ITSM助力電信運(yùn)營(yíng)商企業(yè)信息化

1、版權(quán)所有, http:/, 2005ITSM助力電信運(yùn)營(yíng)商企業(yè)信息化趙 糧博士、CISSP/BS7799LA/ITILhttp:/2005-10-292內(nèi)容v電信運(yùn)營(yíng)商之機(jī)遇與挑戰(zhàn)v薩班斯法（SOX）符合性vITIL與ITSMITIL 支持流程ITIL 交付流程v運(yùn)營(yíng)商信息化過(guò)程中的安全保障安全管理中心與安全運(yùn)營(yíng)BS77992005-10-293現(xiàn)代企業(yè)的變化準(zhǔn)備管理再造q經(jīng)營(yíng)理念的變化q技術(shù)導(dǎo)向客戶導(dǎo)向q戰(zhàn)略調(diào)整q新業(yè)務(wù)的推出q業(yè)務(wù)模式和服務(wù)模式的改變q市場(chǎng)和競(jìng)爭(zhēng)環(huán)境發(fā)生的重大變化q企業(yè)戰(zhàn)略聯(lián)盟q企業(yè)購(gòu)并組織組織架構(gòu)架構(gòu)崗位崗位職責(zé)職責(zé)管理管理流程流程績(jī)效績(jī)效考核考核LPTQM6JIT客戶感

2、知首問(wèn)負(fù)責(zé)限時(shí)回復(fù)2005-10-294關(guān)注點(diǎn)的變化：維護(hù)管理工作重點(diǎn)是規(guī)范流程離散的技術(shù)技能離散的技術(shù)技能分散的監(jiān)控系統(tǒng)分散的監(jiān)控系統(tǒng)孤立的操作步驟孤立的操作步驟 維護(hù)管理流程建設(shè)的重要性Process AProcess BProcess DProcess CProcess EProcess n.有效的維護(hù)管理流程有效的維護(hù)管理流程貫穿人、系統(tǒng)和日常操作貫穿人、系統(tǒng)和日常操作一個(gè)整體一個(gè)整體2005-10-295開(kāi)始探索流程再造以提高運(yùn)營(yíng)效率業(yè)務(wù)1IT安全業(yè)務(wù)2IT安全業(yè)務(wù)nIT安全傳統(tǒng)NOC結(jié)構(gòu) 多個(gè)信息孤島 難以共享和流轉(zhuǎn) 難以保持策略一致 響應(yīng)速度慢XX業(yè)務(wù)1業(yè)務(wù)2業(yè)務(wù)nIT安全幫助臺(tái)

3、有限流程重組后的NOC 專業(yè)化 面向流程 快速響應(yīng) 信息和資源共享事件經(jīng)理變更經(jīng)理問(wèn)題經(jīng)理配置經(jīng)理2005-10-296電信運(yùn)維管理體制三級(jí)維護(hù)、兩級(jí)管理現(xiàn)場(chǎng)維護(hù)層5x8值守7x24響應(yīng)網(wǎng)管監(jiān)控層7x24值守技術(shù)支援層7x24響應(yīng)網(wǎng)絡(luò)管理網(wǎng)絡(luò)維護(hù)重大、疑難問(wèn)題技術(shù)支援1 資源管理 2 運(yùn)行監(jiān)視3 數(shù)據(jù)配置 4 數(shù)據(jù)管理5 性能管理 6 故障管理1 故障處理2 維護(hù)監(jiān)控現(xiàn)場(chǎng)維護(hù)日常巡檢、硬件更換等職能劃分作業(yè)層次Tier 3Tier 2Tier 12005-10-297電信運(yùn)營(yíng)商典型組織結(jié)構(gòu)與流程響應(yīng)中心的出現(xiàn)總經(jīng)理營(yíng)銷中心市場(chǎng)拓展部大客戶部重要客戶部客戶服務(wù)中心公眾客戶部公用電話部計(jì)費(fèi)帳務(wù)中心

4、增值業(yè)務(wù)中心網(wǎng)絡(luò)中心客戶響應(yīng)中心網(wǎng)絡(luò)維護(hù)部網(wǎng)絡(luò)建設(shè)部維護(hù)安裝部網(wǎng)絡(luò)監(jiān)控部傳輸維護(hù)交換維護(hù)數(shù)據(jù)維護(hù)無(wú)線維護(hù)IT維護(hù)計(jì)劃中心采購(gòu)中心建設(shè)中心綜合管理部人力資源部計(jì)劃財(cái)務(wù)部企業(yè)信息化部下級(jí)局2005-10-298層次化的維護(hù)管理組織SLA幫助臺(tái)/一線支持/配置管理員現(xiàn)場(chǎng)服務(wù)IT用戶二線支持/問(wèn)題分析專家現(xiàn)場(chǎng)服務(wù)第三方廠商支持網(wǎng)絡(luò)支持 主機(jī)支持 數(shù)據(jù)庫(kù)支持監(jiān)控系統(tǒng)事件經(jīng)理問(wèn)題經(jīng)理配置經(jīng)理變更經(jīng)理一線一線二線二線2005-10-299維護(hù)管理流程規(guī)劃提升IT服務(wù)管理水平人員 流程 技術(shù)服務(wù)級(jí)別管理可用性管理安全管理版本管理IT資產(chǎn)管理容量管理服務(wù)級(jí)別管理服務(wù)連續(xù)性管理關(guān)系管理利潤(rùn)中心利潤(rùn)中心服務(wù)中心服務(wù)

5、中心服務(wù)臺(tái)事件管理問(wèn)題管理變更管理配置管理運(yùn)維中心運(yùn)維中心時(shí)間可操作模式可操作模式高效和卓有成高效和卓有成效的管理模式效的管理模式2005-10-2910端到端的電信服務(wù)流程整合呼叫中心 電子郵件 郵件短信 網(wǎng)站自助服務(wù)服務(wù)開(kāi)通 資源管理事件管理 工單管理客戶管理 客戶交互市場(chǎng)管理 項(xiàng)目管理管線資源、無(wú)線設(shè)備接入網(wǎng)、傳輸、交換話音、互聯(lián)網(wǎng)XML/UDDI/WSDL/SOAP/SOA/BPELI-CRMO-CRMService-LevelAgreement資源管理 工單管理 配置管理 性能管理 安全管理 變更管理 服務(wù)水平管理計(jì)費(fèi) 結(jié)算 帳務(wù) 伙伴管理經(jīng)營(yíng)分析 決策支持商業(yè)智能A-CRM管理層市

6、場(chǎng)部大客戶部客服工程部運(yùn)維部網(wǎng)管中心整合前后端，全程調(diào)度訂單-資源-服務(wù)開(kāi)通-更新客戶資料-報(bào)竣申訴-客戶資料-網(wǎng)管工單-解決-報(bào)竣訂單-資源-立項(xiàng)采購(gòu)-更新資源庫(kù)-服務(wù)開(kāi)通-更新客戶資料-報(bào)竣BSS2005-10-2911IT Management StrategyIS StrategyTechnology (Infrastructure) Architecture Strategy Business imperatives IS implications Needs and priorities Business styles and systems models Data and inf

7、ormation models Application architectures Logical deployment models Migration strategyOrganization and governancePeople and skillsPoliciesProcessesStandards and methodsSourcingPerformance managementITProgramsBusinessPrograms(Initiativesand Roadmap)Critical SuccessFactorsOperational Strategy(Capabili

8、ties andCompetencies)Corporate strategy(Vision/Mission,Aims, Objectives) Organization People and culture Processes MeasuresBUSINESS STRATEGYIT STRATEGY Guiding principles Technology design patterns Target technology standards Evaluation and selection Migration/evergreening IT Investment Management S

