ITSS体系框架及核心内容构成要素详解
第一部分 标准体系简介
ITSS标准体系是标准化系统为了实现本系统的目标而必须具备一整套具有内在联系的、科学的、由标准组成的有机整体。标准体系是一个概念系统,是人为组织制定的标准而形成的人工系统。
1、标准体系结构
标准体系结构是由标准加“序”形成的,形成标准体系的主要方式是层次和并列。层次是指一种方向性的等级顺序,彼此存在着制约关系和隶属关系。并列是指同一层次内各类或各标准之间存在的方式和秩序,标准体系通过并列方式列出各类和各项标准。
2、标准体系表
标准体系要用一定的形式表现出来,那就是用标准体系表的形式。信息技术服务标准体系表就是将信息技术服务范围内的标准,按照一定结构形式排列起来的图表,反映出了信息技术服务标准体系的全貌,也表示出了标准之间的层次和并列关系。
一、ITSS体系编制目的、原则和方法
1、编制目的
按照科学的分类体系,指导信息技术服务标准化工作系统地开展,解决信息技术服务发展过程中的共性问题,从而降低服务和技术的研究、生产、使用或消费、维护乃至管理的成本和风险,使标准化工作发挥最佳效益。
2、编制原则
ITSS体系的编制工作遵循如下原则:
- 与产业发展现状相结合:信息技术服务业是信息服务业的重要组成部分。信息技术服务业的发展在不同区域、不同行业呈现不同成熟度,ITSS体系的编制着力于解决信息技术服务业发展中的统一规范性问题。
- 与软件服务业司职能相吻合:拟订并组织实施软件、系统集成及服务的技术规范和标准。
- 与国际标准化趋势相吻合:在国际标准化方面,已初步形成了系统集成、软件能力成熟度、信息技术服务管理、IT治理相融合的趋势。
- 与部内其他司局的工作相结合:特别是与运行监测协调局在信息技术服务业统计体系建设方面的工作相结合。
- 全面考虑与信息技术服务业相关的技术内容,先全面覆盖,再聚焦。
- 急用先行,成熟先上:对国内龙头股干企业已经过多年实践,并已积累相关经验的运行维护领域,优先开展标准制定工作;同时结合标准验证与应用试点工作的情况,对已经过验证并在应用方面具备良好基础的标准,优先发布实施。
- “产学研用政”协同工作:以指导协调组成员单位为主导,并充分发挥地方政府的积极性,实现部省指导协调,营造环境,产学研用联合推进;明确标准化工作思路、内容及具体的推进计划,并做到目标清晰、技术可行、结果可见。
3、编制方法
ITSS体系的编制首先需要开展需求分析和差距分析工作,了解信息技术服务与经济社会发展相适应的具体需求,分析国内外标准规范对信息技术服务的支持情况和差距情况,总结适合我国当前和未来一段时期信息技术服务产业发展对标准化工作的需求。在此基础上,综合考虑信息技术服务业务内容和业务形态,形成较为合理的相关专业领域标准系列,并抽取共性特征,形成适用于整个信息技术服务的基础标准。在各专业领域标准中,依据“通用”和“规范”的层次要求,规划“1+N”的标准子体系,从而形成整个ITSS的序列结构。
由于信息技术服务相关领域服务内容的承接性和关联性,在ITSS体系设计中,还要注重各专业标准之间的补充、交叉和关联,做到整体和部分的和谐统一,并严格按照PDCA的过程要求进行完善。
二、ITSS标准体系框架
ITSS体系的提出主要从产业发展、服务管控、业务形态、实现方式和行业应用等几个方面考虑,分为基础标准、服务管控标准、服务外包标准、业务标准、安全标准、行业应用标准6大类。ITSS体系框架图如下:
图 1 ITSS体系框架
- 基础标准旨在阐述信息技术服务的业务分类和服务原理、服务质量评价方法、服务人员能力要求等;
- 服务管控标准是指通过对信息技术服务的治理、管理和监理活动,以确保信息技术服务的经济有效;
- 业务标准按业务类型分为面向IT的服务标准(咨询设计标准、集成实施标准和运行维护标准)和IT驱动的服务标准(服务运营标准),按标准编写目的分为通用要求、服务规范和实施指南,其中通用要求是对各业务类型的基本能力要素的要求,服务规范是对服务内容和行为的规范,实施指南是对服务的落地指导;
- 服务外包标准是对信息技术服务采用外包方式时的通用要求及规范;
- 服务安全标准重点规定事前预防、事中控制、事后审计服务安全以及整个过程的持续改进,并提出组织的服务安全治理规范,以确保服务安全可控;
- 行业应用标准是对各行业进行定制化应用落地的实施指南。
信息技术服务标准体系是动态发展的,与信息技术服务相关的技术和产业发展紧密相关,同时也与标准化工作的目标和定位紧密相关。
在ITSS体系框架基础上形成ITSS标准体系表,如图2所示。
图 2 ITSS标准体系表
第二部分 ITSS的标准体系构成
一、基础标准
基础标准是对信息技术服务共性的抽象,也是整个ITSS 3.1体系的基础和根本,提出了信息技术服务的分类、指南、服务质量的评价以及服务人员能力的基本要求等,其标准结构图如图3 所示。
图 3 基础标准结构图
其中,《信息技术服务 分类与代码》提出了信息技术服务的定义、范围和活动类型;《信息技术服务 指南》建立了信息技术服务的核心要素模型,诠释了ITSS的原理和本质特征;《信息技术服务 质量评价指标体系》及《信息技术服务 从业人员能力规范》结合ITSS的原理和本质特征,分别提出了信息技术服务的质量管理要求及人员能力要求。本类标准适用于其他各方面的专业标准。
主要基础标准介绍如下:
1、分类与代码
本标准规定了信息技术服务的分类与代码。本标准的研究成果已应用于工业和信息化部《软件产业统计制度(修订版)》及GB/T 4754-2011《国民经济行业分类》。
2、标准主要内容:
按照本标准内容,信息技术服务的具体分类如下:
表 1 信息技术服务分类代码表
|
代码 |
类别名称 |
说 明 |
| 01 | 信息技术咨询服务 | 在信息资源开发利用、工程建设、人员培训、管理体系建设、技术支撑等方面向需方提供的管理或技术咨询评估服务 |
| 0101 | 信息化规划 | 提出行业、区域或领域的信息化远景、目标、战略和总体框架等,全面系统地指导信息化建设,以满足其可持续发展需要的咨询服务 |
| 0102 | 信息系统设计 | 基于需方的信息化规划,根据其实际业务需求,对信息系统的架构、选型和实施策略进行设计,为信息系统的开发和建设提供设计方案的服务 |
| 0103 | 信息技术管理咨询 | 协助需方提升和优化信息化管理活动的咨询服务。包括:信息技术治理、信息技术服务管理、质量管理、信息安全管理、过程能力成熟度等咨询服务 |
| 0104 | 信息系统工程监理 | 依据国家有关法律法规、技术标准和信息系统工程监理合同,独立第三方机构提供的监督管理信息系统工程项目实施的服务。包括:通用布缆系统工程监理、电子设备机房系统工程监理、计算机网络系统工程监理、软件工程监理、信息化工程安全监理、信息技术服务工程监理 |
| 0105 | 测试评估认证 | 具有相关资质的第三方测试评估认证机构提供的对软件、硬件、网络、质量管理、能力成熟度评估、信息技术服务管理及信息安全管理等是否满足规定要求而进行的测试、评估和认证服务 |
| 0106 | 信息技术培训 | 为开发、应用信息技术提供的培训服务。包括:信息技术标准培训、信息技术应用培训、信息技术职业技能培训等服务。不包括:学历教育 |
| 0199 | 其他信息技术咨询服务 | 凡属于01类而上述各中类未包含的服务内容可纳入此类中 |
| 02 | 设计与开发服务 | 受需方委托以承接外包的方式提供的硬件设计、软件设计和软件开发等服务 |
| 0201 | 硬件设计 | 通过承接外包的方式,向需方提供的硬件设计服务。包括:
a)计算机系统及部件:如便携式计算机、中央处理器、电源、计算机网络设备等。 b)半导体及半导体生产设备:如各种型号和容量的芯片及晶圆、刻机、激光切割机等。 c)科学仪器:各种测量和检验仪器,如质谱仪、示波器、图像分析仪等。 d)其他产品:计算器、自动取款机、印刷电路、电子开关、连接装置、光缆、平板显示屏、多媒体开发工具等 |
| 0202 | 软件设计与开发 | 通过承接外包的方式,向需方提供软件体系结构设计、概要设计、详细设计、功能单元设计以及软件应用部署设计等服务,以及为需方提供计算机软件、信息系统或者设备中嵌入的软件,或者在系统集成、应用服务等技术服务时提供软件的开发服务。包括:基础软件、支撑软件、应用软件、嵌入式软件、信息安全软件、计算机(应用)系统、工业软件以及其他软件的开发。供方不拥有服务过程中产生的著作权 |
| 0299 | 其他设计与开发服务 | 凡属于02类而上述各中类未包含的服务内容可纳入此类中 |
| 03 | 信息系统集成实施服务 | |
| 0301 | 基础环境集成实施服务 | 为保证信息系统正常运行所必需的机房电力、空调、消防、安防等基础环境的建设提供的服务。包括:机房电力、消防、安防等系统的集成实施 |
| 0302 | 硬件集成实施服务 | 将硬件设备(包括主机、存储、网络设备等)及其附带软件进行安装、调试的服务 |
| 030201 | 网络集成实施服务 | 将计算机网络设备中的路由器、交换机、网关、集线器、终端接入设备等实施集成的服务 |
| 030202 | 主机集成实施服务 | 将计算机设备中的巨 /大 /中型机、小型机、 PC服务器等实施集成的服务 |
| 030203 | 存储集成实施服务 | 将存储设备中的磁盘阵列、存储用光纤交换机、光盘库、磁带机、磁带库、网络存储设备等实施集成的服务 |
| 030299 | 其他硬件集成实施服务 | 图像及音视频设备、视频监控设备、输入输出设备、会议系统设备、硬件设备虚拟化、其他硬件设备的集成实施服务,以及其他属于 0302类而上述各小类未包含的服务 |
| 0303 | 软件集成实施服务 | 将各个分离的软件、功能和信息等集成到相互关联的、统一和协调的平台之中的服务 |
| 030301 | 应用系统集成实施服务 | 将多应用系统间功能、流程等进行整合的服务 |
| 030302 | 数据(信息)集成实施服务 | 将不同来源、格式的数据进行整合的服务 |
| 030303 | 界面集成实施服务 | 通过统一界面实现多应用系统访问和交互的服务 |
| 030399 | 其他软件集成实施服务 | 凡属于0303类而上述各小类未包含的服务内容可纳入此类中 |
| 0304 | 安全集成实施服务 | 满足信息系统安全技术要求和安全管理要求的集成实施服务。包括:
a)安全技术要求包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等; b)安全管理要求包括安全管理制度、安全管理机构、人员安全管理等 |
| 0305 | 系统集成实施管理服务 | 整体承担基础环境、硬件、软件、安全等的信息系统总集成实施工作而提供的服务 |
| 0399 | 其他信息系统集成实施服务 | 凡属于03类而上述各中类未包含的服务内容可纳入此类中 |
| 04 | 运行维护服务 | 不包括:硬件和软件产品保修期内的支持服务 |
| 0401 | 基础环境运维服务 | 对保证信息系统正常运行所必需的电力、空调、消防、安防等基础环境的运维。包括:机房电力、消防、安防等系统的例行检查及状态监控、响应支持、故障处理、性能优化等服务 |
| 0402 | 硬件运维服务 | 对硬件设备(网络、主机、存储、桌面设备以及其他相关设备等)及其附带软件的例行检查及状态监控、响应支持、故障处理、性能优化等服务 |
| 040201 | 网络运维服务 | 面向计算机网络设备的运维服务 |
| 040202 | 主机运维服务 | 面向计算机设备中的巨 /大 /中型机、小型机、 PC服务器等的运维服务 |
| 040203 | 存储运维服务 | 面向存储设备中的磁盘阵列、存储用光纤交换机、光盘库、磁带机、磁带库、网络存储设备等的运维服务 |
| 040204 | 桌面运维服务 | 面向台式机、便携式计算机、掌上电脑等计算机设备以及输入输出设备等的运维服务 |
| 040299 | 其他硬件运维服务 | 面向图像及音视频设备、视频监控设备、会议系统设备、终端设备、硬件设备虚拟化、以及其他硬件设备的运维服务,以及其他属于 0402类而上述各小类未包含的服务 |
| 0403 | 软件运维服务 | 对软件(包括基础软件、支撑软件、应用软件等)的功能修改完善、性能调优,以及常规的例行检查和状态监控、响应支持等服务 |
| 040301 | 基础软件运维服务 | 面向操作系统、数据库系统、中间件、语言处理系统和办公软件等基础软件的运维服务 |
| 040302 | 支撑软件运维服务 | 面向需求分析软件、建模软件、集成开发环境、测试软件、开发管理软件、逆向工程软件和再工程软件等支撑软件的运维服务 |
| 040303 | 应用软件运维服务 | 面向各种应用软件的运维服务 |
| 040399 | 其他软件运维服务 | 凡属于0403类而上述各小类未包含的服务内容可纳入此类中 |
| 0404 | 安全运维服务 | 对信息系统提供的安全巡检、安全加固、脆弱性检查、渗透性测试、安全风险评估、应急保障等服务 |
| 0405 | 运维管理服务 | 整体承担基础环境、硬件、软件、安全等综合性运维而提供的管理服务 |
| 0499 | 其他运行维护服务 | 数据迁移服务、应用迁移服务、机房或设备搬迁服务等,以及其他属于04类而上述各中类未包含的服务 |
| 05 | 数据处理和存储服务 | 向需方提供的信息和数据的分析、整理、计算、存储等服务 |
| 0501 | 数据加工处理 | 向需方提供数据分析、整理、计算、编辑等加工和处理服务。包括:各种数据库活动、业务流程外包、网站内容更新、文件扫描存储等 |
| 0502 | 存储服务 | 供方根据需方需求提供的合理、安全、有效的数据保存服务。包括:以在线、离线等方式提供的数据备份、容灾等服务,以及数据中心、存储中心或灾备中心提供的数据存储、数据备份、容灾等服务 |
| 0599 | 其他数据处理和存储服务 | 凡属于05类而上述各中类未包含的服务内容可纳入此类中 |
| 06 | 运营服务 | 包括:软件运营服务、平台运营服务、基础设施运营服务等 |
| 0601 | 软件运营服务 | 向需方提供软件系统的部分或全部功能的租用服务。包括:在线企业资源规划(ERP)、在线客户关系管理(CRM)、在线杀毒等 |
| 0602 | 平台运营服务 | 向需方提供应用系统开发、测试、部署、管理等工具平台,以及业务支撑平台的租用服务。包括:在线ERP开发和部署平台、在线娱乐开发和部署平台、在线软件测试平台、电子商务平台、在线教育平台等的租用服务 |
| 0603 | 基础设施运营服务 | 向需方提供信息系统基础设施的租用服务。包括:计算资源租用服务、网络资源租用服务、存储资源租用服务、服务器托管等 |
| 0699 | 其他运营服务 | 凡属于06类而上述各中类未包含的服务内容可纳入此类中 |
| 07 | 数字内容服务 | 数字内容的加工处理,即将图片、文字、视频、音频等信息内容运用数字化技术进行加工处理并整合应用的服务。包括:数字动漫、游戏设计制作、地理信息加工处理等 |
| 08 | 呼叫中心服务 | 受企事业单位委托,利用与公用电话网或因特网连接的呼叫中心系统和数据库技术,经过信息采集、加工、存储等建立信息库,通过固定网、移动网或因特网等公众通信网络向用户提供有关该企事业单位的业务咨询、信息咨询和数据查询等服务 |
| 09 | 其他信息技术服务 | 凡属于上述各大类未包含的信息技术服务内容可纳入此类中 |
