《信息化建设解决方案之咨询篇.pdf》由会员分享,可在线阅读,更多相关《信息化建设解决方案之咨询篇.pdf(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1 2020 年 4 月 19 日 信息化建设解决方案之咨询篇 文档仅供参考,不当之处,请联系改正。2 2020 年 4 月 19 日 信息化建设解决方案之咨询篇 1、信息化建设面临的问题【导读】信息化建设为组织服务的同时,也给组织管理者带来了新的管理挑战,即如何有效管理 IT 的问题,这是摆在每一个组织高层管理者面前必须要考虑并加以解决的问题。下面将从日常 IT 管理问题的一些表象出发,探究现象背后的深层次原因,并引入 IT 治理这一思想来实现针对 IT管理的管理。1.1 IT 管理面临的困惑 中国的信息化建设已有三十余年,其成绩是显著的,可是问题也是不容回避的,信息化建设在提高业务操作效率
2、和提供业务管理手段的同时,也给管理者带来了一些新的困惑。您在信息化建设过程中是否遇到过以下情况:(1)虽然大家都认为 IT 很重要,但实际情况 IT 组织在单位组织架构中很不起眼,一般挂靠在财务部或办公室下,即使单独设置,人员也很少,在信息化建设中很难推动业务部门开展 IT 建设工作;即使部分单位有 CIO 角色,但 CIO 的位置也比较尴尬,协调工作也很难开展;(2)在许多单位,一个信息化项目建设过程能够形容为“五拍”:开始领导拍脑袋开始干,项目经理拍胸脯保证干好,最后老板拍桌子发火怎么干的,项目经理拍屁股走人,老板拍大腿后悔;往往导致 IT 项目建设要么形成“烂尾”,要么不了了之;文档仅供
3、参考,不当之处,请联系改正。3 2020 年 4 月 19 日(3)现有信息系统的建设更多是以各业务部门独立发起的,系统建设的目的更多侧重于解决本部门业务的问题,缺少与其它部门业务衔接的考虑,在单位内部形成了一系列的信息孤岛;在系统建设时很少考虑技术实现,各个信息系统技术路线差异较大,后期系统间整合难度较大,必要时可能推倒重建;(4)领导对于 IT 建设产生了一种疑惑:每年 IT 都在持续的投入,像是一个“无底洞”,从表面上很难看到 IT 投资产生的实效,要不要投入、投入是否值得始终是困扰领导的问题;而 IT 部门觉得 IT 回报是长期的,初期都需要高投入,怎么才能给领导算清这一笔账?(5)在
4、信息化项目建设中,项目拖期已经成为一种常态,而且项目达成效果总会打个折扣,IT 部门除了督促业务部门、供应商外毫无办法,建设过程中也按照项目管理规定进行了有效管理,可是结果依旧如此,到底为什么?(6)信息中心一天到晚忙忙碌碌,通宵达旦加班,扮演“救火员”的角色,换来的却是业务部门的需求处理不及时的抱怨,业务部门不理解信息中心都在忙什么,即使增加 IT 人员,还是很忙碌,信息中心到底需要多少人?信息中心难道永远是“有苦劳没功劳”?(7)大多数企业的 IT 系统都会遇到各种各样的意外情况,比如:断电、病毒、硬件故障、应用系统升级等导致的系统问题,部分企业会遭受恶意入侵的侵扰,信息泄密事件更是层出不
5、穷,组织购买了技术最先进的防护设备,花费了大量的投资,还是不能解决,为什么?文档仅供参考,不当之处,请联系改正。4 2020 年 4 月 19 日 1.2IT 管理问题分析 从问题表象来分析,产生这些现象的根源如下:(1)IT 战略缺失或不清晰。所有企业都有发展战略,可是仅有少数企业有 IT 战略。大家都在谈 IT 的重要性,但并没有上升到战略的高度。IT战略缺失或不清晰,导致公司在信息化建设中找不到重心,IT 建设不能与企业发展战略进行有效匹配融合,IT 部门在推进企业信息化建设过程中“有力无处使,有劲干不动”。(2)IT 投资决策流程不规范,技术经济论证不足。信息化建设项目具有投资大、风险
6、大的特点。事实证明,系统规模越大、与管理联系越密切、集成度越高的系统,风险越大,失败率越高,在进行投资前必须有一套规范的决策流程和经济技术可行性论证过程,否则成功是偶然的、失败是必然的。(3)IT 系统建设缺少规划。信息化建设是一个长期的过程,是一项系统工程,必须从战略的高度、从全局的角度、从超前的技术视角来进行整体规划,打破各业务单元的本位主义,从企业整体管理和业务运作需要的角度来优化流程、统筹资源,总体规划、分布实施,否则容易造成企业信息孤岛林立、技术过时、系统重复建设。(4)IT 价值缺少度量。IT 价值具有长期性、间接性、综合性的特点,从一定程度上讲,IT 价值评价是困难的。可是,没有
