浅析ITIL、COBIT治理模型及其差异.doc

浅析ITIL、COBIT治理模型及其差异（作者名字）(单位全名 部门全名,市(或直辖市) 邮政编码)摘 要：COBIT是IT治理控制架构，从战略、战术、运营层面给出了对IT的评测、量度和审计方法，重点在于IT控制和IT度量；ITIL是一种关注方法和实施过程的IT服务管理架构，基于企业的最佳实务，列出了各个服务管理流程最佳的目标、活动、输入和输出以及各个流程之间的关系，重点在于IT过程管理，强调IT支持和IT交付。关键词：IT治理 公司治理 ITIL COBIT 1 IT治理概述近年来，“信息化带动工业化、工业化促进信息化”的国家战略已日益深入人心，这一战略已经极大推动了我国现代化建设的进程。在信息化进程中，信息系统也已逐步渗透到商业和政府组织中，IT系统开始从传统的后台支持转变为新业务开展的直接驱动力，IT也日益成为企业的直接利润中心。但我国十多年的信息化建设进程，主要是在技术专家或技术厂商主导下进行的，而不是经济专家或管理专家主导。技术专家或技术厂商从技术的视角去关注信息技术和设备的先进性等，较少聚焦在IT战略和组织战略目标的互动上，因而不可避免地存在IT与组织业务环境、业务目标脱节现象。随着各种组织对信息系统的依赖程度在不断增加，信息化建设的管控问题受到越来越广泛的关注。信息化给我们带来什么？如何充分利用IT 资源？如何管理好所依赖的信息与信息平台？如何进行控制把IT 风险降到最低？信息化建设如何实现可持续发展，如何提升IT投资回报？随IT而来的风险、利益和机会使得IT治理成为公司和政府治理中关键的一个方面。IT治理是国际IT领域中一个新的概念，是公司治理在信息时代的重要发展。IT治理用于描述企业或政府是否采用有效的机制，使得IT的应用能够完成组织赋予它的使命，同时平衡信息技术与过程的风险、确保实现组织的战略目标。公司治理（Corporate Governance）又名公司管治、企业管治和企业管理，OECD（Organisation for Economic Co-operation and Development）在公司治理结构原则中给出了一个有代表性的定义：“公司治理结构是一种据以对工商公司进行管理和控制的体系”。公司治理结构明确规定了公司的各个参与者的责任和权利分布，诸如董事会、经理层、股东和其他利益相关者。公司治理目的是提供战略方向，保证目标能够实现，风险适当管理，企业的资源合理使用。公司治理驱动和调整IT治理，同时，IT能够提供关键的输入，形成战略计划的一个重要组成部分。IT 治理的主体和其它治理主体一样，是管理执行人员和利益相关者。IT 治理包括管理层、组织结构、过程，IT 治理保护利益相关者的权益，使风险透明化，同时指导和控制IT 投资、机遇、利益、风险。IT治理主要涉及两个方面：IT要为企业交付价值，IT风险要降低。前者受IT与企业的战略一致性驱动，后者由责任义务落实到企业驱动。这两者都需要衡量，如使用平衡计分卡。这就可以看出IT治理的四个核心领域，都是由利益相关者价值驱动的，其中两个是成果：价值交付和风险降低，另外两个是驱动力：战略一致性和业绩衡量。IT 治理的使命和目标的实现需要通过多种辅助手段来实现，目前国际上通行的标准主要有如下四个：COBIT、ITIL、ISO/IEC17799 和PRINCE2。其中：BS 7799（ISO/IEC17799）即国际信息安全管理标准体系，而 PRINCE2（Projects In Controlled Environments）是一种对项目管理的某些特定方面提供支持的方法。2 ITIL与COBIT简介2.1 ITILITIL（Information Technology Infrastructure Library，IT基础设施库），是一套被广泛承认的用于有效IT服务管理的实践准则。1980年以来，英国政府商务办公室（GOC，原称政府计算机与通信中心）为解决“IT服务质量不佳”的问题，逐步提出和完善了一整套对IT服务的质量进行评估的方法体系。2001年，英国标准协会在国际IT服务管理论坛（itSMF）上正式发布了以ITIL为核心的英国国家标准BS15000。这成为IT服务管理领域具有历史意义的重大事件。ITIL以流程为导向、以客户为中心，它通过整合IT服务与企业业务，提高了企业的IT服务提供和运营管理的能力和水平。ITIL是IT服务管理的最佳选择，是公认的最佳实践，基于流程，以“最佳”为目标，详细指明了IT管理流程应当如何构建和落实，包括流程的涉及范围、主要活动、角色和职能、常见问题的解决等。ITIL的主体框架包括六个主要模块：服务管理、业务管理、基础设施管理、应用管理、IT服务管理实施规划、安全管理。在主体框架中，服务管理模块处于核心地位，分为两部分：面向IT基础设施管理的服务支持和面向业务管理的服务提供。图001 ITIL主体框架ITIL的主要流程包括服务支持流程和服务提供流程。图002 ITIL主要流程IT服务支持主要关注于IT基础设施的日常服务支持，负责确保IT服务的稳定性与灵活性，包括1个服务机构及5个管理流程，分别为：服务台、配置管理、事件管理、问题管理、变更管理和发布管理。IT服务提供管理负责为业务用户提供高质量、低成本的IT服务，与组织每年的规划周期和每年持续的评估信息相关，包括服务级别管理、可用性管理、能力管理、IT服务可持续管理及IT服务财务管理五个部分。2.2 COBITCOBIT（Control Objectives for Information and related Technology）：即信息系统和技术控制目标。成立于1969年的美国信息系统审计与控制协会ISACA，于1996推出了用于“IT审计”的知识体系COBIT。