IT治理标准指引CIO方向

发布时间：2008年05月29日点击数： 作者：itgov 来源：本站原创

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:

IT行业总是变化无常的，这一点早已成为业内人士的共识。虽然多数IT人士都深知变化的必然性，但IT部门的运作流程和结构却很难被他们所在的企业所理解。首席信息官（CIO）在追求创新时必须打破陈规陋俗，而要处理随之而来的变化，所需的不仅仅是领导技巧和个人魅力，还要有一幅能引导企业正确前进的清晰蓝图。

    对于许多企业而言，要绘制出这样一幅蓝图可是件很伤脑筋的事。首先必须明确目标，其次要对服务和变革的需求进行定位，最后还得让一线的业务人员了解企业的IT能力和服务，这一切的一切对IT部门来说并不容易。不过，幸运的是，业内已经就这些问题进行了多方面的探索。

    2.0版的信息技术基础构架库（ITIL2.0）总结归纳了不少模型，许多问题的答案都可以在这里找到。这套有关IT服务管理最佳实践的参考读物共包括10部书，它在跨国企业和各大厂商中颇受欢迎。虽然ITIL系列的工具书将会继续畅销，但也有人质疑它把问题分得太细。他们认为IT部门应当从更加宏观的角度来思考，把ITIL和更加注重整体的技术参考书籍结合起来使用。实现IT治理的三大基础，除了ITIL之外，还包括信息系统和技术控制目标（COBIT），以及侧重于安全的ISO17799。

    要把COBIT、ITIL和ISO 17799这三种管理规范融合到一起，这绝对会是件浩大的工程。许多业内人士为了在三者之间取得平衡，已经付出了大量的努力。我们可以这样来理解这三种规范：COBIT告诉我们哪些是应该监控的目标，ITIL会对怎样实施监控流程进行描述，而ISO/IEC17799则给出了保证服务安全和解决法律要求的具体方法。

    COBIT由美国IT治理研究所（IT Governance Institute）发布，被视为高级治理和控制的框架。该框架规定了IT流程的34个高级控制目标。与这34个高级控制目标相对应的，是318个详细的控制目标，它们为企业管理的顺利执行提供了保证，并提出了相应的改善建议。

    ISO/IEC 17799由国际标准化组织和国际电子技术委员会（International Organization for Standardization and the International Electrotechnical Commission）发布，是信息安全管理的框架。该标准首先发布于2000年，并于2005年6月进行了更新。它在12个领域内明确提出了最佳的安全实践，并就如何保护个人数据、内部信息和知识产权提供了指导意见。

    ITIL是由英国政府于上世纪80年代率先开发的，它提供了IT服务管理的最佳实践。首版ITIL合集包括48部书，后来逐渐删减为专注于IT流程的10部书。今年发布的ITIL3则被压缩至5部，进一步精炼了IT服务的概念。在此前的版本中，核心理论被分为了服务支持和服务交付两大块，现在两者合二为一了。

服务管理

    对于那些不愿依照COBIT的标准来进行全面整改的机构而言，ITIL无疑是最佳的替代品。ITIL可以解决许多IT企业的燃眉之急，帮助它们优化流程体系和结构。

    ITIL的基本思路体现在两个主要概念上：一是客户至上，二是整体论。ITIL的根本目的就是为企业提供质量可靠的服务。

    为达到这一目标，ITIL一直致力于为直接面对客户的IT工作人员提供支持，并让他们肩负起服务交付的责任。这些工作人员的职责包括为客户提供业务咨询，指导客户进行具体操作，收集客户意见，提供紧急服务以及监控服务水准等等。

    另一方面，ITIL敦促企业从整体的角度来设计服务。企业必须考虑到涉及服务交付的方方面面，包括功能技术性因素，交付和维护服务所需的人员，确保这些服务正常运转的必需流程等等。对当前计算环境可能存在的风险和面临的影响也应纳入应急计划中进行评估。此外，企业还应当考虑到未来服务的种种要求。

    ITIL有何作用呢？以变更管理为例吧。比方说，如果思科公司（Cisco）发布了IOS的升级版（见图），一些企业或许直接在基础设施上安装该版本就完事了。而基于ITIL的流程则更加细致，它会建立问责环节，引起企业的重视，并将其作为重中之重来优先处理。

    在这种情况下，变更发起者（通常是网络管理员）将在数据库或其他跟踪系统中输入变更的请求。组成该请求的内容包括一个唯一性的标识符、变更项目的名称、变更行为的简要描述以及变更的原因。管理员将该请求发送给主管变更的负责人，该负责人再结合IT部门的整体目标、其他变更情况以及标准来对此项请求进行评价。

    假如该变更请求获得批准，变更发起者将起草一个计划明确阐释相关的问题，包括变更的细节、变更对服务和用户的影响、变更失败的影响和风险、出现问题时的恢复程序以及变更预计发生的具体时间。为了确保技术的准确性，变更发起者会将该计划将交给同事进行复核，然后根据变更的重要程度，上交至负责变更的经理或是专门的委员会。根据企业的规模，委员会可以由一个或者几个来自不同部门的人组成，如一名负责服务交付的人员，一名业务代表，再加上负责变更的经理。如果委员会批准了变更请求，那么就会根据计划来执行变更，而变更记录则会被保存在中央存储库中。

    与此相似，在ITIL框架下解决问题也是通过系统化的流程来完成。具体问题的解决依靠的是事件管理流程。比如说，如果某位用户抱怨通话音质糟糕（如图所示），那服务人员就会把这个问题输入系统。之后，服务人员会在信息库和配置管理数据库（CMDB）中检索这一问题的相关解决方法。未解决的问题将被提交到高级的技术支持团队，由他们来进行分析。最后，再由服务人员来通知用户问题的解决办法。

    问题的解决也涉及到一些主动性措施，这在问题管理流程中有详细的描述。在此流程下，IT部门会对不同事件的重要性进行评估，然后调查出现问题的根本原因。问题一旦得到解决，就会被存入到公司的信息库中，以供服务人员将来检索和查阅。

    通过整合流程、人员及技术，ITIL、COBIT和ISO17799为IT部门提供了IT治理的参考框架，但成功与否的关键还是取决于企业自己。

ITIL的五部书

文|Dave Greenfield

本套图书包含了IT服务管理的最佳实践。

ITIL3.0把ITIL2.0的10部书压缩成了下列5部：

《服务战略》（Service Strategy）：本书阐释了如何才能发现新服务潜在的市场商机，并提供了服务组合管理和财务管理的方法。

《服务设计》（Service Design）：本书主要介绍了通过制定IT政策、架构及文档化来设计合理的、具有革新性的IT服务解决方案及流程，包含了可行性管理、持续性管理及安全管理等内容。

《服务转换》（Service Transition）：本书聚焦于更广泛、更长期的变更管理、发布和配置实施，包含了变更管理、发布管理、配置管理和服务知识管理等内容。

《服务运作》（Service Operation）：本书的部分内容与《服务转换》相同，主要聚焦于运作服务和交付过程，其核心内容包括应用管理、问题管理和运作管理等。

《持续服务改进》（Continual Service Improvement）：本书以前四本书中建立的持续可重复流程为基础，使用SLA来决定如何持续改善某项服务。核心内容包括服务报告、服务评估和服务水平管理。