7、科学度量就没有科学管理,度量是为管理服务的,没有度量就没有管理,缺少 IT 价值的度量就无法进行有效的 IT 管理。要打消领导产生 IT“投资黑洞”的疑虑,就文档仅供参考,不当之处,请联系改正。5 2020 年 4 月 19 日 必须将 IT 的价值进行量化评价。(5)IT 项目管理顶层机制不完善。IT 项目与传统项目相比有需求不确定性、项目隐蔽性、范围模糊性、智力密集型、评价主观性等特点,决定了 IT 项目管理更加困难,纯粹使用项目管理技术并不能解决根本性问题,需要对 IT 项目管理进行顶层设计,建立对项目各利益相关方监督与制衡机制,否则容易造成 IT 项目失控。(6)IT 运维管理流程不规
8、范。IT 运维过程中业务部门与 IT 部门间的矛盾一方面源于组织信息系统越来越复杂、系统越来越庞大;另一方面业务部门需求越来越强、要求越来越高。更深层次的原因是业务部门与 IT部门之间缺少一种沟通的“语言”,即合理的服务水平是什么样?什么样的需求才是真正的需求,需求处理的流程是什么?(7)信息安全及风险管理重技术、轻管理。大多数组织的管理者都已树立了不同程度的安全和风险意识,可是对信息资产所面临的严重性认识不足,仅局限在 IT 方面的安全,缺少合理的信息安全方针来指导组织的信息安全管理工作,在安全规划、风险、应急、安全教育培训、系统评估方面采用静态管理,出了问题再补救,缺少全局管理方法。爱因斯
9、坦曾经说过:“我们面正确重大问题无法在我们制造出这些问题的思考层面上得到解决。”要解决这些信息化建设的乱象,传统的 IT 管理已无力面对这些挑战,因而需要更上一层楼,超越传统的 IT 管理,引入治理的思想,在关注 IT 建设的同时,从战略层面加强 IT 决策、实施、评价等方面的控制,确保 IT 价值的实现。文档仅供参考,不当之处,请联系改正。6 2020 年 4 月 19 日 2、IT 治理一流绩效企业 IT 管理解决之道【导读】IT 治理这一词汇大家并不陌生,那么 IT 治理究竟是什么,IT 治理能帮助组织做什么,IT 治理如何落地?下面结合国际上主流的针对IT 治理定义的理解、IT 治理方
10、法论进行了一一阐述,客户能够从中找到解决自身主要 IT 管理问题的 IT 治理方法论,以引导组织进行合适的 IT 治理工作。2.1 IT 治理的概念 IT 治理(IT Governance)这个概念最早是由 IBM 在 引入中国的,其本意是推动国内企业服务流程化的管理。当前对于 IT 治理并没有统一的定义,以下描述了几种主流的定义:MIT CISR 的彼得维尔&珍妮罗斯认为 IT 治理就是在使用信息技术的过程中,确定决策权及责任框架,以鼓励所希望的行为产生的过程。国际信息系统审计与控制协会(ISACA)定义如下:IT 治理是一个由关系和过程所构成的体制,用于指导和控制企业,经过平衡信息技术与过
11、程的风险、增加价值来确保实现企业的目标。德勤咨询公司认为:IT 治理是一个含义广泛的术语,包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其它问题。其主要任务是保持 IT 与业务目标一致,推动业务发展,促使收益最大化,合理利用 IT资源,管理 IT 相关风险。中国 IT 治理研究中心(ITGov)认为,IT 治理是指设计并实施信息化文档仅供参考,不当之处,请联系改正。7 2020 年 4 月 19 日 过程中各方利益最大化的制度安排,包括业务与信息化战略的机制、权责对等的责任担当框架和问责机制、资源配置的决策机制、组织保障机制、核心 IT 能力发展机制、绩效管理机制以及覆盖信息化全生命
12、周期的风险管控机制。该制度安排的目的是实现组织的业务战略,促进管理创新,合理管控信息化过程的风险,建立信息化可持续发展的长效机制,最终实现 IT商业价值。以上这些定义从不同的角度界定 IT 治理的概念,但能够总结出以下共同点:IT 治理和其它治理主体一样,是管理执行人员和利益相关者的责任(以董事会为代表),IT 治理必须与企业战略目标一致,应该合理利用企业的信息资源,平衡 IT 系统的投资,管理 IT 相关风险,经过有效集成与协调,确保 IT 及时按照目标交付,保证业务增长。2.2 IT 治理的目标 随着信息化的不断应用,IT 已由纯粹的管理辅助工具转变为组织的核心竞争力之一,从根本上讲,IT
