精华内容
下载资源
问答
  • Gartner_IT企业成熟度模型.pdf
  • 华中科技大学软件学院《企业成熟度模型CMM》课件 授课教师:沈刚
  • 企业crm成熟度

    2012-04-11 15:23:14
    企业如何对待客户?企业中的任何员工是否能够在各种接触点上对客户有一个统一的认识?但是根据著名的IT分析公司Gartner的研究发现,只有10%的企业能够拥有统一的客户...而这同时也说明了成熟CRM的市场潜力将非常大。
  • 企业数字化转型成熟度模型IOMM 企业数字化转型成熟度模型IOMM 企业数字化转型成熟度模型IOMM
  • 我们的持续集成和自动化实践成熟度如何?我们在哪里可以得到针对我们的具体问题和需求最需要改进的地方?其他组织如何解决这些一样的问题?这个指南将帮助你回答这些问题。敏捷软件开发和持续集成同目前企业的大规模...
  • 整理自Intel的企业IT成熟度框架知识
  • 企业数字化转型成熟度模型IOMM.pdf
  • 2018年的企业成熟度模型

    千次阅读 2018-05-01 12:22:38
    本文作为一个有价值的路线图... 在这篇博客文章中,我提出了一个适用于公司的企业成熟度模型,即将云计算视为节约成本的一种方式,又可以利用云原生的固有灵活性来创建新的业务模型。介绍企业刚刚开始进入一个为期十...
    本文作为一个有价值的路线图,旨在帮助那些正在寻求优化企业云的人。
    

    随着规范和安全性因素的改善,除了构建功能丰富的私有云外,企业还开始将工作负载转移到公有云中。 两者的结合 - 混合云 - 将成为2018年及以后的主流基础架构模式。 在这篇博客文章中,我提出了一个适用于公司的企业成熟度模型,即将云计算视为节约成本的一种方式,又可以利用云原生的固有灵活性来创建新的业务模型。


    介绍

    企业刚刚开始进入一个为期十余年的演进,在基础设施和开发领域转向以云技术为主导的IT环境。 虽然每个企业的关键驱动因素可能会有所不同,但上市时间、降低的成本以及易管理性等标准通常被认为很重要。

    下图显示了一个四阶段云成熟度模型。 在第一个和第二个成熟阶段,企业可以被称为初学者,落后于他们技术上最先进的竞争对手。 在其余两个层面上,公司开始将IT视为自助服务,与开发人员进行更多协作以构建和逐步增强企业应用程序。


    第一阶段:临时

    在第一阶段,云计算及其相关概念如IaaS,容器,编排,SaaS等是企业最熟悉的术语。
    *大多数基础架构托管在两个或更多数据中心,分布在一个国家甚至跨越一两个大洲。
    *应用程序规模有数百个,组织缺乏统一的IT架构标准,各种应用程序混杂在一起。
    *开发流程从瀑布到各种形式的敏捷,但是单体架构/三层架构阻碍了应用程序本身的灵活性。
    *硬件平台是专有或开源的Unix变体(HP UX,Solaris,Linux等)与Windows的混合体。
    *这些组织中的业务线通常不满底层基础架构的僵化,并将IT视为瓶颈
    *因此,IT团队在做出自己的技术购买决策时往往被有影响力的业务部门所束缚。

    第二阶段:虚拟化

    对于第二阶段的组织来说,服务器虚拟化是全面部署的。虽然诸如IaaS,Containers,Orchestration,SaaS等术语在开发、基础架构和运营团队之间有积极的讨论, 但主要模式还是运行供应商提供的软件来管理大型虚拟实例 - 通常有数十万个。
    *大多数基础架构内部托管有两个或更多数据中心,分布在一个国家或甚至跨越一两个大洲。
    *但是,由于对中央IT部门的不满,他们的业务部门对使用公有云越来越感兴趣,因为中央IT部门提供服务需要很长的交付周期(通常在1到2个月之间)
    *虽然应用程序数量只有几百个,但这一阶段的企业已经开始制定中央IT架构标准以减少应用程序的杂乱无序。
    *为了提高单体架构/三层架构的灵活性,这些组织开始在开发生命周期的特定阶段采用DevOps之类的实践,包括单元测试,持续集成和实时应用程序监控。目标都是为了减少应用程序的错误,并缩短检测应用程序中故障的平均时间。
    *IT部门不再孤单,购买决策由业务部门和IT部门共享,通过评议来实现数据和应用程序资产的合理化。
    *影子IT开始越来越多地出现。
    *然而,与专有虚拟化相关的成本已经开始限制预算。业务线正在加速转向基于Linux的商业服务器上运行的虚拟化,以保持成本竞争力。但是,与迁移相关的系统管理技能和成本仍然是一个重大瓶颈。

