浅谈基于ITIL的规范运维保障体系在企业中的建设与应用

彭国勇

摘要：该文通过对质量管理体系、ITIL和信息系统安全等级保护三套标准进行分析，提出了一种以质量管理体系为框架，ITIL流程控制为主线，等级保护管理标准为保障的综合运维保障体系建设方法。并通过梳理实施过程中各项主要工作的关系，根据分段实施、稳步推进原则，总结了一条可操作、可落地的规范运维保障体系实施路线。

关键词：质量管理；规范运维；企业

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）09-2028-03

大多企业经过十余年的信息化发展，大规模的信息化建设基本完成，即将面临着长期的系统运行维护的问题。但与信息系统建设的较高水平相比，还普遍存在IT服务管理较弱的问题，缺乏有效的管理手段与方法，这就使信息化的投入充满了很大的不确定性，也使信息化效果很难控制。因此，如何对企业庞大的技术系统进行科学、高效的管理，从而发挥它的最大效能，降低运营成本，是当前企业信息化过程中必须面对的挑战。

1 三套标准在运维体系中的适用性分析

ISO9000质量管理体系标准在各企业和单位中的运用非常广泛，是对整个单位运作、服务过程进行质量控制管理的体系，通过质量手册、文件控制、记录控制等方面为管理对象的实施提供指导，侧重于对宏观运作流程的控制，但不包括各专业业务层面的特定要求。

ITIL作为一种以流程为基础、以客户为导向的IT服务管理指导框架，它摆脱了传统IT管理以技术管理为焦点的弊端，实现了从技术管理到流程管理，再到服务管理的转化，适用于IT服务管理和服务流程的控制。

等级保护管理体系是对信息系统的科学、安全运行进行监督和控制的体系，从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面为信息安全专业层面提供指导，适用于运作流程中各节点的安全控制。其中的保护等级划分，也为信息安全投入和安全保障水平提供了平衡点。

对于已经实施ISO9000的单位，信息化职能部门在ISO9000贯彻实施时往往与自身信息化业务无法融合，即便进行了融合也常以信息化的一般性运维工作为主，没有考虑规范化安全运维工作在整个单位和组织质量控制体系中的重要性。因此将ITIL、等级保护思路与ISO9000融合，即可具体落实ISO9000体系中的流程控制，也可以弥补等级保护在体系要求、文件控制和记录控制等方面的薄弱环节，同时完善ISO9000体系中对信息安全领域的专业性，最终形成以质量管理体系为框架，ITIL流程控制为主线，等级保护管理标准为保障的综合运维保障体系。

2 规范运维保障体系架构设计与文件体系建设

结合三套标准的特点进行运维管理架构设计时，在体系结构层面要考虑运维体系的建设周期、各标准在运维体系中所处的层次、每个层次要达到的要求及PDCA方法论等。在服务流程层面要考虑结合企业的现状，IT服务支持模式和管理流程及最佳实践等。在具体操作层面要考虑响应方式、实现工具、安全要求、监控方法等。将三大标准体系体系结构层面设计：在整个运维生命周期中，包括运维体系建设、运维支持管理、运维成效管理及运维持续改进四个阶段。这四个阶段形成一个PDCA持续改进的管理循环。通过建立检查、反馈机制，对信息安全管理体系运行情况进行监督和控制，建立动态调整机制，确保信息安全管理体系符合新形势、新技术发展要求。

服务流程层面设计：系统运维的服务流程是信息化工作部门和服务供应商向业务部门的服务交付和支持过程，通过建立“一站式”的服务台和规范的流程程序，提高IT部门对事件的响应能力和IT运维工作的规范性，防范手工方式出现对用户请求的遗忘，以及非规范的操作引起的系统风险，同时要帮助信息化工作部门实现运维知识的积累和共享，提升运维和管理的整体水平。

具体操作层面设计：在系统运行维护中，各项工作（事件、变更等）的处理程序、操作步骤、完成时限及服务要求等，均要制订相应的标准和规范，在涉及安全管控点时，可通过建立符合信息系统等级保护要求的安全配置基线，统一信息系统建设和运行技术配置标准。

按照上述三个层面之间的关系，落实到文件体系中时，可以质量管理体系为总体框架，将体系文件分为三个级别：一级程序文件为纲领性文件，用于描述整个体系架构运作流程和运维方针策略。主要包括信息化建设与管理程序，信息系统运维管理程序，涵盖信息化建设与运维全过程。二级程序文件按ITIL流程管理为主线，为一级程序提供可操作的流程化文件。主要包括：项目管理、事件管理、问题管理、配置管理、发布管理、变更管理、应急管理等流程。三级流程涉及具体操作规范，落实二级流程文件中涉及的各方面运维和安全管理内容。主要包括：沟通管理、授权与审批管理、文件规范性管理、介质管理、资产管理、网络管理、系统管理、安全事件与应急管理、备份与恢复管理等方面。记录表单为实际运维过程的记录。各级文件组成结构如图2所示。

文件体系是运维体系架构的管理体现，是管理落地的基础，也要运用PDCA管理。

3 规范运维保障体系ITIL流程设计

要想管理体系得到贯彻执行，就要对规范化运维流程进行科学有效的设计。因为流程是管理的终端，主要解决的是管理固化问题。而ITIL作为事实上的国际标准，基本与组织性质和业务性质无关，仅明确指出应该“做什么”，但不讲“如何做”。因此流程设计时还要结合企业的现状，本着一切从实际出发的原则，考虑企业对IT服务管理的切身需求，按照最佳实践和企业的实际设计出的合理的IT服务支持模式和管理流程，建立自己的方法论。

