如何整合COBIT、ITIL、ISO IEC17799和PRINCE2 构建IT治理机制

1、整合cobit、itil、iso/iec17799和prince2 构建善治的it治理机制善治的it治理架构是确保it资源与公司战略目标保持一致的基础，同样也能确保it服务满足组织对优质、可信和安全的信息需要。采用标准的it治理（it governance）架构可以给企业带来诸多收益。如美国堪萨斯州把cobit标准作为虚拟政府策略的一部分，结果降低了运营成本，并为它的客户和委托人提供了很高质量的服务。proctorgamble在采用itil标准的四年里，节省超过5亿美金的预算。同时proctergamble内部财务和it部门的调查显示，其运作费用降低68，而技术人员的人数减少1520。iso/

2、iec17799是成为国际标准最快的一个标准，iso/iec17799的前身bs7799是卖出拷贝最多的管理标准，目前已有二十多个国家引用bs7799-2作为国标，各大信息安全公司也都以bs7799为指导向客户提供信息安全咨询服务。近年来prince2在prince的基础上迅速席卷包括it项目在内的项目管理，prince 2 已风行欧洲与北美等国。sun、oracle等将prince2作为实施项目的标准管理方法；香港特别行政区政府资讯科技署将prince作为政府项目管理的标准指南。何为it治理it治理是it、经济学及管理学界中一个新的概念，用于描述企业或政府是否采用有效的机制，使得it的应用能

3、够完成组织赋予它的使命，同时平衡信息化过程中的风险，确保实现组织的战略目标。其主要使命是：保持it与业务目标一致，推动业务发展，促使收益最大化，合理利用it资源，适当管理与it相关的风险。具体而言如下： it战略目标必须与企业战略目标保持一致，it对于来说组织非常关键，也是战略规划的重要组成部分，甚至直接影响到战略竞争机遇。it治理包含治理委员会、治理结构、治理流程和企业文化等。it治理使风险透明化，从而保护利益相关者的权益。it治理可用来指导和控制it投资、机遇、收益及风险。it治理通过引导it战略，并建立标准的信息基础架构，来实现业务增长。it治理对核心it资源做出合理的制度安排，这将成为

4、进入新的市场、进行有效竞争、实现总收入增长、改善客户满意度及维系客户关系的制度保障。四种基本的it治理支持手段cobit信息及相关技术的控制目标(control objectives for information and related technology，cobit) ，是it治理的一个开放性标准，由美国it治理研究院(it governance institute)开发与推广，现已更新为第三版。it业务流程是cobit关注的焦点，对每一个it业务流程，cobit提出了一系列的控制目标、相应的实现这些控制目标的控制程序，评价这些控制程序是否存在，并被有效执行的一系列审计程序。该标准为it

5、的治理、安全与控制提供了一个普遍适用的公认标准，以辅助管理层进行it治理。目前已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。cobit模型如图1所示。cobit架构的主要目的是为业界提供关于it控制的清晰策略和良好典范。该架构的四个域分别是：po（planning & organization）、ai（acquisition & implementation）、ds（delivery & support）和 monitoring。进一步细分为34个it处理流程。如表1。表1 cobit域1规划与组织（po，planning and org

6、anization）3 交付与支持（ds ,delivery and support）po1制定it战略规划po2确定信息体系结构po3确定技术方向po4定义it组织与关系po5管理it投资po6传达管理目标和方向po7人力资源管理po8确保与外部需求一致po9风险评估po10项目管理po11质量管理ds1定义并管理服务水平ds2管理第三方的服务ds3管理绩效与容量ds4确保服务的连续性ds5确保系统安全ds6确定并分配成本ds7教育并培训客户ds8为客户提供帮助和建议ds9配置管理ds10处理问题和突发事件ds11数据管理ds12设施管理ds13运营管理2获得与实施（ai, acquisit

