cio与it治理
Ⅰ IT治理的IT治理框架
当前,我国信息化建设中的最大问题,不是技术问题,也不是资金问题,而是缺乏科学的IT管理观念;IT领导者最大的问题不是缺少经验和能力,而是缺乏卓越的管理素质和管理方法。对于IT治理来说,国际上已有许多成熟的方法和工具,形成了最佳业务实践,这些最佳业务实践是全球智慧的结晶,所以,对于我们来说,不是再去从头创新,而是需要根据国情和组织的实际情况,对最佳实践加以理解、掌握并有效运用,从而为组织战略目标服务。
下图为山东省软件评测中心总结的IT治理的总体框架,描述了IT治理的出发点、IT治理的关键要素、IT治理的对象、IT治理的最佳实践。
IT治理的目的是使IT与组织业务有效融合,其出发点首先是组织的发展战略,以组织发展战略为起点,遵循组织的风险与内控体系,制定相应的IT建设运行的管理机制。IT治理的关键要素涵盖IT组织、IT战略、IT架构、IT基础设施、业务需求、IT投资、信息安全等,主要确定这些要素或活动中“做什么决策?谁来决策?怎么来决策?如何监督和评价决策?”。围绕着IT建设全生命周期过程,构建持续的信息化建设长效机制,是IT治理的目标一致,因此,整个IT建设生命周期都是IT治理的对象,包括IT组织与规划、IT建设与交付、IT运行与维护、IT评估与优化。IT治理的国际最佳实践就是基于各个对象治理的成熟的方法论和工具,包括CobiT、ITIL、ISO27001、Prince2等。
按照IT治理的对象,我们将IT治理的服务划分为五类,分别是:IT规划治理、IT建设治理、IT运维治理、IT绩效治理、IT风险治理。
Ⅱ IT治理:如何发挥IT技术部门的最大作用
IT治理是一个由各种关系和流程构成的体制,可以指导和控制企业通过合理利用IT技术,平衡IT技术与流程的风险、增加价值来确保实现企业的目标····关键词:IT治理 IT治理能保持IT与业务目标一致,推动业务发展,促使收益最大化。 2005年的研究报告显示,尽管去年绝大多数企业已经或多或少地建立了自己的IT管理和治理架构,但是大多数公司在这方面做得还远远不够。 CIO们关注IT治理绝非偶然。IT治理是一个由各种关系和流程构成的体制,可以指导和控制企业通过合理利用IT技术,平衡IT技术与流程的风险、增加价值来确保实现企业的目标。“回归业务本身,让IT真正满足业务需求。”Gartner的研究副总裁Michael Barnes先生认为这是人们考虑IT治理的原因。过去人们主要关心IT技术,随着IT技术应用的普及,人们逐步认识到业务才是根本。Borland亚太区产品总监林振庆认为,IT治理之所以关键,是因为它能给企业带来以下好处: 首先,也是最重要的一点,是保证IT技术与业务的有效结合,帮助企业在IT现状和业务需求之间达成一致。 第三,确保遵循相关的法律、法规。经济的全球化以后,跨国企业的经营是全球性的,因此,而各国都有不同的法律和法规,IT治理在这方面也可以起到很大作用。 Michael Barnes将IT治理的作用归纳为可见、可重复、可预测这三个由低到高目标。他认为,一个IT治理良好的公司其内部的行为和流程一定都是透明可见的;其次,是可重复的,如果这一次项目成功,下一次就还能成功;最后,IT项目的进行还是可预测的,也就是其风险是可控的。反之,如果IT治理做得不够,IT项目的风险就会很大,会降低企业的竞争力,另外法规遵从也会成为问题。 提到IT治理,人们很容易联想到一个概念,就是ITIL(IT Infrastructure 那么该如何做好IT治理工作?对此,林振庆认为,IT治理软件可以提供不小的帮助,他把IT治理分成了6个阶段,分别对应6个流程,即需求管理、组合管理、项目流程管理、资源管理、财务管理、资产管理。一个好的IT治理软件可以分别在这6个环节上进行监控和管理。他介绍说,Borland的最新产品Tempo就从这6个方面着手帮助企业进行IT治理,效果很好。更为重要的是,由于Borland自己有软件开发平台,Tempo可以把软件开发过程也包括进来,形成整体IT治理解决方案。 除了使用IT治理软件外,Michael Barnes对IT治理提出了三点建议:首先,不要把IT治理简单地当成使用工具。IT治理绝不仅仅是工具,也不仅仅是产品。
Ⅲ IT治理是什么
IT治理的简单定义就是使参与信息化过程的各方利益最大化的制度措施。
关于IT治理,中外学者给出了很多的定义:
美国IT治理协会给IT治理的定义是:“IT治理是一种引导和控制企业各种关系和流程的结构,这种结构安排,旨在通过平衡信息技术及其流程中的风险和收益,增加价值,以实现企业目标。” 中国有一种观点认为,IT治理是描述企业或政府是否采用有效的机制,使得IT的应用能够完成组织赋予它的使命,同时平衡信息化过程中的风险,确保实现组织的战略目标的过程。它的使命是:保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,适当管理与IT相关的风险。
