彭國(guó)勇

摘要：該文通過(guò)對(duì)質(zhì)量管理體系、ITIL和信息系統(tǒng)安全等級(jí)保護(hù)三套標(biāo)準(zhǔn)進(jìn)行分析，提出了一種以質(zhì)量管理體系為框架，ITIL流程控制為主線，等級(jí)保護(hù)管理標(biāo)準(zhǔn)為保障的綜合運(yùn)維保障體系建設(shè)方法。并通過(guò)梳理實(shí)施過(guò)程中各項(xiàng)主要工作的關(guān)系，根據(jù)分段實(shí)施、穩(wěn)步推進(jìn)原則，總結(jié)了一條可操作、可落地的規(guī)范運(yùn)維保障體系實(shí)施路線。

關(guān)鍵詞：質(zhì)量管理；規(guī)范運(yùn)維；企業(yè)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）09-2028-03

大多企業(yè)經(jīng)過(guò)十余年的信息化發(fā)展，大規(guī)模的信息化建設(shè)基本完成，即將面臨著長(zhǎng)期的系統(tǒng)運(yùn)行維護(hù)的問(wèn)題。但與信息系統(tǒng)建設(shè)的較高水平相比，還普遍存在IT服務(wù)管理較弱的問(wèn)題，缺乏有效的管理手段與方法，這就使信息化的投入充滿了很大的不確定性，也使信息化效果很難控制。因此，如何對(duì)企業(yè)龐大的技術(shù)系統(tǒng)進(jìn)行科學(xué)、高效的管理，從而發(fā)揮它的最大效能，降低運(yùn)營(yíng)成本，是當(dāng)前企業(yè)信息化過(guò)程中必須面對(duì)的挑戰(zhàn)。

1 三套標(biāo)準(zhǔn)在運(yùn)維體系中的適用性分析

ISO9000質(zhì)量管理體系標(biāo)準(zhǔn)在各企業(yè)和單位中的運(yùn)用非常廣泛，是對(duì)整個(gè)單位運(yùn)作、服務(wù)過(guò)程進(jìn)行質(zhì)量控制管理的體系，通過(guò)質(zhì)量手冊(cè)、文件控制、記錄控制等方面為管理對(duì)象的實(shí)施提供指導(dǎo)，側(cè)重于對(duì)宏觀運(yùn)作流程的控制，但不包括各專業(yè)業(yè)務(wù)層面的特定要求。

ITIL作為一種以流程為基礎(chǔ)、以客戶為導(dǎo)向的IT服務(wù)管理指導(dǎo)框架，它擺脫了傳統(tǒng)IT管理以技術(shù)管理為焦點(diǎn)的弊端，實(shí)現(xiàn)了從技術(shù)管理到流程管理，再到服務(wù)管理的轉(zhuǎn)化，適用于IT服務(wù)管理和服務(wù)流程的控制。

等級(jí)保護(hù)管理體系是對(duì)信息系統(tǒng)的科學(xué)、安全運(yùn)行進(jìn)行監(jiān)督和控制的體系，從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面為信息安全專業(yè)層面提供指導(dǎo)，適用于運(yùn)作流程中各節(jié)點(diǎn)的安全控制。其中的保護(hù)等級(jí)劃分，也為信息安全投入和安全保障水平提供了平衡點(diǎn)。

對(duì)于已經(jīng)實(shí)施ISO9000的單位，信息化職能部門在ISO9000貫徹實(shí)施時(shí)往往與自身信息化業(yè)務(wù)無(wú)法融合，即便進(jìn)行了融合也常以信息化的一般性運(yùn)維工作為主，沒(méi)有考慮規(guī)范化安全運(yùn)維工作在整個(gè)單位和組織質(zhì)量控制體系中的重要性。因此將ITIL、等級(jí)保護(hù)思路與ISO9000融合，即可具體落實(shí)ISO9000體系中的流程控制，也可以彌補(bǔ)等級(jí)保護(hù)在體系要求、文件控制和記錄控制等方面的薄弱環(huán)節(jié)，同時(shí)完善ISO9000體系中對(duì)信息安全領(lǐng)域的專業(yè)性，最終形成以質(zhì)量管理體系為框架，ITIL流程控制為主線，等級(jí)保護(hù)管理標(biāo)準(zhǔn)為保障的綜合運(yùn)維保障體系。

