系规-第八章 监督管理

8.1 概述                                                                                                                                   

概念：监督管理是依据国家 IT 服务标准对 IT服务进行整体评价，并对供方的服务过程、交付结果实施监督和绩效评估。

分类：质量管理、风险管理和信息安全管理是监督管理的重要内容，三者之间相对独立。

质量管理：通过制订质量方针、质量目标和质量计划，实施质量控制、质量保证和质量改进等活动，确保 IT 服务满足服务级别协议的要求，最终获得用户的满意。

风险管理：对已知风险的认识、分析、采取防范和处理措施等一系列的管理过程。对服务进行风险控制和管理，可以最大限度地减少IT服务风险的发生，提高服务成功的概率。

信息安全管理：确保组织的资产、信息、数据和 IT 服务的保密性、可用性、完整性及其他属性的过程，其他属性有真实性、可核查性、可靠性、防抵赖性等。

8.2 IT服务质量管理                                                                                                                  

8.2.1 IT服务质量评价模型

步骤：信息技术服务质量评价分为：（确定选标子拾苹果）确定需求、指标选型、实施评价以及评价结果

模型及评价指标：5个特性(安全【可用2、保密2、完整1】、可靠【稳定1、完备2、有效4、连续5、可追溯1】、响应【及时2、互动3】、有形【可视1、专业3、合规1】、友好【主动3、灵活1、礼貌1】)，16个子特性，32个运维服务质量评价指标

