IT治理主要内控模型比较研究.docVIP

IT治理主要内控模型比较研究[摘要]随着信息化程度的不断提高和信息化技术的发展,信息技术已经成为推动社会发展的重要基础性资源。信息系统广泛深入地渗透到社会的各个领域,并成为政治、经济、军事、文化乃至社会一切领域的基础。那么对IT治理也就提到了人们的思考日程上。IT治理的研究自从提出就受到了国内外众多学者的关注,而且随着信息技术的发展,企业的IT投入越来越多,对IT的治理的关注程度越来越高。目前,IT治理的主要模型包括ITIL、ISO/IEC17799/27002、Prince2、COBIT。每个模型都有各自的优势,适用于不同的领域 [关键词]IT治理内控模型比较 1IT治理主要内控模型的介绍 1.1 ITIL介绍 ITIL的全称是信息技术基础架构库(IT Infrastructure Library),是由位于英国Norwich的政府商务部(OGC)在XX年代中期,为提高英国政府部门服务质量而开发的针对IT行业的服务管理标准库,属于全球范围内IT服务管理领域较为成熟的时间框架之一 ITIL提供各种IT服务管理的最佳实践信息,包括可以根据各机构的具体情况定制的详细的流程,活动要求、步骤、规则和职责。这些实践包含一系列流程,涉及任何IT部门都必须提供的各种主要活动。这些流程可以分为两大类:服务支持和服务交付。其中服务支持是满足客户需求的日常运作基础服务,ITIL规范定义了服务支持的五个主要流程和一个服务台工具,包括突发事件管理、问题管理、变更管理、配置管理、版本管理和服务台功能。服务交付是帮助IT机构提供必要业务服务,包括服务水平管理、可用性管理、IT服务的财务管理、容量管理、IT服务连续性管理等五个能够相互转换的流程,它们都与优质IT服务的计划和交付密切相关 多数情况下,ITIL只叙述应该采取哪些措施才能改善服务,但并没有说明怎样采取这些措施。只编写描述可重复管理流程的ITIL文档是不能改善实际服务的,只有将ITIL的描述制定成可操作的指南和蓝图,才能将ITIL理论转变成IT服务管理最佳实践 1.2 ISO/IEC 17799/27002简介 ISO/IEC 17799/27002的前身是BS7799,其是由DTI(英国贸工部)立项,由政府、业界和商业机构共同倡导的,可供开发、实施和测量有效安全管理的惯例,它是贸易伙伴之间信任的通用框架。BS7799分为两个部分:BS77991,安全管理实施规则;BS77992,安全管理体系规范。国家标准化组织在XX年对BS77991进行了认证,颁布了ISO/IEC17799,XX年英国标准协会对BS7799:2-1999进行了重新修订,正式引入PDCA过程模型(PDCA:Plan―Do―Check―Act);XX年9月5日BS7799-2:XX年7月又重新编号为ISO27002 BS77991对安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任;包含了10个“安全控制条款”、36个“主要安全类别”和127个安全控制措施来帮助组织识别在运作过程中对安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。BS77992详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员去应用ISO/IEC 17799,其最终目的在于建立适合企业需要的信息安全管理体系。该模型为信息系统的安全控制提供了实用指南 1.3 PRINCE2简述 PRINCE是PRoject IN Controlled Environment(受控环境下的项目管理)的简称。PRINCE2 由英国政府商务部(OGC)所有,于1996年开始推广。PRINCE2描述了如何以一种逻辑性的、有组织的方法,按照明确的步骤对项目进行管理。它不是一种工具也不是一种技巧,而是结构化的项目管理流程。这也是为什么它容易被调整和升级,适用于所有类型的项目和情况,当然也适用IT项目的管理 PRINCE2 使用一系列的8个过程来描述一个项目在何时发生了什么。这些过程涵盖了从项目开始到项目结束的所有活动,包括项目启动、项目准备、项目指导、项目阶段控制、产品交付管理、阶段边界管理、项目收尾、项目计划八个过程,可以根据个人的需要对其进行缩减和调整。每个过程鼓励对项目责任正式的确认(谁具体负责什么),强调项目交付什么(what)、为何交付(why)、交付时间(when )、为谁交付(whom) 此外,该方法还包括8个部件和3个技巧。8个部件是:商业论证、组织、计划、控制、风险管理、项目环境下的质量管理、配置管理、变更管理。3种技巧是:基于产品的规划、质量检查技巧、变更