IT服務(wù)管理信息安全管理課件

1、IT治理的含義,IT治理的定義 IT治理的使命 IT治理的內(nèi)容 IT治理的全景試圖 實(shí)施IT治理所帶來的好處,IT服務(wù)管理信息安全管理,什么是IT治理 ,IT治理用于描述企業(yè)或政府是否采用有效的機(jī)制（就是為鼓勵I(lǐng)T應(yīng)用的期望行為而明確決策權(quán)歸屬和責(zé)任承擔(dān)的框架），使得IT的應(yīng)用能夠完成組織賦予它的使命，同時平衡信息技術(shù)與過程的風(fēng)險、確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。 Governance = Accountability 治理和管理的區(qū)別就在于：治理是決定由誰來進(jìn)行決策，管理則是制定和執(zhí)行這些決策,IT服務(wù)管理信息安全管理,IT治理的使命,保持IT與業(yè)務(wù)目標(biāo)一致，推動業(yè)務(wù)發(fā)展，促使收益最大化，合理利用I

2、T資源，適當(dāng)管理與IT相關(guān)的風(fēng)險,IT服務(wù)管理信息安全管理,IT治理的目標(biāo),幫助管理層建立以組織戰(zhàn)略為導(dǎo)向，以外界環(huán)境為依據(jù)，以業(yè)務(wù)與IT整合為重心的觀念，正確定位IT部門在整個組織的作用。最終能夠針對不同業(yè)務(wù)發(fā)展要求，整合信息資源，制定并執(zhí)行IT戰(zhàn)略，推動組織發(fā)展,IT服務(wù)管理信息安全管理,IT治理的主要特點(diǎn),健全的組織架構(gòu)(健全的組織架構(gòu)是正確決策的保障) 清晰的職責(zé)邊界(清晰的職責(zé)邊界是確保各治理主體獨(dú)立運(yùn)作、有效制衡的基礎(chǔ)) 明確的決策規(guī)則和程序(如果說職責(zé)邊界是明確由誰做出決策，決策規(guī)則和程序就是明確怎么做出決策。 ) 有效的激勵和監(jiān)督機(jī)制(當(dāng)激勵與約束機(jī)制不能和組織的目標(biāo)相聯(lián)系時，

3、IT治理是非常低效的) 透明度(治理的流程越透明，治理的信心也就越足,IT服務(wù)管理信息安全管理,有效的IT治理需要解決三方面的問題,一是解決目的性問題，即IT治理需要做出哪些決策？ 企業(yè)IT決策主要包括五項(xiàng)：IT原則、IT架構(gòu)、IT基礎(chǔ)設(shè)施、IT商業(yè)應(yīng)用、IT投資 二是解決組織性問題。 三是解決系統(tǒng)性問題，即IT治理中如何制定和監(jiān)控這些決策？ 企業(yè)需要通過一系列的治理機(jī)制結(jié)構(gòu)、流程和溝通實(shí)現(xiàn)治理計(jì)劃（如中國網(wǎng)通集團(tuán)企業(yè)信息化管理控制體系,IT服務(wù)管理信息安全管理,IT治理與IT管理,IT服務(wù)管理信息安全管理,IT部門在組織中的演變,時間,IT部門的成熟度,技術(shù)提供者,服務(wù)提供者,戰(zhàn)略合作伙伴,

4、IT 基礎(chǔ)架構(gòu)管理(ITIM,IT 服務(wù)管理(ITSM,IT治理(ITG,IT服務(wù)管理信息安全管理,研究平臺: 中國IT治理研究中心,實(shí)施 方法,咨詢,培訓(xùn)/ 認(rèn)證,企業(yè),網(wǎng)絡(luò)平臺:,論壇平臺:G2峰會,出版平臺:中國IT治理智庫,中國IT治理領(lǐng)域生態(tài)圖,中國網(wǎng)通、中國移動、東風(fēng)汽車、中化集團(tuán)、北京市高級人民法院；據(jù)公開統(tǒng)計(jì)報(bào)道，中國實(shí)施IT治理的企業(yè)不超過20家,培訓(xùn)企業(yè)：北京信誠致遠(yuǎn)、上海品易、上海信息化中心等。 培訓(xùn)證書：1、CobiT Foundation(180張左右) 2、CGEIT,北京信誠致遠(yuǎn),1、CobiT 2、CobiTITIL27001整合實(shí)施 3、部分公司內(nèi)部使用的方法

5、,IT服務(wù)管理信息安全管理,培訓(xùn)與認(rèn)證-中國IT治理人才培訓(xùn)體系,IT服務(wù)管理信息安全管理,實(shí)施方法,COBIT 信息及相關(guān)技術(shù)控制目標(biāo) IT治理協(xié)會 () 信息系統(tǒng)審計(jì)與控制協(xié)會 () ITIL .uk/index.asp?id=2261 http:/ COSO Treadway委員會發(fā)起成立的委員會 ISO2700 http:/ http:/www.bsi-,IT服務(wù)管理信息安全管理,C Control OB OBjectives I for Information T and R

6、elated Technology,CobiT名字的由來,IT服務(wù)管理信息安全管理,Cobit是什么,Cobit是關(guān)于“IT控制”的治理和控制的框架。 Cobit是在控制的需要、技術(shù)問題和商業(yè)風(fēng)險這三者鴻溝之間架起的一座橋梁。 Cobit聚焦在“what needs to be achieved”,而不是“how to achieve”。 Cobit面向管理層、用戶、信息系統(tǒng)審計(jì)師、業(yè)務(wù)經(jīng)理、內(nèi)控及安全人員等。 Cobit是一個可實(shí)施、可裁減的框架。 CobiT更多的關(guān)注于控制而非執(zhí)行,IT服務(wù)管理信息安全管理,以業(yè)務(wù)為關(guān)注焦點(diǎn) （business-focused,度量驅(qū)動 （measurem

