导图社区 第4章 信息系统管理 2023年 第4版
第4章 信息系统管理 2023年 第4版信息系统管理思维导图,信息系统管理是一项需要组织各层级充分参与的业务运行工作。大多数组织都拥有专门用于信息系统管理的职能部门,这些部门配备了相关技术领域的高技能专业人员。同时,组织的管理者也需要了解并参与相关的决策。
编辑于2023-08-14 17:53:33 浙江省第4章 信息系统管理 2023年 第4版
在信息技术和数据资源要素的推动下,社会各领域已经并正在加速进入数字化的全新发展时期,基于智能、网络和大数据的新经济业态正在形成,从“数字融合”向“数字原生”的发展是这个时期的主要特征,表现为信息技术和工业制造深度融合、人和机器的融合、信息资源和材料资源的融合等,进而基于这种深度融合所构造的数字化新世界,将引发社会各个领域为完全适应数字世界而产生各种数字原生发展模式,这些模式将不断诞生、发展、凋亡和重塑,从而极大地改变了人们的生活方式和行为模式。这个进程是一场比过往的工业化和信息化更加广泛的社会变革。支撑这场变革的重要基础,是不断与社会发展各方面深度融合的信息系统,只有对信息系统实施有效管理,才能承担变革赋予的重任。
4.1 管理方法
信息系统管理是一项需要组织各层级充分参与的业务运行工作。大多数组织都拥有专门用于信息系统管理的职能部门,这些部门配备了相关技术领域的高技能专业人员。同时,组织的管理者也需要了解并参与相关的决策。
4.1.1 管理基础
对信息的高效管理与利用,是在新时代发展环境中取得成功的关键技能。
对管理者来说,了解其组织能力和信息的开发利用,与懂得如何获取金融资源和平衡预算一样至关重要。
技术底座构成了几乎所有业务模式的支柱
1.层次结构
信息系统是对信息进行采集、处理、存储、管理和检索,形成组织中的信息流动和处理,必要时能向有关人员提供有用信息的系统。
信息系统包括四个要素:人员、技术、流程和数据。 在信息系统层次架构中,信息系统之上是管理,它监督系统的设计和结构,并监控其整体性能。 同时,组织管理层制定信息系统层应满足的业务需求和业务战略。 信息系统层次架构提供了一个蓝图,可以将业务和系统策略转换为组件或基础架构,并以恰当的人员、技术、流程和数据组合加以实现。
图4-1信息系统层次架构
2.系统管理
信息技术及其系统在本质上都具有矛盾性,一方面具备前瞻性,不可或缺,因为它们为充满潜力的创新(大数据、人工智能和万物互联等)铺平了道路。 另一方面则是主要漏洞(网络安全、数字化和隐私丧失等)的载体,且目前难以衡量其范围和后果。这就是为什么信息系统的管理越来越重要且必要的原因。
信息系统管理覆盖四大领域: 规划和组织:针对信息系统的整体组织、战略和支持活动。 设计和实施:针对信息系统解决方案的定义、采购和实施,以及他们与业务流程的整合。 运维和服务:针对信息系统服务的运行交付和支持,包括安全。 优化和持续改进:针对信息系统的性能监控及其于内部性能目标、内部控制目标和外部要求的一致性管理。
4.1.2 规划和组织
信息系统的规划和组织需要根据组织的发展目标和其他相关因素规划信息系统的战略、组成、建设、运行和运营等。目标是通过实施具备一致性的管理方法,满足业务对信息系统的管理需求。
1.规划模型
在规划一项业务时,需要正确调整业务战略、信息系统和组织机制之间的协同实践。
图4-2信息系统战略三角
为了保持成功运行所需的平衡,信息系统战略的改变必然伴随着组织机制战略的变化,并且必须适应整体业务战略。如果组织在规划其业务战略时利用信息系统来获得战略优势,那么信息系统的领导地位必须通过不断创新来维持。业务、信息和组织机制战略需要不断进行动态调整。
例如,信息系统部署并期望员工使用平板电脑提升生产率,但没有对职位描述、流程设计、薪酬计划和业务策略等进行一系列变更,将无法产生预期的生产力改进。信息系统的这类调整只有通过专门设计战略三角的所有三个组成部分才能取得成功。
2.组织模型
实现三种战略的协同,达成三种战略的一致性代表实现了三角之间的平衡,在一致性基础上,可以向同步与融合方向发展。 通过同步,技术不仅可以支撑实现当前的业务战略,还可以预测和塑造未来的业务战略。 而融合更进一步,业务战略和信息战略交织在一起,管理团队成员甚至可以互换运作。
1)业务战略
业务战略阐明了组织寻求的业务目标以及期望如何达成的路径。 业务战略是组织传达宣示其目的的方法。
管理层根据经济与社会情况、产品与服务对象需求和组织能力构建业务战略计划。 经济与社会情况为该类业务构建了竞争环境。 产品与服务对象需求是个人及组织想要和需要的可用产品和服务。 组织能力包括知识、技能和经验,这些知识、技能和经验为组织提供了一种可以在经济与社会中增加价值的能力。
业务战略的经典框架是迈克尔•波特(Michael E. Porter)提出的竞争力优势模型。
图4-3获得竞争力优势的三种战略
采用总成本领先战略的组织通过最大限度地降低成本,从而获得高于平均水平的绩效。 采用差异性战略时,组织通过差异化,以一种在市场上显得独特的方式,定义其产品或服务。 采用专注化战略时,专注化允许组织将其范围限制在更狭窄的细分市场,并为该组客户对象量身定制其产品。(①专注成本,②专注差异化)
2)组织机制战略
组织机制战略包括组织的设计以及为定义、设置、协调和控制其工作流程而做出的选择。 组织机制战略本质上需要回答“组织将如何构建以实现其目标并实施其业务战略”这一问题,并围绕这一问题形成有效的规划。组织设计的经典框架是哈罗德•莱维特(Harold J. Leavitt)提出的钻石模型。
图4-4莱维特钻石模型
钻石模型将组织计划的关键组成部分标识为其信息与控制、人员、结构和任务,所有组件都是相互关联的。
