IT服务管理信息安全管理ppt课件.ppt

IT治理的含义 IT治理的定义IT治理的使命IT治理的内容IT治理的全景试图实施IT治理所带来的好处 什么是IT治理 IT治理用于描述企业或政府是否采用有效的机制 就是为鼓励IT应用的期望行为而明确决策权归属和责任承担的框架 使得IT的应用能够完成组织赋予它的使命 同时平衡信息技术与过程的风险 确保实现组织的战略目标 Governance Accountability治理和管理的区别就在于 治理是决定由谁来进行决策 管理则是制定和执行这些决策 IT治理的使命 保持IT与业务目标一致 推动业务发展 促使收益最大化 合理利用IT资源 适当管理与IT相关的风险 IT治理的目标 帮助管理层建立以组织战略为导向 以外界环境为依据 以业务与IT整合为重心的观念 正确定位IT部门在整个组织的作用 最终能够针对不同业务发展要求 整合信息资源 制定并执行IT战略 推动组织发展 IT治理的主要特点 健全的组织架构 健全的组织架构是正确决策的保障 清晰的职责边界 清晰的职责边界是确保各治理主体独立运作 有效制衡的基础 明确的决策规则和程序 如果说职责边界是明确由谁做出决策 决策规则和程序就是明确怎么做出决策 有效的激励和监督机制 当激励与约束机制不能和组织的目标相联系时 IT治理是非常低效的 透明度 治理的流程越透明 治理的信心也就越足 有效的IT治理需要解决三方面的问题 一是解决目的性问题 即IT治理需要做出哪些决策 企业IT决策主要包括五项 IT原则 IT架构 IT基础设施 IT商业应用 IT投资二是解决组织性问题 三是解决系统性问题 即IT治理中如何制定和监控这些决策 企业需要通过一系列的治理机制 结构 流程和沟通实现治理计划 如中国网通集团企业信息化管理控制体系 IT治理与IT管理 IT部门在组织中的演变 时间 IT部门的成熟度 技术提供者 服务提供者 战略合作伙伴 IT基础架构管理 ITIM IT服务管理 ITSM IT治理 ITG 研究平台 中国IT治理研究中心 实施方法 咨询 培训 认证 企业 网络平台 论坛平台 G2峰会 出版平台 中国IT治理智库 中国IT治理领域生态图 中国网通 中国移动 东风汽车 中化集团 北京市高级人民法院 据公开统计报道 中国实施IT治理的企业不超过20家 培训企业 北京信诚致远 上海品易 上海信息化中心等 培训证书 1 CobiTFoundation 180张左右 2 CGEIT 北京信诚致远 1 CobiT2 CobiT ITIL 27001整合实施3 部分公司内部使用的方法 培训与认证 中国IT治理人才培训体系 实施方法 COBIT 信息及相关技术控制目标IT治理协会 www itgi org 信息系统审计与控制协会 www isaca org ITILhttp www ogc gov uk index asp id 2261 CControlOBOBjectivesIforInformationTandRelatedTechnology CobiT名字的由来 Cobit是什么 Cobit是关于 IT控制 的治理和控制的框架 Cobit是在控制的需要 技术问题和商业风险这三者鸿沟之间架起的一座桥梁 Cobit聚焦在 whatneedstobeachieved 而不是 howtoachieve Cobit面向管理层 用户 信息系统审计师 业务经理 内控及安全人员等 Cobit是一个可实施 可裁减的框架 CobiT更多的关注于控制而非执行 以业务为关注焦点 business focused 度量驱动 measurement driven CobiT特性 基于控制 controls based 流程导向 process oriented COBIT特性 发展历史 2007年1月CobiT更新到了4 1 从1992年起 世界整体环境变化巨大关键业务流程对IT的依赖性更强管理者对IT成本 价值 风险有更多的关注董事层对治理的更多关注IT最佳实践和标准的日益完善管理者 IT部门和审计师的综合使用持续符合法规 研究 建立 宣传并不断提升一个权威的 最新的 国际公认的IT治理控制框架 使之为企业广泛接受 并成为业务经理 IT专业人员和风险控制人员的行为指南 使命 COBIT模型 CobiT通过提供一个框架来支持IT治理 进而确保 IT与业务保持一致 适当管理IT风险 IT保障业务并实现收益最大化 IT资源的充分管理 CobiT如何支持IT治理 基于以业务为关注焦点的更好协调 实施CobiT的益处 为管理者提供了一个更好的理解IT是什么的视角 基于流程导向的清晰的所有者关系及职责 易于被第三方及监管机构所接受 基于通用的语言 可以被所有的利益相关方所理解 满足COSO对于IT控制环境的要求 业务流程 信息 IT资源 信息体系基础设施人员 效果效率机密性完整性可用性符合性可靠性 信息标准 他们匹配吗 框架 你需要什么 你能得到什么 Cobit34个高级控制目标 规划与组织PO1制定IT战略规划PO2确定信息体系架构PO3确定技术方向PO4确定IT流程 组织及相互关系PO5管理IT投资PO6管理目标与方向的协调PO7人力资源管理PO8质量管理PO9IT风险评估与风险管理PO10项目管理 获取与实施AI1确定自动化解决方案AI2应用软件的获取和维护AI3技术基础设施的获取和维护AI4授权操作和使用AI5获取IT资源AI6变更管理AI7安装与解决方案和变更审批 交付与支持DS1定义并管理服务水平DS2管理第三方服务DS3绩效管理与容量管理DS4确保服务的持续性DS5确保系统安全DS6确认与分配成本DS7教育并培训客户DS8服务台与事件管理DS9配置管理DS10问题管理DS11数据管理DS12物理环境管理DS13运营管理 监控与评价M1IT绩效监督与评估M2内部控制监督与评估M3确保法规遵从M4提供IT治理 以业务为关注焦点 以业务为关注焦点 IT资源 是指用于处理信息的自动化用户系统和手工程序 应用 信息 是指输入信息系统并被信息系统处理及输出的各种类型的数据 不管业务部门是以何种形式使用它 用于处理应用系统的技术和设施 涵盖硬件 操作系统 网络系统和多媒体等 及其支持环境 基础设施 包括需要进行规划 组织 采购 交付 支持和监控信息系统和服务的人员 根据需要 他们可以是内部的 外包的或签约的人员 人员 IT资源 质量需求 质量 成本 可交付受托责任 COSO报告 运营的效率和效果 财务报告的可靠性 符合法律 法规安全需求 机密性 完整性 可