ITIL、COBIT、CMMi、ISO、17799框架大揭秘

出自chinacissp ，内容如下：

 

ITIL、COBIT、CMMi和ISO 17799是管理新一代数据中心的最佳实践。

在新一代数据中心的架构下，IT系统变得高度自动化，因此越来越多的企业开始采用IT框架所提供的最佳实践标准。服务质量、安全、法规遵从以及企业战略目标都是IT框架需要解决的问题。

ITIL（IT基础架构库）、COBIT（信息及相关技术的控制目标）、CMMi（能力成熟度集成模型）以及ISO 17799，将在创建新一代数据中心时扮演重要的角色。Fox IT是一家从事IT服务管理的咨询机构，其总裁David Pultorak就曾说：“这些框架是由不同组织，在不同的时间，出于不同的理由而设计的……但是，每个框架都对新一代的‘虚拟’数据中心有所贡献。”

Pultorak以用于服务管理的ITIL为例，来说明IT框架如何能够当作通向新型、更灵活数据中心的“敲门砖”。他说：“ITIL框架支持通过一种与众不同的技术去定义服务，以保证将来自于技术部件的灵活性用在支持和提供服务方面。”

尽管这些框架中的确存在着一些重叠之处，但是它们更多的是互补关系，而非重复，因此企业通常会采用一个以上的IT框架。

ITIL

如今，在欧洲流行多年的ITIL正在引起美国企业用户的注意。该框架起源于英国的中央计算机与电信局（现在为政府商务办公室）。上世纪80年代末，该机构开发了这套用于IT服务管理的最佳实践标准。作为支持机构，IT服务管理论坛负责推进ITIL在企业中的应用，现在它已经是一个拥有12000多家企业和政府成员的全球性组织。

ITIL已经被汇编为一套“从书”，它向用户提供了一种可定制的实践框架，为内部用户提供高质量的服务。ITIL涵盖了服务支持、软件支持、计算机操作以及安全管理等功能。

Pultorak说：“ITIL适用于数据中心，因为企业可以利用它来执行正确的业务流程。” 比方说，一家拥有面向服务的数据中心的保险公司，就可以利用ITIL规程来保证索赔流程的数据可供随时使用。

Pultorak指出，以服务为核心可以为业务和IT之间的自动化联动打下基础。而凭借这一基础，在具备了合适的基础架构和管理手段之后，数据中心所表现出的灵活性就会大大增加业务的灵活性。

Lockheed Martin公司计算与网络服务部的副总裁Kim Sawyer说，ITIL将帮助IT系统在直接与内部客户打交道时更及时地做出反应。她说:“Lockheed Martin公司尽管仍处在应用ITIL的初期，但她们已经利用ITIL来支持企业服务台、事件管理和问题管理功能。”另外，变更管理、配置管理和版本管理也将被添加到即将部署的ITIL服务管理清单之中。

Sawyer表示，服务水平管理、性能管理和可用性管理中的ITIL最佳实践标准是服务提供功能的关键。她说：“由于有了一种通用语言和对流程的理解，我们就可以为客户提供一个强壮而可靠的基础架构，去帮助他们完成所需的任务。”

Homestore公司是一家美国房地产在线服务提供商。该公司的CIO Phil Dawley就表示，ITIL将为企业多次并购后的容量规划、业务连续性和网络提供更好的IT服务水平度量标准。

Dawley还指出，ITIL框架还将帮助他们部署按需计算以及新一代数据中心的其他元素。他说，“如果要管理一种更为复杂和分散的环境，那么你最好能更加了解如何管理它们的流程。ITIL为了我们提供了一种了解‘所有IT流程’的途径。在我们能够测量和监视所有的系统之后，新一代的数据中心才能真正有效运行。”

COBIT

1996年，作为一项IT安全与控制的实践标准，COBIT由信息系统审计与控制组织和IT管理协会共同开发。它为IT、安全、审计经理和用户提供了一套完整的参考框架。目前，COBIT已经发布了第三版，它正在成为控制数据、系统和相关风险的优秀实践法则，并逐渐被越来越多的用户所接受。它将帮助企业部署对系统和网络的有效管理。

COBIT管理指导方针的部件由衡量企业在34种IT流程中能力的工具所组成。这些工具包括了性能测量组件、为每种IT流程提供最佳实践的关键成功因素清单，以及帮助进行基准测试的成熟度模型。

Fox IT的Pultorak说：“COBIT真正关注的问题是，企业是否具备适当的控制力，以确保符合相关的管理规定。它帮助企业确定他们是否正在做他们表示要做的事，以及他们是否可以证明这一点。”比方说，如果一家企业声称可以通过登录过程保证用户进入其数据中心的安全性，它就可以出示某一时段基于COBIT的完整日志。

