导图社区 第4章 信息系统治理
- 7
- 0
- 0
- 举报
第4章 信息系统治理
这是一篇关于第4章 信息系统治理的思维导图,主要内容包括:概念,IT 治理基础,IT 治理体系,IT 治理任务,IT 治理方法与标准,IT 治理的 EDM,IT 治理关键域。
编辑于2025-10-10 23:20:49- 教程
- 信息系统管理工程师
- 信管
- 第2版
- 信息系统治理
- 相似推荐
- 大纲
第4章 信息系统治理
概念
IT 治理是描述组织采用有效的机制,对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织的战略目标的过程。
IT 治理基础
IT 治理的驱动因素
驱动组织开展高质量 IT 治理的因素
良好的 IT 治理能够确保组织 IT 投资的有效性;
IT 属于知识高度密集型领域,其价值发挥的弹性较大;
IT 已经融入组织管理、运行、生产和交付等领域,成为各领域高质量发展的重要基础;
信息技术的发展演进以及新兴信息技术的引入,可为组织提供大量新的发展空间和业务机会等;
IT 治理能够推动组织充分理解 IT 价值,从而促进 IT 价值挖掘和融合利用;
IT 价值不仅仅取决于好的技术,也需要良好的价值管理,及场景化的业务融合应用;
高级管理层的管理幅度有限,无法深入 IT 每项管理中,需要采用明确责权和清晰管理的方式确保 IT 价值;
成熟度较高的组织以不同的方式治理 IT,获得了领域或行业领先的业务发展效果。
IT 治理的内涵主要体现在 5 个方面
IT 治理作为组织上层管理的有机组成部分,由组织治理层或高级管理层负责,从组织全局的高度对组织信息化与数字化转型做出制度安排,体现了治理层和高级管理层对信息相关活动的关注;
IT 治理强调数字目标与组织战略目标保持一致,通过对 IT 的综合开发利用,为组织战略规划提供技术或控制方面的支持,以保证相关建设能够真正落实并贯彻组织业务战略和目标;
IT 治理保护利益相关者的权益,对风险进行有效管理,合理利用 IT 资源,平衡成本和收益,确保信息系统应用有效、及时地满足需求,并获得期望的收益,增强组织的核心竞争力;
IT 治理是一种制度和机制,主要涉及管理和制衡信息系统与业务战略匹配、信息系统建设投资、信息系统安全和信息系统绩效评价等方面的内容;
IT 治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等多个方面,共同构建完善的 IT 治理架构,以实现数字战略和支持组织的目标。
IT 治理的目标价值
IT 治理的主要目标
与业务目标一致
有效利用信息与数据资源
风险管理
IT 治理的管理层次
最高管理层
主要职责
证实 IT 战略与业务战略一致
证实通过明确的期望和衡量手段交付 IT 价值
指导 IT 战略、平衡支持组织当前和未来发展的投资
指导信息和数据资源的分配
执行管理层
主要职责
制定 IT 的目标
分析新技术的机遇和风险
建设关键过程与核心竞争力
分配责任、定义规程、衡量业绩
管理风险和获得可靠保证
业务与服务执行层
主要职责
信息和数据服务的提供和支持
IT 基础设施的建设和维护
IT 需求的提出和响应
IT 治理体系
概念
IT 治理的核心关注 IT 定位和信息化建设与数字化转型的权责划分。
IT 治理体系的构成
IT 定位
IT 应用的期望行为与业务目标一致
IT 组织架构
业务和 IT 在治理委员会中的构成
组织 IT 与各分支机构的 IT 全责边界
IT 治理内容(助记:计策管风投)
决策
投资
风险
绩效
管理
IT 治理流程
统筹
评估
指导
监督
IT 质量效果
内外评价
IT 治理关键决策
有效的 IT 治理必须关注 5 项关键决策(助记:原价基也投)
IT 原则
组织高层关于如何使用 IT 的陈述
IT 架构
