国家鼓励企业建立信息技术服务管理体系,标准指导体系性工作开展
信息技术服务运行维护方面,标准给出实施指南,可以作为参考之用。根据自身业务定位和能力,策划运行维护服务对象的服务内容与要求,并形成服务目录;a)对所能提供的运行维护服务制定服务目录和说明性文件。与运行维护服务相关的组织和行
国家鼓励企业从顶层设计层面建立信息技术服务管理体系。信息技术服务可分为硬件和软件两类。硬件包括主机服务器、存储系统、网络交换机、网络路由器等产品以及机房环境设备;软件包括操作系统、数据库软件、中间件(软件)、备份软件、应用软件等。
从流程管理信息来看,有事件管理、问题管理、变更管理、发布管理、服务水平管理、可用性管理、连续性管理、业务关系管理等。
从服务指标角度,分为服务满意度、服务运营成本、服务运营效率、服务运营能力、服务运营风险、人员因素、流程因素、资源因素等。
总之,信息技术服务是一个系统的工作,当然国际上有相应的标准来指导这项工作的开展,国内也有国家标准来指导这项工作的开展,每个参与方都要遵循相应的标准,在不低于标准的水平上开展信息技术服务工作,才能实现最大的生产效益。
我们在工作中都明白一点:一个相应的标准一定是适合多方参考的。比如《信息技术服务运行维护通用要求》这个标准,可以为以下四种情况提供参考:
拟提供运维服务的机构应当建立运维服务能力体系;运维服务提供者应当评估自身条件和能力;运维服务需求者应当评估、选择运维服务提供者;第三方应当对运维服务机构的能力进行评估和认证。
运维服务能力模型
多数情况下,运维与运营是同时存在的两项活动,运维为运营提供保障,但运维与运营是两个不同的概念。因此,对于提供运营服务的机构建立运营服务能力体系,评估和提升自身运维服务能力,也可作为参考。在信息技术服务运维方面,标准提供了可参考的实施指南。
服务管理流程的PDCA方法
工作方向
类型
内容
实施建议
计划
要求
a) 根据自身业务定位和能力,规划运维服务对象的服务内容及要求,形成服务目录;
b) 根据组织业务发展需要建立组织架构和管理制度,支撑服务目录的实施或实现;
c) 规划人员、资源、技术和流程,建立相应的指标体系和服务保障体系;
d) 规划如何管理、检讨及改善服务质素,并建立内部检讨及评估机制
a) 对可提供的运维服务编制服务目录及说明文件,服务目录应详细描述服务类型、服务等级等信息,方便需求方选择所需的服务;
b) 建立与运行维护服务相匹配的组织架构和管理体系;
c) 按照四个要素的具体要求规划如何实施和持续改进,建立相关管理指标、考核体系和支撑管理制度;
d) 所有的管理制度和要求可以写成一本手册,也可以单独写成,并应在组织内公开;
e) 保存所有管理文件和流程实施记录
执行
要求
a)制定符合总体规划的实施方案,并按照规划实施;
b) 建立与需求方的沟通协调机制;
c) 按照服务能力要求实施并记录管理活动,确保服务能力管理和服务过程实施可追溯、结果可测量或可评估;
d) 提交符合质量要求的交付成果
a) 为了具备策划所要求的能力,并确保质量,建议在实施前重点关注(落实)a)、b)的要求,并保留实施方案及供需双方共同定制的沟通协调机制文件;
b) 应按计划和(实施)c)要求开展实施并记录,留存记录文件。实施部分应体现运维服务能力管理和服务内容两个方面,有利于发现需求侧服务实施中的能力不足,便于持续改进;
c) 实施后应进行总结评估和问题改进工作,并留存过程文档;
d) 交付成果应符合规划要求
检查
要求
a) 定期评审服务流程和相关管理制度,确保服务能力的适宜性和有效性;
b) 调查需求方满意度,对服务能力规划和实施的结果进行统计分析;
c) 检查各项指标的实现情况
a) 首先确保对服务能力管理流程、实施结果检查建立管理要求或制度;
