淺談基于ITIL的規(guī)范運維保障體系在企業(yè)中的建設(shè)與應(yīng)用

彭國勇

摘要：該文通過對質(zhì)量管理體系、ITIL和信息系統(tǒng)安全等級保護(hù)三套標(biāo)準(zhǔn)進(jìn)行分析，提出了一種以質(zhì)量管理體系為框架，ITIL流程控制為主線，等級保護(hù)管理標(biāo)準(zhǔn)為保障的綜合運維保障體系建設(shè)方法。并通過梳理實施過程中各項主要工作的關(guān)系，根據(jù)分段實施、穩(wěn)步推進(jìn)原則，總結(jié)了一條可操作、可落地的規(guī)范運維保障體系實施路線。

關(guān)鍵詞：質(zhì)量管理；規(guī)范運維；企業(yè)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）09-2028-03

大多企業(yè)經(jīng)過十余年的信息化發(fā)展，大規(guī)模的信息化建設(shè)基本完成，即將面臨著長期的系統(tǒng)運行維護(hù)的問題。但與信息系統(tǒng)建設(shè)的較高水平相比，還普遍存在IT服務(wù)管理較弱的問題，缺乏有效的管理手段與方法，這就使信息化的投入充滿了很大的不確定性，也使信息化效果很難控制。因此，如何對企業(yè)龐大的技術(shù)系統(tǒng)進(jìn)行科學(xué)、高效的管理，從而發(fā)揮它的最大效能，降低運營成本，是當(dāng)前企業(yè)信息化過程中必須面對的挑戰(zhàn)。

1 三套標(biāo)準(zhǔn)在運維體系中的適用性分析

ISO9000質(zhì)量管理體系標(biāo)準(zhǔn)在各企業(yè)和單位中的運用非常廣泛，是對整個單位運作、服務(wù)過程進(jìn)行質(zhì)量控制管理的體系，通過質(zhì)量手冊、文件控制、記錄控制等方面為管理對象的實施提供指導(dǎo)，側(cè)重于對宏觀運作流程的控制，但不包括各專業(yè)業(yè)務(wù)層面的特定要求。

ITIL作為一種以流程為基礎(chǔ)、以客戶為導(dǎo)向的IT服務(wù)管理指導(dǎo)框架，它擺脫了傳統(tǒng)IT管理以技術(shù)管理為焦點的弊端，實現(xiàn)了從技術(shù)管理到流程管理，再到服務(wù)管理的轉(zhuǎn)化，適用于IT服務(wù)管理和服務(wù)流程的控制。

等級保護(hù)管理體系是對信息系統(tǒng)的科學(xué)、安全運行進(jìn)行監(jiān)督和控制的體系，從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等方面為信息安全專業(yè)層面提供指導(dǎo)，適用于運作流程中各節(jié)點的安全控制。其中的保護(hù)等級劃分，也為信息安全投入和安全保障水平提供了平衡點。

對于已經(jīng)實施ISO9000的單位，信息化職能部門在ISO9000貫徹實施時往往與自身信息化業(yè)務(wù)無法融合，即便進(jìn)行了融合也常以信息化的一般性運維工作為主，沒有考慮規(guī)范化安全運維工作在整個單位和組織質(zhì)量控制體系中的重要性。因此將ITIL、等級保護(hù)思路與ISO9000融合，即可具體落實ISO9000體系中的流程控制，也可以彌補等級保護(hù)在體系要求、文件控制和記錄控制等方面的薄弱環(huán)節(jié)，同時完善ISO9000體系中對信息安全領(lǐng)域的專業(yè)性，最終形成以質(zhì)量管理體系為框架，ITIL流程控制為主線，等級保護(hù)管理標(biāo)準(zhǔn)為保障的綜合運維保障體系。

2 規(guī)范運維保障體系架構(gòu)設(shè)計與文件體系建設(shè)

