ITIL、COBIT、CMMi、ISO、17799框架大揭秘

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

ITIL、COBIT、CMMi和ISO 17799是管理新一代數(shù)據(jù)中心的最佳實(shí)踐。

在新一代數(shù)據(jù)中心的架構(gòu)下，IT系統(tǒng)變得高度自動(dòng)化，因此越來(lái)越多的企業(yè)開(kāi)始采用IT框架所提供的最佳實(shí)踐標(biāo)準(zhǔn)。服務(wù)質(zhì)量、安全、法規(guī)遵從以及企業(yè)戰(zhàn)略目標(biāo)都是IT框架需要解決的問(wèn)題。

ITIL（IT基礎(chǔ)架構(gòu)庫(kù)）、COBIT（信息及相關(guān)技術(shù)的控制目標(biāo)）、CMMi（能力成熟度集成模型）以及ISO 17799，將在創(chuàng)建新一代數(shù)據(jù)中心時(shí)扮演重要的角色。Fox IT是一家從事IT服務(wù)管理的咨詢(xún)機(jī)構(gòu)，其總裁David Pultorak就曾說(shuō)：“這些框架是由不同組織，在不同的時(shí)間，出于不同的理由而設(shè)計(jì)的……但是，每個(gè)框架都對(duì)新一代的‘虛擬’數(shù)據(jù)中心有所貢獻(xiàn)?！?nbsp;

Pultorak以用于服務(wù)管理的ITIL為例，來(lái)說(shuō)明IT框架如何能夠當(dāng)作通向新型、更靈活數(shù)據(jù)中心的“敲門(mén)磚”。他說(shuō)：“ITIL框架支持通過(guò)一種與眾不同的技術(shù)去定義服務(wù)，以保證將來(lái)自于技術(shù)部件的靈活性用在支持和提供服務(wù)方面?！?

盡管這些框架中的確存在著一些重疊之處，但是它們更多的是互補(bǔ)關(guān)系，而非重復(fù)，因此企業(yè)通常會(huì)采用一個(gè)以上的IT框架。

ITIL

如今，在歐洲流行多年的ITIL正在引起美國(guó)企業(yè)用戶(hù)的注意。該框架起源于英國(guó)的中央計(jì)算機(jī)與電信局（現(xiàn)在為政府商務(wù)辦公室）。上世紀(jì)80年代末，該機(jī)構(gòu)開(kāi)發(fā)了這套用于IT服務(wù)管理的最佳實(shí)踐標(biāo)準(zhǔn)。作為支持機(jī)構(gòu)，IT服務(wù)管理論壇負(fù)責(zé)推進(jìn)ITIL在企業(yè)中的應(yīng)用，現(xiàn)在它已經(jīng)是一個(gè)擁有12000多家企業(yè)和政府成員的全球性組織。

ITIL已經(jīng)被匯編為一套“從書(shū)”，它向用戶(hù)提供了一種可定制的實(shí)踐框架，為內(nèi)部用戶(hù)提供高質(zhì)量的服務(wù)。ITIL涵蓋了服務(wù)支持、軟件支持、計(jì)算機(jī)操作以及安全管理等功能。

Pultorak說(shuō)：“ITIL適用于數(shù)據(jù)中心，因?yàn)槠髽I(yè)可以利用它來(lái)執(zhí)行正確的業(yè)務(wù)流程。” 比方說(shuō)，一家擁有面向服務(wù)的數(shù)據(jù)中心的保險(xiǎn)公司，就可以利用ITIL規(guī)程來(lái)保證索賠流程的數(shù)據(jù)可供隨時(shí)使用。

Pultorak指出，以服務(wù)為核心可以為業(yè)務(wù)和IT之間的自動(dòng)化聯(lián)動(dòng)打下基礎(chǔ)。而憑借這一基礎(chǔ)，在具備了合適的基礎(chǔ)架構(gòu)和管理手段之后，數(shù)據(jù)中心所表現(xiàn)出的靈活性就會(huì)大大增加業(yè)務(wù)的靈活性。