b) 其次,按照体系或要求对实施结果和过程进行监视、评审和记录,并保存记录文件;
c) 对检查结果再次进行分析评价,并提出持续改进的建议;
d) 保存所有管理文件、分析报告和工艺实施记录
提升
要求
a) 建立服务能力管理改进机制;
b) 总结分析不符合规划要求的行为;
c) 调查、分析未完成的指标;
d) 根据分析结果确定改进措施,制定服务能力改进计划
a) 制定服务能力管理提升相关的管理要求或制度;
b) 对“检查”分析评价结果中需要改进的项目确定改进目标及计划,以评估改进的有效性;
c) 监控和管理改进过程,应保留所有管理文件、分析报告和过程实施记录
人员管理
要求
a) 人员储备
供方应建立运维服务相关的人员储备计划和机制,保证有足够的人员满足与需方约定的当前及未来的运维服务需求。
b) 人员培训
供应商应建立与运维服务相关的培训制度或机制,在制定培训计划时明确培训需求,并提供及时有效的培训。
c) 绩效评估
供应商应建立与运维服务相关的绩效考核制度或机制网站维护服务,并能够有效地组织实施。
a) 参照供需双方签订的SLA,制定相关人才储备计划(包括保证人员稳定性的机制或措施等)、培训计划和绩效考核管理制度等;
b) 服务提供过程中必须严格遵守计划和管理制度并保存过程记录;
c)定期对人员管理计划执行情况进行阶段性评估与总结(建议周期为月度或季度);
d) 结合人员管理计划、制度、流程和结果文件进行阶段性评审,提出优化改进建议
钥匙
指数
a) 人才储备计划及机制;
b) 人员绩效考核制度或机制;
c)培训计划及培训实施记录
职位结构
要求
a) 管理职责包括:
1)负责运维服务过程中的运维服务管理;
2)与需求方建立顺畅的沟通渠道,将需求方的需求准确传达给运维服务团队;
3)规划、检查运维服务各流程,对运维服务能力的策划、实施、检查、提升的范围、流程、信息安全和结果负责。
b) 技术支持职责包括:
1)负责运维服务方面的技术支持,包括网络、操作系统、数据库、中间件、应用开发硬件、集成、信息安全等;
2)响应运维服务过程中的请求、事件和问题,确保信息安全并对处理结果负责。
c) 运营人的职责是:
l)负责运维服务日常操作的实施;
2)按照规范、手册执行运维服务的各项流程,并对执行结果负责
a) 参照供需双方签订的SLA,规划制定管理岗位、技术支持岗位、操作岗位的岗位责任制(至少包括组织架构、岗位职责、人员数量、能力要求等)和岗位备份体系文件;
b) 服务提供过程中严格遵守岗位责任制、岗位备份制度并做好过程记录;
c) 定期对岗位责任制、岗位备用制度的合理性和有效性进行定期评估和总结(建议周期为每季度或每半年);
d) 参照系统规划、制度、流程、结果文档进行阶段性回顾,提出优化改进建议
钥匙
指数
a) 关键岗位人员数量;
b) 职务描述;
c) 工作备份系统,包括工作备份系统文件和记录
知识
要求
a) 基础知识
信息技术相关的基础知识。
b) 专业知识
运维服务所需的知识应该具有相对系统的内容体系和知识范围,例如网络技术人员应该具备网络的专业知识。
c) 一般知识
与运营和维护服务相关的组织和行业知识
a) 参考双方签署的SLA、岗位责任制及运维服务商的业务特点,规划具有相关知识(包括学历教育知识、信息技术相关基础知识、专业知识以及与服务相关的组织和行业知识等)、技能(包括基本运维服务能力、专项技术能力等)和经验(至少包括运维服务相关项目的数量、规模和作用)的人员需求及考核管理办法与制度;
b) 严格执行服务提供过程中的人员需求规划、考核管理办法和制度,并保存过程记录(包括人员简历、专业资格证书、专业证明及相关考核管理文件等);
c) 定期对人员知识、技能和经验与运维服务项目的匹配程度进行阶段性评估和总结(建议周期为半年或一年);