7、ion and implementation）4 监控（m ,monitoring）ai1确定自动化的解决方案ai2获取并维护应用程序软件ai3获取并维护技术基础设施ai4程序开发与维护ai5系统安装与鉴定ai6变更管理m1过程监控m2评价内部控制的适当性m3获取独立保证m4提供独立的审计资料来源：isacacobit产品家族分类如图2所示。资料来源：isaca管理指导方针（management guidelines）其中：成熟度模型（maturity models）是用来决定每一个控制阶段和期望水准是否符合标准规范。关键成功要素（critical success factors）是用来辨认在

8、信息化过程中实现有效控制所必需的最重要的活动。关键目标指标（key goal indicators）是用来定义关键目标的绩效衡量标准。关键绩效指标（key performance indicators）用来测量it控制程序是否能达到目标。以上管理方针都是为了确保企业能成功和有效地整合业务流程与信息系统。执行概要（executive summary）提供了让管理层了解cobit关键概念和原则的综合性简介，还概述了cobit四大领域的体系架构。架构（framework）详细描述了的34个控制目标，并指出了企业对信息标准的要求和在it资源上的需求是如何融入控制目标中的。审计指导方针（audit gu

9、idelines）提供了关于34个控制目标的审计步骤，以协助信息系统审计师检验it程序是否符合控制目标，并提供管理上的保证和改进的建议。控制目标（control objectives）为it控制提供了一个用来明晰策略和实施指导的关键方针，包括控制目标的详细说明。应用工具集（implementation tool set）包括管理意识（management awareness），it控制诊断（it control diagnostics），应用指导（implementation guide），常见问题及（faqs）等。这些新工具主要是设计让cobit的应用更容易，让组织能快速且成功地从教材中掌握

10、如何在工作中应用cobit。需要指出的是，cobit可具体应用到几乎所有企业信息系统中。目前isaca也提供相关专业人士的认证服务，经认证的专家可在一百多个国家执行信息系统审计业务。itil it基础架构库(information technology infrastructure library, itil)由英国政府部门ccta(central computing and telecommunications agency)在20世纪80年代末制订，现由英国商务部ogc(office of government commerce)负责管理，主要适用于it服务管理（itsm）。20世纪90年

11、代后期，itil的思想和方法，被美国、澳大利亚、南非等国家广泛引用，并进一步发展。2001年英国标准协会（british standard institute，bsi）在国际it服务管理论坛（itsmf）年会上，正式发布了基于itil的英国国家标准bs15000。2002年，bs15000为国际标准化组织（iso）所接受，作为it服务管理的国际标准的重要组成部分。目前，itsm领域正成为全球it厂商、政府、企业和业界专家广泛参与的新兴领域，对未来的it走向和企业信息化，将会产生深远的影响。其内容描述的是it部门应该包含的各个工作流程以及各个工作流程之间的相互关系。itil的核心内容包括服务支持

12、和服务交付，共11个流程。如表2。其架构模型如图2所示。表2 itil工作流程服务支持（service support）服务交付（service delivery）l 服务台l 事故管理l 问题管理l 配置管理l 变更管理l 发布管理l 服务级别管理l 成本管理l 持续性管理l 可用性管理l 容量管理资料来源：ogc资料来源：paul graham等著，ict infrastructure management，p7，ogc，2002年。iso/iec17799信息安全管理的国际标准。在信息时代，信息资产已经成为最有价值的资产，因此需要恰当地保护它。具体而言，通过信息安全管理，可以保护信息不受

13、广泛威胁地损害，确保业务的持续性，将商业损失降至最小，使投资收益最大并创造新的战略机遇。1995年，英国贸工部根据英国国内企业对信息安全日益高涨的呼声，组织大企业的信息安全经理们制定了世界上首部信息安全管理体系标准bs7799-1：1995信息安全管理实施规则，作为企业和政府组织实施信息安全管理的指南。1998年，英国又制定了第一部信息安全管理体系认证标准bs7799-2：1998信息安全管理体系规范，作为对一个组织的全面或和部分信息安全管理体系进行评审认证的依据标准。此后英国又进行了多次修订并提交给iso。2000年12月，iso/iec正式采纳bs7799-1：1999做为国际标准iso/