9、ystem Development Portfolio ManagementCopyright 2003電信企業(yè)的市場(chǎng)戰(zhàn)略和IT戰(zhàn)略必須保持一致2005-10-2912網(wǎng)通的“五統(tǒng)一”人 事財(cái) 務(wù)計(jì) 劃 建 設(shè)網(wǎng) 絡(luò) 運(yùn) 維市 場(chǎng) 經(jīng) 營(yíng)管 理 制 度 統(tǒng) 一人 事財(cái) 務(wù)計(jì) 劃 建 設(shè)網(wǎng) 絡(luò) 運(yùn) 維市 場(chǎng) 經(jīng) 營(yíng)管 理 制 度 統(tǒng) 一客戶管理產(chǎn)品管理網(wǎng)絡(luò)計(jì)劃建設(shè)網(wǎng)絡(luò)運(yùn)行維護(hù)戰(zhàn)略管理財(cái)務(wù)管理人力資源管理流程客戶管理產(chǎn)品管理網(wǎng)絡(luò)計(jì)劃建設(shè)網(wǎng)絡(luò)運(yùn)行維護(hù)戰(zhàn)略管理財(cái)務(wù)管理人力資源管理流程2005-10-2913CNC IT Planning2005-10-2914內(nèi)容v電信運(yùn)營(yíng)商之機(jī)遇與挑戰(zhàn)v薩班斯法（S

10、OX）符合性vITIL與ITSMITIL 支持流程ITIL 交付流程v運(yùn)營(yíng)商信息化過(guò)程中的安全保障安全管理中心與安全運(yùn)營(yíng)BS77992005-10-2915安然事件引爆危機(jī)2005-10-2916世通緊接著轟然倒塌2005-10-2917安達(dá)信最終也難逃厄運(yùn)2005-10-29182002年美國(guó)頒布薩班斯法案2005-10-2919SOX法案總體介紹v法案的目的是 根據(jù)美國(guó)證券法，通過(guò)提高公司信息披露的準(zhǔn)確性和可靠性，增加公司責(zé)任，為上市公司會(huì)計(jì)和審計(jì)的不適當(dāng)行為規(guī)定更加嚴(yán)厲的處罰，同時(shí)保護(hù)投資者；v該法案是美國(guó)有史以來(lái)通過(guò)的最具有深遠(yuǎn)意義的證券立法之一。法案廣泛地適用于所有根據(jù)美國(guó)1934年

11、證券交易法向或者被要求向證券交易委員會(huì)（SEC）遞交定期報(bào)告的公司，包括美國(guó)和非美國(guó)公司；v法案包括非常專門的額外的信息披露要求和新的公司治理規(guī)則，要求SEC和證券交易所采納廣泛的額外的信息披露、公司治理和其他相關(guān)規(guī)則，授權(quán)SEC和總會(huì)計(jì)師對(duì)相關(guān)問(wèn)題進(jìn)行進(jìn)一步的研究；v法案代表著聯(lián)邦立法對(duì)原屬于州立法范圍（如對(duì)會(huì)計(jì)職業(yè)的管理），以及原屬于州公司法調(diào)整范圍（如董事會(huì)與管理層、董事會(huì)和其委員會(huì)之間的關(guān)系）等事項(xiàng)的重大參與。2005-10-2920SOX法案主要針對(duì)對(duì)象v美國(guó)2001年至2002年度所爆發(fā)的各項(xiàng)公司丑聞事件中，企業(yè)管理層無(wú)疑應(yīng)當(dāng)負(fù)有最主要的責(zé)任，因而，SOX法案的主要內(nèi)容之一就是明確

12、公司管理層責(zé)任（如對(duì)公司內(nèi)部控制進(jìn)行評(píng)估等）、尤其是對(duì)股東所承擔(dān)的受托責(zé)任，同時(shí)，加大對(duì)公司管理層及白領(lǐng)犯罪的刑事責(zé)任。v企業(yè)會(huì)計(jì)人員以及外部審計(jì)人員在這些事件中的負(fù)面作用，不容否定，比如，安然通過(guò)復(fù)雜的“特殊目的主體”安排，虛構(gòu)利潤(rùn)、隱瞞債務(wù)，而世界通訊則是赤裸裸的假賬，提高財(cái)務(wù)報(bào)告的可靠性，成為SOX法案的另一個(gè)主要內(nèi)容，法案的要求包括：建立一個(gè)獨(dú)立機(jī)構(gòu)來(lái)監(jiān)管上市公司審計(jì)、審計(jì)師定期輪換、全面修訂會(huì)計(jì)準(zhǔn)則、制訂關(guān)于審計(jì)委員會(huì)成員構(gòu)成的標(biāo)準(zhǔn)、要求管理層及時(shí)評(píng)估內(nèi)部控制、更及時(shí)的財(cái)務(wù)報(bào)告、對(duì)審計(jì)時(shí)提供咨詢服務(wù)進(jìn)行限制等。并且，從全部法案的次序安排來(lái)看，這些內(nèi)容排在前三章，而篇幅也超過(guò)2/3。v

13、因而，SOX法案更像一個(gè)會(huì)計(jì)改革法案。2005-10-2921SOX法案的組織架構(gòu)2005-10-2922內(nèi)部控制成為最受關(guān)注的焦點(diǎn)2005-10-2923SOX法案中與內(nèi)控相關(guān)的部分2005-10-2924IT 控制縱覽2005-10-2925理解規(guī)則對(duì)IT的影響2005-10-2926企業(yè)致力于404符合性的最大問(wèn)題v缺乏一個(gè)企業(yè)級(jí)的、行政驅(qū)動(dòng)的內(nèi)部控制管理程序v缺乏一個(gè)正式的企業(yè)風(fēng)險(xiǎn)管理程序v與記錄非常規(guī)的、復(fù)雜的、不尋常交易相關(guān)聯(lián)的控制不充分v無(wú)效控制下的兼并后整合（post-merger integration）v缺乏對(duì)IT環(huán)境的有效控制v無(wú)效的財(cái)務(wù)報(bào)告和披露準(zhǔn)備過(guò)程v缺乏對(duì)財(cái)務(wù)結(jié)帳

14、（financial closing）過(guò)程的正式控制v缺乏現(xiàn)行的、完備的、文件化的會(huì)計(jì)策略和程序v不能評(píng)估和測(cè)試對(duì)外包過(guò)程的控制v委員會(huì)和審計(jì)委員會(huì)對(duì)風(fēng)險(xiǎn)及控制理解不周2005-10-2927IT控制亟待解決的問(wèn)題2005-10-2928TOP5 404 IT控制需求2005-10-2929SOA Readiness RoadmapBusiness ValueSarbanes-Oxley IT Compliance1. Plan & ScopeFinancial reporting processSupporting systems3. Identify Significant Con

15、trolsApplication controls - over initiating, recording, processing & reportingIT General Controls5. Evaluate Control DesignMitigates control risk to an acceptable levelUnderstood by users8. Document Process & ResultsCoordination with AuditorsInternal sign-off (302, 404)Independent sign-off (

16、404) 7. Identify & Remediate DeficienciesSignificant deficienciesMaterial weaknessRemediation6. Evaluate Operational EffectivenessInternal auditTechnical testingSelf assessmentInquiry +All locations and controls (annual)4. Document Controls Policy manualsProceduresNarrativesFlowchartsConfigurati

17、onsAssessment questionnaires2. Perform Risk AssessmentProbability & Impact to businessSize / complexity9. Build SustainabilityInternal evaluationExternal evaluation2005-10-2930SOX符合性對(duì)企業(yè)的影響總結(jié)v因?yàn)榭煽康呢?cái)務(wù)報(bào)告過(guò)程有賴于IT，所以，IT在SOX 404符合性努力過(guò)程中扮演著關(guān)鍵的角色；v對(duì)許多組織來(lái)說(shuō)，SOX可以簡(jiǎn)化為對(duì)現(xiàn)有責(zé)任的法律條文化。這些IT控制責(zé)任早已存在，不過(guò)，SOX可能要求進(jìn)行額外的形

