数据中心 频道

图书连载:数据中心专业化运维和管理

  6.3.3. 运维管理标准介绍

  1. ISO9001标准简介

  随着数据中心客户的增加、规模的逐步扩大、管理的深入,单一采用IT技术并不能解决数据中心管理的全部问题。数据中心的管理正在从IT技术管理向服务管理领域发展。如何提高数据中心的服务质量,如何使数据中心高效的运作,正在成为困扰数据中心管理者的难题。

  《ISO9001质量管理体系-要求》为数据中心管理和提升服务质量提供了成熟有效的管理框架。ISO9001是迄今为止世界上最成熟的质量管理框架。它的第一版是在1987年由国际标准化组织(International Organization for Standardization,ISO)颁布的。1994年ISO对这一标准进行了第一次修订,2000 年进行了第二次修订,2008年进行了第三次修订。目前全球有161个国家/地区的超过75万家组织正在使用这一框架。ISO9001可帮助多种类型和规模的组织提高自身的管理水平。

  ISO9001标准对数据中心管理的诸多领域均提出了管理要求。这些领域涉及:数据中心各部门的职责分工、管理者的责任、内部沟通、数据中心方针目标的建立,数据中心的人员管理、数据中心基础设施管理、数据中心环境管理、客户需求如何转换到产品或服务中、服务设计的过程,服务商管理、服务的提供过程、运维指标的监控、客户满意管理、数据分析、不合格的控制、服务质量改进、内部审核、数据中心各类文件及记录的管理等。这些管理领域涵盖大部分数据中心的实际运维情况。

  ISO9001标准遵循管理科学的基本原则,强调运用过程方法,基于事实进行决策。ISO9001体系的运作过程比较复杂,在此仅作简单介绍。

  ISO9001体系通过从客户及相关方获得的对数据中心运作、服务质量方面的要求作为输入。通过对这些输入的分析,数据中心可以通过内部资源管理、管理职责的管理、产品实现过程的管理、测量分析等流程实现数据中心服务及管理的持续改进从而获得客户满意度的提升和内部管理水平的提升。

  ISO9001不仅为质量管理体系设立了标准,也为整合管理体系设立了管理平台。ISO9001与其他管理标准和规范兼容,例如ISO14001、ISO27001、ISO20000等。这些标准可以进行无缝整合形成完善的管理体系对数据中心进行有效管理。

  2. ISO27001标准简介

  数据中心是信息化的关键部门,其信息安全问题也开始引起业界广泛关注和高度重视。仅仅依靠安全产品和安全技术已不能完全满足数据中心信息安全管理的需求。数据中心的信息安全管理正在从以硬件、新技术为中心,向以技术管理和流程管理相结合的方向发展。《ISO27001信息安全管理体系-要求》为数据中心建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Information Security Management Systems,ISMS)提供模型与相关要求。从认证机构的角度提出了评价企业ISMS的有效性与合理性的要求。它详细说明了建立、实施和维护信息安全管理体系的要求,指出数据中心该遵循的风险评估准则。

  《ISO27001信息安全管理体系-要求》是国际标准化组织颁布的。该标准以英国标准协会(The British Standards Institution,BSI) 制定的信息安全管理标准BS7799为基础制定。BS7799包含两部分:分别为BS7799-1及BS7799-2。其中BS7799-1发展成ISO17799,主要是作为参考文件,提供组织实施信息安全的指南;BS7799-2发展成ISO27001,提供信息安全管理系统之建立实施与书面化的具体要求。目前全球已有5206个组织通过了ISO27001认证,其中中国内地有180家企业通过了该认证。

  ISO27001标准以风险评估为基础,以安全控制点为管理范围,以此评估机构的信息安全管理需求;管理体系中提到的“信息安全”,是指保存信息的:

  (1) 机密性(Confidentiality):确保只有获得授权的使用者,才得以存取信息。

  (2) 完整性(Integrity):保障信息与处理方法的正确与完整。

  (3) 可用性(Availability):确保获得授权的使用者在有需求时,能适时存取信息及相关资产。

  ISO27001管理体系以信息安全为核心,通过建立信息安全管理体系方针,制定、实行、监控、改进流程这一PDCA循环,达到持续改进数据中心信息安全管理水平,使数据中心的管理体系可以不断适应客户与组织内部发展的需要。

  该标准附录A还提供了具体实施信息安全管理所需的控制目标和控制点。这些控制点涵盖组织的“安全方针”、“与信息安全相关的内外部组织”、“信息资产管理”、“人力资源管理”、“物理环境安全管理”、“通信和操作管理”、“访问控制”、“信息系统获取、开发和维护”、“信息安全事故管理”、“业务连续性管理”和“符合性”,基本满足了数据中心对于信息安全管理的需要。

  《ISO/IEC17799:2005信息安全管理实用规则》作为ISO27001的一部重要参考资料,主要从实施的角度提出了组织在建立信息安全管理体系过程中应该考虑的管理要求。该标准由15个章节、133个安全控制项组成,这些控点与ISO27001的附录A相对应,为组织建立ISMS提供了国际上的非常好的实践。该标准可作为组织通过ISO27001认证过程中的一个操作性标准,也可以作为企业自行评估或提高自身信息安全管理能力的一个指南性文件。

  3. ISO20000标准简介

  ISO20000是ISO在英国标准BS15000的基础上以ITIL为核心制定的IT服务管理国际标准。标准分为两个部分:

  第一部分:ISO/IEC20000-1:2005信息技术-服务-规范。它表明了组织IT服务管理的要求和如何初始化、实施和维护IT服务管理。组织可以根据ISO/IEC2000-1:2005的要求单独认证组织内的IT服务管理体系。

  第二部分:ISO/IEC20000-2:2005 IT信息技术-服务-非常好的实践。它为内部审核提供指导,并帮助服务提供者规划服务改进或准备基于ISO/IEC20000-1:2005的审核。

  该标准于2005年末发布。截止到2007年年底全球有80余家组织通过了该认证。2009年3月全球通过ISO20000认证的组织达到了347家。可见近年来全球有更多的企业开始认识到该标准的价值。

  数据中心可以通过取得ISO20000管理体系认证来获得在ITIL领域的认可,以此标准可构建一套适合数据中心自身发展的IT服务管理流程,同时也可借此确保所提供的IT服务符合最新国际标准。数据中心构建ISO20000体系的好处表现在:

  (1) IT服务提供商能够更积极地响应以业务为主导、而非以技术为驱动的服务。

  (2) 通过对内部资源的合理安排和合理计划降低向客户提供服务的成本。

  (3) 将服务质量的管理融入到IT服务中,向客户提供高质量的服务。

  (4) 提高组织机构工作流程的效率,以更高效、更有效的方式向客户提供服务。

  (5) 向客户表明组织有能力提供国际水准的卓越IT服务,提高客户信心,在承接业务时获得竞争优势。

  ISO20000是在ISO9000的基础上专为IT服务管理制定的标准,它将IT服务管理分为5个领域,这些领域分别是:

  (1) 服务发布管理:这个领域包括ISO20000对组织在“容量管理”、“可用性和业务连续性管理”、“服务级别管理”、“服务报告管理”、“信息安全管理”、“财务管理”方面的要求。

  (2) 控制过程:这个领域包括ISO20000对组织在“配置管理”、“变更管理”方面的要求。

  (3) 发布管理:这个领域包括ISO20000对组织在“发布管理”方面的要求。

  (4) 解决过程:这个领域包括ISO20000对组织在“事件管理”、“问题管理”方面的要求。

  (5) 关系管理:这个领域包括ISO20000对组织在“业务关系管理”、“供应商管理”方面的要求。

  ISO20000通过对组织的IT服务实施过程管理,使用PDCA方法来不断提高组织IT服务管理能力,使组织向客户提供更优质的服务。

  PDCA方法可以适用于组织IT服务管理的所有过程,PDCA描述如下:

  (1) 计划:建立符合客户要求和组织策略的交付结果所需的目标和过程。

  (2) 实施:实施这些过程。

  (3) 检查:根据策略,目标和要求监视并测量这些过程,并报告结果。

  (4) 改进:采取措施持续改进这些过程的绩效。

  4. ISO14000标准简介

  ISO14000是一个环境管理系列标准,共有100个标准号。ISO从1996年以来,已正式颁布6个标准,分别是:

  (1) ISO14001 - 环境管理体系-要求及使用指南。

  (2) ISO14004 - 环境管理体系-原理、体系和支撑技术通用指南。

  (3) ISO14010 - 环境审核指南-通用指南。

  (4) ISO14011 - 环境管理审核-审核程式-环境管理体系审核。

  (5) ISO14012 - 环境管理审核指南-环境管理审核员的资格要求。

  (6) ISO14040 - 生命周期评估-原则和框架。

  《ISO14001环境管理体系-要求及使用指南》,是针对全球性的环境污染和生态破坏越来越严重,顺应国际环境保护的发展,依据国际经济贸易发展的需要而制定的。它为数据中心提供了环境管理的依据,规定了环境管理的共同语言和准则的要求。

  《ISO14001环境管理体系-规范及使用指南》于1996年由国际标准化组织发布第一版,该标准的最新版本是2004版。

  随着社会对世界环境问题的关注,数据中心如何承担保护环境的社会责任成为了关注重点。ISO14001标准实施的目的是帮助数据中心实现环境目标与经济目标的统一,支持环境保护和污染预防,这是ISO起草和实施这一系列标准的根本出发点。实行ISO14001环境管理体系可以让您的数据中心获得如下益处:

  (1) 向监管机构和政府证实您承诺遵守法律法规。

  (2) 向利益相关方证实您致力于环保。

  (3) 向客户和未来员工证实您采用了创新及前瞻式方法。

  (4) 更好地管理当前和将来的环境风险。

  (5) 潜在地降低公众责任保险成本。

  (6) 提高声誉。

  ISO14001是组织规划、实施、检查、评审环境管理运作系统的规范,该系统包含5大部分,17个要素。这5个基本部分包含了环境管理体系的建立过程和建立后有计划地评审及持续改进的循环,以保证组织内部环境管理体系的不断完善和提高。ISO14001环境管理体系参见表6-1。

  表6-1 ISO14001环境管理体系

 

  5. BS25999标准简介

  无论是如地震、海啸、雪灾这样的重大灾难还是机房漏水、空调损坏这样的轻微事故,或者是人员误操作、断电、通信线路中断这样的意外,对于数据中心的连续运作都是重大的威胁。对于数据中心而言,由于承载本企业或客户的重要数据及业务系统,它的持续运行具有重要意义。如何确保数据中心的持续运行,如何确保数据中心在运行中断后迅速恢复运行,减少客户的损失是数据中心运行管理的重要内容。

  可以从IT技术手段上,例如通过硬件设备、通信线路、电力的冗余设计,来减少发生业务中断的可能。但发生灾难后企业的内部运作应如何进行却是十分重要的管理问题。BS25999正是世界上第一个关于业务连续性管理(Business Countinuity Management,BCM)的标准。它为企业在预防业务中断以及业务中断后数据中心的运作方式提供了科学的管理框架。该框架的目标在于及早确定可能发生的冲击对企业运作造成的威胁,并提供合理的架构有效阻止或抵消不确定事件造成的威胁,保证企业日常业务运行的平稳有序。

  该标准分为两部分:

  第一部分《BCM实践指南》于2006年年底公布,为业务持续发展指南,帮助企业建立相应的准备机制。

  第二部分《BCM规范》于2007年年底公布,对标准第一部分所要求的认证过程做出规范。

  BS25999 的好处非常广泛,涵盖3个关键领域:

  (1) 适应力:当您实现关键目标的能力面临破坏时,主动改进您的适应力。

  (2) 交付:在中断之后为您提供一套计划充分的能力恢复方法,帮助您继续在受认可的水平和期限内提供关键产品和服务。

  (3) 管理:提供切实可行的中断管理及信誉和品牌保护能力。

  这一标准建立了业务持续管理的相应过程、原则和术语体系,提供了在企业内贯彻业务连续性理念、发展和贯彻业务持续管理体系的基础。还阐述了业务持续管理的生命周期、过程的评价及更新文件系统、业务持续管理的选项,以及实施业务持续管理的方法和战略。

  该项标准包括以下部分:定义和术语,什么是业务持续管理,业务持续管理总览,业务持续管理体系,项目管理,对组织的认识,决定业务持续管理的模式,制定和执行业务持续管理的机制,业务持续管理的实施、维护、审核和评价,将业务持续管理植入企业文化。

  目前,第一部分和第二部分的标准正在越来越多地被业界应用。BSI的技术委员会还在致力于该系列的其他标准文件,帮助企业具体实施业务可持续性管理体系。未来工作的方向包括体系的验证和演练、IT系统灾难恢复、危机处理等相关标准。

  6. ITIL信息技术基础构架库V2

  ITIL(Information Technology Infrastructure Library)是英国商务部开发的一系列指导规范的集合,这些指导规范被汇集到一套书籍当中。这套书籍描述了用于管理IT服务的集成的、面向过程的,以及非常好的实践的框架。至今,这套书是唯一全面、非专有的和可公开得到的IT服务管理指南。ITIL是20世纪80年代后期提出和开发的,目前已发展到第三版。其初衷是为了提高英国中央政府的IT服务管理水平,然而它也适用于多种组织,包括公共的或私有的、大型的或小型的、集中的或分散的所有组织。现在,ITIL不仅代表书籍本身,它已形成了一个包括培训、认证、咨询、软件工具和行业协会(即IT服务管理论坛)在内的完整产业。

  IT服务管理是ITIL框架的核心,它是一套协同流程(Process),并通过服务级别协议(SLA)来保证IT服务的质量。它融合了系统管理、网络管理、系统开发管理等管理活动和变更管理、资产管理、问题管理等许多流程的理论和实践。ITIL共有6个模块,包括:业务管理、服务管理、IT基础架构管理、应用管理、安全管理、IT服务管理规划与实施。这6个模块可以被看做是建立在技术与业务之间的一座桥梁。其中又以服务管理模块为核心,其由“服务支持”、“服务提供”两个子模块组织,这两个模块覆盖了10个流程与一个服务台。下面分别介绍服务支持和服务提供的10个流程与服务台功能。

  1) 服务提供模块

  ITIL的服务提供模块覆盖了规划和提供IT服务所需要的过程,包括服务级别管理、财务管理、容量管理、IT服务连续性管理和可用性管理。这些管理流程之间的关系如图6-18所示。

  图6-18 服务提供模块

  (1) 服务级别管理(Service Level Management):服务级别管理是定义、协商、订约、检测和评审提供给客户的服务质量水准的流程。

  (2) IT财务管理(Financial Management of IT Services):IT财务管理是在提供深入了解IT服务管理流程的基础上,对IT恢复运作的费用及成本重新分配并进行正确管理的程序,其目标是帮助IT部门在提供服务的同时加强成本效益核算,以合理利用IT资源、提高效益及财务资源使用的有效性。

  (3) IT服务连续性管理(Continuity of IT Services):IT服务连续性管理是指确保发生灾难后有足够的技术、财务与管理资源来确保IT能持续服务的管理流程。

  (4) 容量管理(Capacity Management):容量管理是指在成本和业务需求的双重约束下,通过配置合理的服务能力来确保服务的持续提供和IT资源的正确管理,以发挥最大效能;以合理的成本及时提供有效的IT服务,以满足组织当前及将来的业务需求。

  (5) 可用性管理(Availability Management):可用性管理是在正确使用资源、方法及技术的前提下保障IT服务的可用性和实践可用性要求。目标是确保IT服务的设计符合业务所需的可用性级别。

