24 IT资产管理实践
申明:
本系列ITIL 4实践中文版本由ITIL先锋论坛专家委员会组织翻译,国内众多从事ITIL理论推广及落地实践的专家们参与,需要下载最新翻译版本请关注微信公众号:ITILXF,也可访问ITIL4中文知识库网站:itil4hub.cn。
请注意,ITIL先锋论坛专家团队仅仅只是进行了这些著作的语种转换工作,我们并不拥有包括原著以及中文发行文件的任何版权,所有版权均为Axoles持有,读者在使用这些文件(含本中文翻译版本)时需完全遵守AXELOS 和 TSO所申明的所有版权要求。
本文档翻译工作参与人员:
翻译:孔彦波、冯广成
审校:李俊杰、刘祥发
审核:马建召
总审:长河
统筹:常宏
1. 关于这份文件
该文件为IT资产管理实践提供了实用性指导。它分为五个主要部分,包括:
- 关于实践的一般信息
- 实践的流程和活动及其在服务价值链中的角色
- 参与该实践的组织和人员
- 支持该实践的信息和技术
- 关于合作伙伴和供应商在实践中需求注意的事项
2. 基本信息
2.1 目的与描述
关键信息
IT资产管理实践的目的是计划和管理所有IT资产的整个生命周期,以帮助组织:
- 实现价值最大化
- 控制成本
- 管理风险
- 支持IT资产的购买、再利用、停用和处置等决策
- 符合法规和合同要求
为支持组织的具体业务目标,IT资产管理(ITAM)实践确保:
- IT资产生命周期地良好处理:
- 对IT资产的规划到处置,都要与其他IT和非IT实践相结合。
- 适当考虑IT资产的财务和公司价值,以便:
- IT资产和相关合同的交付价值建立在合理的成本和可接受的风险之上
- IT资产是安全、可靠和可用的
- 不管何时何地,只要需要,IT资产和相关实体(如合同和供应商)的信息是可信的、准确的、完整的、可用的。
通过这样做,该实践支持:
- IT资产(包括租赁和租用的IT资产)的保护:
- 防止盗窃、损坏(病毒或部件退化)和损失
- 考虑相关合同(软件、云、运维)
- IT支出的可追溯性、ROI评估和财务价值的优化
- 合规性:
- 合同,包括软件许可协议
- 法规(金融、税收、电子废弃物)
- 组织的政策(安全、人力、架构、采购)
- 及时、知情和适当地响应行业趋势和实践,以及特定的供应商(审计、云迁移)。
组织内的 IT资产由组织使用,或作为组织服务的一部分提供给服务使用者。在后一种情况下,IT资产通常作为服务消费的一部分被服务用户访问。使用IT资产进行服务交付或服务消费的人称为 IT资产消费者。
定义: IT资产消费者
角色负责在服务交付或消费过程中使用 IT资产。该角色可以是服务提供者组织的成员或客户。
2.2 术语和概念
2.2.1 组织的资产和IT资产
根据要求,IT资产在其生命周期的不同阶段将被视为购置资产。一些IT资产,在进入生命周期之前就成为了组织的固定资产。组织资产的购置必须记录在相应的账户中,如果被视为资本(固定)资产经过几年的折旧,则某些组件(如附件)可能根据成本等因素进行免除。
因此,许多IT资产也是固定资产或金融资产,这就需要在这两种观点之间进行调节,但也提供了交换信息的机会。例如:
- 会计可以跟踪支出,以识别并从账目中删除被丢弃的IT资产
- IT资产经理可以识别库存中缺少的记入组织资产的IT组件
因此,IT资产管理实践就可以让涉及金融IT资产的采购负责人参与其中并获益。
2.2.2 IT资产的相互依赖性
IT资产管理应与组织的通用资产管理相结合;但是,实践和IT资产类型之间也有相互依存关系。例如,要正确记录使用软件许可证的数量,值得注意以下信息:
- 进行软件盘点:
- 相关环境(开发/集成、测试、准备、实时/生产、培训等)
- 平台(内部硬件、云、托管数据中心等)
- 考虑所有部署技术(机器克隆、软件供应商的DVD、容器等)
