admin

ISO27001管理体系在数据中心的实践(一)

  作者:数据中心人才基地 新闻 2018-06-05 18浏览


好久没有给大家分享这本书了,今天继续!之前已经给大家介绍了ISO20000管理体系在数据中心的实践,今天则是开始介绍ISO27001管理体系,本章共分为30个小章节,内容较大,小编依旧是分开来上传。
之前分享的文章大家可以到公众号→活动专区→好文回顾→管理体系模块下去查看。
今天分享内容:有效性测量、新/变更服务、项目管理三个小章节。
有效性测量
一、概述
1.有效性测量的定义和目标
有效性测量是通过建立量化指标,衡量控制措施的达成情况,评估各控制措施的实施符合性和管理有效性所进行的活动。
有效性测量的目标是通过综合分析各控制措施有效性测量结果,并结合内部审核、信息安全审计、风险评估发现的问题,评估信息息安全建设、运行和管理的整体有效性。
2.建设背景及发展历程
(1)建设背景:根据ISO27001国际标准要求,建立有效性测量流程。
(2)发展历程:
·2013年,根据ISO27001国际标准要求,建立有效性测量管理流程。
·2014年,将ISO20000范围的管理流程纳入有效性测量。
·2015年至今,根据实际运行经验,组织各流程承办人优化完善有效性测量指标。
二、流程及运作
1.角色和职责
角色包括体系负责人、流程负责人。其具体职责包括以下内容。
(1)体系负责人负责组织开展控制制措施有效性测量和整体有效性测量工作。
(2)流程负责人负责控制措施有效性测量的需求识别、指标设计和维护、数据统计分析和持续改进等工作。
2.本管理流程的流程环节和关键活动介绍(流程的触发、输入、输出)
(1)有效性测量管理流程包括如下主要活动:对控制措施量化指标进行测量、收集流程执行情况报告、对体系整体有效性进行分析、维护有效性测量表。
(2)流程触发:时间触发,即流程负责人根据《数据中心运营管理体系有效性测量表》确定频率回顾控制措施指标有效性的测量情况并提交流程的执行情况报告。体系负责人每年评估运营管理的整体有效性,完成《数据中心运营管理体系运行报告》。
(3)输入包括的内容:
·控制措施的有效性测量记录和结果;
·内审记录和结果;
·安全审计记录和结果;
·风险评估记录和结果。
(4)输出包括的内容:
·数据中心有效性测量表;
·数据中心运营管理体系运行报告;
·数据中心各流程执行情况报告。
3.与其他流程的接口或集成
(1)管理体系范围内的所有设置有效性测量指标的流程程,均需按照制度规定的频率将指标的测量结果输入至有效性测量流程。
(2)持续改进管理流程:有效性测量过程中发现的问题要输入至持续改进流程,管理评审产生的持续改进要求要输入至持续改进流程,各流程负责人负责落实相关改进工作。
4.本管理流程的运作机制
由体系负责人负责有效性测量流程的策划、监督、执行及改进。各流程负责人按照《数据中心运营管理体系有效性测量表》中确定的测量频率方式,主动对所负责的控制措施进行有效性测量,真实记录测量结果,分析存在问题,制订改进措施,提交相关管理流程的执行报告。体系负责人汇总并分析有效性指标,记录至《数据中心运营管理体系有效性测量表》,每年评估运营管理的整体有效性,完成《数据中心运营管理体系运行报告》。
5.本管理流程管理工具的介绍
暂无。
三、绩效管理
1.指标设置
指标名称:有效性测量表回顾次数。
2.考核
(1)考核方式:量化考核。
(2)考核频率:每年至少一次。
(3)考核阈值:每年至少一次。
3.本管理流程的文化建设
数据中心建立有效性测量管理流程,并通过定期提交流程执行情况报告、每年修订有效性测量指标等活动,加强自身对于有效性测量的认识和了解。
四、持续改进
1.近三年的持续改进简述
(1)将ISO20000范围的管理流程纳入有效性测量。
(2)新增本规范涉及的三级文件《数据中心××流程执行情况报告(模板)》。
2.遇到的问题风险和处置措施
(1)风险:对有效性测量指标未达标情况未进行跟踪。
