如果实施不当,变更启用可能会扰乱业务流程并导致停机。许多组织还没有建立记录整个变更过程的明确阶段。这往往会导致在 IT 环境中,变更的成功与否只能依靠单一的主题专家。这不仅降低了效率,而且会让 IT 团队难以管理,压力重重。
让我们以 Zylker Tech 公司的 IT 部门为例,该公司开发了一个新兴的视频营销平台。该组织希望改革其变更启用流程,并通过 ManageEngine ServiceDesk Plus 将帮助其实现流程优化目标。
Zylker Tech的
内部审查
Zylker Tech 的目标是扩大市场影响力。但是,为了赢得大型企业客户的信任,Zylker Tech 需要获得 ISO 27001 合规性认证。首席信息官责成 Zylker Tech 的 IT 经理实现这一目标,并开始了这一过程。
Zylker Tech 的变更实践和实施通常依赖于两位高级技术人员,马克和玛丽。由于没有记录完备的既定变更流程,变更实施的重任就落在了他们身上。
根据 ISO 标准测试,Zylker 现有的变更实施流程无法满足要求。其流程没有得到很好的管理或记录。马克和玛丽之所以被选中,是因为他们可以身兼数职,包括审查变更、项目影响以及让利益相关者了解停机情况。
为了给 Zylker Tech 的变更启用带来更有条理的方法,马克和玛丽被指派领导变更管理的改革,使其达到 ISO 标准。
为合规做好准备
在对 ISO 27001:2022 Annex A Control 8.32 进行评估后,马克和玛丽将请求提炼为变更启用程序中需要实施的六个组成部分。
明确了需要完成的工作后,马克和玛丽根据需求制定了策略计划和文档内容。现在,计划已经准备就绪,变更管理优化的步骤也跃然纸上。
为了帮助规范实践,Zylker Tech 需要一个能够执行既定变更流程策略的平台。他们通过 ServiceDesk Plus 来帮助他们实现符合 ISO 27001 的变更启用。
以下是 ServiceDesk Plus 帮助 Zylker 实现的 ISO 27001 变更管理要求的六个组成部分:
1.组织应当能够绘制和评估变更对 IT 基础架构的影响。
ServiceDesk Plus 的变更模块将变更流程分为八个阶段: 提交、计划、变更咨询委员会(CAB)评估、实施、用户验收测试、发布、审查和关闭。
对于 IT 组织管理的每种变更类型,都可以创建一个模板,其中包含这八个阶段的首选阶段。通过该模板,变更管理员可以记录每个阶段中的相关明细,这些明细既可以是预设的,也可以通过自定义字段来实现。
通过 ServiceDesk Plus,Zylker Tech 利用开箱即用的专用部分来记录变更对 IT 基础设施的影响明细。可以在变更请求的规划阶段记录影响详情、推广计划和后备计划。除了预定义的部分外,马克和玛丽还可以添加任何类型的字段,以获取变更每个阶段所需的信息。
在变更请求中,Zylker 能够关联受影响的 CI。ServiceDesk Plus 使组织能够创建 IT 基础设施和服务的可视化关系图。因此,在变更请求中关联 CI 时,由于 ServiceDesk Plus 的内置CMDB。Zylker 能够从变更请求中访问 CI 之间的关系图。这些功能共同帮助 Zylker Tech 满足了要求。
2.组织应实施变更控制。应适当记录这些授权控制,并提供适当的访问权限。
马克和玛丽能够在变更模板中记录变更请求的责任利益相关者。ServiceDesk Plus 中的问责制是通过变更角色来处理的,这些角色控制着做出变更的每个利益相关者的访问权限。每个变更角色在变更的每个阶段都提供查看、编辑和审批权限。ServiceDesk Plus 提供了几个预定义的变更角色,如变更审批人和审验人,Zylker Tech 在变更过程中利用了这些角色。
除了开箱即用的变更角色外,他们还能在变更的每个阶段创建具有细粒度权限的新角色,从而进一步加强对变更的授权控制。
在 CAB 评审阶段,Zylker Tech 能够通过多个 CAB 设置审批流程。这有助于他们简化审批流程,实现对变更的授权控制。只有在多级 CAB 批准变更后,变更才会进入 ServiceDesk 流程的实施阶段。
3. 通知所有内部和外部利益相关者拟议的变更
当需要向利益相关者通知拟议的变更时,马克和玛丽依赖于 ServiceDesk Plus 的通知规则,该规则可通过一个简单的复选框激活自动通知。
除了通知规则,马克和玛丽还意识到他们需要在变更过程中提供更多的上下文通知。为了满足这一要求,他们在 ServiceDesk Plus 的变更工作流中使用了操作节点。
ServiceDesk Plus中的变更工作流程是一种可视化路径,可引导变更完成从提交到关闭的所有阶段,并根据工作流中的配置执行自动操作。变更工作流提供四种类型的节点: 阶段、条件、操作和分支。
阶段节点可将变更请求引导至变更流程中的指定阶段和状态。条件节点可根据变更的任何参数为变更提供多种移动路径。分支节点用于分叉和连接变更路径,而操作节点则用于执行通知、审批、字段更新、任务、计时器和自定义功能。
Zylker Zylker Tech 在其变更工作流中使用了通知操作节点,以提醒利益相关者任何需要关注和确认的活动。
马克和玛丽还能直接从变更请求中获取变量,如变更主题值,以填充通知内容。 因此,他们能够创建可在各种变更工作流中重复使用的通知模板,而不是为 Zylker Tech 的每个工作流配置新的通知。
4.组织应遵守 ISO 27001:2022 附件 A 8.29,对变更进行测试和验收测试。
马克和玛丽确保 Zylker Tech 在部署变更之前,针对部分用户或通过其他方法进行相关的用户验收测试。然后,他们能够在 ServiceDesk Plus 平台的变更流程中记录专门的阶段。
5.变更的实施应包括应急计划和程序,包括回退计划。
ServiceDesk Plus 使 Zylker Tech 能够在拟议变更的规划阶段直接记录 “影响详情”、“推出计划 ”和 “回退计划”。虽然这些字段是开箱即配置的,但 Zylker Tech 也可以根据需要在每个阶段添加所需的字段。
在实施过程中,拟议的变更可以通过任务来处理,也可以通过 ServiceDesk Plus 的集成项目管理模块模块作为 IT 项目来处理。这确保了 Zylker Tech 在实施变更时具有完全的可视性和可控性。
6.保存变更过程中所有修改和活动的记录。
使用 ServiceDesk Plus,历史选项卡为整个变更过程中发生的所有活动创建了完美的审计跟踪。这帮助 Zylker Tech 向 ISO 27001:2022 合规标准迈进了一步。
ServiceDesk Plus 的变更启用模块采用行业最佳实践,帮助 Zylker Tech 完成了 ISO 27001:2022 标准要求。一旦马克和玛丽理清了流程,并配置了 ServiceDesk Plus 来管理变更,他们就不再是环境中实施的每项变更的固定所有者。他们将能够自己选择所需处理的任务,从中受益匪浅。Zylker Tech 受益于更高效、更简化的流程,以及更符合 ISO 标准。
作者简历:
Zephan 是 ManageEngine ESM 产品套件的产品营销分析师。他喜欢创建资源,向 IT 服务台人员传授充分利用 ITSM 的最佳实践。他还帮助 ServiceDesk Plus 客户实现他们的 IT 目标,就如何充分发挥该平台的潜力举办引人入胜的现场课程。当他不专注于 ITSM 时,您会发现他正在热衷于讨论 MotoGP。