论文部分内容阅读
【摘 要】关于基础设施的配置管理是现行各个管理体系标准共同关注的内容,也是整体化管理体系建设过程中必不可少的重要环节。“积极主动型”与“消极被动型”二种管理体系模式是组织在建立管理体系初期需要首先确定的方针,以ISO9001为代表的、以“满足要求”为目标的消极被动型管理体系标准也许是一种无奈的选择,它将“全员参与”的质量管理原则异化为“全员服从”;建立以“超越期望”为目标的积极主动型管理体系将有效地激发组织的创新精神,从而最大限度地实践“持续改进”的管理原则。最后,笔者基于整体化管理体系建设的角度对建立积极主动型的配置管理体系提出了初步的设想。
【关键词】积极主动型;消极被动型;配置管理;管理体系
基础设施等资产的管理是组织资源管理工作中一项非常重要的内容,部分设施如监视和测量设备、特种设备等还涉及到相关的法律法规要求,现行各管理体系标准对此也各有不同程度的重视,分别从不同的方面对组织基础设施的管理提出了不同的管理要求。然而,一方面,由于现行管理体系的垂直性特点,即:各个管理体系只是考虑本身从基础性管理到专业性管理的单方面要求,从而将组织基础设施的管理割裂为若干个不同的方面,不但增加了管理的复杂性,而且也不能满足组织对于其基础设施的整体管理要求;另一方面,我国依然有很多单位的基础设施管理目前还停留在计划经济时期的固定资产管理阶段,使得组织的基础设施管理不能满足当前信息化时代的管理要求,因此,探寻信息化时代组织基础设施的整体化管理模式具有十分重要的意义。
一、现行管理体系标准对于基础设施的管理要求分析
虽然基础设施等资源管理是组织实现其产品与价值的必要条件与根本保障,但是现行各管理体系标准对于组织基础设施管理的要求和重视程度是各不相同的。以质量管理体系标准GB/T19001—2008/ISO9001:2008为例,该标准“6.3基础设施”条款仅要求:“组织应确定、提供并维护为达到符合产品要求所需的基础设施”,但是并没有告诉我们怎样去实现这一目标。该标准7.5.1c条款要求“使用适宜的设备”,但是也没有告诉我们怎样去判定设备是否适宜、又怎样去保证设备的适宜性?然而该标准在“7.6监视和测量设备的控制”条款中为我们提供了一种关于基础设施管理的思路,主要包括:确定基准和检定、调整、标识、防止失效、日常管理(搬运、维护和贮存)五个方面的内容。该标准7.5.1c条款关于设备的适宜性要求、7.5.2b条款关于设备的认可要求、7.6条款对于计量器具的检定和调整要求可以看作都是对于设备能力的确认。
GB/T19022—2003/ISO10012:2003《测量管理体系 测量过程和测量设备的要求》标准“6.2.2软件”、“6.3.1测量设备”二个条款关于测量设施的管理要求与质量管理体系GB/T19001—2008/ISO9001:2008标准7.6条款的相关要求基本一致。
如果说GB/T19001—2008/ISO9001:2008标准对于组织基础设施的管理要求比较简略,那么GB/T24001—2004/ISO14001:2004环境管理体系标准、GB/T28001—2011/OHSAS18001:2007职业健康安全管理体系标准对于基础设施的管理要求就显得有点“简单”了:这二个管理体系标准仅要求组织“提供必要的资源”,均是通过注解的方式说明资源包括基础设施,但是丝毫没有提及对于基础设施的管理要求。
如果说作为基本要求的GB/T19001—2008/ISO9001:2008标准对于基础设施的管理要求当然也是“基本”的,那么作为较高要求的GB/T19004—2011/ISO9004:2009《追求组织的持续成功 质量管理方法》标准关于基础设施的管理要求又是怎样的呢?该标准“6.5基础设施”条款提出了基础设施管理的五个方面要求:
1、基础设施的可信性(包括考虑可用性、可靠性、维修性以及保障性等);2、安全性和保密性;3、与产品和过程相关的基础设施要素;4、效率、成本能力和工作环境;5、基础设施对工作环境的影响。
标准同时还要求:“组织应识别和评估与基础设施相关的风险,并应采取措施降低风险,包括制定适宜的应急计划。”
由此可见:GB/T19004—2011/ISO9004:2009标准依然只是单方面地考虑基础设施是否能满足使用要求这个目标,只是要求的内容更加明确而已,但是也没有提供实现这些目标的方法。其中对于基础设施“可信性”的要求可以认为与GB/T19001—2008/ISO9001:2008标准7.6条款对于计量器具的基准与检定的要求相一致。
