张引:如何在金融行业数据中心实施ISO20000
学习资料: ITIL培训基地专家讲堂直播 300期视频回放
出处:比特网
在2009数据中心运维ITIL培训基地的数据中心规划、设计与实施分ITIL培训基地上,来自趋势引领咨询顾问有限公司技术部经理张引先生介绍了如何在金融行业数据中心实施ISO20000的经验。
2009年8月27日中国计算机用户协会主办,比特网(ChinaByte)和ICTresearch联合承办的“首届数据中心经理年会暨2009数据中心运维ITIL培训基地”(2009dc/)在北京经济技术开发区的中金数据北京数据中心拉开帷幕。
来自IBM、英特尔、Brocade、思科、浪潮、伊顿等数据中心解决方案及服务供应商的专家,以及中国电子工程设计院、挪威船(DNV)级社、英国标准管理体系认证等专业机构的专家,和中远集装箱运输有限公司、国家气象信息中心、中国民航信息网络股份有限公司、西门子(中国)、银华基金管理有限公司等企业CIO和数据中心经理逾400人出席大会。会上共同探讨在信息化发展的新形势下,数据中心经理——这一新兴职务人群如何定位,了解他们对于数据中心规划、运维、管理的现状与困惑,分享国内大型数据中心的最佳实践和成功经验。
在2009数据中心运维ITIL培训基地的数据中心运维与管理分ITIL培训基地上,来自趋势引领咨询顾问有限公司技术部经理张引先生介绍了如何在金融行业数据中心实施ISO20000的经验。以下是张引先生的发言全文:
张引:在金融行业的数据中心如何实施ISO20000,来去帮助你的管理,使你的管理水平进一步提高,这是我们今天讲的一个部分。
大家可能都是做数据中心的,都会面临一些挑战,或者是一些问题,从我在交行,还有农行,尤其是大的银行,还有保险公司,还有深交所,和他们交流,他们提的最大的一个问题是什么,或者我们和他们交流时候,他们都要拍桌子站起来,具体上是数据中心和开发中心的矛盾,有些人在笑,可能有切身体会。
一般来讲,尤其是大的金融公司,对某一软件开发是特别重视的,比如保险公司新的保险产品上线,他基本上卯足了劲开发,后面东西抛给了数据中心,复杂的开发过程结束了,他们就扔掉了数据中心,数据中心能不能接得住,或者能不能持续保持运维状态,基本上开始时候考虑比较少,数据中心也基本上是尽力而为。等于雷在墙上埋下了,数据中心等着炸,一出事情就是数据中心的问题,尤其大的金融行业数据中心都会面临这样的问题。
这种问题的来源,因为是金融行业,数据中心的人员规模比较大,他们号称是亚洲最大的数据中心,他们有三四百人的规模,这只是一个数据中心,还有其他的,现在银行都一个部,两个中心,这种组织架构和治理结构造成了这个问题,这等于是一个结构上的问题。还有一部分问题,IT的复杂程度的提高,原来的经验,或者是老经验,还有靠人为的能力,原来可能是规模更小,几十个人,几个人就能管的,像我原来在LG时候,2002、2003年只有几个人的数据中心,大家喊一嗓子就都知道怎么做,大家经验很丰富,基本上配合很默契,大不了加班,基本这种情况。到规模二三十人,分出组了,有搞网络的,有搞服务器的,还有做运维管理的,大家互相信息也不通,原来很和睦的气氛被打破了,很稳健的气氛也被打破了。
现在就是大集中,风险大集中,所有风险都集中到数据中心了,比如你作为银行或者保险、证券,IT经理,或者数据中心的经理,其实是面临着相当大的挑战的。当时我们在和交行总经理交流的时候,他们原来新成立的数据中心,他提到数据中心经理等于是行领导非常信任,我把这个数据中心交给你,百十号人也交给你,这么多钱也交给你了,我是真睡不着觉,尤其是银行,或者是金融行业 的数据中心,对信誉要求非常高,金融界经常提到什么是第一要务,安全生产,安全生产在数据中心里主要体现可用性,一旦停机,可能带来的损失和影响是非常高的。如果出了事故有可能国务院的文就直接过来了,压力是非常大的。