13、 治理的目的就是使 IT 能够更好地为组织业务服务。具体来说,IT 治理的目标有以下四个方面:(1)确保 IT 与组织战略目标的一致性,实现 IT 与业务的有效融合。IT存在的理由是为组织发展服务的,这就决定了 IT 目标与组织目标必须保持一致,IT 应该是组织发展的助推力,而不能成为组织发展的障碍。组织的信息化战略必须在组织发展战略驱动下进行的,IT 治理的首要目标就是确保在组织信息化建设的各个阶段,IT 规划、建设、运维始终围绕着为组织发展服务这一核心目标而开展,经过 IT 治理制定有效的管理框文档仅供参考,不当之处,请联系改正。8 2020 年 4 月 19 日 架和机制,确保 IT 做
14、正确的事,互相促进、共同发展。(2)确保 IT 资产的价值最大化,实现 IT 资源的有效利用。衡量组织信息化水平的一个重要标志就是信息化取得的实效,这也是信息资源开发和信息化建设的核心任务,但综合国内情况来看,信息化建设效果不佳是普遍现象。虽然 IT 资产作为组织的六大核心资产之一,可是 IT 资产的效能产出始终是困扰管理者的问题。经过 IT 治理,实现对信息资源管理职责进行有效的设计,对信息化过程进行有效的控制和监管,确保 IT投资科学化、规范化、过程可控、价值最大。(3)有效管理组织 IT 建设风险和信息安全风险,确保预期目标达成。信息技术的不断发展导致组织对于信息和技术的依赖性不断增强,
15、IT 风险和信息安全风险成为组织风险控制的重要议题。IT 治理的目标之一就是落实监管要求、构建组织内部风险控制体系,经过制定信息资源的保护级别,强调信息技术资源的风险意识,经过组织、制度、流程、技术多个方面来实现对风险的有效监控和事故的快速处理,确保 IT 达成预期目标。(4)构建长效发展机制,确保组织 IT 建设可持续发展。信息化建设是一项持续的系统工程,既要全面考虑、分布实施,又要符合 PDCA 的规律,不断优化、持续改进。要实现此目标就要发掘企业信息化建设的内在动力,经过 IT 治理构建组织信息化建设可持续发展的长效机制,在 IT 治理总体框架内,在信息化全过程风险控制体系基础之上,经过
16、合理规划、有序建设、准确评估、持续改进,以不断修正组织 IT 路线,确保 IT文档仅供参考,不当之处,请联系改正。9 2020 年 4 月 19 日 目标与组织目标的一致性。2.3 IT 治理框架 2.3.1 IT 治理框架综述 当前,中国信息化建设中的最大问题,不是技术问题,也不是资金问题,而是缺乏科学的 IT 管理观念;IT 领导者最大的问题不是缺少经验和能力,而是缺乏卓越的管理素质和管理方法。对于 IT 治理来说,国际上已有许多成熟的方法和工具,形成了最佳业务实践,这些最佳业务实践是全球智慧的结晶,因此,对于我们来说,不是再去从头创新,而是需要根据国情和组织的实际情况,对最佳实践加以理解
17、、掌握并有效运用,从而为组织战略目标服务。下图为 IT 治理的总体框架,描述了 IT 治理的出发点、IT 治理的关键要素、IT 治理的对象、IT 治理的最佳实践。IT 治理的目的是使 IT 与组织业务有效融合,其出发点首先是组织的发展战略,以组织发展战略为起点,遵循组织的风险与内控体系,制定相应的 IT 建设运行的管理机制。IT 治理的关键要素涵盖 IT 组织、IT 战略、文档仅供参考,不当之处,请联系改正。10 2020 年 4 月 19 日 IT 架构、IT 基础设施、业务需求、IT 投资、信息安全等,主要确定这些要素或活动中“做什么决策?谁来决策?怎么来决策?如何监督和评价决策?”。围绕
18、着 IT 建设全生命周期过程,构建持续的信息化建设长效机制,是 IT 治理的目标一致,因此,整个 IT 建设生命周期都是 IT 治理的对象,包括 IT 组织与规划、IT 建设与交付、IT 运行与维护、IT 评估与优化。IT 治理的国际最佳实践就是基于各个对象治理的成熟的方法论和工具,包括CobiT、ITIL、ISO27001、Prince2 等。按照 IT 治理的对象,我们将 IT 治理的服务划分为五类,分别是:IT规划治理、IT 建设治理、IT 运维治理、IT 绩效治理、IT 风险治理。2.3.2 IT 规划治理分项 IT 规划治理主要以 IT 战略、IT 规划、IT 组织、IT 投资为治理
19、对象,经过治理过程,明晰企业业务战略,制定企业 IT 战略,明确企业中 IT 组织的定位、IT 组织架构,并对企业未来 3 至 5 年的信息化建设蓝图及建设步骤做出整体规划,同时对 IT 投资建立闭环管理机制,确保 IT 建设与业务发展需求的一致性。信息化是一个演进的过程,是量的不断积累的过程,这个过程中最重要的就是“合理内核”。古人说“画龙画虎难画骨”,对于企业信息化来说,企业架构既是企业的“骨架”,更是搞好 IT 的“筋骨”;如何画好企业的“骨”不但是一件难事,更是从根本上治理好 IT 的关键。企业架构(EA)是国际上先进的 IT 架构规划框架模型,在企业信息化建设中起着承上启下的作用,既
