技術架構治理

1. 什麼是IT治理

IT治理，IBM最早將此理念引入中國。IT治理是公司治理在信息時代的重要發展，使得IT的應用能夠完成組織賦予它的使命，確保實現組織的戰略目標。IT治理是公司治理的一部分，對於公司治理，1999年出版的《公司治理的基本原則》一書所下的定義為：為確定組織目標和確保目標實現的績效監控所提供的治理結構。
IT治理的簡單定義就是使參與信息化過程的各方利益最大化的制度措施。
關於IT治理，中外學者給出了很多的定義，
美國IT治理協會給IT治理的定義是：「IT治理是一種引導和控制企業各種關系和流程的結構，這種結構安排，旨在通過平衡信息技術及其流程中的風險和收益，增加價值，以實現企業目標。」 中國有一種觀點認為，IT治理是描述企業或政府是否採用有效的機制，使得IT的應用能夠完成組織賦予它的使命，同時平衡信息化過程中的風險，確保實現組織的戰略目標的過程。它的使命是：保持IT與業務目標一致，推動業務發展，促使收益最大化，合理利用IT資源，適當管理與IT相關的風險。
美國麻省理工學院的學者彼得?維爾和珍妮?羅斯在其所撰寫的《IT治理》一書中指出，IT治理就是為鼓勵IT應用的期望行為，而明確的決策權歸屬和責任擔當框架。他們認為是行為而不是戰略創造價值，任何戰略的實施都要落實到具體的行為上。
從IT中獲得最大的價值，取決於在IT應用上產生期望的行為。期望行為是組織信念和文化的具體體現，它們的確定和頒布不僅基於戰略，而且基於公司的價值綱要、使命綱要、業務規則、約定的行為習慣以及結構等。在每一家公司里，期望行為都各不相同。
綜合這些定義，可以得出，IT治理就是要明確有關IT決策權的歸屬機制和有關IT責任的承擔機制，以鼓勵IT應用的期望行為的產生，以聯接戰略目標、業務目標和IT目標，從而使企業從IT中獲得最大的價值。

2. IT治理框架的七要素

→ 科學的信息化發展觀是IT治理框架構建的理論指導方針，
→ 國外公認的IT治理方法和中國國內自主創新的IT治理方法是IT治理框架構建的工具，二者的結合是正確構建IT治理框架的前提基礎；
→ 科學的發展離不開科學決策，科學決策是科學發展的重要環節，IT治理首當其沖的就是建立什麼樣的決策模式。IT治理必須要樹立科學決策意識、並健全決策機制，完善決策方式、規范決策程序、強化決策責任，保證決策的正確有效；
→ IT治理決策的實施是要靠規范化、精細化和主動式的IT全生命周期風險管控流程來實現，同時對IT全生命周期風險管理控制過程與結果進行評價，並持續改進過程與度量方法；
→ 具有持續競爭優勢的動態的核心IT能力是IT治理水平背後的決定性因素，IT治理水平是核心IT能力的表現；
→ IT治理的最終目的是實現IT商業價值。
IT治理框架分類匯總表 分類 框架、知識體系 IT規劃管理 ITGov信息化科學發展觀理論、Zachman、TOGAF、SOA、SAM、CSF、BSP、SST、SG、ITGov-IT治理框架 IT獲取與實現管理 RUP、AUP、Scrum、eSCM-SP IT服務管理 ITGov一體化運維管理體系、ITIL、ISO/IEC 20000、ISPL、ITS-CMM、BiSL、eTOM、ASL、ITGov外包治理框架 IT項目管理 PMBoK、IPMBOK、iPMBOK2004、PRINCE2、MSP IT質量管理 TQM、CMM、ISO 9000、TickIT、Six Sigma、ITGov協調式咨詢方法論 IT風險管理 COSO-ERM、M_o_R、AS/NZS 4360、CobiT、ITGov信息化風險管控體系 信息安全管理 信息安全等級保護管理辦法、ISO27001、ISO/IEC 13335、ISO/IEC 15408及CC、ITGov信息安全治理框架 災難恢復與業務持續性管理 GB20988-2007、BS25999、NIST SP 800-34 IT績效管理 ITGov績效管理九宮格、ITBSC、ITGov三位一體績效評價框架、FEA、EAF、ITGov信息系統審計標准體系、ITGov基於數據挖掘和網路技術的舞弊審計模型、ITGov電子政務績效評估體系、ITGov運維與外包績效評價體系 核心IT能力 ITGov核心IT能力模型及其評價體系、ITGov-IT領導力九項修煉 IT治理是各利益相關方的職責，但它首先是治理層的職責。具體內容如下：
IT治理保證總體戰略目標能夠從上而下貫徹執行。IT治理和其它治理活動一樣，集中在最高管理層（董事會）和管理執行層。然而，由於IT治理的復雜性和專業性，治理層必須強烈依賴企業的下層來提供決策和評估所需要的信息。為保證有效的IT治理，下層應和企業總體目標採用相同的原則，提供評估業績的衡量方法。因此，好的IT治理實踐需要在企業全部范圍內推行。 董事會在IT治理方面的職責是：
l 證實IT戰略與業務戰略一致；
l 證實通過明確的期望和衡量手段交付IT商業價值；
l 指導IT戰略、平衡支持企業當前和未來發展的投資；
l 恰當決策信息資源應優先配置的地方。
董事會衡量業績的指標和方法有：
l 定義和檢查IT商業價值評估手段並加以管理
l 證實目標已經達到，
l 衡量組織績效，減少不確定性。 l 最高管理層（董事會）通過下述指標衡量業績
l 定義和檢查IT商業價值評估手段並加以管理，
l 證實目標已經達到，
l 衡量組織績效，
l 減少不確定性。 管理者的焦點主要是成本—效益比，增加收入，構建核心競爭力，這些都由信息、知識、信息技術體系所推動。由於信息技術作為實現業務目標的一個集成部分，其解決辦法越來越復雜（外包，第三方合同，網路化等），因此，善治成為成功的一個關鍵因素。
IT治理中，

