学习资料: ITIL培训基地专家讲堂直播 300期视频回放
《中央企业全面风险管理指引》、《企业内部控制基本规范》 、《巴塞尔协议》、《萨班斯法案》、《上交所内部控制指引》、《深交所内部控制指引》、《银行业金融机构信息系统风险管理指引》……一个又一个法规的出台,不知不觉中将我们带入了一个合规年代。
合规压力正在成为一柄“双刃剑”, 高悬于转型期信息化管理人员的头上。一方面,这些法规所带来的合规要求,推动了信息化的向前发展;另一方面,IT人员的本性和行为模式,也必须随着法规要求的日趋严厉而随之改变。
与此同时,各种各样新的概念和认证也不断涌现在 IT人员眼前,一时间让他们手忙脚乱,陷入了一个又一个困惑之中。
面对现实中的困惑, IT管理人员应该怎么办?
困惑一:IT 治理和IT管理是什么关系?
这是两个极易混淆的概念,尤其是在国内,大家还没有充分的理解他们。,一方面,是由于厂商用一些时髦的概念来包装推销产品所致;另一方面也与我们自身的信息化管理水平与发展阶段有直接关系。
IT治理这个概念在国外有几个相关定义,如:MIT、Gartner、ISACA、ISO(这里不一一列举),这些概念对于国内组织来说很难理解,但我认为,不论是怎样的定义,以下内容都是必不可少的:
.健全的组织架构(健全的组织架构是正确决策的保障)
.清晰的职责边界(清晰的职责边界是确保各治理主体独立运作、有效制衡的基础)
.明确的决策规则和程序(如果说职责边界是明确由谁做出决策,决策规则和程序就是明确怎么做出决策。)
.有效的激励和监督机制(当激励与约束机制不能和组织的目标相联系时,IT治理是非常低效的)
.透明度(治理的流程越透明,治理的信心也就越足)
IT治理,是公司治理的一部分,是董事会和高级管理层的责任,是信息化过程中各方为了实现IT与业务融合、解决IT决策中的权责对等和问责机制问题,而设计的与IT有关的组织、职责、决策、激励和监督机制。(ITGov 定义)
IT管理,是指保障信息化正常运作的一系列控制措施,主要目标是在IT成本和效益之间,达成适度平衡,以增大IT的价值。
IT治理和IT管理二者相互联系,相互促进。如果用一个现实的例子来说明他们的话,IT治理机制就像我国的人民代表大会,IT管理就像是国务院。
在今天这个合规的年代,风险管理成为了主流话题,信息化与风险已不再是互不相干的关系。 IT风险逐渐成为管理层、监管部门重点关注的对象,IT风险管理几乎替代了IT管理。IT 风险管理可为管理决策提供依据,使组织有意识地接受那些在可承受范围内的IT风险,给IT管理人员管理风险提供明确指导。
IT风险管理,目前已经从狭义的IT技术风险发展到了IT全生命周期管理的阶段,因此,IT风险管理也称IT全面风险管理。所谓IT风险管理是指围绕信息化战略目标,通过在信息系统的规划、开发与建设、运行与维护、监控与评价管理的各个阶段中执行风险管理的基本流程,包括风险管理策略制定、风险识别、风险评估,进而选择适当的处理方法加以控制、处理,达到信息化可持续发展的目标。
(ITGov 定义)
IT 治理和IT风险管理是全球性的课题,众多国内外企业基业常青和创新发展的实践都表明,有效的IT治理和IT风险管理是竞争优势的源泉,是管理创新和构建组织竞争力的决定因素之一,也是保证组织持续发展、高速成长的关键所在。
困惑二:CobiT、ITIL、ISO/IEC27001、CMMI 我应该选择采用哪个框架?
