IT可信赖的承载体—ISO 20000对组织的帮助
IT可信赖的承载体—ISO 20000对组织的帮助
引言
如刊首语所言,组织的发展有着不同的阶段,在一个组织扩张到需要变成“优秀的组织(Good)”组织时,方方面面的因素都需要同步进阶到“优秀”水准,IT作为承载着业务的基础,成为了至关重要的一环。
信息之于组织,有如血脉之于机体。当血脉不畅时,机体的功能就会衰退,而当失血的时候,机体就会遭受重创甚至停顿。组织也是如此,因此早先年,人们一边痛恨ERP一边还在构建ERP,而今天人们已经不再讨论是否要用ERP管理企业的运作,而是在讨论升级ERP到哪一个平台,在规划ERP能支持多少年的业务发展。试想在您的组织里,今天如果信息系统不工作了,您还有多少业务能勉力维持呢?极端的情况是,当组织信息系统崩溃的时候,所有的人都停下来等待,不一定是所有的业务都在信息系统里跑,而是人们的行为习惯已经离不开信息系统。
当我们在享受着信息系统带来的便利时,其实同时也在忧患它是否安全可靠,是否能在任何情况下都支援业务的运作,是否能提供精准的信息供决策。IT系统一向被认为是黑盒,因而IT职能在组织中地位微妙并尴尬,时而成为关注焦点而获得大力扶持,时而成为风暴的中心受到谴责。所以IT外包成为一时的潮流。今天,作为一个可信赖的组织,不论你的IT是自营还是外包,IT环境的安全稳定、所能提供信息准确都是自有的责任。
那么,IT管理能透明起来吗,能够向管理层,向使用单位透明吗?能够在可信赖组织的构建时,成为驱动因素吗?ISO 20000标准把IT的管理落在服务管理的范畴,加深了IT与业务的结合,让我们来分析一下,作为可信赖组织的承载体,IT所需要的加固。
服务交付管理—可信的起源
当我们把IT当作一种服务来管理的时候,就可以把其中的技术因素打包,而把服务的特质留存下来,从而让IT管理开始透明起来。
站在业务角度,对IT的期望和要求是什么?能书面化下来吗?如果能书面话下来,能在供需双方达成一个一致的见解吗?如果能达成一致的见解,IT服务提供方有什么手段来保障这些期望能被满足?
假设我们需要的是一个稳定运作的ERP系统,作为业务运营和财务管理的支撑,那么对ERP支持和维护的工作来说,要求是什么呢,我们第一想到的是稳定运行不宕机;第二想到的是其中的数据精准无误、无泄漏;第三想到的是能应对未来业务发展的需求;第四还得想到,在外部发生意外时,系统不受影响,依旧能为业务提供保障;最后还需要,这些表现能及时被我们掌握,并且费用是合理的。
这些要求想出来之后,把其中可以量化的因素用数字表达,提交给管理层审阅,然后与服务提供者达成一个协议—服务级别协议(SLA),从此,IT知道业务需要什么,而业务呢也知道IT 能提供什么,双方的关系开始透明起来,这就开始了可信赖的第一步。接下来,就需要有更多的管理手段,对SLA中确定下来的指标进行管理。
系统稳定不宕机
这是一种美好的期望,可能需要极大的投资才能做到一定程度的稳定性。而服务管理能做的事情是什么呢,首先是规划好高可用性的架构,然后加强监控,在系统发生故障之前发现任何端倪,防患于未然。其次是合理分配业务,把关键业务放在IT服务能力强的时间和位置,避开IT服务能力调整的区间段,也许并没有进行投资,只是通过排列组合,就让业务的稳固水平大幅提升。在ISO 20000所倡导的IT服务管理模型中,这叫做可用性管理。
数据精准无泄漏