特性	子特性	评价指标	公式	A取值
安全性 5个	可用性	供方访问权限的控制率 需方访问权限的控制率	X=1-A/B X=1-A/B	A：未满足运维服务要求的授权个数，B：运维服务要求的授权个数 A：未满足需方授权的权限个数，B：业务要求的权限个数
	保密性	保密机制的运行情况 泄密事故发生情况	X=A/5 X=A>0 ? 0 : 1	1:既没有建立保密策略与制度，实施也很不到位 2:没有建立保密策略与制度，但客观上或自发开展了保密及权限控制工作 3:建立了保密策略与制度，但实施不到位 4:建立了完备的保密策略与制度，实施良好 5:建立了完备的保密策略与制度，实施良好，且所有员工都清楚并理解安全策略与制度要求 A：服务协议约束的泄密事故发生的次数
	完整性	信息的完整状态比率	X=1-A/B	A：与非授权篡改、破坏和转移信息相关的安全事件数，B：信息实际发生的总变更操作数
可靠性 12个	稳定性	服务人员的稳定性	X=1-A/B	A：特点时间段内供方流失的服务人员数量，B：特定时间段内供方服务人员数量
	完备性	服务实现的完整度	X=A/B	A：实际达成的服务项数，B：符合服务协议中约定的服务项数
	有效性	接通率 服务报告及时提交率 首问解决率 解决率	X=A/B X=A/B X=A/B X=A/B	A：接通次数，B：总服务请求次数 A：实际按时提交的满足服务协议要求的服务报告数量，B：服务协议要求的服务报告数量 A：首次请求就得到应答及解决的次数，B：总服务请求次数 A：已解决的服务请求次数，B：总服务请求次数
	连续性	重大事故发生情况 事故（不含重大）发生情况 服务按时恢复的事件比例 服务的可用程度 关键业务应急就绪度	X=A>0 ? 0 : 1 X=1-A/B X=1-A/B X=1-A/B X=A/5	A：重大事故发生的次数 A：实际发生的事故次数，B：服务协议中约定的事故次数 A：超出服务协议约定恢复时间的事件次数，B：实际发生的所有事件次数 A：故障时间，B：约定的服务时间 1:既没有建立策略与制度，实施也很不到位 2:没有建立策略与制度，但客观上或自发开展了控制工作 3:建立了策略与制度，但实施不到位 4:建立了完备的策略与制度，实施良好 5:建立了完备的策略与制度，实施良好，且所有员工都清楚并理解策略与制度要求
	可追溯性	服务记录的可追溯性	X=A/5	1:没有建立记录追溯的机制，实施也很不到位 2:没有建立记录追溯的机制，但客观上或自发地进行了记录留存 3:建立了记录追溯的机制，但实施不到位 4:建立了完备的记录追溯的机制，实施良好 5:建立了完备的记录追溯的机制，实施良好，且所有员工都清楚并理解咨询服务的连续性计划要求并能定期进行演练
响应性 5个	及时性	及时响应率 及时解决率	X=1-A/B X=1-A/B	A：响应时间不符合服务协议要求的服务请求数量，B：总的服务请求数量 A：解决时间不符合服务协议要求的服务请求数量，B：总的服务请求数量
	互动性	互动沟通机制 服务报告提交率 投诉处理率	X=A/5 X=A/B X=A/B	1:既没有建立互动沟通机制，实施也很不到位 2:没有建立互动沟通机制，但客观上或自发地达到了互动沟通效果 3:建立了互动沟通机制，但实施不到位 4:建立了完备的互动沟通机制，实施良好 5:建立了完备的互动沟通机制，实施良好，且所有员工都清楚并理解互动沟通机制要求 A：实际提交的满足服务协议要求的服务报告数量，B：服务协议要求的服务报告数量 A：得到有效处理的投诉数量，B：收到的投诉数量
有形性 5个	可视性	服务交付物的呈现规范性	X=A/5	1:对交付物没有建立统一的模板 2:对部分交付物建立了统一的模板，但实施较差 3:对部分交付物建立了统一的模板，并在服务中得到了有效实施 4:对所有交付物建立了统一的模板，并在服务中部分得到了有效实施 5:对所有交付物建立了统一的模板，并在服务中全部得到了有效实施
	专业性	工具的专业性 服务流程的专业性 人员的专业性	X=A/5 X=A/5 X=(A/B)*70%+(C/B)*30%	1:没有使用工具 2:在部分服务中使用了工具，但匹配度较低 3:在部分服务中使用了匹配的工具 4:在所有服务中都使用了工具，但不完全匹配 5:在所有服务中都使用了完全匹配的工具   1:既没有建立文件化的服务流程，也没有客观上或自发的在实施中按一定的流程工作 2:没有建立文件化的服务流程，但客观上或自发地按照一定的流程工作 3:建立了文件化的服务流程，但实施不到位 4:建立了较好的文件化或自动化的服务流程，实施良好 5:建立了完备的文件化或自动化的服务流程，实施良好 A：取得的相应专业资格认证的服务工程师数量，B：服务工程师的总数，C：取得信息技术服务相关专业本科及以上学历的服务工程师数量
	合规性	服务的依从性	X=A/5	1:发生违反法律法规及制定的标准的情况或没有识别相关的法律法规及制定的标准 2:识别了相关的法律法规及制定的标准，但没有在内部相关职能和服务过程进行对应 3:识别了相关的法律法规及制定的标准，且在内部相关职能和服务过程进行对应 4:识别了相关的法律法规及制定的标准，且在内部相关职能和服务过程进行对应，并开展了内部合规性评价 5:识别了相关的法律法规及制定的标准，且在内部相关职能和服务过程进行对应，并开展了内部合规性评价，评价结果良好
友好性 5个	主动性	主动进行服务监控 主动进行服务趋势分析 主动介绍服务的相关内容	X=A/5 X=A/5 X=A/5	1:既没有建立规范，实施也很不到位 2:没有建立规范，但客观上或自发地进行了主动的服务监控/服务趋势分析/介绍服务相关内容 3:建立了规范，但实施不到位 4:建立了完备的规范，实施良好 5:建立了完备的规范，实施良好，且所有员工都清楚并理解服务要求/具有成熟的服务趋势分析模型/所有员工都清楚并理解服务要求
	灵活性	需求响应灵活性	X=A/5	1:供方未建立应对需方需求变化的机制，也未能响应需方需求变化 2:供方建立了应对需方需求变化的机制，但未能响应需方需求变化 3:供方未建立应对需方需求变化的机制，但能响应需方需求变化 4:供方建立了完备的应对需方需求变化的机制，响应了需方需求变化，并能部分解决变化的需方需求 5:供方建立了完备的应对需方需求变化的机制，响应了需方需求变化，并能全部解决需方需求变化
	礼貌性	服务语言、行为和态度规范	X=A/5	1:既没有建立规范，实施也很不到位 2:建立了规范，但实施不到位 3:没有建立规范，但客观上或自发地规范了服务语言行为和态度 4:建立了完备的规范，并基本实施了规范，实施良好 5:建立了完备的规范，并完全实施了规范，实施良好，且所有员工都清楚并理解服务要求

