信息化建設(shè)解決方案之咨詢篇

年4月19日信息化建設(shè)解決方案之咨詢篇文檔僅供參考，不當(dāng)之處，請聯(lián)系改正。信息化建設(shè)解決方案之咨詢篇1、信息化建設(shè)面臨的問題【導(dǎo)讀】信息化建設(shè)為組織服務(wù)的同時，也給組織管理者帶來了新的管理挑戰(zhàn)，即如何有效管理IT的問題，這是擺在每一個組織高層管理者面前必須要考慮并加以解決的問題。下面將從日常IT管理問題的一些表象出發(fā)，探究現(xiàn)象背后的深層次原因，并引入IT治理這一思想來實(shí)現(xiàn)針對IT管理的管理。1.1IT管理面臨的困惑中國的信息化建設(shè)已有三十余年，其成績是顯著的，可是問題也是不容回避的，信息化建設(shè)在提高業(yè)務(wù)操作效率和提供業(yè)務(wù)管理手段的同時，也給管理者帶來了一些新的困惑。您在信息化建設(shè)過程中是否遇到過以下情況：雖然大家都認(rèn)為IT很重要，但實(shí)際情況IT組織在單位組織架構(gòu)中很不起眼，一般掛靠在財(cái)務(wù)部或辦公室下，即使單獨(dú)設(shè)置，人員也很少，在信息化建設(shè)中很難推動業(yè)務(wù)部門開展IT建設(shè)工作；即使部分單位有CIO角色，但CIO的位置也比較尷尬，協(xié)調(diào)工作也很難開展；在許多單位，一個信息化項(xiàng)目建設(shè)過程能夠形容為“五拍”：開始領(lǐng)導(dǎo)拍腦袋開始干，項(xiàng)目經(jīng)理拍胸脯保證干好，最后老板拍桌子發(fā)火怎么干的，項(xiàng)目經(jīng)理拍屁股走人，老板拍大腿后悔；往往導(dǎo)致IT項(xiàng)目建設(shè)要么形成“爛尾”，要么不了了之；現(xiàn)有信息系統(tǒng)的建設(shè)更多是以各業(yè)務(wù)部門獨(dú)立發(fā)起的，系統(tǒng)建設(shè)的目的更多側(cè)重于解決本部門業(yè)務(wù)的問題，缺少與其它部門業(yè)務(wù)銜接的考慮，在單位內(nèi)部形成了一系列的信息孤島；在系統(tǒng)建設(shè)時很少考慮技術(shù)實(shí)現(xiàn)，各個信息系統(tǒng)技術(shù)路線差異較大，后期系統(tǒng)間整合難度較大，必要時可能推倒重建；領(lǐng)導(dǎo)對于IT建設(shè)產(chǎn)生了一種疑惑：每年IT都在持續(xù)的投入，像是一個“無底洞”，從表面上很難看到IT投資產(chǎn)生的實(shí)效，要不要投入、投入是否值得始終是困擾領(lǐng)導(dǎo)的問題；而IT部門覺得IT回報(bào)是長期的，初期都需要高投入，怎么才能給領(lǐng)導(dǎo)算清這一筆賬？在信息化項(xiàng)目建設(shè)中，項(xiàng)目拖期已經(jīng)成為一種常態(tài)，而且項(xiàng)目達(dá)成效果總會打個折扣，IT部門除了督促業(yè)務(wù)部門、供應(yīng)商外毫無辦法，建設(shè)過程中也按照項(xiàng)目管理規(guī)定進(jìn)行了有效管理，可是結(jié)果依舊如此，到底為什么？信息中心一天到晚忙忙碌碌，通宵達(dá)旦加班，扮演“救火員”的角色，換來的卻是業(yè)務(wù)部門的需求處理不及時的抱怨，業(yè)務(wù)部門不理解信息中心都在忙什么，即使增加IT人員，還是很忙碌，信息中心到底需要多少人？信息中心難道永遠(yuǎn)是“有苦勞沒功勞”？大多數(shù)企業(yè)的IT系統(tǒng)都會遇到各種各樣的意外情況，比如：斷電、病毒、硬件故障、應(yīng)用系統(tǒng)升級等導(dǎo)致的系統(tǒng)問題，部分企業(yè)會遭受惡意入侵的侵?jǐn)_，信息泄密事件更是層出不窮，組織購買了技術(shù)最先進(jìn)的防護(hù)設(shè)備，花費(fèi)了大量的投資，還是不能解決，為什么？1.2IT管理問題分析從問題表象來分析，產(chǎn)生這些現(xiàn)象的根源如下：IT戰(zhàn)略缺失或不清晰。所有企業(yè)都有發(fā)展戰(zhàn)略，可是僅有少數(shù)企業(yè)有IT戰(zhàn)略。大家都在談IT的重要性，但并沒有上升到戰(zhàn)略的高度。IT戰(zhàn)略缺失或不清晰，導(dǎo)致公司在信息化建設(shè)中找不到重心，IT建設(shè)不能與企業(yè)發(fā)展戰(zhàn)略進(jìn)行有效匹配融合，IT部門在推進(jìn)企業(yè)信息化建設(shè)過程中“有力無處使，有勁干不動”。IT投資決策流程不規(guī)范，技術(shù)經(jīng)濟(jì)論證不足。信息化建設(shè)項(xiàng)目具有投資大、風(fēng)險(xiǎn)大的特點(diǎn)。事實(shí)證明，系統(tǒng)規(guī)模越大、與管理聯(lián)系越密切、集成度越高的系統(tǒng)，風(fēng)險(xiǎn)越大，失敗率越高，在進(jìn)行投資前必須有一套規(guī)范的決策流程和經(jīng)濟(jì)技術(shù)可行性論證過程，否則成功是偶然的、失敗是必然的。IT系統(tǒng)建設(shè)缺少規(guī)劃。信息化建設(shè)是一個長期的過程，是一項(xiàng)系統(tǒng)工程，必須從戰(zhàn)略的高度、從全局的角度、從超前的技術(shù)視角來進(jìn)行整體規(guī)劃，打破各業(yè)務(wù)單元的本位主義，從企業(yè)整體管理和業(yè)務(wù)運(yùn)作需要的角度來優(yōu)化流程、統(tǒng)籌資源，總體規(guī)劃、分布實(shí)施，否則容易造成企業(yè)信息孤島林立、技術(shù)過時、系統(tǒng)重復(fù)建設(shè)。IT價值缺少度量。IT價值具有長期性、間接性、綜合性的特點(diǎn)，從一定程度上講，IT價值評價是困難的?？墒?，沒有科學(xué)度量就沒有科學(xué)管理，度量是為管理服務(wù)的，沒有度量就沒有管理，缺少IT價值的度量就無法進(jìn)行有效的IT管理。要打消領(lǐng)導(dǎo)產(chǎn)生IT“投資黑洞”的疑慮，就必須將IT的價值進(jìn)行量化評價。IT項(xiàng)目管理頂層機(jī)制不完善。IT項(xiàng)目與傳統(tǒng)項(xiàng)目相比有需求不確定性、項(xiàng)目隱蔽性、范圍模糊性、智力密集型、評價主觀性等特點(diǎn)，決定了IT項(xiàng)目管理更加困難，純粹使用項(xiàng)目管理技術(shù)并不能解決根本性問題，需要對IT項(xiàng)目管理進(jìn)行頂層設(shè)計(jì)，建立對項(xiàng)目各利益相關(guān)方監(jiān)督與制衡機(jī)制，否則容易造成IT項(xiàng)目失控。IT運(yùn)維管理流程不規(guī)范。IT運(yùn)維過程中業(yè)務(wù)部門與IT部門間的矛盾一方面源于組織信息系統(tǒng)越來越復(fù)雜、系統(tǒng)越來越龐大；另一方面業(yè)務(wù)部門需求越來越強(qiáng)、要求越來越高。