it治理架構
1. TOGAF企業架構在企業中有何作用
「有效的企業架構(Enterprise Architecture,EA)對企業的生存和成功具有決定性的作用,是企業通過IT獲得競爭優勢的不可缺少的手段。「
企業架構如同戰略規劃,可以輔助企業完成業務及IT戰略規劃。在業務戰略方面,可使用TOGAF及其架構開發方法(Architecture Development Method,ADM)來定義企
業的願景/使命、目標/目的/驅動力、組織架構、職能和角色。
在IT戰略方面,TOGAF及ADM詳細描述了如何定義業務架構、數據架構、應用架構和技術架構,是IT戰略規劃的最佳實踐的指引。
企業架構是承接企業業務戰略與IT戰略之間的橋梁與標准介面,是企業信息化規劃的核心。
2. IT規劃需要注意些什麼
IT規劃,從表面意思上看,是側重於信息化的規劃。雖然定義很簡單,但在具體的規劃項目中還是要分清,什麼樣的企業用哪個層次的規劃。
廣義上講,IT規劃包含三個層面:IT戰略規劃、IT架構/運維規劃和IT組織/IT治理。
從內容上來說,IT戰略規劃是對IT手段和企業戰略進行匹配分析,在企業戰略的指導下,明確IT的戰略目標、方向和具體信息化建設方向;IT架構/運維規劃是根據IT戰略,具體確定運營層面的IT架構,指明信息化建設所採用的具體技術手段和必要的技術保障;IT治理是在信息化組織已經建立並運作的基礎上,對其工作的領域和流程進行一定的規劃,使信息部門更有效的工作。
相比較而言,這三個方面的規劃之間的層次關系是:IT戰略規劃決定IT架構規劃,在IT戰略規劃和IT架構規劃明確的基礎上,IT治理對信息化的運作提供更高效的保障。與企業的管理范疇的對應可以理解為:IT戰略規劃對應於企業戰略規劃,IT治理對應於企業組織的規劃,而IT架構規劃則屬於運營層面。
對IT規劃而言,要想成功實施規劃項目,企業必須具有兩個條件,一是組織架構確定,二是管理模式/流程清晰。對於IT戰略規劃項目,對企業的管理模式/流程可以不作太多的關注,只要能夠明確企業的戰略方向,和整個行業的發展趨勢,基本上就能夠確定企業的IT戰略;對於IT架構項目,首先要保證企業有獨立的信息部門,可能信息部門在企業內部的地位不高,但企業內部的管理模式和流程必須要相對清晰。之所以要具備這樣的條件是因為IT手段的引入是對管理模式/流程的支撐,如果管理模式不清晰,所進行的IT架構規劃也很難落到實處,規劃成果很難為客戶帶來價值;對於IT治理項目,企業內部不但要存在獨立的信息部門,而且,作為一個獨立的職能部門,其在企業內部的作用不亞於主要業務部門,只有具有了這兩個條件,IT治理項目才能順利地開展,並且規劃的內容更能夠為客戶帶來價值。
從咨詢的角度看,IT戰略規劃更像戰略咨詢項目,主要的規劃內容和重點和戰略規劃相類似,此時要求IT戰略規劃從管理、戰略的視角來看待企業遇到的問題,在充分分析所遇到的問題和企業戰略目標的基礎上,給出IT建設的重點領域和方向。
而IT架構規劃項目,由於現在很多此類項目集中於技術層面,並且多和信息系統的實施與開發項目結合在一起,真正從咨詢角度來完成的項目不多。而IT架構規劃是聯系企業的業務流程與IT手段的關鍵橋梁,要想成功完成此類項目,不但要對管理有深刻的認識,而且還需要對IT技術手段及發展趨勢有清楚的了解。目前,這類項目往往會成為某種大型信息系統,如ERP系統實施的一個附屬步驟/子項目,但從重要性來講,此類項目的重要性遠遠超過實施某個信息系統,信息系統的成功運作離不開對企業業務的深刻理解,信息化只是手段,只有在深刻理解了業務流程的信息化需求,才能夠保證實施的系統得到成功的運作,IT治理項目目前來說是發展最為成熟的一類IT規劃項目。目前所採用的IT治理框架主要是COBIT和ITIL,後者可以看作是前者的一個組成部分。COBIT框架是對大量信息化實踐高度概括總結而形成的,其中並沒有太多的理論內容,但對企業而言,針對性很強,這也是此類項目能夠順利開展、並且發展較為成熟的一個原因。
IT規劃要想成功實施,必須要分析企業所處的具體環境,是組織架構完善、流程清晰?還是組織和流程都十分模糊?這些是能否進行IT規劃項目的基礎(必要條件)。同時,明確了企業的具體情況,就要從企業的需求出發,決定是進行IT戰略規劃、IT架構規劃還是IT治理?這些是保證IT規劃項目順利進行的充分條件。所以,保證IT規劃項目成功運作的關鍵可以簡單總結為:一是分析企業的具體情況,以確定是否進行IT規劃;二是分析企業的具體需求,以確定實施哪個層面的IT規劃。
3. 為什麼電子政務頂層設計需要企業架構
電子政務建設是龐大、復雜的系統工程,因而需要頂層設計,這個觀版點越來越得到政界、學界和權IT行業的一致認可,《國家電子政務總體框架》可以看作這方面的一個例證。
頂層設計起源於應用系統的總體設計,由於信息技術在政府領域的大規模、深層次、跨組織應用,對於行政體制改革和服務型政府建設已經上升到戰略支撐層面,面向應用系統的總體設計方法已經越來越跟不上時代的發展。頂層設計方法必須上升到戰略管理和IT治理的高度,才能適應這種變化。
電子政務建設的頂層設計,核心是業務和IT之間的互動關系,要回答三個核心問題:
(1)業務戰略是什麼
「業務驅動IT,IT支撐業務」是頂層設計的第一個基本原則。
(2)業務戰略怎樣驅動IT戰略
IT戰略必須與業務戰略保持動態的一致,這是頂層設計的第二個基本原則。
(3)IT戰略怎樣支撐業務戰略
IT戰略必須保證業務戰略實現的效率和效果,這是頂層設計的第三個基本原則。
4. 什麼是IT治理
IT治理並沒有想像得那樣復雜和虛無縹緲。我們並不需要從成百上千種IT治理模式中煞費苦心地尋找一條適合自己的模式。埃森哲公司創建了一種IT治理模式,該模式為組織建立有效的IT治理提供了一張路線圖。
IT治理的概念引入到國內已經有三年多的時間了,雖然媒體、IT企業及一些專家學者在不斷呼籲IT治理的重要性,但將IT治理從理論推進到實踐層面的案例還鮮有所聞。之所以會如此,組織缺乏IT治理的操作指南應該是一個重要原因。
我們不能停留於對於IT治理概念的玩味和尋究,從某種程度上來講,IT治理的定義的抽象晦澀已經影響了組織對於IT治理的接受,並直接傷害了IT治理的實踐操作性,現在是到了為IT治理尋找一條切實可行的操作路徑的時候。
實際上,IT治理並沒有想像得那樣復雜和虛無縹緲。我們並不需要從成百上千種IT治理模式中煞費苦心地尋找一條適合自己的模式。埃森哲公司創建了一種IT治理模式,該模式為組織建立有效的IT治理提供了一張路線圖。本文將對該模式作一個介紹。
簡單地講,IT治理關注兩個方面的問題,即IT治理的「什麼」和「誰」。IT治理的「什麼」是指IT治理應該作出哪些決策,IT治理的「誰」則是指這些決策分別應該由誰來作出。
那麼,IT治理到底應該作出哪些決策呢?要找到這個問題的答案,必須先搞清楚一個問題,那就是組織到底需要IT發揮什麼樣的作用。不要想當然地以為這是一個可以簡單回答的問題。實際上,不同的組織對於IT的需要是不一樣的。組織到底需要IT做什麼,在很大程度上取決於它處於一個什麼樣的商業環境。
商業特徵決定IT需求
走向IT治理的第一步就是,要對組織處於什麼樣的商業環境進行正確的分析。
埃森哲公司的IT治理模式通過兩個指標來對組織的商業環境進行分析:變化的速度和競爭的基礎。
