目录
一、信息系统管理范围
1、规划和组织
2、设计和实施
①、信息系统架构
Ⅰ、集中式架构
Ⅱ、分布式架构
Ⅲ、SOA(面向服务的系统架构)
3、运维和服务
①、运行管理和控制
②、IT服务管理
③、运行与监控
Ⅰ、运行监控
Ⅱ、安全监控
4、优化和持续改进
二、信息系统管理要点
1、数据管理
①、DCMM
②、DCMM成熟度等级
2、运维管理
①、运维能力
Ⅰ、人员能力
运维人员能力建设
运维人员能力评价建设
Ⅱ、资源能力
Ⅲ、技术能力
Ⅳ、过程
②、智能运维
Ⅰ、智能运维能力要素
Ⅱ、智能运维特征
3、信息安全管理
①、CIA三要素
②、信息系统安全体系
③、网络安全等级保护
Ⅰ、安全保护等级划分
Ⅱ、安全保护能力等级划分
一、信息系统管理范围
信息系统四要素:人员、技术、流程和数据
信息系统管理涵盖:
- 规划和组织
- 设计和实施
- 运维和服务
- 优化和持续改进
1、规划和组织
规划和组织的相关内容涵盖信息系统管理的所有组件,如:管理流程与组织结构的执行、角色和职责的部署管理、可靠性可重复的活动范围、信息化项目执行、技能和能力的建设优化、服务管理、基础设施管理、应用程序管理等。
规划与组织模型的建立:
- 业务战略
- 组织机制战略
- 信息系统战略
2、设计和实施
将业务需求转换为信息系统架构,为设计和实施提供蓝图。
①、信息系统架构
Ⅰ、集中式架构
集中式架构下所有内容采用集中建设、支持和管理的模式。一般采用客户机/服务器体系(C/S)。也叫主机架构。其特点是所有功能都在同一地方,一般在当业务本身高度集中时采用,集中式架构系统易于管理。
Ⅱ、分布式架构
分布式架构的硬件、软件、网络和数据的部署方式是在多台小型机、服务器和设备之间分配处理能力和应用功能,这些设施严重依赖于网络将它们连接在一起。也叫基于服务器的架构,是一种特殊的C/S系统,一般在业务非集中化或高可靠性的时候采用。
Ⅲ、SOA(面向服务的系统架构)
SOA架构中的软件通常被引向SaaS,将较大的程序分解为相互连接的服务,共同构成一个应用来运行整个业务流程。也叫基于Web的架构。当希望系统成为敏捷架构、业务快速设计迭代要求较高是采用SOA架构。
3、运维和服务
信息系统的运维和服务由各类管理活动组成,主要包括:运行管理和控制、IT服务管理、运行与监控、安全管理等
①、运行管理和控制
- 过程开发
- 标准制定
- 资源分配
- 过程管理
②、IT服务管理
IT服务管理组成:服务台、事件管理、问题管理、变更管理、配置管理、发布管理、服务级别管理、财务管理、容量管理、服务连续性管理、可用性管理。
③、运行与监控
Ⅰ、运行监控
IT组织对信息系统、应用程序和基础设施进行监控,以确保按要求运行。
Ⅱ、安全监控
IT组织可能执行的安全监控类型包括:
- 防火墙策略规则中的例外情况
- 入侵防御系统的告警
- 数据丢失防护系统的告警
- 云安全访问代理的告警
- 用户访问管理系统的告警
- 网络异常的告警
- 网页内容过滤系统的告警
- 终端管理系统的告警
- 门禁系统告警
- 监控系统告警
4、优化和持续改进
良好的优化和秩序改进能够有效保障信息系统的性能和可用性等,延长整体系统的有效使用周期。一般采用戴明环方法,即PDCA。或者六西格玛的五阶段方法DMAIC/DMADV。
DMAIC,即定义(Define)、度量(Measure)、分析(Analysis)、改进(Improve)、控制(Control)
DMADV,即定义(Define)、度量(Measure)、分析(Analysis)、设计(Design)、验证(Verify)
二、信息系统管理要点
信息系统管理主要聚焦在数据管理、运维管理、信息安全管理等方面的体系化管理。
1、数据管理
①、DCMM
数据管理能力成熟度模型(DCMM)旨在帮助组织利用先进的数据管理理念和方法,建立和评价自身数据管理能力,持续完善数据管理组织、程序和制度,充分发挥数据在促进组织向信息化、数字化、智能化发展价值。
DCMM定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据治疗、数据标准、数据生存周期8个核心能力域。
②、DCMM成熟度等级
- 初始级:没有统一管理流程,主要是被动式管理
- 受管理级:指定了管理流程,指定人员初步管理
- 稳健级:标准化管理流程,促进数据管理规范化
- 量化级管理:数据管理具有效率能量化分析和监控
- 优化级:数据管理流程能够实时优化
2、运维管理
①、运维能力
IT运维能力模型:
在治理要求的指导下,根据服务场景,识别服务能力需求,围绕人员、过程、技术、资源能力四要素,采用PDCA(策划、实施、检查、改进)运行能力体系,向各种服务场景赋能,通过服务提供实现服务价值。
Ⅰ、人员能力
IT运维人员分为管理类、技术类、操作类三类,管理类主要负责运维的组织管理,技术类主要负责运维技术建设及运维活动中的技术决策等,操作类主要负责运维活动的执行等。
