ITIL 4官方核心著作
24 IT资产管理实践
- Manage
Copy- Actions
Export
Print preview
View Source- Viewers
Children
Comments- Annotations
Attachments (43)
History
Information
申明:
本系列ITIL 4实践中文版本由ITIL先锋论坛专家委员会组织翻译,国内众多从事ITIL理论推广及落地实践的专家们参与,需要下载最新翻译版本请关注微信公众号:ITILXF,也可访问ITIL4中文知识库网站:itil4hub.cn。
请注意,ITIL先锋论坛专家团队仅仅只是进行了这些著作的语种转换工作,我们并不拥有包括原著以及中文发行文件的任何版权,所有版权均为Axoles持有,读者在使用这些文件(含本中文翻译版本)时需完全遵守AXELOS 和 TSO所申明的所有版权要求。
本文档翻译工作参与人员:
翻译:孔彦波、冯广成
审校:李俊杰、刘祥发
审核:马建召
总审:长河
统筹:常宏
1. 关于这份文件
该文件为IT资产管理实践提供了实用性指导。它分为五个主要部分,包括:
- 关于实践的一般信息
- 实践的流程和活动及其在服务价值链中的角色
- 参与该实践的组织和人员
- 支持该实践的信息和技术
- 关于合作伙伴和供应商在实践中需求注意的事项
2. 基本信息
2.1 目的与描述
关键信息
IT资产管理实践的目的是计划和管理所有IT资产的整个生命周期,以帮助组织:
- 实现价值最大化
- 控制成本
- 管理风险
- 支持IT资产的购买、再利用、停用和处置等决策
- 符合法规和合同要求
为支持组织的具体业务目标,IT资产管理(ITAM)实践确保:
- IT资产生命周期地良好处理:
- 对IT资产的规划到处置,都要与其他IT和非IT实践相结合。
- 适当考虑IT资产的财务和公司价值,以便:
- IT资产和相关合同的交付价值建立在合理的成本和可接受的风险之上
- IT资产是安全、可靠和可用的
- 不管何时何地,只要需要,IT资产和相关实体(如合同和供应商)的信息是可信的、准确的、完整的、可用的。
通过这样做,该实践支持:
- IT资产(包括租赁和租用的IT资产)的保护:
- 防止盗窃、损坏(病毒或部件退化)和损失
- 考虑相关合同(软件、云、运维)
- IT支出的可追溯性、ROI评估和财务价值的优化
- 合规性:
- 合同,包括软件许可协议
- 法规(金融、税收、电子废弃物)
- 组织的政策(安全、人力、架构、采购)
- 及时、知情和适当地响应行业趋势和实践,以及特定的供应商(审计、云迁移)。
组织内的 IT资产由组织使用,或作为组织服务的一部分提供给服务使用者。在后一种情况下,IT资产通常作为服务消费的一部分被服务用户访问。使用IT资产进行服务交付或服务消费的人称为 IT资产消费者。
定义: IT资产消费者
角色负责在服务交付或消费过程中使用 IT资产。该角色可以是服务提供者组织的成员或客户。
2.2 术语和概念
2.2.1 组织的资产和IT资产
根据要求,IT资产在其生命周期的不同阶段将被视为购置资产。一些IT资产,在进入生命周期之前就成为了组织的固定资产。组织资产的购置必须记录在相应的账户中,如果被视为资本(固定)资产经过几年的折旧,则某些组件(如附件)可能根据成本等因素进行免除。
因此,许多IT资产也是固定资产或金融资产,这就需要在这两种观点之间进行调节,但也提供了交换信息的机会。例如:
- 会计可以跟踪支出,以识别并从账目中删除被丢弃的IT资产
- IT资产经理可以识别库存中缺少的记入组织资产的IT组件
因此,IT资产管理实践就可以让涉及金融IT资产的采购负责人参与其中并获益。
2.2.2 IT资产的相互依赖性
