如何整合COBIT、ITIL、ISO IEC17799和PRINCE2 构建IT治理机制.doc

整合COBIT、ITIL、ISO/IEC17799和PRINCE2? ?构建善治的IT治理机制 善治的IT治理架构是确保IT资源与公司战略目标保持一致的基础，同样也能确保IT服务满足组织对优质、可信和安全的信息需要。采用标准的IT治理（IT Governance）架构可以给企业带来诸多收益。如美国堪萨斯州把COBIT标准作为虚拟政府策略的一部分，结果降低了运营成本，并为它的客户和委托人提供了很高质量的服务。Proctor＆Gamble在采用ITIL标准的四年里，节省超过5亿美金的预算。同时Procter＆Gamble内部财务和IT部门的调查显示，其运作费用降低6％～8％，而技术人员的人数减少15％～20％。ISO/IEC17799是成为国际标准最快的一个标准，ISO/IEC17799的前身BS7799是卖出拷贝最多的管理标准，目前已有二十多个国家引用BS7799-2作为国标，各大信息安全公司也都以BS7799为指导向客户提供信息安全咨询服务。近年来Prince2在Prince的基础上迅速席卷包括IT项目在内的项目管理，PRINCE 2 已风行欧洲与北美等国。Sun、Oracle等将PRINCE2作为实施项目的标准管理方法；香港特别行政区政府资讯科技署将PRINCE作为政府项目管理的标准指南。 何为IT治理 IT治理是IT、经济学及管理学界中一个新的概念，用于描述企业或政府是否采用有效的机制，使得IT的应用能够完成组织赋予它的使命，同时平衡信息化过程中的风险，确保实现组织的战略目标。其主要使命是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。具体而言如下： · IT战略目标必须与企业战略目标保持一致，IT对于来说组织非常关键，也是战略规划的重要组成部分，甚至直接影响到战略竞争机遇。·?IT治理包含治理委员会、治理结构、治理流程和企业文化等。?·?IT治理使风险透明化，从而保护利益相关者的权益。·?IT治理可用来指导和控制IT投资、机遇、收益及风险。·?IT治理通过引导IT战略，并建立标准的信息基础架构，来实现业务增长。·?IT治理对核心IT资源做出合理的制度安排，这将成为进入新的市场、进行有效竞争、实现总收入增长、改善客户满意度及维系客户关系的制度保障。 四种基本的IT治理支持手段 ·COBIT——信息及相关技术的控制目标(Control Objectives for Information and related Technology，COBIT) ，是IT治理的一个开放性标准，由美国IT治理研究院(IT Governance Institute)开发与推广，现已更新为第三版。IT业务流程是COBIT关注的焦点，对每一个IT业务流程，COBIT提出了一系列的控制目标、相应的实现这些控制目标的控制程序，评价这些控制程序是否存在，并被有效执行的一系列审计程序。该标准为IT的治理、安全与控制提供了一个普遍适用的公认标准，以辅助管理层进行IT治理。目前已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。COBIT模型如图1所示。 COBIT架构的主要目的是为业界提供关于IT控制的清晰策略和良好典范。该架构的四个域分别是：PO（Planning Organization）、AI（Acquisition Implementation）、DS（Delivery support）和 Monitoring。进一步细分为34个IT处理流程。如表1。 表1? COBIT域 1规划与组织（PO，Planning and Organization） 3 交付与支持（DS ,Delivery and Support） PO1制定IT战略规划 PO2确定信息体系结构 PO3确定技术方向 PO4定义IT组织与关系 PO5管理IT投资 PO6传达管理目标和方向 PO7人力资源管理 PO8确保与外部需求一致 PO9风险评估 PO10项目管理 PO11质量管理 DS1定义并管理服务水平 DS2管理第三方的服务 DS3管理绩效与容量 DS4确保服务的连续性 DS5确保系统安全 DS6确定并分配成本 DS7教育并培训客户 DS8为客户提供帮助和建议 DS9配置管理 DS10处理问题和突发事件 DS11数据管理 DS12设施管理 DS13运营管理 2获得与实施（AI, Acquisition and Implementation） 4 监控（M ,Monitoring） AI1确定自动化的解决方案 AI2获取并维护应用程序软件 AI3获取并维护技术基础设施 AI4程序开发与维护 AI5系统安装与鉴定 AI6变更管理 M1过程监控 M2评价内部控制的适当性