美国麻省理工学院的学者彼得·维尔和珍妮·罗斯在其所撰写的《IT治理》一书中指出,IT治理就是为鼓励IT应用的期望行为,而明确的决策权归属和责任担当框架。他们认为是行为而不是战略创造价值,任何战略的实施都要落实到具体的行为上。
从IT中获得最大的价值,取决于在IT应用上产生期望的行为。期望行为是组织信念和文化的具体体现,它们的确定和颁布不仅基于战略,而且基于公司的价值纲要、使命纲要、业务规则、约定的行为习惯以及结构等。在每一家公司里,期望行为都各不相同。
综合这些定义,可以得出,IT治理就是要明确有关IT决策权的归属机制和有关IT责任的承担机制,以鼓励IT应用的期望行为的产生,以联接战略目标、业务目标和IT目标,从而使企业从IT中获得最大的价值。
Ⅳ CIO和IT部门如何实现价值最大化
IT部门的定位和IT价值如何充分发挥,有了全新的认识。
以下是分享的精华内容:
一、华为公司的两大财富:一是管理架构以及流程与IT支撑的管理体系,二是对人的管理和激励机制。
众所周知,“活下去”是华为战略的核心内容。
为客户服务是华为存在的唯一理由,这是华为公司的核心价值观。
华为从1987年2万元起家,到目前200多亿美元的收入,成为世界500强,依靠的正是这两大财富。
华为建立了清晰而全面的公司管理架构,不断纠正决策层和执行层在企业发展过程中可能出现的偏差,目的是维持良好的企业表现和长期的持续增长。
而这一切正是通过流程与IT支撑的管理体系进行保障,不得不说IT成为了核心竞争力。
二、IT的根本问题不在于IT而在于流程,没有流程就无从谈IT。
国内很少有企业把IT和流程放在同一个部门管理之下,设立的往往是信息中心、信息管理部等。
而华为认为IT的问题,归根结底不在于IT,不是依靠一些技术人员开发一些程序就能发挥IT效力,而是IT如何充分支撑公司业务和管理流程的实现和优化,这是核心问题。
因此设置流程与IT管理部,有效规避业务和IT两张皮。
三、华为从来不追求IT自身的卓越,追求的是IT支撑公司的卓越运营。
华为对CIO的考核指标里,包含了业务的部分。
让CIO承担运营指标的目的,不是要求CIO领导下的IT部门过多关注IT自身技术的领先和IT设备的先进,而是关注IT如何更好的支撑公司运营、提高效率和增加收入。
四、BPIT治理要有效贯彻一把手的管理思想和战略意图,解决管理层的问题,而不是成为管理层的问题。
华为流程与IT管理部在变革指导委员会直接领导下开展工作,归口管理公司所有流程建设,通过引进业界的最佳实践(例如ITIL3.
0、平衡计分卡等),帮助各部门梳理、解决流程中的问题,提高效率。
不论是生产IT(提升流的效率)、办公IT(提升人的效率)、平台IT(提升IT的稳定性和敏捷性),还是IT运营(提升IT卓越运营能力)、IT安全内控(提高IT安全内控管理能力)的流程问题,统统归流程与IT管理部牵头负责,与各部门共同完成。
无流程则无IT,流程与信息化紧密结合。
核心就是贯彻公司的管理思想和战略意图,解决管理层的问题,让公司的一切都在IT支撑下有序运行,又感受不到IT的存在(IT不是问题)。
多年来,配合公司集中化、国际化、全球化战略,华为流程与IT管理部先后成功实施了IPD(集成产品开发流程)变革、ISC(集成供应链)变革、IFS(集成财务服务)变革,信息化建设始终与公司业务相匹配,支撑公司价值主张。
由此,笔者有以下感受和思考:
1、走出误区。
部分处于发展与成熟期的企业,IT部门地位依然低下,反映出企业管理者对IT价值的认识依然存在误区。
IT不仅仅是电脑、网络和系统,这仅仅是IT的初级阶段和原始状态。
从华为流程与IT管理部的实践可以看出,信息技术及其管理方法的恰当和充分应用,对企业管理和业务管理具备超有效和强有力的促进作用,能够帮助管理者推行管理思想,帮助管理思想落地,让管理思想产生实效。
2、战略高度。
要充分发挥IT在企业发展过程中的价值,必须从战略高度思考IT问题、从战略角度定位IT部门,把IT作为企业实现战略目标的关键资源,IT渗透到企业的每一个职能、流程、业务和管理中。
信息技术与流程、业务、管理之间的紧密结合,才是企业进一步发展和创造价值的最有效方法。
3、赋予权力。
如何从战略高度定位IT部门。
笔者认为,不仅仅要将IT部门作为一个综合性的独立部门,还需要赋予其一定的管理权力,将企业的业务IT、办公IT集中归口于IT部门进行管理,让IT部门更多的参与业务建设和管理提升,加快IT部门的职能转变和角色改变。
企业要重视IT组织机构的建设,建立IT决策、管理、服务体系及其平衡发展。
4、完善考核。
在赋予管理权力的同时,也要建立配套的考核机制。