活动：（运维服务质量策检改）运维服务质量负责人和运维业务负责人应当定期对运维服务的质量进行整体策划。

运维服务质量策划（木货只是问）

• • 确定运维服务质量目标
  • 确定运维服务质量管理的活动：（客户投诉体系内管，保证满意日常文化教育）客户投诉管理、体系内审及管审、项目质量保证、用户满意度管理、日常检查、质量文化和质量教育
  • 确定运维服务质量管理相关的职责和权限
  • 时间安排，要对确定的各类质量活动时间作出大致安排，或者确定频率周期
  • 最终要形成质量策划文件，以正式的形式发送给相关方

运维服务质量检查

• • 活动：（内管，保证满意日常文化培训）内审、管理评审、运维各项目质量保证工作实施、进行满意度调查、日常检查、质量文化培训
  • 关注质量检查活动的执行情况：（定会报告，不定会邮件）定期召开质量会议、定期质量报告、不定期的邮件质量问题沟通（可以是正式的，也可以是非正式的）

运维服务质量改进（定方目，落任务，跟踪纠偏）

• • 确定改进方向和改进目标
  • 安排具体质量人员落实改进任务
  • 跟踪改进情况，偏差纠正

质量改进实施方法：

（1）PDCA实施方法：①明确问题；②掌握现状；③分析问题产生的原因；④拟定对策并实施；⑤确认效果；⑥防止问题再发生并标准化；⑦总结。

（2）DMAIC法：DMAIC一般用于对现有流程的改进，包括制造过程、服务过程以及工作过程等等。

DMAIC实施步骤如下：

• • • • ①定义：辨认需改进的产品或过程，确定项目所需的资源。
      • ②测量：定义缺陷，收集此产品或过程的表现作底线，建立改进目标。
      • ③分析：分析在测量阶段所收集的证据，以确定一组按重要程度排列的影响质量的变量。
      • ④改进：优化解决方案，并确认该方案能够满足或超过项目质量改进目标。
      • ⑤控制：确保过程改进一旦完成能继续保持下去，而不会返回到先前的状态。

 

