优化或报错有奖在信息技术和数据资源的推动下,社会各领域已进入加速数字化发展时期,新经济业态基于智能、网络和大数据正在崭露头角。从“数字融合”到“数字原生”的转变,成为这一时期的主要特征,表现为信息技术和工业制造的深度融合、人机融合、信息资源与物质资源融合等。这一深度融合构建了数字化新世界,将引发各领域不断适应数字环境,产生各种数字原生发展模式,从而彻底改变人们的生活方式和行为模式。这一过程比工业化和信息化更广泛地改变了社会。
支撑这场变革的重要基础是信息系统,只有对信息系统进行有效管理,才能承担变革赋予的重任。
一、管理方法
信息系统管理是需要各级组织充分参与的业务。大多数组织设有专门的信息系统管理部门,这些部门拥有技术专业人员。同时,组织管理者也需要了解并参与相关决策。
1、管理基础
有效管理与利用信息是在新时代成功的关键技能。现代组织的决策与信息系统的管理和使用密切相关。了解组织的信息能力和信息的开发与利用对管理者至关重要,就像了解如何获取资金资源和平衡预算一样重要。随着智能手机、笔记本电脑和平板电脑的广泛使用,通过互联网访问应用程序执行日常工作和业务行动的频率不断增加,技术成为几乎所有业务模式的支柱。技术的全球可达性也增加了管理者的全球化能力需求。
基于信息系统技术底层,协作工具和数字化引发了变革,信息系统与业务流程日益融合,逐渐成为业务流程演变的革命性因素。管理者需要积极参与技术决策,以确保信息系统正面支持业务,并避免技术的负面影响。
1)层次结构
信息系统采集、处理、存储、管理和检索信息,形成信息在组织中的流动和处理,为相关人员提供有用信息的系统。它是由人员、技术、流程和数据资源组成的人机系统,目的是及时、正确地处理信息,以实现组织活动的管理、调节和控制。信息系统包括四个要素:人员、技术、流程和数据。
(信息系统层次架构)
在信息系统层次架构中,管理层位于信息系统之上,负责监督系统的设计、结构和整体性能。同时,组织管理层确定信息系统层次架构以满足业务需求和业务战略。这一架构提供了将业务和系统策略转化为具体组件或基础架构,并以适当的人员、技术、流程和数据组合来实现的蓝图。
2)系统管理
信息系统的管理需要提高各组织管理人员对信息系统相关问题的认识。信息技术及其系统具有矛盾性,既具备前瞻性和不可或缺性,为创新(如大数据、人工智能和物联网等)创造了机遇,同时也承载了主要漏洞,如网络安全、数字化和隐私问题,其影响范围和后果难以衡量。因此,信息系统管理变得愈发重要和必要。
除了运行问题,信息系统管理还涉及伦理问题,以及与复杂世界的紧密关联。信息系统构建和执行业务部门的流程已经日益影响了利益相关者之间的关系,信息系统决策对战略产生越来越大的影响。一旦信息系统的影响不再局限于工作效率和劳动强度,其决策将影响个人的生活空间。
信息系统管理包括以下四个主要领域:
规划和组织:涵盖信息系统的整体组织、战略规划和支持活动。
设计和实施:包括信息系统解决方案的定义、采购、实施,以及它们与业务流程的整合。
运维和服务:关注信息系统服务的运行、交付和支持,包括安全管理。
优化和持续改进:着重于监控信息系统性能,确保其符合内部性能目标、内部控制目标和外部要求。
2、规划和组织
信息系统的规划和组织是根据组织的发展目标和其他相关因素来制定信息系统的战略、组成、建设、运行和运营的重要过程。其目标在于通过实施一致性的管理方法,满足业务对信息系统管理的需求。规划和组织的内容包括涵盖信息系统管理所需的各个组成要素,如管理流程与组织结构的执行、角色和职责的配置管理、可靠且可复制的活动规范、信息化项目的实施、技能和能力的提升,以及服务、基础设施和应用程序的运行管理等。
1)规划模型
战略是实现组织目标、意图和目的的一系列协调行动。战略通常起始于使命,使命是对组织宗旨的明确和令人信服的陈述。信息系统战略三角凸显了业务战略、信息系统和组织机制之间的必要一致性,如图4-2所示。它用于描述信息系统与业务系统之间必要的协同关系,以及理解信息系统与组织机制之间的相互影响。当业务战略、组织机制与信息系统运行良好时,这种多方战略决策的一致性往往很难被组织认知。然而,当发生重大生产事故和灾难时,在规划业务时需要正确调整业务战略、信息系统和组织机制之间的协同实践。
(信息系统战略三角)
成功的组织通常拥有一项卓越的业务战略,能够推动组织机制和信息系统的有机融合。有关组织机制的结构、招聘实践以及应用程序、硬件等信息系统组件的决策,都受到组织的业务目标、总体战略和战术的驱动。成功的组织会精心平衡信息系统战略三角,以补充其业务战略。
信息系统战略本身能够影响并受到组织业务和组织机制战略变化的影响。为了维持所需的平衡,信息系统战略的变化必然伴随着组织机制战略的变化,而且必须适应整体业务战略。如果组织在规划其业务战略时利用信息系统来获取战略优势,那么信息系统的领导地位必须通过不断创新来维持。业务、信息和组织机制战略需要不断进行动态调整,因为信息系统战略总是涉及业务和组织机制战略造成的影响。在信息系统规划时,必须努力避免产生不利的副作用,这意味着在设计信息系统部署时必须牢记所需考虑的业务和组织策略。例如,部署信息系统并期望员工使用平板电脑提高生产力,但未对职位描述、流程设计、薪酬计划和业务策略等进行一系列的调整,将无法实现期望的生产力改进。这些调整只有通过专门设计的战略三角的所有三个组成部分才能成功实施。
2)组织模型
回顾历史上的一些重大系统失败和灾难,常常可以发现在这些灾难发生时,信息系统战略三角出现了协同方面的问题。例如,组织机制战略(例如,涉及系统运行监测、测试、人事策略、安全策略和实践)未能支持信息系统战略(例如,在危机情况下实施监测、管理和中止分布式系统网络的自动化生产过程运行机制)。这意味着在规划时,上述两种战略未能充分支持组织的业务战略。要实现这三种战略的协同,达到它们的一致性,就代表着三个要素之间的平衡,在一贯性的基础上,可以向同步和融合方向迈进。通过同步,技术不仅能够支持当前业务战略的实施,还能够预测和塑造未来的业务战略。而融合更进一步,将业务战略与信息战略交织在一起,管理团队成员甚至能够互相交替操作。
(1)业务战略
业务战略明确了组织寻求的业务目标以及达成这些目标的预期路径。业务战略是组织传达其目的的方式。管理层根据经济和社会状况、产品和服务对象的需求以及组织能力来构建业务战略计划。经济和社会状况为该业务建立了竞争环境。产品和服务对象的需求涵盖了个人和组织所需和想要的可用产品和服务。组织能力包括知识、技能和经验,这些资源为组织提供了在经济和社会中增加价值的能力。
描述业务战略的一个经典框架是迈克尔·波特(Michael E. Porter)提出的竞争优势模型,如下图所示。
(获得竞争力优势的三种战略)
当组织的目标是成为市场上成本最低的生产者时,总成本领先战略将产生。采用这一战略的组织通过最大限度地降低成本来实现高于行业平均水平的绩效。所提供的产品或服务必须在质量上与行业内其他提供者的产品或服务相媲美,以确保客户对象认为其性价比相对较高。通常情况下,一个行业只会存在一个成本领先者。
采用差异化战略时,组织通过在市场上以独特的方式定义其产品或服务来实现差异化。组织需要确定哪些定性维度对其客户对象最为重要,然后找到提高产品和服务价值的方法。为了使这一战略有效,差异化因素所要求客户对象支付的价格必须相对于竞争对手所要求的价格来说是合理的。
采用专注战略时,组织能够将自己的范围限制在更狭窄的细分市场,并为该组客户对象量身定制其产品。这一战略有两种变体:专注成本,即在其细分市场内谋求成本优势;专注差异化,即在细分市场内寻求产品或服务的差异化。这种战略使组织能够实现地域竞争优势,即使在整个经济和社会中未能取得竞争优势,也能够通过专注于某些细分市场的方式实现局部竞争优势。
(2)组织机制战略
组织机制战略涵盖组织设计和与定义、设置、协调以及控制工作流程相关的选择。组织机制战略的核心问题在于:“为了实现其目标并执行业务战略,组织将如何构建?” 围绕这个问题进行有效规划至关重要。经典组织设计的框架是哈罗德·莱维特(Harod J. Leavit,1922-2007)提出的“钻石模型”,如下图所示。该模型将组织计划的关键组成部分识别为信息与控制、人员、结构和任务,所有这些组成部分都相互关联。这一简洁的框架在新组织设计和组织问题诊断方面非常有用。例如,试图改变员工而未改变信息与控制方式的组织将难以有效运作,因为所有这些组件都会相互影响。
(钻石模型)
在新时代的组织中,组织机制战略的成功执行涉及到组织、控制和文化变量的最佳组合。组织变量包括权力结构、业务流程、正式报告关系和非正式沟通网络。控制变量包括数据可用性、规划性质和质量、绩效度量和评估制度的有效性,以及激励措施。文化变量则涵盖组织的核心价值观。这些组织、控制和文化的变量构成了管理者用来推动组织变革的关键工具。
组织管理者需要掌握一套框架,用以评估组织设计的各个方面。通过运用这些框架,管理者可以审查现有组织,评估哪些组件可能缺失,以及未来可用的选项。基于这个框架,管理者需要回答以下问题:
组织内存在哪些关键的结构和报告关系?