18、式化，并且要求在文件化和測(cè)試方面做出努力v公司應(yīng)該確保IT在SOX符合性努力中扮演主動(dòng)的角色：參與符合性領(lǐng)導(dǎo)委員會(huì)理解財(cái)務(wù)報(bào)告過(guò)程，就IT（應(yīng)用、基礎(chǔ)架構(gòu)、安全等）的依賴性進(jìn)行溝通在確保財(cái)務(wù)報(bào)告過(guò)程具有充分控制方面，建立IT的角色文件化IT風(fēng)險(xiǎn)及與財(cái)務(wù)報(bào)告過(guò)程相關(guān)的控制定期測(cè)試控制，改進(jìn)重要的不足建立監(jiān)視活動(dòng)，以確保IT控制在特定時(shí)間內(nèi)的效力2005-10-2931內(nèi)容v電信運(yùn)營(yíng)商之機(jī)遇與挑戰(zhàn)v薩班斯法（SOX）符合性vITIL與ITSMITIL 支持流程ITIL 交付流程v運(yùn)營(yíng)商信息化過(guò)程中的安全保障安全管理中心與安全運(yùn)營(yíng)BS7799版權(quán)所有, http:/, 2005ITIL 之服務(wù)支持S

19、ervice Support2005-10-2933ITILInformation Technology Infrastructure Library2005-10-2934ITIL是什么v一套IT服務(wù)管理(ITSM)的最佳實(shí)踐的指導(dǎo)vITSM是一種以流程為導(dǎo)向、以客戶為中心的方法方法，它通過(guò)整合IT服務(wù)與組織業(yè)務(wù)，提高組織IT服務(wù)提供和服務(wù)支持能力和水平。 v聯(lián)系“IT服務(wù)”與“業(yè)務(wù)需求”的紐帶2005-10-2935ITIL不是什么v不是標(biāo)準(zhǔn)，是事實(shí)上的標(biāo)準(zhǔn)v不是一套方法論，是最佳實(shí)踐v不是“手冊(cè)”，每個(gè)實(shí)踐不必相同v不是一味的追求服務(wù)質(zhì)量，需要考慮成本v不是私有財(cái)產(chǎn)，用戶可以免費(fèi)使用20

20、05-10-2936相關(guān)的名詞vOffice Of Government Commerce (OGC)英國(guó)政府商務(wù)部過(guò)去是Central Computer and Telecommunications Agency (CCTA)英國(guó)中央計(jì)算機(jī)與通信局擁有ITILvInformation Technology Service Management Forum (itSMF)國(guó)際IT服務(wù)管理論壇國(guó)際公認(rèn)的中立性ITSM專業(yè)論壇2005-10-2937ITIL的作用v服務(wù)管理的最佳實(shí)踐v提高IT服務(wù)的質(zhì)量v順暢用戶和IT的溝通v滿足業(yè)務(wù)的真正需求v降低IT管理成本提高管理質(zhì)量提高管理質(zhì)量和管理水平和

21、管理水平2005-10-2938流程和崗位組織1組織2組織N企業(yè)2005-10-2939如果你不能測(cè)量它，你就不能管理它流 程質(zhì)量參數(shù)和KPI負(fù)責(zé)人目標(biāo)主要活動(dòng)和子流程資源角色輸入和輸入規(guī)范輸出和輸出規(guī)范流程控制流程控制流程賦能者流程賦能者2005-10-2940如何應(yīng)用ITILvITIL是一套最佳實(shí)踐，能夠協(xié)助你實(shí)踐ITSM中相關(guān)流程v幫助你在總體上完善IT基礎(chǔ)架構(gòu)管理v以業(yè)務(wù)和服務(wù)為核心，如何將流程與部門聯(lián)系在一起v實(shí)踐ITIL不能盲目求全求細(xì)vITIL是一個(gè)框架，它告訴你ITSM做什么(What to do)，但是不限定怎么做(How to do)2005-10-2941IT服務(wù)服務(wù)問(wèn)題

22、發(fā)布配置變更事故IT持續(xù)性能力可用性服務(wù)服務(wù)提供服務(wù)提供服務(wù)支持服務(wù)支持管理者管理者戰(zhàn)略戰(zhàn)略操作操作戰(zhàn)術(shù)戰(zhàn)術(shù)業(yè)務(wù)業(yè)務(wù)服務(wù)臺(tái)服務(wù)臺(tái)財(cái)務(wù)ITIL如何聯(lián)系業(yè)務(wù)2005-10-2942IT服務(wù)vIT服務(wù)是由IT服務(wù)供應(yīng)者支撐的一套IT和非IT設(shè)備。它能夠滿足客戶的某個(gè)或者多個(gè)需求支持客戶的業(yè)務(wù)目標(biāo)被客戶認(rèn)為是完整的整體2005-10-2943Dyming循環(huán)時(shí)間IT管理目標(biāo)計(jì)劃改進(jìn)審計(jì) 實(shí)施有效的提高質(zhì)量鞏固管理水平例如：ISO 9001成熟級(jí)別持續(xù)質(zhì)量控制與改進(jìn)2005-10-2944ITIL 流程每個(gè)ITIL流程包含v流程目標(biāo)v基本概念v主要活動(dòng)v好處與風(fēng)險(xiǎn)v關(guān)鍵績(jī)效指標(biāo)與報(bào)表2005-10-29

23、45CMDB事故問(wèn)題已知錯(cuò)誤變更發(fā)布管理工具事故事故變更變更管理管理發(fā)布發(fā)布管理管理發(fā)布進(jìn)度發(fā)布統(tǒng)計(jì)發(fā)布回顧發(fā)布庫(kù)測(cè)試標(biāo)準(zhǔn)審計(jì)報(bào)告配置配置管理管理問(wèn)題問(wèn)題管理管理事故事故管理管理Customer Survey reports溝通更新解決方案發(fā)布困難詢問(wèn)應(yīng)答CMDB 報(bào)表CMDB 統(tǒng)計(jì)策略標(biāo)準(zhǔn)審計(jì)報(bào)告變更進(jìn)度CAB 備忘錄變更統(tǒng)計(jì)變更回顧審計(jì)報(bào)告問(wèn)題統(tǒng)計(jì)問(wèn)題報(bào)告問(wèn)題回顧問(wèn)題診斷審計(jì)報(bào)告服務(wù)報(bào)告事故統(tǒng)計(jì)審計(jì)報(bào)告變更Cls關(guān)系服務(wù)臺(tái)服務(wù)臺(tái)客戶調(diào)查報(bào)告業(yè)務(wù)業(yè)務(wù)、客戶、用戶、客戶、用戶版權(quán)所有, http:/, 2005事故管理Incident Management2005-10-2947流程目標(biāo)v盡快

24、恢復(fù)服務(wù)的運(yùn)行，將對(duì)業(yè)務(wù)的不利影響降低到最小應(yīng)用硬件服務(wù)2005-10-2948基本概念v事故Incident：是一個(gè)不屬于標(biāo)準(zhǔn)服務(wù)操作的事件，它會(huì)造成或者可能造成服務(wù)的中斷或者質(zhì)量降低。又稱事件，或者故障。v優(yōu)先級(jí)：基于業(yè)務(wù)影響和緊急程度，定義事故、問(wèn)題或者變更需要被解決的順序。2005-10-2949主要活動(dòng)v發(fā)現(xiàn)和記錄v分類和初步支持v劃分優(yōu)先級(jí)（影響程度和緊急程度）v研究和診斷v解決和恢復(fù)v關(guān)閉v負(fù)責(zé)、監(jiān)控、跟蹤和協(xié)調(diào)v報(bào)表2005-10-2950事故控制流程事故查明和記錄CMDB初步歸類、評(píng)估和支持事故調(diào)查和分析服務(wù)請(qǐng)求解決事故和恢復(fù)服務(wù)處理服務(wù)請(qǐng)求終止事故監(jiān)控事故、人員溝通、維護(hù)S

