一、概述
1.服务连续性管理的定义和目标
(1)服务连续性管理是为提高数据中心突发事件处理能力,确保信息系统出现突发事件后,能够快速处置、快速恢复,向全行提供安全、持续、合规和高效的信息系统运维服务而进行的一系列活动。
(2)服务连续性管理的主要内容是通过识别、分析各种风险,进行服务影响分析,根据分析结果,建设应急响应、恢复机制和管理能力框架,保障服务连续运行的管理过程,包括策略、组织架构、方法、标准和程序。
(3)服务连续性管理的目标是快速恢复对外服务,大限度避免事件蔓延和开级。
2.建设背景及发展历程
(1)建设背景:根据ISO20000及ISO27001要求,建立服务连续性管理流程。
(2)发展历程
·2012年,根据IsO20000要求,建立服务连续性管理流程。
·2013年,根据ISO27001要求,完善服务连续性管理流程。
·2014年至今,根据实际运行经验,优化完善流程部分细节。
二、流程及运作
1.角色和职责
角色包括服务连续性管理流程负责人、服务连续性经理、服务连续性管理员等角色。具体职责如下:
(1)服务连续性管理流程负责人由总控中心主管担任,负责本规范的设计、推广、监督、回顾、报告和改进。
(2)服务连续性经理由总控中心和技术管理部分别指定人员担任,其职责包括以下内容。
1)总控中心服务连续性经理负责组织制定、管理应急预案培训计划和演练计划。对连续性管理工作整体评价,促进连续性管理工作的持续改进。
2)总控中心服务连续性经理负责应急预案、应急演练管理,评价和改进应急预案、应急演练及应急处置流程的有效性。
3)技术管理部服务连续性经理负责组织制定和管理灾难恢复预案、灾难恢复预案的培训、演练计划,评价和改进灾备管理工作的执行情况,并每月向总控中心通报评价情况。
(3)服务连续性管理员由各部门指定人员担任,其职责包括以下内容。
1)部门内部连续性管理工作的组织、协调和跟进。
2)组织编制部门连续性管理计划(包括编制应急和灾难恢复预案、演练和培训计划等),并持续监督计划执行情况,发现存在的问题并及时改进,重大问题向总控中心报告
3)组织跟进演练和培训实施工作,组织进行演练效果评估并持续改进。
4)根据演练或预案启用过程中发现的问题,以及重要变更实施后系统的运行环境变化情况,组织修订本部门负责的服务连续性预案(主要为应急预案和灾难恢复预案),并组织审核与测试预案,确认有效性和可操作性。
2.本管理流程的流程环节和关键活动介绍(流程的触发、输入和输出)
(1)服务连续性管理包括服务影响分析及风险评估、计划管理、演练与培训和突发事件应急处置等。
(2)流程触发:全年持续开展
(3)输入包括以下内容:
·应用系统可用性分级;
·批次投产新增应用系统列表;
·数据中心高等级事件列表;
·敏感时段风险分析报告。
(4)输出包括数据中心各应用系统应急预案、应急演练计划、应急演练记录、各敏感时段保障方案和保障等。
3.与其他流程的接口或集成
管理体系范围内的各流程主要包括事件管理流程、可用性管理流程和持续改进管理流程。
·事件管理流程:高等级事件列表输出至服务连续性管理。
·可用性管理流程:信息系统可用性分级输出至服务连续性管理。
·持续改进管理流程:服务连续性管理流程产生的持续改进要求输入至持续改进流程。
4.本管理流程的运作机制
服务连续性管理流程是由本流程负责人负责该流程的策划、监督、执行及改进,根据每年整体规划及管理要求,由流程负责人牵头完成服务连续性的计划制定、敏感时段保障、演练与培训和改进等活动。
5.本管理流程管理工具的介绍
目前已针对服务连续性的应急预案管理进行了工具建设,对于应急预案制定的发起、制定、审批和发布等流程生命周期阶段,已在工具上实现管理,并提供应急预案的批量导入、导出功能等;后续在该工具的建设上,逐步实现应急演练计划制定和文档汇总等管理功能。
三、绩效管理
1.指标设置
(1)指标名称:预案演练按计划执行率
指标定义:实际执行的演练数与计划执行的演练数的比例。
