如何建立IT服務管理體系？

　　根據官方統計數據顯示，截止到2009年12月中國通過ISO20000國際認證，獲取證書的企業各行業比例如下圖顯示，由此可看出其中系統整合、IT運維和軟體開發類型企業佔有近一半的認證比例，很顯然隨著客戶對IT服務的需求和級別要求能力的不斷提升，面對客戶提供各種IT服務的企業也基於業務驅動，日益加強對IT服務的管控，並對IT服務管理體系建設和認證加大投入和重視。

　　

　　對於這些對外提供IT服務的企業如何做到建立的IT服務管理體系對外既能符合國際標準要求又能滿足多層次客戶需求;對內既滿足多種類服務交付的複雜IT管理情況又能實際將體系實施落地？ 這就需要企業從多維度多視角靈活的制定符合自身業務特點的IT服務管理體系。

　　整合行業業務特點

　　體系的建立首先從業務角度出發，根據谷安天下為多家大、中、小規模的整合企業提供IT服務管理和資訊安全諮詢的經驗，我們對該行業的業務已經積累了很多豐富經驗。大部分整合企業已經或正處於從整合類型項目逐步轉型為服務型企業的過渡階段，因此對外交付的業務類型和交付方式都是很多樣化，並且無論整合系統實施還是長期的IT運維服務均習慣以項目形式實施交付並進行相應的預算核算。同時服務交付形式也非常多樣化，包括定期為客戶提供的巡檢、系統升級等;長期駐場在客戶實際運維環境提供各種服務包括技術支援、監控維護、值班等;遠端提供的各種IT服務，包括服務台、系統維護，遠端監控，機房環境的提供和維護等;以及各類多種系統、網路、基礎設施的部署實施類的整合項目，項目複雜度和週期更是不同;並且一些整合公司還成立了研發團隊，憑藉著對各類産品的長期積累經驗，根據客戶需求提供二次開發工作及自主産品的研發。

　　因此對於整合行業這種相對複雜的IT服務提供供應商，該如何管理IT運維，如何實現真正的從整合到服務的轉型，形成標準的服務産品化，為客戶提供專業的服務目錄和交付有保障的IT服務成為眾多整合行業管理層所關注的實際問題。

　　標準和體系框架的選擇

　　整合企業的服務對象通常也是多樣化的，不同行業不同規模的客戶都成為整合企業的服務對象。對外，為了滿足客戶需求，整合企業也需要對客戶的業務進行深入了解，保證提供的IT服務能夠滿足客戶所屬行業的監管需求及客戶自身的業務需求;對內，從企業業務發展及持續的提升改進角度，管理層也希望內部管理體系和流程的建立能順暢執行，以交付各種客戶所需的優質服務並應對各種內外部不斷變化的業務需求。

　　因此為IT服務管理體系建設選擇正確適用的框架是至關重要的，此項工作是管理體系的建立和實施基礎。

　　1. 從IT治理的角度可以參考COBIT內控框架進行測評考慮自己企業所需的流程，設計體系框架及實施程度和優先次序;

　　2. 根據選擇所需內容並依據ISO20000、ITIL V2 、ITIL V3等IT服務管理方面的國際標準和最佳實踐，其中的內容可為企業提供更詳細的體系建設依據和實施方法;

　　3. 收集不同行業監管機構對IT服務相關的法律法規和其他規範要求，例如面向金融行業提供IT服務的整合企業，最好掌握《商業銀行風險管理指引》其中對IT服務管理提出的要求，無論從交付IT服務還是對客戶的業務需求掌握都可以起到很好的效果，不同行業的各監管機構及國內外都已出臺很多相關的法律法規要求，例如等級保護、電子簽名等;

　　4. 考慮企業自身所需執行的法律法規和標準要求，對於已經上市的企業務必須滿足國家對上市企業的相關要求，對於在國外上市的企業甚至要滿足SOX;且有些整合行業公司已經通過ISO9001、ISO27001等相關國際認證，那在建設IT服務管理體系的同時也需要考慮體系整合，與企業現已執行的體系進行無縫融合，才能保證IT服務管理體系的落地滿足企業自身的大環境特點，切實落地且避免實施人員的重復工作，並降低實施人員陷入過於複雜的流程活動中，影響服務交付。