3、标准适用范围
- 本标准适用于信息技术服务的分类、管理和编目;也适用于信息技术服务的信息管理、信息交换及统一核算,供科研、规划、统计等工作使用,作为各类信息技术服务信息系统进行信息交换的准则。
- 本标准适用于信息技术服务的分类、管理和编目;也适用于信息技术服务的信息管理、信息交换及统一核算,供科研、规划、统计等工作使用,作为各类信息技术服务信息系统进行信息交换的准则。
本标准已颁布实施,标准号为GB/T 29264-2012,发布日期:2012年12月31日,实施日期:2013年6月1日。
4、质量评价指标体系
为衡量信息技术服务质量,需给出定量的、科学化的、体系化的信息技术服务质量衡量方法。本标准建立了信息技术服务质量模型和质量评价模型,规定了信息技术服务质量的评价指标体系,同时给出了信息技术服务质量的评价方法和评价结果使用建议。
4.1 标准主要内容:
- 信息技术服务质量评价模型
本标准通过信息技术服务质量的各项特性提出了质量评价模型。
图 4 信息技术服务质量评价模型
- 评价指标体系
本标准针对不同的服务类别将服务质量的各特性及子特性进一步细分为若干可测量的评价指标,通过各评价指标对服务质量的特性、子特性乃至整个服务质量进行度量。本标准提出了六套质量评价指标体系,各评价指标可归纳为两类:
- 客观评价指标:此类指标可以用可量化的数值进行比较得出结果,即用符合要求的指标项计数数量同总指标项计数数量进行对比得出度量值,以咨询服务响应性特性下的及时性为例,其评价指标如下表所示:
表 2 客观评价指标
|
评价内容 |
评价目的 | 应用的方法 | 公式及数据元计算 |
评价值解释 |
| 及时响应率 | 咨询服务供方对咨询服务请求的响应速度。 | 统计并比较及时响应的咨询服务请求的数量与总的咨询服务请求数量。 | X=A/B
A=满足需方时效性要求的咨询服务请求数量 B=总的咨询服务请求数量 |
0≤X≤1 X越接近1越好 |
- 主观评价指标:此类指标无法直接获取评价基本数据,需要通过评价专家根据实地考察情况,以主观打分的方法给出度量值。以集成实施服务有形性特性下的可视性特性为例,其评价指标如下表所示:
表 3 主观评价指标
|
评价内容 |
评价目的 | 应用的方法 | 公式及数据元计算 |
评价值解释 |
| 服务可见程度 | 服务过程和服务结果的可见程度 | 评价服务供方服务过程与服务结果的可见机制与实施效果 | X=A/5
A取值从1,2,3,4,5 1:供方没有建立服务过程和结果的可见机制,且实施很差 2:供方建立了服务过程和结果的可见机制,但实施效果不好 3:供方建立了服务过程和结果的可见机制,且能将部分服务过程和服务结果展现给需方 4:供方建立了服务过程和结果的可见机制,且供方能将全部服务过程和服务结果展现给需方 5:供方建立了服务过程和结果的可见机制,供方能将全部服务过程和服务结果展现给需方,且评价效果良好 |
0≤X≤1
X越接近1越好,表示可见范围越大 |
4.2 本标准适用于:
- 为供方提供定量评价信息技术服务质量的方法;
- 为需方选择供方、评价供方服务质量提供可量化的依据;
- 为第三方实施信息技术服务质量评价提供方法。
本标准处于送审阶段。
5、从业人员能力规范
本标准是以信息技术服务行业职业活动为导向、以职业能力为核心,依据相关的国际、国内标准、法规,参照国际、国内通行的职业能力标准,构建的信息技术服务行业职业能力标准体系。
a)标准范畴。本标准提出了信息技术服务行业从业人员的能力模型,规定了从业人员的职业种类、能力要求、评价方法和能力培养模式。
b)信息技术服务从业人员。本标准涉及的信息技术服务从业人员指从事GB/T 29264《信息技术服务 分类与代码》规定的信息技术服务职业的从业人员。
c)职业种类概念。根据信息技术服务职业活动的对象、从业方式、工作性质等划分和归类的职业类型。
d)职业资格的概念。从事信息技术服务相应职业必须具备的知识、技能和经验的基本要求。
e)能力评价的概念。按照国家相关标准和本标准,对信息技术服务从业人员的能力水平或职业资格进行客观、公正、科学、规范的评价活动。
本标准适用于适用于:
a)各级行业主管部门规范化管理信息技术服务行业从业人员;
b)提供信息技术服务的组织招聘和员工培养,实施员工职业发展活
c)提供与信息技术服务相关的劳务派遣组织评价和从业人员能力培养,实施员工职业发展活动;
d)服务需方评价和选择服务供方的服务人员;
e)提供信息技术服务相关的教育、培训机构开发课程体系,实施培训活动。
二、服务管控标准
信息技术服务管控标准包含IT治理、信息技术服务管理、信息技术服务监理3类标准,通过对信息技术服务的治理、管理和监理活动,以确保信息技术服务的经济有效。
- 服务行为
信息技术服务管控的三类标准与信息技术服务的关系如图 5所示:
图 5 信息技术服务管控模型
上图中,由IT治理确定信息技术服务管理的目标要求,信息技术服务管理依据既定的信息技术服务目标要求实施信息技术服务的管理,并由信息技术服务监理对信息技术服务进行监理,将监理结果输出给IT治理,IT治理再依据建立输出的结果对信息技术服务管理的目标要求进行优化,形成一个持续改进的闭环。
主要服务管控标准介绍如下:
1、服务管理通用要求
本标准的目的是通过以下方式,促进所有从事信息技术服务管理工作的企业、机构、部门向需方提供高品质的信息技术服务管理:
- 本标准规定了供方应具备的条件;
- 可以作为供方提高自身服务品质的标准;
- 可以作为需方选择和评价供方的依据。
IT服务管理涵盖了IT组织的主要活动,这些活动通常以项目形态或运营形态存在,本标准主要针对运营形态的IT服务进行管理。
2、服务管理实施指南
本标准规定IT服务管理成熟度评价模型,并从方法论角度给出IT服务管理项目实施过程中各个实施阶段(即理念导入、现状评估、流程设计、工具实施、上线推广、持续改进等)的工作目的、工作任务等实施要求。
3、服务管理技术要求
本标准给出通用的ITSM工具功能及技术要求,提出满足客户业务需求的IT服务管理所需的ITSM工具的基本功能、高级功能等。主要提出包括对服务台、事件管理、问题管理、配置管理、变更管理、发布管理、服务级别管理、可用性管理、能力管理、连续性管理等具体的功能要求,并包含ITSM工具的体系结构、功能要求、接口要求、技术要求等规范,重点对客户所需的ITSM各流程的基本功能、高级功能、可选功能要求进行说明。
4、标准主要内容:
4.1 管理信息流
信息技术服务管理的对象是信息技术服务,实施管理的目的是确保提供符合服务级别协议的服务。信息技术服务管理需要保障相关管理信息流能够在管理对象与管理主体之间有效流动,令管理主体能够获得对象的相关信息,做出响应,确保服务级别协议的达成。在管理主体与管理对象之间的管理信息流可被分为支持流与管控流两种,如图6所示。
图 6 信息技术服务管理信息流向图
信息技术服务管理的核心技术包括监控管理技术、过程管理技术和决 策支撑技术。
提出这些技术要求的目标是确保信息技术服务管理中的管理信息流能够:
- 不同层次间存在互相支撑的信息流动;
- 正确的信息流动到正确的层次;
- 通过管理信息流能够让所有层次相互协调,协同工作。
管理信息流框架图能够说明管理信息如何流动,能够确保所有层次协同工作。
4.2 总体框架
信息技术服务管理技术要求总体框架(如图3-7所示)说明了在信息技术服务管理中涉及要素之间的关系:
- 管理主体通过管理过程对管理对象实施管理;
- 管理过程包括监控管理、过程管理和决策支撑;
- 管理主体包括需方与供方;
- 管理对象包括资源对象、人员对象和过程对象。
图 7 信息技术服务管理技术要求总体框架图