但是并非所有的ISO标准都不重视基础设施的管理。在《信息技术 服务管理 第1部分:规范》(GB/T24405.1—2009/ISO/IEC20000-1:2005)这个标准中提出了“配置管理”的概念,该标准通过注释的方式对配置管理的对象------配置项进行了说明:“配置项在复杂性、规模和类型方面变化可能很大,配置项可以是整个系统,包括所有的硬件、软件和文档,也可以是单个模块或很小的硬件部件”;在标准“9.1配置管理”条款中明确了配置管理的具体要求,包括建立配置管理的策略、配置项的基线与标识、配置控制规程、配置审核规程等,标准明确要求配置管理“控制的程度应足以满足业务需求、失效的风险和服务的关键性”,标准同时还要求“定义财务资产核算过程的接口”,并要求建立配置管理数据库(CMDB)。在《信息技术 服务管理 第2部分:实践规则》(GB/T24405.2—2010/ISO/IEC20000-2:2005)标准中对以上要求进行了进一步详细的说明,例如该标准要求“在适当的时候”应整合“顾客与供方”的配置信息、应明确重要资产和配置的管理者、制定配置管理计划、配置项应通过描述“功能和物理特性的属性”进行定义等,并给出了配置项10个方面要求的内容。虽然在最新的ISO/IEC20000-1:2011标准中对配置管理的内容和要求有所调整,似乎更倾向于配置管理数据库CMDB的管理,反而不再强调配置策略、配置控制规程、配置审核规程等管理要求,但是标准从业务需求的角度给我们提供了一个相对比较全面的配置管理框架。 GB/T22081—2008/ISO/IEC27002:2005《信息技术 安全技术 信息安全管理实用规则》标准从信息安全的角度给我们展示了组织基础设施管理的另一方面要求。由于该标准的管理要求是面向组织所有资产的,所以严格而言该标准的所有要求对于基础设施管理均适用,其中与基础设施管理直接相关的内容主要有:A.7.1对资产负责、A.9.2设备安全、A.10.1操作规程和职责、A.10.7介质处置等条款,其中某些要求可以与其它标准的相关要求互相参照,例如: “A.7.1.2资产责任人”条款可以认为与GB/T24405.2—2010/ISO/IEC20000-2:2005标准所要求的关于重要资产和配置的“管理者”相一致,“A.7.1.3资产的可接受使用”条款可以认为与GB/T19004—2011/ISO9004:2009标准所要求的“基础设施的可信性”互相补充等等,标准只是从不同的方面指出了基础设施管理的共同要求。
从以上不同标准对于组织基础设施的管理要求可以看出:
(一)无论是对于组织的产品和业务,还是对于组织的安全性和经济性而言,关于基础设施的配置管理都非常重要;
(二)我们目前还没有一个完善的、关于组织基础设施管理的全面的、有效的配置管理标准。
二、积极主动与消极被动:二种管理体系方针的选择
一个组织中需要建立哪些管理体系、以及如何建立这些管理体系,这一定是由组织的根本利益、也就是组织的战略和方针决定的。GB/T19004—2011/ISO9004:2009标准“5战略和方针”条款明确指出:“最高管理者应建立和保持组织的使命、愿景和价值观”,然而现实工作中我们非常遗憾地发现:很多组织依据GB/T19001—2008/ISO9001:2008等标准建立管理体系的时候,不但我们组织的管理者对于组织的战略和方针往往并不十分清晰,存在着比较普遍的“摸着石头过河”的现象,而且现行的标准本身也似乎刻意回避了这样的问题、并且为组织的管理体系建设做好了“巧妙”的安排。
组织中存在若干方面不同的管理要求,因此可以分别建立若干个不同的管理体系。从整体化组织管理的角度考虑,如果我们希望建立某个管理体系,那么我们首先必须确定这个管理体系在组织整体管理中的作用与地位,为此需要解决二个方面的问题:一、这个管理体系在组织整体管理中的定位,或者说:组织中建立这个管理体系的目的与作用是什么?这将决定我们建立管理体系的策略;二、这个管理体系与组织的方针宗旨及其他各个管理体系的相互关系如何?
关于管理体系在组织中的定位与作用,现行各管理体系标准中均有明确的说明,我们可以从管理体系的方针中加以确认。以GB/T19001—2008/ISO9001:2008质量管理体系为例,该标准的“5.3质量方针”条款提出了“满足要求”、“适宜性”等五项要求,这就告诉我们:这样的质量管理体系是以单方面被动地“满足要求”为目的的,所以质量方针的首要任务是“与组织的宗旨相适应”,至于如何更好地确认与改进组织的宗旨、如何更加恰当地发现产品与服务的要求等等,似乎不是我们质量管理体系的目的,由此可以看出这样的质量管理体系的消极防守性特点。在国际标准化组织(ISO)颁布的其他管理体系标准中,例如:在信息安全管理体系标准GB/T22081—2008/ISO/IEC27001:2005中提出了“在组织的战略性风险管理环境下,建立和保持ISMS”的方针要求,对组织ISMS的要求同样是消极被动的。最新版本的标准ISO/IEC20000-1:2011中同样体现了管理体系的这种特点,均没有要求管理体系为组织的战略框架提供支持与帮助。
这种以单方面的“满足要求”为目的的消极被动型管理体系与中华文化“天人合一”的整体化理念是不一致的。中华文化认为:个体与整体的关系并非只是简单的单方面的服从,更应该有积极的互动,即:个体不仅要服从主体的要求,更应该为主体的健康发展提供积极的支持;主体也不能仅仅要求个体服从主体的利益,同时也应该为个体的成长提供帮助,所以中国人天生具有“天下兴亡,匹夫有责”、“以天下为己任”的家国情怀,中国人从来不认为“各人自扫门前雪”是正确的。《孙子兵法·谋攻第三》说:“故善用兵者……必以全争于天下”,同样是强调全局观念的重要性。片面以“满足要求”为目的的管理体系必将伤害组织的创新精神,这与GB/T19000—2008/ISO9000:2005标准关于“持续改进”的质量管理原则也是不一致的,它无形中还将“全员参与”的质量管理原则异化为“全员服从”,这必然会严重伤害员工的工作积极性和主动性,所以应该引起我们深刻的反思。
