应对IT治理与风险管理 IBM提出五点切入实现“三化”

日期: 2008-04-06 作者:李坤吴蔚 来源:TechTarget中国

  一家堪称零售业巨头的公司,总部的数据库被人非法访问,窃取超过4560万份个人的信用卡、借记卡的信息;一家金融公司由于宕机,一小时损失30万欧元……类似这样的事情可以说时常发生在我们的生活中。这些教训应该使我们认识到:加强企业IT风险管理、加强IT治理和优化已迫在眉睫。企业需要一个端到端的业务不间断性计划,从评估一直到实施,为业务运行保驾护航。


  IT治理面临的挑战


  在中国经济强劲增长的背后,企业的业务发展与创新对IT的依赖程度越来越高。但是正如汽车需要保养一样,IT系统同样需要类似的保养、优化与管理(IT治理与风险管理),这时IT系统才不会宕机、不会泄露商业机密、不违反法规遵从,从而保证IT与业务目标的一致性。缺乏IT治理与风险管理的企业所面临的风险是巨大的。IBM软件集团大中华区总经理Bete F. Demeke认为,环境的变化对于今天的IT治理提出了众多的挑战。


  对于今天的中国企业而言,随着市场变化脚步的加快,企业员工的流动性也变得越来越强,随之而来的是信息安全风险上升的平衡问题。由于人员的流动,企业信息系统内的数据可能面临与前文案例企业一样的风险,包括数据丢失、数据泄露、数据被更改等。


  除了员工流动性增强外,企业的全球化拓展也是中国企业当前的一个显著特征,国家工商行政管理总局的统计数据显示,2006年有5000多家中国投资实体在海外172个国家和地区建立了1万多家公司,2008年这一数字还在快速增加。快速扩展也给企业带来众多IT治理和风险管理方面的难题:海内外系统业务连续性、各级系统访问安全控制、不同国家地区的法规遵从……


  一些中国公司虽然已经在海外拓展了业务,但是国内外的业务连续性始终无法保证,最后导致企业经营失败。类似的问题,随着中国市场快速变化和企业信息化进程的深入,已经成为企业必须面对的挑战。


  服务管理是治理基础


  到今天,相信所有的IT管理人员都能了解IT治理的重要性。而如何成功实现IT治理,则涉及到服务管理、安全和业务容灾性三个方面的内容。不同企业的侧重也不同。


  对于上海电信这类企业来讲,他们需要解决的是多系统引发的应用复杂性提升的问题;对于中化集团来讲,他们需要解决支持业务连续性的灾备问题;而对于交通银行而言,他们可能最需要解决的是授权不当引发的信息安全漏洞问题。


  针对上述种种问题,IBM软件集团亚太区Tivoli软件总经理Mitchell Young表示,IT服务管理是成功实现IT治理的基础,企业首先应当建立起组织服务的管理能力,而IBM认为成功的服务管理必须具备三个要素:实现IT和业务的可视化、可控化和自动化。


  实际工作中,企业管理层、业务部门和运维部门以及合作伙伴都期望在各自的权限范围内,实时“看到”同自己相关的企业业务和IT运行状况,为企业决策提供及时准确的信息、避免业务风险和危机,从而保证业务连续性与业务目标的实现,这就是IBM强调的IT和业务的可视化。


  可视化的核心是指企业应当对业务和IT实现全面可视。对此,IBM提出了IT业务仪表板(Business of IT Dashboard)解决方案。它是一个基于资产评估的服务套件,通过帮助客户评估其当前IT治理领域的优缺点,为企业提供系统各级用户完整视图,帮助企业外部客户了解业务相关信息,以帮助他们规划和管理在线行为,从而实现IT业绩与企业业绩同步。


  而对于资产控制而言,企业期望IT不仅仅是在控制IT资产,还应当有效管理和控制非IT资产,进而帮助企业提升资产使用率和投资回报率。该愿望与IBM强调的IT和业务可控性不谋而合。


