IT内部控制标准论文

IT内部控制标准论文（精选4篇）

IT内部控制标准论文 第1篇

1 IT供应链安全相关标准

IT供应链安全是近年来凸显的新问题, 目前还缺少符合信息安全政策需求的成熟的IT供应链安全风险管理标准。与此相关的已有标准分为三类:第一类是传统供应链安全管理国际标准;第二类是传统供应链信息安全管理国际标准;第三类是专门的IT供应链安全标准。

(1) ISO 28000供应链安全管理体系

ISO国际标准化组织针对人类、货物、基础设施和设备 (包括传送方法) 等方面的安全事故, 制定了ISO 28000《供应链安全管理体系》系列文件, 以预防供应链中可能出现的破坏性影响。ISO 28000具体由ISO/TC8 (船舶和航运技术) 制定, ISO/PAS28000:2005《供应链安全管理体系规范》是该系列第一项发布的标准。作为新的管理体系规范, 它首次为操作或依赖供应链中某一环节的组织提供了有关框架, 帮助行业各部门审核安全风险并实施风险管理措施来管理供应链中潜在的安全威胁和影响。其管理方式与其他基本业务原则如质量、安全和客户满意度的管理方式相同。

ISO 28000的出发点是满足运输和物流行业对共同安全管理标准的需求, 最终目标是改进供应链的全面安全。它提出的通用方法可用于IT供应链安全风险管理工作, 但其目的是为了应对运输和物流领域的典型威胁, 尚不足以处置IT环境中各种特殊的威胁场景。

(2) ISO/IEC 27036标准体系

ISO/IEC 27036《IT安全安全技术供应商关系的信息安全》是ISO/IEC 27000信息安全管理标准体系的组成部分, 为定义、实施、操作、监控、评审、保持和改进供应商关系管理规定了通用性的信息安全要求。这些要求覆盖了外包、产品和服务采购等各类情况, 例如制造业或装配业、业务过程采购、知识过程采购和云计算服务, 普遍适用于所有类型、规模和性质的组织。

ISO/IEC 27036是ISO针对供应链领域的特点专门制定的信息安全管理国际标准, 是ISO/IEC 27000在具体领域的应用, 其最初的出发点不是为了管理和控制IT供应链的安全风险, 但在美国标准化专家的努力下, 目前ISO/IEC 27036已经为IT供应链安全制定了子标准, 即ISO/IEC 27036-3《信息和通信技术供应链风险管理》。

(3) 专门的IT供应链安全标准

制定专门的IT供应链安全标准的工作起源于2009年2月。当时美国已经意识到专门的IT供应链安全标准的重要性, 为此在代表美国参与ISO活动的国际信息技术标准委员会 (INCITS) 下设的网络安全委员会 (CS1) 内, 美国成立了供应链风险管理 (SCRM) 专门委员会。该委员会审查了所有相关的国际标准, 特别是ISO/IEC 27000系列标准后, 认为制定独立的IT供应链安全风险管理标准势在必行。随后, 美国代表团在2009年11月向ISO/IEC JTC1/SC27提出了IT供应链安全风险管理标准草案。在此后一年内, SC27对此作了专门研究, 期间英国、日本等国也提出了补充建议。2010年10月, SC27决定重新调整ISO/IEC 27036的结构, 在其第三部分专门针对IT供应链安全提出要求, 这就是ISO/IEC27036-3。

ISO/IEC 27036-3提供了IT软件、硬件和服务的供应链安全指南, 将信息安全过程和实践整合到系统和软件的生命周期过程中, 专门考虑了与组织及其技术方面相关的供应链安全风险 (例如插入恶意代码或仿冒IT产品) 。

ISO/IEC 27036-3是第一部针对IT供应链安全提出的国际标准, 意义重大。但该标准目前处于第二版工作组草案阶段, 能否与我国的信息安全政策要求相衔接 (如产品认证制度) 更是未知之数。

