信息系统运维服务管理信息系统运维服务管理（3）第第3 3章章 信息技术治理和信息技术服务标准信息技术治理和信息技术服务标准在信息技术发展的过程中，出现了许多信息系统管理的框架、模型和架构，有的在信息技术发展的过程中，出现了许多信息系统管理的框架、模型和架构，有的成为了信息行业事实上的标准，有的成为了公认的国际标准。由于不可能存在一个成为了信息行业事实上的标准，有的成为了公认的国际标准。由于不可能存在一个全能的信息系统管理框架普遍适用于所有的情形，因此，如何理解这些公认的最佳全能的信息系统管理框架普遍适用于所有的情形，因此，如何理解这些公认的最佳实践框架就是一个人们十分感兴趣的课题。实践框架就是一个人们十分感兴趣的课题。主要内容主要内容（1）企业信息化战略规划和信息技术治理。）企业信息化战略规划和信息技术治理。（2）信息系统审计标准：）信息系统审计标准：COBIT。（3）信息安全管理标准：）信息安全管理标准：BS7799、ISO/IEC17799和和ISO/IEC27001。（4）信息技术治理标准：）信息技术治理标准：ISO/IEC38500。（5）信息技术服务管理标准：）信息技术服务管理标准：ISO/IEC20000。公司治理的概念公司治理的概念公公司司治治理理是是通通过过有有效效制制度度约约束束、激激励励机机制制，协协调调企业内外部不同利益关系者之间的行为。企业内外部不同利益关系者之间的行为。公公司司治治理理问问题题是是由由所所有有权权和和经经营营权权的的分分离离而而引引起起的的，合合理理配配置置权权利利和和义义务务是是公公司司治治理理的的主主要要内内容容，其其目目的的是是增增加加公公司司信信息息披披露露的的透透明明度度，最最大大限限度度保保护护股股东和投资人的权益。东和投资人的权益。企业信息化战略规划的定义企业信息化战略规划的定义企业信息化战略规划是指在企业发展战略目标的指导下，在理解企业信息化战略规划是指在企业发展战略目标的指导下，在理解企业发展战略目标与业务规划的基础上，诊断、分析、评估企业管理企业发展战略目标与业务规划的基础上，诊断、分析、评估企业管理和信息技术现状，优化企业业务流程，结合所属行业信息化方面的实和信息技术现状，优化企业业务流程，结合所属行业信息化方面的实践经验和对最新信息技术发展趋势的掌握，提出企业信息化建设的远践经验和对最新信息技术发展趋势的掌握，提出企业信息化建设的远景、目标和战略，制定企业信息化的系统架构、确定信息系统各部分景、目标和战略，制定企业信息化的系统架构、确定信息系统各部分的逻辑关系，以及具体信息系统的架构设计、选型和实施策略，对信的逻辑关系，以及具体信息系统的架构设计、选型和实施策略，对信息化目标和内容进行整体规划，全面系统地指导企业信息化的进程，息化目标和内容进行整体规划，全面系统地指导企业信息化的进程，协调发展地进行企业信息技术的应用，及时地满足企业发展的需要，协调发展地进行企业信息技术的应用，及时地满足企业发展的需要，以及有效充分地利用企业的资源，以促进企业战略目标的实现，满足以及有效充分地利用企业的资源，以促进企业战略目标的实现，满足企业可持续发展的需要。企业可持续发展的需要。企业信息化战略规划在时间上的跨度一般是三到五年，每年要企业信息化战略规划在时间上的跨度一般是三到五年，每年要根据企业面临的新环境、企业的新发展和技术上的新趋势等因素对其根据企业面临的新环境、企业的新发展和技术上的新趋势等因素对其做出调整和完善。信息化战略规划是信息化建设的基本纲领和总体指做出调整和完善。信息化战略规划是信息化建设的基本纲领和总体指向，是信息系统设计和实施的前提与依据。向，是信息系统设计和实施的前提与依据。企业信息化战略规划的原则企业信息化战略规划的原则（1）与企业战略相一致原则）与企业战略相一致原则（2）与企业发展相配合原则）与企业发展相配合原则（3）整体规划原则）整体规划原则（4）系统集成一体化原则）系统集成一体化原则企业信息化战略规划的作用企业信息化战略规划的作用企业信息化不仅是一项技术，而更是一种管理理念，是建立现代化企业信息化不仅是一项技术，而更是一种管理理念，是建立现代化企业管理制度的基础与必要条件。企业信息化战略规划的作用主要有以下企业管理制度的基础与必要条件。企业信息化战略规划的作用主要有以下几方面：几方面：（1）对企业战略的实现给予信息技术的有力支持和保证。）对企业战略的实现给予信息技术的有力支持和保证。（2）提升管理水平，与国际化、现代化企业管理制度接轨。）提升管理水平，与国际化、现代化企业管理制度接轨。（3）实现企业资源利用最大化，形成核心竞争力。）实现企业资源利用最大化，形成核心竞争力。（4）弥补管理漏洞，提高企业各层级执行效率。）弥补管理漏洞，提高企业各层级执行效率。（5）建立科学化预算、经营、分析体系，规避财务风险。）建立科学化预算、经营、分析体系，规避财务风险。（6）建立系统化营销体系和客户服务体系，提高企业的市场）建立系统化营销体系和客户服务体系，提高企业的市场获取和维系能力。获取和维系能力。（7）建立规范化渠道管理模式，有效掌控、驾驭渠道资源。）建立规范化渠道管理模式，有效掌控、驾驭渠道资源。（8）建立有效的市场预警体系。）建立有效的市场预警体系。（9）提高企业经营决策定位的准确性和全面性。）提高企业经营决策定位的准确性和全面性。（10）提高企业效率，降低经营成本。）提高企业效率，降低经营成本。企业信息化战略规划的步骤企业信息化战略规划的步骤（1）明确企业信息化战略思想）明确企业信息化战略思想（2）借助第三方信息化咨询机构）借助第三方信息化咨询机构（3）企业动态环境分析）企业动态环境分析（4）制定企业信息化战略目标）制定企业信息化战略目标（5）制定企业信息化战略方案）制定企业信息化战略方案（6）实施企业信息化战略）实施企业信息化战略（7）控制企业信息化战略实施过程）控制企业信息化战略实施过程信息安全的定义信息安全的定义信息安全是指保护信息系统的硬件、软件及相关数据，信息安全是指保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。