一、运行维护标准

运行维护是信息系统全生命周期中的重要阶段,对系统主要提供维护和技术支持以及其它相关的支持和服务,是截至目前为止企业申请ITSS认证最多的业务领域。

运行维护服务的主要内容包括基础设施、硬件平台、基础软件、应用软件等IT基础设施,以及依赖于IT基础设施的数据中心、业务应用等信息系统,其范围可以是单个IT基础设施的运维,也可以是整体IT基础设施和业务应用的总体运维。运行维护服务交付内容主要包括咨询评估、例行操作、响应支持和优化改善。

主要运行维护专业标准介绍如下:

1、通用要求

本标准为运行维护服务组织提供了一个运行维护服务能力模型,规定了运行维护服务组织在人员、资源、技术和过程方面应具备的条件和能力。

ITSS通用运行维护服务能力模型

标准主要内容:

运行维护服务是供方依据需方提出的服务级别要求,采用相关的方法、手段、技术、制度、过程和文档等,针对运行维护服务对象(应用系统、基础环境、网络平台、硬件平台、软件平台、数据等)提供的综合服务。为确保提供的运行维护服务符合与需方约定的质量要求,供方应具备实施运行维护服务的基本条件和能力。

要素:模型给出运行维护服务能力的四个关键要素:人员、资源、技术和过程,每个要素通过关键指标反映运行维护服务的条件和能力。这四个要素间的相互关系为:在供方范围内,人员利用资源和运用技术,按照既定的过程为需方提供信息技术运行维护服务。

关键指标:是运行维护服务所涉及到的核心能力参数,在本部分中主要体现在人员、资源、技术、过程四个方面,并应用于供方的运行维护服务能力评价。

管理原则:在运行维护服务提供过程中,供方通过策划、实施、检查和改进实现运行维护服务能力的持续提升。

本标准适用于:

1)计划提供运行维护服务的组织建立运行维护服务能力体系;

2)运行维护服务供方评估自身条件和能力;

3)要求供应链中所有运行维护服务供方具备一致的条件和能力的组织;

4)运行维护服务需方评价和选择运行维护服务供方;

5)第三方评价和认定运行维护服务组织能力。

本标准已颁布,国家标准号为:GB/T 28827.1,颁布日期为2012年11月5日,实施日期为2013年2月1日。

2、交付规范

本标准给出了运维服务供需双方从服务级别协议签署到结束的过程中,对交付管理的策划、实施、检查和改进方面提供的原则框架,以及对交付内容、交付方式、交付成果给出的指导建议。本标准除了为运维服务需方和供方提供参考依据外,还可以为运维服务质量的评估、审计人员提供指南。

标准主要内容:

供方根据对服务级别协议需求的理解,通过交付过程的策划、实施、检查和改进四个关键环节的管理,以现场或远程交付方式为手段,向需方提供满足服务级别协议的交付内容和交付成果。

交付管理:供需双方通过对服务交付的策划、实施、检查和改进以保障服务级别协议的达成。

交付内容:供方根据服务级别协议要求,向需方提供的例行操作服务、响应支持服务、优化改善服务和咨询评估服务。

交付方式:供方根据服务级别协议要求,采用现场支持和远程支持方式向需方提供服务。

交付成果:供方根据服务级别协议要求,向需方提供的无形和有形的交付成果。

本标准适用于:

1)使需方和供方对运维服务交付标准达成一致;

2)为需方和供方提供运维服务交付的最佳实践和质量评估依据。

本标准已颁布,国家标准号为:GB/T 28827.2,颁布日期为2012年11月5日,实施日期为2013年2月1日。

3、应急响应规范

本标准规定了应急响应的基本过程和管理方法,包括应急准备、监测与预警、应急处置和总结改进等内容。

标准主要内容:

应急响应各阶段的工作内容如下:

1)应急准备阶段:组建应急响应组织,确定应急响应制度,系统性识别运行维护服务对象及运行维护活动中可能出现的风险,定义应急事件级别,制定预案,开展培训和演练;

2)监测与预警阶段:进行日常监测,及时发现应急事件并有效预警,进行核实和评估,以规定的策略和程序启动预案,并保持对应急事件的跟踪;

