iso20000体系介绍及认证讲解(PPT 84页).pptx
《iso20000体系介绍及认证讲解(PPT 84页).pptx》由会员分享,可在线阅读,更多相关《iso20000体系介绍及认证讲解(PPT 84页).pptx(84页珍藏版)》请在冰点文库上搜索。
体系介绍及认证讲解,2014年11月,目录,资历大型外资银行开发中心,系统分析师及高级软件工程师,核心银行系统开发、二线支持。
四大会计师事务所IT风险咨询部门,咨询顾问专业领域IT审计,IT流程咨询ISO20000,ISO27001认证咨询服务SOX,C-SOX和PN21等合规审计中的IT审计服务。
专业资格国际注册信息系统审计师(CISA)注册信息系统安全专家(CISSP)注册内部审计师(CIA)ITILV3Foundation认证,中钞信达体系认证项目,主标题,明确目标:
拿证or落地有的放矢:
审核员的关注点端正态度:
与审核老师的沟通心态放好:
ISO20000与ISO27001认证的通过情况项目进度说明,目录,1,3,ISO20000带来的变化与需配合事项,2,ISO20000认证和审核步骤介绍,ISO20000体系介绍,ISO20000带来的变化与需配合事项,ISO20000认证和审核步骤介绍,目录,ISO20000体系介绍,ITILInformationTechnologyInfrastructureLibrary即信息技术基础构架库,由英国政府商务办公室最初在二十世纪80年代发布的一套IT服务管理的最佳实践指南。
ITIL在全球是最为广泛的用于提供IT服务的管理方法。
ISO20000IT服务管理体系简介-什么是ITIL,ISO20000IT服务管理体系简介-什么是ISO20000,ISO20000是国际标准组织基于IT服务管理最佳实践提出的一套IT服务管理标准。
它从服务的视角出发,将IT服务归纳为13个管理流程,并结合ISO体系的PDCA循环,形成一套IT服务管理的标准要求。
ISO20000标准体系是基于ITIL最佳实践与BS15000英标体系进行构建的,并于2005年12月由ISO组织发布的第一部具有国际权威性的IT服务管理体系标准。
“用标准来管理IT,像制造产品一样生产IT服务”,ISO20000提供第三方进行验证的独立标准。
ITIL提供IT服务管理的最佳实践。
ITIL并非获得ISO20000的必经之路,但导入ITIL会有更健全的服务基础,且更易于取得认证。
验证标准,最佳实践,ISO20000IT服务管理体系简介-ISO20000与ITIL的关系,服务、服务管理与IT服务管理,一整套专门的组织能力,并以服务的形式为客户提供价值。
实施和管理优质的IT服务,以满足业务的需要。
IT服务管理由IT服务提供者来实施,依赖于合适的人员构成、服务流程以及信息技术。
IT服务管理,服务管理,为客户提供价值的一种手段,使客户不用承担特定的成本和风险就可方便的获得希望的结果。
服务,IT服务管理名词定义,流转和处理,IT组织化的能力和措施,流程、职能和服务,服务1,服务3,服务x,服务2,技术手段,第三方服务,输入,流转和处理,输出,流程模型和特征,流程是指一系列为达成同一目标而进行的相关活动。
一个流程由一个事件或一个条件出发,流程结束后会达成一个结果。
每个流程的管控和衡量依赖于该流程结果相关的KPI。
流程中的角色,负责规划流程。
控制流程的日常活动和运营,也撰写报告帮助流程所有者比较流程的实际执行效果与预期的结果。
负责执行定义好的流程活动,向流程经理汇报。
流程执行者,流程经理,负责流程的结果/输出。
定义流程的活动,以及负责最终确认流程的实际结果是否与期望的结果相符合,同时不断改进流程和指标。
流程所有者,ISO20000IT服务管理体系简介-ISO20000IT服务管理体系实施范围,ISO20000IT服务管理体系简介-各流程要点介绍,事件管理(Incidentmanagement)流程目的:
尽快恢复业务的运营,最小化对业务运营的消极影响,以保证服务质量和服务水平。
流程主要内容:
事件来源:
用户报告(电话、服务台系统),监控系统报警等处理流程:
创建、受理、分析、处理、升级、解决、关闭事件记录:
流程涉及人员、事件优先级、分类、处理方案、状态、关键节点时间,问题管理流程目的:
通过问题根本原因的处理,避免重复发生的事件,最小化可能由问题造成对服务水平的影响。
流程主要内容:
问题来源:
事件(重复发生、重大事件),测试发现,监控系统报警等处理流程:
创建、受理、分析、处理、升级、解决、知识库更新、关闭问题记录:
流程涉及人员、问题优先级、分类、处理方案(知识库解决方案更新)、状态、关键节点时间,练习题,你是某个IT组织中的服务台人员。
有一个用户呼叫电话说它的某个终端设备不能使用了。
请问这是一个?