现代企业管理的系统整体性观点认为,系统整体性包括两个方面的内容:一是要素对系统整体效益的不可分割性,二是系统整体功能对要素功能的非加和性,即系统整体功能大于各要素功能之和,这种观点与中华文化“天人合一”的整体化理念才是一致的。
那么这种单纯以“满足要求”为目的的被动型管理体系模式是不是ISO的本意呢?还是让我们从ISO的标准中来寻求问题的答案吧。GB/T19000—2008/ISO9000:2005标准在阐述“以顾客为关注焦点”的质量管理原则时指出:“组织依存于顾客,因此,组织应当理解顾客当前和未来的需求,满足顾客要求并争取超越顾客期望”,我相信这个观点代表了ISO真正的本意。但是GB/T19001—2008/ISO9001:2008标准“5.2以顾客为关注焦点”条款的要求却是:“最高管理者应以增强顾客满意为目的,确保顾客的要求得到确定并予以满足”,很显然这样的要求比前面管理原则中的要求降低了:仅仅保留了“满足要求”的内容、而取消了“超越期望”的要求,这就是我们前面所说ISO对于管理体系建设“巧妙”安排的原因。
在ISO目前的管理体系模式中只能建立这种消极被动型的管理体系是可以理解的,也是非常无奈的。因为ISO目前所颁布的管理体系标准都是各自独立的,一个管理体系既不需要向上考虑如何建立组织的战略与宗旨,也不需要向前后左右考虑其与组织中其他管理体系的相互关系,他们只需要从组织现有的管理环境中挤出一个空间来安身立命即可。这样一个没有全局观念的管理体系就必然是服从型的,只能“知其然”(接受要求)、而不能“知其所以然”(为什么这样要求),所以就只能做到“各人自扫门前雪,莫管他人瓦上霜”。这样的管理体系无论其自身是多么的完善,由于缺少了各个管理体系之间的相互关联,所以组织的整体管理依然无法形成“体系”。 根据GB/T19000—2008/ISO9000:2005标准关于“体系”的定义:“相互关联或相互作用的一组要素”,一个管理体系内部各要素的相互关联与相互作用只能实现组织某一方面管理的体系化,只有实现组织内部各管理体系之间的相互关联和相互作用,才能实现组织整体管理的“体系化”,这是任何以“满足要求”为目的的消极被动型管理体系无法实现的,因为“相互关联”与“相互作用”的各方都必须是积极主动的。
我们期望的积极主动型管理体系不仅仅能够“满足要求”,而且要争取“超越期望”、“给顾客以惊喜”,以真正实践“以顾客为关注焦点”的管理原则,整体化管理体系结构模型(详见拙作《基于过程方法的结构式整体化智能性管理体系建设探析》)的建立将使组织建立这种积极主动型管理体系成为可能。
在整体化管理体系结构模型中需要首先确定的是一个管理体系在组织整体化管理系统中的地位与作用,从而也就确定了该管理体系与组织中其他管理体系之间的相互关系,而各个管理体系与组织的中央控制系统紧密相联,不但接受中央控制系统的统一指挥,同时也负责向中央控制系统及时反馈各项有价值的信息。由于各方面对组织的战略宗旨与发展方向都有清晰的了解,对于工作要求不仅“知其然”、而且“知其所以然”,能够及时发现并致力于与相关方协同合作以解决组织所面临的各项内、外部挑战,并且积极开拓探索未知领域的可能性,所以不仅能保障满足相关方的需求,而且能够努力争取超越相关方的期望,从而做到引导和创造需求的现实效果。
我们认为积极主动型管理体系应该具备这样三个特点:一、空间上面向组织、过程、甚至相关方和外部环境的整体利益,能够向组织或过程的其他管理体系提供主动的支持与服务,必要时能够自动与相关方和外部环境的要求相适应;二、时间上涵盖整个生命周期,面向组织、过程以及相关方和环境未来的发展要求,不仅能够迅速适应、并且能够为组织或过程的快速更新提供帮助;三、方法上化被动为主动,变消极为积极,不仅仅以“满足要求”为目标,而且要争取“超越期望”。
“人无远虑,必有近忧”,管理体系建设也是同样的道理,只有让组织的各个管理体系都积极主动地参与到组织的发展中来,才能最大限度地实践“持续改进”的管理原则。
建立这样一种以“超越期望”为目标的积极主动型管理体系必将对组织中其他各管理体系的建设与改进提供有力的支持与帮助。
三、建立积极主动型的配置管理体系
纵观现时国内各单位对于基础设施的配置管理现状,基本上也是处于单方面的“满足要求”这样一个消极被动的处境之中,甚至连“满足要求”这样的基本目标也难以达到。无论是那些传统企业的“设备科”、还是新兴IT公司的“运维部”,他们的职责基本上就是“维修”与“保障”,只是称呼不同而已,很少具备为组织、过程及其产品的持续改进主动提供支持与引导的职责与能力,这种状况显然是不能令人满意的。
标准GB/T24405.1—2009/ISO/IEC20000-1:2005不仅提出了配置项的管理要求,还提出了配置管理的策略、配置控制规程、配置审核规程等要求,让我们看到了一个配置管理体系的雏形,体现了标准对于配置管理的重视。虽然在最新版本的标准ISO/IEC20000-1:2011中仅仅保留了配置项管理的内容,而取消了配置管理的策略、配置控制规程和配置审核规程方面的要求,我相信这是一种可以理解的无奈选择:毕竟ISO/IEC20000-1是一个面向服务的专业性管理体系标准,而配置管理只是组织的一项基础性管理工作,不应该在专业性体系中占有太重的比例。
