4.1 管理方法
4.1.1 管理基礎
1.層次結構
資訊系統包括四個要素:人員、技術、流程和資料。
在資訊系統層次架構中,資訊系統之上是管理,它監督系統的設計和結構,並監督其整體效能。同時,組織管理層制定資訊系統層應滿足的業務需求和業務戰略。資訊系統層次架構提供了一個藍圖,可以將業務和系統策略轉換為元件或基礎架構,並以恰當的人員、技術、流程和資料組合加以實現。
2.系統管理
覆蓋四大領域:
- 規劃和組織:針對資訊系統的整體組織、戰略和支援活動
- 設計和實施:針對資訊系統解決方案的定義、採購和實施,以及他們與業務流程的整合
- 運維和服務:針對資訊系統服務的執行交付和支援,包括安全
- 最佳化和持續改進:針對資訊系統的效能監控及其內部效能目標、內部控制目標和外部要求的一致性管理
4.1.2 規劃和組織
1.規劃模型
成功的組織有一個壓倒一切的業務戰略,可以推動組織機制和資訊系統的有機融合。資訊系統戰略三角突出了業務戰略、資訊系統和組織機制之間的必要一致性。成功的組織會仔細平衡資訊系統戰略三角,對自己的組織和資訊系統戰略進行細緻規劃,以補充其業務戰略。
2.組織模型
1)業務戰略
當組織的目標是成為市場上成本最低的生產者時,總成本領先戰略就會產生。採用該戰略的組織透過最大限度地降低成本,從而獲得高於平均水平的績效。
採用差異性戰略時,組織透過差異化,以一種在市場上顯得獨特的方式,定義其產品或服務。
採用專注化戰略時,專注化允許組織將其範圍限制在更狹窄的細分市場,併為該組客戶物件量身定製其產品。該策略有兩種變體:
①專注成本,在其細分市場內尋求成本優勢
②專注差異化,尋求細分市場內的產品或服務的差異化。
這種策略使組織能夠實現區域競爭優勢,即使它沒有在整個經濟與社會中實現競爭優勢,也可以透過專注於某些細分市場的方式獲得區域性的競爭優勢。
2)組織機制戰略
鑽石模型將組織計劃的關鍵組成部分表示為其資訊與控制、人員、結構和任務,所有元件都是相互關聯的
3)資訊系統戰略
資訊系統戰略矩陣基礎結構包括:1.硬體 2.軟體 3.網路 4.資料
4.1.3 設計和實施
開展資訊系統設計和實施,首先需要將業務需求轉換為資訊系統架構,資訊系統架構為組織業務戰略轉換為資訊系統的計劃提供了藍圖。
1.設計方法
需要組織首先將業務戰略轉化為資訊系統架構,然後將該架構轉化為資訊系統設計
1)從戰略到系統架構
2)從系統架構到系統設計
3)轉換框架
2.架構模式
傳統上,資訊系統體系架構有三種常見模式:
①集中式架構/主機架構:集中式架構下所有內容採用集中建設、支援和管理的模式,其主體系統通常部署於資料中心,以消除管理物理分離的基礎設施帶來的困難
②分散式架構/基於伺服器的架構:硬體、軟體、網路和資料的部署方式是在多臺小型計算機、伺服器和裝置之間分配處理能力和應用功能,這些設施嚴重依賴於網路將它們連線在一起
③面向服務的系統架構(SOA)/基於web的架構。SOA架構中使用的軟體通常被引向軟體即服務(SaaS)的相關架構。同時,這些應用程式在透過網際網路交付時也被稱為web服務。
4.1.4 運維和服務
資訊系統的運維和服務由各類管理活動組成,主要包括以下幾種:
1.執行管理和控制
管理資訊系統執行的管理控制主要活動包括:過程開發、標準制定、資源分配、過程管理。
2.IT服務管理
:是透過主動管理和流程的持續改進來確保IT服務交付有效且高效的一組活動。
