IT治理，中國需要嗎？（By AMT 管政）

 （2）ITIL

ITIL（Information Technology Infrastructure Library）：即信息技術(shù)基礎(chǔ)構(gòu)架庫，一套被廣泛承認(rèn)的用于有效IT服務(wù)管理的實(shí)踐準(zhǔn)則。1980年以來，英國政府商務(wù)辦公室（GOC，原稱政府計(jì)算機(jī)與通信中心）為解決“IT服務(wù)質(zhì)量不佳”的問題，逐步提出和完善了一整套對IT服務(wù)的質(zhì)量進(jìn)行評估的方法體系，叫做ITIL。2001年，英國標(biāo)準(zhǔn)協(xié)會(huì)在國際IT服務(wù)管理論壇（itSMF）上正式發(fā)布了以ITIL為核心的英國國家標(biāo)準(zhǔn)BS15000。這成為IT服務(wù)管理領(lǐng)域具有歷史意義的重大事件。

 ITIL是一套詳細(xì)描述最佳IT服務(wù)管理的叢書。它是一種公共框架、最佳實(shí)踐框架，服務(wù)質(zhì)量是ITIL的核心。但I(xiàn)TIL只說明了要做什么（what），沒有說明如何去做（How），企業(yè)應(yīng)根據(jù)需求去參照ITIL框架進(jìn)行IT服務(wù)管理的建設(shè)，而不應(yīng)追求大而全；并且ITIL不是一個(gè)理論模型，而是一個(gè)最佳實(shí)踐庫。

 （3）BS 7799

BS 7799(ISO/IEC17799)：即國際信息安全管理標(biāo)準(zhǔn)體系，2000年12月，國際標(biāo)準(zhǔn)化組織ISO正式發(fā)布了有關(guān)信息安全的國際標(biāo)準(zhǔn)ISO17799，這個(gè)標(biāo)準(zhǔn)包括信息系統(tǒng)安全管理和安全認(rèn)證兩大部分，是參照英國國家標(biāo)準(zhǔn)BS7799而來的。它是一個(gè)詳細(xì)的安全標(biāo)準(zhǔn)，包括安全內(nèi)容的所有準(zhǔn)則，由十個(gè)獨(dú)立的部分組成，每一節(jié)都覆蓋了不同的主題和區(qū)域。

 由英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）編寫的信息安全管理體系標(biāo)準(zhǔn)BS 7799-Part 1 (ISO 17799) 及BS 7799-Part 2為各種機(jī)構(gòu)、企業(yè)進(jìn)行信息安全管理提供了一個(gè)完整的管理框架。這一套‘姊妹對’標(biāo)準(zhǔn)引導(dǎo)機(jī)構(gòu)、企業(yè)建立一個(gè)完整的信息安全管理體系，對信息安全進(jìn)行動(dòng)態(tài)的、以分析機(jī)構(gòu)及企業(yè)面臨的安全風(fēng)險(xiǎn)為起點(diǎn)對企業(yè)的信息安全風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)的、全面的、有效的、不斷改進(jìn)的管理，并強(qiáng)調(diào)信息安全管理的目的是保持機(jī)構(gòu)及企業(yè)業(yè)務(wù)的連續(xù)性不受信息安全事件的破壞，要從機(jī)構(gòu)或企業(yè)現(xiàn)有的資源和管理基礎(chǔ)為出發(fā)點(diǎn)，建立信息安全管理體系（ISMS），不斷改進(jìn)信息安全管理的水平，使機(jī)構(gòu)或企業(yè)的信息安全以最小代價(jià)達(dá)到需要的水準(zhǔn)。保護(hù)信息安全，建立信息安全管理體系是機(jī)構(gòu)或企業(yè)營運(yùn)的重要工作之一，尤其是BS 7799-2: 2002是目前最完整的參考依據(jù)，它以“計(jì)劃（Plan）、實(shí)施（Do）、檢查（Check）、行動(dòng)（Action）”模式，將管理體系規(guī)范導(dǎo)入機(jī)構(gòu)或企業(yè)內(nèi)，以達(dá)到“持續(xù)改進(jìn)”的目的。

