IT治理与管理实务Word格式.docx

1、IT治理的关键因素是T与业务保持一致，以实现业务价值。 IT治理的主要流程有:IT资源管理、绩效测评和合规管理 lIT治理回答下述问题 在IT战略决策中哪些利益相关者有发言权?谁决定T投资及其优先级顺序？应当建立哪些IT委员会，由什么人组成?其职责是什么？向谁报告？ CO的角色和职责有哪些？ 如何控制T使其满足业务需求？ 如何评价I职能的绩效?lI治理的目标 指导T工作,确保IT绩效满足IT目标、符合企业目标要求，实现预期利润 帮助企业开拓商机，实现利益最大化 充分利用IT资源 适当控制IT相关风险 IT治理与公司治理 公司治理主要关注利益相关者权益和管理,包括一系列责任和条例,由最高管理层（

2、董事会）和执行管理层实施; 公司治理目的是提供战略方向,保证目标能够实现，风险适当管理，企业资源合理使用； I治理是公司治理的重要组成部分,是董事会或最高管理层的责任; IT治理由领导、组织结构以及相关流程组成,这些流程能保证组织的T能有效支持及促进组织战略目标的实现，同时控制风险、降低成本、提高绩效。 公司治理可以驱动和调整治理，同时，T 能够为公司治理提供关键的输入，形成战略计划的一个重要组成部分 公司治理和IT 治理都是“他律”机制，是如何“管好管理者”的机制,其目标也是一致的:达到业务持续运营，并增加组织的长期获利机会。 I治理与IT管理IT管理是公司的信息及信息系统的运营，确定IT

3、目标以及实现此目标所采取的行动而IT 治理是指最高管理层（董事会）利用它来监督管理层在IT 战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。简言之,是“对管理的管理” I管理就是在既定的IT 治理模式下，管理层为实现公司的目标而采取的行动缺乏良好I治理模式的公司,即使有“很好”的T 管理体系（而这实际上是不可能的）,就像一座地基不牢固的大厦 同样，没有公司IT 管理体系的畅通,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容I治理的层次 在企业战略层上 IT治理要与公司治理结构、企业战略规划进行集成，使T治理作为公司治理的一部分; 在治理结构上体现IT的位置与作用，使IT议题

4、要进入董事会（或者是监事会、最高管理当局）下的战略委员会、审计委员会、安全委员会； 董事会要确保的执行与监管分开，监管机制要独立并持续运行、沟通与反馈机制要持续有效；IT治理要求向董事会和最高管理层分配职责,并要求其完成一系列活动。在企业战术面上 虽然治理集中在董事会最高管理层,但由于IT治理的复杂性和专业性，治理层必须依赖企业在战术层面上提供必要的控制框架来保证治理职责的落实; 为了保证IT与业务目标一致，充分利用有限的IT资源,提高绩效，降低风险与控制成本，按照国际普遍接受的企业内部控制标准,在战术层面建立有效的IT控制框架并监督实施。 BI、IT、IS9 需求识别、数据标准化、项目管理

5、IT治理域 一些著名的机构（Garter、CS、AICA/CICA、CIO Maazie ）通过调查认为最受IT管理层关注的问题，已经从技术领域逐渐转向管理相关领域； 这些问题可以归结为五个I治理域:战略一致、价值交付、风险管理、资源管理和绩效考评，其中有两个核心，一是I要向业务交付价值,二是降低风险。前者由T与业务的战略一致驱动，后者由企业内部建立的责任分工驱动； 这两者都需要获得足够的资源并进行绩效考评,以保证获得预期的结果；这五个域都受利益相关者价值驱动,其中价值交付、降低风险是结果，战略一致绩效考评是驱动力，I资源管理为治理提供支持。五个IT治理域：战略一致- 强调I与业务保持一致,提

