IT Management Framework Development
- 1. China-ITM 与微软TechNet联合制作《云+移动计算时代卓越IT管理的十把钥匙》系列之1IT管理框架演进薛君敖(JunaoXuePh.D)首席IT管理专家 祝成科技/SoftCompass邮件交流: itm@softcompass.com互动论坛:www.china-itm.com
- 2. 现任祝成科技/SoftCompass首席IT管理专家,前美国贝尔实验室杰出研究员(DMTS),连续8次获微软全球最有价值专家MVP。研究方向:IT前沿技术解析、IT架构,IT管理框架,IT管理标准实施与更新,包括ITIL、COBIT、ISO2700X、BS25999、ITGRC等IT管理标准。1985获得美国哥伦比亚大学电脑科学硕士学位,1990年获得物理学博士学位。 1986年-2001年任职美国朗讯贝尔实验室。其间参加了5ESS,DACS,ITM-NM 的研制开发,担任贝尔实验室驻 ITU-T 和 TMF 代表,于1994年获得 AT&T 杰出领导小组长奖,入选公司领导人培养项目。1996年起参与中国邮电部和朗讯贝尔实验室标准合作项目的组织协调工作,将 CORBA 引入中国,03-06年,参与将ITIL和COBIT引入中国电信、中国网通的EAI项目。07年起,在中国银行界提出pBOM(银行运营图)、MPN(管理流程网络),引入ITGRC,以其为导向的IT管理纳入企业管理框架,并以此来改进ITIL、COBIT、ISO2700X和BS25999等标准的实施。现为ISACA的IT Governance和Green IT WG member(工作组成员),参与COSO模型更新和COBIT 5: Mapping of ISO 20000 With COBIT® 4.1的研发工作,以及itSMF的ITIL WG member(工作小组成员)。作为祝成科技首席IT管理专家,为国内各大企业成功提供IT架构演进、ITIL、COBIT和云计算等培训和咨询服务。
- 3. 引言 IT的发展与应用,不仅靠技术,更需要管理,两者不可缺一。 IT管理人员对IT管理框架的认识不足严重地影响了对IT的有效管理,但对国际上提出的由各种标准、架构、框架、模型和体系形成的“框架深林”又会感到乱花迷眼,无所适从。特别是,这些国际标准和最佳实践在云+移动计算时代是否继续适用,这都是要研讨的问题。本次讲座从企业的决策层、管理层和操作层讨论现在的Proven IT管理框架中的标准和最佳实践,介绍云+移动计算时代的管理特征,提出以CSA的《云计算关键领域安全指南》V2来更新现有的IT框架,提供了10把钥匙,去打开云+移动计算时代的IT管理大门,进到各个特定的IT管理领域。本次讲座是TechNet《云+移动计算时代卓越IT管理的十把钥匙》网络讲座系列中其他9个讲座的引论,本次讲座内容中各个部分细节参看其他相应的讲座。
- 6. Key 1现在的Proven IT管理框架这个IT管理框架适用于云+移动计算时代吗? 方法论:原则、机制、流程、管理实践ITGRC Val IT BCM/DR决策层PPMCOBIT ISO2700X管理层ISO20000操作层企业IT 基础设施可用,但要更新使之适用于云+移动计算环境
- 7. 云+移动计算时代卓越IT管理的十把钥匙IT管理框架演进(IT)治理、风险与合规管理(ITGRC) IT价值交付(Val IT)(IT)业务连续性管理(BCM)与容灾(DR) IT治理标准ISO38500与IT监管/审计最佳实践(COBIT )信息安全管理(ISO2700X系列) IT项目与外包管理(PPM、PMBOK、PRINCE2) IT服务管理标准(ISO20000) IT服务管理最佳实践(ITIL V3) IT运维框架(MOF)
- 8. What‘s ITGRC & their Relationship?Key 2IT治理是指设计并实施信息化过程中各方利益最大化的制度安排,包括:业务与信息化战略融合的机制,权责对等的责任担当框架和问责机制,资源配置的决策机制,组织保障机制,核心IT能力发展机制,绩效管理机制覆盖信息化全生命周期的风险管控机制。IT治理的目的是:实现组织的业务战略,促进管理创新,合理管控信息化过程的风险,建立信息化可持续发展长效机制最终实现IT商业价值。IT治理是在IT应用过程中的五个IT决策:(1)IT原则:阐述IT的商业作用;(2)IT架构:定义集成和标准化的要求;(3)IT基础设施:决定共享和可提供的服务;(4)业务应用需求:确定购买或内部开发应用的业务需求;(5)IT投资和优先权:选择资助哪一个立项以及投入多少资金。IT风险是从IT组织,流程和资产三个维度来全方位的进行风险分析、建立体系、运营管理和监控优化。 • ITRM是将IT风险管理过程固化,建立控制体系并持续运营的IT风险管控平台;• ITRM使企业的经营意外和损失最小化,帮助管理层改善业绩表现• ITRM目前涵盖了风险评估、体系建立、运营管理、监控审计与意识提升五大模块 风险折 衷决策 风险容忍度规则风险折衷决策(怎么制定)不合规的影响IT合规是指企业IT系统的开发和运维与法律、规则和准则相一致。IT合规风险是指企业因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。IT合规控制有三种控制:公司级控制、应用控制和通用控制。IT合规风险管理机制:制度/流程+技术+文化谁决定,及遵循的流程 合乎治理规则的合规
