这个部分就主要关注在跟大家IT运维服务相关的标准讨论上,目前也已经形成全球公认的,大家互认的一个认证的标准ISO20000上面。
因为这个标准实际上是用了目前整个IT系统变成我们整个业务当中一部分,而且这个系统变得越来越复杂,整个信息基础架构上面好的应用系统也越来越多,变得越来越难以管理的时候,应运而生的这样一个标准,现在重要性不只是IT企业没有了IT怎么办的问题,包括我们日常生活。
今天关注ISO20000这个标准和IT服务管理体系到底是怎么回事,在实施过程当中大家比较疑惑的一些问题。
IT服务管理体系长得什么模样?我做IT运维的时候,目前这套流程是不是符合IT服务管理体系的要求,谁应该去实施这个管理体系,都是一个问题。在IT服务的方面,什么叫IT服务呢?OPC有一个标准的定义,由IT服务提供者给一个或多个客户提供的服务,叫做IT服务。如果大家回过头去看ITIL的时候,是IT系统运维的服务,有一个IT基础设施在,有好的应用系统在上面,有这样一套机制的时候,必须要有人持续运营,给业务持续提供IT服务。我们ITIL关注这个方面。ISO20000关注的侧面,比这个稍微有一点宽,如果我们看ITIL的时候,我们大的公司,自己的IT部门运维了一套基础设施,运维了一套应用系统,我是针对我自己的,所以每一个流程,似乎看ITIL的每一个流程,都符合ISO20000流程的时候,也都符合自己这个系统的要求。
但是我们现在碰到很多的提供IT服务,不光在运行自己的系统,昨天晚上大家如果看经济半小时的时候,看到大连软件和服务外包整个行业的状况的时候,你会发现有很多公司,包括惠普、IBM,包括很多国外大的公司,他们都在提供IT外包服务,很多欧洲、美洲的公司,把他们IT系统运维的一部分包到中国来,做外包服务。那个时候你可能服务提供,如果你去读ITIL几个流程,或者读IT服务管理流程的时候,发现有的流程我是没有的。比如说最常见的就是做IT服务外包服务的公司问一个问题,我不替客户管它的配置,在这个时候我的配置管理流程怎么实施?那个问题你现在要反过来看,即使不替他管配置,你自己提供服务的时候要不要有一套配置的元素,才能够保证你顺利给它提供服务?一定有的。你的服务的流程,这个要看你怎么去识别。ISO20000,大家要看整个部分。基本上IT服务基于信息技术提供给客户流程一定支持叫做IT服务。
IT服务里面有三点很重要,人员、流程和技术。基本上ISO20000不是一个技术标准,它是一个管理标准,是通过管理标准,通过流程的管理,人员的管理,和通过流程对技术的标准,达到一种稳定的在管理状态下的服务,也就是说讲的是服务质量、运维质量。IT服务管理体系是一个整合的过程和方法,能够让你有效提供业务和管理要求下的整合,但是反过来另外一个问题,IT服务管理一定是ISO20000吗?不是的。那个概念有点过大。你自己提供IT服务管理,你自己就有一套体系,这个体系可能是你自己通过实践来摸索的,也有可能某些流程是通过学习来的,但是不等同于ISO20000,ISO20000是基于ITIL最佳的实践,在这个上面总结出来一些IT服务最佳的流程,最佳要管理的方面。我们做第三方验证的时候,你符合这个标准,我的角色是去验证,是不是真的符合,你有没有依据客观的标准来实施IT服务标准的体系、机制,你符合之后能够拿到一张证书,是这样一个过程。
ISO20000的特点在哪里?是一个以流程为基础的标准。是有一个特定的要求,它是有一个固定的模式的,基于流程,也就是刚才李总讲COBIT的时候,讲到流程里面关键的要素。每个流程要完成什么?要达到什么目的?针对这个流程应用方针是什么?这个流程有它的目标、目的,还有它的流程负责人,每个流程的动作要达到什么样的标准、准则、KPI,整个流程出来以后,有没有测试机制?去做这个流程是不是有效,有没有能够有效达到KPI,这些要素都在的时候才叫一个流程彻底都在。基于流程不只是一个空的概念,有具体要素要达到。
