it治理架构

1. TOGAF企业架构在企业中有何作用

“有效的企业架构（Enterprise Architecture，EA）对企业的生存和成功具有决定性的作用，是企业通过IT获得竞争优势的不可缺少的手段。“
企业架构如同战略规划，可以辅助企业完成业务及IT战略规划。在业务战略方面，可使用TOGAF及其架构开发方法（Architecture Development Method，ADM）来定义企
业的愿景/使命、目标/目的/驱动力、组织架构、职能和角色。
在IT战略方面，TOGAF及ADM详细描述了如何定义业务架构、数据架构、应用架构和技术架构，是IT战略规划的最佳实践的指引。
企业架构是承接企业业务战略与IT战略之间的桥梁与标准接口，是企业信息化规划的核心。

2. IT规划需要注意些什么

IT规划，从表面意思上看，是侧重于信息化的规划。虽然定义很简单，但在具体的规划项目中还是要分清，什么样的企业用哪个层次的规划。

广义上讲，IT规划包含三个层面：IT战略规划、IT架构/运维规划和IT组织/IT治理。
从内容上来说，IT战略规划是对IT手段和企业战略进行匹配分析，在企业战略的指导下，明确IT的战略目标、方向和具体信息化建设方向；IT架构/运维规划是根据IT战略，具体确定运营层面的IT架构，指明信息化建设所采用的具体技术手段和必要的技术保障；IT治理是在信息化组织已经建立并运作的基础上，对其工作的领域和流程进行一定的规划，使信息部门更有效的工作。

相比较而言，这三个方面的规划之间的层次关系是：IT战略规划决定IT架构规划，在IT战略规划和IT架构规划明确的基础上，IT治理对信息化的运作提供更高效的保障。与企业的管理范畴的对应可以理解为：IT战略规划对应于企业战略规划，IT治理对应于企业组织的规划，而IT架构规划则属于运营层面。

对IT规划而言，要想成功实施规划项目，企业必须具有两个条件，一是组织架构确定，二是管理模式/流程清晰。对于IT战略规划项目，对企业的管理模式/流程可以不作太多的关注，只要能够明确企业的战略方向，和整个行业的发展趋势，基本上就能够确定企业的IT战略；对于IT架构项目，首先要保证企业有独立的信息部门，可能信息部门在企业内部的地位不高，但企业内部的管理模式和流程必须要相对清晰。之所以要具备这样的条件是因为IT手段的引入是对管理模式/流程的支撑，如果管理模式不清晰，所进行的IT架构规划也很难落到实处，规划成果很难为客户带来价值；对于IT治理项目，企业内部不但要存在独立的信息部门，而且，作为一个独立的职能部门，其在企业内部的作用不亚于主要业务部门，只有具有了这两个条件，IT治理项目才能顺利地开展，并且规划的内容更能够为客户带来价值。

从咨询的角度看，IT战略规划更像战略咨询项目，主要的规划内容和重点和战略规划相类似，此时要求IT战略规划从管理、战略的视角来看待企业遇到的问题，在充分分析所遇到的问题和企业战略目标的基础上，给出IT建设的重点领域和方向。

而IT架构规划项目，由于现在很多此类项目集中于技术层面，并且多和信息系统的实施与开发项目结合在一起，真正从咨询角度来完成的项目不多。而IT架构规划是联系企业的业务流程与IT手段的关键桥梁，要想成功完成此类项目，不但要对管理有深刻的认识，而且还需要对IT技术手段及发展趋势有清楚的了解。目前，这类项目往往会成为某种大型信息系统，如ERP系统实施的一个附属步骤/子项目，但从重要性来讲，此类项目的重要性远远超过实施某个信息系统，信息系统的成功运作离不开对企业业务的深刻理解，信息化只是手段，只有在深刻理解了业务流程的信息化需求，才能够保证实施的系统得到成功的运作，IT治理项目目前来说是发展最为成熟的一类IT规划项目。目前所采用的IT治理框架主要是COBIT和ITIL，后者可以看作是前者的一个组成部分。COBIT框架是对大量信息化实践高度概括总结而形成的，其中并没有太多的理论内容，但对企业而言，针对性很强，这也是此类项目能够顺利开展、并且发展较为成熟的一个原因。

IT规划要想成功实施，必须要分析企业所处的具体环境，是组织架构完善、流程清晰？还是组织和流程都十分模糊？这些是能否进行IT规划项目的基础（必要条件）。同时，明确了企业的具体情况，就要从企业的需求出发，决定是进行IT战略规划、IT架构规划还是IT治理？这些是保证IT规划项目顺利进行的充分条件。所以，保证IT规划项目成功运作的关键可以简单总结为：一是分析企业的具体情况，以确定是否进行IT规划；二是分析企业的具体需求，以确定实施哪个层面的IT规划。

3. 为什么电子政务顶层设计需要企业架构

电子政务建设是庞大、复杂的系统工程，因而需要顶层设计，这个观版点越来越得到政界、学界和权IT行业的一致认可，《国家电子政务总体框架》可以看作这方面的一个例证。
顶层设计起源于应用系统的总体设计，由于信息技术在政府领域的大规模、深层次、跨组织应用，对于行政体制改革和服务型政府建设已经上升到战略支撑层面，面向应用系统的总体设计方法已经越来越跟不上时代的发展。顶层设计方法必须上升到战略管理和IT治理的高度，才能适应这种变化。
电子政务建设的顶层设计，核心是业务和IT之间的互动关系，要回答三个核心问题：
(1)业务战略是什么
“业务驱动IT，IT支撑业务”是顶层设计的第一个基本原则。
(2)业务战略怎样驱动IT战略
IT战略必须与业务战略保持动态的一致，这是顶层设计的第二个基本原则。
(3)IT战略怎样支撑业务战略
IT战略必须保证业务战略实现的效率和效果，这是顶层设计的第三个基本原则。

4. 什么是IT治理

IT治理并没有想像得那样复杂和虚无缥缈。我们并不需要从成百上千种IT治理模式中煞费苦心地寻找一条适合自己的模式。埃森哲公司创建了一种IT治理模式，该模式为组织建立有效的IT治理提供了一张路线图。

IT治理的概念引入到国内已经有三年多的时间了，虽然媒体、IT企业及一些专家学者在不断呼吁IT治理的重要性，但将IT治理从理论推进到实践层面的案例还鲜有所闻。之所以会如此，组织缺乏IT治理的操作指南应该是一个重要原因。

我们不能停留于对于IT治理概念的玩味和寻究，从某种程度上来讲，IT治理的定义的抽象晦涩已经影响了组织对于IT治理的接受，并直接伤害了IT治理的实践操作性，现在是到了为IT治理寻找一条切实可行的操作路径的时候。

实际上，IT治理并没有想像得那样复杂和虚无缥缈。我们并不需要从成百上千种IT治理模式中煞费苦心地寻找一条适合自己的模式。埃森哲公司创建了一种IT治理模式，该模式为组织建立有效的IT治理提供了一张路线图。本文将对该模式作一个介绍。

简单地讲，IT治理关注两个方面的问题，即IT治理的“什么”和“谁”。IT治理的“什么”是指IT治理应该作出哪些决策，IT治理的“谁”则是指这些决策分别应该由谁来作出。