更深層次的原因是業(yè)務(wù)部門與IT部門之間缺少一種溝通的“語言”，即合理的服務(wù)水平是什么樣？什么樣的需求才是真正的需求，需求處理的流程是什么？信息安全及風(fēng)險(xiǎn)管理重技術(shù)、輕管理。大多數(shù)組織的管理者都已樹立了不同程度的安全和風(fēng)險(xiǎn)意識，可是對信息資產(chǎn)所面臨的嚴(yán)重性認(rèn)識不足，僅局限在IT方面的安全，缺少合理的信息安全方針來指導(dǎo)組織的信息安全管理工作，在安全規(guī)劃、風(fēng)險(xiǎn)、應(yīng)急、安全教育培訓(xùn)、系統(tǒng)評估方面采用靜態(tài)管理，出了問題再補(bǔ)救，缺少全局管理方法。愛因斯坦曾經(jīng)說過：“我們面正確重大問題無法在我們制造出這些問題的思考層面上得到解決。”要解決這些信息化建設(shè)的亂象，傳統(tǒng)的IT管理已無力面對這些挑戰(zhàn)，因而需要更上一層樓，超越傳統(tǒng)的IT管理，引入治理的思想，在關(guān)注IT建設(shè)的同時，從戰(zhàn)略層面加強(qiáng)IT決策、實(shí)施、評價等方面的控制，確保IT價值的實(shí)現(xiàn)。2、IT治理——一流績效企業(yè)IT管理解決之道【導(dǎo)讀】IT治理這一詞匯大家并不陌生，那么IT治理究竟是什么，IT治理能幫助組織做什么，IT治理如何落地？下面結(jié)合國際上主流的針對IT治理定義的理解、IT治理方法論進(jìn)行了一一闡述，客戶能夠從中找到解決自身主要IT管理問題的IT治理方法論，以引導(dǎo)組織進(jìn)行合適的IT治理工作。2.1IT治理的概念I(lǐng)T治理（ITGovernance）這個概念最早是由IBM在引入中國的，其本意是推動國內(nèi)企業(yè)服務(wù)流程化的管理。當(dāng)前對于IT治理并沒有統(tǒng)一的定義，以下描述了幾種主流的定義：MITCISR的彼得·維爾&珍妮·羅斯認(rèn)為IT治理就是在使用信息技術(shù)的過程中，確定決策權(quán)及責(zé)任框架，以鼓勵所希望的行為產(chǎn)生的過程。國際信息系統(tǒng)審計(jì)與控制協(xié)會（ISACA）定義如下：IT治理是一個由關(guān)系和過程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，經(jīng)過平衡信息技術(shù)與過程的風(fēng)險(xiǎn)、增加價值來確保實(shí)現(xiàn)企業(yè)的目標(biāo)。德勤咨詢公司認(rèn)為：IT治理是一個含義廣泛的術(shù)語，包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其它問題。其主要任務(wù)是保持IT與業(yè)務(wù)目標(biāo)一致，推動業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，管理IT相關(guān)風(fēng)險(xiǎn)。中國IT治理研究中心（ITGov）認(rèn)為，IT治理是指設(shè)計(jì)并實(shí)施信息化過程中各方利益最大化的制度安排，包括業(yè)務(wù)與信息化戰(zhàn)略的機(jī)制、權(quán)責(zé)對等的責(zé)任擔(dān)當(dāng)框架和問責(zé)機(jī)制、資源配置的決策機(jī)制、組織保障機(jī)制、核心IT能力發(fā)展機(jī)制、績效管理機(jī)制以及覆蓋信息化全生命周期的風(fēng)險(xiǎn)管控機(jī)制。該制度安排的目的是實(shí)現(xiàn)組織的業(yè)務(wù)戰(zhàn)略，促進(jìn)管理創(chuàng)新，合理管控信息化過程的風(fēng)險(xiǎn)，建立信息化可持續(xù)發(fā)展的長效機(jī)制，最終實(shí)現(xiàn)IT商業(yè)價值。以上這些定義從不同的角度界定IT治理的概念，但能夠總結(jié)出以下共同點(diǎn)：IT治理和其它治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者的責(zé)任（以董事會為代表），IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致，應(yīng)該合理利用企業(yè)的信息資源，平衡IT系統(tǒng)的投資，管理IT相關(guān)風(fēng)險(xiǎn)，經(jīng)過有效集成與協(xié)調(diào)，確保IT及時按照目標(biāo)交付，保證業(yè)務(wù)增長。2.2IT治理的目標(biāo)隨著信息化的不斷應(yīng)用，IT已由純粹的管理輔助工具轉(zhuǎn)變?yōu)榻M織的核心競爭力之一，從根本上講，IT治理的目的就是使IT能夠更好地為組織業(yè)務(wù)服務(wù)。具體來說，IT治理的目標(biāo)有以下四個方面：確保IT與組織戰(zhàn)略目標(biāo)的一致性，實(shí)現(xiàn)IT與業(yè)務(wù)的有效融合。IT存在的理由是為組織發(fā)展服務(wù)的，這就決定了IT目標(biāo)與組織目標(biāo)必須保持一致，IT應(yīng)該是組織發(fā)展的助推力，而不能成為組織發(fā)展的障礙。組織的信息化戰(zhàn)略必須在組織發(fā)展戰(zhàn)略驅(qū)動下進(jìn)行的，IT治理的首要目標(biāo)就是確保在組織信息化建設(shè)的各個階段，IT規(guī)劃、建設(shè)、運(yùn)維始終圍繞著為組織發(fā)展服務(wù)這一核心目標(biāo)而開展，經(jīng)過IT治理制定有效的管理框架和機(jī)制，確保IT做正確的事，互相促進(jìn)、共同發(fā)展。確保IT資產(chǎn)的價值最大化，實(shí)現(xiàn)IT資源的有效利用。衡量組織信息化水平的一個重要標(biāo)志就是信息化取得的實(shí)效，這也是信息資源開發(fā)和信息化建設(shè)的核心任務(wù)，但綜合國內(nèi)情況來看，信息化建設(shè)效果不佳是普遍現(xiàn)象。雖然IT資產(chǎn)作為組織的六大核心資產(chǎn)之一，可是IT資產(chǎn)的效能產(chǎn)出始終是困擾管理者的問題。經(jīng)過IT治理，實(shí)現(xiàn)對信息資源管理職責(zé)進(jìn)行有效的設(shè)計(jì)，對信息化過程進(jìn)行有效的控制和監(jiān)管，確保IT投資科學(xué)化、規(guī)范化、過程可控、價值最大。有效管理組織IT建設(shè)風(fēng)險(xiǎn)和信息安全風(fēng)險(xiǎn)，確保預(yù)期目標(biāo)達(dá)成。信息技術(shù)的不斷發(fā)展導(dǎo)致組織對于信息和技術(shù)的依賴性不斷增強(qiáng)，IT風(fēng)險(xiǎn)和信息安全風(fēng)險(xiǎn)成為組織風(fēng)險(xiǎn)控制的重要議題。