# 第八章监督管理
监督管理是依据国家IT服务标准对IT服务进行整体评价,并对供方的服务过程交付结果实施监督 和绩效评估
质量管理、风险管理和信息管理是监督管理的重要内容
IT服务质量管理:是通过制订质量方针、质量目标和质量计划,实施质量控制 、质量保证和质量改进等活动,确保IT服务满足服务级别协议的要求,最终获得用户的满意。
IT服务风险管理:是对已知风险的认识、分析、采取 防范和处理措施等一系列的管理过程
信息安全管理:是确保组织的资产、信息、数据 和IT服务的保密性,完整性,可用性及其他属性的过程,其他属性有真实性、可核查性、可靠性、防抵赖性等
-
IT服务质量管理
-
IT服务质量评价模型
-
IT服务质量的评价来自于IT供方、IT服务需方和第三方的需要
服务质量的五类特征:安全性、可靠性、有形性、响应性、友好性、。
《信息技术服务质量评价指标体系》标准给出了运行维护服务评价指标及测量方法,对质量模型中的每个子特性给出对应的运维服务评价指标和测量方法,具体包括指标名称测量目的,应用方法,公式及数据 元计算,测试值解释,数据类型和测量输入。
-
-
IT服务评价指标
- 安全性
- 可用性
- 完整性
- 保密性
- 可靠性
- 完备性
- 连续性
- 稳定性
- 有效性
- 可追溯性
- 响应性
- 及时性
- 互动性
- 有形性
- 可视性
- 专业性
- 合规性
- 友好性
- 主动性
- 灵活性
- 礼貌性
- 安全性
-
常见运维服务质量管理活动
运维服务质量是指服务能够满足规定和潜在需求的特征的总和是指工作能够满足被服务者需求的程序
运维服务质量管理包括运维服务质量策划、运维服务质量检查 、运维服务质量改进
-
运维服务质量策划
运维服务质量负责人和运维业务负责人应当定期对运维服务进行整体策划。策划内容如下:
- 确定运维服务质量的目标,
- 确定运维服务质量管理的活动
- 常见活动的形式如下:
- 项目质量保证
- 用户满意度管理
- 客户投诉管理
- 日常检查
- 质量文化和质量教育
- 体系内审及管审
- 确定运维服务质量管理相关的职责 和权限
- 时间安排
- 运维服务质量策划最终要形成质量策划文件
-
运维服务质量检查
质量实施和检查活动包括:
- 进行满意度调查
- 运维各项目质量保证工作实施
- 内审
- 管理评审
- 日常检查
- 质量文件培训
关注质量检查 的方式
- 定期召开质量会议
- 定期质量报告
- 不定期的邮件质量问题沟通
-
运维服务质量改进
- 确定改进目标
- 落实改进任务
- 及时给予指导和帮助
-
-
-
IT服务风险管理
在IT服务提供过程中会遇到各种风险,可能会对IT服务带来不利影响,使得IT服务目标不能正常实现。这些风险通常包括人员,技术,资源 ,过程和其他五方面
-
风险管理计划
-
风险管理计划编制的输入
输入包括:服务范围说明书,服务预算,沟通管理计划,组织过程资产,事业环境因素,进度管理计划
-
风险管理编制输出
- 方法
- 角色与职责
- 预算
- 制订时间表
- 风险类别
- 风险概率
- 风险影响力
- 概率及影响矩阵
- 报告格式
- 跟踪
-
-
风险识别
风险识别是指识别可能会对服务产生影响的风险,并将这些风险的特征形成文档。是一个不断重复的过程
风险识别目标是识别和确定出风险,风险的基本特性以及可能 影响到哪些方面。
服务风险包括内部因素造成的风险和外部因素造成的风险。
内部因素造成的风险能够控制 ,外部因素造成的风险只能规避或转移
风险识别主要内容包括以下三方面:
- 识别并确定IT服务潜在风险
- 识别引起风险的主要因素识别It服务风险可能 引起的后果
- 风险识别输入:
- SLA
- 范围说明书
- 风险管理计划
- 组织 过程资产
- 环境及组织 因素
- 风险识别的输出
- 风险记录
- 风险记录包含风险分析的结果 、优先级,实施其他风险管理过程措施后的响应包括:已经识别出的风险列表,已经识别出的风险,以及风险的根本原因,风险造成的影响
- 风险征兆或警告信号
- 潜在的风险应对方法列表
- 风险的根据原因
- 更新的风险分类
- 更新管理计划
- 风险识别方法
- 文档评审
- 信息收集技术
- 头脑风暴法
- 德尔菲法
- 访谈法
- 优劣分析法(SWOT)
- 检查法
- 分析假设法
- 图解技术
- 风险记录
-
风险定性分析
风险定性分析是对已经识别风险进行优化级排序,通过对风险的发生概率 和影响程度 的综合评估来确定其优先级。
- 风险定性分析的输入
- 风险管理计划
- 风险记录
- 组织 过程资产
- 工作绩效信息
- 范围说明
- 风险定性一分析的输出
