萍乡ISO认证 业务连续性管理体系

ISO20000IT运维服务认证包含了IT服务的规划设计、部署实施、服务运营、持续改进和监督管理等全生命周期阶段应遵循的标准，涉及信息系统建设、运行维护、服务管理、治理及外包等业务领域。
      ISO20000认证即信息技术服务标准，是一套用于实施标准化的信息技术服务的体系化标准库。它规定了IT服务的组成要素和生命周期，并对其进行标准化，可以有效提升企业IT服务质量、优化成本，一定程度上也降低了企业IT服务风险。            
      ISO20000认证包含了IT服务的规划设计、部署实施、服务运营、持续改进和监督管理等全生命周期阶段应遵循的标准，涉及信息系统建设、运行维护、服务管理、治理及外包等业务领域。  
      ISO20000认证影响的五要素分别是人员、管理、技术、过程和资源。就IT服务本身而言，通常情况下是由具备匹配的知识、技能和经验的人员，合理运用资源，并通过规定流程向客户提供IT服务。
随着IT技术的持续发展,IT行业变得越来越**化,IT行业管理变得越来越复杂,我国的IT行业的成长也越来越快.但是在发展速度上,如何跟进的IT服务管理水平;在应用推广上,如何开展主流IT服务管理核心概念,摆在了国内各企业的面前.原先,国内大多数企业必须通过IS09001这个国际质量管理认证标准,但是它并不适用于现在的IT行业.直到2005年12月,国际标准化组织(ISO)和国际电工会(IEC)共同发布了ISO/IEC 20000标准.就此,IT服务管理领域个国际标准诞生了.如何将ISO/IEC20000标准在IT行业中应用推广,如何使国内各类行业都依靠的IT服务行业这一重要平台来遵循国际标准,成为众多IT公司的一个关键问题.所以无论是IT外包公司,还是使用IT服务支持前台和后台业务的企业,都需要建立一套基于IS020000的IT服务管理系统,来通过ISO 20000认证,从而提高对业务的服务质量并确保其IT服务管理系统安全.本系统通过引入ISO/IEC20000标准,将服务运营的管理流程(即:事件服务请求管理,问题管理,配置管理,变更和发布管理,知识管理,文档管理)融入进面向证券行业IT服务的管理中,使得该IT服务管理系统成为一个集中化,规范化的服务管理平台,以解决目前证券公司IT运维所面临的问题.本系统采用了面向对象的开发方法,基于BMC remedy AR系统和B/S体系结构,通过对服务管理模块进行详细的需求分析和设计,实现了面向证券行业的IT服务管理系统。

ISO20000的目标是“为任何提供IT服务的企业提供一套通用的参考标准，不论其为内部客户还是外部客户提供服务”。由此看出，ISO20000标准从其产生和制定的目标来看，始终把提供IT服务的企业和部门作为认证主体。
       ISO20000标准的制定者是来自各个行业的IT服务。同样，标准本身的服务对象也是各个行业的IT服务
提供商。因此，凡是存在IT服务职能的机构、组织，不论它是为企业内部提供IT服务支持，还是为企业外部客户提供IT服务，都是ISO20000认证标准的需求者。
     他们包括（但不限于）以下类别：
● IT服务外包提供商
---他们是IT服务行业的者，ISO20000管理体系是保证向客户交付高质量服务的根本保证，也是彰显IT服务能力的重要标志。  其中特别指出的是为跨国公司提供软硬件支持服务的外包公司，他们业务涉及**的跨国公司，客户对国际标准要求高。因此，这类组织机构需要整合自身资源，通过ISO20000信息技术服务管理体系国际标准，紧 跟国际标准步伐，为业务的国际化发展奠定基础。
● IT系统集成商和软件开发商
---这类企业采用ISO20000信息技术服务管理体系规范并对所提供的软/硬件产品提供标准化的服务。在产品整个生命周期内保证产品的高质量服务和持续支持。
● 企业内部IT服务提供商或IT运营支持部门
---银行、电信、地产、等大型国有企业和上市公司。这些组织机构的IT系统规模通常都很庞大，业务对于IT的依赖程度高。随着组织内部IT统复杂度的几何增长，他们亟需改善内部IT服务管理水平，为业务的稳定和发展提高有力支持。他们通常通过与业务部门签订SLA来实现IT服务的交付明晰化、服务可计量化，以及保证可持续的内部IT服务改进能力。
理论上说ISO20000适合于任何有IT公司, IT组织和IT部门（电脑部门，IS部门，信息中心)。对于IT服务的甲方而言，通过ISO20000可以知道如何要求IT服务厂商，对于乙方而言，可以 更好投标和服务。简单说，ISO20000适合于任何对于IT 服务品质有想法有要求的各类组织。

