ITIL 2011 服务管理与认证读书笔记——第四章 服务设计

本章主要内容是通过具体的服务设计，将战略目标转化为服务资产的方法论和详尽的设计案例。

一、目的

服务设计，是为了满足商业需要而设计新的或者为当前服务增加新的功能，并把增加的服务或功能引入生产环境。

服务设计的主要目标

1. 设计服务去达到承诺的商业输出结果，Design services to meet agreed business outcomes
2. 识别和管理风险，Identify and manage risks
3. 设计安全且适应能力强的IT架构、环境和应用软件，Design secure and resilient IT infrastructures, environments, applications
4. 设计度量方法和标准，Design measurement methods and metrics
5. 提出维护计划、流程、策略、标准、架构和文档去支持有质量的IT解决方案，Produce and maintain plans, processes, policies, standards, architectures and documents to support the design of quality IT solutins
6. IT开发相关的技术和能力，Develop skills and capability within IT
7. 对整体服务质量提高的帮助，Contribute to the overall improvement in IT service quality

服务设计的主要内容

1. 服务解决方案设计，包括对服务的所有功能需求、需要的资源与能力等。
   • 分析服务协定的业务需求
   • 检查现有的IT服务和基础架构，以利旧
   • 确定服务接受标准
   • 协定支出和预算
   • 评估和确认业务的收益，如ROI
2. 服务组合设计
3. 技术架构和管理系统设计，该设计是为了提供服务所需要的管理架构、组织架构、业务架构、IT基础架构、产品架构和工具等。技术架构和管理系统分别由不同类别的架构师来完成的：
   • 企业级架构师，将IT能力与企业的商业需求进行映射，行业标准规范如TOGAF
   • 应用架构师
   • 信息架构师，主要关注企业的IT信息、数据库和存储设备的设计和搭建工作。
   • 基础设施架构师
   • 集成架构师
   • 运维架构师
4. 流程设计，IT服务管理流程的设计要素包括：
   • 活动
   • 业务规则
   • 输入输出
   • 角色
   • 关键成功因素
   • KPI绩效指标
5. 度量

服务设计的4个要点：4P

• 人员，要有具备必要技能的人来处理工作
• 产品，要有用于支持IT服务实施与管理的技术和管理系统
• 流程，为完成一个指定目标而设计的过程化的集合
• 合作伙伴，要达成适当的协议、要沟通通畅、要将承诺文档化并签订合同

二、关键流程

服务设计包含一系列的流程和职能，其中包括服务目录管理、服务级别管理、容量管理、可用性管理、IT服务连续性管理、供应商管理、信息安全管理和设计协调。

1、服务目录管理

给客户提供一个集中的、一致性的信息来源，它的信息范围包括服务提供商所承诺的所有服务的列表。

服务目录管理的目标：

• 确保服务目录被有效地创建和维护
• 管理和维护日常的服务目录信息
• 确保信息的精确、完整和实时更新

服务目录管理的KPI设计：可以把服务目录列表中记录和管理的服务数量与现实环境中存在的服务数据进行比较，将这个比率作为该流程考核的一个绩效指标。

服务目录管理的类别：

• 业务服务目录
• 技术服务目录

简而言之，服务目录管理就是要创建服务目录，并确保服务目录信息的精确性和更新的实时性。可以向部门内、外提供一致的和完备的服务目录信息。服务目录的形式既可以是信息化系统，也可以EXCEL表格。

2、服务级别管理

服务级别协议SLA，记录了服务提供商对客户的所有的服务承诺。一般会以合同签署的形式体现。

SLA协议范围包括：

• 合同范围的描述，合同所涉及的职责范围和依赖关系以及奖惩条款等
• 设置度量标准并监控和执行
• 定期输出服务报告以衡量服务是否达标
• 推动和协调服务改进计划SIP

