IT管理框架演进◆◆◆◆◆议题◆IT管理框架◆云+移动计算时代的特征◆云+移动计算的IT管理框架Key 1这个IT管理框架适用于云+移动计算时代吗?可用,但要更新使之适用于云+移动计算环境◆IT管理框架演进◆ITGRC◆Val IT◆BCM DR◆COBIT ◆ISO2700X系列◆PMBOK、PRINCE2◆ISO20000◆ITIL V3◆MOFIT 风险是从IT 组织,流程和资产三个维度来全方位的进行风险分析、建立体系、运营管理和监控优化。
• ITRM 是将IT 风险管理过程固化,建立控制体系并持续运营的I T 风险管控平台;• ITRM 使企业的经营意外和损失最小化,帮助管理层改善业绩表现• ITRM 目前涵盖了风险评估、体系建立、运营管理、监控审计与意识提升五大模块IT 治理是指设计并实施信息化过程中各方利益最大化的制度安排,包括:◆业务与信息化战略融合的机制,◆权责对等的责任担当框架和问责机制,◆资源配置的决策机制,◆组织保障机制,◆核心IT 能力发展机制,◆绩效管理机制◆覆盖信息化全生命周期的风险管控机制。
IT 治理的目的是:◆实现组织的业务战略,◆促进管理创新,◆合理管控信息化过程的风险,◆建立信息化可持续发展长效机制◆最终实现IT 商业价值。
IT 治理是在IT 应用过程中的五个IT 决策:(1)IT 原则:阐述IT 的商业作用;(2)IT 架构:定义集成和标准化的要求;(3)IT 基础设施:决定共享和可提供的服务;(4)业务应用需求:确定购买或内部开发应用的业务需求;(5)IT 投资和优先权:选择资助哪一个立项以及投入多少资金。
IT 合规是指企业IT 系统的开发和运维与法律、规则和准则相一致。
IT 合规风险是指企业因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。
IT 合规控制有三种控制:公司级控制、应用控制和通用控制。
IT 合规风险管理机制:制度/流程+技术+文化What‘s ITGRC & their Relationship ?风险折衷决策风险容忍度规则谁决定,及遵循的流程合乎治理规则的合规风险折衷决策(怎么制定)不合规的影响Key 2Val IT框架ValIT 倡议指导原则流程关键管理实践Val IT 的架构是与COBIT 紧密结合IT 投资利润最大化◆BCM ◆(LBC/RA/BIA 、RTO/RPO)◆(O/R/C )◆BCP/CMP/ITDR)◆演练◆企業文BCM/DR 标准BS25999 ◆◆◆◆◆◆◆◆◆◆◆◆COBIT 的魔方块◆17 业务目标28个IT 目标◆4个域34个IT 控制流程◆IT 治理关注域◆◆◆COBIT 实施过程◆◆◆◆Key 5ISO/IEC 27000 ISMS 信息安全管理系统ISO/IEC 27001 信息安全管理系统需求-ISO/IEC 27002 信息安全管理实施规则ISO/IEC 27003 ISMS 实施指南ISO/IEC 27004 信息安全管理测量ISO/IEC 27005 信息安全风险管理ISO/IEC 27006 ISMS 审计和认证机构需求ISO/IEC 27007 ISMS 审计员指南Key 6◆设计◆转换◆运营◆持续改进ITIL v3 实施◆CA流程Subway◆流程活动DNA信息存储/处理/传输GRC管理◆◆◆◆三七四二架构7个项目管理原则:7个项目管理主题:7个项目管流程:4层项目管理组织结构2个项目管理技术:◆◆◆◆◆范围时间成本质量人力资源沟通采购风险整合引入GRC◆用ITSLC实施GRC10 Keys◆IT管理框架原则、机制、流程管理实践IT管理方法论◆管理实践◆管理实践◆管理实践◆COBIT监控和审计IT实施和IT系统◆ISO20000/ITIL效果和效率、用户满意IT服务◆ITGRC、ISO2700X和BCM/DR业务/服务的持续性◆Val IT优化成本及总拥有成本高效投资回收率商业价值◆PPM、PMBOK、PRINCE2提升项目交付的成功机率◆竞争性优势◆现有的IT管理框架能适用于云+移动计算时代的IT管理吗?◆云+移动计算时代的IT管理框架应该是什么样的?◆议题◆现在的IT管理框架◆◆云+移动计算的IT管理框架云/端结构云数据中心端移动◆数据软件平台基础设施服务◆互联网、物联网和移动互联◆虚拟共享◆五个关键特征◆◆◆◆◆4个象限移动与固定H2M 与M2M H2M 用户与计算机M2M 电表的远程查抄固定结点移动结点移动终端自由移动移动通信网络连接和交换信息)移动性多样性断接性)非对称性(5)有限电源能力可靠性◆议题◆现在的IT管理框架◆云+移动计算时代的特征◆《云计算关键领域安全指南》V2.1CSAfive essential characteristics, three cloud service models and four cloud deployment modelsSaaS运行环境完整的用户体验内容、展现、应用管理能力PaaS应用开发框架中间件数据库、消息队列功能集成PaaS编程语言和工具提供所有的基础设施资源资源抽象化物理或逻辑网络连接IaaS提供商提供一组API,仿照这个映射模型将行业需求映射至云模型,按在云中的角色(云客户、云服务提供商、第三方)根据需求采用有关标准和最佳实践的方法论–原则、机制、流程和管理实践来制定云IT管理框架· SaaS在产品中提供最为集成化的功能,最小的用户可扩展性(extensibility),相对来说较高的集成化的安全(至少提供商承担安全的职责)。
· PaaS提供的是开发者在平台之上开发自己应用的能力,倾向于提供比SaaS更多的可扩展性,其代价是SaaS那些已经用户可用的特色功能。
这种折中也会延伸到安全特色和能力上,虽然内置的安全能力不够完备,但是用户却拥有更多的灵活性去实现额外的安全。
·IaaS不提供那些和应用类似的特色功能,但却有极大地“可扩展性”。
IaaS只有保护基础设施的安全保护能力和功能。
IaaS模型要求云用户自己管理和安全保护操作系统、应用和内容。
13个域云计算架构框架是第1个域其它12个域突出了对云计算安全的关注领域治理(governance)和运行(operation)两者构成了突出云安全为重点的云IT管理框架。
–云IT管理框架域云IT管理框架要解决的问题…治理和企业风险管理•机构治理和评测云计算带来的企业风险的能力。
例如:用户机构充分评估云提供商风险的能力。
•当用户和提供商都有可能出现故障时保护敏感数据的责任、•国际边界对这些问题有何影响等问题。
法律和电子证据发现•使用云计算时可能的法律问题。
包括信息和计算机系统的保护要求、安全性被破坏时的披露法律、监管要求、隐私要求和国际法等。
合规性和审计•保持和证实使用云计算时的合规性,包括评估云计算如何影响内部安全策略的合规性、以及不同的合规性要求(规章、法规等)。
•通过审计证明合规性的指导。
信息生命周期管理•管理云中的数据,包括与身份和云中的数据控制相关的项;•可用于处理数据搬移到云中时失去物理控制补偿控制;•云用户和云服务提供商谁负责数据机密性、完整性和可用性等可移植性和互操作性•将数据或服务从一个提供商搬移到另一个提供商,或将它全部搬移到本地的能力,•云服务提供商间互操作性相关的问题。
域云IT管理框架要解决的问题…传统安全、业务连续性和灾难恢复•云计算如何影响当前用于实现安全性、业务连续性和灾难恢复的操作处理和规程,•讨论和检查云计算的潜在风险,增加对话和讨论以解决企业风险管理模型的提升需求。
•识别云计算在什么地方可以有助于减少安全风险,在某些其它领域则增加了风险。
数据中心运行•如何评估提供商的数据中心架构和运行。
•帮助用户识别对于后面服务不利的数据中心特征,•识别有助于长期稳定性的基础特征。
事件响应、通告和补救•适当的、充分的事件检测、响应、通告和补救。
•解决为了启动适当的事件处理和事后分析机制,•在用户和提供商两边都需要就绪的一些条目,帮助理解云给现有的事件处理程序带来的复杂性。
–云IT管理框架–云IT管理框架域云IT管理框架要解决的问题…应用安全•保护在云中运行或即将开发的应用。
包括将某个应用迁移到或设计进云中运行是否适当,如果适当,什么类型的云平台最适当(SaaS, PaaS, or IaaS)。
•跟云有关的具体安全问题。
加密和密钥管理•识别恰当使用加密以及可扩充规模的密钥管理的方法。
不是什么规定,而是侧重提供信息,为什么需要这些方法。
•识别使用过程中出现的问题,包括保护对资源的访问和保护数据。
身份和访问管理•利用目录服务来管理身份,提供访问控制能力。
关注点是组织将身份管理扩展进云中遇到的问题。
•评估组织实施身份访问管理IAM的就绪性的见解。
虚拟化•虚拟化在云计算中的应用。
这关系到与多租户、VM 隔离、VM共居(coresidence)、hypervisor脆弱性等相关的项。
特别关注于系统和硬件虚拟化相关的安全问题。
管理环境的演进网络统一IP化不同业务融合单一的终端设备能够支持多种业务业务硬件设备通用化管理和运营模式的多样化传统的继续存在)网络运营商企业运维提供商角色多类用户管理和运营服务家庭网络的管理和运营管理和运营概念的演进基本FCAPS含义的管理概念需要拓展对象内容目标融合质量指标◆ICT(信息/通讯技术)管理◆ITGRC◆信息安全管理应◆方法论◆《云计算关键领域安全指南》V2◆13个域模式◆原则、机制、流程和管理实践增添云+移动计算管理元素ICT管理内容◆云中的角色方法论制定云IT管理框架◆云+移动计算对上述9个标准/最佳实践影响Question & Answer互动交流论坛:获取更多TechNet资源◆/China/technet◆/china/technet/abouttn/subscriptions/flash.mspx ◆/china/community◆◆/china/technet◆◆/china/technet/itmanager/default.mspx◆/china/technet。