本书与您一起探讨IT管理中的流程、人、产品等核心问题，它将帮助您实现从技术到管理的转型！

IT已经成为企业价值链中不可或缺的重要一环。本书围绕国内企业信息化建设管理过程中急需解决的成本和效益、风险和控制等问题，系统地介绍了基于国际标准和代表国际发展趋势的IT管理与控制的整套体系，提供了丰富的管理流程、考核指标、组织结构等参考样例。

本书围绕国内企业信息化建设管理过程中急需解决的成本和效益、风险和控制等问题，结合国际IT服务管理、IT治理、IT管控体系的最新发展动态，系统地介绍了基于国际标准和代表国际发展趋势的IT管理与控制的整套体系，从战略层、战术层到运营层自上而下建立了结构化的完整框架，并结合大量项目实施和实际案例，提供丰富的管理流程、考核指标、组织结构等参考样例。

本书可以作为企业信息化建设过程中，企业实践IT服务运营管理，建立IT管理控制体系的权威指南；也可以作为IT服务运营管理者的工作参考，作为企业IT管理高层的规划和构建IT管控体系的最佳实践，纳入CIO知识体系。

序

前言

第一部分 IT管理与控制体系

 第1章 IT和IT服务的发展方向

1.1 IT的发展历程和挑战

 1.1.1 IT的发展历程

 1.1.2 IT的压力和挑战

 1.1.3 国内IT发展存在的问题

1.2 IT的出路和前进方向

 1.2.1 确定IT发展方向

 1.2.2 建立新型IT组织

 1.2.3 提高IT管控能力

 第2章 管理背景知识：服务和流程

2.1 服务与服务管理

 2.1.1 服务与服务质量

 2.1.2 服务管理及其重要性 

2.2 流程与流程管理

 2.2.1 流程的定义

 2.2.2 流程管理

 第3章 IT管理和控制理论与实践

3.1 IT的管理和控制

3.2 IT管控的理论与实践

 3.2.1 公司治理、内部控制和COSO模型 

 3.2.2 IT治理和COBIT

3.3 SOX法案下的IT控制

 3.3.1 SOX法案简介

 3.3.2 SOX与IT管控

第二部分 IT服务管理实践与标准

 第4章 IT服务管理和ITIL 

4.1 IT服务管理

 4.1.1 IT服务管理定义

 4.1.2 IT服务管理的实施途径

 4.1.3 IT服务管理的收益

4.2 IT基础设施库(ITIL)

 4.2.1 ITIL的起源和发展 

 4.2.2 ITIL为IT管控提供流程的保障

 4.2.3 C0BIT与ITIL的关系 

 第5章 IT服务管理标准ISO 20000

5.1 ISO20000的产生

5.2 ISO20000的结构

5.3 ISO20000认证的收益

第三部分 IT服务生命周期管理

 第6章 服务战略

6.1 战略、业务战略与IT战略

6.2 IT与业务保持一致

 6.2.1业 务目标与IT目标

 6.2.2 管理IT资源实现IT目标

6.3 IT战略规划

6.4 战略管理

6.5 服务提供模式策略规划

 第7章 服务设计

7.1 服务规划与设计过程

7.2 服务需求分析

 7.2.1 可用性需求

 7.2.2 风险与连续性需求

 7.2.3 能力需求

 7.2.4 安全性需求

 7.2.5 成本模型

7.3 服务设计

 7.3.1 业务连续性策略

 7.3.2 能力规划

 7.3.3 可用性设计

 7.3.4 服务的定价

 7.3.5 服务级别协议

 第8章 服务实施

8.1 服务发布

 8.1.1 发布计划

 8.1.2 发布的构建和配置

 8.1.3 上线

8.2 变更控制

8.3 配置项管理

 8.3.1 配置项关系

 8.3.2 配置项识别

 8.3.3 配置项结构划分

8.4 IT服务连续性实现

8.5 安全措施实施

 第9章 服务运营

9.1 服务运营过程

9.2 服务台

9.3 被动性管理

 9.3.1 突发事件管理

 9.3.2 问题管理

 9.3.3 变更控制及配置项管理

9.4 主动性管理

 9.5 日常维护

 9.5.1 连续性测试

 9.5.2 可用性监控

 9.5.3 性能监控

 9.5.4 财务监控

 9.5.5 服务报告

9.6 外包

9.6.1 IT外包的服务类型

9.6.2 外包的收益与风险

 第10章 服务改进工作

10.1 服务检查与改进过程

10.2 IT审计

10.3 基于流程的服务改进

 10.3.1 服务级别改进

 10.3.2 客户满意度管理

 10.3.3 可用性改进

 10.3.4 性能改进

 10.3.5 服务改进和变更管理

 10.3.6 持续服务改进计划(CSIP)

