IT服务管理信息安全管理

1ITIT治理的含义治理的含义n IT治理的定义n IT治理的使命n IT治理的内容n IT治理的全景试图n 实施IT治理所带来的好处2什么是什么是ITIT治理治理 ？n Governance = Accountabilityn 治理和管理的区别就在于：治理是决定由谁来进行决策，管理则是制定和执行这些决策。 3ITIT治理的使命治理的使命n保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。 4ITIT治理的目标治理的目标帮助管理层建立以组织战略为导向，以外界环境为依据，以业务与IT整合为重心的观念，正确定位IT部门在整个组织的作用。最终能够针对不同业务发展要求，整合信息资源，制定并执行IT战略，推动组织发展。 5ITIT治理的主要特点治理的主要特点n 健全的组织架构(健全的组织架构是正确决策的保障)n 清晰的职责边界(清晰的职责边界是确保各治理主体独立运作、有效制衡的基础) n 明确的决策规则和程序(如果说职责边界是明确由谁做出决策，决策规则和程序就是明确怎么做出决策。 )n 有效的激励和监督机制(当激励与约束机制不能和组织的目标相联系时，IT治理是非常低效的)n 透明度(治理的流程越透明，治理的信心也就越足)6有效的有效的ITIT治理需要解决三方面的问题治理需要解决三方面的问题n 一是解决目的性问题，即IT治理需要做出哪些决策？企业IT决策主要包括五项：IT原则、IT架构、IT基础设施、IT商业应用、IT投资n 二是解决组织性问题。n 三是解决系统性问题，即IT治理中如何制定和监控这些决策？企业需要通过一系列的治理机制结构、流程和沟通实现治理计划（如中国网通集团企业信息化管理控制体系）7ITIT治理与治理与ITIT管理管理IT治理IT管理执行主体股东及董事会(投资人)企业管理层目标实现利益相关者利益的平衡实现效率最大化主要任务IT资源投入、使用过程中的权责配置IT资源的有效利用在企业发挥中的地位确定企业IT应用的基本框架，以确保IT管理处于正确的轨道在现有IT治理框架下确定企业具体的发挥路径及手段运行基础良好的公司治理框架良好的企业管理基础实施方法COBIT ITILISO17799CMMIPMBok等8IT部门在组织中的演变时间IT部门的成熟度技术提供者服务提供者战略合作伙伴IT 基础架构管理(ITIM)IT 服务管理(ITSM)IT治理(ITG)服务提供者服务提供者战略合作伙伴战略合作伙伴nIT的作用是提高效率nIT预算是由外部基准驱动的nIT与业务分离nIT是一项成本中心，应该加以控制nIT管理者是技术专家 nIT的作用是促进业务增长nIT预算是由业务战略驱动的nIT与业务密不可分nIT是一项投资，应该加强管理nIT管理者是提供解决业务问题方案的专家 9研究平台研究平台: : 中国中国ITIT治理研究中心治理研究中心实施方法咨询培训/认证企业网络平台网络平台: :论坛平台论坛平台:G2:G2峰会峰会出版平台出版平台: :中国中国ITIT治理智库治理智库中国中国ITIT治理领域生态图治理领域生态图中国网通、中国移动、东风汽车、中化集团、北京市高级人民法院；据公开统计报道，中国实施IT治理的企业不超过20家培训企业：北京信诚致远、上海品易、上海信息化中心等。培训证书：1、CobiT Foundation(180张左右)2、CGEIT北京信诚致远1、CobiT 2、CobiTITIL27001整合实施3、部分公司内部使用的方法10培训与认证培训与认证- -中国中国ITIT治理人才培训体系治理人才培训体系课程系列课程名称基础知识中级提升卓越管理公司治理与IT治理系列CobiT CobiT 理念教育(1天)CobiT Foundation(3天)CobiT Workshop实施演练(3天)IT内部控制IT领导力提升(2天)集团企业信息化管控体系建设(2天)IT治理与企业核心竞争力提升(1天)信息系统审计系列信息系统审计CISA考前特训(5天)数据中心审计(2天) ERP审计(2天)IT服务管理系列ITIL ITIL 理念教育(1天)ITIL Foundation(3天)ITIL Practitioner (3天)ITIL Manager(12天)ITIL与ISO20000实施方法与案例研讨(2天)ISO20000ISO20000理念教育(1天)ISO20000 Foundation (3天) ISO 20000内审员(2天)ISO20000体系实施(天)信息安全管理系列信息安全管理信息安全理念教育(1天)ISO27001主任审核员(5天)ISO27001体系实施(3天)IT项目管理系列IT项目管理IT需求管理(2天)计算机信息系统（中级）项目经理 (7天)计算机信息系统（高级）项目经理 (5天)信息化绩效评价系列信息化绩效评价电子政务绩效评价理念教育(1天)企业信息化绩效评价理念教育(1天)电子政务绩效评价(2天)企业信息化绩效评价(2天)信息化投资回报高级研讨班(2天)11实施方法实施方法nCOBIT 信息及相关技术控制目标IT治理协会 (www.itgi.org)信息系统审计与控制协会 (www.isaca.org)nITILhttp:/www.ogc.gov.uk/index.asp?id=2261http:/ Treadway委员会发起成立的委员会 www.coso.orgnISO2700http:/http:/www.bsi- ControlOB OBjectivesI for InformationT and Related Technology CobiT名字的由来13CobitCobit是什么？