处置措施:在流程程执行情况报告模板中增加有效性测量指标完成情况部分,对于未达标的指标要求各流程承办人分析其原因,并进行整改。
(2)风险:催收流程执行情况报告、记录有效性测量指标比较费时费力。
处置措施:开发流程管理工具,可自动发送邮件提醒催收报告,并从报告中自动截取有效性测量指标。
3.未来展望
建立有效性测量管理工具,实时输出各流程执行情况报告及有效性测量指标,实现体系负责人、各流程负责人、承办人实时了解体系运行情况的要求。
新/变更服务
一、概述
1.新变更服务管理的定义和目标
(1)定义
顾名思义,新变更服务管理流程是以服务为标的物,对其的新增、变更和移除进行有效管控以最大化组织利益、满足客户当前需求的过程。新服务或变更的服务的实施(包括服务终止),应该进行策划并经过变更管理者的正式审批。在银行业中,服务的生命周期可以分为需求、开发、测试、实施、运维和优化等多个阶段。由于行业特色以及监管要求等若干因素所限,服务的开发与运维阶段可能所属于两个独立部门,数据中心作为实施与运维服务的组织,并未参与到开发等前置环节之中。因此,基于数据中心的新/变更服务的识别应该后移至实施阶段。
(2)目标
本流程旨在及时识别组织为客户新增的IT服务或原有IT服务的调整变化,以确保组织与客户之间对服务的能力判定一致,灵活应对客户需求的变化。确保在成本和质量的约束条件下,管理并交付新服务或变更的服务。
在常见的新变更服务中,其往往依托于一个或若干个项目。同时,服务的管理过程与项目管理的要素存在许多共通之处,因此可以采用项目管理的先进方式对服务同步进行管控。
2.建设背景及发展历程
(1)建设背景
根据ISO20000国际标准要求,建立新变更服务管理流程。
(2)发展历程
2012年,根据ISO20000国际标准要求,建立新或变更的服务管理流程。
2013年,完善新或变更的服务管理流程,并将其更名为新变更服务管理流程。
2014年至今,根据实际运行经验,优化完善流程部分细节。
二、流程及运作
1.角色和职责
角色包括新变更服务流程负责人、服务上线经理、服务下线经理、服务级别经理、服务技术经理和服务牵头部门。具体职责如下:
新变更服务流程负责人由生产调度中心(项目管理牵头)指定人员担任,责本管理领域规章制度的设计、推广、监督和改进,负责回顾新变更服务。
服务上线经理由生产调度中心指定人员担任,负责根据新系统部署方案识别新服务,请示确定新服务的牵头部门,并负责协调组织新服务上线。
服务下线经理由生产调度中心指定人员担任,负责协调组织服务下线。
服务级别经理由服务管理部指定人员担任,负责维护服务目录中的服务信息。也就是服务级别管理的角色。
服务技术经理由技术管理部(技术牵头部门)指定人员担任,负责编制待投产系统部署方案,负责技术审核服务下线处置方案。
服务牵头部门由各技术部门(各服务运维部门)担任,负责识别新服务上线、服务下线及服务变更的要求。
2.新变更服务管理流程的流程环节和关键活动介绍(流程的触发、输入和输出)
新变更服务管理流程包括的主要活动
(1)新服务上线
·识别新服务
服务上线经理应通过待投产新系统清单或待投产系统部署方案识别新服务。
·识别新服务要求
对于识别出的新服务,服务上线经理应与软件开发中心项目管理部确认该服务的服务牵头部门,确认后由服务上线经理通知服务牵头部门。
·计划新服务
为满足服务要求,服务牵头部门应通过变更管理流程完成计划新服务,计划的内容应至少包括相关活动和角色职责、资源需求、时间安排、预期结果和接收准则等,可在变更方案中体现上述信息。
·新服务测试
服务牵头部门应遵循变更管理流程要求,测试新服务,确保新服务的正常实施。
·新服务投产
服务牵头部门应通过变更管理流程完成对新变更服务投产准备和投产上线。
·新服务验证
服务需求方应通过变更管理流程验证新服务的上线是否成功。
·回顾新服务
服务上线经理每年对新服务进行回顾,并在执行报告中体现回顾内容。
(2)服务下线
·服务下线申请及受理
各业务部门可根据业务需求提交相关信息系统的下线申请(含数据保留期限意见);各服务牵头部门可根据信息系统运行情况提交相关信息系统的下线申请。
