IT基礎(chǔ)設(shè)施最佳實(shí)踐ITIL

申請免費(fèi)試用、咨詢電話：400-8352-114

1.      前言

1.1.困擾問題

隨著IT技術(shù)在企業(yè)中的應(yīng)用越廣，企業(yè)業(yè)務(wù)流程的正常運(yùn)作就越離不開IT部門的支持。IT在給企業(yè)業(yè)務(wù)帶來效益的同時，也帶來了成本和風(fēng)險(xiǎn)的困擾，尤其是在某些特殊行業(yè)，例如電信、金融等行業(yè)。如何使已有的信息化資源發(fā)揮更大效能，如何使IT與企業(yè)業(yè)務(wù)緊密整合，如何規(guī)范企業(yè)IT服務(wù)管理，已成為決定企業(yè)能否在激烈的競爭中領(lǐng)先的重要課題。

在企業(yè)內(nèi)部，一方面管理層對IT部門提出了可度量IT投資回報(bào)的要求，而業(yè)務(wù)部門則對IT服務(wù)質(zhì)量和可用性提出了更高的要求。如何才能兼顧兩者的不同需求，如何才能達(dá)到質(zhì)量與成本的平衡？

另外，2002 年美國頒布的Sarbanes-Oxley法案（Sarbanes-Oxley Act, 簡稱SOX法案）要求組織機(jī)構(gòu)使用文檔化的財(cái)務(wù)政策和流程來改善可審計(jì)性，并更快地拿出財(cái)務(wù)報(bào)告。而該法案中，以第404節(jié)條款的影響最大，第404節(jié)條款規(guī)定兩個必備的內(nèi)容：一是公司管理層要對公司內(nèi)控和財(cái)務(wù)會計(jì)報(bào)表的制定和編制的有效性、真實(shí)性負(fù)責(zé)，二是必須聘請外部審計(jì)師對公司內(nèi)控和財(cái)務(wù)報(bào)表進(jìn)行獨(dú)立審計(jì)并出具審計(jì)結(jié)果。SOX法案對IT服務(wù)的成本和質(zhì)量提出了非常直接的挑戰(zhàn)。

1.2.解決之道

ITIL是用來提升IT服務(wù)質(zhì)量，降低IT服務(wù)成本，協(xié)調(diào)IT服務(wù)部門內(nèi)部運(yùn)作，改善IT部門與業(yè)務(wù)部門的溝通，幫助企業(yè)對信息化系統(tǒng)的規(guī)劃、研發(fā)、實(shí)施和運(yùn)營進(jìn)行有效管理的方法。ITIL結(jié)合企業(yè)的環(huán)境、組織結(jié)構(gòu)、IT資源和管理流程的特點(diǎn)，從流程、人員和技術(shù)三方面來規(guī)劃企業(yè)的IT結(jié)構(gòu)。它強(qiáng)調(diào)將企業(yè)的運(yùn)營目標(biāo)、企業(yè)需求與IT服務(wù)的提供相協(xié)調(diào)一致。

COBIT以ITIL為基礎(chǔ)，將IT流程、IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來，為企業(yè)管理的成功提供了集成的IT管理，通過保證有關(guān)企業(yè)處理流程的高效的改進(jìn)措施，以更快、更好、更安全地響應(yīng)企業(yè)需求。

將ITIL的流程和COBIT的控制目標(biāo)有機(jī)地結(jié)合可以應(yīng)對SOX法案帶來的挑戰(zhàn)，幫助企業(yè)改進(jìn)IT流程，實(shí)現(xiàn)業(yè)務(wù)對IT的需求。

2.COBIT介紹

2.1.COBIT簡述

COBIT（Control Objectives For Information and Related Technology，信息及相關(guān)技術(shù)的控制目標(biāo)），是一個被廣泛接受的IT控制框架(IT Control Framework)。由美國IT治理研究院（IT Governance Institute）開發(fā)與推廣，目前已成為國際上公認(rèn)的最先進(jìn)、最權(quán)威的信息技術(shù)管理和控制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為IT的管理、安全與控制提供了一個一般適用的公認(rèn)標(biāo)準(zhǔn)，以輔助公司決策層進(jìn)行IT治理。該標(biāo)準(zhǔn)體系已在世界100多個國家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。

2.2.COBIT體系結(jié)構(gòu)

