技术架构治理

1. 什么是IT治理

IT治理，IBM最早将此理念引入中国。IT治理是公司治理在信息时代的重要发展，使得IT的应用能够完成组织赋予它的使命，确保实现组织的战略目标。IT治理是公司治理的一部分，对于公司治理，1999年出版的《公司治理的基本原则》一书所下的定义为：为确定组织目标和确保目标实现的绩效监控所提供的治理结构。
IT治理的简单定义就是使参与信息化过程的各方利益最大化的制度措施。
关于IT治理，中外学者给出了很多的定义，
美国IT治理协会给IT治理的定义是：“IT治理是一种引导和控制企业各种关系和流程的结构，这种结构安排，旨在通过平衡信息技术及其流程中的风险和收益，增加价值，以实现企业目标。” 中国有一种观点认为，IT治理是描述企业或政府是否采用有效的机制，使得IT的应用能够完成组织赋予它的使命，同时平衡信息化过程中的风险，确保实现组织的战略目标的过程。它的使命是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。
美国麻省理工学院的学者彼得?维尔和珍妮?罗斯在其所撰写的《IT治理》一书中指出，IT治理就是为鼓励IT应用的期望行为，而明确的决策权归属和责任担当框架。他们认为是行为而不是战略创造价值，任何战略的实施都要落实到具体的行为上。
从IT中获得最大的价值，取决于在IT应用上产生期望的行为。期望行为是组织信念和文化的具体体现，它们的确定和颁布不仅基于战略，而且基于公司的价值纲要、使命纲要、业务规则、约定的行为习惯以及结构等。在每一家公司里，期望行为都各不相同。
综合这些定义，可以得出，IT治理就是要明确有关IT决策权的归属机制和有关IT责任的承担机制，以鼓励IT应用的期望行为的产生，以联接战略目标、业务目标和IT目标，从而使企业从IT中获得最大的价值。

2. IT治理框架的七要素

→ 科学的信息化发展观是IT治理框架构建的理论指导方针，
→ 国外公认的IT治理方法和中国国内自主创新的IT治理方法是IT治理框架构建的工具，二者的结合是正确构建IT治理框架的前提基础；
→ 科学的发展离不开科学决策，科学决策是科学发展的重要环节，IT治理首当其冲的就是建立什么样的决策模式。IT治理必须要树立科学决策意识、并健全决策机制，完善决策方式、规范决策程序、强化决策责任，保证决策的正确有效；
→ IT治理决策的实施是要靠规范化、精细化和主动式的IT全生命周期风险管控流程来实现，同时对IT全生命周期风险管理控制过程与结果进行评价，并持续改进过程与度量方法；
→ 具有持续竞争优势的动态的核心IT能力是IT治理水平背后的决定性因素，IT治理水平是核心IT能力的表现；
→ IT治理的最终目的是实现IT商业价值。
IT治理框架分类汇总表 分类 框架、知识体系 IT规划管理 ITGov信息化科学发展观理论、Zachman、TOGAF、SOA、SAM、CSF、BSP、SST、SG、ITGov-IT治理框架 IT获取与实现管理 RUP、AUP、Scrum、eSCM-SP IT服务管理 ITGov一体化运维管理体系、ITIL、ISO/IEC 20000、ISPL、ITS-CMM、BiSL、eTOM、ASL、ITGov外包治理框架 IT项目管理 PMBoK、IPMBOK、iPMBOK2004、PRINCE2、MSP IT质量管理 TQM、CMM、ISO 9000、TickIT、Six Sigma、ITGov协调式咨询方法论 IT风险管理 COSO-ERM、M_o_R、AS/NZS 4360、CobiT、ITGov信息化风险管控体系 信息安全管理 信息安全等级保护管理办法、ISO27001、ISO/IEC 13335、ISO/IEC 15408及CC、ITGov信息安全治理框架 灾难恢复与业务持续性管理 GB20988-2007、BS25999、NIST SP 800-34 IT绩效管理 ITGov绩效管理九宫格、ITBSC、ITGov三位一体绩效评价框架、FEA、EAF、ITGov信息系统审计标准体系、ITGov基于数据挖掘和网络技术的舞弊审计模型、ITGov电子政务绩效评估体系、ITGov运维与外包绩效评价体系 核心IT能力 ITGov核心IT能力模型及其评价体系、ITGov-IT领导力九项修炼 IT治理是各利益相关方的职责，但它首先是治理层的职责。具体内容如下：
IT治理保证总体战略目标能够从上而下贯彻执行。IT治理和其它治理活动一样，集中在最高管理层（董事会）和管理执行层。然而，由于IT治理的复杂性和专业性，治理层必须强烈依赖企业的下层来提供决策和评估所需要的信息。为保证有效的IT治理，下层应和企业总体目标采用相同的原则，提供评估业绩的衡量方法。因此，好的IT治理实践需要在企业全部范围内推行。 董事会在IT治理方面的职责是：
l 证实IT战略与业务战略一致；
l 证实通过明确的期望和衡量手段交付IT商业价值；
l 指导IT战略、平衡支持企业当前和未来发展的投资；
l 恰当决策信息资源应优先配置的地方。
董事会衡量业绩的指标和方法有：
l 定义和检查IT商业价值评估手段并加以管理
l 证实目标已经达到，
l 衡量组织绩效，减少不确定性。 l 最高管理层（董事会）通过下述指标衡量业绩
l 定义和检查IT商业价值评估手段并加以管理，
l 证实目标已经达到，
l 衡量组织绩效，
l 减少不确定性。 管理者的焦点主要是成本—效益比，增加收入，构建核心竞争力，这些都由信息、知识、信息技术体系所推动。由于信息技术作为实现业务目标的一个集成部分，其解决办法越来越复杂（外包，第三方合同，网络化等），因此，善治成为成功的一个关键因素。
IT治理中，