　　IT服務管理體系規劃

　　業務目標為驅動

　　IT服務管理體系的策劃應以業務目標為驅動，保障業務的連續性，可以考慮通過體系流程，將業務目標分解至各個流程，形成支撐IT服務業務交付的IT服務管理體系。

　　整體規劃、分步實施

　　無論體系的策劃、建立還是實施，都是長期持續改進的過程，一方面IT服務管理體系建設是系統工程，需要根據前期所選擇的標準和框架進行統一規劃;另一方面IT服務管理體系實施不可能一蹴而就，需要根據現有資源及業務重點，對支撐業務的基礎流程和最能影響客戶感受的流程(例如事件管理、變更管理、配置管理)開始實施，直至形成一定的數據積累深入實施後續流程(例如容量管理、可用性管理)，定制優先級後分步實施，從無到有，從有到精，通過不斷分析、持續改進最終實現IT服務管理體系在企業內部的有效運轉。

　　保證體系靈活性

　　在整合企業，這種面向多層次客戶提供多形式服務的企業，IT服務管理體系的設計和流程制度的定制務必要保證一定的靈活性，確定關鍵活動，對流程關鍵點進行控制，但不能將流程設計僵化;且同時要考慮對於一些客戶的特殊要求，例如對於駐場外包人員首先須依據客戶的管理制度進行工作。

實現ITIL最佳實務 三大解決方案呈現關鍵價值

文．黃鑫楨

資訊技術基礎架構（IT Infrastructure Library，ITIL）能提供給企業最大價值在於規劃一套流程，將現有的資源做最佳化的應用，以提升資訊技術服務的水準，同時與企業營運目標相結合，彰顯IT價值，並創造更好的營收。

