(二)ITIL 的核心組件
ITIL 主要包括六個模塊,即服務(wù)管理,業(yè)務(wù)管理,IT服務(wù)管理規(guī)劃與實施,基礎(chǔ)架構(gòu)管理、應(yīng)用管理和安全管理。如圖3.9 所示。
服務(wù)管理是ITIL 中6 個模塊中的最核心模塊,其又包括服務(wù)服務(wù)支持和服務(wù)提供。服務(wù)支持流程組包括5 個運營級流程:事故管理、問題管理、配置管理、變更管理以及發(fā)布管理;服務(wù)提供流程組包括5 個戰(zhàn)術(shù)級流程:服務(wù)級別管理、IT服務(wù)財務(wù)管理、能力管理、IT服務(wù)持續(xù)性管理和可用性管理。
(三)ITIL 的特點
ITIL 的特點有:ITIL 作為最佳實踐框架不是基于理論開發(fā)的,而是根據(jù)實踐開發(fā)的;ITIL 是事實上的國際標準;ITIL 內(nèi)含質(zhì)量管理思想。
(四)ITIL 的優(yōu)點與不足
ITIL 是一種以流程為基礎(chǔ)、以客戶為導(dǎo)向的IT服務(wù)管理指導(dǎo)框架。ITIL 擺脫了傳統(tǒng)IT管理以技術(shù)管理為中心的弊端,實現(xiàn)了從技術(shù)管理到流程管理,再到服務(wù)管理的轉(zhuǎn)化。提供的IT服務(wù)更符合業(yè)務(wù)的需求和成本效益原則。
ITIL 的優(yōu)點在于:ITIL 幫助企業(yè)最終完善服務(wù)管理;促進用戶和IT人員之間的關(guān)系;推進IT部門和業(yè)務(wù)部門的溝通等。
ITIL 的不足在于:ITIL 只是一系列可執(zhí)行的事件列表;ITIL 只說明了要做什么,沒有對如何做進行深入的探討;ITIL 不是一個正式標準,而是一份指南,是普遍被接受實行的;ITIL 只敘述應(yīng)該采取哪些措施才能改善服務(wù),但并沒有說明怎樣采取這些措施。
六、IT-BSC
(一)IT平衡記分卡的產(chǎn)生與內(nèi)容
IT平衡記分卡是以卡普蘭創(chuàng)建的平衡記分卡基礎(chǔ)上發(fā)展而來。Grem Bergen教授從信息化與企業(yè)目標之間的關(guān)系出發(fā),將IT和業(yè)務(wù)平衡記分卡進行關(guān)聯(lián),提出通用平衡記分卡,其適合絕大多數(shù)企業(yè)信息化建設(shè)。所形成的通用IT平衡記分卡,如圖3.10 所示。
(二)IT平衡記分卡的開發(fā)原則
開發(fā)平衡記分卡時,需要遵循的原則有:建立IT和業(yè)務(wù)的因果關(guān)系;結(jié)果型指標和驅(qū)動型指標的有機結(jié)合和在度量的基礎(chǔ)上行動。
(三)IT平衡記分卡的瀑布模型
IT平衡記分卡通過IT價值貢獻和業(yè)務(wù)相關(guān)聯(lián)。該瀑布模型是通過IT項目平衡記分卡和IT操作平衡記分卡幫助IT平衡記分卡的實現(xiàn),進而實現(xiàn)業(yè)務(wù)平衡記分卡,如圖3.11 所示。
圖3.6 IT平衡記分卡的瀑布模型
(四)IT平衡記分卡的瀑布模型與COBIT之間的映射關(guān)系
由于IT平衡記分卡的瀑布模型與COBIT模型之間原本就存在很多交叉,因此,可以完整地實現(xiàn)相互之間的映射關(guān)系。其映射關(guān)系,如圖3.12 所示。
圖3.7 IT平衡記分卡的瀑布模型與COBIT的映射關(guān)系
七、ISO 17799
(一)ISO 17799 的起源及發(fā)展
ISO 17799 的前身是BS7799《信息安全管理體系標準》。1995 年,BSI(英國標準協(xié)會)提出BS7799。其目的是為了解決信息安全和網(wǎng)絡(luò)問題,最大限度地降低風(fēng)險。1999 年,BS7799 進行了修訂改版,增加了兩部分內(nèi)容。第一部分是《信息安全管理體系實施規(guī)則》,第二部分是《信息安全管理體系規(guī)范》。2002年,BS7799 的第一部分正式轉(zhuǎn)化成國際標準,即ISO 17799。