IT资产管理应与组织的通用资产管理相结合;但是,实践和IT资产类型之间也有相互依存关系。例如,要正确记录使用软件许可证的数量,值得注意以下信息:
- 进行软件盘点:
- 相关环境(开发/集成、测试、准备、实时/生产、培训等)
- 平台(内部硬件、云、托管数据中心等)
- 考虑所有部署技术(机器克隆、软件供应商的DVD、容器等)
- 收集许可证模型中使用的所有参数。
为获得成功,不应将软件IT资产管理与组织的其他类型的资产管理隔离开来,如图片 2.1所示。
图2.1:IT资产相互依存的示例
硬件IT资产管理和软件IT资产管理从一开始就是ITAM实践的一部分。近年来,对云平台的需求大大减少了在物理计算机上部署的许可证数量,并增加了公有云提供商的预算份额。这一根本性转变促使将云服务集成到ITAM实践中,以避免云费用和软件不合规的急剧增加。
2.2.3 IT资产管理实践的渐进式实现
组织最好尽早启动ITAM实践,因为保持IT资产信息最新会更容易。但是,许多组织只有在已经拥有大量异构的IT资产集合时,才理解全面ITAM实践的重要性。对于这些组织,建议采用符合ITIL4指导原则的迭代方法。
ISO/IEC 19771-1:20171标准提出了三层递进的方法:
- 获取IT资产的可信数据
- 对其生命周期进行集成管理
- 优化效率和成本效益
这意味着组织可以选择将ITAM实践实现为一个模块化的能力集,并在下述情况中逐渐被激活:
- 相应的政策(适用于所有情况或特定类型的IT资产)
- 程序、工作说明书和责任矩阵
- 附加到IT资产类型的特别建议(例如,购买软件许可证,不同于硬件购买)。
ITAM实践的范围通常太大,无法一次性实现。因此,根据"从你所处的地方开始"和"基于反馈迭代推进"的指导原则,建议将其定义为三个类别的组合,如下所示。
下面是ITAM实践渐进式范围实现的示例:
选择范围增量时应考虑收集、清理、标准化和迁移现有数据(可能会消耗资源)等工作。
关键信息
无论在组织中采用 ITAM实践遵循的是迭代的、渐进式的还是"大爆炸"的方法,它都应该基于组织和其他利益相关者的需求。实践旨在帮助实现价值最大化、控制成本、管理风险、做出决策并遵守要求。应首先根据这些目标核实范围和执行决定,以防止付出过度和不合理的努力和代价。
2.2.4 IT资产台账
ITAM实践需要准确的库存信息,这些信息应保存在资产台账中。IT资产台账是IT资产数据的主要来源。
定义: IT资产台账
有关IT资产的信息集,包括其所有权、成本和其他关键特征。IT资产台账使维护IT资产的库存计数成为可能。
IT资产台账是在ITAM方法形成时创建的,并在IT资产的生命周期中不断更新。
IT资产台账的数据结构可以包括实体、属性、关系、命名标准、生命周期阶段、IT资产台账和相关工具之间的接口、基于角色的访问等。数据结构应考虑有效地跟踪、标记、清点、监控和报告、与其他实践的集成和数据交换,以及职能部门之间的数据交换和合并。
由于跟踪非常依赖于技术,ITAM从业者应考虑开箱即用数据结构的约束、现有IT资产台账和ITSM工具的功能,以及服务配置管理、服务财务管理的现有命名和记录约定,还有供应商管理实践。数据存储库之间的对账密钥和数据同步规则对于在优化人工工作量的同时启用可信信息至关重要。数据结构还应定义媒体库和对硬件存储的支持。
如果IT资产台账是从头开始创建的,则现有数据(例如电子表格)应被组织起来,根据新的命名约定进行规范化,并上传到台账数据库。
为了维护IT资产台账,组织定期对所有IT资产进行库存检查,包括对本地设备的手动或半自动搜索,以及硬件商店和最终媒体库中IT资产库存的验证。
