信息系统项目管理师第四版知识摘编:第4章 信息系统管理
信息系统项目管理师第四版知识摘编:第4章 信息系统管理
发布日期:2023-03-29 14:11:04  
作者:互联网
第4章 信息系统管理
基于智能、网络和大数据的新经济业态正在形成,从“数字融合”向“数字原生”的发展是这个时期的主要特征,表现为信息技术和工业制造深度融合、人和机器的融合、信息资源和材料资源的融合等,进而基于这种深度触合所构造的数字化新世界,将引发社会各个领域为完全适应数字世界而产生各种数字原生发展模式。这个进程是一场比过往的工业化和信息化更加广泛的社会变革。支撑这场变革的重要基础,是不断与社会发展各方面深度融合的信息系统,只有对信息系统实施有效管理,才能承担变革赋予的重任。
4.1 管理方法
4.1.1 管理基础
1 层次结构
信息系统是对信息进行采集、处理、存储、管理和检索,形成组织中的信息流动和处理,必要时能向有关入员提供有用信息的系统。它是由人、技术、流程和数据资源组成的人机系统,目的是及时、正确地收集、加工、存储、传递和提供信息,以实现组织中各项活动的管理、调节和控制。
在信息系统层次架构中,信息系统之上是管理,它监督系统的设计和结构,并监控其整体性能。同时,组织管理层制定信息系统层应满足的业务需求和业务战略。信息系统层次架构提供了一个蓝图,可以将业务和系统策略转换为组件或基础架构,并以恰当的人员、技术、流程和数据组合加以实现。
编辑
2 系统管理
信息系统管理覆盖四大领域:
规划和组织:针对信息系统的整体组织、战略和支持活动。
设计和实施:针对信息系统觥决方案的定义、采购和实施,以及他们与业务流程的整合。
运维和服务:针对信息系统服务的运行交付和支待,包括安全。
优化和持续改进:针对信息系统的性能监控及内部性能目标、内部控制目标和外部要求的一致性管理。
4.1.2 规划和组织
信息系统的规划和组织需要根据组织的发展目标和其他相关因素规划信息系统的战略、组成、建设、运行和运营等。目标是通过实施具备一致性的管理方法,满足业务对信息系统的管理需求。规划和组织的相关内容涵盖信息系统管理所需的所有组件。
规划模型
战略是实现目标、意图和目的的一组协调行动。
编辑
成功的组织压倒一切的业务战略,可以推动组织机制和信息系统的有机融合。信息系统战略本身可以影响并受到组织业务和组织机制战略变化的影响。信息系统战略总是涉及业务和组织机制战略造成的影响。
2 组织模型
实现三种战略的协同,达成三种战略的一致性代表实现了三角之间的平衡,在一致性基础上,可以向同步与融合方向发展。通过同步,技术不仅可以支撑实现当前的业务战 略,还可以预测和塑造未来的业务战略。而劭合更进一步,业务战略和信息战略交织在一起,管理团队成员甚至可以互换运作。
业务战略。阐明了组织寻求的业务目标以及期望如何达成的路径。描述业务战略的经典框架是迈克尔·波特 (M/chael E. Porter, 1947一)提出的竞争力优势模型。
编辑
当组织的目标是成为市场上成本最低的生产者时,总成本领先战略就会产生。采用该战略的组织通过最大限度地降低成本,从而获得高于平均水平的绩效。
采用差异性战略时,组织通过差异化,以一种在市场上显得独特的方式,定义其产品或服务。
采用专注化战略时,专注化允许组织将其范围限制在更狭窄的细分市场,并为该组客户对象证身定制其产品。该策略有两种变体: 专注成本,在其细分市场内寻求成本优势;专注差异化,寻求细分市场内的产品或服务的差异化。
组织机制战略。包括组织的设计以及为定义、设置、协调和控制其工作流程而做出的选择。理解组织设计的经典框架是哈罗德·莱维特 (Harold J. LeavITt, 1922一2007) 提出的钻石模型。
编辑
新时代的组织,其组织机制战略的成功执行包括组织、控制和文化的变量的最佳组合。组织变量包括决策权、业务流程、正式报告关系和非正式沟通网络。控制变量包括数据的可得性、规划的性质和质量、业绩计量和评价制度的有效性以及做好工作的激励措施。文化变量构成组织的价值观。这些组织、控制和文化的变笸是决策者用来影响组织变革的管理杠杆。组织管理人员应具备一套框架,用于评估组织设计的各个方面。使用这些框架,管理人员可以审查当前的组织,并评估哪些组件可能缺失以及未来有哪些可用的选项。基于此框架,管理人员应回答如下问题:组织内有哪些重要的结构和报告关系;谁拥有关键决策的决策权; 什么是重要的以人为本的网络(社交和信息网络),如何利用它们来更好地完成工作;组织内人员的特征、经验和技能水平是什么; 关键业务流程是什么; 有哪些控制系统(管理和测量系统)到位; 组织的文化、价值观和信仰是什么。
信息系统战略。信息系统战略是组织用来提供信息服务的计划,支撑组织实施其业务战略。业务 战略是关于竞争(服务对象想要什么,竞争做什么),定位(组织想以什么方式竞争)和能力 (公司能做什么)的功能。信息系统帮助确定组织的能力。
编辑切换为居中
4.1.3 设计和实施
开展信息系统设计和实施,首先需要将业务需求转换为信息系统架构,信息系统架构为将组织业务战略转换为信息系统的计划提供了蓝图。信息系统是支待组织中信息流动和处理的所有基础,包括硬件、软件、数据和网络组件,并以最适合计划的方式进行选择和组装,因此最体现组织总体业务战略。
1 设计方法
大量的可选信息技术,加上技术快速进步,使得组织完成信息系统的设计似乎成为“不可完成的任务”。这就需要组织首先将业务战略转化为信息系统架构,然后将该架构转化为信息系统设计。
编辑切换为居中
从战略到系统架构。组织必须从业务战略开始,使用该战略制定更具体的目标。然后从每个目标派生出详细的业务篇求。组织需要与架构设计人员合作,将这些业务孟求转换为构成信息系统架构的系统要求、标准和流程的更详细视图。这个更详细的视图,即信息系统架构要求,包括考虑数据和流程需求以及安全目标等事项。组织还可以向架构设计人员消楚地了解信息系统必须完成的工作以及确保其顺利开发、实施和使用所需的治理安排。治理安排指定组织中哪个人保留对信息系统的控制权和责任。
从系统架构到系统设计。将信息系统架构转换为系统设计时,需要继承信息系统架构并添加更多细节,包括实际的 硬件、数据、网络和软件。进而扩展到数据的位置和访问过程、防火瑞的位覃、链路规范、互 联设计等。信息系统架构被转换为功能规格。功能规格可以分为硬件规格、软件规格、存储规 格、接口规格、网络规格等。然后决定如何实现这些规范,并礼信息系统基础架构中使用什么 硬件、软件、存储、接口、网络等。信息系统指的不仅仅是组件,这些组件必须根据设计蓝图进行组装,硬件、软件、数据和 网络必须以一致的模式组合在一起,才能拥有可行的信息系统。信息系统具有多个级别: CD全局级别可能侧重于整个组织,并构成整个组织的信息环境; @组织间级别信息系统则为跨组织 边界的服务对象、供应商或其他利益干系入的沟通交流奠定基础; @应用级信息系统是在考虑 特定业务应用时,通常重点考虑的数据库和程序组件,以及它们运行的设备和操作环境。
转换框架。转换框架将业务战略转化为信息系统架构进而转变为信息系统设计,转换框架提出了三类 问题:内容、人员和位置,需要为每个信息系统组件回答这些问题。”内容”相关问题是最常被 问到的,需要回答组件是什么,并确定特定类型的技术等。”人员”相关问题旨在了解相关组件 涉及哪些个人、团体和部门。例如,在大多数情况下,单个用户并非系统的所有者;在另外悄 况下,系统也可能由组织租赁,而不是拥有,这样系统的所有者就成为了组织的外部一方。第 三类问题涉及“何处",随着网络的激增,许多信息系统的设计和构建可能跨越多个位置使用组 件,了解信息系统意味着需要了解所有内容各自的位置。
编辑切换为居中
2 架构模式
