ITIL 4官方核心著作
文档更改4.高速IT技术
由 superadmin 于 2024/04/03, 17:15 最后修改
复制
导出
打印预览
查看源代码
子项
内容
评论
附件 (62)
历史记录
信息
修改评论
该版本没有评论
Summary
Details
-
Page properties
-
- Content
-
... ... @@ -722,30 +722,11 @@ 722 722 723 723 表4.15 与混沌工程相关的实践 724 724 725 -(% style="width:912px" %) 726 -|**ITIL管理实践**|(% style="width:677px" %)**与混沌工程相关的活动/资源**|(% style="width:97px" %)**影响** 727 -|持续改进|(% style="width:677px" %)使用混沌工程作为提高服务质量的最有效工具之一。|(% style="width:97px" %)H 728 -|基础架构管理|(% style="width:677px" %)设计基础架构和平台,以提供足够的弹性和冗余来处理混乱的工程工具导致的意外中断。为混乱的工程提供有关服务组件和备份活动的信息。|(% style="width:97px" %)H 729 -|服务连续性管理|(% style="width:677px" %)设计具有足够弹性和冗余性的服务连续性措施,以应对混乱的工程工具导致的意外中断。 持续监控弹性的连续性计划,措施和机制。|(% style="width:97px" %)H 730 -|服务级别管理|(% style="width:677px" %)在设计和运行测试时,必须考虑业务连续性策略,服务水平协议以及为服务降级建立的明确标准,以防人为破坏超过可接受的水平。|(% style="width:97px" %)H 731 -|软件开发管理|(% style="width:677px" %)混沌工程工具本身就是需要开发(或配置)和管理的软件应用程序。软件的设计和架构应具有足够的弹性和冗余性。|(% style="width:97px" %)H 732 -|架构管理|(% style="width:677px" %)((( 733 -通过混乱的工程促进弹性基础设施的建设。 725 +[[image:1641702469032-780.png]] 734 734 735 -考虑服务和组件之间的交互以支持需求。 736 -)))|(% style="width:97px" %)M 737 -|容量与性能管理|(% style="width:677px" %)运行此类测试时,应捕获性能信息。因此,应确定改进措施,以确保为最佳性能,可伸缩性和容量设计服务。|(% style="width:97px" %)M 738 -|事件管理|(% style="width:677px" %)团队可以使用混乱的工程工具练习响应故障并从中断中恢复。他们必须准备好在不影响用户的情况下管理事件。冗余和自动化应内置于流程中。|(% style="width:97px" %)M 739 -|度量与报告|(% style="width:677px" %)混沌工程测试涉及实验和假设,将有助于收集和分析数据以进行计划和预测。结果支持连续性业务战略。|(% style="width:97px" %)M 740 -|监控与事态管理|(% style="width:677px" %)可以设置监视和事态管理工具来标记由混乱的工程工具策划的中断,或者监视服务质量而不是技术组件。|(% style="width:97px" %)M 741 -|组织变革管理|(% style="width:677px" %)混沌工程将有助于确保在现场环境中的契动与合作。|(% style="width:97px" %)M 742 -|问题管理|(% style="width:677px" %)通过引入随机失效并寻找服务/组件中的潜在缺陷来主动检测问题。从混乱的工程工具中收集的数据可以帮助识别需要调查和修复的潜在问题。|(% style="width:97px" %)M 743 -|服务配置管理|(% style="width:677px" %)CMDB和代码存储库应具有高可用性和准确的信息(与服务连续性管理定义的恢复点目保持一致),以帮助组织从中断中快速恢复。|(% style="width:97px" %)M 744 -|服务设计|(% style="width:677px" %)混沌工程测试原理可以帮助架构师设计更具弹性的系统并改进用户体验。|(% style="width:97px" %)M 745 -|服务台|(% style="width:677px" %)必须将有关测试的情况通知服务台团队,并准备好在不影响用户的情况下管理事件。|(% style="width:97px" %)M 746 -|服务验证与测试|(% style="width:677px" %)混沌工程测试原理可以帮助评估服务的可靠性。架构师应专注于服务中断。|(% style="width:97px" %)M 747 -|风险管理|(% style="width:677px" %)通过使用混乱的工程工具和方法来提高组织的弹性和健壮性,可以减轻某些类型的组织风险。