淺析ITIL、COBIT治理模型及其差異

1、.：.；淺析ITIL、COBIT治理模型及其差別作者名字(單位全名 部門全名,市(或直轄市) 郵政編碼)摘 要：COBIT是IT治理控制架構(gòu)，從戰(zhàn)略、戰(zhàn)術(shù)、運營層面給出了對IT的評測、量度和審計方法，重點在于IT控制和IT度量；ITIL是一種關(guān)注方法和實施過程的IT效力管理架構(gòu)，基于企業(yè)的最正確實務(wù)，列出了各個效力管理流程最正確的目的、活動、輸入和輸出以及各個流程之間的關(guān)系，重點在于IT過程管理，強(qiáng)調(diào)IT支持和IT交付。關(guān)鍵詞：IT治理 公司治理 ITIL COBIT 1 IT治理概述近年來，“信息化帶開工業(yè)化、工業(yè)化促進(jìn)信息化的國家戰(zhàn)略已日益深化人心，這一戰(zhàn)略曾經(jīng)極大推進(jìn)了我國現(xiàn)代化建立的進(jìn)

2、程。在信息化進(jìn)程中，信息系統(tǒng)也已逐漸浸透到商業(yè)和政府組織中，IT系統(tǒng)開場從傳統(tǒng)的后臺支持轉(zhuǎn)變?yōu)樾聵I(yè)務(wù)開展的直接驅(qū)動力，IT也日益成為企業(yè)的直接利潤中心。但我國十多年的信息化建立進(jìn)程，主要是在技術(shù)專家或技術(shù)廠商主導(dǎo)下進(jìn)展的，而不是經(jīng)濟(jì)專家或管理專家主導(dǎo)。技術(shù)專家或技術(shù)廠商從技術(shù)的視角去關(guān)注信息技術(shù)和設(shè)備的先進(jìn)性等，較少聚焦在IT戰(zhàn)略和組織戰(zhàn)略目的的互動上，因此不可防止地存在IT與組織業(yè)務(wù)環(huán)境、業(yè)務(wù)目的脫節(jié)景象。隨著各種組織對信息系統(tǒng)的依賴程度在不斷添加，信息化建立的管控問題遭到越來越廣泛的關(guān)注。信息化給我們帶來什么？如何充分利用IT 資源？如何管理好所依賴的信息與信息平臺？如何進(jìn)展控制把IT 風(fēng)

3、險降到最低？信息化建立如何實現(xiàn)可繼續(xù)開展，如何提升IT投資報答？隨IT而來的風(fēng)險、利益和時機(jī)使得IT治理成為公司和政府治理中關(guān)鍵的一個方面。IT治理是國際IT領(lǐng)域中一個新的概念，是公司治理在信息時代的重要開展。IT治理用于描畫企業(yè)或政府能否采用有效的機(jī)制，使得IT的運用可以完成組織賦予它的使命，同時平衡信息技術(shù)與過程的風(fēng)險、確保實現(xiàn)組織的戰(zhàn)略目的。公司治理Corporate Governance又名公司管治、企業(yè)管治和企業(yè)管理，OECDOrganisation for Economic Co-operation and Development在中給出了一個有代表性的定義：“公司治理構(gòu)造是一種據(jù)

4、以對工商公司進(jìn)展管理和控制的體系。公司治理構(gòu)造明確規(guī)定了公司的各個參與者的責(zé)任和權(quán)益分布，諸如董事會、經(jīng)理層、股東和其他利益相關(guān)者。公司治理目的是提供戰(zhàn)略方向，保證目的可以實現(xiàn)，風(fēng)險適當(dāng)管理，企業(yè)的資源合理運用。公司治理驅(qū)動和調(diào)整IT治理，同時，IT可以提供關(guān)鍵的輸入，構(gòu)成戰(zhàn)略方案的一個重要組成部分。IT 治理的主體和其它治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者。IT 治理包括管理層、組織構(gòu)造、過程，IT 治理維護(hù)利益相關(guān)者的權(quán)益，使風(fēng)險透明化，同時指點和控制IT 投資、機(jī)遇、利益、風(fēng)險。IT治理主要涉及兩個方面：IT要為企業(yè)交付價值，IT風(fēng)險要降低。前者受IT與企業(yè)的戰(zhàn)略一致性驅(qū)動，后者由責(zé)

