IT服务与信息安全ppt课件.ppt

《IT服务与信息安全ppt课件.ppt》由会员分享，可在线阅读，更多相关《IT服务与信息安全ppt课件.ppt（69页珍藏版）》请在三一办公上搜索。

1、,IT服务管理和信息安全,Leo Luk大中华区区域解决方案架构师Client Solutions Organization,今天的内容,IT服务管理 (ITSM) 概要介绍业界最佳实践 ITIL基於ITIL 的 ITSM - SunTone信息安全标准 BS7799实施建议及成功案例,IT管理面临的主要压力,领导关注的问题,系统和IT资源日益复杂，如何对它们进行有效管理?,IT 运营管理面对的挑战,如何能達到所承諾的服務级别?,如何实现IT与业务的精确校准，帮助企业节约发展成本、增强系统性能?,为什么一些运营商有着与其国际竞争对手一样的甚至更先进的系统、软件，但是系统的建设效果并没有对方好呢

2、?,现在部门的组织结构是否合理?,用户对服务的质量有很高的期望值、但对所提供服务的质量很有意见管理机制分散、部门间各自为政、缺乏沟通管理手段落后只关注系统性能而忽略关注所提供服务的质量,其它运营管理经常遇见的问题:,IT运营管理面对的挑战,如何能有效解决以上种种的运营管理问题?,实现面向业务的IT服务管理 (ITSM),IT服务管理是IT组织用来计划,研发,实施,运维高质量服务的准则:,什么是IT服务管理(ITSM),日常运作和基础架构管理,业务与应用、平台关联性管理,服务流程管理和应用管理,面向客户关注流程强调成本使服务可衡量化,IT服务管理的层面,人员操作 (People),技术 (Pro

3、ducts),Process,管理流程 (Process),40%,40%,40%,40%,20%,20%,如最终用户、系统管理、服务人员,如规则、备份、变更及问题管理,如服务器、储存系统、应用系统及中心环境等,数据中心运营管理出问题的原因分析:,流程Process,技术Products,人员People,实现流程的自动化，电子化，并监测服务的实施,对服务规划，开发和部署进行管理和维护,使用,执行,被执行,设计服务，定义ITSM流程,IT服务管理 (ITSM) 的三大要素,IT服务管理(ITSM)带来的好处,今天的内容,IT服务管理 (ITSM) 概要介绍业界最佳实践ITIL基於ITIL的IT

4、SM - SunTone信息安全标准 BS7799实施建议及成功案例,什么是ITIL,ITIL IT Infrastructure Library，是一系列的技术文档，用以协助IT服务管理 (ITSM) 架构的构建是国际上公認的IT运营管理的最佳实践指南。清晰表述IT运营的最佳流程架构。目的是使IT服务能配合业务的发展需要。ITIL 最关键的核心文档为 服务运营 (Services Support) 和 服务战术 (Services Delivey),www.itil.co.uk,ITIL Publication Map,ITSM业界的最佳实践 - ITIL,ITIL主要服务管理流程,可分为十

5、个核心过程和两个主要领域及功能组, 针对整体运营的规划和管理 长远的发展路向,- 针对每天发生的事情和实施操作- 改善对每件事情的处理流程质量,发布管理流程 - 保障你的生产环境配置管理流程 - 标淮化你的基础设施变更管理流程 - 由一个已知、受控的状态改变成另一个已知、受控的状态问题管理流程 - 找出问题发生的根本原因突发事件管理流程 - 迅速的处理事件以满足服务质量的承诺 服务台 (function, not a process) - 赢取客户对你的信赖,ITIL - 服务运营 (Service Support),服务运营(Service Support)流程模型,16,配置管理数据库,I

6、ncidents,CIsRelationships,Changes,Releases,ProblemsKnown Errors,管理工具,突发事件管理,配置管理,业务，客户，用户,服务台,突发事件,问题管理,变更管理,发布管理,变更,发布,服务级别管理流程- 用户期望值的管理可用性管理流程- 周详的规划以满足服务可用性的要求能力管理流程- 在 IT 基础建设与成本开支间取得平衡财务管理流程- 掌握所提供服务的相关成本持续性管理流程- 在突发事故发生前把相应的风险管理好,ITIL - 服务战术 (Service Delivery),服务战术 (Service Delivery) 流程模型,18,