2 典型IT供应链安全风险管理措施

近年来很多政府部门、标准化组织、研究机构都在提出IT供应链风险管理措施, 美国在这方面走在前列, 可为我国相关工作提供借鉴。

(1) 在联邦信息系统安全指南中提出的安全控制要求

美国国家标准与技术研究院 (NIST) 在发布SP 800-53《对联邦信息系统和组织的安全控制建议》时, 将“系统和服务采购”列为一项重要的信息安全控制类, 该控制类中的第12项要求便是“供应链保护”。该项安全控制措施要求联邦政府机构对供应链风险进行防范, 在系统全生命周期范围内关注脆弱性。可选的增强性措施包括:在采购系统软硬件和服务前就要对服务提供商进行细致审查和选择, 建立可信的交付渠道, 在同一系统中要采购多个供应商的产品, 尽量缩短采购决定和交货的时间差, 必要时对系统进行渗透性测试。根据《联邦信息安全管理法案》, NIST发布的SP 800-53对所有的联邦机构都具有强制性作用。

2012年2月, NIST对SP 800-53做了更新, 要求及时上报供应链安全事件。

(2) 对国家安全领域提出的要求

美国的国家安全系统是指对于国家安全至关重要的信息系统。早在2001年, 美国国家安全电信和信息系统安全委员会便宣布, 自2002年7月起, 在国家安全系统中强制使用经过美国NIAP (国家信息保障联盟) 认证的IT产品。虽然美国已与20多个国家共同签署了信息技术安全通用评估准则 (CC) 的互认协定, 但其国家安全系统的采购清单上迄今没有出现过由他国信息安全认证机构认证的信息技术产品。

美国2011年的《国防授权法案》对供应链安全做了特殊考虑, 第806节授权国防部长以及陆、海、空司令可直接将可能存在重大供应链风险的合同商排除在外。此外, 该法案还要求各有关机构持续监控供应链安全风险。

美国国家安全系统委员会2009年发布指令, 要求对采购活动的信息严格控制, 禁止随意披露。

(3) 专门制定的联邦信息系统供应链风险管理措施

2012年3月, 美国NIST发布了《联邦信息系统的国家供应链风险管理》, 提出了10项措施:

●清晰地确定本组织中供应链的组件、过程和参与者。

●对供应链中的访问和暴露加以限制。

●建立和维护对组件、过程、工具和数据的溯源记录。

●在严格控制的前提下共享有关信息。

●开展供应链风险管理培训。

●对系统、组件和过程使用预防性设计方法, 例如施加完整性保护技术。

●持续监督集成商的活动, 包括测试、监控、审计、评估等。

●强化交付机制。

●保障运维安全。

●在系统和组件的整个生命周期中, 做好废弃环节的工作, 包括最终的报废活动。

3 我国IT供应链安全风险管理标准定位

IT供应链安全问题来源于技术层面, 是各国面临的共同问题。但是与美国相比, 我国的IT供应链安全问题更加严峻。我国基础信息网络和重要信息系统中采购的国外IT产品和服务已经达到很大比例, 这相当于洞开国家安全的大门。因此, 制定符合我国国情的IT供应链安全风险管理标准已到了刻不容缓的地步。

在这个过程中, 要明确以下问题:

(1) 标准与技术、产业、行政管理的关系问题

IT供应链安全风险管理是一个系统工程, 标准是这个系统工程的一部分, 在基础条件不具备的情况下, IT供应链安全风险管理标准难以发挥有效作用。建议国家首先制定IT供应链安全风险管理政策文件, 除标准之外还要重点推动以下工作, 配合标准的制定与实施:一是加大科技攻关, 重点研发隐患、后门和漏洞发现技术, 以及完整性检测技术;二是完善采购政策, 涉及国家安全、公共利益的IT采购应当进行安全审查, 国家重点行业、重要部门应当针对供应链安全风险梳理现有的采购流程, 明确安全责任;三是扩展信息安全通报制度, 将供应链安全隐患和事件纳入国家网络与信息安全信息通报范围, 将有明确不法行为证据的厂商列入黑名单, 供公众在采购时参考;四是提升信息安全公共服务能力, 例如建立可信IT组件和产品签名制度和国家数据库;五是加强立法, 明确厂商法律责任, 并对当前业内流行的披露客户名单作为成功案例的行为予以严格限制。

