信息化建設(shè)解決方案之咨詢篇

題1.1IT管理面臨的困惑公室下，即使單獨(dú)設(shè)置，人員也很少，在信息化建設(shè)中很難推動業(yè)務(wù)部門開展IT建設(shè)工作脯保證干好，最后老板拍桌子發(fā)火怎么干的，項(xiàng)問題，缺少與其他部門業(yè)務(wù)銜接的考慮，在單位內(nèi)部形成了一系列的信息（5）在信息化項(xiàng)目建設(shè)中，項(xiàng)目拖期已經(jīng)成為一種常態(tài)，而且項(xiàng)目達(dá)（6）信息中心一天到晚忙忙碌碌，通宵達(dá)旦加班，扮演“救火員理不及時的抱怨，業(yè)務(wù)部門不理解信息中心都在忙什么，即使增加IT人員，還是很忙碌，信息中心到底需1.2IT管理問題分析（2）IT投資決策流程不規(guī)范，技術(shù)經(jīng)濟(jì)論明，系統(tǒng)規(guī)模越大、與管理聯(lián)系越密切、集成度越高的系統(tǒng)，風(fēng)險越大，失局的角度、從超前的技術(shù)視角來進(jìn)行整體規(guī)劃，打破各業(yè)務(wù)單元的本位需要的角度來優(yōu)化流程、統(tǒng)籌資源，總體規(guī)劃、分布實(shí)施，否則容易造成企業(yè)信息孤島林立、技術(shù)過難的。但是，沒有科學(xué)度量就沒有科學(xué)管理，度量是為管理服務(wù)的，智力密集型、評價主觀性等特點(diǎn)，決定了IT項(xiàng)目管理更加困難，純粹使用項(xiàng)目管理技術(shù)并不能解決根越復(fù)雜、系統(tǒng)越來越龐大；另一方面業(yè)務(wù)部門需求越來越強(qiáng)、要求越來越高。更的信息安全管理工作，在安全規(guī)劃、風(fēng)險、應(yīng)急、安全教育培訓(xùn)、系統(tǒng)評估方面采【導(dǎo)讀】IT治理這一詞匯大家并不陌生，那么IT治理究竟是什么，IT治理能幫助組織做治理工作。IT治理方法論，以引導(dǎo)組織進(jìn)行合適的IT管理問題的IT到解決自身主要.中國IT治理研究中心（ITGov）認(rèn)包括業(yè)務(wù)與信息化戰(zhàn)略的機(jī)制、權(quán)責(zé)對等的責(zé)任擔(dān)當(dāng)框架和問責(zé)機(jī)制、資源配制、核心IT能力發(fā)展機(jī)制、績效管理機(jī)制以及覆蓋信息化全生命周期的風(fēng)險管控機(jī)制。該制度安排的目的用企業(yè)的信息資源，平衡IT系統(tǒng)的投資，管理IT相關(guān)風(fēng)險，通過有效集成與協(xié)調(diào)，確保IT及時按照目標(biāo)組織的信息化戰(zhàn)略必須在組織發(fā)展戰(zhàn)略驅(qū)動下進(jìn)息化取得的實(shí)效，這也是信息資源開發(fā)和信息化建設(shè)的核心任務(wù)，但綜合國內(nèi)就是落實(shí)監(jiān)管要求、構(gòu)建組織內(nèi)部風(fēng)險控制體系，通過制定信息資源的保護(hù)級險意識，通過組織、制度、流程、技術(shù)多個方面來實(shí)現(xiàn)對風(fēng)險的有的內(nèi)在動力，通過IT治理構(gòu)建組織信息2.3.1IT治理框架綜述當(dāng)前，我國信息化建設(shè)中的最大問題，不是技領(lǐng)導(dǎo)者最大的問題不是缺少經(jīng)驗(yàn)和能力，而是缺乏卓越的管理素質(zhì)和管理方法。對于IT治理來說，國際上已有許多成熟的方法和工具，形成了最佳業(yè)務(wù)實(shí)踐，這些最佳業(yè)務(wù)實(shí)踐是全球們來說，不是再去從頭創(chuàng)新，而是需要根據(jù)國情和組織的實(shí)際情況，對最佳實(shí)2.3.2IT規(guī)劃治理分項(xiàng)制定企業(yè)IT戰(zhàn)略，明確企業(yè)中IT組織的定位、IT組織架構(gòu)，并對企業(yè)未來3至5年的信息化建設(shè)藍(lán)圖及從上圖可以看出，企業(yè)架構(gòu)分為兩大部分：業(yè)務(wù)架構(gòu)和IT架構(gòu)。