3. IT治理的解決方案

Troux是惟一能提供有效的IT治理系統的企業，同時，它還能提供全面的版可以連結業務和自動工作流，權及自動化的策略管理系統。為了解決CIO們今天面臨的最具挑戰性的IT治理問題，Troux的解決方案提供了基礎，並且橫跨IT治理框架的三個領域。企業架構：使得企業建造師可以完全模仿符合未來需要的架構，並且提供創造和管理與架構相協調的標准和路線圖的能力。投資合理化:為IT執行人員提供確保應用、基礎設施、服務和項目投資與業務和成本優化相協調的可視度和工具。
服務管理:使IT組織可以實現對業務服務的自動化定義和管理，並確保關鍵業務、遵從和業務連續性目標的一致。
有了以上各種解決辦法，Troux帶來了幫助CIO和IT執行人員實現IT治理所需要的深入的專業知識、最佳實踐和成熟的模式。
正如IT治理已經位居CIO日程表的前列，經理人員們也已經發現，最佳實踐和方法的標准還沒有準確的定義—到這一狀況才有所改變。
Troux的技術為CIO和IT經理有效計劃、構建和管理他們的IT運作，提供了所需要的最佳實踐和方法。

4. 什麼是治理結構圖

治理結構圖

治理結構意為公司權力機關的設置、運行及權力機關之間的法權關系。

5. IT治理的IT治理框架

當前，我國信息化建設中的最大問題，不是技術問題，也不是資金問題，而是缺乏科學的IT管理觀念；IT領導者最大的問題不是缺少經驗和能力，而是缺乏卓越的管理素質和管理方法。對於IT治理來說，國際上已有許多成熟的方法和工具，形成了最佳業務實踐，這些最佳業務實踐是全球智慧的結晶，所以，對於我們來說，不是再去從頭創新，而是需要根據國情和組織的實際情況，對最佳實踐加以理解、掌握並有效運用，從而為組織戰略目標服務。
下圖為山東省軟體評測中心總結的IT治理的總體框架，描述了IT治理的出發點、IT治理的關鍵要素、IT治理的對象、IT治理的最佳實踐。

IT治理的目的是使IT與組織業務有效融合，其出發點首先是組織的發展戰略，以組織發展戰略為起點，遵循組織的風險與內控體系，制定相應的IT建設運行的管理機制。IT治理的關鍵要素涵蓋IT組織、IT戰略、IT架構、IT基礎設施、業務需求、IT投資、信息安全等，主要確定這些要素或活動中「做什麼決策？誰來決策？怎麼來決策？如何監督和評價決策？」。圍繞著IT建設全生命周期過程，構建持續的信息化建設長效機制，是IT治理的目標一致，因此，整個IT建設生命周期都是IT治理的對象，包括IT組織與規劃、IT建設與交付、IT運行與維護、IT評估與優化。IT治理的國際最佳實踐就是基於各個對象治理的成熟的方法論和工具，包括CobiT、ITIL、ISO27001、Prince2等。
按照IT治理的對象，我們將IT治理的服務劃分為五類，分別是：IT規劃治理、IT建設治理、IT運維治理、IT績效治理、IT風險治理。

