目录
8.1 概述
8.2 IT服务质量管理
8.3 IT服务风险管理
8.1 概述
监督管理金三角模型:
- 监督管理是依据国家IT服务标准对IT服务进行整体评价,并对供方的服务过程,交互结果实施监督和绩效评估.
- 质量管理,风险管理和信息安全管理是监督管理的重要内容.
- IT服务质量管理是通过制定质量方针,质量目标和质量计划,实施质量控制,质量保证和质量改进等活动,确保IT服务满足级别协议的要求,最终获得用户的满意.
- IT服务风险管理是对已知风险的认识,分析,采取防范和处理措施等一系列的管理过程.对服务进行风险控制和管理,可以最大限度的减少IT服务风险的发生,提高服务成功的概率.
- 信息安全管理是确保组织的资产,信息,数据和IT服务的保密性,完整性,可用性及其他属性的过程,其他属性有真实性,可核查性,可靠性,防抵赖性等.
8.2 IT服务质量管理
- IT运维服务质量的评价来自于IT服务供方,IT服务需方和第三方的需要.
- 对于 IT 运维服务的供方,需要通过对服务过程能力和服务质量的量化,检查自身存在的问题和改善机会,帮助服务组织以最符合成本的方式提供满足客户需求的 IT 运维服务产品。对于 IT 运维服务的需方,需要通过对供方 IT 运维服务能力的量化评价和选择符合需要的供应商;同时,也需要通过对服务质量的量化来检验供方提供的实际服务是否满足了双方确定的服务等级,也是确定 IT 运维服务费用结算的依据之一。对于 IT 运维服务的第三方,需要将对供方服务能力和实际服务绩效的量化考评作为授予资质和颁发证书的有效依据.
- 信息技术服务质量评价指标体系》标准给出了运行维护服务评价指标及测量方法,具体包括指标名称、测量目的、应用的方法、公式及数据元计算、测量值解释、数据类型和测量输入。
- 服务质量的 5 类特性:安全性、可靠性、有形性、响应性、友好性。每大类服务质量特性进一步细分为若干子特性。(口诀:全靠有相好)
- 信息技术服务质量评价分为确定需求、指标选型、实施评价以及评价结果分级四个步骤.
- IT 服务评价指标
(1)安全性:可用性、完整性、保密性
(2)可靠性:完备性、连续性、稳定性、有效性、可追溯性
(3)响应性:及时性、互动性
(4)有形性:可视性、专业性、合规性
(5)友好性:主动性、灵活性、礼貌性 - 运维服务质量是指服务能够满足规定和潜在需求的特征和特性的总和,是指IT服务工作能够满足被服务者需求的程度.运维服务质量管理包括运维服务质量策划,运维服务质量检查,运维服务质量改进等活动.
- 运维服务质量策划:运维服务质量负责人和运维业务负责人应当定期对运维服务的质量进行整体策划,策划的内容包含:
- (1)确定运维服务质量的目标,结合运维业务实际情况,运维服务客户的需要以及当前运维能力水平,设定合理的运维服务质量目标;
- (2)确定运维服务质量管理的活动,为了达到运维服务质量目标,必须事先策划所要采取的质量保证和质量控制活动;
- (3)确定运维服务质量管理相关的职责和权限;
- (4)时间安排,在策划阶段需要对确定的各类质量活动时间做出大致安排,或者确定频率周期;
运维服务质量策划最终要形成质量策划文件,在最终确定后,应该以正式的形式发送给相关方.
9.常见的质量实施和检查活动包括:
- 进行满意度调查
- 运维各项目质量保证工作实施
- 内审
- 管理评审
- 日常检查
- 质量文化培训等
10.运维服务质量负责人和业务负责人需要定期关注质量检查活动的执行状况,保证各项质量工作按照计划在执行,必要时给与指导.
