標(biāo)準(zhǔn)IT治理架構(gòu)對(duì)企業(yè)戰(zhàn)略實(shí)現(xiàn)有何影響？（by AMT 劉宇編譯）

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

標(biāo)準(zhǔn)IT治理架構(gòu)對(duì)企業(yè)戰(zhàn)略實(shí)現(xiàn)有何影響？

by AMT 劉宇編譯

隨著經(jīng)濟(jì)多樣性的突出和企業(yè)組織結(jié)構(gòu)的逐漸復(fù)雜化，IT治理問題日益受到企業(yè)、咨詢商和軟件商的支持。當(dāng)面對(duì)Building VS Buying，是自己摸索探尋還是拿來主義的問題，業(yè)界未有定論。本文簡(jiǎn)要介紹IT治理的簡(jiǎn)要定義，分析當(dāng)今3個(gè)主要IT治理標(biāo)準(zhǔn)的特征、異同，并給企業(yè)的選擇做出初步的建議。

隨著911事件和安然事件的出現(xiàn)，組織正在考慮其信息技術(shù)（IT）群體，尋找最小化風(fēng)險(xiǎn)和最大化回報(bào)的治理模型。

在更廣泛的意義上，組織能夠在事后基礎(chǔ)上達(dá)到實(shí)現(xiàn)治理，并且創(chuàng)造其自身的架構(gòu)，或者可以采用很多組織和人員的合作努力曾經(jīng)開發(fā)和完善的標(biāo)準(zhǔn)。通過采用標(biāo)準(zhǔn)的IT治理架構(gòu)，企業(yè)實(shí)現(xiàn)一些收益。

一．什么是IT治理？

本質(zhì)上，治理考慮的是組織的合理管理的問題，IT治理將此問題降低一個(gè)層次，印證到IT群體的方面。

可能最好的定義來自COBIT的executive summary，其中將IT治理定義為“關(guān)系和流程的一種結(jié)構(gòu)，用來指導(dǎo)和控制企業(yè)，并通過價(jià)值增加，同時(shí)平衡IT及其流程的風(fēng)險(xiǎn)和回報(bào)，最終目的是達(dá)到企業(yè)目標(biāo)。”

二．三個(gè)主要的IT治理標(biāo)準(zhǔn)

為了清楚起見，“事后”架構(gòu)指企業(yè)內(nèi)部基于自身最佳實(shí)踐經(jīng)驗(yàn)所開發(fā)的架構(gòu)。相反，存在一些先進(jìn)的國際標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)反映了大量企業(yè)的經(jīng)驗(yàn)結(jié)晶，并有專業(yè)監(jiān)管實(shí)體維護(hù)。如果仔細(xì)研究這些監(jiān)管標(biāo)準(zhǔn)，存在三個(gè)比較顯著的標(biāo)準(zhǔn)：

（1）COBIT

The Control Objectives for Information and related Technology (COBIT)。該標(biāo)準(zhǔn)現(xiàn)在是第三修訂版，由Information Systems Audit and Control Association (ISACA)出版，最早在1996年發(fā)布。COBIT架構(gòu)由34個(gè)高層控制目標(biāo)和318個(gè)細(xì)節(jié)控制目標(biāo)組成，通過定義這些目標(biāo)，可以幫助維護(hù)企業(yè)業(yè)務(wù)對(duì)IT的有效控制。該標(biāo)準(zhǔn)比較完善，所有的COBIT文檔集合可以在線獲得，包括executive summary、架構(gòu)、控制目標(biāo)、審計(jì)指引、管理指引和實(shí)現(xiàn)指引。

現(xiàn)在，ISACA正在實(shí)現(xiàn)COBIT的特殊版本，稱為“QuickStart”，為中小型企業(yè)準(zhǔn)備。其中將包括COBIT的子集，并且特別關(guān)注對(duì)于那些缺少實(shí)現(xiàn)完全標(biāo)準(zhǔn)所需資源的那些組織的需求，提供這些組織所需的必備元素。

（2）ISO 17799

International Organization for Standardization國際標(biāo)準(zhǔn)組織的ISO 17799，全稱為“信息技術(shù)——信息安全管理實(shí)踐代碼”，該標(biāo)準(zhǔn)首先于2000年12月由ISO發(fā)布。然而，該基于英國標(biāo)準(zhǔn)7799，英國標(biāo)準(zhǔn)曾有很多版本，開始于1995年，于1999年中介。ISO 17799的目的是關(guān)注于安全，并且輔助企業(yè)創(chuàng)造有效的IT安全計(jì)劃。

該標(biāo)準(zhǔn)有以下的高層次內(nèi)容：安全政策、組織安全、資產(chǎn)分散和控制、個(gè)人安全、物理和環(huán)境安全、通訊和操作管理、進(jìn)入控制、系統(tǒng)開發(fā)和維護(hù)、業(yè)務(wù)持續(xù)性管理和適應(yīng)性。該標(biāo)準(zhǔn)比較完善，以精簡(jiǎn)的方法覆蓋了大量材料。

（3）ITIL

Information Technology Infrastructure Library (ITIL)由United Kingdom's Office of Government Commerce (OGC)維護(hù)，二十世紀(jì)八十年代末根據(jù)很多組織的輸入開發(fā)。有趣的是，雖然該標(biāo)準(zhǔn)在各國知名度不高，卻絕對(duì)擁有越來越多的加入者。