备份数据是现场存 储还是易地存储 存放于自己的传统上,信息系统体系架构有三种常见模式(见表 4-3): 有内容采用集中建设、支待和管理的模式,其主体系统通常部署于数据中心,以消除管理物理 分离的基础设施带来的困难。@分布式架构。硬件、软件、网络和数据的部署方式是在多台小 型计算机、服务器和设备之间分配处理能力和应用功能,这些设施严重依赖于网络将它们连接 在一起。@面向服务的系统架构 CSet-vc/e-Or/ented ArchITecture, SOA)。 SOA架构中使用的软 件通常被引向软件即服务 (Software-as-a-Serv/ce, Saas) 的相关架构,同时,这些应用程序在 通过互联网交付时也被称为 Web 服务。
编辑切换为居中
组织在考虑共中式与分布式架构决策时,必须注意权衡与取舍。例如,分布式架构比块中式架构更加校块化,允许相对容易地添加其他服务器,并能为特定用户添加具有特定功能的客 户端,从而提供更大的灵活性和多中心化的组织治理机制,这布可能令架构决策与组织治理目 标更协调。相比之下,媒中式体系架构在某些方面史易干管理,因为所有功能都从中在主机或 小型机中,而不是分布在所有设备和服务器中。实中式架构往往史适合具有高度媒中式治理的 组织。而 SOA 则越来越受欢迎,囚为该设计允许几乎完全从现有的软件服务组件构建大型功能 单元。它对于快速构建应用程序非祁有用,因为它为管理人员提供了橾块化和组件化设计,是 一种更易于变更的构建应用程序的方法。
4.1.4 运维和服务
信息系统的运维和服务应从信息系统运行的视角进行整合件的统纷规划,包括对信息系统、 应用程 1-/1和基础设施的口常控制进行综合管理,以行效支持组织目标达成和流程实现。信息系 统的运维和服务由各类管理活动组成,主要包括:运行管理和控制、 IT服务耸理、运行与监控、 终端侧笝理、程序库眢理、安全管理、介质控制和数据管理等。
1 运行管理和控制
IT 团队发生的所有活动都应受到管理和控制。这意味着橾作人员执行的所有橾作和活动, 都应是由管理层批准的控什、过程和项目的一部分。过程和项目应具有足够的记录保存,以便 管理层能够了解这些活动的状态。管理层鼓终负员信息系统运行凶队发生的所有活动。管理信息系统运行的控制主要活动包括:
过程开发:操作人员执行的重复件活动应以过程的形式记录下来,需要开发、市查和批准描述每个过程及其每个步骤的相关文档,并将其提供给运营人员。
标准制定:从运行执行任务的方式到所使用的技术,采用标准化定义和约束,从而有效推动信息系统运行相关工作的一致性。
资源分配:管理层分配支待信息系统运行的各项能力,包括人力、技术和资源。资源分配应与组织的使命、目标和目的保待一致。
过程管理:应测量和管理所有信息系统运行的相关过程,确保过程在时间上和预算目标
内被正确和准确地执行。
2. IT服务管理
IT服务管理是通过主动管理和流程的持续改进来确保 IT服务交付有效且高效的一组活动。IT 服务管理由若干不同的活动组成:服务台、事件管理、问题管理、变更管理、配置管理、发布管理、服务级别管理、财务管理、容楹管理、服务连续性管理和可用性管理。
服务台。服务台(Serv/ceDesk)是服务中与服务干系人沟通和交互的重要界面,负责对服务干系人遇到的问题和需求进行响应和处理;服务台是IT服务干系人的“官方“接口和信息发布点,组织内部各个团队之间相互协作的纽带和协调者。
事件管理。事件是IT服务管理遭遇计划外中断或服务质量出现下降,以及尚未影响服务的配置项故障。组织应该建立与事件管理过程一·致的流程,流程包括:事件受理、分类和初步支待、调查和诊断、解决、进展监控与跟踪、关闭等活动。
问题管理。当发生了几个看起来具有相同或相似根本原因的事件时,就会启动问题管理活动。问题管理的总体目标是减少事件的数量和严重性,既包括发生事件后的被动性措施,也包括采取主动措施。当确定问题的根本原因时,应制定变更管理和配置管理以进行临时或永久修复。
变更管理。变更管理的目标是确保使用标准化的力法和程序来高效、及时地处理所有更改,以最大限度地减少与变更相关的事件对服务质整造成的影响,从而改善组织的日常运行。
配置管理。配置管理的核心工作是识别、记录、控制、更新配置项信息,主要包含配置管理数据库(Conf/gurat/on Management Databases, CMDB)的建立以及配置管理数据库准确性的维护。配置管理数据库可用于故障定位、问题分析、变更影响度分析、故障分析等,其与真实环境的匹配度和详细度非常重要。
发布管理。发布管理通过实施合理的工作程序和严格的监控,保护现有的运营环境和服务不受冲击,负资对软件、硬件、体系发布进行计划、设计、生成、配置和检测,影响范围可能涉及现有的信息系统及其环境、IT用户和组织各分支机构等。
服务级别管理。服务级别管理就是对IT服务的级别进行定义、记录和管理,并在可接受的成本之下与干系人达成一致的管理过程,通过服务水平协议(Serv/ce Level Agreement, SLA)、服务绩效监控和报告的不断循环,持续维护和改进服务质量。服务目录是建立服务干系人预期的关键文件。
财务管理。负责对IT服务运作过程中所有资源进行财务管理的流程,主要活动包括:预算编制、设备投资、费用管理、项目会计和项目投资回报率(Return On/nvestment, RO/)管理等。
容量管理。用于确认信息系统中有足够的容量满足服务需求。容盘管理不仅仅关注当前需求,还必须考虑未来的需求。容蜇管理主要活动包括:定期测量、计划变更、战略优化和技术变化等。容呈管理由三个子过程组成:业务容量管理、服务容量管理、资源容量管理。
服务连续性管理。主要是在发生自然或人为灾难时继续保持服务有效性的活动,分为服务连续性管理的治理、业务影响分析、制订和维护服务连续性计划、、测试服务连续性计划、响应与恢复五个过程。
可用性管理。可用性管理是有关设计、实施、监控、评价和报告IT服务的可用性以确保持续地满足服务干系人的可用性需求的服务管理流程。可用性是指一个组件或一种服务在设定的某个时刻或某段时间内发挥其应有功能的能力,即在约定的服务时段内,IT服务实际能够使用的服务的时间比例。
3.运行与监控
有效的IT运行要求IT人员按照既定流程和过程理解并正确执行任务。同时,IT运行还强调对人员进行培训,以有效识别异常和错误,并做出正确反应。IT运行的任务常包括:1.按照计划执行作业;2.监控作业,并按照优先级为作业分配资源;3.重新启动失败的作业和进程;4.通过加载或变更备份介质,或通过确保目标的存储系统就绪来优化备份作业;5.监控信息系统、应用程序和网络的可用性,保证这些系统具备足够的性能;6.实施空闲期的维护活动,如设备清洁和系统重启等。
IT组织通常制订工作计划,安排定期(每天、每周、每月、每季度等)执行的活动或任务。计划内的活动包括系统承载的活动(如备份)以及入工执行的活动(如访问评审、对账和月末结算)。系统中的计划内活动可以自动或手动调度。大型组织可能具备网络运营中心,也可能具备安全运营中心,这些中心由负责监控相关安全设备、网络、系统和应用程序中的活动的入员组成。在IT运行环境中发生的异常和错误,通常按照IT服务管理体系中的事件管理和问题管理流程进行处理。
运行监控IT团队应对信息系统、应用程序和基础设施进行监控,以确保它们继续按要求运行。监控工具和系统使IT运行人员能够检测软件或硬件组件何时未按计划运行等。检测和报告的错误类型包括:系统错误、程序错误、通信错误和操作员错误等。IT团队应记录任何意外或异常活动的事件,并基于流程对事件进行管理。
安全监控
组织需要执行不同类型的安全监控,并把安全监控作为其整体策略的一部分,以预防和响应安全事件。组织可能执行的监控类型包括;防火墙策略规则中的例外情况、入侵防御系统的告警、数据丢失防护系统的告警、云安全访问代理的告密、用户访问管理系统的告警、网络异常的告警、网页内容过滤系统的告警、终端管理系统的告警(含反恶意软件)、供应商发布的安全公告、第三方发布的安全公告、威胁情报咨询、门禁系统的告警和视频监控系统的告警等。
4.终端侧管理
一般来说,最终用户计算机是“锁定”的,这限制了最终用户可能在其设备上执行的配置更改的数量和类型,包括操作系统配置、补丁安装、软件程序安装、使用外部数据存储设备等,最终用户可能会将此类限制视为不便。但是,这些限制不仅有助于确保最终用户的设备和整个组织的IT环境具有更高的安全性,而且还促进了更高的一致性,从而降低了支持成本。
