正在阅读：指南连载：数据中心运维管理测量及提升指南连载：数据中心运维管理测量及提升

2010-08-25 15:00 出处：PConline 作者：顾大伟郭建兵黄伟责任编辑：xujian1

16.3数据中心运维管理测量_6.3.1.运维管理成熟度的评估回顶部

　　来源：万国数据科技发展(昆山)有限公司；作者：顾大伟、郭建兵、黄伟主编；
　　声明：本文所有内容，版权属万国数据科技发展(昆山)有限公司所有，由万国数据科技发展(昆山)有限公司授权pconline发布。任何媒体、网站或个人未经本网协议授权不得转载、链接、转贴或以其他方式复制发布/发表。违者本网将依法追究责任。

　　《数据中心建设与管理指南》一书是由顾大伟、郭建兵、黄伟主编，并由万国数据科技发展(昆山)有限公司授权pconline发布。本书通过数据中心的规划、建设和运维，从数据中心生命周期和数据中心可持续发展的六个基本要素出发，全面阐述了数据中心建设、管理的科学体系和方法论，以及企业级数据中心的评价体系。pconline将会陆续发布此书，敬请大家关注。

阅读更多：《数据中心建设与管理指南》专题

6.3数据中心运维管理测量

6.3.1.运维管理成熟度的评估

　　数据中心运维管理成熟度评估工作是数据中心管理的重要内容。数据中心运维管理需要做到对自身的管理弱点、管理优势有正确和系统的认识。管理成熟度评估正是让数据中心了解自身管理现状，帮助数据中心根据管理弱点有针对性的开展管理改进的工具。开展管理成熟度评估将给数据中心带来如下好处：

　　(1)使数据中心充分了解自身管理现状。

　　(2)可以通过对不同时期管理成熟度的对比，发现数据中心既定管理措施的施行效果。

　　(3)为数据中心下一阶段制定管理措施提供依据。

　　(4)是数据中心进行管理持续改进的有力工具。

　　数据中心的成熟度评估工作主要可以按照以下步骤开展。

　　1.建立管理成熟度评估模型

　　这项工作是管理成熟度评估工作的基础。它主要关注两方面问题：数据中心的管理领域有哪些?如何给这些管理领域打分?

　　关于管理领域的划分方法最简单的方法就是依照数据中心管理体系所参考的标准划分评估领域。例如某数据中心按照ISO20000建立的管理体系，在建立管理成熟度模型时就可以依据ISO20000标准所划分的管理域建立管理模型，即从服务的策划与实施、服务水平管理、服务报告管理、服务连续性管理、可用性管理、IT服务的预算和财务管理、容量管理、信息安全管理、业务关系管理、供方管理、事件管理、问题管理、配置管理、变更管理和发布管理等15个方面对数据中心的管理成熟度进行评估。

　　对于数据中心成熟度的评价标准，即打分原则，数据中心可以依照自身管理特点进行划分，在这里我们举一个评分原则的例子供读者参考。该打分方式从管理制度的管理策略制定、流程文件的制定、流程文件的执行、管理体系运行记录4个方面对每个评估领域进行打分。数据中心成熟度评价标准如图6-16所示。

图6-16数据中心成熟度评价标准

　　2.进行管理成熟度初评，取得基础数据

　　此步骤需要通过内部审核、现场调研、与员工谈话等方式了解每一项具体管理领域实际执行情况，并做记录，进行打分，最终形成管理成熟度评估报告。管理成熟度报告应该对管理体系运行中的优势与劣势进行充分分析，并有理有据的提出管理上的问题及改善方向供管理者参考。图6-17是某数据中心按照ISO20000管理标准进行的管理成熟度评估后，根据数据中心实际管理情况绘制的成熟度雷达图。从该图中可以看出该数据中心在问题管理、信息安全管理方面成熟度较低。管理者需要对这两个管理领域制定相应的管理措施。

图6-17数据中心管理成熟度雷达图

　　3.对管理上的弱点制定措施进行改进

　　管理者可以通过管理成熟度报告，针对数据中心管理弱点制定措施并进行改进。

　　4.进行例行成熟度评估，并与前期的管理成熟度评估结果对比，从而调整管理方法

　　此步骤需要数据中心把管理成熟度评估作为一项定期工作来开展，这样数据中心管理才能得到持续的提升，对管理成熟度提升效果显著的措施要继续坚持落实，对管理成熟度提升效果不显著的措施要分析原因，必要时调整管理方法。

