使用“服务资产和配置管理（SACM）计划”破除CMDB项目失败怪圈

CMDB投资可以带来可观的业务收益，但许多组织屡次未能取得预期的结果。为了取得成功，基础设施和运维（I&O）领导必须确保他们有一个有效的服务资产和配置管理（SACM）计划，并根据业务需求和当前能力进行渐进式SACM改进。

实施CMDB工具面临的挑战

1. 基础设施和运维（I&O）领导已经上线过几代的配置管理数据库（CMDB）工具，由于没有成功所必需的关键支持因素，从而增加CMDB项目失败的几率。
2. CMDB工具通常被视为管理IT运维的唯一可信来源，这不符合如今组织的需求。
3. 75%的CMDB项目提供的价值不足以证明投资的合理性，因为试图一次做太多，或专注于不能直接提高业务价值的工作。

实施CMDB工具的建议

为支持IT运维转型，I&O领导必须：

1. 建立服务资产和配置管理（SACM）计划，通过为SACM流程指定明确的角色和职责，并使用Gartner SACM能力模型来确定最佳控制水平，以实现业务价值最大化，从而指导CMDB的工作。
2. 通过评估IT服务资产属性的可见度和范围内决策数据的可信度，为支持决策制定基线SACM能力水平。
3. 建立符合现有能力水平的迭代型项目，并使用业务价值关键绩效指标(KPI)验证其成功，来交付并展示SACM计划的持续价值。

SACM计划方法介绍

CMDB工具计划可以帮助I&O领导人从IT服务中获得更多价值。这为更快、更好地做出IT服务交付决策提供了全新的思路。然而，行业统计数据显示，只有25%的企业从其CMDB投资中获得了有意义的价值。

负责CMDB项目的I&O负责人经常会发现行业指南中缺少如何避免失败的内容。关于CMDB的理想状态，已经有很多的实践方法和经验。尽管如此，对于如何成功实现CMDB工具，却没有什么有效的指导，这导致许多组织在创建CMDB工具的过程中多次失败。

I&O负责人面临与CMDB相关的三个基本问题：

1. 我们需要具备什么才能从CMDB工具中获得价值？
2. 我们应该从哪里开始最大化我们的成功几率？
3. 我们如何保持价值？

SACM计划确保交付服务所需的资产得到适当控制。还确保随时随地都能够获得关于所需资产的准确和可靠的信息。通过建立SACM计划，以当前SACM能力为基础，并使用业务价值来指导项目执行，I&O领导人可以最大化从CMDB中获得的价值（见图1）。

图1. 使用SACM计划指导CMDB的工作

资料来源：Gartner（2019年1月）

SACM计划方法实施步骤

步骤一：建立一个SACM计划来指导CMDB工作

SACM计划提供持续的承诺，提供持续成功实施CMDB工具所需的资源和能力。除了有效的项目管理实践，I&O领导人必须确保有两个基本的促成因素：正确的SACM角色集和基于能力的管理实践方法。

（1）指定SACM实践角色和职责

两个角色对SACM的成功至关重要：SACM实践负责人和SACM技术管理员。SACM实践负责人负责协调组织的SACM活动，而SACM技术管理员则提供负责领域内的专业知识，以确保成功执行。

SACM实践负责人是SACM实践的业务负责人。最初，它可能是一个兼职角色，特别是在较小的组织中，但随着该角色的建立，常常演变成一个全职角色。该角色负责通过以下活动实现SACM交付价值：

1. 确保适当的领域有批准的策略，由定义的指导(如流程、程序和标准)支持。
2. 确保项目范围内的每个技术项目都有一名经批准的SACM技术管理员。
3. 当发生变化时，维护经批准的技术管理员名单。
4. 对技术管理员进行期望教育。
5. 衡量并向利益相关者传达绩效和价值。
6. 调查绩效和价值差距，以确定潜在的改进工作。
7. 作为SACM计划的一部分，指导商定的改进方向。
8. 担任SACM工具（包括CMDB工具）的业务所有者。

SACM技术管理员是一个或多个指定技术组件的所有者。

这是一个兼职的角色，由负责维护服务器、数据库、软件等的专家担任。他们通过下列活动为他们所分配项目的决策提供有用的数据:：

1. 确保向利益相关者提供满足SACM需求所需的数据。
2. 保持所需IT资产数据符合组织要求的准确性。
3. 根据实际情况，将妨碍履行职责的问题上报给上级领导和/或SACM业务负责人。

