信息化建設解決方案之咨詢篇

年4月19日信息化建設解決方案之咨詢篇文檔僅供參考，不當之處，請聯(lián)系改正。信息化建設解決方案之咨詢篇1、信息化建設面臨的問題【導讀】信息化建設為組織服務的同時，也給組織管理者帶來了新的管理挑戰(zhàn)，即如何有效管理IT的問題，這是擺在每一個組織高層管理者面前必須要考慮并加以解決的問題。下面將從日常IT管理問題的一些表象出發(fā)，探究現(xiàn)象背后的深層次原因，并引入IT治理這一思想來實現(xiàn)針對IT管理的管理。1.1IT管理面臨的困惑中國的信息化建設已有三十余年，其成績是顯著的，可是問題也是不容回避的，信息化建設在提高業(yè)務操作效率和提供業(yè)務管理手段的同時，也給管理者帶來了一些新的困惑。您在信息化建設過程中是否遇到過以下情況：雖然大家都認為IT很重要，但實際情況IT組織在單位組織架構中很不起眼，一般掛靠在財務部或辦公室下，即使單獨設置，人員也很少，在信息化建設中很難推動業(yè)務部門開展IT建設工作；即使部分單位有CIO角色，但CIO的位置也比較尷尬，協(xié)調工作也很難開展；在許多單位，一個信息化項目建設過程能夠形容為“五拍”：開始領導拍腦袋開始干，項目經(jīng)理拍胸脯保證干好，最后老板拍桌子發(fā)火怎么干的，項目經(jīng)理拍屁股走人，老板拍大腿后悔；往往導致IT項目建設要么形成“爛尾”，要么不了了之；現(xiàn)有信息系統(tǒng)的建設更多是以各業(yè)務部門獨立發(fā)起的，系統(tǒng)建設的目的更多側重于解決本部門業(yè)務的問題，缺少與其它部門業(yè)務銜接的考慮，在單位內部形成了一系列的信息孤島；在系統(tǒng)建設時很少考慮技術實現(xiàn)，各個信息系統(tǒng)技術路線差異較大，后期系統(tǒng)間整合難度較大，必要時可能推倒重建；領導對于IT建設產(chǎn)生了一種疑惑：每年IT都在持續(xù)的投入，像是一個“無底洞”，從表面上很難看到IT投資產(chǎn)生的實效，要不要投入、投入是否值得始終是困擾領導的問題；而IT部門覺得IT回報是長期的，初期都需要高投入，怎么才能給領導算清這一筆賬？在信息化項目建設中，項目拖期已經(jīng)成為一種常態(tài)，而且項目達成效果總會打個折扣，IT部門除了督促業(yè)務部門、供應商外毫無辦法，建設過程中也按照項目管理規(guī)定進行了有效管理，可是結果依舊如此，到底為什么？信息中心一天到晚忙忙碌碌，通宵達旦加班，扮演“救火員”的角色，換來的卻是業(yè)務部門的需求處理不及時的抱怨，業(yè)務部門不理解信息中心都在忙什么，即使增加IT人員，還是很忙碌，信息中心到底需要多少人？信息中心難道永遠是“有苦勞沒功勞”？大多數(shù)企業(yè)的IT系統(tǒng)都會遇到各種各樣的意外情況，比如：斷電、病毒、硬件故障、應用系統(tǒng)升級等導致的系統(tǒng)問題，部分企業(yè)會遭受惡意入侵的侵擾，信息泄密事件更是層出不窮，組織購買了技術最先進的防護設備，花費了大量的投資，還是不能解決，為什么？1.2IT管理問題分析從問題表象來分析，產(chǎn)生這些現(xiàn)象的根源如下：IT戰(zhàn)略缺失或不清晰。所有企業(yè)都有發(fā)展戰(zhàn)略，可是僅有少數(shù)企業(yè)有IT戰(zhàn)略。大家都在談IT的重要性，但并沒有上升到戰(zhàn)略的高度。IT戰(zhàn)略缺失或不清晰，導致公司在信息化建設中找不到重心，IT建設不能與企業(yè)發(fā)展戰(zhàn)略進行有效匹配融合，IT部門在推進企業(yè)信息化建設過程中“有力無處使，有勁干不動”。IT投資決策流程不規(guī)范，技術經(jīng)濟論證不足。信息化建設項目具有投資大、風險大的特點。事實證明，系統(tǒng)規(guī)模越大、與管理聯(lián)系越密切、集成度越高的系統(tǒng)，風險越大，失敗率越高，在進行投資前必須有一套規(guī)范的決策流程和經(jīng)濟技術可行性論證過程，否則成功是偶然的、失敗是必然的。IT系統(tǒng)建設缺少規(guī)劃。信息化建設是一個長期的過程，是一項系統(tǒng)工程，必須從戰(zhàn)略的高度、從全局的角度、從超前的技術視角來進行整體規(guī)劃，打破各業(yè)務單元的本位主義，從企業(yè)整體管理和業(yè)務運作需要的角度來優(yōu)化流程、統(tǒng)籌資源，總體規(guī)劃、分布實施，否則容易造成企業(yè)信息孤島林立、技術過時、系統(tǒng)重復建設。IT價值缺少度量。IT價值具有長期性、間接性、綜合性的特點，從一定程度上講，IT價值評價是困難的?？墒?，沒有科學度量就沒有科學管理，度量是為管理服務的，沒有度量就沒有管理，缺少IT價值的度量就無法進行有效的IT管理。要打消領導產(chǎn)生IT“投資黑洞”的疑慮，就必須將IT的價值進行量化評價。IT項目管理頂層機制不完善。IT項目與傳統(tǒng)項目相比有需求不確定性、項目隱蔽性、范圍模糊性、智力密集型、評價主觀性等特點，決定了IT項目管理更加困難，純粹使用項目管理技術并不能解決根本性問題，需要對IT項目管理進行頂層設計，建立對項目各利益相關方監(jiān)督與制衡機制，否則容易造成IT項目失控。