在ITSM和企业风险间找到平衡
开篇:润墨网以专业的文秘视角,为您筛选了一篇在ITSM和企业风险间找到平衡范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
赵文华
德勤华永会计师事务所企业风险管理服务部的合伙人。
他在商业和信息技术咨询、安全咨询以及IT审计方面拥有12年的丰富经验,加之其对中国市场和文化拥有深入的了解和理解,使其资深商业和IT领域的经验能够更好地帮助客户找到适合的解决方案来满足他们的需求和目标,同时能够让该方案更好地优化客户现有的ERP、信息安全以及保护企业的商业智能投资。
多年来,IT的发展对业务流程产生了很大的影响。个人电脑、局域网、客户/服务器技术以及互联网技术的应用使企业组织能够以更快的速度向市场提品和服务。
在信息时代,所有事务都变得更快捷和动态。传统的组织结构往往难以对迅速变化的外部市场作出及时反应,从而使得扁平化和更灵活的组织结构成为一种趋势。简单地讲,组织内关注的焦点也从垂直的只能或部门转换到组织内运作的各种水平的流程上;同时,决策权也被逐步授予那些低层次的员工。IT服务管理(itsm)流程正是在这种背景下发展起来的。
什么是ITSM?
ITIL归纳了IT服务产业内的最佳实践。它针对一些重要的IT实践,详细描述了可适用于任何组织结构的全面的清单、任务、规程和职责。
基本上,这些实践已经被定义为覆盖IT服务组织大部分活动的流程。ITIL出版物所涵盖的宽泛的主题使之成为IT组织/部门案头的有益参考,组织/部门可以通过使用ITIL来为其自身设定改进目标,并得以成长和成熟。
ITSM是在ITIL标准的基础上产生的IT服务管理模型。它是一套以流程为导向、以客户为中心、提高企业IT“服务提供”和“服务支持”能力及水平的规范的管理方法。
它的目的是建立“以企业内部IT用户为中心”的管理机制和运作模式,利用一套全新的方法,对IT基础架构进行全面而集中的管理,并根据业务的实际需要,提供可计量成本的、可测量质量的IT服务,以确保业务的平稳、高效运营,实现企业目标。
作为企业价值链的供应链、产品、销售、研发、客户关系等业务流程,通过人事、财务、业务支持等IT系统作为其支撑系统。因此业务正常高效地运行,取决于IT系统的运维状况。
ITSM作为IT运维部门的管理平台,其作用一方面是联系IT系统与业务流程的纽带,保证业务系统可靠地运行;另一方面可以提高IT系统的效率,让IT更好地服务于业务。
ITSM实施中的误区
金融、政府、电信等行业IT规模比较复杂,对ITSM的实施走在了市场的前列。但很多企业还是局限在事件监控的阶段,谈不上真正意义上的IT服务管理。
这种局限,与企业对ITSM的认识有关,它们常常身陷在ITSM实施的误区中。
总体来讲,企业实施ITSM存在两种误区,具体如下
“过度依赖咨询公司”。仅听凭咨询公司的意见,按照ITIL流程,规划公司整体系统、设定流程。
虽然ITIL是基于实际应用得出的最佳实践,但是企业不结合自身的业务状况,盲目照搬,可能会使流程与业务不符。
另外,高额的实施费用、较长的实施周期,容易让企业失去信心,这也是ITSM推广的难点之一。
“过度依赖实施工具”。企业片面地注重了ITSM方案中“所见即所得”式的实施效果,却往往忽略了实施之后,是否真的解决了IT运维方面的实际问题。
产生这些误区的一个主要原因是企业将ITIL看作一套一成不变的标准,没有根据企业自身的情况因地制宜地选取合适的IT管理流程并结合自身的业务流程进行优化设计。这样往往会造成企业为建立ITSM、实施ITIL投入了大量人力、物力,但取得的成效却达不到管理层的期望。
事实上,ITSM只是一套方法论,还必须和用户的IT现状和业务需求结合起来才有价值。
ITSM由业务与IT战略整合、企业IT日常运作、IT服务的开发与应用、IT服务的规划与管理、以及保障服务交付几个流程模块组成,包括前端数据采集和后端流程管理两大阶段,贯穿前端和后端的流程也就是客户化和行业化的过程。
