企業管理者推行IT治理需要哪三大利器?
作 者:許明治 精誠資訊恆逸教育訓練中心顧問
技術分類:管理訓練
IT治理的三大利器為COBIT、ITIL、ISO 27001。IT治理(IT Governance)是公司治理在資訊時代的重要發展,是一種引導和控制企業各種關係和流程的架構,旨在保持資訊科技與業務目標一致,推展業務發展,促使收益最大化,合理利用資訊科技資源,適當管理與資訊科技相關的風險,增加價值,以實現企業目標。IT治理的目標為協助管理階層建立以組織策略為導向,以外界環境為依據,以業務與資訊科技整合為中心的理念,正確定位資訊科技部門在整個組織中的作用。
全世界各國組織和專家都投入了很大的精力來研究IT治理架構,並提出了很多行之有效的實務(Practice)。其中較為成熟的實務有美國IT治理協會(IT Governance Institute, ITGI)的COBIT (Control Objectives for Information and related Technology)、英國政府的ITIL服務管理實務(ITIL Service Management Practice)、國際資訊安全管理標準ISO/IEC 27001。
COBIT著重點於IT的控制與衡量
成立於1969年的美國資訊系統稽核與控制協會(ISACA),於1996年推出了用於IT稽核的知識體系COBIT。IT稽核已經成為眾多國家的政府部門、企業對IT的計劃與組織、採購與實施、服務提供與服務支持、監督與控制等進行全面考核與認可的規範。COBIT包含34個資訊科技控制流程,並歸納為四個控制域:IT規劃和組織(Planning and Organization)、系統獲得和實施(Acquisition and Implementation)、交付與支援(Delivery and Support)以及資訊系統運行性能監控(Monitoring)。
COBIT基於已有的許多架構,如SEI (Software Engineering Institute)的能力成熟度模型,以及IS0 9000等標準,著重於企業需要什麼,而不是企業需要如何做。COBIT不包括具體的實施指南和實施步驟,它是一個控制架構(Control Framework),而非具體過程架構(Process Framework)。COBIT從策略(Strategy)、戰術(Tactic)、維運(Operation)層面提出對IT的評測、量度和稽核方法。
ITIL著重於IT服務生命週期管理
ITIL為一套被廣泛用於有效實施IT服務管理的實踐準則。1980年以來,英國政府商務辦公室(OGC)為解決IT服務品質不佳的問題,逐步提出一整套對IT服務品質進行管理的完善方法體系。ITIL的根本目的就是為企業提供質量可靠的服務,為達到此一目標,ITIL著重於IT服務生命週期管理,歸納為五個階段:服務策略(Service Strategy)、服務設計(Service Design)、服務移轉(Service Transition)、服務維運(Service Operation)及持續服務改善(Continual Service Improvement),致力於對服務客戶的IT人員提供支援,並讓他們肩負起服務交付的責任,這些人員的職責包括為客戶提供業務諮詢,指導客戶進行具體操作,收集客戶意見,提供緊急服務以及監控服務水準等等。另一方面,ITIL促使企業從整體的角度來設計服務,企業必須考慮到涉及服務交付的各個面向,包括功能技術性元素,交付和維護服務所需的人員,確保這些服務正常運轉的必需流程等等。對當前環境可能存在的風險和面臨的影響也應納入計畫中進行評估。
ISO/IEC 27001著重於IT安全控制
ISO/IEC 27001由國際標準化組織和國際電子技術委員會(International Organization for Standardization and the International Electrotechnical Commission)發佈,是資訊安全管理的框架。該標準首先發佈於2000年,並於2005年6月進行了更新。它在12個領域內明確提出了最佳的安全實踐,引導組織、企業建立一個完整的資訊安全管理體系,對資訊安全以分析組織及企業面臨的安全風險為起點,對企業的資訊安全風險進行動態的、全面的、有效的、持續改善的管理,建立訊息安全管理體系(ISMS),使組織或企業的資訊安全以最小代價達到需要的水準。它以“計畫(Plan)、實施(Do)、檢查(Check)、行動(Action)”模式,將管理體系規範導入組織或企業內,以達到持續改善的目的。
為了實現IT治理的目標,需要做到對IT組織結構和角色、稽核、流程、技術、控制及人員等方面進行管理,COBIT、ITIL、ISO/IEC 27001在IT管理各有優勢。在組織中採用IT治理實務時,應該注意︰
1. 要專注於解決組織中最大的問題,對於任何一個組織而言,採用整套實務都是不可行的,應該從最大的問題著手。
2. 透過對實務的理解,評估一下目前組織的環境,找出最適合組織環境的實施方案。
3. 在專案實施前,先完成人員相關知識的培訓。
此外,組織在具體實施的過程中,其他組織成功實施的案例、培訓機構和第三方諮詢機構都可以提供絕佳的助益。
本文作者:
恆逸資深講師-許明治 Meiji Hsu
專長:資訊科技服務管理、專案管理、資訊安全、資料倉儲及商業智慧
認證:PMP、ITSM認證、ISO 20000顧問認證、ISO 20000主導稽核員認證
經歷:新光組合ITSM 資深顧問、精誠資訊資訊安全事業部協理、組合國際(ca)諮詢顧問總監
技術分類:管理訓練