5、任義務(wù)落實到企業(yè)驅(qū)動。這兩者都需求衡量，如運用平衡計分卡。這就可以看出IT治理的四個中心領(lǐng)域，都是由利益相關(guān)者價值驅(qū)動的，其中兩個是成果：價值交付和風(fēng)險降低，另外兩個是驅(qū)動力：戰(zhàn)略一致性和業(yè)績衡量。IT 治理的使命和目的的實現(xiàn)需求經(jīng)過多種輔助手段來實現(xiàn)，目前國際上通行的規(guī)范主要有如下四個：COBIT、ITIL、ISO/IEC17799 和PRINCE2。其中：BS 7799ISO/IEC17799即國際信息平安管理規(guī)范體系，而 PRINCE2Projects In Controlled Environments是一種對工程管理的某些特定方面提供支持的方法。2 ITIL與COBIT簡介2.1 I

6、TILITILInformation Technology Infrastructure Library，IT根底設(shè)備庫，是一套被廣泛成認(rèn)的用于有效IT效力管理的實際準(zhǔn)那么。1980年以來，英國政府商務(wù)辦公室GOC，原稱政府計算機(jī)與通訊中心為處理“IT效力質(zhì)量不佳的問題，逐漸提出和完善了一整套對IT效力的質(zhì)量進(jìn)展評價的方法體系。2001年，英國規(guī)范協(xié)會在國際IT效力管實際壇itSMF上正式發(fā)布了以ITIL為中心的英國國家規(guī)范BS15000。這成為IT效力管理領(lǐng)域具有歷史意義的艱苦事件。ITIL以流程為導(dǎo)向、以客戶為中心，它經(jīng)過整合IT效力與企業(yè)業(yè)務(wù)，提高了企業(yè)的IT效力提供和運營管理的才干和程

7、度。ITIL是IT效力管理的最正確選擇，是公認(rèn)的最正確實際，基于流程，以“最正確為目的，詳細(xì)指明了IT管理流程該當(dāng)如何構(gòu)建和落實，包括流程的涉及范圍、主要活動、角色和職能、常見問題的處理等。ITIL的主體框架包括六個主要模塊：效力管理、業(yè)務(wù)管理、根底設(shè)備管理、運用管理、IT效力管理實施規(guī)劃、平安管理。在主體框架中，效力管理模塊處于中心位置，分為兩部分：面向IT根底設(shè)備管理的效力支持和面向業(yè)務(wù)管理的效力提供。圖001 ITIL主體框架ITIL的主要流程包括效力支持流程和效力提供流程。圖002 ITIL主要流程IT效力支持主要關(guān)注于IT根底設(shè)備的日常效力支持，擔(dān)任確保IT效力的穩(wěn)定性與靈敏性，包括

8、1個效力機(jī)構(gòu)及5個管理流程，分別為：效力臺、配置管理、事件管理、問題管理、變卦管理和發(fā)布管理。IT效力提供管理擔(dān)任為業(yè)務(wù)用戶提供高質(zhì)量、低本錢的IT效力，與組織每年的規(guī)劃周期和每年繼續(xù)的評價信息相關(guān)，包括效力級別管理、可用性管理、才干管理、IT效力可繼續(xù)管理及IT效力財務(wù)管理五個部分。2.2 COBITCOBITControl Objectives for Information and related Technology：即信息系統(tǒng)和技術(shù)控制目的。成立于1969年的美國信息系統(tǒng)審計與控制協(xié)會ISACA，于1996推出了用于“IT審計的知識體系COBIT。“IT審計曾經(jīng)成為眾多國家的政府部門