|(% style="width:97px" %)L 727 +[[image:1641702487237-876.png]] 748 748 729 + 749 749 ITIL故事:混沌工程 750 750 751 751 //Radhika:我们需要测试该应用程序的弹性。例如,如果成员资格功能停止工作会怎样?客户仍然可以预定汽车?预订是否仍可以追溯分配到他们的账户?// ... ... @@ -798,26 +798,11 @@ 798 798 799 799 表4.16 与“完成”定义相关的实践 800 800 801 -(% style="width:777px" %) 802 -|**ITIL管理实践**|(% style="width:601px" %)**与“完成”定义相关的活动/资源**|(% style="width:70px" %)**影响** 803 -|可用性管理|(% style="width:601px" %)新服务或变更服务的详细功效要求应与利益干系人协商并达成协议。|(% style="width:70px" %)H 804 -|容量与性能管理|(% style="width:601px" %)完成清单的定义必须考虑容量需求,需求预测以及管理业务和客户期望的性能。|(% style="width:70px" %)H 805 -|变更控制|(% style="width:601px" %)变更支持活动可以围绕完成的定义来组织;例如,使用发布管理或部署管理创建边界。|(% style="width:70px" %)H 806 -|持续改进|(% style="width:601px" %)完成的定义可用于范围和结构持续改进活动,并检查是否已实现结果。|(% style="width:70px" %)H 807 -|部署管理|(% style="width:601px" %)部署管理活动可以围绕完成的定义来组织;例如,使用发布管理创建边界。将发行版移至实际环境时,团队应验证支持的交付成果是否完整:应接受所有要求,用户案例和测试。|(% style="width:70px" %)H 808 -|事件管理|(% style="width:601px" %)事件管理活动可以围绕完成的定义来组织;例如,建立问题管理的界限。|(% style="width:70px" %)H 809 -|信息安全管理|(% style="width:601px" %)应该考虑安全测试,例如漏洞,渗透或策略合规性在针对弹性产品和服务的完成定义中。|(% style="width:70px" %)H 810 -|项目管理|(% style="width:601px" %)项目任务或输出可以使用以下定义定义成功或完成标准:完成的方法。|(% style="width:70px" %)H 811 -|发布管理|(% style="width:601px" %)发布管理活动可以围绕完成的定义进行组织;例如,创建具有变更支持或部署管理的边界。发行必须设计为符合业务,客户和用户的期望。这很重要,评估每个版本以验证它满足用户需求和要求。|(% style="width:70px" %)H 812 -|服务级别管理|(% style="width:601px" %)完成的定义可以阐明提供者和消费者的服务行为,并且可以用作根据预期性能监视实际性能的基础。|(% style="width:70px" %)H 813 -|服务请求管理|(% style="width:601px" %)服务请求管理活动,例如记录或满足请求,可以是使用完成方法的定义进行结构化。|(% style="width:70px" %)H 814 -|服务验证与测试|(% style="width:601px" %)可以围绕完成的定义来组织测试活动,以确保多种类型测试进行。|(% style="width:70px" %)H 815 -|软件开发管理|(% style="width:601px" %)可以开发(或配置)软件以满足部署之前完成的定义进入实时环境,确保代码易于理解,可维护并且随时可以支持未来的变化。|(% style="width:70px" %)H 816 -|业务分析|(% style="width:601px" %)保修和实用程序的功效和功用要求必须记录在为了满足客户的需求和期望。|(% style="width:70px" %)M 817 -|服务设计|(% style="width:601px" %)完成的定义应以客户为中心,以简化设计方法采用并确保服务将可维护且具有成本效益。|(% style="width:70px" %)M 818 -|服务目录管理|(% style="width:601px" %)发行新功能,产品或服务时,服务目录必须被更新。|(% style="width:70px" %)L 819 -|服务台|(% style="width:601px" %)在完成的定义中指定质量属性,以便开发和支持团队可以在早期阶段考虑他们。|(% style="width:70px" %)L 782 +[[image:1641702547499-544.png]] 820 820 784 +[[image:1641702577206-162.png]] 785 + 786 + 821 821 **ITIL故事:完成定义** 822 822 823 823 //Su:该应用程序的交付团队包括来自Alxe汽车租赁部门许多部门人员,当开发人员移交工作代码时,对完成传统定义并不是最有效或最准确的。