由若干不同活動組成(服務檯 + 運維的十大管理):服務檯、事件管理、問題管理、變更管理、配置管理、釋出管理、服務級別管理、財務管理、容量管理、服務連續性管理、可用性管理。
①服務檯(service desk)是組織體現IT服務的重要環節,也是服務干係人體驗的重要感知視窗。服務檯是服務中與服務干係人溝通和互動的重要介面,負責對服務干係人遇到的問題和需求進行響應和處理;服務檯是IT服務干係人的 "官方" 介面和資訊釋出點,組織內部各個團隊之間相互協作的紐帶和協調者;服務檯對IT服務質量及服務干係人體驗的管理至關重要,是組織IT服務能力持續提升的戰略單元
②事件管理:事件是IT服務管理遭遇計劃外中斷或服務質量出現下降,以及尚未影響服務的配置項故障。
③問題管理:當發生了幾個看起來具有相同或相似根本原因的事件時,就會啟動問題管理活動
④變更管理:變更是使一個或更多資訊系統配置項的狀態發生改變的行動。
⑤配置管理:配置管理是透過技術或行政手段對資訊系統的資訊進行管理的一系列活動,這些資訊不僅包括資訊系統具體配置項資訊,還包括這些配置項之間的相互關係。
⑥釋出管理:釋出管理負責計劃和實施資訊系統的變更,並且記錄該變更的各方面資訊。
⑦服務級別管理:對IT服務的級別進行定義、記錄和管理,並在可接受的成本之下與干係人達成一致的管理過程。
⑧財務管理:負責對IT服務運作過程中所有資源進行財務管理的流程。
⑨容量管理:用於確認資訊系統中有足夠的容量滿足服務需求。
⑩服務連續性管理:是一組與組織持續提供服務的能力相關的活動。
⑩可用性管理:是有關設計、實施、監控、評價和報告IT服務的可用性以確保持續地滿足服務干係人的可用性需求的服務管理流程
3.執行與監控
有效的IT執行要求IT人員按照既定流程和過程理解並正確執行任務。同時,IT執行還強調對人員進行培訓,以有效識別異常和錯誤,並做出正確反應。
4.終端側管理
IT團隊職能的一個關鍵環節是它向組織人員提供的服務,以改善他們對IT訪問和使用的情況。
5.程式庫管理
程式庫是組織用來儲存和管理應用程式原始碼和目的碼的工具。
6.安全管理
資訊保安管理可確保組織的資訊保安計劃充分識別和解決風險,並在整個運維和服務過程中正常執行。
7.介質管理
組織需要採取一系列活動,以確保數字介質得到適當管理,包括對其保護以及銷燬不再需要的資料。
8.資料管理
:是與資料的獲取、處理、儲存、使用和處置相關的一組活動。
4.1.5 最佳化和持續改進
最佳化和持續改進常用的方法為戴明環,即PDCA迴圈。PDCA迴圈是將持續改進分為四個階段,即plan(計劃)、do(執行)、check(檢查)、act(處理)。
最佳化和持續改進基於有效的變更管理,使用六西格瑪倡導的五階段方法 DMAIC/DMADV,是對戴明環四階段週期的延伸,包括:定義(define)、度量(measure)、分析(analysis)、改進/設計(improve/design)、控制/驗證(control/verify)。當第四階段的 '改進' 替換為 '設計','控制' 替換為 '驗證' 時,五階段法就從 DMAIC 轉變為 DMADV。
| 序號 | 階段 | 目標 |
|---|---|---|
| 1 | 定義階段 | 資訊系統定義、核心流程定義和團隊組建 |
| 2 | 度量階段 | 流程定義、指標定義、流程基線和度量系統分析 |
| 3 | 分析階段 | 價值流分析、資訊系統異常源頭分析和確定最佳化改進的驅動因素 |
| 4 | 改進/設計階段 | 1. 向發起人提出一個或多個解決方案,量化每種方法的收益,就解決方案達成共識並實施 2.定義新的操作/設計條件 3.為新工藝/設計提供定義和緩解故障模式 |