　　通过以上四点可以形成一个PDCA管理水平提升的循环模式，使数据中心的管理得到提升。

26.3.2.运维管理认证的意义回顶部

6.3.2.运维管理认证的意义

　　数据中心根据相关管理标准建立了管理体系后，可以选择专业的管理体系认证机构对数据中心的管理体系构建和实施情况进行认证。通过管理体系的认证可以使数据中心获得如下好处。

　　1.提高管理的科学性与全面性

　　数据中心通过按照某一管理流程规划管理体系并进行认证，可以在所认证的标准范围内规范数据中心的管理。通常情况下，标准是某个领域的专家和长期从事该领域工作的人士在经过充分的科学分析后结合实际的管理情况制定的。所以标准本身就是一个全面规范的管理框架。例如ISO20000是IT服务领域的科学管理框架，ISO27001是信息安全管理领域的科学管理框架，ISO9001是服务质量管理领域的科学管理框架。

　　按照这种科学管理框架建立的数据中心管理体系本身具有科学性和领域内的全面性。通过建立管理流程和进行管理流程的认证可以使数据中心的管理符合科学的管理框架。

　　2.提升管理能力

　　数据中心拟定的管理体系能够通过认证机构的认证，并且获得认证证书，很大程度上证明了数据中心在相关管理方面的能力。同时，通过管理体系的导入，也从企业文化、人员意识、管理流程等各方面提升了数据中心的管理能力。

　　3.督促数据中心维护管理体系

　　通常情况下，管理体系的认证证书是有有效期的，例如ISO27001的认证证书有三年的有效期，每隔三年认证机构会对数据中心的管理体系做全面的审核与评估，从而确认数据中心是否可以更新证书;此外每半年审核机构还会对数据中心进行一次持证复审，验证数据中心的管理体系是否有效运行。ISO20000，ISO9001等管理标准在证书的更新和持证审核方面的要求与ISO27001标准大致相仿，均存在定期的持证审核与到期换证管理。

　　所以，数据中心如果希望长期持有认证证书，就必须确保管理体系的有效执行，从而起到了督促数据中心长期有效的执行管理体系。

　　4.持续提升数据中心的管理能力

　　目前绝大多数管理体系都包括持续改进的管理思想，并且在标准中体现了持续改进的步骤和要求。所以进行管理体系的认证，持续的运行管理体系本身也会对管理体系进行持续改进，且通过持续改进提升自身的管理水平。

　　5.提高数据中心的竞争力

　　进行管理体系的认证能够提高数据中心在市场上的竞争力。这种竞争力的提高主要来源于两方面：

　　一方面，进行管理体系认证本身提高了数据中心管理的全面性和科学性，使其管理得到有效提升，能够向客户提供更好的服务，从而增加了数据中心的市场竞争力。

　　另一方面，数据中心获得的证书可以作为数据中心管理有效性的证明，向客户出示证书，可以提升客户对数据中心的信心，增加客户满意度。

36.3.3.运维管理标准介绍回顶部

6.3.3.运维管理标准介绍

　　1.ISO9001标准简介

　　随着数据中心客户的增加、规模的逐步扩大、管理的深入，单一采用IT技术并不能解决数据中心管理的全部问题。数据中心的管理正在从IT技术管理向服务管理领域发展。如何提高数据中心的服务质量，如何使数据中心高效的运作，正在成为困扰数据中心管理者的难题。

　　《ISO9001质量管理体系-要求》为数据中心管理和提升服务质量提供了成熟有效的管理框架。ISO9001是迄今为止世界上最成熟的质量管理框架。它的第一版是在1987年由国际标准化组织(InternationalOrganizationforStandardization，ISO)颁布的。1994年ISO对这一标准进行了第一次修订，2000年进行了第二次修订，2008年进行了第三次修订。目前全球有161个国家/地区的超过75万家组织正在使用这一框架。ISO9001可帮助多种类型和规模的组织提高自身的管理水平。