Lockheed Martin公司計(jì)算與網(wǎng)絡(luò)服務(wù)部的副總裁Kim Sawyer說(shuō)，ITIL將幫助IT系統(tǒng)在直接與內(nèi)部客戶(hù)打交道時(shí)更及時(shí)地做出反應(yīng)。她說(shuō):“Lockheed Martin公司盡管仍處在應(yīng)用ITIL的初期，但她們已經(jīng)利用ITIL來(lái)支持企業(yè)服務(wù)臺(tái)、事件管理和問(wèn)題管理功能?！绷硗猓兏芾?、配置管理和版本管理也將被添加到即將部署的ITIL服務(wù)管理清單之中。

Sawyer表示，服務(wù)水平管理、性能管理和可用性管理中的ITIL最佳實(shí)踐標(biāo)準(zhǔn)是服務(wù)提供功能的關(guān)鍵。她說(shuō)：“由于有了一種通用語(yǔ)言和對(duì)流程的理解，我們就可以為客戶(hù)提供一個(gè)強(qiáng)壯而可靠的基礎(chǔ)架構(gòu)，去幫助他們完成所需的任務(wù)?！?

Homestore公司是一家美國(guó)房地產(chǎn)在線(xiàn)服務(wù)提供商。該公司的CIO Phil Dawley就表示，ITIL將為企業(yè)多次并購(gòu)后的容量規(guī)劃、業(yè)務(wù)連續(xù)性和網(wǎng)絡(luò)提供更好的IT服務(wù)水平度量標(biāo)準(zhǔn)。

Dawley還指出，ITIL框架還將幫助他們部署按需計(jì)算以及新一代數(shù)據(jù)中心的其他元素。他說(shuō)，“如果要管理一種更為復(fù)雜和分散的環(huán)境，那么你最好能更加了解如何管理它們的流程。ITIL為了我們提供了一種了解‘所有IT流程’的途徑。在我們能夠測(cè)量和監(jiān)視所有的系統(tǒng)之后，新一代的數(shù)據(jù)中心才能真正有效運(yùn)行?！?

COBIT

1996年，作為一項(xiàng)IT安全與控制的實(shí)踐標(biāo)準(zhǔn)，COBIT由信息系統(tǒng)審計(jì)與控制組織和IT管理協(xié)會(huì)共同開(kāi)發(fā)。它為IT、安全、審計(jì)經(jīng)理和用戶(hù)提供了一套完整的參考框架。目前，COBIT已經(jīng)發(fā)布了第三版，它正在成為控制數(shù)據(jù)、系統(tǒng)和相關(guān)風(fēng)險(xiǎn)的優(yōu)秀實(shí)踐法則，并逐漸被越來(lái)越多的用戶(hù)所接受。它將幫助企業(yè)部署對(duì)系統(tǒng)和網(wǎng)絡(luò)的有效管理。

COBIT管理指導(dǎo)方針的部件由衡量企業(yè)在34種IT流程中能力的工具所組成。這些工具包括了性能測(cè)量組件、為每種IT流程提供最佳實(shí)踐的關(guān)鍵成功因素清單，以及幫助進(jìn)行基準(zhǔn)測(cè)試的成熟度模型。

Fox IT的Pultorak說(shuō)：“COBIT真正關(guān)注的問(wèn)題是，企業(yè)是否具備適當(dāng)?shù)目刂屏?，以確保符合相關(guān)的管理規(guī)定。它幫助企業(yè)確定他們是否正在做他們表示要做的事，以及他們是否可以證明這一點(diǎn)?！北确秸f(shuō)，如果一家企業(yè)聲稱(chēng)可以通過(guò)登錄過(guò)程保證用戶(hù)進(jìn)入其數(shù)據(jù)中心的安全性，它就可以出示某一時(shí)段基于COBIT的完整日志。

隨著各個(gè)企業(yè)都在努力達(dá)到Sarbanes-Oxley法案及其他管理規(guī)定的要求，這項(xiàng)標(biāo)準(zhǔn)變得更加重要了。而對(duì)于數(shù)據(jù)中心來(lái)說(shuō)，COBIT也非常重要，因?yàn)樗峁┝艘环N實(shí)施流程控制的途徑。