d) 结合人员需求规划、制度、流程和结果文件进行阶段性回顾,提出优化改进建议
钥匙
指数
a) 掌握相关知识的证明文件;
b) 符合要求的人员数量及比例
技能
要求
a) 确定运行维护服务人员提供运行维护服务所必备的能力;
b) 要求运维服务人员具备相应资质,才能提供相关运维服务;
c) 特殊环境运维服务人员应具备相关资质
钥匙
指数
a) 操作维护服务人员技能考核制度及记录;
b) 拥有相关行业和专业资格的人员数量
经验
要求
a) 运行维护服务人员应具有所从事的运行维护服务活动的经验;
b) 供应商应具有一定的运行、维护服务经验。
钥匙
指数
a) 运行维护服务时间;
b) 运营商主持或参与运维服务项目的数量、项目金额、项目规模、以及在项目中扮演的角色。
运行维护工具
要求
a) 监控工具,收集、监控运行维护服务对象的数据,评估可能引起运行维护服务对象故障的因素;
b) 流程管理工具,按照约定的SLA对运维服务的交付过程进行管理。 流程管理工具应包括日常运维管理、记录、测量、监督和评估等功能;
c) 专用工具、根据使用要求的安全工具及特殊要求的工具
a) 选择能够满足要求的运维工具,保证运维工作的效率和效果;
b) 制定相应的操作维护工具使用手册和管理制度;
c) 保存工具使用情况的记录;
d) 定期评估该工具的有效性;
e) 对使用过程中发现的问题及时纠正,确保操作维护工具能持续满足要求。
钥匙
指数
a) 与工具功能相匹配的用户手册;
b) 工具使用日志记录等;
c) 工具有效性的自我评估报告
桌子
要求
a) 设立专用沟通渠道作为与买家的联络点。沟通渠道可以是热线、传真、网站、电子邮件等;
b) 指定专人处理服务请求;
c) 将服务流程融入沟通渠道,建立管理制度,包括服务请求的受理、记录、跟踪、反馈机制,以及日常工作的监督和考核机制
a) 建立服务台相关管理制度;
b) 指定专门人员按照管理体系的要求处理服务请求,并做好记录;
c)定期总结、评估服务台工作;
d) 及时纠正发现的问题,确保服务台能够继续满足要求
钥匙
指数
a) 服务台管理系统;
b) 日常工作记录的完整性;
c) 用户评价记录
备件库
要求
a)备件响应模式及级别定义,能满足SLA约定的备件支持;
b)备件供应商管理:可以规范备件采购流程并对供应商进行选择、评估;
c)备件进出管理:可对备件进出进行识别,规范备件的使用、核销,并对备件进行台账管理;
d)备件可用性管理:定期检测备件状态,确保其功能满足运行和维护要求。
a) 建立备件响应办法,划分响应级别,制定备件供应商管理、出入库管理、可用性管理等相关管理制度与流程;
b)备件库可以是实体库,也可以是虚拟库;
c) 按照建立的相关制度和流程,执行并记录备件供应商、仓储、可用性等要求,并保存记录文件;(相关记录文件包括:备件供应商信息、合同信息、备件维修、登记、备件收货、发货、消耗、备件使用频率、使用质量、库存状况等);
d) 定期对备件管理相关流程进行总结分析,并根据分析结果提出相应的纠正措施
钥匙
指数
a) 备件库存信息真实、有效;
b) 备件运行管理规范;
c) 备件仓库进出账务管理制度;
d) 备件供应
知识库
要求
a) 建立常见问题描述、分析和解决方案的知识库;
b) 确保知识在整个组织内可用且可共享;
c) 选择适当的知识管理策略;
d) 知识库具有知识的添加、更新和查询功能;
e) 根据知识管理要求制定相关管理制度,进行知识生命周期管理
a) 建立组织知识库,制定相关管理策略和制度;
b) 根据知识库管理策略和体系要求对知识进行管理并保存记录;
c) 定期总结、评估知识管理情况;
d)及时纠正知识管理过程中发现的问题,保证知识库的可用性和有效性
钥匙
指数
