体系介绍及认证讲解2014年11月目录资历►大型外资银行开发中心,系统分析师及高级软件工程师,核心银行系统开发、二线支持。►四大会计师事务所IT风险咨询部门,咨询顾问专业领域►IT审计,IT流程咨询►ISO20000,ISO27001认证咨询服务►SOX,C-SOX和PN21等合规审计中的IT审计服务。专业资格►国际注册信息系统审计师(CISA)►注册信息系统安全专家(CISSP)►注册内部审计师(CIA)►ITILV3Foundation认证中钞信达体系认证项目主标题►明确目标:拿证or落地►有的放矢:审核员的关注点►端正态度:与审核老师的沟通►心态放好:ISO20000与ISO27001认证的通过情况►项目进度说明目录13ISO20000带来的变化与需配合事项2ISO20000认证和审核步骤介绍ISO20000体系介绍13ISO20000带来的变化与需配合事项2ISO20000认证和审核步骤介绍目录ISO20000体系介绍►ITILInformationTechnologyInfrastructureLibrary即信息技术基础构架库,由英国政府商务办公室最初在二十世纪80年代发布的一套IT服务管理的最佳实践指南。ITIL在全球是最为广泛的用于提供IT服务的管理方法。ISO20000IT服务管理体系简介--什么是ITILITILV2(2000-2007)►2000:服务支持V2.►2001:服务交付V2.►2002:应用管理,IT服务管理的规划与应用,以及ICT基础架构管理.►2003:软件资产管理.►2004:业务视角:从信息系统(IS)的角度考虑服务交付对业务的支持.ITILV3(2007)►2007:(May)ITILV3从IT服务的五个生命周期角度进行整合和描述.►1989:最初“ITIL”概念的提出:服务水平管理(SLM),帮助台,意外事件管理(ContingencyPlanning),以及变更管理►1990:问题管理,配置管理和IT服务成本管理►1991:软件控制和分发►1992:可用性管理.►1997:服务水平管理引入关注客户的理念ITILV1(1989-1999)关注在单独的流程上面关注于流程的整合关注于服务ISO20000IT服务管理体系简介--什么是ISO20000ISO20000是国际标准组织基于IT服务管理最佳实践提出的一套IT服务管理标准。它从服务的视角出发,将IT服务归纳为13个管理流程,并结合ISO体系的PDCA循环,形成一套IT服务管理的标准要求。ISO20000标准体系是基于ITIL最佳实践与BS15000英标体系进行构建的,并于2005年12月由ISO组织发布的第一部具有国际权威性的IT服务管理体系标准。“用标准来管理IT,像制造产品一样生产IT服务”ISO20000规范ISO20000实施指南ITIL(信息技术基础架构库)•ISO20000提供第三方进行验证的独立标准。•ITIL提供IT服务管理的最佳实践。•ITIL并非获得ISO20000的必经之路,但导入ITIL会有更健全的服务基础,且更易于取得认证。验证标准最佳实践ISO20000IT服务管理体系简介--ISO20000与ITIL的关系服务、服务管理与IT服务管理一整套专门的组织能力,并以服务的形式为客户提供价值。实施和管理优质的IT服务,以满足业务的需要。IT服务管理由IT服务提供者来实施,依赖于合适的人员构成、服务流程以及信息技术。IT服务管理服务管理为客户提供价值的一种手段,使客户不用承担特定的成本和风险就可方便的获得希望的结果。服务IT服务管理名词定义技术手段第三方服务输入流转和处理服务1服务3服务x服务2输出IT组织化的能力和措施流程、职能和服务职能1职能2职能m服务1服务3服务x流程1流程2流程3流程4n流程n服务2技术手段第三方服务输入流转和处理输出流程模型和特征►流程是指一系列为达成同一目标而进行的相关活动。共同的目标为达到流程活动1活动2活动3…….