云＋移动计算时代卓越IT管理的十把钥匙系列之1 IT管理框架演进

1. China-ITM 与微软TechNet联合制作《云＋移动计算时代卓越IT管理的十把钥匙》系列之1IT管理框架演进 薛君敖（JunaoXuePh.D） 首席IT管理专家 祝成科技/SoftCompass 邮件交流: itm@softcompass.com 互动论坛：www.china-itm.com

2. 现任祝成科技/SoftCompass首席IT管理专家，前美国贝尔实验室杰出研究员（DMTS），连续8次获微软全球最有价值专家MVP。研究方向：IT前沿技术解析、IT架构，IT管理框架，IT管理标准实施与更新，包括ITIL、COBIT、ISO2700X、BS25999、ITGRC等IT管理标准。1985获得美国哥伦比亚大学电脑科学硕士学位，1990年获得物理学博士学位。 1986年-2001年任职美国朗讯贝尔实验室。其间参加了5ESS，DACS，ITM-NM 的研制开发，担任贝尔实验室驻 ITU-T 和 TMF 代表，于1994年获得 AT&T 杰出领导小组长奖，入选公司领导人培养项目。1996年起参与中国邮电部和朗讯贝尔实验室标准合作项目的组织协调工作，将 CORBA 引入中国，03-06年，参与将ITIL和COBIT引入中国电信、中国网通的EAI项目。07年起，在中国银行界提出pBOM（银行运营图）、MPN（管理流程网络），引入ITGRC，以其为导向的IT管理纳入企业管理框架，并以此来改进ITIL、COBIT、ISO2700X和BS25999等标准的实施。现为ISACA的IT Governance和Green IT WG member（工作组成员），参与COSO模型更新和COBIT 5: Mapping of ISO 20000 With COBIT® 4.1的研发工作，以及itSMF的ITIL WG member（工作小组成员）。作为祝成科技首席IT管理专家，为国内各大企业成功提供IT架构演进、ITIL、COBIT和云计算等培训和咨询服务。

3. 引言 IT的发展与应用，不仅靠技术，更需要管理，两者不可缺一。 IT管理人员对IT管理框架的认识不足严重地影响了对IT的有效管理，但对国际上提出的由各种标准、架构、框架、模型和体系形成的“框架深林”又会感到乱花迷眼，无所适从。特别是，这些国际标准和最佳实践在云+移动计算时代是否继续适用，这都是要研讨的问题。 本次讲座从企业的决策层、管理层和操作层讨论现在的Proven IT管理框架中的标准和最佳实践，介绍云+移动计算时代的管理特征，提出以CSA的《云计算关键领域安全指南》V2来更新现有的IT框架，提供了10把钥匙，去打开云＋移动计算时代的IT管理大门，进到各个特定的IT管理领域。 本次讲座是TechNet《云＋移动计算时代卓越IT管理的十把钥匙》网络讲座系列中其他9个讲座的引论，本次讲座内容中各个部分细节参看其他相应的讲座。

4. 议题 现在的IT管理框架 云+移动计算时代的特征 云+移动计算的IT管理框架

5. 云+移动计算IT管理框架 Near future Existing 现在的Proven IT管理框

6. Key 1 现在的Proven IT管理框架 这个IT管理框架适用于 云＋移动计算时代吗？ 方法论：原则、机制、流程、管理实践 ITGRC Val IT BCM/DR 决策层 PPM COBIT ISO2700X 管理层 ISO20000 操作层 企业IT 基础设施 可用，但要更新使之 适用于云＋移动计算环境

7. 云＋移动计算时代卓越IT管理的十把钥匙 IT管理框架演进 （IT）治理、风险与合规管理（ITGRC） IT价值交付（Val IT） （IT）业务连续性管理（BCM）与容灾（DR） IT治理标准ISO38500与IT监管/审计最佳实践（COBIT ） 信息安全管理（ISO2700X系列） IT项目与外包管理（PPM、PMBOK、PRINCE2） IT服务管理标准（ISO20000） IT服务管理最佳实践（ITIL V3） IT运维框架（MOF）