ISO20000是基于流程的一个IT服务管理体系,包括的要素大家可以看到,这张图很充分表示出来基于流程的概念。如果看中间部分,基于流程管理的你的服务,识别哪些服务在基于流程体系状态下要去做策划?要通过识别到底在多少服务在管理状态下策划你的服务,是一个生命周期的概念,然后要实施你策划这个计划。实施过程当中,你要设立你的监测目标、监控活动,来看你的策划和你的实施是不是有效,如果没有效的时候你要持续改进。这是基于流程持续改进的一个概念,这是现在所有管理体系标准,都应用最最基本的概念,基于流程、持续改进这样一个概念。
基于你提供IT服务所必须活动的流程,这个活动在这个标准里定义成13个流程,基于流程怎么去策划你的工具,左边是基于活动一些要求,能够达到稳定状态下的IT服务要求,那边达到客户满意的服务,叫做管理状态下的服务。基于流程都不是空的,基于流程要识别多少流程,流程目标到底是什么,完成之后想达到的目的是什么,用什么测量它、监控它?这样一些系统要把它分解出来,然后才能够设计每个流程的活动怎么才是最有效的。大家看到流程可以分解到很详细,分解到每一个活动、到每一个任务。
这个关键13个流程里面,我们用一个图表示出来,这13个流程里包括策划的活动、实施活动、监控和改进活动,因为从一个标准要求总体的概括,目前我们看到对管理体系一般性要求,ISO20000标准最开始有效的规则,要求管理体系最基本的元素,包括你有一个IT服务的策略和方针,和一套有效管理措施的框架,这是要求你建立的,可能你要符合ISO20000,必须有一个明确的服务方针,有一个平台,有一个框架来管理你的IT服务。
下面就从策划开始要求。大家可以看到从第一个开始的活动,就要求你要策划和实施你的服务管理。这里包括你要识别所有的服务,提供多少种服务?这个就有很大的难题,过后碰到很多的难题,你说我用系统来分呢?还是用应用来分呢?还是用什么来分?这个IT服务到底有多少?这有不同,因为每个客户都不同,最起码我看到两种不同客户,一种在运维自己的系统,包括软件、硬件所有的应用,有的只是空间的一部分几个流程,这种状态下怎么策划、识别你的流程,怎么分类。有一些最佳实践指引你可以参考,有些最佳实践指引,你要自己决定怎么能够管理这个状态下,把它科学分一分。最后要提出这个总的要求,你要针对不同的服务要提出它的目标是什么,它的服务计划是什么。服务计划里有很多种,这里有一个很重要的概念,所有的流程的识别和所有服务的识别,都是基于风险的,怎么管?计划是基于风险来管理的,如果你识别一个服务之后,这个流程是什么样的,这个流程过程当中,哪些是它最主要的风险,要识别出去,针对这些风险,要管理到什么程度,这个决策要决策出来,最后才涉及你真正运维过程,基于经营风险的过程来实施。
这里不光提出所有的服务,还有服务流程,还有监控和测量的目标,怎么去监控这个流程,怎么监控这个服务是不是达到你设计的目标和目的,要有监控和测量的过程,还包括你要有改进的过程。
还有一个条款,这个标准是一个动态的管理,当然现在有一个起点,搞一个80的应用系统,但是明年你可能不断增加新的应用系统在上面,然后你原来基础设施也会升级,所以你的服务是在不断变更状态下的。每一个新的变更出现的时候,不管是引进新的系统,还是原有系统技术上的升级、流程上的升级,原来服务计划都可能会做变更,因此它有一个关于计划和实施新的服务的变更。
第六个条款是整个服务提升的过程,这里包括几个非常关键一些系统。这个服务过程里面,首先包括服务水平协议,怎么去设立服务水平协议。基本是灵魂的条款,如果你有一个ISO20000的服务管理体系,如果你没有制定,没有协商这个服务水平协议,怎么达到服务水平协议的过程,基本没有依据的。这个系统讲的是将来能够提供管理状态下的服务,管理状态下首先要达到客户满意的服务。客户满意,通过什么满意?你们两个之间都没有一个协议,没有一个服务水平的时候,怎么知道不满意?大家没有一个对话的基础,因此服务水平协议基本是这个标准的灵魂,管理体系的灵魂,如果没有基本的,大家没有办法谈满意还是不满意的。它有一个预决算的要求,有信息安全的要求,有没有足够提供将来服务能力,还有满足将来潜在客户需要的能力,它的容量和要求,预决算的要求。前面还有服务水平、连续性的要求,还有通过决策的要求。
