（二）ITIL 的核心組件

    ITIL 主要包括六個模塊，即服務管理，業務管理，IT服務管理規劃與實施，基礎架構管理、應用管理和安全管理。如圖3.9 所示。

    服務管理是ITIL 中6 個模塊中的最核心模塊，其又包括服務服務支持和服務提供。服務支持流程組包括5 個運營級流程：事故管理、問題管理、配置管理、變更管理以及發布管理；服務提供流程組包括5 個戰術級流程：服務級別管理、IT服務財務管理、能力管理、IT服務持續性管理和可用性管理。

    （三）ITIL 的特點

    ITIL 的特點有：ITIL 作為最佳實踐框架不是基于理論開發的，而是根據實踐開發的；ITIL 是事實上的國際標準；ITIL 內含質量管理思想。

    （四）ITIL 的優點與不足

    ITIL 是一種以流程為基礎、以客戶為導向的IT服務管理指導框架。ITIL 擺脫了傳統IT管理以技術管理為中心的弊端，實現了從技術管理到流程管理，再到服務管理的轉化。提供的IT服務更符合業務的需求和成本效益原則。

    ITIL 的優點在于：ITIL 幫助企業最終完善服務管理；促進用戶和IT人員之間的關系；推進IT部門和業務部門的溝通等。

    ITIL 的不足在于：ITIL 只是一系列可執行的事件列表；ITIL 只說明了要做什么，沒有對如何做進行深入的探討；ITIL 不是一個正式標準，而是一份指南，是普遍被接受實行的；ITIL 只敘述應該采取哪些措施才能改善服務，但并沒有說明怎樣采取這些措施。

    六、IT-BSC

    （一）IT平衡記分卡的產生與內容

    IT平衡記分卡是以卡普蘭創建的平衡記分卡基礎上發展而來。Grem Bergen教授從信息化與企業目標之間的關系出發，將IT和業務平衡記分卡進行關聯，提出通用平衡記分卡，其適合絕大多數企業信息化建設。所形成的通用IT平衡記分卡，如圖3.10 所示。

    （二）IT平衡記分卡的開發原則

    開發平衡記分卡時，需要遵循的原則有：建立IT和業務的因果關系；結果型指標和驅動型指標的有機結合和在度量的基礎上行動。

    （三）IT平衡記分卡的瀑布模型

    IT平衡記分卡通過IT價值貢獻和業務相關聯。該瀑布模型是通過IT項目平衡記分卡和IT操作平衡記分卡幫助IT平衡記分卡的實現，進而實現業務平衡記分卡，如圖3.11 所示。

圖3.6 IT平衡記分卡的瀑布模型

    （四）IT平衡記分卡的瀑布模型與COBIT之間的映射關系

    由于IT平衡記分卡的瀑布模型與COBIT模型之間原本就存在很多交叉，因此，可以完整地實現相互之間的映射關系。其映射關系，如圖3.12 所示。

圖3.7 IT平衡記分卡的瀑布模型與COBIT的映射關系

    七、ISO 17799

    （一）ISO 17799 的起源及發展

    ISO 17799 的前身是BS7799《信息安全管理體系標準》。1995 年，BSI（英國標準協會）提出BS7799。其目的是為了解決信息安全和網絡問題，最大限度地降低風險。1999 年，BS7799 進行了修訂改版，增加了兩部分內容。第一部分是《信息安全管理體系實施規則》，第二部分是《信息安全管理體系規范》。2002年，BS7799 的第一部分正式轉化成國際標準，即ISO 17799。

    （二）ISO 17799 的內容

    信息安全是管理問題，而不僅僅是技術問題。ISO 17799 包括11 個方面、39 個控制目標和133 項控制措施。其11 個內容包括：安全策略，組織信息安全，資產管理，人力資源管理，物理環境安全，通訊和運作管理，訪問控制，信息系統獲取、開發和維護，信息安全事件管理、業務連續管理和符合性。其中有3個與技術密切相關：訪問控制，通信與操作管理和信息系統獲得、開發與維護；其它8 個側重組織整體個管理和運營操作。每一項控制措施都可以從控制、實施指南和其他信息3 個方面進行闡述。

