【正文】 的基礎(chǔ)。按照IT治理的對象，我們將IT治理的服務(wù)劃分為五類，分別是：IT規(guī)劃治理、IT建設(shè)治理、IT運維治理、IT績效治理、IT風(fēng)險治理。IT治理的目的是使IT與組織業(yè)務(wù)有效融合，其出發(fā)點首先是組織的發(fā)展戰(zhàn)略，以組織發(fā)展戰(zhàn)略為起點，遵循組織的風(fēng)險與內(nèi)控體系，制定相應(yīng)的IT建設(shè)運行的管理機制。要實現(xiàn)此目標(biāo)就要發(fā)掘企業(yè)信息化建設(shè)的內(nèi)在動力，通過IT治理構(gòu)建組織信息化建設(shè)可持續(xù)發(fā)展的長效機制，在IT治理總體框架內(nèi)，在信息化全過程風(fēng)險控制體系基礎(chǔ)之上，通過合理規(guī)劃、有序建設(shè)、準(zhǔn)確評估、持續(xù)改善，以不斷修正組織IT路線，確保IT目標(biāo)與組織目標(biāo)的一致性。信息技術(shù)的不斷發(fā)展導(dǎo)致組織對于信息和技術(shù)的依賴性不斷增強，IT風(fēng)險和信息安全風(fēng)險成為組織風(fēng)險控制的重要議題。衡量組織信息化水平的一個重要標(biāo)志就是信息化取得的實效，這也是信息資源開發(fā)和信息化建設(shè)的核心任務(wù)，但綜合國內(nèi)情況來看，信息化建設(shè)效果不佳是普遍現(xiàn)象。具體來說，IT治理的目標(biāo)有以下四個方面：（1） 確保IT與組織戰(zhàn)略目標(biāo)的一致性，實現(xiàn)IT與業(yè)務(wù)的有效融合。中國IT治理研究中心（ITGov）認(rèn)為，IT治理是指設(shè)計并實施信息化過程中各方利益最大化的制度安排，包括業(yè)務(wù)與信息化戰(zhàn)略的機制、權(quán)責(zé)對等的責(zé)任擔(dān)當(dāng)框架和問責(zé)機制、資源配置的決策機制、組織保障機制、核心IT能力發(fā)展機制、績效管理機制以及覆蓋信息化全生命周期的風(fēng)險管控機制。羅斯認(rèn)為IT治理就是在使用信息技術(shù)的過程中，確定決策權(quán)及責(zé)任框架，以鼓勵所希望的行為產(chǎn)生的過程。 IT治理的概念I(lǐng)T治理（IT Governance）這個概念最早是由IBM在2002年引入中國的，其本意是推動國內(nèi)企業(yè)服務(wù)流程化的管理。大多數(shù)組織的管理者都已樹立了不同程度的安全和風(fēng)險意識，但是對信息資產(chǎn)所面臨的嚴(yán)重性認(rèn)識不足，僅局限在IT方面的安全，缺少合理的信息安全方針來指導(dǎo)組織的信息安全管理工作，在安全規(guī)劃、風(fēng)險、應(yīng)急、安全教育培訓(xùn)、系統(tǒng)評估方面采用靜態(tài)管理，出了問題再補救，缺少全局管理方法。IT項目與傳統(tǒng)項目相比有需求不確定性、項目隱蔽性、范圍模糊性、智力密集型、評價主觀性等特點，決定了IT項目管理更加困難，純粹使用項目管理技術(shù)并不能解決根本性問題，需要對IT項目管理進行頂層設(shè)計，建立對項目各利益相關(guān)方監(jiān)督與制衡機制，否則容易造成IT項目失控。IT價值具有長期性、間接性、綜合性的特點，從一定程度上講，IT價值評價是困難的。事實證明，系統(tǒng)規(guī)模越大、與管理聯(lián)系越密切、集成度越高的系統(tǒng)，風(fēng)險越大，失敗率越高，在進行投資前必須有一套規(guī)范的決策流程和經(jīng)濟技術(shù)可行性論證過程，否則成功是偶然的、失敗是必然的。大家都在談IT的重要性，但并沒有上升到戰(zhàn)略的高度。