(二)ISO 17799 的內(nèi)容
信息安全是管理問題,而不僅僅是技術(shù)問題。ISO 17799 包括11 個方面、39 個控制目標和133 項控制措施。其11 個內(nèi)容包括:安全策略,組織信息安全,資產(chǎn)管理,人力資源管理,物理環(huán)境安全,通訊和運作管理,訪問控制,信息系統(tǒng)獲取、開發(fā)和維護,信息安全事件管理、業(yè)務(wù)連續(xù)管理和符合性。其中有3個與技術(shù)密切相關(guān):訪問控制,通信與操作管理和信息系統(tǒng)獲得、開發(fā)與維護;其它8 個側(cè)重組織整體個管理和運營操作。每一項控制措施都可以從控制、實施指南和其他信息3 個方面進行闡述。
(三)ISO 17799 的優(yōu)點與不足
ISO 17799 的優(yōu)點在于:根據(jù)環(huán)境的變化調(diào)整風(fēng)險的評估和應(yīng)對方法,滿足動態(tài)管理風(fēng)險的原則;提出全員參與風(fēng)險的評估工作;ISO 17799 中業(yè)務(wù)連續(xù)性管理為組織業(yè)務(wù)的持續(xù)性提出了有效的建議;提出預(yù)防控制為主的思想原則;使用了管理學(xué)中的PDCA 持續(xù)改進循環(huán)模型,增加了風(fēng)險評估的互動性和準確性。
ISO 17799 的不足在于:提出11 個方面、39 個控制目標和133 項控制措施,并沒有明確給出相應(yīng)的權(quán)重,且只提出了解決方案,而要點之間沒有關(guān)聯(lián)性,在解決一個風(fēng)險的時候,可能會引起另外一個風(fēng)險;ISO 17799 不具有技術(shù)標準所必須的測量精度;沒有給風(fēng)險等級劃分的參考或規(guī)定,這是風(fēng)險評估中不可少的一點;沒有形成規(guī)模范圍的風(fēng)險評估標準,尚沒有得到廣泛應(yīng)用。ISO 17799評估所得出的風(fēng)險分析未必得到多有人的認可。因此,ISO 17799 未必能得到風(fēng)險評估的最佳效果。
八、ISO 38500
(一)ISO 38500 的起源
ISO/IEC 38500:2008 由澳大利亞標準(AS8015:2005)起草,ISO/IEC JCT1信息技術(shù)聯(lián)合技術(shù)委員會所采納,得到了ISO 和IEC 的國家組織批準。
ISO/IEC 38500 是全球第一個談企業(yè)內(nèi)IT治理的標準,但它不僅僅使用在企業(yè)內(nèi),在非盈利機構(gòu)及政府單位同樣可以使用。
ISO/IEC 38500 是基本性的、原則性的建議標準,旨在為領(lǐng)導(dǎo)者在組織內(nèi)評估、領(lǐng)導(dǎo)和監(jiān)控信息技術(shù)(IT)的使用,提供一個原則框架。另外,為了向管理團隊提供組織廣泛的指導(dǎo),鼓勵組織使用適當?shù)臉藴嗜ブ蜪T治理。
(二)ISO 38500 的定義、原則和模型
ISO 38500 是有定義、原則和模型組成。
(1)ISO 38500 做出的定義:可接受的、組織治理、組織的IT治理、能力、領(lǐng)導(dǎo)者、人員行為、信息技術(shù)、IT投資、管理、組織、方針、建議、資源、風(fēng)險、風(fēng)險管理、利益相關(guān)方、策略和IT的適用。
