如果實施不當,變更支援可能會中斷業務流程並導致停機。許多組織尚未建立不同的階段來記錄整個變更過程。這通常會導致 IT 環境,在這種環境中,實施變更的成功依賴於單個主題專家。這並不高效,並且對 IT 團隊來說可能難以管理和壓力。
讓我們看看Zylker的 IT 部門,該部門開發了一個新興的影片營銷平臺。該組織希望改進其變更支援流程,ManageEngine ServiceDesk Plus將幫助其實現流程最佳化目標。
Zylker Tech 旨在擴大其在市場上的影響力。但是,為了贏得大型企業客戶的信任,Zylker Tech 需要 ISO 27001 合規性認證。資訊長要求Zylker的 IT 經理實現這一目標,然後該過程開始。
Zylker Tech 的變更實踐和實施通常取決於幾位高階技術人員 Mark 和 Mary。如果沒有一個有據可查和既定的變更流程,變更實施的責任就落在了他們身上。
Zylker 現有的變更支援流程在根據 ISO 標準進行測試時無法滿足要求。它的流程沒有得到很好的管理或記錄。Mark 和 Mary 之所以被選中,是因為他們可以身兼數職,包括審查變更、專案影響,並讓利益相關者瞭解停機時間。
為了給Zylker的變更支援帶來更有條理的方法,Mark 和 Mary 被指派IT變更管理大修,使其達到 ISO 標準。
在評估了 ISO 27001:2022 的附錄 A 控制 8.32 後,Mark 和 Mary 將要求提煉為需要在變更啟用程式中實施的六個組成部分。
在明確了需要完成的工作後,Mark 和 Mary 根據要求制定了政策和文件。現在,計劃已經準備好了,變更管理最佳化步驟也寫在了紙上。
為了幫助標準化實踐,Zylker Tech 需要一個可以強制執行既定變更流程策略的平臺。他們依靠ServiceDesk Plus來幫助他們實現符合ISO 27001的變更支援要求。
以下是ServiceDesk Plus幫助Zylker提供的ISO 27001變更管理要求的六個組成部分:
1. 組織應該能夠對映和評估變更對 IT 基礎設施的影響
ServiceDesk Plus的變更模組將變更流程分為八個階段:提交、規劃、變更諮詢委員會(CAB)評估、實施、使用者驗收測試、釋出、審查和關閉。
對於 IT 組織管理的每種型別的更改,可以建立一個模板,其中包含這八個階段的首選階段。該模板使變更管理員能夠使用每個階段中的部分記錄相關詳細資訊,這些部分既可以預定義,也可以透過自定義欄位使用。
藉助 ServiceDesk Plus,Zylker Tech 利用開箱即用的專用部分來記錄更改對 IT 基礎架構的影響細節。影響詳細資訊、推出計劃和回退計劃可以記錄在更改請求的“規劃”階段下。除了預定義的部分外,Mark 和 Mary 還可以新增任何型別的欄位,以捕獲更改每個階段所需的資訊。
在更改請求中,Zylker 能夠關聯受影響的 CI。ServiceDesk Plus使組織能夠建立IT基礎設施和服務的視覺化關係圖。因此,當 CI 在變更請求中關聯時,由於 ServiceDesk Plus 的內建 CMDB,Zylker 能夠從變更請求中訪問 CI 之間的關係圖。這些功能共同幫助Zylker滿足了這一要求。
2. 組織應實施變更控制,這些授權控制應透過適當的訪問許可權正確記錄
Mark 和 Mary 能夠從變更模板中記錄變更請求的負責利益相關者。ServiceDesk Plus中的問責制是透過變更角色處理的,該變更角色控制每個進行更改的利益相關者的訪問許可權。每個變更角色在變更的每個階段都提供檢視、編輯和審批許可權。ServiceDesk Plus提供了幾個預定義的變更角色,例如變更審批者和審閱者,Zylker Tech在變更過程中利用了這些角色。
除了開箱即用的更改角色外,他們還能夠在更改的每個階段建立具有精細許可權的新角色,這進一步使他們能夠更好地控制其更改。
在 CAB 評估階段,Zylker Tech 能夠設定多個 CAB 的審批流程。這些幫助他們簡化了審批流程,並實現了對其變更的授權控制。只有當CAB的多個級別批准更改時,它才會進入ServiceDesk中流程的實施階段
3. 向所有內部和外部利益相關者通知擬議的變更
當需要通知利益相關者擬議變更時,Mark和Mary依靠ServiceDesk Plus的通知規則,該規則提供從一個簡單的核取方塊啟用的自動通知。
除了通知規則之外,Mark 和 Mary 還意識到,在更改過程中,他們需要更多的上下文通知。為了符合這一要求,他們使用了ServiceDesk Plus中變更工作流程中的“操作”節點。
ServiceDesk Plus中的變更工作流程是視覺化路徑,可指導變更完成所有階段(從提交到關閉),並按照工作流程中的配置執行自動操作。“變更工作流”提供四種型別的節點:“階段”、“條件”、“操作”和“分支”。
Stage 節點可以將變更請求定向到變更流程中的指定階段和狀態。“條件”節點為更改提供了多個路徑,以便根據更改的任何引數進行移動。Branch 節點分叉並加入變更路徑,Action 節點執行通知、審批、欄位更新、任務、計時器和自定義函式。
Zylker Tech 在其變更工作流中利用通知操作節點來提醒利益相關者需要關注和確認的任何活動。
4. 組織應遵守 ISO 27001:2022 附錄 A 8.29,對變更進行測試和驗收測試
Mark 和 Mary 確保Zylker在部署更改之前,或透過其他方法對一部分使用者進行相關的使用者驗收測試。然後,他們能夠在ServiceDesk Plus平臺中透過變更過程的專用階段來記錄這一點。
5. 變更的實施應包括應急計劃和程式,包括後備計劃
ServiceDesk Plus使Zylker Tech能夠直接在擬議變更的規劃階段記錄影響詳細資訊,推出計劃和回退計劃。雖然這些欄位是開箱即用的,但Zylker還可以根據需要在每個階段新增所需的欄位。
在實施過程中,建議的更改可以透過任務進行處理,也可以作為具有ServiceDesk Plus整合專案管理模組的IT專案進行處理。這確保了Zylker在實施變更時具有完全的可見性和可控性。
6. 保留變更過程中所有修改和活動的記錄
使用ServiceDesk Plus,歷史記錄選項卡為整個變更過程中發生的所有活動建立了完美的審計跟蹤。這幫助Zylker向實現 ISO 27001:2022 合規標準邁進了一步。
ServiceDesk Plus 的變更支援模組採用行業最佳實踐構建,幫助Zylker完成了其 ISO 27001:2022 標準要求。一旦 Mark 和 Mary 對流程進行了分類,並配置了ServiceDesk Plus來管理更改,他們就不再是環境中實施的每個更改的非自願所有者。他們透過回到他們喜歡處理的任務而受益。Zylker Tech 受益於更高效、更精簡的流程,以及更符合 ISO 標準。