证信息系统能够连续、可靠、正常地运行。凡是涉及到保密性、完整性、可用性、可追溯性、真实凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论，都是信息安全所要研性和可靠性保护等方面的技术和理论，都是信息安全所要研究的范畴，也是信息安全所要实现的目标。究的范畴，也是信息安全所要实现的目标。在商业和经济领域，信息安全主要强调的是消减并控制在商业和经济领域，信息安全主要强调的是消减并控制风险，保持业务操作的连续性，并将风险造成的损失和影响风险，保持业务操作的连续性，并将风险造成的损失和影响降低到最低程度。降低到最低程度。信息安全的风险和基本目标信息安全的风险和基本目标1、信息安全面临的最普遍的三类风险：、信息安全面临的最普遍的三类风险：（1）信息泄漏、）信息泄漏、（2）信息篡改）信息篡改（3）信息破坏）信息破坏2、信息安全主要目标：、信息安全主要目标：（1）保密性）保密性（2）完整性）完整性（3）可用性）可用性（4）信息可追溯性）信息可追溯性（5）抗抵赖性）抗抵赖性（6）真实性）真实性（7）可控性）可控性信息安全整体规划的制定信息安全整体规划的制定企业在信息安全建设方面要制定较长期（例如企业在信息安全建设方面要制定较长期（例如23年）的整体规划，明确信息安全目标和原则，年）的整体规划，明确信息安全目标和原则，发掘信息安全需求，落实信息安全组织和责任，做发掘信息安全需求，落实信息安全组织和责任，做好阶段计划和成果诉求。内容包括：好阶段计划和成果诉求。内容包括：（1）目标）目标（2）对象）对象（3）规范）规范（4）流程）流程信息技术治理的定义信息技术治理的定义信息技术治理信息技术治理（InformationTechnologyGovernance，ITG）是是指专注于信息技术体系及其绩效和风险管理的一组治理规则，指专注于信息技术体系及其绩效和风险管理的一组治理规则，由领导关系、组织结构和过程组成，以确保信息技术能够支由领导关系、组织结构和过程组成，以确保信息技术能够支撑组织的战略目标。它是使参与信息化过程的各方利益最大撑组织的战略目标。它是使参与信息化过程的各方利益最大化的制度措施，也是一个由关系和过程所构成的体制，用于化的制度措施，也是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。值来确保实现企业的目标。其主要任务是保持企业信息化与业务目标一致，推动业其主要任务是保持企业信息化与业务目标一致，推动业务发展，促使收益最大化，合理利用信息资源，以及信息系务发展，促使收益最大化，合理利用信息资源，以及信息系统相关风险的适当管理。统相关风险的适当管理。信息技术治理的目标信息技术治理的目标明确信息技术治理的目标将帮助管理层树立以明确信息技术治理的目标将帮助管理层树立以组织战略为导向，以外界环境为依据，以业务与组织战略为导向，以外界环境为依据，以业务与IT整合为中心的观念，正确定位信息技术部门在整个整合为中心的观念，正确定位信息技术部门在整个组织中的作用。信息技术治理目标主要有：组织中的作用。信息技术治理目标主要有：（1）与业务目标一致）与业务目标一致（2）有效利用信息资源）有效利用信息资源（3）风险管理）风险管理信息技术治理的流程信息技术治理的流程交付交付价值价值管理管理资源资源控制控制风险风险锁定锁定目标目标衡量衡量绩效绩效信息技术治理信息技术治理（IT治理）治理）信息技术治理的作用信息技术治理的作用信息技术治理可以解决企业以下几个方面的问题：信息技术治理可以解决企业以下几个方面的问题：（1）发现信息系统本身的问题）发现信息系统本身的问题（2）有助于提高企业的灵活性和适应性）有助于提高企业的灵活性和适应性（3）自我评估信息系统管理的效果）自我评估信息系统管理的效果信息技术治理的设计框架信息技术治理的设计框架信信息息技技术术治治理理侧侧重重于于建建立立整整个个企企业业信信息息系系统统运运作作的的规规范范和和框框架架，以以此此监监控控企企业业信信息息化化战战略略的的制制定定和和机机构构的的建建立立，以以便便组组织织实实施施，保保证证企企业业信信息息系系统统的的运运营营始始终终处在正确的轨道上。处在正确的轨道上。企业战略企业战略和组织和组织IT组织和组织和期望行为期望行为信息技术治理安排信息技术治理安排信息技术治理机制信息技术治理机制IT决策决策原则原则架构架构基础设施基础设施应用应用投资投资企业绩效企业绩效目标目标IT指标指标和责任和责任信息技术治理与管理的关系信息技术治理与管理的关系管理强调的是管理强调的是“做正确的事做正确的事”，即计划、组织、领导、监督。，即计划、组织、领导、监督。治理更多强调的是通过组织架构、权力分配等制度安排，来治理更多强调的是通过组织架构、权力分配等制度安排，来实现不同利益相关者之间的相互制衡。实现不同利益相关者之间的相互制衡。实质上这二者之间并没有严格的边界，尤其是在大型上市公实质上这二者之间并没有严格的边界，尤其是在大型上市公司中，治理与管理总是同时存在，互相促进，以实现股东利益的司中，治理与管理总是同时存在，互相促进，以实现股东利益的最大化。这好比是一个硬币的两面，谁也不能脱离谁而存在。最大化。这好比是一个硬币的两面，谁也不能脱离谁而存在。信息技术治理是信息系统管理的基石，某种意义上可认为信信息技术治理是信息系统管理的基石，某种意义上可认为信息技术治理比信息系统管理更重要。如果没有好的公司治理（约息技术治理比信息系统管理更重要。如果没有好的公司治理（约束和激励）机制，公司管理的好是偶然的，管理不好是必然的；束和激励）机制，公司管理的好是偶然的，管理不好是必然的；同样，对于企业信息系统而言，如果存在好的信息技术治理机，同样，对于企业信息系统而言，如果存在好的信息技术治理机，信息系统管理的好就是必然的、管理不好是偶然的。信息系统管理的好就是必然的、管理不好是偶然的。