Quy trình kiểm soát

Một phần của tài liệu TIÊU CHUẨN QUỐC GIA CÔNG NGHỆ THÔNG TIN - QUẢN LÝ DỊCH VỤ PHẦN 2: QUY TẮC THỰC HÀNH (Trang 36 - 41)

9.1 Quản lý cấu hình

Mục tiêu: Xác định và kiểm soát các thành phần của dịch vụ và cơ sở cơ sở hạ tầng, duy trì thông tin cấu hình chính xác.

9.1.1 Lập kế hoạch và thực hiện quản lý cấu hình

Quản lý cấu hình phải được lập kế hoạch và thực hiện cùng với quy trình quản lý thay đổi và quy trình quản lý phần mềm để đảm bảo nhà cung cấp dịch vụ có thể quản lý các tài sản IT của mình và cấu hình một cách hiệu quả.

Cần có thông tin về cấu hình chính xác để lập kế hoạch và kiểm soát thay đổi khi dịch vụ mới và cập nhật được phát hành và phân phối. Kết quả phải có một hệ thống hiệu quả tích hợp được các quy trình quản lý thông tin cấu hình của nhà cung cấp dịch vụ, và của các khách hàng và nhà phân phối của nhà cung cấp này

Tất cả các cấu hình và tài sản quan trọng phải được kê khai và có một người quản lý để đảm bảo duy trì việc bảo vệ và kiểm soát thích hợp, ví dụ như những thay đổi phải được cho phép trước khi thực hiện.

Trách nhiệm thực hiện kiểm soát có thể được ủy quyền nhưng trách nhiệm giải trình vẫn thuộc về người quản lý. Người quản lý cần phải được cung cấp những thông tin cần thiết để hoàn thành trách nhiệm này, ví dụ: người được ủy quyền thực hiện thay đổi có thể cần đến những thông tin về chi phí, rủi ro, tác động của thay đổi và tài nguyên để thực hiện.

Cơ sở hạ tầng và/hoặc dịch vụ phải có các kế hoạch quản lý cấu hình cập nhật mà có thể độc lập hoặc tạo thành một phần của những bản kế hoạch khác. Chúng bao gồm:

a) phạm vi, mục tiêu, chính sách, tiêu chuẩn, vai trò và trách nhiệm;

b) các quy trình quản lý cấu để hình xác định các mục cấu hình trong (các) dịch vụ và cơ sở cơ sở hạ tầng, kiểm soát những thay đổi về cấu hình, ghi lại và báo cáo trạng thái của các mục cấu hình và xác minh tính đầy đủ và sự chính xác của các mục cấu hình;

c) các yêu cầu về trách nhiệm giải trình, tìm kiếm thông tin, kiểm tra, ví dụ như về bảo mật, pháp lý, kiểm soát hoặc các mục đích kinh doanh;

d) kiểm soát cấu hình (kiểm soát truy cập, bảo vệ, phát hành, xây dựng, phần mềm);

e) Quy trình kiểm soát giao diện để nhận dạng, ghi lại, và quản lý các mục cấu hình và thông tin chung hai hay nhiều tổ chức, ví dụ như giao diện hệ thống, phần mềm;

f) việc lập kế hoạch và tạo nguồn tài nguyên để đưa ra những tài sản và cấu hình nhằm kiểm soát và duy trì hệ thống quản lý cấu hình, ví dụ: đào tạo nguồn lực;

CHÚ THÍCH: Thực hiện tự động hóa ở một mức độ hợp lý để đảm bảo các quy trình không trở nên kém hiệu quả, không dễ xảy ra lỗi hoặc không thể thực hiện được.

9.1.2 Định danh (đánh số) các mục cấu hình

Tất cả các mục cấu hình phải được định danh (đánh số) duy nhất và được định nghĩa theo các thuộc tính mô tả đặc tính chức năng và đặc tính vật lý của chúng. Thông tin phải thích hợp và có thể kiểm tra được.

