Jason的電腦健身房

Operation Security其中一個很重要的一環就是Change Control Management(變更控制管理)，這個部份讓我不禁將ITIL的內容連結，在ITIL也就是ISO-20000的Best Practices，其中最難做的就是變更管理(組態管理)，透過ITIL的觀念中，整合商務與IT的變更控制，是變更管理中應該要注意的部份，導入這個控制重點是在於降低變更或是維護時，造成的風險衝擊，而任何變更若沒有比原本的內容有更好的效益，那麼就不需要進行變更了，尤其是與商業相關的各種功能或流程，那麼在於變更控制的權責單位應由一個單位權全負責，而在國外會成立一個變更控制委員會，而這個委員會必須控制所有變更:
1.Properly tested(正確的完成測試作業): 變更一定對系統會造成某種層度的衝擊，針對變更的影響範圍愈大，則測試的流程則會愈嚴僅。
2.Authorized(授權): 變更必須經由高階主管允許後，才能開始執行，而任何變更必均必須取得授權，以避免未經授權的變更。
3.Scheduled(排程): 就如同專案的執行，對於各項變更的行程，從開始測試到正式線上的變更控制必須立定相關期程。
4.Communicated(通訊): 對於所有的變更必須保持所有的通聯都是正常，且每步都需要回報其程序及其狀態。
5.Documented(文件化): 整個變更控制的過程中，必須透過記錄並且完成所有文件化的程序，以便日後查閱。

而整個變更控制的程序就必須包含有：
Request(需求): 所有建議的變更必須正式、建議申請，任何一個變更不可能都成立一個專案，建議的需求都必須經過批可申請成立。
Impact Assessment(衝擊評估):這個步驟是針對變更的效益，在整個變更的過程是否會產生那些問題或效益。
Approval(批可): 在某些案件中，是被駁回的，也代表著不是所有的變更都會被准予通過，而這個決定必經由委員會的批可方可成立。
Build/Test(建構/測試):這個步驟是實際的佈署或建置這個變更，所需的情境去，測試這個變更是否會對於系統其它的應用程式產生衝擊，並且得以產生預期的效益，這個內容包含有回復測試，及各項進行變更的的檢視。
Implement(履行): 一個變更必須被測試過後並且被批可後釋出，而任何變更必須排定時間進行佈署，尤其真於這個過程必須符合職責分工的要求，以避免一個人獨自完成這個工作，並在佈署完成時必須將所有的變更的註解，並於完成時同時產出。
Monitor(監控): 所有的運作均必須在監控的程序中完成，任何一個變更必須被識別，因此在整個變更管理的過程中，應予以監控。

那麼在變更管理中，另一個重點因素就是組態管理(Configuration Management)，而這個變更控制是來自於(ITIL稱這些東西為CI; Configuration Item)：
Hardware(硬體)、Software(軟體)、Firmware(韌體)、Documentation(文件化)，最後產出Hardware Inventory(硬體清單)及Configuration Chart(組態圖表)
那麼變更管理中也必須要針對Patch Management(修補管理)做識別、測試及退場機制，在此程序與上述的變更管理的內容及程序相同，但有一個相當重要的觀念是多數人所沒有考慮到的，許多的修補其實可能需要重置，也有可能必使得程序中斷，但，這個還是較輕的影響，更重要的觀念不是每個patch都非上不可，若patch在更新後會影響到重要的商業流程，那麼，不上也羆!
因此Roll out就成了patch的管理很重要的重點了，而roll out又稱為fail back或roll back，如何在patch更新失敗時，如何無痛的回復到原本的狀態，那麼就是變更管理中的Impact assessment階段就必須規劃出來，因此可見，這個精神與ITSM的管理精神是相當的。

變更管理是必須站在對於程序，是有助益的才有價值去做變更，若只是單純的為了變更而變更，那麼不做也羆了，變更管理的方法和管理程序各有千秋，尤其是對於重大資訊資產的變更，更是需要考慮到企業運作的內容和流程是否因此受到阻斷，因此對於計劃與相關程序的監控是一個相當重要的程序，希望今天的變更管理對大家在思考不管是IT類還是商務內容都有更多幫助。

---

Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security

---