刚才也提到了,我们在数据中心的管理当中其实是面临着一个IT数据中心的管理,在数据中心的软件上线交付这部分的管理,生命周期管理的这部分,我们同时面临着两方面的压力,一方面是运维管理的压力,换句话说,我们IT如何为业务产生价值,到底IT能给大家带来哪些价值,意义是什么,提高管理能力,使我们IT成为可以增值的一部分。同时,还有一个风险管理,就是VALUE IT,一部分降低损失,一部分是产生效益。这样构成我们对IT全面的管理。
同时,很重要的是以控制为核心的,包括治理结构,在这里面存在一些方法论,ISO9001,ISO20000,这不是世界上全部的方法论,但是是被认可的方法论,比如我们一开始实现的不是ISO20000,是ESCM的,但是那个方法论太复杂,有84个认证,如果都实现的话,规模很小,人员压力很大,大家都很忙,我们会有一些问题。
于是我们在05年年底的时候,出现了ISO20000的标准,刚才也讲到了,标准的体系结构,我就不展开说了。在这个体系结构里面强调两部分,一部分是ISO20000体系强调的持续改进的能力,能持续运转的能力,这等于是ISO20000非常核心的部分。大家可以把这个标准找出来,最长的一部分内容就是PDC的部分,如果建立一套持续可改进、可提高的机制,上午梁 也介绍了,它其实是有发展线的,它从02年做到09年,七八年时间逐步改进,这其实是ISO20000非常核心的思想。我们通过认证解决权的问题,我们通过哪些加强,或者我们解决它深层次的问题,我们是可以通过持续改进的方法做的。
还有是策划和实施新的变更服务,我们在和客户做交流时候,很多人不理解做什么,如果简单的理解,可以把它理解成一个类似于项目管理,通过项目方式,把你的体系变化,或者是你引入新的服务,把它如何引到你的公司里面,或者转化为你日常工作的机制。比如说,我们在一个保险公司里面,很多的知名的咨询机构给他们做了相应的一些规划,或者是文档,我们看那些文档都是教科书级的文档,非常受用的,但是基本上在他的组织里没有实现。很多规划,我们做了项目,或者引入新的服务,现有的措施,现有的人员,我们通过机制把它导入到公司里,变成一种可以运转的模式。
给大家举一个例子,大家可能知道现在创业版,交易所对他们来讲是种新的服务,对交易所运行管理部门来讲,他们如何把这套服务引入到他们的工作当中去,这其实是面临着很大的一个挑战,他们如何去和开发团队沟通,还有一些交易的规则,日常日志的管理,还有日常引进新的维护的团队,维护团队怎么去管理,方方面面的都是在这部分去做一个策划。通过下面的13个流程,去把他逐步的实现。
这是整个20000的结构,这个结构是在标准里面出现,后面我们还会提出一个方法论的模型,会在后面跟大家来交流。
这张图是昨天晚上在ISO20000一个官方的网站,我们在这个网站搜了一下,现在全球共有438张证书发放出来,在大中华地区一共有76张,我们可以看到,这应该是按照地区去排的,按单个国家和地区来讲,日本应该是第一的,71,我们大中华地区,加在一起是76,说明我们华人在这方面不是落后的,是领先的,日本对这个标准认证是非常重视的。我三月份去日本,他们在三月份时候ISO2000认证就发到两千张了。右边是大陆地区的认证,2006年时候就两家,一家LG,一家是东风,东风日产的IT运维的,到2007年,猛增到16家,2006年是18家,2009年到现在8月份是15家,这是我知道正在做的,可能今年要通过的会有很多家。所以相信超过20是没什么问题的,大家都逐渐的从2005年出现到现在是逐步如果,以及逐渐认识他是对大家有帮助的,会去做的。其中,金融行业有七家通过,占了12%,我们公司作为咨询顾问,参与了16家的认证工作。