Các phương pháp đánh dấu thích hợp hoặc các phương pháp định danh khác phải được sử dụng và được ghi lại trong cơ sở dữ liệu quản lý cấu hình.

Các mục cấu hình được quản lý phải được định danh dựa theo tiêu chuẩn lựa chọn, chúng bao gồm: a) tất cả các sản phẩm và các phiên bản của các hệ thống thông tin và phầm mềm (bao gồm phần

mềm của các hãng thứ 3 và các tài liệu hệ thống liên quan, ví dụ như các yêu cầu về đặc tính kỹ thuật, các thiết kế, các báo cáo kiểm tra, tài liệu về phiên bản);

b) các baseline cấu hình hoặc các báo cáo về build cho từng môi trường có thể áp dụng, các build phần cứng và phát hành;

c) bản sao cứng gốc và các thư viện điện tử, ví dụ: thư viện phần mềm chính thức; d) gói quản lý cấu hình hoặc các công cụ được sử dụng;

e) các giấy phép;

f) các thành phần bảo mật, ví dụ như bức tường lửa;

g) các tài sản vật lý cần được theo dõi vì lý do quản lý vốn tài chính hoặc lý do về kinh doanh, ví dụ như thiết bị, phương tiện mang từ tính;

h) các tài liệu liên quan đến dịch vụ, ví dụ: các thủ tục, các SLA;

i) các phương tiện hỗ trợ dịch vụ, ví dụ: nguồn điện cho phòng máy tính; j) mối quan hệ và sự phụ thuộc giữa các mục cấu hình;

CHÚ THÍCH: Các mục khác có thể được coi như các mục cấu hình bao gồm: a) các tài liệu khác;

b) các tài sản khác; c) các phương tiện khác d) các đơn vị kinh doanh; e) con người.

Cần phải xác định các mối quan hệ và sự phụ thuộc giữa các mục cấu hình để đưa ra mức độ kiểm soát cần thiết.

Nếu yêu cầu phải theo dõi, thì quy trình kiểm soát phải đảm bảo sao cho các mục cấu hình có thể được theo dõi suốt chu kỳ sống của nó, từ các tài liệu yêu cầu tới các báo cáo phát hành, ví dụ: sử dụng ma trận có khả năng theo dõi.

9.1.2 Kiểm soát cấu hình

Quy trình kiểm soát phải đảm bảo rằng chỉ những mục cấu hình được cho phép và có thể nhận biết được mới được chấp nhận và ghi lại từ khi nhận về.

Không có mục cấu hình nào được thêm vào, được sửa chữa, được thay thế hoặc dịch chuyển/loại bỏ mà không có tài liệu hướng dẫn điều chỉnh thích hợp, ví dụ: yêu cầu thay đổi được chấp thuận, thông tin về phát hành được cập nhật.

Để đảm bảo tính toàn vẹn của các hệ thống, các dịch vụ và cơ sở cơ sở hạ tầng, thì các mục cấu hình phải được đặt trong một môi trường an toàn và phù hợp để:

a) bảo vệ chúng khỏi những truy cập trái phép, sự thay đổi hoặc sự sai lạc, ví dụ: virus; b) đưa ra biện pháp khôi phục sau thảm họa;

c) cho phép tải về có kiểm soát, ví dụ: phần mềm.

9.1.3 Báo cáo và kiểm kê tình trạng cấu hình

Phải lưu giữ những báo cáo cấu hình hiện thời và những báo cáo cấu hình chính xác để phản ánh những thay đổi về tình trạng, vị trí và phiên bản của các mục cấu hình.

Việc kiểm kê tình trạng cấu hình cho biết thông tin về dữ kiện hiện tại và quá khứ đề cập đến từng mục cấu hình trong suốt vòng đời của nó. Nó cho phép theo dõi được những thay đổi đối với các mục cấu hình qua nhiều trạng thái khác nhau, ví dụ: được đặt mua, được tiếp nhận, kiểm nhận, quy trình sử dụng, những thay đổi ngầm, thu hồi, loại bỏ.