主要看您的需求是什么及贵组织处于什么样的发展阶段。COBIT,信息化全生命周期管理框架,,重点在于IT控制和IT度量评价,强烈建议将其作为IT风险管理、IT审计标准的重要参考;ITIL,IT服务管理的最佳实践,重点在于IT流程管理,强调IT支持和IT价值交付,可以在实施IT运维和IT服务管理时作为参考;ISO/IEC27001,信息安全管理最佳实践组成的国际标准,非技术性标准,重点在于IT安全 管理控制,是信息安全管理必不可少的参考;CMMI,软件能力成熟度的标准,它是一个软件开发管理的最佳实践,重点在于指导软件开发过程的改进与评估软件开发的能力。
这些标准既有共性,又有个性,都是信息化管理参考框架。它们各有所长,都是相对独立和完整的体系,但本质上这四者并不相互排斥。我们可以通过整合这些框架,在组织中实施善治的IT治理战略,这将对企业IT战略发展和企业战略发展有莫大的帮助。
困惑三: 我们需要IT审计吗? IT审计是否对组织有实质性作用?
这个问题的答案是肯定的。因为,IT改变了组织的内部经营流程,改变了组织和外界联系的方式,从而改变了组织面临的风险、内部控制以及所需要鉴证的领域。然而,组织对IT审计的重视程度却非常不够,IT内审组织架构不清晰,很多组织不知道该由哪个部门来推动IT 审计。
IT审计本质上是一种控制,以确认IT是否有效率、效果、安全、合规、可靠性。就目前的IT审计而言,合规性、安全、可靠性方面的实质性作用是毋庸置疑的,而对于IT的效率及效果却涉及很少。另外,实质性作用还与审计师的水平有关。
困惑四:组织实施了ISO 20000,还需要实施ISO 27001吗?ISO 20000中不是有信息安全管理吗?
这是最近一段时间好多 IT管理人员问我的一个问题?从范围看,ISO27001贯穿信息化全生命周期的规划、建设和运维三个阶段;ISO 20000重点在运维阶段。从目的看,ISO 27001目的是保证信息的机密性、完整性和可用性, ISO20000目的是向客户交付既定质量的服务。从内容看,信息安全也是服务质量的一个方面,可以说,ISO20000中涉及的信息安全管理部分是ISO27001的一个子集。综上所述,要回答这个问题,须清楚理解自己认证范围和认证目的,如:作为银行的数据中心,通过了ISO 20000,我想只要认真扎实地把ISO 20000 中关于信息安全部分做好,就可以不用再重新实施一次ISO 27001了。
建议:在实施这两个体系时,如果条件具备、需求吻合,可同时整合实施这两个体系,因为这是一套工作量少、省时、省力的方法。切记不要盲目上管理体系,一定要认清自己的目的和认证范围,使管理体系真正为我所用。
困惑五:信息化制度重要吗?应该包括哪些方面?
中国有句俗话:没有规矩,不成方圆。意思是说,没有规则(即制度)的约束,人类的行为就会陷入混乱。这样一个朴素而重要的思想,可能没有人会认为它不正确,但它却一直在我们信息化建设中被不应该地忽视了,经常出现一些误区:“我们的 IT发展水平不高,信息化规章制度有没有无所谓;建设质量最好的IT基础设施就可以防范风险,不需要规章制度;信息化规章制度规范了活动的执行,降低了企业的效率,产生的利润是零。”因此,应正确看待信息化制度的重要性和必要性,把建立健全信息化制度体系作为信息化可持续发展的起点。
最近我的一个甲方朋友向我求救“我今年迎接了 5拨IT审计了,每次制度方面都有问题,不是少文件就是逻辑关系不对、重复、冲突等,领导都发火了,你快帮帮我吧”。可以说这种现象不仅是他一家公司的问题。那什么样的管理制度才是完善的、符合审计师要求呢?我认为:第一,管理层的支持和参与对信息化制度的制定和实施工作的成败有很大影响;第二,信息化制度是分类、分级的,切不可不加区分一锅粥;第三,信息化制度一定要与IT管理流程相对应,不要为了制度而制度,防止出现制度过多或过少的问题;第四,越是高阶制度,越不能太具体,不能限定特定的解决方案;第五,建立制度时应始终把阅读和认可对象放在心上,即书写制度时应始终把组织内的各级用户放在心上;第六,所有制度的制定都是为了执行,执行则需要理解、考核措施和执行的文化;第七,要有专人负责维护,防止制度过时或冲突。
困惑六:我们如何进行信息化绩效评价?