IT運維管理流程不規(guī)范。IT運維過程中業(yè)務部門與IT部門間的矛盾一方面源于組織信息系統(tǒng)越來越復雜、系統(tǒng)越來越龐大；另一方面業(yè)務部門需求越來越強、要求越來越高。更深層次的原因是業(yè)務部門與IT部門之間缺少一種溝通的“語言”，即合理的服務水平是什么樣？什么樣的需求才是真正的需求，需求處理的流程是什么？信息安全及風險管理重技術、輕管理。大多數(shù)組織的管理者都已樹立了不同程度的安全和風險意識，可是對信息資產(chǎn)所面臨的嚴重性認識不足，僅局限在IT方面的安全，缺少合理的信息安全方針來指導組織的信息安全管理工作，在安全規(guī)劃、風險、應急、安全教育培訓、系統(tǒng)評估方面采用靜態(tài)管理，出了問題再補救，缺少全局管理方法。愛因斯坦曾經(jīng)說過：“我們面正確重大問題無法在我們制造出這些問題的思考層面上得到解決?！币鉀Q這些信息化建設的亂象，傳統(tǒng)的IT管理已無力面對這些挑戰(zhàn)，因而需要更上一層樓，超越傳統(tǒng)的IT管理，引入治理的思想，在關注IT建設的同時，從戰(zhàn)略層面加強IT決策、實施、評價等方面的控制，確保IT價值的實現(xiàn)。2、IT治理——一流績效企業(yè)IT管理解決之道【導讀】IT治理這一詞匯大家并不陌生，那么IT治理究竟是什么，IT治理能幫助組織做什么，IT治理如何落地？下面結合國際上主流的針對IT治理定義的理解、IT治理方法論進行了一一闡述，客戶能夠從中找到解決自身主要IT管理問題的IT治理方法論，以引導組織進行合適的IT治理工作。2.1IT治理的概念IT治理（ITGovernance）這個概念最早是由IBM在引入中國的，其本意是推動國內企業(yè)服務流程化的管理。當前對于IT治理并沒有統(tǒng)一的定義，以下描述了幾種主流的定義：MITCISR的彼得·維爾&珍妮·羅斯認為IT治理就是在使用信息技術的過程中，確定決策權及責任框架，以鼓勵所希望的行為產(chǎn)生的過程。國際信息系統(tǒng)審計與控制協(xié)會（ISACA）定義如下：IT治理是一個由關系和過程所構成的體制，用于指導和控制企業(yè)，經(jīng)過平衡信息技術與過程的風險、增加價值來確保實現(xiàn)企業(yè)的目標。德勤咨詢公司認為：IT治理是一個含義廣泛的術語，包括信息系統(tǒng)、技術、通訊、商業(yè)、所有利益相關者、合法性和其它問題。其主要任務是保持IT與業(yè)務目標一致，推動業(yè)務發(fā)展，促使收益最大化，合理利用IT資源，管理IT相關風險。中國IT治理研究中心（ITGov）認為，IT治理是指設計并實施信息化過程中各方利益最大化的制度安排，包括業(yè)務與信息化戰(zhàn)略的機制、權責對等的責任擔當框架和問責機制、資源配置的決策機制、組織保障機制、核心IT能力發(fā)展機制、績效管理機制以及覆蓋信息化全生命周期的風險管控機制。該制度安排的目的是實現(xiàn)組織的業(yè)務戰(zhàn)略，促進管理創(chuàng)新，合理管控信息化過程的風險，建立信息化可持續(xù)發(fā)展的長效機制，最終實現(xiàn)IT商業(yè)價值。以上這些定義從不同的角度界定IT治理的概念，但能夠總結出以下共同點：IT治理和其它治理主體一樣，是管理執(zhí)行人員和利益相關者的責任（以董事會為代表），IT治理必須與企業(yè)戰(zhàn)略目標一致，應該合理利用企業(yè)的信息資源，平衡IT系統(tǒng)的投資，管理IT相關風險，經(jīng)過有效集成與協(xié)調，確保IT及時按照目標交付，保證業(yè)務增長。2.2IT治理的目標隨著信息化的不斷應用，IT已由純粹的管理輔助工具轉變?yōu)榻M織的核心競爭力之一，從根本上講，IT治理的目的就是使IT能夠更好地為組織業(yè)務服務。具體來說，IT治理的目標有以下四個方面：確保IT與組織戰(zhàn)略目標的一致性，實現(xiàn)IT與業(yè)務的有效融合。IT存在的理由是為組織發(fā)展服務的，這就決定了IT目標與組織目標必須保持一致，IT應該是組織發(fā)展的助推力，而不能成為組織發(fā)展的障礙。組織的信息化戰(zhàn)略必須在組織發(fā)展戰(zhàn)略驅動下進行的，IT治理的首要目標就是確保在組織信息化建設的各個階段，IT規(guī)劃、建設、運維始終圍繞著為組織發(fā)展服務這一核心目標而開展，經(jīng)過IT治理制定有效的管理框架和機制，確保IT做正確的事，互相促進、共同發(fā)展。確保IT資產(chǎn)的價值最大化，實現(xiàn)IT資源的有效利用。衡量組織信息化水平的一個重要標志就是信息化取得的實效，這也是信息資源開發(fā)和信息化建設的核心任務，但綜合國內情況來看，信息化建設效果不佳是普遍現(xiàn)象。雖然IT資產(chǎn)作為組織的六大核心資產(chǎn)之一，可是IT資產(chǎn)的效能產(chǎn)出始終是困擾管理者的問題。經(jīng)過IT治理，實現(xiàn)對信息資源管理職責進行有效的設計，對信息化過程進行有效的控制和監(jiān)管，確保IT投資科學化、規(guī)范化、過程可控、價值最大。有效管理組織IT建設風險和信息安全風險，確保預期目標達成。信息技術的不斷發(fā)展導致組織對于信息和技術的依賴性不斷增強，IT風險和信息安全風險成為組織風險控制的重要議題。IT治理的目標之一就是落實監(jiān)管要求、構建組織內部風險控制體系，經(jīng)過制定信息資源的保護級別，強調信息技術資源的風險意識，經(jīng)過組織、制度、流程、技術多個方面來實現(xiàn)對風險的有效監(jiān)控和事故的快速處理，確保IT達成預期目標。構建長效發(fā)展機制，確保組織IT建設可持續(xù)發(fā)展。信息化建設是一項持續(xù)的系統(tǒng)工程，既要全面考慮、分布實施，又要符合PDCA的規(guī)律，不斷優(yōu)化、持續(xù)改進。要實現(xiàn)此目標就要發(fā)掘企業(yè)信息化建設的內在動力，經(jīng)過IT治理構建組織信息化建設可持續(xù)發(fā)展的長效機制，在IT治理總體框架內，在信息化全過程風險控制體系基礎之上，經(jīng)過合理規(guī)劃、有序建設、準確評估、持續(xù)改進，以不斷修正組織IT路線，確保IT目標與組織目標的一致性。2.3IT治理框架2.3.1IT治理框架綜述當前，中國信息化建設中的最大問題，不是技術問題，也不是資金問題，而是缺乏科學的IT管理觀念；IT領導者最大的問題不是缺少經(jīng)驗和能力，而是缺乏卓越的管理素質和管理方法。對于IT治理來說，國際上已有許多成熟的方法和工具，形成了最佳業(yè)務實踐，這些最佳業(yè)務實踐是全球智慧的結晶，因此，對于我們來說，不是再去從頭創(chuàng)新，而是需要根據(jù)國情和組織的實際情況，對最佳實踐加以理解、掌握并有效運用，從而為組織戰(zhàn)略目標服務。下圖為IT治理的總體框架，描述了IT治理的出發(fā)點、IT治理的關鍵要素、IT治理的對象、IT治理的最佳實踐。IT治理的目的是使IT與組織業(yè)務有效融合，其出發(fā)點首先是組織的發(fā)展戰(zhàn)略，以組織發(fā)展戰(zhàn)略為起點，遵循組織的風險與內控體系，制定相應的IT建設運行的管理機制。IT治理的關鍵要素涵蓋IT組織、IT戰(zhàn)略、IT架構、IT基礎設施、業(yè)務需求、IT投資、信息安全等，主要確定這些要素或活動中“做什么決策？誰來決策？怎么來決策？如何監(jiān)督和評價決策？”。圍繞著IT建設全生命周期過程，構建持續(xù)的信息化建設長效機制，是IT治理的目標一致，因此，整個IT建設生命周期都是IT治理的對象，包括IT組織與規(guī)劃、IT建設與交付、IT運行與維護、IT評估與優(yōu)化。IT治理的國際最佳實踐就是基于各個對象治理的成熟的方法論和工具，包括CobiT、ITIL、ISO27001、Prince2等。按照IT治理的對象，我們將IT治理的服務劃分為五類，分別是：IT規(guī)劃治理、IT建設治理、IT運維治理、IT績效治理、IT風險治理。2.3.2IT規(guī)劃治理分項IT規(guī)劃治理主要以IT戰(zhàn)略、IT規(guī)劃、IT組織、IT投資為治理對象，經(jīng)過治理過程，明晰企業(yè)業(yè)務戰(zhàn)略，制定企業(yè)IT戰(zhàn)略，明確企業(yè)中IT組織的定位、IT組織架構，并對企業(yè)未來3至5年的信息化建設藍圖及建設步驟做出整體規(guī)劃，同時對IT投資建立閉環(huán)管理機制，確保IT建設與業(yè)務發(fā)展需求的一致性。信息化是一個演進的過程，是量的不斷積累的過程，這個過程中最重要的就是“合理內核”。古人說“畫龍畫虎難畫骨”，對于企業(yè)信息化來說，企業(yè)架構既是企業(yè)的“骨架”，更是搞好IT的“筋骨”；如何畫好企業(yè)的“骨”不但是一件難事，更是從根本上治理好IT的關鍵。企業(yè)架構（EA）是國際上先進的IT架構規(guī)劃框架模型，在企業(yè)信息化建設中起著承上啟下的作用，既是連接IT與業(yè)務的紐帶，又是連接IT戰(zhàn)略與IT項目組合的橋梁，也是制定IT決策的基礎。從上圖能夠看出，企業(yè)架構分為兩大部分：業(yè)務架構和IT架構。其中業(yè)務架構是把企業(yè)的業(yè)務戰(zhàn)略轉化為日常運作的渠道，業(yè)務戰(zhàn)略決定業(yè)務架構，它包括業(yè)務的運營模式、流程體系、組織結構等內容；IT架構是指導IT投資和設計決策的IT框架，是建立企業(yè)信息系統(tǒng)的綜合藍圖，包括數(shù)據(jù)架構、應用架構和技術架構三部分。針對IT戰(zhàn)略規(guī)劃的實施，當前已經(jīng)形成了比較通用的方法論，如下圖：實施過程分為三個階段：第一階段是現(xiàn)狀分析與評估，基于組織發(fā)展戰(zhàn)略，梳理組織業(yè)務架構，并對現(xiàn)狀進行評估分析，形成IT規(guī)劃需求分析報告；第二階段根據(jù)企業(yè)架構、組織發(fā)展戰(zhàn)略制定組織IT戰(zhàn)略，形成IT愿景，規(guī)劃組織的應用架構、數(shù)據(jù)架構、技術架構以及組織管控架構，形成組織IT規(guī)劃報告；第三階段，制定IT規(guī)劃的具體實施策略和計劃，闡明每階段的投入、產(chǎn)出以及所取得的效果，形成組織IT規(guī)劃實施報告?；谄髽I(yè)架構（EA）制定組織IT架構，能夠讓組織以業(yè)務為導向，使組織的IT投資從整體戰(zhàn)略出發(fā)，有利于確保IT投資與業(yè)務的一致性，減少IT重復性投資，獲得最佳IT投資回報，有效解決IT投資決策和管理IT投資等IT治理的核心問題。2.3.3IT建設治理分項IT建設治理以IT建設項目為治理對象，經(jīng)過治理過程，明確IT項目組織構建及組織的責權利體系，建立項目運行及監(jiān)管機制，以及IT項目需求方、實現(xiàn)方、內部IT組織之間的協(xié)調和治理機制，保證項目按期、按質達成預定目標。PRINCE2?是由英國政府商務部OGC推行的項目流程管理最佳實踐，PRINCE是PRojectINControlledEnvironment（受控環(huán)境下的項目）的簡稱。PRINCE2?描述了如何以一種邏輯性的、有組織的方法，按照明確的步驟對項目進行管理，實踐證明能夠有效提高項目執(zhí)行的效率和效益。PRINCE2是一種結構化的項目管理方法，如下圖所示，主要包括項目準備、項目啟動、項目指導、階段控制、產(chǎn)品交付管理、階段邊界管理、項目收尾、計劃8個過程，以及商業(yè)論證、組織、計劃、控制、風險管理、項目環(huán)境下的質量、配置管理、變更控制等組件。Prince2經(jīng)過指導項目和階段邊界管理等過程，確保了項目管理高層實現(xiàn)例外控制，讓她們用有限的時間完全熟悉項目的進程。經(jīng)過項目委員會將項目管理和組織的方案聯(lián)系起來，經(jīng)過商業(yè)論證與企業(yè)利益保持一致，從組織戰(zhàn)略層面保證項目的正確實施。2.3.4IT運維治理分項IT運維治理以IT運維為治理對象，經(jīng)過治理過程，明確IT部門運維服務策略、運維服務流程，平衡需求方與服務方關系，同時建立運維外包決策機制，在提高業(yè)務滿意度的同時，盡可能降低運維成本，實現(xiàn)IT資產(chǎn)價值最大化。當前國際上通行的IT運維服務管理模式是ITIL（ITInfrastructureLibrary，即IT架構庫），它為組織的IT運維服務管理提供了一個客觀、嚴謹、可量化的最佳實踐平臺，組織的IT部門和最終用戶能夠根據(jù)自己的能力、需求以及所要求的不同服務水平，參考ITIL來規(guī)劃和制定其IT基礎架構及服務管理內容，從而確保IT運維服務管理能為業(yè)務運作提供更好的支持。ITIL所包含的核心理念為：“以流程為基礎，以客戶為中心，注重服務品質和服務成本的平衡”。作為一套IT運維服務管理的最佳實踐，服務是ITIL的核心，服務的理念經(jīng)過流程來體現(xiàn)，服務的品質與成本是緊密關聯(lián)的。從結構上來講，ITIL擁有三個組件：核心組件、補充組件和網(wǎng)絡組件。核心組件包括服務戰(zhàn)略、服務設計、服務轉換、服務運營、持續(xù)性服務改進，涵蓋了IT服務的生命周期，從業(yè)務所需到最優(yōu)化服務；補充組件包括不同情況、行業(yè)、環(huán)境的詳細內容和目標；網(wǎng)絡組件提供共同所需的動態(tài)資料和典型材料，如下圖。ITIL作為國際公認的IT服務管理最佳實踐，已形成一套非常完善的框架和體系，其實施過程因企業(yè)規(guī)模、行業(yè)特性、管理基礎和風險偏好而定，下圖簡略描述了通用的步驟，如下圖。任務動員主要獲取組織領導高層的支持，并組建相關的團隊；基線評估用來明確ITIL流程應用中的職責范圍并建立基準，便于衡量實施ITIL后的變化；然后經(jīng)過規(guī)劃來制定管理模式，明確責任，并創(chuàng)立實施計劃來解決問題；然后落實實施計劃，并進行相關的培訓；最后經(jīng)過KPI來衡量是否達成預定效果。經(jīng)過ITIL的落地應用，能夠幫助客戶實現(xiàn)科學規(guī)范化的IT運維管理，改變信息中心“救火隊”的角色，避免IT盲目投資，避免對“天才”的依賴，減少系統(tǒng)風險，實現(xiàn)對IT運維業(yè)務的量化管理，保證IT與業(yè)務在運維階段的一致性，確保IT合理處理與業(yè)務部門之間的關系。2.3.5IT績效治理分項IT績效治理以IT績效為治理對象，側重于IT價值的量化，經(jīng)過治理過程，搭建適合企業(yè)實際情況的IT績效管理體系，并將之應用于IT系統(tǒng)、IT組織、IT人員，實現(xiàn)IT價值的可視化，避免IT投資“黑洞”。組織在信息化實施過程中往往分為幾個不同層面：戰(zhàn)略層、控制層和執(zhí)行層，因此信息化績效的考量也應從戰(zhàn)略層面、管理層面和IT崗位層面來分別進行。平衡計分卡作為一套系統(tǒng)的工具，既能夠有效地測量IT的整體績效，也能夠測量IT部門和IT項目的績效，還能夠對IT崗位的績效提供指導。傳統(tǒng)的平衡計分卡從面向客戶與服務、成本與效益、內部運營、人才與創(chuàng)新四個方面來進行績效考核。IT平衡計分卡(ITBSC)是在平衡計分卡的基礎上發(fā)展起來的，主要應用于對IT部門的運營績效考核。傳統(tǒng)平衡計分卡的財務方面指標只是衡量了企業(yè)在經(jīng)濟方面的收益，而忽視了其改進經(jīng)營管理能力等方面的隱性收益。IT平衡計分卡在原有的財務、內部運作、客戶和學習與成長四個視角的基礎上增加了企業(yè)綜合競爭力維度，構成一個擁有五個視角的改進后的平衡計分卡模型，如下圖。IT平衡計分卡財務角度的績效指標關注企業(yè)IT成本/預算與投資效益分析，目的是在確保IT投入控制與滿足IT需求之間平衡的同時，能夠量化IT的投入價值，使管理者能夠在了解服務水平、戰(zhàn)略實施和項目進展的情況下，了解IT投入和效益實現(xiàn)。IT平衡計分卡客戶角度主要關注IT投入如何更好地服務于內部用戶和外部客戶。在企業(yè)內部運營方面，IT平衡計分卡考核的重點是企業(yè)信息化的建設如何能夠滿足企業(yè)運營需要，IT部門是否能夠有效采用和提供哪些服務和流程來支持企業(yè)業(yè)務的運作，并提供及時、有效、可靠的IT服務。從學習與成長角度對企業(yè)IT部門的績效考核指標應該著眼未來，從人才儲備和技能發(fā)展等方面來考慮如何制訂相應的績效考核指標以更好地管理IT組織的人力資源，增強人員技能，提高組織的可持續(xù)發(fā)展能力。從企業(yè)綜合實力角度出發(fā)，需要考慮如何經(jīng)過信息化建設來提升企業(yè)的綜合實力？如何根據(jù)企業(yè)戰(zhàn)略發(fā)展規(guī)劃，規(guī)劃出企業(yè)的信息化建設目標，并經(jīng)過具體工作來管理好IT規(guī)劃，最終落實到信息化建設的整個項目生命周期中。借助IT平衡計分卡，能幫助組織樹立IT價值觀，建立其業(yè)務戰(zhàn)略目標與IT目標的匹配，使IT部門的績效考核指標具備可操作性，促進IT部門與業(yè)務部門的交流，強化IT管理和IT治理能力。2.3.6IT風險治理分項IT風險治理以信息安全、IT內控、IT風險管理為治理對象，經(jīng)過治理過程，建立相應的信息安全管理體系（含組織、技術、運維）、IT風險與內控體系，既滿足企業(yè)內部風險管控需求，又滿足外部監(jiān)管機構合規(guī)性要求，同時為內外部IT審計奠定良好的基礎。IT風險是指在規(guī)劃、研發(fā)、建設、運行、維護、監(jiān)控及退出過程中由于技術或管理缺陷產(chǎn)生的操作、法律和聲譽等風險。當前國際上通用的IT風險管理最佳實踐是ISACA發(fā)布的COBIT（ControlledOBjectivesforInformationandrelatedTechnology，即信息及相關技術的控制目標），它在商業(yè)風險、控制需要和技術問題之間架起了一座橋梁，以滿足管理的多方面需要。COBIT將IT過程、IT資源及信息與企業(yè)的策略和目標聯(lián)系起來，形成一個三維的體系結構，其以業(yè)務為關注焦點、以流程為導向、基于控制和度量驅動。信息標準集中反映了企業(yè)的戰(zhàn)略目標，從質量、成本、時間、資源利用率等方面來保證信息的安全性、可靠性和有效性；IT資源是IT管理過程的主要對象，包括與人、應用系統(tǒng)、技術、設施及數(shù)據(jù)在內的信息相關的資源；IT過程按照組織信息化的一般過程，劃分為規(guī)劃與組織、采集與實施、交付與支持、監(jiān)控與評估四個域，共34個信息技術處理過程，如下圖：借助COBIT，組織能夠對業(yè)務環(huán)境和企業(yè)總的業(yè)務戰(zhàn)略進行分析定位，并將戰(zhàn)略規(guī)劃所產(chǎn)生的目標、政策、行動計劃作為信息技術的關鍵環(huán)節(jié)，并由此確定IT準則。同時使信息技術目標和企業(yè)戰(zhàn)略目標之間實現(xiàn)互動，形成互相依托、互相促進的有機整體。組織經(jīng)過COBIT能夠更加有效地利用信息資源，有效地管理與信息相關的風險，從而更好地幫助組織實現(xiàn)其業(yè)務戰(zhàn)略。信息安全是指信息的保密性（confidentiality）、完整性（integrity）、可用性（availability）、可追溯性（accountability）和不可否認性（non-repudiation）的保持。信息安全體系建設是一項復雜的系統(tǒng)工程，必須用系統(tǒng)工程的觀點和方法，分析信息安全問題，結合ISO27001、《信息安全等級保護管理辦法》等，形成信息安全管控體系模型，如下圖。信息安全方針是組織對信息和信息處理設施進行管理、保護、分配的原則；信息安全組織管控體系是指合理的安全治理組織結構，明確各部門、個體在體系中的職責、權利和義務，并對人的行為進行制約；信息安全技術管控體系是保證信息安全的技術手段；信息安全運營管控體系是動態(tài)過程，保證“動態(tài)”信息資產(chǎn)安全。3、MaxValue?-IT治理咨詢服務【導讀】IT治理帶給組織的效益是不言而喻的，可是調查顯示，僅有很少的組織實現(xiàn)了有效的IT治理，究其原因是國際上雖然有成熟的方法論，可是如何將標準的方法論與組織的實際情況加以結合并真正在組織落地，是組織在進行IT治理的一大難題。這一過程需要外部專家進行輔導、咨詢，針對此，山東省軟件評測中心提供了MaxValue?IT治理咨詢服務解決方案。3.1MaxValue?總體框架為確保組織IT與業(yè)務的有效融合、實現(xiàn)組織IT價值最大化，從根本上解決組織IT管理中的問題，山東省軟件測評中心針對客戶需求，提出了MaxValue?IT治理咨詢服務解決方案。MaxValue（MaximizeITValue，IT價值最大化）。MaxValue?方案結合IT治理的思想以及國際上IT治理的最佳實踐，以ISO0、ISO27001等系列標準為參照物，致力于實現(xiàn)組織IT投資、IT資產(chǎn)價值最大化。方案總體框架如下圖所示。MaxValue?方案圍繞著客戶在信息化建設各個階段、各個層面中遇到的問題，引入IT治理的思想，從組織、職責、流程、運行機制幾個方面來綜合考慮，從服務業(yè)務的角度、以價值為核心、以流程為導向，覆蓋IT全生命周期，同時滿足信息安全和風險內控的要求，以其達到IT與業(yè)務戰(zhàn)略一致、IT價值有效交付、IT資源有效利用、IT風險有效管控、IT績效有效衡量的目的。3.2MaxValue?服務內容針對客戶的實際需要，我們將提供如下咨詢服務項目。3.2.1IT戰(zhàn)略管理咨詢服務IT戰(zhàn)略是組織經(jīng)營戰(zhàn)略的有機組成部分，它是關于組織信息技術職能的目標及其實現(xiàn)的總體謀劃。IT戰(zhàn)略是在診斷和評估組織信息化現(xiàn)狀的基礎上，結合組織發(fā)展戰(zhàn)略，制定和調整組織信息化的指導綱領，爭取以最適合的規(guī)模、最適合的成本，去做最適合的信息化工作。IT戰(zhàn)略管理咨詢服務就是幫助組織制定符合組織業(yè)務發(fā)展需要的IT戰(zhàn)略，以幫助客戶解決因IT戰(zhàn)略缺失、不清晰、不準確所導致的IT建設“走彎路、多走路、走錯路”的問題。具體服務內容包括：IT使命制定：闡述IT存在的理由、目的以及在組織中的作用。IT愿景制定：信息技術的發(fā)展方向和結果。IT目標制定：愿景目標的具體化，即組織未來3-5年IT發(fā)展的具體目標。IT原則制定：實現(xiàn)上述中長期目標所需遵循的準則。經(jīng)過咨詢服務，幫助組織梳理和制定IT戰(zhàn)略，幫助組織明晰信息化建設的方向，確保IT建設與組織業(yè)務發(fā)展戰(zhàn)略的一致性；經(jīng)過IT戰(zhàn)略的制定和宣講，幫助組織在內部就IT建設形成共識，有效推動組織信息化建設的進程。3.2.2IT規(guī)劃管理咨詢服務IT規(guī)劃是指經(jīng)過對組織整體戰(zhàn)略、IT戰(zhàn)略的明晰和解讀，結合外部標桿的經(jīng)驗借鑒，形成基于組織業(yè)務藍圖基礎上的IT藍圖，以及具體信息系統(tǒng)的架構設計、選型和實施策略，全面系統(tǒng)地指導組織信息化建設，滿足組織可持續(xù)發(fā)展的需要。IT規(guī)劃是承接IT戰(zhàn)略之后，對信息系統(tǒng)各部分的支撐硬件、支撐軟件、支撐技術等進行計劃與安排。IT規(guī)劃管理咨詢服務就是幫助客戶搭建合理的信息化建設藍圖，規(guī)劃信息化建設投資和順序，致力于解決由于IT規(guī)劃缺失導致的信息孤島、重復建設、維護費用高、維護復雜度高、風險高等問題。具體服務內容包括：應用架構規(guī)劃：從系統(tǒng)應用角度描述IT架構；數(shù)據(jù)架構規(guī)劃：從數(shù)據(jù)流轉角度描述IT架構；基礎設施規(guī)劃：從底層支撐平臺角度描述IT架構；IT組織架構設計：制定符合IT治理思想的IT組織架構，明確責權利關系；IT實施規(guī)劃：明確IT建設的實施路徑，規(guī)劃未來3-5年內每個項目的行動計劃；IT投資預算：對信息化建設每個階段甚至每個系統(tǒng)進行相應的投資估算。經(jīng)過咨詢服務，幫助組織制定總體信息化藍圖，改變以往無序的、松散的IT建設模式，協(xié)助組織有條不紊地進入IT正軌發(fā)展的道路，解決信息不對稱、信息化計劃殘缺、系統(tǒng)應用目的不清等方面的問題，規(guī)避信息化建設的風險，最終保證IT戰(zhàn)略的有效落地。3.2.3IT項目管理咨詢服務IT項目管理咨詢是指以專門的知識、信息、信息技術、技能和經(jīng)驗為資源，為IT項目的決策、實施、運維提供建議或方案，以幫助客戶有效地解決IT項目過程管理不善導致的項目拖期、超出預算、效果打折、項目失敗等問題。具體服務內容包括：IT項目內部治理：搭建IT項目內部治理組織結構和機制；IT項目外部治理：搭建IT項目外部治理組織結構和機制，包括供應商、咨詢單位、監(jiān)理機構等；IT項目管理咨詢貫穿于IT項目建設的全過程，經(jīng)過咨詢，建立IT項目治理機制，明確IT項目各利益相關方責權利，平衡項目資源；幫助客戶形成IT項目的約束機制，控制IT項目風險；為客戶進行IT項目決策提供咨詢意見，提高IT項目的決策水平。3.2.4IT運維管理咨詢服務隨著信息技術的高速發(fā)展，組織信息化已經(jīng)從最初的基礎環(huán)境搭建、業(yè)務系統(tǒng)的建設階段，進入到全面的運維階段。不斷復雜化的IT系統(tǒng)、可靠/穩(wěn)定/安全運行要求、較高的客戶滿意度、投資回報率要求等，都對組織IT運維部門提出了巨大的挑戰(zhàn)。IT運維管理咨詢服務就是以IT治理為指導，以推動IT與業(yè)務的動態(tài)融合為出發(fā)點，基于ITIL最佳實踐經(jīng)驗，為客戶建設以服務為導向的IT運維管理體系；幫助制定規(guī)范化的ITIL服務流程，建立信息部門和業(yè)務部門之間溝通的橋梁，輔助信息部門選擇或開發(fā)規(guī)范化的日常管理工具。具體內容包括：IT運維現(xiàn)狀評估：經(jīng)過現(xiàn)狀、訪談、研討等形式了解客戶IT運維現(xiàn)狀，并基于ISO0體系進行評估；IT運維體系設計：基于ITIL最佳實踐，搭建組織IT運維組織職能和流程；IT服務外包管控設計：設計IT服務外包的管控體系。經(jīng)過咨詢，幫助企業(yè)梳理現(xiàn)有的IT運維業(yè)務流程，建立基于ITIL最佳實踐的運維流程和組織職能，經(jīng)過引入服務臺、服務水平管理等最佳實踐，有效提高IT部門對業(yè)務需求的響應速度，建立IT與業(yè)務的溝通“語言”和溝通橋梁，平衡IT與業(yè)務的關系，平衡IT服務質量與服務水平，提高業(yè)務滿意度，提高IT資產(chǎn)價值利用率。3.2.5IT績效管理咨詢服務信息化績效評估是指，評價主體依照評價目標，經(jīng)過設定評估體系和評估模型，運用特定的評估指標和評估標準，按照嚴格的流程，在定量與定性相結合的基礎上進行對比分析，對信息化全生命周期的過程和結果，組織績效目標的達成情況，以及可持續(xù)發(fā)展能力，做出客觀、公正的判斷。IT績效管理咨詢服務就是經(jīng)過將基于IT的平衡計分卡體系引入到組織，從財務、客戶、內部運營、學習與創(chuàng)新、IT對業(yè)務支持五個方面制定詳細的評價指標，形成整體的評價體系，以定性、定量的方式展現(xiàn)，用以衡量IT投資、IT資產(chǎn)的價值。具體服務內容包括：IT績效體系搭建：基于IT平衡計分卡和客戶現(xiàn)狀，制定適應客戶特點的IT績效評價體系；IT績效評估：應用IT評價體系對客戶進行IT價值達成進行評估。經(jīng)過咨詢，幫助客戶搭建IT績效評價體系，在客戶內部建立IT價值可量化、績效可評估的思想，經(jīng)過量化的指標來突出IT部門/IT系統(tǒng)在組織中的重要作用，展現(xiàn)IT對組織業(yè)務的推動力，增強組織高層對IT投資回報的信心，便于IT可持續(xù)建設。3.2.6信息安全管理咨詢服務病毒破壞、黑客攻擊、系統(tǒng)癱瘓、員工失誤和惡意破壞、商業(yè)間諜等，越來越多的信息安全問題成為威脅組織生存和發(fā)展的重要的安全隱患?；趪H標準ISO/IEC27001:的信息安全管理體系（InformationSecurityManagementSystem,ISMS）是當前國際上先進的信息安全解決方案。信息安全管理咨詢服務就是根據(jù)ISO27001標準的要求，采用PDCA的過程模型，經(jīng)過基于資產(chǎn)的風險評估，幫助客戶建立制度化、流程化的信息安全管理體系，輔導客戶在其組織范圍內實施、運行、評審信息安全管理體系，從而確?？蛻粜畔⑾到y(tǒng)的正常運行。具體服務內容包括：安全管理風險評估：對ISMS涉及范圍內的所有信息資產(chǎn)進行風險評估；安全管理體系建設：包括安全策略、控制程序、操作指南/手冊在內的文件化的信息安全管理體系；安全管理體系改進：發(fā)現(xiàn)ISMS運行中存在的問題及弱點，及時采取適當?shù)募m正或預防措施，實現(xiàn)ISMS的持續(xù)改進；等級保護體系咨詢：按照國家等級保護要求，指導企業(yè)體系建設。經(jīng)過咨詢，幫助客戶發(fā)現(xiàn)安全管理存在的問題，在組織內部建立并運行信息安全管理體系（ISMS），不斷改進優(yōu)化組織的信息安全管理體系，有效防止或快速處理組織所面正確信息安全問題，避免或盡量降低因發(fā)生信息安全事件對業(yè)務造成的影響。3.2.7IT風險與內控管理咨詢服務隨著IT應用的不斷深入，IT與業(yè)務的關聯(lián)越來越緊密，創(chuàng)造機會的同時也使IT面臨著越來越多的風險，國內外近年來出臺了不少法律法規(guī)加強對IT進行監(jiān)督和控制，而對于組織IT進行專業(yè)審計的要求也越來越多。IT風險與內控管理咨詢服務就是以國內外內控監(jiān)管要求，參照COSO內部控制框架和COBIT控制標準，全面梳理信息技術相關的制度和流程，以COBIT內控管理框架為基礎，幫助客戶建立完整的內部控制體系，并基于相關的IT控制目標，對信息系統(tǒng)管理相關關鍵流程、風險控制、制度及文檔體系進行評估，提出內部整改方案，經(jīng)過宣貫和培訓落實方案實施，從而為客戶順利經(jīng)過相關外部審計提供有力支持，滿足外部監(jiān)管的要求。具體服務內容包括：IT內控現(xiàn)狀風險評估：調查企業(yè)IT總體內控現(xiàn)狀，進行差距分析，確定目標；IT內控體系設計：設計、討論、批準控制體系，完善組織職能；IT內控實施與測試：實施IT總體內控體系，并按照IT審計標準及方法測試；IT審計：按照組織審計相關要求，對組織IT進行專業(yè)性審計工作。經(jīng)過咨詢，幫助客戶搭建合規(guī)的IT內控體系，經(jīng)過IT內控促使組織內部的作業(yè)流程最大限度做到透明化、可控制，有效進行風險管理和欺詐防治，流程信息詳細記錄可追溯，在提高IT管理效能的同時確保組織目標實現(xiàn)。3.3MaxValue?服務特點及客戶收益MaxValue?IT治理咨詢服務具有以下特點：專注于幫助客戶實現(xiàn)IT價值最大化。MaxValue?IT咨詢服務秉承“MaximizeITValue”這一宗旨，經(jīng)過咨詢，幫助客戶樹立正確的IT價值觀，合理設定IT目標，并經(jīng)過建立一系列的流程、制度保證IT目標的實現(xiàn)，確保客戶以合理的投資實現(xiàn)合理的IT價值；借鑒國際最佳實踐作為方法論。MaxValue?IT咨詢服務整體上借鑒國際上最佳管理實踐（如ITIL、COBIT、Prince2、ISO27001等）作為方法論，形成既有高度又能有效落地的服務方案，避免客戶走彎路、走錯路，減少IT投資的浪費；以客戶利益為根本的第三方服務。作為一家獨立的第三方服務機構，MaxValue?IT咨詢服務不涉及除服務本身之外的利益，能夠確保真正站在客戶的角度為客戶著想，確?？蛻舻睦娌灰蚪邮芊斩艿綋p壞。4、最佳實踐介紹【導讀】IT治理有時會讓客戶感覺困惑，真有那么神嗎？具體應該怎么做？下面列舉了一些IT治理的最佳實踐，從一個個簡單方法的應用上來感受IT治理是如何針對性的解決IT管理問題，并為組織帶來效益。4.1應用項目組合管理可有效輔助高層IT決策，提高IT投資效果在組織IT決策制定過程中，決定選擇哪些IT項目投資，每個IT項目投入多少資金，這些都是對IT投資決策的直接反映，這也是困擾組織決策者的問題。項目組合管理提供了一個有效評估IT項目決策的方法，項目組合管理就是為IT管理部門的投資決策服務的，采取自上而下的管理方式，將投資與企業(yè)的戰(zhàn)略目標相結合，優(yōu)先選擇符合企業(yè)戰(zhàn)略目標的項目，在資金和資源能力范圍內有效執(zhí)行項目。項目組合管理提供一套科學的模型完成項目決策。這個模型定義了適合企業(yè)的評估標準，這些標準決定了項目開展的優(yōu)先級。項目組合管理能夠提供衡量項目的最重要的指標，包括項目收益、項目費用、與業(yè)務目標的契合度、項目里程碑進度表和風險模型。另外用戶也能夠增加和輸入與自身業(yè)務相關的衡量指標，如ROI、意外事件、業(yè)務增長目標、質量統(tǒng)計、業(yè)務價值評估指標等等，這些指標能夠直接用于后階段工作的創(chuàng)立清單、確定項目優(yōu)先級、評估和決策。經(jīng)過項目組合管理中模型應用，能夠幫助組織以量化的指標進行對IT項目進行綜合評比，輔助組織高層進行IT項目的科學決策。4.2科學IT規(guī)劃是預防組織出現(xiàn)信息孤島的有效手段組織的動態(tài)發(fā)展、復雜的應用環(huán)境與多種應用系統(tǒng)之間的沖突，形成了信息孤島。經(jīng)過分析發(fā)現(xiàn)，組織信息化過程中“孤島”的形成與IT規(guī)劃的缺失有著直接或間接的關系，“孤島”問題一般都是在典型的沒有經(jīng)過規(guī)劃而實施的信息化工程形成的。當前針對組織信息化建設中出現(xiàn)的信息“孤島”，一般采用共享或集成的方式來解決，可是無法從根本上解決此類問題。而最有效解決信息“孤島”或有效預防的方式是進行合理的IT規(guī)劃，“總體規(guī)劃、分布實施”是組織信息化建設的最佳選擇?？傮w規(guī)劃就是組織要在戰(zhàn)略層面，根據(jù)組織的發(fā)展戰(zhàn)略，遵循科學的方法論，制定合理的IT規(guī)劃，再根據(jù)IT規(guī)劃制定實施方案，這是一個需要總體規(guī)劃、分步實施，才能完成的長期投資任務，同時還需要根據(jù)內外環(huán)境不斷進行動態(tài)調整，才能從根本上徹底消除信息孤島。4.3明確的項目團隊績效管理可有效改進IT項目管理最終效果組織在日常IT項目建設過程中，雖然也按照項目管理方法對IT項目進行全過程的管理，但效果卻差強人意，經(jīng)常出現(xiàn)項目拖期、超出預算，甚至項目失敗的想象。這是為什么？難道項目管理沒有效果嗎？事實并非如此，經(jīng)過分析發(fā)現(xiàn)，絕大多數(shù)組織的IT項目管理只是有項目管理的“形”，卻未抓住項目管理的“神”