　　ISO9001标准对数据中心管理的诸多领域均提出了管理要求。这些领域涉及：数据中心各部门的职责分工、管理者的责任、内部沟通、数据中心方针目标的建立，数据中心的人员管理、数据中心基础设施管理、数据中心环境管理、客户需求如何转换到产品或服务中、服务设计的过程，服务商管理、服务的提供过程、运维指标的监控、客户满意管理、数据分析、不合格的控制、服务质量改进、内部审核、数据中心各类文件及记录的管理等。这些管理领域涵盖大部分数据中心的实际运维情况。

　　ISO9001标准遵循管理科学的基本原则，强调运用过程方法，基于事实进行决策。ISO9001体系的运作过程比较复杂，在此仅作简单介绍。

　　ISO9001体系通过从客户及相关方获得的对数据中心运作、服务质量方面的要求作为输入。通过对这些输入的分析，数据中心可以通过内部资源管理、管理职责的管理、产品实现过程的管理、测量分析等流程实现数据中心服务及管理的持续改进从而获得客户满意度的提升和内部管理水平的提升。

　　ISO9001不仅为质量管理体系设立了标准，也为整合管理体系设立了管理平台。ISO9001与其他管理标准和规范兼容，例如ISO14001、ISO27001、ISO20000等。这些标准可以进行无缝整合形成完善的管理体系对数据中心进行有效管理。

　　2.ISO27001标准简介

　　数据中心是信息化的关键部门，其信息安全问题也开始引起业界广泛关注和高度重视。仅仅依靠安全产品和安全技术已不能完全满足数据中心信息安全管理的需求。数据中心的信息安全管理正在从以硬件、新技术为中心，向以技术管理和流程管理相结合的方向发展。《ISO27001信息安全管理体系-要求》为数据中心建立、实施、运行、监视、评审、保持和改进信息安全管理体系(InformationSecurityManagementSystems，ISMS)提供模型与相关要求。从认证机构的角度提出了评价企业ISMS的有效性与合理性的要求。它详细说明了建立、实施和维护信息安全管理体系的要求，指出数据中心该遵循的风险评估准则。

　　《ISO27001信息安全管理体系-要求》是国际标准化组织颁布的。该标准以英国标准协会(TheBritishStandardsInstitution，BSI)制定的信息安全管理标准BS7799为基础制定。BS7799包含两部分：分别为BS7799-1及BS7799-2。其中BS7799-1发展成ISO17799，主要是作为参考文件，提供组织实施信息安全的指南;BS7799-2发展成ISO27001，提供信息安全管理系统之建立实施与书面化的具体要求。目前全球已有5206个组织通过了ISO27001认证，其中中国内地有180家企业通过了该认证。

　　ISO27001标准以风险评估为基础，以安全控制点为管理范围，以此评估机构的信息安全管理需求;管理体系中提到的“信息安全”，是指保存信息的：

　　(1)机密性(Confidentiality)：确保只有获得授权的使用者，才得以存取信息。

　　(2)完整性(Integrity)：保障信息与处理方法的正确与完整。

　　(3)可用性(Availability)：确保获得授权的使用者在有需求时，能适时存取信息及相关资产。

　　ISO27001管理体系以信息安全为核心，通过建立信息安全管理体系方针，制定、实行、监控、改进流程这一PDCA循环，达到持续改进数据中心信息安全管理水平，使数据中心的管理体系可以不断适应客户与组织内部发展的需要。

　　该标准附录A还提供了具体实施信息安全管理所需的控制目标和控制点。这些控制点涵盖组织的“安全方针”、“与信息安全相关的内外部组织”、“信息资产管理”、“人力资源管理”、“物理环境安全管理”、“通信和操作管理”、“访问控制”、“信息系统获取、开发和维护”、“信息安全事故管理”、“业务连续性管理”和“符合性”，基本满足了数据中心对于信息安全管理的需要。

　　《ISO/IEC17799:2005信息安全管理实用规则》作为ISO27001的一部重要参考资料，主要从实施的角度提出了组织在建立信息安全管理体系过程中应该考虑的管理要求。该标准由15个章节、133个安全控制项组成，这些控点与ISO27001的附录A相对应，为组织建立ISMS提供了国际上的最佳实践。该标准可作为组织通过ISO27001认证过程中的一个操作性标准，也可以作为企业自行评估或提高自身信息安全管理能力的一个指南性文件。

