概要:本文陈述了企业在信息系统领域建设中存在的问题,论述了在该领域进行质量管理的必要性,提出了在信息系统领域基于ISO9001:2000标准,同时融合CMM标准、ITIL服务管理、ISO17799信息安全管理技术规范标准等多个国际管理标准进行质量管理的理论模型,并总结了该理论模型在神龙汽车有限公司的实践情况,以期对其它企业在信息系统建设方面有所帮助。
一、前言
当前,企业为提高管理的信息化水平,都会自行开发或外委开发大量的应用系统,并且会有专门部门负责系统的运行和维护。这些应用系统一般都可覆盖包括产品设计、生产、销售、财务、人事等几乎所有生产经营领域,他们联接并处理着企业各领域的数据和信息,构成了企业生产经营和管理决策的信息神经网络。这一信息系统网络成为企业向着管理高效化、决策科学化发展的基础条件。
大多数企业一方面要做好日常的生产经营工作,另一方面又要在尽可能短的周期内同时进行大量的应用系统开发或外委开发,并且还需要一定人员负责系统日常维护和故障处理等工作。那么如何才能在既保证期限和成本要求的情况下,又能保证开发或者外委开发以及系统运行维护的质量,是企业管理层(特别是企业信息主管)需要考虑的一个实际问题。本文就企业在信息系统领域进行质量管理的方法进行初步探讨,并总结神龙汽车有限公司在这方面的实践情况。
二、企业在信息领域管理中普遍存在的问题
大家都知道信息系统在企业生产经营中起着非常重要的角色。但相对于企业产品的生产制造和营销过程而言,信息系统的开发或外委开发及运行维护只是一种信息化工具和手段的保障过程,总是处在一种配角的位置。大多数企业领导并没有意识到对信息系统开发(或外委开发)及运行维护等过程进行质量管理的重要性。
同时,计算机应用领域的质量管理在国内IT行业本身就是一个薄弱环节,对于一个工业企业来说更不例外。大多数企业都通过了ISO9000质量管理体系认证,但一般都没有在信息系统领域针对开发、外委采购、运行维护等过程深入贯彻ISO9000质量管理体系,所以这一领域或部门在质量管理理念、质量管理方法应用方面一般都比较薄弱,突出存在以下问题:
1、 大多数企业对开发和运行支持过程缺乏相关过程标准和项目管理的标准,往往都是凭技术人员经验进行开发和维护管理;
2、 对于外委开发的项目缺乏对软件和硬件供应商评价和选择的标准,也缺乏对供应商开发质量进行监控和评价的手段和方法,可能导致外委开发的失败或系统不适用等结果。
3、 对于信息系统运行过程中的故障解决没有统一流程,系统变更没有记录,对信息系统的后续维护和二次开发带来困难,增加了公司信息系统维护的成本;
4、 信息系统运行质量缺乏监控(比如对故障情况没有统计),无法了解信息系统运行质量现状,造成大量用户抱怨,运行效率下降。
5、 信息系统的安全管理缺乏指导方针和风险评估标准,使安全工具投资的必要性和效益无法评估,形成安全隐患或投资过度。
这些问题成为企业信息系统建设的软肋,在某种程度上成为提升信息领域建设与运行水平的障碍。假如企业不能从管理上解决以上问题,必将影响企业在未来发展过程中对信息系统的要求和期望。因此,建立和完善信息系统领域的质量管理体系,成为计算机应用系统开发项目顺利实施的必要保证,也成为信息系统安全、高效运行的保证。
三、适用于信息系统领域的国际管理标准
从国际来看,适用于信息系统领域的管理标准有很多,根据适用范围的不同有以下标准:ISO9001:2000版质量管理体系标准、CMM软件能力成熟度模型标准、ITIL计算机服务管理标准、ISO17799/ISO27001信息安全管理标准等。
3.1关于ISO9001:2000
ISO9001:2000版质量管理标准具有广泛的适用性。所以该标准可以作为信息领域开展质量管理的依据标准之一,其管理的对象是信息系统开发、运行、服务的管理流程。
3.2关于CMM
CMM,中文翻译成“软件能力成熟度模型”,是对组织软件过程能力的描述。CMM的核心是把软件开发视为一个过程,并根据这一原则对软件开发和维护进行过程监控和研究,以使其更加科学化、标准化。
CMM的目的是帮助软件企业对软件工程过程进行管理和改进,增强开发与改进能力,从而能按时地、不超预算地开发出高质量的软件。CMM2级的由6个关键过程域组成,如图1。
3.3ITIL介绍
IT服务管理(ITSM)是一套帮助企业对IT系统的规划、研发、实施和运营进行有效管理的方法,是一套指导IT服务的方法论。由英国政府着手制定的ITIL(IT基础架构库,IT Infrastructure Library)汇集众多国际顶级企业管理IT的最佳实践,是IT服务管理领域最佳实践的正式标准。
ITIL将IT服务管理分为十个核心流程和一项管理职能。这十个核心流程分别是服务级别管理、IT服务财务管理、能力管理、IT服务持续性管理、可用性管理、配置管理、变更管理、发布管理、事件管理、问题管理,一项管理职能是服务台。
3.4ISO17799/ISO27001信息安全管理标准介绍
ISO/IEC17799:2000即《信息技术—信息安全管理实施规则》标准,而ISO/IEC27001:2005即《信息安全管理体系规范》标准。
前者是组织建立并实施信息安全管理体系的一个指导性准则。它主要为组织制定其信息安全策略和进行有效的信息安全控制提供了一个通用的方法。它将信息安全管理分为10个方面。每个方面包括若干个执行目标和控制方法。
后者详细说明了建立、实施和维护信息安全管理系统formation Security Management System,简称ISMS)的要求,指出实施组织需要遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。该标准可用于企业信息安全认证的标准。
3.5以上标准的相同点与区别
l 相同点:从这些标准构构与内容分析来看,都吸取了一些现代著名质量管理专家的理论。比如PDCA循环、过程管理、持续改进等。
l 区别见表(1).
