IT治理的主要內(nèi)控模型比較研究

王 偉

IT治理的主要內(nèi)控模型比較研究

王 偉

福州大學管理學院

隨著信息化程度的不斷提高和信息化技術(shù)的發(fā)展，信息技術(shù)已經(jīng)成為推動社會發(fā)展的重要基礎(chǔ)性資源。信息系統(tǒng)廣泛深入地滲透到社會的各個領(lǐng)域，并成為政治、經(jīng)濟、軍事、文化乃至社會一切領(lǐng)域的基礎(chǔ)。那么對IT治理也就提到了人們的思考日程上。IT治理的研究自從提出就受到了國內(nèi)外眾多學者的關(guān)注，而且隨著信息技術(shù)的發(fā)展，企業(yè)的IT投入越來越多，對IT的治理的關(guān)注程度越來越高。目前，IT治理的主要模型包括ITIL、ISO/IEC17799/27002、Prince2、COBIT。每個模型都有各自的優(yōu)勢，適用于不同的領(lǐng)域。

IT治理 內(nèi)控模型 比較

1 IT治理主要內(nèi)控模型的介紹

1.1 ITIL介紹

ITIL的全稱是信息技術(shù)基礎(chǔ)架構(gòu)庫（IT Infrastructure Library），是由位于英國Norwich的政府商務(wù)部（OGC）在20世紀80年代中期，為提高英國政府部門服務(wù)質(zhì)量而開發(fā)的針對IT行業(yè)的服務(wù)管理標準庫，屬于全球范圍內(nèi)IT服務(wù)管理領(lǐng)域較為成熟的時間框架之一。

ITIL提供各種IT服務(wù)管理的最佳實踐信息，包括可以根據(jù)各機構(gòu)的具體情況定制的詳細的流程，活動要求、步驟、規(guī)則和職責。這些實踐包含一系列流程，涉及任何IT部門都必須提供的各種主要活動。這些流程可以分為兩大類：服務(wù)支持和服務(wù)交付。其中服務(wù)支持是滿足客戶需求的日常運作基礎(chǔ)服務(wù)，ITIL規(guī)范定義了服務(wù)支持的五個主要流程和一個服務(wù)臺工具，包括突發(fā)事件管理、問題管理、變更管理、配置管理、版本管理和服務(wù)臺功能。服務(wù)交付是幫助IT機構(gòu)提供必要業(yè)務(wù)服務(wù)，包括服務(wù)水平管理、可用性管理、IT服務(wù)的財務(wù)管理、容量管理、IT服務(wù)連續(xù)性管理等五個能夠相互轉(zhuǎn)換的流程，它們都與優(yōu)質(zhì)IT服務(wù)的計劃和交付密切相關(guān)。

多數(shù)情況下，ITIL只敘述應該采取哪些措施才能改善服務(wù)，但并沒有說明怎樣采取這些措施。只編寫描述可重復管理流程的ITIL文檔是不能改善實際服務(wù)的，只有將ITIL的描述制定成可操作的指南和藍圖，才能將ITIL理論轉(zhuǎn)變成IT服務(wù)管理最佳實踐。

1.2 ISO／IEC 17799/27002簡介

ISO／IEC 17799/27002的前身是BS7799，其是由DTI（英國貿(mào)工部）立項，由政府、業(yè)界和商業(yè)機構(gòu)共同倡導的，可供開發(fā)、實施和測量有效安全管理的慣例，它是貿(mào)易伙伴之間信任的通用框架。BS7799分為兩個部分：BS77991，安全管理實施規(guī)則；BS77992，安全管理體系規(guī)范。國家標準化組織在2000年對BS77991進行了認證，頒布了ISO/IEC17799，2002年英國標準協(xié)會對BS7799：2-1999進行了重新修訂，正式引入PDCA過程模型（PDCA:Plan—Do—Check—Act）；2004年9月5日BS7799-2：2002正式發(fā)布，并提交ISO；該標準2007年7月又重新編號為ISO27002。

BS77991對安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；該標準為開發(fā)組織的安全標準和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任；包含了10個“安全控制條款"、36個“主要安全類別”和127個安全控制措施來幫助組織識別在運作過程中對安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。BS77992詳細說明了建立、實施和維護信息安全管理體系的要求，可用來指導相關(guān)人員去應用ISO/IEC 17799，其最終目的在于建立適合企業(yè)需要的信息安全管理體系。該模型為信息系統(tǒng)的安全控制提供了實用指南。