我们要保证该应用程序的弹性、功效、可维护性、功用和可用性。对我们来说,“完成“是指:// ... ... @@ -872,19 +872,9 @@ 872 872 873 873 表4.17 与版本控制相关的实践 874 874 875 -(% style="width:890px" %) 876 -|**ITIL管理实践**|(% style="width:689px" %)**与版本控制相关的活动/资源**|(% style="width:91px" %)**影响** 877 -|部署管理|(% style="width:689px" %)使用版本控制的存储库来部署新的或变更的服务组件,或者返回以前的版本。|(% style="width:91px" %)H 878 -|信息安全管理|(% style="width:689px" %)通过标记易受攻击的版本来解决或消除信息安全风险服务组件。|(% style="width:91px" %)H 879 -|基础设施管理|(% style="width:689px" %)基础架构组件,配置设置以及虚拟和物理基础架构可以使用版本控制的存储库正式存储和管理组件。|(% style="width:91px" %)H 880 -|服务配置管理|(% style="width:689px" %)CMDB可以联合在一起,利用版本控制的代码存储库,基础架构即代码配置文件,甚至是物理设备和其他硬件的存储。办理登机手续应该每天发生多次,并且应该管理环境规范和版本化。|(% style="width:91px" %)H 881 -|软件开发管理|(% style="width:689px" %)代码,甚至其他软件组件的配置设置都可以正式使用版本控制的存储库来管理软件输出开发和管理工作。|(% style="width:91px" %)H 882 -|持续改进|(% style="width:689px" %)创建当前环境的基线,并在改进完成后更新基线。|(% style="width:91px" %)M 883 -|事件管理|(% style="width:689px" %)使用版本控制的软件或硬件组件存储库来解决一个事件。|(% style="width:91px" %)M 884 -|知识管理|(% style="width:689px" %)服务版本时更新知识库并传达信息组件发生变化。|(% style="width:91px" %)M 885 -|服务连续性管理|(% style="width:689px" %)了解服务组件新版本的影响;并且如果可行,将它们传播到服务连续性和灾难恢复计划中。|(% style="width:91px" %)M 886 -|服务请求管理|(% style="width:689px" %)使用版本控制的软件或硬件组件存储库来快速满足要求。|(% style="width:91px" %)M 841 +[[image:1641702628320-774.png]] 887 887 843 + 888 888 **ITIL故事:版本控制** 889 889 890 890 //Marco:我们实行持续集成和持续交付,我们利用版本控制系统地记录我们发布的应用程序的每次迭代,如果发布不稳定,我们可以通过将服务返回到先前的稳定版本来快速还原该服务。// ... ... @@ -922,21 +922,9 @@ 922 922 923 923 表4.18 与AIOps相关的实践 924 924 925 -(% style="width:904px" %) 926 -|(% style="width:99px" %)**ITIL管理实践**|(% style="width:724px" %)**与AIOps相关的活动/资源**|(% style="width:77px" %)**影响** 927 -|(% style="width:99px" %)容量与性能管理|(% style="width:724px" %)AIOps提供了识别模式和异常,确定资产的容量和利用率以及规划未来产品或服务的容量能。|(% style="width:77px" %)H 928 -|(% style="width:99px" %)事件管理|(% style="width:724px" %)事件管理数据可受益于AIOps工具提供的高度自动化的功能,这些功能可增强手动工作。使用从不同系统合并的上下文预先分析的数据解决关联事件。|(% style="width:77px" %)H 929 -|(% style="width:99px" %)基础架构管理|(% style="width:724px" %)AIOps工具可以自动执行基础结构和平台资源的大部分日常管理。|(% style="width:77px" %)H 930 -|(% style="width:99px" %)监控与事态管理|(% style="width:724px" %)AIOps工具可以帮助关联来自多个监视工具的大量数据集。他们可以更好地理解IT环境。 AIOps通过一组集成的业务和运营指标来实现价值共创,从而降低了运营事态或事件的发生频率,因为它们是可以预测和预防的。