5程序库管理
程序库是组织用来存储和管理应用程序源代码和目标代码的工具。应用程序源代码应被视为信息,并通过组织的安全策略和数据分类策略进行管理。程序库的控制使组织能够对其应用程序的完整性、质耸和安全性进行高度控制。程序库通常作为具有用户界面和多种功能的信息系统存在,其中主要功能包括·访问控制、程序签出、程序签入、版本控制和代码分析等。
6.安全管理
信息安全管理可确保组织的信息安全计划充分识别和解决风险,并在整个运维和服务过程中正常运行。
7介质控制
处置不再需要的介质相关的程序,包括擦除该介质上的数据或使该介质上的数据无法以其他方式恢复的所有相关步骤。组织应考虑包含在介质管理、销毁策略和程序范围内的介质主要包括:备份介质、虚拟磁带库、光学介质、硬盘驱动器、固态驱动器、闪存、硬拷贝等。介质清理的策略和程序需要包含在服务商提供的相关要求中,以及记录保存活动以跟踪介质随时间推移的销毁悄况。
8.数据管理
数据管理是与数据的获取、处理、存储、使用和处置相关的一组活动。
4.1.5优化和持纹改进
优化和持续改进是信息系统管理活动中的一个环节,良好的优化和持续改进管理活动能够有效保降信息系统的性能和可用性等,延长整体系统的有效使用周期。传统上,优化和持续改进常用的方法为戟明环,即POCA循环。POCA循环是将待续改进分为四个阶段,即Plan(计划)、Do(执行)、Check(检查)和Act(处理)。
优化和持续改进基于有效的变更管理,使用六西格玛倡导的五阶段方法DMATC/DMADV,是对戴明环四阶段周期的延伸,包括:定义(Def/ne)、度量(Measure)、分析(Analys/s)、改进/设计(/mprove/Des/gn)、控制/验证(Control/Ver/fy)。当第四阶段的”改进”替换为“设计”,“控制”替换为“验证”时,五阶段法就从DMA/C转变为DMADV。
1.定义阶段
定义阶段的目标包括待优化信息系统定义、核心流程定义和团队组建。
待优化信息系统定义。该活动关注定义协同的范围、优化目标和目的、系统团队成员和出资人,以及优化时间表和交付成果。待优化信息系统范围与关键业务实践、服务对象交互有关,该定义需要了解信息系统相关的业务。可使用“延伸目标”概念来定义待优化的信息系统。
核心流程定义。该活动关注定义利益干系人、投入和产出以及广泛的功能。S/POC(Suppl/er、/nput、Process、Output、Customer)分析是定义核心流程视图的首选工具。任何一个组织都是一个由提供人、输入、流程、输出,还有服务对象这样相互关联、互动的5个部分组成的系统。
团队组建。该活动重点关注从关键利益干系人群体中确定人员组建高能力团队,对信息系统的问题和收益达成共识。有效的团队形成对于建立利益干系入的支待至关重要。从每个关键利益干系人群体中选出可靠的团队成员,以代表他们在优化和待续改进中的职能或领域。有效的团队通常限制为5~7名参与者。
2.度量阶段
度量阶段目标包括流程定义、指标定义、流程基线和度矗系统分析。
流程定义。流程定义通常使用流程图工具定义度量阶段的流程,以图形方式实现给定信息系统的输入、操作和输出。
指标定义。正确选择的指标将为基于数据的决策提供输入,并将成为用于描述信息系统状态的标准化和数据化的语言。
流程基线。当系统处于控制优化状态时,可以统计其系统能力,将统计出的系统变异与明确的服务对象要求进行比较。只有在使用基线浩晰描述了系统稳定性之后,才能评估系统变异,只有稳定的系统才能预测。当系统指标数据不稳定或不在控制优化中时,可以使用系统性能指标作为粗略估计,将给定周期内观察的系统变化与服务对象要求进行比较。
度量系统分析。一个良好的度量系统具备特性可包括:
准确:应该产生一个“接近”被测筑的实际属性的数值。
可重复:如果测量系统反复应用于同一物体,则产生的测量价值应彼此接近。
线性:测量系统应能够在整个关注范围内产生准确和一致的结果。
可重现:当任何经过适当培训的个人使用时,测量系统应产生相同的结果。
稳定:应用于相同的项目时,测量系统将来应产生与过去相同的结果。
3.分析阶段
分析阶段的三个目标包括价值流分析、信息系统异常的源头分析和确定优化改进的驱动因素。
价值流分析。价值流分析首先定义信息系统使用者眼中相关产品或服务的价值。价俏也可以定义为:1.组织愿意投资的系统组件;2.改变信息系统形式、适合度或功能的活动;3.将业务输入经信息系统转换为输出的活动。
信息系统异常的源头分析。当系统失控时,则必须解决并消除在特定时间段内造成不稳定情况的特殊原因,业新获得稳定的过程,然后可以进行改进。在业务层面,可以分析服务对象数据,以建立服务对象满意度与用于支撑服务对象体验的信息系统组件之间的关系。
确定优化改进的驱动因素。信息系统改进需要减少其系统或组件的异常,或者将系统衡量的中位线移动到更有利的设置。可以使用一些数学分析方法,包括相关性与回归分析、最小二乘拟合和残差分析等。
4.改进/设计阶段
改进/设计阶段的日标包括:1.向发起人提出一个或多个解决方案;2.量化每种方法的收益;就解决方案达成共识并实施。3.定义新的操作/设计条件。4.为新工艺/设计提供定义和缓解故障模式。
改进/设计的解决方案推进。改进/设计阶段解决方案的部署可以缩小信息系统当前状态与所需状态之间的差距。实施的方法也必须在此阶段进行验证,以确保达到并保证预期的效果。
定义新的操作/设计条件。定义阶段中引入的核心流程可用于开发新流程,还可以进行其他实验设计,以确定新信息系统或新系统中新的功能和设计所需的砓佳操作条件,以最大或最小化响应。
定义和缓解故障模式。了解信息系统的故陷模式使组织能够定义不同故陷的缓解策略,以最大限度地减少故陷的影响或发生。
5控制/验证阶段
控制/验证阶段的目标包括标准化新程序/新系统功能的操作控制要索、持续验证优化的估息系统的可交付成果、记录经验教训。
标准化新程/新系统功能的操作控制要素。当信息系统得到改进,组织需要更好地控制系统,保持进一步改进的能力。管理者必须对改进形成的新方法、新系统运行进行标准化,以维待改进带来的效益。
持续验证优化的信息系统的可交付成果。组织应当将变更的系统组件信息、信息系统状态趋势等内容,对受影响的人员开展培训。当这些人员不仅了解信息系统如何变化,还应了解其产生的原因,以及可能会在未来找到进一步改进的方法。
记录经验教训。随着项目小组完成其活动,必须最终确定和保留项目文档。
4.2管理要点
信息系统管理涉及系统准备、设计、实施、运行等活动的众多方面,管理重点范围和细致程度随各组织的战略和业务目标的不同而存在差异。从日常管理活动视角来看,各组织关注的管理内容主要聚焦在数据管理、运维管理和信息安全管理等方面的体系化管理。
4.2.1数据管理
在通常情况下,数据管理是指通过规划、控制与提供数据和信息资产的职能,包括开发、执行和监督有关数据的计划、策略、方案、项目、流程、方法和程序,以获取、控制、保护、交付和提高数据和信息资产价值。国际数据管理协会(DAMA)指出,数据资源管理致力于发展和处理组织数据全生命周期的适当的构建、策略、实践和程序。数据管理框架是对组织的管理平台或者能够产生业务数据的平台产生的数据进行统一的跟踪、协调、管理的功能模型。
数据管理能力成熟度评估模型(Data Management Capability Maturity Assessment Model, DCMM)是国家标准GB/T 36073《数据管理能力成熟度评估模型》中提出的,旨在帮助组织利用先进的数据管理理念和方法,建立和评价自身数据管理能力,持续完善数据管理组织、程序和制度,充分发挥数据在促进组织向信息化、数字化、智能化发展方面的价值。
编辑
DCMM定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期8个核心能力域。
1数据战略
组织的数据战略能力域通常包括数据战略规划、数据战略实施和数据战略评估三个能力项。