与信息技术治理和管理相关的主要标准与信息技术治理和管理相关的主要标准序序号号标准标准名称名称标准类型标准类型关注重点关注重点内容比较内容比较1COBIT面向IT审计的IT管理标准IT控制、度量和审计注重控制和度量，缺乏安全管理的流程，重点是IT组织管理规范流程。2ITIL事实上的标准以流程为核心的管理架构由最佳实践形成的IT过程管理，主要适用于信息技术服务管理（ITSM）3BS7799信息安全管理标准信息安全关注信息安全管理，辅助企业创建有效的信息系统安全计划和方案4ISO20000信息技术服务管理的国际标准信息技术服务管理（ITSM）是在ITIL基础上形成的国际标准5ISO8500IT治理的国际标准IT治理的测评有效的IT治理范围、技术与业务沟通，以及相关术语表信息系统审计治理标准（信息系统审计治理标准（COBIT）信信息息系系统统与与相相关关技技术术控控制制目目标标（ControlObjectivesforInformationandrelatedTechnology，COBIT）既既是是目目前前国国际际上上通通用用的的信信息息系系统统审审计计标标准准，也也是是一一个个在在国国际际上上公公认认的的信信息息技技术术治治理理和和管管理理框框架架，已已经经为为世世界界上上一一百百多多个个国国家家的的政政府府部部门门、企企业业所所采采用用，被被用用于于指指导导这这些些组组织织有有效效地地利用信息资源，有效地管理与信息系统相关的风险。利用信息资源，有效地管理与信息系统相关的风险。COBITv5.0能能够够为为企企业业使使信信息息系系统统在在整整体体上上得得以以治治理理和和管管理理，并并承承担担整整个个端端到到端端业业务务和和信信息息系系统统功功能能区区域域的的责责任任，同同时时兼兼顾顾内内、外外部部利利益益相关者与相关者与IT部门相关的利益。部门相关的利益。COBIT具具有有很很好好的的通通用用性性，能能够够适适用用于于各各种种规规模模的的组组织织和和机机构构，包包括商务、非营利或公共机构等。括商务、非营利或公共机构等。COBIT可应用在所有的企业信息系统，包括了个人计算机、小型计可应用在所有的企业信息系统，包括了个人计算机、小型计算机、大型主机和分布式运算环境，它建立在一个信息技术资源必须被算机、大型主机和分布式运算环境，它建立在一个信息技术资源必须被一套自然分类的程序所管理的想法上，而这种想法是为了要能提供组织一套自然分类的程序所管理的想法上，而这种想法是为了要能提供组织要达成目标的适当且可靠的信息。要达成目标的适当且可靠的信息。COBIT的发展历程的发展历程（1）审计框架阶段：）审计框架阶段：1996年年COBITv1.0作为一个审计框架被提出。作为一个审计框架被提出。（2）控制框架阶段：）控制框架阶段：1998年年COBITv2.0在增加了控制目标和实施工具集后在增加了控制目标和实施工具集后出版，是一个控制框架。出版，是一个控制框架。（3）管理框架阶段：）管理框架阶段：2000年年COBITv3.0在增加了管理方针和其他详细控制在增加了管理方针和其他详细控制目标后出版，是一个管理框架。目标后出版，是一个管理框架。（4）治理框架阶段：）治理框架阶段：2005年年COBITv4.0在第三版的基础上进行了重大更在第三版的基础上进行了重大更新，更加注重帮助董事会和员工应对不断增加的职新，更加注重帮助董事会和员工应对不断增加的职责，是一个彻底的责，是一个彻底的IT治理架构。治理架构。（5）整合框架阶段：）整合框架阶段：2012年年4月月10日，日，ITGI正式发布正式发布COBITv5.0，这是它发，这是它发展展16年来最重大的一次改进。该框架中提供了全球广年来最重大的一次改进。该框架中提供了全球广泛认可的原则、最佳实践、分析工具和模型，可帮助泛认可的原则、最佳实践、分析工具和模型，可帮助组织获得对信息系统的信任并从中产生价值。组织获得对信息系统的信任并从中产生价值。COBITCOBIT的主要内容的主要内容COBIT覆盖了信息系统的整个生命周期，即从系统分析设计、开发实施到运营维覆盖了信息系统的整个生命周期，即从系统分析设计、开发实施到运营维护的整个过程，其视野是最为开阔的。护的整个过程，其视野是最为开阔的。（1）在分析设计阶段）在分析设计阶段COBIT主要是考察组织的需求，并根据这些需求设计合理的主要是考察组织的需求，并根据这些需求设计合理的资源组合，设立合理的服务级别，以确保能提供满足客户需求的信息技术服务。资源组合，设立合理的服务级别，以确保能提供满足客户需求的信息技术服务。（2）在信息技术服务管理的阶段）在信息技术服务管理的阶段COBIT主要解决的问题包括为满足客户的需要提主要解决的问题包括为满足客户的需要提供哪些资源，这些资源之间的成本是多少，如何在信息技术服务成本和服务的效益之供哪些资源，这些资源之间的成本是多少，如何在信息技术服务成本和服务的效益之间达到一个恰当的平衡点。间达到一个恰当的平衡点。（3）COBIT指导企业管理层对信息系统运营进行外部控制和内部审计，以确保信指导企业管理层对信息系统运营进行外部控制和内部审计，以确保信息系统与业务实现精确的同步协调，以及实现信息技术持续不断的应用和对信息系统息系统与业务实现精确的同步协调，以及实现信息技术持续不断的应用和对信息系统持续不断的改进。持续不断的改进。（4）作为信息技术治理的核心模型，）作为信息技术治理的核心模型，COBIT是一个基于信息技术治理概念的、面是一个基于信息技术治理概念的、面向企业信息化建设过程的信息技术治理实现指南和审计标准。它有向企业信息化建设过程的信息技术治理实现指南和审计标准。它有6个主要组件，归个主要组件，归集为四个控制域，并包含集为四个控制域，并包含34个信息系统过程控制，每个过程都有一个高层控制目标。个信息系统过程控制，每个过程都有一个高层控制目标。在在34个高层目标下，共有个高层目标下，共有302个低层的具体控制目标。这些控制目标描述了一些通过个低层的具体控制目标。这些控制目标描述了一些通过具体的控制步骤可以达到的结果，为信息系统控制提供了清晰的政策。具体的控制步骤可以达到的结果，为信息系统控制提供了清晰的政策。