    阶段#3:云就绪

    在云就绪阶段,组织由于其领导地位,意识到他们IT的最终目标将是基于云的IT服务 - 为开发人员提供应用程序、服务器、存储或应用程序堆栈。
    *通常在CIO的领导下公司会进行大量的投资优化组合,基于具体不同的标准,将应用程序部署到公有或私有云。
    *转向云计算取决于经济因素 - 经济性(如基础设施成本,开发人员/管理人员培训/互操作性成本),投资回报率(ROI),盈亏平衡前经过的年/季度数以及定性因素 - 业务对短期痛苦的容忍度,企业追赶和解除竞争的必要性等等。将此分析与整个基础架构中的现有IT供应商投资(合同等)结合起来可能也非常有用,可以构建风险/回报连续统一的视角。还需要考虑是否可以以某种方式将组合后的云支出合并到现有老系统的更新/重构项目或数据中心整合项目中。
    *其他决定性标准根据需要的监管水平和性能而不同。通常,企业应用程序将继续部署在本地。
    *Greenfield应用程序可以根据业务需求从基于云的开发和交付模式中受益,并将转而混合使用私有云和公有云。这些应用程序正在使用DevOps流程进行开发,包括CI / CD pipeline和监控 - 这些服务在公有云上能够很容易获得。
    *在这个阶段,团队经常抱怨的高成本的专有虚拟化和管制严格的Greenfield应用程序将倾向于私有云上的POC--通常是像OpenStack一样运行KVM作为hypervisor的IaaS解决方案。
    *作为组合分析的结果,绝大多数单体应用程序正在成为第一批升级和改造的目标,这意味着它们将被移植到运行虚拟机的云中。
    *由于成本考虑,重新将代码云化仍然是一个理想的选择。

    阶段#4:云优化

    *鉴于快速成熟的基于云的交付模式(IaaS和SaaS) - 在这个阶段的企业必然包括对这四个关键技术领域的云原生架构的策略和设计。
    *云原生成为应用程序开发事实上的标准。基于对云计算框架的深入理解,云原生应用程序需要进行架构设计,开发,打包,交付和管理。应用程序本身从一开始就需要考虑可扩展性,弹性和增量增强。
    *根据应用的不同,优化原则包括IaaS部署管理以及容器编排。这些应用程序需要使用敏捷原则来支持开发和增量增强。基本事实是,这不仅会改变您的基础设施的配置和部署方式,还会改变它的管理方式。
    *此阶段的云架构涵盖四个关键领域:1)业务架构,2)数据架构,3)应用程序设计和4)部署架构。
    *现阶段的公司将广泛部署CaaS(容器即服务)和FaaS(Function即服务)。 PaaS可组合性的缺失将推动Kubernetes等开放源代码技术的普及。
    *企业意识到运行私有云时运营成本最大,而不是硬件、电力或冷却成本。这将导致企业将工作负载从公有云转移到已对低运营成本和复杂性进行了优化的私有云。

    我的建议...

    无论你处于哪个阶段,取决于你的业务压力,你都需在几个月或几年内继续前进。随着公有云服务的易获得性,许多大型企业除了支持现有内部基础架构的成本之外,还有高昂的“影子IT”开支。那么处于云成熟度不同阶段的企业都可以从中获得什么样的最佳实践建议?我认为有六个关键的东西。
    1.调研实现不同经济和商业价值模式并推动商业成功的案例。就成本和运营方面的挑战而言,设计效率低下的云场景实际上可能对业务造成灾难性影响。
    2.考虑一系列混合云架构,牢记上述成熟度和体系结构。尽可能避免锁定IaaS提供商或云端堆栈。作为一种降低风险的方式,投资于私有云战略。公有云永远不会是万能的。
    3.运行私有云最大的难点在于运维成本。考虑采用可部署、可监控、排障并无缝更新私有云的SaaS Managed解决方案,以便在未来的几年中,您可以确保以最低的运营成本获得最先进的私有云管理。
    4.多云管理是云管理员需要处理的一个挑战,一些管理措施需要在整个商业环境中进行阐述 - 经济、价值实现、人员规划,退单等。“单一管理平面”是值得的追求的目标,但是,要小心销售“集成”堆栈的供应商,这些与公有云API一样容易被锁定。
    5.利用垂直行业采用的成功蓝图和模式。您所在行业的领导者如何将垂直云中的特定用例用于更广泛的场景?
    6.在三个重要方面,即私有云、公有云和容器原生开发,中基于SaaS管理平面的投资是关键。这些将成为降低混合云和容器管理投资风险的一种方式。

    原文
    展开全文
  • 企业经营管理成熟度

    千次阅读 2014-03-16 17:07:45
    企业经营管理成熟度我自己把企业管理成熟度分为六个层级:1、组织管理、人才建设管理到位2、项目管理到位3、战略管理、绩效管理到位4、公司治理管理到位5、产业链管理到位6、行业生态圈管理到位一、成熟度一级:组织...
    企业经营管理成熟度
    