关注的方式可以是正式的也可以是非正式的,可以采用的方式包括但不限于:
- 定期召开质量会议
- 定期质量报告
- 不定期的邮件质量问题沟通
8.3 IT服务风险管理
1.风险:某一事件(机会或者威胁)发生的概率(可能性)和后果(影响)的组合。大小=概率*影响
IT 服务风险:不确定事件或条件,一旦发生会对服务至少一个目标产生影响(好的或坏的)
IT 服务风险类型:通常包括人员、技术、资源、过程、其他(服务范围蔓延等)
2.风险管理的过程
3.风险管理计划编制的输入
IT 服务风险管理计划编制的输入物包括:服务范围说明书、服务预算、沟通管理计划、组织过程
资产、事业环境因素、进度管理计划(必要时)。
4.风险管理计划编制的输出
- (1)方法:IT 服务中实施风险管理的办法和使用的工具等。
- (2)角色与职责:定义 IT 服务风险管理团队的成员,并且为这些成员分配具体任务与职责。
- (3)预算:分配资源并估计成本。
- (4)制订时间表:定义在 IT 服务整个生命周期中风险管理过程的执行时间进度计划。
- (5)风险类别:事先准备的常用风险类别,用一个简单的列表标识 IT 服务不同方面的风险。
- (6)风险概率:定义一个根据风险类别确定风险概率的客观标准。
- (7)风险影响力:反映的是风险影响的严重程度。
- (8)概率及影响矩阵:根据风险对目标的影响程度,用一种查询表格即影响矩阵对风险排序。根据风险概率和影响程度的组合,决定该风险的高、中、低程度。
- (9)报告的格式:如何对风险管理过程的结果进行归档、分析及沟通。
- (10)跟踪:记录风险行为的方方面面,并将这些内容进行归档
5.风险识别的主要内容包括以下三个方面
- 识别并确定IT服务的潜在风险
- 识别引起风险的主要因素
- 识别IT服务风险可能引起的后果
6.风险识别的输入如下
- SLA:目标描述,干系人的目的,对服务的期望等;
- 范围说明书:范围说明包含假设条件;
- 风险管理计划:从风险管理计划到风险识别过程的关键输出是角色和责任的分配,以及为风险管理任务的预算和计划所做的准备;
- 组织过程资产:在相关文档中的过往实际数据和经验教训;
- 环境及组织因素:已经发表的信息,对于识别风险都很有帮助;
7.风险识别的输出
(1)风险记录
- 风险记录包含风险分析的结果、优先级,实施其他风险管理过程措施后的响应,包括:已识别出的风险列表,已识别出的风险,以及风险的根本原因、风险造成的影响。
- 风险征兆或警告信号:利用这些标识,在其将要发生时提高人们的警惕性。
- 潜在的风险应对方法列表:在风险识别过程中对如何应对风险进行简单建议。
- 风险的根本原因:导致风险的基本条件或事件。
- 更新的风险分类:识别风险的过程会为风险类别列表添加新的风险类别。
(2)更新管理计划
风险识别过程可能需要采取进一步的措施,更新管理计划中的其他过程计划.管理计划及其辅助记住的变更是通过整体变更控制系统处理的.
8.风险识别方法
(1)文档评审:对文档釆取一些结构化的评审。
(2)信息收集技术:
- 头脑风暴法:成员产生对风险的想法,并在会议上公布这些风险来源,让大家一起参与检查,然后根据风险类别进行风险分类。这样风险定义就清晰化了。-----集思广益
- 德尔菲法:使用问卷征求重要风险方面的意见,将意见结果反馈给每位专家,重复此过程几个回合,即可在主要的风险上达成一致意见。----匿名反馈
- 访谈法:通过访谈资深系统规划与管理师相关领域的专家进行风险识别。访谈对象依据他们的经验、服务的信息,以及他们所发现的其他有用供方,对风险进行识别。
- 优劣势分析法(Strengths Weaknesses Opportunities Threats,SWOT):从每个方面对进行检查,扩大考虑风险的范围。
(3)检查表:从以往类似和某些其他信息来源中积累的历史信息与知识,可用于编制风险识别信息检查表。
(4)分析假设:分析假设是一种技术手段,它从不准确、不连贯、不完整的假设中识别风险。
(5)图解技术:图解技术包括因果分析图、系统或过程的流程图等。
9.风险定性分析的输入
- (1)风险管理计划:风险管理的角色与责任、风险管理的预算与活动、风险种类、概率和影响定义、概率与影响矩阵、修正干系人的风险承受能力。
- (2)风险记录:已识别出的风险、风险的根本原因、重要假设、风险可能发生的征兆或警告信号。
- (3)组织过程资产:历史的风险数据和经验教训可以用于风险定性分析。
- (4)工作绩效信息:风险的特点会随着进展而不断变化。如果风险定性分析在生命周期的中间阶段进行,则来自该过程的工作绩效信息和绩效报告一起作为状态的度量信息。