COBIT的主要组件的主要组件（1）管理指导方针）管理指导方针（2）管理者摘要）管理者摘要（3）架构）架构（4）审计指导方针）审计指导方针（5）控制目标）控制目标（6）应用工具集）应用工具集COBIT的四大领域及其的四大领域及其34个个IT程序程序（1）IT规划和组织（规划和组织（Planning&Organization，PO）：）：定义一个策略性的定义一个策略性的IT计划。定义信息的架构。决定采用技术的方向。定义计划。定义信息的架构。决定采用技术的方向。定义IT组织及其关系。管组织及其关系。管理对理对IT的投资。管理目标和方向的沟通。管理人力资源。确保遵循外部的的投资。管理目标和方向的沟通。管理人力资源。确保遵循外部的条件。资产风险。项目管理。品质管理。条件。资产风险。项目管理。品质管理。（2）系统获得和实施（）系统获得和实施（AcquisitionandImplementation，AI）：）：辨识解决方辨识解决方案。应用软件的取得与维护。技术架构的取得与维护。案。应用软件的取得与维护。技术架构的取得与维护。IT程序的发展与维程序的发展与维护。系统的安装与确认。变革管理。护。系统的安装与确认。变革管理。（3）交付与支持（）交付与支持（DeliveryandSupport，DS）：）：定义服务的层次。第三者定义服务的层次。第三者提供服务的管理。效果和能力的管理。持续服务的确保。系统安全的确保。提供服务的管理。效果和能力的管理。持续服务的确保。系统安全的确保。成本的确认和分摊。使用者的教育和训练。对成本的确认和分摊。使用者的教育和训练。对IT客户的协助和建议。型态客户的协助和建议。型态设定的管理。问题和意外事件的管理。数据的管理。相关设施的管理。运设定的管理。问题和意外事件的管理。数据的管理。相关设施的管理。运营管理。营管理。（4）信息系统运行性能监控（）信息系统运行性能监控（Monitoring，M）：）：流程监测。内部控制适当流程监测。内部控制适当性的评估。自主性保证的获得。自主性审计的提供。性的评估。自主性保证的获得。自主性审计的提供。国际信息系统审计师认证国际信息系统审计师认证国际信息系统审计师（国际信息系统审计师（CertifiedInformationSystemsAuditor，CISA）认证是由信息系统审计与控制协会（认证是由信息系统审计与控制协会（ISACA）发起的，是信息系统审计、控）发起的，是信息系统审计、控制与安全等专业领域中取得公认成绩的象征，拥有制与安全等专业领域中取得公认成绩的象征，拥有CISA资格证书说明持证资格证书说明持证人已经具备了国际上认可的实践能力和专业水平。人已经具备了国际上认可的实践能力和专业水平。随着对信息系统审计、控制与安全专业人士需求的增长，随着对信息系统审计、控制与安全专业人士需求的增长，CISA已成为已成为全球范围内个人与公司机构不可或缺的认证，它还为持证人带来相当的职业全球范围内个人与公司机构不可或缺的认证，它还为持证人带来相当的职业成就和经济利益。例如，美国电子签章法案要求具有成就和经济利益。例如，美国电子签章法案要求具有CISA资格的人员才能资格的人员才能执行独立性审计，以确认其安全管理的有效性，由此足见执行独立性审计，以确认其安全管理的有效性，由此足见CISA的市场前景。的市场前景。CISA认证已有十多年的历史，它适用于企业信息系统管理人员、认证已有十多年的历史，它适用于企业信息系统管理人员、IT审审计人员和其他对信息系统审计感兴趣的人员，以及信息化咨询顾问、信息安计人员和其他对信息系统审计感兴趣的人员，以及信息化咨询顾问、信息安全厂商、信息技术服务提供商等。全厂商、信息技术服务提供商等。申请国际信息系统审计师认证的条件申请国际信息系统审计师认证的条件（1）顺利通过）顺利通过CISA的考试。的考试。（2）遵守信息系统审计与控制协会（）遵守信息系统审计与控制协会（ISACA）的）的职业道德规范职业道德规范。（3）提供从事信息系统审计、控制与安全工作）提供从事信息系统审计、控制与安全工作5年以上经验的证明。具有下列经验者，年以上经验的证明。具有下列经验者，可申请替代部分年限，并出示适当的证明。可申请替代部分年限，并出示适当的证明。（4）具备如下资历者，可以申请替代）具备如下资历者，可以申请替代1年的信息系统审计、控制与安全的工作经验要求年的信息系统审计、控制与安全的工作经验要求满满1年的非信息系统审计工作经验，或年的非信息系统审计工作经验，或满满1年的信息系统工作经验，或年的信息系统工作经验，或具有大专学历（大学具有大专学历（大学60个学分或同等学历）。个学分或同等学历）。拥有学士学位（大学拥有学士学位（大学120个学分或同等学历）者，可以替代个学分或同等学历）者，可以替代2年信息系统审计、年信息系统审计、控制与安全工作经验。控制与安全工作经验。2年相关领域（计算机科学、会计、信息系统审计等）大学专职讲师经验可以替年相关领域（计算机科学、会计、信息系统审计等）大学专职讲师经验可以替代代1年信息系统审计、控制与安全工作经验。无最高可替代年限限制（年信息系统审计、控制与安全工作经验。无最高可替代年限限制（6年大学讲师经年大学讲师经验可以替代验可以替代3年信息系统审计、控制与安全工作的经验）。年信息系统审计、控制与安全工作的经验）。COBIT在信息系统运维服务管理中的应用在信息系统运维服务管理中的应用1、COBIT应用于应用于IT运维服务管理的步骤：运维服务管理的步骤：按按照照COBIT运运维维域域标标准准，进进行行信信息息系系统统运运维维服服务务流流程程的的梳梳理理，并并在在运运维维任任务务、制制度度和和各各种种操操作作流流程程等等方方面面进进行行规规范范，定定义义关关键键业业务务系系统统的的相相应应服服务务级级别别，实实施施服服务务台台管管理理、配配置置管管理理、问问题题管管理理、变变更更管管理理等等，明明确确各各流流程程之之间间的的相相互互关关系系和和人人员员配配置置，形形成成了了一一个个完整、统一、相互协调的管理控制网络。完整、统一、相互协调的管理控制网络。