(2) 标准的适用范围问题

为达到IT供应链安全风险管理目标, 既要对厂商提出要求, 也要对用户提出要求;既涉及产品生产, 也涉及服务提供。合理的IT供应链安全风险管理标准一定构成一套严密的标准族, 同时与IT服务、软件开发等IT通用标准相互配合。

为突出重点, 建议当前阶段重点制定以下两类标准:

一是面向厂商的IT设计与服务要求, 适用于IT产品的设计、集成、交付、安装、运行, 以及IT服务的实施, 也可用于IT产品的测评和IT服务安全资质的管理。

二是面向用户的要求, 适用于产品和服务的采购、日常信息安全运行维护。政府、重要行业、一般商业领域的信息安全管理体制各不相同, 建议制定IT供应链风险管理的通用用户要求, 在政府信息安全管理、基础信息网络和重要信息系统信息安全管理工作中, 通过特定政策 (如政府信息安全检查制度) 予以强制。

(3) 与现有制度的衔接问题

我国已经实施了信息安全产品认证认可制度, 同时正在研究制定信息技术服务的安全管理政策。IT供应链安全风险管理标准应当与信息安全产品认证认可制度密切衔接, 并为未来的信息技术服务安全管理制度奠定基础。具体是在信息安全产品认证认可制度的实验室检测和工厂检查过程中, 要评估IT厂商对供应链安全标准的符合性, 作为标准实施的重要抓手。CC是信息安全产品认证的基础标准, 其第三部分 (安全保证要求) 专门对产品的交付、安装和运行提出了要求, 传统产品认证制度的工厂检查环节也要求检查产品元器件质量管理体系, 这本身便出于供应链安全的考量, IT供应链安全风险管理标准可针对这些工作提供评估细则。

(4) 与WTO规则的关系问题

为有效规避WTO规则的限制, 吸取我国在建立信息安全产品认证认可制度过程中的经验教训, 建议做好三个方面的工作:

一是高度重视ISO/IEC 27036-3, 以该标准为基础制定我国国家标准。

二是深入研究美国、澳大利亚、加拿大等国将我国华为、中兴公司排斥在本国市场之外的政策依据和做法, 将这些做法借鉴、转化为我国国家标准要求, 在今后可能的贸易争端中占据有利地位。

三是利用我国还没有加入政府采购协定的机会, 率先在政府信息安全管理工作中推行IT供应链安全风险管理标准, 积累管理经验。

4 对我国IT供应链安全风险管理标准主要措施的建议

国际社会的经验表明, 制定IT供应链安全风险管理标准涉及到多个标准化组织的工作, 即使在ISO内部, 也有多个委员会与此有关。这项工作还受制于技术、产业进展, 难以一蹴而就。从我国国情出发, 建议我国IT供应链安全风险管理标准可以考虑以下措施:

(1) 确保产品来源可信。在国家层面汇集国家信息安全漏洞库等已有资源, 建设公共服务平台, 要求用户在选择产品和服务提供商时, 利用国家提供的资源对提供商可信程度自行进行筛选。

(2) 积极采信认证结果。要求用户建立产品采购流程, 特别是要对已经通过国家信息安全产品测评认证的产品优先采购。

(3) 实施信息共享。要求用户建立IT供应链安全应急处置措施, 对有关事件信息向政府主管部门报告。

(4) 采用安全交付手段。要求用户对IT产品交付途径进行风险评估, 验证IT产品完整性, 对网络下载、在线交付和升级予以特别关注。

(5) 监控运维状态。要求用户对IT产品包括漏洞补丁开展运行前验证, 定期实施风险评估, 加强远程维护和现场服务监管。

参考文献

[1]左晓栋.美国政府IT供应链安全政策和措施分析[J].信息网络安全, 2010 (5) :10-12.

[2]NIST.Notional Supply Chain Risk Management Practices for Federal Information Systems[M].Gaithersburg:NIST, 2012.