　　3.ISO20000标准简介

　　ISO20000是ISO在英国标准BS15000的基础上以ITIL为核心制定的IT服务管理国际标准。标准分为两个部分：

　　第一部分：ISO/IEC20000-1:2005信息技术-服务-规范。它表明了组织IT服务管理的要求和如何初始化、实施和维护IT服务管理。组织可以根据ISO/IEC2000-1:2005的要求单独认证组织内的IT服务管理体系。

　　第二部分：ISO/IEC20000-2:2005IT信息技术-服务-最佳实践。它为内部审核提供指导，并帮助服务提供者规划服务改进或准备基于ISO/IEC20000-1:2005的审核。

　　该标准于2005年末发布。截止到2007年年底全球有80余家组织通过了该认证。2009年3月全球通过ISO20000认证的组织达到了347家。可见近年来全球有更多的企业开始认识到该标准的价值。

　　数据中心可以通过取得ISO20000管理体系认证来获得在ITIL领域的认可，以此标准可构建一套适合数据中心自身发展的IT服务管理流程，同时也可借此确保所提供的IT服务符合最新国际标准。数据中心构建ISO20000体系的好处表现在：

　　(1)IT服务提供商能够更积极地响应以业务为主导、而非以技术为驱动的服务。

　　(2)通过对内部资源的合理安排和合理计划降低向客户提供服务的成本。

　　(3)将服务质量的管理融入到IT服务中，向客户提供高质量的服务。

　　(4)提高组织机构工作流程的效率，以更高效、更有效的方式向客户提供服务。

　　(5)向客户表明组织有能力提供国际水准的卓越IT服务，提高客户信心，在承接业务时获得竞争优势。

　　ISO20000是在ISO9000的基础上专为IT服务管理制定的标准，它将IT服务管理分为5个领域，这些领域分别是：

　　(1)服务发布管理：这个领域包括ISO20000对组织在“容量管理”、“可用性和业务连续性管理”、“服务级别管理”、“服务报告管理”、“信息安全管理”、“财务管理”方面的要求。

　　(2)控制过程：这个领域包括ISO20000对组织在“配置管理”、“变更管理”方面的要求。

　　(3)发布管理：这个领域包括ISO20000对组织在“发布管理”方面的要求。

　　(4)解决过程：这个领域包括ISO20000对组织在“事件管理”、“问题管理”方面的要求。

　　(5)关系管理：这个领域包括ISO20000对组织在“业务关系管理”、“供应商管理”方面的要求。

　　ISO20000通过对组织的IT服务实施过程管理，使用PDCA方法来不断提高组织IT服务管理能力，使组织向客户提供更优质的服务。

　　PDCA方法可以适用于组织IT服务管理的所有过程，PDCA描述如下：

　　(1)计划：建立符合客户要求和组织策略的交付结果所需的目标和过程。

　　(2)实施：实施这些过程。

　　(3)检查：根据策略，目标和要求监视并测量这些过程，并报告结果。

　　(4)改进：采取措施持续改进这些过程的绩效。

　　4.ISO14000标准简介

　　ISO14000是一个环境管理系列标准，共有100个标准号。ISO从1996年以来，已正式颁布6个标准，分别是：

　　(1)ISO14001-环境管理体系-要求及使用指南。

　　(2)ISO14004-环境管理体系-原理、体系和支撑技术通用指南。

　　(3)ISO14010-环境审核指南-通用指南。

　　(4)ISO14011-环境管理审核-审核程式-环境管理体系审核。

　　(5)ISO14012-环境管理审核指南-环境管理审核员的资格要求。

　　(6)ISO14040-生命周期评估-原则和框架。

　　《ISO14001环境管理体系-要求及使用指南》，是针对全球性的环境污染和生态破坏越来越严重，顺应国际环境保护的发展，依据国际经济贸易发展的需要而制定的。它为数据中心提供了环境管理的依据，规定了环境管理的共同语言和准则的要求。