AIOps通过替换以筒仓为中心的IT监视工具,并监视价值流中所有层的应用程序的运行状况和性能,来帮助优化IT并降低IT成本。|(% style="width:77px" %)H 931 -|(% style="width:99px" %)变更控制|(% style="width:724px" %)AIOP支持在每个设备级别可视化依赖项详细信息。|(% style="width:77px" %)M 932 -|(% style="width:99px" %)IT资产管理|(% style="width:724px" %)AIOps可以收集具有逻辑和物理属性的动态库存信息。|(% style="width:77px" %)M 933 -|(% style="width:99px" %)度量与报告|(% style="width:724px" %)AIOps为度量提供数据,以评估性能和法规遵从性。它还有助于自动执行报告任务。|(% style="width:77px" %)M 934 -|(% style="width:99px" %)问题管理|(% style="width:724px" %)来自AIOps工具的信息可以帮助识别和调查问题和错误,以及自动化和监视规避措施的应用。们还可以基于预处理和合并的数据来帮助主动检测问题。|(% style="width:77px" %)M 935 -|(% style="width:99px" %)服务配置管理|(% style="width:724px" %)AIOps数据可用于检测配置项的变更,从而帮助识别未经授权的变更。|(% style="width:77px" %)M 936 -|(% style="width:99px" %)服务台|(% style="width:724px" %)来自AIOps工具的信息可以支持与外部利益干系人的互动。AIOps可帮助组织在问题发生主动进行计划,发现问题及其业务影响。AIOps还可以根据合并的数据和已识别的趋势对用户查询进行明智的分类。|(% style="width:77px" %)M 937 -|(% style="width:99px" %)劳动力和人才管理|(% style="width:724px" %)在整个IT团队中实施AIOps故障孤岛的组织可以使经验不足的员工提高生产力,发展技能和效率。|(% style="width:77px" %)M 938 -|(% style="width:99px" %)知识管理|(% style="width:724px" %)IT流程,运营,性能结果和数据处理算法的知识的组合支持关键的业务功能。|(% style="width:77px" %)L 881 +[[image:1641702718413-352.png]] 939 939 883 + 940 940 **ITIL故事:AIOps** 941 941 942 942 Radhika::成千上万的客户使用该应用程序并租用我们的车辆。这些转换会产生大量数据,这是有关客户需求的丰富信息来源。 ... ... @@ -976,18 +976,9 @@ 976 976 977 977 表4.19 与ChatOps相关的实践 978 978 979 -(% style="width:923px" %) 980 -|**ITIL管理实践**|(% style="width:743px" %)**与ChatOps相关的活动/资源**|(% style="width:95px" %)**影响** 981 -|服务台|(% style="width:743px" %)与用户进行沟通和协调,以更好地管理事件和请求。|(% style="width:95px" %)H 982 -|变更控制|(% style="width:743px" %)在管理服务变更的所有团队之间进行沟通和协调和服务组件。一些ChatOps工具可以与其他IT和服务集成管理工具。ChatOps提供了与用户和团队进行沟通的渠道成员了解新服务或变更的服务,从而人性化工作方式。|(% style="width:95px" %)M 983 -|持续改进|(% style="width:743px" %)实现持续改进计划的目标,以改进沟通与协调团队之间。|(% style="width:95px" %)M 984 -|部署管理|(% style="width:743px" %)在参与部署新的或变更的所有团队之间进行沟通和协调服务组件。一些ChatOps工具可以与部署工具集成。|(% style="width:95px" %)M 985 -|事件管理|(% style="width:743px" %)在外部利益干系人与参与其中的各个团队之间进行沟通和协调事件管理活动。一些ChatOps工具可以与其他IT和服务集成管理工具。ChatOps帮助IT团队进行支持活动,例如注册和诊断,从而减少响应时间并消除重复的任务。|(% style="width:95px" %)M 986 -|知识管理|(% style="width:743px" %)在聊天日志中搜索非结构化知识。获取知识并确定按计划或预期提供服务的要求。收集反馈以支持持续改进。|(% style="width:95px" %)M 987 -|问题管理|(% style="width:743px" %)运行根本原因分析和回顾。