7、业务，客户，用户,疑问， 咨询,沟通，更新，报告,服务级别管理,需求，目标，成绩,可用性管理,能力管理,IT 财务管理,持续性管理,警报，异常，变更,管理工具,今天的内容,IT服务管理 (ITSM) 概要介绍业界最佳实践ITIL基於ITIL的ITSM - SunTone信息安全标准 BS7799实施建议及成功案例,SunTone 是由 Sun发起并由独立第三方维护和推动的业界标准，它主要关注於 :,什么是SunTONE?,1. 改善基於网络 (network-based) 的服务的质量；和2.提供一个基准，让客户能针对市场上所提供的不同产品、服务，能更容易地作出准确的评估,http:/www.

8、suntone.org,什么是SunTone?,SunTone主要由以下三个部分组成-基於 ITIL 的规范 (Specification) ;- 质量启动 (Quality Enablers) 和- 认证/审计流程 (Audit and Certification),SunTone 被设计成“以协助客户在构建基础框架 、 部署和管理一个高质量的网络IT服务”为主要目标,全球目前有超过 1900家企业和机构已通过 SunTone的认证,如何才能实现IT管理的目标,Achieve This,ProcessDefinition,DeployedSolution,SunTone specifies

9、required processes for organizationsITIL provides guidance and detailed advice for each process,实践指南与标淮,SunTone vs ITIL,SunTone 和 ITIL在相关领域基本采用相同的术语来进行描述、并互为完善和补充; ITIL推荐服务管理领域的每种可能流程,范围广泛实施时间长;SunTones 采用更为注重实效的方法, 精简每个领域的系统管理流程和策略而将精力关注于关键需求,从而实现最高质量的投资回报.ITIL对其推荐的规范和方法建议应当由专门的ITIL专家人员来进行IT服务的实施管理

10、; SunTone则对其推荐的规范和方法定义了直观的质量评估和考核指标来指导IT服务的实施管理 ITIL在实施以及效果衡量方面仅仅注重考核认证那些培训实施人员的经验和能力; SunTone则注重考核实际实施的质量和结果. 结论: 两种标准体系应该互为补充和完善, 因为两种方法体系完整论述了从人员培训到实际服务提供和实际管理的整个方面;,SUN ITSM模型的特点: ITIL+SunTone,SunTone 规范中新增了ITIL架构体系所没有专门论述的内容: 服务架构:论述服务目的,设计以及宏观层面架构, 其关键在于通过全面规范设计实现服务质量,并且贯穿服务提供的整个生命周期. 安全管理: 特别

11、表述访问控制, 防火墙和安全审计等内容, 更广泛和相关性地涉及安全和私密性相关的所有问题.数据中心管理: 基于Sun运行环境的管理经验,包括相关关键技能和竞争力的特定建议.SunTone中没有ITIL中的财务管理,SUN公司的ITSM参考模型,流程管理,管理平台,服务级别管理,事件管理器,资源管理器,架构管理工具,业务,功能,雇员,技术,人员,技术,流程,SUN ITSM服务-管理流程设计,服务管理,角色和职责投产步骤部件验证,配置管理帮助台管理事件管理问题管理变更管理发布管理服务水平管理,可用性管理安全管理容量管理服务持续性管理IT 财务管理,硬件配置软件部件服务等级配给可用性需求安全考虑,

12、容量规划IT服务持续性配给IT 财务考虑验收 / 验证,验收测试技术能力客户技术能力,服务架构,服务实施,今天的内容,IT服务管理 (ITSM) 概要介绍业界最佳实践ITIL基於ITIL的ITSM - SunTone信息安全标准 BS7799实施建议及成功案例,BS7799 标准,BS7799 是以风险为基础的信息安全体系，共分为两个部分:BS7799-1:1999 / ISO 17799 (守则) “信息安全管理实施细则” 给出了控制实例BS7799-2:2002 (规范) “信息安全管理体系规范” 给出了检查标准 BS7799 是目前最广为接受的信息安全管理标准BS7799-2:2002

13、在申请ISO标准过程中,Financial ServicesHSBC, Association of British Insurers, Institute of Internal AuditorsCommunications British TelecommunicationsRetail Marks and SpencerInternational FocusKPMG, Shell International Petroleum,Who Formulated BS7799,BS7799-2 Certificates per Country, (as of 6 Dec 2004),The A

