目录
- [第4章 信息系统管理](#第4章 信息系统管理)
-
- [4.1 管理方法](#4.1 管理方法)
- [4.2 管理要点](#4.2 管理要点)
第4章 信息系统管理
4.1 管理方法
4.1.1管理基础
- 3层架构(低-->高):(人员、技术、流程、数据)、信息系统、管理
- 4要素(人流技数):人员、技术、流程、数据
- 4大领域:规划和组织、设计和实施、运维和服务、优化和持续改进
4.1.2规划和组织
- 战略三角
- 业务战略(业务目标及达成的途径:迈克尔·波特提出的竞争力优势模型)
- 信息系统(用来提供信息服务的计划,支撑组织实现业务战略)
- 组织机制(组织设计管理业务流程做出的选择:哈罗德·莱维特的钻石模型)
- 信息系统
- 业务战略是:竞争(服务对象想要什么,竞争做什么)、定位(组织想以什么方式竞争)和能力(组织能做什么)
- 信息系统帮助确定组织的能力
- 信息系统战略矩阵
- 硬件:物理组件
- 软件:程序、应用、工具
- 网络:连接
- 数据:存储的信息
- 战略类型
- 总成本领先战略:在市场上成本最低(高性价比)、通常一个行业中只存在一个成本引领者
- 差异性战略:差异化、独特(一个或多个维度、价格公平)
- 专注化战略:专注狭窄细分市场、定制
- 专注成本(细分市场成本优势)
- 专注差异化(细分市场产品或服务差异化、区域/局部竞争优势)
4.1.3设计和实施
- 业务需求 --> 信息系统架构(信息系统架构将组织业务战略转换为信息系统的计划提供蓝图)
- 设计方法
- 从战略到系统架构:业务战略 --> 更具体的目标 --> 业务需求 --> 信息系统架构的系统要求、标准和流程的更详细视图(数据、流程需求、安全目标、治理安排、权责)
- 从系统架构到系统设计:添加硬件、数据、网路、软件;级别:全局级、组织间级、应用级
- 转换框架:业务战略-系统架构-系统设计;内容、人员、位置
- 3种架构模式
- 集中式架构:集中建设、部署于数据中心、IT部门直接管理、主机架构 、业务本身高度集中、维护方便
- 分布式架构:分散多设备,依赖网络连接、基于服务器架构 、可伸缩、非集中化、模块化
- 面向服务的系统架构(SOA):软件即服务SaaS相关架构、也被称为Web服务(资源层、服务层、业务层、应用层)、相互连接的服务、服务编排、基于Web的架构 、敏捷、可重用、模块化和组件化 、快速设计迭代、解决信息孤岛
4.1.4运维和服务
- 运行管理和控制
- 过程开发(重复性活动记录、开发、审批、批准)
- 标准制定(标准化定义和约束、一致性)
- 资源分配(管理层分配资源)
- 过程管理(测量和管理过程执行)
- IT服务管理
- 服务台(信息发布点 + 协调者、响应和处理用户问题和需求)
- 事件管理(故障、快速解决事件、恢复业务)
- 问题管理(找到发生原因,避免再次发生)
- 变更管理(变更控制和执行)
- 配置管理(识别、记录、控制、更新配置项 ;配置数据库)
- 发布管理(计划、实施、记录变更)
- 服务级别管理(服务水平协议SLA、服务质量管理)
- 财务管理(预算编制、设备投资、费用管理、项目会计和项目投资回报率管理)
- 容量管理(容量满足服务需求)
- 服务连续性管理(灾难时保持服务有效性,5过程:服务连续性管理的治理、业务影响分析、制定和维护服务连续性计划、测试服务连续性计划、响应与恢复)
- 可用性管理(实际能够使用 )
- 运行与监控
- IT运行任务:按计划作业、监控并按优先级分配资源、失败重启、优化备份、监控可用性保证性能、空闲维护
- 要素:运行监控(错误包括:系统错误、程序错误、通信错误、操作员错误等)、安全监控(监控预防和响应安全事件)
- 终端侧管理(使用IT管理工具、包括操作系统配置、补丁安装、软件程序安装、使用外部数据存储设备等)
- 程序库管理(应用程序源代码和目标代码;访问控制、程序签入、程序签出、版本控制、代码分析等)
- 安全管理(信息安全计划识别解决风险)
- 介质控制(介质管理、销毁策略和程序、包括:备份介质、虚拟磁带库、光学介质、硬盘驱动器、固态驱动器、闪存、硬拷贝等)
- 数据管理(获取、处理、存储、使用、处置等)
4.1.5优化和持续改进(基于有效的变更管理)
- 传统改进PDCA:即Plan(计划)、Do(执行)、Check(检查)和Act(处理)
- 六西格玛的五阶段方法DMAIC/DMADV(对戴明环四阶段周期的延伸)
- 定义(Define):待优化信息系统定义(延伸目标)、核心流程定义(SIPOC)、团队组建
- 度量(Measure):流程定义(流程图工具)、指标定义、流程基线、度量系统分析(质量始于度量;准确、可重复、线性可重现、稳定)
- 分析(Analysis):价值流分析、信息系统异常源头分析、确定优化改进的驱动因素
- 改进/设计(Improve/Design):提出并实施解决方案(量化收益)、定义新条件、定义和缓解故障
- 控制/验证(Control/Verify):操作控制要素、持续验证、记录经验教训
4.2 管理要点
4.2.1数据管理