結(jié)合三套標(biāo)準(zhǔn)的特點進(jìn)行運維管理架構(gòu)設(shè)計時，在體系結(jié)構(gòu)層面要考慮運維體系的建設(shè)周期、各標(biāo)準(zhǔn)在運維體系中所處的層次、每個層次要達(dá)到的要求及PDCA方法論等。在服務(wù)流程層面要考慮結(jié)合企業(yè)的現(xiàn)狀，IT服務(wù)支持模式和管理流程及最佳實踐等。在具體操作層面要考慮響應(yīng)方式、實現(xiàn)工具、安全要求、監(jiān)控方法等。將三大標(biāo)準(zhǔn)體系體系結(jié)構(gòu)層面設(shè)計：在整個運維生命周期中，包括運維體系建設(shè)、運維支持管理、運維成效管理及運維持續(xù)改進(jìn)四個階段。這四個階段形成一個PDCA持續(xù)改進(jìn)的管理循環(huán)。通過建立檢查、反饋機制，對信息安全管理體系運行情況進(jìn)行監(jiān)督和控制，建立動態(tài)調(diào)整機制，確保信息安全管理體系符合新形勢、新技術(shù)發(fā)展要求。

服務(wù)流程層面設(shè)計：系統(tǒng)運維的服務(wù)流程是信息化工作部門和服務(wù)供應(yīng)商向業(yè)務(wù)部門的服務(wù)交付和支持過程，通過建立“一站式”的服務(wù)臺和規(guī)范的流程程序，提高IT部門對事件的響應(yīng)能力和IT運維工作的規(guī)范性，防范手工方式出現(xiàn)對用戶請求的遺忘，以及非規(guī)范的操作引起的系統(tǒng)風(fēng)險，同時要幫助信息化工作部門實現(xiàn)運維知識的積累和共享，提升運維和管理的整體水平。

具體操作層面設(shè)計：在系統(tǒng)運行維護(hù)中，各項工作（事件、變更等）的處理程序、操作步驟、完成時限及服務(wù)要求等，均要制訂相應(yīng)的標(biāo)準(zhǔn)和規(guī)范，在涉及安全管控點時，可通過建立符合信息系統(tǒng)等級保護(hù)要求的安全配置基線，統(tǒng)一信息系統(tǒng)建設(shè)和運行技術(shù)配置標(biāo)準(zhǔn)。

按照上述三個層面之間的關(guān)系，落實到文件體系中時，可以質(zhì)量管理體系為總體框架，將體系文件分為三個級別：一級程序文件為綱領(lǐng)性文件，用于描述整個體系架構(gòu)運作流程和運維方針策略。主要包括信息化建設(shè)與管理程序，信息系統(tǒng)運維管理程序，涵蓋信息化建設(shè)與運維全過程。二級程序文件按ITIL流程管理為主線，為一級程序提供可操作的流程化文件。主要包括：項目管理、事件管理、問題管理、配置管理、發(fā)布管理、變更管理、應(yīng)急管理等流程。三級流程涉及具體操作規(guī)范，落實二級流程文件中涉及的各方面運維和安全管理內(nèi)容。主要包括：溝通管理、授權(quán)與審批管理、文件規(guī)范性管理、介質(zhì)管理、資產(chǎn)管理、網(wǎng)絡(luò)管理、系統(tǒng)管理、安全事件與應(yīng)急管理、備份與恢復(fù)管理等方面。記錄表單為實際運維過程的記錄。各級文件組成結(jié)構(gòu)如圖2所示。

文件體系是運維體系架構(gòu)的管理體現(xiàn)，是管理落地的基礎(chǔ)，也要運用PDCA管理。

3 規(guī)范運維保障體系ITIL流程設(shè)計

要想管理體系得到貫徹執(zhí)行，就要對規(guī)范化運維流程進(jìn)行科學(xué)有效的設(shè)計。因為流程是管理的終端，主要解決的是管理固化問題。而ITIL作為事實上的國際標(biāo)準(zhǔn)，基本與組織性質(zhì)和業(yè)務(wù)性質(zhì)無關(guān)，僅明確指出應(yīng)該“做什么”，但不講“如何做”。因此流程設(shè)計時還要結(jié)合企業(yè)的現(xiàn)狀，本著一切從實際出發(fā)的原則，考慮企業(yè)對IT服務(wù)管理的切身需求，按照最佳實踐和企業(yè)的實際設(shè)計出的合理的IT服務(wù)支持模式和管理流程，建立自己的方法論。