25、LA、自動(dòng)升級(jí)YN2005-10-2951事故匹配事故一般事故已知錯(cuò)誤已知問(wèn)題新建問(wèn)題一般解決方案臨時(shí)措施解決方案臨時(shí)措施解決方案臨時(shí)措施解決方案一般事故計(jì)數(shù)1已知錯(cuò)誤計(jì)數(shù)1已知問(wèn)題計(jì)數(shù)1通知服務(wù)臺(tái)問(wèn)題管理2005-10-2952劃分優(yōu)先級(jí)高中低低中高緊急程度緊急程度影響程度影響程度3214325432005-10-2953事故控制調(diào)查分析是繼續(xù)調(diào)查分析否否否一線支持一線支持二線支持二線支持三線支持三線支持n線支持線支持檢測(cè)和記錄分類和初步支持服務(wù)請(qǐng)求？初步支持是否解決？恢復(fù)服務(wù)服務(wù)請(qǐng)求處理流程調(diào)查分析是否解決？恢復(fù)服務(wù)是否解決？恢復(fù)服務(wù)終止2005-10-2954升級(jí)功能權(quán)力2005-10-

26、2955事故管理流程SLA參數(shù)解決方案解決方案臨時(shí)措施配置信息解決方案 &臨時(shí)措施輸入事故服務(wù)臺(tái)計(jì)算機(jī)操作網(wǎng)絡(luò)規(guī)程其它事故源 事故管理流程事故管理流程查明和記錄分類和初步支持調(diào)查和分析解決和恢復(fù)事故終止服務(wù)請(qǐng)求配置管理數(shù)據(jù)庫(kù)（CMDB）問(wèn)題管理變更管理可用性管理能力管理服務(wù)級(jí)別管理轉(zhuǎn)移和監(jiān)督事故數(shù)據(jù)變更請(qǐng)求報(bào) 告報(bào) 告報(bào) 告2005-10-2956好處與風(fēng)險(xiǎn)v業(yè)務(wù)好處通過(guò)規(guī)范的管理流程，實(shí)現(xiàn)及時(shí)的支持減少事故對(duì)業(yè)務(wù)的影響通過(guò)責(zé)任制、跟蹤、升級(jí)等實(shí)現(xiàn)主動(dòng)的管理提高用戶滿意度vIT好處改進(jìn)對(duì)SLA的監(jiān)控提高人員的利用率減少“丟失”事故的現(xiàn)象更準(zhǔn)確的信息CMDBv可能風(fēng)險(xiǎn)一些專家陷于日常事務(wù)

27、中沒(méi)人管理和升級(jí)事故缺少解決事故的知識(shí)不恰當(dāng)?shù)娜藛T培訓(xùn)缺少與其它流程集成不實(shí)際的用戶期望忘記或者不恰當(dāng)?shù)墓芾硎鹿?005-10-2957關(guān)鍵績(jī)效指標(biāo)與報(bào)表v錯(cuò)誤委派的百分比v事故數(shù)量統(tǒng)計(jì)v解決事故的時(shí)間v滿足SLA的百分比v平均成本v事故響應(yīng)時(shí)間v事故一次解決概率v客戶滿意度版權(quán)所有, http:/, 2005問(wèn)題管理Problem Management2005-10-2959流程目標(biāo)v通過(guò)主動(dòng)發(fā)現(xiàn)根源錯(cuò)誤，防止相關(guān)事故重復(fù)出現(xiàn)，將事故和問(wèn)題對(duì)業(yè)務(wù)的不利影響最小化。v問(wèn)題管理的目標(biāo)是尋找根源錯(cuò)誤和修復(fù)錯(cuò)誤的方法。2005-10-2960基本概念v問(wèn)題：多個(gè)具有相同癥狀反復(fù)出現(xiàn)的事故、或者出現(xiàn)一

28、個(gè)嚴(yán)重的未知根源故障事故的情況。v已知錯(cuò)誤：經(jīng)過(guò)診斷和分析后，成功找到一個(gè)問(wèn)題的根源故障的情況，即已知哪個(gè)CI出現(xiàn)錯(cuò)誤。v臨時(shí)措施Workaround:是避免事故或者問(wèn)題的方法，也許是一個(gè)臨時(shí)補(bǔ)丁，或者是能夠避免已知錯(cuò)誤的技術(shù)?；A(chǔ)架構(gòu)錯(cuò)誤基礎(chǔ)架構(gòu)錯(cuò)誤事故事故問(wèn)題問(wèn)題已知錯(cuò)誤已知錯(cuò)誤 臨時(shí)措施臨時(shí)措施 RFC變更管理變更管理CI錯(cuò)誤錯(cuò)誤解決方案解決方案影響業(yè)務(wù)未知根源已知根源評(píng)估授權(quán)2005-10-2961主要活動(dòng)v問(wèn)題控制識(shí)別并記錄問(wèn)題定制臨時(shí)的措施根源分析定位CI錯(cuò)誤RFC、解決問(wèn)題、關(guān)閉v錯(cuò)誤控制開(kāi)發(fā)修復(fù)CI錯(cuò)誤的措施提交RFCv主動(dòng)問(wèn)題管理在事故發(fā)生前，發(fā)現(xiàn)問(wèn)題趨勢(shì)分析預(yù)防性措施重大問(wèn)

29、題回顧v報(bào)表2005-10-2962問(wèn)題管理發(fā)現(xiàn)和記錄問(wèn)題分類調(diào)查和分析錯(cuò)誤控制跟蹤和監(jiān)控問(wèn)題問(wèn)題數(shù)據(jù)庫(kù)2005-10-2963錯(cuò)誤管理（問(wèn)題控制）發(fā)現(xiàn)和記錄錯(cuò)誤評(píng)估錯(cuò)誤記錄錯(cuò)誤解決方案終止錯(cuò)誤與相關(guān)問(wèn)題跟蹤和監(jiān)控錯(cuò)誤RFC 成功的實(shí)施變更2005-10-2964問(wèn)題管理流程匹配信息、應(yīng)急措施、快速修復(fù)變更請(qǐng)求（RFC）信息信息事故管理能力管理配置管理服務(wù)級(jí)別管理可用性管理問(wèn)題管理問(wèn)題數(shù)據(jù)庫(kù)變更管理記錄實(shí)施后評(píng)審（PIR）2005-10-2965好處與風(fēng)險(xiǎn)v更加有效和直接的管理事故v提升服務(wù)質(zhì)量v減少事故和問(wèn)題的數(shù)量v永久的解決方案v事故控制流程v員工問(wèn)題v知識(shí)庫(kù)系統(tǒng)v處理已知錯(cuò)誤2005-1

30、0-2966關(guān)鍵績(jī)效指標(biāo)與報(bào)表v服務(wù)質(zhì)量反復(fù)出現(xiàn)的事故和問(wèn)題的概率嚴(yán)重影響服務(wù)的事故和問(wèn)題的概率v問(wèn)題影響平均解決問(wèn)題的時(shí)間平均分析問(wèn)題的時(shí)間v減少用戶成本影響用戶工作的問(wèn)題數(shù)量主動(dòng)問(wèn)題管理數(shù)量版權(quán)所有, http:/, 2005變更管理Change Management2005-10-2968流程目標(biāo)變更管理的目標(biāo)是確保在變更實(shí)施過(guò)程中使用標(biāo)準(zhǔn)的方法和步驟，盡快地有效實(shí)施變更，以將由變更所導(dǎo)致的業(yè)務(wù)中斷對(duì)業(yè)務(wù)的影響減小到最低。2005-10-2969基本概念v變更：一個(gè)造成CI變化的動(dòng)作較小、主要、重大標(biāo)準(zhǔn)變更（已經(jīng)審批）緊急變更v變更管理主體變更管理委員會(huì)CAB緊急變更管理委員會(huì)CAB/E

