# OPS 1 您如何确定自己的重点？
<a name="w2aac19b5b5b5"></a>

 每个人都需要了解自己在业务成功中扮演的角色。设置共同的目标，以便为资源设定重点。这可以让您的工作效益最大化。 

**Topics**
+ [OPS01-BP01 评估外部客户需求](ops_priorities_ext_cust_needs.md)
+ [OPS01-BP02 评估内部客户需求](ops_priorities_int_cust_needs.md)
+ [OPS01-BP03 评估监管要求](ops_priorities_governance_reqs.md)
+ [OPS01-BP04 评估合规性要求](ops_priorities_compliance_reqs.md)
+ [OPS01-BP05 评估威胁形势](ops_priorities_eval_threat_landscape.md)
+ [OPS01-BP06 评估权衡](ops_priorities_eval_tradeoffs.md)
+ [OPS01-BP07 管理收益和风险](ops_priorities_manage_risk_benefit.md)

# OPS01-BP01 评估外部客户需求
<a name="ops_priorities_ext_cust_needs"></a>

 让包括业务、开发和运维团队在内的主要利益相关方参与进来，以便确定将工作重心放在哪里来满足外部客户的需求。这可以确保您充分了解实现您期望的业务成果所需的运营支持。 

 **常见反模式：** 
+  您决定核心业务时间之外不再提供客户支持，但是您还没有查看历史支持请求数据。您不知道这是否会对客户产生影响。 
+  您正在开发一项新功能，但尚未与客户沟通，不了解客户是否需要；如果需要，以什么形式提供；并且尚未通过试验来验证交付需求和方法。 

 **建立此最佳实践的好处：** 需求得到满足的客户流失的可能性更小。评估和了解外部客户需求将为您提供相关信息，告知您如何通过安排工作的优先级来实现商业价值。 

 **未建立此最佳实践暴露的风险等级：** 高 

## 实施指导
<a name="implementation-guidance"></a>
+  了解业务需求：包括业务、开发和运营团队在内的利益相关方需要有共同的目标和共同的理解，才能实现业务成功。 
  +  审查外部客户的业务目标、需求和重点：让包括业务、开发和运营团队在内的主要利益相关方参与进来，讨论外部客户的目标、需求和重点。这可以确保您充分了解实现业务成果和客户成果所需的运营支持。 
  +  建立共识：建立共识，确定工作负载的业务功能、每个团队在运行工作负载方面的角色，以及这些因素如何支持内部和外部客户共同的业务目标。 

## 资源
<a name="resources"></a>

 **相关文档：** 
+  [AWS Well-Architected Framework 概念 – 反馈循环](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.feedback-loop.en.html) 

# OPS01-BP02 评估内部客户需求
<a name="ops_priorities_int_cust_needs"></a>

 让包括业务、开发和运营团队在内的主要利益相关方参与进来，以便确定怎样将工作重心放在内部客户的需求上。这可以确保您充分了解实现业务成果所需的运营支持。 

 使用这些已明确的重点，将改进工作集中部署在能发挥最大影响（例如，开发团队技能、提高工作负载性能、降低成本、自动化运行手册或增强监控）的方面。要随着需求的变化更新重点。 

 **常见反模式：** 
+  您决定更改产品团队的 IP 地址分配（没有与他们商议），以便更轻松地管理网络。您不知道这是否会对您的产品团队产生影响。 
+  您正在采用一种新的开发工具，但尚未与内部客户沟通，不了解他们是否需要，或者是否与他们的现有实践兼容。 
+  您正在实施一个新的监控系统，但尚未与内部客户沟通，不了解他们是否有监控或报告需求需要考虑。 

 **建立此最佳实践的好处：** 评估和了解内部客户需求将为您提供相关信息，告知您通过安排工作的优先级来实现商业价值。 

 **未建立此最佳实践暴露的风险等级：** 高 

## 实施指导
<a name="implementation-guidance"></a>
+  了解业务需求：包括业务、开发和运营团队在内的利益相关方需要有共同的目标和共同的理解，才能实现业务成功。 
  +  分析内部客户的业务目标、需求和重点：让包括业务、开发和运营团队在内的主要利益相关方参与进来，讨论内部客户的目标、需求和重点。这可以确保您充分了解实现业务成果和客户成果所需的运营支持。 
  +  建立共识：建立共识，确定工作负载的业务功能、每个团队在运行工作负载方面的角色，以及这些因素如何支持内部和外部客户共同的业务目标。 