“COBIT已經(jīng)被證明是一種測(cè)量和評(píng)估企業(yè)IT控制能力的優(yōu)秀工具?！盠ockheed Martin公司的Sawyer說(shuō)，我們的內(nèi)部審計(jì)小組成功地利用它來(lái)評(píng)估基礎(chǔ)架構(gòu)的管理，以確定那些需要改進(jìn)的領(lǐng)域或風(fēng)險(xiǎn)?！痹摴具€利用CMMi和ISO 17799來(lái)改進(jìn)業(yè)務(wù)流程和IT服務(wù)水平。

Dawley說(shuō)，Homestore公司正在使用COBIT，并將其作為對(duì)提高Sarbanes-Oxley法案遵從性努力的一部分。他說(shuō)：“COBIT與ITIL配合得非常好。COBIT使我們可以檢查ITIL的執(zhí)行情況，確保我們正確地應(yīng)對(duì)企業(yè)中存在的風(fēng)險(xiǎn)。”

CMMi

1991年，CMMi由卡內(nèi)基梅隆大學(xué)軟件工程協(xié)會(huì)發(fā)布?，F(xiàn)在，CMMi已經(jīng)演進(jìn)為一種為軟件開(kāi)發(fā)、系統(tǒng)工程及研發(fā)提供流程改進(jìn)指導(dǎo)的框架。該框架通常被用來(lái)提高產(chǎn)品和服務(wù)質(zhì)量，加快開(kāi)發(fā)效率以及降低與開(kāi)發(fā)項(xiàng)目相關(guān)的風(fēng)險(xiǎn)。它具有5個(gè)不同的“成熟度”級(jí)別，每個(gè)級(jí)別都代表著一套企業(yè)在實(shí)施流程改進(jìn)時(shí)所必須的最佳實(shí)踐標(biāo)準(zhǔn)。

當(dāng)CMMi被用來(lái)測(cè)量IT流程的相關(guān)成熟度時(shí)，它可以為新一代數(shù)據(jù)中心帶來(lái)實(shí)際的幫助。Pultorak舉例說(shuō)，一家零售商的IT部門(mén)在開(kāi)始改進(jìn)業(yè)務(wù)流程之前，就指定Fox IT對(duì)其成熟度進(jìn)行評(píng)估。評(píng)估的結(jié)果是，問(wèn)題管理流程不成熟，而事件管理流程是成熟的。Pultorak說(shuō): “這是重要的第一步，它為在正確的地方、以正確的方法實(shí)施改進(jìn)奠定了基礎(chǔ)?！?

Sawyer則表示，Lockheed Martin公司在去年取得的CMMi 5證書(shū)正在幫助他們向內(nèi)部用戶(hù)提供更加全面、可靠的軟件。

ISO 17799

由國(guó)際標(biāo)準(zhǔn)化組織在2000年正式發(fā)布的ISO 17799是一項(xiàng)詳細(xì)的安全標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)涉及以下幾個(gè)重要領(lǐng)域，包括：業(yè)務(wù)連續(xù)性規(guī)劃、系統(tǒng)訪(fǎng)問(wèn)控制、系統(tǒng)開(kāi)發(fā)與維護(hù)、物理與環(huán)境安全、遵從性、個(gè)人安全、安全組織、計(jì)算機(jī)與操作管理、資產(chǎn)分類(lèi)與控制以及安全策略。

事實(shí)上，ITIL的安全管理指導(dǎo)方針就是建立在ISO 17799標(biāo)準(zhǔn)之上的。該標(biāo)準(zhǔn)所建立的最佳實(shí)踐標(biāo)準(zhǔn)可以用來(lái)確保在系統(tǒng)故障或其他中斷時(shí)，業(yè)務(wù)能夠持續(xù)運(yùn)行；控制對(duì)數(shù)據(jù)、系統(tǒng)和網(wǎng)絡(luò)的訪(fǎng)問(wèn)；保護(hù)信息的機(jī)密性和完整性；防止對(duì)業(yè)務(wù)設(shè)施的非授權(quán)訪(fǎng)問(wèn)；符合相關(guān)的管理規(guī)定。