10.4 IT服务质量管理系统

第四部分 IT服务管理实施方法

 第11章 服务管理规划实施的途径和方法

11.1 服务管理规划

 11.1.1 项目总体规划

 11.1.2 服务管理实施规划

 11.1.3 其他考虑因素

 11.1.4 变革过程的控制 

 11.1.5 规划辅助工具

11.2 科索路服务管理实施方法论

第五部分 超越IT服务管理流程

 第12章 质量管理

12.1 质量和质量管理

 12.1.1 质量和质量管理的概念

 12.1.2 质量管理的发展阶段

 12.1.3 质量对服务的重要性

 12.1.4 质量管理的方法和工具

12.2 如何实施ITSM的质量管理

 第13章 案例分析

13.1 IT服务管控

13.2 BS 15000认证咨询

13.3 BS 15000／ITSM现状评估和流程提升规划

附录

 附录A 涉及IT的SOx法案条款

 附录B 流程成熟度框架

 附录C 科索路IT管控体系的框架模型 

 附录D IT管控体系工具实例

参考文献

1.2.3 提高IT管控能力

很显然，要想让IT能够真正做到优化企业的业务运作，仅有先进的设备和技术是不够的。企业的IT部门还要设法使IT与业务实现最大限度地整合，努力实现IT的两个重大转变：一是从“以产品为中心”向“以客户和服务为中心”转变，二是从“以技术创新为主导”向“服务创新、管理创新和技术创新并重”转变。

为了实现这两个转变，企业的IT组织面临着一系列的任务：制定基于业务的IT战略规划；整合业务和IT服务；招聘、培养、管理IT员工；度量、考核IT组织的工作效率和绩效；利用IT进行技术和业务创新；有效控制IT的成本；展示IT的业务价值；设计、搭建企业的IT体系架构；控制IT项目的进度；对IT进行风险分析和管理控制；保障信息正确、完整、一致和安全。这些任务是艰巨的，所以许多企业都在寻求一个完善的IT业务解决方案。他们可能会向IT服务和咨询业巨头购买解决方案，花费大量的时间和精力来实施这些方案，但是新方案实施之后呢?如何保证新方案的效率和效果?由谁来管理和运行新方案?组织需要进行哪些变革来适应新方案?…系列接踵而来的问题和随之出现的复杂IT运营局面会使许多IT组织重新陷入困惑的境地。

可见，企业的IT管理已经成为一个人们一直在探讨的热门话题和难题。多年来，实际经验告诉我们，IT管理和其他管理活动有一样的追求——效果和效率，也就是做正确的事，并以正确的方式做事。而要做到这两条，企业有必要在开展信息化建设的同时加强对IT的管理和控制能力，建立起完善的IT服务管控体系。

P8-9

本稿值于付梓之际，审阅之余，心中颇为感慨。回首自2001年起，在国内推动ITIL教育，至2004年帮助客户通过SOX法案合规，直到当前与客户一起建立IT管理体系，与客户、同事、合作伙伴一道见证、学习、实践着服务管理与IT治理控制的最佳实践。这个过程既是如COBIT、ITIL、ISO 27001、ISO 20000等最佳实践和标准在引领中国将IT从技术转而真正逐渐视为一个商业问题来对待和实践的一个过程，同时也是国内IT部门、IT专业人士变革、转型从而获得更高发展空间的过程，更是各个企业建立自身的新型IT管理、体系、过程、组织、人员、文化的一个过程。

德鲁克认为管理是实践而不能简单地认为是艺术或科学。我亦深以为然。那么，若把IT作为商业管理的命题来对待，则其必然是一个实践。当我们学习COBIT、ITIL这些最佳实践时，试图遵循ISO 20000、ISO 27001等国际标准时，常有人提出为何这些“概念”、“语言”我们暂时不能提出、建立，而只能跟从的问题。如同我们国家在其他领域如企业管理、社会公共管理学的建立一样，这是一个从学习到实践再到建立的过程。因为实践出真知，这些是缘于实践经验的结晶。我更愿意把“experience”翻译成“经历”而不仅仅是“经验”。因此，这样说来，我们当前能做的首先当然是实践，是在这些最佳实践和标准引领下的实践。然而，自身的“经历”和“经验”的总结却又是最重要的。因为我们最终要的不仅仅是学习，更是“建立”。