3. IT治理的解决方案

Troux是惟一能提供有效的IT治理系统的企业，同时，它还能提供全面的版可以连结业务和自动工作流，权及自动化的策略管理系统。为了解决CIO们今天面临的最具挑战性的IT治理问题，Troux的解决方案提供了基础，并且横跨IT治理框架的三个领域。企业架构：使得企业建造师可以完全模仿符合未来需要的架构，并且提供创造和管理与架构相协调的标准和路线图的能力。投资合理化:为IT执行人员提供确保应用、基础设施、服务和项目投资与业务和成本优化相协调的可视度和工具。
服务管理:使IT组织可以实现对业务服务的自动化定义和管理，并确保关键业务、遵从和业务连续性目标的一致。
有了以上各种解决办法，Troux带来了帮助CIO和IT执行人员实现IT治理所需要的深入的专业知识、最佳实践和成熟的模式。
正如IT治理已经位居CIO日程表的前列，经理人员们也已经发现，最佳实践和方法的标准还没有准确的定义—到这一状况才有所改变。
Troux的技术为CIO和IT经理有效计划、构建和管理他们的IT运作，提供了所需要的最佳实践和方法。

4. 什么是治理结构图

治理结构图

治理结构意为公司权力机关的设置、运行及权力机关之间的法权关系。

5. IT治理的IT治理框架

当前，我国信息化建设中的最大问题，不是技术问题，也不是资金问题，而是缺乏科学的IT管理观念；IT领导者最大的问题不是缺少经验和能力，而是缺乏卓越的管理素质和管理方法。对于IT治理来说，国际上已有许多成熟的方法和工具，形成了最佳业务实践，这些最佳业务实践是全球智慧的结晶，所以，对于我们来说，不是再去从头创新，而是需要根据国情和组织的实际情况，对最佳实践加以理解、掌握并有效运用，从而为组织战略目标服务。
下图为山东省软件评测中心总结的IT治理的总体框架，描述了IT治理的出发点、IT治理的关键要素、IT治理的对象、IT治理的最佳实践。

IT治理的目的是使IT与组织业务有效融合，其出发点首先是组织的发展战略，以组织发展战略为起点，遵循组织的风险与内控体系，制定相应的IT建设运行的管理机制。IT治理的关键要素涵盖IT组织、IT战略、IT架构、IT基础设施、业务需求、IT投资、信息安全等，主要确定这些要素或活动中“做什么决策？谁来决策？怎么来决策？如何监督和评价决策？”。围绕着IT建设全生命周期过程，构建持续的信息化建设长效机制，是IT治理的目标一致，因此，整个IT建设生命周期都是IT治理的对象，包括IT组织与规划、IT建设与交付、IT运行与维护、IT评估与优化。IT治理的国际最佳实践就是基于各个对象治理的成熟的方法论和工具，包括CobiT、ITIL、ISO27001、Prince2等。
按照IT治理的对象，我们将IT治理的服务划分为五类，分别是：IT规划治理、IT建设治理、IT运维治理、IT绩效治理、IT风险治理。