    我自己把企业管理成熟度分为六个层级:
    1、组织管理、人才建设管理到位
    2、项目管理到位
    3、战略管理、绩效管理到位
    4、公司治理管理到位
    5、产业链管理到位
    6、行业生态圈管理到位


    一、成熟度一级:组织管理、人才建设



    我曾经说中国企业管理成熟度还一屁股坐在地上,但我看到机场大师多年不绝、刘一秒万人体育场培训、微信营销万元课程趋之若鹜,我发现我还是把中国大量企业看高了。大量企业寻租关系而起步、逐水草而居、随大风而起,有事就需要人,因而企业营收多了、人数多了,仅此而已。对于企业管理成熟度,只能说还在地底下。对什么企业文化建设、战略管理、组织管理、人才管理、运营管理、计划管理、员工晋升通道、绩效管理等等都还没啥清晰框架及夯实建设。


    有人搞咨询有人搞ERP实施,一上来不是搞战略梳理就是搞流程梳理,甚至还有人搞决策指标体系。还有的人鸡贼,不谈这些高大上,你需要什么提效工具我就给你什么,先从你最觉得工作量大的业务入手,你说哪里需要修改我就修改,我就是个工具制造工具开发劳工。


    我说这些还都太高,员工们中层管理者们老抱怨我们企业管理很烂、我们到处都乱哄哄、朝令夕改、没章法都没人管、找人也没人理。咱们一一分析:朝令夕改是缺乏有效的计划管理和决策管理,没章法都没人管是缺乏制度制定人或缺乏明确的制度制定与制度执行监管负责人,没人理是职责不清都不知道这应该是谁的份内之事。


    所以说,归结到根本就是干事人职责不清晰、监督人职责不清晰、制度制定人没有或职责不清晰,这都是组织管理范畴的事。


    组织管理,就是把部门/区域/分公司/总部的各自重心/职责/边界说清楚,把岗位级别、各级别岗位重心/职责/边界说清楚。


    很多企业都说不清楚。一件事,到底应该这是谁的事,谁应该对此事领导起来担当起来,一较真都退了。所以说,先别搞啥流程梳理/诊断/优化,先把组织职责/边界梳理清楚。


    梳理完后,就应该按岗位描述按现在的人进行对标,人岗不匹配,说是一套做是一套这就还清晰不了,所以就得对标。


    对标后,不合格的该辞退该转岗该降职该再培训,这就需要企业根据具体环境拿措施了。所以这就轮到了人才建设。


    各岗位的人才怎么识别/识别的标准是什么/什么能力什么级别的人来识别人才、怎么持续培训指导人才、怎么形成骨干人才梯队/继任方法。


    很多企业干事乱哄哄就是人的能力就达不到,但他就在那个岗位上,所以瞎计划瞎决策瞎指挥、基层也瞎干瞎忙、靠人堆靠加班靠救火一窝蜂。这就是缺乏组织管理/人才梯队建设/人才能力建设。


    二、成熟度二级:项目管理


    我国从政府这个最大组织就不遵守契约不按照计划走,而大部分资源又掌握在政府手里面,所以我们企业必须跟随政府组织来随机应变。而且我们中国大部分老百姓看到寻租人抢掠因而心中浮躁不甘/伺机鸡贼/无赖无奈混日子,所以大量人不是职业成年人,对计划契约也不遵守。而普遍企业老板们整天谈理想谈文化谈自驱力,但一谈到钱权利也立刻较真起来诡异起来,所以普遍老板也不遵守契约。


    在这种局面下做事,不能制定/执行长时间的事,必须把事情划分为多个小周期阶段来干,不能搞大组织来做事,自己连自己都管不好,更别说把一堆人聚合起来,所以必须以小团队形式来干。


    所以我把成熟度二级阶段的重心在项目管理。把人、时间、资金、事情、奖罚,都绑定在一个小周期小团队中。这样分解后就比较可控。这种管理形式是比较中国目前各级人的现状情况的。


    我其实还挺怕提项目管理这个词,因为这个词在国际上是有成套的体系的。而中国人做事还普遍无法达成体系,你跟他一讲体系他头疼的要逃避。我这里说项目管理也不是为了套项目管理体系,而是因为目前人的素质能力只能控制得住小团队小周期。我也挺避免讲计划管理,虽然计划管理是项目管理体系中非常重要的一大块。对于从上到下都缺乏契约精神和兑现能力只能靠压靠加班靠人多堆才能完成的普遍人,你只能小周期、粗粒度事务分配推动。对于西方发源于大工业大组织规模化生产的企业资源计划,它讲究以计划驱动PDCA,讲究企业顶层审视全部企业资源(包括人都是资源的一种),站在中国目前现状还不太适合。顶层全局视野和概括能力的人本身就少,还要这么多资源统筹运作,还要落实到日常精细计划PDCA循环,这和曾经的国家组织级计划经济何异?国家组织级计划经济已经事实证明破产,不如放开让老百姓自己根据环境搞活/根据利益自己组合,那我们作为日益规模庞大的企业组织也需要借鉴这种经验教训。



