《IT服务管理信息安全管理》由会员分享,可在线阅读,更多相关《IT服务管理信息安全管理(25页珍藏版)》请在金锄头文库上搜索。
1、1IT治理的含义n IT治理的定义n IT治理的使命n IT治理的内容n IT治理的全景试图n 实施IT治理所带来的好处2什么是IT治理 ?IT IT治理用于描述企业或政府是否采用有效的机治理用于描述企业或政府是否采用有效的机 制(就是为鼓励制(就是为鼓励IT IT应用的期望行为而明确决策权归应用的期望行为而明确决策权归 属和责任承担的框架),使得属和责任承担的框架),使得IT IT的应用能够完成组的应用能够完成组 织赋予它的使命,同时平衡信息技术与过程的风险织赋予它的使命,同时平衡信息技术与过程的风险 、确保实现组织的战略目标。、确保实现组织的战略目标。n Governance = Acco
2、untabilityn 治理和管理的区别就在于:治理是决定由谁来进行决策,管理则 是制定和执行这些决策。 3IT治理的使命n保持IT与业务目标一致,推动业务发 展,促使收益最大化,合理利用IT资 源,适当管理与IT相关的风险。 4IT治理的目标帮助管理层建立以组织战略为导向,以外 界环境为依据,以业务与IT整合为重心的观念 ,正确定位IT部门在整个组织的作用。最终能 够针对不同业务发展要求,整合信息资源,制 定并执行IT战略,推动组织发展。 5IT治理的主要特点n 健全的组织架构(健全的组织架构是正确决策的保障)n 清晰的职责边界(清晰的职责边界是确保各治理主体独立运作、有效制 衡的基础) n
3、 明确的决策规则和程序(如果说职责边界是明确由谁做出决策,决策 规则和程序就是明确怎么做出决策。 )n 有效的激励和监督机制(当激励与约束机制不能和组织的目标相联系 时,IT治理是非常低效的)n 透明度(治理的流程越透明,治理的信心也就越足)6有效的IT治理需要解决三方面的问题n 一是解决目的性问题,即IT治理需要做出哪些决策?企业IT决策主要包括五项:IT原则、IT架构、IT基础设施 、IT商业应用、IT投资n 二是解决组织性问题。n 三是解决系统性问题,即IT治理中如何制定和监控这些决策?企业需要通过一系列的治理机制结构、流程和沟通实 现治理计划(如中国网通集团企业信息化管理控制体系)7I
4、T治理与IT管理IT治理IT管理 执行主 体股东及董事会(投资人)企业管理层目标实现利益相关者利益 的平衡实现效率最大化主要任 务IT资源投入、使用过 程中的权责配置IT资源的有效利用在企业 发挥中 的地位确定企业IT应用的基 本框架,以确保IT管 理处于正确的轨道在现有IT治理框架下确 定企业具体的发挥路径 及手段 运行基 础良好的公司治理框架良好的企业管理基础实施方 法COBITITILISO17799CM MIPMBok等8IT部门在组织中的演变时间IT部门的成熟度技术提供者服务提供者战略合作伙伴IT 基础架构管理(ITIM)IT 服务管理(ITSM)IT治理(ITG)服务提供者战略合作
5、伙伴IT的作用是提高效率 IT预算是由外部基准驱动的 IT与业务分离 IT是一项成本中心,应该加以控制 IT管理者是技术专家 IT的作用是促进业务增长 IT预算是由业务战略驱动的 IT与业务密不可分 IT是一项投资,应该加强管理 IT管理者是提供解决业务问题方案的专家 9研究平台: 中国IT治理研究中心实施 方法咨询培训/ 认证企业网络平台:论坛平台:G2峰会出版平台:中国IT治理智库中国IT治理领域生态图中国网通、中国移动、东风汽 车、中化集团、北京市高 级人民法院;据公开统计 报道,中国实施IT治理的 企业不超过20家培训企业:北京信诚致远、上海品易、上海信 息化中心等。培训证书:1、Co
6、biT Foundation(180张左右 )2、CGEIT北京信诚致远1、CobiT 2、CobiTITIL27001整合实 施3、部分公司内部使用的方法10培训与认证-中国IT治理人才培训体系课程系列课程名称基础知识中级提升卓越管理公司治理 与IT治理 系列CobiT CobiT 理念教育(1天)CobiT Foundation(3天)CobiT Workshop实施演练(3天)IT内部控 制IT领导力提升(2天)集团企业信息化管控体系建 设(2天)IT治理与企业核心竞争力提升(1天 ) 信息系统 审计系列信息系统 审计CISA考前特训(5天)数据中心审计(2天) ERP审计(2天)IT服
7、务管 理系列ITIL ITIL 理念教育(1天) ITIL Foundation(3天)ITIL Practitioner (3天)ITIL Manager(12天) ITIL与ISO20000实施方法与案例 研讨(2天)ISO20000ISO20000理念教育(1天)ISO20000 Foundation (3天) ISO 20000内审员(2天)ISO20000体系实施(天)信息安全 管理系列信息安全 管理信息安全理念教育(1天)ISO27001主任审核员(5天)ISO27001体系实施(3天)IT项目管 理系列IT项目管 理IT需求管理(2天)计算机信息系统(中级)项目 经理 (7天)计