新时代的组织,其组织机制战略的成功执行包括组织、控制和文化的变量的最佳组合。
组织变量包括决策权、业务流程、正式报告关系和非正式沟通网络。 控制变量包括数据的可得性、规划的性质和质量、业绩计量和评价制度的有效性以及做好工作的激励措施。 文化变量构成组织的价值观。 这些组织、控制和文化的变量是决策者用来影响组织变革的管理杠杆。
组织管理人员应具备一套框架,用于评估组织设计的各个方面。 使用这些框架,管理人员可以审查当前的组织,并评估哪些组件可能缺失以及未来有哪些可用的选项。
基于此框架,管理人员应回答如下问题: 组织内有哪些重要的结构和报告关系; 谁拥有关键决策的决策权; 什么是重要的以人为本的网络(社交和信息网络),我们如何利用它们来更好地完成工作; 组织内人员的特征、经验和技能水平是什么; 关键业务流程是什么; 有哪些控制系统(管理和测量系统)到位; 组织的文化、价值观和信仰是什么。
3)信息系统战略
信息系统战略是组织用来提供信息服务的计划。 信息系统支撑组织实施其业务战略。 业务战略是关于竞争(服务对象想要什么,竞争做什么),定位(组织想以什么方式竞争)和能力(公司能做什么)的功能。
表4-1信息系统战略矩阵
4.1.3 设计和实施
开展信息系统设计和实施,首先需要将业务需求转换为信息系统架构,信息系统架构为将组织业务战略转换为信息系统的计划提供了蓝图。 信息系统是支持组织中信息流动和处理的所有基础,包括硬件、软件、数据和网络组件,并以最适合计划的方式进行选择和组装,因此其最能体现组织总体业务战略。
1.设计方法
首先将业务战略转化为信息系统架构,然后将该架构转化为信息系统设计。
图4-5从战略到信息系统设计转换示意图
1)从战略到系统架构 2)从系统架构到系统设计 3)转换框架
表4-2信息系统架构与基础设施分析框架举例
2 架构模式
①集中式架构、 ②分布式架构、 ③面向服务的系统架构(Service-Oriented Architecture, SOA)
组织在考虑集中式与分布式架构决策时,必须注意权衡与取舍。例如,分布式架构比集中式架构更加模块化,允许相对容易地添加其他服务器,并能为特定用户添加具有特定功能的客户端,从而提供更大的灵活性和多中心化的组织治理机制,这有可能令架构决策与组织治理目标更协调。 相比之下,集中式体系架构在某些方而更易于管理,因为所有功能都集中在主机或小型机中,而不是分布在所有设备和服务器中。集中式架构往往更适合具有高度集中式治理的组织。 而SOA则越来越受欢迎,因为该设计允许几乎完全从现有的软件服务组件构建大型功能单元。它对于快速构建应用程序非常有用,因为它为管理人员提供了模块化和组件化设计,是--种更易于变更的构建应用程序的方法。
表4-3常见信息系统架构模式
4.1.4 运维和服务
信息系统的运维和服务应从信息系统运行的视角进行整合性的统筹规划,包括对信息系统、应用程序和基础设施的日常控制进行综合管理,以有效支持组织目标达成和流程实现。 信息系统的运维和服务由各类管理活动组成,主要包括;运行管理和控制、1T服务管理、运行与监控、终端侧管理、程序库管理、安全管理、介质控制和数据管理等。
1.运行管理和控制
IT团队发生的所有活动都应受到管理和控制。 管理信息系统运行的管理控制主要活动包括:过程开发、标准制定、资源分配、过程管理。
•过程开发:操作人员执行的重复性活动应以过程的形式记录下来,需要开发、审查和批准描述每个过程及其每个步骤的相关文档,并将其提供给运营人员。
•标准制定:从运行执行任务的方式到所使用的技术,釆用标准化定义和约束,从而有效推动信息系统运行相关工作的一致性。
•资源分配:管理层分配支持信息系统运行的各项能力,包括人力、技术和资源。资源分配应与组织的使命、目标和目的保持一致。
•过程管理:应测量和管理所有信息系统运行的相关过程,确保过程在时间上和预算目标内被正确和准确地执行。
2. IT服务管理
IT服务管理是通过主动管理和流程的持续改进来确保IT服务交付有效且高效的一组活动。 IT服务管理由若干不同的活动组成:服务台、事件管理、问题管理、变更管理、配置管理、发布管理、服务级别管理、财务管理、容量管理、服务连续性管理和可用性管理。
(1)服务台。服务台(Service Desk)是组织体现IT服务的重要环节,也是服务干系人体验的重要感知窗口。
(2)事件管理。事件是IT服务管理遭遇计划外中断或服务质量出现下降,以及尚未影响服务的配置项故障。
(3)问题管理。当发生了几个看起来具有相同或相似根本原因的事件时,就会启动问题管理活动。
(4)变更管理。变更是使一个或更多信息系统配置项的状态发生改变的行动。
(5)配置管理。配置管理是通过技术或者行政的手段对信息系统的信息进行管理的一系列活动,这些信息不仅包括信息系统具体配置项信息,还包括这些配置项之间的相互关系。
(6)发布管理。发布管理负责计划和实施信息系统的变更,并且紀录该变更的各方面信息。
(7)服务级别管理。服务级别管理就是对IT服务的级别进行定义、记录和管理,并在可接受的成本之下与干系人达成一致的管理过程,通过服务水平协议(Service Level Agreement,SLA)、服务绩效监控和报告的不断循环,持续维护和改进服务质量,以及触发釆取行动消除较差服务,从而满足干系人的服务需求。
(8)财务管理。IT服务财务管理是负责对IT服务运作过程中所有资源进行财务管理的流程
(9)容量管理。容量管理用于确认信息系统中有足够的容量满足服务需求。
(10)服务连续性管理。服务连续性管理是一组与组织持续提供服务的能力相关的活动,主要是在发生自然或人为灾难时继续保持服务有效性的活动。