一般來說，導入ITIL最重要也最關鍵的兩個工作階段，在於第一階段的評估與規劃，以及第二階段的高階設計。第三階段的導入解決方案，是以第一和第二階段的成果為基礎，達到事半功倍的效果，繼而推進到第四階段的服務上線。  導入ITIL最佳實務時，工具雖然不是必需品，但沒了工具，整個執行過程會變得極為複雜而棘手。目前，最受關注的解決方案有三種：分別是做為ITIL核心引擎的變更與組態管理資料庫（Change and Configuration Management Database，CCMDB）、ITIL服務平台的IT服務台（Service Desk），以及ITIL價值呈現的業務服務管理（Business Service Management）。 ▲IT業務監控管理整合性的藍圖 ITIL核心引擎－CCMDB  變更與組態管理資料庫會收集來自軟體、伺服器、儲存系統、網路設備等各種元件的組態資訊，以及其相互關聯性，例如路由器的設定參數、應用程式的啟動來源目錄、資料庫的欄位設定、網站伺服器的埠數等。 不同於資產管理僅只單純紀錄軟硬體基本資訊，例如型號、版本、卡板配備等。CCMDB所收集到的資訊，向上能提供流程使用，向下則可整合基礎架構與監控工具。因此，選擇CCMDB解決方案時，必須考量幾項關鍵功能。 ▲透過視覺化的表現，可以更清楚快速掌握各元件間的關係及組態。 首先是聯合能力，也就是能透過多重資料來源取得組態資訊，例如自動收集並整合作業系統及其他系統管理工具的資訊，免除在各種元件安裝代理程式的需求。而第二項關鍵功能是一致化，每筆資料都只有單一版本，透過不同資料來源發現的相同資料只會被紀錄一次，避免重複造成的混淆。至於第三項關鍵功能是同步化，任何已經核可的異動，皆會自動地將資料更新至CCMDB的記錄裡，而不是因此而增加新的記錄，相對地，也可找出未經核可的異動行為。  第四項關鍵功能則是應用程式的對映及視覺化，主要目的是解析並掌握應用程式及其相關元件的相互依存性，進而掌握異動帶來的影響，協助診斷真正的問題根源。目前許多廠商提供也提供解決方案，例如IBM Tivoli CCMDB不僅具備上述四大關鍵功能，同時還利用自動化、預先配置且可自訂的工作流程，處理變更與組態管理作業，藉以建置成功的IT服務管理方案。 ITIL服務平台  由於IT環境持續變化，產品及技術皆日益複雜，解決問題的時間變得更長，技能要求也變得更高，連帶地，提供服務支援的成本也隨之上升。再加上資源及預算雙雙緊縮的現況，因而更需仰賴服務台來確保關鍵業務系統及服務的可用性與可靠性，以支援整體組織的運作。 滿足ITIL服務平台要求的IT服務台解決方案，要內含幾項必要的功能元件，包括內建最佳實務樣板、職務式運作機制且可輕鬆個人化、服務等級協定的關鍵績效指標，以及Web化操作介面。在選擇IT服務平台時，若能兼具上述條件而且還能為ITIL其他流程提供一貫化的的支援，包括事故與問題管理、異動與上線管理、服務等級管理等，將更能對應ITIL最佳實務。 ▲服務管理平台必須提供簡明介面輕鬆管理各種關鍵績效指標。 以事故管理為例，IT人員必須採取的步驟，包括記錄終端用戶的軟硬體故障、服務台對事故進行分類、建立事故處理流程並追蹤處理進度、設置上報流程並以電子郵件自動通知、建立與問題管理及異動管理的關聯性，還要產生知識庫以便處理類似事故。 ITIL價值呈現  IT業務服務管理（IT BSM）是ITIL價值呈現的關鍵，它能以資訊業務為出發點來看管理面的問題，並透過業務服務的拆解來管理可用度與服務等級，而且還能以不同的觀點與邏輯來呈現業務服務的即時資訊。 ▲業務服務的即時資訊。 在IT業務服務管理裡，事件處理關聯分析與業務服務模式分析是最關鍵的核心，藉此持續監看提供服務的元件，並建立事件與服務模型之間的關聯性，例如根據數據或事件，來判斷企業目前的服務狀態。一個良好的解決方案除了上述之外，還必須協助業務和操作人員瞭解商業服務與支援技術之間的複雜關係，並以全面性的服務相依關係模型，提供進階的即時服務和程序視覺化能力。如此一來，才能夠根據企業真正的優先要務，來安排日常運作的管理及設定，並達成服務等級的承諾。 結語 面臨日益複雜的IT環境、作業方法與流程，導入ITIL已是公認的作法之一。成功導入的關鍵，除了貫徹執行四個工作階段，採取漸進式作法，另外，對於企業最關心的技術方案選擇，不僅要符合當前的需求，也要考量未來的整合性、延伸性與擴充性，才能根據需求增加導入其他ITIL流程，並讓工具真正發揮加分的效果，而不是企業在ITIL之路成長的限制。 關於作者 黃鑫楨目前任職於IBM軟體事業處，從事系統管理與網路管理相關工作已逾10年時間。專長系統、資料庫、應用程式監控解決方案規劃，時常於研討會中向企業界推廣系統監控之概念與重要性。近年投入ITIL領域相關解決方案之研究，並在數場ITIL解決方案研討會中擔任講師，介紹ITIL概念與企業對於ITIL潮流所要因應的措施。

環署通過ISO 朝環境資源部邁進

【聯合報╱記者湯雅雯／即時報導】 2011.02.25 07:49 pm

環保署資訊安全管理系統，日前通過ISO27001國際標準重新驗證，繼環署2010年獲得ISO20000資訊服務管理系統新證書後，此次成果更肯定了其在資訊安全與服務管理上的持續努力作為，也為未來環境資源部的資訊治理奠定良好根基。 環保署指出，因應政府推動組織改造，環境資源部將於民國101年起開始運作，而環保署目前所建立的電腦共構機房，將逐步形成環境資源部及所屬機關的「私有雲」

全球第4家 台灣證交所取得ISO20000認證

證交所表示，為提升整體資訊服務品質與效率，去年初開始規劃導入ISO20000資訊服務管理系統，經過一年努力，終於獲得ISO/IEC國際組織正式授予ISO20000證書，成為全球第 4 個取得ISO20000認證之交易所。

證交所導入ISO20000資訊服務管理系統是透過建構作業流程導向之制度，強化與改善管理作業，在今年 1 月26日由英國國際標準協會(BSI)完成二階段驗證審查通過，2 月11日由ISO/IEC國際組織正式授予ISO20000證書。

ISO20000資訊服務管理制度初期效益主要在提升整體資訊服務品質與效率，長期可透過本管理系統的PDCA(計畫、執行、查核、改善)回饋機制，逐漸降低相關服務之成本。