其中業(yè)務(wù)架構(gòu)是把企業(yè)的業(yè)務(wù)戰(zhàn)略轉(zhuǎn)化為日常運(yùn)作的渠道，業(yè)務(wù)戰(zhàn)略決定業(yè)務(wù)架構(gòu)，它包是指導(dǎo)IT投資和設(shè)計決策的IT框架實(shí)施過程分為三個階段：第一階段是現(xiàn)狀分析與評估，基于組成IT愿景，規(guī)劃組織的應(yīng)用架構(gòu)、數(shù)據(jù)架構(gòu)、階段，制定IT規(guī)劃的具體實(shí)施策略和計劃，闡利于確保IT投資與業(yè)務(wù)的一致性，減少IT重復(fù)性投資，獲得最佳IT投資回報，有效解決IT投資決策和2.3.3IT建設(shè)治理分項(xiàng)IT建設(shè)治理以IT建設(shè)項(xiàng)目為治理對象，通過治理過程，明確IT項(xiàng)目組織構(gòu)建及組織的責(zé)權(quán)利體系，建立PRINCE2?是由英國政府商務(wù)部OGC推行的項(xiàng)目流程管理最佳實(shí)踐，PRINCE是PRojectINControlledEnvironment（受控環(huán)境下的項(xiàng)目）的PRINCE2是一種結(jié)構(gòu)化的項(xiàng)目管理方法，如下圖所示，制、產(chǎn)品交付管理、階段邊界管理、項(xiàng)目收尾Prince2通過指導(dǎo)項(xiàng)目和階段邊界管理等過程，確保了項(xiàng)目管理高層實(shí)現(xiàn)例外控制，讓他們用有限的時全熟悉項(xiàng)目的進(jìn)程。通過項(xiàng)目委員會將項(xiàng)目管理和組織的方案聯(lián)系起來，通過2.3.4IT運(yùn)維治理分項(xiàng)求方與服務(wù)方關(guān)系，同時建立運(yùn)維外包決策機(jī)制，在提高業(yè)務(wù)滿意度的同時，盡可能降運(yùn)維服務(wù)管理提供了一個客觀、嚴(yán)謹(jǐn)、可量化的最佳實(shí)踐服務(wù)轉(zhuǎn)換、服務(wù)運(yùn)營、持續(xù)性服務(wù)改進(jìn)，涵蓋了IT服務(wù)的生命周期，從業(yè)務(wù)所需到最優(yōu)化服務(wù)；補(bǔ)充組件避免IT盲目投資，避免對“天才”的依賴，減少系統(tǒng)風(fēng)險，實(shí)現(xiàn)對IT運(yùn)維業(yè)務(wù)的量化管理，保證IT與業(yè)2.3.5IT績效治理分項(xiàng)組織在信息化實(shí)施過程中往往分為幾個不同層面：戰(zhàn)略層、控制層和執(zhí)傳統(tǒng)的平衡計分卡從面向客戶與服務(wù)、成本與效益、內(nèi)部運(yùn)營、人才與創(chuàng)新四個方面來進(jìn)平衡計分卡(ITBSC)是在平衡計分卡的基礎(chǔ)上發(fā)展起來衡計分卡的財務(wù)方面指標(biāo)只是衡量了企業(yè)在經(jīng)濟(jì)方面的收益，而忽視了其改善經(jīng)收益。IT平衡計分卡在原有的財務(wù)、內(nèi)部運(yùn)作、客戶和學(xué)習(xí)與成長力維度，構(gòu)成一個擁有五個視角的改進(jìn)后的平從企業(yè)綜合實(shí)力角度出發(fā)，需要考慮如何通過信息化建設(shè)來提升企業(yè)的綜合規(guī)劃，規(guī)劃出企業(yè)的信息化建設(shè)目標(biāo)，并通過具體工作來管理好IT規(guī)劃，最終落實(shí)到信息化建設(shè)的整個項(xiàng)效考核指標(biāo)具備可操作性，促進(jìn)IT部門與業(yè)務(wù)部門的交流，強(qiáng)化IT管理和IT治理能力。