考核方式:量化考核。
考核频率:每季度一次。
考核阈值:根据数据中心实际情况设置。
(2)指标名称:预案演练成功率
指标定义:执行的演练成功数与执行的演练数的比例。
(3)指标名称:预案演练的覆盖率
指标定义:演练验证的应急预案数与总应急预案数量的比例。
考核频率:每年一次。
2.本管理流程的文化建设
服务连续性管理流程通过每年整体规划及管理要求,完成服务连续性的计划制定、敏感时段保障、演练与培训和改进等活动,逐步深入地认识和了解服务连续性。
四、持续改进
1.近3年的持续改进简述
(1)管理体系更加明确应急预案有效性管理要求,补充应急设备资源要求,补充压力测试与应急工作互动要求等。
(2)根据ISO27001:2013相关要求,细化说明制度应急场景。
2.遇到的问题风险和处置措施
(1)风险:输入内容范围不完整。
(2)处置措施:组织管理体系内各流程可纳入服务连续性管理的内容,逐步丰富完善输入内容。
3.未来展望
有机地整合管理体系的服务连续性管理活动同数据中心的年度重点工作任务,强化应急处置效率,逐步形成强而有效的应急处理机制,保障信息系统的服务连续性。
可用性管理
1.可用性管理的定义和目标
(1)可用性管理是为使服务可用性达到服务级别协议的要求、满足相关业务和管理需求,保障系统安全、可靠、稳定运行所进行的活动。
(2)可用性管理的目标是提供符合约定的可用性级别且成本合理的IT服务,以帮助实现业务目标。
(1)建设背景:根据ISO20000要求,建立可用性管理流程。
(2)发展历程:
·2012年,根据ISO20000要求,建立可用性管理流程。
·2013年至今,根据实际运行经验,不断细化可用率的统计维度;建立了可用性管理流程平台,可在线上完成流程各环节,并可线上实时计算可用率。
角色包括可用性管理流程负责人、可用性经理和可用性管理员,具体职责如下。
可用性管理流程负责人的主要职责是负责本管理领域规章制度的设计、推广、监督和改进,收集、识别可用性需求,确认可用性目标,组织编制可用性计划并监督可用性计划被有效执行。
可用性经理的主要职责是负责组织可用性评估及可用性风险分析,参与编制/修订可用性计划,提交可用性分析报告,组织、协调和监督可用性管理员完成其相关工作。
可用性管理员的主要职责是负责可用性评估及可用性风险分析,执行可用性计划,监控服务可用性。
(1)可用性管理包括明确可用性要求和目标、编制执行可用性计划、监控服务可用性变化和回顾改进服务可用性
(2)流程触发:事件触发,即发生了影响对外服务、造成服务可用性下降的活动。
(3)输入包括以下内容
·与客户(业务部门、海外分行等)的服务级别协议中签订的对可用性目标值的要求;
·外部监管部门(如银监会、人行等)对可用性目标值的要求;
·数据中心内部管理中对可用性目标值的要求;
·影响可用性的四级(含)以上事件(可用性故障)的相关信息。
(4)输出包括《可用性管理执行情况报告》以及可用性改进相关的变更。
(1)事件管理流程:可用性故障(四级(含)以上事件)产生对外服务影响,造成相应服务的可用率下降,事件的影响时间和影响程度需输出至可用性管理流程。
(2)服务级别管理流程:服务目录中的服务名称和可用性等级、服务时间,以及服务级别协议中对各业务部门和海外分行客户承诺的服务水平要求,需输出至可用性管理流程。
(3)变更管理流程:为提高服务的可用性而进行的可用性改进实施动作,需输入至变更管理流程。
可用性管理流程是由本流程负责人负责该流程的设计、推广、监督和改进。根据每年年初可用性评估和风险分析的情况,结合可用性目标,由流程负责人牵头组织完成可用性计划的编制、监督可用性计划有效执行等的活动。
可用性管理主要活动通过数据中心ITˆ运维流程管理平台可用性管理模块进行管理,可随时通过报表监控服务可用性变化,以及可采集事件管理流程数据,完成可用性计划、可用性分析报告的编写。
(1)指标名称:可用率。
(2)指标定义:
2.考核