那么，IT治理到底应该作出哪些决策呢?要找到这个问题的答案，必须先搞清楚一个问题，那就是组织到底需要IT发挥什么样的作用。不要想当然地以为这是一个可以简单回答的问题。实际上，不同的组织对于IT的需要是不一样的。组织到底需要IT做什么，在很大程度上取决于它处于一个什么样的商业环境。

商业特征决定IT需求

走向IT治理的第一步就是，要对组织处于什么样的商业环境进行正确的分析。

埃森哲公司的IT治理模式通过两个指标来对组织的商业环境进行分析:变化的速度和竞争的基础。

变化的速度。某些企业处在一个变化较快的行业，如半导体企业和电信企业。在这样的行业，消费者的需求和偏好经常改变，产业政策也时常推陈出新，时不时出现的新技术会一下子改变整个产业价值链;而另外一些行业的发展状态则相对稳定，不会有那么快的变化，如航空业。在这样的行业，消费者的需求、竞争格局、政府管制、技术及供应商等方面的变化都是缓慢发生的。

竞争的基础。从竞争的基础来看，企业可以分为两类。一类企业以运营效率为基础进行竞争。对于这类组织来说，重点在于降低成本，以及优化现有的商业模式以应对竞争;另一类企业以产品和服务的差异性为竞争的基础。这类企业力求先于竞争对手提供新的商业能力，或者是开创新的商业模式，以此获得竞争优势。

根据以上两个指标，可以将组织分为四类。

A类组织处于变化不快的行业，以运营效率为竞争基础;

B类组织处于变化不快的行业，以产品服务的差异化为竞争基础;

C类组织处于变化快的行业，以运营效率为竞争基础;

D类组织处于变化快的行业，以产品服务的差异化为竞争基础。

这四类不同的组织因其业务特点的不同而对IT产生不同的需求。

A类组织发展的关键在于严格控制成本，因此这类企业希望利用IT来保持低成本，通过如外包这类节省成本的方法来提供成熟的能力。

B类组织的管理层期望利用信息来提高决策能力，并开发新的产品和服务，以高收入来抵消不断增长的IT支出。

C类组织按优先次序制定IT投资计划以及长期能力的路线图，它们在对成本进行有效管理的同时，根据路线图，运用IT来实现计划中的新能力，以满足市场不断变化的需求。

D类组织期望IT具有高度的灵活性，以满足迅速变化的商业策略和要求。这类企业倾向于提供创新的IT解决方案，以获得先发优势，因此它们的IT投资重点在于创造新的能力。

IT治理的决策范围

一旦组织明确了自己对于IT的需求，那下一步就要解决IT治理作哪些决策的问题，也就是前文所说的IT治理的“什么”。IT治理的决策范围一般包括以下五个方面。

组织模式:组织是采取集权、分权还是混合的模式?

投资:组织将投资于什么?投多少?

架构:组织是着重于稳定性还是灵活性?这两者各到什么程度?应用系统是向外购买还是内部开发?是建立一个综合性的ERP系统还是多种系统?

标准:组织需要将什么技术标准化，采用什么标准?

资源:IT组织将利用什么类型的资源?这些资源的来源是什么?

对于A类组织，其首选的组织模式应该是集权式治理，IT对于预算和决策负有责任。加拿大邮政公司就采用这种方法，该公司坚持一种简单化的组织模式，有一个集权部门来对公司行为进行优先排序，并通过单一的IT资源来完成。

在标准的决策方面，A类组织谋求在全组织范围内加强架构、技术和供应商的标准化，只是在一些被证明是正当的例外的情况下才允许有所背离。一家大型的法国保险公司就是这方面的一个例子。该公司在集团范围内对IT架构实行了标准化，因此它可以优化其核心的IT流程，整合系统支持其非寿险业务，移植数据，配置新的系统以支持其健康险业务。

在资源决策方面，A类组织善于利用内外部资源的组合，通常会与少量的几家优选的服务提供商达成服务协议。当某个全球性的化学品公司认为IT并非其核心业务时其，便将整个IT运作外包出去，包括其ERP系统全球范围内的实施和支持。

IT治理

公司治理主要关注利益相关者权益和管理，包括一系列责任和条例，由最高管理层（董事会）和执行管理层实施，目的是提供战略方向，保证目标能够实现，风险适当管理，企业的资源合理使用。
公司治理，驱动和调整IT治理。同时，IT能够提供关键的输入，形成战略计划的一个重要组成部分，这被认为是公司治理的一个重要功能——IT影响企业的战略竞争机遇。

IT治理和公司治理关系图
IT治理的一个关键性问题是：公司的IT投资是否与战略目标相一致，从而构筑必要的核心竞争力。因为企业目标变化太快，很难保证IT与商业目标始终保持一致，因此需要多方面的协调，保证IT治理继续沿着正确的方向走，这也是IT投资者真正关心的问题。对IT治理而言，要能体现未来信息技术与未来企业组织的战略集成。既要尽可能地保持开放性和长远性，以确保系统的稳定性和延续性；同时又因为规划赶不上变化，再长远的规划也难以保证能跟上企业环境的变化。IT治理中一个相对有效的做法是，在信息化规划时，认真分析企业的战略与IT支撑之间的影响度，并合理预测环境变化可能给企业战略带来的偏移，在规划时留有适当的余地，从业务战略到信息战略，做务实的牵引，不要追求大而全。
IT治理有助于建立一个灵活的、具有适应性的企业。IT治理能够影响信息和指示：企业能够感知市场正在发生的事，使用知识资产并从中学习，创新新产品、服务、渠道、过程；迅速变化，将革新带入市场，衡量业绩。IT治理应该体现“以组织战略目标为中心”的思想，通过合理配置IT资源创造价值。企业治理侧重于企业整体规划，IT治理侧重于企业中信息资源的有效利用和管理。
企业目标在于远景和商业模式，IT目标在于商业模式的实施。
企业目标与IT目标之间的关系如下图所示：

IT治理主要涉及两个方面：IT要为企业交付价值，IT风险要降低。前者受IT与企业的战略一致性驱动，后者由责任义务落实到企业驱动。这两者都需要衡量，如使用平衡计分卡。这就可以看出IT治理的四个核心领域，都是由利益相关者价值驱动的，其中两个是成果：价值交付和风险降低，另外两个是驱动力：战略一致性和业绩衡量。
概括地说，公司治理和IT治理都是市场（含政府）他律的机制，是如何“管好管理者”的机制，其目标也是一致的：达到业务永续运营，并增加组织的长期获利机会。无论大环境是好是坏，最高管理层（董事会）均应以达成其目标为责任，而且管理阶层需有能力协助其达成目标，因此最高管理层（董事会）必须常常监督管理部门对决策判断与政策实施的绩效。
“斯达模式”这一被誉为国企摆脱困境、改革发展的创新模式，正说明了公司治理和IT治理的重要性和互动关系。“黑纸”利用合资契机，对产权体制进行了改革，并按照现代企业制度要求，建立与市场竞争相适应的公司治理机制，明晰了企业产权，优化了生产要素配置，转变了职工观念，为斯达大力进行信息化改造创造了有力条件。反过来，信息化也促进了公司的现代化管理。

