IT操作最佳實(shí)踐如ITIL，提供了一個(gè)可以定義可重復(fù)和可證明的IT流程的框架。然而，當(dāng)公司試圖采用ITIL去開始進(jìn)行流程改進(jìn)時(shí)，他們面臨兩個(gè)非常困難的問題：怎樣開始？從哪里開始？

　　Visible+Ops（Visible+Outbreak+Prevent+Services，可視性中斷預(yù)防服務(wù)）提供了相應(yīng)的方法論。

　　對于那些需要增加服務(wù)水平、安全和審計(jì)能力的IT部門來說，Visible+Ops是一種能夠提高IT變更管理控制和流程改進(jìn)的方法論，由四個(gè)說明性和自我提升的步驟組成。

　　Visible+Ops手冊，為公司提供了一步步的操作步驟和說明性指導(dǎo)，以便可以開始或繼續(xù)他們的IT流程改進(jìn)過程。

　　對于業(yè)務(wù)管理、安全和審計(jì)者來說，Visible+Ops是容易實(shí)現(xiàn)的，因?yàn)樗腔A(chǔ)控制部分。以控制為基礎(chǔ)，不僅能發(fā)現(xiàn)調(diào)整的部分，而且能夠幫助提供可靠的IT服務(wù)傳遞。Visible+Ops能識別出破壞服務(wù)水平和安全的關(guān)鍵問題，并為解決他們提供說明性指導(dǎo)。

　　盡管IT操作、安全和審計(jì)扮演不同的角色，但是由于缺乏有效控制，這三個(gè)部門經(jīng)常不一致。通過改進(jìn)流程和控制，所有人能受益于一個(gè)更高效的工作關(guān)系，并允許這些部門更高效地成功完成共同的業(yè)務(wù)目標(biāo)，最終實(shí)現(xiàn)以下目標(biāo)：

　　遵從的狀態(tài)：由于控制是可見的、可證實(shí)的和具有規(guī)律性的上報(bào)活動(dòng)，因此IT操作和審計(jì)人員之間形成一種信任的工作關(guān)系；

　　形成一種“注重因果關(guān)系”的文化：通過控制和相關(guān)方法論的使用，這些團(tuán)隊(duì)能通過合理地利用“原因”和“結(jié)果”之間的關(guān)系，去識別并解決問題，形成一種“注重因果關(guān)系”的文化，而不是諸如“讓我們看看它是否在正常工作”的帶有主觀性的文化氛圍；

　　一種基于事實(shí)的管理：公司重視控制和相關(guān)的方法論，這不僅有助于有效地解決問題，而且能夠幫助公司進(jìn)行一種基于事實(shí)的決策的制定。

　　三類控制流程

　　流程遍及維護(hù)產(chǎn)品基礎(chǔ)架構(gòu)工作，其目的不僅是預(yù)防服務(wù)中斷，而且能有效地傳遞IT服務(wù)。這可以通過變更管理和資產(chǎn)和配置管理來實(shí)現(xiàn)。BS15000把變更管理和資產(chǎn)與配置管理定義為最基本的控制。城市銀行前CIO斯蒂芬.凱特曾經(jīng)說過：“控制不會使業(yè)務(wù)慢下來，就像汽車的閘一樣，控制允許你走得更快。”

　　審計(jì)人員經(jīng)常通過風(fēng)險(xiǎn)和控制來觀察世界。風(fēng)險(xiǎn)的確存在，你能通過預(yù)防或監(jiān)測而減少風(fēng)險(xiǎn)；如果風(fēng)險(xiǎn)發(fā)生了，你應(yīng)該能進(jìn)行修正和恢復(fù)。為了更好地解釋這一點(diǎn)，以下是三類控制的說明：

　　1.阻止某些事情發(fā)生的預(yù)防性控制：例如政策、職責(zé)的分離和授權(quán)流程，都是預(yù)防性控制。

　　2.監(jiān)測分析控制：如果預(yù)防性控制失效了，或者某些事情沒有遵從，就通過監(jiān)測分析控制來監(jiān)控活動(dòng)和流程。例如，變更監(jiān)測和認(rèn)證就是監(jiān)測控制。

　　3.修正控制：它可以把糟糕的情況修復(fù)到所期望的狀態(tài)。例如，由于一個(gè)失敗的變更，系統(tǒng)突然癱瘓，作為一個(gè)修正控制，就是重新安裝所有應(yīng)用程序的過程，包括從最近可知的正常的映象，到把系統(tǒng)帶回到在線服務(wù)狀態(tài)。

　　這三類控制的結(jié)合能產(chǎn)生一個(gè)檢查和平衡機(jī)制，以便確保流程、人員和技術(shù)在規(guī)定的范圍類運(yùn)作。

　　Visible+Ops也創(chuàng)造性地提供了一種工具，審計(jì)人員可以在上面有效地回顧流程和控制，而不是必須通過“辯論分析”方式工作。這提供了一種更加高效的工作關(guān)系、更加平滑的審計(jì)，并且使他們在審計(jì)準(zhǔn)備和輔導(dǎo)上花費(fèi)更少的時(shí)間。