2 規(guī)范運(yùn)維保障體系架構(gòu)設(shè)計(jì)與文件體系建設(shè)

結(jié)合三套標(biāo)準(zhǔn)的特點(diǎn)進(jìn)行運(yùn)維管理架構(gòu)設(shè)計(jì)時(shí)，在體系結(jié)構(gòu)層面要考慮運(yùn)維體系的建設(shè)周期、各標(biāo)準(zhǔn)在運(yùn)維體系中所處的層次、每個(gè)層次要達(dá)到的要求及PDCA方法論等。在服務(wù)流程層面要考慮結(jié)合企業(yè)的現(xiàn)狀，IT服務(wù)支持模式和管理流程及最佳實(shí)踐等。在具體操作層面要考慮響應(yīng)方式、實(shí)現(xiàn)工具、安全要求、監(jiān)控方法等。將三大標(biāo)準(zhǔn)體系體系結(jié)構(gòu)層面設(shè)計(jì)：在整個(gè)運(yùn)維生命周期中，包括運(yùn)維體系建設(shè)、運(yùn)維支持管理、運(yùn)維成效管理及運(yùn)維持續(xù)改進(jìn)四個(gè)階段。這四個(gè)階段形成一個(gè)PDCA持續(xù)改進(jìn)的管理循環(huán)。通過(guò)建立檢查、反饋機(jī)制，對(duì)信息安全管理體系運(yùn)行情況進(jìn)行監(jiān)督和控制，建立動(dòng)態(tài)調(diào)整機(jī)制，確保信息安全管理體系符合新形勢(shì)、新技術(shù)發(fā)展要求。

服務(wù)流程層面設(shè)計(jì)：系統(tǒng)運(yùn)維的服務(wù)流程是信息化工作部門和服務(wù)供應(yīng)商向業(yè)務(wù)部門的服務(wù)交付和支持過(guò)程，通過(guò)建立“一站式”的服務(wù)臺(tái)和規(guī)范的流程程序，提高IT部門對(duì)事件的響應(yīng)能力和IT運(yùn)維工作的規(guī)范性，防范手工方式出現(xiàn)對(duì)用戶請(qǐng)求的遺忘，以及非規(guī)范的操作引起的系統(tǒng)風(fēng)險(xiǎn)，同時(shí)要幫助信息化工作部門實(shí)現(xiàn)運(yùn)維知識(shí)的積累和共享，提升運(yùn)維和管理的整體水平。

具體操作層面設(shè)計(jì)：在系統(tǒng)運(yùn)行維護(hù)中，各項(xiàng)工作（事件、變更等）的處理程序、操作步驟、完成時(shí)限及服務(wù)要求等，均要制訂相應(yīng)的標(biāo)準(zhǔn)和規(guī)范，在涉及安全管控點(diǎn)時(shí)，可通過(guò)建立符合信息系統(tǒng)等級(jí)保護(hù)要求的安全配置基線，統(tǒng)一信息系統(tǒng)建設(shè)和運(yùn)行技術(shù)配置標(biāo)準(zhǔn)。

