美国大学信息技术发展十大热点问题(2008-03-1220:16:53)[摘要]本文来源于EDUCAUSECurrentIssues的第8届年度调研报告“TopTenITIssues2007”。原文通过对美国多所大学CIO的调研,提出了2007年影响美国大学信息技术发展的十大热点问题,主要表现为技术问题(安全、信息管理、身份认证和准入管理、学习管理系统、灾难恢复)、保障问题(经费、基础设施、教师发展和培训)、管理问题(战略规划、管理与领导),同时文章对各问题所蕴含的主要内容进行了阐释,进而提出了与该问题相关的一系列的问题,从另一角度讲,提供了解决每个问题的思路。鉴于该调研报告的代表性、专业性、地域权威性,以及对我国高校信息技术发展的启示性与借鉴性,本文就其主要内容进行了翻译,以期有助于解决目前我国高校信息技术发展面临的主要问题,并对将来有可能面临的问题有所预警。[关键词]美国大学信息技术发展热点问题最近,美国最大的大学信息技术发展协会———EDUCAUSE公布了2007年影响美国大学战略成功的信息技术发展的十大热点问题,并发布了题为“TopTenITIssues2007”的报告。EDUCAUSECurrentIssues委员会的成员在历年提出的一系列的IT热点问题的基础上进行了更新,于2006年12月通过网络就今天高等教育的技术领导者们所关心的主要问题进行了调研。此次是EDUCAUSECurrentIssues的第8届年度调研,被调研者主要是在各大学中担任CIO的EDUCAUSE的成员。原英文文献中所涉及到的很多问题也是我国高校在信息技术发展过程中已经遇到或将要遇到的问题,本文就其主要内容进行了编译,以期对我国高校信息化发展有所借鉴和预警,希望借此文与本领域工作者共同探讨。美国大学信息技术发展十大热点问题如下:1.信息技术发展经费;2.安全;3.管理/资源管理/信息系统;4.身份认证和准入管理;5.灾难恢复与业务持续;6.教师发展、支持与培训;7.基础设施;8.战略规划;9.课程/学习管理系统;10.IT的管理、组织与领导。热点一:信息技术发展的经费问题2007年,IT发展的经费问题成为十大热点问题之首。这一问题是自2000年研实施调后,第五次出现在十大热点问题排行榜之首。事实上,IT发展的经费问题在以往8年的年度调研中始终占据首位,或是第二位的热点问题。面对学校层面的财政压力,IT服务与维护的费用还在逐步上升,这些因素使得在进行IT预算时灵活性很小。除了学校层面的压力之外,高等教育委员会承担的责任和义务以及对生产率的追求也带来了更多的外部压力。内部压力与外部压力将IT领导者置于左右为难的境地:当前技术已经成为促进学校发展的必要因素,但为实现学校目标而进行的改革创新与削减开支之间存在矛盾。同时,Spellings委员会①对高等教育的责任感、效率、生产力以及开支透明度的要求在任何时候都不会降低。学校董事会成员以及其他资助者也希望通过义务的承担和价值的实现来争取更多的经费支持。IT发展经费的增加更多地取决于CIO与学校领导层密切合作的能力———向领导层传达信息技术所能够带来的价值,并向领导层作出承诺。与合作、沟通、作出承诺同等重要的是IT预算和经费的基本数据以及能够证明信息技术价值的以学生为中心的衡量标准。除上述这些方法外,还要提出具有适应性的计划模型,这些都是成功获得经费的必要条件。这里的适应性计划模型能够确保IT目标调整,使其对不断变化的需求作出快速反应、提出促进学校发展目标的建议和计划、证明IT所能产生的价值以及通过资助者能够真正理解的方式来沟通,这些方法都有助于获得IT发展所需要的经费。IT发展经费涉及的主要问题包括以下几点:·学校是否能够明确与当前IT支出更匹配的收入来源。·什么样的外部合作的机会能够降低成本、削减开支甚至成为新的收入来源。·IT预算中有多大的比例具有灵活性,多大比例是固定支出。