IT基礎設施最佳實踐ITIL

申請免費試用、咨詢電話：400-8352-114

1.      前言

1.1.困擾問題

隨著IT技術(shù)在企業(yè)中的應用越廣，企業(yè)業(yè)務流程的正常運作就越離不開IT部門的支持。IT在給企業(yè)業(yè)務帶來效益的同時，也帶來了成本和風險的困擾，尤其是在某些特殊行業(yè)，例如電信、金融等行業(yè)。如何使已有的信息化資源發(fā)揮更大效能，如何使IT與企業(yè)業(yè)務緊密整合，如何規(guī)范企業(yè)IT服務管理，已成為決定企業(yè)能否在激烈的競爭中領(lǐng)先的重要課題。

在企業(yè)內(nèi)部，一方面管理層對IT部門提出了可度量IT投資回報的要求，而業(yè)務部門則對IT服務質(zhì)量和可用性提出了更高的要求。如何才能兼顧兩者的不同需求，如何才能達到質(zhì)量與成本的平衡？

另外，2002 年美國頒布的Sarbanes-Oxley法案（Sarbanes-Oxley Act, 簡稱SOX法案）要求組織機構(gòu)使用文檔化的財務政策和流程來改善可審計性，并更快地拿出財務報告。而該法案中，以第404節(jié)條款的影響最大，第404節(jié)條款規(guī)定兩個必備的內(nèi)容：一是公司管理層要對公司內(nèi)控和財務會計報表的制定和編制的有效性、真實性負責，二是必須聘請外部審計師對公司內(nèi)控和財務報表進行獨立審計并出具審計結(jié)果。SOX法案對IT服務的成本和質(zhì)量提出了非常直接的挑戰(zhàn)。

1.2.解決之道

ITIL是用來提升IT服務質(zhì)量，降低IT服務成本，協(xié)調(diào)IT服務部門內(nèi)部運作，改善IT部門與業(yè)務部門的溝通，幫助企業(yè)對信息化系統(tǒng)的規(guī)劃、研發(fā)、實施和運營進行有效管理的方法。ITIL結(jié)合企業(yè)的環(huán)境、組織結(jié)構(gòu)、IT資源和管理流程的特點，從流程、人員和技術(shù)三方面來規(guī)劃企業(yè)的IT結(jié)構(gòu)。它強調(diào)將企業(yè)的運營目標、企業(yè)需求與IT服務的提供相協(xié)調(diào)一致。

COBIT以ITIL為基礎，將IT流程、IT資源及信息與企業(yè)的策略與目標聯(lián)系起來，為企業(yè)管理的成功提供了集成的IT管理，通過保證有關(guān)企業(yè)處理流程的高效的改進措施，以更快、更好、更安全地響應企業(yè)需求。

將ITIL的流程和COBIT的控制目標有機地結(jié)合可以應對SOX法案帶來的挑戰(zhàn)，幫助企業(yè)改進IT流程，實現(xiàn)業(yè)務對IT的需求。

2.COBIT介紹

2.1.COBIT簡述

COBIT（Control Objectives For Information and Related Technology，信息及相關(guān)技術(shù)的控制目標），是一個被廣泛接受的IT控制框架(IT Control Framework)。由美國IT治理研究院（IT Governance Institute）開發(fā)與推廣，目前已成為國際上公認的最先進、最權(quán)威的信息技術(shù)管理和控制的標準。該標準為IT的管理、安全與控制提供了一個一般適用的公認標準，以輔助公司決策層進行IT治理。該標準體系已在世界100多個國家的重要組織與企業(yè)中運用，指導這些組織有效利用信息資源，有效地管理與信息相關(guān)的風險。

2.2.COBIT體系結(jié)構(gòu)

COBIT將IT流程、IT資源及信息與企業(yè)的策略與目標聯(lián)系起來，形成一個三維的體系結(jié)構(gòu)，如圖1。其中，IT信息標準集中反映了企業(yè)的戰(zhàn)略目標，主要從質(zhì)量、成本、時間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性；IT資源主要包括以人、應用系統(tǒng)、技術(shù)、設施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源；IT流程則是在IT信息標準的指導下，對信息及相關(guān)資源進行規(guī)劃與處理，從規(guī)劃與組織（Planning and Organisation）、獲取與實施（Acquisition and Implementation）、提供與支持（Delivery and Support）、監(jiān)控（Monitoring）等四個方面確定了34個信息技術(shù)處理流程，每個處理流程還包括更加詳細的控制目標和審計方針對IT處理流程進行評估。

圖1   COBIT三維體系結(jié)構(gòu)

這個模型為企業(yè)管理的成功提供了集成的IT管理，通過保證有關(guān)企業(yè)處理流程的高效的改進措施，以更快、更好、更安全地響應企業(yè)需求。

3.ITIL介紹

3.1.ITIL故事

ITIL全稱IT基礎設施最佳實踐庫（IT Infrastructure Library）。ITIL相關(guān)的書籍由英國政府商務部（Office of Government Commerce）在1989年出版。該套書籍出版后，內(nèi)容得到多次擴展和重新組織結(jié)構(gòu)，提供了更全面的IT服務的最佳實踐指導，更好地滿足客戶需求。出版的書中描述了創(chuàng)建相關(guān)規(guī)范所需考慮的事項、計劃和措施。基于ITIL的IT服務管理，繼承了以下特點：