    （三）ISO 17799 的優點與不足

    ISO 17799 的優點在于：根據環境的變化調整風險的評估和應對方法，滿足動態管理風險的原則；提出全員參與風險的評估工作；ISO 17799 中業務連續性管理為組織業務的持續性提出了有效的建議；提出預防控制為主的思想原則；使用了管理學中的PDCA 持續改進循環模型，增加了風險評估的互動性和準確性。

    ISO 17799 的不足在于：提出11 個方面、39 個控制目標和133 項控制措施，并沒有明確給出相應的權重，且只提出了解決方案，而要點之間沒有關聯性，在解決一個風險的時候，可能會引起另外一個風險；ISO 17799 不具有技術標準所必須的測量精度；沒有給風險等級劃分的參考或規定，這是風險評估中不可少的一點；沒有形成規模范圍的風險評估標準，尚沒有得到廣泛應用。ISO 17799評估所得出的風險分析未必得到多有人的認可。因此，ISO 17799 未必能得到風險評估的最佳效果。

    八、ISO 38500

    （一）ISO 38500 的起源

    ISO/IEC 38500：2008 由澳大利亞標準（AS8015:2005）起草，ISO/IEC JCT1信息技術聯合技術委員會所采納，得到了ISO 和IEC 的國家組織批準。

    ISO/IEC 38500 是全球第一個談企業內IT治理的標準，但它不僅僅使用在企業內，在非盈利機構及政府單位同樣可以使用。

    ISO/IEC 38500 是基本性的、原則性的建議標準，旨在為領導者在組織內評估、領導和監控信息技術（IT）的使用，提供一個原則框架。另外，為了向管理團隊提供組織廣泛的指導，鼓勵組織使用適當的標準去支撐IT治理。

    （二）ISO 38500 的定義、原則和模型

    ISO 38500 是有定義、原則和模型組成。

    （1）ISO 38500 做出的定義：可接受的、組織治理、組織的IT治理、能力、領導者、人員行為、信息技術、IT投資、管理、組織、方針、建議、資源、風險、風險管理、利益相關方、策略和IT的適用。

    （2）ISO 38500 提出的6 個原則：原則1：職責，組織內的個人或團體理解和接受其與IT提供和需求相關的職責。并且這些活動的責任人，具有履行這些獲的權利；原則2：策略，組織的業務戰略應考慮當前和未來IT的容量；IT的策略計劃應該滿足組織當前和持續的業務戰略的需要；原則3：采購，應基于適當的和持續的分析、清晰可見的決策，并具有合理的理由確定IT的采購。這是對短期或長期的利益、機會、成本和風險是一個合適平衡；原則4：績效，IT應適合于支持組織的目的并提供服務，服務等級和服務質量應滿足當前和將來的業務要求；原則5：符合，IT應符合所有強制法律法規的要求。應該清晰定義方針和實際操作，并加以實施和推行；原則6：人員行為，IT方針、實際操作和決策展示對人員行為的尊重，包括當前和發展所需的所有“過程中的人員”。

    （3）ISO 38500 的模型

    ISO 38500 認為領導者應該通過三項主要任務治理IT：評估現在和將來對IT的利用；領導準備和實施計劃和方針的，以保證IT的利用符合業務目標；監視方針的符合性和對應計劃的實際績效。

    ISO 38500 給出一個評估-領導-監視的IT治理循環模型，如圖3.13 所示。

圖3.8 ISO 38500 模型

    評估：領導者應該檢查和評判當前和將來對IT的利用，包括策略、建議和供給安排（不管是內部、外部，還是兩者都有）。在評估IT的使用時，領導者應該考慮對于業務的內外部壓力，如技術的變更、經濟和社會的發展、以及政治影響。領導者應該隨著壓力的變化，持續評估。領導者還應該考慮現在和將來的業務需求-當前和將來的組織必須達到的目標，如維持競爭優勢，以及正在評估中的戰略或意圖的特定目標。