7、ent-driven,CobiT 特性,基于控制 （controls-based,流程導(dǎo)向 （process-oriented,COBIT特性,IT服務(wù)管理信息安全管理,發(fā)展歷史,2007年1月CobiT 更新到了4.1,從1992年起，世界整體環(huán)境變化巨大 關(guān)鍵業(yè)務(wù)流程對IT的依賴性更強(qiáng) 管理者對IT成本、價值、風(fēng)險有更多的關(guān)注 董事層對治理的更多關(guān)注 IT最佳實(shí)踐和標(biāo)準(zhǔn)的日益完善 管理者、IT部門和審計(jì)師的綜合使用 持續(xù)符合法規(guī),研究、建立、宣傳并不斷提升一個權(quán)威的、最新的、國際公認(rèn)的IT治理控制框架，使之為企業(yè)廣泛接受，并成為業(yè)務(wù)經(jīng)理、IT專業(yè)人員和風(fēng)險控制人員的行為指南,使命,IT服務(wù)

8、管理信息安全管理,COBIT模型,IT服務(wù)管理信息安全管理,CobiT 通過提供一個框架來支持IT治理，進(jìn)而確保,IT與業(yè)務(wù)保持一致,適當(dāng)管理IT風(fēng)險,IT保障業(yè)務(wù)并實(shí)現(xiàn)收益最大化,IT資源的充分管理,CobiT 如何支持IT治理,基于以業(yè)務(wù)為關(guān)注焦點(diǎn)的更好協(xié)調(diào),實(shí)施 CobiT的益處,為管理者提供了一個更好的理解IT是什么的視角,基于流程導(dǎo)向的清晰的所有者關(guān)系及職責(zé),易于被第三方及監(jiān)管機(jī)構(gòu)所接受,基于通用的語言，可以被所有的利益相關(guān)方所理解,滿足COSO對于IT控制環(huán)境的要求,IT服務(wù)管理信息安全管理,業(yè)務(wù)流程,信息,IT 資源,信息 體系 基礎(chǔ)設(shè)施 人員,效果 效率 機(jī)密性 完整性 可用性

9、 符合性 可靠性,信息標(biāo)準(zhǔn),他們匹配嗎,框架,你需要什么,你能得到什么,IT服務(wù)管理信息安全管理,Cobit34個高級控制目標(biāo),規(guī)劃與組織 PO 1 制定IT戰(zhàn)略規(guī)劃 PO 2 確定信息體系架構(gòu) PO 3 確定技術(shù)方向 PO 4 確定IT流程、組織及相互關(guān)系 PO 5 管理IT投資 PO 6 管理目標(biāo)與方向的協(xié)調(diào) PO 7 人力資源管理 PO 8 質(zhì)量管理 PO 9 IT風(fēng)險評估與風(fēng)險管理 PO 10 項(xiàng)目管理,獲取與實(shí)施 AI 1 確定自動化解決方案 AI 2 應(yīng)用軟件的獲取和維護(hù) AI 3 技術(shù)基礎(chǔ)設(shè)施的獲取和維護(hù) AI 4 授權(quán)操作和使用 AI 5 獲取IT資源 AI 6 變更管理 AI

10、 7 安裝與解決方案和變更審批,交付與支持 DS 1 定義并管理服務(wù)水平 DS 2 管理第三方服務(wù) DS 3 績效管理與容量管理 DS 4 確保服務(wù)的持續(xù)性 DS 5 確保系統(tǒng)安全 DS 6 確認(rèn)與分配成本 DS 7 教育并培訓(xùn)客戶 DS 8 服務(wù)臺與事件管理 DS 9 配置管理 DS 10 問題管理 DS 11 數(shù)據(jù)管理 DS 12 物理環(huán)境管理 DS 13 運(yùn)營管理,監(jiān)控與評價 M1 IT績效監(jiān)督與評估 M2 內(nèi)部控制監(jiān)督與評估 M3 確保法規(guī)遵從 M4 提供IT治理,IT服務(wù)管理信息安全管理,以業(yè)務(wù)為關(guān)注焦點(diǎn),IT服務(wù)管理信息安全管理,以業(yè)務(wù)為關(guān)注焦點(diǎn)IT資源,是指用于處理信息的自動化用戶系統(tǒng)和手工程序,應(yīng)用,信 息,是指輸入信息系統(tǒng)并被信息系統(tǒng)處理及輸出的各種類型的數(shù)據(jù)，不管業(yè)務(wù)部門是以何種形式使用它,用于處理應(yīng)用系統(tǒng)的技術(shù)和設(shè)施(涵蓋硬件、操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和多媒體等,及其支持環(huán)境,基 礎(chǔ) 設(shè) 施,包括需要進(jìn)行規(guī)劃、組織、采購、交付、支持和監(jiān)控信息系統(tǒng)和服務(wù)的人員，根據(jù)需要，他們可以是內(nèi)部的、外包的或簽約的人員,人 員,IT 資源,IT服務(wù)管理信息安全管理,質(zhì)量需求: 質(zhì)量 成本 可交付 受托責(zé)任 (COSO報(bào)告) 運(yùn)營的效率和效果 財(cái)務(wù)報(bào)告的可靠性 符合法律、法規(guī) 安全需求 機(jī)密性 完整性 可用性,效果 效率 機(jī)密性 完整性 可用