后面想和大家分享一个体系建立的心得,分享一个思路,还有四个框架,还有四个制度。大家可以看到这个图很新鲜,大家都会挑西瓜,对于西瓜来讲,他们挑西瓜非得是扎个三角,看看是不是沙瓤,或者熟没熟,一般来讲,咱们东方人挑西瓜方法是拍一拍,知道它是沙瓤的,甜的还是生的,其实这是一种思维方式的不同。对西方来讲,他们的思路,还原论,我把它通过模块化分级分类、然后逐渐分割,把大的问题变成小问题,把小问题变成透明可控的状态,东方这个确实很有效,但是偏于艺术,更强调人的能力。比如我是很有经验的瓜农,我一拍就知道瓜的成色,但是比如我没什么经验,我是一个种瓜菜鸟,肯定是生瓜,但是西方的瓜,我切个口,肯定能保证我今天买回的瓜是我想要的瓜,这是思路的不同。
ISO20000是英国的,沿成了西方的方法,模块化、流程化、标准化、可视化、文件化、可量化,变成了一个可操作,可理解的状态,这是体系建设的思路。模块化,刚才大家看到了,ISO2000有三个领域,三个大流程,流程化,输入输出,确保一个结构能够实现,标准化,大家操作都是一样的,换句话说是有规矩的,大家按一样的方法来做。还有就是可视化,大家都可以看到,切一个西瓜,我可以看到是什么状态,结果展示。还有文件化,文件化是确保你的规矩所有人都能统一,换句话说,一般我们在银行里的制度,首先要有制度才去办事。还有就是可量化,对我们的考核,记录,趋势分析等等,都可以用到可量化的方法。
后面我们讲四个架构,我们在和客户进行咨询的时候,经常会碰到的一些问题,这四个架构如果你在咨询之前没考虑好,可能会在整个体系建设过程当中,碰到很多障碍和问题,或者造成时间的延期,过程中的反复。
第一个架构是服务架构,你到底是一个什么样的组织,你单位提供什么样的服务,这个服务是客户要定制化的还是标准化的,这是一个很核心的问题。一般来讲,在金融界的数据中心,我们和他们交流时候,我们一旦问到,比如你们的客户是谁,他们说这还不简单吗,一般可能有十几个处长,我们问了一圈记下来,我们发现老总的看法和所有处长们的看法大家都是不同,基本上可能差不多,但是都会有些偏差和不同,有的说我们是为分行服务的,有的说我们为储户和公司服务的,有的说为总行服务的,大家思维都会有偏差。对于服务的概念,我们到底为谁服务,提供哪些服务,下面有我们的服务目录,怎么决定我们的服务是什么呢?标准化服务有哪些好处?比如标准化的肯德基,任何一个国家只要看到肯德基,肯定会在各个国家都会买到一样的汉堡包和炸鸡,这就是标准化服务,这样我的成本比较低,因为大家来一个做一个,效率很高,变化性比较小,大家不去考虑客户的真正需求。比如你去肯德基要个宫爆鸡丁、鱼这是不可能的。
还有就是定制化服务,比如我们时尚界的服务,完全依照你的身材、肤色、场合来给你定,有设计师,高级的人员给你进行测量,这个可能成本很高,而且周期会很长,但是他的好处是可能会有一些极品出来。这两个我们到底提供哪些服务,这个你需要考虑一下,我们想象一下,如果是数据中心来讲,我们每天接两三百个客户,提供客户需求整合我们的资源,这是很恐怕的事情,所以一般来讲,我们都是做标准化的服务。对于某些特殊的,或者重要的,我们来提供一个定制化的服务,这之间的平衡就需要我们的管理者来做,但是首先必须把这件事情弄明白。
第二个架构是组织架构,这个组织架构,尤其是在金融行业,一定是垂直 型的组织,非常强势的,比如说他们一般来讲处长,这个处长非常有权威的,纵向每个部门的领导处长,人马,相应的资源,他们的考核也基本上都是纵向的,但是我们20000里讲的流程,流程讲横向的,大家要协作,打破部门之间的壁垒。于是,在实施过程当中,很多面临最大的困难是中层领导之间的协调,以及你组织架构怎么设计,以及流程怎么操作,这个其实是面临着很大的一个挑战的,我们一般都是最好在项目初期把这件事情理清楚。
