《信息技术治理和信息技术服务标准.ppt》由会员分享,可在线阅读,更多相关《信息技术治理和信息技术服务标准.ppt(51页珍藏版)》请在金锄头文库上搜索。
1、信息系统运维服务管理 (3),符长青博士,第3章 信息技术治理和信息技术服务标准,在信息技术发展的过程中,出现了许多信息系统管理的框架、模型和架构,有的成为了信息行业事实上的标准,有的成为了公认的国际标准。由于不可能存在一个全能的信息系统管理框架普遍适用于所有的情形,因此,如何理解这些公认的最佳实践框架就是一个人们十分感兴趣的课题。 主要内容 (1)企业信息化战略规划和信息技术治理。 (2)信息系统审计标准:COBIT。 (3)信息安全管理标准:BS7799、ISO/IEC 17799和ISO/IEC 27001。 (4)信息技术治理标准:ISO/IEC 38500。 (5)信息技术服务管理标
2、准:ISO/IEC 20000。,公司治理的概念,公司治理是通过有效制度约束、激励机制,协调企业内外部不同利益关系者之间的行为。 公司治理问题是由所有权和经营权的分离而引起的,合理配置权利和义务是公司治理的主要内容,其目的是增加公司信息披露的透明度,最大限度保护股东和投资人的权益。,企业信息化战略规划的定义,企业信息化战略规划是指在企业发展战略目标的指导下,在理解企业发展战略目标与业务规划的基础上,诊断、分析、评估企业管理和信息技术现状,优化企业业务流程,结合所属行业信息化方面的实践经验和对最新信息技术发展趋势的掌握,提出企业信息化建设的远景、目标和战略,制定企业信息化的系统架构、确定信息系统
3、各部分的逻辑关系,以及具体信息系统的架构设计、选型和实施策略,对信息化目标和内容进行整体规划,全面系统地指导企业信息化的进程,协调发展地进行企业信息技术的应用,及时地满足企业发展的需要,以及有效充分地利用企业的资源,以促进企业战略目标的实现,满足企业可持续发展的需要。 企业信息化战略规划在时间上的跨度一般是三到五年,每年要根据企业面临的新环境、企业的新发展和技术上的新趋势等因素对其做出调整和完善。信息化战略规划是信息化建设的基本纲领和总体指向,是信息系统设计和实施的前提与依据。,企业信息化战略规划的原则,(1)与企业战略相一致原则 (2)与企业发展相配合原则 (3)整体规划原则 (4)系统集成
4、一体化原则,企业信息化战略规划的作用,企业信息化不仅是一项技术,而更是一种管理理念,是建立现代化企业管理制度的基础与必要条件。企业信息化战略规划的作用主要有以下几方面: (1)对企业战略的实现给予信息技术的有力支持和保证。 (2)提升管理水平,与国际化、现代化企业管理制度接轨。 (3)实现企业资源利用最大化,形成核心竞争力。 (4)弥补管理漏洞,提高企业各层级执行效率。 (5)建立科学化预算、经营、分析体系,规避财务风险。 (6)建立系统化营销体系和客户服务体系,提高企业的市场 获取和维系能力。 (7)建立规范化渠道管理模式,有效掌控、驾驭渠道资源。 (8)建立有效的市场预警体系。 (9)提高
5、企业经营决策定位的准确性和全面性。 (10)提高企业效率,降低经营成本。,企业信息化战略规划的步骤,(1)明确企业信息化战略思想 (2)借助第三方信息化咨询机构 (3)企业动态环境分析 (4)制定企业信息化战略目标 (5)制定企业信息化战略方案 (6)实施企业信息化战略 (7)控制企业信息化战略实施过程,信息安全的定义,信息安全是指保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。 凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。