- 收集许可证模型中使用的所有参数。
为获得成功,不应将软件IT资产管理与组织的其他类型的资产管理隔离开来,如图片 2.1所示。
图2.1:IT资产相互依存的示例
硬件IT资产管理和软件IT资产管理从一开始就是ITAM实践的一部分。近年来,对云平台的需求大大减少了在物理计算机上部署的许可证数量,并增加了公有云提供商的预算份额。这一根本性转变促使将云服务集成到ITAM实践中,以避免云费用和软件不合规的急剧增加。
2.2.3 IT资产管理实践的渐进式实现
组织最好尽早启动ITAM实践,因为保持IT资产信息最新会更容易。但是,许多组织只有在已经拥有大量异构的IT资产集合时,才理解全面ITAM实践的重要性。对于这些组织,建议采用符合ITIL4指导原则的迭代方法。
ISO/IEC 19771-1:20171标准提出了三层递进的方法:
- 获取IT资产的可信数据
- 对其生命周期进行集成管理
- 优化效率和成本效益
这意味着组织可以选择将ITAM实践实现为一个模块化的能力集,并在下述情况中逐渐被激活:
- 相应的政策(适用于所有情况或特定类型的IT资产)
- 程序、工作说明书和责任矩阵
- 附加到IT资产类型的特别建议(例如,购买软件许可证,不同于硬件购买)。
ITAM实践的范围通常太大,无法一次性实现。因此,根据"从你所处的地方开始"和"基于反馈迭代推进"的指导原则,建议将其定义为三个类别的组合,如下所示。
下面是ITAM实践渐进式范围实现的示例:
选择范围增量时应考虑收集、清理、标准化和迁移现有数据(可能会消耗资源)等工作。
关键信息
无论在组织中采用 ITAM实践遵循的是迭代的、渐进式的还是"大爆炸"的方法,它都应该基于组织和其他利益相关者的需求。实践旨在帮助实现价值最大化、控制成本、管理风险、做出决策并遵守要求。应首先根据这些目标核实范围和执行决定,以防止付出过度和不合理的努力和代价。
2.2.4 IT资产台账
ITAM实践需要准确的库存信息,这些信息应保存在资产台账中。IT资产台账是IT资产数据的主要来源。
定义: IT资产台账
有关IT资产的信息集,包括其所有权、成本和其他关键特征。IT资产台账使维护IT资产的库存计数成为可能。
IT资产台账是在ITAM方法形成时创建的,并在IT资产的生命周期中不断更新。
IT资产台账的数据结构可以包括实体、属性、关系、命名标准、生命周期阶段、IT资产台账和相关工具之间的接口、基于角色的访问等。数据结构应考虑有效地跟踪、标记、清点、监控和报告、与其他实践的集成和数据交换,以及职能部门之间的数据交换和合并。
由于跟踪非常依赖于技术,ITAM从业者应考虑开箱即用数据结构的约束、现有IT资产台账和ITSM工具的功能,以及服务配置管理、服务财务管理的现有命名和记录约定,还有供应商管理实践。数据存储库之间的对账密钥和数据同步规则对于在优化人工工作量的同时启用可信信息至关重要。数据结构还应定义媒体库和对硬件存储的支持。
如果IT资产台账是从头开始创建的,则现有数据(例如电子表格)应被组织起来,根据新的命名约定进行规范化,并上传到台账数据库。
为了维护IT资产台账,组织定期对所有IT资产进行库存检查,包括对本地设备的手动或半自动搜索,以及硬件商店和最终媒体库中IT资产库存的验证。
为了使IT资产台账保持最新状态,应建立规程,将获取的IT资产记录在台账中。数据可以从固定IT资产台账或服务财务管理实践提供的IT运营费用清单,IT资产采购订单,供应商发票以及交货/收据单中获取。最有效的方法是将IT资产注册更新嵌入到采购过程中。
2.2.5 IT资产类型
IT资产类型通常包括:
- 硬件,包括:
- 终端用户设备,如个人计算机、平板电脑、智能手机和SIM卡
- 网络和电信设备,如路由器、交换机、负载均衡、使用网络协议的视频会议和语音传输系统
- 数据中心硬件,如服务器、存储和备份系统以及不间断电源