6. IT治理框架的IT治理是什么

IT治理是指设计并实施信息化过程中各方利益最大化的制度安排，包括业务与信息化战略融合内的机制，权容责对等的责任担当框架和问责机制，资源配置的决策机制，组织保障机制，核心IT能力发展机制，绩效管理机制以及覆盖信息化全生命周期的风险管控机制。该制度安排的目的是实现组织的业务战略，促进管理创新，合理管控信息化过程的风险，建立信息化可持续发展的长效机制，最终实现IT商业价值。（ITGov中国IT治理研究中心
根据ITGov中国IT治理研究中心正式发布的中国首个自主创新的中国企业IT治理框架，该框架有七要素组成：科学的信息化发展观、IT商业价值、IT治理方法、IT治理绩效、IT治理决策模式、IT风险管理控制体
系、核心IT能力。（ITGov中国IT治理研究中心，2008）如图所示。高水平的、可持续的IT治理，需要考虑同时到这七个要素：

7. IT治理：如何发挥IT技术部门的最大作用

IT治理是一个由各种关系和流程构成的体制，可以指导和控制企业通过合理利用IT技术，平衡IT技术与流程的风险、增加价值来确保实现企业的目标····关键词：IT治理 IT治理能保持IT与业务目标一致，推动业务发展，促使收益最大化。 2005年的研究报告显示，尽管去年绝大多数企业已经或多或少地建立了自己的IT管理和治理架构，但是大多数公司在这方面做得还远远不够。 CIO们关注IT治理绝非偶然。IT治理是一个由各种关系和流程构成的体制，可以指导和控制企业通过合理利用IT技术，平衡IT技术与流程的风险、增加价值来确保实现企业的目标。“回归业务本身，让IT真正满足业务需求。”Gartner的研究副总裁Michael Barnes先生认为这是人们考虑IT治理的原因。过去人们主要关心IT技术，随着IT技术应用的普及，人们逐步认识到业务才是根本。Borland亚太区产品总监林振庆认为，IT治理之所以关键，是因为它能给企业带来以下好处： 首先，也是最重要的一点，是保证IT技术与业务的有效结合，帮助企业在IT现状和业务需求之间达成一致。 第三，确保遵循相关的法律、法规。经济的全球化以后，跨国企业的经营是全球性的，因此，而各国都有不同的法律和法规，IT治理在这方面也可以起到很大作用。 Michael Barnes将IT治理的作用归纳为可见、可重复、可预测这三个由低到高目标。他认为，一个IT治理良好的公司其内部的行为和流程一定都是透明可见的；其次，是可重复的，如果这一次项目成功，下一次就还能成功；最后，IT项目的进行还是可预测的，也就是其风险是可控的。反之，如果IT治理做得不够，IT项目的风险就会很大，会降低企业的竞争力，另外法规遵从也会成为问题。 提到IT治理，人们很容易联想到一个概念，就是ITIL(IT Infrastructure 那么该如何做好IT治理工作？对此，林振庆认为，IT治理软件可以提供不小的帮助，他把IT治理分成了6个阶段，分别对应6个流程，即需求管理、组合管理、项目流程管理、资源管理、财务管理、资产管理。一个好的IT治理软件可以分别在这6个环节上进行监控和管理。他介绍说，Borland的最新产品Tempo就从这6个方面着手帮助企业进行IT治理，效果很好。更为重要的是，由于Borland自己有软件开发平台，Tempo可以把软件开发过程也包括进来，形成整体IT治理解决方案。 除了使用IT治理软件外，Michael Barnes对IT治理提出了三点建议：首先，不要把IT治理简单地当成使用工具。IT治理绝不仅仅是工具，也不仅仅是产品。

