如何加强测评机构自身的规范化管理, 不断提高测评的能力和水平
0.引言
隨著用戶消費習慣從產品轉向服務,服務已經成為企業向客戶提供的主要商品。而等級保護測評服務作為信息系統建設的新要素,用戶對信息安全等級保護測評服務(以下簡稱服務)的認同會影響用戶的消費行為。對于信息安全等級保護測評服務提供商的要求更高。所以,我們對于信息安全等級保護測評的服務管理(以下簡稱服務管理)成為保障服務交付和提升企業競爭力的重要手段之一。
如何才能加強測評機構自身的規范化管理,不斷提高測評的能力和水平呢?我們經過思考和規劃預先形成了企業內部的服務體系,且經過一年多來在項目中的部署實施,***修訂逐步形成了適合我們進行規范化管理的、不斷提升我們的能力和水平的服務管理體系。
服務管理體系是以保障企業一體化運營為目標,以指標化管理為導向的,包含組織架構,服務管理流程、支撐系統和服務管理信息的一體化管控體系。是服務于信息安全等級保護測評的服務支撐所依據的總體綱領,本文闡述了我們在組織內部實施的服務管理建設性內容。
我們的服務管理體系的驅動力是企業戰略、業務需求和新技術,其價值是為客戶提供信息安全服務。
1.服務管理體系的產生
從客戶的角度來講,需要的是等級保護測評服務所能實現的功能,由于客戶不太可能對等級保護測評有太多的了解,我們與他們進行交流的時候應該使用“商業語言”而不是“技術語言”,等保測評技術對客戶應該是透明的。而為了靈活、及時和有效的提供服務,并保證服務質量,我們就必須事先對服務進行一定程度上的分類和“固化”,而流程管理是滿足這些要求的一種比較理想的方式,目前對于一個服務團隊來言,僅僅關注于他們的技術水平高低是不夠的,確保團隊之間無縫溝通和協作才是非常關鍵的,從這一角度來看。流程的價值在于有效的彌補團隊之間的縫隙。
2.服務管理體系的工作核心
為實現以客戶為中心,以服務為導向,從運營角度上看,不能采用單純的以職能為中心的管理方式,而應是以階段和流程為中心,從復雜的服務管理活動中梳理出一些核心的流程并將這些內容流程化,明確定義各個流程的目標和范圍、成本和效益、運營的步驟、關鍵的成功因素和績效指標。因此我們將我們的工作核心定義了五個階段,每個階段定制2~4個核心的流程。
第一階段:服務戰略,專注培養以戰略方式思考和執行的能力,以獲得長期的成功運營和發展,要理清各種服務、流程和所支持的業務模型、戰略和目標之間的關系。
第二階段:服務設計,專注于全盤考慮服務流程設計的各個方面,并確保所有活動和流程中的一致性和一體化,實現端到端的服務功能與質量,當變更或補充設計任一獨立元素時,都要經過充分考慮相關職能、管理和運營層面后,再將設計后新變更的服務導入項目環境。
第三階段:服務轉換,專注于確保根據在服務需求中規定的要求和限制條件下使用服務,減少轉化的服務在預期性能與實際性能之間存在差異,減少已知的錯誤,并最大程度降低新服務或變更的服務給項目帶來的風險。
第四階段:服務運營(服務實施),專注于如何達到服務支持和交付應有的效率和效果,確保客戶的收益,而我們又同時為實現服務價值提供了相應的指導。我們最初的戰略目標最終也是需要通過服務運行才能實現,通過一系列日常活動和流程的協調執行,為客戶提供達到既定服務級別的服務,同時服務運營這一環節還負責對提供和支持服務所需要的技術進行日常管理,日常管理主要是由服務、服務管理流程、技術和人員四個部分組成。
第五階段:持續服務改進,專注于在服務質量、效率和業務方面不斷的提高和改進意識,找出項目實施中有待提高的地方改進支持服務的流程,使得服務能不斷與服務需求的變化相適應,然后實施改善措施。
2.1服務戰略階段
2.1.1服務戰略概述
服務戰略作為工作核心的第一個階段,對我們的服務起到了統馭全局的作用,可以為組織進行服務規劃建立更加全面和科學的戰略思維方式和戰略規劃方法,幫助組織建立服務管理能力并維持戰略競爭優勢,為定義戰略目標、增長方向、投資優先級、服務成果、服務有效性和效率性的考核提供指導,可以影響組織的服務文化和態度,幫助建立有效的服務溝通機制,幫助確定和控制在有限能力和資源的前提下遵循特定的服務戰略所達成的結果。
2.1.2服務戰略的目標
主要的目標是:我們應該提供哪些服務、向誰提供,如何為利益相關者獲取他們期望的價值;如何為戰略投資進行合理而全面的論證;如何利用財務管理為價值創造過程提供必要且可見的控制手段;應該如何定義服務質量;如何在服務組合內進行資源分配,如何解決對共享性資源的需求沖突。
2.1.3服務戰略中擬定的流程
這一階段需要建立起服務的戰略目標、范圍以及服務業務的價值,確定服務戰略制定、財務管理、服務組合管理和需求管理的四個流程。
2.1.3.1服務戰略制定
服務戰略制定的流程。首先要考慮我們已經做過了什么,目前存在的核心差異優勢在什么地方,每個市場空間都存在著成功因素決定一項服務的成敗,這些因素包括客戶需求、業務發展趨勢、競爭環境、監管環境、標準、行業最佳實踐和技術等等。目標描述了執行戰略所期望達成的結果,而戰略描述了達到目標所采取的活動,清晰的目標可以確保決策和行動的一致性,為后續的行動計劃提供堅定和確切的綱領性依據,同時也為戰略績效考核提供了一致性的基準。
2.1.3.2財務管理
財務管理的流程。首先要收集有效的財務信息可以作為服務組合管理、服務戰略開發、需求管理等流程的有效輸入,從而提升整體的服務管理能力,在衡量服務價值、服務成本核算方面提供了一種共同語言,可以有效幫助服務級別管理流程明確的界定服務的組件包括哪些內容,以及服務的真實成本應該是多少,根據總體目標規劃預算,控制支出,提高投資效益,合理利用有限的資源,從而加強后續的服務需求建模能力。
2.1.3.3服務組合管理
服務組合管理的流程。為組織管理其所有的服務提供了一種“管道式”的方法,專注于資源和能力的分配,為組織協調戰略資源和能力提供了有效的管理工具,從而為戰略資源協調者提供了一個可視化的“儀表盤”。以服務為導向的組織應該將服務組合視為一系列戰術項目,要針對我們所提供的服務項目和品類在時間節奏、資源投放、價值管理等方面進行動態的跟蹤、協調和控制的一種方法。
2.1.3.4需求管理
需求管理的流程。是確保服務資源、能力和需求預測、模式保持一致,確保某些能力可以在需要時迅速提升,在不使用時迅速釋放,需求策略可依據流程千變萬化,但必須保持一個共同的特征,就是在不改變供給的情況下通過調節需求而達到提升服務性能、降低成本的目的。
2.2服務設計階段
2.2.1服務設計概述
服務設計這一階段中非常重要的是設計整體的計劃方案,任何一個單獨的因素變動都應該從整體服務、管理體系、工具應用、體系架構、服務管理流程以及必要的評價體系的各個方面進行考慮。良好的服務設計,能夠保證交付優質、經濟的服務,并滿足客戶需求。流程的設計也應符合“計劃、執行、檢查、改進”的戴明環,做以持續改進。
2.2.2服務設計的目標
主要目標是:方案以質量、合規性、風險和安全需求為基礎來設計可滿足項目目標的服務,通過協調確保實現一致性和業務重點,從而交付更有效、更高效且符合需求的解決方案及服務;設計的服務可以在合理的時間和成本范圍內便捷高效的執行;為服務的設計、轉換、運營和改進,設計出有效的流程,并與支持工具特別是服務組合相結合來共同管理服務的執行情況;識別并管理風險,以便在服務上線之前消除或減輕風險;制定并維護解決方案設計的計劃、流程、策略、架構和文檔,從而滿足當前和未來的項目需要。
2.2.3服務設計中擬定的流程
這一階段需要建立起服務解決方案設計、服務組合設計、技術架構設計、流程設計、項目測量與指標設計五方面構成的服務設計包,確定服務目錄管理、服務級別管理、資源管理、保密管理的四個流程。
2.2.3.1服務目錄管理
服務目錄管理的流程。對所有提供的服務,保證其信息來源的一致性,并確保哪些已獲準訪問者能夠最大程度的使用它,此流程就是要確保服務目錄的產生與維護,其中會包括項目服務目錄和技術服務目錄以及項目準備的準確信息,這些信息反映了當前服務的詳細情況、狀態、溝通界面和服務運行的條件。
2.2.3.2服務級別管理
服務級別管理的流程。可以確保組織在所有運營的服務和績效都可以按照一致的、專業的方式來進行衡量,同時能滿足客戶的需求。服務級別管理需要同客戶協商、確定并記錄適當的滿足需求的服務目標,確認這些目標準確的反應客戶需求,之后監督控制項目組交付約定服務的能力,才能和需求目標一致,滿足客戶高質量服務的期望,如果服務級別協議中服務目標與需求不一致,那么我們很難為客戶提供滿意的需求服務,隨之而來會產生諸多問題,這一流程是我們提供服務質量的一個有效的基準和保障,服務級別管理的成功很大程度上依賴服務組合管理和服務目錄管理的質量,因為它提供了有關服務的必要信息。
2.2.3.3資源管理
資源管理的流程。確保在可接受的成本下,所擁有的資源能夠及時滿足當前和未來的業務需要,管理、控制和預測實際運營的服務使用和工作負載的端到端性能,確保對所有服務的性能,服務級別中所描述的服務目標能夠被監控和測量,在必要時組織可以采取主動和被動措施來確保所有的服務性能都達到所約定的需求目標;管理、控制和預測單個技術能力的性能、利用率,確保那些有限的資源被監控和測量,在可能的情況下確保能在發現服務目標沒有完成時及時調動資源來處理,遵循“監控、分析、調整、實施”的迭代式調整過程。
2.2.3.4保密管理
保密管理的流程。為了保證所有服務和服務管理活動中的信息能夠得到高效安全的管理,簡而言之就是要實現CIA(機密性、完整性、可用性),主要由一套安全控制體系、安全風險管理體系和監控流程,依照溝通擬定的安全策略、控制計劃、遵從規則、管理過程、指導原則、培訓和認知來打造有效的安全組織結構。
2.3服務轉換階段
2.3.1服務轉換概述
服務轉換階段是確保服務從設計到投入項目進行運營這個轉換過渡的階段,將當前與未來風險降至最低,同時保證服務在運營或者交付中所依賴的綜合因素都得以支撐和保障。值得一提的是服務轉換規劃與支持不是一個持續運作的階段,而是依據實際需要而臨時開展的一項總體性計劃和協調工作,對于一般的服務組織不具有太強的現實針對性。
2.3.2服務轉換的目標
主要目標是:規劃與部署所需要的人員能力和資源;在服務部署前,可以提供嚴謹規范的框架用于評估服務的能力和風險;在服務轉換的過程中,建立維護好服務資產和人員配置的完整性;提供高質量的知識和信息,以快速有效的進行部署管理;在預期的成本、質量和時間范圍內,規劃和管理資源,建立新的或變更的服務;確保將服務運營無法預料的影響控制在最小程度;保障服務和解決方案的使用效率。
2.3.3服務轉換中擬定的流程
這一階段需要建立起確定服務知識管理、變更管理、能力和資產管理、服務驗證管理的四個流程,這些流程要貫穿我們工作核心五個方面的始終。
2.3.3.1服務知識管理
服務知識管理的流程。確保服務轉換和服務運營環節的順利過渡,提高服務可用性,提高知識轉移率,有助于團隊整體技能水平的提高,正確的信息和知識以一種高效利用的方式傳遞給所有的服務人員,提高服務團隊的整體工作效率以及降低對核心人員的依賴風險,尤其是組織規模達到一定程度,人員流動性風險逐步加大之后。組織在服務運做過程中一定可以產生大量的可重復利用的知識和經驗,這一流程是采用機制化的手段對這些知識和經驗進行收集、整理、再利用。
2.3.3.2變更管理
變更管理的流程。響應不斷變化的客戶需求,使價值最大化,減少破壞和重復工作,降低業務風險,使用標準化的方法和程序,確保通過受控的方法對變更進行記錄、評價、授權、劃分優先等級、計劃、實施和評審,處理好所有變更。在服務運營中,變更是一種必然行為,大多數變更是為了使當前的狀況變得更好,但變更的風險是有目共睹的,因此加強對變更的有效控制和管理對于控制服務的風險和成本具有重大的意義。
2.3.3.3能力和資產管理
能力和資產管理的流程。識別、控制、記錄、匯報、檢驗能力和資產的情況,確保能控制服務相關的能力和資產的完整性,規劃這些能力和資產確保服務轉換向服務運營環節過渡時不產生誤差,在這個流程里人員被我們定義為既是一種資源也是一種能力。
2.3.3.4服務驗證管理
服務驗證管理的流程。驗證新服務或變更的服務是否能夠支持客戶或利益相關者的需求,達到相關的服務級別,這就需要結構化的服務驗證,確保交付能符合預期的結果,能夠在項目成本、能力和約束條件下為客戶提供價值,確保符合預期的目標和效果且適合應用,在整個的流程中要識別、評估和確認存在的問題、錯誤與風險。
2.4服務運營階段
2.4.1服務運營概述
服務運營是項目運行的階段,從組織的角度應更加關注于日常項目的運行活動和用于提供項目服務的基礎架構,使用適當的流程和支持資源,使組織能夠對服務運營和服務交付實現總體的控制,并能夠及時監督項目服務本身、服務管理流程、技術和人員所產生的任何威脅。
2.4.2服務運營的目標
主要目標是:協調和執行項目運營活動以確保服務級別達到客戶要求;對支撐服務的團隊和資源進行管理和維護;監控資源和服務的績效并實施持續的改進。
2.4.3服務運營中擬定的流程
這一階段需要建立起服務運營階段的管理和控制,使得客戶需求在服務中獲得支撐,打破職能式管理模式,實現協作和信息流轉,確定事件管理、服務請求履行、問題管理、訪問管理的四個流程。
2.4.3.1事件管理
事件管理的流程。提供檢測、分辨事件并確定恰當的控制行動的能力,是服務運營監控的基礎,任何狀態的變化都可能對服務產生重大影響,需要對事件進行規范的管理,定時巡場確定項目的狀態和資源的可用性,并對任何意外情況產生警告,通知團隊以便采取行動,這一流程可為服務運營和活動提供執行入口,也為服務報告和持續服務改進提供基礎。
2.4.3.2服務請求履行
服務請求履行的流程。是為客戶提供請求和接受服務的渠道,這些服務的流程是已預定義、預授權的,是提供標準服務的組成部分,可以幫助處理一般信息、抱怨、評價和意見反饋等,也是為客戶提供關于服務可用性的必要流程,具有風險低,發生頻繁等特點,有些甚至僅僅是資詢,由于服務請求的數量大、風險低,且服務請求的實施過程相對較簡單,我們傾向于針對服務請求制定獨立的流程進行處理。
2.4.3.3問題管理
問題管理的流程。實現預防性主動式的管理,確保團隊在正確的做事,預防問題的產生及由此引發的爭議,消除重復出現的爭議,并對不能預防的爭議盡量降低對項目推進執行的影響,問題管理的引入可以有效的實現在治標的基礎上治本。
2.4.3.4訪問管理
訪問管理的流程。確保團隊某一成員有權限使用某一項服務資源,通常由技術管理和組織中權限申請和授權相關的操作整合的規范、正式的流程來共同執行,在服務運營項目執行中不可避免的涉及相關數據資源的訪問權限問題,為了確保信息安全管理和可用性管理的有效,使得服務運營順暢我們引入訪問管理來進行把控。
2.5持續服務改進階段
2.5.1持續服務改進概述
持續服務改進是支持從服務戰略、服務設計、服務轉換、服務運營的階段,將服務作為一個系統來看待,內外部利益相關者的需求決定了服務系統的輸出與輸入,對體系內的每個流程進行關鍵點的指標測量、控制,并設定相應的改進流程以改進整體的服務質量。毫不夸張的說任何管理流程從它被公布的那時起就已經開始過時了,也就是說永遠沒有靜態的完美,完美只有在動態中才能體現。項目運作的質量不僅取決于事先的設計實施,更取決于在執行中調整和優化,才是實現卓越的服務管理的制勝之道。作為一個完整的服務管理體系,建立持久持續的改進機制是不可缺少的一環。
2.5.2持續服務改進的目標
主要目標是:對之前四個階段的改進計劃進行評審、分析并提出改進建議;評審分析服務級別實現的結果;識別和實施各項活動,改進服務質量和流程的效果;在不影響客戶滿意度的情況下改進提高服務成本效益;確保使用適當的質量管理方法支持持續改進階段。
2.5.3持續服務改進中擬定的流程
這一階段需要建立通過執行戴明環不斷明確服務的各類量度,收集、量化、處理服務信息不斷明確服務改進的努力方向,最終得出有價值的改進型建議,使服務持續優化下去的機制,這一階段需要確定服務測量、服務改進的兩個流程。
2.5.3.1服務測量
服務測量的流程。確保服務測量的目標和手段符合持續改進的要求,首先要全面充分理解流程,并確定流程中的關鍵功能環節,結合組織的戰略目標、戰術目標和運營目標,定義具體的測量指標,比如監視測量服務、服務管理流程、流程中的活動、流程的輸出產物等等,選擇多種測量組合對于提供準確、平衡、無偏見的觀點非常重要,我們可以從服務績效、風險監管、業務收益、支持服務的關鍵流程和客戶滿意度等幾個方面去測量。
2.5.3.2服務改進
服務改進的流程。將基于服務測量量化后的結果進行服務改進,使改進計劃更加具有針對性。首先確認量化后的測量結果,識別這些測量結果,收集相關數據信息(技術指標、流程指標、服務指標),遵循關鍵成功因素、關鍵績效指標去核對、處理、分析和挖掘這些數據,然后將這些數據轉化成有意義的信息,呈現出服務改進分析結論,最后將結論與各方進行溝通協商,根據組織現有資源與能力狀況制定適合的服務改進計劃,并組織實施這些計劃。
3.服務管理體系的工作落實
要做到將工作核心***到我們工作的方方面面就需要經過理念落地、規則落實、工具落地三個方面的過程。
理念落地,就是在組織內部貫徹工作核心五方面的理念,令其深入人心,融入組織的做事方式,使得組織內部成員之間形成了一種共同的語言,增強了彼此在工作溝通時的默契,建立起組織內部的一些潛在規則。
規則落實,就是在組織內部建立明確的方針、流程和規范性制度,以制度的方式保證組織成員共同遵守預定的規則,使得組織的流程成熟度得到了極大的提高,并逐步向服務規范化和服務標準化方面發展。
工具落地,通過多手段多渠道的工具平臺將組織經過錘煉后的流程進行固化,并實現團隊成員間的信息共享和同步,從而實現高效的運作,這一階段不僅將流程和規則本身進行了強化,也為組織成員養成了定性的日常工作方式。
4.結束語
要加強測評機構自身的規范化管理,就需要將最先進的服務管理理念做一個全面的梳理、認知,并重新組合、應用、持續改進,形成適合測評機構使用的服務管理體系,在工作中將體系的內容與流程落實,以便不斷提高測評的能力和水平,促使等級保護工作在天津的茁壯成長,驅動企業業務的高速發展。
?
?
?
此文章已收錄在《信息網絡安全》期刊 2012年增刊中 轉載需注明出處
轉載于:https://blog.51cto.com/303794/965687
總結
以上是生活随笔為你收集整理的如何加强测评机构自身的规范化管理, 不断提高测评的能力和水平的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: flask + 蓝图 用 sqlalch
- 下一篇: 收集css属性.