关于IT外包风险管理方面的专项咨询项目。德勤在项目中协助银行建立了满足银监会《商业银行信息科技风险管理