|(% style="width:95px" %)M 988 -|发布管理|(% style="width:743px" %)在管理服务变更的所有团队之间进行沟通和协调。|(% style="width:95px" %)M 989 -|风险管理|(% style="width:743px" %)以可搜索的格式存储数据和信息。|(% style="width:95px" %)L 923 +[[image:1641702752724-340.png]] 990 990 925 + 991 991 === 4.3.7 站点可靠性工程 === 992 992 993 993 **定义:站点可靠性工程** ... ... @@ -1030,29 +1030,9 @@ 1030 1030 1031 1031 表4.20 与SRE相关的实践 1032 1032 1033 -(% style="width:840px" %) 1034 -|**ITIL管理实践**|(% style="width:707px" %)**与SRE相关的活动/资源**|(% style="width:51px" %)**影响** 1035 -|可用性管理|(% style="width:707px" %)使用SRE技术和工具来改进系统的可见性,以便判断服务运行状况和诊断问题。跟踪“技术性” MTBF和(更重要的是)MTRS指标,例如用户中断时间,丢失的转换数量,丢失的业务价值和用户满意度。使用错误预算来平衡服务的可靠性和创新。|(% style="width:51px" %)H 1036 -|容量与性能管理|(% style="width:707px" %)使用SRE技术和工具来改进系统的可见性,以便判断服务运行状况和诊断问题。监控系统和已定义的SLO必须加以考虑和衡量。改进监视功能,以便在出现问题时更好地了解系统。|(% style="width:51px" %)H 1037 -|变更控制|(% style="width:707px" %)使用SRE技术和工具来启用对服务组件的变更以及失败变更的回滚。|(% style="width:51px" %)H 1038 -|事件管理|(% style="width:707px" %)使用SRE技术和工具来管理基础架构或平台层中的事件。|(% style="width:51px" %)H 1039 -|基础架构管理|(% style="width:707px" %)使用SRE技术和工具来帮助架构师和设计基础架构和平台功能以满足组织的需求。|(% style="width:51px" %)H 1040 -|监控和事态管理|(% style="width:707px" %)使用SRE技术和工具来改进系统的可见性,以便判断服务运行状况和诊断问题。|(% style="width:51px" %)H 1041 -|问题管理|(% style="width:707px" %)((( 1042 -来自SRE工具的数据可帮助识别问题,确保通过使用自动化快速应用规避措施。 968 +[[image:1641702861765-733.png]] 1043 1043 1044 -自动化IT流程可提高弹性并减少工作量。 1045 1045 1046 -回顾。 1047 -)))|(% style="width:51px" %)H 1048 -|服务设计|(% style="width:707px" %)在设计阶段进行SRE协作可以防止在生产后期出现各种问题或事件。尽管可以在开发生命周期的后期撤消或纠正设计决策,但这种变更付出了高昂的努力成本和复杂性。|(% style="width:51px" %)H 1049 -|软件开发管理|(% style="width:707px" %)向SRE团队提供要求并根据反馈采取行动。|(% style="width:51px" %)H 1050 -|部署管理|(% style="width:707px" %)部署过程应与服务设计中描述的风险过程保持一致。|(% style="width:51px" %)M 1051 -|组织变革管理|(% style="width:707px" %)SRE团队的核心职责是为团队快速创新做好准备。|(% style="width:51px" %)M 1052 -|发布管理|(% style="width:707px" %)借助SRE,用于发布软件的技术已应用于数字化基础架构。|(% style="width:51px" %)M 1053 -|服务配置管理|(% style="width:707px" %)借助SRE,可以将自动发现和版本控制应用于基础架构组件。|(% style="width:51px" %)M 1054 -|服务验证与测试|(% style="width:707px" %)对于SRE中的发布工程,建议连续的构建测试目标与确定项目发布的相同测试目标相对应。|(% style="width:51px" %)M 1055 - 1056 1056 **ITIL故事:站点可靠性工程** 1057 1057 1058 1058 // Su:我们添加到应用程序的功能越多,它变得越复杂,其中的代码失败的可能性就越大。失败是任何软件平台都不可避免的功能。应用失败的方式可以教会我们如何对其进行重新校准以使其更具弹性。