IT治理的目標(biāo)之一就是落實(shí)監(jiān)管要求、構(gòu)建組織內(nèi)部風(fēng)險(xiǎn)控制體系，經(jīng)過制定信息資源的保護(hù)級別，強(qiáng)調(diào)信息技術(shù)資源的風(fēng)險(xiǎn)意識，經(jīng)過組織、制度、流程、技術(shù)多個方面來實(shí)現(xiàn)對風(fēng)險(xiǎn)的有效監(jiān)控和事故的快速處理，確保IT達(dá)成預(yù)期目標(biāo)。構(gòu)建長效發(fā)展機(jī)制，確保組織IT建設(shè)可持續(xù)發(fā)展。信息化建設(shè)是一項(xiàng)持續(xù)的系統(tǒng)工程，既要全面考慮、分布實(shí)施，又要符合PDCA的規(guī)律，不斷優(yōu)化、持續(xù)改進(jìn)。要實(shí)現(xiàn)此目標(biāo)就要發(fā)掘企業(yè)信息化建設(shè)的內(nèi)在動力，經(jīng)過IT治理構(gòu)建組織信息化建設(shè)可持續(xù)發(fā)展的長效機(jī)制，在IT治理總體框架內(nèi)，在信息化全過程風(fēng)險(xiǎn)控制體系基礎(chǔ)之上，經(jīng)過合理規(guī)劃、有序建設(shè)、準(zhǔn)確評估、持續(xù)改進(jìn)，以不斷修正組織IT路線，確保IT目標(biāo)與組織目標(biāo)的一致性。2.3IT治理框架2.3.1IT治理框架綜述當(dāng)前，中國信息化建設(shè)中的最大問題，不是技術(shù)問題，也不是資金問題，而是缺乏科學(xué)的IT管理觀念；IT領(lǐng)導(dǎo)者最大的問題不是缺少經(jīng)驗(yàn)和能力，而是缺乏卓越的管理素質(zhì)和管理方法。對于IT治理來說，國際上已有許多成熟的方法和工具，形成了最佳業(yè)務(wù)實(shí)踐，這些最佳業(yè)務(wù)實(shí)踐是全球智慧的結(jié)晶，因此，對于我們來說，不是再去從頭創(chuàng)新，而是需要根據(jù)國情和組織的實(shí)際情況，對最佳實(shí)踐加以理解、掌握并有效運(yùn)用，從而為組織戰(zhàn)略目標(biāo)服務(wù)。下圖為IT治理的總體框架，描述了IT治理的出發(fā)點(diǎn)、IT治理的關(guān)鍵要素、IT治理的對象、IT治理的最佳實(shí)踐。IT治理的目的是使IT與組織業(yè)務(wù)有效融合，其出發(fā)點(diǎn)首先是組織的發(fā)展戰(zhàn)略，以組織發(fā)展戰(zhàn)略為起點(diǎn)，遵循組織的風(fēng)險(xiǎn)與內(nèi)控體系，制定相應(yīng)的IT建設(shè)運(yùn)行的管理機(jī)制。IT治理的關(guān)鍵要素涵蓋IT組織、IT戰(zhàn)略、IT架構(gòu)、IT基礎(chǔ)設(shè)施、業(yè)務(wù)需求、IT投資、信息安全等，主要確定這些要素或活動中“做什么決策？誰來決策？怎么來決策？如何監(jiān)督和評價決策？”。圍繞著IT建設(shè)全生命周期過程，構(gòu)建持續(xù)的信息化建設(shè)長效機(jī)制，是IT治理的目標(biāo)一致，因此，整個IT建設(shè)生命周期都是IT治理的對象，包括IT組織與規(guī)劃、IT建設(shè)與交付、IT運(yùn)行與維護(hù)、IT評估與優(yōu)化。IT治理的國際最佳實(shí)踐就是基于各個對象治理的成熟的方法論和工具，包括CobiT、ITIL、ISO27001、Prince2等。按照IT治理的對象，我們將IT治理的服務(wù)劃分為五類，分別是：IT規(guī)劃治理、IT建設(shè)治理、IT運(yùn)維治理、IT績效治理、IT風(fēng)險(xiǎn)治理。2.3.2IT規(guī)劃治理分項(xiàng)IT規(guī)劃治理主要以IT戰(zhàn)略、IT規(guī)劃、IT組織、IT投資為治理對象，經(jīng)過治理過程，明晰企業(yè)業(yè)務(wù)戰(zhàn)略，制定企業(yè)IT戰(zhàn)略，明確企業(yè)中IT組織的定位、IT組織架構(gòu)，并對企業(yè)未來3至5年的信息化建設(shè)藍(lán)圖及建設(shè)步驟做出整體規(guī)劃，同時對IT投資建立閉環(huán)管理機(jī)制，確保IT建設(shè)與業(yè)務(wù)發(fā)展需求的一致性。信息化是一個演進(jìn)的過程，是量的不斷積累的過程，這個過程中最重要的就是“合理內(nèi)核”。古人說“畫龍畫虎難畫骨”，對于企業(yè)信息化來說，企業(yè)架構(gòu)既是企業(yè)的“骨架”，更是搞好IT的“筋骨”；如何畫好企業(yè)的“骨”不但是一件難事，更是從根本上治理好IT的關(guān)鍵。企業(yè)架構(gòu)（EA）是國際上先進(jìn)的IT架構(gòu)規(guī)劃框架模型，在企業(yè)信息化建設(shè)中起著承上啟下的作用，既是連接IT與業(yè)務(wù)的紐帶，又是連接IT戰(zhàn)略與IT項(xiàng)目組合的橋梁，也是制定IT決策的基礎(chǔ)。從上圖能夠看出，企業(yè)架構(gòu)分為兩大部分：業(yè)務(wù)架構(gòu)和IT架構(gòu)。其中業(yè)務(wù)架構(gòu)是把企業(yè)的業(yè)務(wù)戰(zhàn)略轉(zhuǎn)化為日常運(yùn)作的渠道，業(yè)務(wù)戰(zhàn)略決定業(yè)務(wù)架構(gòu)，它包括業(yè)務(wù)的運(yùn)營模式、流程體系、組織結(jié)構(gòu)等內(nèi)容；IT架構(gòu)是指導(dǎo)IT投資和設(shè)計(jì)決策的IT框架，是建立企業(yè)信息系統(tǒng)的綜合藍(lán)圖，包括數(shù)據(jù)架構(gòu)、應(yīng)用架構(gòu)和技術(shù)架構(gòu)三部分。針對IT戰(zhàn)略規(guī)劃的實(shí)施，當(dāng)前已經(jīng)形成了比較通用的方法論，如下圖：實(shí)施過程分為三個階段：第一階段是現(xiàn)狀分析與評估，基于組織發(fā)展戰(zhàn)略，梳理組織業(yè)務(wù)架構(gòu)，并對現(xiàn)狀進(jìn)行評估分析，形成IT規(guī)劃需求分析報(bào)告；第二階段根據(jù)企業(yè)架構(gòu)、組織發(fā)展戰(zhàn)略制定組織IT戰(zhàn)略，形成IT愿景，規(guī)劃組織的應(yīng)用架構(gòu)、數(shù)據(jù)架構(gòu)、技術(shù)架構(gòu)以及組織管控架構(gòu)，形成組織IT規(guī)劃報(bào)告；第三階段，制定IT規(guī)劃的具體實(shí)施策略和計(jì)劃，闡明每階段的投入、產(chǎn)出以及所取得的效果，形成組織IT規(guī)劃實(shí)施報(bào)告?；谄髽I(yè)架構(gòu)（EA）制定組織IT架構(gòu)，能夠讓組織以業(yè)務(wù)為導(dǎo)向，使組織的IT投資從整體戰(zhàn)略出發(fā)，有利于確保IT投資與業(yè)務(wù)的一致性，減少IT重復(fù)性投資，獲得最佳IT投資回報(bào)，有效解決IT投資決策和管理IT投資等IT治理的核心問題。