1.3 PRINCE2簡述

PRINCE是PRoject IN Controlled Environment（受控環(huán)境下的項目管理）的簡稱。PRINCE2 由英國政府商務(wù)部（OGC）所有，于1996年開始推廣。PRINCE2描述了如何以一種邏輯性的、有組織的方法，按照明確的步驟對項目進行管理。它不是一種工具也不是一種技巧，而是結(jié)構(gòu)化的項目管理流程。這也是為什么它容易被調(diào)整和升級，適用于所有類型的項目和情況，當然也適用IT項目的管理。

PRINCE2 使用一系列的8個過程來描述一個項目在何時發(fā)生了什么。這些過程涵蓋了從項目開始到項目結(jié)束的所有活動，包括項目啟動、項目準備、項目指導、項目階段控制、產(chǎn)品交付管理、階段邊界管理、項目收尾、項目計劃八個過程，可以根據(jù)個人的需要對其進行縮減和調(diào)整。每個過程鼓勵對項目責任正式的確認（誰具體負責什么），強調(diào)項目交付什么（what）、為何交付（why）、交付時間（when ）、為誰交付（whom）。

此外，該方法還包括8個部件和3個技巧。8個部件是：商業(yè)論證、組織、計劃、控制、風險管理、項目環(huán)境下的質(zhì)量管理、配置管理、變更管理。3種技巧是：基于產(chǎn)品的規(guī)劃、質(zhì)量檢查技巧、變更控制技巧。

1.4 COBIT介紹

COBIT（信息及相關(guān)技術(shù)的控制目標）由美國信息系統(tǒng)審計與控制協(xié)會（ISACA）出版，最早在1996年發(fā)布，現(xiàn)已發(fā)布了第四版，目前已成為國際上公認的最先進、最權(quán)威的信息技術(shù)管理、控制和審計的標準。

COBIT將IT過程、IT資源及信息與企業(yè)的策略與目標聯(lián)系起來，形成了一個三維的體系結(jié)構(gòu)，從而將IT治理的目標與企業(yè)的戰(zhàn)略目標聯(lián)系統(tǒng)一起來，核心思想可以概括為：為了實現(xiàn)企業(yè)目標，企業(yè)需要投資到可以控制的IT資源中去，在IT過程中合理利用IT資源，以交付企業(yè)所需要的信息。

該模型的最新版本為4.1版，其采用信息系統(tǒng)生命周期的思想，將信息技術(shù)流程共分為三個層次，即為四個域(Domains)、34個處理過程(Processes)及210個任務(wù)活動(Activities Tasks)。其中四個域的內(nèi)涵為：計劃和組織域（PO）、獲取和實施域（AI）、交付和支持域（DS）和監(jiān)控和評價域（ME）。

2 IT治理主要內(nèi)控模型之間的比較

2.1 應用領(lǐng)域不同

ITIL關(guān)注的主要是IT服務(wù)管理，該模型認為服務(wù)戰(zhàn)略是基礎(chǔ)，交付IT服務(wù)對企業(yè)具有戰(zhàn)略意義，也是IT組織的戰(zhàn)略目標；ISO／IEC 17799/27002適用于企業(yè)的信息安全管理，基礎(chǔ)是計劃—執(zhí)行—檢查—采取行動（PDCA）循環(huán)，通過該循環(huán)為信息安全管理體系周而復始的創(chuàng)建、發(fā)展、運營和維護提供了一個框架；PRINCE2主要用于項目管理，通過過程和部件的組合，為項目管理提供了一種規(guī)范的方法；COBIT用于管理 IT業(yè)務(wù)流程，通過對關(guān)鍵IT過程進行有效監(jiān)控，實現(xiàn)對業(yè)務(wù)流程中資源的有效利用，從而改善管理效率和服務(wù)質(zhì)量。

2.2 重點不同

ITIL的重點是過程管理，該模型的最新版V3采用服務(wù)生命周期的思想組織主題，核心的出版物包括：服務(wù)戰(zhàn)略、服務(wù)設(shè)計、服務(wù)過渡、服務(wù)運營、持續(xù)服務(wù)改進，一系列的出版物涵蓋了服務(wù)生命周期的所有基礎(chǔ)方面；ISO／IEC 17799/27002側(cè)重于安全控制，該標準提供了信息安全的基線，每一安全控制大類覆蓋了不同的主題和區(qū)域，利用該準則人們可以識別與特定企業(yè)或特定責任領(lǐng)域相適應的安全控制問題；PRINCE2強調(diào)項目的可控性，它確定了項目啟動所需的信息，指定了項目必需的決策者，并在高層管理人員之間建立起了聯(lián)系，明確了項目管理中人員的職責；COBIT的重點在控制和度量，該模型不僅為34個過程定義了詳細的控制目標，并且包含了成熟度模型。企業(yè)可以據(jù)此來確定IT的現(xiàn)在狀態(tài)和未來的狀態(tài)，結(jié)合控制目標和績效指標，衡量組織是否能達到關(guān)鍵目標指標中所設(shè)定的業(yè)務(wù)活動目標，然后采取措施改進。