6、 在商业和经济领域,信息安全主要强调的是消减并控制风险,保持业务操作的连续性,并将风险造成的损失和影响降低到最低程度。,信息安全的风险和基本目标,1、信息安全面临的最普遍的三类风险: (1)信息泄漏、 (2)信息篡改 (3)信息破坏 2、信息安全主要目标: (1)保密性 (2)完整性 (3)可用性 (4)信息可追溯性 (5)抗抵赖性 (6)真实性 (7)可控性,信息安全整体规划的制定,企业在信息安全建设方面要制定较长期(例如23年)的整体规划,明确信息安全目标和原则,发掘信息安全需求,落实信息安全组织和责任,做好阶段计划和成果诉求。内容包括: (1)目标 (2)对象 (3)规范 (4)流程,信
7、息技术治理的定义,信息技术治理(Information Technology Governance,ITG)是指专注于信息技术体系及其绩效和风险管理的一组治理规则,由领导关系、组织结构和过程组成,以确保信息技术能够支撑组织的战略目标。它是使参与信息化过程的各方利益最大化的制度措施,也是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。 其主要任务是保持企业信息化与业务目标一致,推动业务发展,促使收益最大化,合理利用信息资源,以及信息系统相关风险的适当管理。,信息技术治理的目标,明确信息技术治理的目标将帮助管理层树立以组织战略为导向,以
8、外界环境为依据,以业务与IT整合为中心的观念,正确定位信息技术部门在整个组织中的作用。信息技术治理目标主要有: (1)与业务目标一致 (2)有效利用信息资源 (3)风险管理,信息技术治理的流程,交付 价值,管理 资源,控制 风险,锁定 目标,衡量 绩效,信息技术治理 (IT治理),信息技术治理的作用,信息技术治理可以解决企业以下几个方面的问题: (1)发现信息系统本身的问题 (2)有助于提高企业的灵活性和适应性 (3)自我评估信息系统管理的效果,信息技术治理的设计框架,信息技术治理侧重于建立整个企业信息系统运作的规范和框架,以此监控企业信息化战略的制定和机构的建立,以便组织实施,保证企业信息系
9、统的运营始终处在正确的轨道上。,企业战略 和组织,IT组织和 期望行为,信息技术治理安排,信息技术治理机制,IT决策 原则 架构 基础设施 应用 投资,企业绩效 目标,IT指标 和责任,信息技术治理与管理的关系,管理强调的是“做正确的事”,即计划、组织、领导、监督。 治理更多强调的是通过组织架构、权力分配等制度安排,来 实现不同利益相关者之间的相互制衡。 实质上这二者之间并没有严格的边界,尤其是在大型上市公 司中,治理与管理总是同时存在,互相促进,以实现股东利益的 最大化。这好比是一个硬币的两面,谁也不能脱离谁而存在。 信息技术治理是信息系统管理的基石,某种意义上可认为信 息技术治理比信息系统
10、管理更重要。如果没有好的公司治理(约 束和激励)机制,公司管理的好是偶然的,管理不好是必然的; 同样,对于企业信息系统而言,如果存在好的信息技术治理机, 信息系统管理的好就是必然的、管理不好是偶然的。,与信息技术治理和管理相关的主要标准,信息系统审计治理标准(COBIT),信息系统与相关技术控制目标(Control Objectives for Information and related Technology,COBIT)既是目前国际上通用的信息系统审计标准,也是一个在国际上公认的信息技术治理和管理框架,已经为世界上一百多个国家的政府部门、企业所采用,被用于指导这些组织有效地利用信息资源,
11、有效地管理与信息系统相关的风险。 COBIT v5.0 能够为企业使信息系统在整体上得以治理和管理,并承担整个端到端业务和信息系统功能区域的责任,同时兼顾内、外部利益相关者与IT 部门相关的利益。 COBIT具有很好的通用性,能够适用于各种规模的组织和机构,包括商务、非营利或公共机构等。 COBIT 可应用在所有的企业信息系统,包括了个人计算机、小型计算机、大型主机和分布式运算环境,它建立在一个信息技术资源必须被一套自然分类的程序所管理的想法上,而这种想法是为了要能提供组织要达成目标的适当且可靠的信息。,COBIT的发展历程,(1)审计框架阶段:1996年COBIT v1.0作为一个审计框架被