2.3.3IT建設(shè)治理分項(xiàng)IT建設(shè)治理以IT建設(shè)項(xiàng)目為治理對象，經(jīng)過治理過程，明確IT項(xiàng)目組織構(gòu)建及組織的責(zé)權(quán)利體系，建立項(xiàng)目運(yùn)行及監(jiān)管機(jī)制，以及IT項(xiàng)目需求方、實(shí)現(xiàn)方、內(nèi)部IT組織之間的協(xié)調(diào)和治理機(jī)制，保證項(xiàng)目按期、按質(zhì)達(dá)成預(yù)定目標(biāo)。PRINCE2?是由英國政府商務(wù)部OGC推行的項(xiàng)目流程管理最佳實(shí)踐，PRINCE是PRojectINControlledEnvironment（受控環(huán)境下的項(xiàng)目）的簡稱。PRINCE2?描述了如何以一種邏輯性的、有組織的方法，按照明確的步驟對項(xiàng)目進(jìn)行管理，實(shí)踐證明能夠有效提高項(xiàng)目執(zhí)行的效率和效益。PRINCE2是一種結(jié)構(gòu)化的項(xiàng)目管理方法，如下圖所示，主要包括項(xiàng)目準(zhǔn)備、項(xiàng)目啟動、項(xiàng)目指導(dǎo)、階段控制、產(chǎn)品交付管理、階段邊界管理、項(xiàng)目收尾、計(jì)劃8個過程，以及商業(yè)論證、組織、計(jì)劃、控制、風(fēng)險(xiǎn)管理、項(xiàng)目環(huán)境下的質(zhì)量、配置管理、變更控制等組件。Prince2經(jīng)過指導(dǎo)項(xiàng)目和階段邊界管理等過程，確保了項(xiàng)目管理高層實(shí)現(xiàn)例外控制，讓她們用有限的時間完全熟悉項(xiàng)目的進(jìn)程。經(jīng)過項(xiàng)目委員會將項(xiàng)目管理和組織的方案聯(lián)系起來，經(jīng)過商業(yè)論證與企業(yè)利益保持一致，從組織戰(zhàn)略層面保證項(xiàng)目的正確實(shí)施。2.3.4IT運(yùn)維治理分項(xiàng)IT運(yùn)維治理以IT運(yùn)維為治理對象，經(jīng)過治理過程，明確IT部門運(yùn)維服務(wù)策略、運(yùn)維服務(wù)流程，平衡需求方與服務(wù)方關(guān)系，同時建立運(yùn)維外包決策機(jī)制，在提高業(yè)務(wù)滿意度的同時，盡可能降低運(yùn)維成本，實(shí)現(xiàn)IT資產(chǎn)價值最大化。當(dāng)前國際上通行的IT運(yùn)維服務(wù)管理模式是ITIL（ITInfrastructureLibrary，即IT架構(gòu)庫），它為組織的IT運(yùn)維服務(wù)管理提供了一個客觀、嚴(yán)謹(jǐn)、可量化的最佳實(shí)踐平臺，組織的IT部門和最終用戶能夠根據(jù)自己的能力、需求以及所要求的不同服務(wù)水平，參考ITIL來規(guī)劃和制定其IT基礎(chǔ)架構(gòu)及服務(wù)管理內(nèi)容，從而確保IT運(yùn)維服務(wù)管理能為業(yè)務(wù)運(yùn)作提供更好的支持。ITIL所包含的核心理念為：“以流程為基礎(chǔ)，以客戶為中心，注重服務(wù)品質(zhì)和服務(wù)成本的平衡”。作為一套IT運(yùn)維服務(wù)管理的最佳實(shí)踐，服務(wù)是ITIL的核心，服務(wù)的理念經(jīng)過流程來體現(xiàn)，服務(wù)的品質(zhì)與成本是緊密關(guān)聯(lián)的。從結(jié)構(gòu)上來講，ITIL擁有三個組件：核心組件、補(bǔ)充組件和網(wǎng)絡(luò)組件。核心組件包括服務(wù)戰(zhàn)略、服務(wù)設(shè)計(jì)、服務(wù)轉(zhuǎn)換、服務(wù)運(yùn)營、持續(xù)性服務(wù)改進(jìn)，涵蓋了IT服務(wù)的生命周期，從業(yè)務(wù)所需到最優(yōu)化服務(wù)；補(bǔ)充組件包括不同情況、行業(yè)、環(huán)境的詳細(xì)內(nèi)容和目標(biāo)；網(wǎng)絡(luò)組件提供共同所需的動態(tài)資料和典型材料，如下圖。ITIL作為國際公認(rèn)的IT服務(wù)管理最佳實(shí)踐，已形成一套非常完善的框架和體系，其實(shí)施過程因企業(yè)規(guī)模、行業(yè)特性、管理基礎(chǔ)和風(fēng)險(xiǎn)偏好而定，下圖簡略描述了通用的步驟，如下圖。任務(wù)動員主要獲取組織領(lǐng)導(dǎo)高層的支持，并組建相關(guān)的團(tuán)隊(duì)；基線評估用來明確ITIL流程應(yīng)用中的職責(zé)范圍并建立基準(zhǔn)，便于衡量實(shí)施ITIL后的變化；然后經(jīng)過規(guī)劃來制定管理模式，明確責(zé)任，并創(chuàng)立實(shí)施計(jì)劃來解決問題；然后落實(shí)實(shí)施計(jì)劃，并進(jìn)行相關(guān)的培訓(xùn)；最后經(jīng)過KPI來衡量是否達(dá)成預(yù)定效果。經(jīng)過ITIL的落地應(yīng)用，能夠幫助客戶實(shí)現(xiàn)科學(xué)規(guī)范化的IT運(yùn)維管理，改變信息中心“救火隊(duì)”的角色，避免IT盲目投資，避免對“天才”的依賴，減少系統(tǒng)風(fēng)險(xiǎn)，實(shí)現(xiàn)對IT運(yùn)維業(yè)務(wù)的量化管理，保證IT與業(yè)務(wù)在運(yùn)維階段的一致性，確保IT合理處理與業(yè)務(wù)部門之間的關(guān)系。2.3.5IT績效治理分項(xiàng)IT績效治理以IT績效為治理對象，側(cè)重于IT價值的量化，經(jīng)過治理過程，搭建適合企業(yè)實(shí)際情況的IT績效管理體系，并將之應(yīng)用于IT系統(tǒng)、IT組織、IT人員，實(shí)現(xiàn)IT價值的可視化，避免IT投資“黑洞”。組織在信息化實(shí)施過程中往往分為幾個不同層面：戰(zhàn)略層、控制層和執(zhí)行層，因此信息化績效的考量也應(yīng)從戰(zhàn)略層面、管理層面和IT崗位層面來分別進(jìn)行。平衡計(jì)分卡作為一套系統(tǒng)的工具，既能夠有效地測量IT的整體績效，也能夠測量IT部門和IT項(xiàng)目的績效，還能夠?qū)T崗位的績效提供指導(dǎo)。傳統(tǒng)的平衡計(jì)分卡從面向客戶與服務(wù)、成本與效益、內(nèi)部運(yùn)營、人才與創(chuàng)新四個方面來進(jìn)行績效考核。IT平衡計(jì)分卡(ITBSC)是在平衡計(jì)分卡的基礎(chǔ)上發(fā)展起來的，主要應(yīng)用于對IT部門的運(yùn)營績效考核。