　　《ISO14001环境管理体系-规范及使用指南》于1996年由国际标准化组织发布第一版，该标准的最新版本是2004版。

　　随着社会对世界环境问题的关注，数据中心如何承担保护环境的社会责任成为了关注重点。ISO14001标准实施的目的是帮助数据中心实现环境目标与经济目标的统一，支持环境保护和污染预防，这是ISO起草和实施这一系列标准的根本出发点。实行ISO14001环境管理体系可以让您的数据中心获得如下益处：

　　(1)向监管机构和政府证实您承诺遵守法律法规。

　　(2)向利益相关方证实您致力于环保。

　　(3)向客户和未来员工证实您采用了创新及前瞻式方法。

　　(4)更好地管理当前和将来的环境风险。

　　(5)潜在地降低公众责任保险成本。

　　(6)提高声誉。

　　ISO14001是组织规划、实施、检查、评审环境管理运作系统的规范，该系统包含5大部分，17个要素。这5个基本部分包含了环境管理体系的建立过程和建立后有计划地评审及持续改进的循环，以保证组织内部环境管理体系的不断完善和提高。ISO14001环境管理体系参见表6-1。

表6-1ISO14001环境管理体系

　　5.BS25999标准简介

　　无论是如地震、海啸、雪灾这样的重大灾难还是机房漏水、空调损坏这样的轻微事故，或者是人员误操作、断电、通信线路中断这样的意外，对于数据中心的连续运作都是重大的威胁。对于数据中心而言，由于承载本企业或客户的重要数据及业务系统，它的持续运行具有重要意义。如何确保数据中心的持续运行，如何确保数据中心在运行中断后迅速恢复运行，减少客户的损失是数据中心运行管理的重要内容。

　　可以从IT技术手段上，例如通过硬件设备、通信线路、电力的冗余设计，来减少发生业务中断的可能。但发生灾难后企业的内部运作应如何进行却是十分重要的管理问题。BS25999正是世界上第一个关于业务连续性管理(BusinessCountinuityManagement，BCM)的标准。它为企业在预防业务中断以及业务中断后数据中心的运作方式提供了科学的管理框架。该框架的目标在于及早确定可能发生的冲击对企业运作造成的威胁，并提供合理的架构有效阻止或抵消不确定事件造成的威胁，保证企业日常业务运行的平稳有序。

　　该标准分为两部分：

　　第一部分《BCM实践指南》于2006年年底公布，为业务持续发展指南，帮助企业建立相应的准备机制。

　　第二部分《BCM规范》于2007年年底公布，对标准第一部分所要求的认证过程做出规范。

　　BS25999的好处非常广泛，涵盖3个关键领域：

　　(1)适应力：当您实现关键目标的能力面临破坏时，主动改进您的适应力。

　　(2)交付：在中断之后为您提供一套计划充分的能力恢复方法，帮助您继续在受认可的水平和期限内提供关键产品和服务。

　　(3)管理：提供切实可行的中断管理及信誉和品牌保护能力。

　　这一标准建立了业务持续管理的相应过程、原则和术语体系，提供了在企业内贯彻业务连续性理念、发展和贯彻业务持续管理体系的基础。还阐述了业务持续管理的生命周期、过程的评价及更新文件系统、业务持续管理的选项，以及实施业务持续管理的方法和战略。

　　该项标准包括以下部分：定义和术语，什么是业务持续管理，业务持续管理总览，业务持续管理体系，项目管理，对组织的认识，决定业务持续管理的模式，制定和执行业务持续管理的机制，业务持续管理的实施、维护、审核和评价，将业务持续管理植入企业文化。

　　目前，第一部分和第二部分的标准正在越来越多地被业界应用。BSI的技术委员会还在致力于该系列的其他标准文件，帮助企业具体实施业务可持续性管理体系。未来工作的方向包括体系的验证和演练、IT系统灾难恢复、危机处理等相关标准。

　　6.ITIL信息技术基础构架库V2

　　ITIL(InformationTechnologyInfrastructureLibrary)是英国商务部开发的一系列指导规范的集合，这些指导规范被汇集到一套书籍当中。这套书籍描述了用于管理IT服务的集成的、面向过程的，以及最佳实践的框架。至今，这套书是唯一全面、非专有的和可公开得到的IT服务管理指南。ITIL是20世纪80年代后期提出和开发的，目前已发展到第三版。其初衷是为了提高英国中央政府的IT服务管理水平，然而它也适用于多种组织，包括公共的或私有的、大型的或小型的、集中的或分散的所有组织。现在，ITIL不仅代表书籍本身，它已形成了一个包括培训、认证、咨询、软件工具和行业协会(即IT服务管理论坛)在内的完整产业。