生产调度中心负责受理服务下线申请并指派服务下线经理,组织业务部门及技术部门识别服务下线要求。
·服务下线可行性评审
服务下线经理组织服务所属业务部门、服务牵头部门及相关技术部门等相关方进行服务下线可行性评审,公示可行性评审结果。
·下线处置方案编制、测试、审核和公示
针对将要下线的服务应通过制定服务下线处置方案明确下线审核、关联关系梳理、下线实施和相关资源回收管理等相关活动安排。服务下线经理负责组织服务下线处置方案编制,内容应至少包括相关活动和角色职责、资源需求、时间安排和预期结果等。服务牵头部门及相关技术部门对于具备测试条件的下线处置方案应进行测试,确保服务下线能达到的预期结果。服务技术经理技术审核服务下线处置方案,服务下线经理公示服务下线处置方案。
·下线实施
服务牵头部门及相关技术部门应通过变更管理流程完成对服务下线的准备和实施。
·服务下线验证
服务所属业务部门或服务牵头部门应通过变更管理流程验证服务的下线是否成功。
·回顾服务下线
服务下线经理每年回顾服务下线,并在执行报告中体现回顾信息。
(3)服务变更
·各部门可根据信息系统运行情况通过数据中心IT运维流程管理平台提交服务信息变更申请,服务信息变更申请须经本部门负责人审批。服务管理部负责受理信息服务变更申请并指派服务级别经理。
·服务级别经理组织对申请变更的服务信息评估审核。
·服务信息变更申请审批通过后,服务级别经理修改服务目录中相关服务信息。
(4)流程触发
在项目需求阶段无法有效识别是否应作为一个独立服务,因此需要数据中心技术牵头部门在对每个项目的实施方案加以评估的过程中发现新增服务,在实施部署方案中加以明确,从而使服务上线经理能够及时准确地识别新增服务。
对于现有服务的变更,一般分为现有服务的调整以及现有服务的终止两类情况。
服务牵头部门发现当前服务信息与已记录在服务目录中的服务信息不一致时,应告知服务级别经理,从而触发服务的调整。
数据中心各部门以及客户(各业务部门)可以依据当前服务的使用状况或者针对服务的未来规划向服务下线经理提出服务终止的申请。
输入包括待投产新系统清单、待投产系统部署方案、系统下线申请和服务信息更新申请等。
(5)输出包括的内容
更新服务信息后的服务目录,新变更服务管理流程执行报告。
3.新变更服务管理流程与其他流程的接口或集成
本流程的主要接口为服务级别管理流程。新变更服务管理流程是服务级别管理流程所管理的服务目录中服务信息的新增、修订和删除的主要来源。
4.新变更服务管理流程的运作机制
新变更服务管理流程由本流程负责人负责该流程的策划、监督、执行及改进。在执行过程中由服务上线经理、服务下线经理以及服务级别经理负责新增服务、服务终止以及服务变更。
5.新变更服务管理流程管理工具的介绍
目前服务上线部分,将新服务识别后的新服务要求和计划新服务动作通过工具(数据中心IT运维流程管理平台新变更服务模块)进行管理,采集信息更加准确且各角色之间工作流更加清晰明确。当服务上线经理识别到新服务后,在工具中创建相应服务。同时将任务分派给技术经理以及服务牵头部门,由其负责补充相关服务信息。在服务信息均已明确后,再通过工具经过流程负责人审核输出至服务级别管理流程的工具。
服务下线同样通过工具,将服务下线的申请受理及后续的主线流程工具化管理。
服务变更流程暂时嵌套在服务级别管理流程工具之中。服务牵头部门针对服务目录中的服务可以提出信息变更申请,经各方确认后通过审批才能实现调整。
三、绩效管理
1.指标设置
无。
2.考核
无。
3.新变更服务管理流程的文化建设
新变更服务管理流程的建立,提供了一条清晰有效的维护服务目录的路径,使得数据中心服务目录的调整均有规可依。
四、持续改进
1.近三年的持续改进简述
由于服务牵头部门由归属数据中心调整为软件中心派驻数据中心工作,因此确定服务牵头部门的方式由原来的请示数据中心总经理室调整为与软件中心进行部门间的沟通确认。
2.遇到的问题风险和处置措施
