x

【IT 治理】什么是 IT治理? 协调 IT 和业务战略的正式方式

cioctocdo
23 March 2023
SEO Title
What is IT governance? A formal way to align IT & business strategy

关于 IT 治理,您应该了解的 7 件事,包括选择框架以及如何确保顺利实施。

IT 治理是一个正式的框架,它为组织提供了一种结构,以确保 IT 投资支持业务目标。 1990 年和 2000 年代初颁布的法律法规推动了美国组织对正式的公司和 IT 治理实践的需求,这些法律法规包括 Gramm-Leach-Bliley 法案 (GLBA) 和 Sarbanes-Oxley 法案。 几起备受瞩目的公司欺诈和欺骗案件的后果。

我联系了安全管理提供商 FireMon 的首席技术官 Paul Calatayud,了解他对 IT 治理的意见以及成功实施所需的条件。 Calatayud 领导 Firemon 的企业发展计划,并在产品战略、产品管理和研发方面提供思想领导。 他还是 SANS Institute 的讲师,并且是多家安全相关公司的顾问委员会成员。

1. 什么是 IT 治理?


本质上,IT 治理提供了一种结构,用于使 IT 战略与业务战略保持一致。 通过遵循正式的框架,组织可以为实现其战略和目标产生可衡量的结果。 正式的计划还会考虑利益相关者的利益,以及员工的需求和他们遵循的流程。 总的来说,IT 治理是整个企业治理的一个组成部分。

2. IT治理与GRC(governance, risk and compliance)有什么关系?


根据 Calatayud 的说法,IT 治理和 GRC 实际上是一回事。 “虽然 GRC 是父程序,但决定使用哪个框架的通常是 CISO 的位置和安全程序的范围。 例如,当 CISO 向 CIO 报告时,GRC 的范围通常以 IT 为中心。 当安全报告在 IT 之外时,GRC 可以涵盖 IT 之外的更多业务风险。”

 

3. 为什么组织实施 IT 治理基础设施?


当今的组织受到许多管理机密信息保护、财务责任、数据保留和灾难恢复等方面的法规的约束。 他们还面临来自股东、利益相关者和客户的压力。

为确保满足内部和外部要求,许多组织实施正式的 IT 治理计划,提供最佳实践和控制框架。

4. 什么样的组织使用 IT 治理?


公共和私营部门组织都需要一种方法来确保其 IT 功能支持业务战略和目标。 任何行业中需要遵守与财务和技术责任相关的法规的任何组织都应该关注正式的 IT 治理计划。 然而,实施全面的 IT 治理计划需要大量时间和精力。 在非常小的实体可能只实施基本的 IT 治理方法的地方,更大和更规范的组织的目标应该是一个成熟的 IT 治理计划。

5. 您如何实施 IT 治理计划?


最简单的方法是从一个由行业专家创建并被数千个组织使用的框架开始。 许多框架包括实施指南,以帮助组织以更少的减速带逐步实施 IT 治理计划。

最常用的框架是:

  • COBIT:由 ISACA 发布,COBIT 是“全球公认的实践、分析工具和模型”(PDF) 的综合框架,专为企业 IT 的治理和管理而设计。 凭借 IT 审计的根基,ISACA 多年来扩展了 COBIT 的范围,以全面支持 IT 治理。 最新版本是 COBIT 5,它被专注于风险管理和缓解的组织广泛使用。
  • ITIL:以前是Information Technology Infrastructure Library的缩写,ITIL专注于IT服务管理。 它旨在确保 IT 服务支持业务的核心流程。 ITIL 包括五套管理最佳实践,用于服务策略、设计、转换(如变更管理)、运营和持续服务改进。
  • COSO:这种用于评估内部控制的模型来自 Treadway 委员会 (COSO) 的赞助组织委员会。 与其他框架相比,COSO 的重点较少针对 IT,而是更多地关注企业风险管理 (ERM) 和欺诈威慑等业务方面。
  • CMMI:由软件工程研究所开发的能力成熟度模型集成方法,是一种性能改进方法。 CMMI 使用 1 到 5 的等级来衡量组织的绩效、质量和盈利能力成熟度水平。 根据 Calatayud 的说法,“允许插入混合模式和客观测量对于测量本质上是定性的风险至关重要。”
  • FAIR:信息风险因素分析 (FAIR) 是一种相对较新的模型,可帮助组织量化风险。 重点是网络安全和运营风险,目的是做出更明智的决策。 虽然它比这里提到的其他框架更新,但 Calatayud 指出它已经获得了财富 500 强公司的广泛关注。

6. 如何选择使用哪个框架?


大多数 IT 治理框架旨在帮助您确定 IT 部门的整体运作方式、管理需要哪些关键指标以及 IT 从其投资中回馈给业务的回报。

COBIT 和 COSO 主要用于风险管理,而 ITIL 则有助于简化服务和运营。 尽管 CMMI 最初是为软件工程设计的,但它现在涉及硬件开发、服务交付和采购等流程。 如前所述,FAIR 直接用于评估运营和网络安全风险

在审查框架时,请考虑您的企业文化。 特定的框架或模型看起来是否适合您的组织? 它是否引起利益相关者的共鸣? 该框架可能是最佳选择。

但是您不必只选择一个框架。 例如,COBIT 和 ITIL 相互补充,因为 COBIT 经常解释为什么在 ITIL 提供“如何”的情况下完成或需要某事。 一些组织已经使用 COBIT 和 COSO,以及 ISO 27001 标准(用于管理信息安全)。

7、如何确保顺利实施并取得积极成果?


成功的最重要途径之一是获得高管的支持。 Calatayud 建议成立一个风险管理委员会,由顶级赞助商和业务代表组成。 “为确保这是一个有效的计划,它需要得到广泛的业务领导者的支持。” 他还建议与董事会或审计委员会分享结果,以“在项目开始被忽视时培养真正的注意力”。

与任何重大项目一样,您应该始终保持各方之间的沟通渠道畅通,衡量和监控实施进度,并在需要时寻求外部帮助。

文章链接
https://cioctocdo.com/what-it-governance-formal-way-align-it-business-strategy

标签