文章目录
- 4.1.1 管理基础
- 1 层次结构
- 2 系统管理
- 4.1.2 规划和组织
- 1 规划模型
- 2 组织模型
- 1)业务战略(竞争力优势模型:差异化、总成本领先、专注 战略)
- 2)组织机制战略(莱维特钻石模型:信息与控制、人员、结构、任务)
- 3)信息系统战略(基础结构:硬件、软件、网络、数据)
- 4.1.3 设计和实施
- 1 设计方法
- 2 架构模式(集中式、分布式、面向服务的系统 架构)
- 4.1.4 运维和服务
- 1 运行管理和控制
- 2 IT服务管理
- 3 运行与监控
- 4 终端侧管理
- 5 程序库管理
- 6 安全管理
- 7 介质控制
- 8 数据管理
- 4.1.5 优化和持续改进(DMAIC/DMADV)
- 1 定义阶段
- 2 度量阶段
- 3 分析阶段
- 4 改进/设计阶段
- 5 控制/验证阶段
- 4.2.1 数据管理
- 1 数据战略(规划、实施、评估)
- 2 数据治理(组织、数据制度建设、沟通)
- 3 数据架构(数据模型、数据分布、数据集成与共享、元数据管理)
- 4 数据应用(数据分析、开放共享、服务)
- 5 数据安全(策略、管理、审计)
- 6 数据质量(需求、检查、分析、提升)
- 7 数据标准(业务术语、参考数据和主数据、数据元、指标数据)
- 8 数据生存周期(数据需求、数据设计和开发、数据运维、数据退役)
- 9 理论框架与成熟度
- (1)数据管理能力成熟度模型(DCMM)(初受稳量优)
- (2)数据治理框架(DGI)
- (3)数据管理能力评价模型(DCAM)
- (4)数据管理模型(DAMA定义的模型)
- 4.2.2 运维管理
- 1 能力模型
- 1)能力建设
- 2)人员能力
- 3)资源能力
- 4)技术能力
- 5)过程
- 2 智能运维
- 4.2.3 信息安全管理
- 1 CIA 三要素
- 2 信息安全管理体系
- 3 网络安全等级保护
- 1)安全保护等级划分
- 2)安全保护 能力 等级划分
4.1 管理方法
4.1.1 管理基础
1 层次结构
信息系统是收集、处理、存储、管理和检索信息,形成组织中的信息流和处理,并在必要时向相关人员提供有用的信息。它是由人、技术、流程和数据资源组成的人机系统,其目的是及时、正确地收集、处理、存储、传输和提供信息,以实现对组织中各项活动的管理、调节和控制。信息系统是技术(“什么”)和人员(“谁”)和过程(“如何”)的组合。信息系统包括四个要素:人员、技术、流程和数据。
在信息系统层次架构中,信息系统之上是管理,它监督系统的设计和结构,并监控其整体性能。同时,组织管理层制定信息系统层应满足的业务需求和业务战略。信息系统层次架构提供了一个蓝图,可以将业务和系统策略转换为组件或基础架构,并以恰当的人员、技术、流程和数据组合加以实现。
2 系统管理
信息系统管理覆盖四大领域:
规划和组织:针对信息系统的整体组织、战略和支持活动。
设计和实施:针对信息系统觥决方案的定义、采购和实施,以及他们与业务流程的整合。
运维和服务:针对信息系统服务的运行交付和支待,包括安全。
优化和持续改进:针对信息系统的性能监控及其于内部性能目标、内部控制目标和外部要求的一致性管理。
4.1.2 规划和组织
1 规划模型
战略是实现目标、意图和目的的一组协调行动。战略往往始于使命,而使命是对组织的宗旨给出的一个清晰并令人信服的陈述。信息系统战略三角突出了业务战略、信息系统和组织机制之间的必要一致性。它用于描述信息系统与业务系统必要的协同关系,以及理解信息系统与组织机制间的相互影响。当业务战略、组织机制与信息系统运转良好时,这种多方战略决策的一致性往往很难被组织认知。但是,当发生重大生产事故和灾难时,在规划一项业务时,需要正确调整业务战略、信息系统和组织机制之间的协同实践。
成功的组织有一个压倒一切的业务战略,可以推动组织机制和信息系统的有机融合。
2 组织模型
1)业务战略(竞争力优势模型:差异化、总成本领先、专注 战略)
业务战略阐明了组织寻求的业务目标以及期望如何达成的路径。业务战略是组织传达宣示其目的的方法。管理层根据经济与社会情况、产品与服务对象需求和组织能力构建业务战略计划。经济与社会情况为该类业务构建了竞争环境。产品与服务对象需求是个人及组织想要和需要的可用产品和服务。组织能力包括知识、技能和经验,这些知识、技能和经验为组织提供了种可以在经济与社会中增加价值的能力。
描述业务战略的经典框架是迈克尔·波特 (Michael E. Porter,1947一)提出的竞争力优势模型,如图4-3所示。
当组织的目标是成为市场上成本最低的生产者时,总成本领先战略就会产生。采用该战略的组织通过最大限度地降低成本,从而获得高于平均水平的绩效。所提供的产品或服务必须在质量上与业内其他人提供的产品或服务相当,以便客户对象感知其相对高性价比。通常,一个行业中只存在一个成本引领者。
采用差异性战略时,组织通过差异化,以一种在市场上显得独特的方式,定义其产品或服务。组织确定哪些定性维度对其客户对象最重要,然后找到在其中一个或多个维度增加产品和服务价值的方法。为了使此策略起作用,差异化因素向客户对象收取的价格必须相对于竞争对手收取的价格,是公平的。
采用专注化战略时,专注化允许组织将其范围限制在更狭窄的细分市场,并为该组客户对象量身定制其产品。该策略有两种变体:①专注成本,在其细分市场内寻求成本优势;②专注差异化,寻求细分市场内的产品或服务的差异化。这种策略使组织能够实现区域竞争优势,即使它没有在整个经济与社会中实现竞争优势,也可以通过专注于某些细分市场的方式获得局部的竞争优势。
2)组织机制战略(莱维特钻石模型:信息与控制、人员、结构、任务)
组织机制战略包括组织的设计以及为定义、设置、协调和控制其工作流程而做出的选择。组织机制战略本质上需要回答“组织将如何构建以实现其目标并实施其业务战略”这一问题,并围绕这一问题形成有效的规划。理解组织设计的经典框架是哈罗德·莱维特 (HaroldJ.Leavitt,1922-2007)提出的钻石模型,如图4-4 所示。钻石模型将组织计划的关键组成部分标识为其信息与控制、人员、结构和任务,所有组件都是相互关联的。这个简单的框架对于设计新组织和诊断组织问题非常有用。例如,试图改变员工但未能改变其信息与控制方式的组织无法有效运行,因为所有这些组件都会相互影响。
新时代的组织,其组织机制战略的成功执行包括组织、控制和文化的变量的最佳组合。组织变量包括决策权、业务流程、正式报告关系和非正式沟通网络。控制变量包括数据的可得性、规划的性质和质量、业绩计量和评价制度的有效性以及做好工作的激励措施。文化变量构成组织的价值观。这些组织、控制和文化的变量是决策者用来影响组织变革的管理杠杆。
3)信息系统战略(基础结构:硬件、软件、网络、数据)
信息系统战略是组织用来提供信息服务的计划。信息系统支撑组织实施其业务战略。业务战略是关于竞争(服务对象想要什么,竞争做什么),定位(组织想以什么方式竞争)和能(公司能做什么)的功能。信息系统帮助确定组织的能力。
矩阵框架的目的是为管理者提供一个信息系统组件与策略间关系的观察视图,整体信息系统的四个基础结构组件与其他资源相关事项之间的关系构成了信息系统战略的关键点。基础结构包括:①硬件,如桌面单元和服务器;②软件,如用于开展业务,管理计算机本身以及在系统之间进行通信的程序;③网络,它是硬件组件之间交换信息的物理手段,例如通过专用数字网络实现信息交换;④数据,数据包括存储在系统中的位和字节。在当前的系统中,数据不一定与使用它们的程序一起存储;因此,了解系统中有哪些数据以及它们的存储位置非常重要。
4.1.3 设计和实施
1 设计方法
1)从战略到系统架构
2)从系统架构到系统设计
将信息系统架构转换为系统设计时,需要继承信息系统架构并添加更多细节,包括实际的硬件、数据、网络和软件。进而扩展到数据的位置和访问过程、防火墙的位置、链路规范、互联设计等。信息系统架构被转换为功能规格。功能规格可以分为硬件规格、软件规格、存储规格、接口规格、网络规格等。然后决定如何实现这些规范,并在信息系统基础架构中使用什么硬件、软件、存储、接口、网络等。
信息系统指的不仅仅是组件,这些组件必须根据设计蓝图进行组装,硬件、软件、数据和网络必须以一致的模式组合在一起,才能拥有可行的信息系统。信息系统具有多个级别:①全局级别可能侧重于整个组织,并构成整个组织的信息环境;②组织间级别信息系统则为跨组织边界的服务对象、供应商或其他利益干系人的沟通交流奠定基础;③应用级信息系统是在考虑特定业务应用时,通常重点考虑的数据库和程序组件,以及它们运行的设备和操作环境。
3)转换框架