表1 ISO9001:2000标准与相关标准的区别
|
|
ISO9001:2000 |
CMM |
ITIL |
ISO17799/ISO27001 |
|
适用过程 |
主要适用于制造业,也可适用计算机领域 |
仅适用于软件生产过程 |
主要适用于IT运维支持服务管理过程 |
适合任何企业的信息安全管理过程 |
|
要求体现 |
相关质量管理过程 |
分为5级,设有18个过程 |
服务台与十个核心管理过程 |
两个标准,一个作为指导准则,一个为信息安全管理体系要求 |
|
注重于 |
组织建立质量管理体系 |
软件过程评估及过程改进 |
定义业务流程、目标,并监测和持续改善IT服务的质量、费用的有效使用和客户满意度。 |
信息的全过程管理 |
|
标准文本特点 |
简短、概括简短、概括(ISO9001共计不超过7页) |
具体、详尽(CMM1.1原文有500多页),有指导意义 |
十大核心管理流程与要求 |
第一部分很详尽,第二部分按PDCA循环结构建立 |
以上分析说明他们有各自不同的管理目标,管理的针对性也不一样
四、基于ISO9001:2000标准的多标准相融合的信息领域质量管理模型
在综合考虑了相关管理标准的结构和内容的基础上,我们提出基于ISO9001:2000质量管理标准,采用过程分析方法有选择地融合应用其它管理标准,在企业信息领域进行质量管理的模型,如图2所示。
该模型的基本含义是:
1、借鉴ISO9001:2000版标准按PDCA循环的形式建立信息系统质量管理的体系框架,并按ISO9001:2000标准过程分析的方法,将信息系统产品实现过程划分为纲要研究、开发、工业化、运行支持四个子过程,同时确定了网络管理、通讯管理、信息管理、质量管理四个辅助管理过程。
2、在系统预研究、开发、工业化等软件产品实现过程的管理方面,借鉴CMM标准2级的六个关键过程域要求建立相关管理标准(在具体实施方式上作适当的裁剪)。
3、在IT运行支持等服务管理方面,借鉴ITIL标准的最佳实践来确定企业的服务管理过程,比如IT帮助台、故障管理流程、变更管理流程、问题管理流程等。
4、同时在整个管理过程中,采用ISO/IEC17799和ISO/IEC27001标准要求来建立信息安全管理流程,也可视情况来建立一个与质量管理体系同步的信息安全管理体系。
5、该模型的输入为各部门对信息系统、服务与信息安全的各种需求,输出为通过开发等过程实现的用户满意的应用系统以及良好的计算机服务,包括受控状态下的信息安全。
注:
:IT应用的流程
:IT应用的参考标准
图2基于ISO9001:2000标准的多标准融合的信息领域质量管理模型
这种模式将ISO9001:2000版标准、CMM标准、ITIL标准、ISO17799/ISO27001标准的优点进行了结合,充分应用了ISO9001科学的质量管理理念,又完全发挥了CMM对信息系统软件开发质量管理的针对性和适用性,同时有针对性地建立IT服务管理流程和用户满意的支持服务理念。在这些管理过程中也同步考虑了信息安全管理的要求。
五、实施的建议
以上模式在实施过程中,需要注意以下问题:
1、 要识别企业信息化过程中最紧迫的问题,然后重点放在解决这些问题上。因为对于企业而言,人力和物力往往是有限的,同时实施全部标准是不可行的,最好制定一个履盖几年的整体实施规划。比如企业在信息系统服务方面质量很差,用户抱怨很多,就应考虑建立IT服务管理的相关流程。
2、 在应用一个具体管理标准时,一定要应用过程分析方法来分析确定企业管理流程中最薄弱的环节,然后结合相应的管理标准设计出最适合企业运行环境的过程实施方案。比如对IT服务管理标准的应用就要根据企业现状分优先级来逐步实施相关的子过程。一步到位所有子过程不是一种最好的方法。
3、 在具体的实施方式上,最好成立一个由管理部门与技术部门人员共同组成实施团队,采取团队的方式推进实施。这样便于方案的设计更适合现场环境,也利于推进运行。
4、 在实施过程中必须先进行充分的培训,使领导层与各层人员达成共识,这样有利于减小实施的阻力和难度。最好是采用“小步快跑”的方式推进,在某一过程取得实施绩效后再去推进其它过程。
5、 对一些关键过程应尽可能建立质量测量指标,并定期编制运行报表。同时实施定期的质量审核来发现运行中存在的问题,并向管理层汇报,这可以使管理流程的运行及时得到管理层的关注。