如何能做到数据精准?这需要系统设计精良,提供防呆用户接口,提供数据检合机制,需要保障只有被授权的用户才能修改数据。而泄漏则是非授权用户获取了数据,或者信息被授权用户不当扩散。ISO 20000的安全管理,就是应对这类需求。安全管理通过对信息安全风险的掌控,通过用户权限分配和审核、授权的查验、系统设计时的安全考虑、以及对系统的使用状况进行监控,再加上对用户的安全意识加强,数据的安全将会得到保障。
应对未来所需
信息系统的能力随需增长是一个愿望。ISO 20000的容量管理则正是想把这一愿望变成现实。通过对未来业务发展的预期,通过预测技术的发展速度,通过对自身的了解,IT的容量规划可以被准确定义,接下来,通过对系统容量的监控,随时掌握系统的发展和变化,给自己足够的余裕进行容量的拓展。容量拓展不仅包括升级扩容,更应该进行容量调优,通过提升能力而扩展容量范围,从而使容量能够包容业务的发展速度。
应对重大灾害
当发生重大灾害时,常规的方法不能保障业务的持续,因此组织需要有灾害准备,IT也一样需要能应对重大灾害,在组织的整体连续性管理框架之下,对IT连续性进行分析和评估,做好信息的备份、做好设备的准备、做好场所的安排、做好人员技能的传承,那么在意外发生时,IT不会成为业务恢复的阻碍,而是成为业务连续的基石。
沟通和报告
在SLA的框架之下,提供准确可靠的报告,是透明管理的点睛之笔。准确可靠的性能报告、故障报告、趋势分析、工作量统计等内容,将会在IT服务供需双方架起沟通的桥梁,使相互了解成为可能,使相互信任成为现实。其中翔实的数据,为预算核算提供支持。
图一
通过上述步骤,组织的IT将从规划和管理上,具备稳定、可靠、安全的特征,并能够应对未来的发展和意外的灾害。
在规划和策划的基础之上,日常的运维和操作,将会把规划的可信落到实处。
服务支持—可信的落实
事件与问题—现象和根源管理
在IT提供业务承载的过程中,难免会出现一些事件,他们或者是系统的故障,或者是操作的失误,或者是服务的请求,这些事件的发生,都有可能降低IT的可信赖度,而事件管理就关注于对现象的解决,让事件的发生尽可能少地影响到业务的运作。同时另外一个问题管理的流程,则通过识别和分析,找出事件背后的原因,消除其未来的发生可能。如此把现象和根源都管理到位之后,IT的管理分清了主次,可信赖度也获得大幅提升。
变更与发布—风险尽在掌控
随意变更的风险,是危害IT稳定性的最大源头,因此把变更控制起来,分析其可能的影响,并通过足够的沟通与授权,让变更以最小影响改善已有的设施和服务。而对变更的发布管理,则关注于操作风险的控制,通过详尽的计划和测试,通过完整的回退计划,通过严谨的备份操作,让发布过程循规蹈矩,最小化对现实业务的影响。如此控制了变更策划的风险,规范了实施的步骤和过程,风险尽在掌控中。
配置管理—信息的枢纽
不论是快速响应事件还是调查背后的根源,不论是分析变更的影响,还是编写发布的计划,都需要获得最新的配置信息,这依赖于作为信息枢纽的配置管理。理想的配置管理下,从配置管理数据库中可以获得日常操作中所需要的所有信息。
图二
规划完备的基础上,日常操作能响应事件,调查背后原因,控制变更的风险,安全的环境下进行发布,并维护全面的信息枢纽,至此,可信赖的IT已经构建并运作,让这个循环滚动起来,则为可信赖组织提供坚实的基础。
结束语
从IT服务管理的规范化,帮助业务的成长,从而构建一个可信赖的组织,这是每个组织运转到一定阶段都可以进行的改善动作。ISO 20000从原理上对此进行了规范,并给出了满足IT可信赖运作的具体要求,参照ISO 20000实施的IT服务管理体系,可以提升客户满意度,改进IT运作水平和能力,让业务的发展更加顺畅。
