it安全管理范文

it安全管理范文（精选6篇）

it安全管理 第1篇

IT安全管理规范 1 目的 为确保公司IT设备设施能够稳定、可靠的运转，为公司业务提供可持续服务支持，同时为了规避公司重要的电子信息数据由于系统或硬件损坏而造成数据丢失的风险，特制定本文件以规范IT安全相关的工作流程、内容和标准。2 主题内容和适用范围 本制度可用来指导信息管理部工作人员开展IT安全管理工作,对公司级信息系统运行期间电子数据的备份和恢复管理予以了明确规范。3 术语

3.1 IT: Information Technology，意为信息技术，是主要用于管理和处理信息所采用的各种技术的总称。

3.2 IT设备：泛指由信息管理部IT组管理的用于办公及信息技术服务支持相关的电子设备，包含：个人台式电脑、手提电脑、打印机、服务器、路由器、交换机、多媒体、一卡通终端、摄像机等电子设备。

3.3 公司级信息系统: 应用于多个部门，或直接影响公司核心业务的信息系统。包含：ERP系统、MES系统、一卡通等信息系统。

3.4 IT安全：IT安全是指IT相关系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，服务不中断，对于可能发生的各种隐患防范于未然。4 职责

4.1 本文件由信息管理部IT组归口管理与组织实施，并负责编拟、修改和完善；

4.2 制定集团整体的IT安全策略，并具体负责防火墙管理、网络流量监视与控制、以及域策略实施；

4.2信息管理部负责依据集团的IT安全策略，按照要求进行具体的相关实施及运维。5 具体内容与工作程序 5.1网络安全管理

5.1.1 信息管理部负责信息网络的规划、建设、维护、管理和控制； 5.1.2 信息管理部应绘制公司信息网络之网络拓扑结构，并及时更新维护；

5.1.3 信息网络接入internet网之出/入口应配置硬件防火墙，并制定适合安全规则；（当前为香港IT负责此工作）

5.1.4 公司信息网络划分VLAN管理，各交换机之VLAN配置应保有文档，如有变化应及时更

新。

5.1.5 应对网络流量进行监视与控制,此工作由中国区IT协助香港IT施行。5.1.6 定期检查网络硬件设备状态，若巡检中发现问题需在OA中保存检查记录

5.1.7公司网络内应安装正版网络版杀毒软件，杀毒软件的安装与卸载应由IT运维人员操作。5.2 域安全管理

5.2.1 公司对PC/LAPTOP的入网施行域控管理，实施域控服务后，可进行访问人员的身份认证并可有效控制病毒扩散产生的影响。域控服务器的相关配置由香港IT实施，域策略的制定亦由香港IT实施。

5.2.2 信息管理部/IT负责中国端域控服务器之硬件状态及软件状态监视，如有问题应及时通知香港IT；

5.2.3 信息管理部/IT根据相关策略及时将中国端PC/LAPTOP入域，并对域帐户进行管理 5.3 密码安全管理

5.3.1 应根据信息安全需求，准确确定密码管理之对象。应根据安全需求级别，对密码进行分级管理。高机密密码应限制知晓人数，并有专人进行定期密码更改并存档；

5.3.2 密码设置策略应符合信息安全通用规范,由不低于6位的大小写字符及数字和特殊字符组成。

5.3.3 用户需按照附录A《用户密码设置及使用标准》设置及使用密码； 5.3.4系统管理人员不允许在密码没有通过身份验证的情况下覆盖或重置密码。5.3.5系统管理人员不允许将密码存放在公开可读的文件中。

5.3.6系统管理人员不允许将密码发送给用户，特别是通过未加密的电子邮件。5.3.7系统管理人员应根据信息安全需求,密码应定期进行强制更新。5.4数据安全管理

5.4.1数据必须定期、完整、真实、准确地备份转储到永久性介质上。

5.4.2应定时检查备份文件中是否存在备份失败的记录，如发现有备份任务失败的记录，需要检查故障原因，并进行排除。

5.4.3备份人员必须认真、如实检查服务器的数据记录项，以备后查。

5.4.4备份周期：各信息系统每个工作日进行数据本地备份，所有系统至少每月在异地留有数据备份。5.4.5备份介质

a)备份介质要由专人负责保管工作，备份介质要严格管理、妥善保存。

b)备份介质应在指定的数据保险室或指定的场所保管，保存地点应有防火、防热、防潮、防尘、防磁、防盗设施。

c)备份介质应按照各系统规定的最短保存期限存放。

d)不再使用的备份介质应在要销毁时，超过规定存放周期的可直接进行销毁或删除，未达存放期限的应先经过部门领导审批，然后消磁、销毁。5.4.6数据恢复

a)一旦发生系统故障或数据破坏等情况，要由信息管理部相关的管理员进行备份数据的恢复，迅速恢复系统，确保系统正常运行。

b)每年进行备份数据恢复测试演练，测试应在测试环境中进行，严禁在正式使用的系统中进行恢复测试。

c)恢复测试内容包括备份数据恢复、系统恢复、故障排除等内容。如果发现不能恢复的数据，则需要及时进行检查，确保备份数据的有效性。

d)数据恢复测试结束后，应记录测试的真实步骤、结果及改进措施等。e)恢复确认不存在问题后，要及时清理测试环境数据。5.5 机房安全管理

5.5.1机房建筑符合GBJ45-1987中规定的二级耐火等级防火，并配置火灾自动报警和灭火系统。按面积和设备数量配备适合计算机设备使用的灭火器（严禁使用干粉、泡沫灭火器）。5.5.2独立机房必须有避雷针等避雷设备，非独立机房应当具有符合要求的接地条件，确保接地体良好的接地。严格独立设置信号地与直流电源地和避雷地。

5.5.3应有较完备的空调系统，保证机房温度/湿度的变化在计算机运行所允许的范围。防止空调冷凝水漏水、加湿器漏水等事故造成网络系统、供电系统和服务器设备损坏。对工作人员进行教育，充分了解机房各水管开关阀门的准确位置，会处理应急事件。

