信息系统运维服务管理.ppt

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,信息系统运维服务管理,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,信息系统运维服务管理,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,信息系统运维服务管理,*,信息系统运维服务管理,第,3,章 信息技术治理和信息技术服务标准,在信息技术发展的过程中，出现了许多信息系统管理的框架、模型和架构，有的成为了信息行业事实上的标准，有的成为了公认的国际标准。由于不可能存在一个全能的信息系统管理框架普遍适用于所有的情形，因此，如何理解这些公认的最佳实践框架就是一个人们十分感兴趣的课题。,主要内容,（,1,）企业信息化战略规划和信息技术治理。,（,2,）信息系统审计标准：,COBIT,。,（,3,）信息安全管理标准：,BS7799,、,ISO/IEC 17799,和,ISO/IEC 27001,。,（,4,）信息技术治理标准：,ISO/IEC 38500,。,（,5,）信息技术服务管理标准：,ISO/IEC 20000,。,2,信息系统运维服务管理,公司治理的概念,公司治理是通过有效制度约束、激励机制，协调企业内外部不同利益关系者之间的行为。,公司治理问题是由所有权和经营权的分离而引起的，合理配置权利和义务是公司治理的主要内容，其目的是增加公司信息披露的透明度，最大限度保护股东和投资人的权益。,3,信息系统运维服务管理,企业信息化战略规划的定义,企业信息化战略规划是指在企业发展战略目标的指导下，在理解企业发展战略目标与业务规划的基础上，诊断、分析、评估企业管理和信息技术现状，优化企业业务流程，结合所属行业信息化方面的实践经验和对最新信息技术发展趋势的掌握，提出企业信息化建设的远景、目标和战略，制定企业信息化的系统架构、确定信息系统各部分的逻辑关系，以及具体信息系统的架构设计、选型和实施策略，对信息化目标和内容进行整体规划，全面系统地指导企业信息化的进程，协调发展地进行企业信息技术的应用，及时地满足企业发展的需要，以及有效充分地利用企业的资源，以促进企业战略目标的实现，满足企业可持续发展的需要。,企业信息化战略规划在时间上的跨度一般是三到五年，每年要根据企业面临的新环境、企业的新发展和技术上的新趋势等因素对其做出调整和完善。信息化战略规划是信息化建设的基本纲领和总体指向，是信息系统设计和实施的前提与依据。,4,信息系统运维服务管理,企业信息化战略规划的原则,（,1,）与企业战略相一致原则,（,2,）与企业发展相配合原则,（,3,）整体规划原则,（,4,）系统集成一体化原则,5,信息系统运维服务管理,企业信息化战略规划的作用,企业信息化不仅是一项技术，而更是一种管理理念，是建立现代化企业管理制度的基础与必要条件。企业信息化战略规划的作用主要有以下几方面：,（,1,）对企业战略的实现给予信息技术的有力支持和保证。,（,2,）提升管理水平，与国际化、现代化企业管理制度接轨。,（,3,）实现企业资源利用最大化，形成核心竞争力。,（,4,）弥补管理漏洞，提高企业各层级执行效率。,（,5,）建立科学化预算、经营、分析体系，规避财务风险。,（,6,）建立系统化营销体系和客户服务体系，提高企业的市场,获取和维系能力。,（,7,）建立规范化渠道管理模式，有效掌控、驾驭渠道资源。,（,8,）建立有效的市场预警体系。,（,9,）提高企业经营决策定位的准确性和全面性。,（,10,）提高企业效率，降低经营成本。,6,信息系统运维服务管理,企业信息化战略规划的步骤,（,1,）明确企业信息化战略思想,（,2,）借助第三方信息化咨询机构,（,3,）企业动态环境分析,（,4,）制定企业信息化战略目标,（,5,）制定企业信息化战略方案,（,6,）实施企业信息化战略,（,7,）控制企业信息化战略实施过程,7,信息系统运维服务管理,信息安全的定义,信息安全是指保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。,凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论，都是信息安全所要研究的范畴，也是信息安全所要实现的目标。,在商业和经济领域，信息安全主要强调的是消减并控制风险，保持业务操作的连续性，并将风险造成的损失和影响降低到最低程度。,8,信息系统运维服务管理,信息安全的风险和基本目标,1,、信息安全面临的最普遍的三类风险：,（,1,）信息泄漏、,（,2,）信息篡改,（,3,）信息破坏,2,、信息安全主要目标：,（,1,）保密性,（,2,）完整性,（,3,）可用性,（,4,）信息可追溯性,（,5,）抗抵赖性,（,6,）真实性,（,7,）可控性,9,信息系统运维服务管理,信息安全整体规划的制定,企业在信息安全建设方面要制定较长期（例如,2,3,年）的整体规划，明确信息安全目标和原则，发掘信息安全需求，落实信息安全组织和责任，做好阶段计划和成果诉求。内容包括：,（,1,）目标,（,2,）对象,（,3,）规范,（,4,）流程,10,信息系统运维服务管理,信息技术治理的定义,信息技术治理,（,Information Technology Governance,，,ITG,）,是指专注于信息技术体系及其绩效和风险管理的一组治理规则，由领导关系、组织结构和过程组成，以确保信息技术能够支撑组织的战略目标。它是使参与信息化过程的各方利益最大化的制度措施，也是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。,其主要任务是保持企业信息化与业务目标一致，推动业务发展，促使收益最大化，合理利用信息资源，以及信息系统相关风险的适当管理。,11,信息系统运维服务管理,信息技术治理的目标,明确信息技术治理的目标将帮助管理层树立以组织战略为导向，以外界环境为依据，以业务与,IT,整合为中心的观念，正确定位信息技术部门在整个组织中的作用。信息技术治理目标主要有：,（,1,）与业务目标一致,（,2,）有效利用信息资源,（,3,）风险管理,12,信息系统运维服务管理,信息技术治理的流程,交付,价值,管理,资源,控制,风险,锁定,目标,衡量,绩效,信息技术治理,（,IT,治理）,13,信息系统运维服务管理,信息技术治理的作用,信息技术治理可以解决企业以下几个方面的问题：,（,1,）发现信息系统本身的问题,（,2,）有助于提高企业的灵活性和适应性,（,3,）自我评估信息系统管理的效果,14,信息系统运维服务管理,信息技术治理的设计框架,信息技术治理侧重于建立整个企业信息系统运作的规范和框架，以此监控企业信息化战略的制定和机构的建立，以便组织实施，保证企业信息系统的运营始终处在正确的轨道上。,企业战略,和组织,IT,组织和,期望行为,信息技术治理安排,信息技术治理机制,IT,决策,原则,架构,基础设施,应用,投资,企业绩效,目标,IT,指标,和责任,15,信息系统运维服务管理,信息技术治理与管理的关系,管理强调的是“做正确的事”，即计划、组织、领导、监督。,治理更多强调的是通过组织架构、权力分配等制度安排，来,实现不同利益相关者之间的相互制衡。,实质上这二者之间并没有严格的边界，尤其是在大型上市公,司中，治理与管理总是同时存在，互相促进，以实现股东利益的,最大化。这好比是一个硬币的两面，谁也不能脱离谁而存在。,信息技术治理是信息系统管理的基石，某种意义上可认为信,息技术治理比信息系统管理更重要。如果没有好的公司治理（约,束和激励）机制，公司管理的好是偶然的，管理不好是必然的；,同样，对于企业信息系统而言，如果存在好的信息技术治理机，,信息系统管理的好就是必然的、管理不好是偶然的。,16,信息系统运维服务管理,与信息技术治理和管理相关的主要标准,序,号,标准,名称,标准类型,关注重点,内容比较,1,COBIT,面向,IT,审计的,IT,管理标准,IT,控制、度量和审计,注重控制和度量，缺乏安全管理的流程，重点是,IT,组织管理规范流程。