运维人员能力建设
- 面向IT运维干系人需求,建立人员需求规则
- 基于人员需求计划,制定人员招聘、培训、储备和考核机制并实施
- 定义IT运维人员岗位,根据工作内容不同,划分管理岗、技术岗、操作岗,并对每个岗位梳理工作职责
运维人员能力评价建设
- 建立运行维护服务对于岗位的等级评价标准
- 建立运行维护团队和人员能力评价机制
- 实施团队和人员能力评价
- 依据评价结果对人员能力进行持续改进
Ⅱ、资源能力
IT运维资源是为保证IT运维的正常交付所依存和产生的有形及无形资产。组织应根据运维能力策划要求和特定服务场景的需求,按需建立和管理运行维护工具、服务台、备件库、软件库、服务数据和服务只是等,以满足不同服务场景下的服务需求,实现与人员、过程、技术结合,保证资源能力满足价值实现过程中服务提供的需求。
Ⅲ、技术能力
运维技术聚焦在发现问题的技术和解决问题的技术两块。
Ⅳ、过程
组织通过过程的指定,把人员、技术和资源要素以过程为主线串接在一起,用于指导IT运维人员按约定的方式和方法。
组织需要结合服务场景和运维能力策划要求,指定服务级别、服务报告、事件、问题、变更、发布、配置、可用性、连续性、信息安全等管理过程的目标。
②、智能运维
T/CESA 1172定义了智能运维能力框架,如下:
Ⅰ、智能运维能力要素
- 人员,掌握自动化、大数据、人工智能、云计算、算法等技术,具备一定的智能运维研发能力
- 技术
- 过程
- 数据:围绕数据的采集、加工、消费,提升运维智能化水平
- 算法
- 资源
- 知识
Ⅱ、智能运维特征
- 能感知
- 会描述
- 自学习
- 会诊断
- 可决策
- 自执行
- 自适应
3、信息安全管理
①、CIA三要素
CIA三要素:
- 保密性(Confidentiality)
- 完整性(Integrity)
- 可用性(Availabity)
也是信息安全三元组
CIA关注的重心在信息,这对于信息系统的安全是不够的。CIA可以作为规划、实施量化安全策略的基本原则,但是对于信息系统具有局限性。
②、信息系统安全体系
- 落实安全管理机构及安全管理人员,明确角色与职责,指定安全规划
- 开发安全策略
- 实施风险管理
- 制定业务持续性计划和灾难恢复计划
- 选择与实施安全措施
- 保证配置、变更的正确与安全
- 进行安全审计
- 保证维护支持
- 进行监控、检查,处理安全事件
- 安全意识与安全教育
- 人员安全管理
③、网络安全等级保护
等保2.0将“信息系统安全”的概念扩展到了“网络安全”,其中“网络”是指由计算机或其他信息终端及相关设备组成的按照一定规则和程序对信息进行收集、存储、传输、交换和处理的系统。
Ⅰ、安全保护等级划分
从影响严重程度从低到高分为:
- 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不危害社会秩序和公共利益,也不危害国家安全
- 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成严重或特别损害,对社会秩序和公共利益造成危害,但不危害国家安全
- 第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或对国家安全造成危害
- 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或对国家安全造成严重危害
- 第四级,等级保护对象受到破坏后,会对对国家安全造成特别严重危害
Ⅱ、安全保护能力等级划分
- 应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾害,以及其他相当程序的威胁造成关键资源损害,在自身遭到损害后,能够恢复部分功能
- 应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾害,以及其他相当程序的威胁造成关键资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能
- 应能够在统一安全策略防护免受来自外部有组织团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾害,以及其他相当程序的威胁造成关键资源损害,能够及时发现、检测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能
- 应能够在统一安全策略防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾害,以及其他相当程序的威胁造成关键资源损害,能够及时发现、检测攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能
- 略
