2.2.4  IT治理工具

國(guó)際標(biāo)準(zhǔn)化組織2008年提出了第一個(gè)IT治理國(guó)際標(biāo)準(zhǔn)ISO/IEC 38500，在其描述制定該標(biāo)準(zhǔn)的目標(biāo)時(shí)指出：這份標(biāo)準(zhǔn)魄目的是提供一個(gè)原則的框架，讓指揮者用于評(píng)估、指揮及觀察IT在企業(yè)中的使用狀況。標(biāo)準(zhǔn)的框架模型如圖2-2所示。

當(dāng)前，國(guó)際上在IT治理中使用較為普遍的模型有COBIT、ITIL/IS020000、IS017799/27001、PRINCE2、ITSM等。其中，COBIT是目前國(guó)際上公認(rèn)為較先進(jìn)、權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)，已在100多個(gè)國(guó)家的近萬(wàn)個(gè)企業(yè)中獲得運(yùn)用。COBIT，即信息系統(tǒng)及相關(guān)技術(shù)的控制目標(biāo)( Control Objectives for Information and related Technology)，是由美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)( ISACA)和IT治理委員會(huì)于1992年創(chuàng)建的，2005年發(fā)布了4.0版本，2007年又更新至4.1版本。COBIT4.1從內(nèi)部控制、治理理念出發(fā)，構(gòu)建關(guān)于信息系

統(tǒng)投資、建設(shè)、評(píng)估、風(fēng)險(xiǎn)控制的體系框架，從規(guī)范、標(biāo)準(zhǔn)、知識(shí)體系、方法論、模型和組織的高度，全面重新審視IT治理，超越了傳統(tǒng)的產(chǎn)品與服務(wù)的概念。COBIT4.1覆蓋整個(gè)信息系統(tǒng)的全生命周期，將IT過(guò)程，IT資源與企業(yè)的策略及目標(biāo)聯(lián)系起來(lái)，形成一個(gè)三維立體框架結(jié)構(gòu)，如圖2-3所示。其中，業(yè)務(wù)需求(Business Requirements)維度集中反映了企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、成本、時(shí)間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來(lái)保證信息的安全性、可靠性、有效性；IT資源(IT  Resources)維度主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源，這是IT治理過(guò)程的主要對(duì)象；IT技術(shù)流程(IT Process)維度則是在業(yè)務(wù)需求的指導(dǎo)下，對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控等四個(gè)方面確定了34個(gè)信息技術(shù)處理過(guò)程，每個(gè)處理過(guò)程還包括更加詳細(xì)的控制目標(biāo)和審計(jì)方針對(duì)IT處理過(guò)程進(jìn)行評(píng)估。