一方面,IT部门要对其他部门进行绩效考核,考核其IT应用程度和水平,这样才有推动力和执行力。
另一方面,企业的信息化领导小组或IT决策委员会、CIO不能形同虚设,要赋予一定的责任和义务,权责对称,尤其要在企业运营指标上对CIO、IT部门进行考核。
综上所述,笔者认为,在IT的应用和IT部门的定位上,企业高管和IT负责人要有全新的认识,管理层要具备IT思维,从战略上定位和思考IT的作用和价值,IT负责人要跳出技术层面,摈弃技术思维,从业务、管理和战略上看待IT应用和部门发展。
这是参加本次“CIO老友汇——走进华为”活动的收获之一。
不当之处,敬请指教。
Ⅳ 什么是IT治理
IT治理并没有想像得那样复杂和虚无缥缈。我们并不需要从成百上千种IT治理模式中煞费苦心地寻找一条适合自己的模式。埃森哲公司创建了一种IT治理模式,该模式为组织建立有效的IT治理提供了一张路线图。
IT治理的概念引入到国内已经有三年多的时间了,虽然媒体、IT企业及一些专家学者在不断呼吁IT治理的重要性,但将IT治理从理论推进到实践层面的案例还鲜有所闻。之所以会如此,组织缺乏IT治理的操作指南应该是一个重要原因。
我们不能停留于对于IT治理概念的玩味和寻究,从某种程度上来讲,IT治理的定义的抽象晦涩已经影响了组织对于IT治理的接受,并直接伤害了IT治理的实践操作性,现在是到了为IT治理寻找一条切实可行的操作路径的时候。
实际上,IT治理并没有想像得那样复杂和虚无缥缈。我们并不需要从成百上千种IT治理模式中煞费苦心地寻找一条适合自己的模式。埃森哲公司创建了一种IT治理模式,该模式为组织建立有效的IT治理提供了一张路线图。本文将对该模式作一个介绍。
简单地讲,IT治理关注两个方面的问题,即IT治理的“什么”和“谁”。IT治理的“什么”是指IT治理应该作出哪些决策,IT治理的“谁”则是指这些决策分别应该由谁来作出。
那么,IT治理到底应该作出哪些决策呢?要找到这个问题的答案,必须先搞清楚一个问题,那就是组织到底需要IT发挥什么样的作用。不要想当然地以为这是一个可以简单回答的问题。实际上,不同的组织对于IT的需要是不一样的。组织到底需要IT做什么,在很大程度上取决于它处于一个什么样的商业环境。
商业特征决定IT需求
走向IT治理的第一步就是,要对组织处于什么样的商业环境进行正确的分析。
埃森哲公司的IT治理模式通过两个指标来对组织的商业环境进行分析:变化的速度和竞争的基础。
变化的速度。某些企业处在一个变化较快的行业,如半导体企业和电信企业。在这样的行业,消费者的需求和偏好经常改变,产业政策也时常推陈出新,时不时出现的新技术会一下子改变整个产业价值链;而另外一些行业的发展状态则相对稳定,不会有那么快的变化,如航空业。在这样的行业,消费者的需求、竞争格局、政府管制、技术及供应商等方面的变化都是缓慢发生的。
竞争的基础。从竞争的基础来看,企业可以分为两类。一类企业以运营效率为基础进行竞争。对于这类组织来说,重点在于降低成本,以及优化现有的商业模式以应对竞争;另一类企业以产品和服务的差异性为竞争的基础。这类企业力求先于竞争对手提供新的商业能力,或者是开创新的商业模式,以此获得竞争优势。
根据以上两个指标,可以将组织分为四类。
A类组织处于变化不快的行业,以运营效率为竞争基础;
B类组织处于变化不快的行业,以产品服务的差异化为竞争基础;
C类组织处于变化快的行业,以运营效率为竞争基础;
D类组织处于变化快的行业,以产品服务的差异化为竞争基础。
这四类不同的组织因其业务特点的不同而对IT产生不同的需求。
A类组织发展的关键在于严格控制成本,因此这类企业希望利用IT来保持低成本,通过如外包这类节省成本的方法来提供成熟的能力。
B类组织的管理层期望利用信息来提高决策能力,并开发新的产品和服务,以高收入来抵消不断增长的IT支出。
C类组织按优先次序制定IT投资计划以及长期能力的路线图,它们在对成本进行有效管理的同时,根据路线图,运用IT来实现计划中的新能力,以满足市场不断变化的需求。
D类组织期望IT具有高度的灵活性,以满足迅速变化的商业策略和要求。这类企业倾向于提供创新的IT解决方案,以获得先发优势,因此它们的IT投资重点在于创造新的能力。
IT治理的决策范围
一旦组织明确了自己对于IT的需求,那下一步就要解决IT治理作哪些决策的问题,也就是前文所说的IT治理的“什么”。IT治理的决策范围一般包括以下五个方面。
组织模式:组织是采取集权、分权还是混合的模式?
投资:组织将投资于什么?投多少?
架构:组织是着重于稳定性还是灵活性?这两者各到什么程度?应用系统是向外购买还是内部开发?是建立一个综合性的ERP系统还是多种系统?
标准:组织需要将什么技术标准化,采用什么标准?
资源:IT组织将利用什么类型的资源?这些资源的来源是什么?