a) 知识库的覆盖范围;
b) 知识库的可用性和有效性,如知识的重用率、访问量等;
c) 仓库管理和审批记录
技术研发
要求
a)根据业务和市场分析,制定研发计划,包括新技术、前沿技术的应用、技术储备等;
b) 配备与计划相适应的研发环境;
c) 配备与计划相适应的研发团队
a) 根据自身业务定位,制定年度研发计划(至少包括研发环境及人员部署计划、资金投入计划、研发进度计划和质量管理计划等);
b) 技术开发过程中,必须严格执行研发计划,并做好过程记录;
c)定期对研发计划实施情况进行阶段性评估与总结(建议周期为月度或季度);
d) 结合研发计划、过程记录及结果文档进行阶段性回顾,提出优化改进建议
钥匙
指数
a) 研究开发投资基金;
b) 研发成果数量
发现问题
相关技术
要求
a) 具有信息收集和监控手段;
b) 有诊断和分析问题的方法
a) 根据自身业务定位,结合运维服务需求方的实际需求,采取自主研发或购买等方式掌握发现、解决问题的相关核心技术,形成核心技术描述文档等诊断解决方案;
b) 熟练运用提供运维服务过程中发现、解决问题的技术和方案,保证运维服务的可用性,并保存应用记录;
c) 定期对核心技术相关文档、解决方案的应用情况进行阶段性评估与总结(建议周期为每季度或每半年);
d) 结合技术方案、应用记录、结果分析文档进行阶段性回顾,提出优化改进建议
钥匙
指数
a) 信息收集手段的有效性;
b)核心技术的掌握程度;
c) 诊断方案或手册的可用性
和解决问题
相关技术
要求
a) 解决问题的技术指标或标准;
b) 解决问题的解决方案或手册;
c)测试环境、测试标准和方法
钥匙
指数
a) 技术指标或标准解决问题的有效性;
b) 提供解决问题的解决方案或手册;
c) 测试环境与需求方运维环境的匹配程度;
d) 测试标准和方法的有效性
服务级别管理
要求
a) 建立服务目录;
b) 与买家签署SLA;
c) 根据需求方的考核评价要求网站维护服务,建立SLA自评估机制,包括SLA完成情况、达成率等;
d) SLA评估后制定改进内容及措施
a) 规范服务水平管理流程、文件化,建立相关服务水平管理制度;
b) 按照文件要求进行服务水平管理,并保存记录;
c) 定期总结、评估服务水平管理;
d)纠正发现的问题,确保服务水平管理流程的持续改进
钥匙
指数
a) 服务目录定义的完整性;
b) 签署的SLA文档的标准化;
c) SLA评估机制的有效性和完整性
服务报告
要求
a) 与服务报告流程一致的活动,包括创建、批准、分发、归档等;
b) 服务报告计划,包括提交方式、时间、接收对象等;
c) 服务报告模板,包括格式、大纲等。
a) 规范服务报告管理流程、文件化,建立相关服务报告管理制度;
b) 管理服务报告并按照文件要求保存记录;
c) 定期总结、评估服务报告管理情况;
d)纠正发现的问题,确保服务报告管理流程的持续改进
钥匙
指数
a) 服务报告过程的完整性;
b) 服务报告的及时性和准确性
事件管理
要求
a) 与事件管理流程一致的活动,包括事件受理、分类和初步支持、调查和诊断、解决、进度监控和跟踪、结束;
b) 事件分类分级机制;
c) 事件升级机制;
d) 满意度调查机制;
e) 事件解决评估机制,包括事件解决率、事件平均解决时间等。
a) 规范事件管理流程、记录相关事件管理制度;
b) 按照文件要求管理事件,并保存记录;
c) 定期总结、评估事件管理情况;
d) 纠正发现的问题,确保事件管理流程持续改进
钥匙
指数
a) 事件管理流程的完整性和有效性;
b) 事件解决评估机制有效性
问题管理
要求
a) 与问题管理过程一致的活动,包括问题的创建、分类、调查和诊断、解决、错误评估、关闭等;