5.5.4应采用接地的方法防止外界电磁干扰和设备寄生耦合干扰，采用屏蔽方法，对信号线、电源线进行电屏蔽，减少外部电器设备和机房内部强电干扰源对计算机系统的瞬间干扰 5.5.5机房供电必须保障双回路供电并安装保障机房最大负荷断电后不小于60分钟正常供电的不间断电源。供电系统应照明用电与网络系统供电线路分开，并配备应急照明装置.5.5.6所有的人员必须在信息管理部IT人员的带领下进入机房。短期工作人员、维修人员、参观人员必须有专人陪同进入机房。没有管理人员的明确准许，磁铁、私人电子计算机或电子设备、食品及饮料等与工作无关的物品均不准带入机房。任何记录介质、文件材料均不准带出机房。

5.5.7 设备的电源和通信线路应该铺设在机房地板下，或者采取足够的保护设施保护网络电缆以防未经授权的窃听或损坏，并保护电力电缆不受损坏。电力电缆应该与通信电缆隔离，以防干扰。除维修设备外，不得在机房内接插与设备运行无关的电器。用户密码设置及使用标准 1.用户密码设置及使用注意事项

 第一次登录系统时的初始密码/默认密码必须第一时间更改；

 密码设置策略应符合信息安全通用规范,由不低于6位的大小写字符及数字和特殊字符组成；

 定期更改密码（每六个月）；

 如果发觉系统密码已泄露需立即更改密码并通知系统管理员；  不能在没有保护的情况下将密码记录在任何地方（例，贴在桌面）；  不能将密码存储在任何设备上（例，便携硬盘、U盘）；

 不能在网络或浏览器设置“记住密码”的功能；  域用户密码在连续登陆5次失败后则会立即锁定账号；

 每一位用户应有保护账号密码的责任。严禁将个人账号及密码告知他人代使用！2.系统密码及账号注意事项

 系统预先设置了无效登陆密码次数，如果超过登陆次数则自动锁定该用户，如要再开通账户需联系IT系统管理员进行处理。

 用户设定的密码长度短于系统设定长度或重复使用密码超过三次，系统账号将禁止登录使用。

 所有系统账号每三个月进行账号检查，如无部门负责人特殊解释说明，将统一锁定/删除账号。

每一位用户在使用系统过程中，不得滥用、挪用、复制、侵犯、出售、转移、销毁、篡改或泄露信息给第三方知晓，如有任何违反将按照员工奖惩规定执行。

it安全管理 第2篇

——ITSM的企业应用浅析

IT服务管理（IT Service Management，ITSM），是一套面向过程、以客户为中心的规范的管理方法，它通过集成IT服务和业务，协助企业提高其IT服务提供和支持能力。ITSM的本质是一套方法论，即帮助企业对IT系统的规划、研发、实施和运营进行有效管理的高质量方法论。IT服务管理结合了高质量服务不可缺少的流程、人员和技术三大要素——标准流程负责监控IT服务的运行状况，人员素质关系到服务质量的高低，技术则保证服务的质量和效率。这三大关键性要素的整合使ITSM 成为企业IT管理人员管理企业IT系统的法宝和利器。

IT服务管理的国标标准是ITIL，ITIL是英国政府中央计算机与电信管理中心（CCTA）于1980年开发的一套IT服务管理标准库，旨在解决IT服务质量不佳的情况。ITIL所强调的核心思想是应该从客户（业务）而不是IT 服务提供方（技术）的角度理解IT 服务需求。ITIL标准独立于任何厂商，且基本与组织性质和业务性质无关，另外其只总结IT服务管理领域最重要的实践部分。可以说ITIL只是IT服务管理实践的合理抽象，它仅明确指出应该做什么，但不讲如何做。当企业或其它组织具体实施ITIL时，就可以把标准具体化，建立自己的方法论。企业在运用含有质量管理思想的ITIL所提供的流程和最佳实践进行内部IT服务管理时，不仅可以提供用户满意的服务从而改善客户体验，还可以确保这个过程在符合成本效益规则的基础上位企业创造价值和利润。

IT服务管理不同于传统IT管理的最重要的特征在于，ITSM强调IT和业务需求有效融合的同时注重IT投入的成本和效益。从信息系统建设前来看，IT服务管理需要针对组织业务和客户的可用性需求对IT基础架构配置进行合理的安排和设计，避免盲目的IT投资和重复建设；从信息系统运作以后来看，IT服务管理需要通过事件管理、问题管理等流程支持IT基础架构和组织业务的持续运作，保证IT资源的有效利用和业务运作的高可用性、高持续性和高安全性。IT服务管理将所有IT投入纳入统一核算，为考核IT服务的成本和效益提供了可靠的评价依据。

“三分技术，七分管理”是技术与管理策略在整个IT行业中各自重要性的体现，没有完善的管理，技术就是再先进，也是无济于事的。而作为IT效能管理的ITSM，是一种提高IT管理效能的工具。对于管理者来说，ISO9000是一个很熟知的质量管理标准；从通俗意义上讲，ITSM就是一个把企业规范的运作体系利用IT系统进行管理的一种标准体系。它是一个整和了全世界很多成功企业信息管理经验的知识库，通过对前人经验与企业自身业务需求的分析，帮助企业把纯粹的IT投资，成功转化成有序的信息管理模式。对于公司的管理阶层来说，ITSM是一种提高管理效能的工具。

ITSM作为一个高效管理工具，其具有以下三个特点：

① 共性——ITSM是一种基于ITIL标准的信息化建设的国际管理规范。ITIL体系提供了“通用的语言”，为从事ITSM的相关人员提供了共同的模式、方法和同样的术语，使用户和服务提供者通过有共性的工具深入讨论用户的需求，很容易达成共识。

② 中立——ITSM为IT管理提供了实施框架，这样可以让用户不会受制于任何单独的服务提供商。ITSM不针对任何特殊的平台或技术，也不会因下一代操作系统的发布而改变。

③ 实用——ITSM是一种以流程为导向、以客户为中心的方法，它在兼顾理论和学术的同时，非常注重实用和灵活。

正是由于这些显著的特点，ITSM得到了越来越多企业的认可和青睐。对一个企业来说，不管其IT架构多大，都需要ITSM。近几年来，随着IT系统和技术的不断复杂化，现代企业面临着巨大的危机和挑战。因而企业需要对整个IT系统进行全面有效的管理，保持IT基础架构的可靠性和可用性，以便支撑业务的正常运作，扭转被动的局面。IT部门在满足企业业务需求的同时，还要承受来自内部和外部的压力，因此必须控制IT系统的预算，降低IT成本。总之，企业的竞争压力是不允许企业有丝毫的动作迟缓，所以IT部门必须提高运作变化的灵活性和反应速度。基于以上各种因素给企业运营带来的高风险威胁，企业需要进行分析和回避，以免造成毁灭性的打击。