IT治理和IT管理

IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动；而IT治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。这是一个硬币的两面，谁也不能脱离谁而存在。可见，IT管理就是在既定的IT治理模式下，管理层为实现公司的目标而采取的行动。
IT治理规定了整个企业IT运作的基本框架，IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司，即使有“很好”的IT管理体系（而这实际上是不可能的），就像一座地基不牢固的大厦；同样，没有公司IT管理体系的畅通，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容。就我国信息化建设目前的现状而言，无论是IT治理，还是IT管理都是我们所迫切需要解决的。

浅析IT治理框架的三个支柱

一旦IT领导理解了IT治理框架的三个支柱，他们对于IT治理为什么如此重要，以及哪一种方法可以最好地帮助他们达成治理目标，就会有更好的理解。

IT治理是目前很多人都在谈论的一个话题。确实，一些技术供应商和咨询顾问已经将IT治理纳入一个最新的热门的销售范畴。然而，以他们所销售的产品和服务的范围为基础，已经出现了IT治理的种种定义，这在一定程度上给市场带来了混乱。

那么，对于如今这个最热门的企业治理方面的概念，业务和IT领导从哪里可以获得一个单一而又全面的定义呢？

基于ITGI、正在形成的产业标准、客户最佳实践及思想领导者的工作，第一流的分析师现在都在强调IT治理框架的三个支柱的模式。这一框架强调确保IT在支持业务目标、优化商业技术投资及合理管理IT相关风险和机会中的重要性。

在CIO和IT领导看来，由于可以为组织走出烦恼多时的没完没了的支出、扩展、补丁、再支出的循环提供一个清楚的路径，这三个支柱的模式和与之相应的IT治理成熟度模型正在迅速地获得动力。

有了IT治理这一框架，IT投资所带来的价值可以获得理解，实现技术投资和业务目标需求之间的联结也有了明确的方法。在来自管理层和董事会的压力越来越大的情况下，IT组织不能仅依靠理论—他们需要能发挥作用的治理。

IT治理框架的三个支柱

对于任何想抓住这种前瞻性的IT方法所带来的利益的组织而言，这一成形的IT治理框架都是适用的。这个框架包括三个主要的组成部分，具体表现为“计划/构造/管理”三个生命周期，通过一个不断进行的连结这三个要素的反馈环，使得IT变革成为可能。这三个支柱是：

企业架构计划，包括：

企业架构造型和管理

战略性的IT计划和路线图

标准管理

投资组合合理化,包括:

应用系统和基础设施的合理化

项目－投资分析

合并和收购运营整合

服务融合，包括：

服务提供管理

业务关系管理

供应商和外包商管理

IT财务管理IT

塞班斯－奥克斯莱法案（Sarbanes-Oxley）和其他法规遵从的问题

业务连续性计划

一旦IT领导理解了这三个支柱，他们对于IT治理为什么如此重要，以及哪一种方法可以最好地帮助他们达成治理目标，就会有更好的理解。例如，在项目投资管理和系统管理领域，一般的供应商只会致力于整个框架的一部分。对IT治理问题需要有一个全面的解决方案，这一需求已经越来越表现出来了。

IT治理解决方案

Troux是惟一能提供有效的IT治理系统的企业，同时，它还能提供全面的可以连结业务和自动工作流，及自动化的策略管理系统。为了解决CIO们今天面临的最具挑战性的IT治理问题，Troux的解决方案提供了基础，并且横跨IT治理框架的三个领域。

企业架构：使得企业建造师可以完全模仿符合未来需要的架构，并且提供创造和管理与架构相协调的标准和路线图的能力。

投资合理化:为IT执行人员提供确保应用、基础设施、服务和项目投资与业务和成本优化相协调的可视度和工具。

服务管理:使IT组织可以实现对业务服务的自动化定义和管理，并确保关键业务、遵从和业务连续性目标的一致。

有了以上各种解决办法，Troux带来了帮助CIO和IT执行人员实现IT治理所需要的深入的专业知识、最佳实践和成熟的模式。

结论

正如IT治理已经位居CIO日程表的前列，经理人员们也已经发现，最佳实践和方法的标准还没有准确的定义—到现在这一状况才有所改变。

Troux的技术为CIO和IT经理有效计划、构建和管理他们的IT运作，提供了所需要的最佳实践和方法。

链接

如何看待IT治理的角色

“对于CIO来说，IT治理意味着组织结构、决定过程和一种在企业内加强控制的信息基础。”位于斯坦福的Meta集团的分析师Val Sribar说。

走向IT治理最重要的一步是“发展一种可以自信地进行关键资产、财务和遵从的决策的信息基础。”Sribar又说，“业务和技术架构的可见度对于企业管理和成长是关键性的。”

幸运的是，IT经理为了达成治理目标可以获得帮助。“像Troux这样的供应商已经出现，并填补了治理流程和IT运营之间的空白。”Sribar说.

IT治理的标准

目前国际上通行的IT治理标准主要有四个：ITIL 、COBIT、ISO/IEC17799和PRINCE2。

（1）ITIL
ITIL（Information Technology Infrastructure Library）：即信息技术基础构架库，一套被广泛承认的用于有效IT服务管理的实践准则。1980年以来，英国政府商务办公室（GOC，原称政府计算机与通信中心）为解决“IT服务质量不佳”的问题，逐步提出和完善了一整套对IT服务的质量进行评估的方法体系，叫做ITIL。2001年，英国标准协会在国际IT服务管理论坛（itSMF）上正式发布了以ITIL为核心的英国国家标准BS15000。这成为IT服务管理领域具有历史意义的重大事件。

（2）COBIT
COBIT（Control Objectives for Information and related Technology）：即信息系统和技术控制目标。成立于1969年的美国信息系统审计与控制协会ISACA，于1996推出了用于“IT审计”的知识体系COBIT。“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。相应地，“注册信息系统审计师”（CISA）日益成为世界各国发展信息化过程中，争相发展的新兴职业和领域。作为IT治理的核心模型，COBIT包含34个信息技术过程控制，并归集为四个控制域：IT规划和组织（Planning and Organization）、系统获得和实施（Acquisition and Implementation）、交付与支持（Delivery and Support）以及信息系统运行性能监控（Monitoring）。 COBIT 目前已成为国际上公认的IT管理与控制标准。

（3）BS 7799
BS 7799(ISO/IEC17799)：即国际信息安全管理标准体系，2000年12月，国际标准化组织ISO正式发布了有关信息安全的国际标准ISO17799，这个标准包括信息系统安全管理和安全认证两大部分，是参照英国国家标准BS7799而来的。它是一个详细的安全标准，包括安全内容的所有准则，由十个独立的部分组成，每一节都覆盖了不同的主题和区域。
由英国标准协会（BSI）编写的信息安全管理体系标准BS 7799-Part 1 (ISO 17799) 及BS 7799-Part 2为各种机构、企业进行信息安全管理提供了一个完整的管理框架。这一套‘姊妹对’标准引导机构、企业建立一个完整的信息安全管理体系，对信息安全进行动态的、以分析机构及企业面临的安全风险为起点对企业的信息安全风险进行动态的、全面的、有效的、不断改进的管理，并强调信息安全管理的目的是保持机构及企业业务的连续性不受信息安全事件的破坏，要从机构或企业现有的资源和管理基础为出发点，建立信息安全管理体系（ISMS），不断改进信息安全管理的水平，使机构或企业的信息安全以最小代价达到需要的水准。保护信息安全，建立信息安全管理体系是机构或企业营运的重要工作之一，尤其是BS 7799-2: 2002是目前最完整的参考依据，它以“计划（Plan）、实施（Do）、检查（Check）、行动（Action）”模式，将管理体系规范导入机构或企业内，以达到“持续改进”的目的。