(11)可用性管理。可用性管理是有关设计、实施、监控、评价和报告IT服务的可用性以确保持续地满足服务干系人的可用性需求的服务管理流程。
3.运行与监控
有效的IT运行要求IT人员按照既定流程和过程理解并正确执行任务。同时,IT运行还强调对人员进行培训,以有效识别异常和错误,并做出正确反应。
IT运行的任务常包括: ①按照计划执行作业; ②监控作业,并按照优先级为作业分配资源; ③重新启动失败的作业和进程; ④通过加载或变更备份介质,或通过确保目标的存储系统就绪来优化备份作业; ⑤监控信息系统、应用程序和网络的可用性,保证这些系统具备足够的性能; ⑥实施空闲期的维护活动。
两个监控 1)运行监控,以确保它们继续按要求运行。 2)安全监控,以预防和响应安全事件。
4.终端侧管理
组织通常使用IT管理工具来促进对用户终端计算机的高效和一致的管理。 一般来说,最终用户计算机是“锁定”的,这限制了最终用户可能在其设备上执行的配置更改的数量和类型,包括操作系统配置、补丁安装、软件程序安装、使用外部数据存储设备等,最终用户可能会将此类限制视为不便。 但是,这些限制不仅有助于确保最终用户的设备和整个组织的IT环境具有更高的安全性,而且还促进了更高的一致性,从而降低了支持成本。
5.程序库管理
程序库是组织用来存储和管理应用程序源代码和目标代码的工具,其中主要功能包括:访问控制、程序签出、程序签入、版本控制和代码分析等。
6. 安全管理
信息安全管理可确保组织的信息安全计划充分识别和解决风险,并在整个运维和服务过程中正常运行。 该领域的管理要点详见4.2.3节。
7. 介质控制
组织应考虑包含在介质管理、销毁策略和程序范围内的介质主要包括: 备份介质、虚拟磁带库、光学介质、硬盘驱动器、固态驱动器、闪存、硬拷贝等。 介质清理的策略和程序需要包含在服务提供商的相关要求中,以及记录保存活动以跟踪介质随时间推移的销毁情况。
8.数据管理
数据管理是与数据的获取、处理、存储、使用和处置相关的一组活动。该领域管理要点见4.2.1 节。
4.1.5 优化和持续改进
优化和持续改进常用的方法为戴明环(PDCA循环)。 PDCA循环是将持续改进分为四个阶段: Plan(计划)、Do(执行)、Check(检查)和Act(处理)。
子主题
优化和持续改进基于有效的变更管理,使用六西格玛倡导的五阶段方法DMAIC/DMADV,是对戴明环四阶段周期的延伸,包括: 定义(Define)、度量(Measure)、分析(Analysis)、改进/设计(Improve/Design)控制/验证(Control/Verify)。 当第四阶段的“改进”替换为“设计”,“控制”替换为“验证”时,五阶段法就从DMAIC转变为DMADV。
1.定义阶段 定义阶段的目标包括待优化信息系统定义、核心流程定义和团队组建。
(1)待优化信息系统定义。 该活动关注定义协同的范围、优化目标和目的、系统团队成员和出资人,以及优化时间表和交付成果。
(2)核心流程定义。 该活动关注定义利益干系人、投入和产出以及广泛的功能。 SIPOC(Supplier、Input、Process Output、Customer)分析是定义核心流程视图的首选工具。
(3)团队组建。 该活动重点关注从关键利益干系人群体中确定人员组建高能力团队,对信息系统的问题和收益达成共识。
2.度量阶段 度量阶段目标包括流程定义、指标定义、流程基线和度量系统分析。
(1)流程定义。 流程定义通常使用流程图工具定义度量阶段的流程,以图形方式实现给定信息系统的输入、操作和输出。
(2)指标定义。 待优化信息系统的定义包括将用于评估流程的指标。
3)流程基线。 当明确了度量指标之后,必须通过基线确定现有系统的能力,以确定当前系统在多大程度上较好地满足了服务对象的要求,并验证定义阶段中确立的信息系统目标达成情况。
(4)度量系统分析。 质量始于度量。只有当质量被量化时,才能开始讨论优化和持续改进。
一个良好的度量系统具备特性可包括: •准确:应该产生一个“接近”被测量的实际属性的数值。 •可重复:如果测量系统反复应用于同一物体,则产生的测量价值应彼此接近。 •线性:测量系统应能够在整个关注范围内产生准确和一致的结果。 •可重现:当任何经过适当培训的个人使用时,测量系统应产生相同的结果。 •稳定:应用于相同的项目时,测量系统将来应产生与过去相同的结果。
3. 分析阶段 分析阶段的三个目标包括价值流分析、信息系统异常的源头分析和确定优化改进的驱动因素。
(1)价值流分析。价值流分析首先定义信息系统使用者眼中相关产品或服务的价值。
价值也可以定义为: ①组织愿意投资的系统组件; ②改变信息系统形式、适合度或功能的活动; ③将业务输入经信息系统转换为输出的活动。
(2)信息系统异常的源头分析。 度量阶段的信息系统异常的来源,提供了信息系统稳定(即控制中)或不稳定(即失控)的证据。
首先正确区分这两种类型的变异至关重要,因为每种变异的改进策略不同。 对于稳定的信息系统,只有通过对系统进行根本性的更改,才能减少系统内置的常见变异原因。 当系统失控时,则必须解决并消除在特定时间段内造成不稳定情况的特殊原因,重新获得稳定的过程,然后可以进行改进。 在业务层面,可以分析服务对象数据,以建立服务对象满意度与用于支撑服务对象体验的信息系统组件之间的关系。
(3)确定优化改进的驱动因素。 优化改进的驱动因素是指对信息系统优化影响最大的因素。
4.改进/设计阶段 改进/设计阶段的目标包括: ①向发起人提出一个或多个解决方案;量化每种方法的收益;就解决方案达成共识并实施。 ②定义新的操作/设计条件。 ③为新工艺/设计提供定义和缓解故障模式。