變化的速度。某些企業處在一個變化較快的行業,如半導體企業和電信企業。在這樣的行業,消費者的需求和偏好經常改變,產業政策也時常推陳出新,時不時出現的新技術會一下子改變整個產業價值鏈;而另外一些行業的發展狀態則相對穩定,不會有那麼快的變化,如航空業。在這樣的行業,消費者的需求、競爭格局、政府管制、技術及供應商等方面的變化都是緩慢發生的。
競爭的基礎。從競爭的基礎來看,企業可以分為兩類。一類企業以運營效率為基礎進行競爭。對於這類組織來說,重點在於降低成本,以及優化現有的商業模式以應對競爭;另一類企業以產品和服務的差異性為競爭的基礎。這類企業力求先於競爭對手提供新的商業能力,或者是開創新的商業模式,以此獲得競爭優勢。
根據以上兩個指標,可以將組織分為四類。
A類組織處於變化不快的行業,以運營效率為競爭基礎;
B類組織處於變化不快的行業,以產品服務的差異化為競爭基礎;
C類組織處於變化快的行業,以運營效率為競爭基礎;
D類組織處於變化快的行業,以產品服務的差異化為競爭基礎。
這四類不同的組織因其業務特點的不同而對IT產生不同的需求。
A類組織發展的關鍵在於嚴格控製成本,因此這類企業希望利用IT來保持低成本,通過如外包這類節省成本的方法來提供成熟的能力。
B類組織的管理層期望利用信息來提高決策能力,並開發新的產品和服務,以高收入來抵消不斷增長的IT支出。
C類組織按優先次序制定IT投資計劃以及長期能力的路線圖,它們在對成本進行有效管理的同時,根據路線圖,運用IT來實現計劃中的新能力,以滿足市場不斷變化的需求。
D類組織期望IT具有高度的靈活性,以滿足迅速變化的商業策略和要求。這類企業傾向於提供創新的IT解決方案,以獲得先發優勢,因此它們的IT投資重點在於創造新的能力。
IT治理的決策范圍
一旦組織明確了自己對於IT的需求,那下一步就要解決IT治理作哪些決策的問題,也就是前文所說的IT治理的「什麼」。IT治理的決策范圍一般包括以下五個方面。
組織模式:組織是採取集權、分權還是混合的模式?
投資:組織將投資於什麼?投多少?
架構:組織是著重於穩定性還是靈活性?這兩者各到什麼程度?應用系統是向外購買還是內部開發?是建立一個綜合性的ERP系統還是多種系統?
標准:組織需要將什麼技術標准化,採用什麼標准?
資源:IT組織將利用什麼類型的資源?這些資源的來源是什麼?
對於A類組織,其首選的組織模式應該是集權式治理,IT對於預算和決策負有責任。加拿大郵政公司就採用這種方法,該公司堅持一種簡單化的組織模式,有一個集權部門來對公司行為進行優先排序,並通過單一的IT資源來完成。
在標準的決策方面,A類組織謀求在全組織范圍內加強架構、技術和供應商的標准化,只是在一些被證明是正當的例外的情況下才允許有所背離。一家大型的法國保險公司就是這方面的一個例子。該公司在集團范圍內對IT架構實行了標准化,因此它可以優化其核心的IT流程,整合系統支持其非壽險業務,移植數據,配置新的系統以支持其健康險業務。
在資源決策方面,A類組織善於利用內外部資源的組合,通常會與少量的幾家優選的服務提供商達成服務協議。當某個全球性的化學品公司認為IT並非其核心業務時其,便將整個IT運作外包出去,包括其ERP系統全球范圍內的實施和支持。
IT治理
公司治理主要關注利益相關者權益和管理,包括一系列責任和條例,由最高管理層(董事會)和執行管理層實施,目的是提供戰略方向,保證目標能夠實現,風險適當管理,企業的資源合理使用。
公司治理,驅動和調整IT治理。同時,IT能夠提供關鍵的輸入,形成戰略計劃的一個重要組成部分,這被認為是公司治理的一個重要功能——IT影響企業的戰略競爭機遇。
IT治理和公司治理關系圖
IT治理的一個關鍵性問題是:公司的IT投資是否與戰略目標相一致,從而構築必要的核心競爭力。因為企業目標變化太快,很難保證IT與商業目標始終保持一致,因此需要多方面的協調,保證IT治理繼續沿著正確的方向走,這也是IT投資者真正關心的問題。對IT治理而言,要能體現未來信息技術與未來企業組織的戰略集成。既要盡可能地保持開放性和長遠性,以確保系統的穩定性和延續性;同時又因為規劃趕不上變化,再長遠的規劃也難以保證能跟上企業環境的變化。IT治理中一個相對有效的做法是,在信息化規劃時,認真分析企業的戰略與IT支撐之間的影響度,並合理預測環境變化可能給企業戰略帶來的偏移,在規劃時留有適當的餘地,從業務戰略到信息戰略,做務實的牽引,不要追求大而全。
IT治理有助於建立一個靈活的、具有適應性的企業。IT治理能夠影響信息和指示:企業能夠感知市場正在發生的事,使用知識資產並從中學習,創新新產品、服務、渠道、過程;迅速變化,將革新帶入市場,衡量業績。IT治理應該體現「以組織戰略目標為中心」的思想,通過合理配置IT資源創造價值。企業治理側重於企業整體規劃,IT治理側重於企業中信息資源的有效利用和管理。
企業目標在於遠景和商業模式,IT目標在於商業模式的實施。
企業目標與IT目標之間的關系如下圖所示:
IT治理主要涉及兩個方面:IT要為企業交付價值,IT風險要降低。前者受IT與企業的戰略一致性驅動,後者由責任義務落實到企業驅動。這兩者都需要衡量,如使用平衡計分卡。這就可以看出IT治理的四個核心領域,都是由利益相關者價值驅動的,其中兩個是成果:價值交付和風險降低,另外兩個是驅動力:戰略一致性和業績衡量。
概括地說,公司治理和IT治理都是市場(含政府)他律的機制,是如何「管好管理者」的機制,其目標也是一致的:達到業務永續運營,並增加組織的長期獲利機會。無論大環境是好是壞,最高管理層(董事會)均應以達成其目標為責任,而且管理階層需有能力協助其達成目標,因此最高管理層(董事會)必須常常監督管理部門對決策判斷與政策實施的績效。
「斯達模式」這一被譽為國企擺脫困境、改革發展的創新模式,正說明了公司治理和IT治理的重要性和互動關系。「黑紙」利用合資契機,對產權體制進行了改革,並按照現代企業制度要求,建立與市場競爭相適應的公司治理機制,明晰了企業產權,優化了生產要素配置,轉變了職工觀念,為斯達大力進行信息化改造創造了有力條件。反過來,信息化也促進了公司的現代化管理。
IT治理和IT管理
IT管理是公司的信息及信息系統的運營,確定IT目標以及實現此目標所採取的行動;而IT治理是指最高管理層(董事會)利用它來監督管理層在IT戰略上的過程、結構和聯系,以確保這種運營處於正確的軌道之上。這是一個硬幣的兩面,誰也不能脫離誰而存在。可見,IT管理就是在既定的IT治理模式下,管理層為實現公司的目標而採取的行動。
IT治理規定了整個企業IT運作的基本框架,IT管理則是在這個既定的框架下駕馭企業奔向目標。缺乏良好IT治理模式的公司,即使有「很好」的IT管理體系(而這實際上是不可能的),就像一座地基不牢固的大廈;同樣,沒有公司IT管理體系的暢通,單純的治理模式也只能是一個美好的藍圖,而缺乏實際的內容。就我國信息化建設目前的現狀而言,無論是IT治理,還是IT管理都是我們所迫切需要解決的。
淺析IT治理框架的三個支柱
一旦IT領導理解了IT治理框架的三個支柱,他們對於IT治理為什麼如此重要,以及哪一種方法可以最好地幫助他們達成治理目標,就會有更好的理解。
IT治理是目前很多人都在談論的一個話題。確實,一些技術供應商和咨詢顧問已經將IT治理納入一個最新的熱門的銷售范疇。然而,以他們所銷售的產品和服務的范圍為基礎,已經出現了IT治理的種種定義,這在一定程度上給市場帶來了混亂。
那麼,對於如今這個最熱門的企業治理方面的概念,業務和IT領導從哪裡可以獲得一個單一而又全面的定義呢?