,2,ITIL,事实上的标准,以流程为核心的管理架构,由最佳实践形成的,IT,过程管理，主要适用于信息技术服务管理（,ITSM,）,3,BS7799,信息安全管理标准,信息安全,关注信息安全管理，辅助企业创建有效的信息系统安全计划和方案,4,ISO20000,信息技术服务管理的国际标准,信息技术服务管理（,ITSM,）,是在,ITIL,基础上形成的国际标准,5,ISO 8500,IT,治理的国际标准,IT,治理的测评,有效的,IT,治理范围、技术与业务沟通，以及相关术语表,17,信息系统运维服务管理,信息系统审计治理标准（,COBIT,）,信息系统与相关技术控制目标（,Control Objectives for Information and related Technology,，,COBIT,）既是目前国际上通用的信息系统审计标准，也是一个在国际上公认的信息技术治理和管理框架，已经为世界上一百多个国家的政府部门、企业所采用，被用于指导这些组织有效地利用信息资源，有效地管理与信息系统相关的风险。,COBIT v5.0,能够为企业使信息系统在整体上得以治理和管理，并承担整个端到端业务和信息系统功能区域的责任，同时兼顾内、外部利益相关者与,IT,部门相关的利益。,COBIT,具有很好的通用性，能够适用于各种规模的组织和机构，包括商务、非营利或公共机构等。,COBIT,可应用在所有的企业信息系统，包括了个人计算机、小型计算机、大型主机和分布式运算环境，它建立在一个信息技术资源必须被一套自然分类的程序所管理的想法上，而这种想法是为了要能提供组织要达成目标的适当且可靠的信息。,18,信息系统运维服务管理,COBIT,的发展历程,（,1,）审计框架阶段：,1996,年,COBIT v1.0,作为一个审计框架被提出。,（,2,）控制框架阶段：,1998,年,COBIT v2.0,在增加了控制目标和实施工具集后,出版，是一个控制框架。,（,3,）管理框架阶段：,2000,年,COBIT v3.0,在增加了管理方针和其他详细控制,目标后出版，是一个管理框架。,（,4,）治理框架阶段：,2005,年,COBIT v4.0,在第三版的基础上进行了重大更,新，更加注重帮助董事会和员工应对不断增加的职,责，是一个彻底的,IT,治理架构。,（,5,）整合框架阶段：,2012,年,4,月,10,日，,ITGI,正式发布,COBIT v5.0,，这是它发,展,16,年来最重大的一次改进。该框架中提供了全球广,泛认可的原则、最佳实践、分析工具和模型，可帮助,组织获得对信息系统的信任并从中产生价值。,19,信息系统运维服务管理,COBIT,的主要内容,COBIT,覆盖了信息系统的整个生命周期，即从系统分析设计、开发实施到运营维护的整个过程，其视野是最为开阔的。,（,1,）在分析设计阶段,COBIT,主要是考察组织的需求，并根据这些需求设计合理的资源组合，设立合理的服务级别，以确保能提供满足客户需求的信息技术服务。,（,2,）在信息技术服务管理的阶段,COBIT,主要解决的问题包括为满足客户的需要提供哪些资源，这些资源之间的成本是多少，如何在信息技术服务成本和服务的效益之间达到一个恰当的平衡点。,（,3,）,COBIT,指导企业管理层对信息系统运营进行外部控制和内部审计，以确保信息系统与业务实现精确的同步协调，以及实现信息技术持续不断的应用和对信息系统持续不断的改进。,（,4,）作为信息技术治理的核心模型，,COBIT,是一个基于信息技术治理概念的、面向企业信息化建设过程的信息技术治理实现指南和审计标准。它有,6,个主要组件，归集为四个控制域，并包含,34,个信息系统过程控制，每个过程都有一个高层控制目标。在,34,个高层目标下，共有,302,个低层的具体控制目标。这些控制目标描述了一些通过具体的控制步骤可以达到的结果，为信息系统控制提供了清晰的政策。,20,信息系统运维服务管理,COBIT,的主要组件,（,1,）管理指导方针,（,2,）管理者摘要,（,3,）架构,（,4,）审计指导方针,（,5,）控制目标,（,6,）应用工具集,21,信息系统运维服务管理,COBIT,的四大领域及其,34,个,IT,程序,（,1,）,IT,规划和组织（,Planning&Organization,，,PO,）：,定义一个策略性的,IT,计划。定义信息的架构。