傳統(tǒng)平衡計(jì)分卡的財(cái)務(wù)方面指標(biāo)只是衡量了企業(yè)在經(jīng)濟(jì)方面的收益，而忽視了其改進(jìn)經(jīng)營管理能力等方面的隱性收益。IT平衡計(jì)分卡在原有的財(cái)務(wù)、內(nèi)部運(yùn)作、客戶和學(xué)習(xí)與成長四個視角的基礎(chǔ)上增加了企業(yè)綜合競爭力維度，構(gòu)成一個擁有五個視角的改進(jìn)后的平衡計(jì)分卡模型，如下圖。IT平衡計(jì)分卡財(cái)務(wù)角度的績效指標(biāo)關(guān)注企業(yè)IT成本/預(yù)算與投資效益分析，目的是在確保IT投入控制與滿足IT需求之間平衡的同時，能夠量化IT的投入價值，使管理者能夠在了解服務(wù)水平、戰(zhàn)略實(shí)施和項(xiàng)目進(jìn)展的情況下，了解IT投入和效益實(shí)現(xiàn)。IT平衡計(jì)分卡客戶角度主要關(guān)注IT投入如何更好地服務(wù)于內(nèi)部用戶和外部客戶。在企業(yè)內(nèi)部運(yùn)營方面，IT平衡計(jì)分卡考核的重點(diǎn)是企業(yè)信息化的建設(shè)如何能夠滿足企業(yè)運(yùn)營需要，IT部門是否能夠有效采用和提供哪些服務(wù)和流程來支持企業(yè)業(yè)務(wù)的運(yùn)作，并提供及時、有效、可靠的IT服務(wù)。從學(xué)習(xí)與成長角度對企業(yè)IT部門的績效考核指標(biāo)應(yīng)該著眼未來，從人才儲備和技能發(fā)展等方面來考慮如何制訂相應(yīng)的績效考核指標(biāo)以更好地管理IT組織的人力資源，增強(qiáng)人員技能，提高組織的可持續(xù)發(fā)展能力。從企業(yè)綜合實(shí)力角度出發(fā)，需要考慮如何經(jīng)過信息化建設(shè)來提升企業(yè)的綜合實(shí)力？如何根據(jù)企業(yè)戰(zhàn)略發(fā)展規(guī)劃，規(guī)劃出企業(yè)的信息化建設(shè)目標(biāo)，并經(jīng)過具體工作來管理好IT規(guī)劃，最終落實(shí)到信息化建設(shè)的整個項(xiàng)目生命周期中。借助IT平衡計(jì)分卡，能幫助組織樹立IT價值觀，建立其業(yè)務(wù)戰(zhàn)略目標(biāo)與IT目標(biāo)的匹配，使IT部門的績效考核指標(biāo)具備可操作性，促進(jìn)IT部門與業(yè)務(wù)部門的交流，強(qiáng)化IT管理和IT治理能力。2.3.6IT風(fēng)險(xiǎn)治理分項(xiàng)IT風(fēng)險(xiǎn)治理以信息安全、IT內(nèi)控、IT風(fēng)險(xiǎn)管理為治理對象，經(jīng)過治理過程，建立相應(yīng)的信息安全管理體系（含組織、技術(shù)、運(yùn)維）、IT風(fēng)險(xiǎn)與內(nèi)控體系，既滿足企業(yè)內(nèi)部風(fēng)險(xiǎn)管控需求，又滿足外部監(jiān)管機(jī)構(gòu)合規(guī)性要求，同時為內(nèi)外部IT審計(jì)奠定良好的基礎(chǔ)。IT風(fēng)險(xiǎn)是指在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及退出過程中由于技術(shù)或管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。當(dāng)前國際上通用的IT風(fēng)險(xiǎn)管理最佳實(shí)踐是ISACA發(fā)布的COBIT（ControlledOBjectivesforInformationandrelatedTechnology，即信息及相關(guān)技術(shù)的控制目標(biāo)），它在商業(yè)風(fēng)險(xiǎn)、控制需要和技術(shù)問題之間架起了一座橋梁，以滿足管理的多方面需要。COBIT將IT過程、IT資源及信息與企業(yè)的策略和目標(biāo)聯(lián)系起來，形成一個三維的體系結(jié)構(gòu)，其以業(yè)務(wù)為關(guān)注焦點(diǎn)、以流程為導(dǎo)向、基于控制和度量驅(qū)動。信息標(biāo)準(zhǔn)集中反映了企業(yè)的戰(zhàn)略目標(biāo)，從質(zhì)量、成本、時間、資源利用率等方面來保證信息的安全性、可靠性和有效性；IT資源是IT管理過程的主要對象，包括與人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源；IT過程按照組織信息化的一般過程，劃分為規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控與評估四個域，共34個信息技術(shù)處理過程，如下圖：借助COBIT，組織能夠?qū)I(yè)務(wù)環(huán)境和企業(yè)總的業(yè)務(wù)戰(zhàn)略進(jìn)行分析定位，并將戰(zhàn)略規(guī)劃所產(chǎn)生的目標(biāo)、政策、行動計(jì)劃作為信息技術(shù)的關(guān)鍵環(huán)節(jié)，并由此確定IT準(zhǔn)則。同時使信息技術(shù)目標(biāo)和企業(yè)戰(zhàn)略目標(biāo)之間實(shí)現(xiàn)互動，形成互相依托、互相促進(jìn)的有機(jī)整體。組織經(jīng)過COBIT能夠更加有效地利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)，從而更好地幫助組織實(shí)現(xiàn)其業(yè)務(wù)戰(zhàn)略。信息安全是指信息的保密性（confidentiality）、完整性（integrity）、可用性（availability）、可追溯性（accountability）和不可否認(rèn)性（non-repudiation）的保持。信息安全體系建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程，必須用系統(tǒng)工程的觀點(diǎn)和方法，分析信息安全問題，結(jié)合ISO27001、《信息安全等級保護(hù)管理辦法》等，形成信息安全管控體系模型，如下圖。信息安全方針是組織對信息和信息處理設(shè)施進(jìn)行管理、保護(hù)、分配的原則；信息安全組織管控體系是指合理的安全治理組織結(jié)構(gòu)，明確各部門、個體在體系中的職責(zé)、權(quán)利和義務(wù)，并對人的行為進(jìn)行制約；信息安全技術(shù)管控體系是保證信息安全的技術(shù)手段；信息安全運(yùn)營管控體系是動態(tài)過程，保證“動態(tài)”信息資產(chǎn)安全。3、MaxValue?-IT治理咨詢服務(wù)【導(dǎo)讀】IT治理帶給組織的效益是不言而喻的，可是調(diào)查顯示，僅有很少的組織實(shí)現(xiàn)了有效的IT治理，究其原因是國際上雖然有成熟的方法論，可是如何將標(biāo)準(zhǔn)的方法論與組織的實(shí)際情況加以結(jié)合并真正在組織落地，是組織在進(jìn)行IT治理的一大難題。