知识管理和安全风险管理的ITSS范围和目标
本帖最后由 monicazhang 于 2015-11-12 16:51 编辑20151112淡然续上
4.10 知识管理 4.10.1 设计目标 在满足监管指引要求的基础上,通过分析我行现状、同业经验,结合ITIL核心理念及ISO20000国际标准,建立闭环的管理流程、保证我行运维管理能力能得到持续的提升。详细的设计目标体现在如下几个方面: ITSS培训• 建立实际的、可维护的知识管理流程;• 实现知识分类的明确定义;• 正式任命的知识流程经理;• 明确知识识别、建立、更新、维护的职责;• 建立知识管理和服务管理流程的接口,维护知识库,及时更新运维知识;• 执行激励机制,明确激励持续提供运维知识的人员;
4.10.2 知识管理描述 知识管理是一种组织行为,是组织以提高效益和组织创新能力,增强组织的核心竞争力为目的,通过一定的方式、方法促进个人知识以及组织知识的产生,并通过一定的手段对所产生的知识进行发掘与沉淀,经过组织内部的共享和转化、学习和应用,使得知识可共享化、可重用化、资源化,并对最终形成的组织知识资本进行高效地、智能地利用,实现组织的战略目标。
4.10.3 管理目的 知识管理的宗旨是确保正确的信息被传递到合适的地方,或在正确的时间传递给称职的人以便能做出明智的决策。知识管理的目的是对服务生命周期内的服务知识进行积累,保证高质量的运维管理知识对于管理决策提供辅助支持。其目标包括:促使广州地铁更有效率和改进服务质量、增加满意度和降低服务成本;促使员工对他们的服务提供给客户的价值和客户从服务中受益的方法有一个清晰和共同的理解;
4.10.4 管理范围 知识库管理流程范围包括信管部IT运维服务环境中产生的知识,以及业务系统各类操作手册、日常维护文档,以采取主动性知识普及和规范定制来降低事件数量。
4.10.5 执行的效果 通过建设知识库从而共享以前的经验和知识。主要解决如下问题:• 人员流动带来的技术流失;• 知识的低流动性造成服务效率的低下;• 没有结构化体系的知识造成了知识重复利用性差;• 没有知识的安全性保障导致了敏感信息的随意扩散。通过知识管理的落实,进一步取得如下成果:• 确保知识在企业中得到充分的共享,提高工作效率;• 降低IT支持成本;• 知识经验的固化;• 提高运维响应速度和质量;• 提供信息数据,以备分析统计挖掘。
4.10.6 与其他管理模块的关系 本部分介绍某公司知识管理流程与某公司服务管理其他流程之间的关系和流程接口。知识管理为所有其它服务管理流程供应需要的知识及接收知识使用反馈,接收其它流程提交的供共享的信息和知识。其中与知识管理关联较为紧密的流程是事件、问题和变更流程。事件流程是重要的使用知识的流程、问题流程是重要的创建知识的流程,变更流程为知识管理提供遗留问题、已知错误等信息。· 事件管理事件流程查询知识库中的知识信息,为事件处理提供支持,使用知识的同时提供对知识的反馈。常见故障的解决方案可以升级为知识,或用户常用的服务呼叫和技术咨询类的流程规范和操作手册等都将是知识管理流程的入口。 ITSS认证• 配置管理流程配置管理提供配置项信息给知识库管理流程。
4.11 安全风险管理4.11.1 设计目标 通过分析监管指引要求,某公司逐步建立信息安全风险管理体系,从策略、制度、流程和组织架构上落实《商业CC某公司监管指引》中关于某公司信息科技风险管理相关要求:制定某公司风险管理策略、风险识别和评估流程,定期开展风险评估工作;对风险进行分级处理,持续监督风险管理状况,及时预警,将风险控制在可接受水平;明确信息系统运营维护策略,建立运营维护管理制度、标准和流程,落实信息科技风险管理措施;设立专门风险管理岗位,监督、检查某公司各项规范、制度、标准和流程的执行情况以及风险管理情况;某公司配合相关的风险内部审计。
4.11.2 安全风险管理描述 安全风险管理流程主要描述为确保某公司信息系统中信息资源的安全,依据总体的风险管理策略而制定某公司的安全管理和规章制度,并且通过实施一整套适当的控制措施(包括实践、流程、组织结构和工具)来实现,从而保障某公司信息技术服务的保密性、完整性与可用性。4.11.3 管理目的 保证满足内部的安全需求,负责某公司内部的信息完整性以及使之持续提高;通过不同的服务级别协议、合同、法律条款以及其它安全策略的贯彻实施来保障外部安全要求的满足。
4.11.4 管理范围
某公司信息科技安全策略某公司信息安全管理规范和流程某公司信息科技服务层次的安全某公司信息安全风险评估需求某公司信息安全审计和评估流程4.11.5 执行的效果 成功的安全风险管理通过减少停机中断、盗窃损失、数据丢失、设备损坏、以及惩罚性条款所带来的损失,从而确保成本的降低;良好的安全风险管理实现某公司信息资产的良好保障、更好的业务秩序、更优的形象和业务目标的实现;定期信息安全的审计与实施评估提高安全管理的有效性和高效性,从而帮助持续提高总体信息技术服务的质量。
4.11.6 与其他管理模块的关系 本部分介绍某公司安全风险管理与某公司服务管理其他流程之间的关系和接口。整体的关系如下所示:• 配置管理配置管理:配置管理用于保存配置项的安全属性(例如用户属性与权限)以及用于安全目的的配置项信息(例如防火墙、加密机等)。• 服务级别管理服务级别管理:服务级别管理中与安全相关的要求为安全风险管理提供输入,安全风险管理保证这些要求的贯彻实施、监控和报告,并反馈服务级别管理。• 变更管理变更管理:任何与安全风险管理相关的变更(流程、规范、技术手段等等)都必须遵循变更管理流程。• 连续性管理连续性管理:安全风险管理为连续性管理在开发连续性计划过程中提供安全方面的规范以及风险评估分析的信息。• 可用性管理可用性管理:通过安全风险管理所制定的安全规范,充分的考虑可用性方面的要求与设计。• 容量管理容量管理:容量管理从容量的角度为安全风险管理提供与风险分析相关的信息。 ITSS考试
4.11.7 未来本流程重点改进点:
编号
流程名现状应对条款改进建议优先级
SEC2信息安全管理使用国际标准,从整个体系的层面,提高安全和风险管理水平。 信息安全管理
ISO20000 6.6
在所有服务活动中有效管理信息安全实施ISO27001体系实施规划。 低
待续http://ITIL-foundation.cn/thread-53174-1-1.html本帖关键字:ITSS
页:
[1]