为了使IT资产台账保持最新状态,应建立规程,将获取的IT资产记录在台账中。数据可以从固定IT资产台账或服务财务管理实践提供的IT运营费用清单,IT资产采购订单,供应商发票以及交货/收据单中获取。最有效的方法是将IT资产注册更新嵌入到采购过程中。
2.2.5 IT资产类型
IT资产类型通常包括:
- 硬件,包括:
- 终端用户设备,如个人计算机、平板电脑、智能手机和SIM卡
- 网络和电信设备,如路由器、交换机、负载均衡、使用网络协议的视频会议和语音传输系统
- 数据中心硬件,如服务器、存储和备份系统以及不间断电源
- 重要的外围设备,如个人打印机、监控器、扫描仪和多功能打印系统
- 在各种环境中硬件和虚拟机上运行的软件(开发/集成、测试、准备、实时/生产、培训),如:
- 操作系统
- 中间件,如Web服务器、SSL证书、企业服务总线和数据库访问服务
- 个人和服务端的应用程序
- 云服务正在逐渐取代硬件和软件(取决于服务模型),包括:
- 基础设施即服务
- 平台即服务
- 软件即服务
- 数据
组织会受到数据泄漏、网络攻击和有关数据法规(如欧洲通用数据保护法规)的影响。因此,为了更好地应对这些挑战,组织可以选择将信息和数据作为IT资产进行管理。这可以通过以下方式完成:
- 管理包含数据的IT资产
- 应用ITAM程序来控制数据的生命周期
2.2.6 IT资产生命周期及其模型
定义: IT资产生命周期
IT资产生命周期包括从计划到处置的各个阶段。基于IT资产类型,生命周期由状态和状况过渡表示的各个阶段组成。
IT资产在其生命周期中经历了以下阶段:
- IT资产规划和预算编制
- IT资产收购
- IT资产分配(安装、迁移、添加、变更即IMAC)
- IT资产利用率优化
- IT资产停用
- IT资产处置。
2.2.6.1 IT资产规划
IT资产经理讨论利益相关者的需求,并根据市场和供应商的数据、价格和成本模型,规划获取IT资产的最佳方法。这是通过购买、升级、更换、订阅、租赁等方式实现的。这样就可以通过采购和财务来编制预算了。
2.2.6.2 IT资产采购
此活动由已批准的采购请求触发。ITAM负责人审核请求并检查资产的可用性。在短缺的情况下,他们将检查资产模型替换规则。如果无法提供资产,则进入采购流程。
负责IT资产采购的个人或团队采购资产。ITAM实践旨在确保对现有资产的最佳使用,获取和存储有关购买的所有文档。这包括与资产相关的合同(如许可证、运维、保修、支持)、发票、购买证明、权利、许可证密钥、维护激活信息等。文档可以存储在最终媒体库或任何其他安全位置,并参考它们及其在IT资产台账和/或内容管理数据库中的位置。
作为此阶段的结果,应提供经过验证的许可证购买/授权/服务订阅证明,以及根据IT资产台账中约定的模型,具有唯一标识和其他所需信息的IT资产记录。如果同意,IT资产应具有已记录的固定资产或交叉引用的费用项目。
2.2.6.3 IT资产分配
定义: IT资产分配
在IT资产消费/使用期间将IT资产的责任委派给IT资产消费者的行为。对于某些类型的IT资产,它们可以与相关的安装、迁移、添加、变更操作结合使用。
此活动包括为 IT资产分配操作(通常是 IMAC)。
资产分配通常由批准的资产分配请求或检测到的资产数据变更触发。负责人检查可用资产或符合条件的替代品是否有库存,然后按照资产分配程序操作。它可能受资产存量移动规则、自带设备(BYOD)策略或有关资产安装和使用的实用指南的约束,以简化成本、降低风险。
资产分配必须记录在IT资产台账中。在生命周期的此阶段获取IT资产信息至关重要,因为它减少了对专用验证工作(例如运行库存和审计)的需求。此外,此阶段提供了大多数监控数据,用于实施策略、确保控制和验证IT资产台账数据。
2.2.6.4 IT资产使用优化
资产使用优化需要了解合同和定价模型。此规程包括:
- 根据服务级别协议(SLA)调整硬件库存和授权以便于供应。
- 分析IT资产特性和合同,并提出最佳使用的实践指南。例如,调整数据库引擎或虚拟机的安装规格应以最小范围进行授权,按月调整已分配资产(如许可证、硬件和云实例)的计费,以鼓励在不再需要时停用它们等等。
- 使IT资产合同与SLA保持一致。
- 跟踪和评估IT资产变更的潜在影响。
- 与服务配置管理实践以及其他实践相结合,定义和跟踪 IT资产的依赖关系,并能够评估IT资产变更可能给服务带来的风险(例如更改相关合同、预算、合同条款、认证使用、政策或法规等)。
监控提供数据来优化资产使用,如不活动期、使用趋势、认证容量问题、计费趋势以及IT资产使用的其他任何方面。作为使用管理的一部分,ITAM从业人员应监控和操作IT资产关键日期,例如合同或支持终止、产品/模型过时、IT资产台账中的到期日期(许可证、贷款、SSL证书、保修、合同续订、校正等)。基于此监控,他们可以创建采购请求、资产停用或资产分配给服务请求管理或变更支持实践
2.2.6.5 IT资产停用
定义: IT资产停用
从消费者检索/回收IT资产的行为,特别是卸载(包括根据安全策略删除数据)和决定是否应将IT资产退回库存或处置的行为。
IT资产停用基本是由服务请求管理或实施变更引起的。其他原因可能包括贷款终止或资产保留、库存中标识的过时或无用的IT资产,或被盗/丢失的IT资产。在停用前,必须评估资产变更的影响,必须通过潜在的纠正措施验证停用条件,并确定这些资产是否会被重复使用还是进行处置。
停用应遵循生命周期模型中定义的政策和程序。停用时,应按照信息安全策略进行处理数据,在适用时,应恢复其授权以便重新使用。最后,应更新 IT资产台账。
2.2.6.6 IT资产处置
定义: IT资产处置
以适当且有文件记录的方式永久移除组织中不再使用的IT资产的行为。
正式的处置程序可以采取多种形式进行,具体取决于资产类型和获取方法。资产可以按照法规(例如,电子废物处理办法)出售、回收、赠送或销毁。
在处置期间,应终止与IT资产相关的任何合同或许可证(包括运维合同),应更新IT资产台账和相关财务数据。可以对仅连接到资产的最终媒体库(DML)内容进行存档。
2.2.6.7 IT资产生命周期模型
生命周期的每个阶段都需要不同的支持和控制活动以及不同类型的信息,具体取决于IT资产的类型。IT资产类型可作为创建IT资产管理方法和模型的基础。
定义: IT资产生命周期模型
详细描述组织针对特定IT资产类型定制的IT资产生命周期管理办法。
生命周期模型应基于IT资产类型定义IT资产处理的过程、约束和程序。
通常,每个IT资产类型都由专用IT资产生命周期模型支持。IT资产根据其功能分组到类型中。这包括,但不限于:
- 报告周期
- 财务意义
- 可感知水平(从非常有形的硬件设备,到无形的许可证、云计算能力、服务或订阅等)
- 位置(例如在实际办公场所、在同一办公场所或服务提供商的办公场所、云资源,自己服务器上的许可证等)
- 直接控制水平(例如位于具有受限访问的场所或同一位置的硬件盒、由自己的人员或由第三方支持团队管理的虚拟服务器)
- 寿命及折旧率
- IT资产固有的变更速率和变更所需的正式程度(例如,连续部署的在线应用程序订阅,三年发布周期操作系统,大型UPS箱或政府机构提供的某些密封设备)
- IT资产采购类型(例如,内部开发的应用程序,为项目定制和实施的授权应用程序、可预安装的授权应用程序、购买的硬件盒等)
- 库存和记录保持。
IT资产生命周期模型通常包括:
- IT资产利益相关方
- IT资产报告周期
- 依赖于IT资产的服务
- IT资产利用率最优化的技术和方法
- IT资产生命周期各阶段的控制和流程