| 5 | 控制/驗證階段 | 包括標準化新程式/新系統功能的操作控制要素、持續驗證最佳化的資訊系統的可交付成果、記錄經驗教訓 |
4.2 管理要點
4.2.1 資料管理
:是指透過規劃、控制與提供資料和資訊資產的職能,包括開發、執行和監督有關資料的計劃、策略、方案、專案、流程、方法和程式,以獲取、控制、保護、交付和提高資料和資訊資產價值。
資料管理能力成熟度評估模型(DCMM)是國家標準 GB/T 36073 <資料管理能力成熟度評估模型> 中提出的,旨在幫助組織利用先進的資料管理理念和方法,建立和評價自身資料管理能力,持續完善資料管理組織、程式和制度,充分發揮資料在促進組織向資訊化、數字化、智慧化發展方面的價值。
1.資料戰略
:包括資料戰略規劃、資料戰略實施、資料戰略評估
2.資料治理
:資料治理組織、資料制度建設、資料治理溝通
3.資料架構
:資料模型、資料分佈、資料整合與共享和後設資料管理
4.資料應用
:資料分析、資料開放共享和資料服務
5.資料安全
:資料安全策略、資料安全管理和資料安全審計
6.資料質量
:資料質量需求、資料質量檢查、資料質量分析和資料質量提升
7.資料標準
:業務術語、參考資料和主資料、資料元和指標資料
8.資料生存週期
:資料需求、資料設計和開發、資料運維和資料退役
9.理論框架與成熟度
DCMM將組織的管理成熟度劃分為5個等級,分別為:初始級、受管理級、穩健級、量化管理級和最佳化級。
- 初始級:資料需求的管理主要是在專案級體現,沒有統一的管理流程,主要是被動式關聯
- 受管理級:組織意識到資料是資產,根據管理策略的要求制定了管理流程,指定了相關人員進行初步管理
- 穩健級:資料已被當做實現組織績效目標的重要資產,在組織層面指定了系列的標準化管理流程,促進資料管理的規範化
- 量化管理級:資料被認為是獲取競爭優勢的重要資源,資料管理的效率能量化分析和監控
- 最佳化級:資料被認為是組織生存和發展的基礎,相關管理流程能實時最佳化,能在行業內進行最佳實踐分享
4.2.2 運維管理
1.能力模型
國家標準 GB/T 28827.1 《資訊科技服務執行維護第一部分通用要求》 定義了IT運維能力模型,該模型包含治理要求、執行維護服務能力體系和價值實現,如圖所示:
1)能力建設:組織需要考慮環境的內外部因素,在治理要求的指導下,根據服務場景,識別服務能力需求,圍繞人員、過程、技術、資源能力四要素,策劃、實施、檢查和改進執行維護能力體系,向各種服務場景賦能,透過服務提供實現服務價值。
2)人員能力:指導IT運維團隊根據崗位職責和管理要求 "選人做事"
3)資源能力:資源能力確保IT運維能 "保障做事"
4)技術能力:技術要求確保IT運維能 "高效做事"
5)過程:確保IT運維能 "正確做事"
2.智慧運維
中國電子工業標準化技術協會發布的團體標準 T/CESA1172 《資訊科技服務智慧運維通用要求》,給出了智慧運維能力框架,包括組織治理、智慧特徵、智慧運維場景實現、能力域和能力要素,其中能力要素是構建智慧運維能力的基礎。組織需在組織治理的指導下,對智慧運維場景實現提出能力建設要求,開展智慧運維能力規劃和建設。組織透過場景分析、場景構建、場景交付和效果評估四個過程,基於資料管理能力域提供的高質量資料,結合分析決策能力域做出合理判斷或結論,並根據需要驅動自動控制能力域執行運維操作,使運維場景具備智慧特徵,提升智慧運維水平,實現質量可靠、安全可控、效率提升、成本降低。