    而且这个世界这个社会的竞争已经多种因素并存、大众/企业三教九流什么都有而且绝对数量都很大,这更需要哺乳动物般的小型、灵活。所以我这样做是符合现实也附和未来企业形态变迁走向的。


    三、成熟度三级:战略管理、绩效管理


    有人问,你咋不提流程管理呢?应该在这个阶段流程很重要了呀。


    我说都是10-15人的小团队,团队Leader或项目经理直接看到/管理/指挥每一个人、每日跟进推动与检查、每周汇报,所以没有很多层级也没有很多道协作。让一个团队坐在一个物理空间内,让各个团队之间互相竞争、评优,这就容易促成团队之间高内聚低耦合。这样的团队我们是有一定的岗位之间的流程制度,但我们不会强化流程管理,尤其不强化端到端全流程管理、企业统一整合流程管理。让团队之间有限的关系整理出明确的对接接口、对接时间要求/质量要求、明确的对接岗位/对接人、明确的绩效奖罚反制衡平衡绩效机制,流程管理仅限于此程度。


    在这个阶段,我反而更认为关键不是拿流程把各个团队串联聚合整合在一起,而更应该是拿战略、拿绩效把各个团队串联在一起,这反而比流程起的作用更大、发挥价值更明显。大家在同一目标下同一利益下工作才会有更有效果更有自驱力的团队之间的配合。


    流程制度建设往往会逐渐演化成精细固化死板要求、整合/端到端长链条跑不快/粗粒度抽象统一、保守、风控、牵制制衡、的导向。这不符合企业不断冒险向前、创新、扩张的本性。我一直认为管理应该为企业经营增值而服务,不明确直接地帮助企业赚钱的管理动作就不要多干。我是这个导向。


    在本阶段,我更注重数据驱动战略管理和绩效管理,而非注重流程驱动对于战略和绩效的支撑。


    我们搞战略规划,不是数数自己的目前家当看自己能做啥事做点啥,这明显就是保守导向。你是有啥资源有啥能力能做点啥做点啥,但你做出来的未必是符合客户需要的未必是符合市场竞争的。所以这么想战略就是错的。战略的规划应该更多是收集社会/行业、消费者/客户、竞争对手的信息,看看咱们面临的是什么格局,然后根据自己的优劣势能力以及自己现在的资源,来决定自己如何卡位,这就和下跳棋一样,要利用有限的棋子,既走了自己的前进路还要卡住对手的路,这才是好战略。而这些宝贵的战略规划决策需要的信息都在企业外部,我们更应该多收集这些数据以为我们战略制定而服务。你战略都不对,你走的越扎实越快你就错的越多。


    我为什么要把战略管理和绩效管理放在一起呢?因为战略就是我们想达到的目的,而绩效就是我们怎么衡量我们确实达到了目的或者和目的到底差多远。这是一头一尾的。要同时把这两块建设起来做到了,这个阶段才算成熟度合格。


    四、成熟度四级:公司治理


    有战略、有组织、有人才、有计划、有绩效,好像一个企业的管理体系有模有样了有点意思了。那接下来应该重心建设什么呢?


    我个人认为是公司治理。这时候不明确这个问题,公司经营就不容易向上了,只能靠狠压狠踢屁股狠监控狠推动才能达成了。为什么呢?就是因为权责利不平衡了。所有权、经营权、决策权、管理权、利益分配都得明确到组织。


    尤其到这个阶段,不少企业开始扩张,有全国区域/分公司扩张,有多产业经营,有并购有控股,有合作。这么多组织的权责边界怎么定义,和相匹配的权责对应的利益分配怎么定义。权责利益问题不解决,大家都不会真心革命的,否则跟着盲目撒热血后发现自己成了炮灰那又有什么意义呢?