5.控制/验证阶段 控制/验证阶段的目标包括标准化新程序/新系统功能的操作控制要素、持续验证优化的信息系统的可交付成果、记录经验教训。
(1)标准化新程序/新系统功能的操作控制要素。 当信息系统得到改进,组织需要更好地控制系统,保持进一步改进的能力。管理者必须对改进形成的新方法、新系统运行进行标准化,以维持改进带来的效益。标准化的业务层面控制是保持信息系统优化改进的方法。培训对新系统或优化系统的操作控制能力,是维护已部署改进的关键。
(2)持续验证优化的信息系统的可交付成果。 组织应当将变更的系统组件信息、信息系统状态趋势等内容,对受影响的人员开展培训。当这些人员不仅了解信息系统如何变化,还应了解其产生的原因,以及可能会在未来找到进一步改进的方法。
(3)记录经验教训。 随着项目小组完成其活动,必须最终确定和保留项目文档。 其中一个关键方面是记录经验教训,如为了更快或更好的结果,可能会做些什么事情。经验对组织中的其他团队有用吗?这种团队总结的另一个重要作用是对他们努力的认可。
4.2 管理要点
信息系统管理涉及系统准备、设计、实施、运行等活动的众多方面,管理重点范围和细致程度随各组织的战略和业务目标的不同而存在差异。 从日常管理活动视角来看,各组织关注的管理内容主要聚焦在数据管理、运维管理和信息安全管理等方面的体系化管理。
4.2.1 数据管理
数据管理是通过规划、控制与提供数据和信息资产的职能,包括开发、执行和监督有关数据的计划、策略、方案、项目、流程、方法和程序,以获取、控制、保护、 交付和提高数据和信息资产价值。
国际数据管理协会(DAMA)指出,数据资源管理致力于发展和处理组织数据全生命周期的适当的构建、策略、实践和程序。 数据管理框架是对组织的管理平台或者能够产生业务数据的平台产生的数据进行统一的跟踪、协调、管理的功能模型。 本部分主要讨论数据管理的基本框架、主要活动和管理要点,使用工程的方法,开展组织数据能力建设与实施,
数据管理能力成熟度评估模型( Data Management Capability Maturity Assessment Model, DCMM) 是国家标准GB/T 36073《数据管理能力成熟度评估模型》中提出的。 DCMM定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期8个核心能力域。
图4-6数据管理能力模型
1.数据战略 组织的数据战略能力域通常包括数据战略规划、数据战略实施和数据战略评估三个能力项。
(1) 数据战略规划。数据战略规划是在组织所有利益相关者之间达成共识的结果。
数据战略规划主要活动和工作要点包括: •识别利益相关者:明确利益相关者的需求。 •数据战略需求评估:组织对业务和信息化现状进行评估,了解业务和信息化对数据的需求。 •数据战略制定:主要包括 ①愿景陈述,其中包含数据管理原则、目的和目标; ②规划范围,其中包含重要业务领域、数据范围和数据管理优先权; ③所选择的数据管理模型和建设方法; ④当前数据管理存在的主要差距; ⑤管理层及其责任,以及利益相关者名单; ⑥编制数据管理规划的管理方法; ⑦持续优化路线图。 •数据战略发布:以文件、网站、邮件等方式正式发布审批后的数据战略。 •数据战略修订:根据业务战略、信息化发展等方面的要求,定期进行数据战略的修订。
(2) 数据战略实施。数据战略实施是组织完成数据战略规划后,逐渐实现数据职能框架的过程。
数据战略实施主要活动和工作要点包括: •评估准则:建立数据战略规划实施评估标准,规范评估过程利方法。 •现状评估:对组织当前数据战略落实情况进行分析,评估各项工作开展情况。 •评估差距:根据现状评估结果与组织数据战略规划进行对比,分析存在的差异。 •实施路径:利益相关者结合组织的共同目标和实际业务价值进行数据职能任务优先级排序。 •保障计划:依据实施路径,制定开展各项活动所需的预算。 •任务实施:根据任务开展工作。 •过程监控:依据实施路径,及时对实施过程进行监控。
(3) 数据战略评估。组织在数据战略评估过程中需要建立对应的业务案例和投资模型,并在整个数据战略实施过程中跟踪进度,同时做好记录供审计和评估使用。
数据战略评估主要活动和工作要点包括: •建立任务效益评估模型:从时间、成本、效益等方面建立数据战略相关任务的效益评估模型。 •建立业务案例:建立基本的用例模型、项目计划、初始风险评估和项目描述,能确定数据管理和数据应用相关任务(项目)的范围、活动、期望的价值以及合理的成本收益分析。 •建立投资模型:作为数据职能项目投资分析的基础性理论,投资模型确保在充分考虑成本和收益的前提下对所需资本合理分配,投资模型要满足不同业务的信息科技需求以及对应的数据职能内容,同时要广泛沟通以保障对业务或技术的前瞻性支持,并符合相关的监管及合规性要求。 •阶段评估:在数据工作开展过程中,定期从业务价值、经济效益等维度对己取得的成果进行效益评估。
2.数据治理 组织的数据治理能力域通常包括数据治理组织、数据制度建设和数据治理沟通三个能力项。
(1) 数据治理组织。 数据治理组织需要包括组织架构、岗位设置、团队建设、数据责任等内容,它是各项数据职能工作开展的基础。 数据治理组织对组织在数据管理和数据应用行使职责规划和控制,并指导各项数据职能的执行,以确保组织能有效落实数据战略目标。
数据治理组织主要活动和工作要点包括: •建立数据治理组织:建立数据体系配套的权责明确且内部沟通顺畅的组织,确保数据战略的实施。 •岗位设置:建立数据治理所需的岗位,明确岗位的职责、任职要求等。 •团队建设:制订团队培训、能力提升计划,通过引入内部、外部资源定期开展人员培训,提升团队人员的数据治理技能。 •数据归口管理:明确数据所有人、管理人等相关角色以及数据的归口的具体管理人员。 •建立绩效评价体系:根据团队人员职责、管理数据范围的划分,制定相关人员的绩效考核体系。