事件已知错误问题变更请求,主标题,练习题,一个良好的事件管理流程将可以:
确保事件像处理紧急变更一样进行处理快速地诊断事件发生的潜在原因在事件发生后尽快地恢复正常的服务运作以上三项都是,主标题,练习题,下列哪项活动属于事件管理的职责?
变更在基础架构中的应用检测事件产生的原因识别事件背后的潜在问题事件的排除,主标题,练习题,“已知错误(KnownError)”与“问题”在ISO20000中的不同之处表现在哪些方面?
导致已知错误的潜在原因是已知的,而导致问题的潜在原因是未知的已知错误与IT基础架构中出现的错误有关,而问题则与其无关已知错误通常某个事件,而问题则不完全是这样的对问题而言,与其有关的配置项已经发现和确认,而与已知错误有关的配置项通常仍未发现,主标题,练习题,以下哪项活动属于主动问题管理?
处理变更请求(RFC)进行趋势分析,发现潜在的事件的问题跟踪所有的事件和服务中断尽量减少由于IT环境的变更而造成的服务中断,主标题,练习题,当导致某个问题产生的原因发现后,此问题的状态转变以下哪种?
事件已知错误已解决的变更请求,主标题,练习题,一个用户向服务台抱怨说,当他使用某个应用系统的时候,有一个错误总是反复地出现,从而导致网络连接的中断。
下面哪个流程负责检测该错误产生的原因?
事件管理网络管理问题管理系统开发,主标题,ISO20000IT服务管理体系简介-各流程要点介绍,变更管理(ChangeManagement)流程目的:
一方面对用户需求的变化做出快速响应,另一方面通过变更减少事件的发生及不必要的重复工作等,从而使变更的效益最大化流程主要内容:
变更来源:
用户提出的需求,事件、问题的解决方案,系统升级、扩容等处理流程:
计划、申请、评估、审批、开发、测试、上线、关闭变更记录:
流程涉及人员、变更分类、优先级、各步骤控制记录、状态、关键节点时间,发布管理(ReleaseManagement)流程目的:
通过对发布合理计划,对变更的上线进行合理、有效的安排,在受控条件下将变更的发布包部署在目标环境中。
流程主要内容:
发布来源:
准备转移到生产环境的变更处理流程:
计划、测试结果、回退计划、上线前审阅、上线发布、上线后审阅发布记录:
流程涉及人员、发布计划、关联的变更、状态、关键节点时间,ISO20000IT服务管理体系简介-ISO20000IT服务管理体系实施范围,练习题,当某个软件包的最新版本被安装到某个台式机时,它可能会影响其它软件包。
哪个流程负责检查和判断其它软件包是否有必要测试或者重新安装?
变更管理IT服务持续性管理问题管理发布管理,主标题,练习题,哪个IT服务管理流程负责检查变更请求(RFC)的合理性、可行性和必要性?
变更管理事件管理问题管理配置管理,主标题,练习题,以下哪项变更必须经变更管理流程批准后才能实施?
用户录入数据到数据库中改变密码给系统增加一位新用户将打印机从二楼移到三楼,主标题,练习题,下列哪项活动属于发布管理流程?