活动n为了在最短时间内恢复服务的正常运行,使事件对业务的影响最小化为达到事件管理流程(举例)识别、记录事件分类并启动支持活动事件研究和诊断解决问题、恢复服务关闭事件事件或条件触发事件触发结果服务运行恢复正常产生产生流程的管控和衡量(KPI)流程的管控和衡量(KPI)►一个流程由一个事件或一个条件出发,流程结束后会达成一个结果。►每个流程的管控和衡量依赖于该流程结果相关的KPI。流程中的角色负责规划流程。控制流程的日常活动和运营,也撰写报告帮助流程所有者比较流程的实际执行效果与预期的结果。负责执行定义好的流程活动,向流程经理汇报。流程执行者流程经理负责流程的结果/输出。定义流程的活动,以及负责最终确认流程的实际结果是否与期望的结果相符合,同时不断改进流程和指标。流程所有者ISO20000IT服务管理体系简介--ISO20000IT服务管理体系实施范围ISO20000IT服务管理体系简介--各流程要点介绍解决过程控制与发布过程服务交付过程关系管理过程事件管理变更管理服务级别管理能力管理业务关系管理问题管理发布管理服务报告连续性与可用性管理供应商管理配置管理IT服务预算与财务管理信息安全管理事件管理(Incidentmanagement)流程目的:尽快恢复业务的运营,最小化对业务运营的消极影响,以保证服务质量和服务水平。流程主要内容:事件来源:用户报告(电话、服务台系统),监控系统报警等处理流程:创建、受理、分析、处理、升级、解决、关闭事件记录:流程涉及人员、事件优先级、分类、处理方案、状态、关键节点时间问题管理流程目的:通过问题根本原因的处理,避免重复发生的事件,最小化可能由问题造成对服务水平的影响。流程主要内容:问题来源:事件(重复发生、重大事件),测试发现,监控系统报警等处理流程:创建、受理、分析、处理、升级、解决、知识库更新、关闭问题记录:流程涉及人员、问题优先级、分类、处理方案(知识库解决方案更新)、状态、关键节点时间练习题►你是某个IT组织中的服务台人员。有一个用户呼叫电话说它的某个终端设备不能使用了。请问这是一个?►事件►已知错误►问题►变更请求主标题练习题►一个良好的事件管理流程将可以:►确保事件像处理紧急变更一样进行处理►快速地诊断事件发生的潜在原因►在事件发生后尽快地恢复正常的服务运作►以上三项都是主标题练习题►下列哪项活动属于事件管理的职责?►变更在基础架构中的应用►检测事件产生的原因►识别事件背后的潜在问题►事件的排除主标题练习题►“已知错误(KnownError)”与“问题”在ISO20000中的不同之处表现在哪些方面?►导致已知错误的潜在原因是已知的,而导致问题的潜在原因是未知的►已知错误与IT基础架构中出现的错误有关,而问题则与其无关►已知错误通常某个事件,而问题则不完全是这样的►对问题而言,与其有关的配置项已经发现和确认,而与已知错误有关的配置项通常仍未发现主标题练习题►以下哪项活动属于主动问题管理?►处理变更请求(RFC)►进行趋势分析,发现潜在的事件的问题►跟踪所有的事件和服务中断►尽量减少由于IT环境的变更而造成的服务中断主标题练习题►当导致某个问题产生的原因发现后,此问题的状态转变以下哪种?►事件►已知错误►已解决的►变更请求主标题练习题►一个用户向服务台抱怨说,当他使用某个应用系统的时候,有一个错误总是反复地出现,从而导致网络连接的中断。下面哪个流程负责检测该错误产生的原因?►事件管理►网络管理►问题管理►系统开发主标题ISO20000IT服务管理体系简介--各流程要点介绍解决过程控制与发布过程服务交付过程关系管理过程事件管理变更管理服务级别管理能力管理业务关系管理问题管理发布管理服务报告连续性与可用性管理供应商管理配置管理IT服务预算与财务管理信息安全管理变更管理(ChangeManagement)流程目的:一方面对用户需求的变化做出快速响应,另一方面通过变更减少事件的发生及不必要的重复工作等,从而使变更的效益最大化流程主要内容:变更来源:用户提出的需求,事件、问题的解决方案,系统升级、扩容等处理流程:计划、申请、评估、审批、开发、测试、上线、关闭变更记录:流程涉及人员、变更分类、优先级、各步骤控制记录、状态、关键节点时间发布管理(ReleaseManagement)流程目的:通过对发布合理计划,对变更的上线进行合理、有效的安排,在受控条件下将变更的发布包部署在目标环境中。