(2) 数据制度建设。 为保障数据管理和数据应用各项功能的规范化运行,组织需要建立对应的制度体系。数据制度体系通常分层次设计,遵循严格的发布流程并定期检査和更新。 数据制度建设是数据管理和数据应用各项工作有序开展的基础,是数据治理沟通和实施的依据。
数据制度建设主要活动和工作要点包括: •制定数据制度框架:根据数据职能的层次和授权决策次序,数据制度框架可分为策略、办法、细则三个层次,该框架规定了数据管理和数据应用的具体领域、各个数据职能领域内的目标、遵循的行动原则、完成的明确任务、实行的工作方式、釆取的一般步骤和具体措施等。 •整理数据制度内容:数据管理策略与数据管理办法、数据管理细则共同构成组织数据制度体系,其基本内容包括: ①数据策略说明数据管理和数据应用的目的,明确其组织与范围; ②数据管理办法是为数据管理和数据应用各领域内活动开展而规定的相关规则和流程; ③数据管理细则是为确保各数据方法执行落实而制定的相关文件。 • 整理数据制度内容:数据管理策略与数据管理办法、数据管理细则共同构成组织数据制度体系,其基本内容包括: ①数据策略说明数据管理和数据应用的目的,明确其组织与范围; ②数据管理办法是为数据管理和数据应用各领域内活动开展而规定的相关规则和流程; ③数据管理细则是为确保各数据方法执行落实而制定的相关文件。 • 数据制度发布:组织内部通过文件、邮件等形式发布审批通过的数据制度。 •数据制度宣贯:定期开展数据制度相关的培训与宣传工作。 • 数据制度实施:结合数据治理组织的设置,推动数据制度的落地实施。
(3) 数据治理沟通。 数据治理沟通旨在确保组织内全部利益相关者都能及时了解相关策略、标准、流程、角色、职责、计划的最新情况,开展数据管理和应用相关的培训,掌握数据管理相关的知识和技能。 数据治理沟通旨在建立与提升跨部门及部门内部数据管理能力,提升数据资产意识,构建数据文化。
数据治理沟通主要活动和工作要点包括: •沟通路径:明确数据管理和应用的利益相关者,分析各方的诉求,了解沟通的重点内容。 •沟通计划:建立定期或不定期沟通计划,并在利益相关者之间达成共识。 •沟通执行:按照沟通计划安排实施具体沟通活动,同时对沟通情况记录。 •问题协商机制:包括引入高层管理者等方式,以解决分歧。 •建立沟通渠道:在组织内部明确沟通的主要渠道,例如邮件、文件、网站、自媒体、研讨会等。 •制订培训宣贯计划:根据组织人员和业务发展需要,制订相关的培训宣贯计划。 •开展培训:根据培训计划的要求,定期开展相美培训。
3.数据架构 组织的数据架构能力域通常包括数据模型、数据分布、数据集成与共享和元数据管理四个能力项。
(1)数据模型。 数据模型是使用结构化的语言将收集到的组织业务运行、管理和决策中使用的数据需求进行综合分析,按照模型设计规范将需求重新组织。
数据模型主要活动和工作要点包括: •收集和理解组织的数据需求:包括收集和分析组织应用系统的数据需求和实现组织的战略,满足内外部监管,与外部组织互联互通等的数据需求等。 •制定模型规范:包括模型的管理工具、命名规范、常用术语以及管理方法等。 •开发数据模型:包括开发设计组织级数据模型、系统应用级数据模型。 •数据模型应用:根据组织级数据模型的开发,指导和规范系统应用级数据模型的建设。 •符合性检査:检查组织级数据模型和系统应用级数据模型的一致性。 •模型变更管理;根据需求变化实时地对数据模型进行维护。
(2)数据分布。 数据分布职能域是针对组织级数据模型中数据的定义,明确数据在系统、组织和流程等方面的分布关系,定义数据类型,明确权威数据源,为数据相关工作提供参考和规范。
数据分布主要活动和工作要点包括: •数据现状梳理:对应用系统中的数据进行梳理,了解数据的作用,明确存在的数据问题。 •识别数据类型:将组织内的数据根据其特征分类管理,一般类型包括主数据、参考数据、交易数据、统计分析数据、文档数据、元数据等类型。 •数据分布关系梳理:根据组织级数据模型的定义,结合业务流程梳理的成果,定义组织中数据和流程、数据和组织机构、数据和系统的分布关系。 •梳理数据的权威数据源:对每类数据明确相对合理的唯一信息釆集和存储系统。 •数据分布关系的应用:根据数据分布关系的梳理,对组织数据相关工作进行规范,包括定义数据工作优先级、优化数据集成等。 •数据分布关系的维护和管理:根据组织中业务流程和系统建设的情况,定期维护和更新组织中的数据分布关系,保持及时性。
(3)数据集成与共享。 数据集成与共享职能域是建立起组织内各应用系统、各部门之间的集成共享机制,通过组织内部数据集成共享相关制度、标准、技术等方面的管理,促进组织内部数据的互联互通。
数据集成与共享主要活动和工作要点包括: •建立数据集成共享制度:指明数据集成共享的原则、方式和方法。 •形成数据集成共享标准:依据数据集成共享方式不同,制定不同的数据交换标准。 •建立数据集成共享环境:将组织内多种类型的数据整合在一起,形成对复杂数据加工处理和便捷访问的环境。 •建立对新建系统的数据集成方式的检查。
(4)元数据管理。 元数据管理是关于元数据的创建、存储、整合与控制等一整套流程的集合。
元数据管理主要活动和工作要点包括: •元模型管理:对包含描述元数据属性定义的元模型进行分类并定义每一类元模型,元模型可釆用或参考相关国家标准。 •元数据集成和变更:基于元模型对元数据进行收集,对不同类型、不同来源的元数据进行集成,形成对数据描述的统视图,并基于规范的流程对数据的变更进行及时更新和管理。 •元数据应用:基于数据管理和数据应用需求,对于组织管理的务类元数据进行分析应用,如査询、血缘分析、影响分析、符合性分析、质量分析等。