一个标准意义的IT价值卫道士 第2篇

Robert不仅是一位出色的演说家，而且他说自己还算是位“畅销书作家”。他和William Simon合写的《In Search of Business Value》（《追寻商业价值》）已经是他的第二本著作。Robert在书中主要讨论了在获取和展示商业价值方面，IT技术应当扮演什么样的角色。并一共回答了十二个问题，比如如何说服领导人共同推广IT技术的使用；如何改变一个公司的文化使其重视技术；如何利用IT技术降低成本、加快工作进度；如何使机构的IT和业务一体化；如何利用IT技术提供最好的服务等等。由于其中加入了许多他自己的亲身体验和经历，读来显得更为生动，也更有说服力。

技术价值不等同于技术特性

互联网周刊：前两年，曾有很多人质疑过IT是不是有价值，那么您觉得IT在现阶段以及未来几年内的价值到底体现在什么地方？

Robert：谈到IT的价值，主要表现在三个方面。一是与客户之间的关系。当然在客户关系上，也体现出客户对你的企业的认识，还有客户的满意程度；第二点就是在基础设施，或者说在公司主要职能方面的应用上，比如供应链、采购、财务管理等环节。不论是在美国还是在中国，或者其它国家，通过IT的投入，可以帮助企业减少管理上的浪费以及官僚；第三是在整个领域内的价值，可以说这是IT最大的价值，也就是IT能够作为推动根本性变革的一种催化剂。

互联网周刊：能否举一个具体的例子？

Robert：在我的书里，提到过一家成立于2000年10月的美国航空公司。这家公司使用了微软的很多技术，比如飞行员使用移动设备，可以与很多其它航空公司建立联系，并能准确计算出飞行需要多少油、有多少乘客、行李的重量等等数据，这使得这家航空公司周转机的速度要比其它航空公司快得多。而且这个航空公司没有订票中心，所有员工都是在家办公，通过协同办公平台连接成一个网络，这个网络全天候运行，所以乘客可以随时订票并且查询。这样不仅节省了建造订票中心的成本，而且还提高了客户的满意度。最近这家航空公司被美国最著名的航空杂志评为最受欢迎的、在客户满意度上最高的一家航空公司。

互联网周刊：但似乎用户陷入了一种迷茫，看不到IT的价值所在，您觉得用户为什么迷茫？这些提供IT技术和IT服务的公司，如何帮助用户消除这些迷茫？您在您的这本书里一直探讨的一个问题，是如何把用户的这些技术投资转变为商业价值，那么转化的途径有哪些？

Robert：他们要做的第一件事就是读我的书（笑）。我们在看商业价值的时候，重要的不是问客户为什么没有感受到或者获得商业价值，而是要问为什么这家公司要去卖这项技术。过去，这些销售IT技术的公司包括微软，往往会介绍该技术的特性，但他们通常很难回答更深层次的难题，因为他们还不能充分了解用户所面临的难题。而只有把用户的问题搞清楚，这些技术的价值才能真正发挥作用。

第二方面我想以微软为例，那就是增加各行业领域背景的员工，让他们在我们向客户销售更多的产品之前，了解客户通过过去在微软身上的投资，到底得到了多少回报，这只是一方面；另一方面，我们通过雇佣那些了解各个行业的员工，会让我们对行业的了解程度加深，从而也会让我们能更有效地把这项技术做出更具针对性的优化。

互联网周刊：在企业中到底谁应该为IT的商业价值负主要责任？是CEO还是CIO？CIO在这一过程中应该承担什么样的角色？

Robert：我想这个问题是非常重要的。坦率地说，我对这个问题有着非常明确的看法。从逻辑上来说，没有这样一种逻辑说是由CIO为企业IT负责。因为CIO虽然是IT领域的领导者，但是他没有确保IT收益或者是IT产生效益的权利和资源。CIO其实仅仅是一个伙伴，他们的作用在于，要让业务的领导人或者企业的领导人了解到有哪些技术是可用的，使用哪些技术是适当的技术，同时要想办法降低成本，并确保自己企业内的IT系统保持较高的可用性。真正应该负起责任的是企业的领导者，因为要想使政府或者是企业的IT投入发挥最大的价值，关键在于让IT发挥一个催化的作用，通过IT带来变革，解决企业面临的问题和企业面临的风险。

业务调整下的价值变换

互联网周刊：IBM在去年发布Workplace的时候，也曾经反复提到过Information Worker这个词。您觉得IBM眼中的这个词和微软的概念有什么不同？