    这一阶段的过渡也是比较平滑的。因为咱们之前已经有了很好的铺垫,那就是项目制的管理。项目制事实上人、事、资金、绩效就全靠项目为中心绑定糅合在一起的。而公司的战略就被分解成一个个的项目。项目组之间高内聚低耦合。事实上这样公司就变成了一个基础平台,提供资金、财务管理、工商税务管理、人事福利税金薪资管理、人才招聘/培训管理、行政办公管理、IT管理,这个基础平台通过战略管理和绩效管理把这么多项目组整合在一起。


    现在还有些新创业的所谓轻公司,不像传统企业从组织管理、人才管理、项目管理、战略管理、绩效管理一层层的升级成熟,而是一开始就搭建资金平台、公司基础管理平台、IT平台,开展的业务就是整合打通。因为中国目前进入一个相对成熟的阶段,各行各业都有许多企业,有干研发、有干生产、有干销售服务的,产品很丰富,竞争也很激烈。所以有的新创业的轻公司专门负责这么多企业的聚合、整合、打通,利用资本、新商业模式新业务协同流程、信息技术平台,重新重组优化社会资源。这样的轻公司厉害吧。就如同宾馆业一样,开了很多年老模式,突然如家、速8、桔子等等等等这些新兴快捷宾馆产生,呼啦啦就挤倒一片老宾馆。他们都是走的资本+新商业模式新业务流程+信息技术平台的模式。


    所以现在的竞争都是这样的空降颠覆,不是一点点生长。你一点点进化的积累可能人家从成立就一步到你的位置了。这种发展模式不得不值得深思、探索。不要搞不懂、看不起、来不及。


    五、成熟度五级:产业链管理


    成熟度四级重点关注是公司总部和内部一些组织的权责利边界,比如说总部和区域、总部和分公司。但现在的五级主要关注公司和合作伙伴之间的权责利边界,如上游材料供应商、中游业务外包商、下游分销代理销售服务商。这个链条不拉通,光靠企业和自己的分公司一家实体来走已经不能对抗竞争了。现在的竞争都是产业链、联盟的竞争,看谁链条不断链没短环节,看谁链条协作关联度高/协作流畅高效。


    六、成熟度六级:生态圈管理


    这是企业经营管理成熟度的最高级,这不仅是自己一条链和竞争对手一条链的竞争了。而是互相犬牙交错式的联合与竞争,敌人的敌人就是朋友。目前在中国互联网行当就发生着这样的事,谁都说不准明天和谁联盟和谁断裂,过去打的不可开交誓不两立言辞旦旦的两家忽然可谈,因为这就是商业,在商场没有绝对的敌人也没有绝对的朋友。所以要营造好生态链,不能把竞争对手往死里打也不能让它崛起。就看可口与百事关系,耐克和阿迪的关系,INTEL和AMD的关系等等,这就是生态圈的建设。
    展开全文
  • 企业上云成熟度测评体系介绍.pdf
  • 根据目前云计算和云计算成熟度模型(云计算能力评估模型)的研究现状,结合国内电网企业的实际情况,首次提出面向国内电网企业量化的云计算能力成熟度模型,并建立云计算成熟度模型指标体系。该模型将云计算能力细分...
  • 中国移动通信企业项目管理成熟度分析,李小勇,,项目管理成熟度模型从组织的角度,对项目管理提供一个概念性的框架。在该框架的指导下,不断优化项目管理方式,使企业的项目管理
  • 俗话说流程决定绩效,而这一款整理发布的企业信息系统建设成熟度XLS定能给你最好的流程参考,...该文档为企业信息系统建设成熟度XLS,是一份很不错的参考资料,具有较高参考价值,感兴趣的可以下载看看
  • 企业架构企业架构 EA的成熟度评估的成熟度评估 企业架构企业架构 的成熟度评估的成熟度评估 Architecture Maturity Assessment 张 艳 编译 2005.1.8 企业架构企业架构 EA的成熟度评估的成熟度评估 企业架构企业架构 ...
  • 企业信息化基础条件建设和信息系统应用水平两个方面构建了包括13个指标的企业信息化成熟度评价指标体系。针对这些指标,采用问卷形式调查了66家企业的信息化现状。
  • 成熟度企业量化管理实践.pptx
  • 企业数据成熟度评估模型和方法 Most organizations today are struggling with how to advance in their use of data (see our recent article on Why Your AI Project is Going to Fail). The good news is that it...
  • Gartner :企业信息管理成熟度模型;仅做参考!!! 为了帮助IT管理者评估各自企业的信息管理状态,或规划信息管理发展路线,Gatner创建了一个六级成熟度模型。对六个级别的定义描述能够帮助IT管理者识别、确认各自...
  • 企业数字化转型成熟度模型IOMM.zip
  • 2020-2021中国企业AI成熟度研究报告.pdf
  • 企业移动信息化成熟度模型及指标研究,孙玉娥,吕廷杰,为了加快企业移动信息化相关问题解决方案的制定,建立及指导和测评企业信息移动信息化于一体的成熟度模型,经过对企业信息化成熟
  • 软件能力成熟度模型软件能力成熟度模型软件能力成熟度模型软件能力成熟度模型软件能力成熟度模型软件能力成熟度模型软件能力成熟度模型
  • 企业信息安全模型(成熟度模型)

    千次阅读 2019-12-02 09:13:18
    0x00 背景 对于今天高度依赖信息竞争力的企业来说,信息安全的... 信息安全成熟度模型能够帮助企业快速找到信息安全短板并制定有针对性的策略,加速将信息安全融入企业文化,提升企业“安全竞争力”。 0x01CMM...