《基于过程方法的结构式整体化智能性管理体系建设探析》一文已经在其“整体化智能性管理体系结构图”中展示了配置管理体系在组织整体化管理体系中的地位,基于这样的认识,我们认为组织的配置管理体系需要重点关注以下几个方面的内容:
1.与组织整体化管理体系中其他各个管理体系的关系 在组织的整体化管理体系建设过程中,组织的各个管理体系均要服从其中央控制系统的统一指挥,配置管理体系当然也不能例外;不仅如此,一个管理体系在组织整体化管理体系结构中的地位也同时决定了这个管理体系与组织中其他各个管理体系之间的相互关系,这主要是由其优先级确定的,对于配置管理体系而言:它不但需要服从其上级管理体系(信息管理体系、财务管理体系、测量管理体系)的领导、需要与其同级的人员管理体系和能源管理体系保持良好的协同配合,同时还要为组织责任层和业务层的其他管理体系(如环境管理体系、职业健康安全管理体系、质量管理体系等)提供建设框架。
2.配置管理体系应面向组织、过程的容量和能力管理要求 根据组织的整体化管理体系建设策略,组织需要首先确定其建立的管理体系是以“满足要求”为目的的消极被动型管理体系、还是以“超越期望”为目的的积极主动型管理体系。如果组织希望其配置管理体系是以“超越期望”为目的的积极主动型管理体系,这样的管理体系就必须具备为组织、过程当前甚至将来的容量和能力管理提供积极的支持和指引的功能,这将极大地增加管理体系的复杂性,并且对相关人员的能力提出了更高的要求,例如:可能要求组织的配置管理负责人参与到组织对于过程能力计划的制定过程之中。
3.在正式的配置管理体系标准没有颁布之前,现行有关管理体系标准如前文所介绍的GB/T24405.1—2009/ISO/IEC20000-1:2005及其最新标准ISO/IEC20000-1:2011、GB/T24405.2—2010/ISO/IEC20000-2:2005、 GB/T19004—2011/ISO9004:2009等标准可以为组织建设配置管理体系提供非常有价值的指导。配置管理策略需要依据组织的产品与服务、业务特点、管理要求等进行精心策划,配置管理的范围是否需要包括供方(甚至包括分供方)与顾客的配置信息、配置管理与变更管理的关系、怎样通过功能与物理特性来定义配置项、配置项的基线与标杆等等都是需要优先考虑的问题。 4.将GB/T22080—2008/ISO/IEC27001:2005、GB/T22081—2008/ISO/IEC27002:2005信息安全管理体系关于物理资产、软件资产和服务三类资产及其风险的管理纳入配置管理体系是一种较好的选择。基于对组织整体化管理体系的认识,我认为现行信息安全管理体系对于其六类资产的风险管理应该分解到三个管理体系中分别实施:信息管理体系只关注信息资产和无形资产的风险管理,人员资产的风险管理由人员管理体系负责,物理资产、软件资产和服务三类资产的风险管理由配置管理体系负责。当然,将与配置管理体系三类资产相关的操作规程、培训手册等信息资产作为其配置项的一部分纳入配置管理数据库(CMDB)中进行管理也是必须的,这就要求将组织的配置管理数据库与组织的其他数据库相关联,例如:考虑到以上资产的责任人,则需要与人员数据库相关联;考虑到以上资产的检测报告等,则需要与信息资产数据库相关联;考虑到资产的财务核算要求,则需要与组织的财务数据库相关联等等,所以组织在以上数据库的策划和建设过程中也需要统一考虑。
5.对于存在动植物、微生物等生物类资产的组织而言,生物类资产的管理也是配置管理体系需要关注的内容之一,应该根据这类资产的特点进行必要而有效的管理。
6.GB/T22080—2008/ISO/IEC27001:2005标准关于控制措施及其有效性测量的思想是对管理体系建设的巨大贡献,应该被引入配置管理体系的建设中来,前提是需要服从组织整体化管理体系中测量管理体系的相关要求。
7.与以上三类资产相关的服务连续性和可用性管理、应急准备和响应管理、必要时还包括保密性、可信性管理等等也是配置管理体系需要关注的重要内容之一,同样需要组织根据自身的管理要求进行认真策划和实施,必要时还需要兼顾顾客和供方的服务连续性和可用性、保密性等管理要求。
8.配置管理数据库(CMDB)还可以包含与配置项相关的环境因素、职业健康安全危险源辨识及其管理要求等信息,或者与这样的信息数据库相关联,这需要为组织的配置管理体系与其下层环境管理体系、职业健康安全管理体系的接口做好精心的策划和安排。
作为组织整体化管理体系建设的一部分,我们希望通过以配置管理体系的建设为例来说明如何在组织的整体化管理体系框架下建设某个具体的管理体系。由于组织的整体化管理体系建设是一个全新的概念,所以本文的疏漏和不当之处是不可避免的,在此仅希望能够起到抛砖引玉的作用,欢迎各位对组织的整体化管理体系建设感兴趣的同仁一起加入到这个崭新的研究领域中来,从而为组织的整体化管理体系研究贡献我们的才智与心力!