20、是连接 IT 与业务的纽带,又是连接 IT 战文档仅供参考,不当之处,请联系改正。11 2020 年 4 月 19 日 略与 IT 项目组合的桥梁,也是制定 IT 决策的基础。从上图能够看出,企业架构分为两大部分:业务架构和 IT 架构。其中业务架构是把企业的业务战略转化为日常运作的渠道,业务战略决定业务架构,它包括业务的运营模式、流程体系、组织结构等内容;IT 架构是指导 IT 投资和设计决策的 IT 框架,是建立企业信息系统的综合蓝图,包括数据架构、应用架构和技术架构三部分。针对 IT 战略规划的实施,当前已经形成了比较通用的方法论,如下图:文档仅供参考,不当之处,请联系改正。12 202
21、0 年 4 月 19 日 实施过程分为三个阶段:第一阶段是现状分析与评估,基于组织发展战略,梳理组织业务架构,并对现状进行评估分析,形成 IT 规划需求分析报告;第二阶段根据企业架构、组织发展战略制定组织 IT 战略,形成 IT愿景,规划组织的应用架构、数据架构、技术架构以及组织管控架构,形成组织 IT 规划报告;第三阶段,制定 IT 规划的具体实施策略和计划,阐明每阶段的投入、产出以及所取得的效果,形成组织 IT 规划实施报告。基于企业架构(EA)制定组织 IT 架构,能够让组织以业务为导向,使组织的 IT 投资从整体战略出发,有利于确保 IT 投资与业务的一致性,减少 IT 重复性投资,获
22、得最佳 IT 投资回报,有效解决 IT 投资决策和管理IT 投资等 IT 治理的核心问题。2.3.3 IT 建设治理分项 IT 建设治理以 IT 建设项目为治理对象,经过治理过程,明确 IT 项目组织构建及组织的责权利体系,建立项目运行及监管机制,以及 IT 项目需文档仅供参考,不当之处,请联系改正。13 2020 年 4 月 19 日 求方、实现方、内部 IT 组织之间的协调和治理机制,保证项目按期、按质达成预定目标。PRINCE2是由英国政府商务部 OGC 推行的项目流程管理最佳实践,PRINCE 是 PRoject IN Controlled Environment(受控环境下的项目)的
23、简称。PRINCE2描述了如何以一种逻辑性的、有组织的方法,按照明确的步骤对项目进行管理,实践证明能够有效提高项目执行的效率和效益。PRINCE2 是一种结构化的项目管理方法,如下图所示,主要包括项目准备、项目启动、项目指导、阶段控制、产品交付管理、阶段边界管理、项目收尾、计划 8 个过程,以及商业论证、组织、计划、控制、风险管理、项目环境下的质量、配置管理、变更控制等组件。Prince2 经过指导项目和阶段边界管理等过程,确保了项目管理高层实现例外控制,让她们用有限的时间完全熟悉项目的进程。经过项目委员文档仅供参考,不当之处,请联系改正。14 2020 年 4 月 19 日 会将项目管理和组
24、织的方案联系起来,经过商业论证与企业利益保持一致,从组织战略层面保证项目的正确实施。2.3.4 IT 运维治理分项 IT 运维治理以 IT 运维为治理对象,经过治理过程,明确 IT 部门运维服务策略、运维服务流程,平衡需求方与服务方关系,同时建立运维外包决策机制,在提高业务满意度的同时,尽可能降低运维成本,实现 IT 资产价值最大化。当前国际上通行的 IT 运维服务管理模式是 ITIL(IT Infrastructure Library,即 IT 架构库),它为组织的 IT 运维服务管理提供了一个客观、严谨、可量化的最佳实践平台,组织的 IT 部门和最终用户能够根据自己的能力、需求以及所要求的
25、不同服务水平,参考 ITIL 来规划和制定其 IT 基础架构及服务管理内容,从而确保 IT 运维服务管理能为业务运作提供更好的支持。ITIL 所包含的核心理念为:“以流程为基础,以客户为中心,注重服务品质和服务成本的平衡”。作为一套 IT 运维服务管理的最佳实践,服务是 ITIL 的核心,服务的理念经过流程来体现,服务的品质与成本是紧密关联的。从结构上来讲,ITIL 拥有三个组件:核心组件、补充组件和网络组件。核心组件包括服务战略、服务设计、服务转换、服务运营、持续性服务改进,涵盖了 IT 服务的生命周期,从业务所需到最优化服务;补充组件包括不同情况、行业、环境的详细内容和目标;网络组件提供共