组织从一系列政策、关系以及技术选择中捕获的数据、应用和基础设施的逻辑,以达到预期的商业、技术的标准化和一体化。
IT 基础设施
集中协调、共享 IT 服务,可以给组织的 IT 能力提供基础
业务应用需求
为购买或内部开发 IT 应用确定业务需求。
IT 投资和优先顺序
关于应该在 IT 的哪些方面投资以及投资多少的决策,包括项目的审批和论证技术
IT 治理体系框架
IT 治理体系框架内容(助记:战机组域标记)
IT 战略目标
为实现 IT 价值和目标,使组织从 IT 投入中获得最大收益,而针对 IT 与业务关系、IT 决策、IT 资源利用、IT 风险控制等方面制定的目标。
IT 治理组织
界定组织中各相关主体在各自方面的治理范围、责权划分及其相互关系的准则,它的核心是治理组织(如 IT 治理委员会等)的设置和权限的划分。
各治理组织职权的分配以及各机构间的相互协调。
它的强弱直接影响治理的效率和效能,对 IT 治理效率起着决定性的作用。
IT 治理机制
IT 治理机制是 IT 治理决策机制、执行机制、风险控制机制、协调机制的综合体。
IT 治理域
IT 治理域是在 IT 治理的规则之下,对组织 IT 资源进行整合与配置。
确保信息化“高效做事情”、数字化“敏捷做决策”。
其内容包括 IT 信息系统的计划、构建、运维与监控等。
IT 治理标准
IT 治理标准包括 IT 治理基本规范、IT 治理实施参照、IT 治理评价体系和 IT 治理审计方法等方面,它是组织实施 IT 治理的最佳实践和对标依据。
IT 绩效目标
IT 绩效目标关注 IT 价值的实现,评价 IT 规划与 IT 构建过程中是否满足业务需求以及构建过程中工期、成本、质量是否达到目标。
IT 治理核心内容
IT 治理本质上关心
实现 IT 的业务价值
通过 IT 与业务战略匹配来实现
IT 风险的规避
在组织内部建立相关职责来实现
IT 治理的核心内容(助记:疯子家族战绩)
组织职责
组织职责指组织参与 IT 决策与管理的所有人员的集合,明确组织信息部门和业务部门之间的关系和责任,正确划分信息系统的所有者、建设者、管理者和监控者。
战略匹配
IT 治理的一个重要内容是使组织的 IT 建设与组织战略相匹配,也就是通常所说的“战略匹配”。
资源管理
资源管理的主要功能是确保用户对组织的应用系统和基础设施都有良好的理解和应用,优化 IT 投资、IT 资源(人、应用系统、信息、基础设施)的分配,做好人员的培训、发展计划,以满足组织的业务需求。
价值交付
通过对 IT 项目全生命周期的管理,确保 IT 能够按照组织战略实现预期的业务价值。
价值交付就是创造业务价值。
风险管理
风险管理是确保 IT 资产的安全和灾难的恢复、组织信息资源的安全,以及人员的隐私安全。
风险管理就是保护业务价值。
绩效管理
绩效管理主要是追踪和监视 IT 战略、IT 项目的实施、信息资源的使用、IT 服务的提供,以及业务流程的绩效。
IT 治理机制相关经验
建立 IT 治理机制的原则
简单
透明
适合
IT 治理众多最佳实践的经验
IT 指导委员会要吸纳有才干的业务经理,使之负责组织范围的 IT 治理决策,并在 IT 原则中加入严格的成本控制。
谨慎管理组织的 IT 架构和业务架构,以降低业务成本。
设计严格的架构例外处理流程,使昂贵的例外最小化,并可以从中不断学习。
建立集中化的 IT 团队,用以管理基础设施、架构和共享服务。
应用连接 IT 投资和业务需求的流程,既可以增加透明度,又可以权衡中心和各运营部门或团队的需求。
设计需要对 IT 投资进行集中协作和核淮的 IT 投资流程。
设计简单的费用分摊和服务级别协议机制,以明确分配 IT 开支。
IT 治理任务
组织的 IT 治理活动定义
统筹
统筹现在和未来的 IT 战略和组织规划、管理和绩效的实施计划、策略。
评估
评估信息技术应用与服务创新解决方案及措施等的有效性。