【关键词】积极主动型;消极被动型;配置管理;管理体系
基础设施等资产的管理是组织资源管理工作中一项非常重要的内容,部分设施如监视和测量设备、特种设备等还涉及到相关的法律法规要求,现行各管理体系标准对此也各有不同程度的重视,分别从不同的方面对组织基础设施的管理提出了不同的管理要求。然而,一方面,由于现行管理体系的垂直性特点,即:各个管理体系只是考虑本身从基础性管理到专业性管理的单方面要求,从而将组织基础设施的管理割裂为若干个不同的方面,不但增加了管理的复杂性,而且也不能满足组织对于其基础设施的整体管理要求;另一方面,我国依然有很多单位的基础设施管理目前还停留在计划经济时期的固定资产管理阶段,使得组织的基础设施管理不能满足当前信息化时代的管理要求,因此,探寻信息化时代组织基础设施的整体化管理模式具有十分重要的意义。
一、现行管理体系标准对于基础设施的管理要求分析
虽然基础设施等资源管理是组织实现其产品与价值的必要条件与根本保障,但是现行各管理体系标准对于组织基础设施管理的要求和重视程度是各不相同的。以质量管理体系标准GB/T19001—2008/ISO9001:2008为例,该标准“6.3基础设施”条款仅要求:“组织应确定、提供并维护为达到符合产品要求所需的基础设施”,但是并没有告诉我们怎样去实现这一目标。该标准7.5.1c条款要求“使用适宜的设备”,但是也没有告诉我们怎样去判定设备是否适宜、又怎样去保证设备的适宜性?然而该标准在“7.6监视和测量设备的控制”条款中为我们提供了一种关于基础设施管理的思路,主要包括:确定基准和检定、调整、标识、防止失效、日常管理(搬运、维护和贮存)五个方面的内容。该标准7.5.1c条款关于设备的适宜性要求、7.5.2b条款关于设备的认可要求、7.6条款对于计量器具的检定和调整要求可以看作都是对于设备能力的确认。
GB/T19022—2003/ISO10012:2003《测量管理体系 测量过程和测量设备的要求》标准“6.2.2软件”、“6.3.1测量设备”二个条款关于测量设施的管理要求与质量管理体系GB/T19001—2008/ISO9001:2008标准7.6条款的相关要求基本一致。
如果说GB/T19001—2008/ISO9001:2008标准对于组织基础设施的管理要求比较简略,那么GB/T24001—2004/ISO14001:2004环境管理体系标准、GB/T28001—2011/OHSAS18001:2007职业健康安全管理体系标准对于基础设施的管理要求就显得有点“简单”了:这二个管理体系标准仅要求组织“提供必要的资源”,均是通过注解的方式说明资源包括基础设施,但是丝毫没有提及对于基础设施的管理要求。
如果说作为基本要求的GB/T19001—2008/ISO9001:2008标准对于基础设施的管理要求当然也是“基本”的,那么作为较高要求的GB/T19004—2011/ISO9004:2009《追求组织的持续成功 质量管理方法》标准关于基础设施的管理要求又是怎样的呢?该标准“6.5基础设施”条款提出了基础设施管理的五个方面要求:
1、基础设施的可信性(包括考虑可用性、可靠性、维修性以及保障性等);2、安全性和保密性;3、与产品和过程相关的基础设施要素;4、效率、成本能力和工作环境;5、基础设施对工作环境的影响。
标准同时还要求:“组织应识别和评估与基础设施相关的风险,并应采取措施降低风险,包括制定适宜的应急计划。”
由此可见:GB/T19004—2011/ISO9004:2009标准依然只是单方面地考虑基础设施是否能满足使用要求这个目标,只是要求的内容更加明确而已,但是也没有提供实现这些目标的方法。其中对于基础设施“可信性”的要求可以认为与GB/T19001—2008/ISO9001:2008标准7.6条款对于计量器具的基准与检定的要求相一致。
但是并非所有的ISO标准都不重视基础设施的管理。在《信息技术 服务管理 第1部分:规范》(GB/T24405.1—2009/ISO/IEC20000-1:2005)这个标准中提出了“配置管理”的概念,该标准通过注释的方式对配置管理的对象------配置项进行了说明:“配置项在复杂性、规模和类型方面变化可能很大,配置项可以是整个系统,包括所有的硬件、软件和文档,也可以是单个模块或很小的硬件部件”;在标准“9.1配置管理”条款中明确了配置管理的具体要求,包括建立配置管理的策略、配置项的基线与标识、配置控制规程、配置审核规程等,标准明确要求配置管理“控制的程度应足以满足业务需求、失效的风险和服务的关键性”,标准同时还要求“定义财务资产核算过程的接口”,并要求建立配置管理数据库(CMDB)。在《信息技术 服务管理 第2部分:实践规则》(GB/T24405.2—2010/ISO/IEC20000-2:2005)标准中对以上要求进行了进一步详细的说明,例如该标准要求“在适当的时候”应整合“顾客与供方”的配置信息、应明确重要资产和配置的管理者、制定配置管理计划、配置项应通过描述“功能和物理特性的属性”进行定义等,并给出了配置项10个方面要求的内容。