## 资源
<a name="resources"></a>

 **相关文档：** 
+  [AWS Well-Architected Framework 概念 – 反馈循环](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.feedback-loop.en.html) 

# OPS01-BP03 评估监管要求
<a name="ops_priorities_governance_reqs"></a>

 确保您了解组织确定的指导方针或义务，它们可能会要求或强调特定的重点。评估内部因素，例如组织策略、标准和要求。验证您是否制定了相应的机制，来识别监管变化。如果未确定监管要求，请确保您已对此决定进行尽职调查。 

 **常见反模式：** 
+  您正在接受审核，并需要提供内部监管的合规性证明。您不知道自己是否合规，因为您从未评估过合规性要求。 
+  您遭受了经济损失。您发现，本可以弥补经济损失的保险取决于您实施的特定安全控制措施，而这些措施并未到位，而且亦非监管所需。 
+  您的管理账户被盗用，导致公司网站损坏，并损害了客户的信任。您的内部监管要求使用多重身份验证（MFA，Multifactor Authentication）来保护管理账户。您未使用 MFA 保护管理账户，并受到处罚。 

 **建立此最佳实践的好处：** 评估和了解组织对工作负载施行的监管要求将为您提供相关信息，告知您如何通过安排工作的优先级来实现商业价值。 

 **未建立这种最佳实践的情况下暴露的风险等级：** 高 

## 实施指导
<a name="implementation-guidance"></a>
+  了解监管要求：评估内部监管因素，例如计划或组织策略、计划策略、问题或系统特定策略、标准、程序、基准和准则。验证您是否制定了相应的机制，来识别监管变化。如果未确定监管要求，请确保您已对此决定进行尽职调查。 

## 资源
<a name="resources"></a>

 **相关文档：** 
+  [AWS 云 合规性](https://aws.amazon.com/compliance/) 

# OPS01-BP04 评估合规性要求
<a name="ops_priorities_compliance_reqs"></a>

 评估监管合规性要求和行业标准等外部因素，确保您了解自己可能需要遵循或重视的指导原则或义务。如果未确定合规性要求，请确保您已对此决定进行尽职调查。 

 **常见反模式：** 
+  您正在接受审核，并需要提供行业法规的合规性证明。您不知道自己是否合规，因为您从未评估过合规性要求。 
+  您的管理账户被盗用，导致客户数据被下载，并损害了客户的信任。您的行业最佳实践要求使用 MFA 来保护管理账户。您未使用 MFA 保护管理账户，并遭到客户投诉。 

 **建立此最佳实践的好处：** 评估和了解适用于工作负载的合规性要求将为您提供相关信息，告知您如何通过安排工作的优先级来实现商业价值。 

 **未建立这种最佳实践的情况下暴露的风险等级：** 高 

## 实施指导
<a name="implementation-guidance"></a>
+  了解合规性要求：评估监管合规性要求和行业标准等外部因素，确保您了解自己可能需要遵循或重视的指导原则或义务。如果未确定合规性要求，请确保您已对此决定进行尽职调查。 
  +  了解监管合规性要求：确定您在法律上有义务满足的监管合规性要求。根据这些要求来确定工作重心。例如，隐私和数据保护法案中规定的义务。 
    +  [AWS 合规性](https://aws.amazon.com/compliance/) 
    +  [AWS 合规性计划](https://aws.amazon.com/compliance/programs/) 
    +  [AWS 合规性最新新闻](https://aws.amazon.com/compliance/compliance-latest-news/) 
  +  了解行业标准和最佳实践：确定适用于工作负载的行业标准和最佳实践要求，如支付卡行业数据安全标准（PCI DSS，Payment Card Industry Data Security Standard）。根据这些要求来确定工作重心。 
    +  [AWS 合规性计划](https://aws.amazon.com/compliance/programs/) 
  +  了解内部合规性要求：确定组织制定的合规性要求和最佳实践。根据这些要求来确定工作重心。例如，信息安全策略和数据分类标准。 

## 资源
<a name="resources"></a>

 **相关文档：** 
+  [AWS 云 合规性](https://aws.amazon.com/compliance/) 
+  [AWS 合规性](https://aws.amazon.com/compliance/) 
+  [AWS 合规性最新新闻](https://aws.amazon.com/compliance/compliance-latest-news/) 
+  [AWS 合规性计划](https://aws.amazon.com/compliance/programs/) 

