上海电信IT管理与技术规范V1.0 1221(正文)

上海电信IT管理和技术规范体系研究上海研究院二○○九年十二月目录项目概述1方法与思路2标准整合3现状对标4诊断与分析5COBIT与ITIL应用研究附应用与实施建议6IT管理和技术规范体系研究立项意图：结合业界IT管理标杆，梳理企业现有制度和各种管控要求，制订IT管理和技术规范体系，以进一步提高IT管控水平通过规范体系的研究，为“逐步提高IT领域的技术规范性”提供方法论指导预期成果：制定具有科学性、可操作性、先进性特点的、符合上海公司实际情况和未来发展要求的IT管理和技术规范体系，提交建议报告初步考虑在具有代表性意义的领域进行实施和验证提出规范体系逐步完善的实施建议研究内容：梳理COBIT、ITIL在生命周期各阶段的控制要求重点分析上海公司内控细则与IT管控手册，并与上述的控制点列表进行对标将对标表进行逐条分析，得到IT整体框架的控制点列表重点调研目前缺失的控制要求，得出控制点优化列表提出IT管理和技术规范体系的实施建议3背景与现状制定上海电信IT管理与技术规范完善IT制度体系提高IT管控水平快速响应业务需求提高业务运营效率加强内部控制实现管理优化优化内部资源提高成本投资收益IT运维需求全业务运营对IT支撑提出了融合的要求IT系统的规模和复杂度不断增加集团对各省的规范、管控力度越来越大IT外包越来越多，需要进一步规范管理上海公司现状目前上海公司已发布很多规范制度，如内控手册，IT管控手册，TL9000，各种维护制度，集团发文要求等IT管理某些环节可能存在制度缺失或相互冲突的情况现有规范和制度可能存在执行不到位的情况参考整合分析建议前期工作回顾：根据计划安排，到目前为止，第二阶段的控制点梳理和与对标工作已经完成，正在进行IT管理的优化与完善建议。持续完善与优化准备阶段研究分析整合提炼制定与优化工作模版讨论并确定工作方法和工作思路梳理COBIT与ITIL对应控制点列表根据ITIL五周期优化控制点上海电信现有IT控制的梳理现状与标准的对标以差异和缺陷为基础，研究现有IT控制框架根据整合的IT服务体系，与上海电信的内控手册，管控手册和相关管理制度进行对标通过梳理与分析，得出上海电信的IT服务架构分析及建议11月3日～11月13日11月16日～12月4日12月7日～12月25日目录项目概述1方法与思路2标准整合3现状对标4诊断与分析5COBIT与ITIL应用研究附应用与建议6研究思路和方法7研究思路研究方法12IT手册IT规章制度COBITITIL两大标准体系的融合和完善3上海电信现有IT管理的梳理4现状与整合的标准规范对标，得出差异表56通过诊断与分析，对整合的标准规范和差异进一步的总结和优化7上海电信IT管理应用与实施建议上海电信全面完善的IT管理与技术规范标准整合现状对标诊断与分析应用与建议COBIT体系和ITIL体系研究以差异和缺失为基础，对现有IT管理现状进行诊断关注上海电信的IT管理现状与国际标杆5.差异分析优化建议4.IT管理现状对标3.COBIT与ITIL融合2.COBIT框架与控制目标的研究与梳理研究过程开展研究与讨论取长补短进行整合搜集ITIL资料深入研究探讨充分研究与讨论，把COBIT和ITIL交集和差异部分融合一个完整的体系。现状评估与对标1.ITIL生命周期与流程的研究与梳理IT管理现状与标准控制点逐一对标开展研究与讨论搜集COBIT资料研究探讨-根据对标结果，对新的IT管理规范控制进行优化调整，并提出建议标准优化与实施建议行业标杆9国际上公认的IT治理框架和协会：国际信息系统审计协会（ISACA）——COBIT框架，ValIT框架等IT服务架构(ITIL)国际标准化组织（ISO）——ISO/IEC20000&27000国际信息系统审计协会（ISACA）——IT审计准则、指南和标准案例国际内部审计师协会(IIA)——全球技术审计指南（GTAG）PRINCE2SEI–软件成熟度模型(CMM)…COBIT和ITIL是信息化建设具有较深影响的两个控制框架ITIL将生命周期原理贯穿与实践，将IT上升到企业战略资产高度，展示IT服务的价值。