谁拥有关键决策权?
什么是重要的社交和信息网络,我们如何利用它们来提高工作效率?
组织内员工的特征、经验和技能水平是什么?
哪些是关键的业务流程?
是否已经建立了适当的控制系统(管理和测量系统)?
组织的文化、核心价值观和信仰是什么?
(3)信息系统战略
信息系统战略是组织用来提供信息服务的计划。信息系统在支持组织实施其业务战略方面发挥着关键作用。业务战略涉及竞争、定位和能力。信息系统有助于界定组织的能力。下面我们使用一个基本矩阵框架来理解组织在与信息系统相关的决策方面必须做出的选择,如下表所示。
这个矩阵框架的目的在于为管理者提供信息系统组件与战略之间关系的清晰视图,信息系统的四个基础构建组件与其他资源事项之间的关系构成了信息系统战略的关键元素。这些基础构建包括:
硬件,如台式电脑和服务器。
软件,用于业务运作、计算机管理以及系统间通信的程序。
网络,作为硬件组件间信息交换的物理手段,例如专用数字网络。
数据,包括位和字节的存储。在当前系统中,数据不一定与使用它们的程序一起存储,因此了解系统中的数据及其存储位置非常重要。
这些调查将有助于组织明智地制定信息系统战略。
3、设计和实施
开展信息系统设计与实施,首要任务是将业务需求转化为信息系统架构。信息系统架构为将组织业务战略映射到信息系统计划提供了蓝图。信息系统是支持组织内信息流动和处理的基础设施,包括硬件、软件、数据和网络组件。这些组件的选择和组装必须以最适合计划的方式进行,以最好地反映组织的总体业务战略。
1)设计方法
面对大量的信息技术选择和技术的快速发展,组织完成信息系统设计似乎成为一项“无法完成的任务”。因此,组织首先需要将业务战略转化为信息系统架构,然后将这一架构转化为信息系统设计,如下图所示。
(1) 从战略到系统架构
组织必须始于业务战略,进一步明确具体的目标。从每个目标派生出详细的业务需求。组织需要与架构设计专业人员协作,将这些业务需求转化为信息系统架构的系统要求、标准和流程等更详细的视图。这一更加详细的视图,即信息系统架构需求,包括涵盖数据、流程需求和安全目标等内容。组织还需明确信息系统所需完成的工作,以确保开发、实施和使用的顺利进行。治理安排则界定了信息系统的控制权和责任应由组织内哪个人负责。
(2) 从系统架构到系统设计
将信息系统架构转化为系统设计时,需要继承信息系统架构并添加更多细节,包括实际的硬件、数据、网络和软件等。扩展内容至数据存储和访问过程、防火墙位置、链路规范、互联设计等。信息系统架构被转化为功能规格,包括硬件规格、软件规格、存储规格、接口规格、网络规格等。然后决定如何实施这些规格,以及使用哪种硬件、软件、存储、接口、网络等构建信息系统的基础结构。
信息系统不仅仅是独立组件,而是需要按照设计蓝图进行组装。只有以一致的方式将硬件、软件、数据和网络组合在一起,才能构建出可行的信息系统。信息系统可以存在多个级别:
A级,涵盖整个组织,构成整个组织的信息环境。
B级,是组织之间的信息系统,为服务对象、供应商和其他利益相关者之间的跨组织边界通信奠定基础。
C级,是应用级的信息系统,通常专注于特定业务应用,重点考虑数据库和程序组件,以及它们所运行的设备和操作环境。
(3) 转换框架
将业务战略转化为信息系统架构,再转化为信息系统设计的过程,需要处理三类问题:内容、人员和位置。对于每个信息系统组件,需要回答这些问题。 "内容"问题是其中最常见的,需要明确组件是什么,包括确定特定类型的技术等。 "人员"问题旨在了解相关组件涉及的个人、团队和部门。在大多数情况下,单个用户并不一定是系统的所有者;在其他情况下,系统可能由组织租用而不是拥有,从而系统的所有者是组织的外部方。第三类问题涉及"何处",随着网络的扩展,许多信息系统的设计和构建可能跨越多个地点使用组件,因此了解信息系统意味着需要了解各组件的位置。
(表4-2可见相关信息系统的详细位置)。
2)架构模式
传统上,信息系统体系架构有三种常见模式 (见表4-3):
集中式架构:在集中式架构下,所有内容采用集中建设、支持和管理的模式。主要系统通常部署在数据中心,以消除由管理物理分离的基础设施所带来的困难。
分布式架构:硬件、软件、网络和数据部署在多台小型计算机、服务器和设备之间,分配处理能力和应用功能。这些设施依赖网络将它们连接在一起。
面向服务的系统架构 (Service-Oriented Architecture,SOA):SOA架构使用的软件通常被引向软件即服务 (Software-as-a-Service,SaaS) 的相关架构,同时,这些应用程序在通过互联网交付时也被称为Web服务。
在权衡集中式和分布式架构时,组织必须注意取舍。分布式架构更加模块化,允许相对容易地添加其他服务器,为特定用户添加具有特定功能的客户端,从而提供更大的灵活性和多中心化的组织治理机制,这有可能令架构决策与组织治理目标更协调。相比之下,集中式体系架构在某些方面更易于管理,因为所有功能都集中在主机或小型机中,而不是分布在所有设备和服务器中。集中式架构往往更适合具有高度集中式治理的组织。而SOA 则越来越受欢迎,因为该设计允许几乎完全从现有的软件服务组件构建大型功能单元。它对于快速构建应用程序非常有用,因为它为管理人员提供了模块化和组件化设计,是一种更易于变更的构建应用程序的方法。
4、运维和服务
信息系统的运维和服务应该以信息系统运行为核心,进行整合性的综合规划,以支持组织目标的实现。这包括对信息系统、应用程序和基础设施的日常控制和综合管理,确保支持组织的运营和流程。信息系统的运维和服务包括各种管理活动,主要包括运行管理和控制、IT 服务管理、运行与监控、终端侧管理、程序库管理、安全管理、介质控制和数据管理等。
1) 运行管理和控制
所有IT团队的活动都必须受到有效的管理和控制。这意味着操作人员的一切操作和活动都应该是经过管理层批准的,作为控制、过程和项目的一部分。这些过程和项目需要有充分的记录,以便管理层能够了解这些活动的状态。管理层对信息系统运行团队的所有活动负有最终责任。管理信息系统运行的管理控制主要包括以下活动:
过程开发:重复性活动应以过程的形式记录,每个过程和其各个步骤的相关文档需要制定、审查和批准,然后提供给运营人员。
标准制定:从执行任务的方式到所使用的技术,需要制定和采用标准定义和约束,以确保信息系统运行的工作具有一致性。
资源分配:管理层需要分配人力、技术和资源等能力,以支持信息系统的运行,这应与组织的使命、目标和目的保持一致。
过程管理:对所有与信息系统运行相关的过程进行测量和管理,确保这些过程在规定的时间和预算目标内得到正确和准确的执行。
2) IT 服务管理
IT服务管理通过主动管理和持续改进流程,确保高效和有效的IT服务交付。它包括以下活动:服务台、事件管理、问题管理、变更管理、配置管理、发布管理、服务级别管理、财务管理、容量管理、服务连续性管理和可用性管理。
服务台:作为与服务干系人沟通和互动的重要接口,服务台负责响应和处理服务干系人的问题和需求。它对IT服务质量和服务干系人满意度的管理至关重要,同时也协调组织内各团队的合作。
事件管理:事件管理用于处理计划外中断或服务质量下降,以及未影响服务的配置项故障。这是IT服务管理中最常见的流程之一。
问题管理:问题管理处理多个相似根本原因的事件,旨在减少事件数量和严重性,包括事后控制和预防措施。
变更管理:变更管理涉及使一个或多个信息系统配置项的状态发生改变,确保对所有变更的控制和一致性执行。
配置管理:配置管理用于管理信息系统的配置项,包括硬件和软件的详细信息,以支持信息系统的正常运行。
发布管理:发布管理负责计划和实施信息系统的变更,并记录各方面信息,以确保现有的运营环境和服务不受干扰。
服务级别管理:服务级别管理定义、记录和管理IT服务级别,以满足干系人的需求,通过服务水平协议、服务绩效监控和报告来不断改进服务质量。
财务管理:IT服务财务管理涉及资源管理、费用管理、预算编制和项目投资回报率管理等,以评估IT服务的财务价值。
容量管理:容量管理用于确认信息系统有足够的容量以满足服务需求,需要关注当前和未来的需求。
