看到一篇不错的文章,读后对IT治理颇有感受,文章原地址: 善治的IT治理架构是确保IT资源与公司战略目标保持一致的基础,同样也能确保IT服务满足组织对优质、可信和安全的信息需要。采用标准的IT治理(IT Governance)架构可以给企业带来诸多收益。如美国堪萨斯州把COBIT标准作为虚拟政府策略的一部分,结果降低了运营成本,并为它的客户和委托人提供了很高质量的服务。Proctor&Gamble在采用ITIL标准的四年里,节省超过5亿美金的预算。同时Procter&Gamble内部财务和IT部门的调查显示,其运作费用降低6%~8%,而技术人员的人数减少15%~20%。ISO/IEC17799是成为国际标准最快的一个标准,ISO/IEC17799的前身BS7799是卖出拷贝最多的管理标准,目前已有二十多个国家引用BS7799-2作为国标,各大信息安全公司也都以BS7799为指导向客户提供信息安全咨询服务。近年来Prince2在Prince的基础上迅速席卷包括IT项目在内的项目管理,PRINCE 2 已风行欧洲与北美等国。Sun、Oracle等将PRINCE2作为实施项目的标准管理方法;香港特别行政区政府资讯科技署将PRINCE作为政府项目管理的标准指南。
· IT战略目标必须与企业战略目标保持一致,IT对于来说组织非常关键,也是战略规划的重要组成部分,甚至直接影响到战略竞争机遇。
· IT治理包含治理委员会、治理结构、治理流程和企业文化等。 · IT治理使风险透明化,从而保护利益相关者的权益。 · IT治理可用来指导和控制IT投资、机遇、收益及风险。 · IT治理通过引导IT战略,并建立标准的信息基础架构,来实现业务增长。 · IT治理对核心IT资源做出合理的制度安排,这将成为进入新的市场、进行有效竞争、实现总收入增长、改善客户满意度及维系客户关系的制度保障。 ·COBIT——信息及相关技术的控制目标(Control Objectives for Information and related Technology,COBIT) ,是IT治理的一个开放性标准,由美国IT治理研究院(IT Governance Institute)开发与推广,现已更新为第三版。IT业务流程是COBIT关注的焦点,对每一个IT业务流程,COBIT提出了一系列的控制目标、相应的实现这些控制目标的控制程序,评价这些控制程序是否存在,并被有效执行的一系列审计程序。该标准为IT的治理、安全与控制提供了一个普遍适用的公认标准,以辅助管理层进行IT治理。目前已在世界一百多个 ①管理指导方针(Management Guidelines)其中:成熟度模型(Maturity Models)是用来决定每一个控制阶段和期望水准是否符合标准规范。关键成功要素(Critical Success Factors)是用来辨认在信息化过程中实现有效控制所必需的最重要的活动。关键目标指标(Key Goal Indicators)是用来定义关键目标的绩效衡量标准。关键绩效指标(Key performance Indicators)用来测量IT控制程序是否能达到目标。以上管理方针都是为了确保企业能成功和有效地整合业务流程与信息系统。
②执行概要(Executive Summary)提供了让管理层了解COBIT关键概念和原则的综合性简介,还概述了COBIT四大领域的体系架构。 ③架构(Framework)详细描述了的34个控制目标,并指出了企业对信息标准的要求和在IT资源上的需求是如何融入控制目标中的。 ④审计指导方针(Audit Guidelines)提供了关于34个控制目标的审计步骤,以协助信息系统审计师检验IT程序是否符合控制目标,并提供管理上的保证和改进的建议。 ⑤控制目标(Control Objectives)为IT控制提供了一个用来明晰策略和实施指导的关键方针,包括控制目标的详细说明。 ⑥应用工具集(Implementation Tool Set)包括管理意识(Management Awareness),IT控制诊断(IT Control Diagnostics),应用指导(Implementation Guide),常见问题及(FAQs)等。这些新工具主要是设计让COBIT的应用更容易,让组织能快速且成功地从教材中掌握如何在工作中应用COBIT。 ·ITIL—— IT基础架构库(Information Technology Infrastructure Library, ITIL)由英国政府部门CCTA(Central Computing and Telecommunications Agency)在20世纪80年代末制订,现由英国商务部OGC(Office of Government Commerce)负责管理,主要适用于IT服务管理(ITSM)。20世纪90年代后期,ITIL的思想和方法,被美国、澳大利亚、南非等国家广泛引用,并进一步发展。2001年英国标准协会(British Standard Institute,BSI)在国际IT服务管理论坛(itSMF)年会上,正式发布了基于ITIL的英国国家标准BS15000。2002年,BS15000为国际标准化组织(ISO)所接受,作为IT服务管理的国际标准的重要组成部分。目前,ITSM领域正成为全球IT厂商、政府、企业和业界专家广泛参与的新兴领域,对未来的IT走向和企业信息化,将会产生深远的影响。其内容描述的是IT部门应该包含的各个工作流程以及各个工作流程之间的相互关系。ITIL的核心内容包括服务支持和服务交付,共11个流程。如表2。其架构模型如图2所示。
1995年,英国贸工部根据英国国内企业对信息安全日益高涨的呼声,组织大企业的信息安全经理们制定了世界上首部信息安全管理体系标准BS7799-1:1995《信息安全管理实施规则》,作为企业和政府组织实施信息安全管理的指南。1998年,英国又制定了{dy}部《信息安全管理体系认证标准》BS7799-2:1998《信息安全管理体系规范》,作为对一个组织的全面或和部分信息安全管理体系进行评审认证的依据标准。此后英国又进行了多次修订并提交给ISO。2000年12月,ISO/IEC正式采纳BS7799-1:1999做为国际标准ISO/IEC17799:2000。
需要强调指出的是,ISO/IEC 17799不是一篇技术性的信息安全操作手册,作为一个通用的信息安全管理指南,其目的并不是说明有关“怎么做”的细节,它所阐述的主题是安全策略和优秀的、具有普遍意义的安全操作。该标准特别声明,它是“制定一个机构自己的标准的出发点”,并不是说它所包含的所有方针和策略都是放之四海而皆准的。作为对各类信息安全问题的高级别概述,ISO/IEC 17799有助于人们在高级管理中理解每一类信息安全主题的基础性问题。它广泛涵盖了几乎所有的安全议题,主要告诉管理者关于安全管理的注意事项和安全制度,这些规定一般单位都可执行。因此,需要建立信息安全管理体系的单位可以此为参照,建立自己在这方面的体系,并在别人经验的基础上根据自身情况进行设计、取舍,以达到对信息进行良好管理的目的。
早在20世纪70年代,英国政府就要求所有政府的信息系统项目必须采用统一的标准进行管理。1979年CCTA采纳Simpact Systems公司开发的PROMPT项目管理方法作为政府信息系统项目的项目管理方法。在PROMPT项目管理方法的基础上,20世纪80年代年英国政府计算机和电信中心(CCTA)(后来并入英国政府商务部(OGC))出资研究开发PRINCE,1989年PRINCE正式替代PROMPT成为英国政府IT项目的管理标准。
1993年,OGC又将注意力转移到PRINCE新改版PRINCE2的开发。通过整合现有用户的需求,同时提升该方法成为面向所有类型的项目的、通用的、{zj0}实践的项目管理方法。在OGC的组织下,大量项目管理的专家和学者组成设计和开发团队,超过150家公共和私人组织参加评审委员会,并为开发工作提供有价值的反馈意见。开发工作于1996年3月正式结束。 PRINCE2为管理项目提供了最本质的原理,它集中于项目管理的战略层次,同时它是一种通用的架构。它用8个过程(其中6个过程为项目管理的流程,指导项目(DP)与计划(PL)在项目整个生命周期中支持其他6个流程)指明项目管理应该做什么,但是没有描述如何做?至于如何做?企业应求助于咨询公司或其他公司的案例,然后结合自身的情况。对于每个过程,PRINCE没有提供具体实现技术和工具,用户可根据实际需要,使用有益的任何工具,如甘特图,关键路径法、项目管理软件等。PRINCE2提供的8个过程也仅仅作为参考过程,企业在具体实施时,必须依据项目的规模和需要对这些过程进行剪裁。
|