- 9. Key 3Val IT框架是由ValIT倡议发展成的。该治理框架包括一套指导原则和一系列符合这些原则的流程,定义了一组关键管理实践。----〉3个域 + 22个流程Val IT架构Val IT的架构是与COBIT紧密结合,为企业提供所需测量、监控并且在IT投资中实现利润最大化的结构。
- 10. Key 4业务持续性管理(BCM) & 容灾(DR)BCM生命周期要素BCM/DR 标准 BS25999 涉及:Risk Management (风险管理) Emergency Management (突发事件管理) IT Disaster Recovery (IT灾难恢复) Facilities Management (设备管理) Supply Chain Management (供应链管理) Quality Management (质量管理) Environmental Management (环境管理) Health & Safety (人身安全) Knowledge Management (知识管理) Human Resources (人力资源) Security (安全性) Crisis Communications & Public Relation(危机通讯和公关)BCM 方案管理 理解企业现况(LBC/RA/BIA、RTO/RPO)确定业务连续性策略(O/R/C)开发和实施BCM响应措施(BCP/CMP/ITDR)BCM安排演练、维持和评审使BCM成為企業文化
- 11. Key 5COBIT的魔方块平衡记分卡17 业务目标映射至28个IT目标 IT目标映射至4个域的34个 IT控制流程IT治理关注域:战略定位、价值交付风险/资源/绩效 管理COBIT实施过程: IT流程描述流程控制目标制定 RACI表及测量目标成熟度模型
- 12. Key 6信息安全管理标准 - ISO2700X系列-ISO/IEC 27000 — Information technology — Security techniques — Information security management systems (ISMS 信息安全管理系统*)— Overview and vocabulary (ISMS概览和词库)(*system – 系统或体系)- ISO/IEC 27001 — Information technology — Security techniques — Information security management systems(ISMS) — Requirements(信息安全管理系统需求)- ISO/IEC 27002 — Information technology — Security techniques — Code of practice for information security management(即原来的17799:2005)(信息安全管理实施规则)- ISO/IEC 27003 — Information technology — Security techniques — Information security management system implementation guidance (ISMS 实施指南)- ISO/IEC 27004 — Information technology — Security techniques — Information security management measurements (信息安全管理测量)- ISO/IEC 27005 — Information technology — Security techniques — Information security risk management (信息安全风险管理)-ISO/IEC 27006 —Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems (ISMS 审计和认证机构需求)- ISO/IEC 27007 — Information technology — Security techniques — Information security management systems – Auditor guidelines(ISMS 审计员指南)