Robert：我想在IBM眼中的信息工作者的含义，应该跟我们的认识差不多，也是指所有从事信息工作的人，或者至少是大多数从事信息工作的人。但是，至少从客户角度来看，微软要比IBM拥有更好的解决方案。另外，我们有很好的平台，而且也有多年向客户提供服务的经验，以及基于微软平台之上开发解决方案的众多合作伙伴。

互联网周刊：盖茨在前不久说，微软下一步可能会收购一家比较大型的公司来为微软的未来谋得一个更好的位置，比如说在未来可能出现的与IBM更直接的一些竞争，因为微软要做解决方案也要做平台，我想知道您对这个话题的看法？

Robert：最近，你可以看到在安全领域出现了很多并购事件，而且在这方面将来可能还会有更多的并购。微软在总体解决方案应用方面，大多数情况下还是会依靠合作伙伴的力量；而在产品方面，我们会加大自己的努力，把安全方面的问题也看作是自己的一份职责；同时在服务领域，我们也会做得更大一些。最近我们的CFO也宣布未来要做更多的收购计划，这主要是使公司的能力进一步增强，同时也能让微软提供更加全面的产品和服务。

Robert：我问你一个问题吧。你觉得微软作为向大型企业或者向政府提供IT产品的一个软件公司来说，人们的评价是什么样的？

互联网周刊：最近这一年多来，微软越来越像是一个成熟、精明的商人。

Robert：看来我们最近的一些努力，还是起到了一些作用。其实微软在过去两年中已经开始尝试变化。过去我们提供的软件主要面对每一个消费者，但现在更多的是做平台，面向政府、大型企业提供包含可靠、安全的业务的商业价值。这也并不是说微软不再做消费者业务了，只是在以后，后者将会成为很重要的业务组成部分。

互联网周刊：您的老板对您有什么要求？

IT服务标准在电力企业中的应用 第3篇

随着科技的进步,信息技术在电力企业得到了广泛的应用,各种核心业务逐步在信息系统中开展,信息系统对电力企业起到了支撑的作用。但是随着信息化在电力企业中的深入,各种软件、硬件等基础设施日益复杂,这给电力企业IT运维工作带来了新的课题:IT在企业中逐渐以服务(IT服务) 的方式使用,如何确保电力企业IT服务质量成为信息中心工作的重中之重。

信息技术服务标准(ITSS) 立足我国IT服务现状和发展趋势,为IT服务提供了科学、客观、可靠的评估体系,为企业IT服务标准化、规范化提供了良好的支持和依据。

规范企业IT服务,提高IT服务质量是建设“数字化供电企业”工作的一项重要内容,它既是提高供电可靠性和优质服务水平的必要条件,也是提高用户满意度的重要手段。本文详细介绍了ITSS在某供电局中的具体应用及其实施效果。

2 建设内容

目前,某供电局信息中心承担整个企业的IT资源的管理、运维等工作,共计有营销系统、生产管理系统等34 个管理信息系统的运行维护工作,负责信息数据中心30 多台小型机及100 多台PC服务器的日常运行工作,还负责信息数据网络的管理工作;同时承担全局近5 000 台办公计算机和2 000 多台打印机的管理及运行维护任务,日常IT服务管理工作任务异常繁重。为推进建设“数字化供电企业”,建立有效可行的IT服务质量评价体系势在必行;同时结合集团将推行运维大集中的思路,形成一套有效的信息服务模式,一方面可改善自身的工作,另一方面为南网的运维大集中提供早期的经验。

本研究遵循广东电网公司的相关规范,基于ITSS标准和ITIL最佳实践方法,结合在中国众多企业的IT服务管理方面的成功实施经验,首先对某供电局现有的运维服务体系进行现状调研和优化改善;同时,在IT服务体系的现状调研和优化的基础上,参考ITSS服务质量标准,建立一套符合供电企业实际特点及IT运维情况的IT服务质量评价体系;帮助某供电局提升IT服务管理水平,提高IT服务效率,强化IT服务人员考核,提升用户满意度。具体工作包括:

(1) 探索电力企业IT服务质量影响因素以及关键因素。定位哪些因素对电力企业IT服务质量和用户满意度有决定性作用。将这些影响因素作为参考条件构成评价某供电局IT服务质量的构成要素。以便真实客观的对IT服务质量做出评价。

(2) 以ITSS为原型、以网省公司相关指导文件为指导,根据某供电局自身情况,构建IT服务评价框架,设计IT服务质量评价指标系统。

(3) 依据IT服务质量评价指标体系设计和开发IT服务质量监控系统,辅助管理和评价日常IT服务质量。

(4) 围绕某供电局IT服务质量评价体系,设计某供电局IT服务质量管理系统,帮助某供电局信息中心对IT服务质量的统一监控和集中管理。

整个IT服务质量评价体系架构如图1 所示。

2.1 评价指标系统的构建

由于ITSS已经被广泛接受作为评价服务质量的一种模型,因此本指标系统仍然以ITSS为基础评价框架,但是通过访谈和调查对ITSS进行修正和扩充,以此来使整个指标系统更加符合电力企业的特点。

本次访谈的对象包括IT服务的提供者( 信息中心) 和IT服务的用户( 业务部门),本研究希望从两方面综合来全面展现IT服务质量的客观评价。在访谈完成后,对访谈记录进行数据处理。使用内容分析法,通过反复阅读访谈数据对内容进行编码。通过统计和分析,根据客观性、系统性、科学性、可行性、先进性等原则对原始编码进行筛选,最终得到包含5 个一级指标,16 个二级指标和28 个三级指标的IT服务评价指标系统。

在确定IT服务评价指标之后,要对其权重进行设计。本研究采用专家调查和层次分析法相结合的方式确定其权重。首先通过专家调查,对IT服务评价指标系统的各层次指标的相对重要性进行测量,分别确定各层次的判断矩阵。然后进行一致性检验,如果一致性不满意,则重新构建判断矩阵。如果检验合格,则得到最终的权重。具体指标和相应的权重如表1 所示。

2.2 质量监控系统的设计

在基于上述的理论和方法基础上,根据软件工程原理,进一步设计开发企业IT服务质量监控系统。为IT服务质量的评价提高辅助工具。

企业IT服务质量监控系统应满足如下需求:(1)能有效地管理IT服务质量指标;(2) 能自动地采集相关IT服务质量指标;(3) 能对IT服务质量指标按要求进行分析;(4) 能根据要求,生成相应的企业IT服务质量评价计算方法;(5) 能按用户要求生成所需的统计报表。

综合基本框架和具体需求,系统基于J2EE规范实现,整个架构建立在Struts框架、Spring框架和DAO模式基础之上,并提供了对于EJB、Web Service、JMS等组件技术的集成机制。总体构架分为三个层次,即服务层、应用层和支持层,见图2。

服务层:完成转发请求、Http请求合法性校验、Http请求参数与数据传输对象DTO之间的绑定、Http请求参数有效性校验、用户操作权限检查、记录用户访问日志、显示系统运行异常等任务。

应用层:是企业IT服务质量评价系统的核心。包含指标管理、质量评价管理、智能分析和数据报表模块。其中指标管理包括指标采集、指标设置、指标权重设置功能。指标评价生成相应的评价算法,每个指标项都有多种算法,指标CPU可以根据不同算法计算出评价值,然后将其传递给调和引擎,由调和引擎决定最终传递哪个指标项评价值给质量CPU,最终形成评价结果。智能分析可以对各类指标进行维护和管理,建立完整、完备、准确的统计标准,建立数据的分类、分级管理,能够在异构、不同数据源的数据之间建立统一的语义;另外,指标库是平台的业务数据库,用于存储指标的相关信息包括指标名称、考核内容、指标类型、指标属性、合格值、权重、计算公式、数据项等相关信息。

支持层:完成业务数据校验、业务逻辑处理、事务管理、记录业务处理日志、抛出业务处理异常等任务,同时它也支持Web Service、JMS、EJB等组件服务模型,可以方便地完成与其他系统的集成。

2.3 质量管理系统的改进

IT服务质量评价的目的是:为评价当前服务质量提供工具;为发现当前服务质量问题提供依据;为分析当前服务质量问题的原因提供参考;为制定服务质量改进计划提供线索。所以IT服务质量评价的落脚点是一套科学的IT服务质量管理管理方法。IT服务质量管理系统PDCA改进方法论见图3。