6. IT治理框架的IT治理是什麼

IT治理是指設計並實施信息化過程中各方利益最大化的制度安排，包括業務與信息化戰略融合內的機制，權容責對等的責任擔當框架和問責機制，資源配置的決策機制，組織保障機制，核心IT能力發展機制，績效管理機制以及覆蓋信息化全生命周期的風險管控機制。該制度安排的目的是實現組織的業務戰略，促進管理創新，合理管控信息化過程的風險，建立信息化可持續發展的長效機制，最終實現IT商業價值。（ITGov中國IT治理研究中心
根據ITGov中國IT治理研究中心正式發布的中國首個自主創新的中國企業IT治理框架，該框架有七要素組成：科學的信息化發展觀、IT商業價值、IT治理方法、IT治理績效、IT治理決策模式、IT風險管理控制體
系、核心IT能力。（ITGov中國IT治理研究中心，2008）如圖所示。高水平的、可持續的IT治理，需要考慮同時到這七個要素：

7. IT治理：如何發揮IT技術部門的最大作用

IT治理是一個由各種關系和流程構成的體制，可以指導和控制企業通過合理利用IT技術，平衡IT技術與流程的風險、增加價值來確保實現企業的目標····關鍵詞：IT治理 IT治理能保持IT與業務目標一致，推動業務發展，促使收益最大化。 2005年的研究報告顯示，盡管去年絕大多數企業已經或多或少地建立了自己的IT管理和治理架構，但是大多數公司在這方面做得還遠遠不夠。 CIO們關注IT治理絕非偶然。IT治理是一個由各種關系和流程構成的體制，可以指導和控制企業通過合理利用IT技術，平衡IT技術與流程的風險、增加價值來確保實現企業的目標。「回歸業務本身，讓IT真正滿足業務需求。」Gartner的研究副總裁Michael Barnes先生認為這是人們考慮IT治理的原因。過去人們主要關心IT技術，隨著IT技術應用的普及，人們逐步認識到業務才是根本。Borland亞太區產品總監林振慶認為，IT治理之所以關鍵，是因為它能給企業帶來以下好處： 首先，也是最重要的一點，是保證IT技術與業務的有效結合，幫助企業在IT現狀和業務需求之間達成一致。 第三，確保遵循相關的法律、法規。經濟的全球化以後，跨國企業的經營是全球性的，因此，而各國都有不同的法律和法規，IT治理在這方面也可以起到很大作用。 Michael Barnes將IT治理的作用歸納為可見、可重復、可預測這三個由低到高目標。他認為，一個IT治理良好的公司其內部的行為和流程一定都是透明可見的；其次，是可重復的，如果這一次項目成功，下一次就還能成功；最後，IT項目的進行還是可預測的，也就是其風險是可控的。反之，如果IT治理做得不夠，IT項目的風險就會很大，會降低企業的競爭力，另外法規遵從也會成為問題。 提到IT治理，人們很容易聯想到一個概念，就是ITIL(IT Infrastructure 那麼該如何做好IT治理工作？對此，林振慶認為，IT治理軟體可以提供不小的幫助，他把IT治理分成了6個階段，分別對應6個流程，即需求管理、組合管理、項目流程管理、資源管理、財務管理、資產管理。一個好的IT治理軟體可以分別在這6個環節上進行監控和管理。他介紹說，Borland的最新產品Tempo就從這6個方面著手幫助企業進行IT治理，效果很好。更為重要的是，由於Borland自己有軟體開發平台，Tempo可以把軟體開發過程也包括進來，形成整體IT治理解決方案。 除了使用IT治理軟體外，Michael Barnes對IT治理提出了三點建議：首先，不要把IT治理簡單地當成使用工具。IT治理絕不僅僅是工具，也不僅僅是產品。