　　IT服务管理是ITIL框架的核心，它是一套协同流程(Process)，并通过服务级别协议(SLA)来保证IT服务的质量。它融合了系统管理、网络管理、系统开发管理等管理活动和变更管理、资产管理、问题管理等许多流程的理论和实践。ITIL共有6个模块，包括：业务管理、服务管理、IT基础架构管理、应用管理、安全管理、IT服务管理规划与实施。这6个模块可以被看做是建立在技术与业务之间的一座桥梁。其中又以服务管理模块为核心，其由“服务支持”、“服务提供”两个子模块组织，这两个模块覆盖了10个流程与一个服务台。下面分别介绍服务支持和服务提供的10个流程与服务台功能。

　　1)服务提供模块

　　ITIL的服务提供模块覆盖了规划和提供IT服务所需要的过程，包括服务级别管理、财务管理、容量管理、IT服务连续性管理和可用性管理。这些管理流程之间的关系如图6-18所示。

图6-18服务提供模块

　　(1)服务级别管理(ServiceLevelManagement)：服务级别管理是定义、协商、订约、检测和评审提供给客户的服务质量水准的流程。

　　(2)IT财务管理(FinancialManagementofITServices)：IT财务管理是在提供深入了解IT服务管理流程的基础上，对IT恢复运作的费用及成本重新分配并进行正确管理的程序，其目标是帮助IT部门在提供服务的同时加强成本效益核算，以合理利用IT资源、提高效益及财务资源使用的有效性。

　　(3)IT服务连续性管理(ContinuityofITServices)：IT服务连续性管理是指确保发生灾难后有足够的技术、财务与管理资源来确保IT能持续服务的管理流程。

　　(4)容量管理(CapacityManagement)：容量管理是指在成本和业务需求的双重约束下，通过配置合理的服务能力来确保服务的持续提供和IT资源的正确管理，以发挥最大效能;以合理的成本及时提供有效的IT服务，以满足组织当前及将来的业务需求。

　　(5)可用性管理(AvailabilityManagement)：可用性管理是在正确使用资源、方法及技术的前提下保障IT服务的可用性和实践可用性要求。目标是确保IT服务的设计符合业务所需的可用性级别。

　　2)服务支持

　　服务支持模块更多的用于处理事件管理、问题管理、变更管理、配置管理、发布管理及服务台功能的日常支持和维护。这些流程之间的关系如图6-19所示。

图6-19服务支持模块

　　(1)服务台(ServiceDesk)：服务台有时也称帮助台，即通常人们所指的呼叫中心或客户服务中心，它不是一个服务管理过程，而是一种服务职能。服务台经常与事件管理紧密结合，用来连接其他的服务管理流程，逐渐被称为一线服务支持的代名词。

　　(2)配置管理(ConfigurationManagement)：配置管理是由识别和定义系统中软件和硬件等配置项资源并记录和报告配置状态和变更请求，以及检验配置项的正确性和完整性等活动构成的过程。

　　(3)变更管理(ChangeManagement)：变更管理是要确保在IT服务变动的过程中能够有标准的方法，以有效的监控这些变动，降低或消除因为变动所造成的问题。它的目的并不是控制和限制变更的发生，而是对业务中断进行有效管理，确保变更有序进行。

　　(4)发布管理(ReleaseManagement)：发布管理是指对经测试后导入实际应用的新增或修改后的配置项进行分发和宣传的管理流程，目的是要保障所有的软件组件的安全性，以确保只有经过完整测试的正确版本得到授权进入正式运行环境。

　　(5)事件管理(IncidentManagement)：事件管理指的是突发事件管理或意外事件管理，处理IT的危机并要从中恢复运转。即出现事故时，能尽可能地恢复服务的正常运作，避免业务中断，以确保最佳的服务可用性级别。

　　(6)问题管理(ProblemManagement)：问题管理是指负责解决IT服务运维过程中遇到的所有问题的流程。问题管理的主要活动实质上就是分析被列出问题事件的根本原因，找出解决方案，把事件的影响最小化，并通过找到已发生事件或潜在事故的根本原因来减少事件的数量或消除事件的再次发生。