基於ITGI、正在形成的產業標准、客戶最佳實踐及思想領導者的工作,第一流的分析師現在都在強調IT治理框架的三個支柱的模式。這一框架強調確保IT在支持業務目標、優化商業技術投資及合理管理IT相關風險和機會中的重要性。
在CIO和IT領導看來,由於可以為組織走出煩惱多時的沒完沒了的支出、擴展、補丁、再支出的循環提供一個清楚的路徑,這三個支柱的模式和與之相應的IT治理成熟度模型正在迅速地獲得動力。
有了IT治理這一框架,IT投資所帶來的價值可以獲得理解,實現技術投資和業務目標需求之間的聯結也有了明確的方法。在來自管理層和董事會的壓力越來越大的情況下,IT組織不能僅依靠理論—他們需要能發揮作用的治理。
IT治理框架的三個支柱
對於任何想抓住這種前瞻性的IT方法所帶來的利益的組織而言,這一成形的IT治理框架都是適用的。這個框架包括三個主要的組成部分,具體表現為「計劃/構造/管理」三個生命周期,通過一個不斷進行的連結這三個要素的反饋環,使得IT變革成為可能。這三個支柱是:
企業架構計劃,包括:
企業架構造型和管理
戰略性的IT計劃和路線圖
標准管理
投資組合合理化,包括:
應用系統和基礎設施的合理化
項目-投資分析
合並和收購運營整合
服務融合,包括:
服務提供管理
業務關系管理
供應商和外包商管理
IT財務管理IT
塞班斯-奧克斯萊法案(Sarbanes-Oxley)和其他法規遵從的問題
業務連續性計劃
一旦IT領導理解了這三個支柱,他們對於IT治理為什麼如此重要,以及哪一種方法可以最好地幫助他們達成治理目標,就會有更好的理解。例如,在項目投資管理和系統管理領域,一般的供應商只會致力於整個框架的一部分。對IT治理問題需要有一個全面的解決方案,這一需求已經越來越表現出來了。
IT治理解決方案
Troux是惟一能提供有效的IT治理系統的企業,同時,它還能提供全面的可以連結業務和自動工作流,及自動化的策略管理系統。為了解決CIO們今天面臨的最具挑戰性的IT治理問題,Troux的解決方案提供了基礎,並且橫跨IT治理框架的三個領域。
企業架構:使得企業建造師可以完全模仿符合未來需要的架構,並且提供創造和管理與架構相協調的標准和路線圖的能力。
投資合理化:為IT執行人員提供確保應用、基礎設施、服務和項目投資與業務和成本優化相協調的可視度和工具。
服務管理:使IT組織可以實現對業務服務的自動化定義和管理,並確保關鍵業務、遵從和業務連續性目標的一致。
有了以上各種解決辦法,Troux帶來了幫助CIO和IT執行人員實現IT治理所需要的深入的專業知識、最佳實踐和成熟的模式。
結論
正如IT治理已經位居CIO日程表的前列,經理人員們也已經發現,最佳實踐和方法的標准還沒有準確的定義—到現在這一狀況才有所改變。
Troux的技術為CIO和IT經理有效計劃、構建和管理他們的IT運作,提供了所需要的最佳實踐和方法。
鏈接
如何看待IT治理的角色
「對於CIO來說,IT治理意味著組織結構、決定過程和一種在企業內加強控制的信息基礎。」位於斯坦福的Meta集團的分析師Val Sribar說。
走向IT治理最重要的一步是「發展一種可以自信地進行關鍵資產、財務和遵從的決策的信息基礎。」Sribar又說,「業務和技術架構的可見度對於企業管理和成長是關鍵性的。」
幸運的是,IT經理為了達成治理目標可以獲得幫助。「像Troux這樣的供應商已經出現,並填補了治理流程和IT運營之間的空白。」Sribar說.