這一過程需要外部專家進(jìn)行輔導(dǎo)、咨詢，針對此，山東省軟件評測中心提供了MaxValue?IT治理咨詢服務(wù)解決方案。3.1MaxValue?總體框架為確保組織IT與業(yè)務(wù)的有效融合、實(shí)現(xiàn)組織IT價值最大化，從根本上解決組織IT管理中的問題，山東省軟件測評中心針對客戶需求，提出了MaxValue?IT治理咨詢服務(wù)解決方案。MaxValue（MaximizeITValue，IT價值最大化）。MaxValue?方案結(jié)合IT治理的思想以及國際上IT治理的最佳實(shí)踐，以ISO0、ISO27001等系列標(biāo)準(zhǔn)為參照物，致力于實(shí)現(xiàn)組織IT投資、IT資產(chǎn)價值最大化。方案總體框架如下圖所示。MaxValue?方案圍繞著客戶在信息化建設(shè)各個階段、各個層面中遇到的問題，引入IT治理的思想，從組織、職責(zé)、流程、運(yùn)行機(jī)制幾個方面來綜合考慮，從服務(wù)業(yè)務(wù)的角度、以價值為核心、以流程為導(dǎo)向，覆蓋IT全生命周期，同時滿足信息安全和風(fēng)險(xiǎn)內(nèi)控的要求，以其達(dá)到IT與業(yè)務(wù)戰(zhàn)略一致、IT價值有效交付、IT資源有效利用、IT風(fēng)險(xiǎn)有效管控、IT績效有效衡量的目的。3.2MaxValue?服務(wù)內(nèi)容針對客戶的實(shí)際需要，我們將提供如下咨詢服務(wù)項(xiàng)目。3.2.1IT戰(zhàn)略管理咨詢服務(wù)IT戰(zhàn)略是組織經(jīng)營戰(zhàn)略的有機(jī)組成部分，它是關(guān)于組織信息技術(shù)職能的目標(biāo)及其實(shí)現(xiàn)的總體謀劃。IT戰(zhàn)略是在診斷和評估組織信息化現(xiàn)狀的基礎(chǔ)上，結(jié)合組織發(fā)展戰(zhàn)略，制定和調(diào)整組織信息化的指導(dǎo)綱領(lǐng)，爭取以最適合的規(guī)模、最適合的成本，去做最適合的信息化工作。IT戰(zhàn)略管理咨詢服務(wù)就是幫助組織制定符合組織業(yè)務(wù)發(fā)展需要的IT戰(zhàn)略，以幫助客戶解決因IT戰(zhàn)略缺失、不清晰、不準(zhǔn)確所導(dǎo)致的IT建設(shè)“走彎路、多走路、走錯路”的問題。具體服務(wù)內(nèi)容包括：IT使命制定：闡述IT存在的理由、目的以及在組織中的作用。IT愿景制定：信息技術(shù)的發(fā)展方向和結(jié)果。IT目標(biāo)制定：愿景目標(biāo)的具體化，即組織未來3-5年IT發(fā)展的具體目標(biāo)。IT原則制定：實(shí)現(xiàn)上述中長期目標(biāo)所需遵循的準(zhǔn)則。經(jīng)過咨詢服務(wù)，幫助組織梳理和制定IT戰(zhàn)略，幫助組織明晰信息化建設(shè)的方向，確保IT建設(shè)與組織業(yè)務(wù)發(fā)展戰(zhàn)略的一致性；經(jīng)過IT戰(zhàn)略的制定和宣講，幫助組織在內(nèi)部就IT建設(shè)形成共識，有效推動組織信息化建設(shè)的進(jìn)程。3.2.2IT規(guī)劃管理咨詢服務(wù)IT規(guī)劃是指經(jīng)過對組織整體戰(zhàn)略、IT戰(zhàn)略的明晰和解讀，結(jié)合外部標(biāo)桿的經(jīng)驗(yàn)借鑒，形成基于組織業(yè)務(wù)藍(lán)圖基礎(chǔ)上的IT藍(lán)圖，以及具體信息系統(tǒng)的架構(gòu)設(shè)計(jì)、選型和實(shí)施策略，全面系統(tǒng)地指導(dǎo)組織信息化建設(shè)，滿足組織可持續(xù)發(fā)展的需要。IT規(guī)劃是承接IT戰(zhàn)略之后，對信息系統(tǒng)各部分的支撐硬件、支撐軟件、支撐技術(shù)等進(jìn)行計(jì)劃與安排。IT規(guī)劃管理咨詢服務(wù)就是幫助客戶搭建合理的信息化建設(shè)藍(lán)圖，規(guī)劃信息化建設(shè)投資和順序，致力于解決由于IT規(guī)劃缺失導(dǎo)致的信息孤島、重復(fù)建設(shè)、維護(hù)費(fèi)用高、維護(hù)復(fù)雜度高、風(fēng)險(xiǎn)高等問題。具體服務(wù)內(nèi)容包括：應(yīng)用架構(gòu)規(guī)劃：從系統(tǒng)應(yīng)用角度描述IT架構(gòu)；數(shù)據(jù)架構(gòu)規(guī)劃：從數(shù)據(jù)流轉(zhuǎn)角度描述IT架構(gòu)；基礎(chǔ)設(shè)施規(guī)劃：從底層支撐平臺角度描述IT架構(gòu)；IT組織架構(gòu)設(shè)計(jì)：制定符合IT治理思想的IT組織架構(gòu)，明確責(zé)權(quán)利關(guān)系；IT實(shí)施規(guī)劃：明確IT建設(shè)的實(shí)施路徑，規(guī)劃未來3-5年內(nèi)每個項(xiàng)目的行動計(jì)劃；IT投資預(yù)算：對信息化建設(shè)每個階段甚至每個系統(tǒng)進(jìn)行相應(yīng)的投資估算。經(jīng)過咨詢服務(wù)，幫助組織制定總體信息化藍(lán)圖，改變以往無序的、松散的IT建設(shè)模式，協(xié)助組織有條不紊地進(jìn)入IT正軌發(fā)展的道路，解決信息不對稱、信息化計(jì)劃殘缺、系統(tǒng)應(yīng)用目的不清等方面的問題，規(guī)避信息化建設(shè)的風(fēng)險(xiǎn)，最終保證IT戰(zhàn)略的有效落地。3.2.3IT項(xiàng)目管理咨詢服務(wù)IT項(xiàng)目管理咨詢是指以專門的知識、信息、信息技術(shù)、技能和經(jīng)驗(yàn)為資源，為IT項(xiàng)目的決策、實(shí)施、運(yùn)維提供建議或方案，以幫助客戶有效地解決IT項(xiàng)目過程管理不善導(dǎo)致的項(xiàng)目拖期、超出預(yù)算、效果打折、項(xiàng)目失敗等問題。具體服務(wù)內(nèi)容包括：IT項(xiàng)目內(nèi)部治理：搭建IT項(xiàng)目內(nèi)部治理組織結(jié)構(gòu)和機(jī)制；IT項(xiàng)目外部治理：搭建IT項(xiàng)目外部治理組織結(jié)構(gòu)和機(jī)制，包括供應(yīng)商、咨詢單位、監(jiān)理機(jī)構(gòu)等；IT項(xiàng)目管理咨詢貫穿于IT項(xiàng)目建設(shè)的全過程，經(jīng)過咨詢，建立IT項(xiàng)目治理機(jī)制，明確IT項(xiàng)目各利益相關(guān)方責(zé)權(quán)利，平衡項(xiàng)目資源；幫助客戶形成IT項(xiàng)目的約束機(jī)制，控制IT項(xiàng)目風(fēng)險(xiǎn)；為客戶進(jìn)行IT項(xiàng)目決策提供咨詢意見，提高IT項(xiàng)目的決策水平。