整合COBIT、ITIL、ISO/IEC17799和PRINCE2   构建善治的IT治理机制（上）

孙强  李长征

善治的IT治理架构是确保IT资源与公司战略目标保持一致的基础，同样也能确保IT服务满足组织对优质、可信和安全的信息需要。采用标准的IT治理（IT Governance）架构可以给企业带来诸多收益。如美国堪萨斯州把COBIT标准作为虚拟政府策略的一部分，结果降低了运营成本，并为它的客户和委托人提供了很高质量的服务。Proctor＆Gamble在采用ITIL标准的四年里，节省超过5亿美金的预算。同时Procter＆Gamble内部财务和IT部门的调查显示，其运作费用降低6％～8％，而技术人员的人数减少15％～20％。ISO/IEC17799是成为国际标准最快的一个标准，ISO/IEC17799的前身BS7799是卖出拷贝最多的管理标准，目前已有二十多个国家引用BS7799-2作为国标，各大信息安全公司也都以BS7799为指导向客户提供信息安全咨询服务。近年来Prince2在Prince的基础上迅速席卷包括IT项目在内的项目管理，PRINCE 2 已风行欧洲与北美等国。Sun、Oracle等将PRINCE2作为实施项目的标准管理方法；香港特别行政区政府资讯科技署将PRINCE作为政府项目管理的标准指南。

何为IT治理

IT治理是IT、经济学及管理学界中一个新的概念，用于描述企业或政府是否采用有效的机制，使得IT的应用能够完成组织赋予它的使命，同时平衡信息化过程中的风险，确保实现组织的战略目标。其主要使命是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。具体而言如下：

· IT战略目标必须与企业战略目标保持一致，IT对于来说组织非常关键，也是战略规划的重要组成部分，甚至直接影响到战略竞争机遇。
· IT治理包含治理委员会、治理结构、治理流程和企业文化等。 
· IT治理使风险透明化，从而保护利益相关者的权益。
· IT治理可用来指导和控制IT投资、机遇、收益及风险。
· IT治理通过引导IT战略，并建立标准的信息基础架构，来实现业务增长。
· IT治理对核心IT资源做出合理的制度安排，这将成为进入新的市场、进行有效竞争、实现总收入增长、改善客户满意度及维系客户关系的制度保障。

四种基本的IT治理支持手段

·COBIT——信息及相关技术的控制目标(Control Objectives for Information and related Technology，COBIT) ，是IT治理的一个开放性标准，由美国IT治理研究院(IT Governance Institute)开发与推广，现已更新为第三版。IT业务流程是COBIT关注的焦点，对每一个IT业务流程，COBIT提出了一系列的控制目标、相应的实现这些控制目标的控制程序，评价这些控制程序是否存在，并被有效执行的一系列审计程序。该标准为IT的治理、安全与控制提供了一个普遍适用的公认标准，以辅助管理层进行IT治理。目前已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。COBIT模型如图1所示。

COBIT架构的主要目的是为业界提供关于IT控制的清晰策略和良好典范。该架构的四个域分别是：PO（Planning & Organization）、AI（Acquisition & Implementation）、DS（Delivery & support）和 Monitoring。进一步细分为34个IT处理流程。如表1。