(2)ISO 38500 提出的6 個原則:原則1:職責(zé),組織內(nèi)的個人或團體理解和接受其與IT提供和需求相關(guān)的職責(zé)。并且這些活動的責(zé)任人,具有履行這些獲的權(quán)利;原則2:策略,組織的業(yè)務(wù)戰(zhàn)略應(yīng)考慮當前和未來IT的容量;IT的策略計劃應(yīng)該滿足組織當前和持續(xù)的業(yè)務(wù)戰(zhàn)略的需要;原則3:采購,應(yīng)基于適當?shù)暮统掷m(xù)的分析、清晰可見的決策,并具有合理的理由確定IT的采購。這是對短期或長期的利益、機會、成本和風(fēng)險是一個合適平衡;原則4:績效,IT應(yīng)適合于支持組織的目的并提供服務(wù),服務(wù)等級和服務(wù)質(zhì)量應(yīng)滿足當前和將來的業(yè)務(wù)要求;原則5:符合,IT應(yīng)符合所有強制法律法規(guī)的要求。應(yīng)該清晰定義方針和實際操作,并加以實施和推行;原則6:人員行為,IT方針、實際操作和決策展示對人員行為的尊重,包括當前和發(fā)展所需的所有“過程中的人員”。
(3)ISO 38500 的模型
ISO 38500 認為領(lǐng)導(dǎo)者應(yīng)該通過三項主要任務(wù)治理IT:評估現(xiàn)在和將來對IT的利用;領(lǐng)導(dǎo)準備和實施計劃和方針的,以保證IT的利用符合業(yè)務(wù)目標;監(jiān)視方針的符合性和對應(yīng)計劃的實際績效。
ISO 38500 給出一個評估-領(lǐng)導(dǎo)-監(jiān)視的IT治理循環(huán)模型,如圖3.13 所示。
圖3.8 ISO 38500 模型
評估:領(lǐng)導(dǎo)者應(yīng)該檢查和評判當前和將來對IT的利用,包括策略、建議和供給安排(不管是內(nèi)部、外部,還是兩者都有)。在評估IT的使用時,領(lǐng)導(dǎo)者應(yīng)該考慮對于業(yè)務(wù)的內(nèi)外部壓力,如技術(shù)的變更、經(jīng)濟和社會的發(fā)展、以及政治影響。領(lǐng)導(dǎo)者應(yīng)該隨著壓力的變化,持續(xù)評估。領(lǐng)導(dǎo)者還應(yīng)該考慮現(xiàn)在和將來的業(yè)務(wù)需求-當前和將來的組織必須達到的目標,如維持競爭優(yōu)勢,以及正在評估中的戰(zhàn)略或意圖的特定目標。
領(lǐng)導(dǎo):導(dǎo)者應(yīng)該安排計劃和方針的準備和實施的職責(zé),并予以領(lǐng)導(dǎo)。計劃應(yīng)該設(shè)定IT項目和IT運作的投資方向。方針應(yīng)該確定IT利用健全大行為。領(lǐng)導(dǎo)者應(yīng)該保證從項目轉(zhuǎn)到日程運作得到了計劃和管理,并考慮對業(yè)務(wù)和現(xiàn)有IT系統(tǒng)和基礎(chǔ)設(shè)施運作習(xí)慣的影響。領(lǐng)導(dǎo)者應(yīng)該通過要求管理者提供及時的信息、符合組織的指導(dǎo)以及符合良好治理的六項原則,來鼓勵組織內(nèi)良好IT治理的文化。如果需要,領(lǐng)導(dǎo)者應(yīng)該領(lǐng)導(dǎo)所提交的建議方案的批準,以處理已識別的要求。
監(jiān)視:領(lǐng)導(dǎo)者應(yīng)該通過合適的測量體系監(jiān)視IT的績效。他們應(yīng)該確保遵循計劃,特別是與業(yè)務(wù)目標相關(guān)的。領(lǐng)導(dǎo)者應(yīng)該確保IT符合外部義務(wù)(法律、法規(guī)以及合同)和內(nèi)部實際工作的要求。IT特定方面的責(zé)任可能委托給組織內(nèi)的管理人員。但領(lǐng)導(dǎo)者仍需為組織的IT有效和可接受的使用及交付承擔(dān)責(zé)任,而不能委托。
ISO/IEC 38500 利用評估、領(lǐng)導(dǎo)及監(jiān)視這三項主要工作,展現(xiàn)出針對這六項原則的作為。其實,從這六項原則來看,已經(jīng)確實跳脫了生命周期的概念!也就是說:人類在這六項基礎(chǔ)上,運用三件主要的工作,來“治理”IT在整個生命周期的成效,是否達到:有效、高效、可接受的IT使用于他的組織。
ISO 38500 提供有關(guān)良好IT治理一般原則的指南和實施這些原則所需要的實踐。
(三)ISO 38500 的優(yōu)劣勢
