2.3 ITIL与IT服务管理、ITSS与信息技术服务、IT系统审计

2.3.1 ITIL比与IT服务管理

  • ITIL 的全称是 Information Technology Infrastructure Library 信息技术基础架构库,是CCTA(英国国家计算机和电信局)于 20 世纪 80 年代末开发的一套 IT服务管理规范库。
  1. ITIL包含着如何管理IT基础设施的流程描述,以流程为向导、以客户为中心,通过整合IT服务与企业服务,提高企业的IT服务提供和服务支持的能力和水平。
  2. 实施ITSM的根本目标有以下三个。
  • ITSMIT Service ManagementIT服务管理,起源于ITIL,其结合了高质量服务不可缺少的过程、人员和技术这三大要素,通过集成IT服务和业务,协助企业提高其IT服务提供和支持能力,能够帮助企业对 IT 系统的规划、研发、实施和运营进行有效管理。

(1)以客户为中心提供IT服务。
(2)提供高质量、低成本的服务
(3)提供的服务是可准确计价的。

2.3.2 ITSS与信息技术服务

  1. ITSSInformation Technology Service Standards信息技术服务标准,是一套成体系和综合配套的信息技术服务标准库,全面规范了IT服务产品及其组成要素,用于指导实施标准化和可信赖的 IT 服务。
  2. ITSS信息技术服务标准是一套成体系综合配套的信息技术服务标准库,全面规范了IT服务产品及其组成要素,用于指导实施标准化和可信赖的IT服务。
  3. 组成要素。IT服务由人员(People)流程(Process)技术(Technology)资源(Resource)组成,简称:PPTR

image.png

  • 人员(People):指提供IT服务所需的人员及其知识、经验和技能要求
  • 流程(Process):指提供IT服务时,合理利用必要的资源,将输入转化为输出的一组相互关联和结构化的活动
  • 技术(Technology):指交付满足质量要求的IT服务应使用的技术或应具备的技术能力
  • 资源(Resource):指提供IT服务所依存和产生的有形及无形资产
  1. 生命周期。IT服务生命周期由5 个阶段组成,简称PIOISPlan、Implement、Operation、Improvement、Supervision)。
    • 规划设计 Planning & Design:从客户业务战略出发,以需求**为中心,参照 ITSS 对 IT 服务进行全面系统的战略规划和设计,为 IT 服务的部署实施做好**准备,以确保提供满足**客户需求的 IT 服务**
    • 部署实施 Implementing:在规划设计基础上,依据 ITSS 建立管理体系部署**专用**工具服务解决**方案**;
    • 服务运营 Operation:根据服务部署情况,依据 ITSS, 采用过程方法,全面管理**基础设施服务**流程人员**业务连续性,实现业务运营IT服务运营融合**;
    • 持续改进 Improvement:据服务运营的实际情况,定期评审**IT服务满足**业务运营的情况,以及IT服务本身存在的**缺陷,提出改进策略和方案,并对 IT 服务进行重新规划设计和部署实施,以提高 IT 服务质量**;
    • 监督管理 Supervision:本阶段主要依据ITSS对IT服务服务质量**进行**评价,并对服务供方的服务过程、交付结果实施**监督绩效评估**。

image.png

  1. ITSS定义了IT服务的核心要素由人员、过程、技术和资源组成,并对这些IT服务的组成要素进行标准化
    1. 人员(People)正确选人
    2. 流程(Process)正确做事
    3. 技术(Technology)高效做事
    4. 资源(Resource)保障做事

image.png

2.3.3 信息系统审计 IS audit,information system audit

定义:收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产维护数据完整、完成组织目标,同时最经济地使用资源。
一、审计系统:目的是评估并提供反馈、保证及建议

  1. 可用性:商业高度依赖的信息系统能否在任何需要的时刻提供服务?信息系统是否被完好保护以应对各种损失和灾难
  2. 保密性:系统保存的信息是否仅对需要这些信息的人员开放,而不对其他任何人开放
  3. 完整性:信息系统提供的信息是否始终保持**正确可信**、及时?能否防止未授权的对系统数据和软件的修改

二、风险方法来进行审计,流程

  1. 编制组织使用的信息系统清单并对其进行分类
  2. 决定那些系统影响关键功能和资产
  3. 评估那些风险影响这些系统及对商业运作的冲击
  4. 在上述评估的基础上对系统分级,决定审计优先值资源进度频率

ISACA 公告是信息系统审计与控制协会对信息系统审计一般准则所做的说明。
ISACA 职业道德及规范提供针对协会会员或信息系统审计认证 (Certified Information System Auditor, CISA) 持有者有关职业上及个人的指导规范。
COBIT (Control Objectives for Information and related Technology, 信息及相关技术控制目标) 国际上公认是最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至 5.0版。

image.png