如何制定ISO20000认证中制定ISO20000的公司战略目标？
在制定IT战略的时候，要从两个维度进行思考。
其中一个工具是结合企业当前 IT的成熟度，以此评估企业现状。以过往的IT战略评估情况来看，大概会从15个方面进行评估。
1.公司战略
IT战略与公司的组织战略、经营战略是否步调一致？在未来的3~5年里，公司战略是怎样的发展方向？
2.创新管理
IT战略在执行过程中，是否能支持IT创新管理的相关模式？因为如今的经营环境变幻无穷，而在此过程中，IT战略是否能够支撑创新管理？
3.知识运作管理
公司应当通过怎样的平台来确保知识、工作技能得以传承？某种程度上来说，这旨在让公司的组织资产和数据资产得到更好地延续。
4.信息和数据的管理
公司能够得到哪些数据？这些数据又能够产生怎样的价值？与此同时，我们还要不断深度挖掘和评估潜在价值。
5.企业架构
先得明晰企业的架构，从而使得IT架构匹配企业规模与业务发展。
6.转型能力
企业是否有足够的转型能力来支撑企业未来的策略，亦或是对其他的商业环境下的不同打法进行支持。
7.营销与沟通
IT的营销是否能够提升IT与其他业务部门沟通与执行的能力。
8.项目管理
如何对IT进行项目化管理？当前的管理现状如何？是采取粗放的形式，还是实施了较为严格的管理规范？
9.测试和认证
我们会对资产的稳定性以及成本效益进行进行相关的测试。同时，需要了解资产的现状。
10.IT资产和运维
IT资产主要是为了确保系统能够保持稳定。与此同时，对于资产如何进行相应地匹配与管理都包含在苹果范围之内。另外，日常运维也应当拥有响应机制，以此确保系统的稳定性。
11.信息安全
如今，国家各个层面都会相应提及信息安全。
对于企业而言，其中涉及两部分。个部分，就国家层面而言，如何保证信息安全？*二个部分，就企业层面而言，如何确保商业的核心数据安全。
12.基础架构管理
从消费品行业角度出发，可能也会逐步建立自身的前台、中台与后台。
这就遇到棘手的问题：如何保证能够建立较为轻量化的前台、较为敏捷的且能够实时响应业务发展的中台以及较为厚重且稳定的后台，这就需要对自身基础架构的稳定性进行深入地评估。
13.分布式的基础架构
公司是否具备分布式的基础架构？企业需要快速部署敏捷的中台以及轻量化的前台，让分布式架构和微服务架构起到一定的支撑作用，从而就能实现对前端业务的快速响应与落地。
14.关键技术的覆盖率
目前，核心的业务系统运用了哪些关键技术？因为随着信息化的不断深入，企业会陆陆续续会上各种系统。而对于核心系统、核心技术，企业是否具备一定的掌控力，或是快速响应业务需求，对关键技术进行实时迭代。
15.运维服务的管理
针对运维服务的质量，业务部门有一套自身的评价体系，相应地，IT部门也应当对满意度进行评估。数字化处在一个持续上升、持续建设的阶段，而在评估中，我们自身得明确自身属于什么阶段，并了解业务部门对IT部门的满意程度与期望是怎样的。
这15个方面便是时刻把控着IT成熟度的有力工具。
另一个工具便是通过IT的贡献率来评估IT管理、IT战略规划对企业业务的支撑情况。
我们会将 IT贡献率分成三个环节：
1、从IT投入角度来评估企业现状。其中对IT投入的考量涉及外部资源环境以及企业内部的组织架构。
2、针对流程而言，IT经过了相应的外部环境与内部因素的相关评估之后，我们会进行实际的IT系统建设，以及对软硬件进行投入等，之后会进行流程建设。
3、顺利进入流程建设之后，也相应地开始了*三个环节：我们能给企业带来怎样的产出？比如，产品创新、价值提升、质量改进以及对直接成本与间接成本的改善。相应地，对于客户，渠道是否得到优化？企业是否能够产生增量？换言之，我们是否具备挖掘客户的潜力？以什么方式能够实现？终，通过这些产出，我们以此评估出通过IT战略等，能为企业利润带来怎样的提升。
通过对IT贡献率的评估，可以更好地实现IT战略的制定、执行与落地。

关于27001与20000的关系问题，我想主要要从三个方面进行分析：一是两者在组织管理中的地位关系；二是两者如何互相融合、借鉴；三是企业如何考虑使用这两套标准。
    先，来说说两者在组织管理中的地位。
    我先接触的是20000体系，而且在学之前系统学过ITIL理论。关于完整的IT服务管理体系，我的认识是它是关于企业中如何进行IT系统的运行服务管理的体系。这里有三个关键词语需要注意，一是IT系统，如果一个组织的业务对IT系统的依赖不大，大可不必上此套管理体系；二是运行，终目的强调的是IT系统的可用性，这也是整个ISO20000管理体系的核心；三是服务管理，强调说明运行维护是一项服务，服务级别管理及服务报告是服务管理的核心体现，也是ISO20000的精髓。在ISO20000的13个流程中有信息安全管理流程，标准中了信息安全管理要参考ISO17799。从这个层面理解，ISO20000应该包含ISO27001的内容。这也是我学完ISO20000后的初步认识和后来进一步学习27001的动机，目的都是为了做好IT服务的管理。