虽然在最新的ISO/IEC20000-1:2011标准中对配置管理的内容和要求有所调整,似乎更倾向于配置管理数据库CMDB的管理,反而不再强调配置策略、配置控制规程、配置审核规程等管理要求,但是标准从业务需求的角度给我们提供了一个相对比较全面的配置管理框架。 GB/T22081—2008/ISO/IEC27002:2005《信息技术 安全技术 信息安全管理实用规则》标准从信息安全的角度给我们展示了组织基础设施管理的另一方面要求。由于该标准的管理要求是面向组织所有资产的,所以严格而言该标准的所有要求对于基础设施管理均适用,其中与基础设施管理直接相关的内容主要有:A.7.1对资产负责、A.9.2设备安全、A.10.1操作规程和职责、A.10.7介质处置等条款,其中某些要求可以与其它标准的相关要求互相参照,例如: “A.7.1.2资产责任人”条款可以认为与GB/T24405.2—2010/ISO/IEC20000-2:2005标准所要求的关于重要资产和配置的“管理者”相一致,“A.7.1.3资产的可接受使用”条款可以认为与GB/T19004—2011/ISO9004:2009标准所要求的“基础设施的可信性”互相补充等等,标准只是从不同的方面指出了基础设施管理的共同要求。
从以上不同标准对于组织基础设施的管理要求可以看出:
(一)无论是对于组织的产品和业务,还是对于组织的安全性和经济性而言,关于基础设施的配置管理都非常重要;
(二)我们目前还没有一个完善的、关于组织基础设施管理的全面的、有效的配置管理标准。
二、积极主动与消极被动:二种管理体系方针的选择
一个组织中需要建立哪些管理体系、以及如何建立这些管理体系,这一定是由组织的根本利益、也就是组织的战略和方针决定的。GB/T19004—2011/ISO9004:2009标准“5战略和方针”条款明确指出:“最高管理者应建立和保持组织的使命、愿景和价值观”,然而现实工作中我们非常遗憾地发现:很多组织依据GB/T19001—2008/ISO9001:2008等标准建立管理体系的时候,不但我们组织的管理者对于组织的战略和方针往往并不十分清晰,存在着比较普遍的“摸着石头过河”的现象,而且现行的标准本身也似乎刻意回避了这样的问题、并且为组织的管理体系建设做好了“巧妙”的安排。
组织中存在若干方面不同的管理要求,因此可以分别建立若干个不同的管理体系。从整体化组织管理的角度考虑,如果我们希望建立某个管理体系,那么我们首先必须确定这个管理体系在组织整体管理中的作用与地位,为此需要解决二个方面的问题:一、这个管理体系在组织整体管理中的定位,或者说:组织中建立这个管理体系的目的与作用是什么?这将决定我们建立管理体系的策略;二、这个管理体系与组织的方针宗旨及其他各个管理体系的相互关系如何?
关于管理体系在组织中的定位与作用,现行各管理体系标准中均有明确的说明,我们可以从管理体系的方针中加以确认。以GB/T19001—2008/ISO9001:2008质量管理体系为例,该标准的“5.3质量方针”条款提出了“满足要求”、“适宜性”等五项要求,这就告诉我们:这样的质量管理体系是以单方面被动地“满足要求”为目的的,所以质量方针的首要任务是“与组织的宗旨相适应”,至于如何更好地确认与改进组织的宗旨、如何更加恰当地发现产品与服务的要求等等,似乎不是我们质量管理体系的目的,由此可以看出这样的质量管理体系的消极防守性特点。在国际标准化组织(ISO)颁布的其他管理体系标准中,例如:在信息安全管理体系标准GB/T22081—2008/ISO/IEC27001:2005中提出了“在组织的战略性风险管理环境下,建立和保持ISMS”的方针要求,对组织ISMS的要求同样是消极被动的。最新版本的标准ISO/IEC20000-1:2011中同样体现了管理体系的这种特点,均没有要求管理体系为组织的战略框架提供支持与帮助。
这种以单方面的“满足要求”为目的的消极被动型管理体系与中华文化“天人合一”的整体化理念是不一致的。中华文化认为:个体与整体的关系并非只是简单的单方面的服从,更应该有积极的互动,即:个体不仅要服从主体的要求,更应该为主体的健康发展提供积极的支持;主体也不能仅仅要求个体服从主体的利益,同时也应该为个体的成长提供帮助,所以中国人天生具有“天下兴亡,匹夫有责”、“以天下为己任”的家国情怀,中国人从来不认为“各人自扫门前雪”是正确的。《孙子兵法·谋攻第三》说:“故善用兵者……必以全争于天下”,同样是强调全局观念的重要性。片面以“满足要求”为目的的管理体系必将伤害组织的创新精神,这与GB/T19000—2008/ISO9000:2005标准关于“持续改进”的质量管理原则也是不一致的,它无形中还将“全员参与”的质量管理原则异化为“全员服从”,这必然会严重伤害员工的工作积极性和主动性,所以应该引起我们深刻的反思。