3)应急处置阶段:采取必要的应急调度手段,基于预案开展故障排查与诊断,对故障进行有效、快速的处理与恢复,及时通报应急事件,提供持续性服务保障,进行结果评价,关闭事件;

4)总结改进阶段:对应急事件发生原因、处理过程和结果进行总结分析,持续改进应急工作,完善信息系统。

在上述四个阶段中,每个阶段都包括若干重点任务,这些任务覆盖了日常工作、故障响应和重点时段保障等不同类型的活动。

本标准适用于:

1)指导在经济建设、社会管理、公共服务以及生产经营等领域重要信息系统运行维护服务中的应急响应实施和管理;

2)组织为满足应急响应实施需要而开展的信息系统完善和升级改造工作。

本标准颁布,国家标准号为:GB/T 28827.3,颁布日期为2012年11月5日,实施日期为2013年2月1日。

4、数据中心规范

本标准通过例行操作、响应支持、优化改善、咨询评估四种服务类型对数据中心运维对象提供服务,以保证数据中心连续、稳定、高效及安全的运行。

标准主要内容:

本标准定义了数据中心运维服务对象与服务类型、运维服务策略、运维服务内容及服务报告,为数据中心运维服务提供标准支撑。

运维服务基本目标本标准定义的运维服务基本目标包括以下四方面:

及时:供方应采取适当的手段确保提供满足SLA时间指标要求的运维服务;

规范:供方应建立适当的服务管理过程、服务活动指导文件或实施规则,以保证服务过程的规范运作;

安全:服务的供、需双方应采取各种安全手段或措施,有效控制数据中心运维服务的各个环节,保护数据中心运维服务中的物理安全、网络安全、系统安全、应用安全和数据安全;

可用:供方应采取适当措施,确保按服务协议提供长期、持续的优质服务,保持服务对象符合SLA的可用性要求。

运维服务内容:

本标准定义的运维服务内容包括机房基础设施、网络及网络设备、服务器及存储、数据库、中间件、数据、应用软件。

基本活动包括例行操作、响应支持、优化改善和咨询评估。

例行操作包括:监控、预防性检查、常规作业;

响应支持:事件驱动响应、服务请求响应;

优化改善:适应性改进、增强型改进、预防性改进;

咨询评估:包含空调、供配电设备等的建议。

运维服务报告

运维服务实施中,供方应按要求进行服务报告编制、提交。服务报告通常分为常规报告、事件报告和专题报告三类。

本标准适用于:

1)供方设计和交付数据中心运行维护服务产品;

2)供方或需方设计和开发数据中心运行维护系统;

3)需方管理供方的数据中心运行维护服务交付内容。

本标准已报批。

5、桌面及外围设备服务规范

本标准规定了桌面及外设运维服务的对象和类型、服务策略、服务内容和服务交付成果等要求。是信息技术服务运行维护数据中心规范标准的具体化。描述了桌面及外设的服务策略、服务内容和服务交付。 本标准适用于规范桌面及外设运维服务供方的行为,也可供需方参考进行需求规划和成本计量。

本标准已送审。

6、应用系统服务规范

随着国民经济信息化水平的提高,应用系统已深入到各行各业,应用系统运维标准和使用人员水平成为制约国民经济各行业信息化水平的重要因素。本标准对应用系统服务规范做出了要求,是对数据中心规范的具体化或延伸。

本标准适用于规范应用系统运行维护服务供方的行为,也可供需方参考进行应用系统运行维护服务规划和管理。

本标准尚未启动。

二、咨询设计标准

什么是咨询设计体系标准

信息技术咨询设计标准是信息技术服务的重要业务标准。信息技术咨询主要指在IT战略规划、信息管理体系建设、信息系统工程建设、信息资源开发利用与运维支撑等阶段提供的管理和技术咨询评估服务,其核心服务内容是在对组织的关键业务、信息、应用和技术进行整体分析和描述的基础上,着眼于利用信息技术构建组织的核心竞争力,支持业务运营和创新。 

信息技术咨询设计标准主要包括6部分:

1、咨询通用要求

提出了信息技术咨询服务模型、关键要素以及提供信息技术咨询服务的各类组织在这些要素方面应具备的条件和能力。本部分旨在为信息技术咨询服务供方提供评价自身能力的依据;为信息技术咨询服务需方提供评价供方的依据;为第三方提供评价信息技术咨询服务供方能力的依据。

本标准适用于:

1) 计划提供信息技术咨询服务的组织,建立能力体系;

2) 信息技术咨询服务供方评价自身能力;

3) 信息技术咨询服务需方评价供方;

4) 第三方评价信息技术咨询服务供方能力。

本标准处于征求意见阶段。

2、规划设计方法指南

本标准规范了信息技术咨询服务提供的方法论。

本标准适用于衡量咨询服务供方的服务提供。

本标准已申报立项。

3、信息系统工程监理总则

本标准规定了信息系统工程新建、升级、改造、运行维护过程中监理及相关信息技术服务的一般原则。

本标准适用于:

——信息系统工程监理及相关信息技术服务的资质认证及资格认定和监督管理部门;

——从事监理及相关服务的单位;

——信息系统工程的建设单位;

——信息系统工程的承建单位;

——承接信息系统运行维护服务的单位;

——从事监理及相关服务人员。

——从事监理及相关服务的教育、培训和研究单位。

本标准已审定。

4、知识库管理规范

本标准的制定是为规范信息技术咨询服务提供方的知识库建设和管理,提升咨询服务能力。本标准规范了知识库的建设、管理和应用,对知识库这一供方业务核心能力的关键构成进行系统描述。

本标准适用于衡量咨询服务供方的核心业务能力。

本标准拟申报立项并开始编制草案。

5、通用标准库设计要求

本标准规范了面向IT的服务、IT驱动的服务和外包服务,咨询设计阶段所需的参考标准。

本标准适用于衡量咨询服务供方的业务能力。

本标准拟申报立项。

6、数据资源规范

本标准规范了面向IT的服务、IT驱动的服务和外包服务,咨询设计阶段所需的数据规范。

本标准适用于衡量咨询服务供方的业务能力。

本标准已完成草案,并拟申报立项。

三、 云计算服务标准

云计算作为一种提供信息技术和通信服务的模式,主要涉及服务开发者、提供者和使用者,三类角色之间通过统一的接口进行交互,构成了云计算产业生态系统的主体。为确保云计算生态系统的安全性,需要采取身份管理、数据安全、虚拟化安全等安全管理措施,构建安全可信的云环境。为了保证使用者安全高效、绿色地使用云服务,支持云计算产业的健康有序发展,需要各级行业主管部门以及第三方机构从法规、政策、标准等多个层面进行监督和管理,从而构成了完整的云计算产业生态系统。

主要云计算服务专业标准介绍如下:

1、服务分类标准

云服务分类标准需要规定云服务的分类。标准需要包括云服务的分类、管理和编目,以及云服务的信息处理,并为云服务的开发、服务提供、服务消费及管理人员提供一个科学适用的分类原则和方法。

本标准已启动,完成草案。

2、服务设计与部署

虚拟机总体技术要求

本标准主要从云服务角度来考虑虚拟机的总体技术要求,关注在云计算的模式下,运营者(服务提供者)与消费者(服务消费者)对云计算的基础--虚拟机的总体技术要求,以及在商业服务的模式下对虚拟机的总体技术要求,而不仅仅从技术角度来考虑虚拟机的技术规范与指标。

本标准已启动,完成草案。

3、 服务交付标准

第1部分:要求:

提出云服务交付的框架,包含交付内容、交付过程、交付质量和服务交付管理并实现持续改进。本标准可作为云服务提供商用来评估和改进自身交付条件和能力的依据,也可以为第三方和用户评价和认定云服务提供商的服务交付能力提供指导。

本标准已启动,完成草案。

第2部分:服务级别协议(SLA)规范:

规定了云计算环境下服务级别协议(SLA)的建立要求,云服务级别协议框架和术语给出云服务SLA的概述,理清主协议和SLA之间的关系,为云服务商和用户提供建立SLA所需的通用的概念、需求、术语以及度量指标的一致性认识。不是做云SLA的框架,而是从构建通用SLA所需的元素展开。