信息技术服务管理主体包括需方和供方。信息技术服务管理对象包括资源对象、人员对象和过程对象。资源对象包括IT基础设施和应用系统,人员对象是指服务的执行人员,过程对象是指事件、问题、变更、配置和发布管理过程。管理行为包括监控管理、过程管理和决策支撑。
信息技术服务管理宜从监控管理、过程管理和决策支撑三个层面构建信息技术服务管理技术要求:
- 监控管理:监控管理面向管理对象和过程管理,目的是明确信息技术服务管理目标,并向上层过程管理传递管理对象相关状态信息,是信息技术服务管理的基础。其技术要求包括管理对象信息的采集、存储和传输。
- 过程管理:过程管理负责服务过程的控制和执行,是信息技术服务管理的核心。其技术要求包括过程控制活动、关键指标的获取、过程间的信息交互和过程流转。
- 决策支撑:决策支撑面向过程管理和管理主体,通过对过程管理的关键指标和交互信息进行统计分析,归结出相关评价数据,提供给管理主体完成决策;对过程管理提供指导,实现信息技术服务的持续改进,是信息技术服务管理的目标体现。其技术要求包括通过服务运营水平和服务运营要素的分析获得关键管理指标,帮助服务管理形成质量评价与财务评价,产生过程改进决策。
4.3 信息接口技术要求
从标准实施的角度出发,接口仅涉及数据集成接口,对不同层次间的集成数据提出了要求,没有要求具体的实现方法。
接口包括两个层次:
- 监控管理与过程管理之间的信息交互;
- 过程管理向决策支撑的信息传递。
监控管理与过程管理间接口对三种接口作了规范:双向配置接口、从监控到过程的单向告警和性能接口。
过程管理与决策支撑之间对十种接口作了规范:事件信息传递接口、问题信息传递接口、变更信息传递接口、发布信息传递接口、服务级别信息传递接口、可用性信息传递接口、能力信息传递接口、持续性信息传递接口、业务关系信息传递接口和服务台信息传递接口。
本标准适用于:
- 为供方提供一个参考依据来指导其信息技术服务管理,并为需方提供依据来选择和评价供方的服务管理能力和水平;
- 为供方提供一个实施指南来指导其信息技术服务管理;
- 指导供方开发信息技术服务管理工具、需方选择信息技术服务管理工具、第三方机构测试信息技术服务管理工具。
5、IT治理通用要求
本标准可协助组织管理者平衡IT风险和获得IT价值,规避和降低管理和应用过程中相应或特定的风险,因此,有必要开展IT治理标准规范制定,确保责、权、利的合理规划,帮助管理层合理评价组织绩效,为企业IT治理成效的审核评价提供指导。围绕国内IT治理方面的实际需求,充分考虑国内对企业内部风险控制等成熟时机因素,急需制定和实施IT治理标准规范,以促进组织管理水平的持续改进。
6、IT治理实施指南
本标准遵循IT治理的规范,结合业务需求与监管要求,为国内企业、政府组织、公共机构以及咨询服务机构等提供IT治理的实施指南,从而为IT价值实现、IT风险管控提供保障。
7、IT治理绩效评价指标体系
本标准采用目标—过程—指标GPM方法构建了IT治理指标参考模型,为利益相关者提供IT治理关键绩效指标体系指导,规范IT治理的绩效指标体系,保证IT治理质量。
本标准已获得国家标准立项计划,现处于标准起草阶段。
8、IT治理审计导则
本导则适用于所有组织,包括国内企业、政府组织、公共机构以及咨询服务机构等,为利益相关者提供IT审计的框架及审计指导,规范IT治理或IT内控的审计业务及审计流程,保证审计业务质量。
三、服务外包标准
服务外包标准包含一簇相关的标准,这些标准可分为三类:通用规范、业务规范和基础规范。
虽然服务外包的业务形态千差万别,但对于不同服务外包承接组织来说,存在为完成服务交付需要执行的共性和基础性的过程,为保证服务外包顺利实施,分别对服务外包供需双方的主要活动提出一般性要求,通用规范用于规范这部分过程,关注服务外包相关的活动,不涉及具体的服务过程;业务规范针对服务外包活动中,供需双方的某一具体活动或服务外包方式给出相应的规范;为保障更好地完成服务外包活动,基础规范提出服务外包供需双方都应遵守的基础性要求。信息技术服务外包标准框架如图8所示:
图 8 外包标准框架
主要服务外包专业标准介绍如下:
1、服务交付保障通用要求
本标准就信息技术服务外包承接组织的服务交付相关活动提出过程要求,以保障外包服务的顺利交付,满足客户的服务需求。本标准的使用者可以是信息技术服务外包的发包方(或客户)、信息技术服务外包的承接方、信息技术审计人员、信息技术服务外包咨询人员、信息技术服务外包的从业人员以及关注信息技术外包服务交付质量的评估、审计和提升的人员。
标准主要内容:
本标准涵盖了服务外包的23个主要过程,从服务提供方(以下简称“组织”)运营角度,将过程分为战略管理、服务实现和服务交付保障。
本标准中引入戴明环的管理思想,对服务外包管理体系的建立、实施、监控和评估以及改善提出要求。
交付保障规范框架如图9所示:
图 9 交付保障规范框架
- 战略管理
关注于组织如何规划服务外包业务、组织能够提供什么样的服务以及组织如何建立和维护服务能力及可用性以满足服务外包的需求。战略管理包含以下三部分标准:业务规划和部署、服务目录管理、能力和可用性管理。
- 服务实现
涵盖了组织根据服务需求进行服务设计和部署,并交付服务的过程。主要包括以下五部分:服务设计和部署、服务移交、服务交付、问题管理和事件管理。
- 服务交付保障
关注于组织服务交付的支撑活动,并将这些活动分为三个方面:业务管理、资源管理和威胁管理。
- 业务管理指与外包业务的开展直接相关的过程,包括协议管理、服务级别管理、关系管理、沟通管理、配置管理和质量保证;
- 资源管理指管理服务交付所需各种资源的过程,包括人员管理、知识管理、技术管理、财务管理和基础设施管理;
- 威胁管理指对可能威胁服务顺利交付的因素实施管理的过程,包括安全管理、知识产权管理、合规性管理和风险管理。
本标准适用于有信息技术服务外包的发包接包行为或准备发包接包的组织,包括公众和私有公司、政府组织、研究机构和非赢利组织,而不论其组织的规模大小,可以指导这些组织进行:
1)建立和维护服务外包管理体系;
2)评价、选择信息技术服务提供方的服务发包方;
3)评价、认定信息技术服务提供方能力水平的第三方。
2、数据(信息)保护规范
在服务外包行业,数据保护已成为离岸外包的贸易壁垒。欧盟已制定了相关法律保护欧洲经济共同体内数据的合法、有序流动,并对向欧盟以外的国家传输数据,制定了严苛的规则,如与美国的“安全港协议”;日本则以法律与行业自律相互救济的方式保护数据,并采用P-MARK认证机制保证企业相应管理体系的充分、有效。我国要大力发展服务外包产业,需要制定一套符合国际标准的数据保护标准。本标准提出了数据保护的整体框架和规则,规定了个人信息保护、商业数据保护相关术语和定义、数据保护原则、数据主体权利、数据管理者的权利和义务、数据保护体系的建立和实施等基本规则和要求。
标准主要内容:
- 数据保护原则
本标准应遵循目的明确、权利限制、数据质量、使用限制、安全保障以及责任等相关原则。
- 数据主体权利
数据主体应享有数据的知情权、支配权以及疑义和反对的权利。
- 数据管理者责任和义务
数据管理者应保障和维护数据主体的权益,收集目的明确,并负有告知、质量保证、安全和保密等相关责任和义务。
- 数据保护体系
包括数据保护方针、管理机制、保护机制、安全机制、过程改进机制等。
1)数据保护方针指数据管理者应基于实际情况,依据国家相关法规、标准的原则和措施,以简洁、明确的语言阐述、公示,以指导数据保护工作;
2)管理机制指数据管理者应制定实施数据保护体系应遵循的规章和制度,包括基本规章和适用于各从属机构、部门特点的管理细则,并切实执行;
3)安全机制指包括风险管理、物理环境管理、工作环境管理、网络行为管理、信息安全管理、存储管理、使用管理、备份和恢复、人员管理、备案管理等;