转换框架将业务战略转化为信息系统架构进而转变为信息系统设计,转换框架提出了三类问题:内容、人员和位置,需要为每个信息系统组件回答这些问题。“内容”相关问题是最常被问到的,需要回答组件是什么,并确定特定类型的技术等。“人员”相关问题旨在了解相关组件涉及哪些个人、团体和部门。例如,在大多数情况下,单个用户并非系统的所有者;在另外情况下,系统也可能由组织租赁,而不是拥有,这样系统的所有者就成为了组织的外部一方。第三类问题涉及“何处”,随着网络的激增,许多信息系统的设计和构建可能跨越多个位置使用组件,了解信息系统意味着需要了解所有内容各自的位置。
2 架构模式(集中式、分布式、面向服务的系统 架构)
传统上,信息系统体系架构有三种常见模式(见表 4-3):①集中式架构。集中式架构下所有内容采用集中建设、支持和管理的模式,其主体系统通常部署于数据中心,以消除管理物理分离的基础设施带来的困难。②分布式架构。硬件、软件、网络和数据的部署方式是在多台小型计算机、服务器和设备之间分配处理能力和应用功能,这些设施严重依赖于网络将它们连接在一起。③面向服务的系统架构 (Service-Oriented Architecture,SOA)。SOA架构中使用的软件通常被引向软件即服务(Software-as-a-Service,SaaS)的相关架构,同时,这些应用程序在通过互联网交付时也被称为 Web 服务。
4.1.4 运维和服务
1 运行管理和控制
管理信息系统运行的管理控制主要活动包括:
过程开发:操作人员执行的重复性活动应以过程的形式记录下来,需要开发、审查和批准描述每个过程及其每个步骤的相关文档,并将其提供给运营人员。
标准制定:从运行执行任务的方式到所使用的技术,采用标准化定义和约束,从而有效推动信息系统运行相关工作的一致性。
资源分配:管理层分配支持信息系统运行的各项能力,包括人力、技术和资源。资源分配应与组织的使命、目标和目的保持一致。
过程管理:应测量和管理所有信息系统运行的相关过程,确保过程在时间上和预算目标内被正确和准确地执行。
2 IT服务管理
(1)服务台。服务台(Service Desk)是组织体现IT服务的重要环节,也是服务干系人体验的重要感知窗口。服务台是服务中与服务干系人沟通和交互的重要界面,负责对服务干系人遇到的问题和需求进行响应和处理;服务台是IT服务干系人的“官方”接口和信息发布点,组织内部各个团队之间相互协作的纽带和协调者;服务台对IT服务质量及服务系人体验的管理至关重要,是组织IT服务能力持续提升的战略单元。
(2)事件管理。事件是IT服务管理遭遇计划外中断或服务质量出现下降,以及尚未影响服务的配置项故障。事件可能是服务中断、服务速度变慢、软件缺陷以及其他任何组件发生故障。事件管理是IT服务中最常见的流程之一,也是IT服务必须建立和使用的流程,良好的事件管理必须具备快速解决事件的能力,从而在出现事件时能够尽快恢复服务的正常运作,可以有效提高服务的质量,提升服务干系人满意度。组织应该建立与事件管理过程一致的流程,流程中应该包括:事件受理、分类和初步支持、调查和诊断、解决、进展监控与跟踪、关闭等活动,通过有效执行所定义的活动,能够保障事件响应与处理的效果与效率。
(3)问题管理。当发生了几个看起来具有相同或相似根本原因的事件时,就会启动问题管理活动。问题管理的总体目标是减少事件的数量和严重性,这种对事件的控制既包括发生事件后的被动性措施,也包括采取主动措施(如: 利用系统监控衡量系统运行状况和容量管理等)预防与容量相关的事件发生。与事件管理类似,当确定问题的根本原因时,应制定变更管理和配置管理以进行临时或永久修复。
(4)变更管理。变更是使一个或更多信息系统配置项的状态发生改变的行动。可见,变更管理的流程更多的是与过程相关,并且重在管理而不是技术,这与事件管理不同,后者建立在技术手段的基础上,强调其管理过程的机械性。变更管理可确保在信息技术环境中执行的所有变更都得到控制和一致化的执行。变更管理的目标是确保使用标准化的方法和程序来高效、及时地处理所有更改,以最大限度地减少与变更相关的事件对服务质量造成的影响,从而改善组织的日常运行。变更管理的主要目的是确保对信息技术环境的所有建议更改都经过适用性和风险管控的审查,并确保变更不会相互干扰,也不会干扰其他计划内或计划外的活动。为了有效每个干系人都应该审查所有更改,以便正确、全方位地审查每项变更。
(5)配置管理。配置管理是通过技术或者行政的手段对信息系统的信息进行管理的一系列活动,这些信息不仅包括信息系统具体配置项信息,还包括这些配置项之间的相互关系。配置项通常包括:硬件详细信息、硬件配置、操作系统版本和配置、软件版本和配置等。配置管理的核心工作是识别、记录、控制、更新配置项信息,主要包含配置管理数据库(Configuration Management Databases, CMDB)的建立以及配置管理数据库准确性的维护,以支持信息系统的正常运行。在IT服务中,配置管理数据库可用于故障定位、问题分析、变更影响度分析、故障分析等,因此,配置管理数据库与真实环境的匹配度和详细度非常重要。
(6)发布管理。发布管理负责计划和实施信息系统的变更,并且记录该变更的各方面信息发布是由其实施的变更请求定义的,发布一般是由许多问题修复和IT服务质量改进组成的。发布不仅包括软件方面的变更、硬件方面的变更,同时也包括IT服务管理体系的变更。发布管理通过实施合理的工作程序和严格的监控,保护现有的运营环境和服务不受冲击,负责对软件硬件、体系发布进行计划、设计、生成、配置和检测,影响范围可能涉及现有的信息系统及其环境、IT用户和组织各分支机构等。
(7)服务级别管理。服务级别管理就是对IT 服务的级别进行定义、记录和管理,并在可接受的成本之下与干系人达成一致的管理过程,通过服务水平协议 (Service Level Agreement, SLA) 、服务绩效监控和报告的不断循环,持续维护和改进服务质量,以及触发采取行动消除较差服务,从而满足干系人的服务需求。组织需要通过服务目录定义其提供的所有服务和目标。服务目录可被其他文件引用,如 SLA,以避免同样的文本和目标被多次重复。服务目录是建立服务干系人预期的关键文件,相关人员都能容易并广泛地获取和阅读。
(8)财务管理。IT服务财务管理是负责对IT 服务运作过程中所有资源进行财务管理的流程,主要活动包括:预算编制、设备投资、费用管理、项目会计和项目投资回报率(Return On Investment, ROI)管理等。财务管理考虑了支持组织目标的IT服务的财务价值。
(9)容量管理。容量管理用于确认信息系统中有足够的容量满足服务需求。如果信息系统的性能在可接受的范围内,则其具有足够的容量。容量管理不仅仅关注当前需求,还必须考虑未来的需求。容量管理主要活动包括:定期测量、计划变更、战略优化和技术变化等。容量管理由三个子过程组成:业务容量管理、服务容量管理、资源容量管理。
(10)服务连续性管理。服务连续性管理是一组与组织持续提供服务的能力相关的活动,主要是在发生自然或人为灾难时继续保持服务有效性的活动。服务连续性管理活动分为服务连续性管理的治理、业务影响分析、制订和维护服务连续性计划、测试服务连续性计划、响应与恢复五个过程。
(11)可用性管理。可用性管理是有关设计、实施、监控、评价和报告IT服务的可用性以确保持续地满足服务干系人的可用性需求的服务管理流程。可用性是指一个组件或一种服务在设定的某个时刻或某段时间内发挥其应有功能的能力,即在约定的服务时段内,IT服务实际能够使用的服务的时间比例。
3 运行与监控
IT运行的任务常包括:①按照计划执行作业;②监控作业,并按照优先级为作业分配资源;③重新启动失败的作业和进程;④通过加载或变更备份介质,或通过确保目标的存储系统就绪来优化备份作业;⑤监控信息系统、应用程序和网络的可用性,保证这些系统具备足够的性能;⑥实施空闲期的维护活动,如设备清洁和系统重启等。
4 终端侧管理
IT团队职能的一个关键环节是它向组织人员提供的服务,以改善他们对IT访问和使用的情况。组织通常使用IT管理工具来促进对用户终端计算机的高效和一致的管理。一般来说,最终用户计算机是“锁定”的,这限制了最终用户可能在其设备上执行的配置更改的数量和类型包括操作系统配置、补丁安装、软件程序安装、使用外部数据存储设备等,最终用户可能会将此类限制视为不便。但是,这些限制不仅有助于确保最终用户的设备和整个组织的IT 环境具有更高的安全性,而且还促进了更高的一致性,从而降低了支持成本。
5 程序库管理
程序库是组织用来存储和管理应用程序源代码和目标代码的工具。在大多数组织中,应用程序源代码非常敏感。它可能被视为知识产权,并且可能包含算法、加密密钥和其他敏感信息,这些信息应由尽可能少的人员访问。应用程序源代码应被视为信息,并通过组织的安全策略和数据分类策略进行管理。程序库的控制使组织能够对其应用程序的完整性、质量和安全性进行高度控制。程序库通常作为具有用户界面和多种功能的信息系统存在,其中主要功能包括:访问控制、程序签出、程序签入、版本控制和代码分析等。
6 安全管理
信息安全管理可确保组织的信息安全计划充分识别和解决风险,并在整个运维和服务过程中正常运行。
