自提出 IT治理以来,全世界各国组织和专家投入了很大的精力来研究IT治理架构模型,并提出了很多行之有效的模型。这些模型,由于其提出的时间不同,所应用的重点也各有差异,对 IT治理而言,它是一个系统工程,各种模型都在其中占有一席之地。其中较为成熟的模型是美国 IT治理研究院的 Cobit,英国政府的 IT服务管理的标准模型 ITIL,国际信息安全管理标准模型 ISO/IEC 17799,IT项目管理的标准模型PRINCE2等。在具体的 IT治理工作中,如何合理的应用这些模型,它们之间存在哪些差异? 1. Cobit与 ITIL的比较 COBIT基于己有的许多架构,如 SEI(Software Engineering Institute)的能力成熟度模型 CMM对软件企业成熟度 5级的划分,以及 IS09000等标准,COBIT在总结这些标准的基础上重点关注企业需要什么,而不是企业需要如何做,它不包括具体的实施指南和具体实施步骤,它是一个控制架构(Control Framework)而非具体过程架构(ProcessFramework)。COBIT从战略、战术、运营层面给出了对 IT的评测、量度和审计方法,它的“目标听众”是信息系统审计人员,企业高级管理人员以及高级 IT管理人员,如 CIO。 ITIL基于企业的最佳实务(Best Practice),英国政府收集和分析各种组织解决服务管理问题方面的信息,找出那些对本部门和对英国政府其它部门有益的做法,最后形成了 ITIL。它列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系,但没定义范围广泛的控制架构。它关注方法和实施过程。由于它关注 IT服务管理(ITSM),它的视野相对 COBIT来说狭窄,它主要关注 IT的战术和运营层面。但它对 IT服务的提供和支持定义了更为详细和更易理解的过程集。它的“目标听众”是IT人员和服务管理人员。 图1 COBIT与ITIL的对比分析 尽管两个标准有着许多的不同之处,但在COBIT和ITIL背后却有着非常一致的指导原则。信息系统审计人员通常综合使用COBIT和ITIL的自评估方法,去评估企业IT服务管理环境。COBIT为每一个过程提供了关键目标指示(KGIs)、关键绩效指标(KPIs)、关键成功要素(CSFs),与ITIL过程相结合可以建立 ITIL过程管理的基准。在实际应用中,某些企业综合两个标准提出了更易理解的适用于本企业环境的IT治理和运行架构。 2. Cobit与ISO/IEC17799的比较 ISO/IEC 17799强调信息安全管理体系的有效性、经济性、全面性、普遍性和开放性,目的是为希望达到一定管理效果的组织提供...