2.3.6IT風(fēng)險治理分項(xiàng)IT風(fēng)險是指在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及退出過程中由于技術(shù)或管理和聲譽(yù)等風(fēng)險。目前國際上通用的IT風(fēng)險管理最佳實(shí)踐是ISACA發(fā)布的COBIT（ControlledOB關(guān)注焦點(diǎn)、以流程為導(dǎo)向、基于控制和度量驅(qū)動。信息標(biāo)準(zhǔn)集中反映了企業(yè)的戰(zhàn)略目標(biāo)，從質(zhì)量、成本、與人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的則。同時使信息技術(shù)目標(biāo)和企業(yè)戰(zhàn)略目標(biāo)之間實(shí)現(xiàn)IT策、行動計劃作為信息技術(shù)的關(guān)鍵環(huán)節(jié)，并由此確定可以更加有效地利用信息資源，有效地管理與COBIT互動，形成互相依托、互相促進(jìn)的有機(jī)整體。組織通安全方針信息安全策略數(shù)據(jù)訪問數(shù)據(jù)加密身份認(rèn)證災(zāi)難恢復(fù)人員與安安全審計環(huán)境安全系統(tǒng)安全病毒防護(hù)全教育策與備份策與授權(quán)策與安全策略策略策略策略略策略策略略略技術(shù)管控體系運(yùn)營管控體系組織管控體系管理制度資產(chǎn)識別網(wǎng)絡(luò)安全物理安全組織建設(shè)領(lǐng)導(dǎo)續(xù)性管理應(yīng)用安全風(fēng)險評估系統(tǒng)安全崗位職責(zé)人員安全安全審計可信安全管理事件管理第三方考核組信息安全方針是組織對信息和信息處理設(shè)施進(jìn)行管理、保護(hù)、分配的原則；信息安全組織管控理的安全治理組織結(jié)構(gòu)，明確各部門、個體在體系中的職責(zé)、權(quán)利和義務(wù)，并對人的行為進(jìn)行制約安全技術(shù)管控體系是保證信息安全的技術(shù)手段；信息安全運(yùn)營管控體系是動態(tài)過程，保證“動態(tài)”其原因是國際上雖然有成熟的方法論，但是如何將標(biāo)準(zhǔn)的方法論與組織的實(shí)際情況加以結(jié)合并真正落地，是組織在進(jìn)行IT治理的一大難題。這一過程需要外部專家進(jìn)行輔導(dǎo)、咨3.1MaxValue?總體框架最佳實(shí)踐，以ISO20000、ISO27001等信息安全（信息安全管理咨詢）劃）詢規(guī)/咨（略理戰(zhàn)I管TT劃I項(xiàng)I規(guī)T略目建戰(zhàn)TI管設(shè)（理咨?MaxValue詢詢咨理估（管IT評運(yùn)效維T管績I理ITT咨運(yùn)I詢（維）風(fēng)險與內(nèi)控風(fēng)險與內(nèi)控管理咨詢）IT(職責(zé)、流程、運(yùn)行機(jī)制幾個方面來綜合考慮，從服務(wù)業(yè)務(wù)的角度、以價值為核心資源有效利用、風(fēng)險有效管控、績效有效衡量的目的。3.2MaxValue?服務(wù)內(nèi)容針對客戶的實(shí)際需要，我們將提供如下咨詢服務(wù)項(xiàng)目。3.2.1IT戰(zhàn)略管理咨詢服務(wù)戰(zhàn)ITIT戰(zhàn)略是組織經(jīng)營戰(zhàn)略的有機(jī)組成部分，它是關(guān)于組織信息技術(shù)職能的目標(biāo)及其實(shí)現(xiàn)的總體謀劃。