31、CC級(jí)管理層v變更文檔變更請(qǐng)求RFC變更進(jìn)度計(jì)劃FSC預(yù)計(jì)服務(wù)可用性PSA2005-10-2970主要活動(dòng)v受理（過(guò)濾請(qǐng)求）v分類（優(yōu)先級(jí)和類別）v審批（評(píng)估、授權(quán)和安排）v協(xié)調(diào)（構(gòu)建、測(cè)試、實(shí)施、審查）v報(bào)表2005-10-2971受理vRFC必須包括評(píng)估的時(shí)間變更的原因（who, what, where, when, why, how)改變的CIv幫助用戶明確變更v變更一旦被接受，需要通知提交者v不需要進(jìn)行授權(quán)2005-10-2972分類v優(yōu)先級(jí)影響程度緊急程度v類別較小變更管理員主要變更管理委員會(huì)CAB重大C級(jí)管理層緊急CAB/EC2005-10-2973審批RFC變更管理員變更管理委員

32、會(huì)C級(jí)管理層CAB會(huì)議授權(quán)較小的變更主要的變更重大的變更2005-10-2974變更管理與實(shí)施準(zhǔn)備準(zhǔn)備實(shí)施實(shí)施實(shí)現(xiàn)實(shí)現(xiàn)測(cè)試測(cè)試分類分類優(yōu)先級(jí)優(yōu)先級(jí)授權(quán)授權(quán)計(jì)劃計(jì)劃發(fā)布發(fā)布回顧回顧 + 評(píng)價(jià)評(píng)價(jià)CABRFC撤銷撤銷實(shí)施實(shí)施管理管理拒絕拒絕拒絕拒絕變更總是從RFC開(kāi)始，以回顧結(jié)束。2005-10-2975變更流程配 置 管 理 流 程 拒絕是否實(shí) 施提交 & 登記RFC篩選 & 接受RFC歸類 & 排序緊急RFC？計(jì)劃 & 組織構(gòu) 建測(cè) 試實(shí) 施可以運(yùn)行評(píng)價(jià) & 終止是否處理程序緊急RFC啟動(dòng)撤銷計(jì)劃2005-10-2976其它流程關(guān)系RFC評(píng)估變更審批變更

33、實(shí)施變更審查變更關(guān)閉變更發(fā)布的各個(gè)方面查詢CMDB報(bào)告影響更新記錄基線、DSL、DHS更新信息CMDBDSLDHS結(jié)束2005-10-2977好處與風(fēng)險(xiǎn)v有效整合IT服務(wù)與業(yè)務(wù)需求v減少變更被撤銷v增加用戶生產(chǎn)力v增強(qiáng)管理大量變更的能力v官僚流程v文化差異v不定期的審核v繞過(guò)流程v都是緊急的2005-10-2978關(guān)鍵績(jī)效指標(biāo)與報(bào)表v非授權(quán)變更百分比v按時(shí)完成的變更百分比v緊急變更百分比v未經(jīng)測(cè)試而實(shí)施的變更v變更前后對(duì)SLA的影響v每個(gè)變更的成本v失敗的變更的百分比版權(quán)所有, http:/, 2005配置管理Configuration Management2005-10-2980流程目標(biāo)v識(shí)

34、別和記錄所有在配置管理范圍內(nèi)的IT組成模塊v提供邏輯的模型識(shí)別、控制、維護(hù)和驗(yàn)證現(xiàn)存配置項(xiàng)CI的信息。2005-10-2981基本概念v基礎(chǔ)架構(gòu)：硬件、軟件和相關(guān)文檔。v配置項(xiàng)CI：在配置管理中，最基本的信息單元是配置項(xiàng)（Configuration Items，CIs）。所有軟件、硬件和各種文檔。v配置管理數(shù)據(jù)庫(kù)CMDB：指包含每個(gè)配置項(xiàng)及配置項(xiàng)之間關(guān)系的數(shù)據(jù)庫(kù)。v配置基線Baseline：一個(gè)產(chǎn)品或者系統(tǒng)在某一個(gè)特定時(shí)刻的配置。2005-10-2982基本概念v范圍Scope：指配置管理和CMDB包含的范圍，它是動(dòng)態(tài)的。因?yàn)镃I狀態(tài)是被變更管理所控制的，所以專業(yè)人員必須現(xiàn)實(shí)的決定CMDB的范

35、圍。v配置項(xiàng)級(jí)別CI Level：表示描述CI的詳細(xì)程度v屬性：記錄配置項(xiàng)的細(xì)節(jié)。例如位置、序列號(hào)、版本、負(fù)責(zé)人等。v關(guān)系：描述在基礎(chǔ)架構(gòu)中現(xiàn)存配置項(xiàng)之間的接口。2005-10-2983配置管理的范圍資產(chǎn)管理配置管理IT資產(chǎn)資產(chǎn) 文檔和關(guān)系文檔和關(guān)系所有部門的資產(chǎn) 房地產(chǎn) 設(shè)備庫(kù)存 辦公設(shè)備 生產(chǎn)設(shè)備 法律文件2005-10-2984主要活動(dòng)v規(guī)劃：計(jì)劃和定義配置管理的范圍、目標(biāo)、策略、過(guò)程、組織、技術(shù)等。v識(shí)別：選擇和定義配置分類結(jié)構(gòu)、負(fù)責(zé)人、內(nèi)部關(guān)系和配置文檔。v控制：確保只有經(jīng)過(guò)授權(quán)的CI被管理和記錄，即沒(méi)有CI在沒(méi)有適當(dāng)?shù)目刂莆臋n情況下被增加、修改、代替或刪除。v狀態(tài)記錄：對(duì)每個(gè)CI生

36、命周期的狀態(tài)進(jìn)行報(bào)表。v驗(yàn)證和審核：通過(guò)一系列的回顧和審計(jì)進(jìn)行配置驗(yàn)證，保障配置管理信息與實(shí)際的配置相符。vCMDB管理：備份、歸檔和維護(hù)v提供配置管理服務(wù)v報(bào)表2005-10-2985規(guī)劃v戰(zhàn)略：明確策略、范圍、目標(biāo)v現(xiàn)狀：資產(chǎn)位置、配置、技術(shù)工具v組織：人員、崗位、責(zé)任v接口：項(xiàng)目、供應(yīng)、應(yīng)用、支持v相關(guān)流程：變更管理和發(fā)布管理范范 圍圍級(jí)級(jí)別別顯示顯示鍵盤鍵盤CPUSLA打印機(jī)打印機(jī)網(wǎng)絡(luò)網(wǎng)絡(luò)PC服務(wù)服務(wù)硬件硬件軟件軟件文檔文檔環(huán)境環(huán)境UPSDB辦公辦公 郵件郵件軟件軟件2005-10-2986識(shí)別v配置項(xiàng)CI范圍配置項(xiàng)級(jí)別和細(xì)節(jié)（屬性）v數(shù)據(jù)收集和記錄標(biāo)號(hào)和命名v控制級(jí)別和基線配置結(jié)構(gòu)v