本研究根据PDCA理论,提出企业IT服务质量管理实践中,如何改进服务质量的方法:(1) 根据监控系统服务质量总体得分、趋势分析、同比环比情况了解现状;(2) 根据监控系统服务质量主特性和子特性得分、趋势分析、同比环比情况找到问题;(3) 根据监控系统各个指标得分、趋势分析、同比环比情况了解现状;(4) 根据相关的数据分析、制定相应的改进措施;(5)实施改进措施;(6) 验证实施情况;(7) 将好的经验标准化,作为管理规范。

3 应用效果

试点时间从2011 年3 月开始,5 月完成现状分析,6 月完成IT服务管理流程优化,7 月形成了针对某供电局的企业IT服务质量评价方法,9 月完成了评价系统的建设并投入使用,10 月完成了IT服务质量管理的培训,11 月对应用效果进行检验和分析。通过观察评价系统监控数据,发现整个指标体系能客观地反映某供电局IT服务的服务质量,使用IT服务质量管理方法能够帮助改善其服务质量。图4 显示了在IT服务质量评价体系使用两个月后,IT服务质量的变化情况,11 月系统试运行,信息中心通过监控系统,及时反馈到IT服务质量各个指标的具体情况,然后根据系统反映情况,依据IT服务质量管理办法,针对薄弱环节制定了相应的改进措施,经过一个月的努力,12 月的IT服务质量明显得到改善。

4 结语

提高IT服务质量是建设“数字化供电企业”工作的一项重要内容,它既是提高供电可靠性和优质服务水平的必要条件,也是提高用户满意度的重要手段。本研究通过IT服务质量评价体系的应用,探索了ITSS在供电企业中的具体应用,设计了IT服务质量的管理办法,为电力企业特别是南网IT集中运维提供宝贵经验。

IT系统运维支撑技术标准化探讨 第4篇

1 运维支撑技术标准化的发展

计算机的管理是以IOS为标准的, 在它的基础上进行电信网络管理时, 由于这套标准比较弱, 只是关注一个系统, 而电信需要的是网络。ITU将这套标准进行扩展, 形成了相应的TMN标准。同时, 随着互联网的不断发展, 在OSI系统管理具体标准的基础上, 依据当时互联网体系所呈现出的简单结构, IETE提出了相应的SMNP对网络进行管理的标准体系以及相关标准, 通过这些标准, 可以综合管理计算机网络。TMF依据电信网络运维所具有的发展特点, 进一步促进TMN发展。同时, 提出了NGOSS以及e TOM标准来对运维流程中产生的问题进行有效地处理[2]。

OGC提出了相应的ITIL标准来运行和维护IT网, 这个标准是其中比较出名, 且产生的效果较好的标准。因为其可以将计算机网与有关业务以及计算机系统整合在一起进行管理。之后, BSI对其进行升级, 变成了BS15000, 英国后来有以其为基础利用IT服务具体流程规范IT服务的质量, 同时提供一定的保障, 以此来有效处理管理信息化服务过程中存在的问题。此外, ISACA组织提出了COBIT标准, 对IT进行治理。现阶段, 该领域里面的最新标准是ITIL V3, 通过升级ITIL V2产生ITIL V3, 同时吸取了COBIT标准以及ISO20000的经验[3]。现在所说的IT系统运维支撑技术标准一般都是ITIL V3与ISO20000。

2 运维支撑中存在的问题

2.1 标准不统一, 使维护工作质量不高

对于IT系统, 运维的力量比较分散薄弱, 因为是由不同厂家来负责各种应用系统以及基础设备的实际运维, 这样就会使技术支撑非常混乱, 没有统一的规章可循。相应的技术支撑厂家在支撑IT系统的运维时, 缺少理论上的指导以及要求, 未能建立统一维护的具体体系以及框架模式, 每个支持厂家只是各司其职, 严重影响系统的正常运行。

