第八章监督管理

8.1概述

定义

监督管理是依据国家IT服务标准对IT服务进行整体评价，并对供方的服务过程交付结果实施监督和绩效评估。

重要内容

• 质量管理

  通过制定质量方针、质量目标和质量计划，实施质量控制、质量保证的质量改进等活动，确保IT服务满足服务级别协议要求

• 风险管理

  对已知风险的认识、分析、采取防范和处理措施等一系列的管理过程

• 信息安全管理

  确保组织的资产、信息、数据和IT服务的保密性、完整性、可用性及其他属性的过程，其他属性有真实性、可核查性、可靠性、防抵赖性等

8.2 IT服务质量管理（论文考点5.1质量管理）

8.2.1 评价模型

国标《信息技术服务质量评价指标体系》模型

• 安全性：可用性、完整性、保密性
• 可靠性：完备性、连续性、稳定性、有效性、可追溯性
• 响应性：及时性、互动性
• 有形性：可视性、专业性、合规性
• 友好性：主动性、灵活性、礼貌性

8.2.2 IT服务评价指标

安全性（5个指标）

• 可用性

  供方访问权限控制率、供方访问权限满足率

• 完整性

  信息完整状态比率

• 保密性

  保密机制的运行情况、泄密事故发生情况

可靠性（12个指标）

• 完备性

  服务项目实现的完整度

• 连续性

  重大事故发生情况、事故（不含重大事故）发生情况、服务按时恢复的事件比率、服务的可用程度、关键业务应急就绪度

• 稳定性

  服务人员的稳定性

• 有效性

  接通率、服务报告及时提交率、首问解决率、解决率

• 可追溯性

  服务记录的可追溯性

响应性（5个指标）

• 及时性

  及时响应率、及时解决率

• 互动性

  互动沟通机制、服务报告提交率、投诉处理率

有形性（5个指标）

• 可视性

  服务交付的呈现规范性

• 专业性

  工具的专业性、服务流程的专业性、人员的专业性

• 合规性

  服务的依从性

友好性（5个指标）

• 主动性

  主动进行服务监控、主动进行服务趋势分析、主动介绍服务的相关内容

• 灵活性

  需求响应灵活性

• 礼貌性

  服务语言行为和态度规范

8.2.3 常见运维服务质量管理活动

运维项目质量策划

• 项目质量保证
• 用户满意度管理
• 客户投诉管理
• 日常检查
• 质量文化和质量教育
• 体系内审及管审

运维服务质量检查

• 进行满意度调查
• 运维各项质量保证工作实施
• 内审
• 管理评审
• 日常检查
• 质量文化培训等

运维服务质量改进

运维服务质量负责人和业务负责人应当清楚当前运维服务质量总体状况，并要结合当前的运维服务业务现状及能力水平，针对当前的质量问题确定质量改进方向和改进目标

8.3 IT服务风险管理（论文考点5.2风险管理）

定义

包含策划组织领导协调和控制等活动，通过风险识别、风险分析和风险评估，提供一个有效的事先计划，对风险进行有效的控制，妥善的处理风险造成的不利后果，以合理的成本保证安全，减少风险对组织资源、收益和现金流的不利影响。

8.3.1 风险管理计划

计划编制的输入

• 服务范围说明书
• 服务预算
• 沟通管理计划
• 组织过程资产
• 事业环境因素
• 进度管理计划

计划输出物

• 方法

  IT服务中实施风险管理的办法和使用的工具等等

• 角色和职责

  定义IT服务风险管理团队的成员，并分配任务和职责

• 预算

  分配资源并估计成本

• 制定时间表

  风险管理过程的执行时间进度计划

• 风险类别

  事先准备常用风险类别

• 风险概率

  定义根据风险类别确定风险概率的客观标准

• 风险影响力

  反映风险影响的严重程度

• 概率及影响矩阵

  根据风险概率和影响程度的组合，决定风险的高中低程度

• 报告的格式

  如果对风险管理过程的结果进行归档分析和沟通

• 跟踪

  记录风险行为的方方面面

8.3.2 风险识别

定义

识别可能对服务产生影响的风险，并将风险的特征形成文档，是一个不断重复的过程

内容

• 识别并确定IT服务的潜在风险
• 识别引起风险的主要因素
• 识别IT服务风险可能引起的后果

输入

• SLA
• 范围说明书
• 风险管理计划
• 组织过程资产
• 环境及组织因素

输出

• 风险记录

  风险征兆或者警告信号、潜在风险应对方法列表、风险的根本原因、更新的风险分类

• 更新管理计划

方法

• 文档评审

• 信息收集技术

  头脑风暴法、德尔菲法、访谈法、优劣势分析法

• 检查表

  编制风险识别信息检查表

• 分析假设

  从不准确、不连贯、不完整的假设中识别风险

• 图解技术

  包括因果分析图、系统或过程的流程图等

8.3.3 风险定性分析

定义

是对已识别风险进行优先级排序，通过对风险的发生概率和影响程度的综合评估来确定其优先级

输入

• 风险管理计划
• 风险记录

• 组织过程资产

  历史的风险数据和经验教训可以用于风险定性分析

• 工作绩效信息

• 范围说明

  一般来说，进行过多次的服务会有很多被人们充分理解的风险。使用先进技术或高复杂度的服务存在更多不确定性。这可以通过服务范围说明来进行评估。

输出

• 按优先级或相对等级排列的风险
• 按种类的风险分组
• 要近期做出响应的风险列表
• 需要进一步分析和应对的风险列表
• 低优先级风险的监视表
• 风险定性分析结果中反映的趋势

8.3.4 风险定量分析

定义

定量的分析风险对目标的影响

输入

• 管理计划
• 风险管理计划
• 经过更新的风险记录
• 包含活动的逻辑关系及活动历时估算的进度管理计划
• 包含成本估算的成本管理计划
• 范围说明和范围管理计划
• 工作分解结构
• 组织过程资产

输出

• 可能性分析

  对进度和成本的输出进行估计，并列出可能完成的日期和成本

• 实现成本和进度目标的可能性

• 已量化风险的优先级列表

• 定量分析结果中的趋势

8.3.5 风险处置计划

定义

依据相应优先级的顺序，同时考虑实际需要，把应对风险所需要的成本和措施加入IT服务预算和进度中

输入

• 风险管理计划

  成员任务分配、风险分析定义、不同风险等级的划分、风险管理计划的进度和预算方案

• 风险记录

  风险处置计划过程可能必须向前追溯已识别出的风险，挖掘风险的根源，潜在的应对措施、风险责任人及风险的征兆和警告信号。

输出

• 已识别风险及其描述
• 风险责任人及其职责
• 定性和定量分析过程的结果
• 一致认同的应对策略
• 执行选定应对策略所需的具体行动
• 应对策略执行后，期望的残留风险水平
• 风险发生时的预警和信号
• 风险应对策略所需的预算和时间
• 时间和成本的应急储备
• 启动应急计划的触发条件
• 风险一旦发生所采用的回退计划
• 残留风险
• 二级风险：执行某一风险应对措施直接引发的风险
• 需要的应急储备量
• 风险相关的合同协议

方法

• 负面风险的应对策略：避免、转移、减轻
• 机遇应对策略：开拓、分享、强大
• 同时适用威胁和机遇的应对策略
• 应急响应策略

8.3.6 风险监控

定义

是指跟踪已识别的危险，监测残余风险和识别新的风险，保证风险计划的执行，并评价这些计划对减轻风险的有效性。

输入

• 风险管理计划

  关注责任人、时间和进行风险管理所需的其他资源。

• 风险记录

• 工作绩效信息

• 批准的变更请求

输出

• 建议的纠正措施
• 变更申请
• 风险记录
• 组织过程资产

方法

• 风险评估
• 风险审计和定期的风险评审
• 差异的趋势分析
• 技术的绩效评估

• 预留管理

  通过比较剩余的预留储备和剩余的风险，可以看出预留储备是否合适。

8.3.7 风险跟踪

定义

包括已识别风险和其他突发风险的观察记录，对风险的发展状况进行记录和查询。

• 风险跟踪方法

  • 风险审计

    定期对风险进行审核，在关键处进行事件跟踪和主要风险因素跟踪，对没有预计到的风险制订新的处置计划。

  • 偏差分析

    定期和计划比较，分析成本和时间上的偏差。

  • 技术指标分析

    比较原定技术指标和实际技术指标差异。

• 风险清单

  风险清单是一种主要风险管理工具，指明了服务在任何时候面临的最大风险。

•