表1  COBIT域

资料来源：ISACA

COBIT产品家族分类如图2所示。

资料来源：ISACA

①管理指导方针（Management Guidelines）其中：成熟度模型（Maturity Models）是用来决定每一个控制阶段和期望水准是否符合标准规范。关键成功要素（Critical Success Factors）是用来辨认在信息化过程中实现有效控制所必需的最重要的活动。关键目标指标（Key Goal Indicators）是用来定义关键目标的绩效衡量标准。关键绩效指标（Key performance Indicators）用来测量IT控制程序是否能达到目标。以上管理方针都是为了确保企业能成功和有效地整合业务流程与信息系统。
②执行概要（Executive Summary）提供了让管理层了解COBIT关键概念和原则的综合性简介，还概述了COBIT四大领域的体系架构。
③架构（Framework）详细描述了的34个控制目标，并指出了企业对信息标准的要求和在IT资源上的需求是如何融入控制目标中的。
④审计指导方针（Audit Guidelines）提供了关于34个控制目标的审计步骤，以协助信息系统审计师检验IT程序是否符合控制目标，并提供管理上的保证和改进的建议。
⑤控制目标（Control Objectives）为IT控制提供了一个用来明晰策略和实施指导的关键方针，包括控制目标的详细说明。
⑥应用工具集（Implementation Tool Set）包括管理意识（Management Awareness），IT控制诊断（IT Control Diagnostics），应用指导（Implementation Guide），常见问题及（FAQs）等。这些新工具主要是设计让COBIT的应用更容易，让组织能快速且成功地从教材中掌握如何在工作中应用COBIT。

需要指出的是，COBIT可具体应用到几乎所有企业信息系统中。目前ISACA也提供相关专业人士的认证服务，经认证的专家可在一百多个国家执行信息系统审计业务。

·ITIL—— IT基础架构库(Information Technology Infrastructure Library, ITIL)由英国政府部门CCTA(Central Computing and Telecommunications Agency)在20世纪80年代末制订，现由英国商务部OGC(Office of Government Commerce)负责管理，主要适用于IT服务管理（ITSM）。20世纪90年代后期，ITIL的思想和方法，被美国、澳大利亚、南非等国家广泛引用，并进一步发展。2001年英国标准协会（British Standard Institute，BSI）在国际IT服务管理论坛（itSMF）年会上，正式发布了基于ITIL的英国国家标准BS15000。2002年，BS15000为国际标准化组织（ISO）所接受，作为IT服务管理的国际标准的重要组成部分。目前，ITSM领域正成为全球IT厂商、政府、企业和业界专家广泛参与的新兴领域，对未来的IT走向和企业信息化，将会产生深远的影响。其内容描述的是IT部门应该包含的各个工作流程以及各个工作流程之间的相互关系。ITIL的核心内容包括服务支持和服务交付，共11个流程。如表2。其架构模型如图2所示。

资料来源：Paul Graham等著，《ICT Infrastructure Management》，P7，OGC，2002年。

·ISO/IEC17799——信息安全管理的国际标准。在信息时代，信息资产已经成为最有价值的资产，因此需要恰当地保护它。具体而言，通过信息安全管理，可以保护信息不受广泛威胁地损害，确保业务的持续性，将商业损失降至最小，使投资收益最大并创造新的战略机遇。

1995年，英国贸工部根据英国国内企业对信息安全日益高涨的呼声，组织大企业的信息安全经理们制定了世界上首部信息安全管理体系标准BS7799-1：1995《信息安全管理实施规则》，作为企业和政府组织实施信息安全管理的指南。1998年，英国又制定了第一部《信息安全管理体系认证标准》BS7799-2：1998《信息安全管理体系规范》，作为对一个组织的全面或和部分信息安全管理体系进行评审认证的依据标准。此后英国又进行了多次修订并提交给ISO。2000年12月，ISO/IEC正式采纳BS7799-1：1999做为国际标准ISO/IEC17799：2000。

ISO/IEC 17799包含10个管理要项，分别是：安全方针、安全组织、资产分类与控制、人员安全、物理与环境安全、计算机与网络管理、系统访问控制、系统开发与维护、业务持续管理及合规性。ISO/IEC 17799模型如图3所示。