IT治理的三大利器為COBIT、ITIL、ISO 27001。IT治理(IT Governance)是公司治理在資訊時代的重要發展,是一種引導和控制企業各種關係和流程的架構,旨在保持資訊科技與業務目標一致,推展業務發展,促使收益最大化,合理利用資訊科技資源,適當管理與資訊科技相關的風險,增加價值,以實現企業目標。IT治理的目標為協助管理階層建立以組織策略為導向,以外界環境為依據,以業務與資訊科技整合為中心的理念,正確定位資訊科技部門在整個組織中的作用。
全世界各國組織和專家都投入了很大的精力來研究IT治理架構,並提出了很多行之有效的實務(Practice)。其中較為成熟的實務有美國IT治理協會(IT Governance Institute, ITGI)的COBIT (Control Objectives for Information and related Technology)、英國政府的ITIL服務管理實務(ITIL Service Management Practice)、國際資訊安全管理標準ISO/IEC 27001。
COBIT著重點於IT的控制與衡量
成立於1969年的美國資訊系統稽核與控制協會(ISACA),於1996年推出了用於IT稽核的知識體系COBIT。IT稽核已經成為眾多國家的政府部門、企業對IT的計劃與組織、採購與實施、服務提供與服務支持、監督與控制等進行全面考核與認可的規範。COBIT包含34個資訊科技控制流程,並歸納為四個控制域:IT規劃和組織(Planning and Organization)、系統獲得和實施(Acquisition and Implementation)、交付與支援(Delivery and Support)以及資訊系統運行性能監控(Monitoring)。
COBIT基於已有的許多架構,如SEI (Software Engineering Institute)的能力成熟度模型,以及IS0 9000等標準,著重於企業需要什麼,而不是企業需要如何做。COBIT不包括具體的實施指南和實施步驟,它是一個控制架構(Control Framework),而非具體過程架構(Process Framework)。COBIT從策略(Strategy)、戰術(Tactic)、維運(Operation)層面提出對IT的評測、量度和稽核方法。
ITIL著重於IT服務生命週期管理
ITIL為一套被廣泛用於有效實施IT服務管理的實踐準則。1980年以來,英國政府商務辦公室(OGC)為解決IT服務品質不佳的問題,逐步提出一整套對IT服務品質進行管理的完善方法體系。ITIL的根本目的就是為企業提供質量可靠的服務,為達到此一目標,ITIL著重於IT服務生命週期管理,歸納為五個階段:服務策略(Service Strategy)、服務設計(Service Design)、服務移轉(Service Transition)、服務維運(Service Operation)及持續服務改善(Continual Service Improvement),致力於對服務客戶的IT人員提供支援,並讓他們肩負起服務交付的責任,這些人員的職責包括為客戶提供業務諮詢,指導客戶進行具體操作,收集客戶意見,提供緊急服務以及監控服務水準等等。另一方面,ITIL促使企業從整體的角度來設計服務,企業必須考慮到涉及服務交付的各個面向,包括功能技術性元素,交付和維護服務所需的人員,確保這些服務正常運轉的必需流程等等。對當前環境可能存在的風險和面臨的影響也應納入計畫中進行評估。
ISO/IEC 27001著重於IT安全控制
ISO/IEC 27001由國際標準化組織和國際電子技術委員會(International Organization for Standardization and the International Electrotechnical Commission)發佈,是資訊安全管理的框架。該標準首先發佈於2000年,並於2005年6月進行了更新。它在12個領域內明確提出了最佳的安全實踐,引導組織、企業建立一個完整的資訊安全管理體系,對資訊安全以分析組織及企業面臨的安全風險為起點,對企業的資訊安全風險進行動態的、全面的、有效的、持續改善的管理,建立訊息安全管理體系(ISMS),使組織或企業的資訊安全以最小代價達到需要的水準。它以“計畫(Plan)、實施(Do)、檢查(Check)、行動(Action)”模式,將管理體系規範導入組織或企業內,以達到持續改善的目的。
為了實現IT治理的目標,需要做到對IT組織結構和角色、稽核、流程、技術、控制及人員等方面進行管理,COBIT、ITIL、ISO/IEC 27001在IT管理各有優勢。在組織中採用IT治理實務時,應該注意︰
1. 要專注於解決組織中最大的問題,對於任何一個組織而言,採用整套實務都是不可行的,應該從最大的問題著手。
2. 透過對實務的理解,評估一下目前組織的環境,找出最適合組織環境的實施方案。
3. 在專案實施前,先完成人員相關知識的培訓。
此外,組織在具體實施的過程中,其他組織成功實施的案例、培訓機構和第三方諮詢機構都可以提供絕佳的助益。
本文作者:
恆逸資深講師-許明治 Meiji Hsu
專長:資訊科技服務管理、專案管理、資訊安全、資料倉儲及商業智慧
認證:PMP、ITSM認證、ISO 20000顧問認證、ISO 20000主導稽核員認證
經歷:新光組合ITSM 資深顧問、精誠資訊資訊安全事業部協理、組合國際(ca)諮詢顧問總監
IT治理與IT管理有什麼差別阿?治理包含管理?
回覆刪除IT治理是企業管理的延伸嗎?
CIO在治理與管理之間扮演的角色與職務同樣是"守門人"?