14、iec17799：2000。iso/iec 17799包含10个管理要项，分别是：安全方针、安全组织、资产分类与控制、人员安全、物理与环境安全、计算机与网络管理、系统访问控制、系统开发与维护、业务持续管理及合规性。iso/iec 17799模型如图3所示。资料来源：pwc需要强调指出的是，iso/iec 17799不是一篇技术性的信息安全操作手册，作为一个通用的信息安全管理指南，其目的并不是说明有关“怎么做”的细节，它所阐述的主题是安全策略和优秀的、具有普遍意义的安全操作。该标准特别声明，它是“制定一个机构自己的标准的出发点”，并不是说它所包含的所有方针和策略都是放之四海而皆准的。作为对各类信

15、息安全问题的高级别概述，iso/iec 17799有助于人们在高级管理中理解每一类信息安全主题的基础性问题。它广泛涵盖了几乎所有的安全议题，主要告诉管理者关于安全管理的注意事项和安全制度，这些规定一般单位都可执行。因此，需要建立信息安全管理体系的单位可以此为参照，建立自己在这方面的体系，并在别人经验的基础上根据自身情况进行设计、取舍，以达到对信息进行良好管理的目的。prince2受控环境下的项目（projects in controlled environments），一种对项目管理的某些特定方面提供支持的方法。项目管理向来就是一个充满挑战的管理，管理人员必须在事先确定好的人力、物力、财力、时

16、间基础上产出预期质量的项目结果。项目管理中的失控一直就是官、产、学界关心的热点问题。早在20世纪70年代，英国政府就要求所有政府的信息系统项目必须采用统一的标准进行管理。1979年ccta采纳simpact systems公司开发的prompt项目管理方法作为政府信息系统项目的项目管理方法。在prompt项目管理方法的基础上，20世纪80年代年英国政府计算机和电信中心（ccta）（后来并入英国政府商务部（ogc）出资研究开发prince，1989年prince正式替代prompt成为英国政府it项目的管理标准。1993年，ogc又将注意力转移到prince新改版prince2的开发。通过整合现

17、有用户的需求，同时提升该方法成为面向所有类型的项目的、通用的、最佳实践的项目管理方法。在ogc的组织下，大量项目管理的专家和学者组成设计和开发团队，超过150家公共和私人组织参加评审委员会，并为开发工作提供有价值的反馈意见。开发工作于1996年3月正式结束。prince2是基于过程（process-based）的结构化的项目管理方法，适合于所有类型项目（不管项目的大小和领域，不再局限于it项目）的易于剪裁和灵活使用的管理方法。每个过程定义关键输入、需要执行的关键活动和特殊的输出目标。该方法描述了一个项目如何被切分成一些可供管理的阶段，以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。

18、依据项目的大小、复杂度和组织的能力，该方法描述了项目中应涉及到的各种不同的角色及其相应的管理职责。prince2的项目计划是以产品导向的，也就是说项目计划强调项目按预期交付结果，而不是简简单单计划在何时该做何事。一个prince2项目由业务状况（business case）进行驱动，业务状况用于描述启动和继续一个prince 项目的信息。它给出了项目的动机，且回答了“ 为什么”。它在整个项目的若干关键点处被更新。业务状况往往和项目进度相结合，来确保项目目标的实现，尽管这些项目目标可能在整个项目周期中会有所变化，但仍能很好地被满足。prince2提供从项目开始到项目结束覆盖整个项目生命周期的基于