    0x00 背景 

         对于今天高度依赖信息竞争力的企业来说,信息安全的重要性已经无需多言但是,随着信息安全市场技术创新的不断加速,新的威胁、技术和方法不断涌现,信息安全人才和专业服务相对匮乏,这些都为企业的信息安全策略制定带来了困惑。

         信息安全成熟度模型能够帮助企业快速找到信息安全短板并制定有针对性的策略,加速将信息安全融入企业文化,提升企业“安全竞争力”。

    0x01 CMMI V2.0 模型

       为了应对不断变化的全球化商业格局的挑战,CMMI DEV V2.0将通过标杆对比帮助企业建立并提高关键能力以提高企业绩效。它是一套经过验证的全球最佳实践,旨在优化不断变化的全球环境中的业务性能,帮助组织建立解决最常见业务挑战的关键能力并设定相应基准,包括:设计和开发产品

    1. 提高性能
    2. 交付和管理服务
    3. 维持习惯性和持久性
    4. 管理业务弹性
    5. 规划和管理工作
    6. 选择和管理供应商
    7. 确保质量
    8. 管理员工
    9. 支持实施

    CMMI V2.0 关键改进

    1. 改进业务性能:业务目标直接与运营相关联,以便在时间、质量、预算、客户满意度和其他关键驱动因素方面实现可度量的性能提升。

    2. 利用当前的最佳实践:CMMI V2.0 是经验证最佳实践的可信来源,将不断更新以反映新在线平台上不断变化的业务需求。

    3. 构建敏捷弹性和规模:直接指导如何增强使用 Scrum 的敏捷项目的过程,并注重性能。

    4. 提高基准评估的价值 新的绩效导向评估方法提高了基准评估的可靠性和一致性,同时缩短了准备时间和生命周期成本。

    5. 加速采用  通过在线访问和应用指南,比以往更加容易获得 CMMI 的优势。

    相关文档:链接:https://pan.baidu.com/s/1264cAjIfnYLJzCYtCz-smg 提取码:mkqf

    0x02  信息安全能力成熟度模型(IS-CMM)的建构

        在能力成熟度模型(CMM)的基础上提出“信息安全能力成熟度模型”(IS-CMM)这一构想,并着重探讨了IS-CMM各级中的核心
    流程域KPAs的构建。IS-CMM ( 将信息安全流程实施的全部生命周期 不同于信 息安全开发中的生命周期)分为4 个相对独立的阶段:预防 (Prevention);监测(Monitoring);修正(Amendment) ;更新 (Revision) 。一个或数个机构的信息安全流程环境被定义为总体信息安全流程(TotalInformation Security Processes,简称TISP),内容包括

    1. 数据流程安全(电子数据安全、印刷数据安全等)
    2. 系统流程安全(项目、工程、流程、硬件,软件,数据等);
    3. 人力流程安全(安全意识、员工培训等) 
    4. 机构流程安全 (管理、机构,文化等)

    1. 第一阶段为预防,包括信息安全资产评 估、安全需求细分、风险分析、安全计划与预防实施等。
    2. 第二阶段为监测,着眼于安全脆弱性、安全灾难、操作失误 等的监控跟踪。
    3. 第三是修正阶段,针对第二阶段发现的问 题进行更正,解决错误。
    4. 更新阶段,将涉及的部分 或整体安全流程模块进行重新界定,重整和升级。
    IS-CMM 中,机构的信息安全流程成熟度从低到高有 5个能力等级:
    • 第一级:无控制级 ; (Uncontrolled Level)
    • 第二级:控制级 ; (Controlled Level)
    • 第三级:定义级 ; (Defined Level)
    • 第四级:定量级 ; (Quantified Level)
    • 第五级:预防级 。

    相关文档:链接:https://pan.baidu.com/s/17paabkT3faI8T34Ut5LQHw 提取码:sm66

    0x03 OWASP SAMM(软件保证成熟度模型)

         软件保证成熟度模型(SAMM) 是一个开放的框架,用以帮助组织制定并实施针对组织所面临来自软件安全的特定风险的策略。由SAMM提供的资源可作用于以下方面:
    ✦评估一个组织已有的软件安全实践;
    ✦建立一个迭代的权衡的软件安全保证计划;
    ✦证明安全保证计划带来的实质性改善;
    ✦定义并衡量组织中与安全相关的措施。

          在最高等级上, SAMM设置了四种关键业务功能。 每种业务功能(在下文中列出)是一组软件开发过程中具体细节的相关措施;换句话说,任何涉及了软件开发的组织,必须在一定程度上实现每一个业务功能。