7 介质控制
组织需要采取一系列活动,以确保数字介质得到适当管理,包括对其保护以及销毁不再需要的数据。这些过程通常与数据保留和数据清除过程相关联,以便通过物理和逻辑的安全控制充分保护所需的数据,同时有效丢弃和擦除不再需要的数据。处置不再需要的介质相关的程序包括擦除该介质上的数据或使该介质上的数据无法以其他方式恢复的所有相关步骤。组织应老虑包含在介质管理、销毁策略和程序范围内的介质主要包括:备份介质、虚拟磁带库、光学介质、硬盘驱动器、固态驱动器、闪存、硬拷贝等。介质清理的策略和程序需要包含在服务提供商的相关要求中,以及记录保存活动以跟踪介质随时间推移的销毁情况。
8 数据管理
数据管理是与数据的获取、处理、存储、使用和处置相关的一组活动。
4.1.5 优化和持续改进(DMAIC/DMADV)
传统上,优化和持续改进常用的方法为戴明环,即PDCA循环。PDCA循环是将持续改进分为四个阶段,即Plan (计划)、Do (执行)、Check (检查)和Act (处理)。优化和持续改进基于有效的变更管理,使用六西格玛倡导的五阶段方法DMAIC/DMADV,是对戴明环四阶段周期的延伸,包括:定义(Define)、度量(Measure)、分析(Analysis)、改进/设计(Improve/Design)、控制/验证(Control/Verify)。当第四阶段的“改进”替换为“设计”,“控制”替换为“验证”时,五阶段法就从DMAIC转变为DMADV。
1 定义阶段
定义阶段的目标包括待优化信息系统定义、核心流程定义和团队组建。
(1)待优化信息系统定义。该活动关注定义协同的范围、优化目标和目的、系统团队成员和出资人,以及优化时间表和交付成果。待优化信息系统范围与关键业务实践、服务对象交互有关,该定义需要了解信息系统相关的业务。可使用“延伸目标”概念来定义待优化的信息系统。延伸目标是那些超出当前组织结构、资源和技术可预见范围的优化目标。可以帮助超越渐进式改进,重新思考信息系统相关业务、运行或流程,以达到可以实现重大改进的程度。
(2)核心流程定义。该活动关注定义利益干系人、投入和产出以及广泛的功能。SIPOC(Supplier、Input、Process、Output、Customer) 分析是定义核心流程视图的首选工具。任何一个组织都是一个由提供人、输入、流程、输出,还有服务对象这样相互关联、互动的5个部分组成的系统。
(3)团队组建。该活动重点关注从关键利益干系人群体中确定人员组建高能力团队,对信息系统的问题和收益达成共识。有效的团队形成对于建立利益干系人的支持至关重要。从每个关键利益干系人群体中选出可靠的团队成员,以代表他们在优化和持续改进中的职能或领域。有效的团队通常限制为5~7名参与者。较大的团队更难管理,成员可能会失去对团队的责任感。其他团队成员可能是来自非关键利益干系人组的临时成员,他们仅在需要时参与,例如需要流程专业知识时。
2 度量阶段
度量阶段目标包括流程定义、指标定义、流程基线和度量系统分析。
(1)流程定义。流程定义通常使用流程图工具定义度量阶段的流程,以图形方式实现给定信息系统的输入、操作和输出。流程图的目的是帮助人们理解流程,应当尽可能简单,但又不能太简单。当流程图指示太多的决策点时,通常表示可能出现了一个过于复杂的过程,可能会出错。因此,决策点恰恰是信息系统优化的一个潜在改进重点。
(2)指标定义。待优化信息系统的定义包括将用于评估流程的指标。选择能够切实提高系统质量、业务绩效和服务对象满意度的指标非常重要。正确选择的指标将为基于数据的决策提供输入,并将成为用于描述信息系统状态的标准化和数据化的语言。度量指标一旦建立,可用于确定影响信息系统的各种因素及其相对重要性,并可比较信息系统不同组件对业务的整体贡献。指标为信息系统的持续改进提供了对质量、成本和进度的重要描述。如何衡量和报告这些情况,以及这些分别对质量敏感、成本敏感和进度敏感的指标,如何与信息系统的关键流程变量和控制相关联,以实现系统范围的持续改进。
(3)流程基线。当明确了度量指标之后,必须通过基线确定现有系统的能力,以确定当前系统在多大程度上较好地满足了服务对象的要求,并验证定义阶段中确立的信息系统目标达成情况。当系统处于控制优化状态时,可以统计其系统能力,将统计出的系统变异与明确的服务对象要求进行比较。只有在使用基线清晰描述了系统稳定性之后,才能评估系统变异,只有稳定的系统才能预测。当系统指标数据不稳定或不在控制优化中时,可以使用系统性能指标作为粗略估计,将给定周期内观察的系统变化与服务对象要求进行比较。
(4)度量系统分析。质量始于度量。只有当质量被量化时,才能开始讨论优化和持续改进度量是根据某些规则将数值分配给被观察到的现象。在对信息系统进行优化和持续改进过程中,需要十分注意度量水平、度量的可靠性与有效性问题。一个良好的度量系统具备特性可包括:准确:应该产生一个“接近”被测量的实际属性的数值。可重复:如果测量系统反复应用于同一物体,则产生的测量价值应彼此接近。线性:测量系统应能够在整个关注范围内产生准确和一致的结果。可重现:当任何经过适当培训的个人使用时,测量系统应产生相同的结果。稳定:应用于相同的项目时,测量系统将来应产生与过去相同的结果。
3 分析阶段
分析阶段的三个目标包括价值流分析、信息系统异常的源头分析和确定优化改进的驱动因素。
(1)价值流分析。价值流分析首先定义信息系统使用者眼中相关产品或服务的价值。价值也可以定义为:①组织愿意投资的系统组件;②改变信息系统形式、适合度或功能的活动;③将业务输入经信息系统转换为输出的活动。
(2)信息系统异常的源头分析。度量阶段的信息系统异常的来源,提供了信息系统稳定(即控制中)或不稳定(即失控)的证据。首先正确区分这两种类型的变异至关重要,因为每种变异的改进策略不同。对于稳定的信息系统,只有通过对系统进行根本性的更改,才能减少系统内置的常见变异原因。当系统失控时,则必须解决并消除在特定时间段内造成不稳定情况的特殊原因,重新获得稳定的过程,然后可以进行改进。在业务层面,可以分析服务对象数据,以建立服务对象满意度与用于支撑服务对象体验的信息系统组件之间的关系。
(3)确定优化改进的驱动因素。优化改进的驱动因素是指对信息系统优化影响最大的因素对于任何信息系统,都可能有许多因素会导致其功能和性能的变化。信息系统改进需要减少其系统或组件的异常,或者将系统衡量的中位线移动到更有利的设置。无论哪种情况,专注于关键的优化改进驱动因素都将有助于信息系统的优化和持续改进。在确定优化改进的驱动因素时,可以使用一些数学分析方法,计算确定关键驱动因素,这些数学分析方法包括相关性与回归分析、最小二乘拟合和残差分析等。
4 改进/设计阶段
改进/设计阶段的目标包括:①向发起人提出一个或多个解决方案;量化每种方法的收益;就解决方案达成共识并实施。②定义新的操作 /设计条件。③为新工艺/设计提供定义和缓解故障模式。
(1)改进/设计的解决方案推进。改进/设计阶段解决方案的部署可以缩小信息系统当前状态与所需状态之间的差距。实施的方法也必须在此阶段进行验证,以确保达到并保持预期的效果。这个阶段定义了改进和成本降低的相关计划。它通常是成败点,需要团队考虑之前未考虑的因素,并成为变革的真正推动者。此时的管理支持至关重要。
(2)定义新的操作/设计条件。定义阶段中引入的核心流程可用于开发新流程,还可以进行其他实验设计,以确定新信息系统或新系统中新的功能和设计所需的最佳操作条件,以最大或最小化响应。
(3)定义和缓解故障模式。建立了信息系统的优化和持续改进流程之后,可以评估其故障模式。了解信息系统的故障模式使组织能够定义不同故障的缓解策略,以最大限度地减少故障的影响或发生。这些缓解策略可能会导致新的运行维护过程步骤、最优系统设置或控制策略,以防止信息系统失效;可能是提升信息系统性能,降低信息系统容量损耗。在某些情况下,无法预防故障的情况下,可以制定一种策略来最大限度地减少故障的发生并控制损失。
5 控制/验证阶段
控制/验证阶段的目标包括标准化新程序/新系统功能的操作控制要素、持续验证优化的信息系统的可交付成果、记录经验教训。
(1)标准化新程序/新系统功能的操作控制要素。当信息系统得到改进,组织需要更好地控制系统,保持进一步改进的能力。管理者必须对改进形成的新方法、新系统运行进行标准化,以维持改进带来的效益。标准化的业务层面控制是保持信息系统优化改进的方法。培训对新系统或优化系统的操作控制能力,是维护已部署改进的关键。
(2)持续验证优化的信息系统的可交付成果。组织应当将变更的系统组件信息、信息系统状态趋势等内容,对受影响的人员开展培训。当这些人员不仅了解信息系统如何变化,还应了解其产生的原因,以及可能会在未来找到进一步改进的方法。
(3)记录经验教训。随着项目小组完成其活动,必须最终确定和保留项目文档。其中一个关键方面是记录经验教训,如为了更快或更好的结果,可能会做些什么事情。经验对组织中的其他团队有用吗?这种团队总结的另一个重要作用是对他们努力的认可。
