如果实施不当,变更支持可能会中断业务流程并导致停机。许多组织尚未建立不同的阶段来记录整个变更过程。这通常会导致 IT 环境,在这种环境中,实施变更的成功依赖于单个主题专家。这并不高效,并且对 IT 团队来说可能难以管理和压力。
让我们看看Zylker的 IT 部门,该部门开发了一个新兴的视频营销平台。该组织希望改进其变更支持流程,ManageEngine ServiceDesk Plus将帮助其实现流程优化目标。
Zylker Tech 旨在扩大其在市场上的影响力。但是,为了赢得大型企业客户的信任,Zylker Tech 需要 ISO 27001 合规性认证。首席信息官要求Zylker的 IT 经理实现这一目标,然后该过程开始。
Zylker Tech 的变更实践和实施通常取决于几位高级技术人员 Mark 和 Mary。如果没有一个有据可查和既定的变更流程,变更实施的责任就落在了他们身上。
Zylker 现有的变更支持流程在根据 ISO 标准进行测试时无法满足要求。它的流程没有得到很好的管理或记录。Mark 和 Mary 之所以被选中,是因为他们可以身兼数职,包括审查变更、项目影响,并让利益相关者了解停机时间。
为了给Zylker的变更支持带来更有条理的方法,Mark 和 Mary 被指派IT变更管理大修,使其达到 ISO 标准。
在评估了 ISO 27001:2022 的附录 A 控制 8.32 后,Mark 和 Mary 将要求提炼为需要在变更启用程序中实施的六个组成部分。
在明确了需要完成的工作后,Mark 和 Mary 根据要求制定了政策和文档。现在,计划已经准备好了,变更管理优化步骤也写在了纸上。
为了帮助标准化实践,Zylker Tech 需要一个可以强制执行既定变更流程策略的平台。他们依靠ServiceDesk Plus来帮助他们实现符合ISO 27001的变更支持要求。
以下是ServiceDesk Plus帮助Zylker提供的ISO 27001变更管理要求的六个组成部分:
1. 组织应该能够映射和评估变更对 IT 基础设施的影响
ServiceDesk Plus的变更模块将变更流程分为八个阶段:提交、规划、变更咨询委员会(CAB)评估、实施、用户验收测试、发布、审查和关闭。
对于 IT 组织管理的每种类型的更改,可以创建一个模板,其中包含这八个阶段的首选阶段。该模板使变更管理员能够使用每个阶段中的部分记录相关详细信息,这些部分既可以预定义,也可以通过自定义字段使用。
借助 ServiceDesk Plus,Zylker Tech 利用开箱即用的专用部分来记录更改对 IT 基础架构的影响细节。影响详细信息、推出计划和回退计划可以记录在更改请求的“规划”阶段下。除了预定义的部分外,Mark 和 Mary 还可以添加任何类型的字段,以捕获更改每个阶段所需的信息。
在更改请求中,Zylker 能够关联受影响的 CI。ServiceDesk Plus使组织能够创建IT基础设施和服务的可视化关系图。因此,当 CI 在变更请求中关联时,由于 ServiceDesk Plus 的内置 CMDB,Zylker 能够从变更请求中访问 CI 之间的关系图。这些功能共同帮助Zylker满足了这一要求。
2. 组织应实施变更控制,这些授权控制应通过适当的访问权限正确记录
Mark 和 Mary 能够从变更模板中记录变更请求的负责利益相关者。ServiceDesk Plus中的问责制是通过变更角色处理的,该变更角色控制每个进行更改的利益相关者的访问权限。每个变更角色在变更的每个阶段都提供查看、编辑和审批权限。ServiceDesk Plus提供了几个预定义的变更角色,例如变更审批者和审阅者,Zylker Tech在变更过程中利用了这些角色。
除了开箱即用的更改角色外,他们还能够在更改的每个阶段创建具有精细权限的新角色,这进一步使他们能够更好地控制其更改。
在 CAB 评估阶段,Zylker Tech 能够设置多个 CAB 的审批流程。这些帮助他们简化了审批流程,并实现了对其变更的授权控制。只有当CAB的多个级别批准更改时,它才会进入ServiceDesk中流程的实施阶段
3. 向所有内部和外部利益相关者通知拟议的变更
当需要通知利益相关者拟议变更时,Mark和Mary依靠ServiceDesk Plus的通知规则,该规则提供从一个简单的复选框激活的自动通知。
除了通知规则之外,Mark 和 Mary 还意识到,在更改过程中,他们需要更多的上下文通知。为了符合这一要求,他们使用了ServiceDesk Plus中变更工作流程中的“操作”节点。
ServiceDesk Plus中的变更工作流程是可视化路径,可指导变更完成所有阶段(从提交到关闭),并按照工作流程中的配置执行自动操作。“变更工作流”提供四种类型的节点:“阶段”、“条件”、“操作”和“分支”。
Stage 节点可以将变更请求定向到变更流程中的指定阶段和状态。“条件”节点为更改提供了多个路径,以便根据更改的任何参数进行移动。Branch 节点分叉并加入变更路径,Action 节点执行通知、审批、字段更新、任务、计时器和自定义函数。
Zylker Tech 在其变更工作流中利用通知操作节点来提醒利益相关者需要关注和确认的任何活动。
4. 组织应遵守 ISO 27001:2022 附录 A 8.29,对变更进行测试和验收测试
Mark 和 Mary 确保Zylker在部署更改之前,或通过其他方法对一部分用户进行相关的用户验收测试。然后,他们能够在ServiceDesk Plus平台中通过变更过程的专用阶段来记录这一点。
5. 变更的实施应包括应急计划和程序,包括后备计划
ServiceDesk Plus使Zylker Tech能够直接在拟议变更的规划阶段记录影响详细信息,推出计划和回退计划。虽然这些字段是开箱即用的,但Zylker还可以根据需要在每个阶段添加所需的字段。
在实施过程中,建议的更改可以通过任务进行处理,也可以作为具有ServiceDesk Plus集成项目管理模块的IT项目进行处理。这确保了Zylker在实施变更时具有完全的可见性和可控性。
6. 保留变更过程中所有修改和活动的记录
使用ServiceDesk Plus,历史记录选项卡为整个变更过程中发生的所有活动创建了完美的审计跟踪。这帮助Zylker向实现 ISO 27001:2022 合规标准迈进了一步。
ServiceDesk Plus 的变更支持模块采用行业最佳实践构建,帮助Zylker完成了其 ISO 27001:2022 标准要求。一旦 Mark 和 Mary 对流程进行了分类,并配置了ServiceDesk Plus来管理更改,他们就不再是环境中实施的每个更改的非自愿所有者。他们通过回到他们喜欢处理的任务而受益。Zylker Tech 受益于更高效、更精简的流程,以及更符合 ISO 标准。