智慧運維能力框架如圖所示:
(1)能力要素:人員、技術、過程、資料、演算法、資源、知識
(2)能力平臺:資料管理、分析決策、自動控制
(3)能力應用:透過場景分析、能力構建、服務交付、迭代調優四個環節
(4)智慧運維需具備若干智慧特徵:能感知、會描述、自學習、會診斷、可決策、自執行、自適應
4.2.3 資訊保安管理
1.CIA三要素
是保密性(confidentiality)、完整性(integrity)、可用性(availability)三個詞的縮寫。
2.資訊保安管理體系
:是對一個組織機構中資訊系統的生存週期全過程實施符合安全等級責任要求的管理。
在組織機構中應建立安全管理機構,參考步驟包括:
①配備安全管理人員
②建立安全職能部門
③成立安全領導小組
④主要負責人出任領導
⑤建立資訊保安保密管理部門
3.網路安全等級保護
1)安全保護等級劃分
GB/T 22240 《資訊保安技術網路安全等級保護定級指南》 定義了等級保護物件。等級保護物件的安全保護等級分為以下五級:
第一級:等級保護物件受到破壞後,會對相關公民、法人和其他組織的合法權益造成損害,但不危害國家安全、社會秩序和公共利益
第二級:等級保護物件受到破壞後,會對相關公民、法人和其他組織的合法權益造成嚴重損害或特別驗證損害,或者對社會秩序和公共利益造成危害,但不危害國家安全
第三級:等級保護物件受到破壞後,會對社會秩序和公共利益造成嚴重危害,或者對國家安全造成危害
第四級:等級保護物件受到破壞後,會對社會秩序和公共利益造成特別嚴重危害,或者對國家安全造成危害
第五級:等級保護物件受到破壞後,會對國家安全造成特別嚴重危害
| 等級 | 公民、法人和其他組織權益 | 社會秩序和公共利益 | 國家安全 |
|---|---|---|---|
| 1 | 損害 | ||
| 2 | 嚴重損害 | 危害 | |
| 3 | 嚴重危害 | 危害 | |
| 4 | 特別嚴重危害 | 嚴重危害 | |
| 5 | 特別嚴重危害 |
2)安全保護能力等級劃分
GB/T 22239 《資訊保安技術網路安全等級保護基本要求》規定了不同級別的等級保護物件應具備的基本安全保護能力
| 級別 | 要求 |
|---|---|
| 1 | 應能夠防護免受來自個人的、擁有很少資源的威脅源發起的惡意攻擊、一般的自然災難,以及其他相當危害程度的威脅所造成的關鍵資源損害,在自身遭到損害後,能夠恢復部分功能 |
| 2 | 應能夠防護免受來自外部小型組織的、擁有少量資源的威脅源發起的惡意攻擊、一般的自然災難,以及其他相當危害程度的威脅所造成的重要資源損害,能夠發現重要的安全漏洞和處置安全事件,在自身遭到損害後,能夠在一段時間內恢復部分功能 |
| 3 | 應能夠在統一安全策略下防護免受來自外部有組織的團體、擁有較為豐富資源的威脅源發起的惡意攻擊、較為嚴重的自然災難,以及其他相當程度的威脅所造成的主要資源損害,能夠及時發現、檢測攻擊行為和處置安全事件,在自身遭到損害後,能夠較快恢復絕大部分功能 |
| 4 | 應能夠在同一安全策略下防護免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發起的惡意攻擊、嚴重的自然災難,以及其他相當危害程度的威脅所造成的資源損害,能夠及時發現、監測發現攻擊行為和安全事件,在自身遭到損害後,能夠迅速恢復所有功能 |
| 5 | 略 |