（2）使用能力模型来指导和沟通SACM的工作

SACM能力模型提供了基于业务价值的项目总体指导结构。每个范围内的IT服务资产都属于Gartner SACM能力模型的五个指标级别之一。与以成熟度或技术为中心的方法相比，能力模型提供了更细粒度的方法来指导CMDB工具采购和其他SACM工作（见图2）：

图2 .Gartner SACM能力模型

资料来源：Gartner（2019年1月）

1. SACM级别1（管理数据存储库）：关于IT服务资产的非受控数据存在于一个或多个位置。它可以回答有关环境当前状态的“什么”和“如何”问题，例如，“哪些服务器支持财务应用程序？“
2. SACM2级（服务资产台账）：IT服务资产和范围内属性的实际状态是在一个一致的记录系统中控制和维护的。它可以回答与当前环境状态相关的“多少”问题，例如，“有多少数据库已升级到最新版本？”
3. SACM级别3（IT服务视图CMDB）：已经被批准与技术服务或产品相关的IT服务资产的服务配置在一致的记录系统中进行控制和维护。它可以回答与IT服务提供相关的“假设”问题，例如，“如果此存储阵列宕机，会影响哪些应用程序？”
4. SACM级别4（配置管理系统）：经过批准的与业务服务或产品相关的IT服务资产的技术生命周期配置在一致的记录系统中进行控制和维护。它可以回答与IT战略相关的“假设”问题，例如，“如果我们转向更多地使用微服务，什么IT服务受到的影响最大？”
5. SACM5级（服务知识管理系统）：已经批准的与组织任务相关的IT服务资产的业务生命周期配置在一致的记录系统中进行控制和维护。它可以回答与公司战略相关的“假设”问题，例如，“如果我们在海外扩张，哪些业务领域最受数据隐私要求的影响？”

SACM目标状态不是让所有IT服务资产都处于SACM级别5。由于需要管理更多的数据并在多个IT和业务规程（如企业架构（EA）、IT财务管理（ITFM）和市场营销）之间进行协调，SACM级别越高，成本就越高。虽然SACM级别越高，潜在收益越大，但实际收益可能从无价之宝到一文不值，这取决于数据对决策速度和质量的实际影响。

每个技术组件的目标状态都是不断优化从数据中获得的收益与维护数据可见性、控制数据的成本之间的平衡。这有两个重要影响：

1. 许多IT服务资产不需要包含在CMDB工具中，因为它们没有提供超出SACM级别2的足够额外收益来证明所需工作的合理性。例如，许多升级项目只需要更新组件清单，跟踪更多的信息不会带来额外的好处，但需要额外的成本。
2. 由于管理数据（由于业务变化、自动化等）的潜在收益和成本随时间变化，特定IT服务资产的目标SACM级别不是静态的。

（3）实施建议

1. 通过与其他IT主管合作，在项目开始时和出现空缺时分配职位，帮助SACM业务负责人填补所有需要的SACM技术管理员职位。
2. 使用Gartner SACM能力模型解释为什么不应将所有数据都放在CMDB工具中，从而重置CIO和其他IT主管对CMDB工具投资的期望。

步骤二：评估SACM实践工具和数据

 

（1）方法介绍

SACM的成功需要使用广泛的工具来提供数据可见性和控制。CMDB工具已经不能单独满足支持SACM实践的所有技术需求。

CMDB工具提供了两种决策优势，可以实现有效的IT服务交付。在这里，我们结合Gartner的SACM能力模型阐明了这两个好处：

1. 通过提供有关IT系统状态及其关系的历史数据，了解IT服务交付。这是一个IT服务性能的回溯视图，可以显示与过去模式的趋势和偏差。它对于所有SACM能力级别都是必需的，并且只有工具可以提供它。
2. 通过比较IT系统的当前状态及其与批准基线的关系，确保IT服务交付规划的可信度。这是一个IT服务性能的前瞻性视图，可以帮助规划变更并显示与预期结果的偏差。它是SACM能力级别2到5的主要关注点，因此工具本身无法提供它（参见图3）。

图3. 可见性和可信性有助于提高IT服务性能

 