# OPS01-BP05 评估威胁形势
<a name="ops_priorities_eval_threat_landscape"></a>

 评估对业务的威胁（例如竞争、业务风险和负债、运营风险和信息安全威胁），并在风险注册表中维护当前信息。在确定工作重心时，将风险的影响考虑在内。 

 如示例所示， [Well-Architected Framework](https://aws.amazon.com/architecture/well-architected/) 强调学习、衡量和改进。它为您提供了一种一致的方法来评估架构，并实施将随着时间推移而扩展的设计。AWS 提供 [AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/) ，可帮助您在开发之前查看方法、生产前的工作负载状态以及生产中的工作负载状态。您可以将其与最新的 AWS 架构最佳实践进行比较，监控工作负载的整体状态，并深入了解潜在风险。 

 AWS 客户可以使用针对任务关键型工作负载的指导式 Well-Architected 审核，以 [根据](https://aws.amazon.com/premiumsupport/programs/) AWS 最佳实践来衡量其架构。企业支持客户可以使用 [运营审核](https://aws.amazon.com/premiumsupport/programs/)，该审核旨在帮助他们找出云中的运营方法所存在的漏洞。 

 这些审核需要跨团队参与，可帮助各团队在工作负载以及他们在实现成功中的角色方面达成一致的理解。通过审查所确定的需求可以帮助确定您的运营重点。 

 [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/) 是一种工具，让您可以访问一组核心检查，这些检查会提出优化建议，帮助确定您的运营重点。 [商业和企业支持客户](https://aws.amazon.com/premiumsupport/plans/) 可以访问其他检查，这些检查重点关注安全性、可靠性、性能和成本优化，可进一步帮助他们帮助确定运营重点。 

 **常见反模式：** 
+  您在产品中使用的是旧版软件库。对于可能会对工作负载产生意外影响的问题，需要对库进行安全更新，而您忽略了这一点。 
+  您的竞争对手刚刚发布了新的产品版本，可以解决许多客户对您产品的投诉。您没有优先解决这些已知问题。 
+  监管机构一直在追查像您这样的不符合法律法规要求的公司。您没有优先处理任何未解决的合规性要求。 

 **建立此最佳实践的好处：** 发现并了解对组织和工作负载的威胁后，您可以确定要解决的威胁、需解决的威胁的优先级以及执行操作所需的资源。 

 **未建立这种最佳实践的情况下暴露的风险等级：** 中 

## 实施指导
<a name="implementation-guidance"></a>
+  评估威胁形势：评估对业务的威胁（例如竞争、业务风险和负债、运营风险和信息安全威胁），以便您在确定工作重心时可以将其影响考虑在内。 
  +  [AWS 最新安全公告](https://aws.amazon.com/security/security-bulletins/) 
  +  [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/) 
  +  维护威胁模型：建立并维护威胁模型，确定潜在威胁、计划内和已实施的缓解措施及其优先级。审核威胁酿成意外事件的可能性、从意外事件恢复的成本和预期造成的危害，以及防止这些意外事件发生的成本。根据威胁模型内容的更改修订优先级。 

## 资源
<a name="resources"></a>

 **相关文档：** 
+  [AWS 云 合规性](https://aws.amazon.com/compliance/) 
+  [AWS 最新安全公告](https://aws.amazon.com/security/security-bulletins/) 
+  [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/) 

# OPS01-BP06 评估权衡
<a name="ops_priorities_eval_tradeoffs"></a>

 在有冲突的利益或替代方法之间做出权衡并评估其影响，以便在确定工作重心或选择行动方案时做出明智的决策。例如，加快新功能上市的速度可能会比成本优化更重要，或者您可以为非关系数据选择关系数据库，以简化迁移系统的工作，而不是迁移到针对您的数据类型优化的数据库和更新您的应用程序。 

 AWS 可以帮您向团队介绍 AWS 及其服务，让他们深入了解自己的选择会如何影响工作负载。您应该使用由 [AWS 支持](https://aws.amazon.com/premiumsupport/programs/) （[AWS 知识中心](https://aws.amazon.com/premiumsupport/knowledge-center/)， [AWS 开发论坛](https://forums.aws.amazon.com/index.jspa)和 [AWS 支持 中心](https://console.aws.amazon.com/support/home/)）和 [AWS 文档提供的资源](https://docs.aws.amazon.com/) 来培训您的团队。请通过 AWS 支持 中心联系 AWS 支持，获取与 AWS 问题相关的帮助。 

 AWS 还在 Amazon Builders' Library 中分享了我们通过 AWS 运营 [学到的最佳实践和模式](https://aws.amazon.com/builders-library/)。您可以通过 [AWS Blog](https://aws.amazon.com/blogs/) 和 [AWS 官方播客，获得各种其他有用信息](https://aws.amazon.com/podcasts/aws-podcast/)。 