·学校是否有到位的机动预算来应对特殊的IT服务支出,是否能作出为了更重要的服务而中止某些不必要的服务的决定。·学校执行什么样的决策程序来确定总的IT预算中用在创新方面的比例。·哪些以学生为中心的衡量标准可以向学校更好地传达IT产生的价值。·学校会采取什么样的措施来实施或者增强IT管理进程,从而保证IT的优势与学校的目标是密切相关的。·学校能够采取哪些措施来推进教育经费标准和以学生为中心的衡量标准的制定。热点二:安全IT安全问题是最受各大学和学院关注的主要问题之一。重要的数据和服务都是可以通过电子的方式得到的,数据被破坏的可能性显著增加,涉及安全问题的州和联邦的法律日益增多。在一个开放和多样化的文化氛围中工作的每一名高校成员,保护信息源安全性的防范心理都要增强。安全问题主要涉及到以下几点:·除法律要求的领域外,针对学校所有的IT资源,而不仅仅是一些重要资源,学校是否有保密和安全政策,这些政策是否被始终如一地执行,是否被定期检查,其有效性是否被检测,是否被如实执行,这些程序是否反映了政策的目标。·学校是否有一个包含检测、报告、预警、决策权限逐步升级、遏制、修复及恢复服务在内的正式的、文本的突发事件响应计划;当机密数据有可能遭遇潜在破坏时,该计划是否包含通知程序;员工是否接受过计算机安全防御方面的训练。·高级管理员是否认识到了他作为信息主管的角色;针对信息分类、处理、保存、发布,是否制定了明确的、稳定的政策和程序;为保护重要、机密的资源是否采取了一定的安全控制。·学校是否采用了商用IT安全项目来应对不断变化的IT威胁和日益增加的涉及到州与联邦法律的安全事件;对于不断改变的调整中的蓝图,学校如何保持发展趋向;学校如何合法甚至有技巧地与CALEA相处。·有关IT安全的问题是否享有经费优先权,在促进或支持大学范围内的更好的安全措施方面是否有必要的资金。·为保持机密与安全之间的平衡,学校是否设有首席保密官(ChiefPrivacyOfficer)或者首席信息安全官(ChiefInformationSecurityOfficer)为保证学校信息资源的机密性和安全性,是否有足够的资源来进行风险评估。·学校是否已经计划或完成了全面的风险评估,从而鉴别出易受攻击的领域,并找到降低潜在风险的方法,包括因移动设施丢失或被窃引发的风险;在购买或配置新的系统或技术前,学校是否会例行公事地考虑到机密和安全问题。·学校是否提供机密与安全意识的培训课程,如果提供,课程中是否包含了适用于学校的保护系统、数据和认证身份的防范措施意识;学校是否会定期与资助人交流有关政策和进程的信息。学校是否建有适当的、用以提高安全性的基础设施是否安装了统一的威胁管理系统,如防火墙、虚拟专用网络、防病毒、反间谍、反垃圾邮件软件以及带宽管理、入侵防御与侦测及内容过滤系统。热点三:管理/资源管理(ERP)/信息系统直到现在,绝大多数校园仍处于早期的ERP(资源管理)执行阶段,然而,在发表过的EDUCAUSECoreDataService调查显示,绝大多数被调查对象已经开始实施或者说计划要实施ERP,在这里我们讨论的是这项进程的后期阶段。尽管ERP的经销商和生产厂家屈指可数,但是激烈的竞争仍然迫使他们去提供功能更强大的产品和更好的服务。在外部压力(如竞争)与内部压力(如资金)的双重压力下,学校的领导不得不去评估更换经销商或者开放源代码解决方案所带来的机遇与风险。针对基于价值的商业模式及多变的学生状况统计,经销商对高等教育中一些主要的转变作出了更加积极的反应,这包括以价值为基础的商业模型和多变的学生人口统计。即便一个完善的开放源代码的ERP已经完成,其推行仍不可预测。对ERP经销商或者是解决方案成功的评价,不应该只考虑到解决方案的功能。经销商的设想与学校任务的一致性以及保证ERP系统适应和执行的制度都是需要考虑的重要因素。显然,ERP的执行并不只是与技术有关,职责和权力也不应该只是由CIO来承担。