数据战略规划。数据战略规划是在组织所有利益相关者之间达成共识的结果。从宏观及微观两个层面确定开展数据管理及应用的动因,并综合反映数据提供方和消费方的需求。主要活动和工作要点包括:
识别利益相关者:明确利益相关者的需求。
数据战略需求评估:组织对业务和信息化现状进行评估,了解业务和信息化对数据的需求。
数据战略制定:主要包括1.愿景陈述,其中包含数据行理原则、目的和目标;2.规划范范围,其中包含重要业务领域、数据范闱和数据处理优先权;3.所选择的数据管理模型和建设方法;4.当前数据符理存在的上要差距;5.管理层及其责任,以及利益相关者名单;6.编制数据符理规划的管理方法:7.持续优化路线图。
数据战略发布:以文件、网站、邮件等方式正式发布审批后的数据战略。
数据战略修订:根狱业务战略、信息化发展等方面的要求,定期进行数据战略的修订。
(2)数据战略实施。数据战略实施是组织完成数据战略规划后,逐渐实现数据职能框架的过程。实施过程中依据组织数钢管理和数据应用的现状,确定与愿景、目标之间的差距;依据数据职能框架制定阶段性数据任务目标,并确定实施步骤。数据战略实施主要活动和工作要点包括:
评估准则:建立数据战略规划实施评估标准,规范评估过程和方法。
现状评估:对组织当前数据战略落实情况进行分析,评估各项作开展情况。
评估差距:根据现状评估结果与组织数据战略规划进行对比,分析存在的差异。
实施路径:利益相关者结合组织的共同目标和实际业务价值进行数据职能任务优先级排序。
保障计划:依据实施路径,制定各项活动所盆的预贺。
任务实施:根据任务开展工作。
过程监控:依据实施路径,及时对实施过程进行监控。
(3)数据战略评估。组织在数据战略评估过程中需要建立对应的业务案例和投资模型,并在整个数据战略实施过程中跟踪进度,同时做好记录供审计和评估使用。数据战略评估主要活动和工作重点包括:
建立任务效益评估模型:从时间、成本、效益等方面建立数据战略相关任务的效益评估模型。
建立业务案例:建立基本的用例模型、项目计划、初始风险评估和项目描述,能确定数据管理和数据应用相关任务(项目)的范围、活动、期望的价值以及合理的成本收益分析。
建立投资模型:投资模型要满足不同业务的信息科技需求以及对应的数据职能内容,同时要广泛沟通以保障对业务或技术的前瞻性支待,并符合相关的监管及合规性要求。
阶段评估:定期从业务价值、经济效益等维度对已取得的成果进行效益评估。
2数据治理
组织的数据治理能力域通常包括数据治理组织、数据制度建设和数据治理沟通三个能力项。
数据治理组织。数据治理组织需要包括组织架构、岗位设置、团队建设、数据责任等内容。数据治理组织对组织在数据管理和数据应用行使职责规划和控制,并指导各项数据职能的执行。
建立数据治理组织:建立数据体系配套的权贵明确且内部沟通顺畅的组织,确保数据战略的实施。
岗位设置:建立数据治理所需的岗位,明确岗位的职责、任职要求等。
团队建设:制订团队培训、能力提升计划,通过引入内部、外部资源定期开展人员培训,提升团队人员的数据治理技能。
数据归口管理:明确数据所有人、管理人等相关角色以及数据的归口的具体管理人员
建立绩效评价体系:根据团队人员职责、管理数据范围的划分,制定相关人员的绩效考核体系。
(2)数据制度建设。为保障数据管理和数据应用各项功能的规范化运行,组织需要建立对应的制度体系。数据制度体系通常分层次设计,遵循严格的发布流程并定期检查和更新。
制定数据制度框架:根据数据职能的层次和授权决策次序,数据制度框架可分为策略、办法、细则三个层次。
整理数据制度内容:数据管理策略与数据管理办法、数据管理细则共同构成组织数据制度体系,其基本内容包括:1.数据策略说明数据管理和数据应用的目的,明确其组织与范围;2.数据管理办法是为数据管理和数据应用各领域内活动开展而规定的相关规则和流程;3.数据管理细则是为确保各数据方法执行落实而制定的相关文件。
数据制度发布:组织内部通过文件、邮件等形式发布审批通过的数据制度。
数据制度宣贯:定期开展数据制度相关的培训与宣传工作。·数据制度实施:结合数据治理组织的设置,推动数据制度的落地实施。
(3)数据治理沟通。数据治理沟通旨在确保组织内全部利益相关者都能及时了解相关策略、标准、流程、角色、职责、计划的最新悄况,开展数据管理和应用相关的培训,掌握数据管理相关的知识和技能。
沟通路径:明确数据管理和应用的利益相关者,分析各方的诉求,了解沟通的重点内容。
沟通计划:建立定期或不定期沟通计划,并在利益相关者之间达成共识。
沟通执行:按照沟通计划安排实施具体沟通活动,同时对沟通悄况记录。
问题协商机制:包括引入高层管理者等方式,以解决分歧。
建立沟通渠道在组织内部明确沟通的主要渠道,例如邮件、文件、网站、自媒体、研讨会等。
制订培训宣贯计划:根据组织人员和业务发展需要,制订相关的培训宣贯计划。
开展培训:根据培训计划的要求,定期开展相关培训。
3.数据架构
组织的数据架构能力域通常包括数据模型、数据分布、数据集成与共享和元数据管理四个能力项。
数据模型。数据模型是使用结构化的语言将收集到的组织业务运行、管理和决策中使用的数据需求进行综合分析,按照模型设计规范将需求重新组织。
收集和理解组织的数据彻求:包括收块和分析组织应用系统的数据需求和实现组织的战略,满足内外部监管,与外部组织互联互通等的数据需求等。
制定模型规范:包括模型的管理工具、命名规范、常用术语以及管理方法等。
开发数据模型:包括升发设计组织级数据模型、系统应用级数据模型。
数据模型应用:根据组织级数据模型的开发,指导和规范系统应用级数据模型的建设。
符合性检查:检查组织级数据模型和系统应用级数据模型的一致性。
模型变更管理:根据需求变化实时地对数据模型进行维护。
(2)数据分布。数据分布职能域是针对组织级数据模型中数据的定义,明确数据在系统、组织和流程等方面的分布关系,定义数据类型,明确权威数据源,为数据相关工作提供参考和规范。
数据现状梳理:对应用系统中的数据进行梳理,了解数据的作用,明确存在的数据问题。
识别数据类型:将组织内的数据根据其特征分类管理,一般类型包括主数据、参考数据、交易数据、统计分析数据、文档数据、元数据等类型。
数据分布关系梳理:根据组织级数据模型的定义,结合业务流程梳理的成果,定义组织中数据和流程、数据和组织机构、数据和系统的分布关系。
梳理数据的权威数据源:对每类数据明确相对合理的唯一信息采集和存储系统。
数据分布关系的应用:根据数据分布关系的梳理,对组织数据相关工作进行规范,包括定义数据工作优先级、优化数据集成等。
数据分布关系的维护和管理:根据组织中业务流程和系统建设的情况,定期维护和更新组织中的数据分布关系,保持及时性。
(3)数据集成与共享。数据集成与共享职能域是建立起组织内各应用系统、各部门之间的媒成共享机制,通过组织内部数据梊成共享相关制度、标准、技术等方面的管理,促进组织内部数据的互联互通。
建立数据集成共享制度:指明数据集成共享的原则、方式和方法。
形成数据集成共享标准:依据数据集成共享方式不同,制定不同的数据交换标准。
建立数据集成共享环境:将组织内多种类型的数据整合在一起。
建立对新建系统的数据集成方式的检查。
(4)元数据管理。元数据管理是关于元数据的创建、存储、整合与控制等一整套流程的集合。
元模型管理:对包含描述元数据属性定义的元模型进行分类并定义每一类元模型,元模型可采用或参考相关国家标准。
元数据集成和变更:基于元模型对元数据进行收集,对不同类型、不同来源的元数据进行集成,形成对数据描述的统一视图,并基于规范的流程对数据的变更进行及时更新和管理。
元数据应用:基于数据管理和数据应用需求,对于组织管理的各类元数据进行分析应用,如查询、血缘分析、影响分析、符合性分析、质量分析等。
4.数据应用
数据应用能力域通常包括数据分析、数据开放共享和数据服务三个能力项。
数据分析。数据分析是对组织各项经营管理活动提供数据决策支待而进行的组织内外部数据分析或挖掘建模,以及对应成果的交付运营、评估推广等活动。