下面將從日常IT管理問題的一些表象出發(fā)，探究現(xiàn)象背后的深層次原因，并引入IT治理這一思想來實現(xiàn)針對IT管理的管理。 IT管理面臨的困惑中國的信息化建設(shè)已有三十余年，其成績是顯著的，但是問題也是不容回避的，信息化建設(shè)在提高業(yè)務(wù)操作效率和提供業(yè)務(wù)管理手段的同時，也給管理者帶來了一些新的困惑。IT戰(zhàn)略缺失或不清晰，導(dǎo)致公司在信息化建設(shè)中找不到重心，IT建設(shè)不能與企業(yè)發(fā)展戰(zhàn)略進行有效匹配融合，IT部門在推進企業(yè)信息化建設(shè)過程中“有力無處使，有勁干不動”。（3） IT系統(tǒng)建設(shè)缺少規(guī)劃。但是，沒有科學(xué)度量就沒有科學(xué)管理，度量是為管理服務(wù)的，沒有度量就沒有管理，缺少IT價值的度量就無法進行有效的IT管理。（6） IT運維管理流程不規(guī)范。愛因斯坦曾經(jīng)說過：“我們面對的重大問題無法在我們制造出這些問題的思考層面上得到解決。目前對于IT治理并沒有統(tǒng)一的定義，以下描述了幾種主流的定義：MIT CISR的彼得國際信息系統(tǒng)審計與控制協(xié)會（ISACA）定義如下：IT治理是一個由關(guān)系和過程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險、增加價值來確保實現(xiàn)企業(yè)的目標(biāo)。該制度安排的目的是實現(xiàn)組織的業(yè)務(wù)戰(zhàn)略，促進管理創(chuàng)新，合理管控信息化過程的風(fēng)險，建立信息化可持續(xù)發(fā)展的長效機制，最終實現(xiàn)IT商業(yè)價值。IT存在的理由是為組織發(fā)展服務(wù)的，這就決定了IT目標(biāo)與組織目標(biāo)必須保持一致，IT應(yīng)該是組織發(fā)展的助推力，而不能成為組織發(fā)展的障礙。雖然IT資產(chǎn)作為組織的六大核心資產(chǎn)之一，但是IT資產(chǎn)的效能產(chǎn)出始終是困擾管理者的問題。IT治理的目標(biāo)之一就是落實監(jiān)管要求、構(gòu)建組織內(nèi)部風(fēng)險控制體系，通過制定信息資源的保護級別，強調(diào)信息技術(shù)資源的風(fēng)險意識，通過組織、制度、流程、技術(shù)多個方面來實現(xiàn)對風(fēng)險的有效監(jiān)控和事故的快速處理，確保IT達成預(yù)期目標(biāo)。 IT治理框架 IT治理框架綜述當(dāng)前，我國信息化建設(shè)中的最大問題，不是技術(shù)問題，也不是資金問題，而是缺乏科學(xué)的IT管理觀念；IT領(lǐng)導(dǎo)者最大的問題不是缺少經(jīng)驗和能力，而是缺乏卓越的管理素質(zhì)和管理方法。IT治理的關(guān)鍵要素涵蓋IT組織、IT戰(zhàn)略、IT架構(gòu)、IT基礎(chǔ)設(shè)施、業(yè)務(wù)需求、IT投資、信息安全等，主要確定這些要素或活動中“做什么決策？誰來決策？怎么來決策？如何監(jiān)督和評價決策？”。 IT規(guī)劃治理分項IT規(guī)劃治理主要以IT戰(zhàn)略、IT規(guī)劃、IT組織、IT投資為治理對象，通過治理過程，明晰企業(yè)業(yè)務(wù)戰(zhàn)略，制定企業(yè)IT戰(zhàn)略，明確企業(yè)中IT組織的定位、IT組織架構(gòu)，并對企業(yè)未來3至5年的信息化建設(shè)藍圖及建設(shè)步驟做出整體規(guī)劃，同時對IT投資建立閉環(huán)管理機制，確保IT建設(shè)與業(yè)務(wù)發(fā)展需求的一致性。