海翰纬信息管理咨询有限公司

上海翰纬信息管理咨询有限公司[保密]卓越IT管理，翰纬智造！上海翰纬信息管理咨询有限公司翰纬IT治理白皮书上海翰纬信息管理咨询有限公司地址：上海市张江高科毕升路289弄8号101电话：02133932855/2856/2849传真：02133932850邮编：201204电邮：info@sinoserviceone.com网址：版权声明和保密须知本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海翰纬信息管理咨询有限公司所有，受到有关产权及版权法保护。任何单位和个人未经上海翰纬信息管理咨询有限公司的书面授权许可，不得复制或引用本文件的任何片断，无论通过电子形式或非电子形式。Copyright©2008上海翰纬信息管理咨询有限公司版权所有翰纬IT治理白皮书Copyright©2008上海翰纬信息管理咨询有限公司版权所有Web:@sinoserviceone.com2文档信息项目名称：项目编号：项目经理：项目阶段：文档名称：文档编号：文档起草人：起草日期：当前版本编号：版本日期：相关文档：分发名单来自From日期电话/传真/Email给To行动*截止日期电话/传真/Email*：行动类别：批准，复审，通知，存档，修改，其它（请指明）版本记录版本号版本日期修改者说明文件名翰纬IT治理白皮书Copyright©2008上海翰纬信息管理咨询有限公司版权所有Web:@sinoserviceone.com3目录1.什么是IT治理............................................................................................................................42.IT治理的目标............................................................................................................................53.IT治理的范围............................................................................................................................64.IT治理相关工具.........................................................................................................................64.1COSOERM风险管理.........................................................................................................64.2ITIL.......................................................................................................................................74.3COBIT..................................................................................................................................74.4Sysperanto..........................................................................................................................84.5CMM....................................................................................................................................94.6UML.....................................................................................................................................94.7六种工具的比较................................................................................................................105.IT治理与公司治理...................................................................................................................125.1公司治理的基本概念.........................................................................................................125.2IT治理与公司治理的关系..................................................................................................13翰纬IT治理白皮书Copyright©2008上海翰纬信息管理咨询有限公司版权所有Web:@sinoserviceone.com4上海翰纬信息管理咨询有限公司翰纬IT治理白皮书1.