- IT资产监控方法和步骤
- IT资产审计和盘点方法、约束和流程
- IMAC程序
- IT资产停用和处置方法、控制和流程
- 共享的支持和运维流程
- 共享的法律和合规性法规、政策和约束
- 标记和命名规范。
对于每个模型,应创建一组约束条件和流程,以帮助支持任何单个 IT资产的生命周期。
活动实施可能因 IT资产类型而异。例如:
- 软件的处置受许可协议的约束,而硬件的处置受电子废弃物管理条例的约束。
- 硬件或云服务的处置涉及安全删除包含在其中的数据,但不太可能涉及软件许可证。
表2.1描述了了处理不同类型的IT资产的区别。 表2.1处理不同类型IT资产的示例。
表2.1描述了了处理不同类型的IT资产的区别。 表2.1处理不同类型IT资产的示例。
IT资产生命周期类型和相应的模型也可以作为范围扩展单元。一个组织可以在两种IT资产类型(例如硬件设备和软件许可证)的有限范围内开始IT资产管理实践,然后通过添加其他IT资产生命周期模型来扩展范
2.2.7 验证和审计
为了向相关方提供有关IT资产的可靠数据,ITAM实践确保了IT资产数据的可用性和准确性。
该实践确保在生命周期的各个阶段,在IT资产台账中都能获取相关IT资产的数据。ITAM实践应确保尽早获取IT资产的迁移和变更。为此,IT资产迁移记录应尽可能自动化保存。捕获IT资产数据可改进IT注册数据的可靠性,减少了对验证的需求,但不会将其删除。
定义:验证
该活动可确保新的或变更的IT服务、流程、计划或其他交付物完整、准确、可靠,并符合其设计规范。
在ITAM实践中,验证是一项持续的活动,用于识别和校正IT资产台账数据与实际IT基础设施或来自IT资产、库存或发现的数据之间的偏差。
定义:盘点
为生成或验证IT资产台账数据而执行的数据收集和清理。
如果组织以前没有保留任何记录,那么发现就用于组织最初填写IT资产台账,或者查找一些未记录的其他IT资产。如果组织以前没有保留任何记录,那么发现即用于组织最初填写IT资产台账,或者查找一些未记录的其他IT资产。
定义:发现
组织中可能存在的IT资产的位置和标识,尤其是那些IT资产台账中没有记录的IT资产。
IT资产台账指示应该找到什么,而清单和发现会显示找到了什么。识别和解决应发现的内容与实际发现的内容之间的差距,验证(通常称为"对账")至关重要。这种对账可能:
- 触发对在组织网络中发现的未知组件的调查
- 帮助识别和删除用户已安装的未经批准的软件
- 帮助识别可能被盗或丢失的IT资产。
因此,必须极其谨慎地决定将IT资产台账的任何内容替换为清单或发现的数据,因为它可能导致完全失去控制,这是有风险的,因为清单和发现数据的接近程度可能错误地暗示其相关性。
拥有组织IT资产的有效信息,可能会对合规性产生重大影响。
定义:合规性
确保遵循一个标准或一套准则,或采取适当、一致的会计或其他做法的行为。
一些示例可能包含软件协议的合规性、电子废弃物处理和回收规定、金融法规和安全策略。
为保证合规性,组织可进行内部和外部审计。
定义:IT 资产审计
对组织的IT资产进行有计划、结构化和有文件记录的检查,包括内部和外部各方可能发起和支持的数据收集、检查、验证和改正活动。
审计是IT资产验证的工具之一。验证是一项持续的活动,审计是计划中的验证工作。
验证和审计应成为ITAM实践不可或缺的一部分,以确保 IT资产数据有效且可供利益相关者使用。
2.3 范围
对于所选择的IT资产类型,ITAM实践维护并提供:
- 有关组织拥有哪些可信任的数据,以便能够对其进行管理
- 根据政策和法规,并考虑到适用的成本和风险,适当处理IT资产的方法
- IT资产生命周期集成与其他实践的集成,以实现更高的效率和成本效益