决定采用技术的方向。定义,IT,组织及其关系。管理对,IT,的投资。管理目标和方向的沟通。管理人力资源。确保遵循外部的条件。资产风险。项目管理。品质管理。,（,2,）系统获得和实施（,Acquisition and Implementation,，,AI,）：,辨识解决方案。应用软件的取得与维护。技术架构的取得与维护。,IT,程序的发展与维护。系统的安装与确认。变革管理。,（,3,）交付与支持（,Delivery and Support,，,DS,）：,定义服务的层次。第三者提供服务的管理。效果和能力的管理。持续服务的确保。系统安全的确保。成本的确认和分摊。使用者的教育和训练。对,IT,客户的协助和建议。型态设定的管理。问题和意外事件的管理。数据的管理。相关设施的管理。运营管理。,（,4,）信息系统运行性能监控（,Monitoring,，,M,）：,流程监测。内部控制适当性的评估。自主性保证的获得。自主性审计的提供。,22,信息系统运维服务管理,国际信息系统审计师认证,国际信息系统审计师（,Certified Information Systems Auditor,，,CISA,）认证是由信息系统审计与控制协会（,ISACA,）发起的，是信息系统审计、控制与安全等专业领域中取得公认成绩的象征，拥有,CISA,资格证书说明持证人已经具备了国际上认可的实践能力和专业水平。,随着对信息系统审计、控制与安全专业人士需求的增长，,CISA,已成为全球范围内个人与公司机构不可或缺的认证，它还为持证人带来相当的职业成就和经济利益。例如，美国电子签章法案要求具有,CISA,资格的人员才能执行独立性审计，以确认其安全管理的有效性，由此足见,CISA,的市场前景。,CISA,认证已有十多年的历史，它适用于企业信息系统管理人员、,IT,审计人员和其他对信息系统审计感兴趣的人员，以及信息化咨询顾问、信息安全厂商、信息技术服务提供商等。,23,信息系统运维服务管理,申请国际信息系统审计师认证的条件,（,1,）顺利通过,CISA,的考试。,（,2,）遵守信息系统审计与控制协会（,ISACA,）的,职业道德规范,。,（,3,）提供从事信息系统审计、控制与安全工作,5,年以上经验的证明。具有下列经验者，可申请替代部分年限，并出示适当的证明。,（,4,）具备如下资历者，可以申请替代,1,年的信息系统审计、控制与安全的工作经验要求,满,1,年的非信息系统审计工作经验，或,满,1,年的信息系统工作经验，或,具有大专学历（大学,60,个学分或同等学历）。,拥有学士学位（大学,120,个学分或同等学历）者，可以替代,2,年信息系统审计、控制与安全工作经验。,2,年相关领域（计算机科学、会计、信息系统审计等）大学专职讲师经验可以替代,1,年信息系统审计、控制与安全工作经验。无最高可替代年限限制（,6,年大学讲师经验可以替代,3,年信息系统审计、控制与安全工作的经验）。,24,信息系统运维服务管理,COBIT,在信息系统运维服务管理中的应用,1,、,COBIT,应用于,IT,运维服务管理的步骤：,按照,COBIT,运维域标准，进行信息系统运维服务流程的梳理，并在运维任务、制度和各种操作流程等方面进行规范，定义关键业务系统的相应服务级别，实施服务台管理、配置管理、问题管理、变更管理等，明确各流程之间的相互关系和人员配置，形成了一个完整、统一、相互协调的管理控制网络。,2,、,COBIT,应用于,IT,运维服务管理的作用：,（,1,）变被动为主动的管理模式,（,2,）能提高用户满意度,（,3,）变“人治”为“法治”,（,4,）建立起高效的信息系统运维机制,（,5,）能提高科学管理的决策能力,25,信息系统运维服务管理,BS7799,信息安全管理标准,BS7799,是英国标准协会（,BSI,）针对信息安全管理而制定的一个标准，最早始于,1995,年，后来被转化为国际标准。,（,1,）,BS7799,1,转化为,ISO/IEC 17799,标准,信息安全管理实施细则,，主要供负责信息安全系统开发的人员作为参考使用，其中分,11,个标题，定义了,133,项安全控制（最佳惯例）。