8.3 IT服务风险管理计时2分置监控中；   

前2个有组织和环境、中2个只有组织，后3个无；   

从第2个输出风险记录，后面输入都有风险管理计划和风险记录； 

定性和监控有工作绩效信息；

监控，变更申请是输出，批准的变更请求是输入；输出也有风险记录；唯一一个输出有组织过程资产的；

阶段	定义	输入	输出	工具/方法
风险管理计划	风险管理计划编制是决定如何采取和计划服务的风险管理活动的过程	服务范围说明书 服务预算 沟通管理计划 组织过程资产 进度管理计划 事业环境因素 （范夫欲购足金环）	（房角玉石别，应该歌剧跟） 方法、角色与职责、预算、制订时间表、风险类别 风险影响力、风险概率、报告的格式、概率及影响矩阵、跟踪	无
风险识别	识别可能会对服务产生影响的风险，并将这些风险的特征形成文档 ，是一个不断重复的过程，主要内容：前因后果 识别并确定IT服务的潜在风险 识别引起风险的主要因素 识别IT服务风险可能引起的后果	SLA 风险管理计划 范围说明书 组织过程资产 事业环境因素 （S鸡范组事）	风险记录 更新管理计划	（假设文婶吸收图解技术，检查表）假设分析、文档评审、信息收集技术（脑儿烦死头脑风暴法[集思广益]、德尔菲法[问卷，专家匿名]、访谈法[专家]、SWOT优劣机危分析法）、图解技术[因果图、系统或过程的流程图]、检查表[历史信息]
风险定性分析	对已识别风险进行优先级排序，通过对风险的发生概率和影响程序的综合评估来确定其优先级	风险管理计划 风险记录 范围说明 工作绩效信息 组织过程资产	（几种近期进一步低趋势） 按优先级工或相对等级排列的风险 按种类的风险分组 要近期做出响应的风险列表 需要进一步分析和应对的风险列表 低优先级风险监视表 风险定性分析结果中反映的趋势	无
风险定量分析	定量地分析风险对目标的影响	管理计划 风险管理计划 经过更新的风险记录 进度管理计划 成本管理计划 范围说明和范围管理计划 工作分解结构WBS 组织过程资产	（可能成进量化趋势） 可能性分析 实现成本和进度目标的可能性 已量化风险的优先级列表 定量风险分析结果中的趋势	无
风险处置计划	依据相应优先级的顺序，同时考虑实际需要，把应对风险所需成本和措施加入IT服务预算xx进度中	风险管理计划 风险记录	（疯人动车接餐，跳出新鱼回河） 已识别的风险及其描述 风险责任人及其职责 执行选定的应对策略所需的具体行动 一致认同的应对策略 定性和定量风险分析过程的结果  在应对策略执行后，期望的残留风险水平 残留风险 二级风险：执行某一风险应对措施而直接引发的风险 启动应急计划的触发条件 需要的应急储备量 时间和成本的应急储备，目的是为干系人提供一定的风险承受能力 风险发生时的预警和信号 风险应对策略所需的预算和时间 风险一旦发生后所采用的回退计划 风险相关的合同协议	消极风险应对策略：避免、转移、减轻 积极风险应对策略：开拓、分享、强大 同时适用威胁和机遇的对应策略：预留突发事件预备资源 应急响应策略
风险监控	跟踪已识别的风险，检测残余风险和识别新的风险，保证风险计划的执行，并评价这些计划对减轻风险的有效性	风险管理计划 风险记录 工作绩效信息 批准的变更请求	建设的纠正措施 变更申请 风险记录 组织过程资产	风险评估 风险审计和定期的风险评审 差异和趋势分析 技术的绩效评估 预留管理
风险跟踪	包括已识别风险和其他实发风险的观察记录，对风险的发展状况进行记录和查询	无	无	风险审计 偏差分析 技术指标分析（审计偏差的指标）

8.4 IT服务信息安全管理                                                                                                                  

8.4.2 信息安全等级保护

发布：2004年，由公安部、国家保密局、国家密码委及国务院信息办联合下发

等级划分：

• 第一级：对公民、法人或其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益
• 第二级：对公民合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家利益
• 第三级：对国家安全造成损害
• 第四级：对国家安全造成严重损害
• 第五级：对国家安全造成特别严重损害

工作环节：定级（自家主公自主定级、专家评审、主管部门审批、公安机关审核）、备案、安全建设整改、等级测评、安全检查

8.4.3 信息系统安全

计算机安全保护等级：（主审记化问）用户自主保护级(变通内联网用户)、系统审计保护级(商务活动)、安全标记保护级(金融、邮电、能源、交通部门)、结构化保护级(中央机关、广播电视)、访问验证保护级(国防部门)

常用防护措施：（拒绝强入洞，防病毒安全统加固）拒绝访问、防火墙、入侵检测、漏洞扫描、防病毒、安全审计系统、系统安全加固