8、算机信息系统(高级)项目经理 (5天) 信息化绩 效评价系 列信息化绩 效评价电子政务绩效评价理念教 育(1天) 企业信息化绩效评价理念 教育(1天)电子政务绩效评价(2天) 企业信息化绩效评价(2天)信息化投资回报高级研讨班(2天)IT风险与 价值系列IT风险与 价值IT风险管理理念教育(1天)IT风险管理与价值实现(2天)IT风险管理实施方法与案例研讨(2 天)11实施方法nCOBIT 信息及相关技术控制目标 IT治理协会 (www.itgi.org) 信息系统审计与控制协会 (www.isaca.org)nITIL http:/www.ogc.gov.uk/index.asp?id=22
9、61 http:/ Treadway委员会发起成立的委员会 www.coso.orgnISO2700 http:/ http:/www.bsi- Control OB OBjectives I for Information T and Related TechnologyCobiT名字的由来13Cobit是什么?n Cobit是关于“IT控制”的治理和控制的框架。n Cobit是在控制的需要、技术问题和商业风险这三者鸿 沟之间架起的一座桥梁。n Cobit聚焦在“what needs to be achieved”,而不是 “how to achieve”。n Cobit面向管理层、用户、信
10、息系统审计师、业务经理 、内控及安全人员等。n Cobit是一个可实施、可裁减的框架。n CobiT更多的关注于控制而非执行 ;14以业务为关注焦点 (business-focused )度量驱动 (measurement-driven)CobiT 特性 基于控制 (controls-based)流程导向 (process-oriented)COBIT特性15发展历史2007年1月CobiT 更新到了4.1 从1992年起,世界整体 环境变化巨大n关键业务流程对IT的依 赖性更强n管理者对IT成本、价值 、风险有更多的关注n董事层对治理的更多关 注 nIT最佳实践和标准的日 益完善n管理者、I
11、T部门和审计 师的综合使用 n持续符合法规 研究、建立、宣传并不断提升一个权威的、最新的、国际公认的IT治理控制框架,使之 为企业广泛接受,并成为业务经理、IT专业人员和风险控制人员的行为指南。使命16COBIT模型 17CobiT 通过提 供一个框架 来支持IT治 理,进而确 保IT与业务 保持一致适当管理 IT风险IT保障业务 并实现收益 最大化IT资源的 充分管理CobiT 如何支持IT治理基于以业务为关注焦 点的更好协调实施 CobiT的 益处为管理者提供了一个 更好的理解IT是什么 的视角基于流程导向的清晰 的所有者关系及职责易于被第三方及监管 机构所接受基于通用的语言,可 以被所有
12、的利益相关 方所理解满足COSO对于IT控制 环境的要求18业务流程信息IT 资源 信息 体系 基础设施 人员 效果 效率 机密性 完整性 可用性 符合性 可靠性 信息标准?他们匹配吗他们匹配吗? ?框架你需要什么你能得到什么19Cobit34个高级控制目标规划与组织nPO 1 制定IT战略规划nPO 2 确定信息体系架构nPO 3 确定技术方向nPO 4 确定IT流程、组织及相互关系nPO 5 管理IT投资nPO 6 管理目标与方向的协调 nPO 7 人力资源管理nPO 8 质量管理nPO 9 IT风险评估与风险管理nPO 10 项目管理获取与实施 nAI 1 确定自动化解决方案 nAI 2
13、 应用软件的获取和维护 nAI 3 技术基础设施的获取和维护 nAI 4 授权操作和使用 nAI 5 获取IT资源 nAI 6 变更管理 nAI 7 安装与解决方案和变更审批交付与支持 nDS 1 定义并管理服务水平 nDS 2 管理第三方服务 nDS 3 绩效管理与容量管理 nDS 4 确保服务的持续性 nDS 5 确保系统安全 nDS 6 确认与分配成本 nDS 7 教育并培训客户 nDS 8 服务台与事件管理 nDS 9 配置管理 nDS 10 问题管理 nDS 11 数据管理 nDS 12 物理环境管理 nDS 13 运营管理监控与评价n M1 IT绩效监督与评估 n M2 内部控制监
14、督与评估 n M3 确保法规遵从n M4 提供IT治理20以业务为关注焦点2122以业务为关注焦点IT资源是指用于处理信息的 自动化用户系统和手 工程序应用信 息是指输入信息系统并 被信息系统处理及输 出的各种类型的数据 ,不管业务部门是以 何种形式使用它。用于处理应用系统的 技术和设施(涵盖硬件 、操作系统、网络系 统和多媒体等,及其支 持环境)基 础 设 施包括需要进行规划、组织 、采购、交付、支持和监 控信息系统和服务的人员 ,根据需要,他们可以是 内部的、外包的或签约的 人员人 员IT 资源23质量需求质量需求: 质量 成本 可交付 受托责任受托责任 (COSO报告) 运营的效率和效果 财务报告的可靠性 符合法律、法规 安全需求安全需求 机密性 完整性 可用性效果 效率 机密性 完整性 可用性 符合性 可靠性业务需求“business requirements for information以业务为关注焦点业务需求24以业务为关注焦点 IT目标与IT的企业架 构IT计分卡IT目标IT的业务目标 企业战略IT 的企业架构业务需求治理需求信息服务信息标准需求影响应满足IT的业务目标IT流程应用系统基础架构和人员信息交付运行需要IT的企业架构25度量驱动