4)过程改进机制包括监察内审、持续改进等。
本标准适用于信息技术服务外包组织中数据(个人信息、商业数据)的保护,为个人信息保护、 商业数据保护提供基本的规则和要求,以构建数据保护体系。本标准还可为服务外包企业建立数据保护机制提供可供参考的依据,提高其数据保护能力和数据安全规范管理水平和质量,最大程度降低因偶然的或者恶意的原因,遭到破坏、篡改、泄露、窃取。
本标准已颁布实施,标准号为SJ/T 11445.2-2012,发布日期:2012年12月31日,实施日期:2013年1月1日。
3、交付中心规范
本标准作为服务外包交付全生命周期管理(包括业务管理、人员管理、服务质量管理、知识管理、服务安全管理、服务环境管理、服务能力管理、服务关系管理、服务交付管理)规范。
本标准适用于服务外包中心的建设和运营,也适用于服务外包中心的升级与扩展。从业务模式、业务过程到产品和服务等方面持续优化和提升企业交付能力。
4、非结构化数据管理与服务规范
本标准描述了非结构化数据的主要类型,规定了非结构化数据管理的四个主要阶段,以及各主要阶段的服务需要遵从的技术要求、业务规范。
本标准适用于IT服务外包组织。
5、发包指南
本标准基于组织的业务目标和IT战略来构建发包管理体系,综合风险、成本、进度等方面做出外包决策,包括外包商审查、选择、评价标准,外包过程的服务级别管理,外包商考评、绩效考核,外包服务的安全性、风险控制,外包服务人员的能力评估和管理,外包合同管理等。本标准适用于引导甲方用户进行IT服务外包,做出合理的外包决策,指导其规范供应商管理。
四、咨询设计标准
信息技术咨询位于信息服务价值链前端,是当代信息化建设与管理的制高点,从战略层面定义业务和IT问题,为大型复杂信息应用平台的顶层设计提供指导,通过提供战略工具,建立多层次、相互关联的业务架构,推动组织业务转型和管理创新,有效整合组织信息资产,提高信息化投资绩效。
信息技术咨询设计标准是信息技术服务的重要业务标准。信息技术咨询主要指在IT 战略规划、信息管理体系建设、信息系统工程建设、信息资源开发利用与运维支撑等阶段提供的管理和技术咨询评估服务,其核心服务内容是在对组织的关键业务、信息、应用和技术进行整体分析和描述的基础上,着眼于利用信息技术构建组织的核心竞争力,支持业务运营和创新。
信息技术咨询设计标准主要包括6部分:《信息技术服务 咨询设计 第1部分:通用要求》(简称:咨询通用要求)对咨询服务范围、内容、要素等方面的说明,通过关键指标对信息技术咨询服务能力进行衡量,对信息技术咨询服务供方提供服务以及需方评价服务、第三方评价供方时进行指导。《信息技术服务 咨询设计 第2部分:规划设计方法指南》(简称:规划设计方法指南)、《信息技术服务 咨询设计 第3部分:信息系统工程监理总则》(简称:信息系统工程监理总则)、《咨询设计 第6部分:数据资源规划规范》(简称:数据资源规划规范)规范了供方服务的流程、人员和方法。《咨询设计 第4部分:知识库管理规范》(简称:知识库管理规范)、《咨询设计 第5部分:通用标准库设计要求》(简称:通用标准库设计要求)、)规范了供方服务资源的要求。
主要咨询设计专业标准介绍如下:
1、咨询通用要求
提出了信息技术咨询服务模型、关键要素以及提供信息技术咨询服务的各类组织在这些要素方面应具备的条件和能力。本部分旨在为信息技术咨询服务供方提供评价自身能力的依据;为信息技术咨询服务需方提供评价供方的依据;为第三方提供评价信息技术咨询服务供方能力的依据。
- 咨询关键要素
图 10 咨询服务模型
过程、人员、方法、资源作为咨询的关键要素在咨询服务模型中进行体现,每个要素通过关键指标反映应具备的条件和能力。模型的各组成要素反映了供方基于资源,组织人员,利用方法,按照一定的流程为需方提供咨询服务。要素可用于评价或选择咨询服务供方。
- 人员:提供咨询服务的专业人员,包括人员管理、岗位、技能、知识等;
- 过程:提供系统建设咨询所需建立的服务过程,包括前期准备、项目启动、管理诊断、规划设计、集成实施、成果确认及交付等;
- 方法:在提供咨询服务过程中运用的咨询架构和方法,包括咨询规划方法、参考架构模型、咨询评价方法等;
- 资源:支持咨询规划和实施所必需的资源,包括知识库、标准库等。
本标准适用于:
1)计划提供信息技术咨询服务的组织,建立能力体系;
2)信息技术咨询服务供方评价自身能力;
3)信息技术咨询服务需方评价供方;
4)第三方评价信息技术咨询服务供方能力。
2、规划设计方法指南
本标准规范了信息技术咨询服务提供的方法论。
本标准适用于衡量咨询服务供方的服务提供。
3、信息系统工程监理总则
本标准规定了信息系统工程新建、升级、改造、运行维护过程中监理及相关信息技术服务的一般原则。
本标准适用于:
- ——信息系统工程监理及相关信息技术服务的资质认证及资格认定和监督管理部门;
- ——从事监理及相关服务的单位;
- ——信息系统工程的建设单位;
- ——信息系统工程的承建单位;
- ——承接信息系统运行维护服务的单位;
- ——从事监理及相关服务人员。
- ——从事监理及相关服务的教育、培训和研究单位。
4、知识库管理规范
本标准的制定是为规范信息技术咨询服务提供方的知识库建设和管理,提升咨询服务能力。本标准规范了知识库的建设、管理和应用,对知识库这一供方业务核心能力的关键构成进行系统描述。
本标准适用于衡量咨询服务供方的核心业务能力。
5、通用标准库设计要求
本标准规范了面向IT的服务、IT驱动的服务和外包服务,咨询设计阶段所需的参考标准。
本标准适用于衡量咨询服务供方的业务能力。
6、数据资源规范
本标准规范了面向IT的服务、IT驱动的服务和外包服务,咨询设计阶段所需的数据规范。
本标准适用于衡量咨询服务供方的业务能力。
五、集成实施标准
集成实施标准贯穿于计算机信息系统集成的整个生命周期,分别从人员、流程、技术、资源的角度规定了提供集成实施服务的组织(机构)需具备的管理和能力要求,本标准适用于计算机信息系统集成服务活动涉及的各类组织。
集成实施标准的制定同时参照和借鉴了国家计算机信息系统集成资质管理办法、GB/T 24405(ISO/IEC 20000)、ISO/IEC 27001、ISO/IEC 9001、ISO/IEC 25000、CMMI等相关标准体系的要求,具备与这些标准体系的良好兼容性和整合性。
现阶段集成实施专业标准包括《信息技术服务 集成实施 第1部分:通用要求》,《信息系统工程建设技术规范》。
主要集成实施专业标准介绍如下:
1、集成实施通用要求
本部分从人员、资源、技术以及过程四方面提出了企业集成实施服务能力的一般要求,从而为利益相关者提供评估的依据,为组织管理者提供信息和指导。
主要内容:
集成实施服务供方需提供必要的人员、资源、技术保障,运用策划、实施、检查、改进的方法,在系统集成实施服务过程的各个阶段提供相适应的能力及措施,保证系统集成实施服务各个过程能够顺利实施,促使预期目标的实现。
本部分规范了集成实施服务组织的人员、资源、技术管理,同时也提出集成实施组织过程管理、支持管理过程、项目管理过程、工程管理过程、一般过程等的要求;其中集成实施一般过程包括资格评估和响应、需求调研和确认、采购、系统设计与实现、安装与部署、业务配置、系统联调及集成测试、系统割接、系统试运行、系统验收、系统测试及售后服务等。
如下图所示:
图 11 系统集成实施服务模型
本部分适用于:
1)从事信息技术集成实施的各类组织;
2)需方选择和评价供方;
3)评价或认定各类集成实施组织能力水平的第三方。
2、信息系统工程建设技术规范
本标准规定了信息系统工程建设技术规范的体系架构,工程建设的原则与过程,以及信息系统基础平台、信息系统应用平台、信息系统安全平台的建设技术规范化要求。