即使学校的股东存在不同意见,CIO也必须通过运用其丰富的领导经验、灵活的人际交往、压力管理、组织和项目监督以及其他很多能力来保证ERP的顺利实施。现在已经有很多人在这样做并且在讨论这样的问题。管理/资源管理(ERP)/信息系统所涉及到的主要问题如下:学校是否能够及时、便捷地获取信息,特别是战略计划和决策制定方面的信息流程再造是否提高了可操作性和效率系统是否改善了面向学生、教师、员工和管理者的服务。在应对高等教育的挑战中,经销商是否仍旧是引导者经销商的设想与学校发展的战略目标是否相关。ERP的功能中有多大比例在实际中被运用。如果没有定制,学校是否能够或者已经将其他的重要系统/包与ERP整合。学校是否有足够的资源来改善系统并维持用户在新环境下的使用,要完全拥有这样一个系统需要花费多少。·假如最后的执行并没有成功,那么继续下去的风险有多大,需要的经费有多少,学校是否有更换其他系统的资源;如果有,学校是否会采用这样的计划。热点四:身份认证和准入管理身份信息管理和个人对信息、服务的准入之间的关系现在已经扩展到学术的、管理的和社会的方方面面。身份认证/准入管理(I/AM)确保特定的人得到特定的服务。过去,I/AM是逐个系统来实施的,重复的身份认证数据分布在学校的各部门。现在所面临的挑战是平衡身份认证、验证、授权与预防性措施之间的关系,这不仅涉及到学校中心IT组织所管理的系统,同时也涉及到需要与不同的资助者保持联系的学校各部门。统一和保护识别信息,并把这些数据用于IT或其他部门提供的服务,通过上述方式可以管理个人在学校角色中的生命周期,这是学校的主要责任。为更好地履行这些职责,包括EDUCAUSE在内的一些组织提供了有价值的不断更新的I/AM以及相关中间资源。I/AM的另一个重要的方面是评估州和联邦在身份鉴别信息的实践及政策上的影响。身份认证和准入管理涉及到的主要问题如下:·学校是否就I/AM解决方案的选择、配置及管理对员工进行了培训。·在一个组织内部,学校如何扩展、管理对机密数据的准入,对于外部的合作者以及服务提供者如何应用I/AM标准。·学校的领导是否认识到了其作为信息与身份认证管理者所承担的职责,对学校数据的准入管理是否得当。·在管理数字身份认证方面,学校是否有相应的策略;现有的系统是否使用中央数据库、同步技术、最优方法和开放标准或预设标准技术;学校是否在应用开发中的标准,如何处理不匹配的系统。·学校在帮助学生、教师、员工了解其合法权利、责任以及管理、保护个人身份信息方面的成效是否显著。·学校是否已经计划或完成了IT风险评估来鉴别易受攻击的区域,并找到降低潜在风险的方法。·对于社会安全号码或者其他身份认证数据的使用,学校是否进行了评估或限制。·学校对保存在本系统中的身份认证数据是否确立了正式的所有权。热点五:灾难恢复与业务持续IT系统的事故恢复长期以来都是CIO所关注的重要问题,但是这个涉及业务持续规划的问题需要整个学校的参与,这种参与要求说服管理层确保所有的参与者都参加。在这些问题被认为是纯IT问题的情况下,CIO有必要通过起草一个有关其他部门所要承担义务的草案来引起一场讨论。在进行业务影响分析方面,方法论、咨询者和软件工具都是可利用的。对于需要与美国国家事故管理系统(NationalIncidentManagementSystem)或者运行连续性计划/政府持续性计划(stateContinuityofOperations/ContinuityofGovernment)保持一致的学校来讲,仍然有得到资源支持的可能性。除此以外,EDUCAUSE资源中心有关事故恢复的方案中,也有很多有效的事故恢复方案的开发、执行、维护的资源。事故恢复与业务持续所包含的主要问题如下:·学校所面对的自然的(非人为的)和人为的风险是什么;学院和大学除了提供教育之外,它们也涉及到住房、卫生保健、娱乐及零售商业等事务。·如果事故发生,哪些员工、设备和信息是必须要继续发挥其作用的。·哪些步骤是核心的,目标恢复时间是怎样的,