本书正是带着这样的希翼而产生的。它本身希望帮助读者学习、理解这些最佳实践和标准，同时本书的结构体系也是一次实践。本书的章节并未按照当前ITIL V2的结构来撰写，而是试图遵循IT服务管理生命周期来介绍。非常高兴的是，这也将可能是ITIL V3并且已然是当前COBIT V4的体系结构——遵循服务的整个生命周期的不同阶段，读者必定会发现这样的结构更便于在组织中实践，因为毕竟我们是按照IT服务管理与控制的生命周期的序列在持续地运作着、改进着。这是本书的第一个目的。

此外，本书还有一个更重要的目的便是对科索路的客户和国内广大服务管理、控制、IT治理、审计等专业人士们的一个回馈。我们的客户有这样的要求已经很久了，但是因为种种原因，本书一直未能最终成稿。对此，我心里一直不安。在这里，希望在您阅读后能够满意，这样我的内疚也能少些。

本书的形成是一个团队协作的结晶，这个团队包括科索路的诸位同事如方乐、梁晟、钱晨、金涛、王姗姗等。我感谢并欣赏这样一个团队的工作。

特别地，我要感谢IBM公司的刘咏梅女士；西门子公司的刘辉先生、李焰女士；BSI中国的王二乐先生、成芳女士。他们或作为国内最早一批ITILSetvice Manager，或作为ISO20000的审核员，与我们一样在国内推动着这些最佳实践，也一直关注着本书的出版。

我也要特别地感谢惠普公司的孟东阳先生、陈怡琳女士，他们带领了我在惠普公司的成长；还要感谢IBM公司的King和K.T.H0，他们的言论影响了我在IBM开始的职业生涯；也感谢EXIN的董事总经理Joep对我们团队一直以来的支持。

感谢科索路高亚平小姐和王如意小姐，她们的辛勤工作使得本书能够顺利出版。

特别感谢机械工业出版社，我对于出版社在IT服务管理、IT控制、风险管理等领域较为长期的承诺与计划表示尊敬。

最后，我要感谢多年来同我们合作的客户。感谢你们一直以来的信任和对建立成功IT组织的贡献。书中的内容也有来自于与你们一起的实践。

如同ITIL、COBIT一样，本书也需要一个不断完善的过程，所以我们感谢并欢迎来自于读者的反馈、评论和意见。您可以通过books@cosobl.com将意见送达我们。我们真诚希望并相信您的所有这些反馈将影响着未来此书的改进。

感谢参与此书的所有人和阅读此书的所有人!  朱海林

科索路咨询合伙人

2006年6月于上海

随着企业信息化进程的日渐深化，IT在企业中的作用已经不仅仅限于IT基础设施的建设和IT应用及工具的维护，企业业务对IT的依赖程度越来越大，这决定了IT已经成为企业价值链中不可或缺的重要一环。同时，IT自身的复杂性和运营风险也对IT服务管理运营的有效性与高效性提出了严峻的挑战，IT的管理和控制必将成为行之有效的企业治理的重要组成部分。建立完善的IT管理和控制体系是企业信息化发展的有效出路。

如何将IT管理与企业的管理相结合，达到运营管理和业务目标的一致?如何建立完善的IT管理和控制体系?如何有效地平衡IT投入成本与效益和服务质量的关系?IT的风险如何评估，如何降低和有效地控制投资和运营风险?如何通过企业IT认证，进行企业IT审计，实现审计要求的内部控制在IT上的支持?这一系列问题在很大程度上困扰着企业IT管理者甚至企业高层，也在一定程度上影响到企业决策和业务发展。

幸运的是，在国际化组织、政府机构和国际著名的IT运营管理企业的多方努力下，结合企业管理和内部控制体系，制定了一系列完整的自上而下的专业性国际标准或事实标准，并建立了审计和认证体系，包括企业内部控制C0SO模型、IT控制目标体系COBIT、IT服务管理(ITSM。)最佳实践ITIL、IT服务运营认证体系BS 15000／ISO20000、SOX合规审计体系等，有效帮助企业实现IT管理和控制的整体框架。

本书共分为五大部分，每一部分可以独立成篇，总体上又具有可以贯穿一致的严格逻辑性，形成从体系标准和理论到运营管理实践的完整体系。

第一部分，IT管理与控制体系，详细介绍了IT发展和挑战的背景以及IT管控体系建立的需求，并从企业内部管理和控制的角度引入了国际上IT管控的相关标准和权威的体系。

第二部分，IT服务管理实践与标准，从IT服务管理(ITSM)的角度，介绍了国际上IT服务管理所应当遵循的标准ISO20000，以及该标准所参照的作为事实上标准的ITIL体系。