现代企业管理的系统整体性观点认为,系统整体性包括两个方面的内容:一是要素对系统整体效益的不可分割性,二是系统整体功能对要素功能的非加和性,即系统整体功能大于各要素功能之和,这种观点与中华文化“天人合一”的整体化理念才是一致的。
那么这种单纯以“满足要求”为目的的被动型管理体系模式是不是ISO的本意呢?还是让我们从ISO的标准中来寻求问题的答案吧。GB/T19000—2008/ISO9000:2005标准在阐述“以顾客为关注焦点”的质量管理原则时指出:“组织依存于顾客,因此,组织应当理解顾客当前和未来的需求,满足顾客要求并争取超越顾客期望”,我相信这个观点代表了ISO真正的本意。但是GB/T19001—2008/ISO9001:2008标准“5.2以顾客为关注焦点”条款的要求却是:“最高管理者应以增强顾客满意为目的,确保顾客的要求得到确定并予以满足”,很显然这样的要求比前面管理原则中的要求降低了:仅仅保留了“满足要求”的内容、而取消了“超越期望”的要求,这就是我们前面所说ISO对于管理体系建设“巧妙”安排的原因。
在ISO目前的管理体系模式中只能建立这种消极被动型的管理体系是可以理解的,也是非常无奈的。因为ISO目前所颁布的管理体系标准都是各自独立的,一个管理体系既不需要向上考虑如何建立组织的战略与宗旨,也不需要向前后左右考虑其与组织中其他管理体系的相互关系,他们只需要从组织现有的管理环境中挤出一个空间来安身立命即可。这样一个没有全局观念的管理体系就必然是服从型的,只能“知其然”(接受要求)、而不能“知其所以然”(为什么这样要求),所以就只能做到“各人自扫门前雪,莫管他人瓦上霜”。这样的管理体系无论其自身是多么的完善,由于缺少了各个管理体系之间的相互关联,所以组织的整体管理依然无法形成“体系”。 根据GB/T19000—2008/ISO9000:2005标准关于“体系”的定义:“相互关联或相互作用的一组要素”,一个管理体系内部各要素的相互关联与相互作用只能实现组织某一方面管理的体系化,只有实现组织内部各管理体系之间的相互关联和相互作用,才能实现组织整体管理的“体系化”,这是任何以“满足要求”为目的的消极被动型管理体系无法实现的,因为“相互关联”与“相互作用”的各方都必须是积极主动的。
我们期望的积极主动型管理体系不仅仅能够“满足要求”,而且要争取“超越期望”、“给顾客以惊喜”,以真正实践“以顾客为关注焦点”的管理原则,整体化管理体系结构模型(详见拙作《基于过程方法的结构式整体化智能性管理体系建设探析》)的建立将使组织建立这种积极主动型管理体系成为可能。
在整体化管理体系结构模型中需要首先确定的是一个管理体系在组织整体化管理系统中的地位与作用,从而也就确定了该管理体系与组织中其他管理体系之间的相互关系,而各个管理体系与组织的中央控制系统紧密相联,不但接受中央控制系统的统一指挥,同时也负责向中央控制系统及时反馈各项有价值的信息。由于各方面对组织的战略宗旨与发展方向都有清晰的了解,对于工作要求不仅“知其然”、而且“知其所以然”,能够及时发现并致力于与相关方协同合作以解决组织所面临的各项内、外部挑战,并且积极开拓探索未知领域的可能性,所以不仅能保障满足相关方的需求,而且能够努力争取超越相关方的期望,从而做到引导和创造需求的现实效果。
我们认为积极主动型管理体系应该具备这样三个特点:一、空间上面向组织、过程、甚至相关方和外部环境的整体利益,能够向组织或过程的其他管理体系提供主动的支持与服务,必要时能够自动与相关方和外部环境的要求相适应;二、时间上涵盖整个生命周期,面向组织、过程以及相关方和环境未来的发展要求,不仅能够迅速适应、并且能够为组织或过程的快速更新提供帮助;三、方法上化被动为主动,变消极为积极,不仅仅以“满足要求”为目标,而且要争取“超越期望”。
“人无远虑,必有近忧”,管理体系建设也是同样的道理,只有让组织的各个管理体系都积极主动地参与到组织的发展中来,才能最大限度地实践“持续改进”的管理原则。
建立这样一种以“超越期望”为目标的积极主动型管理体系必将对组织中其他各管理体系的建设与改进提供有力的支持与帮助。
三、建立积极主动型的配置管理体系
纵观现时国内各单位对于基础设施的配置管理现状,基本上也是处于单方面的“满足要求”这样一个消极被动的处境之中,甚至连“满足要求”这样的基本目标也难以达到。无论是那些传统企业的“设备科”、还是新兴IT公司的“运维部”,他们的职责基本上就是“维修”与“保障”,只是称呼不同而已,很少具备为组织、过程及其产品的持续改进主动提供支持与引导的职责与能力,这种状况显然是不能令人满意的。
标准GB/T24405.1—2009/ISO/IEC20000-1:2005不仅提出了配置项的管理要求,还提出了配置管理的策略、配置控制规程、配置审核规程等要求,让我们看到了一个配置管理体系的雏形,体现了标准对于配置管理的重视。虽然在最新版本的标准ISO/IEC20000-1:2011中仅仅保留了配置项管理的内容,而取消了配置管理的策略、配置控制规程和配置审核规程方面的要求,我相信这是一种可以理解的无奈选择:毕竟ISO/IEC20000-1是一个面向服务的专业性管理体系标准,而配置管理只是组织的一项基础性管理工作,不应该在专业性体系中占有太重的比例。