19、过程的结构化的项目管理方法，共包括8个过程，每个过程描述了项目为何重要（why）、项目的预期目标何在（what）、项目活动由谁负责（who）以及这些活动何时被执行（when）。如图4所示。资料来源：ogcprince2为管理项目提供了最本质的原理，它集中于项目管理的战略层次，同时它是一种通用的架构。它用8个过程（其中6个过程为项目管理的流程，指导项目(dp)与计划(pl)在项目整个生命周期中支持其他6个流程）指明项目管理应该做什么，但是没有描述如何做？至于如何做？企业应求助于咨询公司或其他公司的案例，然后结合自身的情况。对于每个过程，prince没有提供具体实现技术和工具，用户可根据实际需要，

20、使用有益的任何工具，如甘特图，关键路径法、项目管理软件等。prince2提供的8个过程也仅仅作为参考过程，企业在具体实施时，必须依据项目的规模和需要对这些过程进行剪裁。哪个标准更好？有趣的是，关于四个标准之间的对照研究似乎成了许多国际组织热衷的研究项目，我们认为与其研究这四者之间并不太多的重叠之处，倒不如深入探讨这四者之间的互补关系。* cobit和itil的比较cobit基于已有的许多架构,如sei的能力成熟度模型（cmm）对软件企业成熟度5级的划分，以及iso9000等标准，cobit在总结这些标准的基础上重点关注企业需要什么，而不是企业需要如何做，它不包括具体的实施指南和实施步骤，它是一

21、个控制架构（control framework）而非具体如何做的过程架构（process framework）。cobit的“目标听众”是信息系统审计师，企业高级管理人员以及高级it管理人员，如cio。itil基于企业的最佳实务（best practice），ogc收集和分析各种组织解决服务管理问题方面的信息，找出那些对本部门和对英国政府其它部门有益的做法，最后形成了itil。它列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系，但没定义范围广泛的控制架构。它关注方法和实施过程。由于它关注it服务管理（itsm），它的视野相对cobit来说狭窄，但它对it服务的提供和

22、支持定义了更为详细和更易理解的过程集。它的“目标听众”是it人员和服务管理人员。尽管两个标准有着许多的不同之处，但在cobit和itil背后却有着非常一致的指导原则。信息系统审计师通常综合使用cobit和itil的自评估方法，去评估企业it服务管理环境。cobit为每一个过程提供了关键目标指标（kgis）、关键绩效指标(kpis)、关键成功要素(csfs)，这些指标与itil过程相结合，可以建立itil过程管理的基准。在实际应用中，某些企业综合两个标准提出了更易理解的适用于本企业环境的it治理和运行架构。很多cobit的过程特别是交付与支持（ds）域的很多过程如ds1、ds3、ds4、ds8、

23、 ds9和ds10与itil的过程有着很好的映射关系，如服务级别管理、成本管理、可用性管理、事故管理、问题管理、配置管理、发布管理、容量能力管理。同样ai6变更管理过程与itil中变更管理和其他服务支持过程如发布管理形成了较好的对应关系。（对比表1、2）* cobit和iso/iec 17799的比较iso/iec 17799强调信息安全管理体系的有效性、经济性、全面性、普遍性和开放性，目的是为希望达到一定管理效果的组织提供一种高质量、高实用性的参照。其最大特点就是广泛但不深入，而且仅作参考之用。与iso/iec 17799不同，cobit完全基于it，其it准则反映了企业的战略目标，it资源

24、包括人、系统、数据等相关资源，it管理则是在it准则指导下对it资源进行规划处理。cobit在po、ai、ds、m四个方面确定了34个处理过程以及318个详细控制目标。此外对每个过程还有评审工具。如图1 cobit原理所示。图1 cobit原理资料来源：pwc* cobit和prince2的比较prince2为包括it项目在内的项目管理提供了通用的管理方法，内置了在项目管理实践中已证明成功的最佳实践，通过为所有参与者提供的通用语言，便于被广泛理解和接受。prince鼓励对项目责任正式的确认（谁具体负责什么），强调项目交付什么（what）、为何交付（why）、交付时间（when）、为谁交付（wh

