淺析ITIL、COBIT治理模型及其差異

1、.：.；淺析ITIL、COBIT治理模型及其差別作者名字(單位全名 部門全名,市(或直轄市) 郵政編碼)摘 要：COBIT是IT治理控制架構(gòu)，從戰(zhàn)略、戰(zhàn)術(shù)、運(yùn)營(yíng)層面給出了對(duì)IT的評(píng)測(cè)、量度和審計(jì)方法，重點(diǎn)在于IT控制和IT度量；ITIL是一種關(guān)注方法和實(shí)施過程的IT效力管理架構(gòu)，基于企業(yè)的最正確實(shí)務(wù)，列出了各個(gè)效力管理流程最正確的目的、活動(dòng)、輸入和輸出以及各個(gè)流程之間的關(guān)系，重點(diǎn)在于IT過程管理，強(qiáng)調(diào)IT支持和IT交付。關(guān)鍵詞：IT治理 公司治理 ITIL COBIT 1 IT治理概述近年來，“信息化帶開工業(yè)化、工業(yè)化促進(jìn)信息化的國(guó)家戰(zhàn)略已日益深化人心，這一戰(zhàn)略曾經(jīng)極大推進(jìn)了我國(guó)現(xiàn)代化建立的進(jìn)

2、程。在信息化進(jìn)程中，信息系統(tǒng)也已逐漸浸透到商業(yè)和政府組織中，IT系統(tǒng)開場(chǎng)從傳統(tǒng)的后臺(tái)支持轉(zhuǎn)變?yōu)樾聵I(yè)務(wù)開展的直接驅(qū)動(dòng)力，IT也日益成為企業(yè)的直接利潤(rùn)中心。但我國(guó)十多年的信息化建立進(jìn)程，主要是在技術(shù)專家或技術(shù)廠商主導(dǎo)下進(jìn)展的，而不是經(jīng)濟(jì)專家或管理專家主導(dǎo)。技術(shù)專家或技術(shù)廠商從技術(shù)的視角去關(guān)注信息技術(shù)和設(shè)備的先進(jìn)性等，較少聚焦在IT戰(zhàn)略和組織戰(zhàn)略目的的互動(dòng)上，因此不可防止地存在IT與組織業(yè)務(wù)環(huán)境、業(yè)務(wù)目的脫節(jié)景象。隨著各種組織對(duì)信息系統(tǒng)的依賴程度在不斷添加，信息化建立的管控問題遭到越來越廣泛的關(guān)注。信息化給我們帶來什么？如何充分利用IT 資源？如何管理好所依賴的信息與信息平臺(tái)？如何進(jìn)展控制把IT 風(fēng)

3、險(xiǎn)降到最低？信息化建立如何實(shí)現(xiàn)可繼續(xù)開展，如何提升IT投資報(bào)答？隨IT而來的風(fēng)險(xiǎn)、利益和時(shí)機(jī)使得IT治理成為公司和政府治理中關(guān)鍵的一個(gè)方面。IT治理是國(guó)際IT領(lǐng)域中一個(gè)新的概念，是公司治理在信息時(shí)代的重要開展。IT治理用于描畫企業(yè)或政府能否采用有效的機(jī)制，使得IT的運(yùn)用可以完成組織賦予它的使命，同時(shí)平衡信息技術(shù)與過程的風(fēng)險(xiǎn)、確保實(shí)現(xiàn)組織的戰(zhàn)略目的。公司治理Corporate Governance又名公司管治、企業(yè)管治和企業(yè)管理，OECDOrganisation for Economic Co-operation and Development在中給出了一個(gè)有代表性的定義：“公司治理構(gòu)造是一種據(jù)

4、以對(duì)工商公司進(jìn)展管理和控制的體系。公司治理構(gòu)造明確規(guī)定了公司的各個(gè)參與者的責(zé)任和權(quán)益分布，諸如董事會(huì)、經(jīng)理層、股東和其他利益相關(guān)者。公司治理目的是提供戰(zhàn)略方向，保證目的可以實(shí)現(xiàn)，風(fēng)險(xiǎn)適當(dāng)管理，企業(yè)的資源合理運(yùn)用。公司治理驅(qū)動(dòng)和調(diào)整IT治理，同時(shí)，IT可以提供關(guān)鍵的輸入，構(gòu)成戰(zhàn)略方案的一個(gè)重要組成部分。IT 治理的主體和其它治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者。IT 治理包括管理層、組織構(gòu)造、過程，IT 治理維護(hù)利益相關(guān)者的權(quán)益，使風(fēng)險(xiǎn)透明化，同時(shí)指點(diǎn)和控制IT 投資、機(jī)遇、利益、風(fēng)險(xiǎn)。IT治理主要涉及兩個(gè)方面：IT要為企業(yè)交付價(jià)值，IT風(fēng)險(xiǎn)要降低。前者受IT與企業(yè)的戰(zhàn)略一致性驅(qū)動(dòng)，后者由責(zé)

