第8章 监督管理
根据国家电网提出的建设坚强智能电网、构建“三集五大”体系,深入推进“两个转变”、建设“一强三优”现代公司的战略目标,信息化作为推进电力企业实现发展战略目标的核心保障体系,作用日益突出。这其中更需要进一步推动信息运维综合监管系统的深化应用工作。经过20多年的信息化建设,某电力企业的信息化建设经历了从无到有、从有到精的过程,取得了长足的进步。与此同时,对IT服务质量的要求也随之提升,搭建一个综合的IT运维管理系统,建立综合的IT基础设施管理和服务管理中心势在必行。
某软件股份有限公司是国内IT运维管理服务提供商,为多家电力企业提供了“定制化”IT运维管理方案,具备丰富的行业实施经验,根据某电力公司的实际情况,本着层次化、分布式部署的原则,同时兼顾经济成本和效益关系,某软件公司为其定制了基于某综合管理软件的解决方案,在某电力公司部署了智能化的IT运维管理平台,用于实现其IT基础资源的全面管理和监控。该公司任命在其他同类项目中担任过技术骨干的小李,来担任本项目的项目经理来负责整个项目过程的方案实施。通过方案实施,将取得了以下成果:
(1)实现了对全网IT资源的整体管理。在某电力总部,目前主要设备是思科、H3C等网络设备,通过某运维软件自动构建各个网络设备间的线路,系统将全网IT资源各项数据自动收集,并将各种软硬件资源的状态集中地在直观图形中体现。通过自动生成的物理拓扑图、应用服务一览和业务系统一览等IT资源的展现,可以让技术人员迅速对整个IT资源的各项性能做到快速了解和判断,并实时显示各个设备的负载情况,线路的运行状况,并以颜色标注负载的大小,帮助运维人员实时关注整个网络运行状况,能够一目了然地掌控整个IT架构的健康度和实时运行状态。
(2)实现了对全网的故障预警与告警。该平台能够对IT网络及系统的各类告警事件产生的事件信息和告警信息进行整合和自动化处理。提供丰富的告警类型,涵盖网络告警、管理告警、主机监视、应用监视、流量监控等多个层面。对于各类突发事件,系统可采用灵活多样的告警方式及时通知信息中心管理人员,包括中文语音报读、控制台弹出消息、E-Mail、SMS、Windows信使等,实现了全天候的事件自动通知。同时,通过内置的事件处理机制,配合管理员预置的事件联动措施,可实现对于告警的自动诊断与快速恢复,有效地增强了某电力应对网络突发事件的处置能力。
(3)定期统计报表为IT运维提供了数据基础。某运维软件提供了丰富的报表系统,能够帮助某电力的管理人员从设备负载、线路负载、事件故障统计等各个方面进行详细的分析,有效地帮助某电力各单位对网络状况、系统运行及故障情况做全面分析,为下一步信息化的建设方向提供了基础数据支撑。
如果你在该项目中负责监督管理工作,对服务过程、交付结果实施监督和绩效评估。根据本案例介绍回答以下问题:
(1)监督管理有哪些重要内容?
(2)IT服务质量的属性有哪些?并结合本案例进行说明。
(3)风险识别的主要内容包括什么?该项目存在哪些风险?
(4)信息安全管理包含哪些活动?并根据本案例进行适当说明。
答案:
(1)监督管理有哪些重要内容?
监督管理是依据国家IT服务标准对IT服务进行整体评价,并对供方的服务过程、交付结果实施监督和绩效评估。质量管理、风险管理和信息安全管理是监督管理的重要内容,三者之间相对独立。
(2)IT服务质量的属性有哪些?并结合本案例进行说明。
IT服务质量属性包括:
①安全性。如可用性:需方运维业务的匹配程度,题干中提到的“全网IT资源各项数据”;
②可靠性。如连续性:应急预警机制。题干中提到的“提供丰富的告警类型”;
③有形性。如可视性:题干中提到的“直观图形中体现各种软硬件资源的状态、能够一目了然地掌控整个IT架构的健康度和实时运行状态”;
④响应性。如及时性:响应速度,题干中提到的“可实现对于告警的自动诊断与快速恢复”;
⑤友好性。
(3)风险识别的主要内容包括什么?该项目存在哪些风险?
风险识别的主要内容包括:
①识别并确定IT服务的潜在风险;
②识别引起风险的主要因素;
③识别IT服务风险可能引起的后果。
风险一般包括人员、技术、资源、过程和其他五方面。结合本项目来说,人员方面可能会出现人员流动导致服务质量波动大、人员误操作导致业务数据丢失;资源方面可能会发生运维软件平台故障或失效;技术方面可能会存在采用发现问题的技术和服务对象不匹配的风险。
(4)信息安全管理包含哪些活动?并根据本案例进行适当说明。
信息安全管理活动主要包括:
①定义信息安全策略。信息安全政策是一个机构信息安全的最高方针,必须形成书面文件,分发到组织内所有员工手上,并要对所有相关员工进行培训。
②定义信息安全管理体系的范围。即在机构内选定在多大范围内构建信息安全管理体系。
③进行信息安全风险评估。信息安全风险评估的复杂程度取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织信息资产风险的保护需求相一致。具体有三种评估方法可以选择:基本风险评估、详细风险评估、基本风险评估和详细风险评估相组合。
④确定管理目标和选择管理措施。管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。但应注意有些风险的后果并不能用金钱来衡量。由于信息安全是一个动态的系统工程,组织应实时对选择的管制目标和管制措施加以校验和调整。
⑤准备信息安全适用性申明。信息安全适用性申明记录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性申明的准备,一方面是为了向组织内的员工申明对信息安全风险的态度,在更大程度上则是为了向外界表明机构的态度和作为,以表明机构已经全面、系统地审视了信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。