- 14. Key 8ITIL v3 框架流程全景图ITIL v3 框架服务战略服务设计服务转换服务运营服务持续改进ITIL v3 实施 CA流程Subway流程活动DNA信息存储/处理/传输GRC管理
- 15. Key 9PRINCE2 2009PMBOK 2008PRINCE2 2009可以归纳为三七四二架构:7个项目管理原则:项目开展中必须持续进行商业论证(Go or No Go),项目团队要从项目经验中学习,明确的角色和责任,分阶段进行管理,例外管理,聚焦于产品(项目成果)。剪裁适合项目环境项目管理知识体系2个层次:企业层次(多)项目管理单一项目管理生命周期:启动、组织与准备、执行、结束9个知识领域:范围管理时间管理成本管理质量管理人力资源管理在PRINC2:2009中,通过计划(实现设定一系列的活动),委派(项目中单干是不现实的,工 作委派给合适的人),监督(按照计划开展工作),控制(在合适的时间把合适的信息转达给合适的人做出合适的决策), 实现对于项目的成本、时间、质量、范围、风险和收益等六方面的管控。7个项目管理主题:业务论证,组织,质量,计划,风险,变更进展7个项目管流程:项目指导,项目发起,项目准备,项目阶段边界管理,项目阶段控制,项目产品交付,项目收尾沟通管理采购管理风险管理整合管理4层项目管理组织结构最高层是公司战略管理层第二层是项目委员会,第三层是项目经理,第四层是项目小组经理。2个项目管理技术:基于产品的计划-在定义活动之前先识别和定义产品质量评审-定义了应用到所有产品的质量控制和审批过程
- 16. Key 10MOF Service Lifecycleand SMFsManage上引入GRC是一个战略上的革新用ITSLC实施GRC是有实际参考价值的方法论
- 17. MOF, COBIT, Val IT 之间的关联IT管理演进战略方针:1)三个管理 层次的无缝 连接2)管理标准/最佳实践的 整合
- 18. IT管理标准/最佳实践的价值、收益和挑战10 Keys 现在的IT管理框架通过其标准和最佳实践中的原则、机制、流程和管理实践提供了适用于各种IT架构的IT管理方法论。 以域和流程来表述方法论(管理实践)的有:ITGRC、Val IT、COBIT、ISO20000以生命周期来表述方法论(管理实践)的有:BCM、ISO2700X、ITIL V3、MOF 以域和流程以及以生命周期来表述方法论(管理实践)的有: PMBOK/PRINCE2 借助COBIT整合和统一IT及商务目标、监控和审计IT实施和IT系统 借助ISO20000/ITIL在运营中测量IT机构的效果和效率、提供用户满意的IT服务 进行有效的ITGRC、ISO2700X和BCM/DR,保证业务/服务的持续性 借助Val IT优化成本及总拥有成本、实现高效投资回收率、展示IT的商业价值 借助PPM、PMBOK、PRINCE2,采用“智慧外包”,提升项目交付的成功机率 借助MOF管理持续的商务和IT变更,获得使用IT的竞争性优势 现有的IT管理框架能适用于云+移动计算时代的IT管理吗? 云+移动计算时代的IT管理框架应该是什么样的?
- 20. (到目前的)IT架构演进 – 云+移动计算时代傻瓜终端/主机C/S结构B/S结构云/端结构云– 企业以虚拟共享为特征的数据中心端– 智能移动手机、PAD、laptop (H2M),另一个端(M2M)。云计算 =(数据软件+平台+基础设施)× 服务云计算是新一代互联网、物联网和移动互联的引擎和神经的中枢云计算的实质是“虚拟共享”云服务的五个关键特征:按需自服务宽带接入虚拟化的资源“池”快速弹性架构可测量的服务
- 21. 云/端计算设备的分类云计算设备可分为4个象限。按照终端类型分为移动(Mobile)与固定(Fixed);按照通信对象分为H2M与M2M。H2M是指人与机器(Human to Machine),例如用户与计算机等人与机器的沟通。M2M是机器与机器(Machine to Machine)的缩写,例如电表的远程查抄等机器间的互相沟通。
- 22. 移动计算环境的一般结构移动计算系统假设计算结点包括固定结点和移动结点,它使用户可以携带移动终端自由移动,并在移动过程中通过移动通信网络与固定结点和其它移动结点连接和交换信息。移动计算特点(1)移动性(2)网络条件多样性(3)频繁断接性(4)网络通信的非对称性(5)移动计算机的有限电源能力(6)可靠性低MSS — mobile support station 移动基站MU — mobile unit 移动单元FH — fixed host 固定主机