26、同所需的文档仅供参考,不当之处,请联系改正。15 2020 年 4 月 19 日 动态资料和典型材料,如下图。ITIL 作为国际公认的 IT 服务管理最佳实践,已形成一套非常完善的框架和体系,其实施过程因企业规模、行业特性、管理基础和风险偏好而定,下图简略描述了通用的步骤,如下图。任务动员基线评估规划实施测试取得高层支持选择团队成员确定范围确定利益相关者明确现状明确问题点建立基准制定管理模式设定目标建立计划制定规则管理风险明确责任培养意识培训人员实施计划管理组织变化管理文化变化认识现状衡量目标测试组织变化测试文化变化记录问题和漏洞 文档仅供参考,不当之处,请联系改正。16 2020 年 4 月
27、 19 日 任务动员主要获取组织领导高层的支持,并组建相关的团队;基线评估用来明确 ITIL 流程应用中的职责范围并建立基准,便于衡量实施 ITIL后的变化;然后经过规划来制定管理模式,明确责任,并创立实施计划来解决问题;然后落实实施计划,并进行相关的培训;最后经过 KPI 来衡量是否达成预定效果。经过 ITIL 的落地应用,能够帮助客户实现科学规范化的 IT 运维管理,改变信息中心“救火队”的角色,避免 IT 盲目投资,避免对“天才”的依赖,减少系统风险,实现对 IT 运维业务的量化管理,保证 IT 与业务在运维阶段的一致性,确保 IT 合理处理与业务部门之间的关系。2.3.5 IT 绩效治
28、理分项 IT 绩效治理以 IT 绩效为治理对象,侧重于 IT 价值的量化,经过治理过程,搭建适合企业实际情况的 IT 绩效管理体系,并将之应用于 IT 系统、IT 组织、IT 人员,实现 IT 价值的可视化,避免 IT 投资“黑洞”。组织在信息化实施过程中往往分为几个不同层面:战略层、控制层和执行层,因此信息化绩效的考量也应从战略层面、管理层面和 IT 岗位层面来分别进行。平衡计分卡作为一套系统的工具,既能够有效地测量 IT 的整体绩效,也能够测量 IT 部门和 IT 项目的绩效,还能够对 IT 岗位的绩效提供指导。传统的平衡计分卡从面向客户与服务、成本与效益、内部运营、人才与创新四个方面来进
29、行绩效考核。IT 平衡计分卡(IT BSC)是在平衡计分卡的基础上发展起来的,主要应用于对 IT 部门的运营绩效考核。传统平衡计文档仅供参考,不当之处,请联系改正。17 2020 年 4 月 19 日 分卡的财务方面指标只是衡量了企业在经济方面的收益,而忽视了其改进经营管理能力等方面的隐性收益。IT 平衡计分卡在原有的财务、内部运作、客户和学习与成长四个视角的基础上增加了企业综合竞争力维度,构成一个拥有五个视角的改进后的平衡计分卡模型,如下图。IT 平衡计分卡财务角度的绩效指标关注企业 IT 成本/预算与投资效益分析,目的是在确保 IT 投入控制与满足 IT 需求之间平衡的同时,能够量化 IT
30、 的投入价值,使管理者能够在了解服务水平、战略实施和项目进展的情况下,了解 IT 投入和效益实现。IT 平衡计分卡客户角度主要关注 IT 投入如何更好地服务于内部用户和外部客户。在企业内部运营方面,IT 平衡计分卡考核的重点是企业信息化的建设如何能够满足企业运营需要,IT 部门是否能够有效采用和提供哪些服务和流程来支持企业业务的运作,并提供及时、有效、可靠的 IT 服务。从学习与成长角度对企业 IT 部门的绩效考核指标应该着眼未来,从人才储备和技能发展等方面来考虑如何制订相应的绩效考核指标以更好地管文档仅供参考,不当之处,请联系改正。18 2020 年 4 月 19 日 理 IT 组织的人力资
31、源,增强人员技能,提高组织的可持续发展能力。从企业综合实力角度出发,需要考虑如何经过信息化建设来提升企业的综合实力?如何根据企业战略发展规划,规划出企业的信息化建设目标,并经过具体工作来管理好 IT 规划,最终落实到信息化建设的整个项目生命周期中。借助 IT 平衡计分卡,能帮助组织树立 IT 价值观,建立其业务战略目标与 IT 目标的匹配,使 IT 部门的绩效考核指标具备可操作性,促进 IT 部门与业务部门的交流,强化 IT 管理和 IT 治理能力。2.3.6 IT 风险治理分项 IT 风险治理以信息安全、IT 内控、IT 风险管理为治理对象,经过治理过程,建立相应的信息安全管理体系(含组织、