常规报表分析:按照规定的格式对数据进行统一的组织、加工和展示。
多维分析:各分类之间的数据度盘之间的关系,从而找出同类性质的统计项之间数学上的联系。
动态预警:基于一定的算法、模型对数据进行实时监测,并根据预设的阅值进行预警。
趋势预报:根据客观对象已知的信息对事物在将来的某些特征、发展状况的一种估计、测算活动。
(2)数据开放共享。数据开放共享是指按照统一的管理策略对组织内容的数据进行有选择的对外开放,同时按照管理策略引入外部数据供组织内部使用。
梳理开放共享数据:组织需要对其开放共享的数据进行全面的梳理,建立清晰开放共享数据目录。
制定外部数据资源目录:对组织需要的外部数据进行统一梳理,建立数据目录,方便内部用户查询。
建立统一的数据开放共享策略:包括安全、质量等内容。
数据提供方管理:建立对外数据使用策略、数据提供方服务规范等。
数据开放:组织可通过各种方式对外开放数据,并保证开放数据的质量。
数据获取:按照数据需求进行数据提供方的选择。
(3)数据服务。数据服务是通过对组织内外部数据的统一加工和分析,结合公众、行业和组织的需要,以数据分析结果的形式对外提供跨领域、跨行业的数据服务。
数据服务需求分析:需要有数据分析团队来分析外部的数据需求,并结合外部的需求提出数据服务目标和展现形式,形成数据服务盓求分析文档。
数据服务开发:数据开发闭队根据数据服务需求分析对数据进行汇总和加工,形成数据产品。
数据服务部署:部署数据产品,对外提供服务。
数据服务监控:能对数据服务有全面的监控和管理,实时分析数据服务状态、调用、安全情况等。
数据服务授权:对数据服务的用户进行授权,并对访问过程进行控制。
5数据安全
组织的数据安全能力域通常包括数据安全策略、数据安全管理和数据安全审计三个能力项。
数据安全策略。数据安全策略是数据安全的核心内容,在制定的过程中需要结合组织管理需求、监管桶求以及相关标准等统一制定。
了解国家、行业等监管要求,并根据组织对数据安全的业务需要,进行数据安全策略规划,建立组织的数据安全管理策略。
制定适合组织的数据安全标准,确定数据安全等级及覆盖范围等。
定义组织数据安全管理的目标、原则、管理制度、管理组织、管理流程等。
(2)数据安全管理。数据安全管理是在数据安全标准与策略的指导下,通过对数据访问的授权、分类分级的控制、监控数据的访问等进行数据安全的管理工作,实现组织内部对数据生存周期的数据安全管理。
数据安全等级的划分:根据组织数据安全标准,充分了解组织数据安全管理需求,对组织内部的数据进行等级划分并形成相关文档。
数据访问权限控制:制定数据安全管理的利益相关者消单,围绕利益相关者需求,对其数据访问、控制权限进行授权。
用户身份认证和访问行为监控:在数据访问过程中对用户身份进行认证识别,对行为记录和监控。
数据安全的保护:提供数据安全保护控制相关的措施,保证数据在应用过程中的隐私性。
数据安全风险管理:对组织已知或潜在的数据安全进行分析,制定防范措施并监督落实。
(3)数据安全审计。数据安全审计是一项控制活动,负责定期分析、验证、讨论、改进数据安全管理相关的策略、标准和活动。
过程审计:分析实施规程和实际做法,确保数据安全目标、策略、标准、指导方针和预期结果一致。
规范审计:评估现有标准和规程是否适当,是否与业务要求和技术要求相一致。
合规审计:检索和审阅组织相关监管法规要求,验证其是否符合监管法规要求。
供应商审计:评审合同、数据共享协议,确保供应商切实履行数据安全义务。
审计报告发布:向高级管理人员、数据管理专员以及其他利益相关者报告组织内的数据安全状态。
数据安全建议:提出数据安全的设计、操作和合规等方面的改进工作建议。
6数据质量
组织的数据质量能力域通常包括数据质量需求、数据质量检查、数据质量分析和数据质量提升。
数据质量需求。数据质量需求是明确数据质量目标,并根据业务需求及数据要求制定用来衡昼数据质量的规则,包括衡负数据质量的技术指标、业务指标以及相应的校验规则与方法。
定义数据质量管理目标:依据组织管理的需求,参考外部监管的要求,明确组织数据质贷管理目标。
定义数据质量评价维度:依据组织数据质量管理的目标,制定组织数据质朵评估维度,指导数据质罹评价工作的开展。
明确数据质量管理范围:依据组织业务发展的需求以及常见数据问题的分析,明确组织数据质量管理的范围,梳理各类数据的优先级以及质量需求。
设计数据质量规则:依据组织的数据质杂管理需求及目标,识别数据质证特性,定义各类数据的质量评价指标、校验规则与方法,并根据业务发展需求及数据质整检查分析结果对数据质量规则进行待续维护与更新。
(2)数据质量检查。数据质量检查是根据数据质揽规则中的有关技术指标和业务指标、校验规则与方法对组织的数据质量情况进行实时监控,从而发现数据质量问题,并向数据管理人员进行反馈。
制订数据质监检查计划:根据组织数据质量管理目标的需要,制订统一的数据质量检查计划。
数据质量情况剖析:根据计划对系统中的数据进行剖析,查看数据的侦域分布、项充率、规范性等,切实掌握数据质量实际情况。
数据质量校验:依据预先配置的规则、算法,对系统中的数据进行校验。·数据质批问题管理:包括问题记录、问题查询、问题分发和问题跟踪。
(3)数据质量分析。数据质量分析是对数据质量检查过程中发现的数据质纽问题及相关信息进行分析,找出影响数据质量的原因,并定义数据质量问题的优先级,作为数据质量提升的参考依据。
数据质量分析方法和要求:整理组织数据质量分析的常用方法,明确数据质量分析的要求。
数捩质量问题分析:深入分析数据质量问题产生的根本原因,为数据质她提升提供参考。
数据质量问题影响分析:根据数据质量问题的描述以及数据价侦链的分析,评估数据质批对于组织业务开展、应用系统运行等方面的影响,形成数据质品问题影响分析报告。
数据质证分析报告:包括对质量检查、分析等过程累积的各种信息进行汇总、梳理、统计和分析。
建立数据质量知识库:收集各类数据质量案例、经验和知识,形成组织的数据质量知识库。
(4)数据质量提升。数据质量提升是对数据质批分析的结果,制定、实施数据质量改进方案,包括错误数据更正、业务流程优化、应用系统问题修复等,并制定数据质量问题预防方案。
制定数据质量改进方案:根据数据质量分析的结果,制定数据质量提升方案。
数据质量校正:采用数据标准化、数据清洗、数据转换和数据整合等手段和技术,对不符合质量要求的数据进行处理,并纠正数据质量问题。
数据质量跟踪:记录数据质量事件的评估、初步诊断和后续行动等信息,验证质量提升的有效性。
数据质量提升:对业务流程进行优化,对系统问题进行修正,对制度和标准进行完善,防止将来同类问题的发生。
数据质量文化:通过数据质量相关培训、宣贯等活动,待续提升组织数据质最意识,建立良好的数据质揽文化。
7数据标准
组织的数据标准能力域通常包括业务术语、参考数据和主数据、数据元和指标数据四个能力项。
业务术语。业务术语是组织中业务概念的描述,包括中文名称、英文名称、术语定义等内容。业务术语数据管理就是制定统一的管理制度和流程,并对业务术语的创建、维护和发布进行统一的管理,进而推动业务术语的共享和组织内部的应用。
制定业务术语标准:同时制定业务术语管理制度,包含组织、人员职责、应用原则等。
业务术语字典:组织中已定义并审批和发布的术语集合。
业务术语发布:业务术语变更后及时进行审批并通过邮件、网站、文件等形式进行发布。
业务术语应用:在数据模型建设、数据需求描述、数据标准定义等过程中引用业务术语。
业务术语宣贯:组织内部介绍、推广已定义的业务术语。
(2)参考数据和主数据。参考数据管理是对定义的数据值域进行管理,包括标准化术语、代码值和其他唯一标识符,每个取值的业务定义,数据值域列表内部和跨不同列表之间的业务关系的控制,并对相关参考数据的一致、共享使用。主数据是组织中需要跨系统、跨部门共享的核心业务实体数据。主数据管理是对主数据标准和内容进行管理,实现主数据跨系统的一致、共享使用。
定义编码规则:定义参考数据和主数据唯一标识的生成规则。
定义数据模型:定义参考数据和主数据的组成部分及其含义。