3.2.4IT運(yùn)維管理咨詢服務(wù)隨著信息技術(shù)的高速發(fā)展，組織信息化已經(jīng)從最初的基礎(chǔ)環(huán)境搭建、業(yè)務(wù)系統(tǒng)的建設(shè)階段，進(jìn)入到全面的運(yùn)維階段。不斷復(fù)雜化的IT系統(tǒng)、可靠/穩(wěn)定/安全運(yùn)行要求、較高的客戶滿意度、投資回報(bào)率要求等，都對組織IT運(yùn)維部門提出了巨大的挑戰(zhàn)。IT運(yùn)維管理咨詢服務(wù)就是以IT治理為指導(dǎo)，以推動IT與業(yè)務(wù)的動態(tài)融合為出發(fā)點(diǎn)，基于ITIL最佳實(shí)踐經(jīng)驗(yàn)，為客戶建設(shè)以服務(wù)為導(dǎo)向的IT運(yùn)維管理體系；幫助制定規(guī)范化的ITIL服務(wù)流程，建立信息部門和業(yè)務(wù)部門之間溝通的橋梁，輔助信息部門選擇或開發(fā)規(guī)范化的日常管理工具。具體內(nèi)容包括：IT運(yùn)維現(xiàn)狀評估：經(jīng)過現(xiàn)狀、訪談、研討等形式了解客戶IT運(yùn)維現(xiàn)狀，并基于ISO0體系進(jìn)行評估；IT運(yùn)維體系設(shè)計(jì)：基于ITIL最佳實(shí)踐，搭建組織IT運(yùn)維組織職能和流程；IT服務(wù)外包管控設(shè)計(jì)：設(shè)計(jì)IT服務(wù)外包的管控體系。經(jīng)過咨詢，幫助企業(yè)梳理現(xiàn)有的IT運(yùn)維業(yè)務(wù)流程，建立基于ITIL最佳實(shí)踐的運(yùn)維流程和組織職能，經(jīng)過引入服務(wù)臺、服務(wù)水平管理等最佳實(shí)踐，有效提高IT部門對業(yè)務(wù)需求的響應(yīng)速度，建立IT與業(yè)務(wù)的溝通“語言”和溝通橋梁，平衡IT與業(yè)務(wù)的關(guān)系，平衡IT服務(wù)質(zhì)量與服務(wù)水平，提高業(yè)務(wù)滿意度，提高IT資產(chǎn)價值利用率。3.2.5IT績效管理咨詢服務(wù)信息化績效評估是指，評價主體依照評價目標(biāo)，經(jīng)過設(shè)定評估體系和評估模型，運(yùn)用特定的評估指標(biāo)和評估標(biāo)準(zhǔn)，按照嚴(yán)格的流程，在定量與定性相結(jié)合的基礎(chǔ)上進(jìn)行對比分析，對信息化全生命周期的過程和結(jié)果，組織績效目標(biāo)的達(dá)成情況，以及可持續(xù)發(fā)展能力，做出客觀、公正的判斷。IT績效管理咨詢服務(wù)就是經(jīng)過將基于IT的平衡計(jì)分卡體系引入到組織，從財(cái)務(wù)、客戶、內(nèi)部運(yùn)營、學(xué)習(xí)與創(chuàng)新、IT對業(yè)務(wù)支持五個方面制定詳細(xì)的評價指標(biāo)，形成整體的評價體系，以定性、定量的方式展現(xiàn)，用以衡量IT投資、IT資產(chǎn)的價值。具體服務(wù)內(nèi)容包括：IT績效體系搭建：基于IT平衡計(jì)分卡和客戶現(xiàn)狀，制定適應(yīng)客戶特點(diǎn)的IT績效評價體系；IT績效評估：應(yīng)用IT評價體系對客戶進(jìn)行IT價值達(dá)成進(jìn)行評估。經(jīng)過咨詢，幫助客戶搭建IT績效評價體系，在客戶內(nèi)部建立IT價值可量化、績效可評估的思想，經(jīng)過量化的指標(biāo)來突出IT部門/IT系統(tǒng)在組織中的重要作用，展現(xiàn)IT對組織業(yè)務(wù)的推動力，增強(qiáng)組織高層對IT投資回報(bào)的信心，便于IT可持續(xù)建設(shè)。3.2.6信息安全管理咨詢服務(wù)病毒破壞、黑客攻擊、系統(tǒng)癱瘓、員工失誤和惡意破壞、商業(yè)間諜等，越來越多的信息安全問題成為威脅組織生存和發(fā)展的重要的安全隱患?；趪H標(biāo)準(zhǔn)ISO/IEC27001:的信息安全管理體系（InformationSecurityManagementSystem,ISMS）是當(dāng)前國際上先進(jìn)的信息安全解決方案。信息安全管理咨詢服務(wù)就是根據(jù)ISO27001標(biāo)準(zhǔn)的要求，采用PDCA的過程模型，經(jīng)過基于資產(chǎn)的風(fēng)險(xiǎn)評估，幫助客戶建立制度化、流程化的信息安全管理體系，輔導(dǎo)客戶在其組織范圍內(nèi)實(shí)施、運(yùn)行、評審信息安全管理體系，從而確?？蛻粜畔⑾到y(tǒng)的正常運(yùn)行。具體服務(wù)內(nèi)容包括：安全管理風(fēng)險(xiǎn)評估：對ISMS涉及范圍內(nèi)的所有信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評估；安全管理體系建設(shè)：包括安全策略、控制程序、操作指南/手冊在內(nèi)的文件化的信息安全管理體系；安全管理體系改進(jìn)：發(fā)現(xiàn)ISMS運(yùn)行中存在的問題及弱點(diǎn)，及時采取適當(dāng)?shù)募m正或預(yù)防措施，實(shí)現(xiàn)ISMS的持續(xù)改進(jìn)；等級保護(hù)體系咨詢：按照國家等級保護(hù)要求，指導(dǎo)企業(yè)體系建設(shè)。經(jīng)過咨詢，幫助客戶發(fā)現(xiàn)安全管理存在的問題，在組織內(nèi)部建立并運(yùn)行信息安全管理體系（ISMS），不斷改進(jìn)優(yōu)化組織的信息安全管理體系，有效防止或快速處理組織所面正確信息安全問題，避免或盡量降低因發(fā)生信息安全事件對業(yè)務(wù)造成的影響。3.2.7IT風(fēng)險(xiǎn)與內(nèi)控管理咨詢服務(wù)隨著IT應(yīng)用的不斷深入，IT與業(yè)務(wù)的關(guān)聯(lián)越來越緊密，創(chuàng)造機(jī)會的同時也使IT面臨著越來越多的風(fēng)險(xiǎn)，國內(nèi)外近年來出臺了不少法律法規(guī)加強(qiáng)對IT進(jìn)行監(jiān)督和控制，而對于組織IT進(jìn)行專業(yè)審計(jì)的要求也越來越多。IT風(fēng)險(xiǎn)與內(nèi)控管理咨詢服務(wù)就是以國內(nèi)外內(nèi)控監(jiān)管要求，參照COSO內(nèi)部控制框架和COBIT控制標(biāo)準(zhǔn)，全面梳理信息技術(shù)相關(guān)的制度和流程，以COBIT內(nèi)控管理框架為基礎(chǔ)，幫助客戶建立完整的內(nèi)部控制體系，并基于相關(guān)的IT控制目標(biāo)，對信息系統(tǒng)管理相關(guān)關(guān)鍵流程、風(fēng)險(xiǎn)控制、制度及文檔體系進(jìn)行評估，提出內(nèi)部整改方案，經(jīng)過宣貫和培訓(xùn)落實(shí)方案實(shí)施，從而為客戶順利經(jīng)過相關(guān)外部審計(jì)提供有力支持，滿足外部監(jiān)管的要求。