您好,欢迎访问三七文档
当前位置:首页 > 办公文档 > 规章制度 > IT服务管理信息安全管理
1什么是IT治理?IT治理用于描述企业或政府是否采用有效的机制(就是为鼓励IT应用的期望行为而明确决策权归属和责任承担的框架),使得IT的应用能够完成组织赋予它的使命,同时平衡信息技术与过程的风险、确保实现组织的战略目标。Governance=Accountability治理和管理的区别就在于:治理是决定由谁来进行决策,管理则是制定和执行这些决策。2IT治理的使命保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,适当管理与IT相关的风险。3IT治理的目标帮助管理层建立以组织战略为导向,以外界环境为依据,以业务与IT整合为重心的观念,正确定位IT部门在整个组织的作用。最终能够针对不同业务发展要求,整合信息资源,制定并执行IT战略,推动组织发展。4IT治理的主要特点健全的组织架构(健全的组织架构是正确决策的保障)清晰的职责边界(清晰的职责边界是确保各治理主体独立运作、有效制衡的基础)明确的决策规则和程序(如果说职责边界是明确由谁做出决策,决策规则和程序就是明确怎么做出决策。)有效的激励和监督机制(当激励与约束机制不能和组织的目标相联系时,IT治理是非常低效的)透明度(治理的流程越透明,治理的信心也就越足)5有效的IT治理需要解决三方面的问题一是解决目的性问题,即IT治理需要做出哪些决策?企业IT决策主要包括五项:IT原则、IT架构、IT基础设施、IT商业应用、IT投资二是解决组织性问题。三是解决系统性问题,即IT治理中如何制定和监控这些决策?企业需要通过一系列的治理机制——结构、流程和沟通实现治理计划(如中国网通集团企业信息化管理控制体系)6IT治理与IT管理IT治理IT管理执行主体股东及董事会(投资人)企业管理层目标实现利益相关者利益的平衡实现效率最大化主要任务IT资源投入、使用过程中的权责配置IT资源的有效利用在企业发挥中的地位确定企业IT应用的基本框架,以确保IT管理处于正确的轨道在现有IT治理框架下确定企业具体的发挥路径及手段运行基础良好的公司治理框架良好的企业管理基础实施方法COBITITIL\ISO17799\CMMI\PMBok等7IT部门在组织中的演变时间IT部门的成熟度技术提供者服务提供者战略合作伙伴IT基础架构管理(ITIM)IT服务管理(ITSM)IT治理(ITG)服务提供者战略合作伙伴IT的作用是提高效率IT预算是由外部基准驱动的IT与业务分离IT是一项成本中心,应该加以控制IT管理者是技术专家IT的作用是促进业务增长IT预算是由业务战略驱动的IT与业务密不可分IT是一项投资,应该加强管理IT管理者是提供解决业务问题方案的专家8研究平台:中国IT治理研究中心实施方法咨询培训/认证企业网络平台:论坛平台:G2峰会出版平台:中国IT治理智库中国IT治理领域生态图中国网通、中国移动、东风汽车、中化集团、北京市高级人民法院;据公开统计报道,中国实施IT治理的企业不超过20家培训企业:北京信诚致远、上海品易、上海信息化中心等。培训证书:1、CobiTFoundation(180张左右)2、CGEIT北京信诚致远1、CobiT2、CobiT\ITIL\27001整合实施3、部分公司内部使用的方法9培训与认证-中国IT治理人才培训体系课程系列课程名称基础知识中级提升卓越管理公司治理与IT治理系列CobiT•CobiT理念教育(1天)•CobiTFoundation(3天)•CobiTWorkshop实施演练(3天)IT内部控制•IT领导力提升(2天)•集团企业信息化管控体系建设(2天)•IT治理与企业核心竞争力提升(1天)信息系统审计系列信息系统审计•CISA考前特训(5天)•数据中心审计(2天)•ERP审计(2天)IT服务管理系列ITIL•ITIL理念教育(1天)•ITILFoundation(3天)•ITILPractitioner(3天)•ITILManager(12天)•ITIL与ISO20000实施方法与案例研讨(2天)ISO20000•ISO20000理念教育(1天)•ISO20000Foundation(3天)•ISO20000内审员(2天)•ISO20000体系实施(3天)信息安全管理系列信息安全管理信息安全理念教育(1天)ISO27001主任审核员(5天)ISO27001体系实施(3天)IT项目管理系列IT项目管理IT需求管理(2天)计算机信息系统(中级)项目经理(7天)计算机信息系统(高级)项目经理(5天)信息化绩效评价系列信息化绩效评价•电子政务绩效评价理念教育(1天)•企业信息化绩效评价理念教育(1天)•电子政务绩效评价(2天)•企业信息化绩效评价(2天)信息化投资回报高级研讨班(2天)IT风险与价值系列IT风险与价值IT风险管理理念教育(1天)IT风险管理与价值实现(2天)IT风险管理实施方法与案例研讨(2天)10实施方法COBIT–信息及相关技术控制目标IT治理协会()信息系统审计与控制协会()ITIL=2261COSO–Treadway委员会发起成立的委员会ISO2700名字的由来12Cobit是什么?Cobit是关于“IT控制”的治理和控制的框架。Cobit是在控制的需要、技术问题和商业风险这三者鸿沟之间架起的一座桥梁。