服务级别管理一方面要尽量地把更多的服务作为服务级别管理的对象；另一方面，通过对服务进行适当的定义、监控和定期的审查来确保服务自身价值的具体实现和服务级别协议的合理性。

服务级别管理的目标：

1. 对所有的IT服务，都要有定义、文档记录、客户的签署同意、监控、度量、报告和审查。
2. 建立和提高商业客户间的良好关系。
3. 监控和提高客户满意度。
4. 提供具体的度量标准。
5. 清晰的服务级别定义。
6. 在合理的成本控制下，积极地提高服务的级别。

服务级别管理的三种类型

1. 服务级别协议SLA，服务提供商和客户之间
2. 运营服务协议，服务提供商内部制定的关于部门级的IT服务标准
3. 第三方供应商合同

在服务级别协议中需要包含基本协议内容、服务保障时间的约定、服务指标设计、服务回顾会议安排以及甲乙合作双方的责任与义务。

其中服务指标可以包括应用系统可用率、平均故障恢复时间、平均故障间隔时间、故障的成功解决率等。一般运维服务指标，可以从事件管理、问题管理、变更管理、发布管理、知识管理以及可用性、容量、业务连续性等方面着手设计各个指标参数。

注：当客户提出一个非标准的行为要求时，要在平衡服务稳定性的同时尽量满足客户要求。因为客户的满意度是衡量服务质量的标准。

3、容量管理

容量管理的目标是：

1. 及时地考虑、计划和执行未来的IT服务需求；
2. 基于服务级别协议来有效地管理IT服务的容量问题；
3. 管理和监控当前IT基础设施里的所有部件，确保与容量相关的故障和问题都能及时发现和解决；
4. 在有效的成本控制框架下去提高服务性能；

容量管理的分类：

1. 业务容量管理
2. 服务容量管理
3. 资源容量管理

容量管理知识：

• 容量管理关注的是服务能力和性能相关的问题。
• 服务的性能管理，也是一种特殊的服务容量管理任务。
• 许多公司会使用形式不一的容量管理信息系统，用于存储历史跟踪的数据、分析统计报表以及制订容量管理计划。
• 容量管理和需求管理是紧密相关的，当遇到

4、可用性管理

• 可用性管理的目的是优化IT系统架构和IT服务组件的能力去达到或超过承诺的服务可用性级别。
• 可用性，就是指服务可以访问的时间占整个给客户承诺的服务时间的百分比。
• 可用性管理包括可用性计划和一系列持续性的行为，如持续系统监控、报表跟踪和不断改进服务措施等。

可用性的关键概念图

可用性管理中的几个术语：

• 故障
• 宕机时间DT，Downtime
• 正常运行时间
• 故障间隔时间
• 承诺的服务时间AST， Agreed Service Time

服务可用性管理的几个重要指标和计算公式

1. 可用性：Availability = (AST - DT)/AST *100%
2. 可维护性： 可维护性 = 宕机时间之和/服务中断次数，即平均故障恢复时间。用于测量服务或配置项发生故障后，可以恢复正常的平均时间。
3. 可靠性： 可靠性 = （承诺的服务时间 - 宕机时间之和）/ 服务中断次数 ， 即平均故障间隔时间。
4. 可服务性，主要考察第三方供应商满足合同条款的能力。在合同的内容中包括服务或配置项的可用性、可靠性和可维护性级别。

可用性管理的流程活动的分类：

• 被动性活动，属于服务运营的范畴，包括可用性监控、度量、分析和管理与服务不可用有关的所有事件、故障和问题。
• 主动性活动，属于服务设计的范畴，包括可用性的主动规划、设计和持续改进。