略是在診斷和評估組基礎(chǔ)上，結(jié)合組織發(fā)展戰(zhàn)略，制定和調(diào)整組織信息化的指導(dǎo)綱領(lǐng)，爭取以最適合的規(guī)模、最適合不清晰、不準(zhǔn)確所導(dǎo)致的IT建設(shè)“走彎路、多走路、走錯路”的問題。具體服務(wù)內(nèi)容包括：IT愿景制定：信息技術(shù)的發(fā)展方向和結(jié)果。?IT原則制定：實(shí)現(xiàn)上述中長期目標(biāo)所需遵循的3.2.2IT規(guī)劃管理咨詢服務(wù)IT規(guī)劃管理咨詢服務(wù)就是幫助客戶搭建合理的信息化建設(shè)藍(lán)圖，規(guī)劃信息化建設(shè)投基礎(chǔ)設(shè)施規(guī)劃：從底層支撐平臺角度描述IT架構(gòu)；?IT組織架構(gòu)設(shè)計：制定符合IT治理思想的IT組織架構(gòu)，明確責(zé)權(quán)利關(guān)系；?IT?實(shí)施規(guī)劃IT投資預(yù)算：對信息化建設(shè)每個階段甚至每個系統(tǒng)進(jìn)行相應(yīng)的投資估算。?通過咨詢服務(wù)，幫助組織制定總體信息化藍(lán)圖，改變以往無序的、松散的IT建設(shè)模式，協(xié)助組織有條地進(jìn)入IT正軌發(fā)展的道路，解決信息不對稱、信息化計劃殘缺、系統(tǒng)應(yīng)3.2.3IT項(xiàng)目管理咨詢服務(wù)IT項(xiàng)目管理咨詢是指以專門的知識、信息、信息技術(shù)提供建議或方案，以幫助客戶有效地解決IT項(xiàng)目過程管理不善導(dǎo)致的IT項(xiàng)目外部治理：搭建IT項(xiàng)目外部治理組織結(jié)構(gòu)和機(jī)制，包括供應(yīng)商、咨詢單位、監(jiān)理機(jī)構(gòu)等；?關(guān)方責(zé)權(quán)利，平衡項(xiàng)目資源；幫助客戶形成IT項(xiàng)目的約束機(jī)制，控制IT項(xiàng)目風(fēng)險；為客戶進(jìn)行IT項(xiàng)目決3.2.4IT運(yùn)維管理咨詢服務(wù)隨著信息技術(shù)的高速發(fā)展，組織信息化已經(jīng)從最初運(yùn)維階段。不斷復(fù)雜化的IT系統(tǒng)、可靠/穩(wěn)定/安全運(yùn)行要求、較高的客戶滿驗(yàn)，為客戶建設(shè)以服務(wù)為導(dǎo)向的IT運(yùn)維管IT服務(wù)外包管控設(shè)計：設(shè)計IT?服務(wù)外包的管控體系。通過咨詢，幫助企業(yè)梳理現(xiàn)有的IT運(yùn)維業(yè)務(wù)流程，建3.2.5IT績效管理咨詢服務(wù)信息化績效評估是指，評價主體依照評價目標(biāo)，通過設(shè)定評估體系和評估模型，運(yùn)用估標(biāo)準(zhǔn)，按照嚴(yán)格的流程，在定量與定性相結(jié)合的基礎(chǔ)上進(jìn)行對比分析，對信息化全創(chuàng)新、IT對業(yè)務(wù)支持五個方面制定詳細(xì)的評價指標(biāo)，形成整體的評價體系，IT績效評估：應(yīng)用IT評價體系對客戶進(jìn)行IT價值達(dá)成通過咨詢，幫助客戶搭建IT績效評價體系，在客戶內(nèi)部建化的指標(biāo)來突出IT部門/IT系統(tǒng)在3.2.6信息安全管理咨詢服務(wù)病毒破壞、黑客攻擊、系統(tǒng)癱瘓、員工失誤和惡意破壞、商業(yè)間諜等，越來越多的信息估，幫助客戶建立制度化、流程化的信息安全管理體系，輔導(dǎo)客戶在其組織范圍安.