《基于过程方法的结构式整体化智能性管理体系建设探析》一文已经在其“整体化智能性管理体系结构图”中展示了配置管理体系在组织整体化管理体系中的地位,基于这样的认识,我们认为组织的配置管理体系需要重点关注以下几个方面的内容:
1.与组织整体化管理体系中其他各个管理体系的关系 在组织的整体化管理体系建设过程中,组织的各个管理体系均要服从其中央控制系统的统一指挥,配置管理体系当然也不能例外;不仅如此,一个管理体系在组织整体化管理体系结构中的地位也同时决定了这个管理体系与组织中其他各个管理体系之间的相互关系,这主要是由其优先级确定的,对于配置管理体系而言:它不但需要服从其上级管理体系(信息管理体系、财务管理体系、测量管理体系)的领导、需要与其同级的人员管理体系和能源管理体系保持良好的协同配合,同时还要为组织责任层和业务层的其他管理体系(如环境管理体系、职业健康安全管理体系、质量管理体系等)提供建设框架。
2.配置管理体系应面向组织、过程的容量和能力管理要求 根据组织的整体化管理体系建设策略,组织需要首先确定其建立的管理体系是以“满足要求”为目的的消极被动型管理体系、还是以“超越期望”为目的的积极主动型管理体系。如果组织希望其配置管理体系是以“超越期望”为目的的积极主动型管理体系,这样的管理体系就必须具备为组织、过程当前甚至将来的容量和能力管理提供积极的支持和指引的功能,这将极大地增加管理体系的复杂性,并且对相关人员的能力提出了更高的要求,例如:可能要求组织的配置管理负责人参与到组织对于过程能力计划的制定过程之中。
3.在正式的配置管理体系标准没有颁布之前,现行有关管理体系标准如前文所介绍的GB/T24405.1—2009/ISO/IEC20000-1:2005及其最新标准ISO/IEC20000-1:2011、GB/T24405.2—2010/ISO/IEC20000-2:2005、 GB/T19004—2011/ISO9004:2009等标准可以为组织建设配置管理体系提供非常有价值的指导。配置管理策略需要依据组织的产品与服务、业务特点、管理要求等进行精心策划,配置管理的范围是否需要包括供方(甚至包括分供方)与顾客的配置信息、配置管理与变更管理的关系、怎样通过功能与物理特性来定义配置项、配置项的基线与标杆等等都是需要优先考虑的问题。 4.将GB/T22080—2008/ISO/IEC27001:2005、GB/T22081—2008/ISO/IEC27002:2005信息安全管理体系关于物理资产、软件资产和服务三类资产及其风险的管理纳入配置管理体系是一种较好的选择。基于对组织整体化管理体系的认识,我认为现行信息安全管理体系对于其六类资产的风险管理应该分解到三个管理体系中分别实施:信息管理体系只关注信息资产和无形资产的风险管理,人员资产的风险管理由人员管理体系负责,物理资产、软件资产和服务三类资产的风险管理由配置管理体系负责。当然,将与配置管理体系三类资产相关的操作规程、培训手册等信息资产作为其配置项的一部分纳入配置管理数据库(CMDB)中进行管理也是必须的,这就要求将组织的配置管理数据库与组织的其他数据库相关联,例如:考虑到以上资产的责任人,则需要与人员数据库相关联;考虑到以上资产的检测报告等,则需要与信息资产数据库相关联;考虑到资产的财务核算要求,则需要与组织的财务数据库相关联等等,所以组织在以上数据库的策划和建设过程中也需要统一考虑。
5.对于存在动植物、微生物等生物类资产的组织而言,生物类资产的管理也是配置管理体系需要关注的内容之一,应该根据这类资产的特点进行必要而有效的管理。
6.GB/T22080—2008/ISO/IEC27001:2005标准关于控制措施及其有效性测量的思想是对管理体系建设的巨大贡献,应该被引入配置管理体系的建设中来,前提是需要服从组织整体化管理体系中测量管理体系的相关要求。
7.与以上三类资产相关的服务连续性和可用性管理、应急准备和响应管理、必要时还包括保密性、可信性管理等等也是配置管理体系需要关注的重要内容之一,同样需要组织根据自身的管理要求进行认真策划和实施,必要时还需要兼顾顾客和供方的服务连续性和可用性、保密性等管理要求。
8.配置管理数据库(CMDB)还可以包含与配置项相关的环境因素、职业健康安全危险源辨识及其管理要求等信息,或者与这样的信息数据库相关联,这需要为组织的配置管理体系与其下层环境管理体系、职业健康安全管理体系的接口做好精心的策划和安排。
作为组织整体化管理体系建设的一部分,我们希望通过以配置管理体系的建设为例来说明如何在组织的整体化管理体系框架下建设某个具体的管理体系。由于组织的整体化管理体系建设是一个全新的概念,所以本文的疏漏和不当之处是不可避免的,在此仅希望能够起到抛砖引玉的作用,欢迎各位对组织的整体化管理体系建设感兴趣的同仁一起加入到这个崭新的研究领域中来,从而为组织的整体化管理体系研究贡献我们的才智与心力!