随着各个企业都在努力达到Sarbanes-Oxley法案及其他管理规定的要求，这项标准变得更加重要了。而对于数据中心来说，COBIT也非常重要，因为它提供了一种实施流程控制的途径。

“COBIT已经被证明是一种测量和评估企业IT控制能力的优秀工具。”Lockheed Martin公司的Sawyer说，我们的内部审计小组成功地利用它来评估基础架构的管理，以确定那些需要改进的领域或风险。”该公司还利用CMMi和ISO 17799来改进业务流程和IT服务水平。

Dawley说，Homestore公司正在使用COBIT，并将其作为对提高Sarbanes-Oxley法案遵从性努力的一部分。他说：“COBIT与ITIL配合得非常好。COBIT使我们可以检查ITIL的执行情况，确保我们正确地应对企业中存在的风险。”

CMMi

1991年，CMMi由卡内基梅隆大学软件工程协会发布。现在，CMMi已经演进为一种为软件开发、系统工程及研发提供流程改进指导的框架。该框架通常被用来提高产品和服务质量，加快开发效率以及降低与开发项目相关的风险。它具有5个不同的“成熟度”级别，每个级别都代表着一套企业在实施流程改进时所必须的最佳实践标准。

当CMMi被用来测量IT流程的相关成熟度时，它可以为新一代数据中心带来实际的帮助。Pultorak举例说，一家零售商的IT部门在开始改进业务流程之前，就指定Fox IT对其成熟度进行评估。评估的结果是，问题管理流程不成熟，而事件管理流程是成熟的。Pultorak说: “这是重要的第一步，它为在正确的地方、以正确的方法实施改进奠定了基础。”

Sawyer则表示，Lockheed Martin公司在去年取得的CMMi 5证书正在帮助他们向内部用户提供更加全面、可靠的软件。

ISO 17799

由国际标准化组织在2000年正式发布的ISO 17799是一项详细的安全标准。该标准涉及以下几个重要领域，包括：业务连续性规划、系统访问控制、系统开发与维护、物理与环境安全、遵从性、个人安全、安全组织、计算机与操作管理、资产分类与控制以及安全策略。

事实上，ITIL的安全管理指导方针就是建立在ISO 17799标准之上的。该标准所建立的最佳实践标准可以用来确保在系统故障或其他中断时，业务能够持续运行；控制对数据、系统和网络的访问；保护信息的机密性和完整性；防止对业务设施的非授权访问；符合相关的管理规定。

警惕框架过载

专家表示，所有这些框架通常都会被企业当作最佳实践的标准所接受。它们会被应用在数据中心的自动化方面，让企业可以调整自己的业务流程，以满足内部用户和商务合作伙伴的需要。Pultorak说：“如果你一味闭门造车，与其他系统的集成就变得越来越困难，同时也很难在详细的审计过程中捍卫自己的利益。”

但是，框架过载是企业必须注意的问题。

“企业必须有所侧重，必须设定自己的框架实施目标，以及必须投入足够的项目管理资源。” Pultorak说，“如果你过度使用这些框架，滥用它们，或者不知道它们可以实现是什么，结果都不可能令人满意。”

框架过载还意味着企业需要付出高昂的费用。根据不同的规模，每一个框架的实现都可能会花费几十万美元。由于这些费用包含培训、咨询和支持框架的软件产品等方面的支出，因此成本可能难于控制。

衡量实施的投资回报率可能也相当困难。“由于重点放在流程改进，而非技术资产方面，IT经理们一般不了解怎样进行投资回报的评估。”专门从事技术投资回报的咨询公司Glomark Group的总裁Ruben Melendez说，“只有非常少的企业对它们的ITIL（或其他框架）的实施进行过投资回报评估。”他指出，项目实施大部分的经济收益来自于更长的业务流程正常运行时间。

框架是必须的吗？Lockheed Martin公司的Sawyer认为答案是肯定的。她说：“通用语言和遵从性流程是构建新一代数据中心的基础。相同的语言让我们能够更快地开展讨论，从而在更短的时间内做出决定。没有标准，用户管理数据中心和提升系统灵活性的梦想就不能真正实现。”

IT框架概览

ITIL（IT基础架构库）：IT服务管理的最佳实践标准。

COBIT（信息及相关技术的控制目标）：提供控制数据、IT系统和相关风险所需的参数框架。

CMMi（能力成熟模型集成模型）：指导在软件开发、系统工程、研发及其他活动中的流程改进。

ISO 17799：用于业务连续性、访问控制、遵从性以及其他领域的安全标准。