 （4）PRINCE2

PRINCE2（Projects In Controlled Environments）是一種對項(xiàng)目管理的某些特定方面提供支持的方法。PRINCE2描述了一個(gè)項(xiàng)目如何被切分成一些可供管理的階段，以便高效地控制資源的使用和在整個(gè)項(xiàng)目周期執(zhí)行常規(guī)的監(jiān)督流程。PRINCE2的視野并不僅僅限于對具體項(xiàng)目的管理，還蓋了在組織范圍對項(xiàng)目的管理。

 IT治理難點(diǎn)分析

 “中國特色的IT治理該如何做？”這個(gè)問題是目前IT治理存在的核心問題，到底IT治理在中國是否可行。我們可以列舉出若干個(gè)有關(guān)IT治理的“難點(diǎn)”。

 難點(diǎn)1：如何實(shí)現(xiàn)COBIT、ITIL、ISO/IEC17799和PRINCE2的整合，構(gòu)建善治的IT治理機(jī)制？

難點(diǎn)2：中國的IT治理有兩條路，一是直接應(yīng)用國外相對成熟的標(biāo)準(zhǔn)，二是借鑒國外的做法建立中國自己的治理標(biāo)準(zhǔn)，中國應(yīng)該選擇哪一條路？

難點(diǎn)3：中國的企業(yè)應(yīng)該最先導(dǎo)入什么標(biāo)準(zhǔn)，以及以后如何逐步導(dǎo)入其他標(biāo)準(zhǔn)？

難點(diǎn)4：中國信息化建設(shè)如何解決好核心的技術(shù)、流程和人的問題，尤其是流程和人的問題？

難點(diǎn)5：中國怎樣借鑒全球著名的“最佳實(shí)踐”？

難點(diǎn)6：在不完善的公司治理結(jié)構(gòu)的基礎(chǔ)上，中國的企業(yè)能否以及如何做好IT治理？

難點(diǎn)7：IT治理如何得到政府部門的認(rèn)可，如何從法律上制定相應(yīng)的標(biāo)準(zhǔn)？

難點(diǎn)8：第三方審計(jì)、第三方監(jiān)理能否以及如何在中國得到切實(shí)的貫徹執(zhí)行？

難點(diǎn)9：IT治理的過程由誰來負(fù)責(zé)，又由誰來執(zhí)行？

難點(diǎn)10：作為上千萬家中小企業(yè)，該如何導(dǎo)入IT治理？

難點(diǎn)11：中國建立一套國外一百多年前的現(xiàn)在企業(yè)制度都那么難，而且做得不倫不類；那么現(xiàn)在討論IT治理的實(shí)施是不是有點(diǎn)不切實(shí)際？

這些難點(diǎn)將成為IT治理能否在中國獲得進(jìn)一步發(fā)展的關(guān)鍵要素。IT治理這種提法很好，但是如何給中國的企業(yè)帶來價(jià)值并沒有明朗。

 IT治理，中國需要嗎？

 中國的信息化的投資回報(bào)一直是我們討論的重要話題之一。有人說，信息化看不出來給企業(yè)帶來多大價(jià)值，有人說，信息化的投資回報(bào)是一種軟效益，難以量化確定；也有人說，信息化的效益更多地體現(xiàn)為一種隱性效應(yīng)、長期效應(yīng)。

從IT治理的使命來看，它是為提升信息化的投資收益率服務(wù)的，是為了確保IT戰(zhàn)略與企業(yè)戰(zhàn)略保持更好的一致性，是為了提升IT投資在企業(yè)利潤貢獻(xiàn)中的作用。但分析中國目前信息化建設(shè)以及信息中心的現(xiàn)狀，談IT治理，本人認(rèn)為難度較大。也許現(xiàn)在只能停留在概念形成階段，還遠(yuǎn)沒有到應(yīng)用和實(shí)施階段。

作者聯(lián)系方式：guancrm@163.com