5、任義務(wù)落實(shí)到企業(yè)驅(qū)動(dòng)。這兩者都需求衡量，如運(yùn)用平衡計(jì)分卡。這就可以看出IT治理的四個(gè)中心領(lǐng)域，都是由利益相關(guān)者價(jià)值驅(qū)動(dòng)的，其中兩個(gè)是成果：價(jià)值交付和風(fēng)險(xiǎn)降低，另外兩個(gè)是驅(qū)動(dòng)力：戰(zhàn)略一致性和業(yè)績(jī)衡量。IT 治理的使命和目的的實(shí)現(xiàn)需求經(jīng)過多種輔助手段來實(shí)現(xiàn)，目前國(guó)際上通行的規(guī)范主要有如下四個(gè)：COBIT、ITIL、ISO/IEC17799 和PRINCE2。其中：BS 7799ISO/IEC17799即國(guó)際信息平安管理規(guī)范體系，而 PRINCE2Projects In Controlled Environments是一種對(duì)工程管理的某些特定方面提供支持的方法。2 ITIL與COBIT簡(jiǎn)介2.1 I

6、TILITILInformation Technology Infrastructure Library，IT根底設(shè)備庫(kù)，是一套被廣泛成認(rèn)的用于有效IT效力管理的實(shí)際準(zhǔn)那么。1980年以來，英國(guó)政府商務(wù)辦公室GOC，原稱政府計(jì)算機(jī)與通訊中心為處理“IT效力質(zhì)量不佳的問題，逐漸提出和完善了一整套對(duì)IT效力的質(zhì)量進(jìn)展評(píng)價(jià)的方法體系。2001年，英國(guó)規(guī)范協(xié)會(huì)在國(guó)際IT效力管實(shí)際壇itSMF上正式發(fā)布了以ITIL為中心的英國(guó)國(guó)家規(guī)范BS15000。這成為IT效力管理領(lǐng)域具有歷史意義的艱苦事件。ITIL以流程為導(dǎo)向、以客戶為中心，它經(jīng)過整合IT效力與企業(yè)業(yè)務(wù)，提高了企業(yè)的IT效力提供和運(yùn)營(yíng)管理的才干和程

7、度。ITIL是IT效力管理的最正確選擇，是公認(rèn)的最正確實(shí)際，基于流程，以“最正確為目的，詳細(xì)指明了IT管理流程該當(dāng)如何構(gòu)建和落實(shí)，包括流程的涉及范圍、主要活動(dòng)、角色和職能、常見問題的處理等。ITIL的主體框架包括六個(gè)主要模塊：效力管理、業(yè)務(wù)管理、根底設(shè)備管理、運(yùn)用管理、IT效力管理實(shí)施規(guī)劃、平安管理。在主體框架中，效力管理模塊處于中心位置，分為兩部分：面向IT根底設(shè)備管理的效力支持和面向業(yè)務(wù)管理的效力提供。圖001 ITIL主體框架ITIL的主要流程包括效力支持流程和效力提供流程。圖002 ITIL主要流程IT效力支持主要關(guān)注于IT根底設(shè)備的日常效力支持，擔(dān)任確保IT效力的穩(wěn)定性與靈敏性，包括

8、1個(gè)效力機(jī)構(gòu)及5個(gè)管理流程，分別為：效力臺(tái)、配置管理、事件管理、問題管理、變卦管理和發(fā)布管理。IT效力提供管理擔(dān)任為業(yè)務(wù)用戶提供高質(zhì)量、低本錢的IT效力，與組織每年的規(guī)劃周期和每年繼續(xù)的評(píng)價(jià)信息相關(guān)，包括效力級(jí)別管理、可用性管理、才干管理、IT效力可繼續(xù)管理及IT效力財(cái)務(wù)管理五個(gè)部分。2.2 COBITCOBITControl Objectives for Information and related Technology：即信息系統(tǒng)和技術(shù)控制目的。成立于1969年的美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA，于1996推出了用于“IT審計(jì)的知識(shí)體系COBIT?！癐T審計(jì)曾經(jīng)成為眾多國(guó)家的政府部門