对于A类组织,其首选的组织模式应该是集权式治理,IT对于预算和决策负有责任。加拿大邮政公司就采用这种方法,该公司坚持一种简单化的组织模式,有一个集权部门来对公司行为进行优先排序,并通过单一的IT资源来完成。
在标准的决策方面,A类组织谋求在全组织范围内加强架构、技术和供应商的标准化,只是在一些被证明是正当的例外的情况下才允许有所背离。一家大型的法国保险公司就是这方面的一个例子。该公司在集团范围内对IT架构实行了标准化,因此它可以优化其核心的IT流程,整合系统支持其非寿险业务,移植数据,配置新的系统以支持其健康险业务。
在资源决策方面,A类组织善于利用内外部资源的组合,通常会与少量的几家优选的服务提供商达成服务协议。当某个全球性的化学品公司认为IT并非其核心业务时其,便将整个IT运作外包出去,包括其ERP系统全球范围内的实施和支持。
IT治理
公司治理主要关注利益相关者权益和管理,包括一系列责任和条例,由最高管理层(董事会)和执行管理层实施,目的是提供战略方向,保证目标能够实现,风险适当管理,企业的资源合理使用。
公司治理,驱动和调整IT治理。同时,IT能够提供关键的输入,形成战略计划的一个重要组成部分,这被认为是公司治理的一个重要功能——IT影响企业的战略竞争机遇。
IT治理和公司治理关系图
IT治理的一个关键性问题是:公司的IT投资是否与战略目标相一致,从而构筑必要的核心竞争力。因为企业目标变化太快,很难保证IT与商业目标始终保持一致,因此需要多方面的协调,保证IT治理继续沿着正确的方向走,这也是IT投资者真正关心的问题。对IT治理而言,要能体现未来信息技术与未来企业组织的战略集成。既要尽可能地保持开放性和长远性,以确保系统的稳定性和延续性;同时又因为规划赶不上变化,再长远的规划也难以保证能跟上企业环境的变化。IT治理中一个相对有效的做法是,在信息化规划时,认真分析企业的战略与IT支撑之间的影响度,并合理预测环境变化可能给企业战略带来的偏移,在规划时留有适当的余地,从业务战略到信息战略,做务实的牵引,不要追求大而全。
IT治理有助于建立一个灵活的、具有适应性的企业。IT治理能够影响信息和指示:企业能够感知市场正在发生的事,使用知识资产并从中学习,创新新产品、服务、渠道、过程;迅速变化,将革新带入市场,衡量业绩。IT治理应该体现“以组织战略目标为中心”的思想,通过合理配置IT资源创造价值。企业治理侧重于企业整体规划,IT治理侧重于企业中信息资源的有效利用和管理。
企业目标在于远景和商业模式,IT目标在于商业模式的实施。
企业目标与IT目标之间的关系如下图所示:
IT治理主要涉及两个方面:IT要为企业交付价值,IT风险要降低。前者受IT与企业的战略一致性驱动,后者由责任义务落实到企业驱动。这两者都需要衡量,如使用平衡计分卡。这就可以看出IT治理的四个核心领域,都是由利益相关者价值驱动的,其中两个是成果:价值交付和风险降低,另外两个是驱动力:战略一致性和业绩衡量。
概括地说,公司治理和IT治理都是市场(含政府)他律的机制,是如何“管好管理者”的机制,其目标也是一致的:达到业务永续运营,并增加组织的长期获利机会。无论大环境是好是坏,最高管理层(董事会)均应以达成其目标为责任,而且管理阶层需有能力协助其达成目标,因此最高管理层(董事会)必须常常监督管理部门对决策判断与政策实施的绩效。
“斯达模式”这一被誉为国企摆脱困境、改革发展的创新模式,正说明了公司治理和IT治理的重要性和互动关系。“黑纸”利用合资契机,对产权体制进行了改革,并按照现代企业制度要求,建立与市场竞争相适应的公司治理机制,明晰了企业产权,优化了生产要素配置,转变了职工观念,为斯达大力进行信息化改造创造了有力条件。反过来,信息化也促进了公司的现代化管理。
IT治理和IT管理
IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动;而IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。这是一个硬币的两面,谁也不能脱离谁而存在。可见,IT管理就是在既定的IT治理模式下,管理层为实现公司的目标而采取的行动。
IT治理规定了整个企业IT运作的基本框架,IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司,即使有“很好”的IT管理体系(而这实际上是不可能的),就像一座地基不牢固的大厦;同样,没有公司IT管理体系的畅通,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容。就我国信息化建设目前的现状而言,无论是IT治理,还是IT管理都是我们所迫切需要解决的。
浅析IT治理框架的三个支柱
一旦IT领导理解了IT治理框架的三个支柱,他们对于IT治理为什么如此重要,以及哪一种方法可以最好地帮助他们达成治理目标,就会有更好的理解。
IT治理是目前很多人都在谈论的一个话题。确实,一些技术供应商和咨询顾问已经将IT治理纳入一个最新的热门的销售范畴。然而,以他们所销售的产品和服务的范围为基础,已经出现了IT治理的种种定义,这在一定程度上给市场带来了混乱。
那么,对于如今这个最热门的企业治理方面的概念,业务和IT领导从哪里可以获得一个单一而又全面的定义呢?
基于ITGI、正在形成的产业标准、客户最佳实践及思想领导者的工作,第一流的分析师现在都在强调IT治理框架的三个支柱的模式。这一框架强调确保IT在支持业务目标、优化商业技术投资及合理管理IT相关风险和机会中的重要性。
在CIO和IT领导看来,由于可以为组织走出烦恼多时的没完没了的支出、扩展、补丁、再支出的循环提供一个清楚的路径,这三个支柱的模式和与之相应的IT治理成熟度模型正在迅速地获得动力。
有了IT治理这一框架,IT投资所带来的价值可以获得理解,实现技术投资和业务目标需求之间的联结也有了明确的方法。在来自管理层和董事会的压力越来越大的情况下,IT组织不能仅依靠理论—他们需要能发挥作用的治理。
IT治理框架的三个支柱
对于任何想抓住这种前瞻性的IT方法所带来的利益的组织而言,这一成形的IT治理框架都是适用的。这个框架包括三个主要的组成部分,具体表现为“计划/构造/管理”三个生命周期,通过一个不断进行的连结这三个要素的反馈环,使得IT变革成为可能。这三个支柱是:
企业架构计划,包括:
企业架构造型和管理
战略性的IT计划和路线图
标准管理
投资组合合理化,包括:
应用系统和基础设施的合理化
项目-投资分析
合并和收购运营整合
服务融合,包括:
服务提供管理
业务关系管理
供应商和外包商管理
IT财务管理IT
塞班斯-奥克斯莱法案(Sarbanes-Oxley)和其他法规遵从的问题
业务连续性计划
一旦IT领导理解了这三个支柱,他们对于IT治理为什么如此重要,以及哪一种方法可以最好地帮助他们达成治理目标,就会有更好的理解。例如,在项目投资管理和系统管理领域,一般的供应商只会致力于整个框架的一部分。对IT治理问题需要有一个全面的解决方案,这一需求已经越来越表现出来了。
IT治理解决方案
Troux是惟一能提供有效的IT治理系统的企业,同时,它还能提供全面的可以连结业务和自动工作流,及自动化的策略管理系统。为了解决CIO们今天面临的最具挑战性的IT治理问题,Troux的解决方案提供了基础,并且横跨IT治理框架的三个领域。
企业架构:使得企业建造师可以完全模仿符合未来需要的架构,并且提供创造和管理与架构相协调的标准和路线图的能力。
投资合理化:为IT执行人员提供确保应用、基础设施、服务和项目投资与业务和成本优化相协调的可视度和工具。
服务管理:使IT组织可以实现对业务服务的自动化定义和管理,并确保关键业务、遵从和业务连续性目标的一致。
有了以上各种解决办法,Troux带来了帮助CIO和IT执行人员实现IT治理所需要的深入的专业知识、最佳实践和成熟的模式。
结论
正如IT治理已经位居CIO日程表的前列,经理人员们也已经发现,最佳实践和方法的标准还没有准确的定义—到现在这一状况才有所改变。
Troux的技术为CIO和IT经理有效计划、构建和管理他们的IT运作,提供了所需要的最佳实践和方法。
链接
如何看待IT治理的角色
“对于CIO来说,IT治理意味着组织结构、决定过程和一种在企业内加强控制的信息基础。”位于斯坦福的Meta集团的分析师Val Sribar说。
走向IT治理最重要的一步是“发展一种可以自信地进行关键资产、财务和遵从的决策的信息基础。”Sribar又说,“业务和技术架构的可见度对于企业管理和成长是关键性的。”
幸运的是,IT经理为了达成治理目标可以获得帮助。“像Troux这样的供应商已经出现,并填补了治理流程和IT运营之间的空白。”Sribar说.