37、配置項(xiàng)關(guān)系父子連接使用2005-10-2987控制v注冊(cè)/歸檔：CMDB備份v更新：狀態(tài)改變、屬性更新、負(fù)責(zé)人或崗位改變、變更、發(fā)布v授權(quán)字控制：軟件的非法使用造成的罰金v完整性：保障只有被授權(quán)和被確認(rèn)的CI被記錄在CMDB中注冊(cè)、準(zhǔn)備好、使用中、變更中、作廢2005-10-2988狀態(tài)記錄v審核歷史記錄v基線和發(fā)布狀態(tài)v狀態(tài)變更的責(zé)任v基于CI跟蹤問(wèn)題和變更計(jì)劃構(gòu)建測(cè)試實(shí)施運(yùn)行維護(hù)報(bào)廢2005-10-2989驗(yàn)證和審核v發(fā)布和變更v一致性v錯(cuò)誤的發(fā)現(xiàn)v審核的周期v工具2005-10-2990好處與風(fēng)險(xiǎn)v準(zhǔn)確的CI信息和相關(guān)文檔v關(guān)聯(lián)法律責(zé)任v支持服務(wù)連續(xù)性計(jì)劃v支持財(cái)務(wù)規(guī)劃v由于CI級(jí)別不適

38、當(dāng)，造成太細(xì)致的信息v過(guò)于龐大的計(jì)劃v缺少管理的承諾v欺騙：追求速度、惡意2005-10-2991關(guān)鍵績(jī)效指標(biāo)與報(bào)表v設(shè)定目標(biāo)、跟蹤KPI未授權(quán)的配置非授權(quán)IT模塊的使用缺少、多余的授權(quán)字v管理方面配置審核成果非標(biāo)準(zhǔn)CI注冊(cè)CI的詳細(xì)信息信息的增長(zhǎng)版權(quán)所有, http:/, 2005發(fā)布管理Release Management2005-10-2993流程目標(biāo)v發(fā)布管理流程從全局的角度監(jiān)察IT服務(wù)的變化，并確保發(fā)布的各個(gè)方面。計(jì)劃和協(xié)調(diào)軟硬件的發(fā)布設(shè)計(jì)和實(shí)施有效的程序來(lái)分發(fā)IT系統(tǒng)的變更確保只有正確的、被授權(quán)的和經(jīng)過(guò)測(cè)試的軟硬件版本才能進(jìn)入生產(chǎn)環(huán)境結(jié)合變更管理，準(zhǔn)確發(fā)布確切內(nèi)容和首次發(fā)布計(jì)劃確認(rèn)

39、所有的最終軟件庫(kù)中軟件是安全可靠的。2005-10-2994基本概念v發(fā)布Release：是一組經(jīng)過(guò)授權(quán)的與IT服務(wù)相關(guān)的變更，典型的發(fā)布一般包含一些問(wèn)題的修復(fù)服務(wù)的升級(jí)。v發(fā)布類型Delta發(fā)布全發(fā)布包發(fā)布v最終軟件庫(kù)DSLv最終硬件庫(kù)DHSv發(fā)布策略2005-10-2995主要活動(dòng)v發(fā)布計(jì)劃v設(shè)計(jì)、構(gòu)建和定制發(fā)布v發(fā)布受理v實(shí)施計(jì)劃v溝通、準(zhǔn)備和培訓(xùn)v分發(fā)和安裝v報(bào)表2005-10-2996發(fā)布管理開(kāi)發(fā)環(huán)境測(cè)試環(huán)境生產(chǎn)環(huán)境CMDB、DSL和DHS發(fā)布管理發(fā)布策略發(fā)布計(jì)劃設(shè)計(jì)開(kāi)發(fā)采購(gòu)構(gòu)建定制目標(biāo)測(cè)試發(fā)布受理實(shí)施計(jì)劃溝通培訓(xùn)分發(fā)安裝2005-10-2997好處與風(fēng)險(xiǎn)v保障發(fā)布流程的質(zhì)量v滿足用

40、戶更高的要求v管理軟件和硬件的發(fā)布v減少非法、非授權(quán)軟件使用造成的風(fēng)險(xiǎn)v人們不愿意改變v流程欺騙v不明確的責(zé)任v缺少測(cè)試資源2005-10-2998關(guān)鍵績(jī)效指標(biāo)與報(bào)表v超出預(yù)算的發(fā)布vDSL和DHS的安全和準(zhǔn)確v發(fā)布的合法性v分發(fā)發(fā)布到遠(yuǎn)端的準(zhǔn)確性v非授權(quán)軟件的使用版權(quán)所有, http:/, 2005服務(wù)臺(tái)Service Desk2005-10-29100流程目標(biāo)v是一個(gè)服務(wù)職能，提供一個(gè)單獨(dú)的聯(lián)絡(luò)窗口SPOC，管理客戶請(qǐng)求、協(xié)調(diào)支持人員的工作，直至故障被解決。v又稱幫助臺(tái)2005-10-29101主要活動(dòng)v改進(jìn)服務(wù)v向用戶提供建議和指導(dǎo)v提供向用戶快速恢復(fù)正常服務(wù)v滿足SLA的要求v順暢溝通

41、和提升服務(wù)v報(bào)表2005-10-29102好處與風(fēng)險(xiǎn)v改變形象、提升服務(wù)質(zhì)量和滿意度v提高訪問(wèn)率v提高團(tuán)隊(duì)合作和溝通v不愿改變現(xiàn)狀v過(guò)大的負(fù)擔(dān)v管理策略不相信SPOCv較差的溝通技巧2005-10-29103關(guān)鍵績(jī)效指標(biāo)與報(bào)表v服務(wù)級(jí)別違規(guī)的事故/問(wèn)題狀態(tài)v員工工作量v用戶的投訴v滿意度調(diào)查v服務(wù)周報(bào)、月報(bào)v版權(quán)所有, http:/, 2005ITIL 之服務(wù)交付Service Delivery2005-10-29105Service Delivery五個(gè)流程vService Level Management服務(wù)級(jí)別管理vAvailability Management可用性管理vCapacit

42、y Management能力管理vFinancial Management (for IT Services)IT服務(wù)財(cái)務(wù)管理vIT Service Continuity ManagementIT服務(wù)持續(xù)性管理2005-10-29106服務(wù)提供流程之間的關(guān)系最終最終用戶用戶查詢服務(wù)服務(wù)水平管理水平管理可用性可用性管理管理容量容量管理管理IT服務(wù)服務(wù)財(cái)務(wù)管理財(cái)務(wù)管理IT服務(wù)服務(wù)連續(xù)性管理連續(xù)性管理溝通更新報(bào)告需求目標(biāo)成果SLAs, SLRs OLAs服務(wù)報(bào)告服務(wù)目錄意外報(bào)告審計(jì)報(bào)告應(yīng)急計(jì)劃風(fēng)險(xiǎn)分析需求定義控制中心容災(zāi)計(jì)劃審計(jì)報(bào)告財(cái)務(wù)計(jì)劃類型和模型花費(fèi)和預(yù)算審計(jì)報(bào)告容量計(jì)劃目標(biāo)和門限容量規(guī)劃進(jìn)度表

43、審計(jì)報(bào)告可用性計(jì)劃資產(chǎn)數(shù)據(jù)庫(kù)設(shè)計(jì)原則目標(biāo)和門限審計(jì)報(bào)告告警和意外變更管理工具2005-10-29107ITIL/ITSM小結(jié)v一個(gè)工具不能成為真正的解決方案v人是需要跨越的最大障礙v在ITSM內(nèi)，不要期望所有的流程都用快速的投資回報(bào)v要經(jīng)?；仡檝不要害怕變化，要適應(yīng)變化v不斷的設(shè)計(jì)要比實(shí)施更節(jié)約成本v交流是成功的關(guān)鍵2005-10-29108內(nèi)容v電信運(yùn)營(yíng)商之機(jī)遇與挑戰(zhàn)v薩班斯法（SOX）符合性vITIL與ITSMITIL 支持流程ITIL 交付流程v運(yùn)營(yíng)商信息化過(guò)程中的安全保障安全管理中心與安全運(yùn)營(yíng)BS77992005-10-29109關(guān)于安全管理中心SOC的定義【2002年11月】v安全運(yùn)