8. What‘s ITGRC & their Relationship？ Key 2 IT治理是指设计并实施信息化过程中各方利益最大化的制度安排，包括： 业务与信息化战略融合的机制， 权责对等的责任担当框架和问责机制， 资源配置的决策机制， 组织保障机制， 核心IT能力发展机制， 绩效管理机制 覆盖信息化全生命周期的风险管控机制。 IT治理的目的是： 实现组织的业务战略， 促进管理创新， 合理管控信息化过程的风险， 建立信息化可持续发展长效机制 最终实现IT商业价值。 IT治理是在IT应用过程中的五个IT决策： (1)IT原则：阐述IT的商业作用; (2)IT架构：定义集成和标准化的要求; (3)IT基础设施：决定共享和可提供的服务; (4)业务应用需求：确定购买或内部开发应用的业务需求; (5)IT投资和优先权：选择资助哪一个立项以及投入多少资金。 IT风险是从IT组织，流程和资产三个维度来全方位的进行风险分析、建立体系、运营管理和监控优化。 • ITRM是将IT风险管理过程固化，建立控制体系并持续运营的IT风险管控平台； • ITRM使企业的经营意外和损失最小化，帮助管理层改善业绩表现 • ITRM目前涵盖了风险评估、体系建立、运营管理、监控审计与意识提升五大模块 风险折 衷决策 风险容忍 度规则 风险折衷决策 （怎么制定） 不合规 的影响 IT合规是指企业IT系统的开发和运维与法律、规则和准则相一致。 IT合规风险是指企业因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。 IT合规控制有三种控制：公司级控制、应用控制和通用控制。 IT合规风险管理机制：制度/流程+技术+文化 谁决定， 及遵循 的流程 合乎治 理规则 的合规

9. Key 3 Val IT框架是由ValIT倡议发展成的。该治理框架包括一套指导原则和一系列符合这些原则的流程，定义了一组关键管理实践。----〉 3个域 + 22个流程 Val IT架构 Val IT的架构是与 COBIT紧密结合，为企业提供所需测量、监控并且在IT投资中实现利润最大化的结构。

10. Key 4 业务持续性管理(BCM) & 容灾(DR) BCM生命周期要素 BCM/DR 标准 BS25999 涉及： Risk Management (风险管理) Emergency Management (突发事件管理) IT Disaster Recovery (IT灾难恢复) Facilities Management (设备管理) Supply Chain Management (供应链管理) Quality Management (质量管理) Environmental Management (环境管理) Health & Safety (人身安全) Knowledge Management (知识管理) Human Resources (人力资源) Security (安全性) Crisis Communications & Public Relation(危机通讯和公关) BCM 方案管理 理解企业现况（LBC/RA/BIA、RTO/RPO) 确定业务连续性策略（O/R/C） 开发和实施BCM响应措施(BCP/CMP/ITDR) BCM安排演练、维持和评审 使BCM成為企業文化

11. Key 5 COBIT的魔方块 平衡记分卡17 业务目标映射至28个IT目标 IT目标映射至4个域的34个 IT控制流程 IT治理关注域： 战略定位、价值交付 风险/资源/绩效 管理 COBIT实施过程： IT流程描述 流程控制目标制定 RACI表及测量目标 成熟度模型

12. Key 6 信息安全管理标准 - ISO2700X系列 -ISO/IEC 27000 — Information technology — Security techniques — Information security management systems （ISMS 信息安全管理系统*）— Overview and vocabulary （ISMS概览和词库）（*system – 系统或体系）- ISO/IEC 27001 — Information technology — Security techniques — Information security management systems（ISMS） — Requirements（信息安全管理系统需求）- ISO/IEC 27002 — Information technology — Security techniques — Code of practice for information security management（即原来的17799：2005）（信息安全管理实施规则）- ISO/IEC 27003 — Information technology — Security techniques — Information security management system implementation guidance （ISMS 实施指南）- ISO/IEC 27004 — Information technology — Security techniques — Information security management measurements （信息安全管理测量）- ISO/IEC 27005 — Information technology — Security techniques — Information security risk management （信息安全风险管理）-ISO/IEC 27006 —Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems （ISMS 审计和认证机构需求）- ISO/IEC 27007 — Information technology — Security techniques — Information security management systems – Auditor guidelines（ISMS 审计员指南）