9、、企業(yè)對(duì)IT的方案與組織、采購(gòu)與實(shí)施、效力提供與效力支持、監(jiān)視與控制等進(jìn)展全面考核與認(rèn)可的業(yè)界規(guī)范。相應(yīng)地，“注冊(cè)信息系統(tǒng)審計(jì)師CISA日益成為世界各國(guó)開展信息化過程中，爭(zhēng)相開展的新興職業(yè)和領(lǐng)域。COBIT的控制原理源自這樣一個(gè)假設(shè)：IT部門的最高準(zhǔn)那么和目的是及時(shí)向企業(yè)提供實(shí)現(xiàn)其戰(zhàn)略或業(yè)務(wù)目的所需的、準(zhǔn)確的信息。在此準(zhǔn)那么下，有必要將IT資源劃分為一個(gè)系列IT流程進(jìn)展管理。這樣，COBIT將信息準(zhǔn)那么、IT資源以及IT流程聯(lián)絡(luò)起來，構(gòu)成一個(gè)三維的體系構(gòu)造。信息準(zhǔn)那么維。信息準(zhǔn)那么維集中反映了企業(yè)的戰(zhàn)略目的和業(yè)務(wù)需求。COBIT定義了七個(gè)不同的信息評(píng)價(jià)目的衡量其能否滿足業(yè)務(wù)需求，即信息的有效性

10、、高效性、性、完好性、可用性、一致性、可靠性。IT資源維。在COBIT中，IT資源維主要包括以人、運(yùn)用系統(tǒng)、信息、根底設(shè)備在內(nèi)的信息相關(guān)的資源，這是IT流程處置的主要對(duì)象。IT流程維。IT流程指的是在信息準(zhǔn)那么的指點(diǎn)下，對(duì)IT資源進(jìn)展規(guī)劃與處置。從本質(zhì)上看，對(duì)IT資源的管理包含了三層任務(wù)：最底層是根本活動(dòng)和義務(wù)；往上是流程，由一系列關(guān)聯(lián)的可以自然終止的活動(dòng)和義務(wù)組成；再往上流程按照組織構(gòu)造中的責(zé)任區(qū)別劃分控制域，同時(shí)符合流程中的管理周期或生命周期。圖003 COBIT體系構(gòu)造COBIT經(jīng)過在IT流程中建立起控制目的和控制程序，勝利將IT資源與信息準(zhǔn)那么商業(yè)目的銜接起來：信息資源接受商業(yè)目的提出

11、的需求；控制模型對(duì)信息資源進(jìn)展管理與控制；商業(yè)目的從IT流程的控制模型中獲取信息，判別其目的到達(dá)的程度。這樣，在一個(gè)由三者共同組成的循環(huán)中，IT資源得以充分利和，IT流程得以優(yōu)化，IT準(zhǔn)那么得以實(shí)現(xiàn)，從而保證組織目的的順利達(dá)成。作為IT治理的中心模型，COBIT包含34個(gè)信息技術(shù)過程控制，并歸集為四個(gè)控制域：IT規(guī)劃和組織Planning and Organization、系統(tǒng)獲得和實(shí)施Acquisition and Implementation、交付與支持Delivery and Support以及信息系統(tǒng)運(yùn)轉(zhuǎn)性能監(jiān)控Monitoring。以下為COBIT定義的34個(gè)IT流程：1、規(guī)劃與組織

12、Plan & OrganizePO1 定義戰(zhàn)略性IT規(guī)劃PO2 定義信息體系構(gòu)造PO3 決議采用技術(shù)的方向PO4 定義IT流程/組織及其關(guān)系PO5 管理IT投資PO6 傳達(dá)管理目的和方向PO7 人力資源的管理PO8 質(zhì)量管理PO9 風(fēng)險(xiǎn)評(píng)價(jià)和管理P10 工程管理2、獲得與實(shí)施Acquire & ImplementAI1 確定自動(dòng)化處理方案AI2 獲取和維護(hù)運(yùn)用軟件AI3 獲取和維護(hù)技術(shù)根底設(shè)備AI4 管理運(yùn)營(yíng)和運(yùn)用AI5 采購(gòu)IT資源AI6 變卦管理AI7 安裝和授權(quán)運(yùn)用方案3、交付與支持Deliver & SupportDS1 定義和效力效力級(jí)別DS2 管理第三方的效力DS3 性能和才干管理

