6.4.2. 建立多重符合性的运维管理
ISO9001、ISO27001、ISO20000、BS25999及ITIL、ISO14000、COBIT等标准的推出,一方面为数据中心运维管理的规范给出了许多的指南,另一方面也为数据中心的运维管理提出了多重符合性挑战。所谓“多重符合性”是指,数据中心一方面要依据上述标准的要求建立不同的管理流程与体系;另一方面又要让员工能在日常工作中不会因为上面有太多的条条框框而无所适从;最后,就是要规划好这些管理体系之间的关系,定义好这些管理体系之间的接口,使所有的管理体系均获得良好的管理与维护。
目前,部分企业虽然也开始基于上述标准或开发了自己的管理体系,但这些通过标准的数据中心在构建自己的管理体系时通常采用“一个标准起草一套管理体系文件”的做法。如果一个企业需要同时通过ISO9001,ISO27001,ISO20000三个标准就需要分别起草三套文件来满足认证要求。这样做的好处显而易见,主要是管理体系的文件起草方面,单独维护容易,但也带来了如下问题:
(1) 管理体系间没有很好的衔接。
(2) 管理体系维护成本提高。
(3) 缺乏对数据中心管理框架的整体考虑。
(4) 员工执行流程文件难度加大。
(5) 新的管理体系导入对原有管理体系将造成较大的冲击。
因此,建议将不同的标准整合到一套管理体系文件中,建立一套同时符合ISO20000、ISO27001、ISO9001三个管理体系的整合标准。在建立该套整合管理体系时的关键着手点主要有:
(1) 以ISO9001标准作为管理平台,实现管理者对数据中心流程、资源、目标的管理。
(2) 基于PDCA原则建立持续改善机制,形成以制定策略方针、管理目标、制作执行流程文件、收集监控运维数据进行管理评审5项工作为循环的持续改进环。
(3) 以ISO20000为数据中心运维管理流程框架主干,组织数据中心运维管理的各项工作。
(4) 以ISO27001的要求为具体规范,通过信息资产管理、风险分析等工作落实数据中心信息安全管理的各项措施,使数据中心的信息安全工作得到有效管控。
(5) 在具体管理流程与对应的管理标准之间建立映射关系,形成统一的管理框架和文件体系,使数据中心各类管理体系流程在同一框架内得到维护,同时降低了管理流程维护成本。
(6) 保留了管理框架的可扩展性,为以后融合其他管理体系标准预留接口。