2.2 项目建设中的支撑工作不够规范

在建设IT系统工程的时候, 开发商由于受到工期与工程成本的限制, 不依据原先的具体规划设计安装主机中的操作系统、设计网络、配置中间数据库、备份数据、部署相应的应用程序以及监控, 这样就会使工程的实施缺乏规范性, 给后期的运维工作增加了较大难度, 造成工作量成倍增加, 若没有开发厂家介入维护, 就要付出很高的代价。如果后期要依据相关IT运维具体规范进行改造, 将会使成本投入与难度都有所提高。

2.3 运维管理缺少相应的标准、数据以及规范进行支撑

第一, 运维厂商大部分都是在前期项目已经开发并实施之后, 融入到后期的运维工作中, 项目组中负责软件开发的工作人员一般都具有比较丰富的工作经验, 可是却不了解系统运维。工作成员没有足够的维护经验, 同时缺少相应的工具支撑, 基本上都是手工进行维护操作, 没有相应的预警装置, 不能进行预防式的系统维护。

第二, 系统中的监控力量不足, 很多故障都是经过用户申告之后才知道的, 故障处理速度太慢, 运维工作人员只是忙于处理问题, 不会对系统实施有效监控, 而信管部门的工作也过于被动。

第三, 相关管理层以及系统维护具体责任人不能随时了解系统的实际配置和具体运行状况。相关维护人员不能满足出现的更多运维要求, 同时由于运维工作人员的变动, 导致一些信息丢失。

第四, 对于系统的运维管理, 缺乏相应的工具, 很多工作都是由人工进行的, 完成之后很难进行统计分析。所以, 不能定量考评工作。

2.4 处理系统故障时不够规范

如果没有积累标准化技术经验, 仅仅只是采用传统的维护方式来响应故障, 无法对故障进行准确定位, 也不能及时将信息通报给用户, 使系统的可用率达不到标准要求, 影响考核成绩, 导致用户不满意。想要有效提升信息系统的实际可用率, 减少对故障进行处理的时间, 就需要监控标准化主机、进程以及应用等资源。图1为具体的故障分析图。

3 运维支撑技术标准化的必要性以及可行性

对企业信息系统进行维护的过程中, 需要先导入ITIL理论以及相应的培训, 设置相应的服务台、对IT维护进行值班的安排及计划系统的监控工作等, 建立相应的IT运维支撑平台, 将改变操作、处理故障以及改进问题等都纳入ITIL流程中, 对IT系统的具体配置管理工作以及维护的具体细则进行整理。从目前实施ITIL的结果以及经验中得知, 在整个维护期间将ITIL或ISO20000标准作为理论依据, 可以使系统运维管理更加科学和精细。

由于ITIL和ISO20000比较重视流程和结果, 所以支撑技术更加规范和标准, 进而为一些企业提供具体参考标准, 从管理技术上提高其技术水平和服务水平, 让具有优势的一些企业可以增加在技术方面的投入, 提高所具有的竞争力。

IT支撑技术标准化可以有效提高运维工作中每个环节的实际衔接效率, 闭环管理支撑运维, 使处理流程以及系统监控实现自动化目标。在运维工作中提升IT支撑技术的实际水平, 可以有效监控运维过程, 及时找出问题并进行有效处理, 从而提升运维的工作效率以及效果。

4 结语

在运维工作中提高IT系统支撑技术的水平, 可以使整个运维工作得到技术支撑。同时, 有效监控运维工作, 及时处理存在的问题, 有效提升运维效率, 减少人工操作产生的失误。运维可以在支撑技术标准化的帮助下, 更加规范, 达到使用户满意的目标。

摘要：我国正处于重视IT系统运维支撑技术的阶段, 运维在通信领域也已经得到了一定的发展。由于网络建设以及信息化时代的到来, IT系统运维支撑技术越来越受到人们的重视。本文主要分析探讨IT系统运维支撑技术的标准化, 提出笔者的思考和建议, 仅供参考。

关键词：IT系统,运维支撑技术,标准化

参考文献

[1]于秀明.ITSS在IT运维服务质量管理中的应用[J].信息技术与标准化, 2013 (8) .

[2]陈晓红.ITIL管理标准在医院IT运维服务管理中的实践探讨[J].价值工程, 2012, 31 (6) .