在具体的规范流程设计过程中，首先要考虑的是人员岗位职责。应用服务管理之后，IT部门的组织架构、职能、工作方式都会随之发生一定变化。建立规范的流程，需要确定IT支持人员和管理人员的职责，通过流程角色的设置，而不是单纯依靠组织结构的设置来把角色和职务分开。同时制定配套的人员角色和职责及考核机制，以实现对人员的量化管理和资源的有效利用。

其次是确定提供服务的管理流程。在ITIL中已归纳为服务级别管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理5个服务管理流程。这些管理流程用于解决“客户需要什么”、“为满足客户需求需要哪些资源”、“这些资源的成本是多少”、“如何在服务成本和服务效益（达到的服务级别）之间选择恰当的平衡点”等问题，服务提供所包括的这5个核心流程均属于战术层次的服务管理流程，用以确定服务级别协议及满足服务要求所需要的最优资源，也就是说如何做正确的事。

再次是确保用户得到适当的服务支持以保障组织业务功能。服务支持流程体现服务接触和沟通的5个运作层次的流程，即事件管理、问题管理、配置管理、变更管理和发布管理。这5个服务管理流程的主要职能是，确保IT服务提供方所提供的服务质量，符合服务级别协议（SLA）的要求，即如何正确的做事。ITIL核心流程之间的层次关系如图3所示。

最后是引入服务台、服务连续性管理等流程自动化工具，以系统工具来固化流程，再不断完善流程。同时要关注工具之间的联动和信息整合，如果可能，尽早的进行统一的规划，建立集成规范要求，以保证投资在未来得到充分保护，不被浪费。

所以，ITIL的应用过程和效果的获得，不是简单的单纯通过项目建设能够达到的，是企业信息中心部门、咨询服务提供商、产品提供商等多方共同努力的结果，也是一个持续改进、不断优化的长期过程。

4 构建信息系统等级保护为基础的防护体系

保障体系要结合管理体系和ITIL流程，落实安全技术及管理要求。可依据分级、分域、分区、分层的防护原则，对运维的信息系统按级别划分安全区域进行管理，各安全域划分为网络边界、网络环境、主机系统及应用环境四个安全层次，最后形成纵深防御体系。

在技术上可通过强化边界访问控制、规范网络访问行为、强制主机管理、构建应用授权和身份认证平台、加强审计监控等措施构建协同防御。每个安全保护部件或设备应具有安全保护功能独立完整、调用接口简洁、与安全产品相对应和易于管理等特征，在后期综合运维服务与监控平台集成建设中能够保障数据的共享和协同防御。在管理上通过建立综合运维服务与监控平台。将机房环境监控系统、网络管理系统、性能监测与管理系统、入侵防御系统等监控与管理的系统告警和性能监测数据进行整合，梳理各个资源之间的告警关系，进行集中监控告警模型设计，并可进行工具产品的客户化定制，实现集中监控管理和指挥控制，为运维体系安全运行提供全面的管理保障。

5 规范运维保障体系实施路线

在实施阶段，要考虑若一次性全部实施所有流程带来的风险，可采用分阶段实施的方法，做到稳步推进，以便取得良好效果。大致可分为前期准备阶段，全面试运行阶段，正式运行及扩展阶段，综合优化调整阶段。

1）前期准备阶段

明确参与运维工作人员的岗位职责，做到权限分离。开展等级保护测评并根据等级保护要求制定安全配置基线及相关操作规范。根据等级保护测评结果，按照分级、分域、分区、分层原则制定安全技术基础平台整体解决方案，在管理与技术上提供安全依据。试运行ITIL运维管理五大流程，检验工作流程的可操作性。梳理清楚管理对象，完善资产配置管理，确定运维管理的范围。

2）全面试运行阶段

全面开展规范化运维工作，在运维平台中体现所有运维工作并力争全员参与，做到运维职责明确，流程处理程序规范，操作标准，过程有痕迹并制定合理的绩效考核方案。在日常运维工作中查找不足，提供改进意见，不断完善质量目标文件、流程体系文件和操作手册。充分发挥知识库作用，将常见问题解决方法进行归纳总结并上传至知识库，做到知识共享。同时实施完成安全技术基础平台，实现安全管理中心与运维平台互联互通问题，保证安全要求融入运维流程中。

3）正式运行及扩展阶段

全面运行完善后的ITIL运维管理五大流程，结合ISO20000相关运维标准，构建信息化运维服务运维服务体系，规范化、标准化、痕迹化运维管理工作。运用PDCA过程，进一步细化调整管理体系，总结体系运行情况，调整不适用和无法落实的部分，使之能高效、有序的运作。同时定期通过第三方机构对已测评的信息系统开展等级保护复评，找出所有系统的安全隐患，并提出整改方案和实施计划，督促信息安全措施的落实。

4）综合优化调整阶段

总结前期的规范化运维工作，调整不适用的部分，常态化的管理体系运作。定期进行内部评审，找出与当前工作的不适用部分进行优化调整；同时在工作中，结合工作实际，寻求更高效安全的方法优化体系，提高体系的效能。

综合上述实施阶段，确定实施路线图如图4所示。

参考文献：

[1] 陈忠义.基于ITIL的ITSM与IT设施监控[J].计算机安全，2008.1

[2] 叶永生.基于ITIL方法的运维服务系统研究与设计[J].现代计算机（专业版），2012.3.