IT治理的標准
目前國際上通行的IT治理標准主要有四個:ITIL 、COBIT、ISO/IEC17799和PRINCE2。
(1)ITIL
ITIL(Information Technology Infrastructure Library):即信息技術基礎構架庫,一套被廣泛承認的用於有效IT服務管理的實踐准則。1980年以來,英國政府商務辦公室(GOC,原稱政府計算機與通信中心)為解決「IT服務質量不佳」的問題,逐步提出和完善了一整套對IT服務的質量進行評估的方法體系,叫做ITIL。2001年,英國標准協會在國際IT服務管理論壇(itSMF)上正式發布了以ITIL為核心的英國國家標准BS15000。這成為IT服務管理領域具有歷史意義的重大事件。
(2)COBIT
COBIT(Control Objectives for Information and related Technology):即信息系統和技術控制目標。成立於1969年的美國信息系統審計與控制協會ISACA,於1996推出了用於「IT審計」的知識體系COBIT。「IT審計」已經成為眾多國家的政府部門、企業對IT的計劃與組織、采購與實施、服務提供與服務支持、監督與控制等進行全面考核與認可的業界標准。相應地,「注冊信息系統審計師」(CISA)日益成為世界各國發展信息化過程中,爭相發展的新興職業和領域。作為IT治理的核心模型,COBIT包含34個信息技術過程式控制制,並歸集為四個控制域:IT規劃和組織(Planning and Organization)、系統獲得和實施(Acquisition and Implementation)、交付與支持(Delivery and Support)以及信息系統運行性能監控(Monitoring)。 COBIT 目前已成為國際上公認的IT管理與控制標准。
(3)BS 7799
BS 7799(ISO/IEC17799):即國際信息安全管理標准體系,2000年12月,國際標准化組織ISO正式發布了有關信息安全的國際標准ISO17799,這個標准包括信息系統安全管理和安全認證兩大部分,是參照英國國家標准BS7799而來的。它是一個詳細的安全標准,包括安全內容的所有準則,由十個獨立的部分組成,每一節都覆蓋了不同的主題和區域。
由英國標准協會(BSI)編寫的信息安全管理體系標准BS 7799-Part 1 (ISO 17799) 及BS 7799-Part 2為各種機構、企業進行信息安全管理提供了一個完整的管理框架。這一套『姊妹對』標准引導機構、企業建立一個完整的信息安全管理體系,對信息安全進行動態的、以分析機構及企業面臨的安全風險為起點對企業的信息安全風險進行動態的、全面的、有效的、不斷改進的管理,並強調信息安全管理的目的是保持機構及企業業務的連續性不受信息安全事件的破壞,要從機構或企業現有的資源和管理基礎為出發點,建立信息安全管理體系(ISMS),不斷改進信息安全管理的水平,使機構或企業的信息安全以最小代價達到需要的水準。保護信息安全,建立信息安全管理體系是機構或企業營運的重要工作之一,尤其是BS 7799-2: 2002是目前最完整的參考依據,它以「計劃(Plan)、實施(Do)、檢查(Check)、行動(Action)」模式,將管理體系規范導入機構或企業內,以達到「持續改進」的目的。
(4)PRINCE2
PRINCE2(Projects In Controlled Environments)是一種對項目管理的某些特定方面提供支持的方法。PRINCE2描述了一個項目如何被切分成一些可供管理的階段,以便高效地控制資源的使用和在整個項目周期執行常規的監督流程。PRINCE2的視野並不僅僅限於對具體項目的管理,還蓋了在組織范圍對項目的管理。
在這里,我們重點對COBIT進行介紹:
COBIT的全稱是「Control Objectives for Information and related Technology」,上世紀90年代早期由IT治理協會提出,至今(2005年)已是第三版,COBIT目前已成為國際上公認的IT管理與控制框架,已在世界一百多個國家的重要組織與企業中運用,指導這些組織有效地利用信息資源,有效地管理與信息相關的風險。
COBIT有6個組件:
- Executive Summary
- Management Guidelines
- Framework
- Control Objectives
- Implemenation Toolset
- Audit Guidelines
COBIT型是企業戰略目標和信息技術戰略目標的橋梁,使得信息技術目標和企業戰略目標之間實現互動。
該框架的意義在於:COBIT實現了企業目標與IT治理目標之間的橋梁作用。
首先,COBIT考慮了企業自身的戰略規劃,對業務環境和企業總的業務戰略進行分析定位,並將戰略規劃所產生的目標、政策、行動計劃作為信息技術的關鍵環境,並由此確定IT准則。
IT為企業戰略提供了基於技術的解決方案,為滿足業務戰略需求提供了技術與工具。在IT准則的指導下,利用控制目標模型,分別從規劃與組織、獲取與實施、交付與支持、監控等過程進行控制、管理信息資源。在IT管理的同時,引入審計指南,從而保證IT資源管理的安全性、可靠性和有效性。
COBIT實現可跟蹤的業績衡量,通過平衡記分卡可以在財務(企業資源管理)、客戶(客戶關系管理)、過程(內部網,工作流工具)、學習(知識管理)等方面維持平衡,評價企業目標的實現情況以及IT績效,並調整業務目標和IT戰略,進行持續的IT管理。
COBIT採用成熟度模型,可以定位自己企業的IT管理目前在業界所處的位置,以及未來努力的方向,通俗地說就是給IT管理「打分」。
COBIT還提供了目前最佳案例和關鍵成功因素(CSF),供企業和組織借鑒。
從內容上看,COBIT覆蓋了從分析&設計到開發&實施到運營、維護的整個過程。對於分析&設計,重點目標是IT與業務的需求,根據業務目標細化IT戰略,確定待開放的IT系統,進行相應的系統分析和設計。在分析與設計這樣一個流程范圍中,比我們傳統所說的信息系統的分析與設計要寬廣得多,它強調的是IT的戰略要符合業務的戰略,任何信息系統的開發都應該與業務戰略保持精確的校準。從業務戰略的高度來分析和設計信息系統。提供這個階段主要是考察組織的需求,同時根據這些需求設計合理的資源組合,設立合理的服務級別、目標,提供滿足客戶需求的IT服務。這個階段對IT應用已上升到IT服務管理的階段。主要解決下面的問題,為滿足客戶的需要提供哪些資源,這些資源之間的成本是多少,如何在服務成本和服務的效益間達到一個恰當的平衡點。在支持這個層面,主要是如何滿足客戶提出的IT需求,以支持服務的需求。 COBIT上層是對IT運行進行外部控制和內部審計,以確保IT與業務實現精確校準,同時實現對IT應用持續不斷的應用和改進。COBIT覆蓋整個信息系統的全部生命周期,其視野是最為開闊的。
概括而言,COBIT的主要優點如下:
COBIT是一個非常有用的工具,也非常易於理解和實施,可以幫助企業在管理層、IT與審計之間交流的鴻溝上搭建橋梁,提供了彼此溝通的共同語言。幾乎每個機構都可以從COBIT中獲益,來決定基於IT過程及他們所支持的商業功能的合理控制。當我們知道這些業務功能是什麼,其對企業的影響到什麼程度時,就能對這些事件進行良好的分類。所有的信息系統審計、控制及安全專業人員應該考慮採用COBIT原則。