12、提出。 (2)控制框架阶段:1998年COBIT v2.0在增加了控制目标和实施工具集后 出版,是一个控制框架。 (3)管理框架阶段: 2000年COBIT v3.0在增加了管理方针和其他详细控制 目标后出版,是一个管理框架。 (4)治理框架阶段:2005年COBIT v4.0在第三版的基础上进行了重大更 新,更加注重帮助董事会和员工应对不断增加的职 责,是一个彻底的IT治理架构。 (5)整合框架阶段:2012年4月10日,ITGI正式发布COBIT v5.0,这是它发 展16年来最重大的一次改进。该框架中提供了全球广 泛认可的原则、最佳实践、分析工具和模型,可帮助 组织获得对信息系统的信任并
13、从中产生价值。,COBIT的主要内容,COBIT覆盖了信息系统的整个生命周期,即从系统分析设计、开发实施到运营维护的整个过程,其视野是最为开阔的。 (1)在分析设计阶段COBIT主要是考察组织的需求,并根据这些需求设计合理的资源组合,设立合理的服务级别,以确保能提供满足客户需求的信息技术服务。 (2)在信息技术服务管理的阶段COBIT主要解决的问题包括为满足客户的需要提供哪些资源,这些资源之间的成本是多少,如何在信息技术服务成本和服务的效益之间达到一个恰当的平衡点。 (3)COBIT指导企业管理层对信息系统运营进行外部控制和内部审计,以确保信息系统与业务实现精确的同步协调,以及实现信息技术持续
14、不断的应用和对信息系统持续不断的改进。 (4)作为信息技术治理的核心模型,COBIT是一个基于信息技术治理概念的、面向企业信息化建设过程的信息技术治理实现指南和审计标准。它有6 个主要组件,归集为四个控制域,并包含34个信息系统过程控制,每个过程都有一个高层控制目标。在34个高层目标下,共有302个低层的具体控制目标。这些控制目标描述了一些通过具体的控制步骤可以达到的结果,为信息系统控制提供了清晰的政策。,COBIT的主要组件,(1)管理指导方针 (2)管理者摘要 (3)架构 (4)审计指导方针 (5)控制目标 (6)应用工具集,COBIT的四大领域及其34个IT程序,(1)IT规划和组织(P
15、lanning & Organization,PO):定义一个策略性的IT计划。定义信息的架构。决定采用技术的方向。定义IT组织及其关系。管理对IT的投资。管理目标和方向的沟通。管理人力资源。确保遵循外部的条件。资产风险。项目管理。品质管理。 (2)系统获得和实施(Acquisition and Implementation,AI):辨识解决方案。应用软件的取得与维护。技术架构的取得与维护。IT程序的发展与维护。系统的安装与确认。变革管理。 (3)交付与支持(Delivery and Support,DS):定义服务的层次。第三者提供服务的管理。效果和能力的管理。持续服务的确保。系统安全的确保
16、。成本的确认和分摊。使用者的教育和训练。对IT客户的协助和建议。型态设定的管理。问题和意外事件的管理。数据的管理。相关设施的管理。运营管理。 (4)信息系统运行性能监控(Monitoring,M):流程监测。内部控制适当性的评估。自主性保证的获得。自主性审计的提供。,国际信息系统审计师认证,国际信息系统审计师(Certified Information Systems Auditor,CISA)认证是由信息系统审计与控制协会(ISACA)发起的,是信息系统审计、控制与安全等专业领域中取得公认成绩的象征,拥有CISA 资格证书说明持证人已经具备了国际上认可的实践能力和专业水平。 随着对信息系统审计、控制与安全专业人士需求的增长,CISA 已成为全球范围内个人与公司机构不可或缺的认证,它还为持证人带来相当的职业成就和经济利益。例如,美国电子签章法案要求具有CISA资格的人员才能执行独立性审计,以确认其安全管理的有效性,由此足见CISA的市场前景。 CISA认证已有十多年的历史,它适用于企业信息系统管理人员、IT审计人员和其他对信息系统审