// ... ... @@ -1110,31 +1110,9 @@ 1110 1110 1111 1111 表4.21 与服务体验相关的实践 1112 1112 1113 -(% style="width:977px" %) 1114 -|**ITIL管理实践**|(% style="width:719px" %)**与服务体验相关的活动/资源**|(% style="width:83px" %)**影响** 1115 -|业务分析|(% style="width:719px" %)除了关于功用和功效的传统要求之外,了解用户需求并将其转化为客户体验或用户体验要求。|(% style="width:83px" %)H 1116 -|服务目录管理|(% style="width:719px" %)从技术和体验方面描述服务和产品。|(% style="width:83px" %)H 1117 -|服务设计|(% style="width:719px" %)表达客户体验和用户体验的需求超出了基本体验。|(% style="width:83px" %)H 1118 -|服务台|(% style="width:719px" %)((( 1119 -善解人意并拥有情绪智力,以了解用户的体验需求。 1028 +[[image:1641702908935-105.png]] 1120 1120 1121 -让用户选择沟通渠道。 1122 1122 1123 -服务经验需要技术和信息支持者,例如自助服务工具,在线门户,移动应用程序,呼叫中心工具和聊天。 1124 - 1125 -使用用户满意度作为KPI。 1126 - 1127 -评估用户体验,同时选择与用户进行双向通信的工具。 1128 - 1129 -收集服务体验数据(用户对服务满意/不满意的粗略估计)。 1130 -)))|(% style="width:83px" %)H 1131 -|服务水平管理|(% style="width:719px" %)促进对服务消费者的心理和服务交互对消费者的(情感)影响的良好理解。|(% style="width:83px" %)H 1132 -|软件开发管理|(% style="width:719px" %)所需的服务体验会通知用户界面的设计。|(% style="width:83px" %)H 1133 -|监控与事态管理|(% style="width:719px" %)除技术监视和事态管理之外,还开发和配置工具和技术以监视服务体验和相关事态。|(% style="width:83px" %)M 1134 -|关系管理|(% style="width:719px" %)善解人意,在情感上能够理解消费者的体验需求。|(% style="width:83px" %)M 1135 -|服务验证与测试|(% style="width:719px" %)开发和维护服务体验测试。|(% style="width:83px" %)M 1136 -|供应商管理|(% style="width:719px" %)基于主观和客观协议来参与和管理供应商。|(% style="width:83px" %)M 1137 - 1138 1138 **ITIL故事:服务体验** 1139 1139 1140 1140 //Su:在Axle汽车租赁公司,业务与IT之间没有鸿沟。开发团队协作以提供可响应客户需求的服务体验。我们使用应用程序和车辆中的数据来指导服务的优化和自动化。该应用程序是可定制的,因此用户可以根据自己的需求优化服务。// ... ... @@ -1181,18 +1181,9 @@ 1181 1181 1182 1182 表4.22 DevOps审计防御工具包与之相关的实践 1183 1183 1184 -(% style="width:968px" %) 1185 -|**ITIL管理实践**|(% style="width:650px" %)**与DevOps审计防御工具包相关的活动/资源**|(% style="width:97px" %)**影响** 1186 -|持续改进|(% style="width:650px" %)审核提供了正式注册,确定优先级和进行管理的新信息或改进机会。|(% style="width:97px" %)H 1187 -|信息安全管理|(% style="width:650px" %)在产品生命周期中设计和实施控制措施,以提供广泛的可追溯性和联合责任制。|(% style="width:97px" %)H 1188 -|监控与事态管理|(% style="width:650px" %)合并性能和事态数据的运营数据仓库提供了丰富的信息库,以审核控制的实施和性能。|(% style="width:97px" %)H 1189 -|服务配置管理|(% style="width:650px" %)标准化配置可支持安全性和审核要求。|(% style="width:97px" %)H 1190 -|知识管理|(% style="width:650px" %)使员工和其他主要利益干系人可以访问相关政策文档和以前的审核报告。|(% style="width:97px" %)M 1191 -|风险管理|(% style="width:650px" %)在企业风险管理,技术风险管理和新的工作方式之间创建一种平衡,实用的方法。