警惕框架過(guò)載

專(zhuān)家表示，所有這些框架通常都會(huì)被企業(yè)當(dāng)作最佳實(shí)踐的標(biāo)準(zhǔn)所接受。它們會(huì)被應(yīng)用在數(shù)據(jù)中心的自動(dòng)化方面，讓企業(yè)可以調(diào)整自己的業(yè)務(wù)流程，以滿(mǎn)足內(nèi)部用戶(hù)和商務(wù)合作伙伴的需要。Pultorak說(shuō)：“如果你一味閉門(mén)造車(chē)，與其他系統(tǒng)的集成就變得越來(lái)越困難，同時(shí)也很難在詳細(xì)的審計(jì)過(guò)程中捍衛(wèi)自己的利益?！?

但是，框架過(guò)載是企業(yè)必須注意的問(wèn)題。

“企業(yè)必須有所側(cè)重，必須設(shè)定自己的框架實(shí)施目標(biāo)，以及必須投入足夠的項(xiàng)目管理資源。” Pultorak說(shuō)，“如果你過(guò)度使用這些框架，濫用它們，或者不知道它們可以實(shí)現(xiàn)是什么，結(jié)果都不可能令人滿(mǎn)意?！?

框架過(guò)載還意味著企業(yè)需要付出高昂的費(fèi)用。根據(jù)不同的規(guī)模，每一個(gè)框架的實(shí)現(xiàn)都可能會(huì)花費(fèi)幾十萬(wàn)美元。由于這些費(fèi)用包含培訓(xùn)、咨詢(xún)和支持框架的軟件產(chǎn)品等方面的支出，因此成本可能難于控制。

衡量實(shí)施的投資回報(bào)率可能也相當(dāng)困難?！坝捎谥攸c(diǎn)放在流程改進(jìn)，而非技術(shù)資產(chǎn)方面，IT經(jīng)理們一般不了解怎樣進(jìn)行投資回報(bào)的評(píng)估?！睂?zhuān)門(mén)從事技術(shù)投資回報(bào)的咨詢(xún)公司Glomark Group的總裁Ruben Melendez說(shuō)，“只有非常少的企業(yè)對(duì)它們的ITIL（或其他框架）的實(shí)施進(jìn)行過(guò)投資回報(bào)評(píng)估?！彼赋?，項(xiàng)目實(shí)施大部分的經(jīng)濟(jì)收益來(lái)自于更長(zhǎng)的業(yè)務(wù)流程正常運(yùn)行時(shí)間。

框架是必須的嗎？Lockheed Martin公司的Sawyer認(rèn)為答案是肯定的。她說(shuō)：“通用語(yǔ)言和遵從性流程是構(gòu)建新一代數(shù)據(jù)中心的基礎(chǔ)。相同的語(yǔ)言讓我們能夠更快地開(kāi)展討論，從而在更短的時(shí)間內(nèi)做出決定。沒(méi)有標(biāo)準(zhǔn)，用戶(hù)管理數(shù)據(jù)中心和提升系統(tǒng)靈活性的夢(mèng)想就不能真正實(shí)現(xiàn)。”

IT框架概覽

ITIL（IT基礎(chǔ)架構(gòu)庫(kù)）：IT服務(wù)管理的最佳實(shí)踐標(biāo)準(zhǔn)。

COBIT（信息及相關(guān)技術(shù)的控制目標(biāo)）：提供控制數(shù)據(jù)、IT系統(tǒng)和相關(guān)風(fēng)險(xiǎn)所需的參數(shù)框架。

CMMi（能力成熟模型集成模型）：指導(dǎo)在軟件開(kāi)發(fā)、系統(tǒng)工程、研發(fā)及其他活動(dòng)中的流程改進(jìn)。

ISO 17799：用于業(yè)務(wù)連續(xù)性、訪(fǎng)問(wèn)控制、遵從性以及其他領(lǐng)域的安全標(biāo)準(zhǔn)。

來(lái)源：CCW