- 重要的外围设备,如个人打印机、监控器、扫描仪和多功能打印系统
- 在各种环境中硬件和虚拟机上运行的软件(开发/集成、测试、准备、实时/生产、培训),如:
- 操作系统
- 中间件,如Web服务器、SSL证书、企业服务总线和数据库访问服务
- 个人和服务端的应用程序
- 云服务正在逐渐取代硬件和软件(取决于服务模型),包括:
- 基础设施即服务
- 平台即服务
- 软件即服务
- 数据
组织会受到数据泄漏、网络攻击和有关数据法规(如欧洲通用数据保护法规)的影响。因此,为了更好地应对这些挑战,组织可以选择将信息和数据作为IT资产进行管理。这可以通过以下方式完成:
- 管理包含数据的IT资产
- 应用ITAM程序来控制数据的生命周期
2.2.6 IT资产生命周期及其模型
定义: IT资产生命周期
IT资产生命周期包括从计划到处置的各个阶段。基于IT资产类型,生命周期由状态和状况过渡表示的各个阶段组成。
IT资产在其生命周期中经历了以下阶段:
- IT资产规划和预算编制
- IT资产收购
- IT资产分配(安装、迁移、添加、变更即IMAC)
- IT资产利用率优化
- IT资产停用
- IT资产处置。
2.2.6.1 IT资产规划
IT资产经理讨论利益相关者的需求,并根据市场和供应商的数据、价格和成本模型,规划获取IT资产的最佳方法。这是通过购买、升级、更换、订阅、租赁等方式实现的。这样就可以通过采购和财务来编制预算了。
2.2.6.2 IT资产采购
此活动由已批准的采购请求触发。ITAM负责人审核请求并检查资产的可用性。在短缺的情况下,他们将检查资产模型替换规则。如果无法提供资产,则进入采购流程。
负责IT资产采购的个人或团队采购资产。ITAM实践旨在确保对现有资产的最佳使用,获取和存储有关购买的所有文档。这包括与资产相关的合同(如许可证、运维、保修、支持)、发票、购买证明、权利、许可证密钥、维护激活信息等。文档可以存储在最终媒体库或任何其他安全位置,并参考它们及其在IT资产台账和/或内容管理数据库中的位置。
作为此阶段的结果,应提供经过验证的许可证购买/授权/服务订阅证明,以及根据IT资产台账中约定的模型,具有唯一标识和其他所需信息的IT资产记录。如果同意,IT资产应具有已记录的固定资产或交叉引用的费用项目。
2.2.6.3 IT资产分配
定义: IT资产分配
在IT资产消费/使用期间将IT资产的责任委派给IT资产消费者的行为。对于某些类型的IT资产,它们可以与相关的安装、迁移、添加、变更操作结合使用。
此活动包括为 IT资产分配操作(通常是 IMAC)。
资产分配通常由批准的资产分配请求或检测到的资产数据变更触发。负责人检查可用资产或符合条件的替代品是否有库存,然后按照资产分配程序操作。它可能受资产存量移动规则、自带设备(BYOD)策略或有关资产安装和使用的实用指南的约束,以简化成本、降低风险。
资产分配必须记录在IT资产台账中。在生命周期的此阶段获取IT资产信息至关重要,因为它减少了对专用验证工作(例如运行库存和审计)的需求。此外,此阶段提供了大多数监控数据,用于实施策略、确保控制和验证IT资产台账数据。
2.2.6.4 IT资产使用优化
资产使用优化需要了解合同和定价模型。此规程包括:
- 根据服务级别协议(SLA)调整硬件库存和授权以便于供应。
- 分析IT资产特性和合同,并提出最佳使用的实践指南。例如,调整数据库引擎或虚拟机的安装规格应以最小范围进行授权,按月调整已分配资产(如许可证、硬件和云实例)的计费,以鼓励在不再需要时停用它们等等。
- 使IT资产合同与SLA保持一致。
- 跟踪和评估IT资产变更的潜在影响。
- 与服务配置管理实践以及其他实践相结合,定义和跟踪 IT资产的依赖关系,并能够评估IT资产变更可能给服务带来的风险(例如更改相关合同、预算、合同条款、认证使用、政策或法规等)。