在具體的規(guī)范流程設(shè)計過程中，首先要考慮的是人員崗位職責(zé)。應(yīng)用服務(wù)管理之后，IT部門的組織架構(gòu)、職能、工作方式都會隨之發(fā)生一定變化。建立規(guī)范的流程，需要確定IT支持人員和管理人員的職責(zé)，通過流程角色的設(shè)置，而不是單純依靠組織結(jié)構(gòu)的設(shè)置來把角色和職務(wù)分開。同時制定配套的人員角色和職責(zé)及考核機制，以實現(xiàn)對人員的量化管理和資源的有效利用。

其次是確定提供服務(wù)的管理流程。在ITIL中已歸納為服務(wù)級別管理、IT服務(wù)財務(wù)管理、能力管理、IT服務(wù)持續(xù)性管理和可用性管理5個服務(wù)管理流程。這些管理流程用于解決“客戶需要什么”、“為滿足客戶需求需要哪些資源”、“這些資源的成本是多少”、“如何在服務(wù)成本和服務(wù)效益（達(dá)到的服務(wù)級別）之間選擇恰當(dāng)?shù)钠胶恻c”等問題，服務(wù)提供所包括的這5個核心流程均屬于戰(zhàn)術(shù)層次的服務(wù)管理流程，用以確定服務(wù)級別協(xié)議及滿足服務(wù)要求所需要的最優(yōu)資源，也就是說如何做正確的事。

再次是確保用戶得到適當(dāng)?shù)姆?wù)支持以保障組織業(yè)務(wù)功能。服務(wù)支持流程體現(xiàn)服務(wù)接觸和溝通的5個運作層次的流程，即事件管理、問題管理、配置管理、變更管理和發(fā)布管理。這5個服務(wù)管理流程的主要職能是，確保IT服務(wù)提供方所提供的服務(wù)質(zhì)量，符合服務(wù)級別協(xié)議（SLA）的要求，即如何正確的做事。ITIL核心流程之間的層次關(guān)系如圖3所示。

最后是引入服務(wù)臺、服務(wù)連續(xù)性管理等流程自動化工具，以系統(tǒng)工具來固化流程，再不斷完善流程。同時要關(guān)注工具之間的聯(lián)動和信息整合，如果可能，盡早的進(jìn)行統(tǒng)一的規(guī)劃，建立集成規(guī)范要求，以保證投資在未來得到充分保護(hù)，不被浪費。

所以，ITIL的應(yīng)用過程和效果的獲得，不是簡單的單純通過項目建設(shè)能夠達(dá)到的，是企業(yè)信息中心部門、咨詢服務(wù)提供商、產(chǎn)品提供商等多方共同努力的結(jié)果，也是一個持續(xù)改進(jìn)、不斷優(yōu)化的長期過程。

4 構(gòu)建信息系統(tǒng)等級保護(hù)為基礎(chǔ)的防護(hù)體系

保障體系要結(jié)合管理體系和ITIL流程，落實安全技術(shù)及管理要求?？梢罁?jù)分級、分域、分區(qū)、分層的防護(hù)原則，對運維的信息系統(tǒng)按級別劃分安全區(qū)域進(jìn)行管理，各安全域劃分為網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)環(huán)境、主機系統(tǒng)及應(yīng)用環(huán)境四個安全層次，最后形成縱深防御體系。