14、bsolute Total represents the actual number of certificates. The Relative Total reflects certificates that represent multi-nation registrations or are dual-,全球通过 BS7799-2 认证的机构,通过 BS7799-2 认证的国内公司名单, (as of 6 Dec 2004),访问控制,资产分类和管理,安全策略,组织的安全,人员安全,物理的和环境的安全,通信和运营管理,系统的开发与维护,业务连续性管理,符合性,信息资产,BS7799 所覆

15、盖的10个安全领域,完整性,保密性,可用性,36 控制目标127 控制,信息安全管理系统(ISMS)管理的对象,达到均衡状态,今天的内容,IT服务管理 (ITSM) 概要介绍业界最佳实践ITIL基於ITIL的ITSM - SunTONE信息安全标准 BS7799实施建议及成功案例,基于项目的服务(在ITSM研讨会后基于客户的需求选择）,基于项目的服务(在ITSM研讨会后基于客户的需求选择）,基于项目的服务(在ITSM研讨会后基于客户的需求选择）,基于项目的服务(在ITSM研讨会后基于客户的需求选择）,基于项目的服务(在ITSM研讨会后基于客户的需求选择）,基于项目的服务(在ITSM研讨会后基于

16、客户的需求选择）,基于项目的服务(在ITSM研讨会后基于客户的需求选择）,基于项目的服务(在ITSM研讨会后基于客户的需求选择）,SUN ITSM 分阶段实施规划,ITIL / SunTONE 实施的参考时间,ISO/IEC 17799:2000,信息安全管理系统 (ISMS)实施流程,建立安全论坛(Security Forum),成立安全推动小组(driving team),小组接受培训和理解 BS7799-2 标淮,制定目标,制定安全政策,风险评估,制定风险应对计划和适用性说明书 (SOA),制定相关文件纪录、及其管理和管制的措施,安全警觉性培训,实现安全管制 (Implement Con

17、trols),内部审计,管理层审核(Management Review),外部预审,采取更正和预防措施,5.2,4.2.1,4.3.24.3.3,5.2.2,4.2.14.3.1,4.2.14.3.1,4.2.14.3.15.1, 5.2,4.2.2Appendix A,4.2.36.4,4.2.3, 6.1, 6.2, 6.3,Plan,Do,Check,Act,4.2.15.1,4.2.4, 7.1, 7.2, 7.3,进行安全差距分析(Base Evaluation ),Time frame: 6 monthsManpower involved: 71 Project Manager;

18、2 Lead BS7799 consultant, 2 Consultants, 2 Engineers ResultsWorldwide recognized security standardImproved Service LevelIncreased tender successful rateBenchmark for Hutchison worldwide,Sample of BS7799 certification,参考案例 - Sun IT,超过300 个办事处,在全球170多个国家有业务运作,6 个主要的数据中心，分布於三个不同的时区,1,000+供应商和合作伙伴,Centr

19、alized Infrastructure,20,000+雇员,Network Installationsin 100+ countries,7 Firewall Complexes,6800Subnets,400 Network Applications,5.7 Millione-mails per day,5000 Servers,18,600 Websites,27,000 SunRays,99.995% Reliability,500 TB of Data in data centers,范围与规模,Server Utilization,Time to Deploy,Ports/Adm

20、in,Terabytes/DBA,Availability,Servers/Admin,Efficiency,Sleepless Nights,参考案例 - Sun IT的ITSM服务水平,参考案例 - Hutchison GlobalCentre,- World Class Data CentreSunTONE (2001) and BS7799 (2003) Certified- Premium Services with SLA100 % power uptime in the passOracle Financial Outsourcing ServicesIT Outsourcing

21、Firewall and Network Management ServicesDR and BCP Services - 4000 m2 with 600 cabinets (49U)90% rented out, over 100 DB instance, 200+ applications, 1000+ serversMajor clients: Hutchison and banking & Finance,参考案例 - Hutchison GlobalCentre,Product Summary,Customer Experiences,参考案例 - Hutchison Global