指导
指导 IT 管理实施、绩效考评、风险控制和业务创新。
监督
监督 IT 与业务的一致性、符合性及 IT 应用的合规性。
IT 治理活动的主要任务(助记:全价机创文)
全局统筹
制定满足可持续发展的 IT 蓝图;
实施科学决策、集约管理的策略,实现横向的业务集成和纵向的业务管控,通过内外部的监督,确保 IT 与业务的一致性和适用性;
建立适应内外部信息环境变化的持续改进和创新机制。
价值导向
认可信息技术、信息系统和数据在组织中的价值;
识别投资目录,并以相应的方式进行评估和管理;
对关键指标进行设定和监督,并对变化和偏差做出及时回应;
权衡实施成本与预期效益,并随组织内外部环境的变化及时调整。
机制保障
指导建立规范过程管理和痕迹管理,并向利益相关者公开质量设定举措;
评审 IT 管理体系的适宜性、充分性和有效性;
审计 IT 的完整性、有效性和合规性;
监督由审计和管理评审提出的改进内容的实施。
创新发展
创造基于业务团队与 IT 团队的深度沟通以及对内外部环境感知和学习的技术创新环境;
确保技术发展、管理创新、模式革新的协调联动;
对组织创新能力进行评估,并对关键创新要素进行分析和评价;
通过促进和创新有效抵御风险,并确保创新是组织文化的组成部分。
文化助推
建立与 IT 发展相适应的组织文化发展策略;
营造包括知识、技术、管理、情操在内的积极向上的文化氛围;
根据组织内部环境的变化,评估并改进组织文化的管理。
IT 治理方法与标准
典型的 TI 治理方法与标准
信息技术服务标准(ITSS)库中的 IT 治理系列标准
信息和技术治理框架(COBIT)
IT 治理国际标准(ISO/IEC 38500)
ITSS 中的 IT 服务治理
概念
我国 IT 治理标准化研究是围绕 IT 治理研究范畴,为 IT 过程、IT 资源、信息与组织战略、组织目标的连接提供了一种机制。
通过指导、实施、管理和评价等过程,确保 IT 支持并拓展组织的战略和目标。
在 IT 治理目标和边界确定的情况下,IT 治理围绕决策体系、责任归属、管理流程、内外评价 4 个方面。
IT 治理通用要求
概念
GB/T 34960.1 《信息技术服务 治理 第1部分:通用要求》规定了 IT 治理的模型和框架、实施 IT 治理的原则,以及开展 IT 顶层设计、管理体系和资源的治理要求。
该标准可用于
建立组织的 IT 治理体系,并实施自我评价
开展信息技术审计
研发、选择和评价 IT 治理相关的软件或解决方案
第三方对组织的 IT 治理能力进行评价
该标准定义的 IT 治理模型
治理的内外部要求
治理主体
治理主体以组织章程、监管职责、利益相关方期望、业务压力和业务要求为驱动力,建立评估、指导、监督的治理过程并明确任务。
治理方法
信息技术及其应用的管理体系
该标准定义的 IT 治理框架
顶层设计
战略
组织
架构
管理体系
质量管理
项目管理
投资管理
服务管理
业务连续性管理
信息安全管理
风险管理
供方管理
资产管理
其他管理
资源
基础设施
应用系统
数据
IT 治理实施指南
概念
GB/T 34960.2《信息技术服务 治理 第2部分:实施指南》提出了 IT 治理通用要求的实施指南,分析了实施 IT 治理的环境因素,规定了 IT 治理的实施框架、实施环境和实施过程,并明确顶层设计治理、管理体系治理和资源治理的实施要求。
该标准可用于
建立组织的 IT 治理实施框架,明确实施方法和过程
组织内部开展 IT 治理的实施
IT 治理相关软件或解决方案实施落地的指导
第三方开展 IT 治理评价的指导
该标准定义的 IT 治理框架
实施环境
内外部环境
促成因素
实施过程
统筹和规划
构建和运行
监督和评估
改进和优化
治理域
顶层设计
管理体系
资源
信息和技术治理框架(COBIT)
治理和管理目标
概念