企业为了增强竞争优势确立了以客户为中心，对外开拓市场，对内降低成本的服务理念，IT服务管理必须能够紧扣客户需求和业务流程，从而确保IT作为一种服务模式帮助企业实现目标。同时，由于IT投入巨大，组织为了降低成本必须评估和控制IT投资。这都促使传统的以技术为中心的IT管理模式向以服务为中心的IT管理模式的转变。IT服务管理以流程为导向、以客户为中心，通过整合IT服务与组织业务，提高了组织提供IT服务和对IT服务进行支持的能力和水准。

IT服务管理的核心思想是：IT组织，不管它是组织内部的还是外部的，都是IT服务提供者。IT组织的主要工作就是提供低成本、高质量的IT服务。而IT服务的质量和成本则需由IT服务的客户(购买服务的人或组织)和用户(使用服务的人或组织)加以判断。IT服务管理是以服务为中心的IT管理，与传统以技术为中心的IT管理有着根本的区别。IT服务管理将传统管理的重点如各种技术管理工作等进行规范整合，形成典型的流程。当用户需要IT服务时，IT组织根据用户的需求将流程组合成用户特定的IT服务，然后灵活、及时、有效地提供给用户，这样有利于保证服务质量，准确计算有关成本。

另外，IT服务管理不能等同于ERP、CRM和SCM等业务信息系统，ERP、CRM和SPM等面向业务管理，而IT服务管理面向IT管理，重点是IT系统的运营和管理，是确保组织战略得到有效执行的战术性和运营性活动。IT服务管理主要任务是管理客户和用户的IT需求。技术管理如系统管理和网络管理是IT服务管理的重要组成部分。IT服务管理的主要目标不是管理技术, 而是如何有效地利用IT资源恰当地满足业务部门的需求。

IT服务管理作为一种新的IT管理方法和理念，目前正处于方兴未艾的发展期。全球已有超过1万家公司和多个政府部门成功实施了基于ITIL的IT服务管理。相比较而言，我国IT服务管理还处于发展初期。从事IT服务管理及相关领域研究、咨询和培训的公司的数量相对较少，相关出版物严重缺乏，还没有成立相关的行业协会或论坛，尚处于概念推广的阶段。另外，我们对基本的IT服务管理理念宣传和推广还不够，同时存在成功案例少且有部分“伪案例”的问题，因而国内企业在ITSM领域扮演的只是一个追随者的角色。在“三流企业做产品，二流企业卖服务，一流企业定标准”这个IT行业的规律面前，我国企业在国际环境中处于一个极为不利的位置。总体上来说，在IT服务管理领域，我国与国外存在着10年以上的差距，所以形势并不容乐观。

但是，中国作为发展中的大国，如何利用好国外IT服务管理的经验，是我国企业和政府正在探索中的问题。就目前我国企业信息化应用状况来看，越来越多的企业已经认识到IT服务的价值，并进行了多方面的探索和实践，可是其效果并不是很理想。造成这种状况的一个重要原因，是因为大部分企业提供IT服务的过程还停留在“粗放式”的阶段，缺少成熟有效的方法的指导。而ITSM作为一个在国际上发展多年并取得很大成功的领域，其所倡导的标准化方法和流程，为我们提供了一种较好的思路。我们应当充分发挥后发优势，在吸收国际的先进管理理念和方法的基础上，进一步开发符合我国企业情况的、有中国特色的IT服务管理体系。

目前，IT服务管理已经走出了传统的电信和银行两大行业，开始在各个行业得到推进，政府部门、能源、制造业、IT行业的客户，不断得到增加。

然而，对于ITSM的实施，很多企业还是局限在事件监控的阶段，谈不上真正意义上的IT 服务管理。这种局限，与企业对ITSM 的认识有关，它们常常身陷在ITSM 实施的误区中。总的来讲，企业实施ITSM存在两种误区：

一是按照ITIL 流程，规划公司整体系统、设定流程。虽然ITIL是基于实际应用得出的最佳实践，但是企业不结合自身的业务状况，盲目照搬，可能会使流程与业务不符。另外，高额的实施费用、较长的实施周期，容易让企业失去信心，这也是ITSM 推广的难点之一。

二是企业片面注重了ITSM 方案下“所见即所得”式的实施效果，却往往忽略了实施之后，是否真的解决了IT 运维方面的实际问题。因此，企业应在实施ITSM与企业风险之间找到一个平衡点，才能更好地发挥ITSM 作为IT运维部门的管理平台，联系IT 系统与业务流程的纽带，保证业务系统可靠地运行，提高IT系统的效率，让IT更好地服务于业务的作用。

经过前几年IT服务管理市场的培育，越来越多的组织和人员了解IT服务管理，知道ITIL 和ISO20000，不少组织开始尝试将IT服务管理相关理念、标准和方法运用到组织的IT 管理当中。开展ITIL、ISO20000 培训和咨询的组织日益增多，这将带来IT服务管理培训咨询市场一定程度的增长。

展望2011年，中国IT服务管理整个领域（包括标准、应用实施、软件、咨询培训和产品实施等）将欲发活跃，充满商机，同时，整个市场也是竞争激烈。

此外，在IT 服务管理系统市场，一方面新的业务需求甚至公司战略对I T提出新要求，例如法律法规遵从等；另一方面目前I T所运营的环境还是相当脆弱，IT环境越来越复杂，业务对技术发展的依赖性越来越高，频繁的业务需求变化，必须要求IT能够充分了解业务需求以适应业务的变化。因此，各个公司都在寻求通过I T服务管理的最佳实践降低成本并改善服务水平。

国内外各厂商都看到了中国I T服务管理市场的发展潜力，许多原来做网络监控软件厂商都欲进入该领域，而且纷纷宣称自己的产品符合ITIL标准，属于IT服务管理产品，因此，未来中国I T服务管理市场竞争者将会日益增加，市场也会更加活跃。