證交所在1999年取得ISO9000認證(資訊品質管理系統)，2004年進一步取得ISO27001(資訊安全管理系統)認證，今年更上一層樓，再次取得ISO20000認證，為全球第 4 個取得ISO20000認證之交易所，僅次深圳交易所、倫敦交易所及韓國交易所。

成熟度模型降低ITIL部署風險

雖然ITIL是一種常用的IT服務管理最佳實踐標準，但它目前的框架尚不能提供實現其建議的最終狀態的路線圖。此外，使服務提供者與合同相一致的複雜性等因素讓外包企業很難應用ITIL。

雖然ITIL是一種常用的IT服務管理最佳實踐標準，但它目前的框架尚不能提供實現其建議的最終狀態的路線圖。此外，使服務提供者與合同相一致的複雜性等因素讓外包企業很難應用ITIL。如今，一個基於能力的ITIL成熟度模型能夠説明使用者減少傳統部署方法的風險。

ITIL部署的傳統方法通常需要與外包廠商進行全面的合同重新談判。特別是ITIL能夠被用作範本，按照ITIL的最佳實踐評估、減少和管理一個機構的進展；ITIL還可作為指南，以規劃一個機構實現全面ITIL成熟度的目標；它還使企業能夠讓合作夥伴承擔ITIL調整和表現的責任。

這裡所討論的成熟度模型依賴於多個角度，提供一個機構成熟度的更全面看法，以及改變ITIL部署需求可能的複雜性。對於擁有IT服務外包協定的企業而言，這種方法可以減少流程的不確定性，並且增加對整個實踐旅程的共識。此外，這個方法非常適合機構推廣接受和部署的變更管理哲學。機構必須理解五個方面的成熟度水準。

剖析成熟度模型

機構最終將與附圖模型中所標記的五個階段中的一個階段相一致。但是，評估這一成熟度水準是一個客觀的過程。當具備ITIL經驗的高級人員協調小企業部署該技術時，或者機構與外包廠商的管理和運營高級專業人員參與部署進程的時候，這種部署大多數是成功的。五個成熟度水準的定義是：

◆點對點（Ad Hoc）：這個功能沒有正式的定義。活動主要是以不一致的和事件驅動的（Ad Hoc）方式實施。

◆熟悉：這一功能或者“熟悉這一功能的必要性”是存在的。然而，其定義和範圍是不同的，通常是由組織架構的調整所驅動的。

◆管理：機構承認以正式的和一致的方式執行和管理功能/活動的好處和必要性。

◆改進：機構有預見性地管理這個功能，以便改善它，並且將配置量化的功能性能指標。

◆優化：機構有預見性地重新定義功能/活動、流程和產出，以便根據變化的業務需求優化這一功能的性能。

部署實踐

下面就是IT服務經理將這一成熟度模型應用於事件管理的具體方法：

1．理解概念：

從理解概念開始，機構將評估這些定義，並且把這些定義描繪為最能夠解釋它們當前整體狀況的定義。常見的錯誤是把一個機構的成熟度水準與內部政策和程式手冊聯繫起來，或者與一位高級管理人員的預期聯繫起來。

2．流程：

機構必須解決如下關鍵問題，以便衡量和跟蹤其成熟度：

◆整個機構的流程標準化程度。

◆每個流程中的任務和責任的完整性和清晰度。

◆知識管理流程的完整性和機構部署的程度。

◆整個機構都理解流程介面的完整性、資料的獨立性以及供應商交易內容。

3．活動：

根據機構成熟度衡量和跟蹤的關鍵活動是：

◆識別一個事件的清晰度、完整性和標準化。

◆事件登記的一致性、標準化方法和準確性。

◆事件分類的一致性和準確性。

◆事件優先等級的一致性和準確性。

◆升級和解決流程的完整性和標準化。

◆事件結束的一致性和準確性。

4．績效：

績效標準需要一套明確的和定義良好的衡量標準，包括衡量指標、重要的成功因素和緩解風險的做法。瞭解廠商的SLA（服務水準協定）如何影響流程，廠商與你的公司之間的關鍵切換，以及對單一端到端流程進行管理，對於理解和管理績效是非常重要的。全面支持績效管理的企業已經應用了計分卡或其他的客觀衡量標準，以便在一個正常的基礎之上衡量和討論績效。