识别数据值域:识别参考数据和主数据取值范围。
管理流程:创建参考数据和主数据管理相关流程。
建立质量规则:检查参考数据和主数据相关的业务规则和管理要求,建立参考数据和主数据相关的质量规则。
集成共享:参考数据、主数据和应用系统的集成。
(3)数据元。通过对组织中核心数据元的标准化,可以使数据的拥有者和使用者对数据有一致的理解。
建立数据元的分类和命名规则:根据组织的业务特征建立数据元的分类规则,制定数据元的命名、描述与表示规范。
建立数据元的管理规范:建立数据元管理的流程和岗位,明确管理岗位职责。
数据元的创建:建立数据元的创建方法,进行数据元的识别和创建。
建立数据元的统一目录:根据数据元的分类及业务管理需求,建立数据元管理的目录,对组织内部的数据元分类存储。
数据元的查找和引用:提供数据元查找和引用的在线工具。·数据元的管理:提供对数据元以及数据元目录的日常管理。
数据元管理报告:根据数据元标准定期进行引用情况分析,了解各应用系统中对数据元的引用情况,促进数据元的应用。
(4)指标数据。指标数据是组织在经营分析过程中衡量某一个目标或事物的数据,一般由指标名称、时间和数值等组成,指标数据管理指组织对内部经营分析所需要的指标数据进行统一规范化定义、采集和应用,用于提升统计分析的数据质量。
根据组织业务管理需求,制定组织内指标数据分类管理框架,保证指标分类框架的全面性和各分类之间的独立性。
定义指标数据标准化的格式,梳理组织内部的指标数据,形成统一的指标字典。
根据指标数据的定义,由相关部门或应用系统定期进行数据的采集、生成。
对指标数据进行访问授权,并根据用户需求进行数据展现。
对指标数据采集、应用过程中的效据进行监控,保证指标数据的准确性、及时性。
划分指标数据的归口管理部门、管理职资和管理流程,并按照管理规定对指标进行维护和管理。
8.数据生存周期
组织的数据生存周期能力域通常包括数据需求、数据设计和开发、数据运维和数据退役四个能力项。
数据需求。数据需求是指组织对业务运营、经营分析和战略决策过程中产生和使用数据的分类、含义、分布和流转的描述。
建立数据砾求管理制度:明确组织数据需求的管理组织、制度和流程。
收集数据需求:需求人员通过各种方式分析数据应用场景,并识别数据应用场景中的数据分类、数据名称、数据含义、数据创建、数据使用、数据展示、数据质证、数据安全、数据保留等需求,编写数据需求文档。
评审数据需求:组织人员对数据需求文档进行评审,评审关注各项数据需求是否与业务目标、业务需求保持一致,数据需求是否使用已定义的业务术语、数据项、参考数据等数据标准,干系人对数据需求是否达成共识。
更新数据管理标准:对于已有数据管理标准中尚未悛盖的数据需求以及经评出后达到需要变更数据标准的,由数据管理人员根据相关流程更新数据标准,保证数据标准与实际数据需求的一致性。
集中管理数据需求:各方数据用户的数据需求应集中由数据管理人员进行收集和管理,
确保伽求的汇总分析和历史回顾。(2)数据设计和开发。数据设计和开发是指设计、实施数据解决方案,提供数据应用,持续满足组织的数据需求的过程。数据解决方案包括数据库结构、数据采集、数据整合、数据交换、数据访问及数据产品等。
设计数据解决方案:包括概要设计和详细设计,其设计内容主要是面向具体的应用系统设计逻辑数据模型、物理数据模型、物理数据库、数据产品、数据访问服务、数据整合服务等。
数据准备:梳理组织的各类数据,明确数据提供方,制定数据提供方案。
数据解决方案质量管理:开发数据模型和设计标准,评审概念模型、逻辑模型和物理模型的设计,以及管理和整合数据模型版本变更。
实施数据解决方案:通过质揽评审的数据解决方案进入实施阶段,主要内容包括开发和
测试数据库、建立和维护测试数据、数据迁移和转换、开发和测试数据产品、数据访问
服务、数据整合服务、验证数据需求等。
(3)数据运维。数据运维是指数据平台及相关数据服务建设完成上线投入运营后,对数据采集、数据处理、数据存储等过程的日常运行及其维护过程。
制定数据运维方案:根据组织数据管理的需要,明确数据运维的组织,制定统一的数据运维方案。
数据提供方管理:建立数据提供的监控规则、监控机制和数据合格标准等服务水平协议和检查手段,待续监控数据提供方的服务水平,确保数据平台和数据服务有持续可用、高质量、安全可靠的数据,数据提供方管理包括对组织的内部和外部数据提供方的管理。
数据中台的运维:根据数据运维方对数据库、数据平台、数据建模工具、数据分析工具、ETL工具、数据质量工具、元数据工具、主数据管理工具的选型、部署、运行等进行管理,确保各技术工具的选择符合数据架构整体规划,正常运行各项指标满足数据需求。
数据需求的变更管理:数据需求实现之后,需要及时跟踪数据应用的运行情况,监控数据应用和数据需求的一致性,同时对用户提出的需求变更进行管理,确保设计和实施的一致性。
(4)数据退役。数据退役是对历史数据的管理,根据法律法规、业务、技术等方面需求,对历史数据的保留和销毁,执行历史数据的归档、迁移和销毁工作。
数据退役需求分析:向组织管理层、各领域业务用户调研内部和外部对数据退役的需求,明确外部监管要求的数据保留和消除要求,明确内部数据应用的保留和消除要求,同时兼顾信息技术对存储容量、访问速度、存储成本等袖求。
数据退役设计:综合考虑合规、业务和信息技术需求,设计数据退役标准和执行流程,明确不同类型数据保留策略,包括保留期限、保留方式等,建立数据归档、迁移、获取和消除的工作流程和操作规程,确保数据退役符合标准和流程规范。
数据退役执行:根据数据退役设计方案执行数据退役操作,完成数据的归档、迁移和清除等工作,满足法规、业务和技术需要,同时根据需要更新数据退役设计。
数据恢复检查:数据退役之后盂要制定数据恢复检查机制,定期检查退役数据状态,确保数据在需要时可恢复。
归档数据查询:根据业务管理或监管需要,对归档数据的查询请求进行管理,并恢复相关数据以供应用。
9理论框架与成熟度
国内外常用的数据管理模型包括:数据管理能力成熟度模型CDCMM)、数据治理框架(Data Governance Institute,DGI)、数据管理能力评价模型(Data Management Capability Assessment Model, DCAM)以及数据管理模型(DAMA定义的模型)等。
数据符理能力成熟度模型。DCMM将组织的管理成熟度划分为5个等级,分别是:初始级、受管理级、稳健级、量化管理级和优化级。
初始级:数据盆求的管理主要是在项目级体现,没有统一的管理流程,主要是被动式管理。
受管理级:组织意识到数据是资产,根据管理策略的要求制定了管理流程,指定了相关人员进行初步管理。
稳健级:数据已被当做实现组织绩效目标的重要资产,在组织层而制定了系列的标准化管理流程,促进数据管理的规范化。
量化管理级:数据被认为是获取竞争优势的重要资源,数据管理的效率能显化分析和监控。
优化级:数据被认为是组织生存和发展的基础,相关管理流程能实时优化,能在行业内进行最佳实践分享。
(2)数据治理框架。国际数据治理协会发布了DG]数据治理框架,是组织在进行数据治理的操作层面的框架体系,为组织做出决策和采取行动的复杂活动提供的方法,此框架从组织结构、治理规则和治理过程这三个维度提出了关于数掘治理活动的10个关键通用组件,并在这些要素的基础上构建了数据治理框架。
(3)数据管理能力评价模型。企业数据管理协会(EDM)是制定和实施数据标准、最佳实践以及全面培训和认证项目的祖要侣导者。丛于众多实际案例的经验总结来进行编写数据管理能力成熟度评估模型,提供了用于建立和评估组织数据管理计划的关键维度,主要强调团队协作(流程)、标准执行和资金支待,目前最新DCAM2.2版有4个组件:
基础组件包含数据战略与业务案例、数据管理流程与资金职能域;
执行组件包含业务和数据架构、数据和技术架构、数据质链管理、数据治理职能域;
分析组件包含数据控制环埮职能域:
应用组件包含分析管理职能域。
