ISO20000服务连续性和可用性管理
发布时间:2020-10-23 作者:广汇联合 来源:广汇联合
企业的信息化程度越高,对IT服务的依赖程度也越高,在如今高度竞争的市场中,几小时甚至几分钟的IT系统瘫痪也会给企业的业务服务带来严重的负面影响,不仅经济上可能有损失,而且损失更大的可能是社会声誉。尤其是在自然灾害,人为灾难频发的情况下,维持业务系统不间断运行,随时提供对外服务对企业的发展甚至生存都有非常重大的意义,尤其是在“9.11”以后,企业对“灾难”的认识更加深刻。对于IT服务而言,灾难是指对企业的某个服务或系统造成严重影响甚至导致系统停止运行的事故,例如地震、火灾、水灾、海啸、恶意侵略攻击、恐怖活动等,当灾难发生后,企业需要付出非常大的代价来恢复系统先前的服务水平,有的企业可能因为灾难再也不能恢复到原有的水平,有的企业甚至因为一次灾难而彻底倒闭,但如果企业开展了IT服务连续性管理,根据业务情况制定了可用性和服务连续性计划,并且企业有足够的资源来保证IT服务的持续性运作,就能在灾难发生以后确保支撑业务运行的IT服务在规定时间内得到恢复,从而支持企业总体的业务持续性运营。
ISO20000中将服务连续性和可用性的目标定义为:“确保在所有状况下都可以实现与客户协商一致的服务连续性和可用性承诺”“可用性及服务连续性需求应基于业务计划,服务等级协议和风险评估来确定,并且需求应包括访问权限。响应时间以及系统组件端对端的可用性。”按照ISO20000的要求,服务提供者应“开发可用性及服务连续性计划,且每年至少回顾一次,以确保在所有情况下都可以满足服务连续性需求,无论是正常情况还是主要服务失效的情况”,“服务连续性计划应按照业务需求进行测试,所有测试都应记录并将测试失效问题纳入改进计划中”可用性和服务连续性与变更管理流程应建立密切的联系,当业务需求发生变化时,应对连续性计划进行维护;当业务环境发生重大变更时,应重新测试连续性计划;对任何变更都应评估其对连续性计划的影响。由于可用性和服务连续性往往是服务级别协议中最关注的部分,因此“应测量并记录可用性,对计划外的不可用应调查并采取适当的措施”,“当正常的办公访问被阻止时,应确保服务连续性计划,联系列表和配置管理数据库可用。”“服务连续性计划应包括返回正常工作状态的内容”。
虽然ISO20000将可用性和服务连续性作为一个流程,但实际工作中两者还是各有侧重,当然总的目标都是一致的,那就是保证服务一直可用。
可用性管理贯穿于IT服务运行的整个过程,客户在提出服务可用性需求的时候,服务提供者会评估这一需求所需的资源和基础架构,从而确定所需要的资源和成本投入,供客户进行选择和确定,然后IT服务提供者将根据这些可用性需求制定恢复方案和可用性计划,日的是在IT服务发生故障后,以最短的时间让服务恢复到正常状态。根据可用性计划对IT组件进行定期维护,监控业务发展对IT组件的需求,采取积极的措施改进口组件和服务的可用性,为检验和评估可用性管理实施的效果,可用性管理需要衡量和记求可用性,并提供可用性报告。
服务连续性管理首先要对IT服务进行业务影响分析,明确需要重点实施连续性管理的范围,对IT服务进行风险分析和风险管理,识别运行中存在的薄弱环节和潜在威胁,制定连续性策略,以最低的成本将风险控制在最低的接受水平,在完成IT服务连续性计划的实施后,需要定期评审、测试、连续性管理应与变更管理建立密切的联系,无论是业务需求发生变化,还是技术参数,技术架构发生变更,都需要及时回顾并调整连续性计划,以确保其能真正发挥作用。