IT治理的标准
目前国际上通行的IT治理标准主要有四个:ITIL 、COBIT、ISO/IEC17799和PRINCE2。
(1)ITIL
ITIL(Information Technology Infrastructure Library):即信息技术基础构架库,一套被广泛承认的用于有效IT服务管理的实践准则。1980年以来,英国政府商务办公室(GOC,原称政府计算机与通信中心)为解决“IT服务质量不佳”的问题,逐步提出和完善了一整套对IT服务的质量进行评估的方法体系,叫做ITIL。2001年,英国标准协会在国际IT服务管理论坛(itSMF)上正式发布了以ITIL为核心的英国国家标准BS15000。这成为IT服务管理领域具有历史意义的重大事件。
(2)COBIT
COBIT(Control Objectives for Information and related Technology):即信息系统和技术控制目标。成立于1969年的美国信息系统审计与控制协会ISACA,于1996推出了用于“IT审计”的知识体系COBIT。“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。相应地,“注册信息系统审计师”(CISA)日益成为世界各国发展信息化过程中,争相发展的新兴职业和领域。作为IT治理的核心模型,COBIT包含34个信息技术过程控制,并归集为四个控制域:IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)以及信息系统运行性能监控(Monitoring)。 COBIT 目前已成为国际上公认的IT管理与控制标准。
(3)BS 7799
BS 7799(ISO/IEC17799):即国际信息安全管理标准体系,2000年12月,国际标准化组织ISO正式发布了有关信息安全的国际标准ISO17799,这个标准包括信息系统安全管理和安全认证两大部分,是参照英国国家标准BS7799而来的。它是一个详细的安全标准,包括安全内容的所有准则,由十个独立的部分组成,每一节都覆盖了不同的主题和区域。
由英国标准协会(BSI)编写的信息安全管理体系标准BS 7799-Part 1 (ISO 17799) 及BS 7799-Part 2为各种机构、企业进行信息安全管理提供了一个完整的管理框架。这一套‘姊妹对’标准引导机构、企业建立一个完整的信息安全管理体系,对信息安全进行动态的、以分析机构及企业面临的安全风险为起点对企业的信息安全风险进行动态的、全面的、有效的、不断改进的管理,并强调信息安全管理的目的是保持机构及企业业务的连续性不受信息安全事件的破坏,要从机构或企业现有的资源和管理基础为出发点,建立信息安全管理体系(ISMS),不断改进信息安全管理的水平,使机构或企业的信息安全以最小代价达到需要的水准。保护信息安全,建立信息安全管理体系是机构或企业营运的重要工作之一,尤其是BS 7799-2: 2002是目前最完整的参考依据,它以“计划(Plan)、实施(Do)、检查(Check)、行动(Action)”模式,将管理体系规范导入机构或企业内,以达到“持续改进”的目的。
(4)PRINCE2
PRINCE2(Projects In Controlled Environments)是一种对项目管理的某些特定方面提供支持的方法。PRINCE2描述了一个项目如何被切分成一些可供管理的阶段,以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。PRINCE2的视野并不仅仅限于对具体项目的管理,还盖了在组织范围对项目的管理。
在这里,我们重点对COBIT进行介绍:
COBIT的全称是“Control Objectives for Information and related Technology”,上世纪90年代早期由IT治理协会提出,至今(2005年)已是第三版,COBIT目前已成为国际上公认的IT管理与控制框架,已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效地利用信息资源,有效地管理与信息相关的风险。
COBIT有6个组件:
- Executive Summary
- Management Guidelines
- Framework
- Control Objectives
- Implemenation Toolset
- Audit Guidelines
COBIT型是企业战略目标和信息技术战略目标的桥梁,使得信息技术目标和企业战略目标之间实现互动。
该框架的意义在于:COBIT实现了企业目标与IT治理目标之间的桥梁作用。
首先,COBIT考虑了企业自身的战略规划,对业务环境和企业总的业务战略进行分析定位,并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境,并由此确定IT准则。
IT为企业战略提供了基于技术的解决方案,为满足业务战略需求提供了技术与工具。在IT准则的指导下,利用控制目标模型,分别从规划与组织、获取与实施、交付与支持、监控等过程进行控制、管理信息资源。在IT管理的同时,引入审计指南,从而保证IT资源管理的安全性、可靠性和有效性。