总之,该模式的实施难点在于实际应用方式要进行合理的综合设计,同时要能被领导和各层实施者所理解并切实贯彻实施,才能发挥出应有的效果。
六、神龙公司的实践情况
神龙公司自建厂之初就非常重视信息化的建设,除保证资金投入外,公司还专门设立了计算机方法质量部门来负责整个计算机应用系统开发、运行等环节的方法标准制定、运行质量审核等质量管理工作,以保证这些应用系统的开发和运行质量。从2003年开始我们基于ISO9001:2000质量管理标准,采用过程分析方法有选择地融合应用相关国际管理标准,基本建立并保持信息领域的质量管理体系。
1、在质量管理框架上已按ISO9001:2000标准要求,采用过程分析方法建立了规划与项目管理、开发、工业化、运行与支持、网络管理、信息管理、通讯管理、质量管理八个管理过程领域,同时按PDCA循环模式建立了项目质量计划、分部质量评审和内部质量审核三个层次的质量监控改进机制。
2、根据公司现状与项目管理的需要适时地参照CMM标准,在信息系统规划与项目管理、开发、工业化三大管理过程生效了相关管理标准和技术标准。
在信息系统规划与开发方面,生效了《应用系统需求管理标准》、《信息系统开发方法论》《信息系统工业化方法论》等与软件产品生命周期相关的20多个过程标准,有效地指导和规范了信息系统的预研究与开发。
在项目管理方面,生效了10多个管理标准,比如《信息系统项目管理规范》《信息系统项目计划与跟踪规范》《软件供应商选择管理规范》《项目总结标准》等标准,有效地提高了项目管理水平。
3、从2003年开始,我们参照ITIL标准要求采取项目管理的方式分年度逐步到位了部分IT服务管理流程,包括帮助台、故障管理流程、变更管理流程、信息系统运行服务质量管理流程,以及相配套的HDS计算机工具系统和管理标准。
通过这些管理流程与工具系统的建立,方便了故障申告,提高服务效率。据初步统计,HDS流程建立后,故障的及时处理率提高了38.4%,从2005年故障的平均服务建立时间与2004年相比处理效率提高了56.60%。同时也提高了用户服务的满意程度。从2004年和2005年的信息系统运行服务质量满意指数测评结果来看,最终满意指数得分均在80分以上,用户对实施IT服务管理流程的必要性给予了充分的肯定,对IT服务管理流程促进了服务质量的提高也给予了充分的认可。
4、在辅助管理过程方面,主要参考了ISO9001:2000标准的过程方法生效了《网络管理工作流程》、《信息编码标准》、《信息系统文件和资料的管理》《信息系统质量管理规范》、《信息系统质量测量指标标准》等10多个标准。
5、从2005年下半年开始,公司也准备按ISO17799和ISO27001标准要求逐步到位信息安全管理流程和相关管理标准。这一过程必将进一步细化目前的信息系统质量管理体系。
6、在整个体系的持续改进方面,我们坚持每个季度实施一次信息系统运行质量内部审核,基本履盖了信息系统开发运行的各个部门,同时也向用户部门使用应用系统方面延伸。通过审核发现问题并推动相关问题的改进来实现该体系的持续改进运行。
通过应用基于ISO9001标准的多标准融合的信息领域质量管理模型,建立八个领域的管理标准体系,共同组成了神龙公司信息系统领域质量管理的框架,并成为一个有机的整体。通过这些标准的有效实施运行,提高了信息系统开发和运行服务质量,为日常生产经营提供了良好的计算机工具保证,极大地提高了管理效率和管理水平。
七、结论
随着企业各领域应用系统的逐步开发和集成,已形成一个巨大的信息网络,它就好比人体的神经一样在企业决策和运行过程中起到非常重要的作用。对这些系统的开发和运行等过程进行质量管理是非常必要的。
从企业信息领域目前比较普遍的管理现状来看,基于ISO9001:2000标准的多个管理标准相融合的信息领域质量管理模式是比较可行的方式。但这种方式需要进行适合于企业现状的全面策划,而且实施过程需要得到相关管理层领导的大力支持,这样才能发挥应有的效果。
参考文献:
[1]ISO组织,《ISO9000:2000标准》;
[2]CMM标准
[3]ITIL标准
[4]ISO/IEC17799标准、ISO/IEC27001标准
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第六期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]