8. CIO如何面对企业信息安全架构与IT治理问题

在IT系统给企业带来活力、利润和竞争力的同时，也给企业增加了因此而带来的风险——日益依赖IT系统的企业面临着因IT系统故障导致的业务灾难。不难看出，如何最大限度地降低IT对业务的负面影响，IT系统如何充分为企业战略目标服务，如何获得IT价值最大化，这便是每个企业都必须要真接面对的信息安全与IT治理的问题。 一问理念：如何理解信息安全架构与IT治理的关系？ 2007年在上海举办的“IT治理与安全大会”上，微软公司大中华区信息安全总监何迪生先生表示，假如把信息安全治理比作指引组织进行安全项目的路标，那么安全架构和设计便是组织通往信息安全这个目标所用的交通工具的基本结构。它包括用于设计、实施、监控和保护操作系统、设备、网络、应用以及用以实施各种级别保密性、完整性和可用性控制的概念、原则、结构和标准。 事实上，建立完善的信息安全架构对于整个IT治理来说至关重要。没有了信息安全架构，IT治理根本无从谈起。 据Hillstone安全专家介绍，IT治理需要遵从特定的原则，并在企业统一、完善及健全的安全架构中去实现，这是一个系统工程，需要从信息安全本身直至企业内部的每个员工共同来实现。每个期望通过信息化来达到快速发展的企业都需要将应用安全架构以及IT治理作为工作重心之一。 任何事物都有它的两面性。正确、恰当地使用IT系统能为企业带来飞速的发展，但由于系统缺陷、人为误操作、系统攻击等不可预料的各种风险也同样使得企业面临着巨大的灾难。因此，企业用户更应该建立统一、完善、健全的信息安全架构来规范IT系统行为，通过建立冗余机制、灾备机制、详尽的策略遵从机制等各种风险控制机制来降低整个企业的IT系统风险。 事实上，IT系统诞生之初就决定了它不可能“坚如磐石”，系统问题在所难免，但“因噎废食”的做法和思路绝不可取，用户需要的是在问题出现的时候能够迅速获得有效的解决办法来避免中断造成的影响。 此前深信服的安全产品经理邬迪举例说，早在2005年，国务院信息化办公室携手电子政务、银行、电力、铁路、民航、证券、保险、海关、税务等行业，联合起草的《重要信息系统灾难恢复指南》就正式出台了，灾备的作法将是解决IT系统故障的一方良药，但很可惜因国内广域网的缓慢传输速度，灾备至今还未得到普遍推广和应用，如何大幅提升广域网的传输速度将是这方良药能否发挥作用的前提。 另外，数据传输的安全性也是必须考虑的问题。员工利用企业网络访问一些不良网站，同时一些员工在上班时间在论坛博客上发表一些不负责任的言论……这些行为无疑给企业带来一系列的法律风险和商业灾难。 其实解决此类问题非常简单，只需在企业网络部署一台专用的内容管理设备就可以了。此类设备通过强大的数据中心，很方便地控制审计企业内网流向外网的每一个数据，防止机密的泄露和引起法律风险，即使问题出现也可以做到有据可查。而类似的处理方式都预示着一个问题：IT系统风险随时存在，但是任何风险都可以降低，甚至是可以完全避免的。IT系统问题导致业务灾难的风险，IT监管问题导致法律灾难的风险，都可以利用IT自身的安全架构与技术设计来应对。 二问风险：如何才能平衡IT架构中的风险？ 有业内人士指出，风险控制是一门系统科学，风险降得越低需要的支出就越多。所有的企业都在寻找一个合适的平衡点来保障企业能够在可接受的风险范围内支出尽量少的钱。设备级别的冗余机制是企业用户选择最多、也是见效最快的一种降低设备故障风险的方法。 当然，不可否认，利用先进的信息系统架构确实能够帮助企业很好地完成一部分风险管理和企业治理的工作。但是Hillstone的安全专家认为，风险管理和企业治理中有很大一部分工作是针对自然人的，这就为风险管理和企业治理工作带来了很大的不确定性以及不统一性。 无疑，这就要求IT经理在进行信息系统架构设计与治理的同时，必须了解到安全架构设计应该和企业的安全策略相吻合，否则就不能实现企业的安全目标。换句话说，只有在充分考虑人的因素的前提下，用IT治理IT才能发挥出更大的积极作用。 因此一些用户反映，在进行一个信息系统的设计时，需要对目标系统的众多需求进行平衡，这些需求包括功能、灵活性、性能、易用性、成本、业务需求和安全。需要强调的是，安全应该在系统设计中的开始阶段就作为一个要害因素进行考虑。 此前新华人寿的IT经理杜大军表示说，如果在信息架构的开发过程中使用了超过业务需求的安全性能，就会导致用户体验的恶化，但降低安全性能也会导致系统的部署和运行维护成本大增。 