20151106 淡然

续上

2          现状评估与风险分析的过程与方法

“某公司IT风险治理项目”是一个涉及范围广、业务系统数量多、平台功能强大的IT运维管理项目，也是一个从信息技术中心领导到各个业务系统管理员都很重视的项目。要准确、深入、详尽的了解运维流程的现状并找出潜在的风险点，就必须进行全面、透彻的现状调研，本章将对现状评估与风险分析的过程做一个说明。                                         ITSS考试

2.1   现状评估与风险分析的目的

本次对某公司运维流程进行现状评估与风险分析的目的在于：

n  采用科学的方法，通过对现有的运维流程进行梳理，找到目前的运维服务管理对业务部门的支持及业务发展所作出的贡献，以便在今后的发展中，继续发挥其优势，使它的价值最大化；

n  通过系统的方法，找到目前的运维流程中的潜在风险弱项；

n  了解34个业务系统管理员对运维流程风险的认识，为后续的咨询设计工作提供数据支持；

n  通过分析整理现状与风险，结合业界最佳实践，利用风险分析工具，找出当前的运维服务管理流程与未来预期目标之间的差距；

n  在评估现状的基础上，为下一阶段的改进策略准备建设性意见。

2.2   现状评估的过程2.2.1                调研准备

现状调研的对象包括：

n  信息技术中心领导：了解信息技术中心领导对某公司总体运维管理的指导性意见和要求；

n  IT风险治理领导：了解IT风险治理领导对中信证券运维潜在风险的意见、建议及对应的治理要求；

n  业务系统管理员：了解34个业务系统当前运维工作的现状，听取各个业务系统管理员对于中信证券运维流程的期望和要求。

现状调研是针对中信证券运维管理体系的各个方面来进行的，调研的内容包括：

表 2‑1 某公司运维流程现状调研内容

[td]

调研项	具体内容
系统总体情况	了解各个应用系统的功能、系统架构、部署方式、系统的环境（开发、测试、生产）、用户类型和数量、运维单位、系统何时上线、何时进入运维等信息
管理体系	·        运维模式：当前运维模式的具体构成、分工协作； ·        组织架构：核心团队、协作团队或单位、分组情况、各组的职责和人员构成等； ·        规章制度：运维相关的制度、规定、标准； ·        工作考核：考核指标、指标的采集和评比； ·        工作内容：客户请求、故障处理、变更管理、应急演练、外包管理等工作是如何开展的；                              ITSS认证 ·        存在的风险和需求：当前运维工作最突出的风险是什么。
服务流程	从流程总体、流程执行、流程支撑、外部集成等方面调研事件、变更、连续性和供应商管理等运维服务流程的现状，了解ITSM管理平台的现状和需求。
监控管理	了解系统的网络架构、系统架构、存储架构。了解当前监控系统的范围和功能，存在的不足。

2.2.2                现状调研

本项目现状调研采用了统计问卷和现场访谈两种形式。其中，统计问卷是向34个业务系统管理员发放事先设计好的统计表和文件搜集清单，在指定在指定的时间点从34个业务系统处回收填写完毕的问卷和相关指定的文件。咨询人员对回收的问卷和文件进行初步的检查和核对，再跟34个业务系统管理员进行必要的确认、修改和补充，最后形成可够后续汇总、分析和处理的定稿文件。

现场访谈是咨询人员到某公司7层运维现场，面对面的就系统运维的现状与风险，进行交流与沟通，其过程如下：

n  访谈准备：首先要提前联系被访谈系统的人员，确定访谈人员，访谈时间，访谈地点，确定访谈的主谈人、记录人；

n  正式访谈：首先介绍访谈日程，然后访谈系统总体情况和运维总体情况；访谈服务流程现状；访谈ITSM平台、监控平台应用现状。整个过程会持续半天到一天时间不等；

n  整理纪要：访谈结束后，访谈主谈人会在记录人所记录的信息基础上，整理出访谈纪要，并将初稿发到共享文件服务器备忘；

n  用户确认：用户对初稿进行审核，提出修改意见，最终把用户确认后的访谈纪要正式在项目组内发布。

2.2.3                评估分析

咨询人员对现状调研所回收的调研问卷、访谈内容和相关数据、信息、资料进行汇总，结合  IT服务管理参考模型和IT风险管理模型，进行定性分析和定量分析，找出潜在风险与差距。本项目评估分析的过程如下图所示：

图 2.1 运维服务管理风险分析过程

n  输入（本次评估分析的信息来源有以下几个方面）：

Ø 证券行业监管要求，如：《证券期货业网络与信息安全事件报告与调查处理办法》等；

Ø 中信证券现有运维体系文档，如：ISO 20000、ISO 27001体系文档等；

Ø 与信息技术中信领导、质量经理、34个业务系统管理员的访谈内容等；

Ø 从34个业务系统回收的统计问卷和文件等；

Ø 34个业务系统现有运维服务管理相关的工作说明书、工单、巡检表等文档。

n  输出

Ø 现状总结：对当前运维服务管理的现状进行总结性描述；

Ø 风险弱项：采集34个业务系统实际运维过程中提出的风险弱项并提供数据支撑；

Ø 主要发现：总结调研过程看到的运维服务管理实践中值得肯定的方面，以及存在的风险和差距；                 ITSS培训

Ø 量化评估结果：对运维服务流程进行量化评估所得到的结果。

待续http://www.ITILxf.com/thread-52990-1-1.html

本帖关键字：ITSS

20151106 淡然

续上

2          现状评估与风险分析的过程与方法

“某公司IT风险治理项目”是一个涉及范围广、业务系统数量多、平台功能强大的IT运维管理项目，也是一个从信息技术中心领导到各个业务系统管理员都很重视的项目。要准确、深入、详尽的了解运维流程的现状并找出潜在的风险点，就必须进行全面、透彻的现状调研，本章将对现状评估与风险分析的过程做一个说明。                                         ITSS考试