32、技术、运维)、IT 风险与内控体系,既满足企业内部风险管控需求,又满足外部监管机构合规性要求,同时为内外部 IT 审计奠定良好的基础。IT 风险是指在规划、研发、建设、运行、维护、监控及退出过程中由于技术或管理缺陷产生的操作、法律和声誉等风险。当前国际上通用的 IT风险管理最佳实践是 ISACA 发布的 COBIT(ControlledOBjectives for Information and related Technology,即信息及相关技术的控制目标),它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。COBIT 将 IT 过程、IT 资源及信息与企业的策略
33、和目标联系起来,形成一个三维的体系结构,其以业务为关注焦点、以流程为导向、基于控制和文档仅供参考,不当之处,请联系改正。19 2020 年 4 月 19 日 度量驱动。信息标准集中反映了企业的战略目标,从质量、成本、时间、资源利用率等方面来保证信息的安全性、可靠性和有效性;IT 资源是 IT管理过程的主要对象,包括与人、应用系统、技术、设施及数据在内的信息相关的资源;IT 过程按照组织信息化的一般过程,划分为规划与组织、采集与实施、交付与支持、监控与评估四个域,共 34 个信息技术处理过程,如下图:借助 COBIT,组织能够对业务环境和企业总的业务战略进行分析定位,并将战略规划所产生的目标、政
34、策、行动计划作为信息技术的关键环节,并由此确定 IT 准则。同时使信息技术目标和企业战略目标之间实现互动,形成互相依托、互相促进的有机整体。组织经过 COBIT 能够更加有效地利用信息资源,有效地管理与信息相关的风险,从而更好地帮助组织实现其业务战略。文档仅供参考,不当之处,请联系改正。20 2020 年 4 月 19 日 信 息 安 全 是 指 信 息 的 保 密 性(confidentiality)、完 整 性(integrity)、可用性(availability)、可追溯性(accountability)和不可否认性(non-repudiation)的保持。信息安全体系建设是一项复杂的
35、系统工程,必须用系统工程的观点和方法,分析信息安全问题,结合ISO27001、信息安全等级保护管理办法等,形成信息安全管控体系模型,如下图。IT原则/IT规划信息安全方针信息安全策略数据访问控制安全策略数据加密与备份策略病毒防护策略系统安全策略身份认证与授权策略灾难恢复与连续性策略安全审计策略人员与安全教育策略环境安全策略组织管控体系技术管控体系运营管控体系领导小组组织建设人员安全岗位职责组织间合作第三方考核物理安全网络安全系统安全应用安全可信安全管理管理制度资产识别风险评估连续性管理事件管理安全审计 信息安全方针是组织对信息和信息处理设施进行管理、保护、分配的原则;信息安全组织管控体系是指合
36、理的安全治理组织结构,明确各部门、个体在体系中的职责、权利和义务,并对人的行为进行制约;信息安全技术管控体系是保证信息安全的技术手段;信息安全运营管控体系是动态过程,保证“动态”信息资产安全。3、MaxValue-IT 治理咨询服务【导读】IT 治理带给组织的效益是不言而喻的,可是调查显示,仅有很少的组织实现了有效的 IT 治理,究其原因是国际上虽然有成熟的方法文档仅供参考,不当之处,请联系改正。21 2020 年 4 月 19 日 论,可是如何将标准的方法论与组织的实际情况加以结合并真正在组织落地,是组织在进行 IT 治理的一大难题。这一过程需要外部专家进行辅导、咨询,针对此,山东省软件评测
37、中心提供了 MaxValue IT 治理咨询服务解决方案。3.1 MaxValue总体框架 为确保组织 IT 与业务的有效融合、实现组织 IT 价值最大化,从根本上解决组织 IT 管理中的问题,山东省软件测评中心针对客户需求,提出了MaxValue IT 治理咨询服务解决方案。MaxValue(Maximize IT Value,IT 价值最大化)。MaxValue方案结合 IT 治理的思想以及国际上 IT 治理的最佳实践,以 ISO 0、ISO27001 等系列标准为参照物,致力于实现组织 IT 投资、IT 资产价值最大化。方案总体框架如下图所示。MaxValue IT战略/规划(IT战略规
