IT治理及其辅助手段研究情况汇报孙强赛迪培训中心赛迪顾问股份有限公司二00三年八月十四日汇报内容IT治理的四个辅助手段IT治理的现实性和必要性建议汇报内容IT治理的四个辅助手段IT治理的现实性和必要性建议当前信息化建设热点问题IT与业务的融合信息系统工程监理的发展信息中心的转制与走向IT治理、公司治理及企业管理的关系信息主管CIO的治理结构IS审计对IT投资有效的监督和控制作用规范、标准化的IT服务管理流程的重要性IT治理是IT、经济学及管理学业界中一个新的概念,用于描述企业或政府是否采用有效的机制,使得IT的应用能够完成组织赋予它的使命,同时平衡信息技术与过程的风险、确保实现组织的战略目标。IT治理的使命保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,适当管理与IT相关的风险。IT治理的辅助手段IT项目管理IS(信息系统)审计、咨询、监理信息安全管理IT服务管理IT项目管理IT项目具有投资大、周期长、高风险、科技含量高、所涉及领域宽的特点,项目管理水平是关系IT项目成功的关键成功因素之一。IT项目管理认证和培训可全面提升IT项目建设管理人员规划、组织与管理方面的能力。IS审计IS审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以完成组织的战略目标,同时最经济的使用资源。这一定义既包括信息系统的外部审计的鉴证目标——即对被审计单位的信息系统保护资产安全及数据完整的鉴证,又包含内部审计的管理目标——即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。IS审计对象审计对象变革管理数据中心运维信息安全网络管理基础设施数据库管理硬件管理绩效与容量问题管理灾难回复与业务持续软件管理通信技术支持服务系统开发IS审计的过程1.理解客户业务、系统、环境等2.识别并评估风险3.检查是否存在足够的控制来补偿这些风险4.对控制进行测试和评价5.提出审计结论和报告IT治理与IS审计的关系独立的IS审计是公司治理与IT治理制度的重要环节之一。目的是确定、解除被审计单位的受托责任和加强对被审计单位的管理与控制。所以IS审计是实现IT治理的手段之一。IS审计的作用鉴证作用。是指通过审计,合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性。促进作用。体现在两个方面:(1)是指信息系统审计可以促进被审计单位更有效地融入到社会经济生活中,审计报告可以增强大家对其信息的信任程度;(2)是指审计可以促进被审计单位改进内部控制,加强管理,提高信息系统实现组织目标的效率、效果。IS审计的业务范围立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。业务范围包括:对信息系统的战略规划与组织的审计;技术基础平台建设的审计;应用系统建设审计;信息系统管理和运营审计;风险管理与应用控制审计;信息系统是否符合国家或国际标准的审计以及网誉审计、电子签名审计等。IS审计的目的合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源,其关注的核心是资产保护与信息系统的效率、效果。重点是对信息系统的运营审计,向公众出具审计报告,鉴证信息系统能否保护企业资产安全,其产生、传递的信息是否完整,整个系统是否有效地实现组织目标并有效率的利用组织资源。IS审计的服务对象是所有的信息使用者。包括被审计单位的股东、合作伙伴、政府机构和一般社会公众。IS审计的方法信息系统审计审计的方法主要是搜集证据的方法。包括检查、观察、分析性复合、查询及函证等方法,并利用统计技术、计算机技术完成证据的搜集与评价。IS审计与监理的关系作用不同(监理:控制和协调)范围不同(监理:实施阶段)目的不同(监理:进度、质量、投资)方法不同(监理:项目管理)对象不同(监理:业主和承建单位)信息安全管理三分技术七分管理信息安全管理保护信息不受广泛威胁地损害,确保业务的持续性,将商业损失降至最小,使投资收益最大并创造新的战略机遇。ISO17799ISO17799(根据BS7799第一部分制定)作为确定控制范围的参考标杆,在一般情况下,这些控制是使用信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产,并且在信息时代,信息资产已经成为最有价值的资产,因此需要恰当地保护它。信息安全管理的十个方面安全方针;安全组织;资产分类与控制;人员安全;物理与环境安全;计算机与网络管理;系统访问控制;系统开发与维护;业务持续管理;合规性。PDCA模型应用与信息安全管理体系过程相关单位信息安全需求和期望相关单位管理状态下的信息安全建立ISMS实施和运作ISMS维护和改进ISMS监控和评审ISMS计划PLAN开发、维护和改进循环检查CHECK实施DO改进ACTIONIT服务管理IT服务管理事实上的国际标准:ITIL国际上先进企业在推进信息化的进程中,针对“IT服务质量不佳的问题”,对IT服务的提供方式、提供内容以及服务管理等方面的内容,逐渐总结、提炼,形成了一整套富有成效的方法、规范和程序,并由英国商务部提炼成为ITIL。IT服务管理的作用ITIL作为一种以流程为基础、以客户为导向的IT服务管理指导框架,它摆脱了传统IT管理以技术管理为焦点的弊端,实现了从技术管理到流程管理,再到服务管理的转化。业务与IT融合。改善IT的投资回报率。ITIL模型示意图`业务业务商业视角ICT基础架构管理计划实施IT服务管理应用系统管理服务管理服务支持服务提供安全管理ITIL的意义ITIL可以提高IT部门营运效率25-300%;ITIL是一个公共开发且公共使用的框架。