本标准适用于信息系统工程建设中各平台的新建、升级或改造工程,供各相关单位在工程建设过程中参照执行,涉及保密类或特殊类信息系统工程除外。
六、运行维护标准
按照GB/T 22032-2008的规定,运行维护是信息系统全生命周期中的重要阶段,对系统主要提供维护和技术支持以及其它相关的支持和服务。运行维护服务的主要内容包括基础设施、硬件平台、基础软件、应用软件等IT基础设施,以及依赖于IT基础设施的数据中心、业务应用等信息系统,其范围可以是单个IT基础设施的运维,也可以是整体IT基础设施和业务应用的总体运维。运行维护服务交付内容主要包括咨询评估、例行操作、响应支持和优化改善。该领域拟制定的标准如图12所示。
图 12 运维标准体系
《信息技术服务 运行维护 第1部分:通用要求》(简称:通用要求)是针对供方运行维护服务能力的基础要求;《信息技术服务 运行维护 第2部分:交付规范》(简称:交付规范)和《信息技术服务 运行维护 第3部分:应急响应规范》(简称:应急响应规范)是针对供方运行维护服务过程的规范要求;《信息技术服务 运行维护 第4部分:数据中心规范》(简称:数据中心规范)、《信息技术服务 运行维护 第5部分:桌面及外围设备规范》(简称:桌面及外围设备规范)和《信息技术服务 运行维护 第6部分:应用系统规范》(简称:应用系统规范)等是针对供方不同领域运行维护服务内容的规范要求。
主要运行维护专业标准介绍如下:
1、通用要求
本标准为运行维护服务组织提供了一个运行维护服务能力模型,规定了运行维护服务组织在人员、资源、技术和过程方面应具备的条件和能力。
标准主要内容:
运行维护服务是供方依据需方提出的服务级别要求,采用相关的方法、手段、技术、制度、过程和文档等,针对运行维护服务对象(应用系统、基础环境、网络平台、硬件平台、软件平台、数据等)提供的综合服务。为确保提供的运行维护服务符合与需方约定的质量要求,供方应具备实施运行维护服务的基本条件和能力。本标准提出了通用运维服务能力模型、关键要素、指标、管理原则等内容。
- 通用运行维护服务能力模型
图 13 通用运行维护服务能力模型
- 要素
模型给出运行维护服务能力的四个关键要素:人员、资源、技术和过程,每个要素通过关键指标反映运行维护服务的条件和能力。这四个要素间的相互关系为:在供方范围内,人员利用资源和运用技术,按照既定的过程为需方提供信息技术运行维护服务。
- 关键指标
关键指标是运行维护服务所涉及到的核心能力参数,在本部分中主要体现在人员、资源、技术、过程四个方面,并应用于供方的运行维护服务能力评价。
- 管理原则
在运行维护服务提供过程中,供方通过策划、实施、检查和改进实现运行维护服务能力的持续提升
本标准适用于:
1)计划提供运行维护服务的组织建立运行维护服务能力体系;
2)运行维护服务供方评估自身条件和能力;
3)要求供应链中所有运行维护服务供方具备一致的条件和能力的组织;
4)运行维护服务需方评价和选择运行维护服务供方;
5)第三方评价和认定运行维护服务组织能力。
本标准已颁布,国家标准号为:GB/T 28827.1,颁布日期为2012年11月5日,实施日期为2013年2月1日。
2、交付规范
本标准给出了运维服务供需双方从服务级别协议签署到结束的过程中,对交付管理的策划、实施、检查和改进方面提供的原则框架,以及对交付内容、交付方式、交付成果给出的指导建议。本标准除了为运维服务需方和供方提供参考依据外,还可以为运维服务质量的评估、审计人员提供指南。
标准主要内容:
供方根据对服务级别协议需求的理解,通过交付过程的策划、实施、检查和改进四个关键环节的管理,以现场或远程交付方式为手段,向需方提供满足服务级别协议的交付内容和交付成果。
运维服务交付规范的框架如图 14所示:
图 14 运维服务交付规范框架
- 交付管理,供需双方通过对服务交付的策划、实施、检查和改进以保障服务级别协议的达成。
- 交付内容,供方根据服务级别协议要求,向需方提供的例行操作服务、响应支持服务、优化改善服务和咨询评估服务。
- 交付方式,供方根据服务级别协议要求,采用现场支持和远程支持方式向需方提供服务。
- 交付成果,供方根据服务级别协议要求,向需方提供的无形和有形的交付成果。
本标准适用于:
1)使需方和供方对运维服务交付标准达成一致;
2)为需方和供方提供运维服务交付的最佳实践和质量评估依据。
本标准已颁布,国家标准号为:GB/T 28827.2,颁布日期为2012年11月5日,实施日期为2013年2月1日。
3、应急响应规范
本标准规定了应急响应的基本过程和管理方法,包括应急准备、监测与预警、应急处置和总结改进等内容。
标准主要内容:
本标准将运行维护服务中应急响应过程划分为四个主要阶段:应急准备、监测与预警、应急处置和总结改进。
应急响应各阶段的工作内容如下:
- 应急准备阶段的工作包括:组建应急响应组织,确定应急响应制度,系统性识别运行维护服务对象及运行维护活动中可能出现的风险,定义应急事件级别,制定预案,开展培训和演练;
- 监测与预警阶段的工作包括:进行日常监测,及时发现应急事件并有效预警,进行核实和评估,以规定的策略和程序启动预案,并保持对应急事件的跟踪;
- 应急处置阶段的工作包括:采取必要的应急调度手段,基于预案开展故障排查与诊断,对故障进行有效、快速的处理与恢复,及时通报应急事件,提供持续性服务保障,进行结果评价,关闭事件;
- 总结改进阶段的工作包括:对应急事件发生原因、处理过程和结果进行总结分析,持续改进应急工作,完善信息系统。
在应急管理工作中,应将信息系统所支撑业务的数据采集、使用和管理纳入应急响应过程中。在应急准备阶段,结合业务领域突发事件级别和运维活动中的应急事件级别,制定总体应急预案,开展培训和演练。在监测与预警阶段,从运行维护对象和数据两个角度开展监测预警。在应急处置阶段,根据业务数据变化情况采取相应措施。在总结改进阶段,也应该对业务数据采集、使用和管理体系进行完善。
在上述四个阶段中,每个阶段都包括若干重点任务,这些任务覆盖了日常工作、故障响应和重点时段保障等不同类型的活动。表5描述了不同类型活动与重点任务的基本对应关系。
表 5 不同类型活动与重点任务的基本对应关系
|
主要阶段 |
重点任务 | 日常工作 | 故障响应 |
重点时段保障 |
|
应急准备 |
建立应急响应组织 | |||
| 制定应急响应方针 | ||||
| 风险评估与改进 | ||||
| 划分应急事件级别 | ||||
| 预案制定 | ||||
| 培训与演练 | ||||
|
监测与预警 |
日常监测与预警 | |||
| 核实与评估 | ||||
| 预案启动 | ||||
|
应急处置 |
应急调度 | |||
| 排查与诊断 | ||||
| 处理与恢复 | ||||
| 事件升级 | ||||
| 持续服务 | ||||
| 事件关闭 | ||||
|
总结改进 |
应急事件总结 | |||
| 应急体系的保持 | ||||
| 应急工作的改进 |
本标准适用于:
1)指导在经济建设、社会管理、公共服务以及生产经营等领域重要信息系统运行维护服务中的应急响应实施和管理;
2)组织为满足应急响应实施需要而开展的信息系统完善和升级改造工作。
本标准颁布,国家标准号为:GB/T 28827.3,颁布日期为2012年11月5日,实施日期为2013年2月1日。
4、数据中心规范
本标准通过例行操作、响应支持、优化改善、咨询评估四种服务类型对数据中心运维对象提供服务,以保证数据中心连续、稳定、高效及安全的运行。
标准主要内容:
本标准定义了数据中心运维服务对象与服务类型、运维服务策略、运维服务内容及服务报告,为数据中心运维服务提供标准支撑。
服务对象与类型:
服务对象与类型的关系如图15所示:
图 15 服务对象与交付内容的关系