,（,2,）,BS7799,2,转化为,ISO/IEC 2700,标准,信息安全管理体系规范,，是建立信息安全管理体系（,ISMS,）的一套规范，详细说明了建立、实施和维护信息安全管理体系的要求。,26,信息系统运维服务管理,信息安全管理体系及,ISO27001,信息安全管理体系（,ISMS,）是组织整体管理体系的一个部分，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。,ISO27001,是建立和维护信息安全管理体系的标准，它要求应该通过这样的过程来建立,ISMS,框架：确定体系范围，制定信息安全策略，明确管理职责，通过风险评估确定控制目标和控制方式。,27,信息系统运维服务管理,ISO27001,认证,实施,ISO27001,认证有两种途径：,（,1,）自己做认证 在组织内部成立专人专项工作组，按照计划自我实施。,（,2,）聘请咨询机构做认证 选择有实力的咨询机构，帮助组织完成,ISO27001,认证,28,信息系统运维服务管理,ISO/IEC 17799,标准的主要内容,ISO/IEC 17799:2005,信息安全管理实施细则,从,11,个方面定义了,133,项控制措施，可供信息安全管理体系实施者参考使用。,（,1,）安全策略 控制措施,2,个，控制目标,1,个,（,2,）组织信息安全 控制措施,1 1,个，控制目标,2,个,（,3,）资产管理 控制措施,5,个，控制目标,2,个,（,4,）人力资源安全 控制措施,9,个，控制目标,3,个,（,5,）物理和环境安全 控制措施,13,个，控制目标,2,个,（,6,）通信和操作管理 控制措施,32,个，控制目标,10,个,（,7,）访问控制 控制措施,25,个，控制目标,7,个,（,8,）信息系统获取、开发和维护 控制措施,16,个，控制目标,6,个,（,9,）信息安全事件管理 控制措施,5,个，控制目标,2,个,（,10,）业务连续性管理 控制措施,5,个，控制目标,1,个,（,11,）符合性 控制措施,1 0,个，控制目标,3,个,29,信息系统运维服务管理,ISO/IEC 17799,标准的,10,项最佳措施,（,1,）与法律相关的控制措施：,知识产权：遵守知识产权保护和软件产品保护的法律。,保护组织的记录：保护重要的记录不丢失、破坏和伪造。,数据保护和个人信息隐私：遵守所在国的数据保护法律。,（,2,）与最佳实践相关的控制措施：,信息安全策略文件：高管批准发布信息安全策略文件。,信息安全责任的分配：清晰地定义所有的信息安全责任。,信息安全意识、教育和培训：全体员工应该接受恰当的意识培训。,正确处理应用程序：防止应用程序中信息出错、损坏或篡改及误用。,漏洞管理：防止利用已发布的漏洞信息来实施破坏。,管理信息安全事件和改进：确保采取有效方法来管理信息安全事件。,业务连续性管理：减少业务活动中断，保护关键业务过程不受重大事件或灾难影响。,30,信息系统运维服务管理,ISO/IEC 27001:2005,标准的主要内容,利用,PDCA,循环方法建立开发、实施、维护并持续改进一个文档化的,ISMS,。,（,1,）建立,ISMS,（,Plan,）,（,2,）实施和操作,ISMS,（,Do,）,（,3,）监视和复查,ISMS,（,Check,）,（,4,）维护并改进,ISMS,（,Act,）,（,5,）信息安全管理体系,（,6,）管理层责任,（,7,）,ISMS,管理评审,（,8,）,ISMS,持续改进,31,信息系统运维服务管理,ISO/IEC 27001:2005,标准的主要重点,（,1,）,ISO 27001:2005,标准指出,ISMS,应该包含的主要内容有：用于组织信息资产风险管理、确保组织信息安全的及包括为制定、实施、评审和维护信息安全策略所需的组织机构、目标、职责、程序、过程和资源。,（,2,）,ISO 27001:2005,标准要求建立,ISMS,框架的过程包括制定信息安全策略，确定体系范围，明确管理职责，通过风险评估确定控制目标和控制方式。,（,3,）,ISO 27001:2005,非常强调信息安全管理过程中文件化的工作，,ISMS,的文件体系应该包括安全策略、适用性声明文件、实施安全控制所需的程序文件、,ISMS,管理和操作程序，以及组织围绕,ISMS,开展的所有活动的证明材料。