面对中国的I T服务管理市场庞大的市场空间，如何能够迅速进驻并占据一定的市场份额，对于提供解决方案的厂商来说，需要在研究客户需求、提高产品技术水平的同时，还要针对中国企业的特点，增强以下几个方面的能力：一是支持I T管理提升和变革的能力。IT 服务管理产品要支持先进的管理模式和标准，厂商应具有一定的管理咨询服务能力，支持用户的管理变革和提升。同时，产品要具有一定的可扩展性和定制性，结合用户根据本企业的特点，支持定制化应用。二是实施服务能力。在系统实施上，厂商要具有实施服务能力，指导客户顺利实施系统。三是后期连续性的服务。IT 服务管理的实施和应用是一个分阶段的过程，需要不断更新和扩展，客户需要产品提供商能够提供后期连续性的服务。

it安全管理 第3篇

随着移动互联网、物联网、大数据时代的到来,云计算业务迅猛发展,企业的业务数据越来越集中,这就要求IT组织(不管它是企业内部的还是外部的)提供更加安全、可靠的服务,并在提升服务质量的同时,降低维护成本。

为此,IT组织应以服务的生命周期为主线,按需设计服务,并确保服务设计与组织内的各职能单元无缝集成。建立以流程为核心的服务管理体系,在职能构架上实行流程式管理,提供专业化、标准化、规范化的服务。通过IT服务管理平台的建设,规范服务支撑各关键流程的运作,提高服务运营的可视化,为服务质量改进和成本控制提供依据。

2 建设基于ITIL的服务管理体系

IT服务管理的核心思想是,IT组织的主要工作就是提供低成本、高质量的IT服务。而IT服务的质量和成本则需从(购买IT服务的)客户和(使用IT服务的)用户方加以判断。IT组织实施IT服务管理的根本目标有三个:(1)以客户为中心提供IT服务;(2)提供高质量、低成本的服务;(3)提供的服务是可准确计价的。

2.1 ITIL

ITIL提供了IT组织实施IT服务管理的框架指南,涉及流程、功能定义及组织机构等。IT组织通过ITIL的实践,优化业务流程、提高效率,提高IT服务价值和用户满意度。

ITIL生命周期模型由面向流程的ITIL V2发展而来,定义了服务战略、服务设计、服务转换、服务运营和服务改进五个模块。其对应的主要流程模块如图1所示。

2.2 BISL、ASL与ITIL

ITIL定义了IT基础设施的运营管理的框架,BISL(业务信息系统管理库)和ASL(应用服务库)则定义了IT业务管理和应用管理的框架。

图1 ITIL流程模型

IT组织需将三者有机结合起来,才能定义完整的IT服务管理体系,三种框架的结合见图2。

图2 IT服务管理的三种框架

2.3 IT服务管理体系建设

IT组织以IT服务管理的三种框架为依据,根据服务价值链模型进行IT服务管理体系规划,主要包括六方面的内容:

(1)分析业务市场,明确服务需求,确定服务规模、范围及服务等级。

在进行竞争对手及监管策略的分析后,确定细分市场及目标市场。通过业务梳理,明确组织的业务目标,并进行IT服务规划。

(2)根据产品及业务策略,进行能力和资源的分析,制定成本收益目标及服务质量目标。进行服务能力体系的建设,明确服务级别管理要求,从而制定服务监控及服务支持要求,并建立服务运营流程。

(3)建立统一受理平台,受理用户服务请求。

(4)针对不同客户,进行服务支撑方案设计,明确服务运营流程。其中,基本的服务运营流程包括:

●IT服务过程管理:服务受理、故障管理、问题管理、变更管理、发布管理、配置管理、服务级别管理及安全管理等;

●IT服务资源管理:服务级别管理、知识管理、供应商管理、备品备件管理等;

●日常运行维护体系:服务监控、日常支撑操作等。

(5)建立通用技术保障体系,为服务提供技术保障。

(6)建立服务评价机制,并持续进行服务改进。

IT服务管理体系架构见图3。

图3 IT服务管理体系架构

3 IT服务管理平台

3.1 平台规划

IT组织在建立IT服务管理框架后,基于人工方式及纸质表单运行的IT服务管理体系,各个流程之间数据无法共享,导致流程效率低下,不利于业务的规模增长,且管理人员无法从现有的业务数据中提供有效的支撑用于业务决策(图4a),要求IT组织通过IT服务管理平台建设及应用,规范IT服务管理流程及数据,确保服务数据在各个流程中的共享,从而提高IT运营效率和服务质量(图4b)。

图4 IT服务管理平台实施前后数据流图

IT服务管理系统作为IT服务过程的管理工具,其建设目的是依据IT组织的服务管理体系要求,对服务交付过程进行管理,从而实现组织的IT服务目标。这些交付过程包括:日常运行维护管理、IT运营管理过程、服务过程的记录、测量、监督和评估等。根据IT服务管理框架,进行服务支撑流程、服务支撑组织、服务管理对象的梳理,明确各流程之间的关系、界面,并对服务支撑各环节产生的信息进行分析规范,规划IT服务管理平台的基本架构(如图5所示)。

●用户界面层:是用户访问平台的界面,可根据不同用户的权限及应用访问需求展示不同的用户视图;

●应用层:应用层实现统一接入、一点受理的功能。实现基于服务级别管理的事件管理、故障管理、问题管理、变更发布管理、资产配置管理等服务管理过程的管理。

●基础架构层:为应用层提供基本的数据管理、工作流引擎及基础配置信息管理,并提供API(应用程序编程接口)。

图5 IT服务管理系统架构图

●接口层:实现与监控系统、自动巡检系统及其他第三方系统的接口。

3.2 系统实现

(1)平台基本技术要求

IT服务管理平台在实现和部署方面,应该满足以下几个方面的基本技术要求:

●能够对包括网络系统、主机系统、存储/备份系统、应用系统、终端系统、安全系统、机房动力及环境等资源进行集中统一管理。

●系统结构清晰,能够采用层次化、模块化的设计理念,各功能模块功能独立、松耦合,而系统整体功能完备,便于客户根据需求自由组合。

●系统应具有较强的开放性和扩展性,通过插件体系和数据交换接口,可平滑地扩展系统功能并与第三方产品进行集成。

●能支持各类通用的硬件和操作系统平台。

●可对管理信息进行综合展现,可以根据用户需求定制个性化业务窗口,可支持定制化二次开发。

●满足系统使用过程中容量和效率的要求。

(2)平台开发框架

依据IT服务管理平台,确定平台开发框架采用JAVA技术,与主流平台及数据库兼容。基于模块化架构开发,通过应用API接口实现应用层对数据层的访问,具有良好的可伸缩性和可扩展性,并可根据客户需求进行快速业务部署,满足产品化需要。

系统在软件架构分为五层(见图6)。

图6 系统技术架构图

第一层为展示层,负责处理与用户的交互;

第二层为控制层,负责接收和处理展示层的数据;

第三层为业务层,负责处理系统功能业务逻辑,该层根据功能业务需要,与流程引擎、计划任务调度引擎进行交互;

第四层为缓存层,负责与缓存系统交互;

第五层为数据层,负责与数据库系统交互。

软件架构采用面向对象的设计方式进行整体设计,将业界经典的设计模式引入其中,通过细粒度的分层构架,每层各负其职,互不干扰,达到松耦合的设计目的,将系统功能的变更影响降到最低,使系统更易扩展、更易维护。

(3)流程引擎技术

采用自主研发的流程引擎组件,安全、稳定、灵活、可靠,具备二次开发能力。

●界面友好的可视化流程设计界面,支持拖拽操作;

●支持丰富的流程语义及节点类型;

●支持基于规则引擎的路径选择功能;

●工作流引擎采用先进的核心架构设计,支持分布式部署方式,支持水平扩展,可提供高可用、高性能的服务。

(4)接口管理

基于SOA(面向服务的体系架构)实现,系统中的每个最小执行单元都可以以服务的方式对外提供访问能力;系统提供丰富的对外接口协议,包括:webservice、socket、Restful API、基于数据库级的接口(DBLink、接口表)等,通过这些常用、标准的协议可以方便地与外系统进行数据交换。数据交换格式支持结构化文本(csv、json、xml)等。

4 IT服务管理平台在IT服务管理中的应用分析

笔者所在公司作为电信级的IT外包服务提供商,基于ITIL、ISO 20000、ISO 27001、ASL、BISL等国际标准体系,建立了成熟的IT服务体系,覆盖服务响应、服务交付和服务管控的全过程。在此基础上,依据自身业务特点及服务能力,建设应用IT服务管理系统,实现了电子化的服务流程定义、服务协议管理及服务监督管理等。

通过服务及运维管理过程的电子化闭环管理,实现生产运营的可控性。

该平台实现对服务支撑情况的可视化分析,帮助管理人员进行服务成本分析及服务质量考核,从而进行服务质量和流程的优化改善。

该平台依据主流的IT服务标准建设,具有良好的可伸缩性和可扩展性,可根据客户需求进行快速业务部署,具有良好的市场推广价值。

该平台已在联通集团、联通黑龙江分公司等ITO项目中部署使用,提高了服务及运维管理水平和效率并降低运维成本,提高了客户服务质量及满意度。

参考文献

[1]波恩(荷).IT服务管理国际标准体系[M].北京:清华大学出版社.2009.

[2]Mauricio Salatino.j BPM6 Developer Guide[M].UK:Packt Publishing Limited,2014.

[3]高杰.深入浅出j BPM[M].北京:人民邮电出版社,2009

[4]Frank Niessink,Hans van Vliet.Vrije大学IT服务能力成熟度模型[C/OL].荷兰阿姆斯特丹:Vrije大学.1999.(2015-03-17)[2016-08-24].http://doc.mbalib.com/view/a9b4dfaa25f2f56e40ca46af8666d5bf.html.

it安全管理 第4篇

作为企业的IT部门，如何应对这些挑战呢？必须看到的是，IT促进了企业的发展。时至今日，企业发展已经离不开IT。因此，我认为，当前IT部门需要做的，就是充分发挥现有信息系统的潜力，全面实现标准化和规范化的管理，做到以规范应万变，使IT更好地为企业服务。

执行标准 管理有序

对于任何一家企业在发展过程中，其组织结构和业务流程，为了适应外部环境的变化，不得不随之改变。在这个时候，企业的IT部门如何能适应这些变化，现在设计的方案在将来发生变化的时候，如何还能用得上，对于IT部门是一个严峻的考验。为了能够适应这种变化，企业需要把自己IT的结构都很清楚地罗列下来，从全球的角度制定标准和规范，使得将来在任何一个事业部也好，任何一个国家也好，所开发的应用和基础设施都符合标准。

惠普和康柏合并后，我们制定了新的IT基础架构标准，我们把它叫做Enterprise Architecture，规范了整个IT架构。它一共分为6个层面：（1）业务目标；（2）业务流程；（3）信息本身；（4）具体应用；（5）架构标准；（6）核心基础设施。基于这6个层面，惠普把IT系统所有的内容一一映射到这些层面，例如，业务流程里面就包括采购流程、产品的生产、产品的市场推广、定单流程、如何支持客户系统等，内部有员工绩效评估系统、财务系统、人事系统等，还有就是物流系统、客户关系系统，以及办公系统等，所有这些都是包括在业务流程之内，都有一一对应的描述。在其他方面，包括最常见的客户端的个人电脑、网络架构、灾难备份和信息安全等等，这些基本的内容都被细化为具体的子层次，在六个层面下对应着200多个具体的子层次，每个子层次都要制定相应的标准、规范和政策等。

例如，在上面的核心基础设施层面中，其中有一个部分是应用基础平台。最典型的应用基础平台就是数据库。这里有很多问题需要解决，如选择什么样的数据库产品？数据库的规范是什么？对于不同的应用，分配多大的空间？采用什么的脚本做编辑工作？等等。所有这些，一般企业的做法是，需要上某个业务的应用的时候，开发人员和业务人员进行充分的交流，把需求清楚地表示出来，然后开发人员着手实现，自己建库和表，按照自己认为可用的方法划定存储空间，进行脚本编辑。这样，形成每一个用户有自己一套东西。如果一个公司只有一个业务部门的话，这样做没有什么影响。但是，大企业可能有十几个、甚至几十个业务部门，有很多产品线，每个产品线一般都会有自己的应用。从市场调研、物流、销售，到配送、支持系统和客户服务等等，全都有自己的应用。如果每一个应用都这样去建数据库的话，最后每一个部门有一套自己的方法。这样管理起来就十分复杂，也很难建立相互之间的联系。