2、COBIT应用于应用于IT运维服务管理的作用：运维服务管理的作用：（1）变被动为主动的管理模式）变被动为主动的管理模式（2）能提高用户满意度）能提高用户满意度（3）变）变“人治人治”为为“法治法治”（4）建立起高效的信息系统运维机制）建立起高效的信息系统运维机制（5）能提高科学管理的决策能力）能提高科学管理的决策能力BS7799信息安全管理标准信息安全管理标准BS7799是英国标准协会（是英国标准协会（BSI）针对信息安全管理而制）针对信息安全管理而制定的一个标准，最早始于定的一个标准，最早始于1995年，后来被转化为国际标准。年，后来被转化为国际标准。（1）BS77991转化为转化为ISO/IEC17799标准标准信息安全管信息安全管理实施细则理实施细则，主要供负责信息安全系统开发的人员作为参，主要供负责信息安全系统开发的人员作为参考使用，其中分考使用，其中分11个标题，定义了个标题，定义了133项安全控制（最佳惯例）项安全控制（最佳惯例）。（2）BS77992转化为转化为ISO/IEC2700标准标准信息安全管信息安全管理体系规范理体系规范，是建立信息安全管理体系（，是建立信息安全管理体系（ISMS）的一套规）的一套规范，详细说明了建立、实施和维护信息安全管理体系的要求。范，详细说明了建立、实施和维护信息安全管理体系的要求。信息安全管理体系及信息安全管理体系及ISO27001信息安全管理体系（信息安全管理体系（ISMS）是组织整体管理体）是组织整体管理体系的一个部分，是组织在整体或特定范围内建立信息系的一个部分，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。安全方针和目标，以及完成这些目标所用方法的体系。ISO27001是建立和维护信息安全管理体系的标是建立和维护信息安全管理体系的标准，它要求应该通过这样的过程来建立准，它要求应该通过这样的过程来建立ISMS框架：框架：确定体系范围，制定信息安全策略，明确管理职责，确定体系范围，制定信息安全策略，明确管理职责，通过风险评估确定控制目标和控制方式。通过风险评估确定控制目标和控制方式。ISO27001认证认证实施实施ISO27001认证有两种途径：认证有两种途径：（1）自己做认证）自己做认证在组织内部成立专人专项工作在组织内部成立专人专项工作组，按照计划自我实施。组，按照计划自我实施。（2）聘请咨询机构做认证）聘请咨询机构做认证选择有实力的咨询机选择有实力的咨询机构，帮助组织完成构，帮助组织完成ISO27001认证认证ISO/IEC17799标准的主要内容标准的主要内容ISO/IEC17799:2005信息安全管理实施细则信息安全管理实施细则从从11个方面定义了个方面定义了133项项控制措施，可供信息安全管理体系实施者参考使用。控制措施，可供信息安全管理体系实施者参考使用。（1）安全策略）安全策略控制措施控制措施2个，控制目标个，控制目标1个个（2）组织信息安全）组织信息安全控制措施控制措施11个，控制目标个，控制目标2个个（3）资产管理）资产管理控制措施控制措施5个，控制目标个，控制目标2个个（4）人力资源安全）人力资源安全控制措施控制措施9个，控制目标个，控制目标3个个（5）物理和环境安全）物理和环境安全控制措施控制措施13个，控制目标个，控制目标2个个（6）通信和操作管理）通信和操作管理控制措施控制措施32个，控制目标个，控制目标10个个（7）访问控制）访问控制控制措施控制措施25个，控制目标个，控制目标7个个（8）信息系统获取、开发和维护）信息系统获取、开发和维护控制措施控制措施16个，控制目标个，控制目标6个个（9）信息安全事件管理）信息安全事件管理控制措施控制措施5个，控制目标个，控制目标2个个（10）业务连续性管理）业务连续性管理控制措施控制措施5个，控制目标个，控制目标1个个（11）符合性）符合性控制措施控制措施10个，控制目标个，控制目标3个个ISO/IEC17799标准的标准的10项最佳措施项最佳措施（1）与法律相关的控制措施：）与法律相关的控制措施：知识产权：遵守知识产权保护和软件产品保护的法律。知识产权：遵守知识产权保护和软件产品保护的法律。保护组织的记录：保护重要的记录不丢失、破坏和伪造。保护组织的记录：保护重要的记录不丢失、破坏和伪造。数据保护和个人信息隐私：遵守所在国的数据保护法律。数据保护和个人信息隐私：遵守所在国的数据保护法律。（2）与最佳实践相关的控制措施：）与最佳实践相关的控制措施：信息安全策略文件：高管批准发布信息安全策略文件。信息安全策略文件：高管批准发布信息安全策略文件。信息安全责任的分配：清晰地定义所有的信息安全责任。信息安全责任的分配：清晰地定义所有的信息安全责任。信息安全意识、教育和培训：全体员工应该接受恰当的意识培训。信息安全意识、教育和培训：全体员工应该接受恰当的意识培训。正确处理应用程序：防止应用程序中信息出错、损坏或篡改及误用。正确处理应用程序：防止应用程序中信息出错、损坏或篡改及误用。漏洞管理：防止利用已发布的漏洞信息来实施破坏。漏洞管理：防止利用已发布的漏洞信息来实施破坏。管理信息安全事件和改进：确保采取有效方法来管理信息安全事件。管理信息安全事件和改进：确保采取有效方法来管理信息安全事件。业务连续性管理：减少业务活动中断，保护关键业务过程不受重大事业务连续性管理：减少业务活动中断，保护关键业务过程不受重大事件或灾难影响。件或灾难影响。ISO/IEC27001:2005标准的主要内容标准的主要内容利用利用PDCA循环方法建立开发、实施、维护循环方法建立开发、实施、维护并持续改进一个文档化的并持续改进一个文档化的ISMS。