4.2管理要点
4.2.1 数据管理
数据管理能力成熟度评估模型(Data Management Capability Maturity Assessment Model, DCMM)是国家标准GB/T 36073《数据管理能力成熟度评估模型》中提出的,旨在帮助组织利用先进的数据管理理念和方法,建立和评价自身数据管理能力,持续完善数据管理组织、程序和制度,充分发挥数据在促进组织向信息化、数字化、智能化发展方面的价值。
DCMM定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期8个核心能力域。
1 数据战略(规划、实施、评估)
组织的数据战略能力域通常包括数据战略规划、数据战略实施和数据战略评估三个能力项。
(1)数据战略规划。数据战略规划是在组织所有利益相关者之间达成共识的结果。从宏观及微观两个层面确定开展数据管理及应用的动因,并综合反映数据提供方和消费方的需求。数据战略规划主要活动和工作要点包括:
识别利益相关者:明确利益相关者的需求。
数据战略需求评估:组织对业务和信息化现状进行评估,了解业务和信息化对数据的需求。
数据战略制定:主要包括1.愿景陈述,其中包含数据行理原则、目的和目标;2.规划范围,其中包含重要业务领域、数据范围和数据管理优先权;3.所选择的数据管理模型和建设方法;4.当前数据管理存在的主要差距;5.管理层及其责任,以及利益相关者名单;6.编制数据管理规划的管理方法;7.持续优化路线图。
数据战略发布:以文件、网站、邮件等方式正式发布审批后的数据战略。
数据战略修订:根据业务战略、信息化发展等方面的要求,定期进行数据战略的修订。
(2)数据战略实施。数据战略实施是组织完成数据战略规划后,逐渐实现数据职能框架的过程。实施过程中依据组织数据管理和数据应用的现状,确定与愿景、目标之间的差距;依据数据职能框架制定阶段性数据任务目标,并确定实施步骤。数据战略实施主要活动和工作要点包括:
评估准则:建立数据战略规划实施评估标准,规范评估过程和方法。
现状评估:对组织当前数据战略落实情况进行分析,评估各项作开展情况。
评估差距:根据现状评估结果与组织数据战略规划进行对比,分析存在的差异。
实施路径:利益相关者结合组织的共同目标和实际业务价值进行数据职能任务优先级排序。
保障计划:依据实施路径,制定各项活动所需的预算。
任务实施:根据任务开展工作。
过程监控:依据实施路径,及时对实施过程进行监控。
(3)数据战略评估。组织在数据战略评估过程中需要建立对应的业务案例和投资模型,并在整个数据战略实施过程中跟踪进度,同时做好记录供审计和评估使用。数据战略评估主要活动和工作重点包括:
建立任务效益评估模型:从时间、成本、效益等方面建立数据战略相关任务的效益评估模型。
建立业务案例:建立基本的用例模型、项目计划、初始风险评估和项目描述,能确定数据管理和数据应用相关任务(项目)的范围、活动、期望的价值以及合理的成本收益分析。
建立投资模型:作为数据职能项目投资分析的基础性理论,投资模型要满足不同业务的信息科技需求以及对应的数据职能内容,同时要广泛沟通以保障对业务或技术的前瞻性支待,并符合相关的监管及合规性要求。
阶段评估:在数据工作开展过程中,定期从业务价值、经济效益等维度对已取得的成果进行效益评估。
2 数据治理(组织、数据制度建设、沟通)
组织的数据治理能力域通常包括数据治理组织、数据制度建设和数据治理沟通三个能力项。
(1)数据治理组织。数据治理组织需要包括组织架构、岗位设置、团队建设、数据责任等内容。数据治理组织对组织在数据管理和数据应用行使职责规划和控制,并指导各项数据职能的执行,以确保组织能有效落实数据战略目标。数据治理组织主要活动和工作要点包括:
建立数据治理组织:建立数据体系配套的权责明确且内部沟通顺畅的组织,确保数据战略的实施。
岗位设置:建立数据治理所需的岗位,明确岗位的职责、任职要求等。
团队建设:制订团队培训、能力提升计划,通过引入内部、外部资源定期开展人员培训,提升团队人员的数据治理技能。
数据归口管理:明确数据所有人、管理人等相关角色以及数据的归口的具体管理人员。
建立绩效评价体系:根据团队人员职责、管理数据范围的划分,制定相关人员的绩效考核体系。
(2)数据制度建设。为保障数据管理和数据应用各项功能的规范化运行,组织需要建立对应的制度体系。数据制度体系通常分层次设计,遵循严格的发布流程并定期检查和更新。数据制度建设是数据管理和数据应用各项工作有序开展的基础,是数据治理沟通和实施的依据。数据制度建设主要活动和工作要点包括:
制定数据制度框架:根据数据职能的层次和授权决策次序,数据制度框架可分为策略、办法、细则三个层次。
整理数据制度内容:数据管理策略与数据管理办法、数据管理细则共同构成组织数据制度体系,其基本内容包括:1.数据策略说明数据管理和数据应用的目的,明确其组织与范围;2.数据管理办法是为数据管理和数据应用各领域内活动开展而规定的相关规则和流程;3.数据管理细则是为确保各数据方法执行落实而制定的相关文件。
数据制度发布:组织内部通过文件、邮件等形式发布审批通过的数据制度。
数据制度宣贯:定期开展数据制度相关的培训与宣传工作。
数据制度实施:结合数据治理组织的设置,推动数据制度的落地实施。
(3)数据治理沟通。数据治理沟通旨在确保组织内全部利益相关者都能及时了解相关策略、标准、流程、角色、职责、计划的最新悄况,开展数据管理和应用相关的培训,掌握数据管理相关的知识和技能。
沟通路径:明确数据管理和应用的利益相关者,分析各方的诉求,了解沟通的重点内容。
沟通计划:建立定期或不定期沟通计划,并在利益相关者之间达成共识。
沟通执行:按照沟通计划安排实施具体沟通活动,同时对沟通情况记录。
问题协商机制:包括引入高层管理者等方式,以解决分歧。
建立沟通渠道:在组织内部明确沟通的主要渠道,例如邮件、文件、网站、自媒体、研讨会等。
制订培训宣贯计划:根据组织人员和业务发展需要,制订相关的培训宣贯计划。
开展培训:根据培训计划的要求,定期开展相关培训。
3 数据架构(数据模型、数据分布、数据集成与共享、元数据管理)
组织的数据架构能力域通常包括数据模型、数据分布、数据集成与共享和元数据管理四个能力项。
(1)数据模型。数据模型是使用结构化的语言将收集到的组织业务运行、管理和决策中使用的数据需求进行综合分析,按照模型设计规范将需求重新组织。数据模型主要活动和工作要点包括:
收集和理解组织的数据需求:包括收集和分析组织应用系统的数据需求和实现组织的战略,满足内外部监管,与外部组织互联互通等的数据需求等。
制定模型规范:包括模型的管理工具、命名规范、常用术语以及管理方法等。
开发数据模型:包括开发设计组织级数据模型、系统应用级数据模型。
数据模型应用:根据组织级数据模型的开发,指导和规范系统应用级数据模型的建设。
符合性检查:检查组织级数据模型和系统应用级数据模型的一致性。
模型变更管理:根据需求变化实时地对数据模型进行维护。
(2)数据分布。数据分布职能域是针对组织级数据模型中数据的定义,明确数据在系统组织和流程等方面的分布关系,定义数据类型,明确权威数据源,为数据相关工作提供参考和规范。通过数据分布关系的梳理,定义数据相关工作的优先级,指定数据的责任人,并进一步优化数据的集成关系。数据分布主要活动和工作要点包括:
数据现状梳理:对应用系统中的数据进行梳理,了解数据的作用,明确存在的数据问题。
识别数据类型:将组织内的数据根据其特征分类管理,一般类型包括主数据、参考数据、交易数据、统计分析数据、文档数据、元数据等类型。
数据分布关系梳理:根据组织级数据模型的定义,结合业务流程梳理的成果,定义组织中数据和流程、数据和组织机构、数据和系统的分布关系。
梳理数据的权威数据源:对每类数据明确相对合理的唯一信息采集和存储系统
数据分布关系的应用:根据数据分布关系的梳理,对组织数据相关工作进行规范,包括定义数据工作优先级、优化数据集成等。
数据分布关系的维护和管理:根据组织中业务流程和系统建设的情况,定期维护和更新组织中的数据分布关系,保持及时性。
(3)数据集成与共享。数据集成与共享职能域是建立起组织内各应用系统、各部门之间的集成共享机制,通过组织内部数据集成共享相关制度、标准、技术等方面的管理,促进组织内部数据的互联互通。数据集成与共享主要活动和工作要点包括:
建立数据集成共享制度:指明数据集成共享的原则、方式和方法。
形成数据集成共享标准:依据数据集成共享方式不同,制定不同的数据交换标准。
建立数据集成共享环境:将组织内多种类型的数据整合在一起,形成对复杂数据加工处理和便捷访问的环境。
建立对新建系统的数据集成方式的检查。
(4)元数据管理。元数据管理是关于元数据的创建、存储、整合与控制等一整套流程的集合。元数据管理主要活动和工作要点包括:
元模型管理:对包含描述元数据属性定义的元模型进行分类并定义每一类元模型,元模型可采用或参考相关国家标准。
元数据集成和变更:基于元模型对元数据进行收集,对不同类型、不同来源的元数据进行集成,形成对数据描述的统一视图,并基于规范的流程对数据的变更进行及时更新和管理。
元数据应用:基于数据管理和数据应用需求,对于组织管理的各类元数据进行分析应用,如查询、血缘分析、影响分析、符合性分析、质量分析等。
4 数据应用(数据分析、开放共享、服务)
数据应用能力域通常包括数据分析、数据开放共享和数据服务三个能力项。
(1)数据分析。数据分析是对组织各项经营管理活动提供数据决策支持而进行的组织内外部数据分析或挖掘建模,以及对应成果的交付运营、评估推广等活动。数据分析能力会影响到组织制定决策、创造价值、向用户提供价值的方式。数据分析主要活动和工作要点包括:
常规报表分析:按照规定的格式对数据进行统一的组织、加工和展示。
多维分析:各分类之间的数据度量之间的关系,从而找出同类性质的统计项之间数学上的联系。
动态预警:基于一定的算法、模型对数据进行实时监测,并根据预设的阈值进行预警。
趋势预报:根据客观对象已知的信息对事物在将来的某些特征、发展状况的一种估计、测算活动,运用各种定性和定量的分析理论与方法,对发展趋势进行预判。
(2)数据开放共享。数据开放共享是指按照统一的管理策略对组织内容的数据进行有选择的对外开放,同时按照管理策略引入外部数据供组织内部使用。数据开放共享是实现数据跨组织跨行业流转的重要前提,也是数据价值最大化的基础。数据开放共享主要活动和工作要点包括:
梳理开放共享数据:组织需要对其开放共享的数据进行全面的梳理,建立清晰的开放共享数据目录。
制定外部数据资源目录:对组织需要的外部数据进行统一梳理,建立数据目录,方便内部用户的查询和应用。
建立统一的数据开放共享策略:包括安全、质量等内容。
数据提供方管理:建立对外数据使用策略、数据提供方服务规范等。
数据开放:组织可通过各种方式对外开放数据,并保证开放数据的质量。
数据获取:按照数据需求进行数据提供方的选择。
(3)数据服务。数据服务是通过对组织内外部数据的统一加工和分析,结合公众、行业和组织的需要,以数据分析结果的形式对外提供跨领域、跨行业的数据服务。数据服务是数据资产价值变现最直接的手段,也是数据资产价值衡量的方式之一,通过良好的数据服务对内提升组织的效益,对外更好的服务公众和社会。数据服务的提供可能有多种形式,包括数据分析结果、数据服务调用接口、数据产品或数据服务平台等,具体服务的形式取决于组织数据的战略和发展方向。数据服务主要活动和工作要点包括:
数据服务需求分析:需要有数据分析团队来分析外部的数据需求,并结合外部的需求提出数据服务目标和展现形式,形成数据服务需求分析文档。
数据服务开发:数据开发团队根据数据服务需求分析对数据进行汇总和加工,形成数据产品。
数据服务部署:部署数据产品,对外提供服务。
数据服务监控:能对数据服务有全面的监控和管理,实时分析数据服务的状态、调用情况、安全情况等。
数据服务授权:对数据服务的用户进行授权,并对访问过程进行控制。
5 数据安全(策略、管理、审计)
组织的数据安全能力域通常包括数据安全策略、数据安全管理和数据安全审计三个能力项。
(1)数据安全策略。数据安全策略是数据安全的核心内容,在制定的过程中需要结合组织管理需求、监管需求以及相关标准等统一制定。数据安全策略主要活动和工作要点包括:
了解国家、行业等监管需求,并根据组织对数据安全的业务需要,进行数据安全策略规划,建立组织的数据安全管理策略。
制定适合组织的数据安全标准,确定数据安全等级及覆盖范围等。
定义组织数据安全管理的目标、原则、管理制度、管理组织、管理流程等,为组织的数据安全管理提供保障。
(2)数据安全管理。数据安全管理是在数据安全标准与策略的指导下,通过对数据访问的授权、分类分级的控制、监控数据的访问等进行数据安全的管理工作,满足数据安全的业务需要和监管需求,实现组织内部对数据生存周期的数据安全管理。数据安全管理主要活动和工作要点包括:
数据安全等级的划分:根据组织数据安全标准,充分了解组织数据安全管理需求,对组织内部的数据进行等级划分并形成相关文档。
数据访问权限控制:制定数据安全管理的利益相关者清单,围绕利益相关者需求,对其数据访问、控制权限进行授权。
用户身份认证和访问行为监控:在数据访问过程中对用户的身份进行认证识别,对其行为进行记录和监控。
数据安全的保护:提供数据安全保护控制相关的措施,保证数据在应用过程中的隐私性。
数据安全风险管理:对组织已知或潜在的数据安全进行分析,制定防范措施并监督落实。
(3)数据安全审计。数据安全审计是一项控制活动,负责定期分析、验证、讨论、改进数据安全管理相关的策略、标准和活动。审计工作可由组织内部或外部审计人员执行,审计人员应独立于审计所涉及的数据和流程。数据安全审计的目标是为组织以及外部监管机构提供评估和建议。数据安全审计主要活动和工作要点包括:
过程审计:分析实施规程和实际做法,确保数据安全目标、策略、标准、指导方针和预期结果相一致。
规范审计:评估现有标准和规程是否适当,是否与业务要求和技术要求相一致。
合规审计:检索和审阅组织相关监管法规要求,验证其是否符合监管法规要求。
供应商审计:评审合同、数据共享协议,确保供应商切实履行数据安全义务。
审计报告发布:向高级管理人员、数据管理专员以及其他利益相关者报告组织内的数据安全状态。
数据安全建议:提出数据安全的设计、操作和合规等方面的改进工作建议
6 数据质量(需求、检查、分析、提升)
组织的数据质量能力域通常包括数据质量需求、数据质量检查、数据质量分析和数据质量提升。
(1)数据质量需求。数据质量需求是明确数据质量目标,并根据业务需求及数据要求制定用来衡量数据质量的规则,包括衡量数据质量的技术指标、业务指标以及相应的校验规则与方法。数据质量需求是度量和管理数据质量的依据,需要依据组织的数据管理目标、业务管理的需求和行业的监管需求并参考相关标准来统一制定与管理。数据质量需求主要活动和工作要点包括:
定义数据质量管理目标:依据组织管理的需求,参考外部监管的要求,明确组织数据质量管理目标。
定义数据质量评价维度:依据组织数据质量管理的目标,制定组织数据质量评估维度指导数据质量评价工作的开展。
明确数据质量管理范围:依据组织业务发展的需求以及常见数据问题的分析,明确组织数据质量管理的范围,梳理各类数据的优先级以及质量需求。
设计数据质量规则:依据组织的数据质量管理需求及目标,识别数据质量特性,定义各类数据的质量评价指标、校验规则与方法,并根据业务发展需求及数据质量检查分析结果对数据质量规则进行持续维护与更新。
(2)数据质量检查。数据质量检查是根据数据质量规则中的有关技术指标和业务指标、校验规则与方法对组织的数据质量情况进行实时监控,从而发现数据质量问题,并向数据管理人员进行反馈。数据质量检查主要活动和工作要点包括:
制订数据质量检查计划:根据组织数据质量管理目标的需要,制订统一的数据质量检查计划。
数据质量情况剖析:根据计划对系统中的数据进行剖析,查看数据的值域分布、填充率、规范性等,切实掌握数据质量实际情况。数据质量校验:依据预先配置的规则、算法,对系统中的数据进行校验。
数据质量问题管理:包括问题记录、问题查询、问题分发和问题跟踪。
(3)数据质量分析。数据质量分析是对数据质量检查过程中发现的数据质量问题及相关信息进行分析,找出影响数据质量的原因,并定义数据质量问题的优先级,作为数据质量提升的参考依据。数据质量分析主要活动和工作要点包括:
数据质量分析方法和要求:整理组织数据质量分析的常用方法,明确数据质量分析的要求。
数据质量问题分析:深入分析数据质量问题产生的根本原因,为数据质量提升提供参考。
数据质量问题影响分析:根据数据质量问题的描述以及数据价值链的分析,评估数据质量对于组织业务开展、应用系统运行等方面的影响,形成数据质量问题影响分析报告。
数据质量分析报告:包括对数据质量检查、分析等过程累积的各种信息进行汇总、梳理、统计和分析。
建立数据质量知识库:收集各类数据质量案例、经验和知识,形成组织的数据质量知识库。
(4)数据质量提升。数据质量提升是对数据质量分析的结果,制定、实施数据质量改进方案,包括错误数据更正、业务流程优化、应用系统问题修复等,并制定数据质量问题预防方案确保数据质量改进的成果得到有效保持。数据质量提升主要活动和工作要点包括:
制定数据质量改进方案:根据数据质量分析的结果,制定数据质量提升方案。
数据质量校正:采用数据标准化、数据清洗、数据转换和数据整合等手段和技术,对不符合质量要求的数据进行处理,并纠正数据质量问题。
数据质量跟踪:记录数据质量事件的评估、初步诊断和后续行动等信息,验证数据质量提升的有效性。
数据质量提升:对业务流程进行优化,对系统问题进行修正,对制度和标准进行完善防止将来同类问题的发生。
数据质量文化:通过数据质量相关培训、宣贯等活动,持续提升组织数据质量意识,建立良好的数据质量文化。