6、供协调的解决方案。价值交付- 确保T实现了预期战略收益，集中关注成本的优化，提供IT的固有价值。风险管理- 将风险管理职责嵌入组织中，包括IT资产的保护、灾难恢复和业务连续性。 资源管理- 对IT资源（应用系统、信息、基础设施和人员）的优化投资并适当管理,关键问题在于知识和基础设施的优化。绩效考评- 追踪并监控战略实施、资源使用、流程绩效、服务交付以及诸如平衡记分卡的使用等，监督IT服务质量。没有绩效测量就无法对以上四个域进行有效管理。IT治理的关键因素治理的关键因素就是要使IT与业务融合，以实现组织的业务价值。通过IT治理框架和最佳实践的应用，在组织内促成目标实现。IT治理框架和最佳实践是由

7、一系列组织结构、流程及相关机制组成。关键的I治理因素包括:I战略委员会、风险管理和标准IT平衡记分卡。审计师在I治理中的职责审计是组织成功实施I治理的一个重要角色,对于向高级管理层提供建议，帮助改善T治理质量和效果而言，审计处在最佳的位置；通过引入审计师独立的、中立的观点，可以对T治理绩进行持续有效的监督、分析、评估，以指导与改进与IT治理相关的IT过程;IS审计师的要对T治理的各个方面进行评估I职能与组织使命、愿景、价值、目标和战略的一致性 法律、环境、信息质量、委托、安全和隐私方面的要求 组织的控制环境 IS环境的固有风险 l A3.I战略委员会 是董事会实施其IT治理目标的重要机制，一般

8、隶属于董事会,由董事会成员及非董事会成员组成,它主要职责是协助董事会治理和监督企业的IT相关事务； T战略委员会应当保证在组织中以结构化的方式来实施T治理，而且董事会可以获得足够的信息来实现IT治理的最终目标。 组织在执行经理层设置I指导委员会来处理关系到整个组织的T事务,比如：追踪IT投资、设定项目优先级、分配IT资源等。 指导委员会职责分析表是IS应当掌握的知识l A4.IT平衡记分卡（BSC） 绩效测评是企业管理中的重要因素，没有绩效测评就无法对业务进行有效管理，但随着企业创造价值的方式由有形资产逐渐转向无形资产，对无形资产的衡量,不能采用传统的针对有形资产的财务数据方式; 平衡记分卡是

9、目前企业管理中较流行的绩效测量工具,它可以把企业战略转化为实际的行为，从而实现企业目标; 这种绩效测评系统超出了传统的财务记帐方式，它不仅衡量财务数据，还要对业务过程与基于知识的资产等方面进行测评，在顾客满意度、内部流程和创新能力等方面进行了补充，组成了财务、客户、过程和学习四个视角。 标准T平衡记分卡是CISA应当掌握的内容。平衡记分卡的四个视角： 财务视角为使股东满意，我们需要达到什么样的财务目标? 客户视角为实现财务目标,我们需要服务什么样的客户？ 过程视角为了提高客户和利益相关者的满意度，我们需要建立什么样的内部业务过程? 学习视角为了达成目标，组织应当如何学习与创新?为了把平衡记分卡

10、应用于IT,还应使用一个三层构架来描述其四个方面的评价要素：使命 成为首选的信息系统供应商 经济、有效地交付I应用系统和服务 I投资能获得一个合理的业务回报 抓住机遇应对未来挑战 战略 开发良好的应用系统与运营 建立用户伙伴关系和良好的客户服务 提高服务水平,优化价格结构 控制I费用 为IT项目赋于业务价值 提供新的业务能力 培训和教育职员,追求卓越 为研究和开发提供支持 措施 提供一套稳定的指标（如KPI ）来指导面向业务的T决策 IT平衡记分卡实例是协调董事会和管理层实现IT与业务融合最有效的方法; 目标就是通过建立一种面向董事会的管理报告工具，使利益相关者在T战略目标上达成一致,以表明I