(4)数据管理模型。国际数据管理协会DAMA(DAMA International)在2018年发行了DAMA-DMBOK(数据管理知识体系指南)第2版,用于指导组织的数据管理职能和数据战略的评估工作,并建议和指导刚起步的组织去实施和提升数据管理。DAMA-DMBOK2理论框架由11个数据管理职能领域和7个基本环境要素共同构成“DAMA数据管理知识体系”,每项数据职能领域都在7个基本环境要素约束下开展工作。
编辑切换为居中
编辑切换为居中
4.2.2运维管理
IT运维是指采用IT手段及方法,依据服务对象提出的服务级别要求,对其所使用的IT系统运行环境、业务系统等提供的综合活动。
1.能力模型
国家标准GBtr28827.1《信息技术服务运行维护第1部分通用要求》定义了IT运维能力模型,该模型包含治理要求、运行维护服务能力体系和价值实现。
治理要求是为实现运行维护服务绩效、风险控制和服务合规性的组织目标,提出的关于最高管理层领导作用及承诺的能力体系建设要求。
运行维护服务能力体系(MCS)是组织依据运行维护服务方针和目标,策划并制定运行维护服务能力方案,确保组织交付的运行维护服务内容符合相关规定,并满足质量要求,对运行维护服务交付过程、结果以及运行维护服务能力体系进行监督、测扭、分析和评审,以实现运行维护服务能力的持续提升。
价值实现是组织结合业务对信息系统的网络化、数字化和智能化要求,识别内部和外部用户对服务的需求或期望,定义多样化的服务场景,并通过服务能力、要素、活动的组合完成服务的提供,直接或间接地为服务盆求方和利益相关者实现服务价值。
编辑
能力建设
考虑环境的内外部因素,在治理要求的指导下,根据服务场景,识别服务能力需求,围绕人员、过程、技术、资源能力四要素,策划、实施、检杳和改进运行维护能力体系,向各种服务场景贱能,通过服务提供实现服务价值;并针对能力建设、人员、过程、技术、资源建立关键指标;还需要定期评价运行维护服务能力成熟度,衡址能力水平差距,以持续提升运行维护服务能力。在治理层面,砓高管理层应依据组织治理目标,提出运行维护服务能力管理治理要求,以确保实现运行维护服务绩效、风险控制和服务合规性。在能力管理方面,运维能力管理是面向运维全生命期的总体能力管控机制,分为策划、实施、检查和持续改进四个阶段,各阶段交替循环,实现运维能力持续性地螺旋式上升的管理目标。这需要组织:
周期性的(如按年度)面向外部的用户需求以及内部的合规要求和成本约束等,对运维能力进行总体策划,包括服务目录的建立和维护,组织架构和管理制度的确立,并形成年度运维能力管理计划,确保运维目标的可实施性;
细化能力管理计划为具体的实施计划(通常按部门进行任务分解),并落地执行;
定期(如按半年度或季度)跟踪和检查实施计划的执行情况,并进行适时评估、优化和调整;
对IT运维能力管理的达成情况进行总结分析,并持续改进。实现按PDCA的方式实施能力管理,进而提升整体服务能力。
在能力管理过程中,组织需要首先明确能力管理团队的组成,并明确这些团队成员的职责范围与分工,根据组织IT运维的内外部环境、技术发展现状、运维各利益干系人的诉求、能力体系覆盖范围、管理者的作用、资金投入、人才保障、基础设备设施的情况、安全以及质量体系的基础等因素,实施能力策划活动,并明晰周期性的能力管理计划、能力指标等,在策划过程中需要明确策划的输入、输出、审批以及变更控制等;同时抓好能力计划实施的计划管理、协调管理、记录管理以及成果管理等,做到实施过程记录的“线条“证据化;并设立专门的检查组织,明确检查方法,并按照确定的计划实施检查;还需要建立适合于组织的改进机制,以及确保改进活动的有效实施。通常来说,能力管理不是分管运维的高级管理者或者主管运维的负责人单个岗位的工作,需要人力资源、技术研发、质僅监督等等多方面的人员共同参与。
在价值实现方面,组织需要在不同的服务场景中识别服务需求,通过服务提供,满足用户需求,实现服务价值:
服务需求:识别服务需求并遵循能力管理的要求对服务场景进行完整的策划。
服务提供:配置符合能力要素要求且和服务场景相适宜的人员、过程、技术和资源,并遵循能力管理的要求实施服务提供。
服务价值:将运行维护服务能力体系输出的服务能力应用到服务场景中,通过服务成
果、成本控制、风险控制实现服务价值。
2)人员能力
在任何组织当中,人力资源都是组织的核心竞争力之一。因此绝大部分组织对人员相关的建设和管理都非常重视,无论是人员的容负、技能、工作绩效等方方面面,都是组织关注的痲点。组织人员能力建设聚焦在从知识、技能和经验维度选择合适的人,从人员管理和岗位职责维度明确做适合的事,目的是指导IT运维团队根据街位职责和管理要求”选人做事”。
结合IT运维工作的特点,运维入员一般分为管理类、技术类和操作类三种人员岗位,管理类主要负货运维的组织管理,技术类主要负责运维技术建设以及运维活动中的技术决策等,操作类主要负责运维活动的执行等。
为了保证人员能力满足运维服务的要求,组织依据运维能力策划要求,进行人员能力策划、岗位结构、人员储备、人员培训、绩效管理和能力评价等管理活动。
对运维的人员能力建设,通常还需要考虑:
面向IT运维所有干系人需求,建立人员福求规划;
基于人员需求计划,制定人员招聘、培训、储备和考核机制并实施;
定义IT运维人员岗位,根据工作内容不同,划分管理岗、技术岗、操作岗,并对每个岗位梳理工作职责,同时定义岗位的任职要求,包括知识、技能及经验要求等方面。组织应按人员能力计划,进行运行维护人员能力评价,至少应包括:
建立运行维护服务对应岗位的等级评价标准;
建立运行维护服务团队和人员能力评价机制;
实施团队和人员能力评价;
依据评价结果对入员能力进行持续改进,需要时调整人员能力计划。
3)资源能力
资源主要由人员、过程和技术要素中被固化下来的能力转化而成,人员、过程和技术要素在知识、服务管理、工具支撑等方面的能力被固化下来,同时又对人员、过程和技术要素提供有力的支撑和保陷,进而形成资源能力中的知识库、服务台、备件库以及运行维护工具,资源能力确保IT运维能“保障做事”。
组织应根据运维能力策划要求和特定服务场景的需求,按需建立和管理运行维护工具、服务台、备件库、尿终软件库、服务数据和服务知识等,以满足不同服务场娥的服务摇求。实现与人员、过程和技术结合,保证资源能力满足价值实现过程中服务提供的需求。
4)技术能力
组织需要通过自有核心技术的研发和非自有核心技术的学习,持续提升IT运维过程中发现问题和解决问题的能力,确保IT运维能“高效做事”。
5)过程
组织通过过程的制定,把人员、技术和资源要素以过程为主线串接在一起,用于指导IT运维人员按约定的方式和方法,确保IT运维能“正确做事”。组织需要结合服务场呆与运维能力策划要求,设计过程框架,明确各过程之间的关系和接口,制定服务级别、服务报告、事件、问题、变更、发布、配置、可用性和连续性、系统容扭、信息安全等管理过程的目标、活动和考核指标,支撑服务过程的规范化管理和服务价值实现。
2智能运维
中国电子工业标准化技术协会发布的团体标准T/CESA1172《信息技术服务智能运维通用要求》,给出了智能运维能力框架,包括组织治理、智能特征、智能运维场景实现、能力域和能力要素,其中能力要素是构建智能运维能力的基础。组织需在组织治理的指导下,对智能运维场景实现提出能力建设要求,开展智能运维能力规划和建设。组织通过场景分析、场景构建、场景交付和效果评估四个过程,基于数据管理能力域提供的高质呈数据,结合分析决策能力域做出合理判断或结论,并根据称要驱动自动控制能力域执行运维操作,使运维场景具备智能特征,提升智能运维水平,实现质量可靠、安全可控、效率提升、成本降低。
编辑切换为居中