9、、企業(yè)對IT的方案與組織、采購與實施、效力提供與效力支持、監(jiān)視與控制等進(jìn)展全面考核與認(rèn)可的業(yè)界規(guī)范。相應(yīng)地，“注冊信息系統(tǒng)審計師CISA日益成為世界各國開展信息化過程中，爭相開展的新興職業(yè)和領(lǐng)域。COBIT的控制原理源自這樣一個假設(shè)：IT部門的最高準(zhǔn)那么和目的是及時向企業(yè)提供實現(xiàn)其戰(zhàn)略或業(yè)務(wù)目的所需的、準(zhǔn)確的信息。在此準(zhǔn)那么下，有必要將IT資源劃分為一個系列IT流程進(jìn)展管理。這樣，COBIT將信息準(zhǔn)那么、IT資源以及IT流程聯(lián)絡(luò)起來，構(gòu)成一個三維的體系構(gòu)造。信息準(zhǔn)那么維。信息準(zhǔn)那么維集中反映了企業(yè)的戰(zhàn)略目的和業(yè)務(wù)需求。COBIT定義了七個不同的信息評價目的衡量其能否滿足業(yè)務(wù)需求，即信息的有效性

10、、高效性、性、完好性、可用性、一致性、可靠性。IT資源維。在COBIT中，IT資源維主要包括以人、運用系統(tǒng)、信息、根底設(shè)備在內(nèi)的信息相關(guān)的資源，這是IT流程處置的主要對象。IT流程維。IT流程指的是在信息準(zhǔn)那么的指點下，對IT資源進(jìn)展規(guī)劃與處置。從本質(zhì)上看，對IT資源的管理包含了三層任務(wù)：最底層是根本活動和義務(wù)；往上是流程，由一系列關(guān)聯(lián)的可以自然終止的活動和義務(wù)組成；再往上流程按照組織構(gòu)造中的責(zé)任區(qū)別劃分控制域，同時符合流程中的管理周期或生命周期。圖003 COBIT體系構(gòu)造COBIT經(jīng)過在IT流程中建立起控制目的和控制程序，勝利將IT資源與信息準(zhǔn)那么商業(yè)目的銜接起來：信息資源接受商業(yè)目的提出

11、的需求；控制模型對信息資源進(jìn)展管理與控制；商業(yè)目的從IT流程的控制模型中獲取信息，判別其目的到達(dá)的程度。這樣，在一個由三者共同組成的循環(huán)中，IT資源得以充分利和，IT流程得以優(yōu)化，IT準(zhǔn)那么得以實現(xiàn)，從而保證組織目的的順利達(dá)成。作為IT治理的中心模型，COBIT包含34個信息技術(shù)過程控制，并歸集為四個控制域：IT規(guī)劃和組織Planning and Organization、系統(tǒng)獲得和實施Acquisition and Implementation、交付與支持Delivery and Support以及信息系統(tǒng)運轉(zhuǎn)性能監(jiān)控Monitoring。以下為COBIT定義的34個IT流程：1、規(guī)劃與組織

12、Plan & OrganizePO1 定義戰(zhàn)略性IT規(guī)劃PO2 定義信息體系構(gòu)造PO3 決議采用技術(shù)的方向PO4 定義IT流程/組織及其關(guān)系PO5 管理IT投資PO6 傳達(dá)管理目的和方向PO7 人力資源的管理PO8 質(zhì)量管理PO9 風(fēng)險評價和管理P10 工程管理2、獲得與實施Acquire & ImplementAI1 確定自動化處理方案AI2 獲取和維護(hù)運用軟件AI3 獲取和維護(hù)技術(shù)根底設(shè)備AI4 管理運營和運用AI5 采購IT資源AI6 變卦管理AI7 安裝和授權(quán)運用方案3、交付與支持Deliver & SupportDS1 定義和效力效力級別DS2 管理第三方的效力DS3 性能和才干管理