第三部分，IT服务生命周期管理，按照IT运营管理和控制的实践要求，以IT服务管理生命周期的逻辑顺序，从服务战略、服务设计、服务实施、服务运营和服务改进工作五个阶段来阐述IT服务管理的相应工作和实践指南，更具操作性和实务性。

第四部分，IT服务管理实施方法，介绍了IT服务管理流程体系规划和实施的途径与方法，结合项目管理进行描述和探讨，并着重介绍业界领先的科索路咨询公司的实施方法论。

第五部分，超越IT服务管理流程，从质量控制和管理的角度来把握IT服务管理的规划和实施，以确保体系建立的健康和持续改善，并提供IT服务管理的具体案例参考。

本书最大的特点是，构架了全面完整的IT管理和控制体系与知识结构。本书在深入分析企业IT运营管理实务的基础上，系统地介绍了基于国际标准和代表国际发展趋势的IT管理与控制的整套体系，从战略层、战术层到运营层自上而下建立了结构化的完整框架，并结合大量项目实施和实际案例，提供丰富的管理流程、考核指标、组织结构等参考样例。本书可以作为IT服务运营管理者的工作参考，也可以作为企业IT管理高层的规划和构建IT管控体系的最佳实践，纳入CIO知识体系。另外，本书还具有以下显著特点：

经典：结合IT管控和运营的实践，由具有丰富相关经验的专家编写，体系框架完整。

先进：依据国际权威标准或事实标准建立体系，代表国际IT管理和控制的发展趋势。  结构性强：自上而下的严谨层次结构，适合企业组织不同层次人员的借鉴参考。

操作性强：理论与实践相结合，深入浅出，具有很大的实务参考价值。

丰富翔实：涵盖IT管理和控制的整体框架，包括SOX合规等重要的内部控制案例资料和报表、工具样例。

祝读书愉快!

作 者

2006年5月于上海

中国企业的信息化建设需要IT服务管理。IT服务管理管的不只是技术，更重要的是流程和人员。《IT服务：管理、控制与流程》一书中阐述的全球领先的IT服务管理控制理念对国内企业的信息化建设有重要的指导意义。书中从IT服务生命周期的视角介绍服务战略、服务设计、服务实施、服务运营和服务改进，给人耳目一新的感觉。这本书的出版有助于中国IT服务管理水平的总体提升。

——信息协会特约副会长，互联网协会常务副会长，国家信息化专家咨询委委员 高新民

传统的IT组织在激烈的竞争环境中都在思考如何从“以产品为中心”向“以客户和服务为中心”转变，从关注“技术创新”到关注“服务创新、管理创新”。IBM一贯推行和实践IT服务管理的理念为IBM全球客户提供满意的服务。《IT服务：管理、控制与流程》是一本包含了全球IT服务管理最佳实践的指导性书籍。书中的管理理念和实践都以客户和业务为中心，我相信每一位IT管理者和IT从业人员都能从中获得启发。

——IBM大中华区服务执行部总经理 周春源

《IT服务：管理、控制与流程》为IT服务、运营及管理部门提供了一套基于IT管理最佳实践的标准交流语言和管理方法论。书中介绍的不仅仅是IT服务管理理论，更多的是高效的IT服务管理和控制的最佳实践，是众多IT服务管理者们所迫切需要了解的。受益于国际IT服务管理的最佳实践，西门子行业应用服务集团(siemeils Business SeiviceS)在过去的几年里进行了卓有成效的IT服务管理的实施与实践，并获得了企业IT服务管理的Bsl5000认证。我很乐意向大家推荐《IT服务：管理、控制与流程》一书，它为IT服务管理提供了一条通往优秀并最终到达卓越的捷径。 

——西门子(中国)有限公司行业应用服务集团副总经理 刘辉

随着BSI5000被国际标准化组织采纳，IT服务管理有了ISO20000这一国际标准，越来越多的企业关注建立管理IT服务的完整框架，旨存识别并有效管理IT服务的关键流程，控制成本，并向业务和内外部客户提供高质量的IT服务。对于那些想要实践IT服务管理，了解ITIL及ISO20000／BSl50003并从中获得实质性收益的专业人士来说，“IT服务：管理、控制与流程》值得一读。

——英标管理系统认证(北京)有限公司董事、总经理 刘墨渊