8. CIO如何面對企業信息安全架構與IT治理問題

在IT系統給企業帶來活力、利潤和競爭力的同時，也給企業增加了因此而帶來的風險——日益依賴IT系統的企業面臨著因IT系統故障導致的業務災難。不難看出，如何最大限度地降低IT對業務的負面影響，IT系統如何充分為企業戰略目標服務，如何獲得IT價值最大化，這便是每個企業都必須要真接面對的信息安全與IT治理的問題。 一問理念：如何理解信息安全架構與IT治理的關系？ 2007年在上海舉辦的「IT治理與安全大會」上，微軟公司大中華區信息安全總監何迪生先生表示，假如把信息安全治理比作指引組織進行安全項目的路標，那麼安全架構和設計便是組織通往信息安全這個目標所用的交通工具的基本結構。它包括用於設計、實施、監控和保護操作系統、設備、網路、應用以及用以實施各種級別保密性、完整性和可用性控制的概念、原則、結構和標准。 事實上，建立完善的信息安全架構對於整個IT治理來說至關重要。沒有了信息安全架構，IT治理根本無從談起。 據Hillstone安全專家介紹，IT治理需要遵從特定的原則，並在企業統一、完善及健全的安全架構中去實現，這是一個系統工程，需要從信息安全本身直至企業內部的每個員工共同來實現。每個期望通過信息化來達到快速發展的企業都需要將應用安全架構以及IT治理作為工作重心之一。 任何事物都有它的兩面性。正確、恰當地使用IT系統能為企業帶來飛速的發展，但由於系統缺陷、人為誤操作、系統攻擊等不可預料的各種風險也同樣使得企業面臨著巨大的災難。因此，企業用戶更應該建立統一、完善、健全的信息安全架構來規范IT系統行為，通過建立冗餘機制、災備機制、詳盡的策略遵從機制等各種風險控制機制來降低整個企業的IT系統風險。 事實上，IT系統誕生之初就決定了它不可能「堅如磐石」，系統問題在所難免，但「因噎廢食」的做法和思路絕不可取，用戶需要的是在問題出現的時候能夠迅速獲得有效的解決辦法來避免中斷造成的影響。 此前深信服的安全產品經理鄔迪舉例說，早在2005年，國務院信息化辦公室攜手電筒子政務、銀行、電力、鐵路、民航、證券、保險、海關、稅務等行業，聯合起草的《重要信息系統災難恢復指南》就正式出台了，災備的作法將是解決IT系統故障的一方良葯，但很可惜因國內廣域網的緩慢傳輸速度，災備至今還未得到普遍推廣和應用，如何大幅提升廣域網的傳輸速度將是這方良葯能否發揮作用的前提。 另外，數據傳輸的安全性也是必須考慮的問題。員工利用企業網路訪問一些不良網站，同時一些員工在上班時間在論壇博客上發表一些不負責任的言論……這些行為無疑給企業帶來一系列的法律風險和商業災難。 其實解決此類問題非常簡單，只需在企業網路部署一台專用的內容管理設備就可以了。此類設備通過強大的數據中心，很方便地控制審計企業內網流向外網的每一個數據，防止機密的泄露和引起法律風險，即使問題出現也可以做到有據可查。而類似的處理方式都預示著一個問題：IT系統風險隨時存在，但是任何風險都可以降低，甚至是可以完全避免的。IT系統問題導致業務災難的風險，IT監管問題導致法律災難的風險，都可以利用IT自身的安全架構與技術設計來應對。 二問風險：如何才能平衡IT架構中的風險？ 有業內人士指出，風險控制是一門系統科學，風險降得越低需要的支出就越多。所有的企業都在尋找一個合適的平衡點來保障企業能夠在可接受的風險范圍內支出盡量少的錢。設備級別的冗餘機制是企業用戶選擇最多、也是見效最快的一種降低設備故障風險的方法。 當然，不可否認，利用先進的信息系統架構確實能夠幫助企業很好地完成一部分風險管理和企業治理的工作。但是Hillstone的安全專家認為，風險管理和企業治理中有很大一部分工作是針對自然人的，這就為風險管理和企業治理工作帶來了很大的不確定性以及不統一性。 無疑，這就要求IT經理在進行信息系統架構設計與治理的同時，必須了解到安全架構設計應該和企業的安全策略相吻合，否則就不能實現企業的安全目標。換句話說，只有在充分考慮人的因素的前提下，用IT治理IT才能發揮出更大的積極作用。 因此一些用戶反映，在進行一個信息系統的設計時，需要對目標系統的眾多需求進行平衡，這些需求包括功能、靈活性、性能、易用性、成本、業務需求和安全。需要強調的是，安全應該在系統設計中的開始階段就作為一個要害因素進行考慮。 此前新華人壽的IT經理杜大軍表示說，如果在信息架構的開發過程中使用了超過業務需求的安全性能，就會導致用戶體驗的惡化，但降低安全性能也會導致系統的部署和運行維護成本大增。 