    領導：導者應該安排計劃和方針的準備和實施的職責，并予以領導。計劃應該設定IT項目和IT運作的投資方向。方針應該確定IT利用健全大行為。領導者應該保證從項目轉到日程運作得到了計劃和管理，并考慮對業務和現有IT系統和基礎設施運作習慣的影響。領導者應該通過要求管理者提供及時的信息、符合組織的指導以及符合良好治理的六項原則，來鼓勵組織內良好IT治理的文化。如果需要，領導者應該領導所提交的建議方案的批準，以處理已識別的要求。

    監視：領導者應該通過合適的測量體系監視IT的績效。他們應該確保遵循計劃，特別是與業務目標相關的。領導者應該確保IT符合外部義務（法律、法規以及合同）和內部實際工作的要求。IT特定方面的責任可能委托給組織內的管理人員。但領導者仍需為組織的IT有效和可接受的使用及交付承擔責任，而不能委托。

    ISO/IEC 38500 利用評估、領導及監視這三項主要工作，展現出針對這六項原則的作為。其實，從這六項原則來看，已經確實跳脫了生命周期的概念！也就是說：人類在這六項基礎上，運用三件主要的工作，來“治理”IT在整個生命周期的成效，是否達到：有效、高效、可接受的IT使用于他的組織。

    ISO 38500 提供有關良好IT治理一般原則的指南和實施這些原則所需要的實踐。

    （三）ISO 38500 的優劣勢

    ISO 38500 的優勢在于：提供IT有效治理的框架，幫助組織高層人員理解和實現其組織在利用IT方面的法律、法規和道德要求；確定原則，有助于責任人平衡風險和鼓勵從IT使用中獲得機會；通過對IT原則模型的合理應用，降低責任人未能履行其職責的風險；ISO 38500 描述的實踐適用于多數的大型的或小型的組織，多數情形。

    ISO 38500 的劣勢在于：每個原則描述應該采取什么措施，但沒有說明如何、何時及由誰來實施這些原則，這些方面要依賴組織自身特點；ISO 38500 中所描述的實踐，不是全面的，只是IT治理的建議指南。

第二節IT治理工具的比較與分析

    IT治理提出以來，全世界各國組織和專家對IT治理的工具進行了研究。麻二磊等（2011）[67]從產生時間、發布機構、應用領域、內容、重點和作用幾個方面，對COBIT、ISO/IEC17799、ITIL、PRINCE2、CMM 和ITBSC 模型與標準進行了對比。

    這些IT治理工具在IT治理過程中各有優勢。每個工具的提出都有各自的目標，適用于不同的環境，基于不同的假設，用于解決特定的問題。因此，在對IT治理工具介紹的基礎上，有必要進行多方面的比較、分析和總結。

    本節從企業選擇IT治理工具時所關心的幾個角度進行比較：基本情況比較、內容范圍比較、側重點比較以及特點和不足比較。并給出每個IT治理工具的具體情況，用表格的形式表示，可以起到對這些IT治理工具的應用領域、內容范圍、側重點等方面起到速查的作用。

    一、基本情況比較

    IT治理的研究是個新興的研究熱點。不同的學者或機構從不同的應用領域對IT治理進行不斷的研究，也形成不同的IT治理模型或標準。不同的應用領域，決定了IT治理工具不同的應用場合。目前涉及到的應用主要有：服務管理、安全管理、項目管理和績效評價等。從發布時間、發布機構和應用領域三個方面進行歸納對比，如表3.6 所示。

    IT治理是一個復雜的過程。往往不但是某一方面需要治理，而是整個過程都要進行治理。而目前的IT治理工具只是提出某一領域內的標準或模型，這些工具是單獨開發出來的。是否可以進行融合，是否可以通過裁剪切入到其它模型或標準中，這些是研究者開始沒有想到的問題，也是今后所要關注的問題。

表3.6 IT治理工具基本情況比較

    二、內容范圍比較

    治理理念，即IT治理工具蘊含的思想理念。起源不同，也決定了這些IT治理工具的治理理念不同。唐志豪等（2008）[68]將IT治理模式分為控制型和引導型兩大類。本文根據這種分類，得出以上IT治理工具中控制型的有：ITIL、ISO17799、COBIT和PRINCE2；引導型的有：IT成熟度模型、ITBSC、CISR 和ISO38500。通過上文對IT治理工具的介紹，明顯看出每個IT治理工具的內容范圍和其核心也不同，如表3.7 所示。