我们建议的一个方法,或者是我们很多客户他们实施的一个结果,就是纵向与横向的结合,一些关键的流程,需要一些人来定的流程,我们一定要有足够能量的人来做,一般来讲,某一个职能的处长他会去挂几个相应的流程,他作为流程经理来去担当,这是一种方法。比如变更,一般来讲,银行会调度部门,还有其他的,和他日常工作相关的部门,这是一个相应的组织架构的设置。还有一种方法,比如我们有一个专门的部门,这个部门是负责所有流程横向的流程控制,纵向的部门,你的部门经理只是负责流程在你部门的一个落地执行的工作,换句话说,横向和纵向职责分开了,或者有一个报告会议的机制,一般来讲是叫生产例会,或者是叫工作例会,在这个会议上有横向报告,垂直的组织报告,垂直的事情,做到一定程度的透明化,还有打破原来的纵向组织架构。
这是刚刚讲的第三个内容,横纵结合的考核形式,这其实是在一个组织当中实施很重要的部分,你日常运维还是靠人,这些人基本上最重要的一个是中层领导,还有一个是所有人都理解这件事情,这个组织架构是挺重要的。
后面还有一个流程的架构,这个流程架构所有的元素都是我们ISO20000的,刚才大家看到画面想到的结构,但是我们重新做了一个排序,这个排序也是我们对于银行,或者金融行业数据中心的理解,我们把它叫做钻石模型。大家可以看到这个,我们是以可用性为核心的,作为银行,或者是金融机构数据中心来讲,不提可用性,或者安全生产,那你的运维管理就是白干,所以一定是以可用性为前提的结构。我们可以看到是一个方盒论,面临四方面的工作压力,从上往下看,最上面是用户,我们提供IT服务的,最终的IT使用者,可能是分行。和他相关的是我们的实践管理,我们的实践管理做好了,基本就可以搞定日常的故障情况,我们日常工作抓得比较踏实,领导知道这个,大家没在瞎忙。再往上是变更管理,尤其是在金融机构,变更管理是非常核心的事情,所以一般都会把这个CAB叫变更例会,比如每周会派一个变更例会,每个级别以上的变更例会,一般来讲是主抓生产的副总裁直接抓变更。
我们再往上看,以可用性为核心,根据可用性相关的红线,解决从供应商到利益相关方的关连关系,我们下面做好了就解决了上面不出错的问题,上面做好了,提高我们的绩效。我们左边是供应商,在ISO20000里有个供应商管理流程,还有流量,还有财务,作为利益相关方,其他的领导,或者其他的兄弟部门等等,他们关注的是财务,还有,比如发布,如果要是开发中心,发布的关连会比较大。再网上会看到天的核心是服务级别,和我们的客户相关的,你向谁提供服务,和你签协议的人或者组织,一般来讲在金融机构,很难去说我数据中心去和别的部门签一个协议,平等部门,如果我们签协议,等于我们自己做一个笼子把自己绑起来,一人一等的感觉,所以一般都会和上一层的领导做服务承诺书的形式。整理我们钻石模型。
刚才提到问题管理,问题管理方法,问题背后的问题,问题管理更多的是把深层次的原因纠出来,在每个事件后面有更深层次的问题,任何事做一个深层次的分析都会引发深层次的问题,在机构一般都是他一把手的老总,老总去管,只有老总有资源和能力去调配问题处理的能力,不同的组织会有不同的认识。
我们看外面红的一层,信息安全,信息安全就像空气一样,笼罩整个IT服务管理当中去,我们每个环节都涉及IT服务管理,我们有两家客户和两家资产公司,他是ISO2000和ISO9000同时获的,这是新的思路,对金融机构和监管机构的要求,比如银行里面有商业银行风险指引,还有证监会里面有相应的要求,这都是我们信息安全的一个框。这是我们提出来的一个钻石模型。