流程主要内容:发布来源:准备转移到生产环境的变更处理流程:计划、测试结果、回退计划、上线前审阅、上线发布、上线后审阅发布记录:流程涉及人员、发布计划、关联的变更、状态、关键节点时间ISO20000IT服务管理体系简介--ISO20000IT服务管理体系实施范围练习题►当某个软件包的最新版本被安装到某个台式机时,它可能会影响其它软件包。哪个流程负责检查和判断其它软件包是否有必要测试或者重新安装?►变更管理►IT服务持续性管理►问题管理►发布管理主标题练习题►哪个IT服务管理流程负责检查变更请求(RFC)的合理性、可行性和必要性?►变更管理►事件管理►问题管理►配置管理主标题练习题►以下哪项变更必须经变更管理流程批准后才能实施?►用户录入数据到数据库中►改变密码►给系统增加一位新用户►将打印机从二楼移到三楼主标题练习题►下列哪项活动属于发布管理流程?►检查组织内部的电脑上是否使用了非法软件►在组织内部的电脑上安装原版软件►记录哪些软件版本是可用的主标题练习题►下面哪一项不是发布管理流程的目标?►评估软件变更的影响►与变更管理协商软件发布的具体内容►为在组织内部分发软件变更设计和实施有效的程序►防止软件病毒进入组织主标题解决过程控制与发布过程服务交付过程关系管理过程事件管理变更管理服务级别管理能力管理业务关系管理问题管理发布管理服务报告连续性与可用性管理供应商管理配置管理IT服务预算与财务管理信息安全管理配置管理(Configurationmanagement)流程目的:定义并管控服务的各个组件,维护服务与基础架构的配置项在历史记录、计划状态以及当前的配置信息的准确性。流程主要内容:配置项包括:软件信息、硬件信息、人员信息、受控文件信息等主要活动:配置项建立,配置项维护,配置管理数据库审计配置项信息:配置项名称、属性、负责人(部门)、当前状态、历史版本、变更记录等ISO20000IT服务管理体系简介--各流程要点介绍ISO20000IT服务管理体系简介--ISO20000IT服务管理体系实施范围解决过程控制与发布过程服务交付过程关系管理过程事件管理变更管理服务级别管理能力管理业务关系管理问题管理发布管理服务报告连续性与可用性管理供应商管理配置管理IT服务预算与财务管理信息安全管理ISO20000IT服务管理体系简介--各流程要点介绍问题发生时,怎样快速有效地定位故障,找出解决方案?日益复杂的IT环境,怎样有效管理(系统组成,相互关系等)?怎样正确了解IT服务的成本,从而在需要的时候进行正确决策?怎样快速评估某一IT设备/系统的故障对业务或其他系统产生的影响?在实施变更时,怎样有效评估其所带来的影响/风险?怎样确定一个服务的IT设备/系统的组成情况,以确定服务级别目标(SLO)?解决过程控制与发布过程服务交付过程关系管理过程事件管理变更管理服务级别管理能力管理业务关系管理问题管理发布管理服务报告连续性与可用性管理供应商管理配置管理IT服务预算与财务管理信息安全管理ISO20000IT服务管理体系简介--各流程要点介绍数据库组织结构图姓名/职称姓名/职称姓名/职称软件包程序代码代码广域路由器文件服务器文档:计划手册规程SLAs局域网台式电脑笔记本电脑打印机大型/小型机软驱Modem键盘鼠标显示器网卡解决过程控制与发布过程服务交付过程关系管理过程事件管理变更管理服务级别管理能力管理业务关系管理问题管理发布管理服务报告连续性与可用性管理供应商管理配置管理IT服务预算与财务管理信息安全管理ISO20000IT服务管理体系简介--