13. Key 7 ISO20000 框架流程全景图

14. Key 8 ITIL v3 框架流程全景图 ITIL v3 框架 服务战略 服务设计 服务转换 服务运营 服务持续改进 ITIL v3 实施 CA流程Subway 流程活动DNA 信息存储/处理/传输 GRC管理

15. Key 9 PRINCE2 2009 PMBOK 2008 PRINCE2 2009可以 归纳为三七四二架构： 7个项目管理原则： 项目开展中必须持续进行商业论证（Go or No Go）， 项目团队要从项目经验中学习， 明确的角色和责任， 分阶段进行管理， 例外管理， 聚焦于产品（项目成果）。 剪裁适合项目环境 项目管理知识体系 2个层次： 企业层次（多）项目管理 单一项目管理 生命周期：启动、组织与准备、执行、结束 9个知识领域： 范围管理 时间管理 成本管理 质量管理 人力资源管理 在PRINC2:2009中,通过 计划(实现设定一系列的活动)， 委派(项目中单干是不现实的,工 作委派给合适的人)， 监督(按照计划开展工作)， 控制(在合适的时间把合适的信息转达给合适的人做出合适的决策), 实现对于项目的成本、时间、质量、范围、风险和收益等六方面的管控。 7个项目管理主题： 业务论证， 组织， 质量， 计划， 风险， 变更 进展 7个项目管流程： 项目指导， 项目发起， 项目准备， 项目阶段边界管理， 项目阶段控制， 项目产品交付， 项目收尾 沟通管理 采购管理 风险管理 整合管理 4层项目管理组织结构 最高层是公司战略管理层 第二层是项目委员会， 第三层是项目经理， 第四层是项目小组经理。 2个项目管理技术： 基于产品的计划－在定义活动之前先识别和定义产品 质量评审－定义了应用到所有产品的质量控制和审批过程

16. Key 10 MOF Service Lifecycle and SMFs Manage上引入GRC是一个战略上的革新 用ITSLC实施GRC是有实际参考价值的方法论

17. MOF, COBIT, Val IT 之间的关联 IT管理演进 战略方针： 1）三个管理 层次的无缝 连接 2）管理标准/ 最佳实践的 整合

18. IT管理标准/最佳实践的价值、收益和挑战 10 Keys 现在的IT管理框架通过其标准和最佳实践中的原则、机制、流程和管理实践提供了适用于各种IT架构的IT管理方法论。 以域和流程来表述方法论(管理实践)的有：ITGRC、Val IT、COBIT、ISO20000 以生命周期来表述方法论(管理实践)的有：BCM、ISO2700X、ITIL V3、MOF 以域和流程以及以生命周期来表述方法论(管理实践)的有： PMBOK/PRINCE2 借助COBIT整合和统一IT及商务目标、监控和审计IT实施和IT系统 借助ISO20000/ITIL在运营中测量IT机构的效果和效率、提供用户满意的IT服务 进行有效的ITGRC、ISO2700X和BCM/DR，保证业务/服务的持续性 借助Val IT优化成本及总拥有成本、实现高效投资回收率、展示IT的商业价值 借助PPM、PMBOK、PRINCE2，采用“智慧外包”，提升项目交付的成功机率 借助MOF管理持续的商务和IT变更，获得使用IT的竞争性优势 现有的IT管理框架能适用于云+移动计算时代的IT管理吗？ 云+移动计算时代的IT管理框架应该是什么样的？

