IT服务与信息安全

IT服务管理和信息安全LeoLuk大中华区区域解决方案架构师ClientSolutionsOrganization今天的内容IT服务管理(ITSM)概要介绍业界最佳实践ITIL基於ITIL的ITSM-SunTone信息安全标准–BS7799实施建议及成功案例IT管理面临的主要压力服务质量服务成本服务交付IT风险业务服务DomorewithLess!领导关注的问题系统和IT资源日益复杂，如何对它们进行有效管理?IT运营管理面对的挑战如何能達到所承諾的服務级别?如何实现IT与业务的精确校准，帮助企业节约发展成本、增强系统性能?为什么一些运营商有着与其国际竞争对手一样的甚至更先进的系统、软件，但是系统的建设效果并没有对方好呢?现在部门的组织结构是否合理?用户对服务的质量有很高的期望值、但对所提供服务的质量很有意见管理机制分散、部门间各自为政、缺乏沟通管理手段落后只关注系统性能而忽略关注所提供服务的质量其它运营管理经常遇见的问题:IT运营管理面对的挑战如何能有效解决以上种种的运营管理问题?实现面向业务的IT服务管理(ITSM)IT服务管理是IT组织用来计划,研发,实施,运维高质量服务的准则:什么是IT服务管理(ITSM)日常运作和基础架构管理业务与应用、平台关联性管理服务流程管理和应用管理•面向客户•关注流程•强调成本•使服务可衡量化IT服务管理的层面基础架构任务管理管理界面集成报表管理事件集成其它部件管理网络服务器应用其它服务管理服务级别管理问题管理其它变更管理业务管理人员操作(People)技术(Products)Process管理流程(Process)40%40%40%40%20%20%如最终用户、系统管理、服务人员如规则、备份、变更及问题管理,如服务器、储存系统、应用系统及中心环境等数据中心运营管理出问题的原因分析:流程Process技术Products人员People实现流程的自动化，电子化，并监测服务的实施对服务规划，开发和部署进行管理和维护执行设计服务，定义ITSM流程IT服务管理(ITSM)的三大要素IT服务管理(ITSM)带来的好处●拥有一套国际标准化的管理方法论●整合IT服务以满足当前与未来的业务发展和客户的服务需要●IT与业务系统的最佳结合,提高IT服务提供的质量●在人员,流程与技术之间建立了紧密的纽带关系●建立强壮的管理流程,使管理更加规范化透明化●改进业务部门与IT部门之间的关系●灵活的适应快速多变的组织机构,需求,竞争和技术今天的内容IT服务管理(ITSM)概要介绍业界最佳实践ITIL基於ITIL的ITSM-SunTone信息安全标准–BS7799实施建议及成功案例什么是ITILITIL─ITInfrastructureLibrary，是一系列的技术文档，用以协助IT服务管理(ITSM)架构的构建是国际上公認的IT运营管理的最佳实践指南。清晰表述IT运营的最佳流程架构。目的是使IT服务能配合业务的发展需要。ITIL最关键的核心文档为服务运营(ServicesSupport)和服务战术(ServicesDelivey)服务管理业务服务(BusinessPerspective)技术应用管理Suppliers业务(TheBusiness)服务管理服务运营服务战术安全管理ITILPublicationMapITSM业界的最佳实践-ITILITIL主要服务管理流程可分为十个核心过程和两个主要领域及功能组服务运营服务台突发事件管理问题管理配置管理变更管理发布管理服务战术服务级别管理可用性管理能力管理IT财务管理持续性管理–针对整体运营的规划和管理–长远的发展路向-针对每天发生的事情和实施操作-改善对每件事情的处理流程质量发布管理流程-保障你的生产环境配置管理流程-标淮化你的基础设施变更管理流程-由一个已知、受控的状态改变成另一个已知、受控的状态问题管理流程-找出问题发生的根本原因突发事件管理流程-迅速的处理事件以满足服务质量的承诺服务台(function,notaprocess)-赢取客户对你的信赖ITIL-服务运营(ServiceSupport)服务运营(ServiceSupport)流程模型16配置管理数据库IncidentsCIsRelationshipsChangesReleasesProblemsKnownErrors管理工具突发事件管理配置管理ServiceReportsIncidentStatisticsAuditReportsReleaseScheduleReleaseStatisticsReleaseReviewsSecureLibraryTestingStandardsAuditReportsCMDBReportsCMDBStatisticsPolicy/StandardsSecureLibraryAuditReportsProblemStatisticsTrendAnalysisProblemReportProblemReviewsDiagnosticAidsAuditReportsChangeScheduleCABMinutesChangeStatisticsChangeReviewsAuditReports业务，客户，用户服务台突发事件问题管理变更管理发布管理DifficultiesQueriesInquiriesCommunications,Updates,Work-Arounds变更发布CustomerSurveyreports服务级别管理流程-用户期望值的管理可用性管理流程-周详的规划以满足服务可用性的要求能力管理流程-在IT基础建设与成本开支间取得平衡财务管理流程-掌握所提供服务的相关成本持续性管理流程-在突发事故发生前把相应的风险管理好ITIL-服务战术(ServiceDelivery)服务战术(ServiceDelivery)流程模型18业务，客户，用户疑问，