所以我们合并后在设计数据库时，作了充分的整合。根据两家公司最好的经验，进行了统一设计，制定了统一的规范，用统一的脚本编辑，建立统一的存储空间分配策略，什么应用采用什么数据库，每个数据库用多大的空间。对于不同的需求和访问量，采用合适的方法去读取。这样做的好处首先是，在保证应用的条件下，使数据库的性能最大化。此外，由于采取了标准化的方式，不同的应用采用相同标准处理，使得维护的成本很低，故障排除的速度很快。

在惠普，所有IT系统的开发、维护、将来的变迁，都必须基于这些标准、规范和政策演进。

科学管理 对应突变

ITSM（IT Service Management）是IT部门用来计划、研发、实施和运维高质量服务的准则。它源于英国的CCTA组织开发的ITIL（Information Technology Infrastructure Library）这一业界标准。ITIL把很多观点和做法都变成可查询的。但是，它在实际应用的过程中很不方便。因此，惠普根据自己的实践，创造了ITSM，它具有很好的可操作性。

ITSM 包括5个大的模块：业务和IT战略整合、服务运营和维护、服务规划和管理、服务开发和实施，还有业务持续管理。我们在日常的IT管理工作中把ITSM作为指南。我们的一切工作都根据ITSM来做。

在ITSM中的业务持续管理模块，是ITSM重点强调的新内容。一个企业再发展过程中，会受到许多意外情况的影响，如灾害、疾病、电力短缺等。业务持续管理模块就是为解决这些问题制定的。突如其来的非典给我们提供了演练的机会。从2003年4月下旬起，北京的非典疫情变得非常严峻。惠普早在3月底就开始做相关的准备工作。我们信息服务部在4月初制定了应急计划。当时，中国惠普公司总裁孙振耀布置给我们的任务很简单，要解决两个问题：（1）如果有一半的员工回家办公，能不能做到？（2）如果办公室必须关门，IT能怎么继续保持业务持续运转？

根据领导的要求和ITSM的原则，从IT管理者的角度，我把公司的员工当作客户对待。我根据公司的特点，需要考虑的重点问题有如何扩大带宽、如何继续800号支持，以及怎样组织大家对非典的应急工作，包括第二办公室的建设和其他基础设施的设置等，提出有关的建议和对策。这时，更加体现出IT部门的价值。根据ITSM，我们很快制定了应急计划，其方针是要实实在在地保障IT基础设施的基本运营。我们主要做了以下具体的实施工作。

1．可用性管理

非典时期的可用性管理的重点就是如何最大限度地实现让员工远程联网。我们为了保证可用性，首先检查，网络的接入网关是否是冗余的？如果不冗余怎么办？如果公司被关门怎么办？我们把所有的措施都写在IT手册里面，发给每个员工。万一北京不行，可以拨号到上海或新加坡。做到即使某个单点系统不可用了，但是用户可以改拨另外的端口和惠普联系。

2．扩展管理

在正常情况下，公司网关的接入能力是按允许同时有50人登录设计的。但是在非典高峰时期，平均每个时刻有500人登录，比平常多了10倍。当时的带宽有冗余，但仍差得很远。我们根据ITSM执行扩展计划，除了在内部增加接入能力外，还要和电信部门协商提高带宽。在最短的时间内，我们把带宽扩展了5倍，加上原来的冗余，使得带宽容量可以满足500～800人同时登录，基本满足了2/3员工在家办公的需求。

再有，我们的电子邮件服务器配置成双备份的，一个在北京的其他地方（离惠普大厦较远），另一个在上海。

3．服务级别管理

每天有多少员工，以什么样的速度、多长时间、可用性接入到公司网络，这些都涉及服务级别管理。这时的要求肯定比平时低了，因为这毕竟是一个突发的情况。平时可能要保证100%的拨通率，现在只能达到90%。我们当时和各个业务部门协商好，员工轮流联网。根据员工号码的尾数决定联网时间，奇数号在奇数时段联网，偶数号在偶数时段联网。每个人登录2小时后，就要下线，再过2个小时才能重新登录。

4．运营管理

在这方面，我们每天都出一个报告，其中最主要的数据有2个，一个是IT的帮助台接了多少电话，比平时多了多少。第二是远程接入端口，每天有多少人联网。这些数字代表有多少员工的工作状态发生变化。因为员工回家办公，有很多配置要改变。具体操作可能有问题，就要打电话询问。员工接入数量代表真正有多少员工在家办公。这些数字也为公司的管理层提供了信息。

在业务持续管理里面，还有许多模块，如成本控制、质量管理等等。在实施的时候，我们部门员工都积极参与。我体会到，只有当IT部门的每一个小组、每一个工程师对ITSM有统一的认识时，IT管理的沟通效率和执行效率才会极大地提高。而且仅仅使用一个模块是不够的。每一个模块都是相互关联的。如果大家的理解都不一样，那就困难了。只有整个部门都理解和掌握ITSM，大家有统一的认识，效率才能最大化。

IT项目沟通管理 第5篇

在IT项目中，要做到一个项目迅速成功的完成，并能达到或者超过预先设计好的效果，是很不容易的，在完成所下达的任务当中，设计好的蓝图跟具体的实诸于实践，既要有规定统一的制定计划，还要有一套适时的监控执行方法，但同时又不能扼杀了整个项目开发中的创造性和自主性，这样，就必须有一个灵活而且容易使用的沟通方法的过程，从而使一些的重要的项目信息时时最新，做到实时同步。

在IT项目中，许多专家都认为：对于成功，威胁最大的就是沟通的失败。与IT项目成功的三个主要因素分别为：用户的积极参与，明确的需求表达，管理层的大力支持。而这三要素全部依赖于良好的沟通技巧，特别是非信息技术人员。沟通管理的目标是及时并适当地创建、收集、发送、储存和处理项目的信息，标准的项目沟通包含沟通计划、信息传递、实施情况报告、管理收尾共四个过程。本文将谈谈一些本人在沟通管理实践中的一些经验。制定沟通计划