2.1   现状评估与风险分析的目的

本次对某公司运维流程进行现状评估与风险分析的目的在于：

n  采用科学的方法，通过对现有的运维流程进行梳理，找到目前的运维服务管理对业务部门的支持及业务发展所作出的贡献，以便在今后的发展中，继续发挥其优势，使它的价值最大化；

n  通过系统的方法，找到目前的运维流程中的潜在风险弱项；

n  了解34个业务系统管理员对运维流程风险的认识，为后续的咨询设计工作提供数据支持；

n  通过分析整理现状与风险，结合业界最佳实践，利用风险分析工具，找出当前的运维服务管理流程与未来预期目标之间的差距；

n  在评估现状的基础上，为下一阶段的改进策略准备建设性意见。

2.2   现状评估的过程2.2.1                调研准备

现状调研的对象包括：

n  信息技术中心领导：了解信息技术中心领导对某公司总体运维管理的指导性意见和要求；

n  IT风险治理领导：了解IT风险治理领导对中信证券运维潜在风险的意见、建议及对应的治理要求；

n  业务系统管理员：了解34个业务系统当前运维工作的现状，听取各个业务系统管理员对于中信证券运维流程的期望和要求。

现状调研是针对中信证券运维管理体系的各个方面来进行的，调研的内容包括：

表 2‑1 某公司运维流程现状调研内容

[td]

调研项	具体内容
系统总体情况	了解各个应用系统的功能、系统架构、部署方式、系统的环境（开发、测试、生产）、用户类型和数量、运维单位、系统何时上线、何时进入运维等信息
管理体系	·        运维模式：当前运维模式的具体构成、分工协作； ·        组织架构：核心团队、协作团队或单位、分组情况、各组的职责和人员构成等； ·        规章制度：运维相关的制度、规定、标准； ·        工作考核：考核指标、指标的采集和评比； ·        工作内容：客户请求、故障处理、变更管理、应急演练、外包管理等工作是如何开展的；                              ITSS认证 ·        存在的风险和需求：当前运维工作最突出的风险是什么。
服务流程	从流程总体、流程执行、流程支撑、外部集成等方面调研事件、变更、连续性和供应商管理等运维服务流程的现状，了解ITSM管理平台的现状和需求。
监控管理	了解系统的网络架构、系统架构、存储架构。了解当前监控系统的范围和功能，存在的不足。

2.2.2                现状调研

本项目现状调研采用了统计问卷和现场访谈两种形式。其中，统计问卷是向34个业务系统管理员发放事先设计好的统计表和文件搜集清单，在指定在指定的时间点从34个业务系统处回收填写完毕的问卷和相关指定的文件。咨询人员对回收的问卷和文件进行初步的检查和核对，再跟34个业务系统管理员进行必要的确认、修改和补充，最后形成可够后续汇总、分析和处理的定稿文件。

现场访谈是咨询人员到某公司7层运维现场，面对面的就系统运维的现状与风险，进行交流与沟通，其过程如下：

n  访谈准备：首先要提前联系被访谈系统的人员，确定访谈人员，访谈时间，访谈地点，确定访谈的主谈人、记录人；

n  正式访谈：首先介绍访谈日程，然后访谈系统总体情况和运维总体情况；访谈服务流程现状；访谈ITSM平台、监控平台应用现状。整个过程会持续半天到一天时间不等；

n  整理纪要：访谈结束后，访谈主谈人会在记录人所记录的信息基础上，整理出访谈纪要，并将初稿发到共享文件服务器备忘；

n  用户确认：用户对初稿进行审核，提出修改意见，最终把用户确认后的访谈纪要正式在项目组内发布。

2.2.3                评估分析

咨询人员对现状调研所回收的调研问卷、访谈内容和相关数据、信息、资料进行汇总，结合  IT服务管理参考模型和IT风险管理模型，进行定性分析和定量分析，找出潜在风险与差距。本项目评估分析的过程如下图所示：

图 2.1 运维服务管理风险分析过程

n  输入（本次评估分析的信息来源有以下几个方面）：

Ø 证券行业监管要求，如：《证券期货业网络与信息安全事件报告与调查处理办法》等；

Ø 中信证券现有运维体系文档，如：ISO 20000、ISO 27001体系文档等；

Ø 与信息技术中信领导、质量经理、34个业务系统管理员的访谈内容等；

Ø 从34个业务系统回收的统计问卷和文件等；

Ø 34个业务系统现有运维服务管理相关的工作说明书、工单、巡检表等文档。

n  输出

Ø 现状总结：对当前运维服务管理的现状进行总结性描述；

Ø 风险弱项：采集34个业务系统实际运维过程中提出的风险弱项并提供数据支撑；

Ø 主要发现：总结调研过程看到的运维服务管理实践中值得肯定的方面，以及存在的风险和差距；                 ITSS培训

Ø 量化评估结果：对运维服务流程进行量化评估所得到的结果。

待续http://www.ITILxf.com/thread-52990-1-1.html

本帖关键字：ITSS