(1)考核方式:量化考核。
(2)考核频率:每月一次。
(3)考核阀值:根据可用性等级设定可用性目标。
3.本管理流程的文化建设
可用性管理流程通过每年度的计划、监控和改进等活动,在数据中心内建立可用性管理机制,使各部门高度重视所运维系统的可用性目标达成情况以及系统是否满足高可用机制,及时改进发现的可用性风险和潜在隐患。
1.近三年的持续改进简述
(1)根据管理要求,增加“核心系统业务服务可用率”和“关键业务交易系统平均业务服务可用率”两个指标;
(2)去除可用率指标中关于“高峰时段”和“非高峰时段”的区分;
(3)上线数据中心IT运维流程管理平台可用性管理模块,实现可用性管理流程各阶段的线上功能。
(1)风险:海外分行可用率拆分。
处置措施:根据服务目录中各服务涉及海外分行的明细,细化可用率报表,可分别计算各家海外分行不同的系统可用率。
(2)风险:可用性改进的有效跟踪。
处置措施:通过数据中心IT运维流程管理平台,可显示可用性计划条目和前期进展,以便当期回顾更新。
(1)借鉴如CFIA(组件故障影响分析法)等先进经验,可更有效、更有针对性地提高可用性管理的精细化程度。
(2)加强可用性经理在可用性管理流程中的主动管理,根据所监控的可用率变化,及时调整可用性改进和可用率计划。
(3)增加与配置管理流程、容量管理流程的接口,提高可用性风险发现和处理的实时性。
服务的预算与核算
1.TT服务预算与核算的定义和目标
(1)IT服务预算与核算是对IT服务成本进行预算和核算所进行的活动。
(2)IT服务预算与核算的主要内容是组织通过有效的财务控制和授权,对所有组件(包括IT资产、共享资源、一般开销、外部服务、人员、保险和许可)进行预算和核算管理,并据此监控并报告成本情况,完成服务的成本分摊,其目的就是通过规范公司IT服务预算核算的制定、监督、审批和调整等活动,健全财务管理制度,加强IT服务预算管理和成本控制。
(3)IT服务预算与核算的目标在于做好IT服务的预算管理和会计核算,在此基础上深入,对IT服务进行计费,量化IT服务的成本效益。
(1)建设背景:根据ISO20000及IsO27001要求,建立IT服务预算与核算管理流程。
(2)发展历程:
·2012年,根据ISO20000要求,建立IT服务预算与核算管理流程。
·2013年至今,根据实际运行经验,优化完善流程部分细节。
角色包括预算核算审批人、预算核算管理流程负责人、预算核算经理和预算核算管理员,具体职责如下。
预算核算审批人的主要职责是审批数据中心的各类预算。
预算核算管理流程负责人的主要职责是组织制定本管理领域规章制度的设计、推广、监督、报告和改进,组织督办数据中心年度预算的各项任务。
预算核算经理的主要职责是负責组织数据中心的预算编制,跟踪汇报预算执行情况,汇总数据中心预算调整申请,费用分摊等工作。
预算核算管理员的主要职责协助预算核算经理完成数据中心预算、核算以及费用分摊等工作。
(1)IT服务预算与核算包括预算编制、预算调整、预算执行、费用核算和成本分摊。
(2)流程触发:时间触发,即每年在规定时间启动本年度IT服务的预算与核算等活动。
(3)输入A银行总行财务管理部下达的预算编制、费用分摊通知。
(4)输出包括预算监控表、IT服务预算与核算流程报告和数据中心分机构落账汇总表。
IT服务预算与核算管理产生的持续改进要求输入至持续改进流程。
IT预算与核算管理流程是由本流程负责人负责该流程的策划、监督、执行及改进。
目前暂无管理工具。
(1)指标名称:预算执行回顾次数。
(2)指标定义:定期对IT服务预算执行情况进行回顾。
(2)考核频率:根据数据中心实际情况设置。
(3)考核阈值:根据数据中心实际情况设置。
(1)IT服务预算与核算优化预算下达的授权审批,增加成本分摊部分。
(2)更加明确地定义角色职责,更加清晰具体地描述各项活动审批环节。
无。
建立较为成熟的成本分摊工具,实现费用分摊及成本分析的模型化、定期化和自动化。