（4）PRINCE2
PRINCE2（Projects In Controlled Environments）是一种对项目管理的某些特定方面提供支持的方法。PRINCE2描述了一个项目如何被切分成一些可供管理的阶段，以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。PRINCE2的视野并不仅仅限于对具体项目的管理，还盖了在组织范围对项目的管理。
在这里，我们重点对COBIT进行介绍：
COBIT的全称是“Control Objectives for Information and related Technology”，上世纪90年代早期由IT治理协会提出，至今（2005年）已是第三版，COBIT目前已成为国际上公认的IT管理与控制框架，已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效地利用信息资源，有效地管理与信息相关的风险。
COBIT有6个组件：
- Executive Summary
- Management Guidelines
- Framework
- Control Objectives
- Implemenation Toolset
- Audit Guidelines

COBIT型是企业战略目标和信息技术战略目标的桥梁，使得信息技术目标和企业战略目标之间实现互动。
该框架的意义在于：COBIT实现了企业目标与IT治理目标之间的桥梁作用。
首先，COBIT考虑了企业自身的战略规划，对业务环境和企业总的业务战略进行分析定位，并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境，并由此确定IT准则。
IT为企业战略提供了基于技术的解决方案，为满足业务战略需求提供了技术与工具。在IT准则的指导下，利用控制目标模型，分别从规划与组织、获取与实施、交付与支持、监控等过程进行控制、管理信息资源。在IT管理的同时，引入审计指南，从而保证IT资源管理的安全性、可靠性和有效性。
COBIT实现可跟踪的业绩衡量，通过平衡记分卡可以在财务（企业资源管理）、客户（客户关系管理）、过程（内部网，工作流工具）、学习（知识管理）等方面维持平衡，评价企业目标的实现情况以及IT绩效，并调整业务目标和IT战略，进行持续的IT管理。
COBIT采用成熟度模型，可以定位自己企业的IT管理目前在业界所处的位置，以及未来努力的方向，通俗地说就是给IT管理“打分”。
COBIT还提供了目前最佳案例和关键成功因素（CSF），供企业和组织借鉴。
从内容上看，COBIT覆盖了从分析＆设计到开发＆实施到运营、维护的整个过程。对于分析＆设计，重点目标是IT与业务的需求，根据业务目标细化IT战略，确定待开放的IT系统，进行相应的系统分析和设计。在分析与设计这样一个流程范围中，比我们传统所说的信息系统的分析与设计要宽广得多，它强调的是IT的战略要符合业务的战略，任何信息系统的开发都应该与业务战略保持精确的校准。从业务战略的高度来分析和设计信息系统。提供这个阶段主要是考察组织的需求，同时根据这些需求设计合理的资源组合，设立合理的服务级别、目标，提供满足客户需求的IT服务。这个阶段对IT应用已上升到IT服务管理的阶段。主要解决下面的问题，为满足客户的需要提供哪些资源，这些资源之间的成本是多少，如何在服务成本和服务的效益间达到一个恰当的平衡点。在支持这个层面，主要是如何满足客户提出的IT需求，以支持服务的需求。 COBIT上层是对IT运行进行外部控制和内部审计，以确保IT与业务实现精确校准，同时实现对IT应用持续不断的应用和改进。COBIT覆盖整个信息系统的全部生命周期，其视野是最为开阔的。
概括而言，COBIT的主要优点如下：
COBIT是一个非常有用的工具，也非常易于理解和实施，可以帮助企业在管理层、IT与审计之间交流的鸿沟上搭建桥梁，提供了彼此沟通的共同语言。几乎每个机构都可以从COBIT中获益，来决定基于IT过程及他们所支持的商业功能的合理控制。当我们知道这些业务功能是什么，其对企业的影响到什么程度时，就能对这些事件进行良好的分类。所有的信息系统审计、控制及安全专业人员应该考虑采用COBIT原则。
通过实施COBIT，增加了管理层对控制的感知及支持。COBIT帮助管理层懂得如何控制影响、业务功能。COBIT提供的实施工具集包括优秀的案例资料（提供模板业务过程，使得优秀范例能够迅速移植），有助于向管理层很好地表述IT管理概念。管理层在基于最佳控制实践基础上做出正确决策的能力亦得到了提高。
COBIT使IT管理工作简易并量化，减轻对复杂信息系统管理工作的难度。对于那些不具有广博IT知识的人来讲，是一个认清信息技术的有价值的工具。它也使得信息系统审计师具有与IT专业人员相同的专业广度，并且可以询问IT工程相关的问题。
COBIT提供了一种国际通用的IT管理及问题解决方案，普遍适用于各种不同的业务项目和审计，并且既包容了当前的情况，也提供将来可能会使用到的指导方针。
COBIT有助于提高信息系统审计师的影响力，依据COBIT出具的信息系统审计报告，更容易得到管理层的肯定。
COBIT框架可以能够帮助决定过程责任，提高IT治理水平。通过应用该框架进行责任分析，可以做到基于角色的IT管理，定义过程措施，确保客户利益。
总之，COBIT模型实现了企业战略与IT战略的互动，并形成持续改进的良性循环机制，为企业提供了具有一定参考价值的解决方案。因此，针对我国信息化存在的问题，借鉴COBIT的IT治理思想和框架，科学、系统地对信息及相关技术进行管理，逐步试行建立IT治理机制，对推动我国信息技术的发展和应用具有十分重要的现实意义。

5. 什么是企业架构，是由业务架构和IT架构组成的吗

企业IT组织架构总部集（）公司布配置直业界热点题与争论数据集该布没绝
错每家企业所行业同、规模同、IT应用阶段同难放四海皆准模式仍些借鉴规律其实论合其实企
业治理结构IT治理具体体现属于IT战略层面问题焦点则IT管理职责与权利何划我认本土集团型企业、元化企业CIO问
题尤其需要认真待

些企业治理结构比较完善、管理比较规范跨公司普遍实行矩阵式职能管理架构——区总部企业内部共享服务各战略业务单
元（SBU）职能管理部门提供行政性办公条件相关服务我觉企业事单或相关联业务种组织架构利于企业职能管理专业化能降
低管理本目前内本土集团型企业或元化企业实行总裁/管副总裁＋IT总监/IT部门总经理格局履行跨公司总部类似CIO职责
由于企业治理结构管理标准化程度等原加非关联性、元化或跨行业业务完全采用内部共享服务职能管理架构相沟通、协调
管理本进影响企业决策、战略执行运营管理效率所我认类企业需要根据IT应用阶段及调整IT组织架构程管理师查尔
斯·汉迪联邦制组织管理思路值CIO借鉴