        对于每一个业务功能, SAMM设置了三个安全措施。 每个安全措施(在下页中列出)是一个与安全相关的措施的领域,以为相关业务功能建立保证。 所以,从总体来说, 这十二个安全措施都是改进软件开发业务功能的独立部分。

         对于每一个安全实践, SAMM设置了三个成熟度等级作为目标。 安全实践中的每个等级, 通过设置特定的活动和比先前等级更加严格的成功指标, 设定了一个更加复杂的目标。此外,每个安全实践可被独立改善, 虽然相关的措施可导致优化。

    相关文档:链接:https://pan.baidu.com/s/1zwZpxT58hhE9lLjhc4RLRw 提取码:09bg 
     

    0X04 微软SDL (安全开发生命周期)

          Microsoft SDL在开发过程的所有阶段都引入了安全性和隐私注意事项,从而帮助开发人员构建高度安全的软件,解决安全合规性要求并降低开发成本。Microsoft SDL中的指南,最佳实践,工具和过程是我们在内部使用以构建更安全的产品和服务的实践。自2008年首次共享以来,在新场景(例如云,物联网(IoT)和人工智能(AI))方面的不断积累的经验,我们对实践进行了更新。

    相关文档:链接:https://pan.baidu.com/s/1NvbzczMSsEVbEjUooLiCJw 提取码:zyj5 
     

    0x05 数据安全能力成熟度模型

         国标信息安全技术  数据安全能力成熟度模型 GB_T 37988-2019提出组织数据安全能力的成熟度模型架构,规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。

         从数据安全过程的维度,进行划分等级,主要是5个等级:1级:非正式执行;2级:计划跟踪;3级:充分定义;4级:量化控制;5级:持续优化。

        由于各组织机构在业务规模、业务对数据的依赖性以及组织机构对数据安全工作定位等方向的差异,组织机构对模型的使用应“因地制宜”。

         使用模型时,组织机构应首先明确其数据安全能力的目标成熟度等级。 根据对组织机构整体的数据安全能力成熟度等级的定义,见5.3,组织机构可以选择适合自己业务实际情况的数据安全能力成熟度等级目标。 本标准定义的数据安全能力成熟度等级中,3级目标适用于所有具备数据安全保障需求的组织机构作为自己的短期目标/长期目标,具备了3级的数据安全能力则意味着组织机构能够针对数据安全的各方面风险进行有效的控制。

         然而,对于业务中尚未大量依赖于大数据技术的组织机构而言,数据仍然倾向于在固有的业务环节中流动,其数据安全保障的需求整体弱于强依赖于大数据技术的组织机构,因此其短期目标可先定位为2级,待达到2级的目标之后再进一步提升到3级的能力。

         在确定目标成熟度等级的前提下,组织机构根据数据生存周期所覆盖的业务场景挑选适用于组织机构的数据安全 PA。 例如组织机构 A 不存在数据交换的情况,因此数据交换的 PA 就可以从评估范围中剔除掉。

           最后,组织机构基于对成熟度模型内容的理解,识别数据安全能力现状并分析与目标能力等级之间的差异,在此基础上进行数据安全能力的整改提升计划。 而伴随着组织机构业务的发展变化,组织机构也需要定期复核、明确自己的目标成熟度等级,然后开始新一轮目标达成的工作。
    相关文档:链接:https://pan.baidu.com/s/1FcJ0bP8e6l4MYJk7gfgCzA 提取码:lrby 

    0x06  构建安全成熟度模型 (BSIMM)

     构建安全成熟度模型 (BSIMM) 是一种数据驱动的模型,采用一套面对面访谈技术开展 BSIMM 评估,唯一目标就是观察和报告。企业通过参与 BSIMM 的评估,不仅可以更加具体的了解自身 SSI 的执行情况,还可以从行业视角明确所处的具体位置。

         BISMM 模型,是一把衡量企业在软件开发阶段构建软件安全能力的标尺。BSIMM 软件安全框架(SSF)包含四个领域 — 治理、 情报、 SSDL 触点和部署。反过来,这四个领域又包括 12 个实践模块,这 12 个实践模块中又包含 119 项 BSIMM 活动。

    相关文档:链接:https://pan.baidu.com/s/1u2d5l9Co_8A3Vx875okuAg 提取码:hfb4

    0x07 其他安全模型

    著名安全博客KrebsonSecurity推荐了两个企业信息安全成熟度模型并进行了点评如下

    1. Enterprise Strategy Group信息安全成熟度模型

    信息安全成熟度模型1

    ESG将企业信息安全成熟度划分为基础、进阶和高级三大类,同时为企业首席信息安全官给出了安全规划和策略路径。值得注意的是,ESG认为数据泄露等安全事故也有着积极的意义,通常重大数据泄露事故会刺激企业的信息安全成熟度提升到下一个阶段。