|(% style="width:97px" %)M 1192 -|劳动力和人才管理|(% style="width:650px" %)培训员工的义务和义务,以确保他们遵守所有相关政策和法规。|(% style="width:97px" %)M 1193 -|业务分析|(% style="width:650px" %)将审核结果和建议的补救措施纳入产品积压。|(% style="width:97px" %)L 1194 -|战略管理|(% style="width:650px" %)将定期的外部或内部审核合并到服务的路线图中,以提供对服务的独立管理。|(% style="width:97px" %)L 1077 +[[image:1641702956598-898.png]] 1195 1195 1079 + 1196 1196 === 4.5.2 开发安全 === 1197 1197 1198 1198 大多数组织都有专门的信息安全团队,该团队执行风险评估并定义策略,规程和控制。在高速环境中,信息安全已尽可能集成到开发和运营的日常工作中,并将对过程控制的依赖转移到验证前提条件(例如员工的专业知识和完整性)上。安全员的角色从“维持治安”转变为使其他人能够采取必要措施。 ... ... @@ -1246,48 +1246,11 @@ 1246 1246 1247 1247 表4.23 与DevSecOps相关的实践 1248 1248 1249 -(% style="width:909px" %) 1250 -|**ITIL管理实践**|(% style="width:690px" %)**与DevSecOps相关的活动/资源**|(% style="width:75px" %)**影响** 1251 -|持续改进|(% style="width:690px" %)安全控制和策略的改进可以成为开发和运营团队纳入的学习和反馈的一部分。|(% style="width:75px" %)H 1252 -|信息安全管理|(% style="width:690px" %)在开发生命周期中设计和实施控件,以提供广泛的可追溯性和联合责任制。将信息安全职责整合到从业者的日常工作中。|(% style="width:75px" %)H 1253 -|监控与事态管理|(% style="width:690px" %)配置监视工具以连续扫描威胁和漏洞,以便可以将其升级为适当的团队。|(% style="width:75px" %)H 1254 -|变更控制|(% style="width:690px" %)实施预防性控制会自动要求安全管理人员进行预授权,然后开发人员才能根据某些定义的标准进行某些类型的生产数据编辑,包括他们有权使用的功能。|(% style="width:75px" %)M 1255 -|部署管理|(% style="width:690px" %)((( 1256 -安全管理提供有关关键证书管理,CD管道安全检查,容器安全,自动渗透测试以及数据和性能监视的指南。 1133 +[[image:1641703051758-407.png]] 1257 1257 1258 -信息安全管理和风险管理应该是从业者日常工作的组成部分。 1259 -)))|(% style="width:75px" %)M 1260 -|知识管理|(% style="width:690px" %)使员工和其他主要利益干系人可以访问相关的政策文档。|(% style="width:75px" %)M 1261 -|风险管理|(% style="width:690px" %)((( 1262 -在企业风险管理,技术风险管理和新的工作方式之间创建一种平衡,实用的方法。 1135 +[[image:1641703070463-409.png]] 1263 1263 1264 -在变更IT服务时,确定并消除对外部团队/团队的依赖,这可能涉及将批准权限委派给团队的产品/交付经理。 1265 1265 1266 -投资具有定义和集成控制的过程自动化(例如CI / CD),以执行职责分离的要求。除此之外,采用独立的第三方合规软件可以中止部署的生产,直到获得批准为止。 1267 - 1268 -详细说明供应商合同中的要求和风险控制措施,以支持职责整合,并守组织的安全策略。 1269 - 1270 -进行价值流映射,以识别和最小化流程移交和批准。 1271 -)))|(% style="width:75px" %)M 1272 -|服务验证与测试|(% style="width:690px" %)测试数据管理是帮助确保持续稳定性,可靠性,可用性和安全性的关键元素。|(% style="width:75px" %)M 1273 -|战略管理|(% style="width:690px" %)整合职责以平衡法规要求和执行速度。|(% style="width:75px" %)M 1274 -|劳动力和人才管理|(% style="width:690px" %)在如何将安全性纳入开发和运营工作方面,对员工和其他相关利益干系人进行培训和辅导。|(% style="width:75px" %)M 1275 -|业务分析|(% style="width:690px" %)((( 1276 -了解内部和外部环境中的安全策略,标准,风险,潜在威胁和漏洞,并将其转化为开发和运营团队的要求。 