在 COBIT 中治理目标被列入评估、指导和监控(EDM)领域,在这个领域,治理组织将评估战略方案、指导高级管理层执行所选的战略方案并监督战略的实施。
治理目标与治理流程有关,而管理目标与管理流程有关。
治理流程通常由董事会和执行管理层负责
管理流程则在高级和中级管理层的职责范围内
管理目标分为 4 个领域
调整、规划和组织(APO)领域
针对 IT 的整体组织、战略和支持活动
内部构建、外部采购和实施(BAI)领域
针对 IT 解决方案的定义、采购和实施以及它们到业务流程的整合
交付、服务和支持(DSS)领域
针对 IT 服务的运营交付和支持,包括安全
监控、评价和评估(MEA)领域
针对 IT 的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度
COBIT 治理系统的组件
流程
组织结构
原则、政策和程序
信息
文化、道德和行为
人员、技能和胜任能力
服务、基础设施和应用程序
信息和技术治理解决方案的设计
概念
COBIT 设计指南描述了组织如何设计量身定制的组织 IT 治理解决方案。
COBIT 定义的 IT 治理系统设计因素
组织战略
组织目标
风险概况
IT 相关问题
威胁环境
合规性要求
IT 角色
IT 采购模式
IT 实施方法
技术采用战略
组织规模
未来因素
COBIT 治理系统设计工作流程
了解组织环境和战略
确定治理系统的初步范围
优化治理系统范围
最终确定治理系统的设计
IT 治理国家标准
概念
2008 年 4 月,ISO/TEC 正式发布 IT 治理标准 ISO/IEC 38500,它的出台不仅标志着 IT 治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段,而且也标志着信息化正式进入 IT 治理时代。
在组织内有效、高效和可接受地使用信息技术(IT)的指导原则
责任
战略
收购
性能
一致性
人的行为
IT 治理的 EDM
概念
治理组织可以通过评估(Evaluate)、指导(Direct)、监视(Monitor)三个方面来治理 IT,简称 EDM。
在使用 EDM 的过程中,需要借鉴和使用 ISO 38500 给出的 IT 治理的 6 个原则。
职责分工
IT 支持组织发展
可获得性
可用性
合规性
以人为本
EDM 的具体过程
评估现在和将来对 IT 的利用情况。
对策略和方针的相关准备事项和实施进行指导,以保证 IT 的使用是符合业务目标的。
监视方针的符合性,以及对应计划的实际绩效。
IT 治理关键域
IT 治理框架包含信息技术三个治理关键域
顶层设计
管理体系
资源
顶层设计
概念
围绕组织 IT 整体与统筹部分,相关治理包括信息技术的战略,以及支撑战略的组织和架构。
战略
概念
组织战略是组织高质量发展的总体谋略,是组织相关方就其发展达成一致认识的重要基础。
组织战略是指组织针对其发展进行的全局性、长远性、纲领性目标的策划和选择。
组织战略体现了组织的使命、愿景和价值观,反映了管理者对于行动、环境和业绩之间关键联系的理解,它是组织策划具体行动计划的起点。
IT 战略是业务战略的有机组成部分,它定义出 IT 的目标、发展思路、愿景蓝图、建设和运维、管理策略等,对实现组织业务创新和管理提升具有重要意义。
建立 IT 战略与业务战略统一的机制,保证业务战略目标实现,是 IT 治理的核心目标之一。
战略目标
概念
战略目标是组织在一定的战略期内总体发展的总水平和总任务。
它决定了组织在该战略期间的总体发展的主要行动方向,是组织战略的核心。
组织的战略目标是多元化的,包含经济性目标和非经济性目标,也包含定量目标和定性目标。
战略目标的制定要明确对象和时间范围,定量和定性相结合,短、中、长期目标衔接并协调好。
战略类型
发展性战略
发展型战略是指组织从现有战略基础水平上向更高一级的目标发展的战略。