通過實施COBIT,增加了管理層對控制的感知及支持。COBIT幫助管理層懂得如何控制影響、業務功能。COBIT提供的實施工具集包括優秀的案例資料(提供模板業務過程,使得優秀範例能夠迅速移植),有助於向管理層很好地表述IT管理概念。管理層在基於最佳控制實踐基礎上做出正確決策的能力亦得到了提高。
COBIT使IT管理工作簡易並量化,減輕對復雜信息系統管理工作的難度。對於那些不具有廣博IT知識的人來講,是一個認清信息技術的有價值的工具。它也使得信息系統審計師具有與IT專業人員相同的專業廣度,並且可以詢問IT工程相關的問題。
COBIT提供了一種國際通用的IT管理及問題解決方案,普遍適用於各種不同的業務項目和審計,並且既包容了當前的情況,也提供將來可能會使用到的指導方針。
COBIT有助於提高信息系統審計師的影響力,依據COBIT出具的信息系統審計報告,更容易得到管理層的肯定。
COBIT框架可以能夠幫助決定過程責任,提高IT治理水平。通過應用該框架進行責任分析,可以做到基於角色的IT管理,定義過程措施,確保客戶利益。
總之,COBIT模型實現了企業戰略與IT戰略的互動,並形成持續改進的良性循環機制,為企業提供了具有一定參考價值的解決方案。因此,針對我國信息化存在的問題,借鑒COBIT的IT治理思想和框架,科學、系統地對信息及相關技術進行管理,逐步試行建立IT治理機制,對推動我國信息技術的發展和應用具有十分重要的現實意義。
5. 什麼是企業架構,是由業務架構和IT架構組成的嗎
企業IT組織架構總部集()公司布配置直業界熱點題與爭論數據集該布沒絕
錯每家企業所行業同、規模同、IT應用階段同難放四海皆準模式仍些借鑒規律其實論合其實企
業治理結構IT治理具體體現屬於IT戰略層面問題焦點則IT管理職責與權利何劃我認本土集團型企業、元化企業CIO問
題尤其需要認真待
些企業治理結構比較完善、管理比較規范跨公司普遍實行矩陣式職能管理架構——區總部企業內部共享服務各戰略業務單
元(SBU)職能管理部門提供行政性辦公條件相關服務我覺企業事單或相關聯業務種組織架構利於企業職能管理專業化能降
低管理本目前內本土集團型企業或元化企業實行總裁/管副總裁+IT總監/IT部門總經理格局履行跨公司總部類似CIO職責
由於企業治理結構管理標准化程度等原加非關聯性、元化或跨行業業務完全採用內部共享服務職能管理架構相溝通、協調
管理本進影響企業決策、戰略執行運營管理效率所我認類企業需要根據IT應用階段及調整IT組織架構程管理師查爾
斯·漢迪聯邦制組織管理思路值CIO借鑒
我認企業IT基礎設施搭建信息化初級階段ERP等套件類應用系統構建階段IT組織相集管理比較效階段進行總部集
權主要原IT力資源軟硬體資源充共享、效利用能逐步培養自IT隊伍並傳承系統實施知識與經驗畢竟階段企業IT
應用程度限或IT投入相足加數企業項目負責管理主線總部直接投資並統籌協調()公司IT項目建設減少匯報層級協調難
度能提高IT項目建設效率些企業信息化建設初期並沒設立獨立IT部門IT員歸屬總辦、企管辦或財務部門或由副總裁級別領導者
管其實與企業信息化於起步階段關其定合理性往利於信息化建設更符合企業整體戰略
企業信息化建設旦結束規模系統構建進入深化應用、持續改進與優化階段情況發變化總部IT部門味包攬、
統管切IT事務發資源與需求益嚴重沖突、溝通協調困難等管理問題階段()公司定承擔IT建設與運營力本往往
斷提各種需求、節制銷總部IT力資源造總部IT力資源規模斷擴讓總部堪重負外總部IT部門兼顧運行
維護忽略或實現IT戰略、審計等重要職責難顧及遠發展、IT趨勢研究、總體協調等宏觀事務我覺CIO階段CIO主要工作解
決總部IT資源何效利用、總部與()公司何擔IT投資、何提高運行管理效率、總部與()公司IT職責劃等系列問題
近我與幾位業界專家CIO深入交流些問題家析少企業情況比較認同本土化集團企業或元化企業IT組織三層
級實行聯邦制+權制比較行模式模式具體言總部IT部門實行漢迪提聯邦制輔助CIO專注於集團IT戰略制訂、並實
施監督;()公司IT部門實行權制負責總公司IT戰略具體實施並管理本企業IT;孫公司IT部門則負責IT運維()公司
IT部門接受本企業直接領導與管理同應接受級IT部門專業指導協調管理
家酒店集團採用IT組織模式:IT運營歸各酒店酒店主要配備IT運維員些定期集團總部受訓;IT員屬集團外派
接受總部IT部門績效考核IT員源則按照總部規定員編制招聘要求屬招聘;各酒店IT規劃與全集團統部署項目實施則歸集團總部
負責與管理酒店集團數據布式與其IT管控模式相匹配
述討論謂意間印證《三演義》篇句——勢久必合合久必企業管理定式IT組織應該隨需應變、順勢
6. CIO如何面對企業信息安全架構與IT治理問題
在IT系統給企業帶來活力、利潤和競爭力的同時,也給企業增加了因此而帶來的風險——日益依賴IT系統的企業面臨著因IT系統故障導致的業務災難。不難看出,如何最大限度地降低IT對業務的負面影響,IT系統如何充分為企業戰略目標服務,如何獲得IT價值最大化,這便是每個企業都必須要真接面對的信息安全與IT治理的問題。 一問理念:如何理解信息安全架構與IT治理的關系? 2007年在上海舉辦的「IT治理與安全大會」上,微軟公司大中華區信息安全總監何迪生先生表示,假如把信息安全治理比作指引組織進行安全項目的路標,那麼安全架構和設計便是組織通往信息安全這個目標所用的交通工具的基本結構。它包括用於設計、實施、監控和保護操作系統、設備、網路、應用以及用以實施各種級別保密性、完整性和可用性控制的概念、原則、結構和標准。 事實上,建立完善的信息安全架構對於整個IT治理來說至關重要。沒有了信息安全架構,IT治理根本無從談起。 據Hillstone安全專家介紹,IT治理需要遵從特定的原則,並在企業統一、完善及健全的安全架構中去實現,這是一個系統工程,需要從信息安全本身直至企業內部的每個員工共同來實現。每個期望通過信息化來達到快速發展的企業都需要將應用安全架構以及IT治理作為工作重心之一。 任何事物都有它的兩面性。正確、恰當地使用IT系統能為企業帶來飛速的發展,但由於系統缺陷、人為誤操作、系統攻擊等不可預料的各種風險也同樣使得企業面臨著巨大的災難。因此,企業用戶更應該建立統一、完善、健全的信息安全架構來規范IT系統行為,通過建立冗餘機制、災備機制、詳盡的策略遵從機制等各種風險控制機制來降低整個企業的IT系統風險。 事實上,IT系統誕生之初就決定了它不可能「堅如磐石」,系統問題在所難免,但「因噎廢食」的做法和思路絕不可取,用戶需要的是在問題出現的時候能夠迅速獲得有效的解決辦法來避免中斷造成的影響。 此前深信服的安全產品經理鄔迪舉例說,早在2005年,國務院信息化辦公室攜手電筒子政務、銀行、電力、鐵路、民航、證券、保險、海關、稅務等行業,聯合起草的《重要信息系統災難恢復指南》就正式出台了,災備的作法將是解決IT系統故障的一方良葯,但很可惜因國內廣域網的緩慢傳輸速度,災備至今還未得到普遍推廣和應用,如何大幅提升廣域網的傳輸速度將是這方良葯能否發揮作用的前提。 另外,數據傳輸的安全性也是必須考慮的問題。員工利用企業網路訪問一些不良網站,同時一些員工在上班時間在論壇博客上發表一些不負責任的言論……這些行為無疑給企業帶來一系列的法律風險和商業災難。 其實解決此類問題非常簡單,只需在企業網路部署一台專用的內容管理設備就可以了。此類設備通過強大的數據中心,很方便地控制審計企業內網流向外網的每一個數據,防止機密的泄露和引起法律風險,即使問題出現也可以做到有據可查。而類似的處理方式都預示著一個問題:IT系統風險隨時存在,但是任何風險都可以降低,甚至是可以完全避免的。