我认企业IT基础设施搭建信息化初级阶段ERP等套件类应用系统构建阶段IT组织相集管理比较效阶段进行总部集
权主要原IT力资源软硬件资源充共享、效利用能逐步培养自IT队伍并传承系统实施知识与经验毕竟阶段企业IT
应用程度限或IT投入相足加数企业项目负责管理主线总部直接投资并统筹协调（）公司IT项目建设减少汇报层级协调难
度能提高IT项目建设效率些企业信息化建设初期并没设立独立IT部门IT员归属总办、企管办或财务部门或由副总裁级别领导者
管其实与企业信息化于起步阶段关其定合理性往利于信息化建设更符合企业整体战略

企业信息化建设旦结束规模系统构建进入深化应用、持续改进与优化阶段情况发变化总部IT部门味包揽、
统管切IT事务发资源与需求益严重冲突、沟通协调困难等管理问题阶段（）公司定承担IT建设与运营力本往往
断提各种需求、节制销总部IT力资源造总部IT力资源规模断扩让总部堪重负外总部IT部门兼顾运行
维护忽略或实现IT战略、审计等重要职责难顾及远发展、IT趋势研究、总体协调等宏观事务我觉CIO阶段CIO主要工作解
决总部IT资源何效利用、总部与（）公司何担IT投资、何提高运行管理效率、总部与（）公司IT职责划等系列问题

近我与几位业界专家CIO深入交流些问题家析少企业情况比较认同本土化集团企业或元化企业IT组织三层
级实行联邦制+权制比较行模式模式具体言总部IT部门实行汉迪提联邦制辅助CIO专注于集团IT战略制订、并实
施监督；（）公司IT部门实行权制负责总公司IT战略具体实施并管理本企业IT；孙公司IT部门则负责IT运维（）公司
IT部门接受本企业直接领导与管理同应接受级IT部门专业指导协调管理

家酒店集团采用IT组织模式：IT运营归各酒店酒店主要配备IT运维员些定期集团总部受训；IT员属集团外派
接受总部IT部门绩效考核IT员源则按照总部规定员编制招聘要求属招聘；各酒店IT规划与全集团统部署项目实施则归集团总部
负责与管理酒店集团数据布式与其IT管控模式相匹配

述讨论谓意间印证《三演义》篇句——势久必合合久必企业管理定式IT组织应该随需应变、顺势

6. CIO如何面对企业信息安全架构与IT治理问题

在IT系统给企业带来活力、利润和竞争力的同时，也给企业增加了因此而带来的风险——日益依赖IT系统的企业面临着因IT系统故障导致的业务灾难。不难看出，如何最大限度地降低IT对业务的负面影响，IT系统如何充分为企业战略目标服务，如何获得IT价值最大化，这便是每个企业都必须要真接面对的信息安全与IT治理的问题。 一问理念：如何理解信息安全架构与IT治理的关系？ 2007年在上海举办的“IT治理与安全大会”上，微软公司大中华区信息安全总监何迪生先生表示，假如把信息安全治理比作指引组织进行安全项目的路标，那么安全架构和设计便是组织通往信息安全这个目标所用的交通工具的基本结构。它包括用于设计、实施、监控和保护操作系统、设备、网络、应用以及用以实施各种级别保密性、完整性和可用性控制的概念、原则、结构和标准。 事实上，建立完善的信息安全架构对于整个IT治理来说至关重要。没有了信息安全架构，IT治理根本无从谈起。 据Hillstone安全专家介绍，IT治理需要遵从特定的原则，并在企业统一、完善及健全的安全架构中去实现，这是一个系统工程，需要从信息安全本身直至企业内部的每个员工共同来实现。每个期望通过信息化来达到快速发展的企业都需要将应用安全架构以及IT治理作为工作重心之一。 任何事物都有它的两面性。正确、恰当地使用IT系统能为企业带来飞速的发展，但由于系统缺陷、人为误操作、系统攻击等不可预料的各种风险也同样使得企业面临着巨大的灾难。因此，企业用户更应该建立统一、完善、健全的信息安全架构来规范IT系统行为，通过建立冗余机制、灾备机制、详尽的策略遵从机制等各种风险控制机制来降低整个企业的IT系统风险。 事实上，IT系统诞生之初就决定了它不可能“坚如磐石”，系统问题在所难免，但“因噎废食”的做法和思路绝不可取，用户需要的是在问题出现的时候能够迅速获得有效的解决办法来避免中断造成的影响。 此前深信服的安全产品经理邬迪举例说，早在2005年，国务院信息化办公室携手电子政务、银行、电力、铁路、民航、证券、保险、海关、税务等行业，联合起草的《重要信息系统灾难恢复指南》就正式出台了，灾备的作法将是解决IT系统故障的一方良药，但很可惜因国内广域网的缓慢传输速度，灾备至今还未得到普遍推广和应用，如何大幅提升广域网的传输速度将是这方良药能否发挥作用的前提。 另外，数据传输的安全性也是必须考虑的问题。员工利用企业网络访问一些不良网站，同时一些员工在上班时间在论坛博客上发表一些不负责任的言论……这些行为无疑给企业带来一系列的法律风险和商业灾难。 其实解决此类问题非常简单，只需在企业网络部署一台专用的内容管理设备就可以了。此类设备通过强大的数据中心，很方便地控制审计企业内网流向外网的每一个数据，防止机密的泄露和引起法律风险，即使问题出现也可以做到有据可查。而类似的处理方式都预示着一个问题：IT系统风险随时存在，但是任何风险都可以降低，甚至是可以完全避免的。IT系统问题导致业务灾难的风险，IT监管问题导致法律灾难的风险，都可以利用IT自身的安全架构与技术设计来应对。 二问风险：如何才能平衡IT架构中的风险？ 有业内人士指出，风险控制是一门系统科学，风险降得越低需要的支出就越多。所有的企业都在寻找一个合适的平衡点来保障企业能够在可接受的风险范围内支出尽量少的钱。设备级别的冗余机制是企业用户选择最多、也是见效最快的一种降低设备故障风险的方法。 当然，不可否认，利用先进的信息系统架构确实能够帮助企业很好地完成一部分风险管理和企业治理的工作。但是Hillstone的安全专家认为，风险管理和企业治理中有很大一部分工作是针对自然人的，这就为风险管理和企业治理工作带来了很大的不确定性以及不统一性。 无疑，这就要求IT经理在进行信息系统架构设计与治理的同时，必须了解到安全架构设计应该和企业的安全策略相吻合，否则就不能实现企业的安全目标。换句话说，只有在充分考虑人的因素的前提下，用IT治理IT才能发挥出更大的积极作用。 因此一些用户反映，在进行一个信息系统的设计时，需要对目标系统的众多需求进行平衡，这些需求包括功能、灵活性、性能、易用性、成本、业务需求和安全。需要强调的是，安全应该在系统设计中的开始阶段就作为一个要害因素进行考虑。 此前新华人寿的IT经理杜大军表示说，如果在信息架构的开发过程中使用了超过业务需求的安全性能，就会导致用户体验的恶化，但降低安全性能也会导致系统的部署和运行维护成本大增。 不难看出，想要平衡IT架构中的安全风险，就必须在IT系统设计的过程中平衡多种需求，这些需求可能是来自业务部门，或者来自企业的方方面面。安全架构的设计者通常需要根据组成构架的每个元素的重要性来确定如何进行取舍和开发。 在设计阶段考虑安全性并不会增加太多的工作量，恰恰相反，这种安全思路贯穿始终的做法可以平滑地嵌入到架构设计的各个阶段，这样就可以保证安全性随着架构设计逐渐的完成而完成。 基于此，不少安全专家认为安全架构从概念上说，就是从安全角度审阅整个系统架构，它主要提供系统架构所需要的安全服务、机制、技术和功能，不仅可以平衡架构设计与应用中的安全风险，而且可以提供如何进行安全设施部署的建议。 但无论如何，信息系统架构安全仍然是一个相对的概念，安全威胁无时无刻不在增加，只有不断地加固才能获得更加有效的安全。整个IT系统的安全涉及方方面面，任何一个地方的疏漏都会成为整个系统的致命短板。因此对用户来说，目前情况下在整体信息安全架构的基础上搭建安全防护设备能够确保企业IT安全的最大化。 三问出路：如何解决信息安全架构与IT治理实现中的技术与管理挑战？ 首先，从技术方面看，目前随着网络应用的快速发展，基于数据应用层的安全防护以及风险控制得到越来越多企业用户的关注。然而为了实现整个信息系统的安全架构，核心网关设备的应用层性能成为了各个企业实现统一安全架构的拦路虎。据Hillstone的安全专家介绍，基于应用处理的高性能安全网关是推动安全架构发展的技术因素之一，只有越来越多的高速设备出炉，才能从技术上确保网关层面的安全。 前面说了，高度集中的应用层安全网关还只是技术环境中的一方面。据何迪生透露，企业如果希望获得完整的信息系统架构安全并在此基础上获得IT治理的效益，那么部署一套全方位的安全系统方案是不可避免的。 比如，对现代企业来说，确保其信息基础架构的安全性已经成为主要任务。在这个过程中，信息与各种协作工具对大多数企业的日常运营来说都至关重要。不幸的是，这些工具常常成为攻击者的目标。因此，企业的CIO必须确保信息和协作基础架构不受外部威胁的干扰，避免企业的工作效率受到影响，从而导致内部问题或者泄露机密信息。 面对种类繁多且不断变化的安全威胁，信息和协作基础架构应具备多层保护机制，在攻击影响到企业网络之前就要解决问题。对此，他的看法是，多个保护层能够减少因单一威胁而导致的网络瘫痪问题。目前的焦点在于，所有的安全厂商都有各自独特的需求，他们提供不同的安全产品和服务。因此，如果要实现全架构的安全防护，安全技术本身也要具有适应性。 以微软的技术方案为例：Microsoft Exchange Hosted Services可在垃圾邮件和病毒渗透到网络之前就进行过滤；Microsoft Forefront内部部署软件可以保护关键应用服务器免受内部威胁侵害，并能执行内容规则；Microsoft Internet and Security Acceleration（ISA）Server 2006可实现协议层和应用层的检查，以确保安全地实现Exchange Server、Live Communication Server和SharePoint Portal Server的远程访问；而Microsoft Windows Rights Management Services（RMS）与Microsoft Office Outlook 2003客户端应用配合工作，可以确保敏感的电子邮件和文档不致泄漏出公司之外。 其实，类似的技术方案有很多，无怪乎都是从多层次、大纵深为出发点。换句话说，一个有效的技术方案，除了为企业整个基础架构提供防御之外，还必须采用纵深防御策略，通过多种技术来发现并防御安全威胁。事实上，依靠多种技术低于攻击或误操作，有助于消除整体安全架构中的单个故障点。 文章作者：赵晓涛