- 数据管理能力成熟度模型DCMM
- 8个核心能力域
- 数据战略 :规划 (识别利益相关者、数据战略需求评估、数据战略制定、数据战略发布、数据战略修订)、实施 (评估准则、现状评估、评估差距、 实施路径、保障计划、任务实施、过程监控)、 评估(建立任务效益评估模型、建立业务案例、建立投资模型、阶段评估)
- 数据治理 :组织 (基础、规划、控制、指导)、制度建设 (分层次制度体系、基础、依据)、沟通(确保了解情况、培训、建立和提升内部数据管理能力、提升数据资产意识,构建数据文化)
- 数据架构 :数据模型 (使用结构化语言、模型设计规范重新组织需求)、数据分布 (明确分布关系、定义优先级等)、数据集成与共享 (建立集成共享机制、促进内部数据互联互通)、元数据管理(创建、存储、整合与控制)
- 数据应用 :数据分析(数据分析挖掘建模)、数据开放共享(内部数据有选择的对外开放、按管理策略引入外部数据供内部使用、数据价值最大化的基础 )、数据服务(对内外部数据加工分析提供数据服务、数据服务是数据资产价值变现最直接的手段、数据资产价值衡量的方式之一)
- 数据安全 :安全策略(核心)、安全管理(组织内部)、安全审计(定期控制、可内外部人员执行、目标是为组织以及外部监管机构提供评估和建议)
- 数据质量:需求(明确目标、度量和管理依据)、检查(实时监控、发现并反馈问题)、分析(分析检查结果、找出原因、确定优先级)、提升(质量改进方案制定和实施)
- 数据标准:业务术语(业务概念的描述、理解数据和应用数据的基础、保证具体技术名词理解的一致性)、参考数据和主数据(用于将其他数据进行分类的数据,包括标准化术语、代码值和其他唯一标识符;跨系统等的核心业务实体数据)、数据元(核心数据元的标准化)、指标数据(用于衡量的数据)
- 数据生存周期:数据需求(识别需要的数据、确定优先级、文档方式记录和管理)、数据设计和开发(数据解决方案:持续满足数据需求)、数据运维(维护日常运行,持续可用)、数据退役(历史数据管理)
- 数据管理模型
- 数据管理能力成熟度模型DCMM
- 5等级:初始级 (项目级、不统一、被动)、受管理级 (数据资产、管理流程、初步管理)、稳健级 (重要资产、组织级、标准化流程、规范化)、量化管理级 (获取竞争优势的重要资源、量化分析和监控)、优化级(数据是生存发展的基础、实时优化、最佳实践分享)
- 数据治理框架DGI
- 数据管理能力评价模型DCAM
- 数据管理模型DAMA
- 数据管理能力成熟度模型DCMM
4.2.2运维管理
- 能力模型
- 国家标准GB/T 28827.1《信息技术服务运行维护第1部分通用要求》
- IT运维能力模型 :治理要求、运行维护服务能力体系、价值实现
- 能力建设 :
- 运行维护服务能力体系:策划、实施、检查、改进;
- 4关键指标:人员、技术、资源、过程能力;
- 价值实现:服务需求(识别策划)、服务提供(实施)、服务价值(应用)
- 人员能力(选人:管理类、技术类、操作类)
- 资源能力(保障:知识库、服务台、备件库以及运行维护工具)
- 技术能力(高效:出现问题和解决问题技术)
- 过程(正确:服务级别、服务报告、事件、问题、变更、发布、配置等过程。)
- 国家标准GB/T 28827.1《信息技术服务运行维护第1部分通用要求》
- 智能运维
- 能力框架:组织治理、组织战略、组织方针、组织架构、组织文化、相关方需求和期望
- 智能特征:能感知、会描述、自学习、会诊断、可决策、自执行、自适应
- 智能运维场景实现(应用):场景分析、场景构建、场景交付(服务交付)、效果评估(迭代调优)
- 能力域(能力平台):数据管理、分析决策、自动控制
- 能力要素(基础):人员、技术、过程、数据、资源、算法、知识
- 能力框架:组织治理、组织战略、组织方针、组织架构、组织文化、相关方需求和期望
4.2.3信息安全管理
- CIA
- 信息安全CIA 三要素(信息安全三元组):保密性、完整性、可用性
- 信息系统安全组织机构管理体系步骤:配备安全管理人员、建立安全职能部门、成立安全领导小组、主要负责人出任领导、建立信息安全保密管理部门
- GB/T22240《信息安全技术网络安全等级保护定级指南》
- 网络安全保护5等级(损害对象、损害程度)
- 第一级:公民等损害
- 第二级:公民等严重损害、社会等损害
- 第三级:社会等严重危害、国家安全危害
- 第四级:社会等特别严重危害、国家安全严重危害
- 第五级:国家安全严重危害
- 网络安全保护5等级(损害对象、损害程度)
- GB/T22239《信息安全技术网络安全等级保护基本要求》
- 安全保护能力(免受危害、威胁资源量、灾难严重程度、恢复能力)
- 第一级:个人等很少资源、一般灾难、恢复部分
- 第二级:小型组织等少量资源、一般灾难、一段时间内恢复部分
- 第三级:统一安全策略、有组织的团体等较为丰富资源、严重灾难、较快恢复大部分
- 第四级:统一安全策略、国家级别敌对组织等丰富资源、严重灾难、迅速恢复所有
- 第五级
- 安全保护能力(免受危害、威胁资源量、灾难严重程度、恢复能力)