检查组织内部的电脑上是否使用了非法软件在组织内部的电脑上安装原版软件记录哪些软件版本是可用的,主标题,练习题,下面哪一项不是发布管理流程的目标?
评估软件变更的影响与变更管理协商软件发布的具体内容为在组织内部分发软件变更设计和实施有效的程序防止软件病毒进入组织,主标题,配置管理(Configurationmanagement)流程目的:
定义并管控服务的各个组件,维护服务与基础架构的配置项在历史记录、计划状态以及当前的配置信息的准确性。
流程主要内容:
配置项包括:
软件信息、硬件信息、人员信息、受控文件信息等主要活动:
配置项建立,配置项维护,配置管理数据库审计配置项信息:
配置项名称、属性、负责人(部门)、当前状态、历史版本、变更记录等,ISO20000IT服务管理体系简介-各流程要点介绍,ISO20000IT服务管理体系简介-ISO20000IT服务管理体系实施范围,ISO20000IT服务管理体系简介-各流程要点介绍,问题发生时,怎样快速有效地定位故障,找出解决方案?
日益复杂的IT环境,怎样有效管理(系统组成,相互关系等)?
怎样正确了解IT服务的成本,从而在需要的时候进行正确决策?
怎样快速评估某一IT设备/系统的故障对业务或其他系统产生的影响?
在实施变更时,怎样有效评估其所带来的影响/风险?
怎样确定一个服务的IT设备/系统的组成情况,以确定服务级别目标(SLO)?
ISO20000IT服务管理体系简介-各流程要点介绍,数据库,广域,ISO20000IT服务管理体系简介-各流程要点介绍,练习题,可以从哪个数据收集工具提取统计信息用来深入了解IT基础设施的结构和组成?
能力管理数据库(CMD)配置管理数据库(CMDB)最终硬件库(DHS)最终软件库(DSL),主标题,练习题,配置管理数据库(CMDB)中的哪个属性有助于查明某个时刻的哪些配置项正在进行维护?
购买日期责任人(Owner)位置状态,主标题,练习题,由于产品本身的问题,用户现有的声卡被一块新的声卡替换。
为方便以后参考,需对这块由另外一个制造厂商生产的新声卡进行登记。
请问这项工作应由哪个流程负责执行?
变更管理配置管理事件管理问题管理,主标题,练习题,某个组织内即将安装一批新的PC。
下列哪项活动不属于配置管理的职责?
检查有关这些PC的相关数据的完整性和准确性检查这些PC是否能够正常工作给这台PC命名并记录有关这些PC的相关数据记录关于这些PC的相关数据的状态并确保这些状态的安全,主标题,练习题,下列哪项是配置基线?
配置管理数据库中的标准配置标准配置项的描述以交付的一系列配置项有关一项产品或服务的“快照”,以作为配置审计和变更回撤的基准,主标题,ISO20000IT服务管理体系简介-各流程要点介绍,服务级别管理(ServicelevelManagement)流程目的:
确保IT服务组织提供的所有服务都达到了其承诺的水平,同时确保对未来服务水平的承诺是可以达到的。
流程主要内容:
确定服务级别协议:
确定用户对服务水平的需求,确定自身能力可完成的服务级别指标,协商确定服务级别协议监控服务级别指标:
通过对KPI的监控了解服务水平执行情况改善服务水平:
了解服务可改善环节,制定整改措施,并纳入持续改进计划,服务报告(ServiceReport)流程目的:
对IT服务各流程运行情况进行总结、分析,使IT服务用户了解IT服务执行情况,帮助管理者了解IT服务管理体系运行现状及改进方向。
流程主要内容:
对外服务报告:
IT服务内容介绍,IT服务请求完成情况,SLA主要指标完成情况等对内服务报告:
IT服务请求完成情况,SLA主要指标完成情况,IT服务管理体系各流程主要问题与改进计划等,ISO20000IT服务管理体系简介-ISO20000IT服务管理体系实施范围,SLA模板示例,服务目录模板示例,ISO20000IT服务管理体系简介-各流程要点介绍,ISO20000IT服务管理体系简介-SLA主要活动,ISO20000IT服务管理体系简介-SLA主要活动,服务级别协议(SLA)由IT部门和客户之间签订的描述将要提供的一项或多项服务的一份协议;用非技术语言进行描述;在协议期间它可作为评价和调整IT服务的标准。
运营级别协议(OLA)ITSP与IT部门内部某个具体的职能或岗位就某项IT服务所签订的协议;支持IT部门提供各种服务;是对SLA的细化。
支撑合同(UC)与外部提供商就某项服务的供应所签订的合同;通常是正式的合同,而SLA和OLAs通常不是法律文本。
SLA:
ServiceLevelAgreementOLA:
OperationLevelAgreementUC:
UnderpinningContract,服务B,服务A,服务C,IT基础架构,练习题,服务级别经理已经与客户签订服务级别协议(SLA),但IT部门却不能满足服务级别协议(SLA)中规定的要求。
导致这种情况出现的主要原因是采购部门每个月只购买一次硬件,而IT部门经常不能等到那个时候才拿到所需要的硬件,因为服务级别协议(SLA)已经规定要“按需”供应。
为了避免这种情况,IT部门应与购买部门共同签订或审查哪些问题?