有多个活动和责任领域未包含在ITAM 实践中,尽管他们仍然与ITAM密切相关。在某些情况下,ITAM依赖于这些活动。表2.2中列出了这些内容,并提供了可以找到它们的实践的参考。重要的是要记住,ITIL实践仅仅是在价值流环境中使用的工具集合,并且应视情况在需要时进行组合。
表2.2其他实践指南中描述的与ITAM实践有关的活动
2.4 实践成功因素
定义:实践成功因素
实践成功因素是一个复杂的实践功能组件,是实践实现其目的所必需的。
实践成功因素(PSF)不仅仅是一个任务或活动,因为它包括所有服务管理四维模型的组件。活动和实践内PSF资源的性质可能不同,但是它们共同确保实践是有效的。
ITAM实践包括以下实践成功因素:
- 确保组织在其整个生命周期中拥有与其IT资产相关的信息
- 确保持续监控和优化IT资产的使用。
2.4.1 确保组织在其整个生命周期中拥有与其IT资产相关的信息
ITAM实践的重点是"IT资产记录保持";例如,确保捕获、维护相 IT资产信息,并在需要时提供给利益相关方。
根据利益相关方对不同类型的IT资产信息的要求,可以识别IT资产生命周期模型。
生命周期模型定义在IT资产生命周期的每个阶段应捕获、记录哪些信息并将其报告给利益相关方。表 2.3 显示了两种 IT资产类型的示例。
表 2.3 IT资产类型示例
对于某些IT资产类型,组织可能会决定将IT资产生命周期管理活动包括在该实践范围内,例如采购、库存管理或运输。其他人更愿意将其范围限制在IT资产记录保存上,而将相关的物理活动保留在其他实践(包括供应商管理、基础设施和平台管理以及部署管理实践等)的范围内。
关键信息
IT资产信息应与组织的需求有关。将所有可用的数据包含在IT资产台账中或盲目遵循出版物或其他组织的示例没有任何好处。ITAM实践只有在其提供的信息准确,最新,可靠,可理解,易于使用且相关时才有价值。即使是高质量的数据,如果与组织的需求不相关,那也没有用。仔细选择相关数据和最佳的数据维护方法是组织ITAM的关键组成部分。
2.4.1.1 与相关实践协同管理整个生命周期中的所有IT资产
收集、管理和提供IT资产信息的活动不是单独执行的。与此相反,大多数相关活动是在组织的价值流的环境中执行的,涉及许多其他实践。在价值流环境中工作,人们通常不区分他们应用的实践。来自变更支持、IT资产管理和服务配置管理实践的建议和流程可以在一个实际操作中使用,例如重新定位设备。重要的是确保ITAM实践的相关要素包含在组织的价值流中,并始终如一地按照组织的ITAM方法应用。
根据"优化和自动化"的指导原则,例行公事任务(发现、库存、利用率、数据差距分析)应进行优化和自动化,以优化工作负载和IT资产使用(未充分利用的IT资产称为休眠资产)。
根据"保持简单实用"的指导原则,实践不应作为官僚控制体系来执行。相反,它应该以方便和有用的形式向消费者和服务提供商提供充分和有价值的IT资产信息,从而使他们的日常工作更加轻松。此信息的提供通常涉及作为其他实践(包括供应商管理、服务台和服务目录管理实践等)管理的部分渠道。实践的有效整合对于IT资产信息消费者获得积极体验至关重要。
2.4.1.2 确保IT资产和相关信息得到保护和遵守
应努力确保IT资产的数据是最新的、受保护的,并且符合政策、法律法规和协议。应持续对IT资产执行验证和定期内部审计,以确保IT资产数据符合要求。内部验证和审计有助于尽可能减少外部审计对财务、业务、心理和其他方面的影响,尤其是在内部流程遵循相同或类似的方法时。
应确定证明IT资产符合合同、法规和策略(特别是安全策略)的必要证据。
ITAM实践应该有助于保护组织免受被盗、丢失或误用IT资产的影响,例如安全的库存设施、快速检测丢失的IT资产、有关处理、使用和处置IT资产的最佳方式的实践指南等等。