按照上述三個(gè)層面之間的關(guān)系，落實(shí)到文件體系中時(shí)，可以質(zhì)量管理體系為總體框架，將體系文件分為三個(gè)級(jí)別：一級(jí)程序文件為綱領(lǐng)性文件，用于描述整個(gè)體系架構(gòu)運(yùn)作流程和運(yùn)維方針策略。主要包括信息化建設(shè)與管理程序，信息系統(tǒng)運(yùn)維管理程序，涵蓋信息化建設(shè)與運(yùn)維全過(guò)程。二級(jí)程序文件按ITIL流程管理為主線，為一級(jí)程序提供可操作的流程化文件。主要包括：項(xiàng)目管理、事件管理、問(wèn)題管理、配置管理、發(fā)布管理、變更管理、應(yīng)急管理等流程。三級(jí)流程涉及具體操作規(guī)范，落實(shí)二級(jí)流程文件中涉及的各方面運(yùn)維和安全管理內(nèi)容。主要包括：溝通管理、授權(quán)與審批管理、文件規(guī)范性管理、介質(zhì)管理、資產(chǎn)管理、網(wǎng)絡(luò)管理、系統(tǒng)管理、安全事件與應(yīng)急管理、備份與恢復(fù)管理等方面。記錄表單為實(shí)際運(yùn)維過(guò)程的記錄。各級(jí)文件組成結(jié)構(gòu)如圖2所示。

文件體系是運(yùn)維體系架構(gòu)的管理體現(xiàn)，是管理落地的基礎(chǔ)，也要運(yùn)用PDCA管理。

3 規(guī)范運(yùn)維保障體系ITIL流程設(shè)計(jì)

要想管理體系得到貫徹執(zhí)行，就要對(duì)規(guī)范化運(yùn)維流程進(jìn)行科學(xué)有效的設(shè)計(jì)。因?yàn)榱鞒淌枪芾淼慕K端，主要解決的是管理固化問(wèn)題。而ITIL作為事實(shí)上的國(guó)際標(biāo)準(zhǔn)，基本與組織性質(zhì)和業(yè)務(wù)性質(zhì)無(wú)關(guān)，僅明確指出應(yīng)該“做什么”，但不講“如何做”。因此流程設(shè)計(jì)時(shí)還要結(jié)合企業(yè)的現(xiàn)狀，本著一切從實(shí)際出發(fā)的原則，考慮企業(yè)對(duì)IT服務(wù)管理的切身需求，按照最佳實(shí)踐和企業(yè)的實(shí)際設(shè)計(jì)出的合理的IT服務(wù)支持模式和管理流程，建立自己的方法論。

在具體的規(guī)范流程設(shè)計(jì)過(guò)程中，首先要考慮的是人員崗位職責(zé)。應(yīng)用服務(wù)管理之后，IT部門的組織架構(gòu)、職能、工作方式都會(huì)隨之發(fā)生一定變化。建立規(guī)范的流程，需要確定IT支持人員和管理人員的職責(zé)，通過(guò)流程角色的設(shè)置，而不是單純依靠組織結(jié)構(gòu)的設(shè)置來(lái)把角色和職務(wù)分開(kāi)。同時(shí)制定配套的人員角色和職責(zé)及考核機(jī)制，以實(shí)現(xiàn)對(duì)人員的量化管理和資源的有效利用。

其次是確定提供服務(wù)的管理流程。在ITIL中已歸納為服務(wù)級(jí)別管理、IT服務(wù)財(cái)務(wù)管理、能力管理、IT服務(wù)持續(xù)性管理和可用性管理5個(gè)服務(wù)管理流程。這些管理流程用于解決“客戶需要什么”、“為滿足客戶需求需要哪些資源”、“這些資源的成本是多少”、“如何在服務(wù)成本和服務(wù)效益（達(dá)到的服務(wù)級(jí)別）之間選擇恰當(dāng)?shù)钠胶恻c(diǎn)”等問(wèn)題，服務(wù)提供所包括的這5個(gè)核心流程均屬于戰(zhàn)術(shù)層次的服務(wù)管理流程，用以確定服務(wù)級(jí)別協(xié)議及滿足服務(wù)要求所需要的最優(yōu)資源，也就是說(shuō)如何做正確的事。

再次是確保用戶得到適當(dāng)?shù)姆?wù)支持以保障組織業(yè)務(wù)功能。服務(wù)支持流程體現(xiàn)服務(wù)接觸和溝通的5個(gè)運(yùn)作層次的流程，即事件管理、問(wèn)題管理、配置管理、變更管理和發(fā)布管理。這5個(gè)服務(wù)管理流程的主要職能是，確保IT服務(wù)提供方所提供的服務(wù)質(zhì)量，符合服務(wù)級(jí)別協(xié)議（SLA）的要求，即如何正確的做事。ITIL核心流程之間的層次關(guān)系如圖3所示。