 **常见反模式：** 
+  您正在使用关系数据库管理时间序列和非关系数据。有一些数据库选项经过优化后可以支持您正在使用的数据类型，但是您没有意识到这些好处，因为您尚未评估解决方案之间的权衡。 
+  您的投资者要求您证明符合支付卡行业数据安全标准 (PCI DSS)。您没有在满足他们的要求和继续进行当前的开发工作之间进行权衡，而是在没有证明合规性的情况下继续进行开发工作。投资者出于对平台安全性和投资的担忧停止了对公司的支持。 

 **建立此最佳实践的好处：** 了解您的选择产生的影响和后果可以帮助您排定选择的优先顺序。 

 **未建立此最佳实践暴露的风险等级：** 中 

## 实施指导
<a name="implementation-guidance"></a>
+  评估权衡：在利益互有冲突的目标之间做出权衡并评估其影响，以便在确定工作重心时做出明智的决策。例如，加快新功能上市的速度可能比成本优化更重要。 
+  AWS 可以帮您向团队介绍 AWS 及其服务，让他们深入了解自己的选择会如何影响工作负载。您应该使用由 AWS 支持（AWS 知识中心、AWS 开发论坛和 AWS 支持 中心）和 AWS 文档提供的资源来培训您的团队。请通过 AWS 支持 中心联系 AWS 支持，获取与 AWS 问题相关的帮助。 
+  AWS 还在 Amazon Builders' Library 中分享了我们通过 AWS 运营学到的最佳实践和模式。您可以通过 AWS Blog 和 AWS 官方播客，获得各种其他有用信息。 

## 资源
<a name="resources"></a>

 **相关文档：** 
+  [AWS Blog](https://aws.amazon.com/blogs/) 
+  [AWS 云 合规性](https://aws.amazon.com/compliance/) 
+  [AWS 开发论坛](https://forums.aws.amazon.com/index.jspa) 
+  [AWS 文档](https://docs.aws.amazon.com/) 
+  [AWS 知识中心](https://aws.amazon.com/premiumsupport/knowledge-center/) 
+  [AWS 支持](https://aws.amazon.com/premiumsupport/) 
+  [AWS 支持 中心](https://console.aws.amazon.com/support/home/) 
+  [Amazon Builders' Library](https://aws.amazon.com/builders-library/) 
+  [AWS 官方播客](https://aws.amazon.com/podcasts/aws-podcast/) 

# OPS01-BP07 管理收益和风险
<a name="ops_priorities_manage_risk_benefit"></a>

 管理收益和风险，以便在确定工作重心时做出明智的决策。例如，为了向客户提供重要的新功能，部署仍存在未决问题的工作负载是可以接受的。这可能会降低相关风险，或者允许风险继续存在可能会令人无法接受，在这种情况下，您将采取措施来化解风险。 

 您可能会发现，您需要在某个时间点侧重于一小部分运营重点。长期使用平衡的方法来确保所需能力的发展和风险管理。要随着需求的变化更新重点 

 **常见反模式：** 
+  您决定设置一个库，这是您的一位开发人员在互联网上找到的万能库。您尚未评估从未知来源采用此库的风险，也不知道它是否包含漏洞或恶意代码。 
+  您决定开发和部署新功能，而不是修复现有问题。您尚未评估在部署功能之前将问题继续留存的风险，也无从知晓会对客户产生哪些影响。 
+  由于合规团队提出了未指明的顾虑，您决定不部署客户频繁请求的功能。 

 **建立此最佳实践的好处：** 确定选择可以带来的收益并了解组织所面临的风险有助于您做出明智的决定。 

 **未建立此最佳实践暴露的风险等级：** 低 

## 实施指导
<a name="implementation-guidance"></a>
+  管理收益和风险：在决策的收益与涉及的风险之间取得平衡。 
  +  确定收益：根据业务目标、需求和优先事项来确定收益。例如上市时间、安全性、可靠性、性能和成本等。 
  +  确定风险：根据业务目标、需求和优先事项来确定风险。例如上市时间、安全性、可靠性、性能和成本等。 
  +  对照风险评估收益并做出明智决策：根据包括业务、开发和运营团队在内的主要利益相关方的目标、需求和优先事项，确定收益和风险的影响。对照发生风险的可能性及其影响产生的成本来评估收益的价值。例如，强调上市速度而不是可靠性可能会带来竞争优势。但是如果出现可靠性问题，就可能会导致正常运行时间缩短。