在项目立项后，第一步就要制定《沟通计划》，《沟通计划》应包括以下内容：

? 文件保存方式：在沟通计划中首先明确信息保存方式、信息读写的权限，明确用户信件、会议记录、工作报告、项目文档（需求、设计、编码、发布程序等）、辅助文档等的存放位置，及相应的读写权力。这样用于收集和保存不同类型的信息，有必要制定和遵循一个规定好了的统一规章制度，将与项目有关的重要工作建档。

? 联系方式：应该有一个专用于项目管理中所有的相关的人员的联系方式的小册子，其中如项目组成员、项目组上级领导、行政部人员、技术支持人员、出差定房订票等系统中相关的人员，座机、手机、职能等等，应相应的一一列上，做到简洁又要明了，最好能有特殊人员的一些细小的标注，能够做到在一打开小册子的同时就能将所有的相关人员的资料了然于胸，正所谓知已知彼，这样一来，很多在平时大费周章的事，就能在养成的良好的习惯中，轻松做到。

? 工作汇报方式：明确表达项目组成员对项目经理或项目经理对上级和相干人员的工作汇报方式，明确什么时间，什么形式。比如项目组成员对项目经理通过EMAIL发送周报；项目经理对直接客户和上级按月通过EMAIL发月报的方式；紧急汇报通过电话及时沟通；每两周项目组进行一次当前工作沟通会议；每周同客户和上级进行一次口头汇报等等。

? 统一项目文件格式：对于一个项目本身统一的文件模板，是正规管理的一部分，所以必须统一各种文件模板，并提供编写指南。

? 《沟通计划》维护人：明确本计划在发行变化时，由谁进行修订，并对相关人员发送。

由于《沟通计划》是同很多人员有相关的，必须保证计划是有相关干系人参于制订，并且保证《沟通计划》是相当人员已经正解接收及理解。计划是用来执行的，而不是为计划而计划束之高阁。信息发送

对于项目管理的信息正确传达到相应的人员，是相当重要并有一定的困难的，经常发生的事情是信息发送人感到自己把信息正确传达了，但实际的结果却是信息没有传达到或是被错误的理解了。太多的人还是不太习惯成堆的文件或者通篇的E-MAIL传送的邮件，如果能利用非正式的方式或者是双方会谈的方式来听取重要的信息，就来得又快又准确更能让人接受，就象传统里的一纸书信在某些场合还是比任一现代化的联系方式来得好一样，价值取向不同，沟通的方式也就在使用效果上全然不一样了。

我们在沟通中应遵循彼得.德鲁克提出的四个基本法则：

? 沟通是一种感知

? 沟通是一种期望

? 沟通产生要求

? 信息不是沟通

本人在通过学习及结合实践的过程中得到以下的感受。

3.1 沟通是一种感知

沟通一定是双向，必须保证信息被接收者接到了。所有的沟通方式，必须有回馈机制，保证接收者接收到。比如：电子邮件进行沟通，无论是接收者简单回复“已收到、OK”等，还是电话回答收到，但必须保证接收者收到信息，并回应信息已经接收到。

信息收到必须保证理解是正确的，很多事情信息收到了，但被错误的理解了，很多信息是传达到了，但却被错误理解了。

比如：A项目经理对B项目经理说“今天我要去投标，不过我这边的现在人手少，你那边可否抽些人过来帮我壮壮声势”。

B项目经理手中有一些程序员和系统分析员，而当前程序员有些空闲人手，系统分析员今天正好有些紧急工作，但B项目经理错误理解为A项目经理需要的人是系统分析员，到时协助答辩，所以回答“不行，今天正好有紧急工作，没有办法帮忙”。

A项目经理只好另想办法。

以上就是典型的理解错误，发送方的正确表达、接收者的正确理解是非常重要的。比较简单的方式是发送者进行信息发送，接收者进行理解后进行细化并进行二次表达，但这种表达却是在确认自己理解了的同时去转叙或者执行的结果，而不是复述。

3.2 沟通是一种期望

在项目管理中，项目不同干系人是有不同的沟通需要的。

项目组成员在具体的工作安排中他想明白那个职位是否符合他的意愿等等，上级

要了解接收者的期望，向下属传达工作安排的同时还要了解他的意愿取向的问题，再采取相应的方法，调起其在工作上的热情，从而促使其在工作的高效付出，在项目管理中如让下属有反抗情绪的产生或者低效的工作，则是一个项目经理在沟通上不得法的一个失败实例。因此制定一个协调的沟通计划就更为重要了。而项目经理的上级和客户更加关心是进度的问题：时间是否会延期、是否要添加成本、质量是否有保障等等。这对于项目经理来说，就应即时的反馈这些时间，特别是将会有延期、将添加项目成本、质量将会有问题的苗头等等，更加必须提早汇报，使项目经理的上级和客户能及时并适时调整工作计划。

3.3 沟通产生要求

沟通是双向的，沟通必须能够符合接收者的利益，那样才有说服力。这就要求双方都要有良好的沟通方式，特别是良好的沟通又能达到双赢的目的，一致的沟通有助于组织促进项目更新。

口头的沟通能力同时似乎又是职位提升的关键因素。于是，沟通又必然的产生要求，比如：职位上成功，项目的早日完成，对问题作出恰当的回应，小到假期薪金等等都要沟通来达到目的。

3.4 信息不是沟通

当前是信息时代，必须分清哪些是沟通哪些是信息，对于用于沟通的信息必须明确简练、醒目，避免沉没于信息之海中。

信息也可用于沟通，但信息过于的生搬硬套，一个文字性的文件是并不能起到沟通的作用的，在项目中，项目经理并不是想集中于信息中而是想了解项目里工作的人员，并与之建立起相互信任的关系。而有效的发送信息，只能是依赖于项目经理和项目组成员的良好的沟通技能。

我们现在就能通过上面的四个法则来进行有效的沟通，达到保证管理中信息有效传达的目的了。实施情况报告

实施情况报告一般有三种形式：定期报告，阶段审查，紧急报告。

? 定期报告：就是在某一特定的时间内将所完成的工作量向上级汇报。在实际的项目管理中项目人员对项目经理按周报告，对于客户和项目经理的直接上级是按阶段或月进行统一的进展报告，从项目管理上讲，项目定期报告的主要内容就包括：当前是什么状态？在什么阶段？进度完成情况？当前有什么问题请上级（用户）协助解决？下周（下阶段或下月）的计划是什么等等。