b) 问题分类管理机制,包括问题的影响范围、重要性、紧急程度、优先等级等;
c) 将问题导入知识库的机制;
d) 问题解决评估机制,包括问题解决率、平均问题解决时间等。
a) 规范问题管理流程、记录化,建立相关问题管理制度;
b) 按照文件要求管理问题并保存记录;
c) 定期总结、评估问题管理情况;
d)纠正发现的问题,确保问题管理流程的持续改进
钥匙
指数
a) 问题管理过程的完整性;
b) 问题解决评估机制的有效性
配置管理
要求
a) 与配置管理过程一致的活动,包括识别、记录、更新和评审;
b) 配置数据库管理机制;
c) 配置项审核机制
a) 规范配置管理流程、记录化,建立相关配置管理制度;
b) 按照文件要求进行配置管理,并保存记录;
c) 定期总结、评估配置管理情况;
d)纠正发现的问题,确保配置管理过程的持续改进
钥匙
指数
a) 配置管理过程的完整性;
b) 配置数据准确、完整、有效、可用且可追溯;
c) 配置项评审机制的有效性
变更管理
要求
a) 建立与变更管理过程一致的活动,包括请求、评估、评审、实施、确认和复查;
b) 建立变更类型和范围的管理机制;
c) 对变更完成情况进行统计分析,包括未批准变更的数量和百分比、不同类型变更的数量和百分比、不成功的变更的数量和百分比、取消的变更的数量和百分比、与变更相关的配置数量。
a) 规范变更管理流程、文件化,建立相关变更管理制度;
b) 按照文件要求进行变更管理,并保存记录;
c) 定期总结、评估变更管理情况;
d)纠正发现的问题,确保变更管理流程的持续改进
钥匙
指数
a) 变更管理过程的完整性;
b) 变更记录的完整性
发布管理
要求
a) 建立与发布管理流程一致的活动,包括计划、设计、构建、配置和测试;
b) 建立排放类型和范围的管理机制;
c) 制定完整的计划,包括发布计划、回滚计划、发布记录等;
d) 对发布完成情况进行统计分析,包括发布成功率、发布及时率、配置管理数据库是否更新等。
a) 规范发布管理流程、记录发布管理,建立相关发布管理制度;
b) 按照文件要求进行放行管理,并保存记录;
c) 定期总结、评估发布管理;
d) 纠正发现的问题,确保发布管理流程的持续改进
钥匙
指数
a) 发布管理过程的完整性;
b)放行过程记录的完整性和准确性
信息安全管理
要求
a) 遵守相关法律法规并满足需方对运维服务过程的信息安全需求和供方自身的信息安全需求;
b) 建立与信息安全管理过程一致的活动,包括识别、评估、处理和改进
a) 规范信息安全管理流程、文件化,建立相关信息安全管理制度;
b) 按照文件要求开展信息安全管理,并保存记录;
c) 定期总结、评估信息安全管理情况;
d)纠正发现的问题,确保信息安全管理过程的持续改进
钥匙
指数
a) 运行和维护服务过程中的信息保密;
b) 运行和维护服务期间信息的可用性;
c) 运行维护服务过程中的信息完整性
很多人在实施网络安全等级保护时,往往在等级保护测评阶段就发现自己很多相关等级保护标准都不符合,此时再指望测评机构给出满意的测评结果已经为时过晚,合规工作中只有从源头考虑好各个环节的工作,顾全大局,才能从容应对。
如果我们从源头找问题,在网络或信息系统设计和信息技术服务之初,逐一检查这些服务是否符合相应的国家标准,如果前期各方都能较大程度满足相应的国家标准,各司其职,各负其责,销售信息技术服务的人能够提供真正的信息技术服务,购买信息技术服务的人能够买到货真价实的信息技术服务,那么理论上在等级保护考核环节不达标(现在说的“差”)的情况会非常少,即使需要整改,也只会局限于很小的一部分,或者整改的压力会非常小。
参考:
网络安全级别保护:什么是网络安全级别保护?
网络安全等级保护:网络安全工作的基本方法
网络安全多层级保护:政策与法律发展