服务对象:根据数据中心的特点,数据中心的服务对象分为机房基础设施、网络及网络设备、服务器及存储、软件、数据五类。
交付内容:包括例行操作、响应支持、优化改善和咨询评估四类服务作业过程。
- 运维服务基本目标
本标准定义的运维服务基本目标包括以下四方面:
1)及时:供方应采取适当的手段确保提供满足SLA时间指标要求的运维服务;
2)规范:供方应建立适当的服务管理过程、服务活动指导文件或实施规则,以保证服务过程的规范运作;
3)安全:服务的供、需双方应采取各种安全手段或措施,有效控制数据中心运维服务的各个环节,保护数据中心运维服务中的物理安全、网络安全、系统安全、应用安全和数据安全;
4)可用:供方应采取适当措施,确保按服务协议提供长期、持续的优质服务,保持服务对象符合SLA的可用性要求。
- 运维服务内容:
本标准定义的运维服务内容包括机房基础设施、网络及网络设备、服务器及存储、数据库、中间件、数据、应用软件。
基本活动包括例行操作、响应支持、优化改善和咨询评估。
1)例行操作包括:监控、预防性检查、常规作业;
2)响应支持:事件驱动响应、服务请求响应;
3)优化改善:适应性改进、增强型改进、预防性改进;
4)咨询评估:包含空调、供配电设备等的建议。
- 运维服务报告
运维服务实施中,供方应按要求进行服务报告编制、提交。服务报告通常分为常规报告、事件报告和专题报告三类。
本标准适用于:
1)供方设计和交付数据中心运行维护服务产品;
2)供方或需方设计和开发数据中心运行维护系统;
3)需方管理供方的数据中心运行维护服务交付内容。
5、桌面及外围设备服务规范
本标准规定了桌面及外设运维服务的对象和类型、服务策略、服务内容和服务交付成果等要求。是信息技术服务运行维护数据中心规范标准的具体化。描述了桌面及外设的服务策略、服务内容和服务交付。
本标准适用于规范桌面及外设运维服务供方的行为,也可供需方参考进行需求规划和成本计量。
6、应用系统服务规范
随着国民经济信息化水平的提高,应用系统已深入到各行各业,应用系统运维标准和使用人员水平成为制约国民经济各行业信息化水平的重要因素。本标准对应用系统服务规范做出了要求,是对数据中心规范的具体化或延伸。
本标准适用于规范应用系统运行维护服务供方的行为,也可供需方参考进行应用系统运行维护服务规划和管理。
七、云计算服务标准
云计算作为一种提供信息技术和通信服务的模式,主要涉及服务开发者、提供者和使用者,三类角色之间通过统一的接口进行交互,构成了云计算产业生态系统的主体。为确保云计算生态系统的安全性,需要采取身份管理、数据安全、虚拟化安全等安全管理措施,构建安全可信的云环境。为了保证使用者安全高效、绿色地使用云服务,支持云计算产业的健康有序发展,需要各级行业主管部门以及第三方机构从法规、政策、标准等多个层面进行监督和管理,从而构成了完整的云计算产业生态系统,如图16所示。
图 16 云计算产业生态系统
结合云计算产业生态系统各个角色对标准化的需求,在云计算产业生态系统中,开发云服务所使用的计算和存储类技术和产品直接决定了云服务的整体性能和技术水平。提供云服务所依托的数据中心的能耗管理水平直接反应了使用云服务的绿色效应。提供和使用云服务过程中所用的终端产品、依赖的通信网络以及采用的服务设计与部署、交付、运营和质量管理等方法和手段反映了云服务的质量水平。开发、提供和使用云服务过程中的信息安全、隐私保护等云安全问题,直接影响了云计算的应用和推广。最后,对于各级行业管理部门,在制定或贯彻实施相关产业政策、规划过程中,通过推动标准应用,实现云计算相关技术、产业和服务持续健康发展。
云服务标准以技术和产品标准、设备与系统标准、网络传输标准为基础,主要从各类服务的构建与部署、交付和运营整个生命周期过程来制定,重点包括云服务基础类标准、云服务构建与部署、云服务交付、云服务运营、云服务安全和云服务质量等方面。云计算中各种资源和应用最终都是以服务的形式体现出来。如何对形态各异的云服务进行系统分类是梳理云服务体系,帮助消费者理解和使用云服务的先决条件。服务构建与部署关注构建云服务平台所需要的关键组件和主要操作流程。服务运营和交付是云服务生命周期的重要组成部分,对服务运营和交付的标准化有助于对云服务提供商的服务质量和服务能力进行评估,同时注重服务的安全和服务质量的管理与测评。
图 17 云计算服务标准框架
主要云计算服务专业标准介绍如下:
1、服务分类标准
云服务分类标准需要规定云服务的分类。标准需要包括云服务的分类、管理和编目,以及云服务的信息处理,并为云服务的开发、服务提供、服务消费及管理人员提供一个科学适用的分类原则和方法。
2、服务设计与部署
虚拟机总体技术要求
本标准主要从云服务角度来考虑虚拟机的总体技术要求,关注在云计算的模式下,运营者(服务提供者)与消费者(服务消费者)对云计算的基础–虚拟机的总体技术要求,以及在商业服务的模式下对虚拟机的总体技术要求,而不仅仅从技术角度来考虑虚拟机的技术规范与指标。
3、服务交付标准
- 第1部分:要求:
提出云服务交付的框架,包含交付内容、交付过程、交付质量和服务交付管理并实现持续改进。本标准可作为云服务提供商用来评估和改进自身交付条件和能力的依据,也可以为第三方和用户评价和认定云服务提供商的服务交付能力提供指导。
- 第2部分:服务级别协议(SLA)规范:
规定了云计算环境下服务级别协议(SLA)的建立要求,云服务级别协议框架和术语给出云服务SLA的概述,理清主协议和SLA之间的关系,为云服务商和用户提供建立SLA所需的通用的概念、需求、术语以及度量指标的一致性认识。不是做云SLA的框架,而是从构建通用SLA所需的元素展开。
- 第3部分:计量指南:
服务计量规范提出云计算环境中对各类服务进行计量的指导性建议。包括建议的计量项目、计量原则和计量精度等。根据不同的云服务或产品给出不同的计量指导。本标准规定了云计算服务提供商提供的云计算服务应该满足的计量特性和要求,为云计算服务的计费及服务能力评价提供基础。
本标准适用于云计算服务提供商、使用服务的用户和第三方评测机构。它的使用者是云服务的审计人员,也为准备实施云服务的人员、客户和云服务供应商(包括咨询人员)提供指南。
4、服务运营标准
- 第1部分:要求
本标准规定了在提供云计算服务过程中的人员、过程、技术、资源和安全等方面的基本要求,从而最终确保可提供稳定、安全和可靠的云计算服务。
标准主要内容:
本标准通过对云计算服务的内部要素和外部特性的研究,给出了一个云计算服务的模型。该模型描述了云计算服务的用户可见的基本特性:按需服务、弹性、网络依存性和可计量,这些特性可作为判断某个信息技术服务是否是云计算服务的基本依据。同时,该模型概括了云计算服务的四个基本内部要素:人员、资源、技术和过程,规定了云计算服务提供商在人员、资源、技术和过程方面所必需具备的基本能力,以确保其可以为用户提供稳定、安全和可靠的云计算服务。
图 18 云计算服务运营标准框架
本标准适用于:
规范云计算服务提供商的自身能力和服务交付过程,从而确保为用户提供可靠的云计算服务。
- 第2部分:治理:
规定云服务治理的基本框架,明确了云服务治理的目标、原则和指导性建议。适用于云服务提供商、第三方评测机构。
- 第3部分:运维指南:
为云服务提供商在云计算环境下事件问题响应处理,自动化发布部署、故障设备置换、配置管理、系统平台维护变更等方面提供了指导性建议。
本标准可作为客户选择云服务提供商的依据,也可以作为云服务提供商改进运维服务能力的依据。本标准还可为实施云计算运维服务的服务提供商提供指南。
- 第4部分:监控指南:
为云服务提供商在云计算环境下的基础设施资源、服务及运行等方面的监控提供了指导性建议,本标准可作为云服务提供商提高服务可用性和监控管理水平的依据。也可为提供云计算系统平台监控服务的服务提供商提供参考依据。