运作级别协议(OLA)服务级别需求(SLR)服务说明书(ServiceSpecificationSheet)支持合同(UC),主标题,练习题,服务级别协议(SLA)中包含以下哪项?
关于所要提供的服务的内容过去某个时期的可用性统计对TCP/IP协议的详细的技术性描述有关设立服务级别管理流程行动计划(SQP),主标题,练习题,网络部门与外部组织就提供内部服务方面达成协议,将在何处说明此协议?
运作级别协议服务级别协议服务级别需求支持合同,主标题,练习题,考虑下列说法:
1.SLA应该定义协议双方的角色和职责2.对SLA的实现情况应该进行监控,定期制作服务级别报告并报送相关人员3.在SLA签订之前应该对支撑合同进行评审没有一个是正确的1和2是正确的2和3是正确的上述三个说法都是正确的,主标题,练习题,下列哪项是配置基线?
配置管理数据库中的标准配置标准配置项的描述以交付的一系列配置项有关一项产品或服务的“快照”,以作为配置审计和变更回撤的基准,主标题,ISO20000IT服务管理体系简介-各流程要点介绍,IT服务预算与财务管理流程目的:
通过对IT服务预算、核算的管理,对IT的项目实施、运维服务、支持服务等的成本、效益进行有效的评估和控制。
流程主要内容:
制定预算:
以IT服务的视角,考虑服务资源、IT组件、运维成本、外部服务成本等预计支出预算使用控制成本核算:
根据预算,对IT服务成本进行核算,确保不出现不合理的大的偏差,能力管理(CapacityManagement)流程目的:
对IT服务所需人员、经费、技术等方面的需求进行管理,确保IT服务组织有足够能力满足IT服务水平的需求。
流程主要内容:
制定能力计划:
制定和维护一个恰当的,与时俱进的,能够反映当前和将来业务需求的能力计划,应包括人员需求、财务需求、技术需求等方面协助诊断和解决与能力相关(性能、容量等)的事件或问题,ISO20000IT服务管理体系简介-ISO20000IT服务管理体系实施范围,在一个IT组织内部,财务管理流程通过以下三个主要的子流程来得以实施的:
预算会计核算计费,ISO20000IT服务管理体系简介-IT服务预算与财务管理流程,CDB,有关BCM、和的计划,ISO20000IT服务管理体系简介-能力管理流程,练习题,概念不属于IT服务的预算及核算管理?
预算编制计费采购核算,主标题,练习题,下面哪个说法是错误的?
为核算IT服务的成本,计费是必要的IT服务预算和成本核算对于实施有效的服务管理是非常重要的在实施计费之前最好进行IT服务预算和核算计费可以实现成本的回收,主标题,练习题,下面关于IT服务的预算及核算管理表述中哪一项是不正确的?