在服务提供过程里面讲到六个流程,第七个条款管理过程中讲到两个流程,一个是业务关系管理,你的服务总归是达到客户的满意,因此要有效的管理和沟通,和你的业务流程进行沟通,了解业务的要求,提供每个业务部门能够满意的服务,这是一个管理的方面。还有一个就是供应商,在ITIL里面提到的是厂商,你可能有外包服务的供应商,你是一个做服务管理的客户,做运维管理的客户,但是你中间某个流程可能包给另外一个第三方,他也可能再外包一块服务给他的供应商,但是不管怎么样你是一个界面,最后客户满意与不满意,他不会直接找你下级供应商,而找你,所以你要有效管理你的供应商。
第八个条款主要讲到问题解决流程,里面分为两个,一个是事件关系,因为现在帮助台、服务台越来越融合在一起的时候,有的时候不是事故,不是说网络出了问题,或者你的主机出了问题,或者某个应用系统出了问题,而是有些职能比如客户不熟悉你的系统,不会用,来询问,有一些是关于咨询的这样一些事件的管理,这个有很多争执,原来翻译的时候会讲是事故管理,客户说没有那么多事故,你说事故的话,领导会吓一跳。因此在事件管理流程里面,所有来的问题都叫事件,但是事件有严重,有不严重。有些事件会是很大的事故,所以你要把事件分类分级管理起来,哪些是严重的,哪些是不太严重的,要分级别,分不同的管理方式,这是它要求的,怎么还要求你建立很多的事件回应流程,要分级分类。
还有一个主动的过程,事件是被动响应的,有人报告,然后你去处理,还有一个问题管理流程,是主动的流程。有些事件会不断的重复,在你系统里面不断的重复,你虽然当时解决了问题,但是还不知道它发生的原因到底是什么,所以它不停在你的系统里面重复。还有一些是大的,你不知道原因是什么。所以有主动管理问题解决的流程。
第九个条款是关于控制过程的,有两个方面,一个是配置管理过程,还有一个是变更管理过程。这个过程具体的要求我不跟大家讲了,因为大家可能在座很多人看过ITIL,这个标准本身其实很短的,标准里只提要求,如果提太细要求的时候,大家没有办法实施。如果它在这个标准中提了很细的要求,如果你想适用于各种IT服务组织,基本上是不可能的,因为这个要求是非常泛泛的,这个标准总共才有十几页,因此大家回去看,我给大家讲关键要控制哪些方面。大家如果有问题的时候,可以找赛迪顾问,还有很多,包括像在座的IBM同事,很多的厂商,他们提供这个标准一些流程,他们有很多这方面的专家,大家从他们那里可以得到信息。
第十个条款是发布信息,怎么把你开发的系统或者变更的系统引入到实际的运维环境中去,刚才李总讲到IT服务的生命周期,从设计到引入,到运营,到改进,整个一个过程,大家可以看到第十个条款是关于发布的管理。
在这上面是十个条款,大家可以看一下讲了13个流程,这13个流程对于不同形式的服务提供商,有些流程对它不重要,对你可能很重要,它的重要程度是不一样的,但是实施过程中大家要注意一点,这13个流程在标准里面没有讲可以删减,每一个流程在实施过程中都不可以删减。
讲实施的过程,没有办法跟大家讲,大概跟大家讲一下实施过程中大家要注意的一些问题。好处大家也不用多去想了,随着IT系统变得越来越大,运营服务变得越来越复杂,没有一套好的流程的管理,没有持续改进的流程管理,基本上我在讲直接影响到的就是我们对外看的就是你的生活当中不方便,包括任何行业。比如我家车库,经常门控系统三天两头出问题,车就开不出来。IT服务的问题现在并不只是IT的问题,是整个业务的问题,实施整个IT服务管理体系,尤其你的系统变得越来越大的时候,能够保证你的整个业务能够有效稳定的运行。所以没有什么可商量,我实施还是不实施,而是你怎么持续不断的改进,在风险管理的状态下,你要投入多大的精力运营的问题。
实施过程当中也会出现很多实际问题,有人问我,我实施过程中是不是一定要用工具,一定要用配置管理的工具,一定要用事件管理的工具,问题管理的工具?标准没有特定的要求,也就是说不一定非要用这个工具来实施ISO20000,如果你的服务组织只是十个人,然后你又很简单的IT服务系统的时候,不一定用工具,但是大型、复杂的系统不用工具管理不好,要根据服务需要、根据服务规模、根据系统关键程度,来决定你是不是要用工具,而且用什么样的,用复杂还是简单的工具,关键是要有效能够解决问题。