? 阶段评审：在项目进行到重要的阶段或里程碑似的项目发展阶段，就要进行阶段评审。阶段评审的意义就在于评审当前的项目情况，迫使人们对其工作负责；阶段评审可以提前发现问题，提前将问题解决在初期阶段。不过阶段评审也是最容易产生争执的地方，这主要是针对于问题严重性的定级，项目经理或项目管理委员会必须在全面了解项目发展进展的情况下及时找到问题的重点，从而就事论

事的解决问题的真正症结所在，并进行后面的项目。

? 紧急报告：在出现意外情况下，进行紧急报告。紧急报告包括以下内容：当前发现的问题，相关影响，需如何解决（动用什么资源），问题紧迫性（必须什么时间内进行反馈）。

在实际的项目管理过程中，质量管理的质量保证部门也将进行质量审计，按阶段提交质量审计报告。

项目干系人接到实施情况报告后也应即时的进行反馈，明确报告已经成功接收到。并让项目干系人一道解决执行中的问题。管理收尾

5.1 项目客户验收

项目收尾期间客户将根据合同对项目进行验收，一般是对最终成果《软件系统》，项目文档《操作手册》、《安装手册》、《软件光盘》、《维护计划》或《维护手册》进行验收，双方将产生双方《项目开发总结报告》及《项目总结会议备忘录》

不同的人都有不同的见解，这些报告都是极好的资源，对未来项目的平稳运行有很大的帮助。

5.2 过程文件归档

项目组内部将对项目过程中的计划、需求、设计、源代码、变更、会议纪要、客户信件等文档整理归档，为以后的查询及参考作为一定的依据。项目档案常常在结束多年以后还有用，良好的项目档案能为当前的项目节省时间和金钱，有时还能对组织进行审计等快速提供有价值的信息。

5.3 项目总结

很多项目没有能进行很好的总结，推脱的理由有项目总结时项目人员已经不足/不全、现在有新的项目要接没有时间、写了没人看等等。这些理由全不是正确的，无论如何也要进行总结，只能总结当前，才能提高以后。

IT运维管理 第6篇

现阶段本公司的IT运维管理，存在着重操作、轻理论、重结果、轻总结的情况。根据实际统计，在日常的IT运维中。大约70%以上的故障是由业务人员发现的，而IT运维人员更多是担任救火队员的角色，表明了运维工作存在着大量的监测盲点，IT运维的工作处于相对被动的状态。这种传统的“见招拆招”式的IT运维管理方式已经不能满足公司内部日趋扩大的信息化应用，而且在一定程度上也制约和影响了业务的开展。

如何提高工作效率，规避风险，更好的做好IT管理和运维工作，将作为现阶段运维工作的首要任务。我认为应从以下几个层面加强和完善IT管理和运维工作，可以改善IT运维工作的现状。

首先、要转变IT运维管理工作方式和理念。强调从技术型向管理型转变。公司的应用系统（OA、ERP）和网络系统已经成支撑业务正常运转的重要基础，保证应用系统和网络系统的正常运行和使用成为了IT运维工作的重中之重。IT运维部门的职能应当从传统的重服务轻管理，逐步转变为服务与管理并行，规范化与人性化相辅相成的模式，以适应现代化信息的工作模式。

第二、要建立完善的内部信息共享平台。从基础设施应用系统和业务服务三个方面打造完善的信息共享和资源监控平台。能建立有效的信息资源库，减低对关键技术人员的依赖，为日常IT运维和 管理工作提供有效的保障：基础设施管理方面，对网络，应用系统软、硬件等资源进行细化管理，详细记录电子设备的出入库、维保、报废等环节。保证资源的有效利用；应用系统管理方面，对于各类应用系统的备份，日常维护进行有效管理控制，保证所有应用系统数据的一致性、准确性、及时性、可用性和完整性，并根据实际需要不断进行改进、完善或更新；业务服务管理方面，尽可能的记录所有的事件要素，包括问题描述、解决方案、操作人员等等。使得部门对人员的考核有了量化 的标准，同时这个过程也有助于知识积累，形成有效的知识库，可以极大地减少对关键人员的依赖，降低人员流失的风险。

第三、清理、简化现有IT运维管理制度。形成适合公司管理实际的制度体系。以建立完整、规范、有效的内部规章制度体系为目标，紧密联系工作实际，按照适用、可行、合法、有效的原则，对现有规章制度进行全面的自查和清理。按照IT运维管理工作的职能分工分层次、分步骤地对制订的各项内部管理制度规程进行分类清理，从制度内容的适用性、可行性、依据和效力的合法性、执行的有效性等方面进行逐条审核，并结合实际工作，对上级部门制订的内部管理制度与当前实际工作不符的情况进行修订和完善。逐步摈弃传统的“人管人”的工作模式，形成以制度带动人，以制度带动工作的长效机制

第四、建立例行巡检和通报制度。IT运维部门的负责人和业务主管可通过内部信息共享这一平台，对业务进行有效的监督。一是定期对记录在案的相关事项进行巡检，审计已登记发生事项的规范性。二是对正在发生的事件实时跟踪，及时了解事件的进展状况。规范各个流程的操作，从源头避免业务差错的发生。三是建立定期采集问题，核实整改问题及问题通报三个环节的通报机制，以提升力IT运维管理的效率。

第五、加强与内部安保部门的业务合作。内部控制审计对组织治理、风险管理、改善控制效率和效果等方面有很大的促进作用。IT运维部门可配合内部安保部门进行运维管理，将内部控制审计作为常态化审计类型，通过这种方式，突出内控特点，运用规范的审计方法和评价体系，注重从控制、风险、管理等宏观层面查找问题、提出建议，以达到促进IT运维管理工作，完善内控和加强管理的目的。通过内部审计部门，加强督导、整改等工作的实效。在IT运维管理工作的过程中，不仅要发现问题解决问题，更重要的是要形成完善的IT运维管理工作规范和流程，在这点上。可以通过内部审计部门对公司内部进一步规范制度、程序和方法，形成对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制，强化重要业务环节的风险控制。加大检查力度，切实有效地推进督导、整改工作，建立内控管理的长效机制。