  2) 服务支持

  服务支持模块更多的用于处理事件管理、问题管理、变更管理、配置管理、发布管理及服务台功能的日常支持和维护。这些流程之间的关系如图6-19所示。

  图6-19 服务支持模块

  (1) 服务台(Service Desk):服务台有时也称帮助台,即通常人们所指的呼叫中心或客户服务中心,它不是一个服务管理过程,而是一种服务职能。服务台经常与事件管理紧密结合,用来连接其他的服务管理流程,逐渐被称为一线服务支持的代名词。

  (2) 配置管理(Configuration Management):配置管理是由识别和定义系统中软件和硬件等配置项资源并记录和报告配置状态和变更请求,以及检验配置项的正确性和完整性等活动构成的过程。

  (3) 变更管理(Change Management):变更管理是要确保在IT服务变动的过程中能够有标准的方法,以有效的监控这些变动,降低或消除因为变动所造成的问题。它的目的并不是控制和限制变更的发生,而是对业务中断进行有效管理,确保变更有序进行。

  (4) 发布管理(Release Management):发布管理是指对经测试后导入实际应用的新增或修改后的配置项进行分发和宣传的管理流程,目的是要保障所有的软件组件的安全性,以确保只有经过完整测试的正确版本得到授权进入正式运行环境。

  (5) 事件管理(Incident Management):事件管理指的是突发事件管理或意外事件管理,处理IT的危机并要从中恢复运转。即出现事故时,能尽可能地恢复服务的正常运作,避免业务中断,以确保非常好的的服务可用性级别。

  (6) 问题管理(Problem Management):问题管理是指负责解决IT服务运维过程中遇到的所有问题的流程。问题管理的主要活动实质上就是分析被列出问题事件的根本原因,找出解决方案,把事件的影响最小化,并通过找到已发生事件或潜在事故的根本原因来减少事件的数量或消除事件的再次发生。

  7. COBIT信息系统审计标准

  COBIT(Control Objectives for Information and related Technology),该标准是目前国际上通用的信息系统审计标准,由信息系统审计与控制协会在1996年公布。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。

  1) COBIT将IT过程、IT资源与企业的策略与目标(准则)联系起来,形成一个三维的体系结构

  (1) IT准则集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性。

  (2) IT资源主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是IT治理过程的主要对象。

  (3) IT过程是在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术规划与组织、采集与实施、交付与支持、监控等4个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针,用于对IT处理过程进行评估。

  2) COBIT信息技术的控制目标

  COBIT是一个非常有用的工具,也非常易于理解和实施,可以帮助在管理层、IT审计之间交流的鸿沟上搭建桥梁,提供了彼此之间沟通的共同语言。

  (1) 有效性(Effectiveness)——是指信息与商业过程相关,并以及时、准确、一致和可行的方式传送。

  (2) 高效性(Efficiency)——关于如何非常好的(最高产和最经济)利用资源来提供信息。

  (3) 机密性(Confidentiality)——涉及对敏感信息的保护,以防止未经授权的披露。

  (4) 完整性(Integrity)——涉及信息的精确性和完全性,以及与商业评价和期望相一致。

  (5) 可用性(Availability)——指在现在和将来的商业处理需求中,信息是可用的。还指对必要的资源和相关性能的维护。

  (6) 符合性(Compliance)——遵守商业运作过程中必须遵守的法律、法规和契约条款,如外部强制商业标准。

  (7) 信息可靠性(Reliability of Information)——为管理者的日常经营管理以及履行财务报告责任提供适当的信息。

  3) COBIT的优点

  (1) 通过实施COBIT,增加管理层对控制的感知及支持。

  (2) COBIT使IT管理工作简易并量化,减轻对复杂信息系统管理工作的难度,并且可以应用在每天都在发生的各种新问题中。

  (3) COBIT提供了一种国际通用的IT管理及问题解决方案。

  (4) COBIT有助于提高信息系统审计师的影响力。

  (5) COBIT框架可以帮助决定过程责任,提高IT治理水平。

0
相关文章