|
|
 服务热线:400-8098-313
|
|
IT控制:怎样开始?从哪里开始?
Visible Ops(Visible Outbreak Prevent Services,可视性中断预防服务)手册,为公司提供了一步步的操作步骤和说明性指导,以便可以开始或继续他们的IT流程改进过程。对于业务管理、安全和审计者来说,Visible Ops是容易实现的。
IT人员正面临诸多压力,除了需要使IT变得更加有效,还必须应对“维持一个安全状态, 并随需求调整而调整”的挑战。
例如,2002年的萨班斯法案,迫使美国上市公司证明,他们的网络控制是到位和有效的。
尽管IT操作最佳实践如ITIL,提供了一个可以定义可重复和可证明的IT流程的框架。然而,当公司试图采用ITIL去开始进行流程改进时,他们面临两个非常困难的问题:怎样开始?从哪里开始?
Visible Ops(Visible Outbreak Prevent Services,可视性中断预防服务)提供了相应的方法论。
对于那些需要增加服务水平、安全和审计能力的IT部门来说,Visible Ops是一种能够提高IT变更管理控制和流程改进的方法论,由四个说明性和自我提升的步骤组成。
Visible Ops手册,为公司提供了一步步的操作步骤和说明性指导,以便可以开始或继续他们的IT流程改进过程。对于业务管理、安全和审计者来说,Visible Ops是容易实现的,因为它是基础控制部分。以控制为基础,不仅能发现调整的部分,而且能帮助提供可靠的IT服务传递。Visible Ops能识别出破坏服务水平和安全的关键问题,并为解决他们提供说明性指导。
尽管IT操作、安全和审计扮演不同的角色,但是由于缺乏有效控制,这三个部门经常不一致。通过改进流程和控制,所有人能受益于一个更高效的工作关系,并允许这些部门更高效地成功完成共同的业务目标,最终实现以下目标:
遵从的状态:由于控制是可见的、可证实的和具有规律性的上报活动,因此IT操作和审计人员之间形成一种信任的工作关系;
形成一种“注重因果关系”的文化:通过控制和相关方法论的使用,这些团队能通过合理地利用“原因”和“结果”之间的关系,去识别并解决问题,形成一种“注重因果关系”的文化,而不是诸如“让我们看看它是否在正常工作”的带有主观性的文化氛围;
一种基于事实的管理:公司重视控制和相关方法论,不仅有助于有效地解决问题,而且能帮助公司进行一种基于事实的决策制定。
三类控制流程
流程遍及维护产品基础架构工作,其目的不仅是预防服务中断,而且能有效地传递IT服务。这可以通过变更管理和资产和配置管理来实现。BS15000把变更管理和资产与配置管理定义为最基本的控制。城市银行前CIO斯蒂芬.凯特曾经说过:“控制不会使业务慢下来,就像汽车的闸一样,控制允许你走得更快。”
审计人员经常通过风险和控制来观察世界。风险的确存在,你能通过预防或监测而减少风险;如果风险发生了,你应该能进行修正和恢复。为了更好地解释这一点,以下是三类控制的说明:
1. 阻止某些事情发生的预防性控制:例如政策、职责的分离和授权流程,都是预防性控制。
2. 监测分析控制:如果预防性控制失效了或者某些事情没有遵从,就通过监测分析控制来监控活动和流程,例如变更监测和认证就是监测控制。
3. 修正控制:它可以把糟糕的情况修复到所期望的状态。例如,由于一个失败的变更,系统突然瘫痪,作为一个修正控制,就是重新安装所有应用程序的过程,包括从最近可知的正常的映象,到把系统带回到在线服务状态。
这三类控制的结合能产生一个检查和平衡机制,以便确保流程、人员和技术在规定的范围类运作。
Visible Ops也创造性地提供了一种工具,审计人员可以在上面有效地回顾流程和控制,而不是必须通过“辩论分析”方式工作。这提供了一种更加高效的工作关系、更加平滑的审计,并且使他们在审计准备和辅导上花费更少的时间。
看看效果
职责分离可以确保,没有任何一个人能未经检查就访问没有授权的事情。由于缺乏职责分离而制造了大量犯罪、欺骗的机会,因此不允许开发者访问生产流程,因为他们有能力直接在管控环境中进行变更。相反,他们开发完代码,然后必须送到检测。这样,IT操作部门就能再次检查这个变更,评定风险,如果所有事情都是可接受的,再部署使用。
目前,许多审计所关注的是行业所必需的,或者是确保财务报告的完整性的遵从需求;同时,审计人员和核查员(善于计算的人)通过打开所有仓库并查看货物,以检查财务说明是否正确。按照这样做法,他们去审核财务说明是否与实际发现的相匹配。
然而,即使最好的审计人员的时间和资源也是有限的。实际上,他们不是进入仓库并检查货物,而是走到计算机旁,检查这些控制,然后决定这些控制是否可信。在大多数案例中,最好把预防与监测控制合并为一;如果他们不存在或者不合适,审计人员就不相信这些计算机控制的成效。
这些做法减弱了审计员的能力并依靠机器去做任何事情。也就是说,没有确保合适的控制存在,以及需要更加详细的审查,因为那些都会导致巨大的成本。
“Visible Ops是一种方法论,对于我漫长的财务和技术审计职业生涯中不断出现的主要问题,它都有所启示,”技术审计员鲁比.克里斯汀娜说:“评估系统的可靠性,审计员需要看以下问题:控制到位,控制文档,控制沟通,和在实际操作中的控制证据。Visible Ops为IT管理者展示了如何建立操作流程的方法,能回答审计员没完没了的问题——我们怎样真正知道你的控制有效?”