服务连续性管理:服务连续性管理确保在灾难发生时持续提供服务。包括治理、业务影响分析、服务连续性计划制订和测试。
可用性管理:可用性管理确保IT服务满足服务干系人的可用性需求,关注服务在约定的时间内的可用性。
这些管理和服务活动共同确保信息系统的正常运行和高质量的服务交付,从而支持组织的目标和使命。
3)运行与监控
有效的IT运维要求IT人员按照既定流程和过程理解并正确执行任务。同时,IT运维还强调对人员进行培训,以有效识别异常和错误,并做出正确反应。IT运维任务包括:
计划执行:按计划执行工作(A)。
监控和资源分配:监控工作,按优先级分配资源(B)。
故障恢复:重新启动失败的工作和进程(C)。
备份优化:通过加载或更改备份介质,或确保存储系统就绪来优化备份(D)。
性能监控:监控信息系统、应用程序和网络的性能,确保足够的性能(E)。
维护活动:在空闲期执行维护活动,如设备清洁和系统重启(F)。
IT组织通常制定工作计划,安排定期执行的活动,包括系统维护和人工任务,如审计和结算。这些计划内的活动可以是自动的,也可以手动安排。
在大型组织中,可能设有网络运营中心和安全运营中心,由专人负责监控相关的安全设备、网络、系统和应用程序活动。对于IT运维环境中的异常和错误,通常按照IT服务管理体系的事件管理和问题管理流程来处理。
运行监控:IT团队监控信息系统、应用程序和基础设施,以确保它们按要求运行。监控工具和系统使IT运维人员能够检测软件或硬件组件何时未按计划运行,检测和报告的错误类型包括系统错误、程序错误、通信错误和操作员错误等。IT团队应记录任何意外或异常活动的事件,并根据流程进行管理。
安全监控:组织需要执行不同类型的安全监控,将其作为整体策略的一部分,以预防和响应安全事件。监控类型包括防火墙策略规则中的例外情况、入侵防御系统的告警、数据丢失防护系统的告警、云安全访问代理的告警、用户访问管理系统的告警、网络异常的告警、网页内容过滤系统的告警、终端管理系统的告警(包括反恶意软件)等。此外,还包括供应商发布的安全公告、第三方发布的安全公告、威胁情报咨询、门禁系统的告警和视频监控系统的告警。
4)终端管理
IT团队的关键任务之一是向组织成员提供服务,以改善他们对IT访问和使用的体验。通常,终端用户计算机被设为“锁定”,以限制用户对设备的配置更改,包括操作系统设置、补丁安装、软件程序安装以及外部数据存储设备的使用等。尽管用户可能认为这些限制有所不便,但它们有助于确保终端用户设备和整个组织的IT环境更安全,同时提高了一致性,降低了支持成本。
5)代码库管理
代码库用于存储和管理应用程序源代码和目标代码。在大多数组织中,应用程序源代码属于敏感信息,可能包含算法、加密密钥和其他敏感数据。这些信息应该只允许尽量少的人员访问。应用程序源代码应被视为信息资产,并应根据组织的安全策略和数据分类策略进行管理。代码库的管理控制使组织能够高度管理其应用程序的完整性、质量和安全性。代码库通常是一个多功能的信息系统,具备用户界面,提供访问控制、代码签出、代码签入、版本控制和代码分析等主要功能。
6)安全管理
信息安全管理有助于确保组织的信息安全计划能够充分识别和应对风险,并在整个运维和服务过程中正常运行。关于该领域的管理要点详见后续章节。
7)介质管理
组织需要采取一系列活动来确保数字介质得到适当的管理,包括其保护和销毁不再需要的数据。通常,这些过程与数据保留和数据清除相关,以通过物理和逻辑的安全控制来保护必要的数据,同时有效地处置不再需要的数据。介质处置程序包括擦除介质上的数据或执行所有相关步骤,以使介质上的数据无法以其他方式恢复。组织应考虑在介质管理、销毁策略和程序范围内包括的主要介质,如备份介质、虚拟磁带库、光学介质、硬盘驱动器、固态驱动器、闪存和硬拷贝等。介质清理策略和程序应考虑服务提供商的相关要求,并记录活动以跟踪介质销毁情况。
8)数据管理
数据管理涉及获取、处理、存储、使用和处置数据的一系列活动。更多管理要点请参考后续内容。
5、持续优化与改进
优化和持续改进是信息系统管理中至关重要的环节,良好的优化和持续改进管理可有效确保信息系统性能和可用性,延长整个系统的有效使用寿命。传统上,优化和持续改进通常采用戴明环(PDCA循环)方法。PDCA循环将持续改进分为四个阶段:Plan(计划)、Do(执行)、Check(检查)和Act(处理)。
基于有效的变更管理,优化和持续改进还可采用六西格玛提倡的五阶段方法DMAIC/DMADV。这五阶段包括:定义(Define)、度量(Measure)、分析(Analysis)、改进/设计(Improve/Design)以及控制/验证(Control/Verify)。当第四阶段中的“改进”替换为“设计”,“控制”替换为“验证”时,五阶段法就从DMAIC转变为DMADV。
1)定义阶段
在定义阶段,我们的目标包括对待优化信息系统、核心流程和团队组建进行清晰界定。
(1)待优化信息系统的定义是关键。此活动涵盖了范围的明确定义,优化的目标和目的,系统团队的成员和资助者,以及优化的时间表和交付成果。为了确保这个定义与业务需求保持一致,需要深入了解信息系统相关的业务。使用“延伸目标”的概念可以帮助我们定义待优化的信息系统。延伸目标是那些超越了当前组织结构、资源和技术范围的优化目标,它们可以帮助我们实现显著的改进。
(2)核心流程的明确定义同样重要。这一活动包括明确定义利益相关者、输入和输出,以及广泛的功能。SIPOC(Supplier、Input、Process、Output、Customer)分析是定义核心流程视图的首选工具。这有助于将组织看作是一个相互关联、相互作用的系统,由提供者、输入、流程、产出和客户这五个部分组成。
(3)团队组建是关键的活动。它侧重于从关键利益相关者中选择成员,以构建高效的团队,以达成信息系统问题和收益方面的共识。团队的有效形成对于赢得利益相关者的支持至关重要。从每个关键利益相关者群体中选择可信赖的成员,以代表他们在优化和持续改进中的职能或领域。通常,有效的团队规模限制在5~7名成员,因为较大的团队更难管理,成员可能会失去对团队的责任感。其他团队成员可以是来自非关键利益相关者组的临时成员,他们只在需要特定流程专业知识时参与。
以上是定义阶段的重点,确保活动的有效执行对于信息系统的成功优化和持续改进至关重要。
2)度量阶段
度量阶段的目标包括流程定义、指标定义、流程基线和度量系统分析。
(1)流程定义是关键的一步。在度量阶段,我们通常使用流程图工具来清晰定义流程,将信息系统的输入、操作和输出以图形方式呈现。这有助于人们更好地理解流程。然而,流程图应该简洁明了,避免过于复杂的决策点。复杂的决策点可能表明过于复杂的流程,需要改进。
(2)指标定义是至关重要的。这一活动包括为评估流程所选的指标。选择适当的指标对于提高系统质量、业务绩效和服务对象满意度至关重要。这些指标将为数据驱动的决策提供支持,并成为描述信息系统状态的标准和数据化语言。它们有助于确定各种因素对信息系统的影响和相对重要性,还可以比较不同组件对业务整体的贡献。这些指标提供了关于质量、成本和进度的重要信息,有助于持续改进。
(3)流程基线的建立非常重要。一旦明确了度量指标,我们需要通过基线来确定当前系统的性能。这有助于了解系统在多大程度上满足了服务对象的需求,并验证信息系统目标的实现情况。只有在有了稳定的系统后,我们才能评估系统的变异性和预测。
(4)度量系统分析至关重要。质量必须通过度量来量化,这是开始讨论优化和持续改进的基础。良好的度量系统应具备准确、可重复、线性、可重现和稳定的特性,这有助于确保度量数据的质量和可靠性。只有这样,我们才能够进行有效的系统改进。
度量阶段的成功实施对于信息系统的持续改进至关重要,它为数据驱动的决策提供了坚实的基础。
3)分析阶段
分析阶段有三个主要目标:价值流分析、分析信息系统异常的根源、以及确定推动优化改进的因素。