本标准已启动,国际国内标准协调同步,完成第一版草案。

第3部分:计量指南:

服务计量规范提出云计算环境中对各类服务进行计量的指导性建议。包括建议的计量项目、计量原则和计量精度等。根据不同的云服务或产品给出不同的计量指导。本标准规定了云计算服务提供商提供的云计算服务应该满足的计量特性和要求,为云计算服务的计费及服务能力评价提供基础。

本标准适用于云计算服务提供商、使用服务的用户和第三方评测机构。它的使用者是云服务的审计人员,也为准备实施云服务的人员、客户和云服务供应商(包括咨询人员)提供指南。

本标准已启动,完成初步大纲。

4、服务运营标准

第1部分:要求

本标准规定了在提供云计算服务过程中的人员、过程、技术、资源和安全等方面的基本要求,从而最终确保可提供稳定、安全和可靠的云计算服务。

标准主要内容:

本标准通过对云计算服务的内部要素和外部特性的研究,给出了一个云计算服务的模型。该模型描述了云计算服务的用户可见的基本特性:按需服务、弹性、网络依存性和可计量,这些特性可作为判断某个信息技术服务是否是云计算服务的基本依据。同时,该模型概括了云计算服务的四个基本内部要素:人员、资源、技术和过程,规定了云计算服务提供商在人员、资源、技术和过程方面所必需具备的基本能力,以确保其可以为用户提供稳定、安全和可靠的云计算服务。

本标准适用于:

规范云计算服务提供商的自身能力和服务交付过程,从而确保为用户提供可靠的云计算服务。

本标准已启动,且完成征求意见稿。

第2部分:治理

规定云服务治理的基本框架,明确了云服务治理的目标、原则和指导性建议。适用于云服务提供商、第三方评测机构。

本标准尚未启动。

第3部分:运维指南:

为云服务提供商在云计算环境下事件问题响应处理,自动化发布部署、故障设备置换、配置管理、系统平台维护变更等方面提供了指导性建议。

本标准可作为客户选择云服务提供商的依据,也可以作为云服务提供商改进运维服务能力的依据。本标准还可为实施云计算运维服务的服务提供商提供指南。

本标准尚未启动。

第4部分:监控指南:

为云服务提供商在云计算环境下的基础设施资源、服务及运行等方面的监控提供了指导性建议,本标准可作为云服务提供商提高服务可用性和监控管理水平的依据。也可为提供云计算系统平台监控服务的服务提供商提供参考依据。

本标准已启动,完成草案。

5、云服务安全审计

本标准规定云服务提供商在提供云服务时需记录平台状态及其变化和用户调用平台情况的信息;规定记录平台向外提供查询服务及查询过程需要的安全保护措施;规定记录计费相关信息;规定提供给第三方审计的信息。 本标准尚未启动。

6、云服务质量评价指南

本标准建立了云服务质量模型,规定了云服务质量的评价指标体系。

为云服务相关方评价云服务质量提供一致的、公正的方法或依据。本标准从功能性、安全性、可靠性、响应性、有形性和友好型性等方面构建了云服务质量的模型框架以及相对应的指标评价体系。

本标准适用于云服务的提供商、使用云服务的用户、第三方评测机构和云服务的审计人员。

本标准已启动,完成第一版草案。

四、数据中心

1、什么是数据中心服务能力成熟度模型

数据中心服务能力成熟度模型是遵循国家工业和信息化部信息化与软件服务业司业已发布的ITSS标准框架的相关要求,并针对数据中心服务能力及日常运营管理要求的特点而制定的量化的体系。成熟度的高低反映了数据中心单个或整体服务能力充分性、适宜性和有效性的综合性水平。

2、能力框架

基于数据中心服务能力成熟度模型的设计思路,能力框架是由支撑数据中心目标所需的能力域、能力子域和能力项组成:

能力域:从战略发展、运营保障和组织治理三个能力维度评估数据中心服务能力的完善程度。

能力子域:以“治理架构”、“组织风险”和“驱动机制”为基础,以“战略管控”、“传承创新”和“稳健发展”为指引;通过“例行管理”、“服务支持”和“服务交付”支撑整个数据中心目标,“质量管理”和“安全管理”贯穿数据中心运营的整个生命周期。