    2. Blue Lava的信息安全成熟度模型

    信息安全成熟度模型3

    Blue lava将企业信息安全成熟度划分为“防御与处理”、“合规驱动”和“基于风险的安全方法”三大类和五个阶段:

    第一阶段:信息安全流程缺乏组织,或者非结构化,个体的成功经验无法复制和重现,也无法扩展推广,主要原因是流程缺乏定义和文档。

    第二阶段:信息安全进入可重现阶段,一些基本的项目管理技术成型并可重用,这基于信息安全流程已经定义、建立并文档化。

    第三阶段:信息安全工作的重点是文档化、标准化和维护运营支持。

    第四阶段:企业通过数据采集和分析来监控和管控自身的信息安全流程。

    第五阶段:这是一个迭代阶段,企业通过对现有流程和新流程的监控和反馈来持续改进信息安全流程。

    Blue Lava信息安全成熟度模型的优点是可以为所有的企业定制使用,企业可以将每个业务部门建立自己的成熟度积分体系,例如下图中的SDLC(安全开发生命周期)和PMO(项目管理部),图中红色块是企业业务部门最迫切需要提升的安全短板。

    信息安全成熟度模型2

     

    欢迎大家分享更好的思路,热切期待^^_^^ !

    展开全文
  • 目前部分企业计划或已经采用不同的成熟度模型和指标对其 IT成熟度进行评估 ,如 IT服务成熟度、软件成熟度、信息风险成熟度等方法 ,但无有效的方法对整体 IT成熟度进行评估。基于 SEI开发的能力成熟度框架( CMM)提出...
  • 在云计算成为趋势的今天,应用的可移植性更加成为评判企业云计算成熟度的一个重要指标,同时云计算给应用的可移植性增加了许多内容。我从事了许多企业云计算IT环境的建设工作,目睹了许多企业应用在企业上云之后的...

    Open Group 企业架构Togaf中介绍的高效企业IT 运维指标中,重要的一点是应用的可移植性。在云计算成为趋势的今天,应用的可移植性更加成为评判企业云计算成熟度的一个重要指标,同时云计算给应用的可移植性增加了许多内容。我从事了许多企业云计算IT环境的建设工作,目睹了许多企业应用在企业上云之后的尴尬处境。下面就我的工作经验介绍一下企业上云中在应用的可移植性方面需要注意的内容:

     

    在云计算背景下,应用的可移植性包含了更多的需求:

     

    云计算使用的虚拟化技术有多种,VMware,  KVM, Xen, Hyper-v。传统应用并不是都能支持在这些虚拟化技术上运行,特别是一些较为老的应用,还有就是所谓大企业,国有企业,政府部门要求使用的应用,都不一定支持虚拟化系统上运行,无法迁移。

     

    许多企业已经建立了私有云,或者正在考虑构建私有云,或者将混合云视为自己企业未来的IT架构。这意味着企业希望在私有云和一个或多个公有云(或两个或更多公有云之间)之间来回移动应用程序,还有数据。在云之间移动应用程序并不容易,因为我们希望它们提供相同的功能,并在总体运行上有相同的性能表现。提供应用程序的可移植性不仅仅是让应用本身具有可移植性,对不同云的支持也是可移植性的要求。源云和目标云在许多方面可能有很大的不同,比如不同的虚拟机监控程序;不同的操作系统支持;不同的安全、存储和网络模型;不同的数据库系统支持;在源云中工作的管理工具可能在目标云中不可用,等等。

     

    另外一点,从商务角度上,企业不希望被锁定在一个云或云供应商中。如果企业不喜欢某个云提供商的服务,它就会想要转移到另一个云提供商,同时不希望经历痛苦得应用迁移过程。例如,将应用程序和数据从Amazon EC2转移到Terremark或者Rackspace并不容易。

     

    从技术的角度来看,可移植性的最大障碍是缺乏标准化的云API,云提供商为方便客户部署应用,开发基于自己云计算系统的API。大多数云提供商宣称支持创建云标准。但他们基于竞争性的考虑,不会严格遵守这些标准,因为他们想要将他们的产品与竞争对手区分开来。所有的供应商都希望将客户锁定在他们的产品上。他们只是口头上说说而已。许多组织努力建设通用的云API标准,比如OASIS,The Open Group,但是似乎没有被大多数企业接受。

     

    因此确保应用及其支持组件,如数据库和中间件,不依赖于操作系统和底层云基础设施。这样的设计可以保证在云计算中应用的可移植性。


    展开全文
  • 2019年度中国企业人才供应链管理成熟度白皮书
  • 纺织行业中小企业ERP应用成熟度模型研究方案.doc

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 110,736
精华内容 44,294
关键字:

企业成熟度