,32,信息系统运维服务管理,ISO/IEC 27001:2013,新版本的改进,（,1,）旧版本以资产与技术为主体，新版本以组织业务为主体,（,2,）新版本将旧版本的,4.1,节扩展为第,4,章，对,ISMS,建立的基础进行了调整和明确；新版本增加了许多指引供企业参考，组织可以通过不同的方面以及风险进行深度的强化。,（,3,）旧版本原有,11,个领域、,133,项控制措施，新版本目前调整为,14,个领域、,113,个控制措施。新增的领域或是将原分散在各领域中的部分控制目标级别提升，组成新领域，如加密与供应链管理因其重要性而被独立出来成为新领域；或是将原有领域分拆，如将通讯与作业管理分开成两个独立的领域，以反映目前信息安全的发展趋势。而控制措施减少则是通过合并重复的项目来进行，像变更管理在不同的领域中有重复就予以合并。也有新增的控制项目，比如对智能型装置的管理，以及系统开发项目管理的信息安全要求等。,33,信息系统运维服务管理,SO/IEC 38500,的来历及其主要内容,ISO/IEC 38500:2008,标准,信息技术治理,是第一部信息技术治理国际标准，于,2008,年,4,月正式发布。它为人们提供了广泛指导方针和在组织中进行信息技术监督的实施框架，其目的是使信息技术治理成为公司治理的重要组成部分。,ISO/IEC 38500,基于澳大利亚的标准,AS 8015,，由标准化组织（,ISO,）发行。它提供了一个,IT,治理的框架，包括系统的模型、原则和词汇，用来帮助公司,IT,治理的实施。,该标准一共包括,3,个部分的内容，其中第一部分是“范围、应用和目标”；第二部分是“良好的,IT,治理框架”，介绍了,IT,治理的原则和模型；第三部分是“组织,IT,治理实施指南”，介绍了,IT,治理实施的,6,个方面的原则。,34,信息系统运维服务管理,1,ISO/IEC 38500,标准发布的目标,（,1,）确保利益相关者对于组织,IT,治理的信心。,（,2,）指导管理者治理组织的,IT,使用。,（,3,）为,IT,治理的目标评估提供了基础。,2,ISO/IEC 38500,目标读者,（,1,）高级管理者。,（,2,）组织中的资源监控团队成员。,（,3,）外部的业务或技术专家，包括法律或财务专家、行业协会及专业团体。,（,4,）硬件、软件、通讯及其他,IT,产品的厂商,（,5,）内部或外部的服务提供者（包括咨询顾问）。,（,6,）信息系统审计师。,ISO/IEC 38500,标准发布的目标,35,信息系统运维服务管理,ISO/IEC 38500,信息技术治理的原则,（,1,）职责分工,（,2,）,IT,支持组织发展,（,3,）可获得性,（,4,）可用性,（,5,）符合性,（,6,）尊重人的因素,36,信息系统运维服务管理,ISO/IEC 38500,的模型,IT,治理,业务要求,业务推动,评价,指导,监控,业务过程,IT,项目,IT,项目,IT,运行,37,信息系统运维服务管理,ISO/IEC 38500,标准的特点,（,1,）这是第一个,IT,治理国际标准。,（,2,）这个标准简短的、易读，但相关概念十分复杂。,（,3,）为信息技术治理提供了一个有效、易实施、高效的框架，,更好的将组织决策与,IT,联系起来。,（,4,）该标准中的建议与指南适用于任何形式规模的组织。,（,5,）该标准中的建议与指南不仅供管理者使用，而且组织中各,个层面的人都能读懂。,（,6,）该标准为所有关键员工提供了合适的,IT,治理基本指南。,（,7,）该标准介绍了好的治理所需要的一些特征及治理流程，但,是离真正的实施还有距离，需要其他标准的补充。