19. 议题 现在的IT管理框架 云+移动计算时代的特征 云+移动计算的IT管理框架

20. （到目前的）IT架构演进 – 云+移动计算时代 傻瓜终端 /主机 C/S 结构 B/S 结构 云/端 结构 云– 企业以虚拟共享为特征的数据中心 端– 智能移动手机、PAD、laptop (H2M)， 另一个端（M2M）。 云计算 =（数据软件+平台+基础设施）× 服务 云计算是新一代互联网、物联网和移动互联的引擎和神经的中枢 云计算的实质是“虚拟共享” 云服务的五个关键特征： 按需自服务 宽带接入 虚拟化的资源“池” 快速弹性架构 可测量的服务

21. 云/端计算设备的分类 云计算设备可分为4个象限。按照终端类型分为移动(Mobile)与固定(Fixed)；按照通信对象分为H2M与M2M。 H2M是指人与机器(Human to Machine)，例如用户与计算机等人与机器的沟通。 M2M是机器与机器(Machine to Machine)的缩写，例如电表的远程查抄等机器间的互相沟通。

22. 移动计算环境的一般结构 移动计算系统假设计算结点包括固定结点和移动结点，它使用户可以携带移动终端自由移动，并在移动过程中通过移动通信网络与固定结点和其它移动结点连接和交换信息。 移动计算特点 (1)移动性 (2)网络条件多样性 (3)频繁断接性 (4)网络通信的非对称性 (5)移动计算机的有限电源能力 (6)可靠性低 MSS — mobile support station 移动基站 MU — mobile unit 移动单元 FH — fixed host 固定主机

23. 议题 现在的IT管理框架 云+移动计算时代的特征 云+移动计算的IT管理框架 ---- 《云计算关键领域安全指南》V2.1 CSA

24. 美国国家标准技术研究院（NIST）的云计算定义（5-3-4模型） NIST defines cloud computing by describing five essential characteristics, three cloud servicemodels, and four cloud deployment modelssummarized in figure below。 CSA：Security Guidance for Critical Area of Focus in Cloud Computing V2.1 CSA – Cloud Security Alliance（国际云安全联盟）

25. 云参考模型 SaaS位于底层的IaaS和PaaS之上。SaaS能够提供独立的运行环境，用以交付完整的用户体验，包括内容、展现、应用和管理能力。 PaaS位于IaaS之上，又增加了一个层面用以与应用开发框架、中间件能力以及数据库、消息和队列等功能集成。PaaS允许开发者在平台之上开发应用，开发的编程语言和工具由PaaS支持提供 IaaS涵盖了从机房设备到其中的硬件平台等所有的基础设施资源层面。它包括了将资源抽象化（或相反）的能力，并交付连接到这些资源的物理或逻辑网络连接，终极状态是IaaS提供商提供一组API，允许用户与基础设施进行管理和其它形式的交互。

26. 云模型、安全控制和合规模型的映射 仿照这个映射模型将行业需求映射至云模型，按在云中的角色 （云客户、云服务提供商、第三方）根据需求采用有关标准和最佳实践的方法论 – 原则、机制、流程和管理实践来制定云IT管理框架

27. · SaaS在产品中提供最为集成化的功能，最小的用户可扩展性（extensibility），相对来说较高的集成化的安全（至少提供商承担安全的职责）。 · PaaS提供的是开发者在平台之上开发自己应用的能力，倾向于提供比SaaS更多的可扩展性，其代价是SaaS那些已经用户可用的特色功能。这种折中也会延伸到安全特色和能力上，虽然内置的安全能力不够完备，但是用户却拥有更多的灵活性去实现额外的安全。 ·IaaS不提供那些和应用类似的特色功能，但却有极大地“可扩展性”。IaaS只有保护基础设施的安全保护能力和功能。IaaS模型要求云用户自己管理和安全保护操作系统、应用和内容。