资料来源：Gartner（2019年1月）

I&O领导必须评估他们的工具能力，以避免浪费和快速实现价值。评估应包括以下工具：

1. IT服务管理（ITSM）工具是获得CMDB能力的主要方法。ITSM过程和SACM数据之间紧密集成的需要限制了从不同于ITSM工具的供应商获得CMDB工具的价值。许多ITSM工具提供了足够的CMDB功能，但专注于基本流程支持的ITSM工具可能无法满足更高的能力级别需求。
2. 客户管理工具（CMT）、统一终端管理（UEM）、软件资产管理（SAM）和其他支持IT资产管理的工具，是有用的可视性数据源。它们可以提供其他工具无法提供的详细信息，但如果设备部署在其控制范围之外，则通常是不完整的。它们既可以用作独立的数据源，也可以集成到ITSM工具中。
3. 发现和依赖关系映射（DDM）工具也可以提供可见性，特别是在数据中心环境中。DDM工具显示发现的硬件和软件，以及支持应用程序的组件之间的关系。它们都可以提供对SACM有用的数据的独立视图，并将数据馈送到ITSM工具。
4. IT运维监控工具，如IT基础设施监控（ITIM）、网络性能监控和诊断（NPMD）和应用性能监控（APM）产品也有助于提高可见性。这些工具提供了一个非常详细的活动视图，甚至一些依赖关系映射，但是需要定制视图来提供与SACM最相关的重点数据。
5. 持续配置自动化（CCA）工具、云管理平台和其他用于DevOps工具链和扩展资源的产品提供了对云、容器和其他环境的可见性。这些工具还可以提供控制，但只有在更高级的情况下，它们才是对环境进行更改的唯一方法。
6. 用户在电子表格、协作平台和其他系统中创建的存储库也是可见性的关键资源。在许多情况下，它们可能是主题专家已知的关键数据的唯一记录来源。数据质量将根据填充存储库的用户的习惯和需求而有所不同。
7. 智能运维（AIOps）工具可以通过聚合上述来源的数据，以比传统IT操作工具更易于使用的方式呈现数据，并提高传统监控工具的信噪比（有用数据与无用数据之比），从而提供可见性。他们使用机器学习（ML）、统计方法和其他技术来识别模式和与规范的偏差。

要求SACM业务所有者记录并维护一个工具列表，这些工具可以为范围内的每个技术域提供可见性（见表1）。SACM业务负责人应让SACM技术管理员参与，以确定特定领域和团队的相关资源。此列表对于识别可能需要工具采购的可见性差距很有价值。它还可以为员工提供即时价值，帮助他们找到相关的数据，以便进行决策。这有助于减少由于停机而恢复服务和评估更改的时间。

表1. 技术领域和可见性工具评估部分示例

技术领域	SACM技术管理员	可见性工具
数据库服务器	数据库团队领导	主数据库列表电子表格
供应链应用	应用经理-供应链	传统应用程序电子表格，供应链项目存储库

资料来源：Gartner（2019年1月）

通过检查不同利益相关者使用的SACM数据的一致性，评估SACM对于特定IT服务资产的可信度。按顺序提出的以下问题有助于衡量每个IT服务资产域的SACM能力级别：

1. 该领域的IT服务资产是否有准确的列表？如果不是，则域处于SACM能力级别1。
2. 在整个ITSM中，是否对该领域的IT服务资产有一个完整的视图，包括事件、问题和变更管理？如果不是，则域处于SACM能力级别2。
3. 整个IT领域的IT服务资产是否有一个完整的视图，包括ITSM、EA、IT安全、风险管理和应用程序开发？如果不是，则域处于SACM能力级别3。
4. 在整个组织范围内，是否有IT服务资产的综合视图，包括IT、财务、营销、企业风险管理和设施？如果不是，则域处于SACM能力级别4。如果是，则域处于SACM能力级别5。

(2) 实施建议

1. 在评估工作中包括SACM数据的所有潜在来源，以避免将投资浪费在重复组织中已经存在的工具上。
2. 通过识别SACM能力2级及更高级别的技术领域，并确定这些领域的记录和决策者系统，对组织中存在的控制点进行分类。

步骤三：从SACM计划中实现持续价值

（1）方法介绍

实现SACM计划的成功取决于关注业务价值差距，以指导改进工作的选择，保持较小的工作范围，并用业务术语传达成功。仅仅有准确的数据是不够的——这些数据还必须用于改进重要方面的决策。SACM计划中的初始改进工作必须集中在可以快速解决的特定业务问题上。这使得更快的价值交付和更大的能力，学习什么是最有效的，并发展持续成功所需的技能。