4.数据应用 数据应用能力域通常包括数据分析、数据开放共享和数据服务三个能力项。
(1)数据分析。 数据分析是对组织各项经营管理活动提供数据决策支持而进行的组织内外部数据分析或挖掘建模,以及对应成果的交付运营、评估推广等活动。数据分析能力会影响到组织制定决策、创造价值、向用户提供价值的方式。数据分析主要活动和工作要点包括: •常规报表分析:按照规定的格式对数据进行统一的组织、加工和展示。 •多维分析:各分类之间的数据度量之间的关系,从而找出同类性质的统计项之间数学上的联系。 •动态预警:基于一定的算法、模型对数据进行实时监测,并根据预设的阈值进行预警。 •趋势预报:根据客观对象已知的信息对事物在将来的某些特征、发展状况的一种估计、测算活动,运用各种定性和定量的分析理论与方法,对发展趋势逬行预判。
(2)数据开放共享。 数据开放共享是指按照统一的管理策略对组织内容的数据进行有选择的对外开放,同时按照管理策略引入外部数据供组织内部使用。数据开放共享是实现数据跨组织、跨行业流转的重要前提,也是数据价值最大化的基础。
数据开放共享主要活动和工作要点包括: •梳理开放共享数据:组织需要对其开放共享的数据进行全面的梳理,建立清晰的开放共享数据目录。 •制定外部数据资源目录:对组织需要的外部数据进行统一梳理,建立数据目录,方便内部用户的查询和应用。 •建立统一的数据开放共享策略:包括安全、质量等内容。 •数据提供方管理:建立对外数据使用策略、数据提供方服务规范等。 •数据开放:组织可通过各种方式对外开放数据,并保证开放数据的质量。 •数据获取:按照数据需求进行数据提供方的选择。
(3)数据服务。 数据服务是通过对组织内外部数据的统一加工和分析,结合公众、行业和组织的需要,以数据分析结果的形式对外提供跨领域、跨行业的数据服务。数据服务是数据资产价值变现最直接的手段,也是数据资产价值衡量的方式之一,通过良好的数据服务对内提升组织的效益,对外更好的服务公众和社会。数据服务的提供可能有多种形式,包括数据分析结果、数据服务调用接口、数据产品或数据服务平台等,具体服务的形式取决于组织数据的战略和发展方向。
数据服务主要活动和工作要点包括: •数据服务需求分析:需要有数据分析团队来分析外部的数据需求,并结合外部的需求提出数据服务目标和展现形式,形成数据服务需求分析文档。 •数据服务开发:数据开发团队根据数据服务需求分析对数据进行汇总和加工,形成数据产品。 •数据务部署:部署数据产品,对外提供服务。 •数据服务监控:能对数据服务有全面的监控和管理,实时分析数据服务的状态、调用情况、安全情况等。 •数据服务授权:对数据服务的用户进行授权,并对访问过程进行控制。
5.数据安全 组织的数据安全能力域通常包括数据安全策略、数据安全管理和数据安全审计三个能力项。
(1) 数据安全策略。 数据安全策略是数据安全的核心内容,在制定的过程中需要结合组织管理需求、监管需求以及相关标准等统一制定。
数据安全策略主要活动和工作要点包括: •了解国家、行业等监管需求,并根据组织对数据安全的业务需要,进行数据安全策略规划,建立组织的数据安全管理策略。 •制定适合组织的数据安全标准,确定数据安全等级及覆盖范围等。 •定义组织数据安全管理的目标、原则、管理制度、管理组织、管理流程等,为组织的数据安全管理提供保障。
(2) 数据安全管理。 数据安全管理是在数据安全标准与策略的指导下,通过对数据访问的授权、分类分级的控制、监控数据的访问等进行数据安全的管理工作,满足数据安全的业务需要和监管需求,实现组织内部对数据生存周期的数据安全管理。
数据安全管理主要活动和工作要点包括: •数据安全等级的划分:根据组织数据安全标准,充分了解组织数据安全管理需求,对组织内部的数据进行等级划分并形成相关文档。 •数据访问权限控制:制定数据安全管理的利益相关者清单,围绕利益相关者需求,对其数据访问、控制权限进行授权。 •用户身份认证和访问行为监控:在数据访问过程中对用户的身份进行认证识别,对其行为进行记录和监控。 •数据安全的保护:提供数据安全保护控制相关的措施,保证数据在应用过程中的隐私性。 •数据安全风险管理:对组织已知或潜在的数据安全进行分析,制定防范措施并监督落实。
(3) 数据安全审计。 数据安全审计是一项控制活动,负责定期分析、验证、讨论、改进数据安全管理相关的策略、标准和活动。审计工作可由组织内部或外部审计人员执行,审计人员应独立于审计所涉及的数据和流程。数据安全审计的目标是为组织以及外部监管机构提供评估和建议。
(3)数据安全审计主要活动和工作要点包括: •过程审计:分析实施规程和实际做法,确保数据安全目标、策略、标准、指导方针和预期结果相一致。 •规范审计:评估现有标准和规程是否适当,是否与业务要求和技术要求相一致。 •合规审计:检索和审阅组织相关监管法规要求,验证其是否符合监管法规要求。 •供应商审计:评审合同、数据共享协议,确保供应商切实履行数据安全义务。 •审计报告发布:向高级管理人员、数据管理专员以及其他利益相关者报告组织内的数据安全状态。 •数据安全建议:提出数据安全的设计、操作和合规等方面的改进工作建议。
6.数据质量 组织的数据质量能力域通常包括数据质量需求、数据质量检査、数据质量分析和数据质量提升四个能力项。
(1) 数据质量需求。 数据质量需求是明确数据质量目标,并根据业务需求及数据要求制定用来衡量数据质量的规则,包括衡量数据质量的技术指标、业务指标以及相应的校验规则与方法。数据质量需求是度量和管理数据质量的依据,需要依据组织的数据管理目标、业务管理的需求和行业的监管需求并参考相关标准来统一制定与管理。