- (5)范围说明:一般来说,进行过多次的服务会有很多被人们充分理解的风险。使用先进技术或高复杂度的服务存在更多的不确定性。这可以通过服务范围说明来进行评估。
10.风险定性分析输出
- (1)按优先级或相对等级排列的风险:概率及影响矩阵可根据每个风险的重要程度分类。
- (2)按种类的风险分组。
- (3)要近期做出响应的风险列表。
- (4)需要进一步分析和应对的风险列表。
- (5)低优先级风险的监视表
- (6)风险定性分析结果中反映的“趋势”。随着分析的不断重复,特定风险结果的趋势愈加明显,使得风险应对或进一步分析的紧迫性、重要性可能增加,也可能减少。
11.风险定量分析的输入(背)
- (1)管理计划。
- (2)风险管理计划。
- (3)经过更新的风险记录。
- (4)包含活动的逻辑关系及活动历时估算的进度管理计划。
- (5)包含成本估算的成本管理计划。
- (6)范围说明和范围管理计划。
- (7)工作分解结构。
- (8)组织过程资产,如类似的服务、风险管理的专业人员对类似项目服务所做的研究成果、风险数据库。
12.定量风险分析的输出(背)
- (1)可能性分析:对进度和成本的输出进行估计,并列出可能完成的日期和成本。
- (2)实现成本和进度目标的可能性。
- (3)已量化风险的优先级列表。
- (4)定量风险分析结果中的趋势。
13.风险处置计划的输入
- (1)风险管理计划:成员任务分配、风险分析定义、不同风险等级的划分、风险管理计划的进度和预算方案。
- (2)风险记录:风险处置计划过程可能必须向前追溯已识别出的风险、挖掘风险的根源、潜在的应对措施、风险责任人及风险的征兆和警告信号。
14.风险处置计划的输出(背)
- (1)已识别的风险及其描述。
- (2)风险责任人及其职责。
- (3)定性和定量风险分析过程的结果。
- (4)一致认同的应对策略。
- (5)执行选定的应对策略所需的具体行动。
- (6)在应对策略执行后,期望的残留风险水平。
- (7)风险发生时的预警和信号。
- (8)风险应对策略所需的预算和时间。
- (9)时间和成本的应急储备,目的是为干系人提供一定的风险承受能力。
- (10)启动应急计划的触发条件。
- (11)风险一旦发生后所采用的回退计划。
- (12)残留风险。
- (13)二级风险:执行某一风险应对措施而直接引发的风险。
- (14)需要的应急储备量:通过风险的定量分析和组织对风险的承受能力来确定。
- (15)风险相关的合同协议。
15. 风险处置计划的方法
(1)负面风险应对策略。(把减轻的措施记住后其它用排除法,要记得高风险严重的风险不能转移)
- 避免:修改计划以消除相应的威胁、隔离目标免受影响、放宽目标等。
- 转移:风险转移是指把威胁的不利影响以及风险应对的责任转移到第三方的做法。
- 减轻:即通过降低风险的概率和影响程度,使之达到一个可接受的范围。
(2)机遇应对策略。(积极风险应对八字方针:开拓质量,提高数量)
- 开拓:分配更多好的资源给该服务,使之可以提供比原计划更好的成果。
- 分享:将相关重要信息提供给一个能够更加有效利用该机会的第三方。
- 强大:通过增加可能性和积极的影响来改变机会的大小,发现和强化带来机会的关键因素,寻求促进或加强机会的因素,积极地加强其发生的可能性。
(3)同时适用威胁和机遇的应对策略。既应对威胁也应对机会,通常的风险应对策略是预留突发事件预备资源,包括进度、成本或资源来处理己知的甚至是潜在的突发的未知风险。
(4)应急响应策略。制订一个计划来应对风险,等以后必要时使用
16、风险监控的输入
- (1)风险管理计划:关注责任人、时间和进行风险管理所需的其他资源。
- (2)风险记录:已识别的风险及其责任人、一致认同的风险应对策略及实施措施、风险征兆及预警信号、残余风险及二级风险、低优先级风险的监视列表和时间及成本应急储备。
- (3)工作绩效信息:计划交付的状态、改正措施和执行报告。
- (4)批准的变更请求:工作方式、合同期限、范围大小、工作计划的修订。
17、风险监控的输出
- (1)建议的纠正措施:包括应急计划和临时措施,纠正措施可以指导并管理服务的执行过程。
- (2)变更申请:变更申请由综合变更控制进行管理。
- (3)风险记录:一个在风险管理中收集数据并进行维护和分析的知识库。
- (4)组织过程资产:风险管理程序可以应用于未来服务,并作为组织过程资产的一部分。
18、风险监控的方法
- (1)风险评估
- (2)风险审计和定期的风险评审
- (3)差异和趋势分析
- (4)技术的绩效评估
- (5)预留管理
19、风险跟踪的方法:
- (1)风险审计
- (2)偏差分析
- (3)技术指标分析