价值流分析首先要明确信息系统的使用者对产品或服务的价值。价值可以被定义为组织愿意为系统组件投资的价值,也可以是改变信息系统形式、适用性或功能的活动,以及将业务输入转化为输出的活动。这有助于识别并优化关键流程。
信息系统异常的根源分析是关键的。度量阶段提供了信息系统异常是稳定还是不稳定的证据,对此需要清晰区分。稳定系统需要通过根本性改变来减少内部常见变异。对于不稳定系统,必须解决特定时间段内导致不稳定的特殊原因,恢复稳定状态,然后进行改进。在业务层面,通过分析服务对象数据,可以建立服务对象满意度与支撑服务对象体验的信息系统组件之间的关系。
确定推动优化改进的因素至关重要。信息系统性能和功能的变化受多种因素影响。优化改进需要降低系统或组件的异常,或将系统性能移到更有利的设置。专注于关键的优化改进因素将有助于信息系统的持续改进。数学分析方法,如相关性与回归分析、最小二乘拟合和残差分析,可以用来计算关键的改进驱动因素。
4)改进/设计阶段
改进/设计阶段的目标包括:
提出一个或多个解决方案给发起人,并量化每种方法的收益,以达成共识并实施。
定义新的操作/设计条件。
为新工艺/设计提供明确定义和缓解故障模式。
(1) 解决方案的推进:在改进/设计阶段,解决方案的部署可以缩小信息系统当前状态与所需状态之间的差距。同时,实施的方法需要验证,以确保达到并保持预期的效果。这个阶段还涉及制定改进和成本降低的计划,通常是决定成功与否的关键点。在此阶段,团队需要考虑之前未考虑的因素,管理支持也至关重要。
(2) 定义新的操作/设计条件:在定义阶段引入的核心流程可以用于新流程的开发,还可以进行其他实验设计,以确定新信息系统或新系统中新的功能和设计所需的最佳操作条件,以最大程度或最小程度响应。
(3) 定义和缓解故障模式:建立了信息系统的优化和持续改进流程之后,可以评估其故障模式。了解信息系统的故障模式有助于组织定义不同故障的缓解策略,以最大限度地减少故障的影响或发生。这些缓解策略可能导致新的运行维护过程步骤、最佳系统设置或控制策略,以防止信息系统失效,也可能提升信息系统性能或降低信息系统容量损耗。在某些情况下,无法预防故障的情况下,可以制定策略来最大限度地减少故障的发生并控制损失。
5)控制/验证阶段
控制/验证阶段 的目标包括标准化新程序/新系统功能的操作控制要素、持续验证优化的信息系统的可交付成果、记录经验教训。
标准化新程序/新系统功能的操作控制要素:随着信息系统的改进,组织需要更好地控制系统,以保持进一步改进的能力。管理者必须将新方法和新系统的运行标准化,以维持改进所带来的效益。在业务层面实施标准化控制是保持信息系统优化改进的关键。培训员工使用新系统或优化后的系统是维护已部署改进的关键。
持续验证优化的信息系统的可交付成果:组织应当向受影响的人员提供关于系统组件变更、信息系统状态趋势等方面的培训。这些人员不仅需要了解信息系统的变化,还需要了解这些变化的原因,以及可能会为未来改进提供进一步方法的可能性。
记录经验教训:随着项目小组完成其活动,必须最终确定并保留项目文档。其中一个关键方面是记录经验教训,包括为了获得更快或更佳结果而可能采取的措施。这些经验对组织中的其他团队是否有用? 这种团队总结也对项目团队的努力予以认可。
二、管理要点
信息系统管理涵盖了系统准备、设计、实施、运营等多个方面,其管理的侧重点和详细程度因不同组织的战略目标和业务使命而异。就日常管理活动而言,各组织的关注点主要集中在系统数据管理、运维管理和信息安全管理等方面的体系化管理。这些管理活动有助于确保信息系统的有效性和可靠性,从而支持组织的使命和目标。
1、数据管理
通常情况下,数据管理是指规划、控制和提供数据和信息资产的职能,包括开发、执行、监督与数据相关的计划、策略、方案、项目、流程、方法和程序,以获取、控制、保护、交付和提升数据和信息资产的价值。国际数据管理协会(DAMA)强调,数据资源管理专注于建立适当的结构、策略、实践和程序,以管理组织数据的整个生命周期。数据管理框架则是一个功能模型,用于跟踪、协调和统一管理组织的数据,无论这些数据来自哪个平台或业务系统。
本部分主要探讨数据管理的核心框架、主要活动和管理要点,通过工程方法实施组织数据能力建设,更多详情请参考本书第5.2节的数据工程。
数据管理能力成熟度评估模型(Data Management Capability Maturity Assessment Model, DCMM)是国家标准GB/T 36073《数据管理能力成熟度评估模型》中提出的,旨在帮助组织利用先进的数据管理理念和方法,建立和评估自身的数据管理能力,不断完善数据管理组织、流程和规章制度,充分释放数据在推动组织信息化、数字化和智能化发展方面的价值,如图4-6所示。
DCMM定义了8个核心能力领域,包括数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生命周期。这些领域为组织提供了评估其数据管理能力并持续提升的框架。
1)数据战略
组织的数据战略能力通常包括数据战略规划、数据战略实施和数据战略评估三个方面。(1) 数据战略规划。数据战略规划是通过达成共识来确定组织所有利益相关者之间的数据管理与应用动因,从宏观与微观层面综合反映数据需求。主要工作包括:
确定利益相关者的需求。
评估业务与信息化现状,了解其数据需求。
制定数据战略,包括愿景陈述、数据管理原则、目的、目标、规划范围、数据管理模型、主要差距、管理层职责和发布计划。
正式发布数据战略。
定期修订数据战略以适应变化。
(2) 数据战略实施。这是在数据战略规划后,逐渐实现数据职能框架的过程。实施过程包括:
制定实施评估标准,规范评估过程。
分析当前数据战略实施情况,评估进展。
比对实施情况与数据战略规划,分析差异。
根据实施路径制定任务优先级,制定预算计划。
根据任务列表逐步实施工作。
实施过程监控。
(3) 数据战略评估。组织需要建立业务案例和投资模型,并在整个数据战略实施过程中跟踪进度,以供审计和评估使用。主要工作包括:
建立数据战略任务的效益评估模型,包括时间、成本、效益等方面。
建立业务案例,定义数据管理和数据应用任务范围、活动、期望价值和成本收益分析。
建立投资模型,确保合理分配资本,满足不同业务需求和相关监管要求。
定期评估已取得的成果,考虑业务价值和经济效益。
这些能力领域可以帮助组织实施数据战略并不断提升其数据管理与应用能力。
2)数据治理
组织的数据治理能力通常包括数据治理组织、数据制度建设和数据治理沟通三个方面。(1) 数据治理组织。数据治理组织是确保各数据职能工作有序展开的基础,包括组织架构、岗位设置、团队建设和数据责任。主要工作包括:
建立数据治理组织,确保组织内部权责分明,沟通畅通,以支持数据战略实施。
设定所需岗位,明确职责和要求。
制定团队培训计划,提升团队的数据治理技能。
确定数据归口管理责任。
制定绩效评价体系,根据职责分工评估绩效。
(2) 数据制度建设。为规范数据管理和数据应用,需要建立分层次的制度体系。数据制度建设是各数据职能工作顺利进行的基础,主要工作包括:
制定数据制度框架,包括策略、办法、细则,规定领域、目标、原则、任务、工作方式和措施。
编制数据制度内容,包括数据策略、办法、细则,规定数据管理和应用的目的、组织、范围和方法。
发布数据制度并定期宣贯。
实施数据制度,确保数据治理组织的支持。
(3) 数据治理沟通。数据治理沟通旨在确保各利益相关者了解数据策略、标准、流程、角色、职责和计划,开展数据培训,提升数据管理知识和技能。数据治理沟通主要工作包括:
设定沟通路径,分析各方需求,明确关注的内容。
制定沟通计划,达成共识,确保定期的沟通活动。
执行沟通计划,记录问题和解决方案。
建立问题协商机制,包括高层管理介入,解决分歧。
确定主要沟通渠道,如邮件、文件、网站、自媒体、研讨会。
制订培训宣贯计划,根据需求定期开展培训。
这些能力领域有助于组织实施数据治理,提高数据管理与应用的效率。
3)数据架构
组织的数据架构能力通常包括数据模型、数据分布、数据集成与共享和元数据管理四个领域。(1) 数据模型。数据模型使用结构化语言综合分析组织的业务需求,按照模型规范重新组织这些需求。主要工作包括:
收集和理解组织的数据需求,包括应用系统的数据需求、战略需求、监管需求等。
制定模型规范,包括模型工具、命名规范、常用术语等。
开发数据模型,包括组织级和应用级数据模型。
指导和规范系统应用级数据模型的建设。
进行符合性检查,确保模型一致性。
管理模型变更,根据需求实时维护数据模型。
(2) 数据分布。数据分布管理数据在系统、流程和组织中的关系,明确数据举型,权威数据源,并为数据工作提供参考和规范。这有助于定义数据的责任人,并优化数据的集成关系。主要工作包括:
对应用系统中的数据进行梳理,了解数据作用和问题。
对数据进行分类,包括主数据、参考数据、交易数据、统计分析数据、文档数据、元数据等。
定义数据分布关系,将数据与流程、组织机构、系统联系起来。
确定权威数据源,明确唯一信息采集和存储系统。
规范数据工作,定义工作优先级,优化数据集成。
(3) 数据集成与共享。数据集成与共享建立了内部应用系统和部门之间的数据集成共享机制,通过制度、标准和技术的管理促进组织内部数据的互联互通。主要工作包括:
建立数据集成共享制度,明确原则和方法。
制定数据交换标准,依据不同的数据集成方式。
建立数据集成共享环境,整合不同类型的数据,以支持复杂数据处理和便捷访问。
检查新建系统的数据集成方式。
(4) 元数据管理。元数据管理涉及创建、存储、整合和控制元数据的流程。主要工作包括:
元模型管理,对描述元数据属性的元模型进行分类和定义。
元数据集成和变更,收集元数据,对不同来源的元数据进行集成和管理。
元数据应用,分析和使用管理的元数据,包括查询、血缘分析、影响分析、符合性分析、质量分析等。
这些领域有助于组织构建数据架构,提高数据管理与应用的效率。
4)数据应用
数据应用能力通常包括数据分析、数据开放共享和数据服务三个方面。(1) 数据分析。数据分析是通过组织内外部的数据分析或挖掘建模,提供数据决策支持,并包括成果的交付、运营、评估和推广等活动。数据分析能力对于组织的决策制定、价值创造以及向用户提供价值方式具有重要影响。主要工作包括:
常规报表分析,按照规定的格式对数据进行统一组织、加工和展示。
多维分析,分析不同分类之间的数据度量之间的关系,以发现同类性质的统计项之间的数学联系。
动态预警,实时监测数据并根据预设的阈值进行预警。
趋势预测,利用各种分析理论和方法对事物未来特征和发展趋势进行估计和测算。
(2) 数据开放共享。数据开放共享指的是按照统一的管理策略对组织的数据进行有选择性的对外开放,并同时引入外部数据以供组织内部使用。这是数据跨组织和跨行业流通的关键前提,也是实现数据价值最大化的基础。主要工作包括:
梳理需要开放共享的数据,建立清晰的开放共享数据目录。
制定外部数据资源目录,对所需的外部数据进行统一梳理,建立数据目录以便内部用户查询和应用。
制定统一的数据开放共享策略,包括安全和质量等内容。
管理数据提供方,建立对外数据使用策略和数据提供方服务规范。
数据开放,通过多种方式对外部数据进行开放,并确保数据质量。
数据获取,根据数据需求选择数据提供方。
(3) 数据服务。数据服务通过对内外部数据进行统一的加工和分析,结合公众、行业和组织的需求,以数据分析结果的形式提供跨领域、跨行业的数据服务。数据服务是数据资产变现的直接手段之一,也是数据价值的度量方式之一。通过有效的数据服务,组织能提升内部效益,更好地服务公众和社会。数据服务可以采取多种形式,包括数据分析结果、数据服务API、数据产品和数据服务平台等,形式取决于组织的数据战略和发展方向。主要工作包括:
数据服务需求分析,分析外部的数据需求并结合外部需求,制定数据服务目标和形式,形成数据服务需求分析文档。
数据服务开发,根据需求分析对数据进行整合和加工,形成数据产品。
数据服务部署,部署数据产品以对外提供服务。
数据服务监控,全面监控和管理数据服务,实时分析数据服务状态、调用情况和安全情况。
数据服务授权,对数据服务用户进行授权并控制访问过程。
5)数据安全
组织的数据安全能力通常包括数据安全策略、数据安全管理和数据安全审计三个方面。(1) 数据安全策略。数据安全策略是数据安全的核心内容,制定时需要综合考虑组织管理需求、监管要求以及相关标准。主要工作包括:
了解国家、行业等监管要求,结合组织的数据安全业务需求,制定数据安全策略,建立组织的数据安全管理框架。
制定适合组织的数据安全标准,明确数据安全级别和范围。定义数据安全管理的目标、原则、制度、管理机构、流程等,为组织的数据安全提供保障。
(2) 数据安全管理。数据安全管理是在数据安全标准与策略的指导下,通过数据访问授权、数据分类分级控制、监控数据访问等方式,满足数据安全的业务需求和监管要求,实现对数据生命周期的安全管理。主要工作包括:
划分数据安全等级,根据组织数据安全标准充分了解组织内部的数据,制定相关文档。
控制数据访问权限,制定数据安全管理的相关利益相关者名单,根据需求授权数据访问权限。
进行用户身份认证和访问行为监控,确保在数据访问过程中对用户进行身份认证和行为监控。
提供数据安全保护控制措施,以保障数据在应用过程中的隐私性。
管理数据安全风险,分析已知或潜在的数据安全风险,制定防范措施并监督实施。
(3) 数据安全审计。数据安全审计是一项控制活动,负责定期分析、验证、讨论、改进数据安全管理策略、标准和活动。审计可以由组织内部或外部审计人员执行,审计人员应独立于审计涉及的数据和流程。数据安全审计的目标是为组织和外部监管机构提供评估和建议。主要工作包括:
过程审计,分析实施规程和实际做法,确保数据安全目标、策略、标准、指导方针和预期结果一致。
规范审计,评估现有标准和规程是否适当,是否与业务和技术要求一致。
合规审计,检查和审阅组织相关监管法规要求,验证其符合监管法规要求。
供应商审计,评估供应商合同和数据共享协议,确保供应商履行数据安全义务。
发布审计报告,向高级管理人员、数据管理专员以及其他利益相关者报告组织内的数据安全状态。
提供数据安全建议,就数据安全的设计、操作和合规等方面提出改进建议。
6)数据质量
组织的数据质量能力域通常包括数据质量需求、数据质量检查、数据质量分析和数据质量提升四个方面。(1) 数据质量需求。数据质量需求是明确数据质量目标,并根据业务需求和数据要求制定用来衡量数据质量的规则,包括技术指标、业务指标以及相应的校验规则和方法。数据质量需求是度量和管理数据质量的基础,需要根据组织的数据管理目标、业务需求和行业监管要求参考相关标准来统一制定和管理。主要工作包括:
定义数据质量管理目标:根据组织管理需求和外部监管要求,明确组织数据质量管理目标。
定义数据质量评价维度:制定组织数据质量评估维度,以指导数据质量评价工作。
明确数据质量管理范围:根据组织业务发展需求和常见数据问题分析,明确组织数据质量管理范围,梳理各类数据的优先级和质量需求。
设计数据质量规则:根据组织的数据质量管理需求和目标,识别数据质量特性,定义各类数据的质量评价指标、校验规则和方法,并根据业务发展需求和数据质量检查分析结果对数据质量规则进行持续维护和更新。
(2) 数据质量检查。数据质量检查是根据数据质量规则中的技术指标、业务指标、校验规则和方法对组织的数据质量进行实时监控,以发现数据质量问题,并向数据管理人员提供反馈。主要工作包括:
制订数据质量检查计划:根据组织数据质量管理目标的需求,制定统一的数据质量检查计划。
数据质量情况剖析:根据计划对系统中的数据进行剖析,查看数据的值域分布、填充率、规范性等,切实掌握数据质量实际情况。
数据质量校验:依据预先配置的规则和算法,对系统中的数据进行校验。
数据质量问题管理:包括问题记录、问题查询、问题分发和问题跟踪。
(3) 数据质量分析。数据质量分析是对数据质量检查过程中发现的数据质量问题及相关信息进行分析,找出影响数据质量的原因,并定义数据质量问题的优先级,作为数据质量提升的参考依据。主要工作包括:
数据质量分析方法和要求:整理组织数据质量分析的常用方法,明确数据质量分析的要求。
数据质量问题分析:深入分析数据质量问题产生的根本原因,为数据质量提升提供参考。
数据质量问题影响分析:根据数据质量问题的描述和数据价值链的分析,评估数据质量对组织业务开展和应用系统运行的影响,形成数据质量问题影响分析报告。
数据质量分析报告:包括对数据质量检查、分析等过程累积的各种信息进行汇总、梳理、统计和分析。
建立数据质量知识库:收集各类数据质量案例、经验和知识,形成组织的数据质量知识库。
(4) 数据质量提升。数据质量提升是根据数据质量分析的结果,制定和实施数据质量改进方案,包括错误数据更正、业务流程优化、应用系统问题修复等,同时制定数据质量问题预防方案,以确保数据质量改进的成果有效保持。主要工作包括:
制定数据质量改进方案:根据数据质量分析的结果,制定数据质量提升方案。
数据质量校正:采用数据标准化、数据清洗、数据转换和数据整合等手段和技术,对不符合质量要求的数据进行处理,纠正数据质量问题。
数据质量跟踪:记录数据质量事件的评估、初步诊断和后续行动等信息,验证数据质量提升的有效性。
数据质量提升:对业务流程进行优化,对系统问题进行修正,对制度和标准进行完善,以防止同类问题的再次发生。
数据质量文化:通过数据质量相关培训和宣传等活动,持续提高组织的数据质量意识,建立健全的数据质量文化。
7)数据标准
组织的数据标准能力域通常包括业务术语、参考数据和主数据、数据元和指标数据四个要素。
(1) 业务术语:业务术语是对组织中业务概念的描述,包括中文名称、英文名称、以及术语的定义等内容。业务术语数据管理旨在制定一套统一的管理制度和流程,对业务术语的创建、维护和发布进行统一管理,以促进业务术语的共享和在组织内的一致应用。业务术语是组织内部理解数据和应用数据的基础,通过管理业务术语可以确保组织内部对具体技术名词的一致理解。关键工作包括:
制定业务术语标准:同时制定业务术语管理制度,包括组织结构、人员职责、应用原则等。
业务术语字典:整理组织中已定义、审批和发布的业务术语集合。
业务术语发布:在业务术语变更后及时审批并通过邮件、网站、文件等方式进行发布。
业务术语应用:在数据模型建设、数据需求描述、数据标准定义等过程中引用业务术语。
业务术语宣贯:组织内部介绍和推广已定义的业务术语。
(2) 参考数据和主数据:参考数据和主数据用于对其他数据进行分类。参考数据管理涉及对定义的数据值域的管理,包括标准化术语、代码值和其他唯一标识符,每个取值的业务定义,数据值域列表内部和跨不同列表之间的业务关系的控制,以及相关参考数据的一致共享使用。主数据是组织中需要跨系统、跨部门共享的核心业务实体数据。主数据管理包括对主数据标准和内容的管理,以实现主数据跨系统的一致共享使用。参考数据和主数据的关键工作包括:
定义编码规则:定义参考数据和主数据唯一标识的生成规则。
定义数据模型:明确定义参考数据和主数据的组成部分及其含义。
识别数据值域:识别参考数据和主数据的取值范围。
管理流程:建立参考数据和主数据管理相关流程。
建立质量规则:检查参考数据和主数据相关的业务规则和管理要求,建立相关质量规则。
集成共享:确保参考数据、主数据和应用系统的集成。
(3) 数据元:通过对组织中核心数据元的标准化,可以确保数据的拥有者和使用者对数据有明确的理解。数据元的关键工作包括:
建立数据元的分类和命名规则:根据组织的业务特点建立数据元的分类规则,制定数据元的命名、描述和表示规范。
建立数据元的管理规范:建立数据元管理的流程和相关职责,明确管理岗位职责。
数据元的创建:建立数据元的创建方法,进行数据元的识别和创建。
建立数据元的统一目录:根据数据元的分类和业务管理需求,建立数据元管理的目录,以便组织内部的数据元分类存储。
数据元的查找和引用:提供在线工具,方便查找和引用数据元。
数据元的管理:提供对数据元以及数据元目录的日常管理。
数据元管理报告:定期根据数据元标准进行引用情况分析,了解各应用系统中数据元的引用情况,促进数据元的应用。
(4) 指标数据:指标数据用于衡量组织在经营分析过程中的某一目标或事物。指标数据管理旨在对内部经营分析所需的指标数据进行统一规范化定义、采集和应用,以提升统计分析的数据质量。指标数据的关键工作包括:
制定指标数据分类管理框架:根据组织的业务管理需求,确保指标分类框架的全面性和各分类之间的独立性。
定义指标数据标准化的格式:梳理组织内部的指标数据,形成统一的指标字典。
数据采集:根据指标数据的定义,由相关部门或应用系统定期进行数据采集。
数据访问和应用:提供对指标数据的访问授权,并根据用户需求进行数据展现。
数据监控:对指标数据采集和应用过程中的数据进行监控,保证指标数据的准确性和及时性。
数据管理:划分指标数据的归口管理部门、管理职责和管理流程,按照管理规定对指标标准进行维护和管理。
8)数据生存周期
组织的数据生命周期能力域通常包括数据需求、数据设计和开发、数据运维和数据退役四个要素。
(1) 数据需求:数据需求是组织对业务运营、经营分析和战略决策过程中产生和使用数据的分类、含义、分布和流转的描述。数据需求管理过程旨在识别所需的数据,确定数据需求优先级,并以文件记录和管理的方式明确数据需求。数据需求的主要活动和要点包括:
建立数据需求管理制度:明确组织数据需求的管理组织、制度和流程。
收集数据需求:需求人员通过多种方式分析数据应用场景,识别数据的分类、名称、含义、创建、使用、展示、质量、安全、保留等需求,并编写数据需求文档。
评审数据需求:组织人员对数据需求文档进行评审,关注需求是否与业务目标、业务需求一致,是否使用了已定义的业务术语、数据项、参考数据等数据标准,以确保干系人对数据需求达成共识。
更新数据管理标准:对于已有的数据管理标准未覆盖的数据需求以及经评审后需要变更数据标准的,数据管理人员应根据相关流程更新数据标准,以保证数据标准与实际数据需求一致。
集中管理数据需求:各方数据用户的数据需求应集中由数据管理人员进行收集和管理,以确保需求的综合分析和历史回顾。
(2) 数据设计和开发:数据设计和开发是设计、实施数据解决方案,提供数据应用,持续满足组织的数据需求的过程。 数据解决方案包括数据库结构、数据采集、数据整合、数据交换、数据访问以及数据产品(报表、用户视图)等。数据设计和开发的主要活动和要点包括:
设计数据解决方案:包括概要设计和详细设计,其设计内容主要是针对具体应用系统设计逻辑数据模型、物理数据模型、物理数据库、数据产品、数据访问服务、数据整合服务等,以形成满足数据需求的解决方案。
数据准备:整理组织的各类数据,明确数据提供方,并制定数据提供方案。
数据解决方案质量管理:数据解决方案设计应满足数据用户的业务需求,同时也应满足数据的可用性、安全性、准确性、及时性等数据管理需求,因此需要进行数据模型和设计的质量管理,主要内容包括开发数据模型和设计标准,评审概念模型、逻辑模型和物理模型的设计,以及管理和整合数据模型版本变更。
实施数据解决方案:通过质量评审的数据解决方案进入实施阶段,主要内容包括开发和测试数据库、建立和维护测试数据、数据迁移和转换、开发和测试数据产品、数据访问服务、数据整合服务,以验证数据需求等。
(3) 数据运维:数据运维是指数据平台及相关数据服务建设完成上线并投入运营后,对数据采集、数据处理、数据存储等过程的日常运行及维护过程。 这确保了数据平台及数据服务的正常运行,为数据应用提供持续可用的数据内容。数据运维的主要活动和要点包括:
制定数据运维方案:根据组织数据管理的需要,明确数据运维的组织,制定统一的数据运维方案。
数据提供方管理:建立数据提供的监控规则、监控机制和数据合格标准,以确保数据平台和数据服务具有持续可用、高质量、安全可靠的数据。数据提供方管理包括对组织内部和外部数据提供方的管理。
数据平台的运维:根据数据运维方案对数据库、数据平台、数据建模工具、数据分析工具、ETL工具、数据质量工具、元数据工具、主数据管理工具的选型、部署、运行等进行管理,以确保各项技术工具的选择符合数据架构整体规划,并满足数据需求的正常运行各项指标。