COBIT实现可跟踪的业绩衡量,通过平衡记分卡可以在财务(企业资源管理)、客户(客户关系管理)、过程(内部网,工作流工具)、学习(知识管理)等方面维持平衡,评价企业目标的实现情况以及IT绩效,并调整业务目标和IT战略,进行持续的IT管理。
COBIT采用成熟度模型,可以定位自己企业的IT管理目前在业界所处的位置,以及未来努力的方向,通俗地说就是给IT管理“打分”。
COBIT还提供了目前最佳案例和关键成功因素(CSF),供企业和组织借鉴。
从内容上看,COBIT覆盖了从分析&设计到开发&实施到运营、维护的整个过程。对于分析&设计,重点目标是IT与业务的需求,根据业务目标细化IT战略,确定待开放的IT系统,进行相应的系统分析和设计。在分析与设计这样一个流程范围中,比我们传统所说的信息系统的分析与设计要宽广得多,它强调的是IT的战略要符合业务的战略,任何信息系统的开发都应该与业务战略保持精确的校准。从业务战略的高度来分析和设计信息系统。提供这个阶段主要是考察组织的需求,同时根据这些需求设计合理的资源组合,设立合理的服务级别、目标,提供满足客户需求的IT服务。这个阶段对IT应用已上升到IT服务管理的阶段。主要解决下面的问题,为满足客户的需要提供哪些资源,这些资源之间的成本是多少,如何在服务成本和服务的效益间达到一个恰当的平衡点。在支持这个层面,主要是如何满足客户提出的IT需求,以支持服务的需求。 COBIT上层是对IT运行进行外部控制和内部审计,以确保IT与业务实现精确校准,同时实现对IT应用持续不断的应用和改进。COBIT覆盖整个信息系统的全部生命周期,其视野是最为开阔的。
概括而言,COBIT的主要优点如下:
COBIT是一个非常有用的工具,也非常易于理解和实施,可以帮助企业在管理层、IT与审计之间交流的鸿沟上搭建桥梁,提供了彼此沟通的共同语言。几乎每个机构都可以从COBIT中获益,来决定基于IT过程及他们所支持的商业功能的合理控制。当我们知道这些业务功能是什么,其对企业的影响到什么程度时,就能对这些事件进行良好的分类。所有的信息系统审计、控制及安全专业人员应该考虑采用COBIT原则。
通过实施COBIT,增加了管理层对控制的感知及支持。COBIT帮助管理层懂得如何控制影响、业务功能。COBIT提供的实施工具集包括优秀的案例资料(提供模板业务过程,使得优秀范例能够迅速移植),有助于向管理层很好地表述IT管理概念。管理层在基于最佳控制实践基础上做出正确决策的能力亦得到了提高。
COBIT使IT管理工作简易并量化,减轻对复杂信息系统管理工作的难度。对于那些不具有广博IT知识的人来讲,是一个认清信息技术的有价值的工具。它也使得信息系统审计师具有与IT专业人员相同的专业广度,并且可以询问IT工程相关的问题。
COBIT提供了一种国际通用的IT管理及问题解决方案,普遍适用于各种不同的业务项目和审计,并且既包容了当前的情况,也提供将来可能会使用到的指导方针。
COBIT有助于提高信息系统审计师的影响力,依据COBIT出具的信息系统审计报告,更容易得到管理层的肯定。
COBIT框架可以能够帮助决定过程责任,提高IT治理水平。通过应用该框架进行责任分析,可以做到基于角色的IT管理,定义过程措施,确保客户利益。
总之,COBIT模型实现了企业战略与IT战略的互动,并形成持续改进的良性循环机制,为企业提供了具有一定参考价值的解决方案。因此,针对我国信息化存在的问题,借鉴COBIT的IT治理思想和框架,科学、系统地对信息及相关技术进行管理,逐步试行建立IT治理机制,对推动我国信息技术的发展和应用具有十分重要的现实意义。
Ⅵ 明确管理和治理与IT管理和IT治理的区别
管理主要强调的是“做正确的事”,即计划、组织、领导、监督。
治理更多强调的是通过组织架构、权力分配等制度安排,来实现不同利益相关者之间的相互制衡。实质上这二者之间并没有严格的边界。尤其是在大型上市公司中,治理与管理总是同时存在,互相促进,以实现股东利益的最大化。我们也可以理解为公司治理是公司发展到一定程度,对公司管理提出的新的要求。
1、IT管理是通过管理手段,来保证IT部门“做正确的事情”,如提高服务质量、提高系统的可用性、保证信息安全等。既然是管理,其基本内容还是组织、计划、领导、监督。
2、IT治理并不是要替代IT管理工作,IT治理的目的是通过组织架构和制度安排,来对IT部门进行制衡,促进IT更好的完成工作,其最终目标是保证组织目标的完成。
Ⅶ IT治理与IT管理有什么区别和联系03
第二、治理的结构问题,其中包括根据组织发展目标;?第三、治理的运行机制,即涉及IT治理流程及制度;?同时,为保障治理模式行之有效,需要建立IT治理;中国IT治理研究中心(ITGov)通常只把治理思;?治理体制是界定组织中各相关主体在各自方面的治理;?组织选择不同的治理体制,将决定其设置不同的组织;?组织的治理体制,根据其所从事的事业划分为集权治;?符合组织
第二、治理的结构问题,其中包括根据组织发展目标确定的IT治理定位(采用什么样的治理方式和治理途径)、治理运行的要求、治理关系的原则等三个方面;
第三、治理的运行机制,即涉及IT治理流程及制度体系、组织的价值观、IT文化及沟通机制、IT绩效管理与激励约束机制等。
同时,为保障治理模式行之有效,需要建立IT治理自身的绩效评估、持续改进提高的良性循环机制。
