金融、政府、电信等行业IT规模较复杂，对ITSM的实施走在了市场的前列。但很多企业还是局限在事件监控的阶段，谈不上真正意义上的IT服务管理。

    总的来讲，企业实施ITSM存在两种误区:一是“过度依赖咨询公司”。即仅听凭咨询公司的意见，按照ITIL流程，规划公司整体系统、设定流程。虽然ITIL是基于实际应用得出的最佳实践，但是企业不结合自身业务状况，盲目照搬，可能会使流程与业务不符。另外，高额的实施费用、较长的实施周期，易让企业失去信心，这也是ITSM推广的难点之一。

    二是“过度依赖实施工具”。企业片面注重了ITSM方案中“所见即所得”式的实施效果，却往往忽略了实施后，是否真的解决了IT运维方面的实际问题。

    产生这些误区的一个主要原因是企业将ITIL看作一套一成不变的标准，没有根据企业自身情况因地制宜选取合适的IT管理流程并结合自身业务流程进行优化设计。这样往往会造成企业为建立ITSM、实施ITIL投入了大量人力、物力，但取得的成效却达不到管理层的期望。

    事实上，ITSM只是一套方法论，还必须和用户的IT现状和业务需求结合起来才有价值。ITSM由5个流程模块组成:业务与IT战略整合、企业IT日常运作、IT服务的开发与应用、IT服务的规划与管理及保障服务交付，包括前端数据采集和后端流程管理两大阶段，贯穿前端和后端的流程也即客户化和行业化的过程。对照所有已实施的ITSM案例，可以说如果没有客户化，其卓有成效的事件管理、问题管理、知识库等就成了无皮之毛。

    在实施ITSM过程中如何把有限的资源投入到企业最需要的地方？如何在实施ITSM与企业风险间找到平衡点？这些是企业成功建立ITSM所必须面对的问题。

  根据风险分析确定投资顺序 

    IT组织应当建立明智的风险管理战略，使有限的资源集中于应对企业面临的最大威胁。识别风险并确定风险等级，是采取合理有效措施的关键所在。将所面临的各种风险量化，然后据此确定安全投资的优先顺序就对有效利用企业资源起到关键作用。

    为此，我们必须在现有业务流程框架中，确认企业信息资产和目前已执行的控制机制及措施，并由信息安全委员会决策、定义风险可接受水平，由此建立相关的管理办法和控制措施，以达成降低信息风险的策略目标。经由风险评估各项程序的确实执行后，才能确保产出的IT服务管理体系核心:信息安全政策、标准、作业程序，是符合企业营运的总体策略的。

  风险分析和控制选择模式

    风险分析的第一步是评估信息资产群组的价值、弱点与威胁。在获得信息资产报告并进行信息资产分组后，接下来必须评估各组的价值、弱点与威胁，以计算信息资产风险值及决定控制的风险水平。在业务流程分析时，除了要寻找重要的信息资产，同时也要理清每项资产对业务活动的影响、重要性、控制现况、弱点及面临威胁等事项，此时将以这些现有信息为基础，评估信息资产的价值，与弱点威胁的权值。

    第二步是决定信息资产的价值、弱点与威胁权值。在决定信息资产价值时，须依据之前对公司信息流程的了解，针对每一资产组，包括软件、硬件及数据等，分别决定各组的机密性价值权值、完整性价值权值及可用性价值权值。接下来定义各组的弱点与威胁权值，并与公司讨论可接受的风险水平以作为下阶段控管选择的依据。该过程需要借助专门的信息资产风险工具。

    第三步是计算信息资产的风险值。在决定了每个信息资产群组的价值，并适用的弱点及威胁项目给予权值后，接下来要计算每个信息资产群组的风险值。

    第四步是选择控制。获得各项信息资产的风险值后，必须先决定每项信息资产应予控制的项目，再依据风险等级分类，决定每一控制项目的方式及须达成的效果。因此如何选择信息资产应采用的控制措施，是IT服务管理体系导入的另一重要议题。

  德勤的差异分析方法论

    根据企业信息系统现状和风险分析结果，就可对照ITIL/BS 15000/ISO 20000等最佳实践或国际标准认清差距，并寻求最佳解决途径。Deloitte以ITIL/BS 15000/ISO 20000为基础的IT基础环境评估方法论（ITEM）提供了一个独立IT作业组织差异分析方法，并以产业标准以及最佳实务为对照。

    ITEM方法论包括三个阶段:执行评估阶段、差异分析及建议阶段、报告阶段。

    执行评估阶段将访谈内容交付给参与访谈的成员并与相关成员进行流程访谈。然后评估小组整理访谈结果，并产生业务和基础架构“评分卡”，记录现状与目前的执行绩效。

    差异分析及建议阶段将就现状进行分析，识别优缺点及进行差异分析;然后根据业务需求和风险分析结果将需要关注的领域进行优先级排序;最后定义解决方案以及提供建议。

    报告阶段将建议事项进行报告，并交付相关报告，与客户共同进行改善计划制定。

    利用德勤的ITEM方法可以用最佳实践的观点评估IT组织/部门;可以提供结构化的方式，让整个评估的过程与结果都是可信赖的并且一致保持;可以从不同的产业获取标杆信息;是基于以ITIL/BS 15000/ISO 20000为架构的信息基础建设标准;可以协助定义并优先群组化矫正活动。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。