安全管理體系改善：發(fā)現(xiàn)?ISMS運(yùn)行中存在的問題及弱點(diǎn)，及時采取適當(dāng)通過咨詢，幫助客戶發(fā)現(xiàn)安全管理存在的問題，在組織內(nèi)部建立并運(yùn)行信息安全管理體系（ISMS不斷改進(jìn)優(yōu)化組織的信息安全管理體系，有效防止或快速處理組織所面對的信3.2.7IT風(fēng)險與內(nèi)控管理咨詢服務(wù)并基于相關(guān)的IT控制目標(biāo)，對信息系統(tǒng)管理相關(guān)關(guān)鍵流程、風(fēng)險控部整改方案，通過宣貫和培訓(xùn)落實(shí)方案實(shí)施，從而為客戶順利通過相關(guān)外部審計提供IT審計：按照組織審計相關(guān)要求，對組織IT進(jìn)行專業(yè)性審計工作。?通過咨詢，幫助客戶搭建合規(guī)的IT內(nèi)控體系，通過IT內(nèi)控促使組織內(nèi)部的作業(yè)流程最大3.3MaxValue?服務(wù)特點(diǎn)及客戶收益4.1應(yīng)用項(xiàng)目組合管理可有效輔助高層IT決策，提高IT投資效果項(xiàng)目組合管理提供了一個有效評估IT項(xiàng)目決的，采取自上而下的管理方式，將投資與企業(yè)的戰(zhàn)略目標(biāo)相結(jié)合，優(yōu)先選項(xiàng)目組合管理提供一套科學(xué)的模型完成項(xiàng)目決策。這個模型定義了適合企業(yè)的評估項(xiàng)目開展的優(yōu)先級。項(xiàng)目組合管理能夠提供衡量項(xiàng)目的最重要的指標(biāo)，包括項(xiàng)目收益、目標(biāo)的契合度、項(xiàng)目里程碑進(jìn)度表和風(fēng)險模型。另外用戶也可以增加和輸入與自身業(yè)務(wù)如ROI、意外事件、業(yè)務(wù)增長目標(biāo)、質(zhì)量統(tǒng)計、業(yè)務(wù)4.2科學(xué)IT規(guī)劃是預(yù)防組織出現(xiàn)信息孤島的有效手段組織的動態(tài)發(fā)展、復(fù)雜的應(yīng)用環(huán)境與多種應(yīng)用系統(tǒng)之間的沖突，形成了信息孤島。經(jīng)總體規(guī)劃就是組織要在戰(zhàn)略層面，根據(jù)組織的發(fā)展戰(zhàn)略，遵循科學(xué)的方法論，制定合IT規(guī)劃制定實(shí)施方案，這是一個需要總體規(guī)劃、分步實(shí)施，才能完成的長期投資任4.3明確的項(xiàng)目團(tuán)隊(duì)績效管理可有效改善IT項(xiàng)目管理最終效果組織在日常IT項(xiàng)目建設(shè)過程中，雖然也按照項(xiàng)目共同組成。如果沒有配套的IT項(xiàng)目績效考核體系，往往導(dǎo)致團(tuán)隊(duì)成員以現(xiàn)有業(yè)務(wù)績效導(dǎo)向?yàn)槟繕?biāo)，忽視或者輕視IT項(xiàng)目團(tuán)隊(duì)中的工作，重視原有業(yè)務(wù)工作，團(tuán)隊(duì)成員不能100%投4.4應(yīng)用7Rs問題分析法可有效評估變更中的風(fēng)險任何變更都存在風(fēng)險，有效的變更必須將風(fēng)險控制在合理的范圍和程度內(nèi)。如何評估風(fēng)險、風(fēng)險進(jìn)行評估，通過有效回答這七個問題，可以幫助組織在變更前有效識別風(fēng)險并加以規(guī)4.5應(yīng)用服務(wù)臺管理可有效提高IT部門對業(yè)務(wù)服務(wù)需求的響應(yīng)效率組織業(yè)務(wù)部門對于IT部門服務(wù)的抱怨之一就是I聯(lián)系誰就會出現(xiàn)IT服務(wù)需求響應(yīng)慢的問題。應(yīng)用服務(wù)臺為組織IT用戶提供了聯(lián)系IT部門的單一聯(lián)系點(diǎn)，從而能夠確保用戶能夠找到合適的技術(shù)人員來幫助解決技術(shù)問題或請求。服務(wù)臺的設(shè)置可以根據(jù)組織的業(yè)務(wù)需求本地設(shè)置、集提供一線的支持服務(wù)；?協(xié)調(diào)二