什麼是IT治理?調整IT和組織營運戰略的正式方法: 您應該了解的有關IT治理的7件事,包括選擇框架以及如何確保順利實施
What is IT governance? A formal way to align IT & business strategy
7 things you should know about IT governance, including choosing a framework and how to ensure a smooth implementation.
By Kim Lindros
CIO | JUL 31, 2017 7:37 AM PDT
Source: https://www.cio.com/article/2438931/governanceit-governance-definition-and-solutions.html
英中參照閱讀: 什麼是IT治理?調整IT和營運戰略的正式方法
筆者前者: 有關IT治理相關專業知識與技能,本就非所有IT專業領域的人,皆可瞭解。更非是非IT專業領的人,可以在短期內,瞭解及其相關應用。尤其是針對白石時間銀行社群雲的IT治理應用,那的確讓絕大多數的參予者,聞之色變。但為了要確保如此的核心應用程式 CES (Community Exchange System) 應用軟體程式,在台灣獨立伺服器中心的營運,在白石時間銀行社群雲委員會,是以社群雲佈建模式,來建構與營運 KCE2CES, KCE2SG, toward 白石永續發展社群雲 (KCE2ESG Community Cloud)。 以確保從過去,現在及未來的參予法人單位與自然人單位,不管是專注在 Programs Tier,或是在 IT Tiers者,皆可以在特定的IT治理正式框架下,提供了一個治理與營運結構,以確保 IT and Programs 投資,達到永續營運發展目標。
本文開始:
IT治理是一個正式的框架,為組織提供了一個結構,以確保IT投資支持營運目標。 在幾個備受矚目的公司欺詐和欺騙案件的後果後,為補強美國對公開上市公司和IT治理實踐的需求。因而,在1990年代和2000年代初頒布的法律和法規,包括《格拉姆-里奇-布萊利法案》(GLBA)和《薩班斯-奧克斯利法案》。
我與安全管理提供商FireMon的首席技術官Paul Calatayud取得了聯繫,以獲取有關IT治理以及成功實施所需條件的意見。 Calatayud領導Firemon的公司發展計劃,並在產品策略,產品管理和研發方面提供思想領導力。他還是SANS研究所的講師,並擔任數家與安全相關的公司的顧問委員會成員。
1.什麼是IT治理?
本質上,IT治理提供了一種使IT戰略與營運戰略保持一致的結構。通過遵循正式的框架,組織可以在實現其戰略和目標方面產生可衡量的結果。正式計劃還應考慮利益相關者的利益以及員工的需求及其遵循的流程。從總體上看,IT治理是整個企業治理不可或缺的一部分。
2. IT治理與GRC(治理,風險和合規性)之間是什麼關係?
根據Calatayud的說法,IT治理和GRC實際上是一回事。 “雖然GRC是父程序,但是決定使用哪個框架的通常是CISO的位置和安全程序的範圍。例如,當CISO向CIO報告時,GRC的範圍通常是IT部門關注的。在IT之外的安全報告中,GRC可以覆蓋IT以外的更多營運風險。”
3.組織為什麼實施IT治理基礎架構?
當今的組織受制於許多法規,這些法規管理機密信息的保護,財務責任,數據保留和災難恢復等。他們還受到股東,利益相關者和客戶的壓力。
為了確保它們滿足內部和外部要求,許多組織實施了正式的IT治理計劃,該計劃提供了最佳實踐和控制的框架。
4.哪種組織使用IT治理?
公共和私營部門組織都需要一種方法來確保其IT職能支持營運戰略和目標。而且,任何行業中任何需要遵守與財務和技術責任制相關的法規的組織,都應正式製定正式的IT治理計劃。但是,實施全面的IT治理計劃需要大量的時間和精力。在很小的實體可能僅實踐基本的IT治理方法的情況下,規模更大,監管更嚴格的組織的目標應該是成熟的IT治理計劃。
推薦的白皮書
5.您如何實施IT治理計劃?
最簡單的方法是從一個由行業專家創建並被成千上萬的組織使用的框架開始。許多框架都包含實施指南,以幫助組織以較少的跳動來逐步進入IT治理計劃。
最常用的框架是:
COBIT:由ISACA發布,COBIT是“全球公認的實踐,分析工具和模型”(PDF)的綜合框架,旨在用於企業IT的治理和管理。 ISACA根植於IT審核,多年來擴展了COBIT的範圍,以完全支持IT治理。最新版本是COBIT 5,已被專注於風險管理和緩解的組織廣泛使用。
ITIL:ITIL前身是信息技術基礎結構庫的縮寫,專注於IT服務管理。它旨在確保IT服務支持營運的核心流程。 ITIL包含五組管理最佳實踐,分別用於服務策略,設計,過渡(例如變更管理),操作和持續的服務改進。
COSO:這種用於評估內部控制的模型來自Treadway委員會發起組織委員會(COSO)。與其他框架相比,COSO的重點不在特定於IT上,而是更加專注於營運方面,例如企業風險管理(ERM)和威懾威懾。
CMMI:由軟件工程學院開發的能力成熟度模型集成方法是一種提高性能的方法。 CMMI使用1到5的比例來衡量組織的績效,質量和盈利能力的成熟度水平。 Calatayud認為,“允許插入混合模式和客觀測量對於測量本質上是定性的風險至關重要。”
FAIR:信息風險因素分析(FAIR)是一個相對較新的模型,可以幫助組織量化風險。重點在於網絡安全和運營風險,目的是做出更明智的決策。 Calatayud指出,儘管它比這裡提到的其他框架新,但它已經在《財富》 500強公司中獲得了很大的吸引力。
6.如何選擇要使用的框架?
大多數IT治理框架旨在幫助您確定IT部門的整體運作方式,管理需要哪些關鍵指標以及IT從投資中回饋營運的回報。
在COBIT和COSO主要用於風險的地方,ITIL有助於簡化服務和運營。儘管CMMI最初用於軟件工程,但現在涉及硬件開發,服務交付和購買中的流程。如前所述,FAIR直接用於評估運營和網絡安全風險。
在審查框架時,請考慮您的企業文化。某個特定的框架或模型似乎很適合您的組織嗎?它會與您的利益相關者產生共鳴嗎?該框架可能是最佳選擇。
但是您不必只選擇一個框架。例如,COBIT和ITIL互為補充,因為COBIT經常解釋為什麼ITIL提供“方法”時需要做某事或需要做某事。一些組織使用了COBIT和COSO以及ISO 27001標準(用於管理信息安全)。
7.您如何確保順利實施並取得積極成果?
成功的最重要途徑之一是高管的支持。 Calatayud建議成立一個由頂級贊助商和營運代表組成的風險管理委員會。 “為了確保它是一個有效的計劃,它需要一系列廣泛的商業領袖的支持。”他還建議與董事會或審計委員會共享結果,以“在開始忽略項目時引起真正的注意”。
與任何重大項目一樣,您應始終保持各方之間的溝通渠道暢通,衡量和監視實施進度,並在需要時尋求外部幫助。
接下來閱讀: