2024銀行業(yè)IT治理實(shí)踐案例

第第PAGE\*romanviii第第vii第第PAGE\*romanviii目TOC\o"1-2"\h\z\u圖表目 第1章IT治 治理理 治理實(shí) 第2章IT組 決策體 執(zhí)行體 專業(yè)團(tuán) 人員意 小 第3章IT制 制度框 制度流 制度優(yōu) 小 第4章業(yè)務(wù)架 架構(gòu)定 架構(gòu)原 架構(gòu)設(shè) 小 第5章IT架 數(shù)據(jù)架 應(yīng)用架 技術(shù)架 安全架 小 第6章科技內(nèi) 監(jiān)管傳 檢查監(jiān) 考核評(píng) 整改落 小 附錄1與COBIT5映射關(guān) 附錄2詞匯 圖3COBIT5治理領(lǐng) 圖4企業(yè)IT治理實(shí)踐領(lǐng) 圖5IT三道防 圖6IT制度層 圖7IT制度框 圖8IT制度管控領(lǐng) 圖9IT制度制定流 圖10五級(jí)流程建模方 圖11數(shù)據(jù)建模方 圖12七層十二個(gè)平臺(tái)企業(yè)級(jí)應(yīng)用架 圖13安全即服務(wù)的安全架 圖15IT操作水平協(xié)議的常見(jiàn)指 1章IT科技是第一生產(chǎn)力，信息時(shí)代更需要信息科技。隨著移動(dòng)互聯(lián)、云計(jì)算、大數(shù)據(jù)等新技術(shù)與企影響信息科技的因素眾多，企業(yè)要想應(yīng)用信息技術(shù)，推動(dòng)業(yè)務(wù)持續(xù)創(chuàng)新發(fā)展，就必須建立保證信息IT治理體系。IT治理作為一種涉及利益相關(guān)者之間關(guān)系的制度安排和管理實(shí)踐，國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)（以ISACAITISACAIT治理框架，提高IT業(yè)利益相關(guān)者創(chuàng)造價(jià)值（1），這意味著在優(yōu)化風(fēng)險(xiǎn)的同時(shí)，以最佳資源成本實(shí)現(xiàn)最大收益。COBIT5IT治理起到關(guān)鍵性作用的動(dòng)力因素（2），IT政策和框架體系作為治COBIT5將治理與管理區(qū)分開(kāi)來(lái)，治理流程處理的是利益相關(guān)者關(guān)注的企業(yè)整體目標(biāo)，將治理圖3COBIT5COBIT5IT治理理論可以看出，ITIT基本框架，IT管理則是在IT管理，單純的治理模式也4ITITITITIT責(zé)任的承擔(dān)，以及所期IT行為。同時(shí)，IT要支撐企業(yè)的整體戰(zhàn)略，需要有企業(yè)級(jí)的業(yè)務(wù)架構(gòu)IT架構(gòu)，前者是企業(yè)實(shí)現(xiàn)價(jià)值交付的核心，后者在資源和風(fēng)險(xiǎn)優(yōu)化的基礎(chǔ)上實(shí)現(xiàn)業(yè)務(wù)架構(gòu)目前，IT治理已得到企業(yè)管理層的高度關(guān)注，但在IT治理實(shí)施過(guò)程中，企業(yè)常常面臨以下問(wèn)題IT治理問(wèn)題的有效方法和措施。IT組織方面，構(gòu)建一個(gè)良好的企業(yè)IT組織體系。在決策層面，明確董事會(huì)、監(jiān)事會(huì)、高級(jí)管理層以及下設(shè)委員會(huì)在確定IT戰(zhàn)略與方向中的職責(zé)；在執(zhí)行層面，明確IT部門(mén)、業(yè)務(wù)部門(mén)和分支機(jī)ITIT風(fēng)險(xiǎn)三道防線的構(gòu)成和工作機(jī)制；組建專業(yè)化ITCOBIT5ITITIT制度層級(jí)劃分原則、各層級(jí)所包含的制度體例和適用范圍、制度制定流程中的重要控制環(huán)節(jié)和控制要點(diǎn)；IT監(jiān)管庫(kù)、業(yè)界標(biāo)準(zhǔn)庫(kù)、ITIT制度。在業(yè)務(wù)架構(gòu)方面，遵循業(yè)務(wù)統(tǒng)一視圖、標(biāo)準(zhǔn)化、模型化等原則，通過(guò)企業(yè)級(jí)業(yè)務(wù)建模方法，承接企業(yè)戰(zhàn)略和發(fā)展規(guī)劃，從企業(yè)級(jí)視角構(gòu)建端到端流程模型，自頂向下進(jìn)行設(shè)計(jì)，形成企業(yè)級(jí)業(yè)務(wù)架構(gòu)。在ITIT建設(shè)由服務(wù)接入層、應(yīng)用安全服務(wù)層、基礎(chǔ)設(shè)施安全服務(wù)層和安全策略管理中心構(gòu)成的安全架構(gòu)，提供集中、統(tǒng)一、靈活、智能的信息安全服務(wù)。在科技內(nèi)控方面，建立完善的監(jiān)管合規(guī)體系。傳導(dǎo)跟蹤監(jiān)管要求，提升企業(yè)執(zhí)行監(jiān)管要求的水平和學(xué)習(xí)業(yè)界標(biāo)準(zhǔn)的能力；落實(shí)ITIT檢查內(nèi)容、范圍、計(jì)劃和實(shí)施等要素；建立ITITITIT審計(jì)檢查庫(kù)，強(qiáng)化風(fēng)險(xiǎn)管控。2章ITIT組織需要考慮組織的構(gòu)成和各方的利益、職責(zé)、權(quán)限及匯報(bào)路徑，應(yīng)與企業(yè)整體發(fā)展目標(biāo)保持一致。在支持企業(yè)實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的前提下，通過(guò)優(yōu)化資源、優(yōu)化風(fēng)險(xiǎn)、實(shí)現(xiàn)收益進(jìn)而ITITIT組織體系的合理與否IT戰(zhàn)略的實(shí)施，影響到整個(gè)企業(yè)業(yè)務(wù)發(fā)展戰(zhàn)略的實(shí)現(xiàn)。IT組織時(shí)，通常會(huì)面臨以下問(wèn)題：ITITIT相關(guān)活動(dòng)的所有部門(mén)和人員。一個(gè)良好的企業(yè)ITIT戰(zhàn)略與方向的決策體系、具體落實(shí)IT戰(zhàn)確保與經(jīng)營(yíng)管理目標(biāo)一致；監(jiān)事會(huì)負(fù)責(zé)監(jiān)督董事會(huì)、高級(jí)管理層在企業(yè)IT方面的履職盡職情況；高IT管理與流程管理的研究、議事和協(xié)調(diào)。IT風(fēng)險(xiǎn)管理策略，定期聽(tīng)取企業(yè)ITIT風(fēng)險(xiǎn)管理的總體有ITIT風(fēng)險(xiǎn)管理重ITIT風(fēng)險(xiǎn)管董事會(huì)通常下設(shè)若干委員會(huì)，其中戰(zhàn)略發(fā)展委員會(huì)負(fù)責(zé)指導(dǎo)企業(yè)信息科技戰(zhàn)略規(guī)劃和執(zhí)行；風(fēng)IT風(fēng)險(xiǎn)相關(guān)的規(guī)劃與管理職責(zé)。1IT方面的履職盡職情況。IT相關(guān)職責(zé)為：高級(jí)管理層可下設(shè)ITITIT相關(guān)重大事項(xiàng)。IT部門(mén)、企業(yè)戰(zhàn)略規(guī)劃部門(mén)、人力資源部門(mén)、財(cái)務(wù)部門(mén)、風(fēng)險(xiǎn)管理部門(mén)、內(nèi)控合IT戰(zhàn)略規(guī)劃的執(zhí)行、IT預(yù)算和實(shí)際支出、IT建設(shè)和運(yùn)行的整體ITITIT規(guī)劃編制、政策標(biāo)準(zhǔn)制定、計(jì)劃審核、基礎(chǔ)設(shè)施建設(shè)和管理、應(yīng)用開(kāi)發(fā)、信IT發(fā)展規(guī)劃、任務(wù)落實(shí)、制度執(zhí)行、生產(chǎn)安全等情況進(jìn)ITIT相關(guān)規(guī)章制度和操作流程，并組織檢查、IT應(yīng)用開(kāi)發(fā)項(xiàng)目的驗(yàn)收和知識(shí)產(chǎn)權(quán)申報(bào)，負(fù)責(zé)對(duì)于規(guī)模較大的企業(yè)，還可設(shè)立開(kāi)發(fā)中心和數(shù)據(jù)中心，分別承擔(dān)企業(yè)的開(kāi)發(fā)任務(wù)和運(yùn)維任務(wù)。術(shù)運(yùn)行維護(hù)和企業(yè)基礎(chǔ)設(shè)施的規(guī)劃與建設(shè)。IT信息資產(chǎn)的安全管理，包括識(shí)別敏感信息、確定信息資產(chǎn)安全等級(jí)、制定信息使用企業(yè)分支機(jī)構(gòu)主要的IT相關(guān)職責(zé)為：IT開(kāi)發(fā)、運(yùn)行和維IT5IT第一道防線是使用信息系統(tǒng)的業(yè)務(wù)應(yīng)用部門(mén)、以及直接進(jìn)行信息技術(shù)開(kāi)發(fā)、測(cè)試、運(yùn)行和日常IT風(fēng)險(xiǎn)控制工作。IT風(fēng)險(xiǎn)管理、信息安全和業(yè)務(wù)連續(xù)性管理以及IT人力資源和財(cái)務(wù)、IT合規(guī)和信息標(biāo)準(zhǔn)、IT供應(yīng)商管理、機(jī)房環(huán)境管理、安全保衛(wèi)等管理職責(zé)的中后臺(tái)部門(mén)。第二道防線遵循全I(xiàn)T風(fēng)險(xiǎn)管理情況。ITIT目標(biāo)與企業(yè)戰(zhàn)略保持一致。IT部門(mén)匯報(bào)。在分支機(jī)構(gòu)層面，ITIT部門(mén)匯報(bào)。通過(guò)晨會(huì)、安全生產(chǎn)例會(huì)和生產(chǎn)事件跟蹤會(huì)等方式，組織相關(guān)方分析生產(chǎn)事件，制定處置措施并跟蹤落實(shí)。組織生產(chǎn)事件調(diào)查和責(zé)任認(rèn)定，向相關(guān)方提供事件分析報(bào)告和責(zé)任認(rèn)定報(bào)告。應(yīng)用版本上線、IT服務(wù)管理等情況，以通報(bào)的形式向管理層匯報(bào)，使管理層及時(shí)了解企業(yè)整體IT生ITIT特定任務(wù)而組建的團(tuán)隊(duì)。專業(yè)團(tuán)隊(duì)既可以縱跨企業(yè)總IT能夠充分利用企業(yè)總部與分支機(jī)構(gòu)的專家資源，發(fā)揮其專長(zhǎng)，加強(qiáng)總、分機(jī)構(gòu)的聯(lián)動(dòng)，完成特定專項(xiàng)任務(wù)。ITIT架構(gòu)管控團(tuán)隊(duì)負(fù)責(zé)企業(yè)級(jí)架構(gòu)設(shè)計(jì)和管控，包括業(yè)務(wù)架構(gòu)、數(shù)據(jù)架構(gòu)、應(yīng)用架構(gòu)、技術(shù)架構(gòu)和安全架構(gòu)。在開(kāi)發(fā)中心派駐架構(gòu)團(tuán)隊(duì)，遵循企業(yè)級(jí)架構(gòu)標(biāo)準(zhǔn)，指導(dǎo)具體項(xiàng)目方案設(shè)計(jì)。架構(gòu)團(tuán)隊(duì)的主要職責(zé)為：IT新技術(shù)發(fā)展，并將相對(duì)成熟、適用于企業(yè)的新技術(shù)納IT部門(mén)設(shè)立專職的信息安全專業(yè)團(tuán)隊(duì)，包括運(yùn)行風(fēng)險(xiǎn)監(jiān)控團(tuán)隊(duì)、安全平臺(tái)建設(shè)團(tuán)隊(duì)及IT風(fēng)險(xiǎn)管理提供支持。安全平臺(tái)建設(shè)團(tuán)隊(duì)，其主要職責(zé)為建設(shè)企業(yè)級(jí)用戶認(rèn)證、客戶認(rèn)證、密碼服務(wù)、數(shù)據(jù)安全、安全監(jiān)控、終端安全等安全基礎(chǔ)設(shè)施平臺(tái)。IT風(fēng)險(xiǎn)管理專題研究、信息安全新技術(shù)試點(diǎn)等。從技術(shù)應(yīng)用、流程控制及管理優(yōu)化等方面提出工作舉措，由總部定期組織審核發(fā)布，加強(qiáng)各分支機(jī)構(gòu)之間的工作經(jīng)驗(yàn)分享和交流。為有效應(yīng)對(duì)外部網(wǎng)絡(luò)欺詐，金融機(jī)構(gòu)、第三方支付、電子商務(wù)等企業(yè)應(yīng)完善網(wǎng)絡(luò)金融服務(wù)的安全保障機(jī)制，成立由技術(shù)人員和業(yè)務(wù)人員組成的反欺詐安全團(tuán)隊(duì)?；丶m紛涉及的資金；對(duì)惡意欺詐的行為進(jìn)行法律訴訟。IT合規(guī)總體要求和不同崗位的特點(diǎn)，分析案例，編制專題培訓(xùn)教材，并在眾多風(fēng)險(xiǎn)因素中，內(nèi)部人員是關(guān)鍵因素。因員工對(duì)安全隱患的“不知”，或借職務(wù)之便進(jìn)行企業(yè)有針對(duì)性的分析各崗位面臨信息安全風(fēng)險(xiǎn)及防范能力需求，編制面向全體員工、信息技術(shù)人員、信息安全人員、客戶營(yíng)銷(xiāo)人員的專題培訓(xùn)教材。員工信息安全技能手冊(cè)圍繞常見(jiàn)信息安全風(fēng)險(xiǎn)，用簡(jiǎn)潔的話語(yǔ)、直觀的圖形傳遞有效的信息安然災(zāi)害等方面真實(shí)的信息安全事件，使員工切身認(rèn)知安全事件產(chǎn)生的原因、過(guò)程和造成的影響。信息安全人員實(shí)務(wù)手冊(cè)提供安全問(wèn)題解決思路，介紹軟件開(kāi)發(fā)安全、系統(tǒng)建設(shè)安全、日常運(yùn)維安全和安全事件應(yīng)急處置方法，增強(qiáng)安全人員實(shí)務(wù)操作技能。針對(duì)客戶營(yíng)銷(xiāo)人員接觸客戶信息多、外出營(yíng)銷(xiāo)頻繁、系統(tǒng)使用環(huán)境復(fù)雜等特點(diǎn)，以客戶營(yíng)銷(xiāo)人明確客戶營(yíng)銷(xiāo)人員應(yīng)知應(yīng)會(huì)的常用安全操作技能，有效保護(hù)客戶信息和企業(yè)資產(chǎn)安全。培養(yǎng)各級(jí)員工的信息安全意識(shí)，鼓勵(lì)全員參與信息安全建設(shè)，力促員工安全地應(yīng)用信息技術(shù)，將低級(jí)操作錯(cuò)誤和風(fēng)險(xiǎn)隱患抑制在萌芽階段。新員工依據(jù)培訓(xùn)體系還可進(jìn)一步接受針對(duì)性培訓(xùn)，確保新員工掌握其崗位應(yīng)知的安全制度和必備的安全技能。IT風(fēng)險(xiǎn)培訓(xùn)計(jì)劃，規(guī)定不同崗位員工的必修及選修培訓(xùn)課程明確信息技術(shù)關(guān)鍵崗位、助現(xiàn)場(chǎng)、企業(yè)網(wǎng)絡(luò)學(xué)習(xí)平臺(tái)、移動(dòng)設(shè)備新媒體應(yīng)用等多種渠道開(kāi)展形式多樣的IT風(fēng)險(xiǎn)管理培訓(xùn)，根ITIT部門(mén)、業(yè)務(wù)部門(mén)和分支ITITIT與企業(yè)總體目標(biāo)和戰(zhàn)略保持一致。IT風(fēng)險(xiǎn)雙線匯報(bào)和生產(chǎn)事件溝通匯報(bào)機(jī)制，確保了利益相關(guān)者的透明度，IT面臨的問(wèn)題與風(fēng)險(xiǎn)，及時(shí)采取糾偏措施。各專業(yè)團(tuán)隊(duì)的設(shè)立，在保持IT架構(gòu)的先進(jìn)構(gòu)建完備的人員安全培訓(xùn)知識(shí)體系和培訓(xùn)機(jī)制，實(shí)現(xiàn)了不同崗位知識(shí)培訓(xùn)的全覆蓋，有效提升了員工安全意識(shí)和技能。3章IT企業(yè)制度是維系企業(yè)作為獨(dú)立組織存在的各種社會(huì)關(guān)系的總和，是企業(yè)賴以生存的體制基礎(chǔ)。企業(yè)制度傳遞董事會(huì)、監(jiān)事會(huì)和高級(jí)管理層的導(dǎo)向和指令、規(guī)范企業(yè)和員工行為，是企業(yè)有序化運(yùn)IT建設(shè)、ITITIT制度體系來(lái)管理企業(yè)信息化過(guò)程中的所有活動(dòng)，從而創(chuàng)造良好的信息化發(fā)展環(huán)境。ITIT工作實(shí)際情況制定的管理辦法、實(shí)施細(xì)則、操作規(guī)程、技術(shù)標(biāo)準(zhǔn)、手冊(cè)等規(guī)范性文件的總稱。在建立IT制度體系時(shí)，企業(yè)通常遇到“制”是制約，“度”是尺度，制度即制約之尺度。制度是約束人們行為及其相互關(guān)系的一套與部門(mén)、崗位與崗位之間的職責(zé)以及工作銜接，即通常所說(shuō)的“流程”。制度的目的是在約束人們及崗位提供可操作的制度，實(shí)現(xiàn)從目標(biāo)到操作的落地。IT制度在縱向上可分為三個(gè)層級(jí)：目標(biāo)層、6IT目標(biāo)層在與企業(yè)風(fēng)險(xiǎn)偏好保持一致的前提下，明確管理目標(biāo)，即明確做什么，包括辦法和實(shí)施細(xì)則兩個(gè)體例，辦法提出宏觀要求，細(xì)則進(jìn)一步細(xì)化要求。包括：方法層明確誰(shuí)來(lái)做、如何做，包括操作規(guī)程、標(biāo)準(zhǔn)和配置基線三個(gè)體例，操作規(guī)程明確各角色之間的分工及跨角色之間的流程，技術(shù)標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn)說(shuō)明實(shí)現(xiàn)要求的方法和程度，配置基線明確IT產(chǎn)品的配置標(biāo)準(zhǔn)。包括：操作規(guī)程：一是執(zhí)行步驟多或涉及專業(yè)方法的關(guān)鍵流程，如風(fēng)險(xiǎn)識(shí)別等；二是科技重要資產(chǎn)IT基礎(chǔ)服務(wù)平臺(tái)操作，如統(tǒng)一認(rèn)證服務(wù)平臺(tái)等。步驟層明確各崗位的具體操作步驟，即如何一步步完成所做的工作，涵蓋指南、手冊(cè)等體例。IT建設(shè)、IT運(yùn)維、IT計(jì)劃三個(gè)方面的制度框架。7ITIT8IT流程目標(biāo)：為總體ITIT可實(shí)現(xiàn)的、面向結(jié)果的和及時(shí)的SMART）流程目標(biāo)，確保這些目標(biāo)與業(yè)務(wù)目標(biāo)相關(guān)聯(lián)并采用合適的衡量指標(biāo)。PDCA工作環(huán)節(jié)，具有與其他流程接口：是指本流程需要的來(lái)自其他流程的輸入以及其他流程所需要的本流程的輸出，包括輸入輸出、接口觸發(fā)條件、接口管理責(zé)任人三項(xiàng)標(biāo)準(zhǔn)內(nèi)容。RACI模式明確區(qū)流程指標(biāo)：為支撐總體服務(wù)水平和流程的風(fēng)險(xiǎn)控制和持續(xù)改進(jìn)，制定一系列相關(guān)聯(lián)的衡量指標(biāo)來(lái)監(jiān)控流程結(jié)果和效率，設(shè)立能反映流程目標(biāo)和績(jī)效的目標(biāo)值，使流程指標(biāo)與總體服務(wù)水平指標(biāo)保持一致。例如，企業(yè)在設(shè)計(jì)信息安全管理制度框架時(shí)，在目標(biāo)層，制定信息安全管理辦法和實(shí)施細(xì)則，明確信息安全管理的目標(biāo)、范圍及策略；在方法層，制定覆蓋用戶管理、數(shù)據(jù)安全、系統(tǒng)安全、終立相應(yīng)的技術(shù)標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn)，提供達(dá)到安全管理目標(biāo)的方法和程度；在步驟層，明確各崗位的具為保證IT制度的科學(xué)性和規(guī)范性，制度流程應(yīng)包含制度計(jì)劃、制度編制、制度評(píng)審、制度發(fā)布、9ITITIT發(fā)展戰(zhàn)略以及企業(yè)信息化管理在制定具體內(nèi)容時(shí)，梳理制度領(lǐng)域中涉及的IT資產(chǎn)，分析資產(chǎn)各生命周期中面臨的風(fēng)險(xiǎn)，遵確生命周期各階段的管控要求和流程，并落實(shí)相應(yīng)責(zé)任人。IT制度編制部門(mén)組織完成制度初稿，并編制科技制度編寫(xiě)說(shuō)明，明確編制目的、編制依據(jù)、根據(jù)企業(yè)內(nèi)部、業(yè)界已發(fā)生的風(fēng)險(xiǎn)事件以及IT審計(jì)發(fā)現(xiàn)等，驗(yàn)證制度的管控措施是否能有效ITITIT制度管理部門(mén)負(fù)責(zé)組織落IT相關(guān)法律、法規(guī)、監(jiān)管要求發(fā)生變化，以及發(fā)生重大科技風(fēng)險(xiǎn)事件或發(fā)現(xiàn)重大科技隱患時(shí)，企業(yè)要及時(shí)組織制度重檢。重檢內(nèi)容分為制度體系重檢和具體制度重檢兩個(gè)層面：制度體系重不同制度之間控制不一致、控制要求不明確等情況。IT制度管理部門(mén)應(yīng)定期收集整理制度執(zhí)行中的各類意見(jiàn)、制度重檢結(jié)果以及制度補(bǔ)充性或ITITIT制度進(jìn)ITIT管理提供了指南。運(yùn)用業(yè)界標(biāo)準(zhǔn)庫(kù)，可方便查詢各領(lǐng)域下的最佳實(shí)踐和標(biāo)準(zhǔn)，在制度制定和IT制度。ITIT建設(shè)、IT運(yùn)維、ITIT活動(dòng)全生命周期流程。IT制度在IT“做什么、誰(shuí)來(lái)做、如何做”等問(wèn)題，實(shí)現(xiàn)了ITITITIT制度持續(xù)優(yōu)化提供參考和依據(jù)。4章業(yè)務(wù)架構(gòu)企業(yè)進(jìn)行系統(tǒng)開(kāi)發(fā)時(shí)，通常根據(jù)各部門(mén)、各領(lǐng)域的業(yè)務(wù)需求，用各自不同的方法去分析其流程ITIT系統(tǒng)建設(shè)模式，越來(lái)越難以適應(yīng)企業(yè)的業(yè)務(wù)創(chuàng)新和發(fā)展，有必要通過(guò)引進(jìn)企業(yè)級(jí)建模方法，在整合業(yè)務(wù)需求的基礎(chǔ)上，建立企業(yè)級(jí)業(yè)務(wù)架構(gòu)，并通過(guò)企業(yè)級(jí)架構(gòu)管控IT系統(tǒng)建設(shè)模式實(shí)現(xiàn)企IT架構(gòu)、一套實(shí)施工藝、一套管理流程”，從根本上改變了以往由部門(mén)提出需求，分散設(shè)計(jì)、分散實(shí)施的研發(fā)模式，支持企業(yè)業(yè)務(wù)轉(zhuǎn)型發(fā)展。企業(yè)級(jí)業(yè)務(wù)架構(gòu)是保障業(yè)務(wù)創(chuàng)新和運(yùn)營(yíng)、實(shí)現(xiàn)價(jià)值交付的核心，也是企業(yè)級(jí)IT系統(tǒng)建設(shè)模式的關(guān)鍵，任何企業(yè)都應(yīng)構(gòu)建自己的業(yè)務(wù)架構(gòu)，而要構(gòu)建業(yè)務(wù)架構(gòu)必須使用一套有效的業(yè)務(wù)建模方法。傳統(tǒng)的業(yè)務(wù)建模更多聚焦在某個(gè)具體業(yè)務(wù)的模型拆解和設(shè)計(jì)，未能上升到企業(yè)整個(gè)價(jià)值鏈層面，難以形成企業(yè)級(jí)業(yè)務(wù)架構(gòu)。業(yè)務(wù)架構(gòu)是業(yè)務(wù)及用于支持業(yè)務(wù)運(yùn)行的結(jié)構(gòu)，涵蓋了企業(yè)的目標(biāo)、流程、資源、信息以及相互對(duì)業(yè)務(wù)流程和信息集合的整體描述，還包括在實(shí)施層面提出并落實(shí)業(yè)務(wù)能力解決方案。業(yè)務(wù)架構(gòu)承接企業(yè)戰(zhàn)略、發(fā)展規(guī)劃，對(duì)企業(yè)發(fā)展起著關(guān)鍵的作用，當(dāng)企業(yè)的戰(zhàn)略能力被分解到最細(xì)顆粒度并內(nèi)化整合在業(yè)務(wù)流程中，且企業(yè)的所有員工能夠遵循流程、執(zhí)行流程時(shí)，戰(zhàn)略才能得以執(zhí)行并逐步實(shí)現(xiàn)。企業(yè)業(yè)務(wù)模型通常由流程模型、產(chǎn)品模型、數(shù)據(jù)模型組成，并且作為擴(kuò)展，還可以包括以提高生產(chǎn)效率和避免操作性錯(cuò)誤為核心目的的用戶體驗(yàn)?zāi)Ｐ汀Ｆ渲辛鞒棠Ｐ腕w現(xiàn)創(chuàng)造價(jià)值的過(guò)程，產(chǎn)品模型體現(xiàn)創(chuàng)新和定制化制造，數(shù)據(jù)模型體現(xiàn)對(duì)業(yè)務(wù)信息的抽象，用戶體驗(yàn)?zāi)Ｐ腕w現(xiàn)對(duì)外部客戶、內(nèi)部用戶的友好程度和服務(wù)程度。構(gòu)建企業(yè)級(jí)業(yè)務(wù)架構(gòu)不僅是一套方法，更是一套全新的企業(yè)轉(zhuǎn)型理念。它能夠更好的幫助業(yè)務(wù)IT部門(mén)認(rèn)識(shí)業(yè)務(wù)，找出差異，將戰(zhàn)略目標(biāo)融入到日常業(yè)務(wù)中。企業(yè)級(jí)業(yè)務(wù)架構(gòu)構(gòu)建應(yīng)遵循以下原則：企業(yè)級(jí)業(yè)務(wù)架構(gòu)是業(yè)務(wù)的統(tǒng)一視圖，按照價(jià)值鏈劃分創(chuàng)造價(jià)值的業(yè)務(wù)領(lǐng)域，全面識(shí)別企業(yè)為股構(gòu)建企業(yè)級(jí)業(yè)務(wù)架構(gòu)的主導(dǎo)思想是從創(chuàng)造價(jià)值的角度梳理各業(yè)務(wù)條線，以價(jià)值創(chuàng)造為原則識(shí)別關(guān)鍵業(yè)務(wù)活動(dòng)，用還原業(yè)務(wù)本質(zhì)的分析方法整合標(biāo)準(zhǔn)化業(yè)務(wù)流程，以模型化的方式描述業(yè)務(wù)規(guī)則。業(yè)務(wù)模型通過(guò)多個(gè)維度滿足業(yè)務(wù)運(yùn)營(yíng)和管理的需要，主要包括兩方面內(nèi)容：用戶視角業(yè)務(wù)領(lǐng)域和能力視角業(yè)務(wù)組件。用戶視角業(yè)務(wù)領(lǐng)域是由一組企業(yè)級(jí)視角的統(tǒng)一活動(dòng)構(gòu)成，用于業(yè)務(wù)部門(mén)完整、清晰的描述其業(yè)務(wù)流程。它從產(chǎn)品服務(wù)和業(yè)務(wù)管理兩方面進(jìn)行定義，并遵循以下原則：每個(gè)用戶視角業(yè)務(wù)領(lǐng)域都是基于具體業(yè)務(wù)目的的企業(yè)級(jí)視角統(tǒng)一活動(dòng)的組合、每個(gè)用戶視角業(yè)務(wù)領(lǐng)域都是企業(yè)級(jí)視角統(tǒng)一活動(dòng)的子集、用戶視角業(yè)務(wù)領(lǐng)域可反映企業(yè)業(yè)務(wù)的真實(shí)狀況。業(yè)務(wù)組件是從能力角度來(lái)洞察企業(yè)的商業(yè)模式和業(yè)務(wù)行為，是具有相似資源、人和專業(yè)技能的控制風(fēng)險(xiǎn)與成本并提高業(yè)務(wù)靈活性。標(biāo)準(zhǔn)化是企業(yè)業(yè)務(wù)架構(gòu)自始至終要堅(jiān)持的原則，應(yīng)形成一套唯一的業(yè)務(wù)術(shù)語(yǔ)，統(tǒng)一模型要素的稱與要素的描述匹配，清楚、準(zhǔn)確的表達(dá)業(yè)務(wù)目的；唯一性原則，同一要素的要素名稱及其含義必時(shí)間、地域等，能支持各種需求；復(fù)用性原則，能夠清晰的界定要素邊界，合并業(yè)務(wù)目的相似、手段相似、產(chǎn)出相似的情況，滿足不同角色在不同流程中自由組合要素的要求。模型化業(yè)務(wù)規(guī)則目的是去除CPC（客戶、產(chǎn)品、渠道）的差異化，整合業(yè)務(wù)規(guī)則，從如何處理業(yè)務(wù)的角度出發(fā)描述在什么條件下可以做什么、不可以做什么。模型化的業(yè)務(wù)規(guī)則是一個(gè)全集，反映了業(yè)務(wù)處理能力和管理水平。如“檢查客戶借記卡申請(qǐng)張數(shù)”步驟，業(yè)務(wù)規(guī)則中描述“1AB主卡一人只允許申請(qǐng)一張；2C一人只允許申請(qǐng)一張；3、附卡申請(qǐng)張數(shù)小于等于兩張??”。而子步驟“檢查客戶持有借記卡產(chǎn)品限制”又可進(jìn)一步模型化：1）讀取借記卡產(chǎn)品信息，獲取客戶能持有的本產(chǎn)品合約個(gè)數(shù)限制；2）獲取客戶已持有的本產(chǎn)品合約數(shù)；3）如果已持有產(chǎn)品合約=客戶允許合約數(shù)，則不允許建立本次合約。A、B、C、附卡，還可方便支持未來(lái)的各種卡種，企業(yè)轉(zhuǎn)型和變革的關(guān)鍵是以客戶為中心，與客戶實(shí)現(xiàn)良好的互動(dòng)，給客戶超出預(yù)期的體驗(yàn)，使客戶體驗(yàn)成為企業(yè)的關(guān)鍵競(jìng)爭(zhēng)力。業(yè)務(wù)架構(gòu)要從外部視角出發(fā)定義內(nèi)部工作流程，定義客戶與企業(yè)隨著全球化商業(yè)平臺(tái)的成熟，企業(yè)管理層開(kāi)始關(guān)注如何在整個(gè)企業(yè)層面上進(jìn)行優(yōu)化，引入業(yè)務(wù)?波特（MichaelPorter）提出的“價(jià)值鏈分析法”，把企業(yè)內(nèi)外價(jià)值增加的活動(dòng)分為基本活動(dòng)和支持性活動(dòng)，基本活動(dòng)涉及企業(yè)生產(chǎn)、銷(xiāo)售、進(jìn)料后勤、發(fā)貨后勤、售后服務(wù)；支持性活動(dòng)涉及人事、財(cái)務(wù)、計(jì)劃、研究與開(kāi)發(fā)、采購(gòu)等，基本活動(dòng)和支持性活動(dòng)構(gòu)成了企業(yè)的價(jià)值鏈。企業(yè)級(jí)業(yè)務(wù)建模以流程建模分析方法為主線，自頂而下從企業(yè)戰(zhàn)略目標(biāo)、實(shí)踐經(jīng)驗(yàn)和現(xiàn)狀問(wèn)題入手，分析設(shè)計(jì)業(yè)務(wù)解決方案和相應(yīng)的能力需求，通過(guò)對(duì)具體流程步驟的分析得出改進(jìn)點(diǎn)，同時(shí)識(shí)別對(duì)應(yīng)的基礎(chǔ)產(chǎn)品和業(yè)務(wù)信息，實(shí)現(xiàn)與數(shù)據(jù)模型和產(chǎn)品模型的關(guān)聯(lián)。本實(shí)踐簡(jiǎn)要介紹了五級(jí)流程建模方法以及流程模型如何與其它模型的對(duì)接。10流程的一級(jí)和二級(jí)是業(yè)務(wù)功能的分組，第三級(jí)、第四級(jí)和第五級(jí)流程是執(zhí)行層的流程。其中第三級(jí)（亦稱為活動(dòng)）是企業(yè)級(jí)視角完成某個(gè)具有明確目的、創(chuàng)造價(jià)值的端到端流程；第四級(jí)（為任務(wù)第五級(jí)（亦稱為步驟）描述了員工為完成四級(jí)流程所需要執(zhí)行的具體步驟。業(yè)務(wù)戰(zhàn)略需要細(xì)化、具體化并體現(xiàn)在三級(jí)、四級(jí)和五級(jí)執(zhí)行層面的流程中，才能保證被貫徹執(zhí)行。梳理企業(yè)高階業(yè)務(wù)需求，形成業(yè)務(wù)能力需求：業(yè)務(wù)建模承接企業(yè)高階業(yè)務(wù)需求，從中提煉出二是業(yè)界領(lǐng)先實(shí)踐的成果，了解到先進(jìn)企業(yè)所需具備的業(yè)務(wù)能力；三是現(xiàn)有業(yè)務(wù)現(xiàn)狀，掌握當(dāng)前企業(yè)已經(jīng)具備的業(yè)務(wù)能力。整合業(yè)務(wù)能力，建立業(yè)務(wù)組件模型：將上述獲得的業(yè)務(wù)能力進(jìn)行整合，使之變成一個(gè)由不同又能作為單獨(dú)實(shí)體運(yùn)行，這些模塊稱為“業(yè)務(wù)組件”。業(yè)務(wù)組件是企業(yè)的基本建筑單元，它們彼此松散連接，但可以很靈活的根據(jù)業(yè)務(wù)需要組合起來(lái)形成企業(yè)的業(yè)務(wù)能力。逐層細(xì)化分解，形成完整業(yè)務(wù)模型：針對(duì)每個(gè)業(yè)務(wù)組件進(jìn)行逐層流程分解，一直分解到最底層的五級(jí)步驟。流程分解到五級(jí)步驟意味著這些流程已抽離不穩(wěn)定的變量因子，成為最基礎(chǔ)、也是最穩(wěn)定的業(yè)務(wù)操作步驟，最能體現(xiàn)企業(yè)的業(yè)務(wù)價(jià)值。將每個(gè)業(yè)務(wù)組件全部剝離CPC變量因子后的業(yè)（三級(jí)活動(dòng)（四級(jí)任務(wù)述和業(yè)務(wù)規(guī)則（五級(jí)步驟）CPC化后的業(yè)務(wù)操作流程的輸入與輸出項(xiàng)（如存款的幣種、期整合后就形成了企業(yè)的數(shù)據(jù)模型。流程模型與數(shù)據(jù)模型的對(duì)接：在流程模型中，每個(gè)步驟均需與數(shù)據(jù)模型的實(shí)體進(jìn)行關(guān)聯(lián)。步驟中的業(yè)務(wù)規(guī)則描述了需要讀取的實(shí)體信息（輸入項(xiàng)），以及業(yè)務(wù)規(guī)則處理后創(chuàng)建或修改的實(shí)體信息（輸出項(xiàng)），在關(guān)聯(lián)信息欄中將實(shí)體信息以及它的操作類型進(jìn)行標(biāo)注，以保持兩個(gè)模型的一致。每個(gè)數(shù)據(jù)實(shí)體都有流程進(jìn)行創(chuàng)建和讀取，每個(gè)任務(wù)都有數(shù)據(jù)實(shí)體的創(chuàng)建。流程模型與產(chǎn)品模型的對(duì)接：流程模型四級(jí)任務(wù)中抽離變量因子的“產(chǎn)品”是基礎(chǔ)產(chǎn)品，如在業(yè)務(wù)規(guī)則上區(qū)分不同可售產(chǎn)品執(zhí)行規(guī)則的差異，應(yīng)通過(guò)產(chǎn)品條件，賦予不同的取值執(zhí)行不同的業(yè)子涉及“產(chǎn)品”時(shí)，有可能關(guān)聯(lián)產(chǎn)品條件。業(yè)務(wù)建模成果除了展現(xiàn)業(yè)務(wù)架構(gòu)、體現(xiàn)業(yè)務(wù)能力之外，將業(yè)務(wù)需求中與IT相關(guān)的內(nèi)容轉(zhuǎn)化成為務(wù)組件層級(jí)的粒度，因?yàn)闃I(yè)務(wù)組件代表企業(yè)的最小業(yè)務(wù)能力。與業(yè)務(wù)建模成果相對(duì)應(yīng)，IT架構(gòu)中的企業(yè)級(jí)業(yè)務(wù)架構(gòu)是保障整體企業(yè)業(yè)務(wù)創(chuàng)新和運(yùn)營(yíng)、實(shí)現(xiàn)價(jià)值交付的核心，也是企業(yè)級(jí)IT系統(tǒng)建設(shè)模式的關(guān)鍵。企業(yè)級(jí)建模方法遵循業(yè)務(wù)統(tǒng)一視圖、標(biāo)準(zhǔn)化、模型化等原則，構(gòu)建了從企業(yè)級(jí)價(jià)值鏈到業(yè)務(wù)操作步驟的業(yè)務(wù)全景視圖，實(shí)現(xiàn)了企業(yè)級(jí)流程共享，并通過(guò)業(yè)務(wù)規(guī)則、產(chǎn)品參數(shù)化實(shí)現(xiàn)快速支持業(yè)務(wù)創(chuàng)新。5章ITITIT應(yīng)用的一套完整模型和標(biāo)準(zhǔn)，是描述業(yè)務(wù)流程、應(yīng)用、數(shù)據(jù)和技術(shù)等各個(gè)方面要素的結(jié)構(gòu)及其關(guān)系的總體規(guī)劃藍(lán)圖。業(yè)界IT架構(gòu)通常由業(yè)務(wù)架構(gòu)、數(shù)IT的一個(gè)重要屬性，貫穿數(shù)據(jù)、應(yīng)用、系統(tǒng)等各個(gè)層面，為此，將安全架IT架構(gòu)。為更好地服務(wù)客戶，企業(yè)不斷創(chuàng)新業(yè)務(wù)產(chǎn)品，并要求IT能支撐新產(chǎn)品的快速部署或調(diào)整以滿足IT架構(gòu)時(shí)，通常會(huì)遇到以下問(wèn)題：ITIT架構(gòu)應(yīng)站在服務(wù)企業(yè)整體發(fā)展目標(biāo)的角度，全面支撐業(yè)務(wù)流程、產(chǎn)品、信息、渠道等，遵循“采用面向IT融合、以客戶為中心、實(shí)現(xiàn)快速產(chǎn)品創(chuàng)新”的原則：（SOA數(shù)據(jù)已成為企業(yè)的重要資產(chǎn)，數(shù)據(jù)治理越來(lái)越受到重視。而數(shù)據(jù)架構(gòu)是企業(yè)數(shù)據(jù)治理的關(guān)鍵，實(shí)現(xiàn)了數(shù)據(jù)標(biāo)準(zhǔn)化，為數(shù)據(jù)質(zhì)量保證和數(shù)據(jù)管控提供基礎(chǔ)。為解決數(shù)據(jù)架構(gòu)中存在的完整性和一致前數(shù)據(jù)問(wèn)題，也建立長(zhǎng)效機(jī)制，讓數(shù)據(jù)始終處于一種可控可用的狀態(tài)，即讓數(shù)據(jù)“生態(tài)環(huán)境”具有自我調(diào)節(jié)、適應(yīng)外部變化的能力。IT架構(gòu)的基礎(chǔ)和核心，它從總體的視角描述了企業(yè)經(jīng)營(yíng)管理所需數(shù)據(jù)的整體結(jié)在企業(yè)范圍內(nèi)，規(guī)范一致的數(shù)據(jù)定義和描述是采集、加工、使用數(shù)據(jù)的前提和基礎(chǔ)。在設(shè)計(jì)企實(shí)體包含的屬性以及實(shí)體之間關(guān)系的定義，以形成企業(yè)級(jí)數(shù)據(jù)統(tǒng)一視圖。數(shù)據(jù)按組織形式可分為結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，都涉及模型設(shè)計(jì)方法。結(jié)構(gòu)化數(shù)據(jù)模型自頂向下可分為若干層次，將企業(yè)經(jīng)營(yíng)管理所需要的數(shù)據(jù)從數(shù)據(jù)的本源出發(fā)分為若干主題域，采用層次分類結(jié)構(gòu)對(duì)主題域進(jìn)一步細(xì)分和規(guī)范，形成企業(yè)級(jí)的語(yǔ)義模型，采用第三范式的方式按業(yè)務(wù)對(duì)象進(jìn)行統(tǒng)籌整合，形成邏輯數(shù)據(jù)模型，逐步按照降范式、實(shí)體拆分等形成應(yīng)用級(jí)數(shù)據(jù)模型。定各主題域的基礎(chǔ)實(shí)體、屬性實(shí)體以及兩者之間的關(guān)系實(shí)體，最后確定實(shí)體的關(guān)鍵屬性，這樣逐級(jí)細(xì)化，形成層次清晰的企業(yè)級(jí)邏輯數(shù)據(jù)模型。邏輯模型的建立，通常采用自上而下與自下而上相結(jié)合的方法。11A、B、C、C’0、CD六個(gè)層A、B、C模型是概念模型，C’模型是邏輯模型，D模型是物理模型，C’0模分類、業(yè)務(wù)方向、事件、資源項(xiàng)；B模型基于A模型、采用層次分類結(jié)構(gòu)對(duì)數(shù)據(jù)進(jìn)一步細(xì)分和規(guī)范，形成企業(yè)級(jí)的語(yǔ)義模型；C模型將B模型定義的數(shù)據(jù)采用第三范式的方式按業(yè)務(wù)對(duì)象進(jìn)行統(tǒng)籌整合，形成標(biāo)準(zhǔn)規(guī)范的數(shù)據(jù)模型；C’0C模型從應(yīng)用的角度按實(shí)體粒模型基礎(chǔ)之上考慮應(yīng)用系統(tǒng)具體實(shí)施層面的要求，進(jìn)行降范式和實(shí)體拆分等操作后形成的；D模型則是在C’模型基礎(chǔ)上考慮系統(tǒng)性能等因素，并結(jié)合數(shù)據(jù)庫(kù)管理系統(tǒng)的特點(diǎn)進(jìn)行優(yōu)化而形成的物理數(shù)據(jù)非結(jié)構(gòu)化數(shù)據(jù)是指在業(yè)務(wù)開(kāi)展過(guò)程中產(chǎn)生的，無(wú)法用關(guān)系數(shù)據(jù)庫(kù)管理的各種數(shù)據(jù)。企業(yè)內(nèi)部所eb網(wǎng)頁(yè)、廣告、程序、軟件、音頻、視頻以及流媒體等。為加強(qiáng)非結(jié)構(gòu)化數(shù)據(jù)的分析和應(yīng)用，需要對(duì)非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行統(tǒng)一定義，包括非結(jié)構(gòu)化數(shù)據(jù)對(duì)象本身、對(duì)應(yīng)技術(shù)元數(shù)據(jù)及關(guān)鍵字索引。應(yīng)用架構(gòu)向上承接了企業(yè)戰(zhàn)略發(fā)展方向和業(yè)務(wù)模式，向下指導(dǎo)企業(yè)IT系統(tǒng)的定位和功能，定義了系統(tǒng)的邊界和系統(tǒng)間的關(guān)系等內(nèi)容，統(tǒng)一了應(yīng)用系統(tǒng)建設(shè)原則和標(biāo)準(zhǔn)，為企業(yè)IT治理起到非常重ITIT技術(shù)的發(fā)展，應(yīng)用系統(tǒng)越來(lái)越復(fù)雜，應(yīng)用架構(gòu)從最初的單機(jī)式開(kāi)始，逐步發(fā)展為分布式，到目前比SOA架構(gòu)。單機(jī)式架構(gòu)只有一個(gè)應(yīng)用，部署在一臺(tái)服務(wù)器，將應(yīng)用按照功能分割，降低了業(yè)務(wù)復(fù)雜性，模后期難以維護(hù)。API接口互相關(guān)聯(lián)，應(yīng)用內(nèi)部高內(nèi)聚，應(yīng)用之間松耦合。這種架構(gòu)業(yè)務(wù)邊界清晰，支持大項(xiàng)目并行開(kāi)發(fā)，但一般API調(diào)用缺SOAAPI和后端進(jìn)行關(guān)聯(lián)，而是通過(guò)后端提供的服務(wù)共享業(yè)務(wù)邏輯，每個(gè)服務(wù)都是獨(dú)立部署，調(diào)用靈活。服務(wù)間通過(guò)定義良好的接口聯(lián)系起應(yīng)用架構(gòu)的設(shè)計(jì)、規(guī)劃應(yīng)遵循統(tǒng)一的原則和要求，形成統(tǒng)一標(biāo)準(zhǔn)體系。尤其大型應(yīng)用系統(tǒng)的開(kāi)IT架構(gòu)分層是對(duì)架構(gòu)整體復(fù)雜性進(jìn)行解構(gòu)的方法。其中，“關(guān)注點(diǎn)分離”是面向服務(wù)的架構(gòu)的核劃分成不同的層次和平臺(tái)。應(yīng)用的具體開(kāi)發(fā)應(yīng)該滿足特定的架構(gòu)規(guī)范，才能確保符合應(yīng)用架構(gòu)的整體要求。一體化服務(wù)原則：以面向服務(wù)的架構(gòu)設(shè)計(jì)，采用分層和劃分平臺(tái)的方式，合理規(guī)劃企業(yè)業(yè)務(wù)企業(yè)應(yīng)建立以客戶為中心、面向服務(wù)的應(yīng)用架構(gòu)，由應(yīng)用和應(yīng)用組件實(shí)現(xiàn)，為客戶提供產(chǎn)品和服務(wù)。架構(gòu)設(shè)計(jì)可從兩個(gè)層面考慮：一是從客戶（包括外部客戶和內(nèi)部員工）的角度，需要整合企二是從企業(yè)角度，需要整合企業(yè)級(jí)IT通過(guò)業(yè)界先進(jìn)的面向服務(wù)的架構(gòu)模型，遵循層次化、組件化設(shè)計(jì)理念，對(duì)企業(yè)業(yè)務(wù)抽象化，搭I(lǐng)T架構(gòu)體系。12七層架構(gòu)實(shí)現(xiàn)了渠道與流程、應(yīng)用與數(shù)據(jù)、產(chǎn)品操作型和管理分析型處理的分離；通過(guò)各平臺(tái)能力和平臺(tái)間協(xié)同，支持卓越的客戶體驗(yàn)、面向客戶的集成服務(wù)、快速產(chǎn)品部署、高質(zhì)量的數(shù)據(jù)服務(wù)和優(yōu)化的企業(yè)級(jí)管理能力。分別為：渠道整合層：通過(guò)標(biāo)準(zhǔn)化接入手段接受來(lái)自不同渠道的業(yè)務(wù)請(qǐng)求，處理并封裝來(lái)自不同渠道的數(shù)據(jù)，調(diào)用后臺(tái)業(yè)務(wù)服務(wù)并返回運(yùn)行結(jié)果。客戶服務(wù)整合層：從客戶視角出發(fā)，整合端到端的客戶服務(wù)流程，為外部客戶提供集成服務(wù)，同時(shí)為企業(yè)內(nèi)部用戶提供操作各類后臺(tái)業(yè)務(wù)的集成服務(wù)。應(yīng)用集成層：通過(guò)標(biāo)準(zhǔn)化方式接受來(lái)自客戶服務(wù)整合層的服務(wù)請(qǐng)求，為其屏蔽后臺(tái)業(yè)務(wù)服務(wù)的技術(shù)特性，并以一致的形式返回服務(wù)結(jié)果。外聯(lián)集成層：連接各類外部系統(tǒng)，完成協(xié)議轉(zhuǎn)換、報(bào)文轉(zhuǎn)發(fā)等，提供實(shí)時(shí)和非實(shí)時(shí)的服務(wù)，為內(nèi)部系統(tǒng)屏蔽技術(shù)特性。數(shù)據(jù)集成層：對(duì)產(chǎn)品服務(wù)層的各類數(shù)據(jù)，進(jìn)行整合維度分析，提供一致的面向數(shù)據(jù)的集成服務(wù)和周期性、大規(guī)模數(shù)據(jù)的批量處理，為產(chǎn)品服務(wù)層和管理分析層提供一致的數(shù)據(jù)服務(wù)。IT系統(tǒng)基于這十二個(gè)統(tǒng)一、標(biāo)準(zhǔn)的平臺(tái)進(jìn)行開(kāi)發(fā)，P1外部客戶渠道整合服務(wù)平臺(tái)：受理企業(yè)外部客戶使用不同終端設(shè)備，不同客戶端軟件的業(yè)務(wù)請(qǐng)求，對(duì)后端業(yè)務(wù)受理系統(tǒng)屏蔽終端設(shè)備和請(qǐng)求協(xié)議的差異，統(tǒng)一封裝不同的渠道業(yè)務(wù)數(shù)據(jù)，調(diào)用后臺(tái)業(yè)務(wù)服務(wù)并接收請(qǐng)求服務(wù)返回結(jié)果，將結(jié)果數(shù)據(jù)和終端設(shè)備、客戶端軟件的渠道展示特性進(jìn)行適配轉(zhuǎn)換，返回渠道。P2內(nèi)部員工渠道整合平臺(tái)：受理企業(yè)員工使用不同終端設(shè)備，不同客戶端軟件的業(yè)務(wù)請(qǐng)求，對(duì)后端業(yè)務(wù)受理系統(tǒng)屏蔽終端設(shè)備和請(qǐng)求協(xié)議的差異，統(tǒng)一封裝不同的渠道業(yè)務(wù)數(shù)據(jù)，調(diào)用后臺(tái)業(yè)務(wù)返回渠道。P3客戶服務(wù)整合平臺(tái)：整合端到端的客戶服務(wù)流程，為客戶提供集成的服務(wù)，提供面向不同用P4應(yīng)用集成平臺(tái)：為客戶服務(wù)整合層及渠道整合層（其他層）提供標(biāo)準(zhǔn)化的服務(wù)調(diào)用功能，通過(guò)標(biāo)準(zhǔn)化方式接受來(lái)自客戶服務(wù)整合層的服務(wù)請(qǐng)求，為其屏蔽后臺(tái)業(yè)務(wù)服務(wù)的技術(shù)特性，并以一致的形式返回服務(wù)結(jié)果。P5外聯(lián)集成服務(wù)平臺(tái)：提供與外部機(jī)構(gòu)系統(tǒng)間的服務(wù)交互，連接各類外部系統(tǒng)服務(wù)，完成協(xié)議統(tǒng)的獨(dú)立性和內(nèi)外系統(tǒng)的松耦合。P6-P8產(chǎn)品服務(wù)平臺(tái)：構(gòu)建在數(shù)據(jù)組件、技術(shù)組件基礎(chǔ)上，由多個(gè)公共應(yīng)用組件和服務(wù)組成用P9數(shù)據(jù)集成平臺(tái)：數(shù)據(jù)集成服務(wù)平臺(tái)整合企業(yè)范圍內(nèi)的各類數(shù)據(jù)，為產(chǎn)品服務(wù)層和管理分析層提供一致的數(shù)據(jù)服務(wù)，具有海量數(shù)據(jù)存儲(chǔ)能力、數(shù)據(jù)模型能力、大數(shù)據(jù)量分區(qū)能力、大批量處理的（P10-P12管理分析平臺(tái)：按照業(yè)務(wù)應(yīng)用需求從數(shù)據(jù)集成層讀取數(shù)據(jù)，以合適的展現(xiàn)形式支持業(yè)技術(shù)架構(gòu)是支持應(yīng)用和數(shù)據(jù)具體需求實(shí)現(xiàn)的技術(shù)平臺(tái)和組件的統(tǒng)稱。遵循企業(yè)級(jí)、組件化、面向服務(wù)的架構(gòu)SOA）設(shè)計(jì)思想，企業(yè)級(jí)技術(shù)架構(gòu)實(shí)現(xiàn)了技術(shù)組件、技術(shù)服務(wù)、部署模式及運(yùn)維管ITIT資源的有效供給，支撐業(yè)務(wù)應(yīng)用的靈活、快速的部署和擴(kuò)展。技術(shù)架構(gòu)定義了支持應(yīng)用和數(shù)據(jù)的基礎(chǔ)技術(shù)平臺(tái)和組件，并明確了平臺(tái)和組件的邊界、范圍和關(guān)聯(lián)關(guān)系。每個(gè)應(yīng)用架構(gòu)模式代表一種應(yīng)用部署的典型關(guān)系，技術(shù)架構(gòu)可根據(jù)不同的應(yīng)用架構(gòu)模式明確所需的技術(shù)部件，同時(shí)根據(jù)應(yīng)用架構(gòu)分層明確不同的物理技術(shù)平臺(tái)及各平臺(tái)所需要部署的技術(shù)部件，之后考慮用戶的性質(zhì)差異和應(yīng)用模式推導(dǎo)出所需的系統(tǒng)，最后結(jié)合物理應(yīng)用架構(gòu)和數(shù)據(jù)架構(gòu)定義出物理系統(tǒng)。技術(shù)架構(gòu)設(shè)計(jì)原則是指為落實(shí)IT規(guī)劃，確保技術(shù)架構(gòu)策略和標(biāo)準(zhǔn)的嚴(yán)格貫徹執(zhí)行，用以指導(dǎo)企集中部署原則：從企業(yè)級(jí)角度采用集中部署原則，集中利用IT資源。同時(shí)，應(yīng)考慮設(shè)立多個(gè)設(shè)計(jì)和建設(shè)的原則，以保證端到端的設(shè)計(jì)一致性，降低實(shí)施和支持ITIT技術(shù)架構(gòu)為建立以客戶為中心、面向服務(wù)的架構(gòu)，更好地支撐業(yè)務(wù)應(yīng)用，提供企業(yè)級(jí)穩(wěn)定運(yùn)行、快速供給能力，技術(shù)架構(gòu)的設(shè)計(jì)需滿足以下幾方面要求：技術(shù)服務(wù)是指一組含有非功能性需求“能力”的描述，技術(shù)服務(wù)的識(shí)別來(lái)自于業(yè)務(wù)能力需求和非功能性需求組合。技術(shù)組件是根據(jù)技術(shù)服務(wù)的相似性，以及在一個(gè)統(tǒng)一的“容器”內(nèi)實(shí)現(xiàn)技術(shù)服務(wù)的可能性（包括一些業(yè)界最佳實(shí)踐）所總結(jié)并定義，是支持業(yè)務(wù)和應(yīng)用的一組技術(shù)部件統(tǒng)一視圖，一個(gè)組件可以實(shí)現(xiàn)多個(gè)技術(shù)服務(wù)，以使其可以被統(tǒng)一的描述和有效地部署?；A(chǔ)架構(gòu)層組件為上層提供處理器、存儲(chǔ)以及網(wǎng)絡(luò)資源，采用虛擬化、云計(jì)算技術(shù)，形成虛擬的資源池，動(dòng)態(tài)地為應(yīng)用提供服務(wù)，資源利用率和可靠性得到進(jìn)一步提高。IT服務(wù)管理組件是統(tǒng)一調(diào)度資源，實(shí)現(xiàn)云服務(wù)的控制點(diǎn)，從而使得上述的各個(gè)體系能夠有效地集成在一起。資源調(diào)度時(shí)通過(guò)供應(yīng)一組服務(wù)以及服務(wù)集成的體系，并通過(guò)預(yù)置的配置系統(tǒng)來(lái)管理整體的架構(gòu)運(yùn)行。通用服務(wù)組件是一組被各應(yīng)用系統(tǒng)廣泛引用的功能性以及非功能性組件。它使運(yùn)行環(huán)境更加易于管理，能夠更快地響應(yīng)應(yīng)用需求的變化，更好地支持面向服務(wù)的架構(gòu)體系SOA）。通用服務(wù)是可以被共享使用的應(yīng)用類技術(shù)服務(wù)，通過(guò)對(duì)通用技術(shù)的服務(wù)化和集成，提供符合SOA標(biāo)準(zhǔn)或者業(yè)界通用標(biāo)準(zhǔn)的接口，支持每個(gè)技術(shù)服務(wù)的企業(yè)級(jí)部署和服務(wù)提供。底層的技術(shù)組件經(jīng)由分解、推導(dǎo)、歸納等過(guò)程組合成可被快速部署的部署單元DU），部署單12服務(wù)主要采用云計(jì)算的方式進(jìn)行部署。部署單元是根據(jù)各個(gè)不同平臺(tái)的需求，將多個(gè)技術(shù)組件資源，資源上加載的中間件以及和獨(dú)立的技術(shù)服務(wù)集成的服務(wù)接口。部署模式是技術(shù)服務(wù)在部署時(shí)IT服務(wù)管理組件控制，該組件既管理系統(tǒng)初始化時(shí)安裝“部署單元”的當(dāng)每個(gè)部署單元定義明確后，需要從統(tǒng)一的資源池中獲得其所需的部署資源。資源池的目標(biāo)是提供統(tǒng)一的，可被調(diào)度的標(biāo)準(zhǔn)資源體系，以使得資源供給和服務(wù)集成“快速、標(biāo)準(zhǔn)、可靠”。底層硬件如服務(wù)器，存儲(chǔ)和網(wǎng)絡(luò)資源，這些資源構(gòu)成了基礎(chǔ)架構(gòu)云（IaaS）環(huán)境的基本組成單元；應(yīng)用運(yùn)行所需的軟件資源如操作系統(tǒng)、數(shù)據(jù)庫(kù)和中間件需要從軟件的映像資源庫(kù)中獲得，并在分配時(shí)完成基礎(chǔ)部署，這些資源構(gòu)成了平臺(tái)級(jí)云（PaaS）環(huán)境的基本組成單元。IT架構(gòu)不可或缺的內(nèi)容，能夠有效保護(hù)企業(yè)信息資產(chǎn)，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行，保護(hù)企業(yè)數(shù)據(jù)安全，構(gòu)建主動(dòng)的安全防御體系，適應(yīng)未來(lái)新技術(shù)發(fā)展趨勢(shì)，建設(shè)面向服務(wù)的安全架構(gòu)體系，有效應(yīng)對(duì)企業(yè)面臨的攻擊和威脅、新技術(shù)帶來(lái)的挑戰(zhàn)，滿足內(nèi)外部監(jiān)管要求。安全形成集中、統(tǒng)一、靈活、智能的信息安全保障體系，支持多樣的安全風(fēng)險(xiǎn)防范要求，有力支持企業(yè)的業(yè)務(wù)創(chuàng)新與發(fā)展。IT技術(shù)和業(yè)務(wù)的發(fā)展過(guò)程中形成的新安全態(tài)勢(shì)，所提出的安全防護(hù)理念、安全技術(shù)、安全組件、安全服務(wù)及管控模式等應(yīng)對(duì)措施的集合。企業(yè)應(yīng)結(jié)合自身特點(diǎn)和業(yè)務(wù)發(fā)展開(kāi)展安全架構(gòu)的建設(shè)工作。業(yè)務(wù)驅(qū)動(dòng)：將適應(yīng)業(yè)務(wù)發(fā)展作為安全服務(wù)、安全基礎(chǔ)框架建設(shè)的目標(biāo)和方向。將安全管理由傳統(tǒng)的以技術(shù)領(lǐng)域劃分轉(zhuǎn)變?yōu)橐詷I(yè)務(wù)應(yīng)用場(chǎng)景和流程劃分，從信息系統(tǒng)安全延伸到應(yīng)用安全、業(yè)務(wù)安全，從單點(diǎn)控制提升到企業(yè)級(jí)、全局風(fēng)險(xiǎn)管控的管理高度。安全架構(gòu)實(shí)現(xiàn)了建設(shè)理念、角色定位、工作方式、實(shí)現(xiàn)模式和用戶體驗(yàn)等的全面轉(zhuǎn)變，形成了13網(wǎng)絡(luò)安全方面，以企業(yè)安全策略為總體原則，實(shí)現(xiàn)平臺(tái)安全域劃分、不同強(qiáng)度的訪問(wèn)控制、各網(wǎng)絡(luò)區(qū)域的隔離措施等安全要求，滿足了管理策略中提出的對(duì)基礎(chǔ)設(shè)施安全的要求。其中網(wǎng)絡(luò)安全互聯(lián)網(wǎng)服務(wù)區(qū)安全、外聯(lián)網(wǎng)服務(wù)區(qū)安全；終端安全包括資產(chǎn)管理、防惡、軟件及補(bǔ)丁管理、系統(tǒng)健康檢查等；云安全包括服務(wù)器虛擬化安全和桌面云安全，其中服務(wù)器虛擬化安全采取了網(wǎng)絡(luò)隔離并部署防逃逸產(chǎn)品，桌面云安全部署了防病毒和敏感信息監(jiān)控產(chǎn)品。應(yīng)用安全服務(wù)層提供了信息系統(tǒng)安全的核心功能，包括用戶認(rèn)證、客戶認(rèn)證、密碼服務(wù)、數(shù)據(jù)服務(wù)的安全機(jī)制。用戶認(rèn)證組件為企業(yè)員工多渠道接入提供統(tǒng)一規(guī)范、靈活便捷的身份認(rèn)證和單點(diǎn)登錄服務(wù)，支持用戶多應(yīng)用一站式登錄，支持不同內(nèi)部辦公、業(yè)務(wù)及管理系統(tǒng)，滿足不同員工的安全需求，提升企業(yè)內(nèi)部員工認(rèn)證效率和安全水平。企業(yè)級(jí)身份認(rèn)證平臺(tái)，采用多認(rèn)證方式，靈活支持員工使用多種認(rèn)證方式進(jìn)行身份認(rèn)證，如靜態(tài)口令、動(dòng)態(tài)口令、指紋、動(dòng)態(tài)令牌等，并為數(shù)字證書(shū)、人臉識(shí)別等認(rèn)證方式保留擴(kuò)展接口。實(shí)現(xiàn)C/SHTTPSB/S應(yīng)用系統(tǒng)提供統(tǒng)VPNRADIUS、LDAP協(xié)議?？蛻羯矸菡J(rèn)證采用了企業(yè)統(tǒng)一的客戶認(rèn)證組件，該組件提供多種方式的身份認(rèn)證機(jī)制，為不同業(yè)務(wù)系統(tǒng)提供接入安全保證，可滿足不同業(yè)務(wù)需求和業(yè)務(wù)創(chuàng)新需求。令牌等傳統(tǒng)的身份認(rèn)證方式，解決了企業(yè)客戶身份的確認(rèn)難點(diǎn)，為客戶提供安全、便捷的企業(yè)交易身份認(rèn)證新模式。密碼服務(wù)組件建立了企業(yè)級(jí)的密碼服務(wù)體系，為企業(yè)各應(yīng)用、組件及外聯(lián)單位提供標(biāo)準(zhǔn)、透明完整性和防抵賴的重要手段。密碼服務(wù)組件為企業(yè)業(yè)務(wù)系統(tǒng)提供統(tǒng)一的密鑰管理機(jī)制，能夠有效地提升企業(yè)業(yè)務(wù)系統(tǒng)的安全等級(jí)。數(shù)據(jù)安全組件提供數(shù)據(jù)集散地、數(shù)據(jù)脫敏、文檔權(quán)限控制、數(shù)據(jù)水印、在線瀏覽、數(shù)據(jù)銷(xiāo)毀等和方便使用；數(shù)據(jù)集散地實(shí)現(xiàn)數(shù)據(jù)在各安全區(qū)域內(nèi)部、安全區(qū)域之間、安全區(qū)域與數(shù)據(jù)集散地之間數(shù)據(jù)安全組件為內(nèi)部員工提供了離線生產(chǎn)數(shù)據(jù)專用環(huán)境、敏感數(shù)據(jù)在線安全瀏覽、外發(fā)互聯(lián)網(wǎng)敏感信息攔截等安全服務(wù)，既支持了企業(yè)管理、營(yíng)銷(xiāo)等業(yè)務(wù)能合規(guī)使用客戶信息等敏感數(shù)據(jù)，又有效防控了敏感數(shù)據(jù)泄露。（技術(shù)組件、安全組件、運(yùn)維平臺(tái)等）IT風(fēng)險(xiǎn)態(tài)勢(shì)，及時(shí)發(fā)現(xiàn)來(lái)自內(nèi)外部的攻擊威脅、違規(guī)行為，識(shí)別潛在風(fēng)險(xiǎn)和安全隱患，保障企業(yè)信息系統(tǒng)的持續(xù)安全運(yùn)營(yíng)。服務(wù)接入層將信息安全功能以服務(wù)的形式接入到各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)中。該層提供安全代理、安全插件和安全客戶端，獨(dú)立于業(yè)務(wù)應(yīng)用系統(tǒng)，為業(yè)務(wù)應(yīng)用系統(tǒng)提供安全相關(guān)功能接口的集合，主要包括加解密運(yùn)算、數(shù)字簽名、用戶認(rèn)證等安全功能，是業(yè)務(wù)系統(tǒng)與安全服務(wù)發(fā)生直接聯(lián)系的窗口。安全代理和安全插件支持多平臺(tái)部署，提供安全功能和安全服務(wù)的統(tǒng)一接口，實(shí)現(xiàn)安全功能的合理分布，達(dá)到安全功能部署集中與高效的平衡。應(yīng)用系統(tǒng)可依據(jù)自身的技術(shù)架構(gòu)選擇部署安全代理或安全插件，代理和插件部署在各個(gè)應(yīng)用平臺(tái)，為應(yīng)用系統(tǒng)集中提供安全服務(wù)。安全代理和安全插件采用頒發(fā)給應(yīng)用系統(tǒng)數(shù)字證書(shū)的方式綁定應(yīng)用系統(tǒng)的身份，在提供安全服務(wù)的過(guò)程中應(yīng)用系統(tǒng)需要使用數(shù)字證書(shū)進(jìn)行身份認(rèn)證。安全代理對(duì)應(yīng)用系統(tǒng)提供安全服務(wù)的API安全代理和插件也會(huì)定期檢查應(yīng)用系統(tǒng)的安全服務(wù)狀態(tài)，例如自動(dòng)檢測(cè)密鑰的有效期，在密鑰到達(dá)有效期后自動(dòng)發(fā)起密鑰協(xié)商操作，實(shí)現(xiàn)對(duì)應(yīng)用的透明服務(wù)。同時(shí)，安全代理和安全插件也可開(kāi)啟監(jiān)聽(tīng)服務(wù)，接受來(lái)自其他安全代理和插件的相關(guān)請(qǐng)求。安全策略管理中心實(shí)現(xiàn)企業(yè)的統(tǒng)一安全策略管理，為安全架構(gòu)提供策略支持，建立企業(yè)統(tǒng)一的安全管理視圖。安全策略管理中心實(shí)現(xiàn)了對(duì)安全對(duì)象（安全節(jié)點(diǎn)、客戶端、安全代理、插件等）的統(tǒng)一管理，對(duì)安全策略（認(rèn)證策略、憑證策略、密鑰策略、終端策略等）的統(tǒng)一發(fā)布，提升了安全架構(gòu)的管控能力。同時(shí)，安全策略管理中心通過(guò)對(duì)認(rèn)證服務(wù)和加密服務(wù)等安全服務(wù)的可用性監(jiān)測(cè)，提升了安全服務(wù)的可用性；通過(guò)參數(shù)管理，提升了精細(xì)化管理的粒度，實(shí)現(xiàn)參數(shù)化管理安全策略。通過(guò)自上而下逐步分解的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)建模方法，企業(yè)級(jí)數(shù)據(jù)架構(gòu)保證了數(shù)據(jù)的一致為大數(shù)據(jù)分析和應(yīng)用奠定了堅(jiān)實(shí)的基礎(chǔ)。企業(yè)建立的以客戶為中心、面向服務(wù)的應(yīng)用架構(gòu)，由企業(yè)級(jí)七層十二個(gè)平臺(tái)和應(yīng)用組件實(shí)現(xiàn)。當(dāng)需要開(kāi)發(fā)新型業(yè)務(wù)產(chǎn)品時(shí)，通過(guò)組件快速組裝，能夠迅速實(shí)現(xiàn)業(yè)務(wù)功能，因此基于該應(yīng)用架構(gòu)的,借助平臺(tái)提供的通用技術(shù)組件及服務(wù)可達(dá)到敏捷開(kāi)發(fā)、快速響應(yīng)業(yè)務(wù)需求的目的。ITIT資源的有效供給，支撐業(yè)務(wù)應(yīng)用的靈活、快速的部署和擴(kuò)展。以“安全即服務(wù)”的理念，構(gòu)建由服務(wù)接入層、應(yīng)用安全服務(wù)層、基礎(chǔ)設(shè)施安全服務(wù)層和安全I(xiàn)T風(fēng)險(xiǎn)態(tài)勢(shì)分析和靈活的安全策略配置，平衡安全控SECaaS安全架構(gòu)可有效防范有組織、有目的的外部攻擊，同時(shí)快速適應(yīng)云計(jì)算、虛擬化、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)等新型信息技術(shù)手段，為用戶提供更為靈活、實(shí)用的應(yīng)用及服務(wù)模式。6章科技內(nèi)控IT的作用從業(yè)務(wù)支持逐漸走向與業(yè)務(wù)的融合，IT風(fēng)險(xiǎn)帶來(lái)的挑戰(zhàn)日益嚴(yán)峻，IT加嚴(yán)格，內(nèi)部控制需求也更加強(qiáng)烈，企業(yè)需要更加完善的科技內(nèi)控機(jī)制。完善科技內(nèi)部控制體系是保障企業(yè)健康發(fā)展的生命線，同時(shí)又是企業(yè)提升自身核心競(jìng)爭(zhēng)力的內(nèi)在需求。IT內(nèi)控管理的執(zhí)行和改進(jìn)。在建立科技內(nèi)控體系方面，企業(yè)ITITIT管控領(lǐng)域，梳理ITIT任務(wù)，指導(dǎo)管理人IT監(jiān)管報(bào)告指南收集涉及報(bào)送事項(xiàng)的監(jiān)管制度，介紹監(jiān)管機(jī)構(gòu)及其監(jiān)管重點(diǎn)、報(bào)送的事項(xiàng)、內(nèi)部分支機(jī)構(gòu)適用范圍以及報(bào)送要求。從重大事件、專項(xiàng)任務(wù)、周期性報(bào)告等三方面梳理報(bào)告事項(xiàng)，指導(dǎo)企業(yè)準(zhǔn)確及時(shí)地向監(jiān)管機(jī)構(gòu)報(bào)告報(bào)送。ITIT監(jiān)管數(shù)據(jù)庫(kù)，可分析監(jiān)管機(jī)構(gòu)的監(jiān)管重點(diǎn)，幫助企業(yè)內(nèi)部不同領(lǐng)域的團(tuán)隊(duì)篩選出其涉及IT為確保海外業(yè)務(wù)合規(guī)拓展，收集各國(guó)（地區(qū)）監(jiān)管機(jī)構(gòu)要求和規(guī)則，形成海外IT建立各國(guó)家（地區(qū)）IT監(jiān)管庫(kù)。根據(jù)IT管控領(lǐng)域，綜合分析各國(guó)（地區(qū)）間的監(jiān)管要求，求同存異，形成整體海外ITITIT系統(tǒng)建設(shè)、數(shù)據(jù)保護(hù)、電子銀行、業(yè)務(wù)連續(xù)性等合規(guī)管理。IT為及時(shí)了解業(yè)界IT風(fēng)險(xiǎn)管理先進(jìn)理念，系統(tǒng)學(xué)習(xí)業(yè)界IT風(fēng)險(xiǎn)管理最佳實(shí)踐，通過(guò)分析如IT風(fēng)險(xiǎn)標(biāo)準(zhǔn)庫(kù)，企業(yè)可分析不同業(yè)界標(biāo)準(zhǔn)針對(duì)IT并根據(jù)標(biāo)準(zhǔn)的IT監(jiān)管制度和業(yè)界標(biāo)準(zhǔn)的不斷更新、完善，企業(yè)需建立相應(yīng)的持續(xù)跟蹤機(jī)制，及時(shí)收集最分析ITITIT為保障企業(yè)業(yè)務(wù)安全、持續(xù)、穩(wěn)健發(fā)展，促進(jìn)科技內(nèi)控管理，根據(jù)企業(yè)IT管理制度要求，應(yīng)定IT檢查監(jiān)督工作。管理、業(yè)務(wù)需求管理、開(kāi)發(fā)管理、運(yùn)維管理、IT風(fēng)險(xiǎn)管理、服務(wù)連續(xù)性管理、外包管理、IT資源管ITIT全面檢查和專項(xiàng)檢查。出現(xiàn)以下情況時(shí)，檢查組織者應(yīng)結(jié)合所轄機(jī)構(gòu)以往工作檢查情況，確定是否啟動(dòng)專項(xiàng)IT檢查工作：新系統(tǒng)上線或已有系統(tǒng)進(jìn)行重大變更；ITIT運(yùn)行的重大任務(wù)；內(nèi)部或同業(yè)出現(xiàn)重大IT風(fēng)險(xiǎn)事件；IT審計(jì)中發(fā)現(xiàn)重大問(wèn)題；監(jiān)管部門(mén)下發(fā)IT檢查工作要求，IT風(fēng)險(xiǎn)提示。檢查依據(jù)通常包括：國(guó)家（地區(qū)）IT管理、信息安全管理等相關(guān)法律法規(guī)；監(jiān)管ITIT相關(guān)制度、標(biāo)準(zhǔn)規(guī)范及通知要求。IT內(nèi)外部管理要求的變動(dòng)對(duì)檢查標(biāo)準(zhǔn)進(jìn)行動(dòng)態(tài)維護(hù)和更新。觸發(fā)檢查標(biāo)現(xiàn)場(chǎng)檢查是通過(guò)現(xiàn)場(chǎng)查閱材料、訪談、查看、實(shí)測(cè)等方法，對(duì)被檢查者的ITIT工作進(jìn)ITIT為保障企業(yè)ITITIT考核評(píng)價(jià)機(jī)制。ITIT工作的“風(fēng)向標(biāo)”和“指揮棒”，可發(fā)揮引導(dǎo)作用，推動(dòng)企業(yè)IT工作的落實(shí)ITITIT管理通報(bào)和考核期內(nèi)的歷史評(píng)價(jià)結(jié)果?？己朔桨妇幹疲嚎己朔桨钢贫ㄕ呓M織IT部門(mén)職能條線編制考核指標(biāo)、評(píng)價(jià)標(biāo)準(zhǔn)及指標(biāo)占比，IT管理系統(tǒng)、IT管理通報(bào)等數(shù)據(jù)，對(duì)被考核單位進(jìn)行評(píng)價(jià)，評(píng)價(jià)結(jié)果由考核實(shí)施ITITIT服務(wù)質(zhì)量評(píng)價(jià)的重要手段，采用正式的、定量的方式明確開(kāi)發(fā)部門(mén)、運(yùn)維IT服務(wù)水平。以安全生產(chǎn)為核心：以IT服務(wù)管理流程為指引建立操作水平指標(biāo)體系，通過(guò)評(píng)估體系落實(shí)以服務(wù)改進(jìn)為導(dǎo)向：引入PDCA的管理模式，在操作水平體系的落實(shí)過(guò)程中總結(jié)經(jīng)驗(yàn)，持續(xù)IT管理模式，全面提升安全生產(chǎn)能力。整體的服務(wù)管理體系框架，以ITIL服務(wù)生命周期管理的最佳實(shí)踐為依據(jù)，建立服務(wù)分解和服務(wù)目標(biāo)IT操作水平協(xié)議，有必要制定操作水平協(xié)議管理的相關(guān)制度，操作水平協(xié)議管理制服務(wù)接受方負(fù)責(zé)組織收集業(yè)務(wù)部門(mén)對(duì)IT服務(wù)的年度目標(biāo)需求，并將其轉(zhuǎn)換為總體操作水平要求。專家評(píng)估委員會(huì)負(fù)責(zé)對(duì)生產(chǎn)事件進(jìn)行事后評(píng)估，主要由技術(shù)架構(gòu)、應(yīng)用架構(gòu)、開(kāi)發(fā)和運(yùn)維技術(shù)專家、廠商專家等組成。服務(wù)管理辦公室組織簽署年度操作水平協(xié)議。如有重大調(diào)整或特殊需求，由服務(wù)管理辦公室牽頭組織專家評(píng)估委員會(huì)對(duì)操作水平體系進(jìn)行修訂。IT服務(wù)需求，梳理出所涉15IT操作水平評(píng)估體系的總體設(shè)計(jì)思路以部門(mén)對(duì)服務(wù)目標(biāo)的支撐能力為衡量目標(biāo)，以部門(mén)所承載的服務(wù)內(nèi)容為基準(zhǔn)，以對(duì)安全生產(chǎn)造成的影響程度為尺度等幾個(gè)原則進(jìn)行設(shè)計(jì)。簡(jiǎn)而言之，需要考慮系統(tǒng)的重要性等級(jí)、部門(mén)維護(hù)的系統(tǒng)數(shù)量、指標(biāo)重要程度以及故障嚴(yán)重等級(jí)等因素。首先，從系統(tǒng)對(duì)業(yè)務(wù)影響的重要性對(duì)系統(tǒng)進(jìn)行分級(jí)設(shè)計(jì)，等級(jí)越高的系統(tǒng)，基準(zhǔn)分值也越高。其次，從部門(mén)層面，建立運(yùn)維能力基準(zhǔn)分值，根據(jù)其維護(hù)的系統(tǒng)數(shù)量及系統(tǒng)等級(jí)進(jìn)行基準(zhǔn)分值最后，依據(jù)操作水平指標(biāo)體系的設(shè)計(jì)結(jié)果，從指標(biāo)違反對(duì)服務(wù)目標(biāo)和安全生產(chǎn)的影響程度不同的角度進(jìn)行設(shè)計(jì)，將指標(biāo)賦予不同的權(quán)重。評(píng)估方法的基本設(shè)計(jì)原則為公平、公正。將操作水平指標(biāo)、故障等級(jí)、責(zé)任權(quán)重構(gòu)成評(píng)估的三個(gè)