COBIT提供了跨领域和过程框架的良好实践，并以可管理和逻辑清晰的架构来开展内部控制。现有IT管理规范10管控流程（9个）1序号流程名称实施时间拟定部门执行流程相关单位1IT需求管理流程2006年企业信息化部企业信息化部2IT日常运行维护流程2006年企业信息化部3事件管理流程2007年企业信息化部企业信息化部4问题管理流程2006年企业信息化部企业信息化部5配置管理流程2006年企业信息化部企业信息化部6变更管理流程2006年企业信息化部企业信息化部7发布管理流程2006年企业信息化部企业信息化部8服务级别管理流程2006年企业信息化部企业信息化部9服务台职能2006年企业信息化部企业信息化部规章制度（30个）2序号规章制度名称颁布时间拟定部门1关于组建上海市电信公司企业信息化部的通知2002年人事部2关于成立公司企业信息化部信息中心的通知2003年企业策划部3关于调整网络发展部和企业信息化部职责和内设机构设置的通知2005年企业发展部4内控实施细则（上册）2006年财务部5信息系统过程管理程序2007年企业信息化部7MSS管理支撑系统业务需求管理办法2006年企业信息化部8EDA企业数据应用平台业务需求管理办法(试行)2006年企业信息化部9BSS业务支撑系统业务需求管理办法2006年企业信息化部10信息化项目管理办法2005年企业信息化部15MBOSS信息系统运行维护规程2007年企业信息化部16内控实施细则（中册）2006年企业信息化部17MBOSS信息安全管理办法2007年企业信息化部18MB0SS应用软件版本管理办法2007年企业信息化部19……本次比对涉及部分目录项目概述1方法与思路2标准整合3现状对标4诊断与分析5COBIT与ITIL应用研究附应用与建议6ITIL-IT治理体系框架简介ITIL：ItInfrastructureLibrary，IT基础架构库起源1986－1999由英国国家计算机和电信局（CCTA）实践开发，代表英国政府中央计算机和电信局CCTA在1989年到1995年之间发布，后来CCTA又归并入了英国商务部。发展历史ITIL是IT服务管理的最佳实践，它为IT治理提供了一个基本框架。目前已经进行三次重要的修订，最新的版本号是3.0。现实意义ITIL从企业和客户的角度，将重点放在IT服务交付的持续质量改进和评估。能够提高用户和客户对IT服务的满意度，提高服务的可用性，节省因返工浪费时间造成的损失，直接增加企业的利润和收入。IT系统的控制与评估也是ITIL五大生命周期中公司内控不可或缺的一部分。和COSO、SOX的关系12服务持续改进服务战略服务设计服务转换服务运营ITIL服务目录管理服务级别管理可用性管理能力管理供应商管理信息安全管理IT服务持续性管理服务规划与支持变更管理服务资产与配置管理发布部署知识管理事件管理事故管理请求实现问题管理访问管理服务台技术管理IT运营管理应用管理服务评估服务报告服务改进服务检查与测试评价服务持续改进服务战略是生命周期运转的轴心；服务设计，服务转换和服务运营是实施阶段；服务改进则在于对服务的定位和基于战略目标对有关的进程和项目的优化改进。ITIL框架服务战略提出了服务管理实践过程中整个ITIL服务生命周期的政策、指南和流程。服务转换提供将新的或变更服务转换到运营过程中有关能力的开发和改进的指导。服务运营对如何达到服务支持和交付的效果和效率，以确保客户与服务供应商的价值提供了指导。对如何在设计、规模和服务水平变化的情况下，如何保持服务运营稳定性提供指导。服务持续改进为创造和保持客户价值，而用更优化的服务设计、导入和运营提供指导。它结合了质量管理、变更管理和能力改进方面的原则、实践和方法。服务设计描述了对服务及服务管理流程设计和开发的指导。包括了将战略目标转变成服务投资组合和服务资产的原则和方法。