刚才我问到大家觉得比较复杂的问题,在这儿可能一下讨论不清楚,因为根据每个体系自己的系统运维状态要解决13个流程都要做的时候,有些流程不在我们控制状态之下,我应该怎么实施?这是一个比较具体的问题,如果大家在实施,然后大家有困惑的时候,我们可以通过电话或者邮件,或者我们见面来谈这个问题。
关键成功因素,我想跟大家讲讲,这个关键成功因素,将来大家体系有效没有效非常关键。第一你有没有明确的指导方针,你的服务到底是要做什么?到底你的服务要达到什么样的目标?都靠这个方针来固定下来,所以你有没有明确的服务方针,在你的体系里非常重要,否则就没有灵魂,就没有办法制定目标,没有方针就不知道哪些目标是重要的,哪些是不重要的,只有方针的时候,才能够衡量这个目标,才能够在这个目标上达到改进。
另外要有有效的计划和策划的过程,策划一个好的计划,是非常重要的一个关键的活动,如果你没有好的计划的话,改进的基础就不存在了,根据业务要有效的沟通,建立有效的服务水平协议,服务水平协议不是我们IT组织拍脑袋想出来的,这是双方的问题,你为谁服务,双方建立一个服务水平协议双方都同意了。这个过程很难。
我当时审核平安的时候,平安的总监跟我讲,我的老板不跟我讲这个,我的老板就指着下面说,你看那个人要砸玻璃,他很疯狂,因为他出了事件要理赔,但是现在IT服务系统不管用,你去跟他讲。但是从业务的角度上来讲,IT部门一定要和业务部门识别出来哪些是关键的运维系统,到底有多高可用性程度,如果这个都不行,你跟那个人更没办法讲。所以要有很好的、有效的服务水平协议。这不是拍脑袋建立起来的,要有效的流程,要有有效的管理过程,要进行有效的沟通都建立起来,还有建立这些服务水平协议所需要基础的数据、基础的信息,如果我们建立服务水平协议的时候,客户要求达到99%的可用性,但是你能不能达到99%呢?你没有过去的数据支撑,很难现在就敢说我答应你还是不答应你?要有一套收集信息的支撑你的决策。要有一套系统来支持你,要提出有效的决策。不管你怎么管,不管你投入多大的资源,你总会遇到有出事故,或者当机的时间,而且资源总是有限的,因此你要策划你的流程,它的风险管理要到什么程度,你要根据你的资源,你能投入的资源管理这个风险。
刚才说了关键目标都要在方针政策和你具体目标里面去定。这个很重要,管理层的支持和承诺,要明示它的支持,但是不是光嘴上说要明示他的支持,如果讲IT管理需要资源,所以它的承诺就很重要,要投入资源,要有实际的行动,实施管理体系中,要出现在员工面前说,我支持实施这样一个系统。其实实施这个系统的时候,实施这个流程的时候,很多时候是改变你过去的做法和习惯。在过去没有这样流程的时候,我想做这个的时候,事件来了,有这个报告,我自己有办法处理,我也不用汇报,有不用经过审批,要动什么配置,我自己处理,可是现在我还要报告,要层层审批,多麻烦,这个时候如果管理层不站出来说着是我们的系统,我们从现在开始就要这样做,大家不要怕麻烦,那真正给大家带来流程上的效率和稳定的服务,保证你的IT系统不给你的用户客户带来麻烦。管理层要站出来声明他的观点支持你,才能达到,否则很难,很多体系都半途而废,最后做成两张皮,文件是文件,流程是流程,底下做的是另外一套东西,因为我要按照那个做太麻烦了,就是因为缺乏管理层有效的支持,不提供足够的资源和承诺,让每个员工去符合它的要求。因此如果你是一个实施的负责人的时候,在实施过程中一定要取得管理层的支持和承诺。
培训,让员工按照IT服务的观念,流程不光是你的流程,是每个执行员工的流程,因此他要理解这个流程,要主动的符合这个流程,这个要经过一个过程,要有足够意识的培训,有经常性灌输才能达到,不是一天能够达到的,不是经过你说我有一个流程,我写下来,大家按照它去做,要大家自觉自愿去做,要经过一个过程。管理者不光要承诺,提供足够的财务支持。
还有在做的时候有一个很大的困难,我们在不做这个流程的时候,每个部门管每个部门自己的事,但是如果我们看13个流程的时候,很多流程是跨部门的,这需要大家的沟通和商量,而且往往出问题是出在这种跨部门界面上,大家都要注意这个部分,而且大家都承诺到跨部门管理方面去。