数据需求的变更管理:数据需求实现之后,需要及时跟踪数据应用的运行情况,监控数据应用和数据需求的一致性,同时对用户提出的需求变更进行管理,确保设计和实施的一致性。
(4) 数据退役:数据退役是对历史数据的管理,根据法律法规、业务、技术等方面需求对历史数据的保留和销毁,执行历史数据的归档、迁移和销毁工作,确保组织对历史数据的管理符合外部监管机构和内部业务用户的需求,而不仅满足信息技术需求。数据退役的主要活动和要点包括:
数据退役需求分析:向组织管理层、各领域业务用户进行调研,明确内部和外部对数据退役的需求,包括外部监管机构对数据保留和清除的需求,以及内部数据应用对保留和清除的需求,同时兼顾信息技术对存储容量、访问速度、存储成本等需求。
数据退役设计:综合考虑合规、业务和信息技术需求,设计数据退役标准和执行流程,明确不同类型数据的保留策略,包括保留期限、保留方式等,建立数据归档、迁移、获取和清除的工作流程和操作规程,确保数据退役符合标准和流程规范。
数据退役执行:根据数据退役设计方案执行数据退役操作,完成数据的归档、迁移和清除等工作,满足法规、业务和技术需要,同时根据需要更新数据退役设计。
数据恢复检查:数据退役之后需要制定数据恢复检查机制,定期检查退役数据状态,确保数据在需要时可恢复。
归档数据查询:根据业务管理或监管需要,对归档数据的查询请求进行管理,并恢复相关数据以供应用。
9)理论框架与成熟度
国内外常用的数据管理模型有:数据管理能力成熟度模型(DCMM)、数据治理框架(Data Governance Institute,DGI)、数据管理能力评价模型(Data Management Capability Assessment Model,DCAM)以及数据管理模型(由DAMA定义的模型)等。
(1) 数据管理能力成熟度模型:DCMM将组织的管理成熟度划分为五个等级,分别是:初始级、受管理级、稳健级、量化管理级和优化级。
初始级:数据需求的管理主要在项目级体现,没有统一的管理流程,主要是被动式管理。
受管理级:组织意识到数据是资产,根据管理策略的要求制定了管理流程,指定了相关人员进行初步管理。
稳健级:数据已被当做实现组织绩效目标的重要资产,在组织层面制定了系列的标准化管理流程,促进数据管理的规范化。
量化管理级:数据被认为是获取竞争优势的重要资源,数据管理的效率能量化分析和监控。
优化级:数据被认为是组织生存和发展的基础,相关管理流程能实时优化,能在行业内进行最佳实践分享。
(2) 数据治理框架:国际数据治理协会发布了DGI数据治理框架,是组织在进行数据治理的操作层面的框架体系,为组织做出决策和采取行动的复杂活动提供了方法。此框架从组织结构、治理规则和治理过程这三个维度提出了关于数据治理活动的10个关键通用组件,并在这些要素的基础上构建了数据治理框架。
DGI数据治理框架
(3) 数据管理能力评价模型:企业数据管理协会(EDM)是制定和实施数据标准、最佳实践以及全面培训和认证项目的重要倡导者。他们基于众多实际案例的经验总结,编写了数据管理能力成熟度评估模型,提供了用于建立和评估组织数据管理计划的关键维度。主要强调团队协作(流程)、标准执行和资金支持。目前最新的DCAM 2.2版包含4个组件:基础组件(数据战略与业务案例、数据管理流程与资金)、执行组件(业务和数据架构、数据和技术架构、数据质量管理、数据治理)、分析组件(数据控制环境)、应用组件(分析管理)。
(4) 数据管理模型:国际数据管理协会DAMA(DAMA International)在2018年发布了DAMA-DMBOK(数据管理知识体系指南)第2版,用于指导组织的数据管理职能和数据战略的评估工作,建议和指导初创组织实施和提升数据管理。DAMA-DMBOK 2理论框架由11个数据管理职能领域和7个基本环境要素组成“DAMA数据管理知识体系”,每个数据职能领域都在7个基本环境要素的约束下开展工作。DAMA-DMBOK2职能框架见图表4-4。
2、运维管理
1)能力模型
IT运维是组织IT服务中至关重要的一环。随着组织IT建设的不断深化和完善,信息系统运维已成为各行业、各组织管理者和IT团队广泛关注的焦点。IT运维是指采用IT手段和方法,根据服务对象的要求,对其使用的IT系统运行环境和业务系统提供综合服务活动。
《信息技术服务运行维护第1部分通用要求》国家标准GB/T28827.1定义了IT运维能力模型,包括治理要求、运行维护服务能力体系和价值实现,如图4-8所示。治理要求是指为实现运行维护服务绩效、风险控制和服务合规性的组织目标提出的能力体系建设要求。运行维护服务能力体系(MCS)是指根据运行维护服务方和目标,策划并制定运行维护服务能力方案,确保交付的运行维护服务内容符合相关规定并满足质量要求,对服务交付过程和结果以及服务能力体系进行监督、测量、分析和评审,以持续提升服务能力。价值实现是指组织结合业务需求,识别用户需求,定义多样化服务场景,并通过服务能力、要素、活动的组合提供服务,直接或间接地为服务需求方和利益相关者创造服务价值。
(1)能力建设 组织需考虑内外部因素,在治理要求指导下,根据服务场景识别服务能力需求,围绕人员、过程、技术和资源能力四要素,策划、实施、检查和改进运行维护能力体系,通过服务提供实现服务价值。为此,建立关键指标对能力建设、人员、过程、技术和资源进行定期评价,衡量能力水平差距,持续提升运维服务能力。
在治理层面,最高管理层依据组织治理目标提出运行维护服务能力管理治理要求,确保服务绩效、风险控制和服务合规性。
在能力管理方面,运维能力管理是针对整个运维生命周期的管控机制,包括策划、实施、检查和持续改进四个阶段,以实现持续提升运维能力。建立运维能力管理计划,确保运维目标可实施;细化计划为具体的实施计划,并进行跟踪、检查和持续改进;最后总结分析运维能力管理的达成情况,持续改进,实现能力管理提升整体服务能力。
在能力管理过程中,组织需明确能力管理团队成员的职责范围和分工,并根据内外部环境、技术发展、利益相关者需求、资金投入、人才保障、基础设施等因素实施能力策划活动,制定计划、记录管理和成果管理,建立检查组织以确保实施过程记录合规,最终实现持续改进。
在价值实现方面,组织需识别不同服务场景下的需求,通过服务提供满足用户需求,创造服务价值。识别服务需求、策划服务场景、实施服务提供是实现服务价值的关键步骤。
(2)人员能力 人力资源是组织核心竞争力之一。因此,人员的建设和管理对组织至关重要。人员能力建设需从知识、技能和经验维度选择合适的人员,并根据管理要求指导IT运维团队的岗位职责和管理。
结合IT运维工作特点,运维人员通常分为管理、技术和操作三种岗位。为确保人员能力满足运维服务要求,组织应根据能力策划要求,制定人员招聘、培训、储备和考核机制,并定义IT运维人员岗位,明确工作职责和任职要求,实施运行维护人员能力评价。
(3)资源能力 资源主要由人员、过程和技术要素的能力组成,并转化为固化的知识、服务台、备件库以及运行维护工具等形式。资源能力确保IT运维的“保障做事”。组织需重视自有核心技术的固化工作,充分利用一线人员的技术资源,定期收集意见和建议,保持运维能力的优化。
(4)技术能力 组织通过核心技术研发和非自有核心技术学习,持续提升IT运维的问题识别和解决能力,确保高效率的运维。技术能力保障IT运维的“高效做事”,需要具备问题解决和发现的技术。
(5)过程 过程是由不同人完成的一系列活动,是为了达到特定价值目标而进行的活动。组织需设计过程框架,明确各过程间的关系和接口,制定管理过程的目标、活动和考核指标,规范管理和实现服务价值。
2)智能运维
中国电子工业标准化技术协会发布的团体标准T/CESA1172《信息技术服务智能运维通用要求》提供了智能运维能力框架,包含组织治理、智能特征、智能运维场景实现、能力域和能力要素等,其中能力要素构建了智能运维能力的基础。组织在组织治理指导下,需针对智能运维场景实现提出能力建设要求,展开智能运维能力规划和建设。通过场景分析、场景构建、场景交付和效果评估四个步骤,基于数据管理能力域提供高质量数据,结合分析决策能力域做出合理判断或结论,并根据需要驱动自动控制能力域执行运维操作,使运维场景具备智能特征,提升智能运维水平,实现质量可靠、安全可控、效率提升、成本降低。智能运维能力框架如下图所示。