,38,信息系统运维服务管理,ISO/IEC 38500,标准与,COBIT,对比,ISO/IEC 38500,COBITIT,分类,国际标准,非国际标准，是一套行为指南,发布者,国际标准化组织,信息系统审计与控制协会,最新版本,ISO/IEC38500:2008,COBIT v5.0,发布时间,2008,年,6,月,2012,年,4,月,特点,指导、评价与监控,基于控制、面向业务、流程导向、度量驱动,认证,没有认证,国际信息系统审计师（,CISA,）认证,侧重点,有效的,IT,治理范围、技术与业务沟通的相关术语表,信息化全生命周期管理,主要用途,信息技术治理的评测,风险管理与内控,39,信息系统运维服务管理,ISO/IEC 20000,标准的由来,ISO/IEC 20000,国际标准源自于英国标准协会（,British Standards Institute,，,BSI,）针对信息技术服务管理（,ITSM,）而制定的,BS15000,标准。,ISO/IEC 20000,标准第一个版本是由国际标准化组织（,ISO,）于,2005,年发布的，该国际标准的发布预示着信息技术服务管理（,ITSM,）进入到一个全新时代，建立以,ISO/IEC 20000,标准为基础的信息技术服务（,ITS,）管理体系，成为企业提高信息技术服务水平与管理能力的主要方向。,40,信息系统运维服务管理,ISO/IEC 20000,标准的发展,（,1,）第一部分，,ISO/IEC 20000-1,：,2005“,服务管理系统需求”，规范了信息技术服务过程包含的,13,个流程，是认证的依据。,2011,年,4,月,12,日,ISO,发布了最新版本,ISO/IEC 20000-1,：,2011,，在,2005,版本的基础上，融合了,ISO/IEC 9001,、,ISO/IEC 27001,和,ITIL v3,。,（,2,）第二部分，,ISO/IEC 20000-2,：,2005“,服务管理系统应用指南”，涉及,ITSM,过程的最佳实践指南。,2012,年,2,月,14,日,ISO,发布,ISO/IEC 20000-2,：,2012,版本，有助于更加准确地理解和有效使用,ISO/IEC 20000-1,。随着,ISO/IEC 20000-2,：,2012,新版的发布，,ISO/IEC 20000,产品家族更新升级的步伐将进一步加快。,ISO/IEC 20000,新版标准的认证工作也将可以采用新的,ISO/IEC 20000,产品家族作为支撑。,41,信息系统运维服务管理,ISO/IEC 20000,标准系列,（,1,）,ISO/IEC 20000-1,服务管理体系需求。,（,2,）,ISO/IEC 20000-2,服务管理体系应用指南。,（,3,）,ISO/IEC 20000-3 ISO/IEC20000-1,范围定义和适用性指南。,（,4,）,ISO/IEC 20000-4,流程参考模型。,（,5,）,ISO/IEC 20000-5,实施计划模板。,（,6,）,ISO/IEC 20000-6,服务管理体系审核与认证机构要求。,（,7,）,ISO/IEC 20000-7 ISO/IEC 20000-1,应用于云的指南。,（,8,）,ISO/IEC 20000-8 ISO/IEC 20000-1,应用于小组织的指南。,（,9,）,ISO/IEC 20000-10,概念与术语。,（,10,）,ISO/IEC 20000-11 ISO/IEC 20000-1,：,2011,与,ITIL,关系指南。,42,信息系统运维服务管理,ISO/IEC 20000,标准的管理体系,（,1,）管理体系要求,组织高层管理在信息技术服务方面的职能。,信息技术服务管理体系文件化方面的要求。,在人员能力、意识和培训方面的要求。,（,2,）策划和实施服务管理,对服务管理进行策划：制订服务管理计划。,实施服务管理并交付服务：根据服务计划提供所承诺的服务。,监视、测量和评价：对服务管理过程进行监视和测量。,持续改进：要求服务提供商持续改进服务过程。,（,3,）策划和实施新的或变更的服务,43,信息系统运维服务管理,ISO/IEC 20000,标准的关键过程,ISO/IEC 20000,规定了,5,个关键的服务管理过程及,13,个管理面,服务交付过程,能力管理 服务级别管理 信息安全管理,服务连续性和可用性管理 服务报告 信息技术服务的预算和核算,控制过程,配置管理,变更管理,发布过程,发布管理,解决过程,事件管理,问题管理,关系过程,业务关系管理,供方管理,44,信息系统运维服务管理,ISO/IEC 20000,标准的特点,（,1,）完整的框架：,使,ITSM,形成完整的框架，与业务,管理兼容的体系。