咨询沟通，更新，报告服务级别管理需求，目标，成绩可用性管理能力管理IT财务管理持续性管理警报，异常，变更管理工具ITContinuityPlanBIA&RiskAnalysisRequirementsDef'nControlCentersDRcontactsReportsAuditReportsCapacityPlanCDBTargets/ThresholdsCapacityReportsSchedulesAuditReportsFinancialPlanTypes&ModelsCosts&ChargesReportsBudget&ForecastAuditReportsAvailabilityPlanAMDBDesignCriteriaTargets/ThresholdsReportsAuditReportsSLAs,SLRs,OLAs,ServiceReportsServiceCatalogueSIPExceptionReportsAuditReports今天的内容IT服务管理(ITSM)概要介绍业界最佳实践ITIL基於ITIL的ITSM-SunTone信息安全标准–BS7799实施建议及成功案例SunTone是由Sun发起并由独立第三方维护和推动的业界标准，它主要关注於:什么是SunTONE?1.改善基於网络(network-based)的服务的质量；和2.提供一个基准，让客户能针对市场上所提供的不同产品、服务，能更容易地作出准确的评估主要由以下三个部分组成-基於ITIL的规范(Specification);-质量启动(QualityEnablers)和-认证/审计流程(AuditandCertification)SunTone被设计成“以协助客户在构建基础框架、部署和管理一个高质量的网络IT服务”为主要目标全球目前有超过1900家企业和机构已通过SunTone的认证如何才能实现IT管理的目标人员技术和工具管理流程通过相关的一系列管理活动组合在一起，来为内部和外部客户提供相应的产品和服务.支持IT服务交付的产品提供既有效率又有成效的IT服务管理的人员ITIL组织架构&角色业绩衡量指标控制对特定的工作组或个人指明完成特定工作的责任对人员、流程和技术各方面指明衡量标准，并进行控制来确保各方面工作成果达到期望的要求.对IT服务流程进行控制，来保证既有效率又有成效地提供符合客户要求的服务(如SLA服务管理水平).SunToneSunToneStandardITILInternalProcessesandProceduresAchieveThisProcessDefinitionDeployedSolutionSunTonespecifiesrequiredprocessesfororganizationsITILprovidesguidanceanddetailedadviceforeachprocess实践指南与标淮SunTonevsITILSunTone和ITIL在相关领域基本采用相同的术语来进行描述、并互为完善和补充;●ITIL推荐服务管理领域的每种可能流程,范围广泛实施时间长;SunTones采用更为注重实效的方法,精简每个领域的系统管理流程和策略而将精力关注于关键需求,从而实现最高质量的投资回报.●ITIL对其推荐的规范和方法建议应当由专门的ITIL专家人员来进行IT服务的实施管理;SunTone则对其推荐的规范和方法定义了直观的质量评估和考核指标来指导IT服务的实施管理●ITIL在实施以及效果衡量方面仅仅注重考核认证那些培训实施人员的经验和能力;SunTone则注重考核实际实施的质量和结果.结论:两种标准体系应该互为补充和完善,因为两种方法体系完整论述了从人员培训到实际服务提供和实际管理的整个方面;SUNITSM模型的特点:ITIL+SunToneSunTone规范中新增了ITIL架构体系所没有专门论述的内容:●服务架构:论述服务目的,设计以及宏观层面架构,其关键在于通过全面规范设计实现服务质量,并且贯穿服务提供的整个生命周期.●安全管理:特别表述访问控制,防火墙和安全审计等内容,更广泛和相关性地涉及安全和私密性相关的所有问题.●数据中心管理:基于Sun运行环境的管理经验,包括相关关键技能和竞争力的特定建议.●SunTone中没有ITIL中的财务管理SUN公司的ITSM参考模型流程管理管理平台服务管理客户管理成本管理容量管理配置管理安全管理可用性管理变更管理网络服务管理问题管理业务功能雇员技术技术流程软件周期管理安装与支持运营管理服务台SUNITSM服务-管理流程设计服务管理●角色和职责●投产步骤●部件验证●配置管理●帮助台管理●事件管理●问题管理●变更管理●发布管理●服务水平管理●可用性管理●安全管理●容量管理●服务持续性管理●IT财务管理●硬件配置●软件部件●服务等级配给●可用性需求●安全考虑●容量规划●IT服务持续性配给●IT财务考虑●验收/验证●验收测试●技术能力●客户技术能力服务架构服务实施今天的内容IT服务管理(ITSM)概要介绍业界最佳实践ITIL基於ITIL的ITSM-SunTone信息安全标准–BS7799实施建议及成功案例BS7799标准BS7799是以风险为基础的信息安全体系，共分为两个部分:•BS7799-1:1999/ISO17799(守则)“信息安全管理实施细则”给出了控制实例•BS7799-2:2002(规范)“信息安全管理体系规范”给出了检查标准•BS7799是目前最广为接受的信息安全管理标准•BS7799-2:2002在申请ISO标准过程中FinancialServicesHSBC,AssociationofBritishInsurers,InstituteofInternalAuditorsCommunicationsBritishTelecommunicationsRetailM