13、DS4 確保效力繼續(xù)性DS5 確保系統(tǒng)平安DS6 確定并分配本錢DS7 客戶培訓(xùn)DS8 管理效力臺和突發(fā)事件DS9 配置管理DS10 問題管理DS11 數(shù)據(jù)管理DS12 物理環(huán)境管理DS13 運營管理4、監(jiān)控與衡量Monitor & EvaluateME1 監(jiān)控和評價IT性能ME2 監(jiān)控和評價內(nèi)部控制ME3 確保符合規(guī)范ME4 提供IT治理3 ITIL與COBIT的差別分析關(guān)于IT治理幾種模型之間的異同，以及誰將替代誰之類的問題，不斷是業(yè)界爭論的焦點，各自的擁躉均有不同的看法。筆者以為，COBIT與ITIL之間的差別是IT治理與IT管理的區(qū)別。IT管理是公司的信息及信息系統(tǒng)的運營，確定IT目的

14、以及實現(xiàn)此目的所采取的行動；而IT治理是指最高管理層董事會利用它來監(jiān)視管理層在IT戰(zhàn)略上的過程、構(gòu)造和聯(lián)絡(luò)，以確保這種運營處于正確的軌道之上。這是一個硬幣的兩面，誰也不能脫離誰而存在，IT治理規(guī)定了整個企業(yè)IT運作的根本框架，IT管理那么是在這個既定的框架下駕馭企業(yè)奔向目的。COBIT是一個IT治理控制架構(gòu)，從戰(zhàn)略、戰(zhàn)術(shù)、運營層面給出了對IT的評測、量度和審計方法，它的目的聽眾是信息系統(tǒng)審計人員、企業(yè)高級管理人員以及高級IT管理人員，如CIO。COBIT基于己有的許多架構(gòu)，如SEISoftware Engineering Institute的才干成熟度模型、CMM對軟件企業(yè)成熟度5級的劃分，以

15、及IS09000等規(guī)范，COBIT在總結(jié)這些規(guī)范的根底上重點關(guān)注企業(yè)需求什么，而不是企業(yè)需求如何做。它不包括詳細(xì)的實施指南和實施步驟，它是一個控制架構(gòu)Control Framework，而非詳細(xì)過程架構(gòu)Process Framework。 一言以蔽之，COBIT重點在于IT控制和IT度量。ITIL是一種關(guān)注方法和實施過程的IT效力管理架構(gòu)，基于企業(yè)的最正確實務(wù)Best Practice，列出了各個效力管理流程最正確的目的、活動、輸入和輸出以及各個流程之間的關(guān)系，但沒定義范圍廣泛的控制架構(gòu)。由于它關(guān)注IT效力管理ITSM，它的視野相對COBIT來說狹窄，主要關(guān)注IT的戰(zhàn)術(shù)和運營層面。它的目的聽眾是IT人員和效力管理人員。 一言以蔽之，ITIL重點在于IT過程管理，強(qiáng)調(diào)IT支持和IT交付。雖然兩個治理模型有著許多的不同之處，但COBIT和ITIL卻有著非常一致的指點原那么。信息系統(tǒng)審計人員通常綜合運用COBIT和ITIL的自評價方法，去評價企業(yè)IT效力管理環(huán)境。COBIT為每一個過程提供了關(guān)鍵目的指示KGIs、關(guān)鍵績效目的KPIs、關(guān)鍵勝利要素CSFs，與ITIL過程相結(jié)合可以建立ITIL過程管理的基準(zhǔn)。4 關(guān)于IT治理模型選型為了實現(xiàn)IT治理戰(zhàn)略的目的，我們需求做到對IT組織構(gòu)造和角色、量度、過程、技術(shù)、控制以及人員等方