4-信息系统管理
4.1 管理方法
4.1.1 管理基础
1.层次结构
信息系统包括四个要素:人员、技术、流程和数据。
在信息系统层次架构中,信息系统之上是管理,它监督系统的设计和结构,并监督其整体性能。同时,组织管理层制定信息系统层应满足的业务需求和业务战略。信息系统层次架构提供了一个蓝图,可以将业务和系统策略转换为组件或基础架构,并以恰当的人员、技术、流程和数据组合加以实现。
2.系统管理
覆盖四大领域:
- 规划和组织:针对信息系统的整体组织、战略和支持活动
- 设计和实施:针对信息系统解决方案的定义、采购和实施,以及他们与业务流程的整合
- 运维和服务:针对信息系统服务的运行交付和支持,包括安全
- 优化和持续改进:针对信息系统的性能监控及其内部性能目标、内部控制目标和外部要求的一致性管理
4.1.2 规划和组织
1.规划模型
成功的组织有一个压倒一切的业务战略,可以推动组织机制和信息系统的有机融合。信息系统战略三角突出了业务战略、信息系统和组织机制之间的必要一致性。成功的组织会仔细平衡信息系统战略三角,对自己的组织和信息系统战略进行细致规划,以补充其业务战略。
2.组织模型
1)业务战略
当组织的目标是成为市场上成本最低的生产者时,总成本领先战略就会产生。采用该战略的组织通过最大限度地降低成本,从而获得高于平均水平的绩效。
采用差异性战略时,组织通过差异化,以一种在市场上显得独特的方式,定义其产品或服务。
采用专注化战略时,专注化允许组织将其范围限制在更狭窄的细分市场,并为该组客户对象量身定制其产品。该策略有两种变体:
①专注成本,在其细分市场内寻求成本优势
②专注差异化,寻求细分市场内的产品或服务的差异化。
这种策略使组织能够实现区域竞争优势,即使它没有在整个经济与社会中实现竞争优势,也可以通过专注于某些细分市场的方式获得局部的竞争优势。
2)组织机制战略
钻石模型将组织计划的关键组成部分表示为其信息与控制、人员、结构和任务,所有组件都是相互关联的
3)信息系统战略
信息系统战略矩阵基础结构包括:1.硬件 2.软件 3.网络 4.数据
4.1.3 设计和实施
开展信息系统设计和实施,首先需要将业务需求转换为信息系统架构,信息系统架构为组织业务战略转换为信息系统的计划提供了蓝图。
1.设计方法
需要组织首先将业务战略转化为信息系统架构,然后将该架构转化为信息系统设计
1)从战略到系统架构
2)从系统架构到系统设计
3)转换框架
2.架构模式
传统上,信息系统体系架构有三种常见模式:
①集中式架构/主机架构:集中式架构下所有内容采用集中建设、支持和管理的模式,其主体系统通常部署于数据中心,以消除管理物理分离的基础设施带来的困难
②分布式架构/基于服务器的架构:硬件、软件、网络和数据的部署方式是在多台小型计算机、服务器和设备之间分配处理能力和应用功能,这些设施严重依赖于网络将它们连接在一起
③面向服务的系统架构(SOA)/基于web的架构。SOA架构中使用的软件通常被引向软件即服务(SaaS)的相关架构。同时,这些应用程序在通过互联网交付时也被称为web服务。
4.1.4 运维和服务
信息系统的运维和服务由各类管理活动组成,主要包括以下几种:
1.运行管理和控制
管理信息系统运行的管理控制主要活动包括:过程开发、标准制定、资源分配、过程管理。
2.IT服务管理
:是通过主动管理和流程的持续改进来确保IT服务交付有效且高效的一组活动。
由若干不同活动组成(服务台 + 运维的十大管理):服务台、事件管理、问题管理、变更管理、配置管理、发布管理、服务级别管理、财务管理、容量管理、服务连续性管理、可用性管理。
①服务台(service desk)是组织体现IT服务的重要环节,也是服务干系人体验的重要感知窗口。服务台是服务中与服务干系人沟通和交互的重要界面,负责对服务干系人遇到的问题和需求进行响应和处理;服务台是IT服务干系人的 "官方" 接口和信息发布点,组织内部各个团队之间相互协作的纽带和协调者;服务台对IT服务质量及服务干系人体验的管理至关重要,是组织IT服务能力持续提升的战略单元
②事件管理:事件是IT服务管理遭遇计划外中断或服务质量出现下降,以及尚未影响服务的配置项故障。
③问题管理:当发生了几个看起来具有相同或相似根本原因的事件时,就会启动问题管理活动
④变更管理:变更是使一个或更多信息系统配置项的状态发生改变的行动。
⑤配置管理:配置管理是通过技术或行政手段对信息系统的信息进行管理的一系列活动,这些信息不仅包括信息系统具体配置项信息,还包括这些配置项之间的相互关系。
⑥发布管理:发布管理负责计划和实施信息系统的变更,并且记录该变更的各方面信息。