(2) 数据质量检査。 数据质量检査是根据数据质量规则中的有关技术指标和业务指标、校验规则与方法对组织的数据质量情况进行实时监控,从而发现数据质量问题,并向数据管理人员进行反馈。
(3) 数据质量分析。 数据质量分析是对数据质量检査过程中发现的数据质量问题及相关信息进行分析,找岀影响数据质量的原因,并定义数据质量问题的优先级,作为数据质量提升的参考依据。
(4) 数据质量提升。 数据质量提升是对数据质量分析的结果,制定、实施数据质量改进方案,包括错误数据更正、业务流程优化、应用系统问题修复等,并制定数据质量问题预防方案,确保数据质量改进的成果得到有效保持。
7.数据标准 组织的数据标准能力域通常包括业务术语、参考数据和主数据、数据元和指标数据四个能力项。
(1)业务术语。业务术语是组织中业务概念的描述,包括中文名称、英文名称、术语定义等内容。
(2)参考数据和主数据。参考数据和主数据是用于将其他数据进行分类的数据。
(3)数据元。通过对组织中核心数据元的标准化,可以使数据的拥有者和使用者对数据有一致的理解。
(4)指标数据。指标数据是组织在经营分析过程中衡量某一个目标或事物的数据,一般由指标名称、时间和数值等组成,指标数据管理指组织对内部经营分析所需要的指标数据进行统一规范化定义、釆集和应用,用于提升统计分析的数据质量。
8.数据生存周期 组织的数据生存周期能力域通常包括数据需求、数据设计和开发、数据运维和数据退役四个能力项。
(1)数据需求。 数据需求是指组织对业务运营、经营分析和战略决策过程中产生和使用数据的分类、含义、分布和流转的描述。
(2)数据设计和开发。 数据设计和开发是指设计、实施数据解决方案,提供数据应用,持续满足组织的数据需求的过程。
(3)数据运维。 数据运维是指数据平台及相关数据服务建设完成上线投入运营后,对数据釆集、数据处理、数据存储等过程的日常运行及其维护过程,保证数据平台及数据服务的正常运行,为数据应用提供持续可用的数据内容。
(4)数据退役。 数据退役是对历史数据的管理,根据法律法规、业务、技术等方面需求,对历史数据的保留和销毁,执行历史数据的归档、迁移和销毁工作,确保组织对历史数据的管理符合外部监管机构和内部业务用户的需求,而非仅满足信息技术需求。
9.理论框架与成熟度 国内外常用的数据管理模型包括:数据管理能力成熟度模型(DCMM)、数据治理框架(Data Governance Institute.DGI)、数据管理能力评价模型(Data Management capability Assessment Model,DCAM)以及数据管理模型(DAMA定义的模型)等。
(1)数据管理能力成熟度模型。 DCMM将组织的管理成熟度划分为5个等级,分别是:初始級、受管理级、稳健级、量化管理级和优化级。
(2)数据治理框架。 国际数据治理协会发布了DGI数据治理框架,是组织在进行数据治理的操作层面的框架体系,为组织做出决策和采取行动的复杂活动提供的方法,此框架从组织结构、治理规则和治理过程这三个维度提出了关于数据治理活动的10个关键通用组件,并在这些要素的基础上构建了数据治理框架,如图4-7所示。
(3)数据管理能力评价模型。 企业数据管理协会(EDM)是制定和实施数据标准、最佳实践以及全面培训和认证项目的重要倡导者。
(4)数据管理模型。
表4-4 DAMA-DMB0K2职能框架(示意)
DCMM将组织的管理成熟度划分为5个等级: 初始级、受管理级、稳健级、量化管理级和优化级。
4.2.2 运维管理
IT运维是指釆用IT手段及方法,依据服务对象提出的服务级别要求,对其所使用的IT系统运行环境、业务系统等提供的综合活动。
1.能力模型
国家标准GB/T 28827.1《信息技术服务运行维护第1部分通用要求》定义了IT运维能力模型,该模型包含治理要求、运行维护服务能力体系和价值实现。
能力建设 人员能力 资源能力 技术能力 过程
1)能力建设 组织需要考虑环境的内外部因素,在治理要求的指导下,根据服务场景,识别服务能力需求,围绕人员、过程、技术、资源能力四要素,策划、实施、检查和改进运行维护能力体系,向各种服务场景赋能,通过服务提供实现服务价值;并针对能力建设、人员、过程、技术、资源建立关键指标;还需要定期评价运行维护服务能力成熟度,衡量能力水平差距,以持续提升运行维护服务能力。
2)人员能力 组织人员能力建设聚焦在从知识、技能和经验维度选择合适的人,从人员管理和岗位职责维度明确做适合的事,目的是指导IT运维团队根据岗位职责和管理要求“选人做事”。
3)资源能力 资源主要由人员、过程和技术要素中被固化下来的能力转化而成
4)技术能力 组织需要通过自有核心技术的研发和非自有核心技术的学习,持续提升IT运维过程中发现问题和解决问题的能力,在提升IT运维效率方面是重点考虑的要素,技术要素确保IT运维能“高效做事”。
5)过程 组织通过过程的制定,把人员、技术和资源要素以过程为主线串接在一起,用于指导IT运维人员按约定的方式和方法,确保IT运维能“正确做事”。
2.智能运维
中国电子工业标准化技术协会发布的团体标准T/CESA 1172《信息技术服务智能运维通用要求》,给出了智能运维能力框架,包括组织治理、智能特征、智能运维场景实现、能力域和能力要素,其中能力要素是构建智能运维能力的基础。
图4-9智能运维能力框架
(1)能力要素。
(2)能力平台。智能运维能力平台通常具备数据管理、分析决策、自动控制等能力。
(3)能力应用。以运维场景为中心,通过场景分析、能力构建、服务交付、迭代调优四个关键环节,可以使运维场景具备智能特征。
(4)智能运维需具备若干智能特征
4.2.3 信息安全管理