該標(biāo)準(zhǔn)有以下七部分：服務(wù)支持、服務(wù)遞交、安全管理、應(yīng)用管理、ICT基礎(chǔ)架構(gòu)管理、業(yè)務(wù)遠(yuǎn)景、實(shí)現(xiàn)服務(wù)管理的計(jì)劃。ITIL主要關(guān)注鑒別最佳實(shí)踐，這些實(shí)踐與管理IT服務(wù)水平和很多組織相關(guān)。這些組織包括：美國海軍、寶潔，他們都采用了ITIL，并且得到了現(xiàn)實(shí)的顯著收益。

三．標(biāo)準(zhǔn)的好處

采用已定義標(biāo)準(zhǔn)的原因包括：

存在性：在當(dāng)今世界，時(shí)間是最寶貴的商品。在國際開發(fā)標(biāo)準(zhǔn)已經(jīng)存在時(shí)，何必要花費(fèi)大量的時(shí)間和金錢基于有限的經(jīng)驗(yàn)來開發(fā)IT治理架構(gòu)。

結(jié)構(gòu)性：模型的架構(gòu)提供了組織可以跟從的完美結(jié)構(gòu)。另外，結(jié)構(gòu)化幫助共同需求的每個(gè)人，他們可以看到他們所期望的內(nèi)容。

最佳實(shí)踐：這些標(biāo)準(zhǔn)的建立花費(fèi)大量的時(shí)間，由全世界成百上千的專家和組織進(jìn)行評(píng)估。模型中所反映的經(jīng)年的經(jīng)驗(yàn)累積不是單個(gè)組織可以負(fù)擔(dān)的。

知識(shí)分享：通過跟從標(biāo)準(zhǔn)，人們可以在組織間分享思想，通過用戶群、網(wǎng)站、雜志、書本等來分享利潤。公司特定事后方法的推動(dòng)者就不可能達(dá)到這一點(diǎn)。

可審計(jì)性：沒有標(biāo)準(zhǔn)，審計(jì)者（尤其是第三方審計(jì)者）很難有效衡量控制。即審計(jì)者本身應(yīng)該遵從一定的標(biāo)準(zhǔn)，這是事后審計(jì)實(shí)現(xiàn)不能達(dá)到的。目標(biāo)是在至少一個(gè)基礎(chǔ)標(biāo)準(zhǔn)的基礎(chǔ)上評(píng)估組織，然后推薦最適合的標(biāo)準(zhǔn)。

四．什么標(biāo)準(zhǔn)最好？

有趣的是，三個(gè)標(biāo)準(zhǔn)沒有太多共同點(diǎn)。COBIT在IT控制和量度指標(biāo)方面最強(qiáng)。ISO17799覆蓋IT安全，而ITIL重點(diǎn)在于流程，尤其是IT幫助相關(guān)的部分。

組織不應(yīng)該僅僅選擇一個(gè)，而應(yīng)該對(duì)三個(gè)標(biāo)準(zhǔn)進(jìn)行總體瀏覽，然后計(jì)劃一個(gè)方法，通過該方法混合每種標(biāo)準(zhǔn)中最好和最適合本企業(yè)部分。

比如，客戶或者監(jiān)管實(shí)體可能需要組織采用ISO17799，結(jié)果是至少可以將該標(biāo)準(zhǔn)作為初始焦點(diǎn)。然而，同樣的公司最終也可以在遠(yuǎn)景中包括其他標(biāo)準(zhǔn)。

五．總結(jié)

跨出第一步是最難的！這是很多關(guān)于IT治理的文章最關(guān)注的要點(diǎn)。問題實(shí)際上不是“我們是否實(shí)現(xiàn)”，而是“我們?nèi)绾螌?shí)現(xiàn)？”。在這一點(diǎn)上，存在很多的資源可以幫助組織的研究和實(shí)現(xiàn)。企業(yè)可以進(jìn)入此企業(yè)自身和利益相關(guān)人非常關(guān)注的領(lǐng)域，并采用漸進(jìn)的方法。所有的標(biāo)準(zhǔn)都是非常大的工程，企業(yè)跨期地在不同階段采用不同的元素，要遠(yuǎn)遠(yuǎn)優(yōu)于一下子嘗試和實(shí)現(xiàn)所有的內(nèi)容。

COBIT，ISO 17799和ITIL都是實(shí)現(xiàn)IT治理的優(yōu)秀架構(gòu)。關(guān)鍵是研究這些標(biāo)準(zhǔn)、觀察需求、采用初始最適合的標(biāo)準(zhǔn)。最后，所有三個(gè)標(biāo)準(zhǔn)都是IT組織回顧和折衷采用的最佳實(shí)踐。采用某一個(gè)標(biāo)準(zhǔn)的公司完全可以進(jìn)行階段性實(shí)現(xiàn)項(xiàng)目，從標(biāo)準(zhǔn)的元素出發(fā)，最終得到組織最適合的標(biāo)準(zhǔn)。

參見AMTeam.org封面專題：《IT治理：中國信息化的必由之道》

作者聯(lián)系方式：arthur.liu@amteam.org