对于最初的SACM改进工作来说，实现CMDB工具是一个糟糕的选择。

对ITSIO（Gartner ITScore for I&O (ITSIO; see “ITScore for Infrastructure and Operations”))结果的分析表明，90%的I&O组织的成熟度低于3级。成熟度级别3是他们通常从CMDB工具中培养持续价值的技能的地方。除了I&O成熟度之外，CMDB工具成功的可能性更大，因为以前的工作有成功的模式，而且业务问题需要数据可见性和可靠性。

为了确定第一次改进工作的合适人选，确定要解决的业务问题、将在范围内的IT服务资产和要改进的价值关键绩效指标（见表2）。

表2. 可能的SACM改进工作的业务问题、范围和KPI示例

业务问题	范围内的IT服务资产	关键绩效指标
旧操作系统部署带来的安全风险	部署的操作系统	具有旧操作系统级别的设备数
数据库服务器的高变更失败率	数据库服务器，数据库管理工具	需要备份的数据库更改百分比
支持新营销活动的能力不足	营销应用、相关数据中心和云系统	营销活动业绩增加收入

资料来源：Gartner（2019年1月）

选择最符合以下标准的改进工作：

1. 价值与组织的使命相关。
2. 正在对关键绩效指标进行衡量，或者可以快速制定。
3. 影响结果的持续时间很短（理想情况下少于30天），
4. 相关IT服务资产的SACM指数水平（如“评估SACM实践工具和数据”部分所述）低于业务问题的SACM指数水平不超过一个阶段（如“使用能力模型指导和沟通SACM工作”部分所述）。
5. 相关利益相关者给予了高度支持。
6. 需要少量的IT服务资产属性。

需要提高IT服务资产数据SACM能力级别的改进工作很简单，但是在SACM能力级别较高时需要更长的时间。对于每个SACM能力级别，一般方法都是相同的：

1. 确定对更高SACM指数级数据感兴趣的利益相关者。
2. 确定业务问题所需的、与SACM指数水平相适应的额外信息。
3. 就所需的每个IT服务资产属性的所有者、记录系统和控制变更的方法达成一致。
4. 测量并提高所添加数据的质量，直至其足以解决范围内的业务问题。

使用确定为主要价值衡量指标的关键绩效指标，以及员工使用多少数据作为成功的主要指标。SACM通常倾向于关注内部度量，比如数据的完整性和准确性。这些是有助于诊断问题的一致性度量，但这些度量并不表示价值，并且可能会疏远业务发起人。

仅仅传递价值是不够的。有效的价值沟通对于将CMDB的失败转变为SACM的成功至关重要，但往往被忽视。定期报告SACM计划的价值，如员工会议和其他IT领导的状态更新。征集项目参与者分享SACM项目如何为他们带来价值。通过建立一个对等倡导者网络，I&O领导人可以扩大他们的信息，并建立打破CMDB故障周期所需的广泛支持。

（2）实施建议

1. 通过发布数据源列表并在入职时与新的IT员工共享这些信息，增加SACM数据的使用，以提高其有效性。
2. 通过使用业务问题关键绩效指标作为衡量和沟通结果的关键方法，使组织从SACM获得的价值最大化。

附：传统的CMDB实现方法的失败

最初的“配置管理（IT基础设施库）”指出“必须计划所有CI（配置项）的完整库存”。尽管ITIL的其他部分有警告，管理范围对这项工作至关重要，这常常被误解为提倡“真理的单一来源”，尽管尝试使用这种方法的人没有取得成功，但这种传统的智慧自1990年以来几乎没有什么变化。这会导致三种主要类型的错误：

1. “单一”意味着必须包括所有技术方面，无论所需的努力或获得的利益如何。这一点可以从支持者吹捧CMDB的规模与其所带来的价值相比的频率中看出。
2. “源”意味着所有数据都必须包含在工具中，无论数据是否已经存在于其他工具中。这可以从CMDB工具包含从其他系统更容易访问的冗余数据的频率看出。
3. “真”意味着必须获得100%的实时精度和高精度，无论是否符合本标准的可行性。这一点可以从IT人员不愿意将数据不准确作为不使用CMDB数据的理由的频率看出，即使数据质量客观上高于用于IT服务交付决策的其他数据源。

上述问题导致了Gartner经常看到的“一刀切”CMDB实施计划。尽管在规模、成熟度、行业和商业需求方面存在差异，但这些提议大体上是相同的。相比之下，从CMDB中获得价值的组织所重复的一个关键主题是，CMDB是根据其组织的需要量身定制的，并不断发展。有价值的CMDB是增长的，而不是建立的。

注：相关内容来自“Gartner”，仅翻译后学习使用，如涉及版权请及时联系。