13、DS4 確保效力繼續(xù)性DS5 確保系統(tǒng)平安DS6 確定并分配本錢DS7 客戶培訓(xùn)DS8 管理效力臺(tái)和突發(fā)事件DS9 配置管理DS10 問題管理DS11 數(shù)據(jù)管理DS12 物理環(huán)境管理DS13 運(yùn)營(yíng)管理4、監(jiān)控與衡量Monitor & EvaluateME1 監(jiān)控和評(píng)價(jià)IT性能ME2 監(jiān)控和評(píng)價(jià)內(nèi)部控制ME3 確保符合規(guī)范ME4 提供IT治理3 ITIL與COBIT的差別分析關(guān)于IT治理幾種模型之間的異同，以及誰將替代誰之類的問題，不斷是業(yè)界爭(zhēng)論的焦點(diǎn)，各自的擁躉均有不同的看法。筆者以為，COBIT與ITIL之間的差別是IT治理與IT管理的區(qū)別。IT管理是公司的信息及信息系統(tǒng)的運(yùn)營(yíng)，確定IT目的

14、以及實(shí)現(xiàn)此目的所采取的行動(dòng)；而IT治理是指最高管理層董事會(huì)利用它來監(jiān)視管理層在IT戰(zhàn)略上的過程、構(gòu)造和聯(lián)絡(luò)，以確保這種運(yùn)營(yíng)處于正確的軌道之上。這是一個(gè)硬幣的兩面，誰也不能脫離誰而存在，IT治理規(guī)定了整個(gè)企業(yè)IT運(yùn)作的根本框架，IT管理那么是在這個(gè)既定的框架下駕馭企業(yè)奔向目的。COBIT是一個(gè)IT治理控制架構(gòu)，從戰(zhàn)略、戰(zhàn)術(shù)、運(yùn)營(yíng)層面給出了對(duì)IT的評(píng)測(cè)、量度和審計(jì)方法，它的目的聽眾是信息系統(tǒng)審計(jì)人員、企業(yè)高級(jí)管理人員以及高級(jí)IT管理人員，如CIO。COBIT基于己有的許多架構(gòu)，如SEISoftware Engineering Institute的才干成熟度模型、CMM對(duì)軟件企業(yè)成熟度5級(jí)的劃分，以

15、及IS09000等規(guī)范，COBIT在總結(jié)這些規(guī)范的根底上重點(diǎn)關(guān)注企業(yè)需求什么，而不是企業(yè)需求如何做。它不包括詳細(xì)的實(shí)施指南和實(shí)施步驟，它是一個(gè)控制架構(gòu)Control Framework，而非詳細(xì)過程架構(gòu)Process Framework。 一言以蔽之，COBIT重點(diǎn)在于IT控制和IT度量。ITIL是一種關(guān)注方法和實(shí)施過程的IT效力管理架構(gòu)，基于企業(yè)的最正確實(shí)務(wù)Best Practice，列出了各個(gè)效力管理流程最正確的目的、活動(dòng)、輸入和輸出以及各個(gè)流程之間的關(guān)系，但沒定義范圍廣泛的控制架構(gòu)。由于它關(guān)注IT效力管理ITSM，它的視野相對(duì)COBIT來說狹窄，主要關(guān)注IT的戰(zhàn)術(shù)和運(yùn)營(yíng)層面。它的目的聽眾是IT人員和效力管理人員。 一言以蔽之，ITIL重點(diǎn)在于IT過程管理，強(qiáng)調(diào)IT支持和IT交付。雖然兩個(gè)治理模型有著許多的不同之處，但COBIT和ITIL卻有著非常一致的指點(diǎn)原那么。信息系統(tǒng)審計(jì)人員通常綜合運(yùn)用COBIT和ITIL的自評(píng)價(jià)方法，去評(píng)價(jià)企業(yè)IT效力管理環(huán)境。COBIT為每一個(gè)過程提供了關(guān)鍵目的指示KGIs、關(guān)鍵績(jī)效目的KPIs、關(guān)鍵勝利要素CSFs，與ITIL過程相結(jié)合可以建立ITIL過程管理的基準(zhǔn)。4 關(guān)于IT治理模型選型為了實(shí)現(xiàn)IT治理戰(zhàn)略的目的，我們需求做到對(duì)IT組織構(gòu)造和角色、量度、過程、技術(shù)、控制以及人員等方