对照所有已经实施的ITSM案例,可以说如果没有客户化,其卓有成效的事件管理、问题管理、知识库等就成了无皮之毛。在实施ITSM过程中如何把有限的资源投入到企业最需要的地方?如何在实施ITSM与企业风险之间找到一个平衡点?这些是企业成功建立ITSM所必须面对的问题。
根据风险分析确定投资顺序
IT组织应当建立明智的风险管理战略,使有限的资源可以集中于应对企业面临的最大威胁。识别风险并确定风险的等级,是采取合理有效措施的关键所在。
任何公司都不会有足够多的财力和人力用于完全消除其与IT相关的潜在风险。
因此,将所面临的各种风险量化,然后据此确定安全投资的优先顺序就对有效利用企业资源起到关键作用。
为此,我们必须在现有的业务流程框架中,确认企业的信息资产和目前已执行的控制机制及措施,并由信息安全委员会决策、定义风险可接受水平,由此建立相关的管理办法和控制措施,以达成降低信息风险的策略目标。
经由风险评估各项程序的确实执行后,才能确保产出的IT服务管理体系核心:信息安全政策、标准、作业程序,是符合企业营运的总体策略的。
所以风险评估作业成果的质量,将对整个IT服务管理体系的有效性扮演最关键的角色。
风险分析和控制选择模式
首先,评估信息资产群组的价值、弱点与威胁。在获得信息资产报告并进行信息资产分组后,接下来必须评估各组的价值、弱点与威胁,以计算信息资产的风险值及决定控制的风险水平。
在业务流程分析时,除了要寻找重要的信息资产,同时也要厘清每项资产对业务活动的影响、重要性、控制现况、弱点及面临的威胁等事项,此时将以这些现有信息为基础,评估信息资产的价值,与弱点威胁的权值。
其次,决定信息资产的价值、弱点与威胁权值。在决定信息资产价值时,须依据之前对公司信息流程的了解,针对每一资产组,包括软件、硬件及数据等,分别决定各组的机密性价值权值、完整性价值权值以及可用性价值权值。
接下来定义各组的弱点与威胁权值,并与公司讨论可接受的风险水平以作为下阶段控管选择的依据。
第三,计算信息资产的风险值。在决定了每个信息资产群组的价值,并针对每个群组适用的弱点及威胁项目给权值,然后计算每个信息资产群组的风险值。
第四,选择控制。获得各项信息资产的风险值的后,必须先决定每项信息资产应予控制的项目,再依据风险等级分类,决定每一控制项目的方式以及须达成的效果。
因此如何选择信息资产应采用的控制措施,是IT服务管理体系导入的另一重要议题。
德勤的差异分析方法论
根据企业信息系统现状和风险分析的结果,就可以对照ITIL/BS 15000/ISO 20000等最佳实践或国际标准认清差距,并寻求最佳解决途径。
ITEM将协助识别企业目前信息环境的优势与弱势;协助评估作业流程并识别组织内的改善措施,并安排改善流程的优先级。
ITEM方法论包括三个阶段:执行评估阶段,差异分析及建议阶段,报告阶段。
执行评估阶段将访谈内容交付给参与访谈的成员并与相关成员进行流程访谈。然后评估小组整理访谈结果,并产生业务和基础架构“评分卡”,记录现状与目前的执行绩效。
差异分析及建议阶段将就现状进行分析,识别优缺点,以及进行差异分析;然后根据业务需求和风险分析结果将需要关注的领域进行优先级排序;最后定义解决方案以及提供建议。
利用德勤的ITEM方法可用最佳实践的观点评估IT组织/部门;可提供结构化的方式,让整个评估的过程与结果都是可信赖的并且一致保持;可从不同的产业获取标杆信息;是基于以ITIL/BS 15000/ISO 20000为架构的信息基础建设标准;可协助定义并优先群组化矫正活动。
构建符合国情和企业的ITSM
从这几年ITIL/ITSM在中国的推广实施情况来看并不是十分令人满意。
不少专家认为中国的人力资源成本和其它发达国家相比有较大优势,因此国外成功的实施经验并不能完全照搬到中国来。因此,我们必须结合中国企业的具体问题进行具体分析,构建符合中国国情和企业需求的IT服务管理体系,而不是完全照搬国际上的最佳实践。
同时,笔者认为,成功实施ITSM的重点是:在考量组织实际的IT需求的基础上,通过业务流程重组和内部管理变革实现IT和业务的最大程度的整合,从而使IT成为真正驱动业务发展的内在驱动力,同时有效降低IT管理成本。