Thông tin cấu hình phải được duy trì và sẵn sàng cho việc lập kế hoạch, ra quyết định và quản lý những thay đổi đối với các cấu hình đã xác định.

Nếu có yêu cầu, người sử dụng, khách hàng, nhà phân phối và các bên liên quan có thể được truy cập thông tin cấu hình để hỗ trợ việc lập kế hoạch và ra quyết định. Ví dụ, một nhà cung cấp dịch vụ bên ngoài có thể cho phép khách hàng và các bên liên quan truy cập thông tin cấu hình để hỗ trợ các quy trình quản lý dịch vụ khác cho dịch vụ đầu cuối.

Những báo cáo quản lý cấu hình phải có giá trị đối với tất cả các bên liên quan. Những báo cáo phải bao gồm việc nhận dạng và tình trạng của các mục cấu hình, các phiên bản của chúng và các tài liệu liên quan.

Các báo cáo phải bao gồm:

a) các phiên bản mới nhất của mục cấu hình;

c) sự phụ thuộc; d) lịch sử phiên bản;

e) tình trạng của các mục cấu hình mà tạo thành: 1) hệ thống hay cấu hình dịch vụ;

2) một thay đổi, điểm mốc, kiểu kiến trúc hoặc phát hành; 3) phát hành hoặc biến thể.

9.1.4 Kiểm tra và xác minh cấu hình

Các quy trình kiểm tra và xác minh cấu hình, cả về vật lý và chức năng, phải được lên lịch và thực hiện kiểm tra để đảm bảo các tài nguyên và quy trình là thích hợp để:

a) bảo vệ cấu hình vật lý và vốn trí tuệ của tổ chức;

b) đảm bảo nhà cung cấp dịch vụ quản lý được cấu hình, bản sao chính và giấy phép của mình; c) biết được thông tin cấu hình chính xác, được kiểm soát và có thể xác định được;

d) đảm bảo rằng sự thay đổi, phát hành, hệ thống hoặc môi trường phù hợp với những yêu cầu cụ thể hoặc yêu cầu của hợp đồng và đảm bảo rằng các báo cáo cấu hình là chính xác.

Việc kiểm tra cấu hình phải được thực thiện thường xuyên, trước và sau những thay đổi quan trọng, sau một thảm họa và vào các khoảng thời gian ngẫu nhiên.

Những cấu hình không đầy đủ và không thích hợp sẽ được ghi lại, được đánh giá và đưa ra hành động chỉnh sửa, thực hiện, thông báo lại cho các bên liên quan và lập kế hoạch cải tiến dịch vụ.

CHÚ THÍCH: Thông thường có hai dạng kiểm tra cấu hình:

a) kiểm tra cấu hình chức năng: kiểm tra để xác minh các mục cấu hình đã đạt được các tính năng và các đặc tính chức năng được quy định trong các tài liệu cấu hình của nó;

b) kiểm tra cấu hình vật lý: kiểm tra cấu hình của một mục cấu hình để xác minh rằng nó phù hợp với các tài liệu cấu hình sản phẩm.

9.2 Quản lý thay đổi

Mục tiêu: Đảm bảo tất cả những thay đổi được đánh giá, được chấp nhận, được thực hiện và được xem lại theo một cách thức có kiểm soát.