11、的有效性和增值性，同时便于组织在IT绩效、风险和能力方面进行沟通。5.信息安全治理 信息可以定义为“具有特定意义和目标的数据”。信息在我们当今的生活中发挥着越来越重要的作用,已成为所有组织业务活动中不可缺少的组成部分,越来越多的公司已将信息作为其主营业务,如Google、eay、Mcrot、网易等。 当今已很难找到不接触信息技术的企业，随着全球网络互联时代的到来，在企业突破其传统边界向虚拟世界不断扩展的背景下，信息安全己成为重要的治理问题而出现在我们面前。 信息犯罪和恶意行为已成为越来越多的高级犯罪分子的选择。恐怖分子和其他敌对社会的人也使用IT技术来宣扬他们的观点并传播其恐怖行为。 信息安全

12、治理具有特定的价值驱动:信息的完整性、服务的持续和信息资产的保护。 T安全定位于安全技术,通常由IO级别的人推动;信息安全着眼于信息所涉及的风险、收益和流程,必须由执行管理层和董事会的支持,信息安全治理是董事会和执行经理的职责。信息安全治理能带来的收益 落实在向公众或监管部门提供不准确信息，在保护隐私信息（如泄露信用卡或其他敏感客户信息）中未保持应有的谨慎等方面,组织及其管理者应当承担的公民或法律责任 提供对政策和标准的符合性保证 通过降低风险至既定的可接受水平，减少业务运营的不确定性，提高可预见性 为有限的安全资源的最优化分配提供结构和框架 为关键决策不基于错误信息提供适当水平的保证 为风险

13、管理、流程改善和事件快速响应的效果与效率提供一个稳定的基础 明确重大业务活动期间（如公司合并及购并、业务流程恢复、法律回应等）的信息保护责任 有效的信息安全治理可达到如下效果： 战略一致 使信息安全与业务战略保持一致以支持组织目标。 风险管理管理和实施适当的措施以降低风险并减少对信息资源的潜在影响至可接受水平。 价值交付 优化安全投资以支持业务目标。 绩效测评衡量、监督和报告信息安全流程,以确保实现SMART 目标（确定的、可度量的、可实现的、相关的和符合时间要求的）。 资源管理 有效利用信息安全知识与基础设施。流程整合 关注组织安全管理保证流程的整合。业务流程保证的最新概念： 整合是一个把所

14、有相关保证因素综合在一起考虑，来确保流程能环环相扣整体运营的概念。 要实现整合，应当考虑以下内容： 确定组织中的所有保证职能 与其他保证职能建立正式的衔接关系 协调所有保证职能，实现更加完整的安全 明确各保证职能接合部位的角色与职责 信息安全治理是企业治理的一部分,企业治理为安全活动提供战略方针并确保其目标的实现，企 业安全治理则确保能适当地管理信息安全风险并合理使用企业信息资源。 为实现有效的信息安全治理，管理层必须制定和维护一个框架,以指导建立和管理一个支持业务 目标的全面的信息安全流程。该治理框架一般由以下内容组成： 在本质上与业务目标相衔接的全面的安全战略 对战略、控制和法规进行全面落

15、实的政策 确保规程和指南能与政策保持一致的一整套标准 不存在利益冲突的一套有效的安全组织架构 对符合性进行监督并能反馈其效果的制度化的监督流程 组织必须在治理层面为领导者分配企业安全职责,而不是由那些缺乏权力、责任和资源的其他人员来充当并强迫其执行。各层级的安全职责： 董事会与最高管理层 有效的信息安全治理只有通过董事会及最高管理层参与批准政策、适当的监督和衡量指标、报告和趋势分析来实现。 执行管理层 制定有效的信息安全战略、实施有效的安全治理指导委员会 为确保安全程序与业务目标的一致性提供持续的基础，也是实现向有益于形成最佳安全文化的行为改变的手段。 首席信息安全官 不管是专职的CIS还是由

