四种IT治理模型大比较


来源：CIO时代网

IT治理模型包括CoBIT、ITIL、ISO/IEC 17799和PRINCE2。在具体的IT治理工作中，如何合理地应用这些模型，它们之间存在哪些差异？
     自提出IT治理以来，全世界各国组织和专家都投入了很大的精力来研究IT治理架构，并提出了很多行之有效的模型。其中较为成熟的模型有美国IT治理研究院的CoBIT、英国政府的IT服务管理标准模型ITIL、国际信息安全管理标准模型ISO/IEC17799、IT项目管理的标准模型PRINCE2等。在具体的IT治理工作中，如何合理地应用这些模型，它们之间存在哪些差异？

CoBIT VS. ITIL
        CoBIT基于己有的许多架构，如SEI(Software Engineering Institute)的能力成熟度模型、CMM对软件企业成熟度5级的划分，以及IS09000等标准，CoBIT在总结这些标准的基础上重点关注企业需要什么，而不是企业需要如何做。它不包括具体的实施指南和实施步骤，它是一个控制架构(Control Framework)，而非具体过程架构(Process Framework)。CoBIT从战略、战术、运营层面给出了对IT的评测、量度和审计方法，它的目标听众是信息系统审计人员、企业高级管理人员以及高级IT管理人员，如CIO。ITIL基于企业的最佳实务(Best Practice)，英国政府收集和分析各种组织解决服务管理问题方面的信息，找出那些对本部门和对其它部门有益的做法，最后形成了ITIL。它列出了各个服务管理流程最佳的目标、活动、输入和输出以及各个流程之间的关系，但没定义范围广泛的控制架构。它关注方法和实施过程。由于它关注IT服务管理(ITSM)，它的视野相对CoBIT来说狭窄，主要关注IT的战术和运营层面。它的目标听众是IT人员和服务管理人员。尽管两个标准有着许多的不同之处，但CoBIT和ITIL却有着非常一致的指导原则。信息系统审计人员通常综合使用CoBIT和ITIL的自评估方法，去评估企业IT服务管理环境。CoBIT为每一个过程提供了关键目标指示(KGIs)、关键绩效指标(KPIs)、关键成功要素(CSFs)，与ITIL过程相结合可以建立ITIL过程管理的基准。

CoBIT VS. ISO/IEC17799
       ISO/IEC17799强调信息安全管理体系的有效性、经济性、全面性、普遍性和开放性，目的是为希望达到一定管理效果的组织提供一种高质量、高实用性的参照。其最大特点就是广泛但不深入，而且仅作参考之用。与ISO/IEC17799不同，CoBIT完全基于IT，其IT准则反映了企业的战略目标，IT资源包括人、系统、数据等相关资源，IT管理则是在IT准则指导下对IT资源进行规划处理。

CoBIT VS. PRINCE2
      PRINCE2为包括IT项目在内的项目管理提供了通用的管理方法，内置了在项目管理实践中已证明成功的最佳实践(best practice)，为所有参与者提供通用语言，便于被广泛理解和接受。PRINCE能带给项目：

1.可控组织良好的开端、过程、结尾；
2.在决策关键点(decision point)时重新审视项目计划和业务状况；
3.自动管理和控制对计划的任何偏离；
4.股东和高级管理者只是在恰当的时机介入项目；
5.在项目组、项目管理层、组织的其他人员间搭建畅通的交流通道。
    CoBIT从战略、战术、技术等层面给出了如何有效管理IT项目,详细定义了13个具体控制目标：项目管理架构、用户方参与项目启动、项目团队身份及其职责、项目定义、项目批准、项目阶段批准、项目主要计划、系统质量保证计划、保证方法计划、正式的项目风险管理、测试计划、培训计划、实施后的评审计划。除给出项目管理具体控制目标外，CoBIT还给出了与项目管理相关的关键成功要素(Critical Success Factors)，定义了最重要的面向项目管理的实施指南，以达到对IT项目过程内外部的控制。关键目标指标(Key Goal Indicators)，定义了一些尺度，便于在项目关键点(或里程碑)，告诉管理者某个IT项目管理过程是否实现了其业务需求；关键性能指标(Key Performance Indicators)，定义的是IT项目管理过程在促使项目目标达成时履行的尺度。
    从两者的比较我们可以看出，CoBIT重点在于对13个控制目标的管理上，PRINCE2在于对流程的管理上。
    PRINCE2从流程的角度对项目管理中各个活动进行管理，比较便于项目管理的具体实施，而CoBIT从控制目标的角度阐述项目管理“应该怎样，应该达到什么目标”，这样便于企业控制和评审项目管理整体过程的执行情况。同时,CoBIT给出了项目管理成熟度模型，便于组织自评估或第三方评估企业项目管理的成熟度，从而不断改进项目管理的执行过程。当然PRINCE2和CoBIT的视野并不仅仅限于对具体项目的管理。它们不仅包括项目级的管理，而且涵盖了在组织范围对项目的管理，目的在于企业级的项目管理(Enterprise Project Management，EPM)或者称为项目治理(Project Governance)。从企业长期发展战略的高度来规划项目管理。同时，对于每个过程和控制目标，PRINCE与CoBIT仅仅指明了“该做什么”，至于“如何做”，两者都没有提供具体实现技术和工具，你可以根据实际需要使用任何对你有帮助的工具，如甘特图、关键路径、project软件、风险控制软件等。

整合实施战略
为了实现IT治理战略的目标，我们需要做到对IT组织结构和角色、量度、过程、技术、控制以及人员等方面进行管理。

CoBIT、ITIL、ISO/IEC17799和PRINCE2在管理IT上述各方面各有优势，具体体现为：
1.CoBIT重点在于IT控制和IT度量；
2.ITIL重点在于IT过程管理，强调IT支持和IT交付；
3.ISO/IEC17799重点在于IT安全控制；
4.PRICE2重点在于项目管理，强调项目的可控性，明确项目管理中人员、角色的具体职责，同时实现项目管理质量的不断改进。

在组织中具体应用IT治理架构模型时，应该注意：
1.要专注于解决组织信息化过程中最大的问题。因为对于任何一个组织而言，采用整套标准都是不可行的，相反地，应该从最大的问题着手；
2.通过对模型的剪裁找出最适合本企业环境的实施方案；
3.先完成培训再进行组织变革，并在单一领域内(如培训经验)取得一定成绩后，再转向其它有问题的领域；
4.在开始项目之前，评估一下目前的环境，这样有利于评测出进展的效果。
此外，组织在具体实施的过程中，其他组织成功实施的案例、培训机构和第三方咨询机构都可以提供很好的帮助。

受益匪浅啊 ，潜心学习哈:loveliness:

愚以为把ITIL/ISO20000、ISO27000和PRINCE2都算作IT治理的范畴有些不合适，每个方法论的提出都有其目标和方向，虽然随着发展在某些领域有些融合，但其应用领域还是有着较为明显的差异，个人认为尽管在实践中是多种方法论的综合运用，但在理论层面的讨论上不应该模糊界限，否则会在实践中产生混乱和歧义。

能否增加详细条款比对，这样讲，太笼统

studying