《IT服务管理信息安全管理ppt课件.pptx》由会员分享,可在线阅读,更多相关《IT服务管理信息安全管理ppt课件.pptx(24页珍藏版)》请在三一办公上搜索。
1、什么是IT治理 ?,IT治理用于描述企业或政府是否采用有效的机制(就是为鼓励IT应用的期望行为而明确决策权归属和责任承担的框架),使得IT的应用能够完成组织赋予它的使命,同时平衡信息技术与过程的风险、确保实现组织的战略目标。 Governance = Accountability 治理和管理的区别就在于:治理是决定由谁来进行决策,管理则是制定和执行这些决策。,IT治理的使命,保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,适当管理与IT相关的风险。,IT治理的目标,帮助管理层建立以组织战略为导向,以外界环境为依据,以业务与IT整合为重心的观念,正确定位IT部门在整个组织
2、的作用。最终能够针对不同业务发展要求,整合信息资源,制定并执行IT战略,推动组织发展。,IT治理的主要特点,健全的组织架构(健全的组织架构是正确决策的保障)清晰的职责边界(清晰的职责边界是确保各治理主体独立运作、有效制衡的基础) 明确的决策规则和程序(如果说职责边界是明确由谁做出决策,决策规则和程序就是明确怎么做出决策。 )有效的激励和监督机制(当激励与约束机制不能和组织的目标相联系时,IT治理是非常低效的)透明度(治理的流程越透明,治理的信心也就越足),有效的IT治理需要解决三方面的问题,一是解决目的性问题,即IT治理需要做出哪些决策?企业IT决策主要包括五项:IT原则、IT架构、IT基础设
3、施、IT商业应用、IT投资二是解决组织性问题。三是解决系统性问题,即IT治理中如何制定和监控这些决策?企业需要通过一系列的治理机制结构、流程和沟通实现治理计划(如中国网通集团企业信息化管理控制体系),IT治理与IT管理,IT部门在组织中的演变,时间,IT部门的成熟度,技术提供者,服务提供者,战略合作伙伴,IT 基础架构管理(ITIM),IT 服务管理(ITSM),IT治理(ITG),研究平台: 中国IT治理研究中心,实施方法,咨询,培训/认证,企业,网络平台:,论坛平台:G2峰会,出版平台:中国IT治理智库,中国IT治理领域生态图,中国网通、中国移动、东风汽车、中化集团、北京市高级人民法院;据
4、公开统计报道,中国实施IT治理的企业不超过20家,培训企业:北京信诚致远、上海品易、上海信息化中心等。培训证书:1、CobiT Foundation(180张左右)2、CGEIT,北京信诚致远,1、CobiT 2、CobiTITIL27001整合实施3、部分公司内部使用的方法,培训与认证-中国IT治理人才培训体系,实施方法,COBIT 信息及相关技术控制目标IT治理协会 (www.itgi.org)信息系统审计与控制协会 (www.isaca.org)ITILhttp:/www.ogc.gov.uk/index.asp?id=2261http:/ Treadway委员会发起成立的委员会 www
5、.coso.orgISO2700http:/http:/www.bsi-,C ControlOB OBjectivesI for InformationT and Related Technology,CobiT名字的由来,Cobit是什么?,Cobit是关于“IT控制”的治理和控制的框架。Cobit是在控制的需要、技术问题和商业风险这三者鸿沟之间架起的一座桥梁。Cobit聚焦在“what needs to be achieved”,而不是“how to achieve”。Cobit面向管理层、用户、信息系统审计师、业务经理、内控及安全人员等。Cobit是一个可实施、可裁减的框架。CobiT更
6、多的关注于控制而非执行 ;,以业务为关注焦点(business-focused ),度量驱动(measurement-driven),CobiT 特性,基于控制(controls-based),流程导向(process-oriented),COBIT特性,发展历史,2007年1月CobiT 更新到了4.1,从1992年起,世界整体环境变化巨大关键业务流程对IT的依赖性更强管理者对IT成本、价值、风险有更多的关注董事层对治理的更多关注 IT最佳实践和标准的日益完善管理者、IT部门和审计师的综合使用 持续符合法规,研究、建立、宣传并不断提升一个权威的、最新的、国际公认的IT治理控制框架,使之为企业
7、广泛接受,并成为业务经理、IT专业人员和风险控制人员的行为指南。,使命,COBIT模型,CobiT 通过提供一个框架来支持IT治理,进而确保,IT与业务保持一致,适当管理IT风险,IT保障业务并实现收益最大化,IT资源的充分管理,CobiT 如何支持IT治理,基于以业务为关注焦点的更好协调,实施 CobiT的益处,为管理者提供了一个更好的理解IT是什么的视角,基于流程导向的清晰的所有者关系及职责,易于被第三方及监管机构所接受,基于通用的语言,可以被所有的利益相关方所理解,满足COSO对于IT控制环境的要求,业务流程,信息,IT 资源,信息体系基础设施人员,效果效率机密性完整性可用性符合性可靠性
8、,信息标准,?,他们匹配吗?,框架,你需要什么,你能得到什么,Cobit34个高级控制目标,规划与组织PO 1 制定IT战略规划PO 2 确定信息体系架构PO 3 确定技术方向PO 4 确定IT流程、组织及相互关系PO 5 管理IT投资PO 6 管理目标与方向的协调 PO 7 人力资源管理PO 8 质量管理PO 9 IT风险评估与风险管理PO 10 项目管理,获取与实施AI 1 确定自动化解决方案AI 2 应用软件的获取和维护AI 3 技术基础设施的获取和维护AI 4 授权操作和使用AI 5 获取IT资源AI 6 变更管理AI 7 安装与解决方案和变更审批,交付与支持DS 1 定义并管理服务水
9、平DS 2 管理第三方服务DS 3 绩效管理与容量管理DS 4 确保服务的持续性DS 5 确保系统安全DS 6 确认与分配成本DS 7 教育并培训客户DS 8 服务台与事件管理DS 9 配置管理DS 10 问题管理DS 11 数据管理DS 12 物理环境管理DS 13 运营管理,监控与评价 M1 IT绩效监督与评估 M2 内部控制监督与评估 M3 确保法规遵从 M4 提供IT治理,以业务为关注焦点,以业务为关注焦点IT资源,是指用于处理信息的自动化用户系统和手工程序,应用,信 息,是指输入信息系统并被信息系统处理及输出的各种类型的数据,不管业务部门是以何种形式使用它。,用于处理应用系统的技术和
10、设施(涵盖硬件、操作系统、网络系统和多媒体等,及其支持环境),基 础 设 施,包括需要进行规划、组织、采购、交付、支持和监控信息系统和服务的人员,根据需要,他们可以是内部的、外包的或签约的人员,人 员,IT 资源,质量需求: 质量 成本 可交付受托责任(COSO报告) 运营的效率和效果 财务报告的可靠性 符合法律、法规安全需求 机密性 完整性 可用性,效果效率机密性完整性可用性符合性可靠性,业务需求“business requirements for information,以业务为关注焦点业务需求,以业务为关注焦点 IT目标与IT的企业架构,IT计分卡,IT目标,IT的业务目标,企业战略,IT 的企业架构,IT的企业架构,度量驱动,