38、划管理咨询)IT建设(IT项目管理咨询)IT运维(IT运维管理咨询)IT评估(IT绩效管理咨询)信息安全(信息安全管理咨询)风险与内控(IT风险与内控管理咨询)MaxValue方案围绕着客户在信息化建设各个阶段、各个层面中遇到的文档仅供参考,不当之处,请联系改正。22 2020 年 4 月 19 日 问题,引入 IT 治理的思想,从组织、职责、流程、运行机制几个方面来综合考虑,从服务业务的角度、以价值为核心、以流程为导向,覆盖 IT 全生命周期,同时满足信息安全和风险内控的要求,以其达到 IT 与业务战略一致、IT 价值有效交付、IT 资源有效利用、IT 风险有效管控、IT 绩效有效衡量的目的
39、。3.2 MaxValue服务内容 针对客户的实际需要,我们将提供如下咨询服务项目。3.2.1 IT 战略管理咨询服务 IT 战略是组织经营战略的有机组成部分,它是关于组织信息技术职能的目标及其实现的总体谋划。IT 战略是在诊断和评估组织信息化现状的基础上,结合组织发展战略,制定和调整组织信息化的指导纲领,争取以最适合的规模、最适合的成本,去做最适合的信息化工作。IT 战略管理咨询服务就是帮助组织制定符合组织业务发展需要的 IT战略,以帮助客户解决因 IT 战略缺失、不清晰、不准确所导致的 IT 建设“走弯路、多走路、走错路”的问题。具体服务内容包括:IT 使命制定:阐述 IT 存在的理由、目
40、的以及在组织中的作用。IT 愿景制定:信息技术的发展方向和结果。IT 目标制定:愿景目标的具体化,即组织未来 3-5 年 IT 发展的具体目标。IT 原则制定:实现上述中长期目标所需遵循的准则。文档仅供参考,不当之处,请联系改正。23 2020 年 4 月 19 日 经过咨询服务,帮助组织梳理和制定 IT 战略,帮助组织明晰信息化建设的方向,确保 IT 建设与组织业务发展战略的一致性;经过 IT 战略的制定和宣讲,帮助组织在内部就 IT 建设形成共识,有效推动组织信息化建设的进程。3.2.2 IT 规划管理咨询服务 IT 规划是指经过对组织整体战略、IT 战略的明晰和解读,结合外部标杆的经验借
41、鉴,形成基于组织业务蓝图基础上的 IT 蓝图,以及具体信息系统的架构设计、选型和实施策略,全面系统地指导组织信息化建设,满足组织可持续发展的需要。IT 规划是承接 IT 战略之后,对信息系统各部分的支撑硬件、支撑软件、支撑技术等进行计划与安排。IT 规划管理咨询服务就是帮助客户搭建合理的信息化建设蓝图,规划信息化建设投资和顺序,致力于解决由于 IT 规划缺失导致的信息孤岛、重复建设、维护费用高、维护复杂度高、风险高等问题。具体服务内容包括:应用架构规划:从系统应用角度描述 IT 架构;数据架构规划:从数据流转角度描述IT 架构;基础设施规划:从底层支撑平台角度描述 IT 架构;IT 组织架构设
42、计:制定符合 IT 治理思想的 IT 组织架构,明确责权利关系;IT 实施规划:明确 IT 建设的实施路径,规划未来 3-5 年内每个项目文档仅供参考,不当之处,请联系改正。24 2020 年 4 月 19 日 的行动计划;IT 投资预算:对信息化建设每个阶段甚至每个系统进行相应的投资估算。经过咨询服务,帮助组织制定总体信息化蓝图,改变以往无序的、松散的 IT 建设模式,协助组织有条不紊地进入 IT 正轨发展的道路,解决信息不对称、信息化计划残缺、系统应用目的不清等方面的问题,规避信息化建设的风险,最终保证 IT 战略的有效落地。3.2.3 IT 项目管理咨询服务 IT 项目管理咨询是指以专门
43、的知识、信息、信息技术、技能和经验为资源,为 IT 项目的决策、实施、运维提供建议或方案,以帮助客户有效地解决 IT 项目过程管理不善导致的项目拖期、超出预算、效果打折、项目失败等问题。具体服务内容包括:IT 项目内部治理:搭建 IT 项目内部治理组织结构和机制;IT 项目外部治理:搭建 IT 项目外部治理组织结构和机制,包括供应商、咨询单位、监理机构等;IT 项目管理咨询贯穿于 IT 项目建设的全过程,经过咨询,建立 IT 项目治理机制,明确 IT 项目各利益相关方责权利,平衡项目资源;帮助客户形成 IT 项目的约束机制,控制 IT 项目风险;为客户进行 IT 项目决策提供咨询意见,提高 I
44、T 项目的决策水平。文档仅供参考,不当之处,请联系改正。25 2020 年 4 月 19 日 3.2.4 IT 运维管理咨询服务 随着信息技术的高速发展,组织信息化已经从最初的基础环境搭建、业务系统的建设阶段,进入到全面的运维阶段。不断复杂化的 IT 系统、可靠/稳定/安全运行要求、较高的客户满意度、投资回报率要求等,都对组织 IT 运维部门提出了巨大的挑战。IT 运维管理咨询服务就是以 IT 治理为指导,以推动 IT 与业务的动态融合为出发点,基于 ITIL 最佳实践经验,为客户建设以服务为导向的 IT运维管理体系;帮助制定规范化的 ITIL 服务流程,建立信息部门和业务部门之间沟通的桥梁,