2.3 作用不同

ITIL基于服務(wù)生命周期的思想，所以有助于梳理服務(wù)管理的流程，組織可以根據(jù)流程逐步實現(xiàn)IT服務(wù)管理的目標，也可以據(jù)此來發(fā)現(xiàn)現(xiàn)有流程中的缺陷；ISO／IEC 17799/27002能夠增強組織在識別、防止、減少和控制組織信息安全風險方面的能力，PDCA的每次循環(huán)都會使所運營的信息安全體系的績效更趨近與相關(guān)方面對信息安全的要求和預期；PRINCE2為管理項目提供支持，保證項目的質(zhì)量和順利完成；COBIT采用系統(tǒng)生命周期的思想，提供了關(guān)于控制的清晰策略，規(guī)范了企業(yè)的業(yè)務(wù)流程，為每個流程的實施都提供了控制框架。

2.4 對應的治理要素不同

如果我們把IT治理的要素分為五大類，即：組織結(jié)構(gòu)和角色、量度、過程、技術(shù)、控制，那么ITIL對應的是組織結(jié)構(gòu)和角色、過程、技術(shù)；ISO／IEC 17799/27002對應組織結(jié)構(gòu)和角色；PRINCE2對應組織結(jié)構(gòu)和角色、過程；COBIT對應量度、過程、控制。

2.5 適用人群不同

ITIL適用于T服務(wù)管理的責任人員，從IT主管、首席信息官到實務(wù)工作者、IT支持技術(shù)人員和管理人員都應該應用；ISO／IEC 17799/27002適用于信息安全的負責人員；PRINCE2適用于項目經(jīng)理、有項目決策權(quán)的高級管理人員；COBIT框架著重讓人們理解IT業(yè)務(wù)需求，重點關(guān)注企業(yè)需要什么，而不是需要企業(yè)如何做，它只是一個控制框架而不是具體過程架構(gòu)。這使得COBIT對公司主管、企業(yè)領(lǐng)導人及其資深I(lǐng)T經(jīng)理具有很大的吸引力，而對那些更需要提供如何執(zhí)行的具體指導的IT新手來說作用不大。

3 結(jié)論

ITIL、ISO/IEC17799/27002、Prince2、COBIT都是IT治理領(lǐng)域出色的模型，對它們的取舍關(guān)鍵在于企業(yè)的真正需求。每個模型都有各自不同的應用領(lǐng)域和關(guān)注的重點，采用不同的模型給組織帶來的結(jié)果必然不同。在具體的選擇過程中，我們要根據(jù)企業(yè)的實際需要，考慮需解決的關(guān)鍵問題，選用某個模型或把幾個模型組合起來應用。總之要把能切實解決問題放在首位。組織還應開展適當?shù)呐嘤枺屔婕暗降南嚓P(guān)人員做好準備，宣傳變革的益處，從而保障模型的順利實施。此外，其他企業(yè)的成功案例、咨詢機構(gòu)等都會對模型的實施提供很大的幫助，我們不能閉門造車，要多方面合作促成模型的成功運用。

[1] ITGI.COBIT4.1[EB].www.itgi.org, 2007.

[2] ITGI and OGC. Aligning COBIT, ITIL and ISO 17799 for Business Benefit, 2005.www.isaca.org/research.

[3] 陶黎娟.IT環(huán)境下我國財務(wù)報告內(nèi)部控制研究[D].廈門:廈門大學博士學位論文,2009.

[4] 王海林.國際上與信息技術(shù)相關(guān)的內(nèi)部控制框架與規(guī)范分析[J].中國管理信息化,2009,12（14）：8-10.

[5] 王德祿.IT治理的理論研究與實踐[J].生產(chǎn)力研究,2006,（5）:14-16.

[6] 鄭煦平,陽杰.COBIT的解讀及其在我國的應用[J].生產(chǎn)力研究,2009,（17）:154-156.

[7] 計春陽,唐志豪,胡克瑾.企業(yè)IT治理實施框架模型研究[J].情報雜志,2008,（5）:60-63.

[8] 胡為民.內(nèi)部控制與企業(yè)風險管理—實務(wù)操作指南[M]．北京：電子工業(yè)出版社,2009.