　　看看效果

　　職責(zé)分離可以確保，沒有任何一個(gè)人能未經(jīng)檢查就訪問沒有授權(quán)的事情。由于缺乏職責(zé)分離而制造了大量犯罪、欺騙的機(jī)會，因此不允許開發(fā)者訪問生產(chǎn)流程，因?yàn)樗麄冇心芰χ苯釉诠芸丨h(huán)境中進(jìn)行變更。相反，他們開發(fā)完代碼，然后必須送到檢測。這樣，IT操作部門就能再次檢查這個(gè)變更，評定風(fēng)險(xiǎn)，如果所有事情都是可接受的，再部署使用。

　　目前，許多審計(jì)所關(guān)注的是行業(yè)所必需的，或者是確保財(cái)務(wù)報(bào)告的完整性的遵從需求；同時(shí)，審計(jì)人員和核查員通過打開所有倉庫并查看貨物，以檢查財(cái)務(wù)說明是否正確。按照這樣做法，他們?nèi)徍素?cái)務(wù)說明是否與實(shí)際發(fā)現(xiàn)的相匹配。

　　然而，即使最好的審計(jì)人員的時(shí)間和資源也是有限的。實(shí)際上，他們不是進(jìn)入倉庫并檢查貨物，而是走到計(jì)算機(jī)旁，檢查這些控制，然后決定其是否可信。在大多數(shù)案例中，最好把預(yù)防與監(jiān)測控制合并為一；如果他們不存在或者不合適，審計(jì)人員就不相信這些計(jì)算機(jī)控制的成效。

　　這些做法減弱了審計(jì)員的能力并依靠機(jī)器去做任何事情。也就是說，沒有確保合適的控制存在，以及需要更加詳細(xì)的審查，因?yàn)槟切┒紩?dǎo)致巨大的成本。

　　“Visible+Ops是一種方法論，對于我漫長的財(cái)務(wù)和技術(shù)審計(jì)職業(yè)生涯中不斷出現(xiàn)的主要問題，它都有所啟示，”技術(shù)審計(jì)員魯比.克里斯汀娜說：“評估系統(tǒng)的可靠性，審計(jì)員需要看以下問題：控制到位，控制文檔，控制溝通，和在實(shí)際操作中的控制證據(jù)。Visible+Ops為IT管理者展示了如何建立操作流程的方法，能回答審計(jì)員沒完沒了的問題———我們怎樣真正知道你的控制有效？”

　　通過順利審計(jì)之路

　　為了與審計(jì)人員之間創(chuàng)造一種更高效的工作關(guān)系，公司需要能夠清晰地描述———那些能夠證明他們正按照期望工作的預(yù)防流程和檢查控制。

　　“Visible+Ops為任何層次的IT人員提供了一個(gè)改進(jìn)操作流程的催化劑似的方法，”比爾·什恩，一個(gè)財(cái)富100強(qiáng)的金融機(jī)構(gòu)的系統(tǒng)安全工程師說：“不管故障是多么困難，Visible+Ops工具幫助公司找到了一個(gè)排除故障的方法。如果你正在打算開始或改善配置管理，支持一個(gè)可重復(fù)的服務(wù)器預(yù)防流程，并且制定一套實(shí)現(xiàn)高質(zhì)量決策的方法，Visible+Ops正是一個(gè)起點(diǎn)。我向任何信息系統(tǒng)的管理者、具有技術(shù)背景的高級管理者或具有管理目標(biāo)的IT職員，推薦它。”

　　Visible+Ops提供了一個(gè)框架，通過可重復(fù)的、可見的和可審計(jì)的IT流程，可以在IT運(yùn)作者、安全和審計(jì)之間創(chuàng)造了高效的連接。

　　通過掌握IT控制點(diǎn)和接受點(diǎn)，安全部門和審計(jì)部門能在變更被執(zhí)行之前，再查看這些變更，并探測到什么時(shí)候這些控制被廢止，這些控制不僅能避免那些導(dǎo)致安全事故或無序運(yùn)作的情況，也允許連續(xù)不斷的監(jiān)測并減少不一致的情況。

　　監(jiān)測變更提供了一個(gè)重要的安全機(jī)制，就像帶有棘齒的攀巖者。這些棘齒保證了繩子向一個(gè)方向移動(dòng)，預(yù)防攀巖者墜落。監(jiān)測變更以強(qiáng)制執(zhí)行流程，可以防止公司滑向一種無法控制的變更狀態(tài)。

　　“這不是說，我們不再犯錯(cuò)誤了，而是說，對于導(dǎo)致錯(cuò)誤的情況，我們能更加科學(xué)地控制，”史蒂夫·達(dá)博，IP服務(wù)運(yùn)營副總裁說，“更多時(shí)候，錯(cuò)誤被看作經(jīng)驗(yàn)，這樣錯(cuò)誤就變得越來越少。在尋找全球性IT管理方面，這些流程和監(jiān)測控制已經(jīng)幫助我們實(shí)現(xiàn)了許多目標(biāo)?！?/p>

　　作者/Kevin Behr、Gene Kim、George Spafford

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……