资料来源：PWC

需要强调指出的是，ISO/IEC 17799不是一篇技术性的信息安全操作手册，作为一个通用的信息安全管理指南，其目的并不是说明有关“怎么做”的细节，它所阐述的主题是安全策略和优秀的、具有普遍意义的安全操作。该标准特别声明，它是“制定一个机构自己的标准的出发点”，并不是说它所包含的所有方针和策略都是放之四海而皆准的。作为对各类信息安全问题的高级别概述，ISO/IEC 17799有助于人们在高级管理中理解每一类信息安全主题的基础性问题。它广泛涵盖了几乎所有的安全议题，主要告诉管理者关于安全管理的注意事项和安全制度，这些规定一般单位都可执行。因此，需要建立信息安全管理体系的单位可以此为参照，建立自己在这方面的体系，并在别人经验的基础上根据自身情况进行设计、取舍，以达到对信息进行良好管理的目的。

·PRINCE2——受控环境下的项目（Projects IN Controlled Environments），一种对项目管理的某些特定方面提供支持的方法。

项目管理向来就是一个充满挑战的管理，管理人员必须在事先确定好的人力、物力、财力、时间基础上产出预期质量的项目结果。项目管理中的失控一直就是官、产、学界关心的热点问题。

早在20世纪70年代，英国政府就要求所有政府的信息系统项目必须采用统一的标准进行管理。1979年CCTA采纳Simpact Systems公司开发的PROMPT项目管理方法作为政府信息系统项目的项目管理方法。在PROMPT项目管理方法的基础上，20世纪80年代年英国政府计算机和电信中心（CCTA）（后来并入英国政府商务部（OGC））出资研究开发PRINCE，1989年PRINCE正式替代PROMPT成为英国政府IT项目的管理标准。
1993年，OGC又将注意力转移到PRINCE新改版PRINCE2的开发。通过整合现有用户的需求，同时提升该方法成为面向所有类型的项目的、通用的、最佳实践的项目管理方法。在OGC的组织下，大量项目管理的专家和学者组成设计和开发团队，超过150家公共和私人组织参加评审委员会，并为开发工作提供有价值的反馈意见。开发工作于1996年3月正式结束。

PRINCE2是基于过程（Process-Based）的结构化的项目管理方法，适合于所有类型项目（不管项目的大小和领域，不再局限于IT项目）的易于剪裁和灵活使用的管理方法。每个过程定义关键输入、需要执行的关键活动和特殊的输出目标。

该方法描述了一个项目如何被切分成一些可供管理的阶段，以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。依据项目的大小、复杂度和组织的能力，该方法描述了项目中应涉及到的各种不同的角色及其相应的管理职责。Prince2的项目计划是以产品导向的，也就是说项目计划强调项目按预期交付结果，而不是简简单单计划在何时该做何事。

一个PRINCE2项目由业务状况（Business Case）进行驱动，业务状况用于描述启动和继续一个PRINCE 项目的信息。它给出了项目的动机，且回答了“ 为什么”。它在整个项目的若干关键点处被更新。业务状况往往和项目进度相结合，来确保项目目标的实现，尽管这些项目目标可能在整个项目周期中会有所变化，但仍能很好地被满足。

PRINCE2提供从项目开始到项目结束覆盖整个项目生命周期的基于过程的结构化的项目管理方法，共包括8个过程，每个过程描述了项目为何重要（Why）、项目的预期目标何在（What）、项目活动由谁负责（Who）以及这些活动何时被执行（When）。如图4所示。

资料来源：OGC

PRINCE2为管理项目提供了最本质的原理，它集中于项目管理的战略层次，同时它是一种通用的架构。它用8个过程（其中6个过程为项目管理的流程，指导项目(DP)与计划(PL)在项目整个生命周期中支持其他6个流程）指明项目管理应该做什么，但是没有描述如何做？至于如何做？企业应求助于咨询公司或其他公司的案例，然后结合自身的情况。对于每个过程，PRINCE没有提供具体实现技术和工具，用户可根据实际需要，使用有益的任何工具，如甘特图，关键路径法、项目管理软件等。PRINCE2提供的8个过程也仅仅作为参考过程，企业在具体实施时，必须依据项目的规模和需要对这些过程进行剪裁。

本文由作者孙强向AMT提供
作者联系方式：sun6869@tom.com