(1) 能力要素 智能运维的能力要素主要包括: 人员:运维团队需要熟悉IT运维领域的业务活动与流程,掌握自动化、大数据、人工智能、云计算、算法等技术,具备一定的智能运维研发能力。 技术:技术通常包括统一的标准和规范、开放的基础公共资源与服务、数据与流程及服务的互联互通等。 过程:智能运维定义的过程需要具备清晰界定人机界面,能够充分发挥智能化优势,实现过程优化,并考虑权限控制、风险规避。 数据:运维组织需要加强数据治理,保证数据质量,规范数据接口。运维应用需要围绕数据进行采集、加工、消费,提升运维智能化水平。 算法:可以聚焦在异常检测、根因分析、故障预测、知识图谱、健康诊断、决策分析等方面,具备有穷性、确切性、有效性等特点。 资源:组织在数据管理能力域数据服务中,对于资源管理,至少应根据不同场景要求配置开放共享服务管理所需要的算力、带宽、存储等。 知识:知识通常包括运维技术方案及方法与步骤、运维的经验沉淀、运维对象的多维度描述、运维数据的智能挖掘结果等。
(2) 能力平台 智能运维能力平台通常具备数据管理、分析决策、自动控制等能力。其中,数据管理能力用于采集、处理、存储、展示各种运维数据。分析决策能力以感知到的数据作为输入,做出实时的运维决策,驱动自动化工具实施操作。自动控制根据运维决策,实施具体的运维操作。
(3) 能力应用 以运维场景为中心,通过场景分析、能力构建、服务交付、迭代调优四个关键环节,可以使运维场景具备智能特征。根据复杂程度,运维场景分为单一场景、复合场景和全局场景。 场景分析:是指从业务或IT本身接收对新服务或改进服务的需求。场景需求分析从业务需求、用户需求以及系统需求,不同层次阶段进行不同方式、内容以及侧重点的需求调研。 能力构建:是指基于运维场景分析的结果和目标要求,应用赋能平台中适合运维场景数据特点的加工处理能力,系统性设计数据的处理流程,构建符合特定运维场景需求的智能运维解决方案。 服务交付:是指制订详细的交付计划,准备必要的资源,评估可能存在的风险并明确规避方案,完善交付实施过程,通过服务交付检查确保运维场景的智能特征符合策划要求。 迭代调优:是指通过持续的迭代对智能运维场景的优化,确保投入符合智能运维具体场景的规划目标逐步实现。
(4) 智能运维需具备若干智能特征,包括: 能感知:具备灵敏、准确地识别人、活动和对象的状态的特点。 会描述:具备直观友好地展现和表达运维场景中各类信息的特点。 自学习:具备积累数据、完善模型、总结规律等主动获取知识的特点。 会诊断:具备对人、活动和对象进行分析、定位、判断的特点。 可决策:具备综合分析,给出后续处置依据或解决方案的特点。
3、信息安全管理
当前社会正处于数字化时代,其显著特点在于信息的价值在很多情况下超越了信息处理设施本身的价值,比如一台计算机中存储和处理的信息价值通常高于计算机本身的价值。同时,现代社会的各类组织,包括政府和企业,对信息及其处理设施的依赖程度也日益增加,一旦信息丢失、泄露或者信息处理设施中断,很多组织的业务将难以运作。新时代对信息安全提出了更高的要求,对信息安全内涵也在不断延伸和拓展。
1)CIA 三要素
CIA是保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的缩写。CIA是系统安全设计的目标。保密性、完整性和可用性是信息安全最关注的三个属性,因此也被称为信息安全三元素,这是信息安全强调的目标。信息安全已成为一个综合性学科,涵盖了计算机科学、网络技术、通信技术、密码学、信息安全技术、应用数学、数论和信息论等多个学科。在广义上,所有涉及网络信息保密性、完整性、可用性、真实性和可验证性的相关技术和理论都属于信息安全的研究范畴。然而,CIA也有其局限性。CIA聚焦于信息,虽然这是大多数信息安全的核心,但对于信息系统安全而言,仅考虑CIA是不够的。信息安全的复杂性决定了还有其他重要因素需要考虑。CIA提供了一个信息系统整体安全模型框架,可帮助制定安全策略,但并非所有需要考虑的策略。
2)信息安全管理体系
信息系统安全管理是对组织机构中信息系统全生命周期实施符合安全等级责任要求的管理,主要包括:
确立安全管理机构和人员,明确角色与职责,制定安全规划;
制定安全策略;
实施风险管理;
制订业务持续性计划和灾难恢复计划;
选择和实施安全措施;
保证配置和变更的正确性和安全性;
进行安全审计;
保证维护支持;
进行监控、检查,处理安全事件;
安全意识和安全教育;
人员安全管理等。
组织机构应建立安全管理机构,不同安全等级的机构逐步建立信息系统安全组织机构管理体系。其中包括:
配备安全管理人员,管理层应有专人负责信息系统安全工作,配置专职或兼职安全管理人员;
建立安全职能部门,负责管理信息系统安全工作;
成立安全领导小组,对覆盖全国或跨地区的组织机构,应在各级成立信息系统安全领导小组,在基层至少要有一位专职安全管理人员负责信息系统安全工作;
主要负责人出任领导,由主要负责人出任信息系统安全领导小组负责人;
建立信息安全保密管理部门,加强对信息系统安全管理过程和管理人员的保密监督管理。
3)网络安全等级保护
国家市场监督管理总局、国家标准化管理委员会宣布网络安全等级保护制度2.0相关的国家标准正式发布,并于2019年12月1日开始实施。“等保1.0”体系以信息系统为对象确定了五级安全保护等级,涵盖了信息系统安全等级保护的定级方法、基本要求、实施过程和测评工作等方面,形成了一套相对完整、标准明确、制度与技术要求涵盖的等级保护规范体系。然而,随着网络安全形势日益严峻,“等保1.0”体系逐渐难以持续应对当前不乐观的网络安全新形势,于是“等保2.0”体系应运而生。
等保2.0将“信息系统安全”的概念扩展至“网络安全”,其中所谓“网络”是指由计算机或其他信息终端及相关设备组成、按一定规则和程序对信息进行收集、存储、传输、交换、处理的系统。
(1)安全保护等级划分 GB/T22240《信息安全技术-网络安全等级保护定级指南》定义了等级保护对象,主要包括信息系统、通信网络设施和数据资源等。根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及遭到破坏、丧失功能或数据被篡改、泄露、丢失、损毁后对国家安全、社会秩序、公共利益及公民、法人和其他组织合法权益的侵害程度等因素,将等级保护对象的安全保护等级分为五级:
第一级:受破坏后对相关合法权益造成损害但不危害国家安全、社会秩序和公共利益;
第二级:受破坏后对相关合法权益产生严重或特别严重损害,或对社会秩序和公共利益造成危害但不危害国家安全;
第三级:受破坏后对社会秩序和公共利益造成严重危害,或对国家安全造成危害;
第四级:受破坏后对社会秩序和公共利益造成特别严重危害,或对国家安全造成严重危害;
第五级:受破坏后对国家安全造成特别严重危害。
(2)安全保护能力等级划分 GB/T22239《信息安全技术-网络安全等级保护基本要求》规定了不同级别等级保护对象应具备的基本安全保护能力。
第一级:防护免受个人或拥有少量资源的威胁源发起的攻击和自然灾害造成关键资源损害,并在损害后能部分恢复功能;
第二级:防护免受外部小型组织或拥有少量资源威胁源发起的攻击和自然灾害造成重要资源损害,并能在一定时间内恢复部分功能;
第三级:在统一安全策略下防护免受外部有组织团体或拥有丰富资源威胁源发起的攻击和严重自然灾害造成主要资源损害,并能及时发现和处置安全事件,并较快恢复绝大部分功能;
第四级:在统一安全策略下防护免受国家级别的敌对组织拥有丰富资源威胁源发起的攻击和严重自然灾害造成资源损害,并能迅速恢复所有功能。
第五级:略。
转载本站内容时,请务必注明来自W3xue,违者必究。