它指导了组织如何开发设计服务管理的能力。需求管理服务投资组合管理财务服务制定IT战略计划COBIT-IT治理体系框架简介COBIT：ControlObjectivesforInformationandrelatedTechnology，信息及相关技术的控制目标。起源COBIT的概念源于美国，由ITGovernanceInstitute(ITGI)发布，在IT治理学会(ITGI)的组织下，已积极参与IT治理理论研究的组织包括许多著名的大公司，如IBM、KPMG、JICPA等。发展历史COBIT是IT治理学会(ITGI)对于IT治理研究的成果，目前已经进行四次重要的修订，最新的版本号是4.1。现实意义COBIT是IT治理的一个开放性标准，目前已成为国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。Cobit的产生是基于对IT治理认知的深入，同时也是公司治理的需要。IT系统的控制与评估是COSO框架下公司内控不可或缺的一部分；和财务报告的符合性审查一样，是遵从萨班斯(SOX)法案必不可少的内容。和COSO、SOX的关系14COBIT控制目标体系分为4个域、34个流程（即34个高级目标）,210余个详细目标每个流程（高级目标）对应各自的详细控制目标。15企业的业务目标和治理目标高效性应用程序信息基础架构人员服务和支持监控和评价获得与实施信息IT资源有效性保密性完整性可获得性一致性DS1定义和管理服务水平DS2第三方服务管理DS3性能管理和容量管理DS4确保服务的连续性DS5确保系统安全DS6识别并分配费用DS7教育和培训用户DS8服务台和紧急事件管理DS9配置管理DS10问题管理DS11数据管理DS12物理环境管理DS13运营管理ME1监控与评价IT绩效ME2监控与评价内部控制ME3确保与外部要求的符合性ME4提供IT治理PO1定义IT战略计划PO2定义IT信息架构PO3确定技术导向PO4定义IT过程、组织和关系PO5IT投资管理PO6传递管理目标和方向PO7IT人力资源管理PO8质量管理PO9IT风险的评估和管理PO10项目管理AI1识别自动化解决方案AI2采购与维护应用软件AI3采购与维护技术基础设施AI4保障运营和使用AI5获得IT资源AI6变更管理AI7安装授权解决方案和变更计划与组织可靠性COBIT框架ITIL生命周期与COBIT流程域对照分析远期改进方向服务战略IT生命周期服务设计服务转换服务运营服务改进策划与组织COBIT流程域获取与实施交付与实施监控与评价通过ITIL五大生命周期和COBIT的个流程域比对可以看出：两套体系的过程基本是一致的有些内容只是划分的阶段不同名称不一样，但内容基本是一致的对应COBIT和ITIL框架体系ITIL服务流程4个战略流程6个服务运营流程7个服务设计流程3个服务改进流程7个服务转换流程34个高级控制目标：制定IT战略计划、定义信息体系架构、……四个控制域：计划与组织、获取与实施、交付与支持、检测与评估……210多个详细控制目标：IT价值管理、IT战略计划、企业信息架构模型……COBIT框架服务设计服务战略服务交付服务运营服务持续ITIL生命周期以ITIL五个生命周期以及所包含的27个流程为基础，把COBIT的详细控制目标按照控制要求融合到IT的流程中，并根据IT的流程定义要求和COBIT的高级目标定义，对控制目标归类整合，使其真正成为一个全面系统的控制体系在ITIL流程框架下的IT管理控制层面梳理出的IT控制层面根据ITIL和COBIT的整合结果，对控制目标进行归纳总结，梳理出控制目标相对应的控制层面IT战略层面绩效管理层面性能和资源管理组织结构层面人员管理层面日常运营维护层面服务水平层面项目管理层面其他层面质量管理层面系统安全层面风险管理层面数据管理层面需求分析层面应用软件管理层面监控和培训信息化基础设施层面在ITIL流程框架下的IT管理控制层面整合后的IT控制规范分析—服务战略流程