加强企业IT风险管理、治理和优化迫在眉睫。企业需要一个端到端的业务不间断性计划，为业务运行保驾护航。
    2007年，美国折扣零售商TJX 公司宣布了一个令世界震惊的消息：在过去18个月期间，黑客多次侵入其电脑系统，盗取了至少4570万张信用卡和提款卡信息，被窃取资料包括来自瑞典等国家和地区的客户。该公司同时还表示，另有45.5万名未持收据而退货顾客的个人信息，包括驾照号码在内也同时被盗。
    这一事件的爆发，不仅使TJX 公司在经济上蒙受巨大的损失，更重要的是使该公司的品牌、声誉以及客户满意度遭受了几乎致命的打击。
    这些教训使我们认识到：加强企业IT风险管理、加强IT治理和优化已迫在眉睫。企业需要一个端到端的业务不间断性计划，从评估一直到实施，为业务运行保驾护航。 
    从灾备到BCM 
    加拿大有一家做手机“Push Mail”业务的公司，2007年5月份在北美发生了一次网络瘫痪，使“Push Mail”停了13个小时。起因是因为这家公司的系统上马了一个新的应用，虽然之前已经进行了2个多月的测试，但是应用了以后，客户增长的非常快，很快内存就不够用了，这样主服务器运行的越来越慢，后来导致了宕机。公司也有备份中心，但是切换的不成功，从主机切换到备份中心的时候，实际上没有把办法把主中心的业务百分之百的切换过来，这样发生了很多问题，很多用户无法使用。
    这个事件出现了以后，北美的一些媒体和用户都有过讨论。灾备中心的建立应该考虑很多问题，不仅要进行数据切换的演练，新业务上马的时候，还有很多地方要去考虑。一个备份中心不单单是建设的概念，往往和管理有关系。如何保证关键业务的不停顿，灾备的概念早就扩展到了BCM（业务持续管理）。
    灾备，不是一个新鲜的话题，中国的企业在过去3～5年中已经走过了很多灾备方面建设的道路。在2007年灾备市场已经发生了很重要的变化，用户越来越多在寻求完整的端到端的解决方案，而不仅仅是数据保护或者数据备份的解决方案。
    对于金融行业的用户，银监会出台了《商业银行操作风险管理指引》、《银行业金融机构信息系统风险管理指引》，一个是在商业角度的规范，一个是金融机构的IT业务上的规范。要求银行要具备和自己的商业规模和商业运作的复杂度相匹配的业务连续性计划，这个应急计划是要经过测试的，真正发生灾难的时候能够真正起到保护金融机构以及自己客户的利益。对于灾备中心的定义也做了相关规定，如果是两省以下的业务中断，超过6小时要上报银监会，省级以下的数据中心需要有数据备份以及保存，省级的数据中心需要有实时的数据备份，还要有恢复能力。
    IBM全球信息科技服务部大中华区业务连续性与灾难恢复服务产品线经理赵庆说，从用户角度来看，针对这些规定，很多用户找到我们，希望我们从专家的角度解读这些文件，从技术角度怎么能够实现。规范出了以后，银监会就会拿着这个规范定期进行检查。如果不符合要求的话，会有很多措施对银行进行制约。
    目前很多大型国有银行基本上具备了在两地或者三地的灾备中心，从软件和硬件，软件和服务来架构一个安全体系。其中有些银行已经完成了业务连续方案的设定以及演变，有的正在积极从事业务连续和稳定化的设计和编制以及演练过程。
    还有很多国外进入中国的银行，目前进入到中国的银行大概有上百家，其中在中国注册为本地银行的超过10家以上，这些银行进入到中国，他们在风险管理和业务连续方面起步是非常高的，为了满足银监会的需要，基本上在开业之初就具备了完整的连续性和灾难恢复的能力。 
    “三化”实现IT治理 
    对于今天的中国企业而言，随着市场变化脚步的加快，企业员工的流动性也变得越来越强，随之而来的是信息安全风险上升的平衡问题。由于人员的流动，企业信息系统内的数据可能面临风险，包括数据丢失、数据泄露、数据被更改等。
    在中国经济强劲增长的背后，企业的业务发展与创新对IT的依赖程度越来越高。但是正如汽车需要保养一样，IT系统同样需要类似的保养、优化与管理（IT治理与风险管理），这时IT系统才不会宕机、不会泄露商业机密、不违反法规遵从，从而保证IT与业务目标的一致性，缺乏IT治理与风险管理的企业所面临的风险是巨大的。
    根据一项对全球765名CEO的调查结果显示，那些IT与业务融合度越高的组织，比起那些尚未真正采取措施的组织，有着将近2倍的成本节省、将近2倍的品质及客户满意度提升，以及将近3倍的营收提升。
    IBM亚太区Tivoli软件总经理Mitchell Young说：“中国客户对IT战略价值的认知和重视程度在逐步提高。IT服务管理是成功实现IT治理的基础，企业首先应当建立起组织服务的管理能力，而IBM认为成功的服务管理必须具备三个要素：实现IT和业务的可视化、可控化和自动化。”
    实际工作中，企业管理层、业务部门和运维部门以及合作伙伴都期望在各自的权限范围内，实时“看到”同自己相关的企业业务和IT运行状况，为企业决策提供及时准确的信息、避免业务风险和危机，从而保证业务连续性与业务目标的实现，这就是IT和业务的可视化。
    而对于资产控制而言，企业期望IT不仅仅是在控制IT资产，还应当有效管理和控制非IT资产，进而帮助企业提升资产使用率和投资回报率。该愿望与IBM强调的IT和业务可控性不谋而合。
    Gartner认为，有效的企业资产管理在第一年中将为企业带来30%的成本降低，并在未来的5年内持续带来5%～10%的节省。而来源于一家全球知名金融杂志的调查显示：在大多数企业中，只有40%的企业资产可以很好地被描述并很快被找到，未实现对另外60%企业资产进行管控的原因主要是由企业的底层架构缺乏管控导致的。
    仅专注于IT基础架构的管理已不能满足企业的需要，企业不但需要实现对IT基础架构、网络环境的管理，更需要实现对包括企业业务资产等在内所有业务元素的管理。比如医院，发电机也是重要资产，它对医院的不间断服务发挥着重要作用，也对IT系统起到应急支撑作用。
    IT和业务的自动化则是指IT系统应当通过整合的IT流程和自动化工具支持企业关键业务流程，从而降低人力成本和人为因素造成的风险，提升企业敏捷性。IBM的一项调查显示，在CIO的预算清单中，约32%花费在人力成本上。也就是说，目前企业主要是由人力来完成IT的运营和维护。
    因此，IT治理不仅是一种IT管理的理念，更是一种企业管理的思路。一个成功的服务管理，不是仅靠一两个项目就能完成的，而是一个企业不断成熟完善的进化过程。用户应该根据自身业务的优先级与对IT的依赖程度分阶段来实施。为此，用户对自身需求的认知过程以及IT厂商对服务管理整个生命周期的永续服务能力至关重要。
 

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。