IT系統問題導致業務災難的風險,IT監管問題導致法律災難的風險,都可以利用IT自身的安全架構與技術設計來應對。 二問風險:如何才能平衡IT架構中的風險? 有業內人士指出,風險控制是一門系統科學,風險降得越低需要的支出就越多。所有的企業都在尋找一個合適的平衡點來保障企業能夠在可接受的風險范圍內支出盡量少的錢。設備級別的冗餘機制是企業用戶選擇最多、也是見效最快的一種降低設備故障風險的方法。 當然,不可否認,利用先進的信息系統架構確實能夠幫助企業很好地完成一部分風險管理和企業治理的工作。但是Hillstone的安全專家認為,風險管理和企業治理中有很大一部分工作是針對自然人的,這就為風險管理和企業治理工作帶來了很大的不確定性以及不統一性。 無疑,這就要求IT經理在進行信息系統架構設計與治理的同時,必須了解到安全架構設計應該和企業的安全策略相吻合,否則就不能實現企業的安全目標。換句話說,只有在充分考慮人的因素的前提下,用IT治理IT才能發揮出更大的積極作用。 因此一些用戶反映,在進行一個信息系統的設計時,需要對目標系統的眾多需求進行平衡,這些需求包括功能、靈活性、性能、易用性、成本、業務需求和安全。需要強調的是,安全應該在系統設計中的開始階段就作為一個要害因素進行考慮。 此前新華人壽的IT經理杜大軍表示說,如果在信息架構的開發過程中使用了超過業務需求的安全性能,就會導致用戶體驗的惡化,但降低安全性能也會導致系統的部署和運行維護成本大增。 不難看出,想要平衡IT架構中的安全風險,就必須在IT系統設計的過程中平衡多種需求,這些需求可能是來自業務部門,或者來自企業的方方面面。安全架構的設計者通常需要根據組成構架的每個元素的重要性來確定如何進行取捨和開發。 在設計階段考慮安全性並不會增加太多的工作量,恰恰相反,這種安全思路貫穿始終的做法可以平滑地嵌入到架構設計的各個階段,這樣就可以保證安全性隨著架構設計逐漸的完成而完成。 基於此,不少安全專家認為安全架構從概念上說,就是從安全形度審閱整個系統架構,它主要提供系統架構所需要的安全服務、機制、技術和功能,不僅可以平衡架構設計與應用中的安全風險,而且可以提供如何進行安全設施部署的建議。 但無論如何,信息系統架構安全仍然是一個相對的概念,安全威脅無時無刻不在增加,只有不斷地加固才能獲得更加有效的安全。整個IT系統的安全涉及方方面面,任何一個地方的疏漏都會成為整個系統的致命短板。因此對用戶來說,目前情況下在整體信息安全架構的基礎上搭建安全防護設備能夠確保企業IT安全的最大化。 三問出路:如何解決信息安全架構與IT治理實現中的技術與管理挑戰? 首先,從技術方面看,目前隨著網路應用的快速發展,基於數據應用層的安全防護以及風險控製得到越來越多企業用戶的關注。然而為了實現整個信息系統的安全架構,核心網關設備的應用層性能成為了各個企業實現統一安全架構的攔路虎。據Hillstone的安全專家介紹,基於應用處理的高性能安全網關是推動安全架構發展的技術因素之一,只有越來越多的高速設備出爐,才能從技術上確保網關層面的安全。 前面說了,高度集中的應用層安全網關還只是技術環境中的一方面。據何迪生透露,企業如果希望獲得完整的信息系統架構安全並在此基礎上獲得IT治理的效益,那麼部署一套全方位的安全系統方案是不可避免的。 比如,對現代企業來說,確保其信息基礎架構的安全性已經成為主要任務。在這個過程中,信息與各種協作工具對大多數企業的日常運營來說都至關重要。不幸的是,這些工具常常成為攻擊者的目標。因此,企業的CIO必須確保信息和協作基礎架構不受外部威脅的干擾,避免企業的工作效率受到影響,從而導致內部問題或者泄露機密信息。 面對種類繁多且不斷變化的安全威脅,信息和協作基礎架構應具備多層保護機制,在攻擊影響到企業網路之前就要解決問題。對此,他的看法是,多個保護層能夠減少因單一威脅而導致的網路癱瘓問題。目前的焦點在於,所有的安全廠商都有各自獨特的需求,他們提供不同的安全產品和服務。因此,如果要實現全架構的安全防護,安全技術本身也要具有適應性。 以微軟的技術方案為例:Microsoft Exchange Hosted Services可在垃圾郵件和病毒滲透到網路之前就進行過濾;Microsoft Forefront內部部署軟體可以保護關鍵應用伺服器免受內部威脅侵害,並能執行內容規則;Microsoft Internet and Security Acceleration(ISA)Server 2006可實現協議層和應用層的檢查,以確保安全地實現Exchange Server、Live Communication Server和SharePoint Portal Server的遠程訪問;而Microsoft Windows Rights Management Services(RMS)與Microsoft Office Outlook 2003客戶端應用配合工作,可以確保敏感的電子郵件和文檔不致泄漏出公司之外。 其實,類似的技術方案有很多,無怪乎都是從多層次、大縱深為出發點。換句話說,一個有效的技術方案,除了為企業整個基礎架構提供防禦之外,還必須採用縱深防禦策略,通過多種技術來發現並防禦安全威脅。事實上,依靠多種技術低於攻擊或誤操作,有助於消除整體安全架構中的單個故障點。 文章作者:趙曉濤
7. 管理信息系統是企業變革的原因嗎
介面是採用中立的方式進行定義的,它應該獨立於實現服務的硬體平台、操作系統和編程語言。這使得構建在各種這樣的系統中的服務可以以一種統一和通用的方式進行交互。
從SOA的概念中,不難發現三點:第一,SOA不是一個可以拿來就使用的技術,而是一種架構和組織IT基礎結構及業務功能的方法;第二,基於SOA架構的軟體系統相對於傳統架構更加柔性,更加能夠適合企業依據業務情況對軟體系統進行快速調整和重新部署;第三,SOA的出現可以使得企業在解決多系統集成方面獲得新的思路和方案。
另外,從這個定義中還可以發現一點就是,對於企業級的應用來說,SOA可以為企業對於業務應用和管理帶來一個新的理念:服務組件化管理。這與軟體組件化概念一致。一個相對獨立,完整的服務可以方便的被以各種方式組合成為一個大型的服務。
首先,ERP在目前企業中應用可以說並不成熟,多數企業還處於信息孤島狀態,沒有掌握ERP的核心理念。特別是當企業處於成長期時,企業組織架構、業務流程與職責許可權於是,經常會發生由於企業組織架構的調整導致信息系統無法為企業提供足夠的支撐,而大多數企業在這個時候,都會期望能夠找到一個快捷的方法解決這樣的問題。事實上,很多企業在企業發生變革之後,對於信息系統的調整都處於隨心而動的狀態,也就是說不假思索的要求信息系統在很短的時間內完成調整和重新部署。我們知道當企業變革時,最先反映的是組織架構的調整。其實,組織架構的調整,對企業的影響通常只存在一個方面,那就是部門職責的變動,而部門職責的變動更多的是表現在許可權的變動,許可權的調整相信對任何軟體系統都是一個非常簡單的事情。另外,許可權變動還會帶來報表的問題,目前中國企業特別是國有企業的報表有一個非常顯著的特點就是無定性,報表格式無定性,報表數據無定性,可以說是年年變,月月變,日日變,與其花更多的錢去選一個所謂的先進架構的軟體,還不如去買一個靈活一點的報表工具更實際。
如果說,企業變革導致業務流程發生變化,那麼相信即使你應用了SOA架構也不能很方便快捷的對系統進行調整。業務流程變化可以簡單的歸為兩類,一類是流程增加,也就是流程變長,這種情況下,可能會導致軟體功能的增加,也可能會涉及客戶化開發,系統的調整就會變得復雜。而另外一種情況,流程縮短。流程的縮短通常會表現為流程環節的減少,對於這種情況,只要是基於組件技術的系統都能夠簡單應對,那麼SOA架構的軟體屬於奢侈品。