后面还有一个架构是文件架构,文件架构一般来讲,大家对9000比较熟悉的知道有四个层次,我们把所有的文档做成相应的文件,便于大家传阅,事前有规矩,事中留痕迹,事后可审计,总结有改进,这是文件化的要求,一般来讲,我们总纲,或者管理手册的文件,二阶文件是相应的流程记录,表单等等,三阶文档是实际的操作记录,体系都是相通的。
前面讲了四个机制。
第一个机制是监控机制,大家花了很大力气,花了时间做个体系,它能持续运转起来,我们还需要监控的体系,比如有内审,评审,检查,这都是持续推动的机制。给大家介绍个经验,其实但是的客户最后他们总结他们经验的时候,每周开一个例会,或者每月开个生产例会,把大家日常的执行情况,大家去总结一下,在会上向一把手老总做个报告,坚持半年,我相信会有很大的效果。包括你没有我20000,其实这样也是非常好的一个效果。
后面还有一个绩效考核的机制,绩效考核的机制其实从三个角度看,一个是人治,法治,企业文化,什么是人治?领导让你做,完全靠领导权威,这个领导可能权威比较大,敢拍桌子,比较有威信,大家驱动力比较强,领导比较赏识你,你就提拔比较快,这是人治。对于流程化一般会讲到法治和流程化的管理,流程化里面主要是绩效考核,30%和20%的绩效是根据你的成功与否,如果你掉链子,你的绩效就没有了,这也是推动大家的机制。
最后一种是企业文化,企业文化,我怎么能不这么做呢?人治是让你做,法治是按规矩做,企业文化是我的行为,日常表现和大家不一样,你怎么能这样做呢?比如我们原来在LG时候,组织运动会,大家最后会把垃圾收走倒了,有个人把水瓶子放在桌上走了,大家说你怎么能把水瓶子放在桌上呢?所有人都这样认为,最后就变成了一种文化。
然后是一个优化的机制,从而我们提到在20000里最重要的思想是持续改进,在20000标准里章节最长的部分,它是解决合情合归合理,尤其是金融机构,合归是体系,现在各个金融机构提出各种各样的要求,很多驱动力最强的是从合归这,合理是强调效果,合情是个性化。
最后是经验传承的机制,我们在很多的机构里面,领导最后给我们项目评价,选择最好的是解决了一个人的问题,我们帮企业带出了一批队伍,这可能是领导对这个项目,20000实施的一个非常满意的地方,其实20000更多的是一个通过流程的机制,造就一批人,所有人是在按照一定的规矩在做运维,而且这些等于是有了规矩,人的因素大了,但是人的能动性和效率提高了,也是我们刚才讲的流程和艺术。举一些例子,比如做钢琴和小提琴的人,大家感觉这是完全艺术的东西,生产线,把钢琴的元件,或者加工到一定程度,我相信我们的琴师会有更多时间调整音色,以及满足作家的要求,这也是我们能做的。
说了这么多,最后请领导,还有想做ISO20000的组织来讲,他最希望得到的是种转变,谈到两部分,一个是用户到客户的转变,换句话说,我们归根结底是强调了服务的意识,原来我是作为部门,我做我的工作,现在我的工作是在为大家提供服务,强调这样一个转变。后面有几个我们客户的评价,给大家念几个。
比如交行,他们老总的评价,实现了全员意识的改变,找到了未来几年发展方向,他们很多咨询机构做的咨询,他们经常和汇丰进行交流,最后都发现有一些经验不能直接拿过来用,所以这是我们做完那个项目以后,老总很高兴,人的问题解决了,他认为这是很关键的要素。还有农行,基于流程的管理建设,传统的组织架构式管理,走出了精细化管理的重要一步,这是全行的突出的工作重点,我们通过20000把数据中心工作进行了整体的梳理。
原文出自【比特网】,转载请保留原文链接:490/9120990.shtml
楼下的接上
页:
[1]