ISO 20000与BS 25999

ISO 20000与BS 25999
    为何IT部门人员如此的关注于业务持续管理这个领域呢？我们回顾一下IT发展的历史不难看出，随着企业的发展IT对企业运作的支撑已经逐步从协助企业提高生产效率转变成为支撑企业的日常运转的核心业务，一旦it系统出现状况将导致企业或组织的业务的中断甚至倒闭关门。尤其以银行和证券行业为重，银行核心帐务系统的中断，股票交易所的交易系统中断的后果不堪想象，其中断造成的影响已经上升到影响国计民生的高度。IT部门如何在日常工作中将业务持续管理管好，在灾难出现时及时有效的处理、回避或减小灾难的损失，是很多IT部门领导所关心的重要问题。
ISO20000是IT服务管理的国际标准，通过一个完整的体系帮助组织构建一个完整的服务管理框架。由于ISO20000标准与IT部门日常工作开展的联系十分紧密，现在正在被越来越多的企业和组织所认识，并依据其作为标准构筑IT运维的服务管理体系。BS25999是刚刚推出的关于业务持续管理的框架标准，目的在于当我们面对灾难时能从容应对以及将损失降到最小。两个标准在IT部门的交集便是IT部门领导所关注的问题的焦点了，需要想办法让持续管理融化在IT部门日常工作当中，实现IT部门的业务持续管理。
首先，我们为什么要按照标准来做认证呢？在谈到这个问题的时候交通银行数据中心高军总经理认为：“通过认证可以在相对短的时间内提供组织内在的动力，保证工作的开展。”认证项目的作用是使得组织在短时间内目标明确，全体动员，资源充足集中精力解决一个重要问题。像交行这样的企业，证书并不是目的，通过认证使得组织具有完整的运维服务管理体系，完善的管理制度和统一的话语平台以及高效的沟通渠道，使得组织绩效提高，同时也为组织的持续管理打下“群众基础”和管理基础。BS25999中提出六个步骤，分别为BCM管理程序，理解组织，决定战略，开发并实施BCM响应计划，演练、维护和评审回顾，以及把BCM植入组织文化。最后一点把业务持续管理植入组织文化，通过什么方式呢？如何建立呢？我想ISO20000里面有很多手段都可以帮助我们实现这个最高境界。
理解组织
理解组织，需要用到一些方法论，如业务冲击分析，风险评估，对于IT部门的持续管理，在实施ISO20000过程中信息安全流程和可用性持续管理流程中会进行以上两项分析，同时还要考虑到服务级别的要求，服务中断所最大能忍受的时间、数据丢失量。最终得到关键业务的恢复优先顺序，恢复所需资源，以及面临的威胁。
决定持续管理战略
在制定战略的时候需要考虑如下方面的资源

A．人，人的能力意识是否能够满足要求，关键人员的依赖程度以及把关键人员放置到不同场所。ISO 20000中要求组织能确保人员的能力和意识能满足服务的需求，故需要建立起一套培训管理体系，确保所需要的业务能力以及需要了解的灾备方面的知识能顺利传递到每个需要了解的人，可以将每个岗位设置主备人员，并对其培训，这样就解决了组织中‘孙悟空’一但缺失造成业务中断的风险。人员在进行事件管理时被培训的事件分类，紧急程度都在出现灾难时成为发现问题并上报问题的有效渠道。什么样的情况是一般事件，什么样的事件需要直接上报，根据优先级和影响程度处理也不同，随着优先级不同，紧急变更进行处理的决策人可能不同。这些只有让员工在每天工作当中对流程和处理十分熟悉，才能在“战时”处理地十分自如。

B.场所和技术，是否有灾备中心，自建或是租用ISO 20000标准并没有规定，但对于组织满足SLA的要求是否需要灾备中心就需要组织自己仔细分析一下了。技术手段包括的设备容量，可用性都在ISO 20000标准里面有要求，同时在财务管理里面对如何进行财务的预算核算也有管理要求。在灾难发生时我们必须确保供应商能及时赶到并进行处理，在关键时刻能达到这点必须在日常就对供应商进行严格的管理，ISO 20000中也有供应商关系管理流程。同时配置管理是我们强大的数据后盾，为我们的恢复提供宝贵的数据。

C．利害相关人，包括了我们的领导，客户以及供应商，当然还有员工。在供应商管理中我们事先做了利害相关人列表，所有的联络方式均可在灾难发生时及时得到，以上信息是否真实有效呢？当然必须定期的进行管理和维护。当灾难过程中或结束后，我们对利害相关人的报告通知变得十分重要，ISO 20000中的业务关系管理流程，和服务报告流程恰恰就早已为我们打通了汇报、联系和沟通的渠道，同时别忘了我们还有服务台以及投诉的渠道，随时了解最终用户的信息，这样使我们在紧急状态下工作仍能按部就班。
开发并实施持续管理响应计划
制定灾难恢复预案是十分重要的，应针对不同场景编制应急预案，应急预案通常包括了恢复策略，响应组织及流程，触发条件，响应通讯及操作指南，以及需要通知及协助处理的利害相关方和支持人员。在ISO 20000的可用性持续管理流程中有所要求。
演练维护和评审回顾
在ISO 20000的可用性持续管理里面要求预案必须得到演练，演练必须得到有效的策划和管理，以确保起有效性可执行性，和适合性。同时演练中发生的问题作为问题进行管理，也许还会产生容量需求被编入容量计划中。深圳证券交易所在做灾备演练的时候会通知全部券商和上下游单位一起协同演练，真正是演练从难，从严，从实战出发，也只有经过这样锻炼的队伍才能保证十几年股票交易从未中断的骄人成绩。
持续管理程序管理
如果让持续管理持续有效，就必须进行持续的pdca的循环，找到问题并加以解决。ISO 20000在实施过程中帮追全员了解pdca思想，并且对pdca的熟悉，贯彻，理解会帮助持续管理的改进工作做的很扎实，有着很好的群众基础，全体员工在思维方式和意识上认同并支持这样的做法。
把持续管理植入组织文化
将持续管理植入组织文化就是将其融化在每个员工的思想里，融化在相关制度中，融化在日常工作中，使每个人都了解自己在持续管理中的角色。如果单纯的进行持续管理培训，效果未必能很好，但是如果将其规范到每个人的日常工作要求中，使整个管理体系的各个方面都能很好的成为持续管理的基础，这样我们的客户会更加信任我们的组织。
持续管理的概念很大，以上只是谈了在IT组织内部的持续管理，并不能覆盖持续管理的全部。业务部门的持续性分析以及业务部门的持续管理并没有很深入的涉猎。在ISO 20000标准里面有一个流程专门讲的持续管理，但我认为在组织中的IT持续管理并不是一个流程就能解决的问题，整个的管理体系都可以为其服务，这个也就是为什么ISO 20000在认证的时候不允许有删减，毕竟IT服务管理是一盘棋，目标都是为了为客户提供稳定高效满意的服务。