其次,我們有必要來一起分析一下,企業IT應用服務都包括哪些方面。一般情況下,企業IT應用服務會更多的表現在兩個方面,一是IT系統本身的應用,包括IT系統選型,IT系統實施以及IT系統的維護,另一方面企業內部的IT管理,例如IT治理方面。很顯然SOA在IT管理方面起到的作用微乎其微,更多的是為企業IT管理提供一個新的思路。
另一方面,SOA又確實能夠發揮作用。例如,很多企業都提出了設計軟體與ERP系統進行集成。但是又沒有多少企業能夠真正實現這樣的集成,但是在應用SOA架構之後,在一定程度上就會顯得更好解決一點。因為基於SOA架構的系統就如同大家都處於一個平台,執行同樣的開發標准,兩個系統之間的介面相對標准化。說的簡單點,SOA就好象一個擁有標准介面的電腦主板,企業的各個應用系統就如同內存、CPU等等,集成的過程,就如同往這個主板上插上各種插件,以此實現了數據全面集成,當然這里還要考慮的是集成的成本與集成後的效率。
第三,SOA並不是新生事物,事實上大型IT組織成功構建和部署SOA應用已有多年的歷史,而這個歷史要比現有的XML和Web服務要長很多,IBM CICS和BEA TUXEDO就是過去被用於構建SOA應用的兩種技術範例。同時,SOA也並不是一種現成的技術,而是一種架構和組織IT基礎結構及業務功能的方法。無論是IBM還是BEA,特別是BEA是以中間件見長,而通過中間件將各系統進行集成無疑是一個相對有效的方法。所以,SOA更多的將會被中間件廠商所採用,而對於大型管理信息系統公司來講,更多的是應用SOA理念和原則,設計更為開放和標準的介面,以使得自己的信息系統更好適應未來集成的需要。
第四,SOA應用實際上還要求企業自身具備良好的流程管理體系。要進行流程管理,首先必須要求企業的業務流程是成體系的;第二,要求企業的流程是清晰可快速識別的;第三,企業流程必須要完整的資料記錄,包括流程描述,流程圖以及流程變更記錄。同時,要想在流程變更時能夠快速對系統進行修改,還要求企業的業務流程能夠同系統流程相互關聯,能夠實現良好的互動。
8. ITIL V3的企業架構
專家們建議將企業架構流程和更寬泛的IT流程,比如項目組合管理和SOA組合管理,集成在一起。如果你所在的組織機構已經採用了ITIV版本3用於服務管理——這很有可能,因為按照Forrester的說法,ITIL(信息技術基礎設施庫)是業內領先的一個最佳實踐框架——那麼,現在是你參加你所在組織的服組合務管理的好時機。
很有可能,即使你已經積極參與過EA和其他IT流程的集成過程,你未必參與過你所在組織的ITIL部署過程。 在2010年九月的一項調查中,Forrester發現,超過百分之五十的企業架構師在ITIL實施過程中作用甚微, 甚或根本就沒有參與。
根據Forrester的觀點,這是由多個原因造成的。盡管ITIL版本3首次明確定義了企業架構師的作用,但這也僅限於設計領域。而在ITIL的五大流程領域中,相比其他領域而言,設計和策略領域是較少實施的。而且,Forrester還發現,在ITIL實施的驅動力中,通常情況下並不包括企業架構。
那麼,為什麼要將EA流程同ITIL v3整合起來呢?EA治理常常被認為是「辛苦費力且延遲的項目」,Forrester首席分析師Herry Peyret說道。如果EA能夠被包含在現有的IT治理步驟中,那麼就會節省很多時間和精力。「這不光對於PPM和APM治理流程來說是千真萬確的,對於ITIL也同樣適用」,Peyret說道。
現在是將ITIL應用到EA的好時機了,因為,根據Peyret的觀點,「ITIL v3是更加面向業務。EA同樣也正變得更加面向業務,因此現在正是將這兩者聯接起來的好時機」。
9. 銀行使用項目管理軟體有什麼好處
銀行IT主要以Excel表格來記錄項目計劃、資源分配及工作進度,以另一個CR系統來記錄需求及管理變更。
當以上4個結構都處於比較簡單而且變化速度不快的時侯,依賴Excel來幫助人的記憶去協調是可以的。但當以上4個結構有逾千的節點 (遠超過一般人的腦袋的記憶力),且不斷快速地增長及變化的時候,依賴人看著過時的Excel表格數據來作協調會是很低效,不能看清楚以上4個結構的節點的相互關系及依賴,即使在Excel表上看到部份以上4個結構的現狀資料,也不知道這些資料是過時與否,這樣會使很多事情陷入狹縫中,無法有效率地支撐到業務。事實上,現在銀行業務的變化是越來越頻繁,與之相應的IT需求、系統、變更、項目也越來越多,而且這些管理結構單元之間存在深刻的邏輯關聯,牽一發而動全身,使得IT變得越來越復雜。這些結構性的問題,依靠非程序化處理方式比如「多招聘一些人」或「推遲一些項目」是無法從根本上解決的。
我們現在看到的一些現象:比如中高層經理人員不得不花費更多時間處理常規性問題;組織人際關系網路愈來愈復雜,協調愈來愈繁復艱辛等,根源是因為我們的結構性的問題日漸增大。
結構性問題的非程序化處理會影響我們長遠的發展,但是現在銀行業面臨的競爭更激烈、環境變化更快,這些問題嚴重製約我們適應變化的能力。如果銀行業務步法加速, IT挑戰加劇, 而我們不能在這些結構性問題失控之前解決它們,風險會是相當高。總體上,我們面臨的情況是結構性問題與非結構性問題都存在,但結構性問題影響更深遠、解決難度更大,需要一套對結構性問題和非結構性問題都有解決能力的項目管理軟體。
為什麼說項目管理軟體可以滿足銀行的需求?
第一、能夠清晰的認識到結構性問題和非結構性問題的區別,提供不同的解決策略。
第二、真正地實現了結構性問題的解決方案:運用組織框架、企業規則、審批流程、質量模板等手段,使企業的政策、規則和步驟程序保持一致,如果出現沖突,系統會自動干預。應用項目管理、產品管理、變更管理、文檔管理的綜合聯動能力,將需求、系統、項目、變更、資源等管理對象都納入整體的管理框架,並形成有機的基礎結構。業務處理過程中,必須遵守規則的約定,如果出現冒犯規則的操作,系統會自動攔截。企業可以下達各項績效指標,對於達標的業務/人員,系統會自動給出獎勵數據,反過來會自動給出懲罰信息。讓銀行管理真正落實到各個層面和各個業務單元,從基礎的操作層面上來務實整個管理結構,從框架的搭建角度來穩固整個組織的管理。
第三、能滿足不同靈活程度的管理模式。可自行定義的規則和控制體系,可以根據企業、業務對象、資源級別等來調整和組合。 企業可以將規則制定得很嚴格也可以很寬松,業務之間可以建立關系也可以各自獨立,非結構化的問題和半結構化的問題,都能適應。銀行面臨的一些非結構化問題,也能在這個平台上得到解決。
第四、通過結構性問題的程序化處理和非結構性問題的靈活處理,為組織達到可控性與靈活性的平衡提供強有力的基礎,有效提高組織適應變化的能力和長期發展的生命力。
信息來源:http://www.8manage.cn/company/20170207175644361.html
10. 如何面對企業管理中的信息安全