IT服务财务经理需要负责确认和计量IT成本并为所提供的IT服务制定价格为了能够建立IT服务预算和核算体系,应该先签订SLA和OLA只有当对客户使用的服务进行计费时才有可能提高成本意识IT服务的预算及核算管理必须在建立成本核算模型之前与客户就收费问题达成协议,主标题,练习题,哪个流程负责为需求中的IT服务的购买事宜制定(长期)计划?
可用性管理能力管理配置管理服务级别管理,主标题,练习题,由于需要安装新的计划性的软件包的发布,需要对网络服务器进行升级。
下面哪个流程负责调查网络服务器中所需要的磁盘空间?
能力管理网络管理可用性管理服务级别管理,主标题,练习题,某钢铁公司被竞争对手兼并。
IT部门以及两个公司的IT基础架构需要整合,IT基础架构整合后运行应用程序所需要的磁盘空间将由下列哪项流程决定。
应用管理能力管理计算机操作管理发布管理,主标题,练习题,下列有关能力管理的使命的描述正确的是?
确保符合客户需求的成本合理的IT能力总是存在确保在当前的采购周期内拥有充分的IT能力来满足客户的需求确保在需求的高峰时期也具有充分的IT能力,并且是以最低的成本提供这种能力,主标题,ISO20000IT服务管理体系简介-各流程要点介绍,连续性与可用性管理流程目的:
维护IT服务连续性计划和灾难恢复计划以支持公司整体的业务连续性计划。
对IT服务可用性指标持续监控以保证承诺的服务级别指标可以达成。
流程主要内容:
IT连续性计划及灾难恢复计划:
通过风险评估、业务影响分析,制定并演练IT连续性计划可用性指标管理:
确定SLA中对可用性指标的需求,对可用性指标进行监控,提出改进方案优化IT服务可用性水平,信息安全管理流程目的:
IT服务管理流程满足信息安全管理的要求。
流程主要内容:
确定信息安全需求:
以信息安全的视角,考虑IT服务管理体系的各流程对于信息安全的需求,并制定相应要求与ISO27001信息安全管理体系融合:
根据的ISO27001信息安全管理体系,结合ISO20000IT服务管理体系,对IT服务流程中的安全要求进行规范,ISO20000IT服务管理体系简介-ISO20000IT服务管理体系实施范围,ISO20000IT服务管理体系简介-可用性概念框架,ISO20000IT服务管理体系简介-可用性设计,练习题,以下哪一项是IT服务持续性管理流程的活动?
通知终端用户有关系统故障方面的情况将后备方案(FallbackArrangement)文档化提供可用性方面的报告确保配置项始终是最新的,主标题,练习题,关于IT服务持续性计划,某个灾难的严重程度取决于:
灾难持续的天数恢复灾难可用的人员数量灾难的类型,如洪水、火灾等对客户业务的影响,主标题,练习题,在哪两个服务管理流程中最有可能用到风险分析和风险管理方法?
变更管理和成本管理可用性管理和IT服务持续性管理事件管理和变更管理服务级别管理和IT服务持续性管理,主标题,练习题,保密性是安全管理流程要实现的目标之一。
以下哪项正确地说明了“保密性”这个术语的含义?
对数据的保护以防止未经授权的访问和使用随时访问数据的能力验证数据正确性的能力数据的正确性,主标题,练习题,某公司财务管理数据只能提供给授权的用户,安全管理采取措施来确保这点。
这样做可以确保数据的哪个方面的安全性得到保证?