最后是引入服務(wù)臺(tái)、服務(wù)連續(xù)性管理等流程自動(dòng)化工具，以系統(tǒng)工具來(lái)固化流程，再不斷完善流程。同時(shí)要關(guān)注工具之間的聯(lián)動(dòng)和信息整合，如果可能，盡早的進(jìn)行統(tǒng)一的規(guī)劃，建立集成規(guī)范要求，以保證投資在未來(lái)得到充分保護(hù)，不被浪費(fèi)。

所以，ITIL的應(yīng)用過(guò)程和效果的獲得，不是簡(jiǎn)單的單純通過(guò)項(xiàng)目建設(shè)能夠達(dá)到的，是企業(yè)信息中心部門、咨詢服務(wù)提供商、產(chǎn)品提供商等多方共同努力的結(jié)果，也是一個(gè)持續(xù)改進(jìn)、不斷優(yōu)化的長(zhǎng)期過(guò)程。

4 構(gòu)建信息系統(tǒng)等級(jí)保護(hù)為基礎(chǔ)的防護(hù)體系

保障體系要結(jié)合管理體系和ITIL流程，落實(shí)安全技術(shù)及管理要求?？梢罁?jù)分級(jí)、分域、分區(qū)、分層的防護(hù)原則，對(duì)運(yùn)維的信息系統(tǒng)按級(jí)別劃分安全區(qū)域進(jìn)行管理，各安全域劃分為網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)環(huán)境、主機(jī)系統(tǒng)及應(yīng)用環(huán)境四個(gè)安全層次，最后形成縱深防御體系。

在技術(shù)上可通過(guò)強(qiáng)化邊界訪問(wèn)控制、規(guī)范網(wǎng)絡(luò)訪問(wèn)行為、強(qiáng)制主機(jī)管理、構(gòu)建應(yīng)用授權(quán)和身份認(rèn)證平臺(tái)、加強(qiáng)審計(jì)監(jiān)控等措施構(gòu)建協(xié)同防御。每個(gè)安全保護(hù)部件或設(shè)備應(yīng)具有安全保護(hù)功能獨(dú)立完整、調(diào)用接口簡(jiǎn)潔、與安全產(chǎn)品相對(duì)應(yīng)和易于管理等特征，在后期綜合運(yùn)維服務(wù)與監(jiān)控平臺(tái)集成建設(shè)中能夠保障數(shù)據(jù)的共享和協(xié)同防御。在管理上通過(guò)建立綜合運(yùn)維服務(wù)與監(jiān)控平臺(tái)。將機(jī)房環(huán)境監(jiān)控系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、性能監(jiān)測(cè)與管理系統(tǒng)、入侵防御系統(tǒng)等監(jiān)控與管理的系統(tǒng)告警和性能監(jiān)測(cè)數(shù)據(jù)進(jìn)行整合，梳理各個(gè)資源之間的告警關(guān)系，進(jìn)行集中監(jiān)控告警模型設(shè)計(jì)，并可進(jìn)行工具產(chǎn)品的客戶化定制，實(shí)現(xiàn)集中監(jiān)控管理和指揮控制，為運(yùn)維體系安全運(yùn)行提供全面的管理保障。

5 規(guī)范運(yùn)維保障體系實(shí)施路線

在實(shí)施階段，要考慮若一次性全部實(shí)施所有流程帶來(lái)的風(fēng)險(xiǎn)，可采用分階段實(shí)施的方法，做到穩(wěn)步推進(jìn)，以便取得良好效果。大致可分為前期準(zhǔn)備階段，全面試運(yùn)行階段，正式運(yùn)行及擴(kuò)展階段，綜合優(yōu)化調(diào)整階段。