组织在信息技术方面的投资历来是人们争议的对象,然而绝大多数信息技术投资的收益是无法通过财务价值衡量的。由于信息技术兼有无形和有形收益的特征并涉及收益演变等问题,所以很难确定信息技术投资的收益,因此,仅仅从财务角度着眼分析收益并不能代表全部收益,需要从多层次、多角度综合进行信息技术绩效评价。
信息化绩效评估,是指对照统一的标准,建立特定指标体系,运用数理统计、运筹学等方法,按照一定的程序,通过定量定性对比分析,对一定期间的信息化过程表现和信息化的效果做出客观、公正和准确的综合评判 (ITGov定义)。
从目前研究与实践情况来看,我国信息化绩效评估主要有以下种类型:信息化发展水平评价、网站绩效评估、信息系统绩效评估、信息化项目绩效评价、信息化运维管理绩效评价以及电子政务综合绩效评估、财政支出项目绩效评估等。
值得注意的是,信息技术及其本身并不能带来什么直接的实际收益,只有当信息技术成为业务流程创新和改进的驱动力时,才能真正带来收益或价值,所以,信息技术投资的价值完全取决于信息技术投资如何提高组织效率和收益。信息化绩效评价这个无形的指挥棒正在积极地发挥作用,促进我国信息化的可持续发展。
困惑七:IT运维和IT 服务管理是一回事吗?
不是。为什么这样说呢?因为,它们的出发点不同,IT 运维的核心是管好运好现有的信息化,最大限度地发挥信息系统的作用;而IT服务管理的核心是如何交付满意的服务,可以说IT运维指的是ITIL 中服务支持的问题管理、事件管理、变更管理等五个模块,是做好IT服务管理的前提。 所以,国内很多企业上了服务支持的模块就宣传自己达到了IT服务管理是不准确的,只有真正从交付价值、提高客户满意度的角度出发,从服务级别协议入手,切实提高IT人员、供应商、客户的服务意识,才能真正实现IT 服务管理,要达到这个目标,国内的企业还有比较长的路要走。
困惑八:信息化运维费用如何计算?
这是令诸多IT 管理人员头疼的事情。第一,不知道信息化运维费用都包括哪些方面?第二,不知道信息化运维费用标准是什么,自己花的是多了,还是少了?经过ITGov中国IT治理研究中心的多年研究发现,信息化运维费用基本由备品备件等采购费用和提供软硬件系统、网络通信、内容服务、安全管理等技术维护服务所发生的人工费用两大类费用构成。目前运维费用的计算标准有两种方法:(1)资产比例系数法,即信息化运维费=信息化分类资产数×分类系数,这种方法比较简单,目前多数组织在作来年的预算时,常采用这种方法。(2) 工作量法,即首先根据运维对象将具体运维任务,然后各单项任务工作量根据完成该任务的运维人员级别、周期、运维次数、要求作业时间汇总计算得出,最后结合该级别运维人员的人工费用标准,计算出完成该任务的运维费用,这种方法对组织运维规范化管理水平提出了较高的要求,目前外包服务商多应用此方法,并较多应用在网络、桌面维护等成熟领域。
困惑九:我应该学什么证书?(CISSP、CISA、CobiT、CIA、ITIL、Prince2)
这是个因人而异的问题。这些证书所包含的内容有所相互交叉,不是唯一性的。下面表格中介绍了关于一些证书的发证机关及适合人群,相信大家看完这个表格就会有答案了。
|