導入ITIL經驗分享
導入管理制度真正的挑戰其實不在於規劃或建置期間,真正的挑戰通常是如何落實後續管理制度的維護作業。
◎黃小玲
壹、前言
截至今(98)年10月份在itSMF (www.isoiec20000certification.com)網站上,全球登載通過驗證的組織共計394個,而臺灣通過驗證的家數排行第8名,共有16個組織通過。另外在資訊安全管理系統(ISMS)方面,臺灣通過的家數已達331家,相較之下,因為資訊技術服務管理系統(Information Technology Service Management System, ITSMS)管理流程架構廣泛,再加上缺乏政府行政規範的強力主導,所以通過家數直至目前仍是屈指可數。
經過審慎評估與分析相關要素後,去年本中心(行政院國家資通安全會報技術服務中心)決定要建置ITSMS,並運用ITIL架構作為導入的基礎;在專案執行過程中面對許多挑戰與困難,亦習得相關經驗,終於,在今年初順利通過ISO 20000的驗證。以下將以本中心實際導入資訊技術服務管理系統(ITSMS)的專案經驗作為分享主題,提供有意導入的組織參考。
貳、建置ITSMS需求與效益評估
公部門與私部門在考量導入ITSMS時,思考的角度是不同的。一般企業著重的是如何能從導入此制度中,得知IT的實質貢獻度,如何在有限的資源中進行整合,以減少資本支出;而公部門通常會以國家及政府的策略方向,決定是否要導入相關規範。
一般而言,ISMS的需求與效益較容易分析,ISMS著重在風險管理,經由有效的風險管理達到組織永續經營的目的;而ITSMS的流程管理則因流程的改善或評估無法在短時間反映且牽涉範圍廣泛,所以組織在考量導入ITSMS時,評估時間與要素會比ISMS來得久且繁瑣。
建置ITSMS組織之需求,可分為以下幾種理由:
1. 成為業務領域的標竿組織。
2. 提升客戶的滿意度。
3. 整合資訊服務資源。
4. 計算資訊服務之成本。
5. 強化流程之標準作業及一致性。
6. 有效管理外部供應商。
除了上述幾種需求理由外,還需從業務目標,管理階層的預期,結合導入範圍的評估,以確認日後效益的符合性。
一、管理階層的預期
導入ITSMS是否能順利實施,管理階層的承諾是非常重要的。為能事先了解管理階層的預期,IT部門應提出相對於業務面可能帶來之效益。在確認管理階層的預期目標後,導入過程中亦須時常衡量是否符合其預期。一種可能的狀況是,管理階層的預期太高時,反而會造成導入ITSMS過程的挫敗。所以對於管理階層的預期目標亦應主動加以控制,避免資源投入後,因人員的無法認同,致使建置ITSMS無法內化為實際的資訊服務流程,亦無法帶來真正的效益。
如何了解管理階層的預期,必須從結合組織的業務策略開始。越能與業務策略緊密結合,則建置之管理系統,越容易成功。
二、導入範圍評估
部分組織因為IT流程簡單,或因為規模較小,所以不鼓勵導入ITIL。其實資訊服務管理的制度存在每一個組織內,也許是處於分散或未妥善管理的狀態。導入IT管理制度後,最大的好處之一是資訊服務管理流程之整合,導入範圍的部分可以確認其與國際標準之要求相符合。與ISMS一樣,ITSMS也會面臨導入範圍的選擇。ISMS考量其業務持續的重要性,會建議由關鍵系統所在之範圍優先導入;而ITSMS因為是以流程為導向,是資訊服務流程改善之後的效益呈現,會較難切割導入範圍。若面臨無法決定導入範圍時,可以採取試行範圍,即部分業務範圍導入的方法。縱使在決定試行範圍時,仍可評估選取透過導入ITIL後能創造具體效益的範圍進行導入。
綜觀組織的資訊服務流程所服務之對象,可以區分為內部與外部客戶與使用者。資訊服務品質的改善與否,端視客戶的評價,因此,所選定的範圍應考量資訊流程中所有可能影響之客戶與其對業務的重要性。
圖1:導入範圍評估(資料來源:本文自行整理)
內部流程導入資訊服務管理,包括以下幾種:
1. 網路維運服務:網路服務的可用性。
2. 軟硬體管理:組態資料庫建立。
3. 軟硬體維修:基本維修與諮詢服務。
4. 應用系統開發與維護:系統客製化與功能變更需求。
5. 供應商的管理:駐點廠商或委外專案。
外部資訊服務範圍:
1. 直接客戶:資訊業務流程直接服務的對象。
2. 間接客戶:所有可能或未定義之資訊使用者及客戶。
雖然建議組織可從投資報酬效益上去選擇導入的範圍,惟本中心幾經評量,從原本只預計導入範圍限定內部資訊服務流程,到最後將本中心所有業務皆納入範圍,主要還是因為除業務策略通盤考量與資訊服務周全性外,也期望同時整合中心ISMS/ITSMS管理範圍及制度,以達成資訊目標的一致性。
參、導入規劃與實施
本中心導入ITSMS專案時間,從準備到通過驗證約一年。與其他通過驗證專案相比,時間可能比較長。有兩個主要原因:
1. 管理制度的結合:除了建置新的ITSM制度外,本中心所設定的專案目標是一起整併ISM管理制度。
2. 管理制度運作評估:管理制度建置後,通常需要一段試行時間,以測試管理制度是否客製成功,且可順暢運作。本中心大約在整個制度試行三個月後才申請驗證。
圖2:專案主要建置流程圖(資料來源:本文自行整理)
一、資源運用的估算
建置ITSMS所需要之資源多少和導入範圍、流程複雜度、管理階層預期及要求之資訊流程成熟度息息相關。管理制度建置可能產生風險,如重工、組織變更及一些不可抗力之因素,這些皆屬於資源應列入估算之成本。以下僅列出可正面表列的預算編列,供組織欲導入時之參考。
1. 專案管理費用:內部人員投入之時間,包括流程訪談、確認、審查及會議時間等等。
2. 教育訓練費用:包括ITIL各項專業訓練及人員相關認知教育訓練等。
3. 顧問輔導費用:若自行建置,則不用計算此項費用。相對地,應考量內部自行導入的學習成本及若干專家諮詢費用。
4. 工具購置費用:自動化管理工具購置成本、客製費用及報表產出可能之成本。
5. 驗證費用:若欲通過ISO 20000驗證,則需編列預評(可選擇)、正式評鑑費用及後續審查費用等。
二、教育訓練的實施
本中心在建置ITSMS時投入豐富的訓練資源,主要是希望讓內部人員對ITIL、ITSMS及ISO 20000有深度的認識。教育訓練共規劃三期,同時分不同目標對象施行(見圖3)。
1. 先期教育訓練:目的在於提供專案管理團隊/流程經理認識ITIL,並規劃專案期間互動。
2. 建置期間之教育訓練:強化流程經理ITIL/ITSMS流程管理規範,同時協助使用者熟悉資訊服務管理流程。
3. 持續維護期間之教育訓練:確保流程持續改善,以符合資訊服務年度指標。
圖3:目標式訓練(資料來源:本文自行整理)
三、差異性分析
透過資訊科技基礎架構庫檢視問卷,進行資訊服務管理流程現況分析,並將結果統計整理成相關之流程成熟度模型指標圖表,除了可做為資訊服務管理機制後續導入活動之參考,以及未來管理制度上線運作外,同時可呈現各項資訊服務管理流程成熟度模型指標提升程度的比較基準值。成熟度模型共分為五個階段:
1. 初始階段(initial):資訊服務流程運作取決於個別人員,無法建立重複性,也無經驗之累積。
2. 可重複(Repeatable)階段:本階段能針對特定流程的程序建立管理措施,能將以往流程服務經驗用於類似的事件中,相關流程運作成本、效率及效能被客觀預測與有效追蹤。
3. 定義(Defined)階段:在此成熟度階段的組織明確制定了相關規範對所有資訊服務管理行為給與指導。有標準化的過程並可在活動中,依據實務上的需要,將標準流程調整為合適的活動。
4. 管理(Managed)階段:本階段過程的關鍵是可量化,所有流程作業的品質都有明確的量化衡量標準,進行分析、比較和監控;所有量化指標都可具體用於資訊服務管理流程的控制之中。
5. 最佳化(Optimizing)階段:本階段是持續改進的過程,建置完整有效機制以確保活動過程的誤差最小化。
專案初始期,進行成熟度評估,可以協助分析導入ITSMS時的優勢、應改善領域等等,幫助專案團隊了解組織現況,明確定義資源投入的方向。
肆、結論
導入管理制度真正的挑戰其實不在於規劃或建置期間,真正的挑戰通常是如何落實後續管理制度的維護作業。除了依賴外部稽核人員的定期審視外,能否將所建置之資訊服務管理規範內化為平時的日常作業,使所有資訊服務人員習以為常,才是此管理制度能否成功的關鍵因素之一。
(作者是行政院國家資通安全會報技術服務中心組長)
沒有留言:
張貼留言