16、CIO、CTO等角色来兼任,组织应当在高级管理层设置首席信息安全官。lA6.企业架构（EAEnerise Ahitre） 所谓企业架构就是通过一种结构化的方式来反映组织的T资产，并有效管理对投资。 企业架构系统而又完整地定义了组织的当前（基准）环境和期望（目标）环境的蓝图。 对于信息系统的更新以及开发新系统而言,建立EA 是必不可少的前提。 E从逻辑或业务（如职能、业务职责、信息流和系统环境）以及技术（如软件、硬件、通信）两方面来定义的,并且包括从基准环境转换到目标环境的顺序规划。 技术驱动的企业架构是为了澄清现代组织面临的复杂技术选择问题； 业务流程驱动的企业架构是为了更好地理解组织业务的核

17、心流程及支持流程。业务流程驱动的企业架构的作用 更好地理解组织业务的核心流程及支持流程及相关支持技术，对现有流程中的不合理部分进行重新设计或改造，从而达到优化流程、降低成本、提高绩效的目的。 各种业务流程模型： 增强型电信运营图（eTOM EnancdTecom Opeato ap） 供应链运营指引模型（CR -uplyhain Operatins Reene） IBM的保险应用架构IAA模型（nsuane Applatio A Ariteture ） 美国联邦政府业务构架模型FFeerlEtprse Achtetue .信息系统战略 1战略规划 从信息系统角度看，战略规划是组织为了利用信息技

18、术来完善其业务流程而确定的发展方向及长期的计划。 在制定战略规划过程中,最高管理层的职责包括确定成本有效的I方案以解决该组织面临的困难,并提出识别和获取所需资源的行动方案。 有效的T战略规划要考虑组织对IT及IT能力的需求。 S审计师应十分注意I战略规划的重要性，并充分考虑其管理控制流程,确保IT战略规划与整体业务战略保持一致。 B.指导委员会 高级管理层应当组建一个计划或指导委员会，监督其信息系统的职能和业务活动，这是确保信息 系统部门与公司宗旨和目标协调的一种机制。 最好是从董事会中挑选一位理解信息技术与风险管理的成员来负责信息技术，并担任该委员会的 主席。委员会应当包括来自高级管理层、用

19、户部门和信息系统部门的人员。 委员会的职责应当在正式章程中指定。委员会成员应当了解信息系统部门的政策、程序和流程。 每个成员应当在其负责的领域内有权做出决定。 委员会应当定期开会,并向高级管理层汇报。信息系统指导委员会的正式会议记录应当记载委员 会的活动和决议。指导委员会的主要职责： 审查I部门的长期和短期计划以确保其符合公司目标 在董事会批准的权限内,审查和批准重要的硬件和软件获取 批准并监督重要项目、IS计划及预算进度,设定优先级，批准标准和流程并监督所有的IS绩效 审查和批准所有IS活动的承包策略，包括内包或外包以及全球离岸职能 审查资源的充分性以及时间、人力和设备资源的分配情况 在集中

20、与分散管理之中做出决策并分配职责 对制定和实施企业级信息安全管理程序提供支持 向董事会报告I活动 .政策和规程 l C1. 政策 政策是高层次的文件，政策代表了企业文化和高级管理层和经营过程所有者的战略思考。 与组织的总体性目标和方向有关的政策的制订、开发、记录、推广和控制的责任应当由管理层承担,通过制定政策来为组织创造一种积极的控制环境。 根据公司总体政策采用自顶向下的方法来开发部门政策是较好的选择，因为它确保了各级政策的一致性。 自底向上的方法更加灵活实用,但容易造成政策间的不一致和相互矛盾。 管理层应当定期审查所有政策。政策也需要不断更新，反映新的技术和经营过程的重大变化,利用信息 技术

21、提高生产效率和获取竞争效益。 信息系统审计师要理解政策并对政策进行符合性审查是审计工作中的重要环节 信息安全政策 安全政策用来与用户、管理层和技术人员沟通相关安全标准，指导整个组织来确定所需保护的内容、相应 的保护职责以及保护工作应遵循的策略。信息安全政策文件 信息安全的定义、整体目标和范围 陈述管理层意图、支持信息安全与业务战略和目标保持一致 设定控制及控制目标的框架，包括风险评估和风险管理 说明安全政策、原理、标准及以下重要的符合性要求 对法律、法规及合同要求的符合性 安全教育、培训和意识需求 业务持续性管理 违背信息安全政策的后果 明确信息安全管理人员的总体及具体职责，包括事件报告 政策