44、行中心（SOC）的概念起始于2000年下半年，它和管理安全服務(wù)（MSS）是相輔相成的關(guān)系。前者體現(xiàn)了集中監(jiān)控、整體安全的概念，后者的中心思想是安全管理的委托外包。它們之間有著緊密的聯(lián)系，但是卻沒(méi)有內(nèi)在的必然聯(lián)系。只不過(guò)在當(dāng)前業(yè)界的實(shí)踐中，許許多多的管理安全服務(wù)提供商（MSSP）都是通過(guò)建設(shè)SOC來(lái)提供服務(wù)的。vSOC概念的出現(xiàn)是整個(gè)安全管理逐漸成熟的標(biāo)志，反映了管理和技術(shù)層對(duì)于設(shè)備和應(yīng)用的安全屬性、安全產(chǎn)品等的健康狀況、策略、配置、事件、響應(yīng)等的關(guān)注和重視。SOC也是提高網(wǎng)絡(luò)安全投入產(chǎn)出比、最大限度集中利用安全專家隊(duì)伍智慧、提高對(duì)網(wǎng)絡(luò)突發(fā)事件的響應(yīng)能力的重要手段，它甚至是網(wǎng)絡(luò)運(yùn)行的自主控制權(quán)的

45、集中體現(xiàn)。2005-10-29110安全管理中心（SOC）【2002年11月】SOC是一種組織形式.2005-10-29111實(shí)時(shí)風(fēng)險(xiǎn)管理體系【2004年4月】 )(VVRTTRAARRisk新事件 新漏洞 新資產(chǎn)2005-10-29112安全管理中心事件管理進(jìn)階數(shù)據(jù)信息知識(shí)行動(dòng)關(guān)注收集層次化布署平臺(tái)應(yīng)用覆蓋性能可靠性保存開(kāi)放性關(guān)注過(guò)濾過(guò)濾機(jī)制合并機(jī)制靈活性實(shí)施能力智能性開(kāi)放性關(guān)注相關(guān)相關(guān)規(guī)則挖掘?qū)嵤┠芰χ悄苄蚤_(kāi)放性關(guān)注流程融合管理成熟度人流程技術(shù)專家知識(shí)實(shí)施能力靈活性開(kāi)放性L錯(cuò)誤或者失衡的資源分配和投資比例L錯(cuò)誤的架構(gòu)、不匹配的組織L認(rèn)為SOC的建設(shè)主要是產(chǎn)品安裝，對(duì)建設(shè)中項(xiàng)目風(fēng)險(xiǎn)認(rèn)識(shí)不足L

46、設(shè)計(jì)建設(shè)SOC時(shí)沒(méi)有考慮IT基礎(chǔ)設(shè)施的特點(diǎn)L定義了不適當(dāng)?shù)捻?xiàng)目目標(biāo)L集成商和原廠家的技術(shù)支持力度不夠L對(duì)選擇SOC產(chǎn)品的可擴(kuò)展性、健壯性、性能沒(méi)有透徹的了解L沒(méi)有設(shè)計(jì)好相應(yīng)的管理和應(yīng)急流程L認(rèn)為SOC建設(shè)完、驗(yàn)收結(jié)束就大功告成2005-10-29113事件管理外的安全管理中心SOC安全主管和管理員安全主管和管理員安全管理中心安全系統(tǒng)元素變更與發(fā)布事件管理IT系統(tǒng)管理員系統(tǒng)管理員/兼職安全管理兼職安全管理配置信息SOC內(nèi)部活動(dòng)策略與審計(jì)漏洞與補(bǔ)丁事件分析帳號(hào)口令情報(bào)、教育SOC活動(dòng)延伸維護(hù)監(jiān)視記錄2005-10-29114從風(fēng)險(xiǎn)評(píng)估到安全框架資產(chǎn)信息Assets威脅和脆弱性Threats &am

47、p; Vul.安全技術(shù)框架Technology 身份認(rèn)證 訪問(wèn)控制 反病毒 風(fēng)險(xiǎn)評(píng)估 安全審計(jì) 入侵檢測(cè)風(fēng)險(xiǎn)分析Risk Assessment關(guān)鍵業(yè)務(wù)(LOB)安全策略框架Security Policy 安全主策略 資產(chǎn)分級(jí) 風(fēng)險(xiǎn)模型 網(wǎng)絡(luò)互聯(lián) 郵件管理 符合性 密鑰管理 安全組織框架Organization 安全組織 許可使用 第三方運(yùn)營(yíng)保障框架Operation Safety 連續(xù)性 緊急響應(yīng) 可用性 容量 應(yīng)用管理 服務(wù)臺(tái) 2005-10-29115安全運(yùn)營(yíng)管理框架示例一安全運(yùn)營(yíng)是指在安全策略的指導(dǎo)下，安全組織利用安全技術(shù)來(lái)達(dá)成安全保護(hù)目標(biāo)的過(guò)程二安全運(yùn)營(yíng)與IT運(yùn)營(yíng)相輔相成、互為依托、共

48、享資源與信息三安全運(yùn)營(yíng)與安全組織緊密聯(lián)系，融合在業(yè)務(wù)管理和IT管理體系中安全策略安全組織管理安全運(yùn)行維護(hù)安全技術(shù)基于運(yùn)行維護(hù)管理運(yùn)用基于指導(dǎo)落實(shí)AAA安全域劃分其它相關(guān)技術(shù)規(guī)范管理層指示安全框架最佳實(shí)踐管理維護(hù)管理執(zhí)行2005-10-29116安全技術(shù)框架示例監(jiān)控人員、維護(hù)人員、(安全)管理人員門戶展現(xiàn)|數(shù)據(jù)模型|公開(kāi)接口安全管理服務(wù)管理事件監(jiān)控用戶管理資產(chǎn)管理服務(wù)臺(tái)事件管理問(wèn)題管理配置管理安全審計(jì)風(fēng)險(xiǎn)管理變更管理AODB, DCS, CATS, FIDS, VGDS,BCAS.應(yīng)用 主機(jī) 網(wǎng)絡(luò) 存儲(chǔ) 中間件 備份 其它 監(jiān)控管理故障監(jiān)控資產(chǎn)發(fā)現(xiàn)桌面管理數(shù)據(jù)采集報(bào)表展現(xiàn)2005-10-2911

49、7安全域劃分與邊界整合v基于業(yè)務(wù)邏輯、地域和管理以及業(yè)務(wù)特點(diǎn)識(shí)別核心應(yīng)用核心應(yīng)用業(yè)務(wù)邏輯關(guān)系、網(wǎng)絡(luò)依賴關(guān)系等分析和文檔化“域”屬性納入配置管理和變更管理v確認(rèn)域內(nèi)和域間相應(yīng)的安全保護(hù)措施參考威脅等級(jí)和安全保護(hù)等級(jí)分析強(qiáng)調(diào)邊界安全保護(hù)中安全策略的重要性，邊界安全強(qiáng)度不等于“單層”“雙層”“異構(gòu)”防火墻安全設(shè)備的“安全策略”納入配置管理和變更管理（實(shí)體級(jí)）2005-10-29118安全訪問(wèn)授權(quán)審計(jì)系統(tǒng)-AAAv意義重大，薩班斯法案（SOX）的要求404條款的要求v建立內(nèi)部控制系統(tǒng)并保證其充分完備有效vIAM（即AAA）是內(nèi)部控制系統(tǒng)的基礎(chǔ)v明確角色權(quán)限劃分、職責(zé)分離原則，制定布署細(xì)則v在系統(tǒng)和應(yīng)用