（1）建立）建立ISMS（Plan）（2）实施和操作）实施和操作ISMS（Do）（3）监视和复查）监视和复查ISMS（Check）（4）维护并改进）维护并改进ISMS（Act）（5）信息安全管理体系）信息安全管理体系（6）管理层责任）管理层责任（7）ISMS管理评审管理评审（8）ISMS持续改进持续改进ISO/IEC27001:2005标准的主要重点标准的主要重点（1）ISO27001:2005标准指出标准指出ISMS应该包含的主要内容应该包含的主要内容有：用于组织信息资产风险管理、确保组织信息安全的及包有：用于组织信息资产风险管理、确保组织信息安全的及包括为制定、实施、评审和维护信息安全策略所需的组织机构、括为制定、实施、评审和维护信息安全策略所需的组织机构、目标、职责、程序、过程和资源。目标、职责、程序、过程和资源。（2）ISO27001:2005标准要求建立标准要求建立ISMS框架的过程包括框架的过程包括制定信息安全策略，确定体系范围，明确管理职责，通过风制定信息安全策略，确定体系范围，明确管理职责，通过风险评估确定控制目标和控制方式。险评估确定控制目标和控制方式。（3）ISO27001:2005非常强调信息安全管理过程中文件非常强调信息安全管理过程中文件化的工作，化的工作，ISMS的文件体系应该包括安全策略、适用性声明的文件体系应该包括安全策略、适用性声明文件、实施安全控制所需的程序文件、文件、实施安全控制所需的程序文件、ISMS管理和操作程序，管理和操作程序，以及组织围绕以及组织围绕ISMS开展的所有活动的证明材料。开展的所有活动的证明材料。ISO/IEC27001:2013新版本的改进新版本的改进（1）旧版本以资产与技术为主体，新版本以组织业务为主体）旧版本以资产与技术为主体，新版本以组织业务为主体（2）新版本将旧版本的）新版本将旧版本的4.1节扩展为第节扩展为第4章，对章，对ISMS建立的基础建立的基础进行了调整和明确；新版本增加了许多指引供企业参考，组织可进行了调整和明确；新版本增加了许多指引供企业参考，组织可以通过不同的方面以及风险进行深度的强化。以通过不同的方面以及风险进行深度的强化。（3）旧版本原有）旧版本原有11个领域、个领域、133项控制措施，新版本目前调整为项控制措施，新版本目前调整为14个领域、个领域、113个控制措施。新增的领域或是将原分散在各领域个控制措施。新增的领域或是将原分散在各领域中的部分控制目标级别提升，组成新领域，如加密与供应链管理中的部分控制目标级别提升，组成新领域，如加密与供应链管理因其重要性而被独立出来成为新领域；或是将原有领域分拆，如因其重要性而被独立出来成为新领域；或是将原有领域分拆，如将通讯与作业管理分开成两个独立的领域，以反映目前信息安全将通讯与作业管理分开成两个独立的领域，以反映目前信息安全的发展趋势。而控制措施减少则是通过合并重复的项目来进行，的发展趋势。而控制措施减少则是通过合并重复的项目来进行，像变更管理在不同的领域中有重复就予以合并。也有新增的控制像变更管理在不同的领域中有重复就予以合并。也有新增的控制项目，比如对智能型装置的管理，以及系统开发项目管理的信息项目，比如对智能型装置的管理，以及系统开发项目管理的信息安全要求等。安全要求等。SO/IEC38500的来历及其主要内容的来历及其主要内容ISO/IEC38500:2008标准标准信息技术治理信息技术治理是第一部信息是第一部信息技术治理国际标准，于技术治理国际标准，于2008年年4月正式发布。它为人们提供了月正式发布。它为人们提供了广泛指导方针和在组织中进行信息技术监督的实施框架，其目广泛指导方针和在组织中进行信息技术监督的实施框架，其目的是使信息技术治理成为公司治理的重要组成部分。的是使信息技术治理成为公司治理的重要组成部分。ISO/IEC38500基于澳大利亚的标准基于澳大利亚的标准AS8015，由标准化组，由标准化组织（织（ISO）发行。它提供了一个）发行。它提供了一个IT治理的框架，包括系统的模治理的框架，包括系统的模型、原则和词汇，用来帮助公司型、原则和词汇，用来帮助公司IT治理的实施。治理的实施。该标准一共包括该标准一共包括3个部分的内容，其中第一部分是个部分的内容，其中第一部分是“范围、范围、应用和目标应用和目标”；第二部分是；第二部分是“良好的良好的IT治理框架治理框架”，介绍了，介绍了IT治理的原则和模型；第三部分是治理的原则和模型；第三部分是“组织组织IT治理实施指南治理实施指南”，介，介绍了绍了IT治理实施的治理实施的6个方面的原则。个方面的原则。 1ISO/IEC38500标准发布的目标标准发布的目标（1）确保利益相关者对于组织）确保利益相关者对于组织IT治理的信心。治理的信心。（2）指导管理者治理组织的）指导管理者治理组织的IT使用。使用。（3）为）为IT治理的目标评估提供了基础。治理的目标评估提供了基础。2ISO/IEC38500目标读者目标读者（1）高级管理者。）高级管理者。（2）组织中的资源监控团队成员。）组织中的资源监控团队成员。（3）外部的业务或技术专家，包括法律或财务专家、行业协会及专业团体。）外部的业务或技术专家，包括法律或财务专家、行业协会及专业团体。（4）硬件、软件、通讯及其他）硬件、软件、通讯及其他IT产品的厂商产品的厂商（5）内部或外部的服务提供者（包括咨询顾问）。）内部或外部的服务提供者（包括咨询顾问）。（6）信息系统审计师。）信息系统审计师。ISO/IEC38500标准发布的目标标准发布的目标ISO/IEC38500信息技术治理的原则信息技术治理的原则（1）职责分工）职责分工（2）IT支持组织发展支持组织发展（3）可获得性）可获得性（4）可用性）可用性（5）符合性）符合性（6）尊重人的因素）尊重人的因素ISO/IEC38500的模型的模型IT治理治理业务要求业务要求业务推动业务推动评价评价指导指导监控监控业务过程业务过程IT项目项目IT项目IT运行运行ISO/IEC38500标准的特点标准的特点（1）这是第一个）这是第一个IT治理国际标准。治理国际标准。（2）这个标准简短的、易读，但相关概念十分复杂。）这个标准简短的、易读，但相关概念十分复杂。（3）为信息技术治理提供了一个有效、易实施、高效的框架，）为信息技术治理提供了一个有效、易实施、高效的框架，更好的将组织决策与更好的将组织决策与IT联系起来。联系起来。（4）该标准中的建议与指南适用于任何形式规模的组织。）