22、所参考的文件、标准和规程 对信息安全政策的审查 管理层应当定期或在发生重大变化时对信息安全政策进行审查,以确保其适当性、充分性和有效性。应当为信息安全政策指定所有人,来批准安全政策的制定、审查和评估等管理职责。 I审计师在检查政策时需要评价以下内容: 政策的制定依据,一般情况下是基于风险管理过程 政策的适当性 政策的内容 政策的例外情况，特别注意政策的不适用领域及原因,如：可能与遗留系统不相容的口令政策 政策批准流程 政策实施流程 政策的实施效果 意识与培训 定期审查与更新流程 C2.程序 程序是详细的文件,根据组织的政策而制定并体现其精髓。程序必须清晰和准确,使接受者易于准确地理解。 程序记

23、载了业务流程及其内在控制,程序一般由中层管理人员制定,是政策框架下的具体化措施。 程序比相关政策更加易于变化,它们必须反映业务重点和环境的不断变化。 独立的审查对于确保政策和程序被正确地理解和执行是必要的 D.风险管理 l 定义 风险管理是确定组织在实现其业务目标的过程中所使用的信息资源的脆弱性和面临的相关威胁的过程 有效的风险管理始于清楚地理解组织的风险喜好。 风险管理包括识别、分析、评估、处置、监督和沟通T流程的风险影响。一旦确定了风险喜好与风险承受能力，就可以制定风险管理策略并分配职责。 根据风险类型及其对业务的影响程度,可以选择以下措施来应对风险： 避免风险：在可能的情况下，尽量选择不

24、从事导致风险的特定活动或流程（通过消除风险源来消除风险） 降低风险：通过制定、实施并监督适当的控制来降低风险发生的可能性及其影响 转移风险:与业务伙伴分担风险或通过保险、合同约定及其他方式来转移风险 接受风险:正视风险的存在并对风险进行监控l D1.开发风险管理程序 第一步：确定风险管理程序的目的 确定组织建立风险管理程序的目的，可能是降低保险费用,或者是减少相关系统的损害。 在实施风险管理计划之前确定其意图，组织可以确定关键绩效指标并评价其结果。 一般情况下,由执行管理人员和董事会来设定风险管理程序的基本要求。 第二步:为风险管理计划分配职责 为制定和实施组织的风险管理程序向个人或团队分配职

25、责。 当风险管理计划的主要职责由团队负责时,其成功因素是把风险管理与组织内各个层级进行整合。 运营管理人员和董事会成员都应当协助风险管理委员会识别风险、设计适当的风险控制并介入战略的制定。D.风险管理过程l几个重要概念 T资产：软件、硬件、信息、人员、服务、文档 脆弱性：是信息资产固有特征，可以被威胁利用而造成 损害;内控缺陷也可以认为是一种脆弱性 威胁:对信息资源造成损害的任何潜在情况或事件，威胁的发生是由于资源存在脆弱性 影响:威胁发生后造成的结果,能导致资产损失几个概念间的关系：脆弱性导致威胁发生,威胁的发生造成影响，从而带来T资产的损失 剩余风险：实施控制后剩下的、没有被有效控制的风险 可接受风险水平:由管理层确定的、可以接受的剩余风险水平,超过这个水平的风险需要实施更强的控制，而在这个水平之下的剩余风险也应该评价是否采用了过多控制，要考虑是否降低控制水平以节约成本。lI风险管理在多种层面上进行综合分析 运行层面应当关注能够危害I系统及其基础设施有效性的风险;绕过系统安全措施的风险，造成重要资源（如:系统、数据、通讯、人员、场所等）损失或不可用的风险，违反法律、法规的风险。 项目层面管理层应当理解并管