22、Centre,22%,问题解答?,65%,End of the Presentation,谢谢!,Supporting Slides,什么是基于ITIL的IT服务管理 (ITSM),基于ITIL的IT服务管理（ITSM）有别于传统的IT管理ITSM 以ITIL为基础，强调IT和业务需求的有效融合，同时注重IT投入的成本和效益。ITSM应针对组织业务和客户的真实的可用性需求对IT基础架构配置进行合理的安排和设计，避免盲目的IT投资和重复建设；ITSM应通过事件管理、问题管理等流程支持IT基础架构和组织业务的持续运作，保证IT资源的有效利用和业务运作的高可用性、高持续性和高安全性。ITSM应将所有

23、IT投入纳入统一核算，为考核IT服务的成本和效益提供了可靠的评价依据。,ITIL for Service Management,How Sun Leverages SunTone, ITIL & Sun Sigma,Operations,Help Desk,ITIL: Best Practices (What),Sun Sigma:Tools (How),VOC, QFD, CTQ,Process Capability,Affinity Diagram.,Kano Diagram, Process Map, FMEACharts:Control, Pareto,Frequesncy, Run,

24、 etc.Statistics: Regression, ANOVA, DOEetc.,ReliabilityServiceabilityMaintainabilitySecurity,Risk AnalysisAvailability PlanSystem Analysisetc.,SLMChange Mngmt.Capacity Mngmt.Problem Mngmt.etc.,ArchitectImplementManage,SunTone: Framework,ITIL and Suntone Mapping,Product Map,IT服务管理管理架构,Strategic Proce

25、sses,61,Supplier,AccountManagement,Operational Processes,Services,User/Customer,Client,Management,Service Support,Service Delivery,RelationshipManagement,Service LevelManagement,ConfigurationManagement,Production,ProblemManagement,Development,Service Design,ServiceBuild & Test,Service Planning,Secur

26、ityManagement,Finance Mgmt. For IT Services,Availability & IT Continuity Mgmt.,CapacityManagement,RFC,ReleaseManagement,Service Desk IncidentManagement,Data,ChangeManagement,RFC,一个用来管理组织的框架，强调管理应依靠系统化的流程和步骤而非根据个人的取向,甚麽是管理体系(What is Management System),政策 - demonstration of commitment and principles f

27、or action 规划 - identification of needs, resources, structure, responsibilities 实施和运作 - awareness building and training 效能评估 - monitoring and measuring, handling non-conformities, audits 改进 (corrective and preventive action, continual improvement) 管理层审核 (Management review),管理体系的组成要素,IT 管理体系 Implement

28、ation Methodolgy,戴明(Deming) 质量改进循环 (PDCA 循环),InterestedPartiesIT ManagementSystem Requirements & Expectations,InterestedPartiesManagedIT Systems and Information Security,IT管理体系ITSMISMS,服务战术 ( Service Delivery ),ITIL 服务运营 ( Service Support ),理解 BS7799-2 认证的模型,ISMS,Audit Team,Accreditation Bodies,Orga

29、nization,Certification Body,BS7799 ISMS Part 2,EA7/03,参考案例 - Sun IT 组织架构,Sourcing Council,Business Systems Council,CTO,CIO,Strat Planning Architecture Bus Sys Arch Data Arch Security Arch Sun on Sun SunONE, N1, S1, V1, H1 Beta on Sun Marketing IT,Design Integration Test Implementation Maintenance Le

30、vel 3 Support,Release MgmtChange MgmtProcess/Stndrds/Tools Re-engReleaseChange AccelOpsSoftware EngTest MgmtPerf & AvailInfra IntegrityDstr RcvryEngagemt Mgmt,Infra Supt/Ops Desktop Supt Security Ops Network Ops DBA Ops Level 1 & 2 Support,IT Admin MRP M&A Plng Vendor Mgmt IT Comm IT Asset Mgmt IT B

31、us Proc Metrics Goaling Sigma Bus. Sys. Council,Key Services,Sun Services,Suggested Operations Organization,CIO,SLA Mgmt.Release MgmtChange MgmtProcess/Stndrds/Tools Re-engReleaseChange AccelOpsSoftware EngTest MgmtPerf & AvailInfra IntegrityDstr RcvryEngagemt Mgmt,IT Admin MRP M&A Plng Vendor Mgmt IT Comm IT Asset Mgmt IT Bus Proc Metrics Goaling Sigma Bus. Sys. Council,Network Services,DatacenterOperations,SA/Operators,DBA,Monitoring & Metering,Change Execution,Facilities Mgmt.,Network Operations,Asset Mgmt.,Tools,Call handling/ Incident Mgmt,