1. CIA三要素
CIA三要素是保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)三个词的缩写。 CIA是系统安全设计的目标。保密性、完整性和可用性是信息安全最为关注的三个属性,因此这三个特性也经常被称为信息安全三元组。
2.信息安全管理体系
信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理,主要包括: 落实安全管理机构及安全管理人员,明确角色与职责,制定安全规划; 开发安全策略; 实施风险管理; 制订业务持续性计划和灾难恢复计划; 选择与实施安全措施; 保证配置、变更的正确与安全; 进行安全审计; 保证维护支持; 进行监控、检查,处理安全事件; 安全意识与安全教育; 人员安全管理等。
在组织机构中应建立安全管理机构,不同安全等级的安全管理机构逐步建立自己的信息系统安全组织机构管理体系,参考步骤包括: ①配备安全管理人员。管理层中应有一人分管信息系统安全工作,并为信息系统的安全管理配备专职或兼职的安全管理人员。 ②建立安全职能部门。建立管理信息系统安全工作的职能部门,或者明确设置一个职能部门监管信息安全工作,作为该部门的关键职责之一。 ③成立安全领导小组。在管理层成立信息系统安全管理委员会或信息系统安全领导小组,对覆盖全国或跨地区的组织机构,应在总部和下级单位建立各级信息系统安全领导小组,在基层至少要有一位专职的安全管理人员负责信息系统安全工作。 ④主要负责人出任领导。由组织机构的主要负责人出任信息系统安全领导小组负责人。 ⑤建立信息安全保密管理部门。建立信息系统安全保密监督管理的职能部门,或对原有保密部门明确信息安全保密管理责任,加强对信息系统安全管理重要过程和管理人员的保密监督管理。
3.网络安全等级保护
等保2.0将“信息系统安全”的概念扩展到了“网络安全”,其中所谓“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
GB/T 22240《信息安全技术网络安全等级保护定级指南》定义等级保护对象的安保等级分为五级: 第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益; 第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益产生严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全; 第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害; 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害; 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。
2) 安全保护能力等级划分
GB/T 22239《信息安全技术网络安全等级保护基本要求》规定了不同级别的等级保护对象应具备的基本安全保护能力。
第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。 第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。 第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。 第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。 第五级安全保护能力:略。
4.3 本章练习
1.选择题
(1) 不属于信息系统架构模式。 A.集中式架构 B.分布式架构 C.企业信息化架构 D.面向服务的架构 参考答案:C
(2) 不属于IT运维能力的关键指标。 A.人员 B.技术 C.过程 D.问题 参考答案:D
(3) 不属于信息系统咨询设计的范畴。 A.战略咨询 B.技术咨询 C.管理咨询 D.财务咨询 参考答案:D
(4)智能运维场景实现的关键审核要点应围绕 。 A.质量可靠、安全可控、效率提升、成本降低的四个运维目标 B.场景分析、场景构建、场景交付、效果评估四个关键过程 C.数据管理、分析决策、自动控制三个能力域 D.能感知、会描述、自学习、会诊断、可决策、自执行、自适应七个特征 参考答案:B
(5) 就是确保所传输的数据只被其预定的接收者读取。 A.保密性 B.可靠性 C.可用性 D.完整性 参考答案:A
(6) 不属于服务质量构成的因素。 A.服务生产质量 B.服务要素质量 C.服务生产质量 D.服务感知质量 参考答案:D
2.思考题
(1)请给出信息系统规划的战略三角关系,并阐述信息系统战略应如何与业务和组织战略保持一致? 参考答案:信息系统战略三角突出了业务战略、信息系统和组织机制之间的必要一致性。信息系统战略本身可以影响并受到组织业务和组织机制战略变化的影响。为了保持成功运行所需的平衡,信息系统战略的改变必然伴随着组织机制战略的变化,并且必须适应整体业务战略。P94-P95
(2)请详细阐述运维能力模型的主要内容。 参考答案:该模型包含治理要求、运行维护服务能力体系和价值实现。P120
(3)请阐述一下IT服务管理的主要活动,及这些活动的主要管理要点。 参考答案:IT服务管理是通过主动管理和流程的持续改进来确保IT服务交付有效且高效的一组活动。IT服务管理由若干不同的活动组成:服务台、事件管理、问题管理、变更管理、配置管理、发布管理、服务级别管理、财务管理、容量管理、服务连续性管理和可用性管理。P101-102