7 数据标准(业务术语、参考数据和主数据、数据元、指标数据)
组织的数据标准能力域通常包括业务术语、参考数据和主数据、数据元和指标数据四个能力项。
(1)业务术语。业务术语是组织中业务概念的描述,包括中文名称、英文名称、术语定义等内容。业务术语数据管理就是制定统一的管理制度和流程,并对业务术语的创建、维护和发布进行统一的管理,进而推动业务术语的共享和组织内部的应用。
制定业务术语标准:同时制定业务术语管理制度,包含组织、人员职责、应用原则等。
业务术语字典:组织中已定义并审批和发布的术语集合。
业务术语发布:业务术语变更后及时进行审批并通过邮件、网站、文件等形式进行发布。
业务术语应用:在数据模型建设、数据需求描述、数据标准定义等过程中引用业务术语。
业务术语宣贯:组织内部介绍、推广已定义的业务术语。
(2)参考数据和主数据。参考数据管理是对定义的数据值域进行管理,包括标准化术语、代码值和其他唯一标识符,每个取值的业务定义,数据值域列表内部和跨不同列表之间的业务关系的控制,并对相关参考数据的一致、共享使用。主数据是组织中需要跨系统、跨部门共享的核心业务实体数据。主数据管理是对主数据标准和内容进行管理,实现主数据跨系统的一致、共享使用。
定义编码规则:定义参考数据和主数据唯一标识的生成规则。
定义数据模型:定义参考数据和主数据的组成部分及其含义。
识别数据值域:识别参考数据和主数据取值范围。
管理流程:创建参考数据和主数据管理相关流程。
建立质量规则:检查参考数据和主数据相关的业务规则和管理要求,建立参考数据和主数据相关的质量规则。
集成共享:参考数据、主数据和应用系统的集成。
(3)数据元。通过对组织中核心数据元的标准化,可以使数据的拥有者和使用者对数据有一致的理解。
建立数据元的分类和命名规则:根据组织的业务特征建立数据元的分类规则,制定数据元的命名、描述与表示规范。
建立数据元的管理规范:建立数据元管理的流程和岗位,明确管理岗位职责。
数据元的创建:建立数据元的创建方法,进行数据元的识别和创建。
建立数据元的统一目录:根据数据元的分类及业务管理需求,建立数据元管理的目录,对组织内部的数据元分类存储。
数据元的查找和引用:提供数据元查找和引用的在线工具。·数据元的管理:提供对数据元以及数据元目录的日常管理。
数据元管理报告:根据数据元标准定期进行引用情况分析,了解各应用系统中对数据元的引用情况,促进数据元的应用。
(4)指标数据。指标数据是组织在经营分析过程中衡量某一个目标或事物的数据,一般由指标名称、时间和数值等组成,指标数据管理指组织对内部经营分析所需要的指标数据进行统一规范化定义、采集和应用,用于提升统计分析的数据质量。
根据组织业务管理需求,制定组织内指标数据分类管理框架,保证指标分类框架的全面性和各分类之间的独立性。
定义指标数据标准化的格式,梳理组织内部的指标数据,形成统一的指标字典。
根据指标数据的定义,由相关部门或应用系统定期进行数据的采集、生成。
对指标数据进行访问授权,并根据用户需求进行数据展现。
对指标数据采集、应用过程中的效据进行监控,保证指标数据的准确性、及时性。
划分指标数据的归口管理部门、管理职资和管理流程,并按照管理规定对指标进行维护和管理。
8 数据生存周期(数据需求、数据设计和开发、数据运维、数据退役)
组织的数据生存周期能力域通常包括数据需求、数据设计和开发、数据运维和数据退役四个能力项。
(1)数据需求。数据需求是指组织对业务运营、经营分析和战略决策过程中产生和使用数据的分类、含义、分布和流转的描述。
建立数据砾求管理制度:明确组织数据需求的管理组织、制度和流程。
收集数据需求:需求人员通过各种方式分析数据应用场景,并识别数据应用场景中的数据分类、数据名称、数据含义、数据创建、数据使用、数据展示、数据质证、数据安全、数据保留等需求,编写数据需求文档。
评审数据需求:组织人员对数据需求文档进行评审,评审关注各项数据需求是否与业务目标、业务需求保持一致,数据需求是否使用已定义的业务术语、数据项、参考数据等数据标准,干系人对数据需求是否达成共识。
更新数据管理标准:对于已有数据管理标准中尚未悛盖的数据需求以及经评出后达到需要变更数据标准的,由数据管理人员根据相关流程更新数据标准,保证数据标准与实际数据需求的一致性。
集中管理数据需求:各方数据用户的数据需求应集中由数据管理人员进行收集和管理,确保需求的汇总分析和历史回顾。
(2)数据设计和开发。数据设计和开发是指设计、实施数据解决方案,提供数据应用,持续满足组织的数据需求的过程。数据解决方案包括数据库结构、数据采集、数据整合、数据交换、数据访问及数据产品等。
设计数据解决方案:包括概要设计和详细设计,其设计内容主要是面向具体的应用系统设计逻辑数据模型、物理数据模型、物理数据库、数据产品、数据访问服务、数据整合服务等。
数据准备:梳理组织的各类数据,明确数据提供方,制定数据提供方案。
数据解决方案质量管理:开发数据模型和设计标准,评审概念模型、逻辑模型和物理模型的设计,以及管理和整合数据模型版本变更。
实施数据解决方案:通过质揽评审的数据解决方案进入实施阶段,主要内容包括开发和测试数据库、建立和维护测试数据、数据迁移和转换、开发和测试数据产品、数据访问服务、数据整合服务、验证数据需求等。
(3)数据运维。数据运维是指数据平台及相关数据服务建设完成上线投入运营后,对数据采集、数据处理、数据存储等过程的日常运行及其维护过程。
制定数据运维方案:根据组织数据管理的需要,明确数据运维的组织,制定统一的数据运维方案。
数据提供方管理:建立数据提供的监控规则、监控机制和数据合格标准等服务水平协议和检查手段,待续监控数据提供方的服务水平,确保数据平台和数据服务有持续可用、高质量、安全可靠的数据,数据提供方管理包括对组织的内部和外部数据提供方的管理。
数据中台的运维:根据数据运维方对数据库、数据平台、数据建模工具、数据分析工具、ETL工具、数据质量工具、元数据工具、主数据管理工具的选型、部署、运行等进行管理,确保各技术工具的选择符合数据架构整体规划,正常运行各项指标满足数据需求。
数据需求的变更管理:数据需求实现之后,需要及时跟踪数据应用的运行情况,监控数据应用和数据需求的一致性,同时对用户提出的需求变更进行管理,确保设计和实施的一致性。
(4)数据退役。数据退役是对历史数据的管理,根据法律法规、业务、技术等方面需求,对历史数据的保留和销毁,执行历史数据的归档、迁移和销毁工作。
数据退役需求分析:向组织管理层、各领域业务用户调研内部和外部对数据退役的需求,明确外部监管要求的数据保留和消除要求,明确内部数据应用的保留和消除要求,同时兼顾信息技术对存储容量、访问速度、存储成本等袖求。
数据退役设计:综合考虑合规、业务和信息技术需求,设计数据退役标准和执行流程,明确不同类型数据保留策略,包括保留期限、保留方式等,建立数据归档、迁移、获取和消除的工作流程和操作规程,确保数据退役符合标准和流程规范。
数据退役执行:根据数据退役设计方案执行数据退役操作,完成数据的归档、迁移和清除等工作,满足法规、业务和技术需要,同时根据需要更新数据退役设计。
数据恢复检查:数据退役之后盂要制定数据恢复检查机制,定期检查退役数据状态,确保数据在需要时可恢复。
归档数据查询:根据业务管理或监管需要,对归档数据的查询请求进行管理,并恢复相关数据以供应用。
9 理论框架与成熟度
国内外常用的数据管理模型包括:数据管理能力成熟度模型(DCMM)、数据治理框架(Data Governance Institute, DGI) 、数据管理能力评价模型(Data Management Capability Assessment Model, DCAM)以及数据管理模型(DAMA定义的模型)等。
(1)数据管理能力成熟度模型(DCMM)(初受稳量优)
DCMM将组织的管理成熟度划分为5个等级,分别是:初始级、受管理级、稳健级、量化管理级和优化级。
初始级:数据需求的管理主要是在项目级体现,没有统一的管理流程,主要是被动式管理。
受管理级:组织意识到数据是资产,根据管理策略的要求制定了管理流程,指定了相关人员进行初步管理。
稳健级:数据已被当做实现组织绩效目标的重要资产,在组织层面制定了系列的标准化管理流程,促进数据管理的规范化。
量化管理级:数据被认为是获取竞争优势的重要资源,数据管理的效率能量化分析和监控。
优化级:数据被认为是组织生存和发展的基础,相关管理流程能实时优化,能在行业内进行最佳实践分享。
(2)数据治理框架(DGI)
国际数据治理协会发布了DGI数据治理框架,是组织在进行数据治理的操作层面的框架体系,为组织做出决策和采取行动的复杂活动提供的方法,此框架从组织结构、治理规则和治理过程这三个维度提出了关于数据治理活动的10个关键通用组件,并在这些要素的基础上构建了数据治理框架。
(3)数据管理能力评价模型(DCAM)