什么是IT治理国际信息系统审计与控制协会ISACA（InformationsystemAuditandControlAssociation）成立于1969年，最初称为EDP审计师联合会，总部设在美国的芝加哥，是一个非盈利组织。目前在世界上100多个国家设有160多个分会，现有会员两万多人，是全球公认的在IT的管理、控制和保证领域的权威。ISACA的任务是：通过发展促进对信息、系统、技术的有效管理与控制的研究、实施及标准、权限的制定来支持企业实现其目标。这说明该协会的存在就是为了帮助IT的管理控制及保证利益相关者妥善处理IT的管理、IT的风险、IT的运作过程及协作控制、协作管理、协作风险和协作程序的相互作用。ISACA通过提供各种有价值的服务（如：研究、标准、信息、教育、认证、专业的远景）实现以上作用。协会帮助从事信息系统审计、控制、安全工作的人员，使之不仅注意IT、IT的风险与安全主题而且更要关注IT与商业、商业运作及商业风险的关系。其主要工作内容如下：•设定标准一一一般作为世界范围内的IT审计、控制的指导方针。•一个令人尊敬的认证项目CISA一一在IS审计、控制、安全领域内国际上承认的认证。•一个关于关键的管理和技术主题的专业的发展项目。•提供备受赞誉的技术出版物，包含最新的研究、案例学习、信息知识入门等。•指导会员专业的活动和操行的职业道德准则。通过ISACA会员共同的努力，ISACA超越了地理、文化和职业界限，他们代表各种不同的企业团体，包括金融银行协会、会计审核公司、政府公共部门、公共事业及制造业等，通过选举或指定一个由全球的志愿者组成的团体管理这个协会，把他们独特的专业的见解带到协会中并用来作出组织的决定，这就是国际信息系统审计与控制协会的国际委员会。1999年下半年，ISACA成立了IT治理研究院，专门研究IT治理的概念，并提出COBIT模型和最佳实务，帮助企业领导层认识有效实施IT治理的必要性与益处，从而保证长期的可持续的成功，并且增强利益相关者的价值。国际信息系统审计与控制协会（ISACA）定义：IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。可见，IT治理必须与企业战略目标一致，IT对于企业非常关键，也是战略规划的组成，影响战略竞争；IT治理和其它治理主体一样，是管理执行人员和利益相关者的责任；IT治理保护利益相关者的权益，使风险透明化，指导和控制IT投资、机遇、利益、风险；信息技术治理包括管理层、组织结构、过程，以确保IT维持和拓展组织战略目标；应该合理利用企业的信息资源，有效地集成与协调；确保IT及时按照目标交付，有合适的功能和期望的收益，是一个一致性和价值传递的基本构翰纬IT治理白皮书Copyright©2008上海翰纬信息管理咨询有限公司版权所有Web:@sinoserviceone.com5建模块，有明确的期望值和衡量手段；引导IT战略平衡系统的投资，支持企业，变革企业，或者创建一个信息基础架构，保证业务增长，并在一个新的领域竞争；对于核心IT资源做出合理的决策，进入新的市场，驱动竞争策略，创造总的收入增长，改善客户满意度，维系客户关系。2.IT治理的目标•与业务目标一致IT治理要从组织目标和信息化战略中抽取信息需求和功能需求，形成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术跟上持续变化的业务目标。•有效利用信息资源目前信息化工程超期、IT客户的需求没有满足、IT平台不支持业务应用等问题较为突出，通过IT治理可以对信息资源的管理职责进行有效管理，保证投资的回收，并支持决策。•风险管理由于企业越来越依赖于信息技术和网络，新的风险不断涌现，例如，新出现的技术没有管理，不符合现有法律和规章制度、没有识别对IT服务的威胁等。IT治理强调风险管理，通过制定信息资源的保护级别，强调关键的信息技术资源，有效实施监控，事故处理。IT治理使企业适应外部环境变化，为企业内部实现对业务流程中资源的有效利用，从而达到改善管理效率和水平的重要手段。IT治理的目标将帮助管理层建立以组织战略为导向，以外界环境为依据，以业务与IT整合为中心的观念，正确定位IT部门在整个组织中的作用。最终能够针对不同业务发展要求，整合信息资源，制定并执行推动组织发展的IT战略。对于最高管理层而言，IT治理可以解决以下三个方面问题：•发现信息技术本身的问题例如IT项目未能实现期望价值的概率；终端用户是否满意IT服务的质量；是否有足够的IT资源、基础设施、竞争力来满足战略目标；信息技术平均操作失误的原因；IT没有推动业务改善而是阻碍业务的次数。•帮助管理者处理IT问题例如，IT和组织战略目标的一致性程度怎么样；怎样衡量IT的交付价值；执行管理人员采取什么样的战略动机来管理IT；与企业的运营与成长管理相关的问题；企业是否清楚其商业目标与技术的关系:领先、跟随者还是滞后者；企业对风险（风险规避和风险承担）是否清楚；有没有最新的企业相关IT风险的清单，采取哪些行动处理这些风险。•自我评估IT管理的效果例如，是否经常向最高管理层定期汇报IT风险；IT是否是最高管理层议程中的一个常用的术语，它是否以结构化形式表达；最高管理层是否就商业目标与信息技术一致性进行阐明和沟通；最高管理层对主要IT投资是否有清楚的观点，包括风险和回报；最高管理层是否定期得到主要IT过程的报告；最高管理层在获取IT目标和限制IT风险时是否得到独立的保证。翰纬I