7. 管理信息系统是企业变革的原因吗

接口是采用中立的方式进行定义的，它应该独立于实现服务的硬件平台、操作系统和编程语言。这使得构建在各种这样的系统中的服务可以以一种统一和通用的方式进行交互。
从SOA的概念中，不难发现三点：第一，SOA不是一个可以拿来就使用的技术，而是一种架构和组织IT基础结构及业务功能的方法；第二，基于SOA架构的软件系统相对于传统架构更加柔性，更加能够适合企业依据业务情况对软件系统进行快速调整和重新部署；第三，SOA的出现可以使得企业在解决多系统集成方面获得新的思路和方案。
另外，从这个定义中还可以发现一点就是，对于企业级的应用来说，SOA可以为企业对于业务应用和管理带来一个新的理念：服务组件化管理。这与软件组件化概念一致。一个相对独立，完整的服务可以方便的被以各种方式组合成为一个大型的服务。
首先，ERP在目前企业中应用可以说并不成熟，多数企业还处于信息孤岛状态，没有掌握ERP的核心理念。特别是当企业处于成长期时，企业组织架构、业务流程与职责权限于是，经常会发生由于企业组织架构的调整导致信息系统无法为企业提供足够的支撑，而大多数企业在这个时候，都会期望能够找到一个快捷的方法解决这样的问题。事实上，很多企业在企业发生变革之后，对于信息系统的调整都处于随心而动的状态，也就是说不假思索的要求信息系统在很短的时间内完成调整和重新部署。我们知道当企业变革时，最先反映的是组织架构的调整。其实，组织架构的调整，对企业的影响通常只存在一个方面，那就是部门职责的变动，而部门职责的变动更多的是表现在权限的变动，权限的调整相信对任何软件系统都是一个非常简单的事情。另外，权限变动还会带来报表的问题，目前中国企业特别是国有企业的报表有一个非常显着的特点就是无定性，报表格式无定性，报表数据无定性，可以说是年年变，月月变，日日变，与其花更多的钱去选一个所谓的先进架构的软件，还不如去买一个灵活一点的报表工具更实际。
如果说，企业变革导致业务流程发生变化，那么相信即使你应用了SOA架构也不能很方便快捷的对系统进行调整。业务流程变化可以简单的归为两类，一类是流程增加，也就是流程变长，这种情况下，可能会导致软件功能的增加，也可能会涉及客户化开发，系统的调整就会变得复杂。而另外一种情况，流程缩短。流程的缩短通常会表现为流程环节的减少，对于这种情况，只要是基于组件技术的系统都能够简单应对，那么SOA架构的软件属于奢侈品。
其次，我们有必要来一起分析一下，企业IT应用服务都包括哪些方面。一般情况下，企业IT应用服务会更多的表现在两个方面，一是IT系统本身的应用，包括IT系统选型，IT系统实施以及IT系统的维护，另一方面企业内部的IT管理，例如IT治理方面。很显然SOA在IT管理方面起到的作用微乎其微，更多的是为企业IT管理提供一个新的思路。
另一方面，SOA又确实能够发挥作用。例如，很多企业都提出了设计软件与ERP系统进行集成。但是又没有多少企业能够真正实现这样的集成，但是在应用SOA架构之后，在一定程度上就会显得更好解决一点。因为基于SOA架构的系统就如同大家都处于一个平台，执行同样的开发标准，两个系统之间的接口相对标准化。说的简单点，SOA就好象一个拥有标准接口的电脑主板，企业的各个应用系统就如同内存、CPU等等，集成的过程，就如同往这个主板上插上各种插件，以此实现了数据全面集成，当然这里还要考虑的是集成的成本与集成后的效率。
第三，SOA并不是新生事物，事实上大型IT组织成功构建和部署SOA应用已有多年的历史，而这个历史要比现有的XML和Web服务要长很多，IBM CICS和BEA TUXEDO就是过去被用于构建SOA应用的两种技术范例。同时，SOA也并不是一种现成的技术，而是一种架构和组织IT基础结构及业务功能的方法。无论是IBM还是BEA，特别是BEA是以中间件见长，而通过中间件将各系统进行集成无疑是一个相对有效的方法。所以，SOA更多的将会被中间件厂商所采用，而对于大型管理信息系统公司来讲，更多的是应用SOA理念和原则，设计更为开放和标准的接口，以使得自己的信息系统更好适应未来集成的需要。
第四，SOA应用实际上还要求企业自身具备良好的流程管理体系。要进行流程管理，首先必须要求企业的业务流程是成体系的；第二，要求企业的流程是清晰可快速识别的；第三，企业流程必须要完整的资料记录，包括流程描述，流程图以及流程变更记录。同时，要想在流程变更时能够快速对系统进行修改，还要求企业的业务流程能够同系统流程相互关联，能够实现良好的互动。