“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。相应地，“注册信息系统审计师”（CISA）日益成为世界各国发展信息化过程中，争相发展的新兴职业和领域。COBIT的控制原理源自这样一个假设：IT部门的最高准则和目标是及时向企业提供实现其战略或业务目标所需的、准确的信息。在此准则下，有必要将IT资源划分为一个系列IT流程进行管理。这样，COBIT将信息准则、IT资源以及IT流程联系起来，形成一个三维的体系结构。信息准则维。信息准则维集中反映了企业的战略目标和业务需求。COBIT定义了七个不同的信息评价指标衡量其是否满足业务需求，即信息的有效性、高效性（）、机密性、完整性、可用性、一致性、可靠性。IT资源维。在COBIT中，IT资源维主要包括以人、应用系统、信息、基础设施在内的信息相关的资源，这是IT流程处理的主要对象。IT流程维。IT流程指的是在信息准则的指导下，对IT资源进行规划与处理。从本质上看，对IT资源的管理包含了三层工作：最底层是基本活动和任务；往上是流程，由一系列关联的能够自然终止的活动和任务组成；再往上流程按照组织结构中的责任区别划分控制域，同时符合流程中的管理周期或生命周期。图003 COBIT体系结构COBIT通过在IT流程中建立起控制目标和控制程序，成功将IT资源与信息准则（商业目标）连接起来：信息资源接受商业目标提出的需求；控制模型对信息资源进行管理与控制；商业目标从IT流程的控制模型中获取信息，判断其目标达到的程度。这样，在一个由三者共同组成的循环中，IT资源得以充分利和，IT流程得以优化，IT准则得以实现，从而保障组织目标的顺利达成。作为IT治理的核心模型，COBIT包含34个信息技术过程控制，并归集为四个控制域：IT规划和组织（Planning and Organization）、系统获得和实施（Acquisition and Implementation）、交付与支持（Delivery and Support）以及信息系统运行性能监控（Monitoring）。以下为COBIT定义的34个IT流程：1、规划与组织（Plan & Organize）PO1 定义战略性IT规划PO2 定义信息体系结构PO3 决定采用技术的方向PO4 定义IT流程/组织及其关系PO5 管理IT投资PO6 传达管理目标和方向PO7 人力资源的管理PO8 质量管理PO9 风险评估和管理P10 项目管理2、获得与实施（Acquire & Implement）AI1 确定自动化解决方案AI2 获取和维护应用软件AI3 获取和维护技术基础设施AI4 管理运营和使用AI5 采购IT资源AI6 变更管理AI7 安装和授权应用方案3、交付与支持（Deliver & Support）DS1 定义和服务服务级别DS2 管理第三方的服务DS3 性能和能力管理DS4 确保服务持续性DS5 确保系统安全DS6 确定并分配成本DS7 客户培训DS8 管理服务台和突发事件DS9 配置管理DS10 问题管理DS11 数据管理DS12 物理环境管理DS13 运营管理4、监控与衡量（Monitor & Evaluate）ME1 监控和评价IT性能ME2 监控和评价内部控制ME3 确保符合规范ME4 提供IT治理3 ITIL与COBIT的差异分析关于IT治理几种模型之间的异同，以及谁将替代谁之类的问题，一直是业界争论的焦点，各自的拥趸均有不同的看法。笔者认为，COBIT与ITIL之间的差异是IT治理与IT管理的区别。IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动；而IT治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。这是一个硬币的两面，谁也不能脱离谁而存在，IT治理规定了整个企业IT运作的基本框架，IT管理则是在这个既定的框架下驾驭企业奔向目标。COBIT是一个IT治理控制架构，从战略、战术、运营层面给出了对IT的评测、量度和审计方法，它的目标听众是信息系统审计人员、企业高级管理人员以及高级IT管理人员，如CIO。COBIT基于己有的许多架构，如SEI（Software Engineering Institute）的能力成熟度模型、CMM对软件企业成熟度5级的划分，以及IS09000等标准，COBIT在总结这些标准的基础上重点关注企业需要什么，而不是企业需要如何做。它不包括具体的实施指南和实施步骤，它是一个控制架构（Control Framework），而非具体过程架构（Process Framework）。 一言以蔽之，COBIT重点在于IT控制和IT度量。ITIL是一种关注方法和实施过程的IT服务管理架构，基于企业的最佳实务（Best Practice），列出了各个服务管理流程最佳的目标、活动、输入和输出以及各个流程之间的关系，但没定义范围广泛的控制架构。由于它关注IT服务管理（ITSM），它的视野相对COBIT来说狭窄，主要关注IT的战术和运营层面。它的目标听众是IT人员和服务管理人员。 一言以蔽之，ITIL重点在于IT过程管理，强调IT支持和IT交付。尽管两个治理模型有着许多的不同之处，但COBIT和ITIL却有着非常一致的指导原则。信息系统审计人员通常综合使用COBIT和ITIL的自评估方法，去评估企业IT服务管理环境。COBIT为每一个过程提供了关键目标指示（KGIs）、关键绩效指标（KPIs）、关键成功要素（CSFs），与ITIL过程相结合可以建立ITIL过程管理的基准。4 关于IT治理模型选型为了实现IT治理战略的目标，我们需要做到对IT组织结构和角色、量度、过程、技术、控制以及人员