2010-12-17 11:01:46 来源:blog
一、 IT治理内涵和标准的发展
IT治理的概念,从安全管理、到IT审计延展而来,是从安全管理的概念上延伸而来的,有人把ISO17799(BS7799)作为第一个IT治理的工具;中间牵涉到IT服务的管理(ITIL)其实时间上出现得比COBIT要晚,概念上更接近安全管理一些;IT审计的概念是由COBIT主导,从那时候开始,人们已经开始思考治理的问题了。
1.
原先的BS7799标准(后来的ISO17799、再后来发展到ISO27000系列标准,其核心的内容为11个大类安全的最佳实践、133个安全控制措施;ITIL标准(信息系统基础设施库)目前发展到ISO20000,是针对IT服务而制定的标准,其核心内容是IT服务中的问题管理、事故管理、配置管理和连续性服务,ITIL过程中加入了服务台管理的内容,ISO20000没有服务台管理而加入了持续改进的内容;COBIT是IT审计管理,目前已经发展到COBIT3.0,其核心内容为控制目标与指标,采用规划与组织、输入与采集、运营与服务、监控四个大类,34个内部控制流程,工具上推荐使用平衡积分卡。从COBIT之后,人们提出不同的IT治理工具,很多人还综合了不少其它的标准,其目的是希望一个更加全面、宏观,适合管理角度的标准来控制和管理整个IT的过程,其中,CMM、ISO9000等更加基础的概念也被引入,直到第一个国际治理的标准ISO38500出现,这种探索仍然在继续。
图1 IT治理概念发展图
2. 治理道路,从单向到全过程
从安全管理出发,IT治理的概念和道路由单项也走向全过程。BS7799(ISO17799)阶段,主要的关注内容为安全管理;到了ITIL关注的是动态服务的安全,内容转向服务管理;COBIT的角度是内部控制,与BS7799和ITIL一并关系到的是效率管理ISO38500内容核心转向业务目标的管理,关心的是效能问题;另外像TIVOLI、上海IT治理试点等行业和企业标准,更加融合行业应用,以行业、地域和应用为特色。CIO视野的安全与治理,更加关注角色的治理,可以说应该融合以上标准和其它项目管理和质量管理的有益的知识,从CIO的视角上来关心和关注IT项目和组织的管理和控制,更加走向全面和全过程。
图2IT治理的内涵发展图
二、 ISO38500介绍
1.
n
n
n
2.
“ISO/IEC 38500:2008可以用于任何规模的组织,包括公/私有性质的公司,政府机构以及非营利组织。这一标准提供了一个IT治理的框架,以协助组织高层管理者理解并履行他们对于其组织IT使用的既定职责,实现IT治理的有效性、可用性及效率。”
3.
“ISO(国际标准化组织)和IEC(国际电工委员会)是世界范围的标准化组织。各国的相关标准化组织都是其成员,并通过各种技术委员会参与相关标准的制定。其他国际组织,政府机构及非政府机构也协同工作。国际标准的草案,须能得到所有会员75%以上的赞成票,该标准才可被公布为国际标准。在信息技术领域,ISO和IEC成立了一个联合技术委员会ISO/IEC JTC 1。该委员会以澳大利亚标准AS8015为蓝本,并结合 AS 8000:2003 – 良好的治理原则和AS 3806:2006 – 合 规性程序,制定了IT治理的国际标准ISO/IEC 38500:2008。”
“ISO/IEC 29382,信息和通讯技术治理标准,作为现有澳大利亚标准AS8015的快速跟随者,于2007年首次发布。2008年4月该标准官方正式更名为ISO/IEC 38500, 原ISO/IEC 29382放弃使用。”
4.
图三 ISO38500概念模型图
1)
关于IT,管理者有三项主要活动,即:指导、评价与监控。有效地IT治理应当是可实施的、具有一致性的。DEM模型聚焦于更广泛层次上的IT治理,它略微不同于管理者典型使用的PDCA模型。在这一模型中,管理者依据业务压力与业务需求来监控(Monitor)并评价(Evaluate)组织的IT使用,而后指导(Direct)实施政策方针以弥补差距。
2)
A.
n
n
n
为IT分配职责的方式取决于组织所使用的业务模式和组织架构。例如:有些设备需要内部管理;建议来自于外部的咨询顾问;还有一些IT来源于厂商与专业服务提供商。
B.
n
n
n
C.
n
n
n
D.
n
n
E.
n
n
F.
n
n
由于IT会直接而迅速的影响组织的实施,管理者应当像管理其财务与人力资源那样,指挥、评价与监控其组织的IT应用。
三、 IT治理和COBIT
表1 ISO38500与COBIT对比
ISO38500
四、 CIO视野下的治理思考
1.
ISO38500出现以前,人们已经开始有很多IT治理的实践和思索了,每个人和每个组织的定义都很不同,也没有业内一致的看法,ISO39500的出现,给出了一个很好的IT治理模型参考,然而这种参考模型也只是一个框架,更多的适合组织的宏观管理,再加上没有还没有评估和认证机构,其也是一种很重要的尝试。然而,针对一个CIO来讲,它面对的很多所谓“治理”是一个集合的概念,包含了大量的内涵,因此,ISO38500不能也不可能代替以往的标准和控制,CIO针对行业需要融合其它标准和实践。
作为一个CIO来讲,非常希望将安全管理的内容、审计的内容、IT治理的内容融合起来,而ISO38500与我们理解的CIO角色的IT治理方面项目并不重合,欠缺我们关注的基于项目视角的管理内容。
企业的CIO是一个综合的角色,不可能像专业的学术机构那样把每个标准的准确概念的细节掌握得像学者和软件开发人员那样清晰,需要一个融合的综合的概念,总结起来,CIO视角的治理需要的11个融合治理准则和四个主要内容:那就是安全管理、绩效管理、项目周期管理和能力管理的四个主要内容,以及目标管理、生命周期、裁减优化、效能评价、效率控制、内部控制、能力成熟、价值贡献、过程改进、最佳实践、控制措施,这些概念或有交叉,然而出于标准来源的模块完整性和概念的饿延续性考虑,还是不合并或者拆分这些概念为好。
图4 CIO视野下的治理准则和内容
2.
n
n
n
n
n
n
n
n
n
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。