稳定型战略
稳定型战略是指组织由于其运行环境和内部条件的限制,在整个战略期内基本保持战略起点的运行绩效范围和水平的一种战略。
这是一种风险相对较低的战略。
当组织较为满意过去的运行绩效和方法,选择延续基本相同的产品和服务时,可以采取这类战略。
紧缩型战略
紧缩型战略是指组织从当前战略运行领域和基础水平收缩和撤退,与战略起点偏离较大的一种运行战略。
紧缩型战略是一种消极的发展战略,一般作为短期性的过渡战略。
其他类型战略
组织的总体战略还包括复合型战略、联盟战略、成本领先战略、差异化战略、集中化战略等。
战略特性
全局性
长远性
纲领性
指导性
竞争性
风险性
相对稳定性
创新和改进的要素
内外部发展环境对战略规划的影响,包括客户和用户需求、技术或监管环境等。
在业务增长、发展趋势等方面的预测及其与实际的差异。
提升业务增长和盈利的措施。
竞争优势和发展水平分析及改进措施。
风险分析及改进措施。
战略绩效管理体系和人力资源系统的整合优化。
组织
概念
组织需要建立 IT 治理实施的机制和机构,确保治理团队、机构和人员能力满足 IT 治理的需求。
组织定位应包括有清晰的使命、愿景和目标,有明确的价值观和组织文化来帮助组织实现战略要点,并能够向组织的内外部传达清晰的定位。
所谓业务单元定位战略,是指组织或组织的分支机构在决定进入某行业和领域、生产什么产品或提供何种服务方面所做出的长远性的谋划与方略。 业务单元定位战略实质上是行业或领域中的产品或服务定位战略,也就是在行业或领域定位之后,所做出的产品定位决策或服务定位决策。
IT 治理机制
授权机制
决策机制
沟通机制
IT 治理机构
信息技术战略委员会
信息技术管理和服务机构
业务部门
风险管理部门
审计监督部门
组织愿景
概念
组织愿景是在汇集组织每个员工个人心愿的基础上形成的全体员工共同心愿的美好愿景,描述了组织发展的目的和对如何到达那里的理性认知。
愿景的制定和传达需要注意
要明确说明组织的定位,清哳地表达组织目标,避免笼统宽泛的陈述。
表述应尽量鲜明和形象化,使其可靠且易于传达。
组织使命
概念
组织使命是管理者为组织确定的较长时期的业务发展的总方向、总目的、总特征和总的指导思想,描述了组织所处的社会价值范畴、当前的业务和宗旨。
组织使命陈述涵盖的要素
产品或服务
客户和服务对象
行业或领域
公众形象
自我认知
组织文化
概念
组织文化是组织发展过程中凸显的精神特质与内涵,是组织区别于其他组织的关键因素。
组织文化是组织最为本质的体现之一,是组织发展的原动力。
基本特征
组织文化具有浓厚的文化属性和良好的执行性。
组织文化提出了组织发展涉及的制度、行为等措施,如员工管理方法、员工互动方式、激励机制等,为日常工作提供了具体的实践方法。
架构
概念
一般认为 IT 规划分为三个层面,即 IT 战略、组织架构与 IT 项目,三部分是相互依托、相互促进的,其中架构是核心。
IT 治理组织应指导、评估和监督信息技术架构,以确保支撑信息技术战略目标的实现。
指导信息技术架构的建立,并对规划、设计、实施、服务等过程进行评估和监督。
评估信息技术发展内外部环境的变化,并对信息技术架构进行持续改进。
建立与信息技术架构相适应的管理体系,并进行评估和持续改进。
组织建立的信息技术架构要与组织战略目标、IT 治理目标保持一致,满足信息技术战略的目标和要求,同时满足功能集成、信息集成及数据共享等应用需求。
管理体系
质量管理
概念
组织需要建立信息技术服务及产品质量管理体系,明确治理管理的职责和权限、提供资源保障并持续改进和优化。
质量是产品、服务或成果的一系列内在特征满足需求的程度。
质量包括满足客户明示的或隐含的需求的能力。
保持关注过程和成果的质量,过程和成果要符合项目目标,并与干系人提出的需求、用途和验收标准保持一致。
质量不仅与项目成果有关,也与生成项目成果的项目方法和活动有关。