1277 - 1278 -将安全要求纳入产品积压中。 1279 -)))|(% style="width:75px" %)L 1280 -|基础架构管理|(% style="width:690px" %)((( 1281 -安全管理可以通过有关安全标准和培训,隐私审查,威胁建模,凭证管理和数据安全的指南来增强基础架构和平台管理(尤其是在将基础架构用作代码时)。 1282 - 1283 -信息安全管理和风险管理应该是从业者日常工作的组成部分。 1284 -)))|(% style="width:75px" %)L 1285 -|软件开发管理|(% style="width:690px" %)((( 1286 -通过有关安全编码标准和培训,隐私审查,威胁建模,代码分析,源代码和凭证管理以及数据安全性的指南来增强软件开发。 1287 - 1288 -信息安全管理和风险管理应该是从业者日常工作的组成部分。 1289 -)))|(% style="width:75px" %)L 1290 - 1291 1291 //ITIL故事:DevSecOps// 1292 1292 1293 1293 //Henri:数据的完整性和安全性是Axle汽车租赁团队工作方式的基础。快速工作以高节奏提供新的应用程序功能时,存在引入安全漏洞的风险,这些漏洞可能会被利用。// ... ... @@ -1328,19 +1328,11 @@ 1328 1328 1329 1329 表4.24 在不同的同行评审方法中的活动 1330 1330 1331 -|(% rowspan="2" %)**评审方法**| | |**活动**| | 1332 -|**规划**|**准备**|**讨论**|**改进**|**验证** 1333 -|检查|是|是|是|是|是 1334 -|团队审查|是|是|是|是|无 1335 -|演练|是|无|是|是|无 1336 -|结对编程|是|无|连续|是|是 1337 -|((( 1338 -同行检查 1178 +[[image:1641703105916-225.png]] 1339 1339 1340 -传送 1341 -)))|无|是|可能|是|无 1342 -|临时审查|无|无|是|是|无 1343 1343 1181 +图4.28显示了同行评审对服务价值链的贡献。 1182 + 1344 1344 (% style="text-align:center" %) 1345 1345 [[image:1639569697056-454.png]] 1346 1346 ... ... @@ -1349,27 +1349,9 @@ 1349 1349 1350 1350 表4.25 与同行评审相关的实践 1351 1351 1352 -(% style="width:919px" %) 1353 -|**ITIL管理实践**|(% style="width:622px" %)**与同行评审相关的活动/资源**|(% style="width:104px" %)**影响** 1354 -|风险管理|(% style="width:622px" %)((( 1355 -减少未经授权的变更被开发并发布到生产中的风险。 1191 +[[image:1641703160673-370.png]] 1356 1356 1357 -在识别和评估风险之间进行交叉检查。 1358 -)))|(% style="width:104px" %)H 1359 -|软件开发管理|(% style="width:622px" %)检查同级之间的开发工作以提高代码质量,以确保其有效满足需求和性能期望。|(% style="width:104px" %)H 1360 -|变更控制|(% style="width:622px" %)((( 1361 -同事通过对标准或低风险变更进行同行评审来充当变更权限。 1362 1362 1363 -通过同行评审或对变更请求的初步评估来授权进行某些变更。 1364 -)))|(% style="width:104px" %)M 1365 -|持续改进|(% style="width:622px" %)审查作为持续改进计划一部分而完成的工作,以帮助提高所取得成果的质量。|(% style="width:104px" %)M 1366 -|基础架构管理|(% style="width:622px" %)检查基础架构和平台组件以提高其质量。|(% style="width:104px" %)M 1367 -|知识管理|(% style="width:622px" %)查看知识文章和类似文档可帮助消除偏见并提高整个组织的沟通质量。|(% style="width:104px" %)M 1368 -|问题管理|(% style="width:622px" %)审查规避措施并提出对错误的修正,以提高其质量。|(% style="width:104px" %)M 1369 -|架构管理|(% style="width:622px" %)对技术架构的拟议变更进行演练,以确保变更与商定的蓝图和路线图保持一致。|(% style="width:104px" %)L 1370 - 1371 -图4.28显示了同行评审对服务价值链的贡献。 1372 - 1373 1373 表4.25概述了同行评审相关的实践。 1374 1374 1375 1375