在IT系統給企業帶來活力、利潤和競爭力的同時,也給企業增加了因此而帶來的風險——日益依賴IT系統的企業面臨著因IT系統故障導致的業務災難。不難看出,如何最大限度地降低IT對業務的負面影響,IT系統如何充分為企業戰略目標服務,如何獲得IT價值最大化,這便是每個企業都必須要真接面對的信息安全與IT治理的問題。 一問理念:如何理解信息安全架構與IT治理的關系? 2007年在上海舉辦的「IT治理與安全大會」上,微軟公司大中華區信息安全總監何迪生先生表示,假如把信息安全治理比作指引組織進行安全項目的路標,那麼安全架構和設計便是組織通往信息安全這個目標所用的交通工具的基本結構。它包括用於設計、實施、監控和保護操作系統、設備、網路、應用以及用以實施各種級別保密性、完整性和可用性控制的概念、原則、結構和標准。 事實上,建立完善的信息安全架構對於整個IT治理來說至關重要。沒有了信息安全架構,IT治理根本無從談起。 據Hillstone安全專家介紹,IT治理需要遵從特定的原則,並在企業統一、完善及健全的安全架構中去實現,這是一個系統工程,需要從信息安全本身直至企業內部的每個員工共同來實現。每個期望通過信息化來達到快速發展的企業都需要將應用安全架構以及IT治理作為工作重心之一。 任何事物都有它的兩面性。正確、恰當地使用IT系統能為企業帶來飛速的發展,但由於系統缺陷、人為誤操作、系統攻擊等不可預料的各種風險也同樣使得企業面臨著巨大的災難。因此,企業用戶更應該建立統一、完善、健全的信息安全架構來規范IT系統行為,通過建立冗餘機制、災備機制、詳盡的策略遵從機制等各種風險控制機制來降低整個企業的IT系統風險。 事實上,IT系統誕生之初就決定了它不可能「堅如磐石」,系統問題在所難免,但「因噎廢食」的做法和思路絕不可取,用戶需要的是在問題出現的時候能夠迅速獲得有效的解決辦法來避免中斷造成的影響。 此前深信服的安全產品經理鄔迪舉例說,早在2005年,國務院信息化辦公室攜手電筒子政務、銀行、電力、鐵路、民航、證券、保險、海關、稅務等行業,聯合起草的《重要信息系統災難恢復指南》就正式出台了,災備的作法將是解決IT系統故障的一方良葯,但很可惜因國內廣域網的緩慢傳輸速度,災備至今還未得到普遍推廣和應用,如何大幅提升廣域網的傳輸速度將是這方良葯能否發揮作用的前提。 另外,數據傳輸的安全性也是必須考慮的問題。員工利用企業網路訪問一些不良網站,同時一些員工在上班時間在論壇博客上發表一些不負責任的言論……這些行為無疑給企業帶來一系列的法律風險和商業災難。 其實解決此類問題非常簡單,只需在企業網路部署一台專用的內容管理設備就可以了。此類設備通過強大的數據中心,很方便地控制審計企業內網流向外網的每一個數據,防止機密的泄露和引起法律風險,即使問題出現也可以做到有據可查。而類似的處理方式都預示著一個問題:IT系統風險隨時存在,但是任何風險都可以降低,甚至是可以完全避免的。IT系統問題導致業務災難的風險,IT監管問題導致法律災難的風險,都可以利用IT自身的安全架構與技術設計來應對。 二問風險:如何才能平衡IT架構中的風險? 有業內人士指出,風險控制是一門系統科學,風險降得越低需要的支出就越多。所有的企業都在尋找一個合適的平衡點來保障企業能夠在可接受的風險范圍內支出盡量少的錢。設備級別的冗餘機制是企業用戶選擇最多、也是見效最快的一種降低設備故障風險的方法。 當然,不可否認,利用先進的信息系統架構確實能夠幫助企業很好地完成一部分風險管理和企業治理的工作。但是Hillstone的安全專家認為,風險管理和企業治理中有很大一部分工作是針對自然人的,這就為風險管理和企業治理工作帶來了很大的不確定性以及不統一性。 無疑,這就要求IT經理在進行信息系統架構設計與治理的同時,必須了解到安全架構設計應該和企業的安全策略相吻合,否則就不能實現企業的安全目標。換句話說,只有在充分考慮人的因素的前提下,用IT治理IT才能發揮出更大的積極作用。 因此一些用戶反映,在進行一個信息系統的設計時,需要對目標系統的眾多需求進行平衡,這些需求包括功能、靈活性、性能、易用性、成本、業務需求和安全。需要強調的是,安全應該在系統設計中的開始階段就作為一個要害因素進行考慮。 此前新華人壽的IT經理杜大軍表示說,如果在信息架構的開發過程中使用了超過業務需求的安全性能,就會導致用戶體驗的惡化,但降低安全性能也會導致系統的部署和運行維護成本大增。 不難看出,想要平衡IT架構中的安全風險,就必須在IT系統設計的過程中平衡多種需求,這些需求可能是來自業務部門,或者來自企業的方方面面。安全架構的設計者通常需要根據組成構架的每個元素的重要性來確定如何進行取捨和開發。 在設計階段考慮安全性並不會增加太多的工作量,恰恰相反,這種安全思路貫穿始終的做法可以平滑地嵌入到架構設計的各個階段,這樣就可以保證安全性隨著架構設計逐漸的完成而完成。 基於此,不少安全專家認為安全架構從概念上說,就是從安全形度審閱整個系統架構,它主要提供系統架構所需要的安全服務、機制、技術和功能,不僅可以平衡架構設計與應用中的安全風險,而且可以提供如何進行安全設施部署的建議。 但無論如何,信息系統架構安全仍然是一個相對的概念,安全威脅無時無刻不在增加,只有不斷地加固才能獲得更加有效的安全。整個IT系統的安全涉及方方面面,任何一個地方的疏漏都會成為整個系統的致命短板。因此對用戶來說,目前情況下在整體信息安全架構的基礎上搭建安全防護設備能夠確保企業IT安全的最大化。 三問出路:如何解決信息安全架構與IT治理實現中的技術與管理挑戰? 首先,從技術方面看,目前隨著網路應用的快速發展,基於數據應用層的安全防護以及風險控製得到越來越多企業用戶的關注。然而為了實現整個信息系統的安全架構,核心網關設備的應用層性能成為了各個企業實現統一安全架構的攔路虎。據Hillstone的安全專家介紹,基於應用處理的高性能安全網關是推動安全架構發展的技術因素之一,只有越來越多的高速設備出爐,才能從技術上確保網關層面的安全。 前面說了,高度集中的應用層安全網關還只是技術環境中的一方面。據何迪生透露,企業如果希望獲得完整的信息系統架構安全並在此基礎上獲得IT治理的效益,那麼部署一套全方位的安全系統方案是不可避免的。 比如,對現代企業來說,確保其信息基礎架構的安全性已經成為主要任務。在這個過程中,信息與各種協作工具對大多數企業的日常運營來說都至關重要。不幸的是,這些工具常常成為攻擊者的目標。因此,企業的CIO必須確保信息和協作基礎架構不受外部威脅的干擾,避免企業的工作效率受到影響,從而導致內部問題或者泄露機密信息。 面對種類繁多且不斷變化的安全威脅,信息和協作基礎架構應具備多層保護機制,在攻擊影響到企業網路之前就要解決問題。對此,他的看法是,多個保護層能夠減少因單一威脅而導致的網路癱瘓問題。目前的焦點在於,所有的安全廠商都有各自獨特的需求,他們提供不同的安全產品和服務。因此,如果要實現全架構的安全防護,安全技術本身也要具有適應性。 以微軟的技術方案為例:Microsoft Exchange Hosted Services可在垃圾郵件和病毒滲透到網路之前就進行過濾;Microsoft Forefront內部部署軟體可以保護關鍵應用伺服器免受內部威脅侵害,並能執行內容規則;Microsoft Internet and Security Acceleration(ISA)Server 2006可實現協議層和應用層的檢查,以確保安全地實現Exchange Server、Live Communication Server和SharePoint Portal Server的遠程訪問;而Microsoft Windows Rights Management Services(RMS)與Microsoft Office Outlook 2003客戶端應用配合工作,可以確保敏感的電子郵件和文檔不致泄漏出公司之外。 其實,類似的技術方案有很多,無怪乎都是從多層次、大縱深為出發點。換句話說,一個有效的技術方案,除了為企業整個基礎架構提供防禦之外,還必須採用縱深防禦策略,通過多種技術來發現並防禦安全威脅。事實上,依靠多種技術低於攻擊或誤操作,有助於消除整體安全架構中的單個故障點。