45、辅助信息部门选择或开发规范化的日常管理工具。具体内容包括:IT 运维现状评估:经过现状、访谈、研讨等形式了解客户 IT 运维现状,并基于 ISO 0 体系进行评估;IT 运维体系设计:基于 ITIL 最佳实践,搭建组织 IT 运维组织职能和流程;IT 服务外包管控设计:设计 IT 服务外包的管控体系。经过咨询,帮助企业梳理现有的 IT 运维业务流程,建立基于 ITIL 最佳实践的运维流程和组织职能,经过引入服务台、服务水平管理等最佳实践,有效提高 IT 部门对业务需求的响应速度,建立 IT 与业务的沟通“语言”和沟通桥梁,平衡 IT 与业务的关系,平衡 IT 服务质量与服务水平,提高业务满意度
46、,提高 IT 资产价值利用率。文档仅供参考,不当之处,请联系改正。26 2020 年 4 月 19 日 3.2.5 IT 绩效管理咨询服务 信息化绩效评估是指,评价主体依照评价目标,经过设定评估体系和评估模型,运用特定的评估指标和评估标准,按照严格的流程,在定量与定性相结合的基础上进行对比分析,对信息化全生命周期的过程和结果,组织绩效目标的达成情况,以及可持续发展能力,做出客观、公正的判断。IT 绩效管理咨询服务就是经过将基于 IT 的平衡计分卡体系引入到组织,从财务、客户、内部运营、学习与创新、IT 对业务支持五个方面制定详细的评价指标,形成整体的评价体系,以定性、定量的方式展现,用以衡量
47、IT 投资、IT 资产的价值。具体服务内容包括:IT 绩效体系搭建:基于 IT 平衡计分卡和客户现状,制定适应客户特点的 IT 绩效评价体系;IT 绩效评估:应用 IT 评价体系对客户进行 IT 价值达成进行评估。经过咨询,帮助客户搭建 IT 绩效评价体系,在客户内部建立 IT 价值可量化、绩效可评估的思想,经过量化的指标来突出 IT 部门/IT 系统在组织中的重要作用,展现 IT 对组织业务的推动力,增强组织高层对 IT 投资回报的信心,便于 IT 可持续建设。3.2.6 信息安全管理咨询服务 病毒破坏、黑客攻击、系统瘫痪、员工失误和恶意破坏、商业间谍等,越来越多的信息安全问题成为威胁组织生
48、存和发展的重要的安全隐文档仅供参考,不当之处,请联系改正。27 2020 年 4 月 19 日 患。基于国际标准 ISO/IEC27001:的信息安全管理体系(Information Security Management System,ISMS)是当前国际上先进的信息安全解决方案。信息安全管理咨询服务就是根据 ISO27001 标准的要求,采用 PDCA 的过程模型,经过基于资产的风险评估,帮助客户建立制度化、流程化的信息安全管理体系,辅导客户在其组织范围内实施、运行、评审信息安全管理体系,从而确保客户信息系统的正常运行。具体服务内容包括:安全管理风险评估:对 ISMS 涉及范围内的所有信息
49、资产进行风险评估;安全管理体系建设:包括安全策略、控制程序、操作指南/手册在内的文件化的信息安全管理体系;安全管理体系改进:发现 ISMS 运行中存在的问题及弱点,及时采取适当的纠正或预防措施,实现 ISMS 的持续改进;等级保护体系咨询:按照国家等级保护要求,指导企业体系建设。经过咨询,帮助客户发现安全管理存在的问题,在组织内部建立并运行信息安全管理体系(ISMS),不断改进优化组织的信息安全管理体系,有效防止或快速处理组织所面正确信息安全问题,避免或尽量降低因发生信息安全事件对业务造成的影响。3.2.7 IT 风险与内控管理咨询服务 随着 IT 应用的不断深入,IT 与业务的关联越来越紧密
50、,创造机会的文档仅供参考,不当之处,请联系改正。28 2020 年 4 月 19 日 同时也使 IT 面临着越来越多的风险,国内外近年来出台了不少法律法规加强对 IT 进行监督和控制,而对于组织 IT 进行专业审计的要求也越来越多。IT 风险与内控管理咨询服务就是以国内外内控监管要求,参照 COSO内部控制框架和 COBIT 控制标准,全面梳理信息技术相关的制度和流程,以 COBIT 内控管理框架为基础,帮助客户建立完整的内部控制体系,并基于相关的 IT 控制目标,对信息系统管理相关关键流程、风险控制、制度及文档体系进行评估,提出内部整改方案,经过宣贯和培训落实方案实施,从而为客户顺利经过相关