   从整个组织管理的角度看，ISO27001应该包含ISO20000。为什么这么理解？这要从ISO27001在组织管理中所起的作用来分析。27001主要讲的是信息安全管理体系的建设、运行、维护和改进。对于信息安全管理的目的，标准中反复强调的是保证信息的保密性、完整性和可用性，而我们*陷入的误区是信息安全就是保密性，不牵涉到完整性和可用性，实际上三者的整合才是信息安全管理的目的。前面已经提到，ISO20000的终目的是要管理IT系统的可用性，实际上只是完成了ISO27001中的可用性管理。而且从IT系统的生命周期看，20000管的是系统建设完成后的可用性管理，27001管的是从需求到开发到运行维护整个IT系统生命周期的可用性管理。从这个角度理解，仅仅对于可用性的管理，27001需要管理的范围就更大，而且，27001还要管理信息的保密性和完整性。当然，信息的完整性是个基本要求，信息不完整也意味者不可用，因此，无论是27001还是20000，对完整性的管理都是基本要求。
     ISO20000的服务管理思想是ISO27001所没有的，对于承担运维管理和安全管理的组织中的团队来说，服务管理的思想都是值得借鉴和采用的，因此服务级别协议和服务报告是先应该考虑融合、借鉴的。
     综合上述思路，可以归纳为“以服务管理的思想为，以风险管理的思想为核心，以ITIL流程管理的思路为主线对ISO27001和ISO20000进行融合”
   ，说说组织应该如何如何考虑使用这两套标准。
   在这个话题上，组织应该着重考虑两个问题。其一，这两套标准公司需要吗？其二，何时具备上的条件？
   我在这里主要强调的是*二个问题，当组织决定采用其中一个标准或两个标准都采用时，应该具备的条件。要知道，一套体系的建设是高难度的工作。按照我理解的成熟度模型，体系的建设应该是*三阶段的工作。一个阶段为打基础阶段，主要解决日常工作和的问题；二个阶段是流程建设阶段，要具备流程管理的能力；三个阶段才是体系建设阶段。因此，一个组织在没有经历前两个阶段前，不要盲目进入体系建设阶段。
从**层设计层面，鼓励企业建立信息技术服务管理体系。信息技术服务从类别上可以分为硬件和软件，硬件包括主机服务器、存储系统、网络交换机、网络路由器等产品，还包括机房环境设备；软件包括操作系统、数据库软件、中间件（软件）、备份软件、应用软件等。
       从过程管理信息有事件管理、问题管理、变更管理、发布管理、服务级别管理、可用性管理、连续性管理、业务关系管理等。
      从服务指标则分服务满意度、服务运营成本、服务运营效率、服务运营能力、服务运营风险、人员要素、过程要素、资源要素等。
      总之，信息技术服务是一个体系性的工作，当然国际上有相应的标准来这方面的工作开展，国内有国家标准这方面的开展，每一个参与方遵循相应的标准，不低于标准的情况下开展信息技术服务工作，才能收到的生产效益。
       我们在工作中都明白一个道理，一个对应的标准肯定是适合多个参与方参考的，比如《信息技术服务 运行维护 通用要求》这个标准，就可以为以下四种情况提供参考：
计划提供运行维护服务的组织建立运行维护服务能力体系；
运行维护服务供方评估自身条件和能力；
运行维护服务需求方评价和选择运行维护服务供方；
第三方评价和认定运行维护服务组织能力。
运行维护服务能力模型
在多数情况下运行维护和运营是同时存在的两个活动，而运行维护为运营提供**，但是运行维护与运营是两个不同的概念。所以，也可以作为提供运营服务的组织建立运营服务能力体系、评价和改进自身的运行维护服务能力的。
很多人，在落实网络安全等级保护工作中，往往都是在等级保护测评阶段才发现针对等级保护相关标准，很多不满足。此时，寄希望与测评机构给出符合的测评结果为时已晚。在合规工作中，只有从开始就着手考虑，全局的考虑各个环节的工作，才能得心应手轻松应对。
如果问题还从源头上去找，在网络或信息系统设计以及信息技术服务之初，这些服务是否一一满足了对应的国家标准，如果前期各个环节能够很大程度上各方能够满足对应的国家标准，各司其职各负其责，卖信息技术服务的能够卖实打实的提供信息技术服务，买信息技术服务的能够买到货真价实的信息技术服务，那么理论上等级保护测评环节是很少存在不符合（现在为“差”）的情况，即使需要整改，只局限于小部分，或者说整改压力会非常小。