1）前期準(zhǔn)備階段

明確參與運(yùn)維工作人員的崗位職責(zé)，做到權(quán)限分離。開(kāi)展等級(jí)保護(hù)測(cè)評(píng)并根據(jù)等級(jí)保護(hù)要求制定安全配置基線及相關(guān)操作規(guī)范。根據(jù)等級(jí)保護(hù)測(cè)評(píng)結(jié)果，按照分級(jí)、分域、分區(qū)、分層原則制定安全技術(shù)基礎(chǔ)平臺(tái)整體解決方案，在管理與技術(shù)上提供安全依據(jù)。試運(yùn)行ITIL運(yùn)維管理五大流程，檢驗(yàn)工作流程的可操作性。梳理清楚管理對(duì)象，完善資產(chǎn)配置管理，確定運(yùn)維管理的范圍。

2）全面試運(yùn)行階段

全面開(kāi)展規(guī)范化運(yùn)維工作，在運(yùn)維平臺(tái)中體現(xiàn)所有運(yùn)維工作并力爭(zhēng)全員參與，做到運(yùn)維職責(zé)明確，流程處理程序規(guī)范，操作標(biāo)準(zhǔn)，過(guò)程有痕跡并制定合理的績(jī)效考核方案。在日常運(yùn)維工作中查找不足，提供改進(jìn)意見(jiàn)，不斷完善質(zhì)量目標(biāo)文件、流程體系文件和操作手冊(cè)。充分發(fā)揮知識(shí)庫(kù)作用，將常見(jiàn)問(wèn)題解決方法進(jìn)行歸納總結(jié)并上傳至知識(shí)庫(kù)，做到知識(shí)共享。同時(shí)實(shí)施完成安全技術(shù)基礎(chǔ)平臺(tái)，實(shí)現(xiàn)安全管理中心與運(yùn)維平臺(tái)互聯(lián)互通問(wèn)題，保證安全要求融入運(yùn)維流程中。

3）正式運(yùn)行及擴(kuò)展階段

全面運(yùn)行完善后的ITIL運(yùn)維管理五大流程，結(jié)合ISO20000相關(guān)運(yùn)維標(biāo)準(zhǔn)，構(gòu)建信息化運(yùn)維服務(wù)運(yùn)維服務(wù)體系，規(guī)范化、標(biāo)準(zhǔn)化、痕跡化運(yùn)維管理工作。運(yùn)用PDCA過(guò)程，進(jìn)一步細(xì)化調(diào)整管理體系，總結(jié)體系運(yùn)行情況，調(diào)整不適用和無(wú)法落實(shí)的部分，使之能高效、有序的運(yùn)作。同時(shí)定期通過(guò)第三方機(jī)構(gòu)對(duì)已測(cè)評(píng)的信息系統(tǒng)開(kāi)展等級(jí)保護(hù)復(fù)評(píng)，找出所有系統(tǒng)的安全隱患，并提出整改方案和實(shí)施計(jì)劃，督促信息安全措施的落實(shí)。

4）綜合優(yōu)化調(diào)整階段

總結(jié)前期的規(guī)范化運(yùn)維工作，調(diào)整不適用的部分，常態(tài)化的管理體系運(yùn)作。定期進(jìn)行內(nèi)部評(píng)審，找出與當(dāng)前工作的不適用部分進(jìn)行優(yōu)化調(diào)整；同時(shí)在工作中，結(jié)合工作實(shí)際，尋求更高效安全的方法優(yōu)化體系，提高體系的效能。

綜合上述實(shí)施階段，確定實(shí)施路線圖如圖4所示。

參考文獻(xiàn)：

[1] 陳忠義.基于ITIL的ITSM與IT設(shè)施監(jiān)控[J].計(jì)算機(jī)安全，2008.1

[2] 葉永生.基于ITIL方法的運(yùn)維服務(wù)系統(tǒng)研究與設(shè)計(jì)[J].現(xiàn)代計(jì)算機(jī)（專業(yè)版），2012.3.