28. 云IT管理的战略和策略 - 关键关注领域 《CSA指南》V2.1 包括13个域，云计算架构框架是第1个域。组成CSA指南的其它12个域突出了对云计算安全的关注领域，并特别设法去解决云计算环境中战略和战术安全的“痛处”， 从而可应用于各种云服务和部署模式的结合。 这些域分成了两大类：治理（governance）和运行（operation）。治理域范畴很宽，解决云计算环境的战略和策略，而运行域则关注于更战术性的安全考虑以及在架构内的实现。两者构成了突出云安全为重点的云IT管理框架。 《CSA指南》根据云+移动计算时代的管理特征 – 处理云中的角色（云客户、云服务提供商、第三方服务提供商）间的业务/财务/GRC关系，对每个域从不同的管理层次提出策略性建议。

29. 云计算安全的关键关注领域 – 云IT管理框架 治理域（机构治理能力、处理风险能力和合规性）

30. 云计算安全的关键关注领域 – 云IT管理框架 运行域

31. 云计算安全的关键关注领域 – 云IT管理框架 运行域

32. IT管理/运营 ---〉ICT管理/运营 管理环境的演进 多网络融合，从管理和运营的角度看，这种融合体现在以下几个方面： (1)承载网络统一IP化，简化了业务的部署。(2)不同业务（电信业务、互联网业务、广电业务）不断融合，排列组合为种类无限的业务。(3)业务终端统一化，要求单一的终端设备能够支持多种业务，并同时指出不同业务间的关联互操作。(4)业务硬件设备通用化，无须改变硬件，仅通过改变硬件上运行的软件即可提供不同的业务。 管理和运营模式的多样化 (1)传统的业务提供、管理和运营模式继续存在。(2) 网络运营商提供基础网络业务，企业根据自身需要建设和运营业务平台，向企业内部用户提供服务。(3)出现单独的运维提供商角色，负责同时为多类用户提供满足不同需求的管理和运营服务。(4)家庭网络的管理和运营任务 需要独立的运维提供商来承担。 管理和运营概念的演进 (1)包含基本FCAPS含义的管理概念需要拓展： 1)管理的对象按照设备管理、网络管理、业务管理、商务管理演进。2)管理内容按照数据、信息、知识、智慧方向演进。3)管理目标按照内部维护、外部服务、内部决策、服务创新方向演进。 (3)管理业务和ICT业务不断融合(4)管理业务本身需要定义相应的质量指标

33. 云+移动计算IT管理框架

34. 建立云+移动计算IT管理框架的建议 IT管理应扩展成ICT（信息/通讯技术）管理 云的ITGRC是战略需求，应是云管理框架中的关键关注域 信息安全管理应是云+移动计算IT管理的重中之重 现有IT管理框架中标准和最佳实践的方法论依然可用/要用 以CSA的《云计算关键领域安全指南》V2 更新现有的IT管理框架： 仿照《指南》的13个域模式建立云+移动计算的IT管理框架 在原有框架中标准和最佳实践的方法论 - 原则、机制、流程和管理实践 中需要增添云+移动计算管理元素和ICT管理内容 仿照37页的映射模型将行业需求映射至云模型，按在云中的角色 （云客户、云服务提供商、第三方）根据需求从三个管理层次采用相关标 准和最佳实践的方法论来制定云IT管理框架。 参考国内外正在研讨的云+移动计算对上述9个标准/最佳实践影响等课题， 结合企业实际逐步建立云+移动计算IT管理框架和制定云的技术/管理架构（详情见以后的各次讲座）

35. Question & Answer 互动交流论坛： www.china-itm.com

36. 获取更多TechNet资源 访问TechNet的官方网站www.microsoft.com/China/technet 注册TechNet快报 www.microsoft.com/china/technet/abouttn/subscriptions/flash.mspx 加入到中文在线论坛www.microsoft.com/china/community 成为 TechNet的订户 www.microsoft.com/china/technet TechNetIT经理参考 www.microsoft.com/china/technet/itmanager/default.mspx 参与到更多的TechNet活动中或者在线了解www.microsoft.com/china/technet

37. 您的潜力，我们的动力！