9.2.1 Lập kế hoạch và thực hiện

Các quy trình và thủ tục quản lý thay đổi phải đảm bảo: a) những thay đổi có cơ sở và chi tiết rõ ràng;

b) chỉ những thay đổi mang lại lợi ích kinh doanh mới được chấp thuận, ví dụ: những thay đổi về thương mại, luật pháp và những thay đổi về luật;

d) những thay đổi về cấu hình được xác minh trong khi thực hiện thay đổi;

e) thời gian thực hiện những thay đổi được giám sát và được tận dụng nếu yêu cầu; f) có thể chứng minh được cách thức một thay đổi:

1) bị tăng lên, được ghi lại và được phân loại ;

2) được đánh giá tác động, mức độ khẩn cấp, chi phí, lợi ích và rủi ro của những thay đổi đối với dịch vụ, khách hàng và các kế hoạch phát hành;

3) bị hủy bỏ hoặc được khắc phục nếu không thành công;

4) được ghi vào tài liệu, ví dụ: yêu cầu thay đổi được liên kết với các mục cấu hình bị ảnh hưởng và các phát hành cập nhật của các kế hoạch giải phóng và thực hiện;

5) được chấp thuận hoặc từ chối bởi một người có thẩm quyền thay đổi, tùy thuộc vào loại, quy mô và mức độ rủi ro của thay đổi;

6) được thực hiện bởi một người được chỉ định trong các nhóm có trách nhiệm với các thành phần bị thay đổi;

7) được kiểm tra, xác minh và dừng lại; 8) được kết thúc và được xem lại;

9) được lập lịch, được giám sát và báo cáo;

10) được liên kết với các sự cố, vấn đề, những thay đổi khác và các bản ghi mục cấu hình tương ứng.

Tình trạng thay đổi và ngày thực hiện theo lịch trình phải được sử dụng làm cơ sở cho lịch trình thay đổi và giải phóng .

Thông tin về lịch trình phải được cung cấp cho những người bị ảnh hưởng bởi thay đổi.

Khi có một sự cố trong thời gian dịch vụ, những người bị ảnh hưởng phải chấp nhận thay đổi trước khi thực hiện.

9.2.2 Kết thúc và xem lại yêu cầu thay đổi

Mọi thay đổi phải được xem lại về mức độ thành công hay thất bại sau khi thực hiện, bất kỳ sự cải tiến nào cũng phải được ghi lại. Việc xem xét lại sau khi thực hiện phải được tiến hành sau mỗi thay đổi quan trọng để kiểm tra xem:

a) thay đổi đã đáp ứng được các mục tiêu đề ra chưa; b) khách hàng có hài lòng với kết quả không;

c) không có bất kỳ ảnh hưởng phu không mong muốn nào. Bất kỳ sự không phù hợp cũng phải được ghi lại và được xử lý.

Bất kỳ điểm yếu và thiếu sót nào được nhận diện qua việc xem xét lại quy trình quản lý thay đổi đều phải được đưa vào các kế hoạch cải tiến dịch vụ.

9.2.3 Những thay đổi khẩn cấp

Đôi khi yêu cầu phải có những thay đổi khẩn cấp và nếu có thể quy trình quản lý thay đổi cần phải tuân theo, tuy nhiên những chi tiết phải được ghi thành tài liệu. Nếu quy trình thay đổi khẩn cấp bỏ qua những yêu cầu quản lý thay đổi khác, thì việc thay đổi phải phù hợp với những yêu cầu này.

Người thực hiện những thay đổi khẩn cấp cần phải điều chỉnh và xem xét lại sau khi thay đổi để xác minh rằng đó thực sự là một trường hợp khấn cấp.

9.2.4 Báo cáo quy trình quản lý thay đổi, phân tích và hành động

Các báo cáo thay đổi phải được phân tích thường xuyên để phát hiện ra mức độ phát triển của những thay đổi, các loại thay đổi theo chu kỳ, các xu hướng và các thông tin có liên quan khác. Những kết luận và kết quả rút ra từ việc phân tích thay đổi phải được ghi lại và có hành động xử lý thích hợp.

Một phần của tài liệu TIÊU CHUẨN QUỐC GIA CÔNG NGHỆ THÔNG TIN - QUẢN LÝ DỊCH VỤ PHẦN 2: QUY TẮC THỰC HÀNH (Trang 36 - 41)

(46 trang)