8. ITIL V3的企业架构

专家们建议将企业架构流程和更宽泛的IT流程，比如项目组合管理和SOA组合管理，集成在一起。如果你所在的组织机构已经采用了ITIV版本3用于服务管理——这很有可能，因为按照Forrester的说法，ITIL（信息技术基础设施库）是业内领先的一个最佳实践框架——那么，现在是你参加你所在组织的服组合务管理的好时机。
很有可能，即使你已经积极参与过EA和其他IT流程的集成过程，你未必参与过你所在组织的ITIL部署过程。 在2010年九月的一项调查中，Forrester发现，超过百分之五十的企业架构师在ITIL实施过程中作用甚微， 甚或根本就没有参与。
根据Forrester的观点，这是由多个原因造成的。尽管ITIL版本3首次明确定义了企业架构师的作用，但这也仅限于设计领域。而在ITIL的五大流程领域中，相比其他领域而言，设计和策略领域是较少实施的。而且，Forrester还发现，在ITIL实施的驱动力中，通常情况下并不包括企业架构。
那么，为什么要将EA流程同ITIL v3整合起来呢？EA治理常常被认为是“辛苦费力且延迟的项目”，Forrester首席分析师Herry Peyret说道。如果EA能够被包含在现有的IT治理步骤中，那么就会节省很多时间和精力。“这不光对于PPM和APM治理流程来说是千真万确的，对于ITIL也同样适用”，Peyret说道。
现在是将ITIL应用到EA的好时机了，因为，根据Peyret的观点，“ITIL v3是更加面向业务。EA同样也正变得更加面向业务，因此现在正是将这两者联接起来的好时机”。

9. 银行使用项目管理软件有什么好处

银行IT主要以Excel表格来记录项目计划、资源分配及工作进度，以另一个CR系统来记录需求及管理变更。

当以上4个结构都处于比较简单而且变化速度不快的时侯，依赖Excel来帮助人的记忆去协调是可以的。但当以上4个结构有逾千的节点 (远超过一般人的脑袋的记忆力)，且不断快速地增长及变化的时候，依赖人看着过时的Excel表格数据来作协调会是很低效，不能看清楚以上4个结构的节点的相互关系及依赖，即使在Excel表上看到部份以上4个结构的现状资料，也不知道这些资料是过时与否，这样会使很多事情陷入狭缝中，无法有效率地支撑到业务。事实上，现在银行业务的变化是越来越频繁，与之相应的IT需求、系统、变更、项目也越来越多，而且这些管理结构单元之间存在深刻的逻辑关联，牵一发而动全身，使得IT变得越来越复杂。这些结构性的问题，依靠非程序化处理方式比如“多招聘一些人”或“推迟一些项目”是无法从根本上解决的。

我们现在看到的一些现象：比如中高层经理人员不得不花费更多时间处理常规性问题；组织人际关系网络愈来愈复杂，协调愈来愈繁复艰辛等，根源是因为我们的结构性的问题日渐增大。

结构性问题的非程序化处理会影响我们长远的发展，但是现在银行业面临的竞争更激烈、环境变化更快，这些问题严重制约我们适应变化的能力。如果银行业务步法加速， IT挑战加剧, 而我们不能在这些结构性问题失控之前解决它们，风险会是相当高。总体上，我们面临的情况是结构性问题与非结构性问题都存在，但结构性问题影响更深远、解决难度更大，需要一套对结构性问题和非结构性问题都有解决能力的项目管理软件。

为什么说项目管理软件可以满足银行的需求？

第一、能够清晰的认识到结构性问题和非结构性问题的区别，提供不同的解决策略。

第二、真正地实现了结构性问题的解决方案：运用组织框架、企业规则、审批流程、质量模板等手段，使企业的政策、规则和步骤程序保持一致，如果出现冲突，系统会自动干预。应用项目管理、产品管理、变更管理、文档管理的综合联动能力，将需求、系统、项目、变更、资源等管理对象都纳入整体的管理框架，并形成有机的基础结构。业务处理过程中，必须遵守规则的约定，如果出现冒犯规则的操作，系统会自动拦截。企业可以下达各项绩效指标，对于达标的业务/人员，系统会自动给出奖励数据，反过来会自动给出惩罚信息。让银行管理真正落实到各个层面和各个业务单元，从基础的操作层面上来务实整个管理结构，从框架的搭建角度来稳固整个组织的管理。

第三、能满足不同灵活程度的管理模式。可自行定义的规则和控制体系，可以根据企业、业务对象、资源级别等来调整和组合。 企业可以将规则制定得很严格也可以很宽松，业务之间可以建立关系也可以各自独立，非结构化的问题和半结构化的问题，都能适应。银行面临的一些非结构化问题，也能在这个平台上得到解决。