监控提供数据来优化资产使用,如不活动期、使用趋势、认证容量问题、计费趋势以及IT资产使用的其他任何方面。作为使用管理的一部分,ITAM从业人员应监控和操作IT资产关键日期,例如合同或支持终止、产品/模型过时、IT资产台账中的到期日期(许可证、贷款、SSL证书、保修、合同续订、校正等)。基于此监控,他们可以创建采购请求、资产停用或资产分配给服务请求管理或变更支持实践
2.2.6.5 IT资产停用
定义: IT资产停用
从消费者检索/回收IT资产的行为,特别是卸载(包括根据安全策略删除数据)和决定是否应将IT资产退回库存或处置的行为。
IT资产停用基本是由服务请求管理或实施变更引起的。其他原因可能包括贷款终止或资产保留、库存中标识的过时或无用的IT资产,或被盗/丢失的IT资产。在停用前,必须评估资产变更的影响,必须通过潜在的纠正措施验证停用条件,并确定这些资产是否会被重复使用还是进行处置。
停用应遵循生命周期模型中定义的政策和程序。停用时,应按照信息安全策略进行处理数据,在适用时,应恢复其授权以便重新使用。最后,应更新 IT资产台账。
2.2.6.6 IT资产处置
定义: IT资产处置
以适当且有文件记录的方式永久移除组织中不再使用的IT资产的行为。
正式的处置程序可以采取多种形式进行,具体取决于资产类型和获取方法。资产可以按照法规(例如,电子废物处理办法)出售、回收、赠送或销毁。
在处置期间,应终止与IT资产相关的任何合同或许可证(包括运维合同),应更新IT资产台账和相关财务数据。可以对仅连接到资产的最终媒体库(DML)内容进行存档。
2.2.6.7 IT资产生命周期模型
生命周期的每个阶段都需要不同的支持和控制活动以及不同类型的信息,具体取决于IT资产的类型。IT资产类型可作为创建IT资产管理方法和模型的基础。
定义: IT资产生命周期模型
详细描述组织针对特定IT资产类型定制的IT资产生命周期管理办法。
生命周期模型应基于IT资产类型定义IT资产处理的过程、约束和程序。
通常,每个IT资产类型都由专用IT资产生命周期模型支持。IT资产根据其功能分组到类型中。这包括,但不限于:
- 报告周期
- 财务意义
- 可感知水平(从非常有形的硬件设备,到无形的许可证、云计算能力、服务或订阅等)
- 位置(例如在实际办公场所、在同一办公场所或服务提供商的办公场所、云资源,自己服务器上的许可证等)
- 直接控制水平(例如位于具有受限访问的场所或同一位置的硬件盒、由自己的人员或由第三方支持团队管理的虚拟服务器)
- 寿命及折旧率
- IT资产固有的变更速率和变更所需的正式程度(例如,连续部署的在线应用程序订阅,三年发布周期操作系统,大型UPS箱或政府机构提供的某些密封设备)
- IT资产采购类型(例如,内部开发的应用程序,为项目定制和实施的授权应用程序、可预安装的授权应用程序、购买的硬件盒等)
- 库存和记录保持。
IT资产生命周期模型通常包括:
- IT资产利益相关方
- IT资产报告周期
- 依赖于IT资产的服务
- IT资产利用率最优化的技术和方法
- IT资产生命周期各阶段的控制和流程
- IT资产监控方法和步骤
- IT资产审计和盘点方法、约束和流程
- IMAC程序
- IT资产停用和处置方法、控制和流程
- 共享的支持和运维流程
- 共享的法律和合规性法规、政策和约束
- 标记和命名规范。
对于每个模型,应创建一组约束条件和流程,以帮助支持任何单个 IT资产的生命周期。
活动实施可能因 IT资产类型而异。例如:
- 软件的处置受许可协议的约束,而硬件的处置受电子废弃物管理条例的约束。
- 硬件或云服务的处置涉及安全删除包含在其中的数据,但不太可能涉及软件许可证。
表2.1描述了了处理不同类型的IT资产的区别。 表2.1处理不同类型IT资产的示例。