⑦服务级别管理:对IT服务的级别进行定义、记录和管理,并在可接受的成本之下与干系人达成一致的管理过程。
⑧财务管理:负责对IT服务运作过程中所有资源进行财务管理的流程。
⑨容量管理:用于确认信息系统中有足够的容量满足服务需求。
⑩服务连续性管理:是一组与组织持续提供服务的能力相关的活动。
⑩可用性管理:是有关设计、实施、监控、评价和报告IT服务的可用性以确保持续地满足服务干系人的可用性需求的服务管理流程
3.运行与监控
有效的IT运行要求IT人员按照既定流程和过程理解并正确执行任务。同时,IT运行还强调对人员进行培训,以有效识别异常和错误,并做出正确反应。
4.终端侧管理
IT团队职能的一个关键环节是它向组织人员提供的服务,以改善他们对IT访问和使用的情况。
5.程序库管理
程序库是组织用来存储和管理应用程序源代码和目标代码的工具。
6.安全管理
信息安全管理可确保组织的信息安全计划充分识别和解决风险,并在整个运维和服务过程中正常运行。
7.介质管理
组织需要采取一系列活动,以确保数字介质得到适当管理,包括对其保护以及销毁不再需要的数据。
8.数据管理
:是与数据的获取、处理、存储、使用和处置相关的一组活动。
4.1.5 优化和持续改进
优化和持续改进常用的方法为戴明环,即PDCA循环。PDCA循环是将持续改进分为四个阶段,即plan(计划)、do(执行)、check(检查)、act(处理)。
优化和持续改进基于有效的变更管理,使用六西格玛倡导的五阶段方法 DMAIC/DMADV,是对戴明环四阶段周期的延伸,包括:定义(define)、度量(measure)、分析(analysis)、改进/设计(improve/design)、控制/验证(control/verify)。当第四阶段的 '改进' 替换为 '设计','控制' 替换为 '验证' 时,五阶段法就从 DMAIC 转变为 DMADV。
| 序号 | 阶段 | 目标 |
|---|---|---|
| 1 | 定义阶段 | 信息系统定义、核心流程定义和团队组建 |
| 2 | 度量阶段 | 流程定义、指标定义、流程基线和度量系统分析 |
| 3 | 分析阶段 | 价值流分析、信息系统异常源头分析和确定优化改进的驱动因素 |
| 4 | 改进/设计阶段 | 1. 向发起人提出一个或多个解决方案,量化每种方法的收益,就解决方案达成共识并实施 2.定义新的操作/设计条件 3.为新工艺/设计提供定义和缓解故障模式 |
| 5 | 控制/验证阶段 | 包括标准化新程序/新系统功能的操作控制要素、持续验证优化的信息系统的可交付成果、记录经验教训 |
4.2 管理要点
4.2.1 数据管理
:是指通过规划、控制与提供数据和信息资产的职能,包括开发、执行和监督有关数据的计划、策略、方案、项目、流程、方法和程序,以获取、控制、保护、交付和提高数据和信息资产价值。
数据管理能力成熟度评估模型(DCMM)是国家标准 GB/T 36073 <数据管理能力成熟度评估模型> 中提出的,旨在帮助组织利用先进的数据管理理念和方法,建立和评价自身数据管理能力,持续完善数据管理组织、程序和制度,充分发挥数据在促进组织向信息化、数字化、智能化发展方面的价值。
1.数据战略
:包括数据战略规划、数据战略实施、数据战略评估
2.数据治理
:数据治理组织、数据制度建设、数据治理沟通
3.数据架构
:数据模型、数据分布、数据集成与共享和元数据管理
4.数据应用
:数据分析、数据开放共享和数据服务
5.数据安全
:数据安全策略、数据安全管理和数据安全审计
6.数据质量
:数据质量需求、数据质量检查、数据质量分析和数据质量提升
7.数据标准
:业务术语、参考数据和主数据、数据元和指标数据
8.数据生存周期
:数据需求、数据设计和开发、数据运维和数据退役
9.理论框架与成熟度
DCMM将组织的管理成熟度划分为5个等级,分别为:初始级、受管理级、稳健级、量化管理级和优化级。
- 初始级:数据需求的管理主要是在项目级体现,没有统一的管理流程,主要是被动式关联
- 受管理级:组织意识到数据是资产,根据管理策略的要求制定了管理流程,指定了相关人员进行初步管理
- 稳健级:数据已被当做实现组织绩效目标的重要资产,在组织层面指定了系列的标准化管理流程,促进数据管理的规范化
- 量化管理级:数据被认为是获取竞争优势的重要资源,数据管理的效率能量化分析和监控
- 优化级:数据被认为是组织生存和发展的基础,相关管理流程能实时优化,能在行业内进行最佳实践分享
4.2.2 运维管理
1.能力模型