- 23. 议题现在的IT管理框架云+移动计算时代的特征云+移动计算的IT管理框架 ---- 《云计算关键领域安全指南》V2.1 CSA
- 24. 美国国家标准技术研究院(NIST)的云计算定义(5-3-4模型)NIST defines cloud computing by describing five essential characteristics, three cloud servicemodels, and four cloud deployment modelssummarized in figure below。CSA:Security Guidance for Critical Area of Focus in Cloud Computing V2.1CSA – Cloud Security Alliance(国际云安全联盟)
- 28. 云IT管理的战略和策略 - 关键关注领域《CSA指南》V2.1 包括13个域,云计算架构框架是第1个域。组成CSA指南的其它12个域突出了对云计算安全的关注领域,并特别设法去解决云计算环境中战略和战术安全的“痛处”, 从而可应用于各种云服务和部署模式的结合。这些域分成了两大类:治理(governance)和运行(operation)。治理域范畴很宽,解决云计算环境的战略和策略,而运行域则关注于更战术性的安全考虑以及在架构内的实现。两者构成了突出云安全为重点的云IT管理框架。《CSA指南》根据云+移动计算时代的管理特征 – 处理云中的角色(云客户、云服务提供商、第三方服务提供商)间的业务/财务/GRC关系,对每个域从不同的管理层次提出策略性建议。
- 32. IT管理/运营 ---〉ICT管理/运营管理环境的演进多网络融合,从管理和运营的角度看,这种融合体现在以下几个方面:(1)承载网络统一IP化,简化了业务的部署。(2)不同业务(电信业务、互联网业务、广电业务)不断融合,排列组合为种类无限的业务。(3)业务终端统一化,要求单一的终端设备能够支持多种业务,并同时指出不同业务间的关联互操作。(4)业务硬件设备通用化,无须改变硬件,仅通过改变硬件上运行的软件即可提供不同的业务。管理和运营模式的多样化(1)传统的业务提供、管理和运营模式继续存在。(2) 网络运营商提供基础网络业务,企业根据自身需要建设和运营业务平台,向企业内部用户提供服务。(3)出现单独的运维提供商角色,负责同时为多类用户提供满足不同需求的管理和运营服务。(4)家庭网络的管理和运营任务需要独立的运维提供商来承担。管理和运营概念的演进(1)包含基本FCAPS含义的管理概念需要拓展:1)管理的对象按照设备管理、网络管理、业务管理、商务管理演进。2)管理内容按照数据、信息、知识、智慧方向演进。3)管理目标按照内部维护、外部服务、内部决策、服务创新方向演进。(3)管理业务和ICT业务不断融合(4)管理业务本身需要定义相应的质量指标
- 33. 云+移动计算IT管理框架
- 34. 建立云+移动计算IT管理框架的建议 IT管理应扩展成ICT(信息/通讯技术)管理云的ITGRC是战略需求,应是云管理框架中的关键关注域信息安全管理应是云+移动计算IT管理的重中之重 现有IT管理框架中标准和最佳实践的方法论依然可用/要用以CSA的《云计算关键领域安全指南》V2 更新现有的IT管理框架:仿照《指南》的13个域模式建立云+移动计算的IT管理框架在原有框架中标准和最佳实践的方法论 - 原则、机制、流程和管理实践中需要增添云+移动计算管理元素和ICT管理内容 仿照37页的映射模型将行业需求映射至云模型,按在云中的角色(云客户、云服务提供商、第三方)根据需求从三个管理层次采用相关标准和最佳实践的方法论来制定云IT管理框架。参考国内外正在研讨的云+移动计算对上述9个标准/最佳实践影响等课题,结合企业实际逐步建立云+移动计算IT管理框架和制定云的技术/管理架构(详情见以后的各次讲座)
- 36. 获取更多TechNet资源访问TechNet的官方网站www.microsoft.com/China/technet注册TechNet快报 www.microsoft.com/china/technet/abouttn/subscriptions/flash.mspx加入到中文在线论坛www.microsoft.com/china/community成为 TechNet的订户 www.microsoft.com/china/technetTechNetIT经理参考www.microsoft.com/china/technet/itmanager/default.mspx参与到更多的TechNet活动中或者在线了解www.microsoft.com/china/technet
- 37. 您的潜力,我们的动力!