能力项:基于能力域和能力子域将数据中心的服务能力细化分解为33个能力项。

3、评估方法

能力框架涉及的3个能力域、11个能力子域、33个能力项作为数据中心服务能力成熟度的评估对象。数据中心服务能力由能力要素驱动,可将服务能力驱动要素转化为能力项的评估要素,通过对评估要素的评估,推导出能力项成熟度,进而得到数据中心服务能力成熟度。

通过以下三个步骤最终得到完整的数据中心服务能力成熟度评估模型:

第一步:评估指标分级标准设计

第二步:能力项成熟度分级标准设计

第三步:数据中心服务能力成熟度分级标准设计

4、实施方法

对于数据中心,若希望参考成熟度模型对其成熟度现状进行评估,并明确自身在行业内的相对位置,进而找出与行业先进管理水平之间的差距,则可以向评估机构申请对其服务能力成熟度现状进行评估。成熟度评估的实施方法主要分为如下四个步骤:

1)提出评估申请

2)选取评估范围

3)成熟度自评估

4)成孰度第三方评估

5、正式评估的几个阶段:

5.1 评估准备阶段

评估准备阶段是指在对数据中心正式现场评估之前所做的准备工作,此阶段工作大约持续了1周左右的时间,主要包括如下工作内容:

1) 被评估单位确认评估工作后,安排一位评估联络人,同时,评估组确定评估组成员;

2) 被评估单位完成评估组提供的调研表;

3) 被评估单位根据评估需要将数据中心有关的管理制度进行收集和整理,便干评估组成员能较为全面地了解被评估单位在各方面制度建设的情况;

4)评估组基于被评估单位提供的组织岗责信息,与评估联络人确认现场访谈计划安排。评估组准备了评估首次会议介绍的材料、评估人员保密承诺和访谈提纲等入场前的相关文档。

5.2 现场评估阶段

现场评估阶段是评估过程非常重要的环节,该阶段主要是指评估组到数据中心现场通过人员访谈、观摩运维操作和查阅运行记录等方式全面了解数据中心实际的运行情况,此阶段工作一般需用3-4天的时间,主要包括如下步骤:

1) 首次会议召开。评估组向数据中心组织领导介绍评估的目的、意义、评仕组成员、以及后续工作安排;

2) 人员访谈。评估组根据访谈对象的情况分成三组,涵盖了成熟度模型各个能力域和能力项的负责人,访谈过程中可能需要结合实际进行申话访谈,并通过对同一能力项所涉及不同角色的交叉访谈来确认相关信息。

3) 现场检查。在现场工作的最后一天,评估组往往会参观了数据中心的总控中心或调度中心,实地考查相关监控数据,并调阅相关纸质和电子记录,通过现场验证被评估单位的管理工作,发现运维管理工作的特色。

5.3 评分分析阶段

评分分析阶段是在现场评估完成后,对评估的相关能力项进行评分,并根据评分情况编写分析报告的过程。此过程历时一周左右的时间,主要包括如下步骤:

1) 评分。根据数据中心服务能力成熟度模型的评估要素和指标进行评分,并得到能力项成熟度以及整体成熟度得分,并匹配成熟度级别。

2)分析。在评出各家评估对象的分数后,评估组还需要根据评估所得总体分数对应的成熟度等级给出相关分析结论,形成分析报告,进而不其遵循数据中心服务能力成熟度模型提出升级路径及相关建议。由于涉及到保密要求,故不公开各家评估对象的相关结论和建议。

5.4 总结汇报阶段

总结汇报阶段是评估过程的收尾阶段,将评估的发现和建议报告汇报给数据中心管理者。一般而言,对干运营多年的数据中心组织,往往已形成了相对稳定的运营体系,而在这个“稳定”体系中存在的隐患容易被业前“无重大事故”的现象所掩盖:同时,数据中心还存在往哪里发展的问题,需要通过汇报的方式,将这些隐患和发展呈现给管理者,并得到管理者认可和重视,从而进入到数据中心管理发展真正需要的更高层次。