Ⅷ it治理与it管理有什么区别和联系
IT管理就是在既定的IT治理模式下,管理层为实现组织战略目标而采取的行动。
IT管理是在IT治理既定的“约束和激励”的规则下,对组织IT资源进行整合与配置,确定IT目标以及实现此目标所采取的行动;
IT治理是指最高管理层(董事会)利用它来监督管理层在实现IT战略目标的过程中,处于治理层既定的规则内(风险可控、绩效可见)。这是一个硬币的两面,谁也不能脱离谁而存在。
IT治理规定了整个组织IT规划与组织、获得与实施、交付与支持、监控与评价的基本框架,IT管理则是在这个既定的框架下驾驭组织奔向目标。
缺乏良好IT治理模式的组织,即使有“很好”的IT管理体系(而这实际上是不可能的),就像一座地基不牢固的大厦;
同样,没有组织IT管理体系的畅通,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容。
IT治理是IT管理的基石,某种意义上可以认为IT治理比IT管理更重要。
如果没有好的治理(约束和激励)机制,组织管理的好是偶然的,管理不好是必然的;
对于IT,如果存在好的IT治理机制,IT管理的好就是必然的、管理不好是偶然的。
Ⅸ CIO如何面对企业信息安全架构与IT治理问题
在IT系统给企业带来活力、利润和竞争力的同时,也给企业增加了因此而带来的风险——日益依赖IT系统的企业面临着因IT系统故障导致的业务灾难。不难看出,如何最大限度地降低IT对业务的负面影响,IT系统如何充分为企业战略目标服务,如何获得IT价值最大化,这便是每个企业都必须要真接面对的信息安全与IT治理的问题。 一问理念:如何理解信息安全架构与IT治理的关系? 2007年在上海举办的“IT治理与安全大会”上,微软公司大中华区信息安全总监何迪生先生表示,假如把信息安全治理比作指引组织进行安全项目的路标,那么安全架构和设计便是组织通往信息安全这个目标所用的交通工具的基本结构。它包括用于设计、实施、监控和保护操作系统、设备、网络、应用以及用以实施各种级别保密性、完整性和可用性控制的概念、原则、结构和标准。 事实上,建立完善的信息安全架构对于整个IT治理来说至关重要。没有了信息安全架构,IT治理根本无从谈起。 据Hillstone安全专家介绍,IT治理需要遵从特定的原则,并在企业统一、完善及健全的安全架构中去实现,这是一个系统工程,需要从信息安全本身直至企业内部的每个员工共同来实现。每个期望通过信息化来达到快速发展的企业都需要将应用安全架构以及IT治理作为工作重心之一。 任何事物都有它的两面性。正确、恰当地使用IT系统能为企业带来飞速的发展,但由于系统缺陷、人为误操作、系统攻击等不可预料的各种风险也同样使得企业面临着巨大的灾难。因此,企业用户更应该建立统一、完善、健全的信息安全架构来规范IT系统行为,通过建立冗余机制、灾备机制、详尽的策略遵从机制等各种风险控制机制来降低整个企业的IT系统风险。 事实上,IT系统诞生之初就决定了它不可能“坚如磐石”,系统问题在所难免,但“因噎废食”的做法和思路绝不可取,用户需要的是在问题出现的时候能够迅速获得有效的解决办法来避免中断造成的影响。 此前深信服的安全产品经理邬迪举例说,早在2005年,国务院信息化办公室携手电子政务、银行、电力、铁路、民航、证券、保险、海关、税务等行业,联合起草的《重要信息系统灾难恢复指南》就正式出台了,灾备的作法将是解决IT系统故障的一方良药,但很可惜因国内广域网的缓慢传输速度,灾备至今还未得到普遍推广和应用,如何大幅提升广域网的传输速度将是这方良药能否发挥作用的前提。 另外,数据传输的安全性也是必须考虑的问题。员工利用企业网络访问一些不良网站,同时一些员工在上班时间在论坛博客上发表一些不负责任的言论……这些行为无疑给企业带来一系列的法律风险和商业灾难。 其实解决此类问题非常简单,只需在企业网络部署一台专用的内容管理设备就可以了。此类设备通过强大的数据中心,很方便地控制审计企业内网流向外网的每一个数据,防止机密的泄露和引起法律风险,即使问题出现也可以做到有据可查。而类似的处理方式都预示着一个问题:IT系统风险随时存在,但是任何风险都可以降低,甚至是可以完全避免的。IT系统问题导致业务灾难的风险,IT监管问题导致法律灾难的风险,都可以利用IT自身的安全架构与技术设计来应对。 二问风险:如何才能平衡IT架构中的风险? 有业内人士指出,风险控制是一门系统科学,风险降得越低需要的支出就越多。所有的企业都在寻找一个合适的平衡点来保障企业能够在可接受的风险范围内支出尽量少的钱。设备级别的冗余机制是企业用户选择最多、也是见效最快的一种降低设备故障风险的方法。 当然,不可否认,利用先进的信息系统架构确实能够帮助企业很好地完成一部分风险管理和企业治理的工作。但是Hillstone的安全专家认为,风险管理和企业治理中有很大一部分工作是针对自然人的,这就为风险管理和企业治理工作带来了很大的不确定性以及不统一性。 无疑,这就要求IT经理在进行信息系统架构设计与治理的同时,必须了解到安全架构设计应该和企业的安全策略相吻合,否则就不能实现企业的安全目标。换句话说,只有在充分考虑人的因素的前提下,用IT治理IT才能发挥出更大的积极作用。 因此一些用户反映,在进行一个信息系统的设计时,需要对目标系统的众多需求进行平衡,这些需求包括功能、灵活性、性能、易用性、成本、业务需求和安全。