50、AAA融合前，通過(guò)管理制度和安全策略做到互相支持v系統(tǒng)級(jí)AAA強(qiáng)化面向自然人和操作級(jí)的安全審計(jì)v應(yīng)用級(jí)AAA以關(guān)鍵應(yīng)用為核心，制定面向Web Service的相關(guān)標(biāo)準(zhǔn)、技術(shù)要求和改造計(jì)劃，逐步覆蓋更多應(yīng)用2005-10-29119參照標(biāo)準(zhǔn)和符合性要求BS7799CoBITITIL各種符合性要求COTS Best of Breed 定制開(kāi)發(fā)電信界廣泛接受NGOSS/eTOM2005-10-29120內(nèi)容v電信運(yùn)營(yíng)商之機(jī)遇與挑戰(zhàn)v薩班斯法（SOX）符合性vITIL與ITSMITIL 支持流程ITIL 交付流程v運(yùn)營(yíng)商信息化過(guò)程中的安全保障安全管理中心與安全運(yùn)營(yíng)BS77992005-10-29121

51、BS 7799 背景背景BS 7799 是一項(xiàng)英國(guó)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)主要為工業(yè)政府以及企業(yè)建立一個(gè)基本框架來(lái)幫助這些機(jī)構(gòu)實(shí)施，建立以及測(cè)試實(shí)踐安全管理的有效性。 它是基于當(dāng)前信息安全方面最好的英國(guó)及國(guó)際機(jī)構(gòu)而建立的，并且獲得國(guó)際認(rèn)可.目前,英國(guó)標(biāo)準(zhǔn)協(xié)會(huì) （BSI) 發(fā)行了兩部BS 7799 標(biāo)準(zhǔn)：BS 7799-1:2000BS 7799-2:2002 / BS 7799:2005 （將要發(fā)行）（將要發(fā)行）2005-10-29122信息安全管理標(biāo)準(zhǔn)BS7799/ISO17799BS7799/ISO17799信息安全管理綱要、指南信息安全管理綱要、指南Part I: Code of practice

52、for information security management信息安全管理認(rèn)證體系信息安全管理認(rèn)證體系Part II: Specification for information security management2005-10-29123BS7799和ISO17799的區(qū)別vBS7799英國(guó)標(biāo)準(zhǔn)已被多個(gè)國(guó)家認(rèn)同（如澳大利亞等）第二部分是可認(rèn)證標(biāo)準(zhǔn)2002年新修訂了第2部分。新版本風(fēng)格接近ISO9000和ISO14000。vISO177992000年采納了BS7799的第一部分第二部分還在討論中2005年10月份 ISO27001發(fā)布，即原來(lái)BS7799-2的更新2005-10-2

53、9124ISO27000系列安全標(biāo)準(zhǔn)vISO 27000 定義系列標(biāo)準(zhǔn)中用到的技術(shù)術(shù)語(yǔ)vISO 27001 即ISO版本的 BS 7799-2, 用以認(rèn)證的標(biāo)準(zhǔn)vISO 27002 將會(huì)是改名重新發(fā)布的 ISO17799:2005, 即 BS 7799-1 (大概在2006或2007發(fā)布);vISO 27003 將闡述ISO 27000系列標(biāo)準(zhǔn)的實(shí)施指南vISO 27004 將會(huì)闡述信息安全管理系統(tǒng) (ISMS) 實(shí)施有效性的度量值和測(cè)量標(biāo)準(zhǔn) ;vISO 27005 將會(huì)是ISO版本的 BS 7799-32005-10-291252005版主要變化p移除9 項(xiàng)控制措施p新增17項(xiàng)控制措施p新增

54、加一個(gè)章節(jié) A13: Information security incident managementp重組(Regrouping)部份控制措施，使其關(guān)聯(lián)性更符合邏輯、容易應(yīng)用p修改(Revised/Refined)部份控制措施的描述，使其符合實(shí)際情況、容易理解2005-10-29126BS7799 / ISO 17799BS7799 / ISO 17799v安全策略v安全組織v資產(chǎn)分類及控制v人員安全v物理和環(huán)境安全v通信和運(yùn)作管理v系統(tǒng)訪問(wèn)控制v系統(tǒng)開(kāi)發(fā)與維護(hù)v業(yè)務(wù)連續(xù)性規(guī)劃v符合性信息安全管理綱要信息安全管理綱要Code of practice for information secur

55、ity management2005-10-29127“Not all the controls described will be relevant to every situation, nor can they take account of local environmental or technological constraints, or be present in a form that suits every potential user in an organisation.” “不是所有描述的控制措施與所有情況有關(guān)，這些控制措施也沒(méi)不是所有描述的控制措施與所有情況有關(guān)，這

56、些控制措施也沒(méi)有考慮地方的環(huán)境和技術(shù)限制，或以適用于任何一個(gè)組織中的潛有考慮地方的環(huán)境和技術(shù)限制，或以適用于任何一個(gè)組織中的潛在的使用者的形式展現(xiàn)。在的使用者的形式展現(xiàn)。BS 7799-1:2000包含：包含： 36個(gè)控制目標(biāo)和個(gè)控制目標(biāo)和127個(gè)控制措施個(gè)控制措施Control objectives and controls 控制目標(biāo)和控制措施控制目標(biāo)和控制措施2005-10-29128BS7799BS7799內(nèi)容和結(jié)構(gòu)內(nèi)容和結(jié)構(gòu)一 安全策略(1,2)二 組織安全(3,10)三 資產(chǎn)分類管理(2,3)四 人員安全(3,10)五 物理和環(huán)境安全(3,13)六 通信和操作管理(7,24)七 系統(tǒng)

57、訪問(wèn)控制(8,31)八 系統(tǒng)開(kāi)發(fā)和維護(hù)(5,18)九 業(yè)務(wù)連續(xù)性管理(1,5)十 符合性(3,11)說(shuō)明: (m,n)表示m個(gè)控制目標(biāo)，n個(gè)控制方法2005-10-29129Key controls關(guān)鍵控制措施關(guān)鍵控制措施BS 7799 identifies 8 controls as BS 7799 識(shí)別識(shí)別8個(gè)控制措施作為個(gè)控制措施作為-“guiding principles providing a good starting point for implementing information security.”“指導(dǎo)原則提供最佳的實(shí)施信息安全的起始點(diǎn)指導(dǎo)原則提供最佳的實(shí)施信息安全的起

58、始點(diǎn)”“They are either based on essential legislative requirements or considered to be common best practice for information security.”“他們或是建立在基本的法律要求或被認(rèn)為是公認(rèn)信息安全的最佳實(shí)踐他們或是建立在基本的法律要求或被認(rèn)為是公認(rèn)信息安全的最佳實(shí)踐”2005-10-29130Intellectual property rights 知識(shí)產(chǎn)權(quán)保護(hù)知識(shí)產(chǎn)權(quán)保護(hù)(A12.1.2)Safeguarding of organisational records保護(hù)組織的記

59、錄保護(hù)組織的記錄(A12.1.3)Data protection and privacy of personal information數(shù)據(jù)保護(hù)和個(gè)人信息隱私數(shù)據(jù)保護(hù)和個(gè)人信息隱私 (A12.1.4)Controls with legislative implications與法律有關(guān)的控制措施與法律有關(guān)的控制措施2005-10-29131Objective 目標(biāo)目標(biāo)To avoid breaches of copyright through prevention of copying without owners consent. 防止未經(jīng)擁有者允許的復(fù)制，避免防止未經(jīng)擁有者允許的復(fù)制，避免

60、違反產(chǎn)權(quán)保護(hù)違反產(chǎn)權(quán)保護(hù) Restrictions on copying限制復(fù)制限制復(fù)制 Licence agreements許可協(xié)議許可協(xié)議 Policy compliance符合方針?lè)戏结?Contract requirements合同要求合同要求Intellectual property rights知識(shí)產(chǎn)權(quán)知識(shí)產(chǎn)權(quán)2005-10-29132Objective 目標(biāo)目標(biāo)Prevention of loss, destruction and falsification of important records.防止丟失，破壞和篡改重要的記錄防止丟失，破壞和篡改重要的記錄 Retention保持保持 Storage儲(chǔ)存儲(chǔ)存 Disposal處置處置Safeguarding o