国家标准 GB/T 28827.1 《信息技术服务运行维护第一部分通用要求》 定义了IT运维能力模型,该模型包含治理要求、运行维护服务能力体系和价值实现,如图所示:
1)能力建设:组织需要考虑环境的内外部因素,在治理要求的指导下,根据服务场景,识别服务能力需求,围绕人员、过程、技术、资源能力四要素,策划、实施、检查和改进运行维护能力体系,向各种服务场景赋能,通过服务提供实现服务价值。
2)人员能力:指导IT运维团队根据岗位职责和管理要求 "选人做事"
3)资源能力:资源能力确保IT运维能 "保障做事"
4)技术能力:技术要求确保IT运维能 "高效做事"
5)过程:确保IT运维能 "正确做事"
2.智能运维
中国电子工业标准化技术协会发布的团体标准 T/CESA1172 《信息技术服务智能运维通用要求》,给出了智能运维能力框架,包括组织治理、智能特征、智能运维场景实现、能力域和能力要素,其中能力要素是构建智能运维能力的基础。组织需在组织治理的指导下,对智能运维场景实现提出能力建设要求,开展智能运维能力规划和建设。组织通过场景分析、场景构建、场景交付和效果评估四个过程,基于数据管理能力域提供的高质量数据,结合分析决策能力域做出合理判断或结论,并根据需要驱动自动控制能力域执行运维操作,使运维场景具备智能特征,提升智能运维水平,实现质量可靠、安全可控、效率提升、成本降低。
智能运维能力框架如图所示:
(1)能力要素:人员、技术、过程、数据、算法、资源、知识
(2)能力平台:数据管理、分析决策、自动控制
(3)能力应用:通过场景分析、能力构建、服务交付、迭代调优四个环节
(4)智能运维需具备若干智能特征:能感知、会描述、自学习、会诊断、可决策、自执行、自适应
4.2.3 信息安全管理
1.CIA三要素
是保密性(confidentiality)、完整性(integrity)、可用性(availability)三个词的缩写。
2.信息安全管理体系
:是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理。
在组织机构中应建立安全管理机构,参考步骤包括:
①配备安全管理人员
②建立安全职能部门
③成立安全领导小组
④主要负责人出任领导
⑤建立信息安全保密管理部门
3.网络安全等级保护
1)安全保护等级划分
GB/T 22240 《信息安全技术网络安全等级保护定级指南》 定义了等级保护对象。等级保护对象的安全保护等级分为以下五级:
第一级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益
第二级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别验证损害,或者对社会秩序和公共利益造成危害,但不危害国家安全
第三级:等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害
第四级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成危害
第五级:等级保护对象受到破坏后,会对国家安全造成特别严重危害
| 等级 | 公民、法人和其他组织权益 | 社会秩序和公共利益 | 国家安全 |
|---|---|---|---|
| 1 | 损害 | ||
| 2 | 严重损害 | 危害 | |
| 3 | 严重危害 | 危害 | |
| 4 | 特别严重危害 | 严重危害 | |
| 5 | 特别严重危害 |
2)安全保护能力等级划分
GB/T 22239 《信息安全技术网络安全等级保护基本要求》规定了不同级别的等级保护对象应具备的基本安全保护能力
| 级别 | 要求 |
|---|---|
| 1 | 应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能 |
| 2 | 应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能 |
| 3 | 应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当程度的威胁所造成的主要资源损害,能够及时发现、检测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能 |
| 4 | 应能够在同一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能 |
| 5 | 略 |