需要强调的是,安全应该在系统设计中的开始阶段就作为一个要害因素进行考虑。 此前新华人寿的IT经理杜大军表示说,如果在信息架构的开发过程中使用了超过业务需求的安全性能,就会导致用户体验的恶化,但降低安全性能也会导致系统的部署和运行维护成本大增。 不难看出,想要平衡IT架构中的安全风险,就必须在IT系统设计的过程中平衡多种需求,这些需求可能是来自业务部门,或者来自企业的方方面面。安全架构的设计者通常需要根据组成构架的每个元素的重要性来确定如何进行取舍和开发。 在设计阶段考虑安全性并不会增加太多的工作量,恰恰相反,这种安全思路贯穿始终的做法可以平滑地嵌入到架构设计的各个阶段,这样就可以保证安全性随着架构设计逐渐的完成而完成。 基于此,不少安全专家认为安全架构从概念上说,就是从安全角度审阅整个系统架构,它主要提供系统架构所需要的安全服务、机制、技术和功能,不仅可以平衡架构设计与应用中的安全风险,而且可以提供如何进行安全设施部署的建议。 但无论如何,信息系统架构安全仍然是一个相对的概念,安全威胁无时无刻不在增加,只有不断地加固才能获得更加有效的安全。整个IT系统的安全涉及方方面面,任何一个地方的疏漏都会成为整个系统的致命短板。因此对用户来说,目前情况下在整体信息安全架构的基础上搭建安全防护设备能够确保企业IT安全的最大化。 三问出路:如何解决信息安全架构与IT治理实现中的技术与管理挑战? 首先,从技术方面看,目前随着网络应用的快速发展,基于数据应用层的安全防护以及风险控制得到越来越多企业用户的关注。然而为了实现整个信息系统的安全架构,核心网关设备的应用层性能成为了各个企业实现统一安全架构的拦路虎。据Hillstone的安全专家介绍,基于应用处理的高性能安全网关是推动安全架构发展的技术因素之一,只有越来越多的高速设备出炉,才能从技术上确保网关层面的安全。 前面说了,高度集中的应用层安全网关还只是技术环境中的一方面。据何迪生透露,企业如果希望获得完整的信息系统架构安全并在此基础上获得IT治理的效益,那么部署一套全方位的安全系统方案是不可避免的。 比如,对现代企业来说,确保其信息基础架构的安全性已经成为主要任务。在这个过程中,信息与各种协作工具对大多数企业的日常运营来说都至关重要。不幸的是,这些工具常常成为攻击者的目标。因此,企业的CIO必须确保信息和协作基础架构不受外部威胁的干扰,避免企业的工作效率受到影响,从而导致内部问题或者泄露机密信息。 面对种类繁多且不断变化的安全威胁,信息和协作基础架构应具备多层保护机制,在攻击影响到企业网络之前就要解决问题。对此,他的看法是,多个保护层能够减少因单一威胁而导致的网络瘫痪问题。目前的焦点在于,所有的安全厂商都有各自独特的需求,他们提供不同的安全产品和服务。因此,如果要实现全架构的安全防护,安全技术本身也要具有适应性。 以微软的技术方案为例:Microsoft Exchange Hosted Services可在垃圾邮件和病毒渗透到网络之前就进行过滤;Microsoft Forefront内部部署软件可以保护关键应用服务器免受内部威胁侵害,并能执行内容规则;Microsoft Internet and Security Acceleration(ISA)Server 2006可实现协议层和应用层的检查,以确保安全地实现Exchange Server、Live Communication Server和SharePoint Portal Server的远程访问;而Microsoft Windows Rights Management Services(RMS)与Microsoft Office Outlook 2003客户端应用配合工作,可以确保敏感的电子邮件和文档不致泄漏出公司之外。 其实,类似的技术方案有很多,无怪乎都是从多层次、大纵深为出发点。换句话说,一个有效的技术方案,除了为企业整个基础架构提供防御之外,还必须采用纵深防御策略,通过多种技术来发现并防御安全威胁。事实上,依靠多种技术低于攻击或误操作,有助于消除整体安全架构中的单个故障点。 文章作者:赵晓涛
Ⅹ IT治理与IT管理有什么区别和联系
IT管理就是在既定的IT治理模式下,管理层为实现组织战略目标而采取的行动。
IT管理是在内IT治理既定容的“约束和激励”的规则下,对组织IT资源进行整合与配置,确定IT目标以及实现此目标所采取的行动;
IT治理是指最高管理层(董事会)利用它来监督管理层在实现IT战略目标的过程中,处于治理层既定的规则内(风险可控、绩效可见)。这是一个硬币的两面,谁也不能脱离谁而存在。
IT治理规定了整个组织IT规划与组织、获得与实施、交付与支持、监控与评价的基本框架,IT管理则是在这个既定的框架下驾驭组织奔向目标。
缺乏良好IT治理模式的组织,即使有“很好”的IT管理体系(而这实际上是不可能的),就像一座地基不牢固的大厦;
同样,没有组织IT管理体系的畅通,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容。
IT治理是IT管理的基石,某种意义上可以认为IT治理比IT管理更重要。
如果没有好的治理(约束和激励)机制,组织管理的好是偶然的,管理不好是必然的;
对于IT,如果存在好的IT治理机制,IT管理的好就是必然的、管理不好是偶然的。