從上圖可以看出，企業(yè)架構(gòu)分為兩大部分：業(yè)務(wù)架構(gòu)和IT架構(gòu)。 IT建設(shè)治理分項IT建設(shè)治理以IT建設(shè)項目為治理對象，通過治理過程，明確IT項目組織構(gòu)建及組織的責(zé)權(quán)利體系，建立項目運行及監(jiān)管機制，以及IT項目需求方、實現(xiàn)方、內(nèi)部IT組織之間的協(xié)調(diào)和治理機制，保證項目按期、按質(zhì)達成預(yù)定目標(biāo)。Prince2通過指導(dǎo)項目和階段邊界管理等過程，確保了項目管理高層實現(xiàn)例外控制，讓他們用有限的時間完全熟悉項目的進程。ITIL所包含的核心理念為：“以流程為基礎(chǔ)，以客戶為中心，注重服務(wù)品質(zhì)和服務(wù)成本的平衡”。ITIL作為國際公認(rèn)的IT服務(wù)管理最佳實踐，已形成一套非常完善的框架和體系，其實施過程因企業(yè)規(guī)模、行業(yè)特性、管理基礎(chǔ)和風(fēng)險偏好而定，下圖簡略描述了通用的步驟，如下圖。組織在信息化實施過程中往往分為幾個不同層面：戰(zhàn)略層、控制層和執(zhí)行層，因此信息化績效的考量也應(yīng)從戰(zhàn)略層面、管理層面和IT崗位層面來分別進行。傳統(tǒng)平衡計分卡的財務(wù)方面指標(biāo)只是衡量了企業(yè)在經(jīng)濟方面的收益，而忽視了其改善經(jīng)營管理能力等方面的隱性收益。在企業(yè)內(nèi)部運營方面，IT平衡計分卡考核的重點是企業(yè)信息化的建設(shè)如何能夠滿足企業(yè)運營需要，IT部門是否能夠有效采用和提供哪些服務(wù)和流程來支持企業(yè)業(yè)務(wù)的運作，并提供及時、有效、可靠的IT服務(wù)。 IT風(fēng)險治理分項IT風(fēng)險治理以信息安全、IT內(nèi)控、IT風(fēng)險管理為治理對象，通過治理過程，建立相應(yīng)的信息安全管理體系（含組織、技術(shù)、運維）、IT風(fēng)險與內(nèi)控體系，既滿足企業(yè)內(nèi)部風(fēng)險管控需求，又滿足外部監(jiān)管機構(gòu)合規(guī)性要求，同時為內(nèi)外部IT審計奠定良好的基礎(chǔ)。信息標(biāo)準(zhǔn)集中反映了企業(yè)的戰(zhàn)略目標(biāo)，從質(zhì)量、成本、時間、資源利用率等方面來保證信息的安全性、可靠性和有效性；IT資源是IT管理過程的主要對象，包括與人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源；IT過程按照組織信息化的一般過程，劃分為規(guī)劃與組織、采集與實施、交付與支持、監(jiān)控與評估四個域，共34個信息技術(shù)處理過程，如下圖：借助COBIT，組織可以對業(yè)務(wù)環(huán)境和企業(yè)總的業(yè)務(wù)戰(zhàn)略進行分析定位，并將戰(zhàn)略規(guī)劃所產(chǎn)生的目標(biāo)、政策、行動計劃作為信息技術(shù)的關(guān)鍵環(huán)節(jié)，并由此確定IT準(zhǔn)則。信息安全體系建設(shè)是一項復(fù)雜的系統(tǒng)工程，必須用系統(tǒng)工程的觀點和方法，分析信息安全問題，結(jié)合ISO2700《信息安全等級保護管理辦法》等，形成信息安全管控體系模型，如下圖。這一過程需要外部專家進行輔導(dǎo)、咨詢，針對此，山東省軟件評測中心提供了MaxValue174。 IT治理咨詢服務(wù)解決方案。方案總體框架如下圖所示。服務(wù)內(nèi)