　　7.COBIT信息系统审计标准

　　COBIT(ControlObjectivesforInformationandrelatedTechnology)，该标准是目前国际上通用的信息系统审计标准，由信息系统审计与控制协会在1996年公布。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准。它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。

　　1)COBIT将IT过程、IT资源与企业的策略与目标(准则)联系起来，形成一个三维的体系结构

　　(1)IT准则集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性。

　　(2)IT资源主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象。

　　(3)IT过程是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术规划与组织、采集与实施、交付与支持、监控等4个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制目标和审计方针，用于对IT处理过程进行评估。

　　2)COBIT信息技术的控制目标

　　COBIT是一个非常有用的工具，也非常易于理解和实施，可以帮助在管理层、IT审计之间交流的鸿沟上搭建桥梁，提供了彼此之间沟通的共同语言。

　　(1)有效性(Effectiveness)——是指信息与商业过程相关，并以及时、准确、一致和可行的方式传送。

　　(2)高效性(Efficiency)——关于如何最佳(最高产和最经济)利用资源来提供信息。

　　(3)机密性(Confidentiality)——涉及对敏感信息的保护，以防止未经授权的披露。

　　(4)完整性(Integrity)——涉及信息的精确性和完全性，以及与商业评价和期望相一致。

　　(5)可用性(Availability)——指在现在和将来的商业处理需求中，信息是可用的。还指对必要的资源和相关性能的维护。

　　(6)符合性(Compliance)——遵守商业运作过程中必须遵守的法律、法规和契约条款，如外部强制商业标准。

　　(7)信息可靠性(ReliabilityofInformation)——为管理者的日常经营管理以及履行财务报告责任提供适当的信息。

　　3)COBIT的优点

　　(1)通过实施COBIT，增加管理层对控制的感知及支持。

　　(2)COBIT使IT管理工作简易并量化，减轻对复杂信息系统管理工作的难度，并且可以应用在每天都在发生的各种新问题中。

　　(3)COBIT提供了一种国际通用的IT管理及问题解决方案。

　　(4)COBIT有助于提高信息系统审计师的影响力。

　　(5)COBIT框架可以帮助决定过程责任，提高IT治理水平。

46.4数据中心运维管理提升_6.4.1.建立可持续改进的运维管理回顶部

6.4数据中心运维管理提升

6.4.1.建立可持续改进的运维管理

　　自进入20世纪90年代以来，持续改进的管理思想得到了企业界的认同。在目前激烈、复杂、变幻莫测的市场环境之下持续改进已经成为任何谋求发展的企业的永恒主题。

　　数据中心施行运维管理的持续改进可以不断提高管理水平，使内部管理得到提升。同时也可以提高满足客户需求的能力，向客户提供更好的服务。从而在激烈的市场竞争中得到发展。

　　数据中心实行持续改进可以通过PDCA循环来实现。所谓PDCA循环是美国著名质量管理专家戴明(W•E•Deming)首先提出的。每执行完一次PDCA循环，企业的管理水平就会在先前的水平基础上得到一定的提高。而不断的执行PDCA循环就可以使企业的管理水平形成螺旋式上升的趋势，达到不断的改善管理水平的目的。

　　在数据中心实际运维过程中管理体系本身需要具备不断执行PDCA的能力，而执行PDCA需要两方面的条件：

　　(1)建立符合PDCA原则的管理体系。

　　(2)在数据中心运维中认真执行管理体系，并实际执行持续改进。

　　由于PDCA的持续改进循环已经在企业管理界得到广泛认同，目前数据中心管理所涉及的主要管理标准在设计中也融入了PDCA的管理思想。例如前面介绍的ISO9001、ISO27001、ISO20000、ISO14000、BS25999标准都已经融入了PDCA的管理思想。所以按照这些管理标准建立的数据中心运维管理体系也具备了持续改进的管理基础。因此，只要数据中心的管理体系是以上述标准建立的就基本满足了第一项要求。

　　对于数据中心持续管理的实际运行可以通过以下几个方面进行。

　　(1)制定管理目标和管理方针。

　　制定管理目标和管理方针应根据数据中心本身的特点及能力制定管理目标。管理目标不宜制定的过高，也不要制定的过低，应该是数据中心目前能力无法达到但通过努力可以达到的目标。这样才具有持续改进的动力。

　　管理目标应该被分解到基层部门，而不能只停留在管理层，要让每个部门甚至每个人都知道自己为了实现数据中心的管理目标需要做些什么事情，自己的具体目标是什么。

　　(2)制定相关流程文件并执行。

　　认真执行流程文件是PDCA过程的重要组成部分。因为流程文件是根据企业运维实际情况制定的，是企业管理经验的沉淀。每次对数据中心运维的改进最终都会被落实到流程文件的规定中。不能很好地执行流程文件，数据中心的持续改进就只能停留在纸面上而不能对数据中心的管理起到真正的作用。

　　(3)对执行文件的效果、运行指标进行确认，了解客户及相关方需求，找到改善点并执行改善。

　　收集数据中心管理需要改善的内容，可以从以下几方面着手：

　　①执行内部审核，发现流程文件执行中的问题。

　　②统计各类指标的完成结果，对各部门完成目标的情况进行总结。

　　③通过客户满意调查和客户沟通，了解客户对服务的意见。

　　④通过与相关方的沟通，了解相关方对数据中心的要求。

　　⑤了解业界管理动态。

　　当数据中心收集到需要改善的内容后，就要根据自身特点和业界经验对管理进行改善，并最终落实到流程文件中。

　　(4)通过管理者评审，确认改善效果，修订方针、目标。

　　当数据中心完成上述工作后，管理者需要对数据中心的实际管理情况重新进行评估，如果有必要则需要修订相关的方针、目标，为数据中心下一阶段的管理改进明确方向。

56.4.2.建立多重符合性的运维管理回顶部

6.4.2.建立多重符合性的运维管理

　　ISO9001、ISO27001、ISO20000、BS25999及ITIL、ISO14000、COBIT等标准的推出，一方面为数据中心运维管理的规范给出了许多的指南，另一方面也为数据中心的运维管理提出了多重符合性挑战。所谓“多重符合性”是指，数据中心一方面要依据上述标准的要求建立不同的管理流程与体系;另一方面又要让员工能在日常工作中不会因为上面有太多的条条框框而无所适从;最后，就是要规划好这些管理体系之间的关系，定义好这些管理体系之间的接口，使所有的管理体系均获得良好的管理与维护。

　　目前，部分企业虽然也开始基于上述标准或开发了自己的管理体系，但这些通过标准的数据中心在构建自己的管理体系时通常采用“一个标准起草一套管理体系文件”的做法。如果一个企业需要同时通过ISO9001，ISO27001，ISO20000三个标准就需要分别起草三套文件来满足认证要求。这样做的好处显而易见，主要是管理体系的文件起草方面，单独维护容易，但也带来了如下问题：

　　(1)管理体系间没有很好的衔接。

　　(2)管理体系维护成本提高。

　　(3)缺乏对数据中心管理框架的整体考虑。

　　(4)员工执行流程文件难度加大。

　　(5)新的管理体系导入对原有管理体系将造成较大的冲击。

　　因此，建议将不同的标准整合到一套管理体系文件中，建立一套同时符合ISO20000、ISO27001、ISO9001三个管理体系的整合标准。在建立该套整合管理体系时的关键着手点主要有：

　　(1)以ISO9001标准作为管理平台，实现管理者对数据中心流程、资源、目标的管理。

　　(2)基于PDCA原则建立持续改善机制，形成以制定策略方针、管理目标、制作执行流程文件、收集监控运维数据进行管理评审5项工作为循环的持续改进环。

　　(3)以ISO20000为数据中心运维管理流程框架主干，组织数据中心运维管理的各项工作。

　　(4)以ISO27001的要求为具体规范，通过信息资产管理、风险分析等工作落实数据中心信息安全管理的各项措施，使数据中心的信息安全工作得到有效管控。

　　(5)在具体管理流程与对应的管理标准之间建立映射关系，形成统一的管理框架和文件体系，使数据中心各类管理体系流程在同一框架内得到维护，同时降低了管理流程维护成本。

　　(6)保留了管理框架的可扩展性，为以后融合其他管理体系标准预留接口。