- 按优先级或相对等级排列的风险
- 按各类的风险分组
- 要近期做出的响应的风险列表
- 需要进一步分析和应对的风险列表
- 低优先我级风险的监视表
- 风险定性分析结果 中反映的趋势
- 风险定性分析的输入
-
风险定量分析
定量风险分析过程是指定量地分析风险对目标的影响,他在面对很多不确定因素时提供了一种量化的方法,以做出尽可能 恰当的决策
- 风险定量分析的输入
- 管理计划
- 风险管理计划
- 经过更新的风险记录
- 包含活动的逻辑关系及活动历时估算的进度管理计划
- 包含成本估算的成本管理计划
- 范围说明和范围管理计划
- 工作分解结构
- 组织过程资产
- 定量分析的输出
- 可能性分析
- 实现成本和进度目标的可能性
- 已量化风险的优先级列表
- 定量风险分析结果中的趋势
- 风险定量分析的输入
-
风险处置计划
风险处置计划是指依据相应优先级的顺序,同时考虑实际需要,把应对风险所需成本和措施加入IT服务预算和进度中
-
风险处置计划的输入
- 风险管理计划
- 风险记录
-
风险处置计划的输出
- 已经识别的风险及描述
- 风险责任人及其职责
- 定性和定量风险分析过程的结果
- 一致认同的应对策略
- 执行选定的应对策略所需的具体行动
- 在应对策略执行后,期望的残留风险水平
- 风险发生时的预警和信号
- 风险应对策略所需的预算和时间
- 时间和成本的应急储备,目的是为干系人提供一定的风险承受能力
- 启动应急计划的触发条件
- 风险一旦发生后所采用的回退计划
- 残留风险
- 二级风险
- 需要的应急储备量
- 风险相关的合同协议
-
风险处置计划的方法
-
负面风险应对策略
- 避免修改计划以消除相应的威胁,隔离目标免受影响,放宽目标
- 转移风险转移是指把威胁的不利影响以及风险应对的责任转移到第三方的做法
- 减轻通过降低风险和影响程度,使之达到一个可接受的范围
-
机遇应对策略
- 开拓
- 分享
- 强大
-
同时适用威胁和机遇的应对策略
预留突发事件预备资源
-
应急响应策略
-
-
-
风险监控
风险监控是指跟踪已经识别的危险,监测残余风险和识别新的风险,保证风险计划的执行,并评价这些计划对减轻风险的有效性
- 风险监控的输入
- 风险管理计划
- 风险记录
- 工作绩效
- 批准的变更请求
- 风险监控的输出
- 建议纠正措施
- 变更申请
- 组织过程资产
- 风险记录
- 风险监控的方法
- 风险评估
- 风险审计和定期的风险评审
- 差异和趋势分析
- 技术的绩效评估
- 预留管理
- 风险监控的输入
-
风险跟踪
风险跟踪包括已经识别风险和其他突发风险的观察窗记录,对风险的发展状况进行记录和查询
-
风险跟踪方法
- 风险审计
- 念头分析
- 技术指标分析
-
风险清单
风险清单是一种主要的风险管理工具,指明了服务在任何时候面临的最大风险。
-
-
-
信息安全管理
-
信息安全管理体系知识和活动
-
信息安全管理体系
信息安全管理体系(ISMS)是整个管理体系的一部分。他是基于业务风险业务的方法来建立 实施、运行、监视、评审、保持和改进信息安全
管理体系包括:组织结构、方针政策、规划活动、职责、实践、程序、过程和资源
-
信息安全管理知识
-
信息安全属性
- 完整性:
- 可用性
- 保密性
- 可控性
- 可靠性
-
信息安全管理
信息安全管理的内容包括安全政策制定、风险评估、控制目标与方式的选择、制定规范的操作流程、信息安全培训。涉及安全方针策略、组织安全、资产分类与控制 、人员安全、物理与环境安全、通信与运营安全、访问控制 、系统开发与维护、业务连续性、法律符合性等领域。
-
信息安全管理活动
- 定义信息安全策略
- 定义信息安全管理体系范围
- 进行信息安全风险评估
- 确定管理目标和选择管理措施
- 准备信息安全适用性申明
-
-
-
信息安全等级保护知识
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专胡信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护
等级划分
共五级如下:
- 系统破坏后对公民、法人和其他组织 的合法权益造成的损害
- 系统破坏后对公民、法人和其他组织 的合法权益造成的严重损害或对社会秩序和公共利益造成损害
- 系统破坏后对社会秩序和公共利益造成严重损害或对国家造成损害
- 系统破坏后对社会秩序和公共利益造成特别严重损害,或对国家造成严重损害
- 系统破坏后对国家造成特别严重损害
等级保护主要环节
定级,备案,安全建设整改,等级评测和安全检查
-
浙公网安备 33010602011771号