企业数据管理协会(EDM)是制定和实施数据标准、最佳实践以及全面培训和认证项目的重要倡导者。基于众多实际案例的经验总结来进行编写数据管理能力成熟度评估模型,提供了用于建立和评估组织数据管理计划的关键维度,主要强调团队协作(流程)、标准执行和资金支待,目前最新DCAM2.2版有4个组件:①基础组件包含数据战略与业务案例、数据管理流程与资金职能域;②执行组件包含业务和数据架构、数据和技术架构、数据质链管理、数据治理职能域;③分析组件包含数据控制环境职能域;④应用组件包含分析管理职能域。
(4)数据管理模型(DAMA定义的模型)
国际数据管理协会DAMA(DAMA International)在2018年发行了DAMA-DMBOK(数据管理知识体系指南)第2版,用于指导组织的数据管理职能和数据战略的评估工作,并建议和指导刚起步的组织去实施和提升数据管理。DAMA-DMBOK2理论框架由11个数据管理职能领域和7个基本环境要素共同构成“DAMA数据管理知识体系”,每项数据职能领域都在7个基本环境要素约束下开展工作。
4.2.2 运维管理
IT运维是指采用IT手段及方法,依据服务对象提出的服务级别要求,对其所使用的IT系统运行环境、业务系统等提供的综合活动。
1 能力模型
国家标准GB/T 28827.1《信息技术服务 运行维护 第1部分 通用要求》定义了IT运维能力模型,该模型包含治理要求、运行维护服务能力体系和价值实现,如图 4-8 所示。治理要求是为实现运行维护服务绩效、风险控制和服务合规性的组织目标,提出的关于最高管理层领导作用及承诺的能力体系建设要求。运行维护服务能力体系(MCS)是组织依据运行维护服务方针和目标,策划并制定运行维护服务能力方案,确保组织交付的运行维护服务内容符合相关规定,并满足质量要求,对运行维护服务交付过程、结果以及运行维护服务能力体系进行监督、测量、分析和评审,以实现运行维护服务能力的持续提升。价值实现是组织结合业务对信息系统的网络化、数字化和智能化要求,识别内部和外部用户对服务的需求或期望,定义多样化的服务场景,并通过服务能力、要素、活动的组合完成服务的提供,直接或间接地为服务需求方和利益相关者实现服务价值。
1)能力建设
组织需要考虑环境的内外部因素,在治理要求的指导下,根据服务场景,识别服务能力需求,围绕人员、过程、技术、资源能力四要素,策划、实施、检查和改进运行维护能力体系,向各种服务场景赋能,通过服务提供实现服务价值;并针对能力建设、人员、过程、技术、资源建立关键指标;还需要定期评价运行维护服务能力成熟度,衡量能力水平差距,以持续提升运行维护服务能力。
2)人员能力
组织人员能力建设聚焦在从知识、技能和经验维度选择合适的人,从人员管理和岗位职责维度明确做适合的事,目的是指导IT运维团队根据岗位职责和管理要求“选人做事”。
结合IT 运维工作的特点,运维人员一般分为管理类、技术类和操作类三种人员岗位,管理类主要负责运维的组织管理,技术类主要负责运维技术建设以及运维活动中的技术决策等,操作类主要负责运维活动的执行等。
为了保证人员能力满足运维服务的要求,组织依据运维能力策划要求,进行人员能力策划、岗位结构、人员储备、人员培训、绩效管理和能力评价等管理活动。
对运维的人员能力建设,通常还需要考虑:
面向IT运维所有干系人需求,建立人员需求规划;
基于人员需求计划,制定人员招聘、培训、储备和考核机制并实施;
定义IT运维人员岗位,根据工作内容不同,划分管理岗、技术岗、操作岗,并对每个岗位梳理工作职责,同时定义岗位的任职要求,包括知识、技能及经验要求等方面。
组织应按人员能力计划,进行运行维护人员能力评价,至少应包括:
建立运行维护服务对应岗位的等级评价标准;
建立运行维护服务团队和人员能力评价机制;
实施团队和人员能力评价;
依据评价结果对人员能力进行持续改进,需要时调整人员能力计划。
3)资源能力
资源主要由人员、过程和技术要素中被固化下来的能力转化而成,人员、过程和技术要素在知识、服务管理、工具支撑等方面的能力被固化下来,同时又对人员、过程和技术要素提供有力的支撑和保障,进而形成资源能力中的知识库、服务台、备件库以及运行维护工具,资源能力确保IT运维能“保障做事”。
IT运维资源是为了保证IT运维的正常交付所依存和产生的有形及无形资产。该表述最后的落脚点是资产,这就区别于广义的资源概念,广义的资源是指组织拥有的物力、财力、人力等各种物质要素的总称。
组织在建设资源能力过程中,要充分重视自主知识、技术和业务流程的固化工作,从而充分发挥经验的沉淀,尤其要关注一线人员的技术资源化,从而保证质量的同时提高效率和效能,建议组织可以定期收集一下一线人员针对资源的意见和建议,从而及时补充必要的资源,保持组织的运维能力的优化提升。
组织应根据运维能力策划要求和特定服务场景的需求,按需建立和管理运行维护工具、服务台、备件库、最终软件库、服务数据和服务知识等,以满足不同服务场景的服务需求。实现与人员、过程和技术结合,保证资源能力满足价值实现过程中服务提供的需求。
4)技术能力
组织需要通过自有核心技术的研发和非自有核心技术的学习,持续提升IT运维过程中发现问题和解决问题的能力,在提升IT运维效率方面是重点考虑的要素,技术要素确保IT运维能“高效事”。
在实施IT 运维过程中,可能面临各种问题、风险以及新技术和前沿技术应用所提出的新要求,组织需要根据服务对象要求或技术发展趋势,具备发现和解决问题、风险控制、技术储备以及研发、应用新技术和前沿技术的能力。
“早发现,早解决”一直是IT运维的一个重要原则,技术作为提高效率的基本因素,其在该领域中起着至关重要的作用。需要说明一点,这里的技术不单纯指IT技术,而是涵盖IT技术在内的所有IT运维技术,包括工作手册、思维方法等。从分类上来说,运维技术聚焦在发现问题的技术和解决问题的技术两大领域。
5)过程
组织通过过程的制定,把人员、技术和资源要素以过程为主线串接在一起,用于指导IT运维人员按约定的方式和方法,确保IT 运维能“正确做事”。
过程又称流程,是为达到特定的价值目标而由不同的人分别共同完成的一系列活动。活动之间不仅有严格的先后顺序限定,而且活动的内容、方式、责任等也都必须有明确的安排和界定,以使不同活动在不同岗位角色之间进行转手交接成为可能。活动与活动之间在时间和空间上的转移可以有较大的跨度。而狭义的业务流程,则认为它仅仅是与客户价值的满足相联系的系列活动。
组织需要结合服务场景与运维能力策划要求,设计过程框架,明确各过程之间的关系和接口,制定服务级别、服务报告、事件、问题、变更、发布、配置、可用性和连续性、系统容量、信息安全等管理过程的目标、活动和考核指标,支撑服务过程的规范化管理和服务价值实现。
2 智能运维
中国电子工业标准化技术协会发布的团体标准 T/CESA 1172《信息技术服务智能运维 通用要求》,给出了智能运维能力框架,包括组织治理、智能特征、智能运维场景实现、能力域和能力要素,其中能力要素是构建智能运维能力的基础。组织需在组织治理的指导下,对智能运维场景实现提出能力建设要求,开展智能运维能力规划和建设。组织通过场景分析、场景构建、场景交付和效果评估四个过程,基于数据管理能力域提供的高质量数据,结合分析决策能力域做出合理判断或结论,并根据需要驱动自动控制能力域执行运维操作,使运维场景具备智能特征,提升智能运维水平,实现质量可靠、安全可控、效率提升、成本降低。智能运维能力框架如图4-9所示。
(1)能力要素。智能运维的能力要素主要包括:
人员:运维团队需要熟悉IT运维领域的业务活动与流程,掌握自动化、大数据、人工智能、云计算、算法等技术,具备一定的智能运维研发能力。
技术:技术通常包括统一的标准和规范、开放的基础公共资源与服务、数据与流程及服务的互联互通等。过程:智能运维定义的过程需要具备清晰界定人机界面,能够充分发挥智能化优势,实现过程优化,并考虑权限控制、风险规避。
数据:运维组织需要加强数据治理,保证数据质量,规范数据接口。运维应用需要围绕数据进行采集、加工、消费,提升运维智能化水平。
算法:可以聚焦在异常检测、根因分析、故障预测、知识图谱、健康诊断、决策分析等方面,具备有穷性、确切性、有效性等特点。
资源:组织在数据管理能力域数据服务中,对于资源管理,至少应根据不同场景要求,配置开放共享服务管理所需要的算力、带宽、存储等。
知识:知识通常包括运维技术方案及方法与步骤、运维的经验沉淀、运维对象的多维度描述、运维数据的智能挖掘结果等。
(2)能力平台。智能运维能力平台通常具备数据管理、分析决策、自动控制等能力。其中,数据管理能力用于采集、处理、存储、展示各种运维数据。分析决策能力以感知到的数据作为输入,做出实时的运维决策,驱动自动化工具实施操作。自动控制根据运维决策,实施具体的运维操作。
(3)能力应用。以运维场景为中心,通过场景分析、能力构建、服务交付、迭代调优四个关键环节,可以使运维场景具备智能特征。根据复杂程度,运维场景分为单一场景、复合场景和全局场景。