COBIT將IT流程、IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來，形成一個三維的體系結(jié)構(gòu)，如圖1。其中，IT信息標(biāo)準(zhǔn)集中反映了企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、成本、時間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性；IT資源主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源；IT流程則是在IT信息標(biāo)準(zhǔn)的指導(dǎo)下，對信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從規(guī)劃與組織（Planning and Organisation）、獲取與實(shí)施（Acquisition and Implementation）、提供與支持（Delivery and Support）、監(jiān)控（Monitoring）等四個方面確定了34個信息技術(shù)處理流程，每個處理流程還包括更加詳細(xì)的控制目標(biāo)和審計(jì)方針對IT處理流程進(jìn)行評估。

圖1   COBIT三維體系結(jié)構(gòu)

這個模型為企業(yè)管理的成功提供了集成的IT管理，通過保證有關(guān)企業(yè)處理流程的高效的改進(jìn)措施，以更快、更好、更安全地響應(yīng)企業(yè)需求。

3.ITIL介紹

3.1.ITIL故事

ITIL全稱IT基礎(chǔ)設(shè)施最佳實(shí)踐庫（IT Infrastructure Library）。ITIL相關(guān)的書籍由英國政府商務(wù)部（Office of Government Commerce）在1989年出版。該套書籍出版后，內(nèi)容得到多次擴(kuò)展和重新組織結(jié)構(gòu)，提供了更全面的IT服務(wù)的最佳實(shí)踐指導(dǎo)，更好地滿足客戶需求。出版的書中描述了創(chuàng)建相關(guān)規(guī)范所需考慮的事項(xiàng)、計(jì)劃和措施。基于ITIL的IT服務(wù)管理，繼承了以下特點(diǎn)：

• 描述已經(jīng)得到證明的IT服務(wù)計(jì)劃和運(yùn)營的實(shí)踐框架，基于經(jīng)驗(yàn)，而非純理論研究

• 對于公共和個人組織公平地給予指導(dǎo)，獨(dú)立于組織使用的軟件和硬件

• 屬于公共的方法論，使用時無需任何費(fèi)用

• 具有全球的用戶網(wǎng)絡(luò)

雖然英國、荷蘭、加拿大和美國是采用ITIL最積極的地區(qū)，但I(xiàn)TIL在世界上其它地方的使用也在迅速增長。由于實(shí)現(xiàn)整個ITIL規(guī)范需要很長的時間，所以最初常?？吹绞褂玫闹皇遣糠謱?shí)踐。在ITIL實(shí)現(xiàn)中這些現(xiàn)象都不罕見——任何成功的實(shí)踐實(shí)現(xiàn)都要求付出時間和管理。另外，ITIL是一個覆蓋了IT環(huán)境運(yùn)行維護(hù)中很多其它方面（如系統(tǒng)管理、網(wǎng)絡(luò)管理和安全性）的庫。這一服務(wù)管理規(guī)范提供了一個框架，IT和終端用戶可以根據(jù)自己的能力定義自己所要求的不同服務(wù)性能水平。客戶們通常采用一種持續(xù)的流程改進(jìn)戰(zhàn)略逐步實(shí)現(xiàn)這些流程。

ITIL與COBIT類似，它并不是把相同的一套流程直接實(shí)施于企業(yè)，而是根據(jù)每個企業(yè)的詳細(xì)需求量身定做，以實(shí)現(xiàn)企業(yè)IT部門的戰(zhàn)略目標(biāo)和流程。

3.2.ITIL流程

ITIL的核心流程和模塊，主要包括：

• IT服務(wù)支持（IT Service Support） ：

             服務(wù)臺（Service Desk）

             突發(fā)事件管理（Incident Management）

             問題管理（Problem Management）

             變更管理（Change Management）

             配置管理（Configuration Management）

             發(fā)布管理（Release Management）

• IT服務(wù)提供（IT Service Delivery）：

             服務(wù)級別管理（Service Level Management）

             IT服務(wù)財(cái)務(wù)管理（Financial Management for IT Services）

             IT服務(wù)連續(xù)性管理（IT Service Continuity Management）

             能力管理（Capacity Management）

             可用性管理（Availability Management）

3.3.實(shí)施ITIL獲得收益

實(shí)施ITIL后企業(yè)可以獲得的利益主要包括:

• 減少重復(fù)工作和冗余工作，有效利用人力資源

• 提高IT員工的專業(yè)素質(zhì)，提高員工的服務(wù)能力和工作效率

• 規(guī)范IT部門的服務(wù)水平，規(guī)范工作流程，降低由人事變動導(dǎo)致的風(fēng)險(xiǎn)