是什么？n Cobit是关于“IT控制”的治理和控制的框架。n Cobit是在控制的需要、技术问题和商业风险这三者鸿沟之间架起的一座桥梁。n Cobit聚焦在“what needs to be achieved”,而不是“how to achieve”。n Cobit面向管理层、用户、信息系统审计师、业务经理、内控及安全人员等。n Cobit是一个可实施、可裁减的框架。n CobiT更多的关注于控制而非执行 ；14以业务为关注焦点以业务为关注焦点（business-focused business-focused ）度量驱动度量驱动（measurement-drivenmeasurement-driven）CobiT 特性 基于控制基于控制（controls-basedcontrols-based）流程导向流程导向（process-orientedprocess-oriented）COBITCOBIT特性特性15发展历史发展历史 20072007年年1 1月月CobiT CobiT 更新到了更新到了4.14.1 从从19921992年起，世界整年起，世界整体环境变化巨大体环境变化巨大n关键业务流程对IT的依赖性更强n管理者对IT成本、价值、风险有更多的关注n董事层对治理的更多关注 nIT最佳实践和标准的日益完善n管理者、IT部门和审计师的综合使用 n持续符合法规 研究、建立、宣传并不断提升一个权威的、最新的、国际公认的IT治理控制框架，使之为企业广泛接受，并成为业务经理、IT专业人员和风险控制人员的行为指南。使命使命16COBITCOBIT模型模型 17CobiT 通过提供一个框架来支持IT治理，进而确保IT与业务保持一致适当管理IT风险IT保障业务并实现收益最大化IT资源的充分管理CobiT CobiT 如何支持如何支持ITIT治理治理基于以业务为关注焦点的更好协调实施 CobiT的益处为管理者提供了一个更好的理解IT是什么的视角基于流程导向的清晰的所有者关系及职责易于被第三方及监管机构所接受基于通用的语言，可以被所有的利益相关方所理解满足COSO对于IT控制环境的要求18业务流程业务流程信息信息IT 资源资源 信息信息 体系体系 基础设施基础设施 人员人员 效果效果 效率效率 机密性机密性 完整性完整性 可用性可用性 符合性符合性 可靠性可靠性 信息标准?框架你需要什么你需要什么你能得到什么你能得到什么19Cobit34Cobit34个高级控制目标个高级控制目标规划与组织nPO 1 制定IT战略规划nPO 2 确定信息体系架构nPO 3 确定技术方向nPO 4 确定IT流程、组织及相互关系nPO 5 管理IT投资nPO 6 管理目标与方向的协调 nPO 7 人力资源管理nPO 8 质量管理nPO 9 IT风险评估与风险管理nPO 10 项目管理获取与实施nAI 1 确定自动化解决方案nAI 2 应用软件的获取和维护nAI 3 技术基础设施的获取和维护nAI 4 授权操作和使用nAI 5 获取IT资源nAI 6 变更管理nAI 7 安装与解决方案和变更审批交付与支持nDS 1 定义并管理服务水平nDS 2 管理第三方服务nDS 3 绩效管理与容量管理nDS 4 确保服务的持续性nDS 5 确保系统安全nDS 6 确认与分配成本nDS 7 教育并培训客户nDS 8 服务台与事件管理nDS 9 配置管理nDS 10 问题管理nDS 11 数据管理nDS 12 物理环境管理nDS 13 运营管理 监控与评价n M1 IT绩效监督与评估 n M2 内部控制监督与评估 n M3 确保法规遵从n M4 提供IT治理 20以业务为关注焦点以业务为关注焦点2122以业务为关注焦点以业务为关注焦点ITIT资源资源是指用于处理信息的自动化用户系统和手工程序应用应用信 息是指输入信息系统并被信息系统处理及输出的各种类型的数据，不管业务部门是以何种形式使用它。用于处理应用系统的技术和设施(涵盖硬件、操作系统、网络系统和多媒体等,及其支持环境)基基 础础 设设 施施包括需要进行规划、组织、采购、交付、支持和监控信息系统和服务的人员，根据需要，他们可以是内部的、外包的或签约的人员人人 员员IT 资源资源23: 质量 成本 可交付(COSO(COSO报告报告) ) 运营的效率和效果 财务报告的可靠性 符合法律、法规 机密性 完整性 可用性效果效率机密性完整性可用性符合性可靠性业务需求业务需求“business requirements for information以业务为关注焦点以业务为关注焦点业务需求业务需求24以业务为关注焦点以业务为关注焦点 IT IT目标与目标与ITIT的企业架的企业架构构 IT计分卡计分卡IT目标目标IT的业务目标的业务目标 企业战略企业战略IT 的企业架构的企业架构业务需求治理需求信息服务信息标准需求影响应满足IT的业务目标IT流程应用系统基础架构和人员信息交付运行需要ITIT的企业架构的企业架构25度量驱动度量驱动