任何组织都可以使用ITIL,或者以ITIL为基础开发自己的服务管理方法论和方案。ITIL个人资格认证是全球公认的CIO证书,也被称为是IT界的MBA。汇报内容IT治理的四个辅助手段IT治理的现实性和必要性建议IT治理的定义IT治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。IT治理的核心问题IT战略目标必须与企业战略目标保持一致IT治理包括治理委员会、治理结构、治理流程和企业文化等。IT治理使风险透明化,从而保护利益相关者的权益。IT治理可用来指导控制IT投资、机遇、收益及风险。IT治理对核心IT资源做出合理的制度安排,这将成为进入新的市场、进行有效竞争、实现总收入增长、改善客户满意度及维系客户关系的制度保障。IT治理的目标IT治理——与业务目标一致IT治理——有效利用信息资源IT治理——风险管理IT治理的目标将帮助管理层建立以组织战略为导向,以外界环境为依据,以业务与IT整合为中心的观念,正确定位IT部门在整个组织中的作用。IT治理的范围IT治理集中在管理高层。善治的IT治理实践需要在企业全部范围内推行。IT治理使得最高管理层和执行经理的一系列活动成为可能。这些活动主要包括:IT的目标,新技术的机遇和风险,关键过程与核心竞争力。如指导信息技术的职能和对企业的影响,分配责任,定义操作,业绩衡量,管理风险和获得保证的约束等。公司治理和IT治理公司治理,驱动和调整IT治理。同时,IT能够提供关键的输入,形成战略计划的一个重要组成部分,这被认为是公司治理的一个重要功能——IT影响企业的战略竞争机遇。IT治理的一个关键性问题是:公司的IT投资是否与战略目标相一致,从而构筑必要的核心竞争力。公司治理和IT治理概括地说,公司治理和IT治理都是市场(含政府)他律的机制,是如何“管好管理者”的机制,其目标也是一致的:达到业务永续运营,并增加组织的长期获利机会。公司治理侧重于企业整体规划,IT治理侧重于企业中信息资源的有效利用和管理。公司治理和IT治理的典范“斯达模式”这一被誉为国企摆脱困境、改革发展的创新模式,正说明了公司治理和IT治理的重要性和互动关系。“黑纸”按照现代企业制度要求,建立与市场竞争相适应的公司治理机制,明晰了企业产权,优化了生产要素配置,转变了职工观念,为斯达大力进行信息化改造创造了有力条件。反过来,信息化也促进了公司的现代化管理。IT治理和IT管理IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动;而IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。IT治理模型COBIT目前已成为国际上公认的IT管理与控制标准该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准,以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。IT治理架构ProvideDirectionCompareMeasurePerformanceITActivitiesIncreaseautomation(makethebusinesseffective)Decreasecost(maketheenterpriseefficient)Managerisks(security,reliabilityandcompliance)ITisalignedwiththebusinessITenablesthebusinessandmaximisesbenefitsITresourcesareusedresponsiblyIT-relatedrisksaremanagedappropriatelySetObjectives组织战略目标IT治理COBIT信息规划与组织获得与实施交付与支持监控IT资源COBIT模型COBIT四个域的相互关系获得和实施交付与支持规划与组织监控IT开发IT运维业务战略IT战略汇报内容IT治理的四个辅助手段IT治理的现实性和必要性建议建立IT治理机制观念转变:在最高管理层(董事会)树立和维护IT战略地位的思想认识,建立企业战略与IT战略的互动观念,阐明IT应担当的角色,从业务的视角创造信息技术指导原则,如信息化规划本质上可以定位成从业务战略到信息战略的实现。业务驱动:从组织的业务战略出发而不是从系统的需求出发,可以避免脱离目标而进行建设的困境。从业务的变革出发而不是从技术的变革出发,有利于充分利用组织的现有资源来满足关键需求,从而避免建设的信息系统无法有效地支持组织的决策。建立IT治理机制治理环境加强IT治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色,并且尤其需要强调的是政府制定规则比较合理的方法是通过听证会或知情会上下协商、交互式地制定规则.这样才能解决规则的充分合法性、可执行行性问题.值得一提的是:组织采行优良IT治理机制的行动,将减轻政府部门在制订国民经济和社会信息化中所扮演的角色责任。建立IT治理机制治理结构试行建立IT治理委员会明确规定IT管理过程的责任对信息系统进行独立审计信息系统的管理、规划与组织信息系统技术基础设施与操作实务资产的保护灾难恢复与业务持续计划应用系统开发、获得、实施与维护业务流程评价与风险管理IS审计行业管理机制行业内部自律机制:外部约束:法律规范。政府的行政监管:包括信息产业部(业务监督、违纪处理等)、证券监管部门等(上市公司IS审计有关情况进行监督)。公共监管机构:制定相关执业准则,对IS审计师的独立性、职业道德和工作质量进行审查等。社会舆论监督。建立信息化管理培训体系