(1)风险:新服务的定位在具体实施前有可能发生调整。
处置:随时与技术管理部保持沟通,在服务上线前反复确认。
(2)风险:服务变更的来源可能为非服务牵头部门。
处置:在确认服务变更之前,必须与技术管理部、服务牵头部门确认。各方均无异议后方可进行调整,如技术管理部与服务牵头部门意见不一致,以协调方式为主,建议采纳技术管理部门的意见。
3.未来展望
伴随着银行业务模式的快速发展,新服务上线,原有服务变更、终止的频率将显著提升。合理有效的新变更服务管理流程可以在保证准确性的同时,第一时间响应服务的变化,提升客户满意度。
项目管理
一、概述
1.项目管理的定义和目标
(1)为规范A银行数据中心项目管理工作,明确项目生命周期中的活动和职责分工,特制订项目管理规范。
(2)项目管理的目标是确保项目实施有效支撑数据中心的战略目标,保障安全生产,实现风险最小化。
(3)项目管理规范管理范围指由数据中心发起,为满足自自身运维管理需求,并经数据中心统一规划实施的项目,包括应用计划类项目和自主开发类项目。
2.建设背景及发展历程
根据ISO20000及ISO27001国际标准要求,于2016年9月底建立项目管理流程,并从2017年1月起正式将其投入运行。
二、流程及运作
1.角色和职责
角色包括项目管理流程负责人、项目牽头部门、项目负责人、项目承办人。其具体职责包括以下内容。
(1)项目管理流程负责人由服务管理部主管担任,负责本管理领域规章制度的设计、推广、监督、回顾、报告和改进进。其具体职责包括:制订并维护本管理领域规章制度,推动流程的执行,监控流程执行,回顾绩效并编制流程报告,推动流程改进。
(2)项目牽头部门负责牵头组织该项目的主要活动。
(3)项目负责人由项目牵头部门的主管担任,负责推动项目生命周期期中需求提出、项目准备及计划、项目实施、项目收尾等阶段工作。
2.本管理流程的流程环节和关键活动介绍(流程的触发、输入和输出)
(1)输入包括以下内容
应用计划类项目启动申请及运营平台研发部门提供的自主开发项目信息。
(2)输出包括以下内容
项目进度报告和项目管理流程执行情况报告。
3.与其他流程的接口或集成
暂无。
4.本管理流程的运作机制
(1)各部门向服务管理部提交应用计划类、自主开发类项目需求,由项目管理流程承办人识别是否将其纳入项目管理范围,并确认牵头部门。
(2)运营平台研发部门每季度向项目管理流程承办人提交新增的自主开发类项目信息。
(3)项目负责人组织项目成员定期或按需识别风险。
(4)在项目启动阶段,项目负责人应明确项目目标,组织制订项目计划。对于复杂的项目,项目负责人应编制整体工作方案,内容可包括阶段划分、重大里程碑事件、时间安排、组织架构、工作要求等。
(5)项目完结后,项目负责人应组织对项目整体情况进行总结,包括实施过程回顾、项目经验总结、实施成果的验证(确认实施结果的功能与性能是否与需求相符)项目目标达成情况、项目成本效益分析等,形成项目总结报告并将其提交至项目管理流程承办人。
5.本管理流程管理工具的介绍
目前暂无管理工具。
三、绩效管理
1.指标设置
(1)指标名称:项目进度报告提交率、项目按计划完成率。
(2)指标定义:项目进度报告提交率=项目进度报告提交数量/实施中的项目总数×100%;项目按计划完成率=按计划完成项目数量/实施完成的项目总数×100%。
2.考核
(1)考核方式:量化考核。
(2)考核频率:定期执行。
(3)考核阈值:根据数据中心实际情况设置。
四、持续改进
根据持续改进(PDCA)的方法,项目管理流程负责人应按照数据中心有效性测量管理流程要求,定期对流程执行情况进行回顾,分析执行的有效性和存在的问题,形成执行情况报告。识别出的改进事项应按照数据中心持续改进管理流程进行改进。
文章摘自《管理体系在银行业数据中心的创新与实践》
今日小编推荐
免费精彩视频课
《数据中心为什么要用UPS》
打开方式1:识别下方二维码,报名观看视频
打开方式2:关注“”公众号→打开DC成长吧→点击右上角搜索课程名称
看完还可以分享给小伙伴哦!