• 提高IT服務(wù)的可用性、可靠性和安全性，為業(yè)務(wù)用戶提供高質(zhì)量的服務(wù)

• 有效控制IT部門的開支，降低IT運(yùn)營成本，減少運(yùn)營風(fēng)險(xiǎn)

• 從總體上提高企業(yè)IT投資的回報(bào)，給企業(yè)帶來巨大的經(jīng)濟(jì)價(jià)值，提升企業(yè)的綜合競 爭力

4.SOX介紹

2002 年，美國國會通過了Sarbanes-Oxley 法案（Sarbanes-Oxley Act, 簡稱SOX 法案），該法案要求組織機(jī)構(gòu)使用文檔化的財(cái)務(wù)政策和流程來改善可審計(jì)性，并更快地拿出財(cái)務(wù)報(bào)告。SOX要求企業(yè)針對產(chǎn)生財(cái)務(wù)交易的所有作業(yè)流程，都做到能見度/透明度、控制、通訊、風(fēng)險(xiǎn)管理和詐欺防治，且這些流程必須詳加記錄到可追查交易源頭的地步。

SOX法案不僅適用美國的所有在市場上進(jìn)行公開交易的公司，還適用于在美國證券交易所登記的非美國公司。也就是說，凡在美國上市的公司都要受此法案約束。

對于那些已開始SOX合規(guī)（SOX Compliance）的公司來說，IT很顯然地在內(nèi)部控制方面扮演一個至關(guān)重要的角色。IT專家，尤其是處于經(jīng)理級職位上的專家，需要非常精通內(nèi)部控制理論和實(shí)踐來迎合SOX法案的需求。CIO們（Chief Information Officer，首席信息執(zhí)行官）需要接受以下挑戰(zhàn)：

• 提高與內(nèi)部控制相關(guān)的知識；

• 理解公司的總體SOX合規(guī)計(jì)劃；

• 制定一項(xiàng)有關(guān)IT控制的合規(guī)計(jì)劃；

• 把該IT控制計(jì)劃與公司總體SOX合規(guī)計(jì)劃集成在一起。

圍繞SOX法案的討論大多集中在第302節(jié)和第404節(jié)。

5.ITIL、COBIT與SOX

ITIL對應(yīng)COBIT模型中的部分模塊，它為支持企業(yè)業(yè)務(wù)流程定義了IT控制目標(biāo)。

ITIL服務(wù)支持與服務(wù)提供的11個關(guān)鍵流程和COBIT的34個主要流程之間的關(guān)系如圖2所示。

在此框架圖中，綠色模塊表示COBIT的需求與ITIL完全吻合，黃色模塊表示COBIT的需求與ITIL部分吻合，紅色模塊表示ITIL目前不支持COBIT的需求。總體來說，ITIL覆蓋了COBIT中40-50%的控制目標(biāo)。

圖2   ITIL與COBIT

為了迎合SOX的需要，外部審計(jì)師毫無疑問將把COBIT作為IT審計(jì)的工具。一位提供ITIL咨詢的咨詢師Troy DuMoulin說，“既然審計(jì)師使用COBIT，企業(yè)就有必要學(xué)習(xí)該模型。該模型確定了關(guān)鍵績效考核指標(biāo)（KPIs, Key Performance Indicators）和主要成功要素（CSFs, Critical Success Factors），企業(yè)在文檔化和重組流程的時候能夠通過這些指標(biāo)確定需要考慮的事項(xiàng)?！?/P>

除了ITIL和COBIT之外，還存在其他不同的IT框架，例如BS7799。但是其中大部分，包括COBIT，仍是以ITIL為核心。特別是ITIL服務(wù)支持與服務(wù)提供的流程涉及了11個主要的控制目標(biāo)。

因此，ITIL的流程和COBIT的控制目標(biāo)有機(jī)地結(jié)合可以極大地加快SOX合規(guī)的進(jìn)程。

6. 總結(jié)

本文首先由IT為企業(yè)帶來的成本和風(fēng)險(xiǎn)上的困擾以及SOX法案實(shí)施帶來的影響，引出“將ITIL的流程和COBIT的控制目標(biāo)有機(jī)地結(jié)合可以應(yīng)對SOX法案帶來的挑戰(zhàn)?！?/P>

來源：amt