• 描述已經(jīng)得到證明的IT服務計劃和運營的實踐框架，基于經(jīng)驗，而非純理論研究

• 對于公共和個人組織公平地給予指導，獨立于組織使用的軟件和硬件

• 屬于公共的方法論，使用時無需任何費用

• 具有全球的用戶網(wǎng)絡

雖然英國、荷蘭、加拿大和美國是采用ITIL最積極的地區(qū)，但ITIL在世界上其它地方的使用也在迅速增長。由于實現(xiàn)整個ITIL規(guī)范需要很長的時間，所以最初常常看到使用的只是部分實踐。在ITIL實現(xiàn)中這些現(xiàn)象都不罕見——任何成功的實踐實現(xiàn)都要求付出時間和管理。另外，ITIL是一個覆蓋了IT環(huán)境運行維護中很多其它方面（如系統(tǒng)管理、網(wǎng)絡管理和安全性）的庫。這一服務管理規(guī)范提供了一個框架，IT和終端用戶可以根據(jù)自己的能力定義自己所要求的不同服務性能水平。客戶們通常采用一種持續(xù)的流程改進戰(zhàn)略逐步實現(xiàn)這些流程。

ITIL與COBIT類似，它并不是把相同的一套流程直接實施于企業(yè)，而是根據(jù)每個企業(yè)的詳細需求量身定做，以實現(xiàn)企業(yè)IT部門的戰(zhàn)略目標和流程。

3.2.ITIL流程

ITIL的核心流程和模塊，主要包括：

• IT服務支持（IT Service Support） ：

             服務臺（Service Desk）

             突發(fā)事件管理（Incident Management）

             問題管理（Problem Management）

             變更管理（Change Management）

             配置管理（Configuration Management）

             發(fā)布管理（Release Management）

• IT服務提供（IT Service Delivery）：

             服務級別管理（Service Level Management）

             IT服務財務管理（Financial Management for IT Services）

             IT服務連續(xù)性管理（IT Service Continuity Management）

             能力管理（Capacity Management）

             可用性管理（Availability Management）

3.3.實施ITIL獲得收益

實施ITIL后企業(yè)可以獲得的利益主要包括:

• 減少重復工作和冗余工作，有效利用人力資源

• 提高IT員工的專業(yè)素質(zhì)，提高員工的服務能力和工作效率

• 規(guī)范IT部門的服務水平，規(guī)范工作流程，降低由人事變動導致的風險

• 提高IT服務的可用性、可靠性和安全性，為業(yè)務用戶提供高質(zhì)量的服務

• 有效控制IT部門的開支，降低IT運營成本，減少運營風險

• 從總體上提高企業(yè)IT投資的回報，給企業(yè)帶來巨大的經(jīng)濟價值，提升企業(yè)的綜合競 爭力

4.SOX介紹

2002 年，美國國會通過了Sarbanes-Oxley 法案（Sarbanes-Oxley Act, 簡稱SOX 法案），該法案要求組織機構(gòu)使用文檔化的財務政策和流程來改善可審計性，并更快地拿出財務報告。SOX要求企業(yè)針對產(chǎn)生財務交易的所有作業(yè)流程，都做到能見度/透明度、控制、通訊、風險管理和詐欺防治，且這些流程必須詳加記錄到可追查交易源頭的地步。

SOX法案不僅適用美國的所有在市場上進行公開交易的公司，還適用于在美國證券交易所登記的非美國公司。也就是說，凡在美國上市的公司都要受此法案約束。

對于那些已開始SOX合規(guī)（SOX Compliance）的公司來說，IT很顯然地在內(nèi)部控制方面扮演一個至關(guān)重要的角色。IT專家，尤其是處于經(jīng)理級職位上的專家，需要非常精通內(nèi)部控制理論和實踐來迎合SOX法案的需求。CIO們（Chief Information Officer，首席信息執(zhí)行官）需要接受以下挑戰(zhàn)：

• 提高與內(nèi)部控制相關(guān)的知識；

• 理解公司的總體SOX合規(guī)計劃；

• 制定一項有關(guān)IT控制的合規(guī)計劃；

• 把該IT控制計劃與公司總體SOX合規(guī)計劃集成在一起。

圍繞SOX法案的討論大多集中在第302節(jié)和第404節(jié)。

5.ITIL、COBIT與SOX

ITIL對應COBIT模型中的部分模塊，它為支持企業(yè)業(yè)務流程定義了IT控制目標。

ITIL服務支持與服務提供的11個關(guān)鍵流程和COBIT的34個主要流程之間的關(guān)系如圖2所示。

在此框架圖中，綠色模塊表示COBIT的需求與ITIL完全吻合，黃色模塊表示COBIT的需求與ITIL部分吻合，紅色模塊表示ITIL目前不支持COBIT的需求?？傮w來說，ITIL覆蓋了COBIT中40-50%的控制目標。

圖2   ITIL與COBIT

為了迎合SOX的需要，外部審計師毫無疑問將把COBIT作為IT審計的工具。一位提供ITIL咨詢的咨詢師Troy DuMoulin說，“既然審計師使用COBIT，企業(yè)就有必要學習該模型。該模型確定了關(guān)鍵績效考核指標（KPIs, Key Performance Indicators）和主要成功要素（CSFs, Critical Success Factors），企業(yè)在文檔化和重組流程的時候能夠通過這些指標確定需要考慮的事項?！?/P>

除了ITIL和COBIT之外，還存在其他不同的IT框架，例如BS7799。但是其中大部分，包括COBIT，仍是以ITIL為核心。特別是ITIL服務支持與服務提供的流程涉及了11個主要的控制目標。

因此，ITIL的流程和COBIT的控制目標有機地結(jié)合可以極大地加快SOX合規(guī)的進程。

6. 總結(jié)

本文首先由IT為企業(yè)帶來的成本和風險上的困擾以及SOX法案實施帶來的影響，引出“將ITIL的流程和COBIT的控制目標有機地結(jié)合可以應對SOX法案帶來的挑戰(zhàn)。”

來源：amt