Cobit聚焦在“whatneedstobeachieved”,而不是“howtoachieve”。Cobit面向管理层、用户、信息系统审计师、业务经理、内控及安全人员等。Cobit是一个可实施、可裁减的框架。CobiT更多的关注于控制而非执行;13以业务为关注焦点(business-focused)度量驱动(measurement-driven)CobiT特性基于控制(controls-based)流程导向(process-oriented)COBIT特性14发展历史2007年1月CobiT更新到了4.1从1992年起,世界整体环境变化巨大关键业务流程对IT的依赖性更强管理者对IT成本、价值、风险有更多的关注董事层对治理的更多关注IT最佳实践和标准的日益完善管理者、IT部门和审计师的综合使用持续符合法规研究、建立、宣传并不断提升一个权威的、最新的、国际公认的IT治理控制框架,使之为企业广泛接受,并成为业务经理、IT专业人员和风险控制人员的行为指南。使命15COBIT模型16CobiT通过提供一个框架来支持IT治理,进而确保IT与业务保持一致适当管理IT风险IT保障业务并实现收益最大化IT资源的充分管理CobiT如何支持IT治理基于以业务为关注焦点的更好协调实施CobiT的益处为管理者提供了一个更好的理解IT是什么的视角基于流程导向的清晰的所有者关系及职责易于被第三方及监管机构所接受基于通用的语言,可以被所有的利益相关方所理解满足COSO对于IT控制环境的要求17业务流程信息IT资源•信息•体系•基础设施•人员•效果•效率•机密性•完整性•可用性•符合性•可靠性信息标准?他们匹配吗?框架你需要什么你能得到什么18Cobit34个高级控制目标规划与组织PO1制定IT战略规划PO2确定信息体系架构PO3确定技术方向PO4确定IT流程、组织及相互关系PO5管理IT投资PO6管理目标与方向的协调PO7人力资源管理PO8质量管理PO9IT风险评估与风险管理PO10项目管理获取与实施AI1确定自动化解决方案AI2应用软件的获取和维护AI3技术基础设施的获取和维护AI4授权操作和使用AI5获取IT资源AI6变更管理AI7安装与解决方案和变更审批交付与支持DS1定义并管理服务水平DS2管理第三方服务DS3绩效管理与容量管理DS4确保服务的持续性DS5确保系统安全DS6确认与分配成本DS7教育并培训客户DS8服务台与事件管理DS9配置管理DS10问题管理DS11数据管理DS12物理环境管理DS13运营管理监控与评价M1IT绩效监督与评估M2内部控制监督与评估M3确保法规遵从M4提供IT治理19以业务为关注焦点20AI1识别自动化解决方案AI2获取并维护应用软件AI3获取并维护技术性基础设施AI4保障运行及使用AI5系统安装与验证AI6变更管理AI7安装并验证解决方案和变更DS1定义并管理服务等级DS2第三方服务管理DS3业绩及能力管理DS4保障服务的连续性DS5系统安全保障DS6识别并分配成本DS7用户教育及培训DS8服务台及事故管理DS9配置管理DS10问题管理DS11数据管理DS12物理环境管理DS13运行管理PO1定义IT战略计划PO2定义信息架构PO3确定技术方向PO4定义IT过程、组织和关系PO5IT投资管理PO6沟通管理目的和方向PO7IT人力资源管理PO8质量管理PO9IT风险评估及管理PO10项目管理ME1IT业绩的监视和评价ME2内部控制的监视和评价ME3确保法律法规的符合性ME4提供IT治理业务目标治理目标信息策划与组织获取与实施交付与支持监视与评价IT资源有效性效率保密性完整性可用性符合性可靠性应用系统信息基础设施人员21以业务为关注焦点——IT资源是指用于处理信息的自动化用户系统和手工程序应用信息是指输入信息系统并被信息系统处理及输出的各种类型的数据,不管业务部门是以何种形式使用它。用于处理应用系统的技术和设施(涵盖硬件、操作系统、网络系统和多媒体等,及其支持环境)基础设施包括需要进行规划、组织、采购、交付、支持和监控信息系统和服务的人员,根据需要,他们可以是内部的、外包的或签约的人员人员IT资源22质量需求:•质量•成本•可交付受托责任(COSO报告)•运营的效率和效果•财务报告的可靠性•符合法律、法规安全需求•机密性•完整性•可用性效果效率机密性完整性可用性符合性可靠性业务需求“businessrequirementsforinformation以业务为关注焦点——业务需求23以业务为关注焦点——IT目标与IT的企业架构IT计分卡IT目标IT的业务目标企业战略IT的企业架构业务需求治理需求信息服务信息标准需求影响应满足IT的业务目标IT流程应用系统基础架构和人员信息交付运行需要IT的企业架构24测量结果理解安全要求、脆弱点和威胁检测并解决对信息、应用系统和基础设施的未授权访问将被监视的安全事件的类型评审频次访问违规的数量确保IT服务可以对抗攻击并从攻击中恢复实际发生的IT事故的数量以及对业务的影响维护企业的声誉及领袖地位导致公共危机的事故数量KPI业务维度KGIKPIIT维度KGIKPI过程维度KGI定义目标驱动绩效改进并调整活动目标过程目标IT目标业务目标通过测量:通过测量:通过测量:通过测量:驱动驱动驱动度量驱动
本文标题:IT服务管理信息安全管理
链接地址:https://www.777doc.com/doc-5045292 .html