    IT治理本身就是一個復雜的過程，加上IT治理工具的復雜性，任何一個組織采用全部的工具是不現實的；每個IT治理工具的應用范圍不同，單獨采用整套的一個標準也不可行。

    因此，企業實施IT治理時，如何有針對性和選擇性的選擇IT治理標準，是企業所關注和關心的。

表3.7 IT治理工具內容范圍的比較

    三、側重點比較

    企業選擇IT治理標準時，自然想到目前企業所存在的問題，即想通過IT治理解決什么樣的問題。這時候，對每個IT治理工具的目的、側重點和作用的了解顯得尤為重要。在對IT治理工具介紹的基礎上，對此進行總結，如表3.8 所示。

    目的、側重點和作用之間是相互聯系的，是不能分開考慮的。這些IT治理工具有側重IT安全控制的，有側重決策權分配的，有強調IT過程的等。所起到的作用也不相同。有的可以起到梳理IT服務管理流程的作用，有的可以起到對IT治理有整體認識的作用，還有的起到績效測評和管理的作用等。企業在進行選擇IT治理工具時的思路可以是：首先明確想要解決的問題；然后明確達到的目的，結合IT治理工具的側重點和作用，確定IT治理工具；最后實施IT治理。

表3.8 IT治理工具側重點的比較

    四、特點和不足比較

    只是對IT治理工具的內容范圍和側重點了解還不夠，還要對每個IT治理工具的特點和不足有足夠的了解。這樣才能在確定選擇使用何種IT治理工具后，根據其特點進行實施，規避其存在的不足，以及采用其它手段來彌補其不足，這樣才能起到良好的效果。IT治理工具特點和不足的比較，如表3.9 所示。

表3.9 IT治理工具特點的比較

    表3.9 對每個IT治理工具的特點和不足進行了歸納，發現很多IT治理工具都存在實踐操作指導性的不足。可見，只是確定IT治理工具還是不夠的。如何更好的實施IT治理工具才是重點。

    第三節結論

    顯而易見，每個IT治理工具都有其自身的特點、使用范圍、側重點以及應用范圍等。因此，企業選擇IT治理工具的時候，必須對此有充分的了解，即明確哪種工具可以干什么活，在什么情況下使用，以及所選擇工具的優勢與不足等。再者，IT治理涉及很多方面，如何把這些已有工具進行整合，形成一個IT治理的整體框架，至關重要。

    ISO 38500 面向高層管理者，旨在提供清晰的治理流程和原則，對IT治理有個整體上的認識；CISR 強調決策權的分配；IT-CMM 可以判定企業信息化級別；COBIT提供控制和審計；PRINCS2 提供結構化項目管理方法；ITIL 提供整個過程的服務管理；ISO 17799 提供安全管理；IT-BSC 可以對績效進行評估。這些IT治理工具顯然在其各自領域內是最佳工具。而這些領域在IT治理全過程中并都是有所涉及的。如何根據IT治理的思想，構建出一個反應IT治理全過程的架構，以及如何使用這些IT治理工具來實現架構中的每部分，是下章所研究的重點。

本章小結

    本章主要圍繞起源與發展、核心內容、基本原理和優點與不足等方面，對8種IT治理工具，CISR、COBIT、PRINCE2、IT-CMM、ITIL、IT-BSC、ISO 17799和ISO 38500 進行了詳細的介紹，并從基本情況（發布時間、發布機構和應用領域）、內容范圍（治理理念、內容范圍和核心）、側重點（側重點和作用）以及特點和不足4 個方面分別對上面介紹的IT治理工具進行深入比較分析。

    同時，對比較分析進行了總結。指出，清楚的了解每種IT治理工具的應用范圍、作用、側重點、特點與不足的重要性。也指出，在此基礎上對已有工具進行整合，是為了形成一個IT治理的整體框架，更好的實施IT治理。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.vmgcyvh.cn/

本文標題：IT治理工具比較及架構構建之IT治理工具介紹與比較分析(下)

本文網址：http://m.vmgcyvh.cn/html/support/1112189932.html