可用性完整性稳定性机密性,主标题,ISO20000IT服务管理体系简介-各流程要点介绍,业务关系管理流程目的:
了解用户对于IT服务的评价,对IT服务的改进需求,以及随着市场环境变化可能产生的新的需求,从而不断提高用户的满意度。
流程主要内容:
用户投诉:
设立投诉渠道,对用户在使用IT服务过程中遇到的问题进行有效的沟通,并及时进行处理和反馈满意度调查:
定期对IT服务满意度进行调查,作为服务持续改进的输入新服务需求:
建立机制,对用户可能产生的新的服务需求早作准备,迅速响应,供应商管理流程目的:
通过对供应商的管理,确保其向IT服务组织提供的服务能够满足IT服务组织向用户承诺的服务水平。
流程主要内容:
合格供应商评估:
对供应商资质进行评估,确保准入供应商服务评估:
对服务供应商提供的服务进行评估,确认其服务水平达到其对IT服务组织承诺的水平,ISO20000IT服务管理体系简介-ISO20000IT服务管理体系实施范围,ServiceSupport流程,业务、客户和用户,事故问题和已知错误变更发布配置项关系,ServiceDelivery流程,ITSM流程模型,IT服务连续性管理,用户,客户,应用管理,服务级别管理,IT服务财务管理,能力管理,可用性管理,配置管理,变更管理,安全管理,事故管理,问题管理,服务台,网络管理,CRM,服务支持,服务提供,发布管理,ISO27001与ISO20000的整合,ISO/IEC27001:
2005版的11个方面:
1)安全方针7)访问控制2)信息安全组织8)信息系统获取、开发和维护3)资产管理9)信息安全事故管理4)人力资源安全10)业务连续性管理5)物理和环境安全11)符合性6)通信和操作管理,主标题,ISO20000带来的变化与需配合事项,ISO20000认证和审核步骤,目录,ISO20000体系介绍,ISO20000模拟审核及认证审核,项目实施与认证机构的认证安排,ISO20000体系建立及运行,PLAN,CHECK,ACT,确定范围,现状调研,成熟度评估,差距分析,差距整改,实施ISO20000体系,试运行,复核认证范围,文档准备,内审,正式审核&颁发证书,管理评审,持续改进,关键控制点,定期审核,ISO20000带来的变化与需配合事项,ISO20000认证和审核步骤介绍,目录,ISO20000体系介绍,ISO20000给公司带来的变化-以小的付出换取大的价值,ISO20000IT服务管理体系的建立,必然会带给企业一定程度的变革,任何变革都会有利有弊。
为了让IT服务管理体系的实施给企业带来最大化的价值,一方面在引入国际最佳实践的同时需要充分考虑企业现状和方案的可行性,最小化变革可能带来的影响,另一方面通过有力的贯彻和执行,使变革达到预期的效果。
ISO20000IT服务管理体系的建立可能会带来以下一些变化:
“不好”的方面:
个人工作量可能有所增加“岗位职能”与“流程角色”双重身份工作方式、方法可能需要改变工作质量、效率标准可能逐渐提高,“好”的方面:
知识库积累,工作效率逐渐提高KPI指标积累,管理决策有据可循服务报告完善,客户满意度提高流程规范,IT服务体系成熟度逐渐提高数据充分,对资源进行有效分配和管理,ISO20000给公司带来的变化-IT服务管理体系实施需要的配合和支持,ISO20000IT服务管理体系的成功实施离不开公司同事的大力支持和配合。
在体系梳理和体系建设阶段,需要各部门配合、支持的工作主要包括以下方面:
体系建设与优化阶段主要活动:
流程设计与整改需配合事项:
1.确认各个流程中的角色(流程经理、流程参与人、具体角色)2.参与流程设计的讨论(流程步骤和活动、流程KPI、流程角色、流程产出物)3.参与流程相关表单、模板的设计4.对流程设计结果给出反馈建议,ISO20000给公司带来的变化-IT服务管理体系实施需要的配合和支持(续),ISO20000IT服务管理体系的成功实施离不开公司系统运营部各位同事的大力支持和配合。
在体系梳理和体系建设阶段,需要各部门配合、支持的工作主要包括以下方面:
内审、管理评估和外审阶段主要活动:
审核与问题整改需配合事项:
1.内审员共同参与内审全过程,全部了解内审的具体内容;2.各部门负责配合内审事项,全面开展内审工作;3.各流程负责人需要完全掌握各流程设计和运行情况,以顺利通过外审;4.体系运行阶段,各流程负责人需确保所负责流程按照流程要求进行执行,并保存完整记录;5.各部门需要对内审、外审的发现进行整改,确保体系得到有效的运行与持续改进。
问题讨论Q&A,
升级会员 