场景分析:是指从业务或IT本身接收对新服务或改进服务的需求,场景需求分析从业务需求、用户需求以及系统需求,不同层次阶段进行不同方式、内容以及侧重点的需求调研。
能力构建:是指基于运维场景分析的结果和目标要求,应用赋能平台中适合运维场景数据特点的加工处理能力、系统性设计数据的处理流程,构建符合特定运维场景需求的智能运维解决方案。
服务交付:是指制订详细的交付计划,准备必要的资源,评估可能存在的风险并明确规避方案,完善交付实施过程,通过服务交付检查确保运维场景的智能特征符合策划要求。
迭代调优:是指通过持续的迭代对智能运维场景的优化,确保投入符合智能运维具体场景的规划目标渐进式达成。
(4)智能运维需具备若干智能特征,智能特征包括:
能感知:指具备灵敏、准确地识别人、活动和对象的状态的特点。
会描述:指具备直观友好地展现和表达运维场景中各类信息的特点。
自学习:指具备积累数据、完善模型、总结规律等主动获取知识的特点。
会诊断:指具备对人、活动和对象进行分析、定位、判断的特点。
可决策:指具备综合分析,给出后续处置依据或解决方案的特点。
自执行:指具备对已知运维场景做出自动化处置的特点。
自适应:指具备自动适应环境变化,动态优化处理的特点
4.2.3 信息安全管理
1 CIA 三要素
CIA三要素是保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)三个词的缩写。CIA 是系统安全设计的目标。保密性、完整性和可用性是信息安全最为关注的三个属性,因此这三个特性也经常被称为信息安全三元组,这也是信息安全通常所强调的目标。信息安全已经成为一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的综合性学科。从广义上来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可核查性的相关技术和理论都属于信息安全的研究领域。
CIA 有其局限性。CIA 关注的重心在信息,虽然这是大多数信息安全的核心要素,但对于信息系统安全而言,仅考虑 CIA 是不够的。信息安全的复杂性决定了还存在其他的重要因素CIA 给出了一个信息系统整体安全模型框架,能帮助信息化工作人员在制定安全策略时形成思路,但这并不是所有需要考虑的策略。CIA 可以作为规划、实施量化安全策略的基本原则,但是我们也应该认识到它的局限性。
2 信息安全管理体系
信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理,主要包括:
落实安全管理机构及安全管理人员,明确角色与职责,制定安全规划;
开发安全策略;
实施风险管理;
制订业务持续性计划和灾难恢复计划;
选择与实施安全措施;
保证配置、变更的正确与安全;
进行安全审计;
保证维护支持
进行监控、检查,处理安全事件;
安全意识与安全教育;
人员安全管理等。
在组织机构中应建立安全管理机构,不同安全等级的安全管理机构逐步建立自己的信息系统安全组织机构管理体系,参考步骤包括:①配备安全管理人员。管理层中应有一人分管信息系统安全工作,并为信息系统的安全管理配备专职或兼职的安全管理人员。②建立安全职能部门。建立管理信息系统安全工作的职能部门,或者明确设置一个职能部门监管信息安全工作,作为该部门的关键职责之一。③成立安全领导小组。在管理层成立信息系统安全管理委员会或信息系统安全领导小组,对覆盖全国或跨地区的组织机构,应在总部和下级单位建立各级信息系统安全领导小组,在基层至少要有一位专职的安全管理人员负责信息系统安全工作。④主要负责人出任领导。由组织机构的主要负责人出任信息系统安全领导小组负责人。⑤建立信息安全保密管理部门。建立信息系统安全保密监督管理的职能部门,或对原有保密部门明确信息安全保密管理责任,加强对信息系统安全管理重要过程和管理人员的保密监督管理。
3 网络安全等级保护
1)安全保护等级划分
GB/T 22240《信息安全技术 网络安全等级保护定级指南》定义了等级保护对象,为网络安全等级保护工作直接作用的对象,主要包括信息系统、通信网络设施和数据资源等。根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:
第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益;
第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益产生严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;
第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;
第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;
第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。
2)安全保护 能力 等级划分
GB/T 22239《信息安全技术 网络安全等级保护基本要求》规定了不同级别的等级保护对象应具备的基本安全保护能力。
第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。
第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。
第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。
第五级安全保护能力:略。
4.3本章练习
1选择题
____不属于信息系统架构模式。A集中式架构B分布式架构C企业信息化架构D面向服务的架构参考答案:C
____不属于IT运维能力的关键指标。A人员B技术C过程D问题参考答案:D
____不属于信息系统咨询设计的范畴。A战略咨询B技术咨询C管理咨询D财务咨询参考答案:D
智能运维场景实现的关键审核要点应围绕___。A质量可靠、安全可控、效率提升、成本降低的四个运维目标B场景分析、场景构建、场景交付、效果评估四个关键过程C数据管理、分析决策、自动控制三个能力域D能感知、会描述、自学习、会诊断、可决策、自执行、自适应七个特征参考答案:B
就是确保所传输的数据只被其预定的接收者读取。A.保密性B.可靠性C.可用性D完整性参考答案:A
___不属于服务质量构成的因素。A服务生产质量B服务要素质量C服务生产质量D服务感知质量参考答案:D
2思考题
(1)请给出信息系统规划的战略三角关系,并阐述信息系统战略应如何与业务和组织战略保持一致?
信息系统规划的战略三角关系包括组织战略、业务战略和信息系统战略三方面。
这三者之间的关系是相互联系的,组织战略和业务战略是信息系统战略的基础,而信息系统战略则是组织战略和业务战略的实现手段。因此,要使信息系统战略与业务和组织战略保持一致,就必须确保信息系统战略的有效实施,并且在实施过程中不断根据组织战略和业务战略的变化进行相应的调整。另外,还需要建立一套有效的管理机制,确保信息系统战略的落实情况及时反馈给组织战略和业务战略,以保证三者之间的一致性。
(2)请详细阐述运维能力模型的主要内容
运维能力模型是一种系统框架,它把运维能力分解为四个主要维度,即管理、技术、组织和过程。
管理维度包括规划、组织、控制、监督、资源分配等;
技术维度包括技术知识、技能、技能应用等;
组织维度包括组织文化、团队合作、团队沟通等;
过程维度包括流程设计、流程实施、流程改进等。
运维能力模型把运维能力构成四个维度,以更清晰、更系统的方式来描述运维能力,以便更好地分析、评估和改进运维能力。
(3)请阐述一下IT 服务管理的主要活动,及这些活动的主要管理要点。
IT 服务管理是一项全面的活动,旨在提供高质量的IT 服务,以满足客户的需求。它主要涉及以下七个活动:服务策划、服务设计、服务实施、服务改进、服务监控、服务支持和服务维护。
服务策划:主要管理要点是确定客户需求,制定服务策略,确定服务结构和服务水平;
服务设计:主要管理要点是识别服务需求,制定服务设计规范,定义服务流程,建立服务模型;
服务实施:主要管理要点是按照服务设计规范实施服务,控制服务质量,提供服务支持;
服务改进:主要管理要点是分析服务现状,改进服务质量,实施服务改进计划;
服务监控:主要管理要点是监控服务质量,实施服务监控,评估服务效果;
服务支持:主要管理要点是提供服务咨询,提供服务支持,提供服务培训;
服务维护:主要管理要点是实施服务维护,确保服务可用性,实施服务更新。
总之,IT 服务管理的主要活动包括服务策划、服务设计、服务实施、服务改进、服务监控、服务支持和服务维护,而这些活动的管理要点分别为:确定客户需求、制定服务策略、识别服务需求、按照服务设计规范实施。