具體服務(wù)內(nèi)容包括：IT內(nèi)控現(xiàn)狀風(fēng)險(xiǎn)評估：調(diào)查企業(yè)IT總體內(nèi)控現(xiàn)狀，進(jìn)行差距分析，確定目標(biāo)；IT內(nèi)控體系設(shè)計(jì)：設(shè)計(jì)、討論、批準(zhǔn)控制體系，完善組織職能；IT內(nèi)控實(shí)施與測試：實(shí)施IT總體內(nèi)控體系，并按照IT審計(jì)標(biāo)準(zhǔn)及方法測試；IT審計(jì)：按照組織審計(jì)相關(guān)要求，對組織IT進(jìn)行專業(yè)性審計(jì)工作。經(jīng)過咨詢，幫助客戶搭建合規(guī)的IT內(nèi)控體系，經(jīng)過IT內(nèi)控促使組織內(nèi)部的作業(yè)流程最大限度做到透明化、可控制，有效進(jìn)行風(fēng)險(xiǎn)管理和欺詐防治，流程信息詳細(xì)記錄可追溯，在提高IT管理效能的同時確保組織目標(biāo)實(shí)現(xiàn)。3.3MaxValue?服務(wù)特點(diǎn)及客戶收益MaxValue?IT治理咨詢服務(wù)具有以下特點(diǎn)：專注于幫助客戶實(shí)現(xiàn)IT價值最大化。MaxValue?IT咨詢服務(wù)秉承“MaximizeITValue”這一宗旨，經(jīng)過咨詢，幫助客戶樹立正確的IT價值觀，合理設(shè)定IT目標(biāo)，并經(jīng)過建立一系列的流程、制度保證IT目標(biāo)的實(shí)現(xiàn)，確保客戶以合理的投資實(shí)現(xiàn)合理的IT價值；借鑒國際最佳實(shí)踐作為方法論。MaxValue?IT咨詢服務(wù)整體上借鑒國際上最佳管理實(shí)踐（如ITIL、COBIT、Prince2、ISO27001等）作為方法論，形成既有高度又能有效落地的服務(wù)方案，避免客戶走彎路、走錯路，減少IT投資的浪費(fèi)；以客戶利益為根本的第三方服務(wù)。作為一家獨(dú)立的第三方服務(wù)機(jī)構(gòu)，MaxValue?IT咨詢服務(wù)不涉及除服務(wù)本身之外的利益，能夠確保真正站在客戶的角度為客戶著想，確?？蛻舻睦娌灰蚪邮芊?wù)而受到損壞。4、最佳實(shí)踐介紹【導(dǎo)讀】IT治理有時會讓客戶感覺困惑，真有那么神嗎？具體應(yīng)該怎么做？下面列舉了一些IT治理的最佳實(shí)踐，從一個個簡單方法的應(yīng)用上來感受IT治理是如何針對性的解決IT管理問題，并為組織帶來效益。4.1應(yīng)用項(xiàng)目組合管理可有效輔助高層IT決策，提高IT投資效果在組織IT決策制定過程中，決定選擇哪些IT項(xiàng)目投資，每個IT項(xiàng)目投入多少資金，這些都是對IT投資決策的直接反映，這也是困擾組織決策者的問題。項(xiàng)目組合管理提供了一個有效評估IT項(xiàng)目決策的方法，項(xiàng)目組合管理就是為IT管理部門的投資決策服務(wù)的，采取自上而下的管理方式，將投資與企業(yè)的戰(zhàn)略目標(biāo)相結(jié)合，優(yōu)先選擇符合企業(yè)戰(zhàn)略目標(biāo)的項(xiàng)目，在資金和資源能力范圍內(nèi)有效執(zhí)行項(xiàng)目。項(xiàng)目組合管理提供一套科學(xué)的模型完成項(xiàng)目決策。這個模型定義了適合企業(yè)的評估標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)決定了項(xiàng)目開展的優(yōu)先級。項(xiàng)目組合管理能夠提供衡量項(xiàng)目的最重要的指標(biāo)，包括項(xiàng)目收益、項(xiàng)目費(fèi)用、與業(yè)務(wù)目標(biāo)的契合度、項(xiàng)目里程碑進(jìn)度表和風(fēng)險(xiǎn)模型。另外用戶也能夠增加和輸入與自身業(yè)務(wù)相關(guān)的衡量指標(biāo)，如ROI、意外事件、業(yè)務(wù)增長目標(biāo)、質(zhì)量統(tǒng)計(jì)、業(yè)務(wù)價值評估指標(biāo)等等，這些指標(biāo)能夠直接用于后階段工作的創(chuàng)立清單、確定項(xiàng)目優(yōu)先級、評估和決策。經(jīng)過項(xiàng)目組合管理中模型應(yīng)用，能夠幫助組織以量化的指標(biāo)進(jìn)行對IT項(xiàng)目進(jìn)行綜合評比，輔助組織高層進(jìn)行IT項(xiàng)目的科學(xué)決策。4.2科學(xué)IT規(guī)劃是預(yù)防組織出現(xiàn)信息孤島的有效手段組織的動態(tài)發(fā)展、復(fù)雜的應(yīng)用環(huán)境與多種應(yīng)用系統(tǒng)之間的沖突，形成了信息孤島。經(jīng)過分析發(fā)現(xiàn)，組織信息化過程中“孤島”的形成與IT規(guī)劃的缺失有著直接或間接的關(guān)系，“孤島”問題一般都是在典型的沒有經(jīng)過規(guī)劃而實(shí)施的信息化工程形成的。當(dāng)前針對組織信息化建設(shè)中出現(xiàn)的信息“孤島”，一般采用共享或集成的方式來解決，可是無法從根本上解決此類問題。而最有效解決信息“孤島”或有效預(yù)防的方式是進(jìn)行合理的IT規(guī)劃，“總體規(guī)劃、分布實(shí)施”是組織信息化建設(shè)的最佳選擇?？傮w規(guī)劃就是組織要在戰(zhàn)略層面，根據(jù)組織的發(fā)展戰(zhàn)略，遵循科學(xué)的方法論，制定合理的IT規(guī)劃，再根據(jù)IT規(guī)劃制定實(shí)施方案，這是一個需要總體規(guī)劃、分步實(shí)施，才能完成的長期投資任務(wù)，同時還需要根據(jù)內(nèi)外環(huán)境不斷進(jìn)行動態(tài)調(diào)整，才能從根本上徹底消除信息孤島。4.3明確的項(xiàng)目團(tuán)隊(duì)績效管理可有效改進(jìn)IT項(xiàng)目管理最終效果組織在日常IT項(xiàng)目建設(shè)過程中，雖然也按照項(xiàng)目管理方法對IT項(xiàng)目進(jìn)行全過程的管理，但效果卻差強(qiáng)人意，經(jīng)常出現(xiàn)項(xiàng)目拖期、超出預(yù)算，甚至項(xiàng)目失敗的想象。這是為什么？難道項(xiàng)目管理沒有效果嗎？事實(shí)并非如此，經(jīng)過分析發(fā)現(xiàn)，絕大多數(shù)組織的IT項(xiàng)目管理只是有項(xiàng)目管理的“形”，卻未抓住項(xiàng)目管理的“神”