ISO 38500 的優(yōu)勢在于:提供IT有效治理的框架,幫助組織高層人員理解和實現(xiàn)其組織在利用IT方面的法律、法規(guī)和道德要求;確定原則,有助于責(zé)任人平衡風(fēng)險和鼓勵從IT使用中獲得機會;通過對IT原則模型的合理應(yīng)用,降低責(zé)任人未能履行其職責(zé)的風(fēng)險;ISO 38500 描述的實踐適用于多數(shù)的大型的或小型的組織,多數(shù)情形。
ISO 38500 的劣勢在于:每個原則描述應(yīng)該采取什么措施,但沒有說明如何、何時及由誰來實施這些原則,這些方面要依賴組織自身特點;ISO 38500 中所描述的實踐,不是全面的,只是IT治理的建議指南。
第二節(jié)IT治理工具的比較與分析
IT治理提出以來,全世界各國組織和專家對IT治理的工具進行了研究。麻二磊等(2011)[67]從產(chǎn)生時間、發(fā)布機構(gòu)、應(yīng)用領(lǐng)域、內(nèi)容、重點和作用幾個方面,對COBIT、ISO/IEC17799、ITIL、PRINCE2、CMM 和ITBSC 模型與標準進行了對比。
這些IT治理工具在IT治理過程中各有優(yōu)勢。每個工具的提出都有各自的目標,適用于不同的環(huán)境,基于不同的假設(shè),用于解決特定的問題。因此,在對IT治理工具介紹的基礎(chǔ)上,有必要進行多方面的比較、分析和總結(jié)。
本節(jié)從企業(yè)選擇IT治理工具時所關(guān)心的幾個角度進行比較:基本情況比較、內(nèi)容范圍比較、側(cè)重點比較以及特點和不足比較。并給出每個IT治理工具的具體情況,用表格的形式表示,可以起到對這些IT治理工具的應(yīng)用領(lǐng)域、內(nèi)容范圍、側(cè)重點等方面起到速查的作用。
一、基本情況比較
IT治理的研究是個新興的研究熱點。不同的學(xué)者或機構(gòu)從不同的應(yīng)用領(lǐng)域?qū)T治理進行不斷的研究,也形成不同的IT治理模型或標準。不同的應(yīng)用領(lǐng)域,決定了IT治理工具不同的應(yīng)用場合。目前涉及到的應(yīng)用主要有:服務(wù)管理、安全管理、項目管理和績效評價等。從發(fā)布時間、發(fā)布機構(gòu)和應(yīng)用領(lǐng)域三個方面進行歸納對比,如表3.6 所示。
IT治理是一個復(fù)雜的過程。往往不但是某一方面需要治理,而是整個過程都要進行治理。而目前的IT治理工具只是提出某一領(lǐng)域內(nèi)的標準或模型,這些工具是單獨開發(fā)出來的。是否可以進行融合,是否可以通過裁剪切入到其它模型或標準中,這些是研究者開始沒有想到的問題,也是今后所要關(guān)注的問題。
表3.6 IT治理工具基本情況比較
二、內(nèi)容范圍比較
治理理念,即IT治理工具蘊含的思想理念。起源不同,也決定了這些IT治理工具的治理理念不同。唐志豪等(2008)[68]將IT治理模式分為控制型和引導(dǎo)型兩大類。本文根據(jù)這種分類,得出以上IT治理工具中控制型的有:ITIL、ISO17799、COBIT和PRINCE2;引導(dǎo)型的有:IT成熟度模型、ITBSC、CISR 和ISO38500。通過上文對IT治理工具的介紹,明顯看出每個IT治理工具的內(nèi)容范圍和其核心也不同,如表3.7 所示。
IT治理本身就是一個復(fù)雜的過程,加上IT治理工具的復(fù)雜性,任何一個組織采用全部的工具是不現(xiàn)實的;每個IT治理工具的應(yīng)用范圍不同,單獨采用整套的一個標準也不可行。
因此,企業(yè)實施IT治理時,如何有針對性和選擇性的選擇IT治理標準,是企業(yè)所關(guān)注和關(guān)心的。
表3.7 IT治理工具內(nèi)容范圍的比較
三、側(cè)重點比較