在技術(shù)上可通過強化邊界訪問控制、規(guī)范網(wǎng)絡(luò)訪問行為、強制主機管理、構(gòu)建應(yīng)用授權(quán)和身份認(rèn)證平臺、加強審計監(jiān)控等措施構(gòu)建協(xié)同防御。每個安全保護(hù)部件或設(shè)備應(yīng)具有安全保護(hù)功能獨立完整、調(diào)用接口簡潔、與安全產(chǎn)品相對應(yīng)和易于管理等特征，在后期綜合運維服務(wù)與監(jiān)控平臺集成建設(shè)中能夠保障數(shù)據(jù)的共享和協(xié)同防御。在管理上通過建立綜合運維服務(wù)與監(jiān)控平臺。將機房環(huán)境監(jiān)控系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、性能監(jiān)測與管理系統(tǒng)、入侵防御系統(tǒng)等監(jiān)控與管理的系統(tǒng)告警和性能監(jiān)測數(shù)據(jù)進(jìn)行整合，梳理各個資源之間的告警關(guān)系，進(jìn)行集中監(jiān)控告警模型設(shè)計，并可進(jìn)行工具產(chǎn)品的客戶化定制，實現(xiàn)集中監(jiān)控管理和指揮控制，為運維體系安全運行提供全面的管理保障。

5 規(guī)范運維保障體系實施路線

在實施階段，要考慮若一次性全部實施所有流程帶來的風(fēng)險，可采用分階段實施的方法，做到穩(wěn)步推進(jìn)，以便取得良好效果。大致可分為前期準(zhǔn)備階段，全面試運行階段，正式運行及擴展階段，綜合優(yōu)化調(diào)整階段。

1）前期準(zhǔn)備階段

明確參與運維工作人員的崗位職責(zé)，做到權(quán)限分離。開展等級保護(hù)測評并根據(jù)等級保護(hù)要求制定安全配置基線及相關(guān)操作規(guī)范。根據(jù)等級保護(hù)測評結(jié)果，按照分級、分域、分區(qū)、分層原則制定安全技術(shù)基礎(chǔ)平臺整體解決方案，在管理與技術(shù)上提供安全依據(jù)。試運行ITIL運維管理五大流程，檢驗工作流程的可操作性。梳理清楚管理對象，完善資產(chǎn)配置管理，確定運維管理的范圍。

2）全面試運行階段

全面開展規(guī)范化運維工作，在運維平臺中體現(xiàn)所有運維工作并力爭全員參與，做到運維職責(zé)明確，流程處理程序規(guī)范，操作標(biāo)準(zhǔn)，過程有痕跡并制定合理的績效考核方案。在日常運維工作中查找不足，提供改進(jìn)意見，不斷完善質(zhì)量目標(biāo)文件、流程體系文件和操作手冊。充分發(fā)揮知識庫作用，將常見問題解決方法進(jìn)行歸納總結(jié)并上傳至知識庫，做到知識共享。同時實施完成安全技術(shù)基礎(chǔ)平臺，實現(xiàn)安全管理中心與運維平臺互聯(lián)互通問題，保證安全要求融入運維流程中。

3）正式運行及擴展階段

全面運行完善后的ITIL運維管理五大流程，結(jié)合ISO20000相關(guān)運維標(biāo)準(zhǔn)，構(gòu)建信息化運維服務(wù)運維服務(wù)體系，規(guī)范化、標(biāo)準(zhǔn)化、痕跡化運維管理工作。運用PDCA過程，進(jìn)一步細(xì)化調(diào)整管理體系，總結(jié)體系運行情況，調(diào)整不適用和無法落實的部分，使之能高效、有序的運作。同時定期通過第三方機構(gòu)對已測評的信息系統(tǒng)開展等級保護(hù)復(fù)評，找出所有系統(tǒng)的安全隱患，并提出整改方案和實施計劃，督促信息安全措施的落實。

4）綜合優(yōu)化調(diào)整階段

總結(jié)前期的規(guī)范化運維工作，調(diào)整不適用的部分，常態(tài)化的管理體系運作。定期進(jìn)行內(nèi)部評審，找出與當(dāng)前工作的不適用部分進(jìn)行優(yōu)化調(diào)整；同時在工作中，結(jié)合工作實際，尋求更高效安全的方法優(yōu)化體系，提高體系的效能。

綜合上述實施階段，確定實施路線圖如圖4所示。

參考文獻(xiàn)：

[1] 陳忠義.基于ITIL的ITSM與IT設(shè)施監(jiān)控[J].計算機安全，2008.1

[2] 葉永生.基于ITIL方法的運維服務(wù)系統(tǒng)研究與設(shè)計[J].現(xiàn)代計算機（專業(yè)版），2012.3.