5、IT服务连续性管理

IT服务连续性管理的主要工作是处理由于系统硬件的故障或不可抗拒的自然灾难造成服务中断时，IT服务和服务设备能够在规定的时间范围内恢复回来。

主要通过两个手段推进这一工作：

• 业务影响分析方案
• 灾难恢复计划

灾难恢复计划一般需要使用业务影响分析方案作为输入。一个好的灾难恢复计划，需要在计划中完备地、清楚地定义各角色及其职责。

灾难恢复的指标一般也会作为SLA协议的一部分。

一般灾难恢复级别由低到高会有以下几种：

• 手工变通解决方案；
• 互惠协定，借助行业内技术类似公司的数据中心来恢复服务；
• 渐进恢复，从冷备份进行恢复，包括准备所需的各种物理环境，恢复时间一般大于72小时；
• 中期恢复，从暖备份进行恢复，需要依托第三方灾备服务提供商，恢复时间可在72小时内；
• 快速恢复，从热备份中进行恢复，依托自有的两地三中心的数据中心服务模式来实现24小时内的快速恢复；
• 立即恢复，从技术架构上就需要提供不间断的灾难恢复能力。

可视需要设立业务连续性经理的职位，或由IT服务经理兼任。

6、信息安全管理

信息安全管理的主要工作内容：

1. 防止任何的IT功能或数据被非授权的人员访问
2. 使潜在的安全隐患和漏洞最小化
3. 降低安全漏洞所造成的影响
4. 开发可在可用性管理的环节中执行的相应安全策略

信息安全管理的CIA三要素：

• 机密性Confidentiality，保护敏感的信息以防止泄漏或被窃听。
• 完整性Interity，确保信息或软件的精确和完备、一致。
• 可用性Availability，确保信息和重要的IT服务在有访问需求的时候总是可用的。

目前常见的应用系统的安全攻击有：

• 数据库拒绝服务攻击
• SQL攻击
• Cookie和Session欺骗
• 后门程序攻击

企业需要通过流程和安全监控管理工具来识别关键的企业资产，并对企业资产进行风险监控、评估、安全告警和安全事件管理。

对此，很多企业会设立 安全经理职位，负责：

1. 创建和维护安全策略
2. 沟通和执行策略
3. 指导业务影响分析和风险控制
4. 开发和记录过程控制文档，只有采取具体的控制和度量目标，才能保证安全策略的有效实施。
5. 安全问题的监控与内审
6. 执行任何违背安全管理要求事件的补救措施

7、供应商管理

供应商管理工作的主要内容是：

1. 管理供应商的关系，确保IT服务供应商提供服务时能够有效地承担相应的责任和义务。
2. 洽谈和监控合同
3. 创建和维护供应商信息数据库
4. 管理供应商绩效，视供应商提供服务的类型不同可以设置以下绩效管理指标：
   • 故障单解决率
   • 故障单及时处理率
   • 发布导致的故障占比
   • 系统可用性
   • 重大故障的数量
   • 数据备份的成功率

8、设计协调

这是在ITIL 2011版本中新增的流程。

• 提供唯一的接口控制点，对在服务设计阶段所有相关流程的活动和行为进行有效控制，以确保服务设计的目标能够实现。
• 协调不同项目中所有的服务设计活动、供应商和服务支持团队的相关工作。
• 在需要时，提供服务的变更或项目的计划、资源、风险和冲突的管理。

在大型公司中，一般设置架构评审委员会负责该流程的工作内容。

设计协调流程的主要工作内容是：

• 计划、协调、优化资源的供给，解决服务当前和未来的需求冲突；
• 对服务设计的活动进行充分评审和度量，以提高服务设计的质量；
• 确保服务的功能需求和非功能需求能够有效的达成；
• 确保服务设计中的服务设计包能够有效了移交到服务转换环节。

设计协调流程的业务价值：

• 在可接受的风险和成本下通过服务设计来满足预期的业务需要；
• 使重复工作和未计划的人力成本最小化；
• 提高客户对服务的满意度，服务的满意度是由客户决定的；
• 确保服务架构设计的一致性；
• 提高服务设计的敏捷性、服务质量和设计活动的效率与效果。