不難看出，想要平衡IT架構中的安全風險，就必須在IT系統設計的過程中平衡多種需求，這些需求可能是來自業務部門，或者來自企業的方方面面。安全架構的設計者通常需要根據組成構架的每個元素的重要性來確定如何進行取捨和開發。 在設計階段考慮安全性並不會增加太多的工作量，恰恰相反，這種安全思路貫穿始終的做法可以平滑地嵌入到架構設計的各個階段，這樣就可以保證安全性隨著架構設計逐漸的完成而完成。 基於此，不少安全專家認為安全架構從概念上說，就是從安全形度審閱整個系統架構，它主要提供系統架構所需要的安全服務、機制、技術和功能，不僅可以平衡架構設計與應用中的安全風險，而且可以提供如何進行安全設施部署的建議。 但無論如何，信息系統架構安全仍然是一個相對的概念，安全威脅無時無刻不在增加，只有不斷地加固才能獲得更加有效的安全。整個IT系統的安全涉及方方面面，任何一個地方的疏漏都會成為整個系統的致命短板。因此對用戶來說，目前情況下在整體信息安全架構的基礎上搭建安全防護設備能夠確保企業IT安全的最大化。 三問出路：如何解決信息安全架構與IT治理實現中的技術與管理挑戰？ 首先，從技術方面看，目前隨著網路應用的快速發展，基於數據應用層的安全防護以及風險控製得到越來越多企業用戶的關注。然而為了實現整個信息系統的安全架構，核心網關設備的應用層性能成為了各個企業實現統一安全架構的攔路虎。據Hillstone的安全專家介紹，基於應用處理的高性能安全網關是推動安全架構發展的技術因素之一，只有越來越多的高速設備出爐，才能從技術上確保網關層面的安全。 前面說了，高度集中的應用層安全網關還只是技術環境中的一方面。據何迪生透露，企業如果希望獲得完整的信息系統架構安全並在此基礎上獲得IT治理的效益，那麼部署一套全方位的安全系統方案是不可避免的。 比如，對現代企業來說，確保其信息基礎架構的安全性已經成為主要任務。在這個過程中，信息與各種協作工具對大多數企業的日常運營來說都至關重要。不幸的是，這些工具常常成為攻擊者的目標。因此，企業的CIO必須確保信息和協作基礎架構不受外部威脅的干擾，避免企業的工作效率受到影響，從而導致內部問題或者泄露機密信息。 面對種類繁多且不斷變化的安全威脅，信息和協作基礎架構應具備多層保護機制，在攻擊影響到企業網路之前就要解決問題。對此，他的看法是，多個保護層能夠減少因單一威脅而導致的網路癱瘓問題。目前的焦點在於，所有的安全廠商都有各自獨特的需求，他們提供不同的安全產品和服務。因此，如果要實現全架構的安全防護，安全技術本身也要具有適應性。 以微軟的技術方案為例：Microsoft Exchange Hosted Services可在垃圾郵件和病毒滲透到網路之前就進行過濾；Microsoft Forefront內部部署軟體可以保護關鍵應用伺服器免受內部威脅侵害，並能執行內容規則；Microsoft Internet and Security Acceleration（ISA）Server 2006可實現協議層和應用層的檢查，以確保安全地實現Exchange Server、Live Communication Server和SharePoint Portal Server的遠程訪問；而Microsoft Windows Rights Management Services（RMS）與Microsoft Office Outlook 2003客戶端應用配合工作，可以確保敏感的電子郵件和文檔不致泄漏出公司之外。 其實，類似的技術方案有很多，無怪乎都是從多層次、大縱深為出發點。換句話說，一個有效的技術方案，除了為企業整個基礎架構提供防禦之外，還必須採用縱深防禦策略，通過多種技術來發現並防禦安全威脅。事實上，依靠多種技術低於攻擊或誤操作，有助於消除整體安全架構中的單個故障點。 文章作者：趙曉濤

9. it治理是itil框架的核心嗎

IT服務管理是抄ITIL框架的核心，它是一套協襲同流程（Process），並通過服務級別協議（SLA）來保證IT服務的質量。ITIL把IT服務管理活動分為一項管理功能和十個核心流程，包括:1、服務台。2、事件管理。3、問題管理。4、配置管理。5、變更管理。6、發布管理。7、服務級別管理。8、財務管理。9、可持續性管理。10、容量管理。11、可用性管理。