该标准中的建议与指南适用于任何形式规模的组织。（5）该标准中的建议与指南不仅供管理者使用，而且组织中各）该标准中的建议与指南不仅供管理者使用，而且组织中各个层面的人都能读懂。个层面的人都能读懂。（6）该标准为所有关键员工提供了合适的）该标准为所有关键员工提供了合适的IT治理基本指南。治理基本指南。（7）该标准介绍了好的治理所需要的一些特征及治理流程，但）该标准介绍了好的治理所需要的一些特征及治理流程，但是离真正的实施还有距离，需要其他标准的补充。是离真正的实施还有距离，需要其他标准的补充。ISO/IEC38500标准与标准与COBIT对比对比ISO/IEC38500COBITIT分类分类国际标准国际标准非国际标准，是一套行为指南非国际标准，是一套行为指南发布者发布者国际标准化组织国际标准化组织信息系统审计与控制协会信息系统审计与控制协会最新版本最新版本ISO/IEC38500:2008COBITv5.0发布时间发布时间2008年年6月月2012年年4月月特点特点指导、评价与监控指导、评价与监控基于控制、面向业务、流程导向、基于控制、面向业务、流程导向、度量驱动度量驱动认证认证没有认证没有认证国际信息系统审计师（国际信息系统审计师（CISA）认）认证证侧重点侧重点有效的有效的IT治理范围、技术治理范围、技术与业务沟通的相关术语表与业务沟通的相关术语表信息化全生命周期管理信息化全生命周期管理主要用途主要用途信息技术治理的评测信息技术治理的评测风险管理与内控风险管理与内控ISO/IEC20000标准的由来标准的由来 ISO/IEC20000国际标准源自于英国标准协会国际标准源自于英国标准协会（BritishStandardsInstitute，BSI）针对信息技术服）针对信息技术服务管理（务管理（ITSM）而制定的）而制定的BS15000标准。标准。ISO/IEC20000标准第一个版本是由国际标准化标准第一个版本是由国际标准化组织（组织（ISO）于）于2005年发布的，该国际标准的发布预年发布的，该国际标准的发布预示着信息技术服务管理（示着信息技术服务管理（ITSM）进入到一个全新时）进入到一个全新时代，建立以代，建立以ISO/IEC20000标准为基础的信息技术服务标准为基础的信息技术服务（ITS）管理体系，成为企业提高信息技术服务水平）管理体系，成为企业提高信息技术服务水平与管理能力的主要方向。与管理能力的主要方向。ISO/IEC20000标准的发展标准的发展（1）第一部分，）第一部分，ISO/IEC20000-1：2005“服务管理系统需服务管理系统需求求”，规范了信息技术服务过程包含的，规范了信息技术服务过程包含的13个流程，是认证的个流程，是认证的依据。依据。2011年年4月月12日日ISO发布了最新版本发布了最新版本ISO/IEC20000-1：2011，在，在2005版本的基础上，融合了版本的基础上，融合了ISO/IEC9001、ISO/IEC27001和和ITILv3。（2）第二部分，）第二部分，ISO/IEC20000-2：2005“服务管理系统应服务管理系统应用指南用指南”，涉及，涉及ITSM过程的最佳实践指南。过程的最佳实践指南。2012年年2月月14日日ISO发布发布ISO/IEC20000-2：2012版本，有助于更加准确地理版本，有助于更加准确地理解和有效使用解和有效使用ISO/IEC20000-1。随着。随着ISO/IEC20000-2：2012新版的发布，新版的发布，ISO/IEC20000产品家族更新升级的步伐将进一产品家族更新升级的步伐将进一步加快。步加快。ISO/IEC20000新版标准的认证工作也将可以采用新新版标准的认证工作也将可以采用新的的ISO/IEC20000产品家族作为支撑。产品家族作为支撑。ISO/IEC20000标准系列标准系列（1）ISO/IEC20000-1服务管理体系需求。服务管理体系需求。（2）ISO/IEC20000-2服务管理体系应用指南。服务管理体系应用指南。（3）ISO/IEC20000-3ISO/IEC20000-1范围定义和适用性指南。范围定义和适用性指南。（4）ISO/IEC20000-4流程参考模型。流程参考模型。（5）ISO/IEC20000-5实施计划模板。实施计划模板。（6）ISO/IEC20000-6服务管理体系审核与认证机构要求。服务管理体系审核与认证机构要求。（7）ISO/IEC20000-7ISO/IEC20000-1应用于云的指南。应用于云的指南。（8）ISO/IEC20000-8ISO/IEC20000-1应用于小组织的指南。应用于小组织的指南。（9）ISO/IEC20000-10概念与术语。概念与术语。（10）ISO/IEC20000-11ISO/IEC20000-1：2011与与ITIL关系指南。关系指南。ISO/IEC20000标准的管理体系标准的管理体系（1）管理体系要求管理体系要求组织高层管理在信息技术服务方面的职能。组织高层管理在信息技术服务方面的职能。信息技术服务管理体系文件化方面的要求。信息技术服务管理体系文件化方面的要求。在人员能力、意识和培训方面的要求。在人员能力、意识和培训方面的要求。（2）策划和实施服务管理）策划和实施服务管理对服务管理进行策划：对服务管理进行策划：制订服务管理计划。制订服务管理计划。实施服务管理并交付服务：根据服务计划提供所承诺的服务。实施服务管理并交付服务：根据服务计划提供所承诺的服务。监视、测量和评价：监视、测量和评价：对服务管理过程进行监视和测量。对服务管理过程进行监视和测量。持续改进：要求服务提供商持续改进服务过程。持续改进：要求服务提供商持续改进服务过程。