5、云服务安全审计
本标准规定云服务提供商在提供云服务时需记录平台状态及其变化和用户调用平台情况的信息;规定记录平台向外提供查询服务及查询过程需要的安全保护措施;规定记录计费相关信息;规定提供给第三方审计的信息。
6、云服务质量评价指南
本标准建立了云服务质量模型,规定了云服务质量的评价指标体系。为云服务相关方评价云服务质量提供一致的、公正的方法或依据。本标准从功能性、安全性、可靠性、响应性、有形性和友好型性等方面构建了云服务质量的模型框架以及相对应的指标评价体系。
本标准适用于云服务的提供商、使用云服务的用户、第三方评测机构和云服务的审计人员。
第三部分 ITSS核心价值
一、价值链和价值模型
在信息技术服务产业,主要的利益相关方包括服务需方和服务供方,服务需方主要是各行业用户,服务供方主要是提供相应软件、硬件、服务或人员的服务供应商。除此之外,还有监管机构(工业和信息化部、国家标准化管理委员会、国家认证认可监督管理委员会等)、行业协会、认证/咨询等中介机构、教育培训机构和从业人员等。
信息技术服务产业的生命力来源于各行业用户的信息技术服务需求,而在行业用户中包括IT部门、业务部门、CIO等不同角色或主体。ITSS重点考虑了服务标准化对于服务需方内部各个主体的价值。信息技术服务各利益相关方如图19:
图 19 信息技术服务利益相关方关系图
ITSS为不同组织所能带来的价值侧重点各有不同,而不同组织对于ITSS所能带来价值的期望也有所差异。如行业用户可以通过采用ITSS来规范外包工作,选择恰当的供应商;而服务供应商可以采用ITSS来持续提升服务质量,确保客户满意度和财务收益。
参照平衡计分卡的设计思路,将ITSS价值划分为以下四个视角:财务、客户、内部管理、创新成长。ITSS价值模型如图20所示:
图 20 ITSS价值模型
1、财务视角价值
- 更好的IT投资回报,如潜在收益率提升
- 降低信息技术服务成本
- 降低IT中断带来的业务影响和损失
- 更有效地管理IT服务供应商,降低外包成本
- 提高客户忠诚度,降低丢失客户而可能带来的损失
2、客户视角价值
- 提高了信息技术服务质量
- 促进IT更好地匹配业务需求
- 提升业务部门和IT用户的满意度
- 新服务的部署更加迅速
- 转变IT职能,成为业务的合作伙伴
- 有效防范各类信息技术风险
3、内部管理/人员管理视角价值
- IT相关角色职责分工更加明确
- 提升IT人员绩效
- 有效管理IT的复杂性
- IT的运营绩效更高
- 更好的信息资源调配
- 信息化管理过程更加有序、精细化和透明化
- 有效的知识管理和辅助决策
4、创新/成长视角价值
- 信息化管理的兼容性和扩展性更强
- 有助于满足各种监管要求
- 增强了IT创新能力,并进而增强了组织竞争力
- 增强组织对外部变化的快速适应能力和应变能力
二、行业主管部门
对于信息技术服务行业主管部门,ITSS具有以下三方面价值:
- 以标准为抓手,规范和引导市场
ITSS能够解决目前我国信息技术服务产业发展过程中所面临的低价竞争、服务质量不可控、交付成果不规范、外包管理缺乏手段等问题。同时,ITSS系统科学地将信息技术服务进行了定义和分类。目前,工业和信息化部以ITSS中《信息技术服务 分类与代码》标准为基础,修订了我国《软件产业统计制报表度》,并在此基础上开展了行业统计工作。ITSS可作为行业主管部门的有力抓手,规范和引导信息技术服务业健康有序发展。
- 引导信息技术服务产业做大做强
随着信息技术服务产业的不断成熟,信息技术服务业的产品与服务也逐渐趋向模块化、多样化、通用化、标准化发展,ITSS为信息技术服务的产品和服务规范了通用性的标准,为其大规模生产创造了条件。
ITSS凝聚了信息技术服务业的先进技术、先进管理的经验,是集体智慧的集成,全行业可共享其成果。尤其是企业内部的相关管理规范,可使一些企业少走弯路,共同发展。
ITSS构建了一个产业标准的框架,具有很强的包容性和可扩展性。具有先进技术管理方法与标准化理念的企业不论规模大小,都可参与ITSS的研制与实施,这是企业和产业做大做强的途径之一。
- 更好地参与国际竞争
与国际标准化接轨是ITSS的基本原则之一。当前ISO/IEC 20000等相关国际标准已初步形成了系统集成、软件能力成熟度、信息技术服务管理、IT治理等与国际标准相融合的趋势,ITSS的研制与此趋势相吻合。ITSS中还专门设立《信息技术服务 外包 第2部分:数据(信息)保护规范》,用以消除相关贸易壁垒。
一项专利影响着一个或多个企业的发展,而一种标准能影响一个产业、甚至是一个国家的竞争力。因此,ITSS将会推动我国信息技术服务产业更加国际化。
三、用 户
从信息技术服务的用户角度来看,ITSS可产生以下三方面的价值:
- 有效防范各类IT风险
通过采用ITSS中的《信息技术服务 运行维护 第1部分:通用要求》和《信息技术服务 第2部分:交付规范》,推动信息技术服务的交付结果达成服务级别协议(SLA)的要求,满足业务部门需求,降低信息技术服务意外中断的风险。通过采用《信息技术服务 服务管理 第3部分:技术要求》,确保所使用的技术平台/软件系统/工具满足各种技术规范,降低信息泄漏、外部攻击、数据丢失、服务不可用等技术风险。通过采用《信息技术服务 外包 第1部分:交付保障通用要求》和《信息技术服务 外包 第2部分:数据(信息)保护规范》,有助于督促服务供应商达成绩效要求,避免供应商出现关键人员流失和客户敏感信息泄漏等风险。
- 提高信息技术服务质量
通过推广采用《信息技术服务 质量评价指标体系》,更加科学有效地评测信息技术服务质量,引导组织从客户视角和用户体验等方面持续改进信息技术服务的质量。通过采用ITSS相关的业务标准,确保在规划设计、集成实施、运行维护、持续改进、监督管理等阶段的IT相关活动更加规范,提升了服务质量。通过采用ITSS中的外包标准,可以选择更可靠的服务商,保证外包服务的质量。
- 降低信息技术服务成本
按照ITSS规范要求构建IT系统及服务,提高服务可用性,减少业务中断,从而减少由中断可能带来的损失。通过采用ITSS外包标准,组织可以做出更加科学的外包/自建决策,提升IT项目的成功率。通过采用《信息技术服务 从业人员能力规范》,服务技术人员的技能得到提升,人员绩效更高,能够减少服务运营过程中的人力成本。
四、服务提供商
从信息技术服务提供商的角度来看,ITSS可以产生以下三方面的价值:
- 扩大信息技术服务产品销售额
ITSS中明确了信息技术服务的交付过程和方法,以及对服务质量的测评方法,服务提供商可以借此提升信息技术服务的过程质量和结果质量,从而引导客户进行科学的服务外包,并不断提升信息技术服务产品的销售额。
- 确保客户满意度和忠诚度
更加规范和透明化的信息技术服务交付,以及明确的人员能力要求和能力培训机制,进一步提高了客户对其服务品质的信心,增强了客户满意度和忠诚度,避免了客户流失。
- 拓展新的信息技术服务产品
ITSS配套的服务和产品也是一个新生的细分市场,信息技术服务企业可以据此展开与ITSS相关的咨询、培训和认证服务。
五、信息技术服务从业人员
从信息技术服务从业人员的角度看,ITSS可产生三方面的价值:
- 个人业务能力提升
通过ITSS培训,能让IT服务人员尤其是IT运维人员掌握最佳实践方法,系统地认识到服务台等各种职能与过程的要点。通过ITSS实施,能以过程化的管理提升个人的业务处理效率,如一线解决率、平均修复时间等。
- 更好的顾客评价
通过ITSS培训,能让我们更深入地意识到“以客户为中心”的精髓理念,从而提升客户满意度。
- 业务过程的优化
通过ITSS培训,IT服务人员能从职能化思维跳跃到过程化思维。通过ITSS实施,IT部门的服务人员会更加注重整体效率。