企業(yè)選擇IT治理標準時,自然想到目前企業(yè)所存在的問題,即想通過IT治理解決什么樣的問題。這時候,對每個IT治理工具的目的、側(cè)重點和作用的了解顯得尤為重要。在對IT治理工具介紹的基礎(chǔ)上,對此進行總結(jié),如表3.8 所示。
目的、側(cè)重點和作用之間是相互聯(lián)系的,是不能分開考慮的。這些IT治理工具有側(cè)重IT安全控制的,有側(cè)重決策權(quán)分配的,有強調(diào)IT過程的等。所起到的作用也不相同。有的可以起到梳理IT服務(wù)管理流程的作用,有的可以起到對IT治理有整體認識的作用,還有的起到績效測評和管理的作用等。企業(yè)在進行選擇IT治理工具時的思路可以是:首先明確想要解決的問題;然后明確達到的目的,結(jié)合IT治理工具的側(cè)重點和作用,確定IT治理工具;最后實施IT治理。
表3.8 IT治理工具側(cè)重點的比較
四、特點和不足比較
只是對IT治理工具的內(nèi)容范圍和側(cè)重點了解還不夠,還要對每個IT治理工具的特點和不足有足夠的了解。這樣才能在確定選擇使用何種IT治理工具后,根據(jù)其特點進行實施,規(guī)避其存在的不足,以及采用其它手段來彌補其不足,這樣才能起到良好的效果。IT治理工具特點和不足的比較,如表3.9 所示。
表3.9 IT治理工具特點的比較
表3.9 對每個IT治理工具的特點和不足進行了歸納,發(fā)現(xiàn)很多IT治理工具都存在實踐操作指導(dǎo)性的不足?梢姡皇谴_定IT治理工具還是不夠的。如何更好的實施IT治理工具才是重點。
第三節(jié)結(jié)論
顯而易見,每個IT治理工具都有其自身的特點、使用范圍、側(cè)重點以及應(yīng)用范圍等。因此,企業(yè)選擇IT治理工具的時候,必須對此有充分的了解,即明確哪種工具可以干什么活,在什么情況下使用,以及所選擇工具的優(yōu)勢與不足等。再者,IT治理涉及很多方面,如何把這些已有工具進行整合,形成一個IT治理的整體框架,至關(guān)重要。
ISO 38500 面向高層管理者,旨在提供清晰的治理流程和原則,對IT治理有個整體上的認識;CISR 強調(diào)決策權(quán)的分配;IT-CMM 可以判定企業(yè)信息化級別;COBIT提供控制和審計;PRINCS2 提供結(jié)構(gòu)化項目管理方法;ITIL 提供整個過程的服務(wù)管理;ISO 17799 提供安全管理;IT-BSC 可以對績效進行評估。這些IT治理工具顯然在其各自領(lǐng)域內(nèi)是最佳工具。而這些領(lǐng)域在IT治理全過程中并都是有所涉及的。如何根據(jù)IT治理的思想,構(gòu)建出一個反應(yīng)IT治理全過程的架構(gòu),以及如何使用這些IT治理工具來實現(xiàn)架構(gòu)中的每部分,是下章所研究的重點。
本章小結(jié)
本章主要圍繞起源與發(fā)展、核心內(nèi)容、基本原理和優(yōu)點與不足等方面,對8種IT治理工具,CISR、COBIT、PRINCE2、IT-CMM、ITIL、IT-BSC、ISO 17799和ISO 38500 進行了詳細的介紹,并從基本情況(發(fā)布時間、發(fā)布機構(gòu)和應(yīng)用領(lǐng)域)、內(nèi)容范圍(治理理念、內(nèi)容范圍和核心)、側(cè)重點(側(cè)重點和作用)以及特點和不足4 個方面分別對上面介紹的IT治理工具進行深入比較分析。
同時,對比較分析進行了總結(jié)。指出,清楚的了解每種IT治理工具的應(yīng)用范圍、作用、側(cè)重點、特點與不足的重要性。也指出,在此基礎(chǔ)上對已有工具進行整合,是為了形成一個IT治理的整體框架,更好的實施IT治理。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:IT治理工具比較及架構(gòu)構(gòu)建之IT治理工具介紹與比較分析(下)
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112189932.html