能力要素。智能运维的能力要素主要包括:人员:运维团队需要熟悉IT运维领域的业务活动与流程,靠握自动化、大数据、人工智能、云计算算法等技术,具备一定的智能运维研发能力。技术:通常包括统一的标准和规范、开放的基础公共资源与服务、数据与流程及服务的互联互通等。过程:智能运维定义的过程要具备清晰界定人机界面,并考虑权限控制、风险规避。数据:加强数据治理,保证数据质量,规范数据接口。运维应用需要围绕数据进行采集、加工、消费。算法:可以聚焦在异常检测、根因分析、故障预测、知识图谱、健康诊断、决策分析等方面,具备有穷性、确切性、有效性等特点。资源:组织在数据管理能力域数据服务中,对于资源昝理,至少应根据不同场景要求,配置开放共享服务管理所需要的算力、带宽、存储等。知识:知识通讯包括运维技术方案及方法与步骤、运维的经验沉淀、运维对象的多维度描述、运维数据的智能挖掘结果等。
能力平台。通常具备数据管理、分析决策、自动控制等能力。其中,数据管理能力用于采集、处理、存储、展示各种运维数据。分析决策能力以感知到的数据作为输入,做出实时的运维决策,驱动自动化工具实施操作。自动控制根躯运维决策,实施具体的运维操作。
能力应用。以运维场景为中心,通过场烘分析、能力构建、服务交付、迭代调优四个关键环节,可以使运维场景具备智能特征。根据复杂程度,运维场氛分为单一场杲、复合场景和全局场景。场景分析:是指从业务或JT本身接收对新服务或改进服务的枷求,场景需求分析从业务需求、用户需求以及系统需求,不同层次阶段进行不同方式、内容以及侧重点的需求调研。能力构建:是指基于运维场景分析的结果和目标婓求,应用赋能平台中适合运维场屎数据特点的加工处理能力、系统性设计数据的处理流程,构建符合特定运维场呆需求的智能运维解决方案。服务交付:是指制订详细的交付计划,准备必要的资源,评估可能存在的风险并明确规避方案,完善交付实施过程,通过服务交付检杳确保运维场菜的智能特征符合策划要求。迭代调优:通过待续的迭代对智能运维场景的优化,确保投入符合智能运维场景的目标渐进式达成。
智能运维。需具备若干智能特征,智能特征包括:
能感知:指具备灵敏、准确地识别人、活动和对象的状态的特点。
会描述:指具备直观友好地展现和表达运维场景中各类信息的特点。
自学习:指具备积累数据、完善栈型、总结规律等主动获取知识的特点。
会诊断:指具备对人、活动和对象进行分析、定位、判断的特点。
可决策:指具备综合分析,给出后续处置依据或解决方案的特点。
自执行:指具备对已知运维场景做出自动化处理的特点。
自适应:指具备自动适应环境变化,动态优化处理的特点。
4.2.3信息安全管狸
1.CIA三要素
CIA三要素是保密性(ConfidentialIity)、完整性(integrity)和可用性(Availability)三个词的缩写。CIA是系统安全设计的目标。信息安全已经成为一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学`数论和信息论等多种学科的综合性学科。
2信息安全管理体系
信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级贡任要求的管理,主要包括:
落实安全管理机构及安全管理人员,明确角色与职责,制定安全规划;
开发安全策略;
实施风险管理;
制订业务持续性计划和灾难恢复计划;
选择与实施安全措施;
保证配置、变更的正确与安全;
进行安全审计;
保证维护支持;
进行监控、检查,处理安全事件;
安全意识与安全教育;
人员安全管理等。
在组织机构中应建立安全管理机构,不同安全等级的安全管理机构逐步建立自己的信息系统安全组织机构管理体系,参考步骤包括:
1.配备安全管理人员。管理层中应有一人分管信息系统安全工作,并为信息系统的安全管理配备专职或兼职的安全管理人员。
2.建立安全职能部门。建立管理信息系统安全工作的职能部门,或者明确设嚣一个职能部门监管信息安全工作,作为该部门的关键职责之一。
3.成立安全领导小组。在管理层成立信息系统安全管理委员会或信息系统安全领导小组,对覆盖全国或跨地区的组织机构,应在总部和下级单位建立各级信息系统安全领导小组,在基层至少要有一位专职的安全管理人员负责信息系统安全工作。
4.主要负责人出任领导。由组织机构的主要负贡人出任信息系统安全领导小组负责人。
5.建立信息安全保密管理部门。建立信息系统安全保密监督管理的职能部门,或对原有保密部门明确信息安全保密管理责任,加强对信息系统安全管理重要过程和管理人员的保密监督管理。
3网络安全等级保护
国家市场监督管理总局、国家标准化管理委员会宣布网络安全等级保护制度2.0相关的若干国家标准正式发布,并于2019年12月1日开始实施。等保2.0将“信息系统安全”的概念扩展到了“网络安全”,其中所谓“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收栠、存储、传输、交换、处理的系统。
安全保护等级划分
GB/T 22240《信息安全技术网络安全等级保护定级指南》定义了等级保护对象,为网络安全等级保护工作直接作用的对象,主要包括信息系统、通信网络设施和数据资源等。根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或数据被篡改、泄路、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:
第一级:用户自主保护级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危告国家安全、社会秩序和公共利益;
第二级:系统审计保护级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益产生严重损害或特别严重损霄,或者对社会秩序和公共利益造成危害,但不危害国家安全;
第三级:安全标记保护级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严甄危害,或者对国家安全造成危害;
第四级:结构化保护级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害:
第五级:访问验证保护级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。
2)安全保护能力等级划分
GB/T 22239《信息安全技术网络安全等级保护基本要求》规定了不同级别的等级保护对象应具备的基本安全保护能力。
第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。
第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。
第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰岔资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。
第五级安全保护能力:略。
4.3本章练习
1选择题
____不属于信息系统架构模式。A集中式架构B分布式架构C企业信息化架构D面向服务的架构参考答案:C
____不属于IT运维能力的关键指标。A人员B技术C过程D问题参考答案:D
____不属于信息系统咨询设计的范畴。A战略咨询B技术咨询C管理咨询D财务咨询参考答案:D
智能运维场景实现的关键审核要点应围绕___。A质量可靠、安全可控、效率提升、成本降低的四个运维目标B场景分析、场景构建、场景交付、效果评估四个关键过程C数据管理、分析决策、自动控制三个能力域D能感知、会描述、自学习、会诊断、可决策、自执行、自适应七个特征参考答案:B
就是确保所传输的数据只被其预定的接收者读取。A.保密性B.可靠性C.可用性D完整性参考答案:A
___不属于服务质量构成的因素。
A服务生产质量C服务生产质量B服务要素质量D服务感知质量
参考答案:D
2思考题
请给出信息系统规划的战略三角关系,并阐述信息系统战略应如何与业务和组织战略保持一致?
诸详细阐述运维能力模型的主要内容。
诸阐述一下IT服务管理的主要活动,及这些活动的1要管理要点。
整理人 :北京超低温设备供应商 编辑
本文网址:http://www.zhongyaou.com/huodong/582.html