（3）策划和实施新的或变更的服务）策划和实施新的或变更的服务ISO/IEC20000标准的关键过程标准的关键过程ISO/IEC20000规定了规定了5个关键的服务管理过程及个关键的服务管理过程及13个管理面个管理面 服务交付过程服务交付过程能力管理能力管理服务级别管理服务级别管理信息安全管理信息安全管理服务连续性和可用性管理服务连续性和可用性管理服务报告服务报告信息技术服务的预算和核算信息技术服务的预算和核算控制过程控制过程配置管理配置管理变更管理变更管理发布过程发布过程 发布管理发布管理解决过程解决过程事件管理事件管理问题管理问题管理关系过程关系过程业务关系管理业务关系管理供方管理供方管理ISO/IEC20000标准的特点标准的特点（1）完整的框架：）完整的框架：使使ITSM形成完整的框架，与业务形成完整的框架，与业务管理兼容的体系。管理兼容的体系。（2）认证的依据：）认证的依据：具有正式、完整的认证体系。具有正式、完整的认证体系。（3）服务标准化：）服务标准化：使用通用术语和服务标准。使用通用术语和服务标准。（4）一体化管理：）一体化管理：规定了提供一体化管理过程及要求。规定了提供一体化管理过程及要求。（5）管理流程化：）管理流程化：一套完整的信息技术服务管理流程。一套完整的信息技术服务管理流程。（6）最佳实践指南：）最佳实践指南：采纳了采纳了ITILv2中的全部主要流中的全部主要流程，并对几个关键的管理流程做了补充。程，并对几个关键的管理流程做了补充。ISO/IEC20000与与ISO9000比较比较（1）ISO/IEC20000与与ISO9000的实用范畴不同的实用范畴不同（2）ISO/IEC20000与与ISO9000的侧重点不同的侧重点不同（3）ISO/IEC20000关注的内容和关注的内容和ISO9000相比，除信相比，除信息技术服务质量外，还关注财务、信息安全息技术服务质量外，还关注财务、信息安全（4）ISO/IEC20000也可以说是也可以说是ISO9000在信息技术服在信息技术服务行业的具体应用和拓展务行业的具体应用和拓展ISO/IEC20000与与ISO/IEC27001比较比较（1）适用范围不一样。）适用范围不一样。ISO/IEC20000适用于企业的信息技术服务部适用于企业的信息技术服务部门，门，ISO/IEC27001适用于整个企业，不仅是企业适用于整个企业，不仅是企业IT部门，还包部门，还包括业务部门、财务、人事等部门。括业务部门、财务、人事等部门。（2）ISO/IEC20000以流程为核心，定义了一系列比较抽象的流程目以流程为核心，定义了一系列比较抽象的流程目标，而标，而ISO/IEC27001以控制点以控制点/控制措施为主，比较具体。控制措施为主，比较具体。（3）两套体系规范的侧重点有所不同，）两套体系规范的侧重点有所不同，ISO/IEC20000是面向信息技是面向信息技术服务管理的质量体系标准，而术服务管理的质量体系标准，而ISO/IEC27001是面向信息安全是面向信息安全的质量标准规范。的质量标准规范。（4）两套体系规范存在着许多的共性特征，如：事件管理、业务连）两套体系规范存在着许多的共性特征，如：事件管理、业务连续性管理、信息资产管理等方面，大多数的企业都会选择将续性管理、信息资产管理等方面，大多数的企业都会选择将ISO/IEC20000与与ISO/IEC27001认证项目一同实施，使两套体认证项目一同实施，使两套体系间的互补特性得到充分发挥，更全面更规范的控制公司的服系间的互补特性得到充分发挥，更全面更规范的控制公司的服务运维体系与安全管理。务运维体系与安全管理。ISO/IEC20000标准新旧版本的对比标准新旧版本的对比2011版（新版）与版（新版）与2005版（旧版）比较，有版（旧版）比较，有10大变化：大变化：（1）结构方面：）结构方面：新版结构上与新版结构上与ISO9001、ISO/IEC27001更加一致更加一致将旧版中的条款将旧版中的条款3和和4进行了合并进行了合并（2）内容方面：）内容方面：新版共有新版共有37个术语，新增个术语，新增24个术语，删除个术语，删除2个术语个术语新版明确了信息技术服务管理体系范围新版明确了信息技术服务管理体系范围新版新增了由其它方（内部团体、顾客或供方）运行过程的治理要求新版新增了由其它方（内部团体、顾客或供方）运行过程的治理要求新版对文件要求和资源管理进行了扩展，并与新版对文件要求和资源管理进行了扩展，并与ISO9001相一致相一致新版明确了内部审核和管理评审的要求新版明确了内部审核和管理评审的要求新版将发布管理扩展为发布和部署管理，并归入控制过程中新版将发布管理扩展为发布和部署管理，并归入控制过程中新版将信息安全管理过程与新版将信息安全管理过程与ISO/IEC27001进行了更多的整合进行了更多的整合新版考虑到与新版考虑到与ITILv3的一致性的一致性ISO/IEC20000认证的作用认证的作用获得获得ISO/IEC20000的认证，意味着对管理流程具的认证，意味着对管理流程具有足够好的管理控制力：有足够好的管理控制力：（1）对流程输入的了解和控制。）对流程输入的了解和控制。（2）对流程输出的了解、使用和诠释。）对流程输出的了解、使用和诠释。（3）制定和执行对流程效能的衡量机制。）制定和执行对流程效能的衡量机制。（4）有客观的证据表明，对流程的功能负责，使之）有客观的证据表明，对流程的功能负责，使之符合符合ISO/IEC20000标准要求。标准要求。（5）制定流程的改进计划，衡量和回顾改进结果。）制定流程的改进计划，衡量和回顾改进结果。取得取得ISO/IEC20000认证的步骤认证的步骤（1）准备：）准备：选定一家认证机构，确认审核的范围选定一家认证机构，确认审核的范围（2）初步评估与计划制定：）初步评估与计划制定：进行初步的评估、制定整体的计划进行初步的评估、制定整体的计划（3）缩小差距：）缩小差距：制定具体的制定具体的ITSM的政策、流程、步骤的政策、流程、步骤（4）认证审核准备：）认证审核准备：联系认证机构进行内审，准备正式审核所联系认证机构进行内审，准备正式审核所需要的文档需要的文档（5）认证审核：）认证审核：认证机构现场对员工和流程的审核，颁发证书认证机构现场对员工和流程的审核，颁发证书（6）维护：）维护：每年须由认证机构进行每年须由认证机构进行“监督审核监督审核”，每隔三年要，每隔三年要进进行一次全面的认证审核行一次全面的认证审核谢 谢!