5．治理：

隨著一個機構通過這一成熟度模型，治理的預期和要求都將增長。這些預期和要求包括改善流程績效和業務需求之間的一致性，同時得到機構領導者的支援並明確ITIL的價值。

使用上述準則，IT服務經理能夠把五個成熟度水準之一的功能用於每一個確定的衡量標準。要記住，這個功能也許通常位於兩個成熟度水準的邊界線上。然後，IT服務經理能夠針對每一個維度的平均成熟度水準進行排序，然後確定該功能的整體平均成熟度。

實現價值

這一成熟度模使用了一個與最終狀態參考點相一致的ITIL進行設計。在該參考點中，機構預見性地優化這個功能的績效，並且依靠一個機構必須通過的基於能力的階段才能達到那個最終狀態。這種分階段遷移的方法為機構提供了以下四個方面的價值：

1．切實的、定義良好的目標：一個基於能力的成熟度模型以實際水準定義一個功能的短期、中期和長期目標，允許管理者把ITIL從一個最佳實踐和高水準的模型轉變為一系列可實現的勝利。

2．轉變的路線圖：理解這個功能當前的成熟度水準，以及實現下一個水準的成熟度所需要的步驟，能夠讓一個機構定義一個現實的遷移時間表，避免低估成功部署ITIL所需要付出的努力。

3．利益相關一致性：評估一個功能成熟度的過程通常需要包括領導者和IT服務人員在內眾多參與者的意見。該模型允許一個機構確定這一功能當前的競爭優勢和未來的路線圖。

4．廠商支援：對於那些讓外包廠商提供IT服務的機構而言，變更自然會給這樣的關係帶來不確定性。找出ITIL的最終狀態和遷移途徑，將允許外包廠商參加一個機構的轉變，並且在許多情況下，通過部署相應的和支持的活動來加快過渡。大多數廠商都會歡迎基於ITIL的改進。

當一個IT機構的供應商和合作夥伴也必須轉變的時候，抱怨就會增加。因為這個公司通常不能控制合同手段以外的供應商，管理人員必須創造性地考慮影響他們行為的方法。這個成熟度模型有效地溝通變更和遷移途徑，允許廠商選擇自動的支持和實現這一變化。大多數的廠商都支持這種方法，這樣無需重新制定自己的合同。

除切實的目標之外，一個現實的路線圖，以及整個IT機構達成的共識，以及根據基於能力的成熟度模型轉變IT功能，將幫助機構建立一個成功的、可持續的供應商關係模型。在這方面，機構需要進行的轉變包括如下幾個方面：

◆治理活動：進入到正在改善的成熟度水準需要績效與法規遵從的監督機制，以便管理一致的產出、衡量並改進整體績效，並且實施任何對未能遵從法規行為的干預。

◆治理結構：這一成熟度模型要求正式明確在IT功能的角色與責任，例如：明確規定決策責任並且只限於在正式的治理結構中；保留的機構和供應商的公認領導者要任命到這一治理機構中；保留的機構和供應商的目標要與企業的整體目標相一致；保留的機構和供應商的任務、職責和責任需要明確說明。

◆流程管理：各方必須聯合評估當前的流程，並確定各方在這一外包的、遵守ITIL規則的環境中“適合”做什麼。用文檔說明保留的和外包的流程，以及確定流程的擁有者、觸發器、依賴性和流程輸出，保證應用的一致性，並且利用這些流程改善法規遵從的狀況。

◆持續的改善：要更好地、有預見性地發現關鍵趨勢、探索在IT服務管理功能中持續改進和實施最佳實踐的機會，需要建立一個機制。在這個過程中，流程所涉及的供應商要能夠利用合作夥伴的ITIL經驗，實現在當前的服務範圍之外的供應商能力共用，並且提供論壇，以用於識別、認同和記錄現有的服務範圍、績效和/或者外包流程的價格。

當一個機構使自己的IT服務管理體系符合ITIL最佳實踐的時候，它必須決定哪一種方法將產生最可預見的和積極的結果，以及如何優化地選擇一些供應商。基於能力的成熟度模型為IT機構提供了一個謀求轉型路線圖的平臺。它不僅説明機構克服了將高水準目標轉化為現實目標的難題，而且還能夠幫助其建立一個強大的供應商關係框架。