25、om）。prince能给项目带给：* 可控的组织良好的开端、过程、结尾* 在决策关键点（decision point）时重新审视项目计划和业务状况* 自动管理和控制对计划的任何偏离* 股东和高级管理者只是在恰当的时机介入项目* 在项目组、项目管理层、组织的其他人员间搭建畅通的交流通道cobit从战略、战术、技术等层面给出了如何有效管理it项目。在po10中专门给出了项目管理的方法论，详细定义了13个具体控制目标：项目管理架构；用户方参与项目启动；项目团队身份及其职责；项目定义；项目批准；项目阶段批准；项目主要计划；系统质量保证计划；保证方法计划；正式的项目风险管理；测试计划；培训计划；实施后的

26、评审计划。除给出项目管理具体控制目标外，cobit还给出了与项目管理相关的关键成功要素(csfs)，其定义了最重要的面向项目管理的实施指南，以达到对it项目过程内外部的控制；关键目标指标(kgis),定义了一些尺度，便于在项目关键点（或里程碑），告诉管理者某个it项目管理过程是否实现了其业务需求；关键绩效指标(kpis)，定义的是it项目管理过程在促使项目目标达成时履行得有多好的尺度。从两者的比较我们可以看出，cobit重点在于对13个“控制目标”的管理上，prince2典型的在于对8大“流程”的管理上。虽然二者从不同的角度出发认识it项目管理，但二者有许多共同之处。cobit的项目中主要计划

27、，系统质量保证计划，保证方法计划，测试计划，培训计划，实施后的评审计划等控制目标映射到prince2的计划（pl）流程；项目管理架构等映射到prince2的指导项目(dp)流程；prince2的开始项目(su)和启动项目(ip)流程对应着cobit的用户方参与项目启动，项目团队身份及其职责，项目定义；项目批准，项目阶段批准，正式的项目风险管理则较好的被其它几个prince2流程所包含。当然，在cobit管理指南中我们不能明确看出对prince2中结束项目(cp)流程相关的控制目标，但cobit的其他控制目标以及审计指南等隐含包括了该流程的控制。prince2从流程的角度对项目管理中各个活动进行

28、管理，比较便于项目管理的具体实施，而cobit从控制目标的角度阐述项目管理“应该怎样，应该达到什么目标”，这样便于企业控制和评审项目管理整体过程的执行情况。同时cobit给出了项目管理成熟度模型，便于组织自评估或第三方评估企业项目管理的成熟度，从而不断改进项目管理的执行过程。如图2所示。图2 项目管理成熟度模型资料来源：isacf当然prince2和cobit的视野并不仅仅限于对具体项目的管理。它们不仅包括项目级的管理，而且涵盖了在组织范围对项目的管理，目的在于企业级的项目管理（enterprise project management, epm）或者称为项目治理（project govern

29、ance）。从企业长期发展战略的高度来规划项目管理。如图3所示。图3 项目治理机构模型资料来源：isacf同时，对于每个过程和控制目标，prince2与cobit仅仅指明了“该做什么”，至于“如何做”，二者都没有提供具体实现技术和工具，用户可以根据实际需要使用有益的任何工具，如甘特图，关键路径法、项目管理软件、风险管理软件等。prince2提供的8个过程与cobit提供的13个控制目标也仅仅作为参考过程和控制目标，企业在具体实施时，必须依据项目的规模和需要对这些过程和控制目标进行适当的剪裁。* 四个标准间的相互联系为了更有效地实现股东的价值，it需要在既定的时间内支持企业业务的发展，提高服务质量、有效控制风险、锐减服务成本以及缩短产品交付周期。如图4所示。图4 it与企业战略资料来源：pwc为了实现上述目标，需要做到对it组织结构和角色、量度、过程、技术、控制以及人员等方面进行管理。如图5所示。图5 it管理要素模型图资料来源：pwccobit、itil、iso/