通过顺利审计之路
为了与审计人员之间创造一种更高效的工作关系,公司需要能够清晰地描述,那些能够证明他们正按照期望工作的预防流程和检查控制。
Visible Ops的一个重要前提是了解控制的重要目标。这个目标就是确保公司的流程能实现所渴望的业务目标,而不仅仅是产生积极的审计决策,或者遵从规则。毕竟,如果一个饭店仅仅遵从健康规范,顾客不会感到安全;如果饭店精心处理食物以保证顾客的健康、快乐并改善了他们所有的进餐经历,他们会更加高兴。
IT与此也没有区别。一个利用有效控制并明显地改进了流程的公司,拥有更好的有效性,更少的无序工作状态,更好的安全性和顺利的审计。
“Visible Ops为任何层次的IT人员提供了一个改进操作流程的催化剂似的方法,”比尔.什恩,一个财富100强的金融机构的系统安全工程师说:“不管故障是多么困难,Visible Ops工具帮助公司找到了一个排除故障的方法。如果你正在打算开始或改善配置管理,支持一个可重复的服务器预防流程,并且制定一套实现高质量决策的方法,Visible Ops正是一个起点。我向任何信息系统的管理者、具有技术背景的高级管理者或具有管理目标的IT职员,推荐它。”
Visible Ops提供了一个框架,通过可重复的、可见的和可审计的IT流程,可以在IT运作者、安全和审计之间创造了高效的连接。通过掌握IT控制点和接受点,安全部门和审计部门能在变更被执行之前,再查看这些变更,并探测到什么时候这些控制被废止,这些控制不仅能避免那些导致安全事故或无序运作的情况,也允许连续不断的监测并减少不一致的情况。
监测变更提供了一个重要的安全机制,就像带有棘齿的攀岩者。这些棘齿保证了绳子向一个方向移动,预防攀岩者坠落。监测变更以强制执行流程,可以防止公司滑向一种无法控制的变更状态。
“这不是说,我们不再犯错误了,而是说,对于导致错误的情况,我们能更加科学地控制,” 史蒂夫.达博,IP服务运营副总裁说,“更多时候,错误被看作经验,这样错误就变得越来越少。在寻找全球性IT管理方面,这些流程和监测控制已经帮助我们实现了许多目标。”
Visible Ops的历史
早在2000年初,Tripwire公司技术官Gene Kim和IP Services公司技术官Kevin Behr,就一直在研究“什么有助于高执行的IT部门的成功”。数年来,Gene Kim和Kevin Behr一直试着了解如何更好地增加服务水平、降低成本,实现价值最大化。
Tripwire是一家提供变更监测产品的软件供应商,其目的是帮助系统管理员恢复崩溃的系统。IP Services是一家业务流程外包的公司,提供业务支持服务。
当他们发现具一种共同的激情——去彻底了解什么使得执行效率的IT部门不同与其他IT部门时,他们一起着手开始了研究。随后,Visible Ops逐步成形。经过多年调查研究,取得了一些成果。
为了扩展Visible Ops的影响,他们把它捐给了ITPI(IT技术流程协会)。ITPI是一个非赢利性机构,从事研究、基准测量和为业务人员提供培训指导。ITPI通过研究发展,创造了Visible Ops。
■ 链接
Visible Ops的四个步骤
1.稳定故障设备,改变首次响应
几乎80%的问题都是由自己造成的。第一步,通过寻找如何管理变更和如何解决问题的方法,从而控制危险的变更、减少平均修复时间(MTTR)。
2.寻找问题,发现脆弱的部分
基础设施经常不能被可重复性地复制。这一步,对资产、配置和服务,编制一个详细的目录报告,并把那些与最低变更成功率、最高平均修复时间和最高业务停顿成本一致对应起来。
3.建立可重复的构造库
投资的最高回报是实现有效的发布管理流程。这一步为最关键的资产和服务创造了可重复的结构,从而使得重建比修补更加便宜。
4.持续改进
前面几步已经在发布、控制和处理流程之间建起了一个闭环。这一步采用一些方法以保证所有这些流程的持续改进,从而确保业务目标的实现。 |
| 查看更多 友情链接 |
电话:400-8098-313
迪医猎头 迪医猎头网 医药猎头 医药猎头公司 北京医药猎头公司 上海医药猎头公司 广东医药猎头公司
 |