第四、通过结构性问题的程序化处理和非结构性问题的灵活处理，为组织达到可控性与灵活性的平衡提供强有力的基础，有效提高组织适应变化的能力和长期发展的生命力。

信息来源：http://www.8manage.cn/company/20170207175644361.html

10. 如何面对企业管理中的信息安全

在IT系统给企业带来活力、利润和竞争力的同时，也给企业增加了因此而带来的风险——日益依赖IT系统的企业面临着因IT系统故障导致的业务灾难。不难看出，如何最大限度地降低IT对业务的负面影响，IT系统如何充分为企业战略目标服务，如何获得IT价值最大化，这便是每个企业都必须要真接面对的信息安全与IT治理的问题。 一问理念：如何理解信息安全架构与IT治理的关系？ 2007年在上海举办的“IT治理与安全大会”上，微软公司大中华区信息安全总监何迪生先生表示，假如把信息安全治理比作指引组织进行安全项目的路标，那么安全架构和设计便是组织通往信息安全这个目标所用的交通工具的基本结构。它包括用于设计、实施、监控和保护操作系统、设备、网络、应用以及用以实施各种级别保密性、完整性和可用性控制的概念、原则、结构和标准。 事实上，建立完善的信息安全架构对于整个IT治理来说至关重要。没有了信息安全架构，IT治理根本无从谈起。 据Hillstone安全专家介绍，IT治理需要遵从特定的原则，并在企业统一、完善及健全的安全架构中去实现，这是一个系统工程，需要从信息安全本身直至企业内部的每个员工共同来实现。每个期望通过信息化来达到快速发展的企业都需要将应用安全架构以及IT治理作为工作重心之一。 任何事物都有它的两面性。正确、恰当地使用IT系统能为企业带来飞速的发展，但由于系统缺陷、人为误操作、系统攻击等不可预料的各种风险也同样使得企业面临着巨大的灾难。因此，企业用户更应该建立统一、完善、健全的信息安全架构来规范IT系统行为，通过建立冗余机制、灾备机制、详尽的策略遵从机制等各种风险控制机制来降低整个企业的IT系统风险。 事实上，IT系统诞生之初就决定了它不可能“坚如磐石”，系统问题在所难免，但“因噎废食”的做法和思路绝不可取，用户需要的是在问题出现的时候能够迅速获得有效的解决办法来避免中断造成的影响。 此前深信服的安全产品经理邬迪举例说，早在2005年，国务院信息化办公室携手电子政务、银行、电力、铁路、民航、证券、保险、海关、税务等行业，联合起草的《重要信息系统灾难恢复指南》就正式出台了，灾备的作法将是解决IT系统故障的一方良药，但很可惜因国内广域网的缓慢传输速度，灾备至今还未得到普遍推广和应用，如何大幅提升广域网的传输速度将是这方良药能否发挥作用的前提。 另外，数据传输的安全性也是必须考虑的问题。员工利用企业网络访问一些不良网站，同时一些员工在上班时间在论坛博客上发表一些不负责任的言论……这些行为无疑给企业带来一系列的法律风险和商业灾难。 其实解决此类问题非常简单，只需在企业网络部署一台专用的内容管理设备就可以了。此类设备通过强大的数据中心，很方便地控制审计企业内网流向外网的每一个数据，防止机密的泄露和引起法律风险，即使问题出现也可以做到有据可查。而类似的处理方式都预示着一个问题：IT系统风险随时存在，但是任何风险都可以降低，甚至是可以完全避免的。IT系统问题导致业务灾难的风险，IT监管问题导致法律灾难的风险，都可以利用IT自身的安全架构与技术设计来应对。 二问风险：如何才能平衡IT架构中的风险？ 有业内人士指出，风险控制是一门系统科学，风险降得越低需要的支出就越多。所有的企业都在寻找一个合适的平衡点来保障企业能够在可接受的风险范围内支出尽量少的钱。设备级别的冗余机制是企业用户选择最多、也是见效最快的一种降低设备故障风险的方法。 当然，不可否认，利用先进的信息系统架构确实能够帮助企业很好地完成一部分风险管理和企业治理的工作。但是Hillstone的安全专家认为，风险管理和企业治理中有很大一部分工作是针对自然人的，这就为风险管理和企业治理工作带来了很大的不确定性以及不统一性。 无疑，这就要求IT经理在进行信息系统架构设计与治理的同时，必须了解到安全架构设计应该和企业的安全策略相吻合，否则就不能实现企业的安全目标。换句话说，只有在充分考虑人的因素的前提下，用IT治理IT才能发挥出更大的积极作用。 因此一些用户反映，在进行一个信息系统的设计时，需要对目标系统的众多需求进行平衡，这些需求包括功能、灵活性、性能、易用性、成本、业务需求和安全。需要强调的是，安全应该在系统设计中的开始阶段就作为一个要害因素进行考虑。 此前新华人寿的IT经理杜大军表示说，如果在信息架构的开发过程中使用了超过业务需求的安全性能，就会导致用户体验的恶化，但降低安全性能也会导致系统的部署和运行维护成本大增。 不难看出，想要平衡IT架构中的安全风险，就必须在IT系统设计的过程中平衡多种需求，这些需求可能是来自业务部门，或者来自企业的方方面面。安全架构的设计者通常需要根据组成构架的每个元素的重要性来确定如何进行取舍和开发。 在设计阶段考虑安全性并不会增加太多的工作量，恰恰相反，这种安全思路贯穿始终的做法可以平滑地嵌入到架构设计的各个阶段，这样就可以保证安全性随着架构设计逐渐的完成而完成。 基于此，不少安全专家认为安全架构从概念上说，就是从安全角度审阅整个系统架构，它主要提供系统架构所需要的安全服务、机制、技术和功能，不仅可以平衡架构设计与应用中的安全风险，而且可以提供如何进行安全设施部署的建议。 但无论如何，信息系统架构安全仍然是一个相对的概念，安全威胁无时无刻不在增加，只有不断地加固才能获得更加有效的安全。整个IT系统的安全涉及方方面面，任何一个地方的疏漏都会成为整个系统的致命短板。因此对用户来说，目前情况下在整体信息安全架构的基础上搭建安全防护设备能够确保企业IT安全的最大化。 三问出路：如何解决信息安全架构与IT治理实现中的技术与管理挑战？ 首先，从技术方面看，目前随着网络应用的快速发展，基于数据应用层的安全防护以及风险控制得到越来越多企业用户的关注。然而为了实现整个信息系统的安全架构，核心网关设备的应用层性能成为了各个企业实现统一安全架构的拦路虎。据Hillstone的安全专家介绍，基于应用处理的高性能安全网关是推动安全架构发展的技术因素之一，只有越来越多的高速设备出炉，才能从技术上确保网关层面的安全。 前面说了，高度集中的应用层安全网关还只是技术环境中的一方面。据何迪生透露，企业如果希望获得完整的信息系统架构安全并在此基础上获得IT治理的效益，那么部署一套全方位的安全系统方案是不可避免的。 比如，对现代企业来说，确保其信息基础架构的安全性已经成为主要任务。在这个过程中，信息与各种协作工具对大多数企业的日常运营来说都至关重要。不幸的是，这些工具常常成为攻击者的目标。因此，企业的CIO必须确保信息和协作基础架构不受外部威胁的干扰，避免企业的工作效率受到影响，从而导致内部问题或者泄露机密信息。 面对种类繁多且不断变化的安全威胁，信息和协作基础架构应具备多层保护机制，在攻击影响到企业网络之前就要解决问题。对此，他的看法是，多个保护层能够减少因单一威胁而导致的网络瘫痪问题。目前的焦点在于，所有的安全厂商都有各自独特的需求，他们提供不同的安全产品和服务。因此，如果要实现全架构的安全防护，安全技术本身也要具有适应性。 以微软的技术方案为例：Microsoft Exchange Hosted Services可在垃圾邮件和病毒渗透到网络之前就进行过滤；Microsoft Forefront内部部署软件可以保护关键应用服务器免受内部威胁侵害，并能执行内容规则；Microsoft Internet and Security Acceleration（ISA）Server 2006可实现协议层和应用层的检查，以确保安全地实现Exchange Server、Live Communication Server和SharePoint Portal Server的远程访问；而Microsoft Windows Rights Management Services（RMS）与Microsoft Office Outlook 2003客户端应用配合工作，可以确保敏感的电子邮件和文档不致泄漏出公司之外。 其实，类似的技术方案有很多，无怪乎都是从多层次、大纵深为出发点。换句话说，一个有效的技术方案，除了为企业整个基础架构提供防御之外，还必须采用纵深防御策略，通过多种技术来发现并防御安全威胁。事实上，依靠多种技术低于攻击或误操作，有助于消除整体安全架构中的单个故障点。