,（,2,）认证的依据：,具有正式、完整的认证体系。,（,3,）服务标准化：,使用通用术语和服务标准。,（,4,）一体化管理：,规定了提供一体化管理过程及要求。,（,5,）管理流程化：,一套完整的信息技术服务管理流程。,（,6,）最佳实践指南：,采纳了,ITIL v2,中的全部主要流,程，并对几个关键的管理流程做了补充。,45,信息系统运维服务管理,ISO/IEC 20000,与,ISO 9000,比较,（,1,）,ISO/IEC 20000,与,ISO 9000,的实用范畴不同,（,2,）,ISO/IEC 20000,与,ISO 9000,的侧重点不同,（,3,）,ISO/IEC 20000,关注的内容和,ISO9000,相比，除信,息技术服务质量外，还关注财务、信息安全,（,4,）,ISO/IEC 20000,也可以说是,ISO9000,在信息技术服,务行业的具体应用和拓展,46,信息系统运维服务管理,ISO/IEC 20000,与,ISO/IEC 27001,比较,（,1,）适用范围不一样。,ISO/IEC 20000,适用于企业的信息技术服务部,门，,ISO/IEC 27001,适用于整个企业，不仅是企业,IT,部门，还包,括业务部门、财务、人事等部门。,（,2,）,ISO/IEC 20000,以流程为核心，定义了一系列比较抽象的流程目,标，而,ISO/IEC 27001,以控制点,/,控制措施为主，比较具体。,（,3,）两套体系规范的侧重点有所不同，,ISO/IEC 20000,是面向信息技,术服务管理的质量体系标准，而,ISO/IEC 27001,是面向信息安全,的质量标准规范。,（,4,）两套体系规范存在着许多的共性特征，如：事件管理、业务连,续性管理、信息资产管理等方面，大多数的企业都会选择将,ISO/IEC 20000,与,ISO/IEC 27001,认证项目一同实施，使两套体,系间的互补特性得到充分发挥，更全面更规范的控制公司的服,务运维体系与安全管理。,47,信息系统运维服务管理,ISO/IEC 20000,标准新旧版本的对比,2011,版（新版）与,2005,版（旧版）比较，有,10,大变化：,（,1,）结构方面：,新版结构上与,ISO 9001,、,ISO/IEC 27001,更加一致,将旧版中的条款,3,和,4,进行了合并,（,2,）内容方面：,新版共有,37,个术语，新增,24,个术语，删除,2,个术语,新版明确了信息技术服务管理体系范围,新版新增了由其它方（内部团体、顾客或供方）运行过程的治理要求,新版对文件要求和资源管理进行了扩展，并与,ISO 9001,相一致,新版明确了内部审核和管理评审的要求,新版将发布管理扩展为发布和部署管理，并归入控制过程中,新版将信息安全管理过程与,ISO/IEC 27001,进行了更多的整合,新版考虑到与,ITIL v3,的一致性,48,信息系统运维服务管理,ISO/IEC 20000,认证的作用,获得,ISO/IEC 20000,的认证，意味着对管理流程具有足够好的管理控制力：,（,1,）对流程输入的了解和控制。,（,2,）对流程输出的了解、使用和诠释。,（,3,）制定和执行对流程效能的衡量机制。,（,4,）有客观的证据表明，对流程的功能负责，使之,符合,ISO/IEC 20000,标准要求。,（,5,）制定流程的改进计划，衡量和回顾改进结果。,49,信息系统运维服务管理,取得,ISO/IEC 20000,认证的步骤,（,1,）准备：,选定一家认证机构，确认审核的范围,（,2,）初步评估与计划制定：,进行初步的评估、制定整体的计划,（,3,）缩小差距：,制定具体的,ITSM,的政策、流程、步骤,（,4,）认证审核准备：,联系认证机构进行内审，准备正式审核所,需要的文档,（,5,）认证审核：,认证机构现场对员工和流程的审核，颁发证书,（,6,）维护：,每年须由认证机构进行“监督审核”，每隔三年要进,行一次全面的认证审核,50,信息系统运维服务管理,谢 谢!,51,信息系统运维服务管理,