质量管理更加关注过程的质量,侧重于在过程中提前发现和预防错误及缺陷的发生。
目标
快速交付成果
尽早识別缺陷并采取预防措施,避免或减少返工和报废
项目管理
概念
组织需要建立项目管理机制,制订项目计划,确定项目范围,建立成本、进度和质量的控制机制,建立和维护项目管理的流程和方法,统计分析项目的完成情况,并评估绩效。
投资管理
概念
组织需要根据投资目标和规划,合理安排资金投放结构,科学确定投资项目,建立投资的拟订方案、可行性论证、方案决策、投资计划编制、投资计划实施、投资项目到期处置等制度。
IT 投资治理需要重点关注的问题
业务需求治理不足
IT 决策流程缺乏管控
IT 项目排序不科学
解决思路
一是对业务需求进行科学治理
二是建立合理的项目投资决策机制和流程
第三个是技术层面的问题,利用多项目管理的技术为需求排序,同时管理多个并行的项目。
服务管理
概念
组织要建立信息技术的服务管理机制,控制服务实施的风险,提升服务管理能力,并定期评价服务绩效。
IT 服务管理是通过主动管理和流程的持续改进来确保 IT 服务交付有效且高效的一组活动。
IT 服务管理的活动
服务台
事件管理
问题管理
变更管理
配置管理
发布管理
服务级别管理
财务管理
容量管理
业务连续性管理
可用性管理
业务连续性管理
概念
组织要建立业务连续性管理框架,包括业务连续性管理程序、程序维护和评审、连续性恢复后评价,并把业务连续性植入组织文化。
服务连续性管理是一组与组织持续提供服务的能力相关的活动,主要是在发生自然或人为灾难时继续保持服务有效性的活动。
服务连续性管理包括业务连续性管理框架、应急管理与灾难恢复。
信息安全管理
概念
组织要制定信息安全管理目标、方针和策略,建立信息安全组织并明确责任,制定信息安全管理制度,定期开展信息安全培训,确保制度落实。
信息安全是指信息的保密性、完整性和可用性的保持。
所谓信息安全治理,是指最高管理层用来监督管理层在信息安全战略上的过程、架构及业务的关系,以确保信息安全战略与组织的业务目标一致。
风险管理
概念
组织要建立信息技术风险管理机制,制定信息技术风险管理原则、目标和策略,建立管理制度和组织,明确责任人、角色和职责,识别、分析、评价、处置信息技术风险,提升风险应对能力,确保风险降低到组织可接受的程度。
风险是伴随着整个生命周期的,在整个生命周期里应该设计一套流程来识别、评估、监控和报告风险。
供方管理
概念
组织要建立供方管理机制,明确供方管理的职责、流程和方法,建立供方评估机制,保护组织的商业秘密和知识产权,以及组织所涉及的个人隐私。
资产管理
概念
组织要建立信息技术资产应用、资产财务、资产有效性的管理体系,并对管理内容进行关联。
所谓信息资产,是指一种在资产负债表之外,经过逐渐积累的,可以被用来提升机构竞争优势的信息。
其他管理
概念
信息技术管理体系中还包括其他方面,例如变更管理、预算管理、需求管理、绩效管理等,组织在实施治理时,同样需要根据相关标准结合组织战略制定相应的管理策略、机制和方法。
资源
概念
资源管理的主要功能是确保用户对组织的应用系统和基础设施都有良好的理解和应用,优化 IT 投资、IT 资源(人、应用系统、信息、基础设施)的分配,做好人员的培训、 发展计划,以满足组织的业务需求。
基础设施
概念
组织需要制定信息技术基础设施的规划,建立基础设施建设、采购、实施和运维机制,制定基础设施管理策略和方法。
组织需要识别实现组织的战略目标的关键基础设施,识别需要在组织级实现的基础设施以及与之匹配的服务水平需求;建立基础设施服务定价的机制;建立基础设施的持续改进更新以及基础设施外包制度。
应用系统
概念
组织需要建立信息技术应用系统设计、开发、变更和测试的保障机制,保证功能、性能和安全等满足要求。
数据
概念
组织需要明确数据治理框架,建立数据治理机制和管理机制,完善数据治理的生命周期。