不难看出，想要平衡IT架构中的安全风险，就必须在IT系统设计的过程中平衡多种需求，这些需求可能是来自业务部门，或者来自企业的方方面面。安全架构的设计者通常需要根据组成构架的每个元素的重要性来确定如何进行取舍和开发。 在设计阶段考虑安全性并不会增加太多的工作量，恰恰相反，这种安全思路贯穿始终的做法可以平滑地嵌入到架构设计的各个阶段，这样就可以保证安全性随着架构设计逐渐的完成而完成。 基于此，不少安全专家认为安全架构从概念上说，就是从安全角度审阅整个系统架构，它主要提供系统架构所需要的安全服务、机制、技术和功能，不仅可以平衡架构设计与应用中的安全风险，而且可以提供如何进行安全设施部署的建议。 但无论如何，信息系统架构安全仍然是一个相对的概念，安全威胁无时无刻不在增加，只有不断地加固才能获得更加有效的安全。整个IT系统的安全涉及方方面面，任何一个地方的疏漏都会成为整个系统的致命短板。因此对用户来说，目前情况下在整体信息安全架构的基础上搭建安全防护设备能够确保企业IT安全的最大化。 三问出路：如何解决信息安全架构与IT治理实现中的技术与管理挑战？ 首先，从技术方面看，目前随着网络应用的快速发展，基于数据应用层的安全防护以及风险控制得到越来越多企业用户的关注。然而为了实现整个信息系统的安全架构，核心网关设备的应用层性能成为了各个企业实现统一安全架构的拦路虎。据Hillstone的安全专家介绍，基于应用处理的高性能安全网关是推动安全架构发展的技术因素之一，只有越来越多的高速设备出炉，才能从技术上确保网关层面的安全。 前面说了，高度集中的应用层安全网关还只是技术环境中的一方面。据何迪生透露，企业如果希望获得完整的信息系统架构安全并在此基础上获得IT治理的效益，那么部署一套全方位的安全系统方案是不可避免的。 比如，对现代企业来说，确保其信息基础架构的安全性已经成为主要任务。在这个过程中，信息与各种协作工具对大多数企业的日常运营来说都至关重要。不幸的是，这些工具常常成为攻击者的目标。因此，企业的CIO必须确保信息和协作基础架构不受外部威胁的干扰，避免企业的工作效率受到影响，从而导致内部问题或者泄露机密信息。 面对种类繁多且不断变化的安全威胁，信息和协作基础架构应具备多层保护机制，在攻击影响到企业网络之前就要解决问题。对此，他的看法是，多个保护层能够减少因单一威胁而导致的网络瘫痪问题。目前的焦点在于，所有的安全厂商都有各自独特的需求，他们提供不同的安全产品和服务。因此，如果要实现全架构的安全防护，安全技术本身也要具有适应性。 以微软的技术方案为例：Microsoft Exchange Hosted Services可在垃圾邮件和病毒渗透到网络之前就进行过滤；Microsoft Forefront内部部署软件可以保护关键应用服务器免受内部威胁侵害，并能执行内容规则；Microsoft Internet and Security Acceleration（ISA）Server 2006可实现协议层和应用层的检查，以确保安全地实现Exchange Server、Live Communication Server和SharePoint Portal Server的远程访问；而Microsoft Windows Rights Management Services（RMS）与Microsoft Office Outlook 2003客户端应用配合工作，可以确保敏感的电子邮件和文档不致泄漏出公司之外。 其实，类似的技术方案有很多，无怪乎都是从多层次、大纵深为出发点。换句话说，一个有效的技术方案，除了为企业整个基础架构提供防御之外，还必须采用纵深防御策略，通过多种技术来发现并防御安全威胁。事实上，依靠多种技术低于攻击或误操作，有助于消除整体安全架构中的单个故障点。 文章作者：赵晓涛

9. it治理是itil框架的核心吗

IT服务管理是抄ITIL框架的核心，它是一套协袭同流程（Process），并通过服务级别协议（SLA）来保证IT服务的质量。ITIL把IT服务管理活动分为一项管理功能和十个核心流程，包括:1、服务台。2、事件管理。3、问题管理。4、配置管理。5、变更管理。6、发布管理。7、服务级别管理。8、财务管理。9、可持续性管理。10、容量管理。11、可用性管理。