  Gartner认为,有效的企业资产管理(EAM)在第一年中将为企业带来30%的成本降低,并在未来的5年内持续带来5%到10%的节省。而来源于一家全球知名金融杂志的调查显示:在大多数企业中,只有40%的企业资产可以很好地被描述并很快被找到,未实现对另外60%企业资产进行管控的原因主要是由企业的底层架构缺乏管控导致的。


  因此,IBM全球信息科技服务部大中华区资讯咨询服务部总经理李雅弼认为,仅专注于IT基础架构的管理已不能满足企业的需要,企业不但需要实现对IT基础架构、网络环境的管理,更需要实现对包括企业业务资产等在内所有业务元素的管理。比如医院,发电机也是重要资产,它对医院的不间断服务发挥着重要作用,也对IT系统起到应急支撑作用。因此,IBM服务管理解决方案中是将IT资产与非IT资产进行统一管理和监控的。


  IT和业务的自动化则是指IT系统应当通过整合的IT流程和自动化工具支持企业关键业务流程,从而降低人力成本和人为因素造成的风险,提升企业敏捷性。IBM的一项调查显示,CIO的预算清单中,约32%花费在人力成本上。也就是说,目前企业主要是由人力来完成IT的运营和维护。
 
  “IBM服务管理解决方案将从IT角度协助企业实现业务服务和流程的自动化。”李雅弼说,“在改进服务质量的同时,帮助企业提升IT生产力。”


  五点切入实现三化


  IT和业务的可视化、可控化和自动化无疑是所有企业都期望获得的,但是通过哪些手段去实现却是一个难题。对此,IBM总结提出了实现三化的五个切入点:IT运维、安全运维、存储运维、企业运维和运营商运维。


  对于电力、能源等需要大规模IT系统支撑日常业务运转的企业而言,从IT运维角度切入实现IT和业务的可视化、可控化和自动化显得更为合适。此时,服务管理能够覆盖到服务提供和流程自动化、服务可用性和性能、SOA管理等方面,通过对服务提供和流程自动化的治理,可有效优化成本控制与服务交付质量;通过对服务可用性和性能的治理,能够让企业从响应式管理转化到前瞻性管理,从而优化IT基础架构利用率和服务可用率;而通过对SOA管理的治理,则将为企业提供一个敏捷、高性能和安全的Web服务基础架构。


  对于类似交通银行这样的金融机构来讲,它们可能最需要解决的是授权不当引发的信息安全漏洞的问题。因此,从安全运维角度切入,服务管理将有效覆盖安全、风险和法规遵从等方面,从而有效规避来自内部和外部的对数据、系统和应用的威胁。


  中化集团在实现以ERP为核心,包括内部办公自动化系统、分销管理系统、内部门户等系统在内的企业信息化平台建设后,迫切需要实现支持业务连续性的容灾能力。此时从存储运维角度切入显得更为合适,这样能够更好地建立高弹性的存储基础架构,保护有价值的信息资产并符合数据保护策略,支撑业务连续运行。


  对于大型制造型企业而言,从企业运维角度切入可能显得更为合适,通过覆盖资产和财务管理,将最大化提升企业范围内业务资产的性能和生命周期。而对于基础运营商而言,直接从运营商运维角度切入,能有效覆盖服务保障,提高服务灵活性,并能成功集成未来的网络技术。


  IBM软件集团大中华区Tivoli软件总经理许伟利认为,成功的服务管理不能仅靠一两个项目完成,它是一个企业IT不断成熟完善的进化过程。IBM期望帮助客户制定可行的服务管理战略规划,为客户提供贯穿服务管理生命周期的成熟工具和随需服务。


  IT治理不仅仅在于工具


  从A地到B地,可以选择很多种不同的方式,可以走路,可以骑自行车,还可以选择开车。一般人都会考虑开车去,因为看起来开车是最快捷的方式,但如果碰上堵车,或者目的地不方便停车,那么开车可能是最不实用的一种方式。而骑自行车和走路,虽然不会很快,但不会碰到以上的问题。


  选择好的工具并不意味着能够最快达到目的地,IT治理也一样。对于企业而言,拥有好的治理工具,在很多时候可以达到事半功倍的效果,但不是所有的企业都适应这种方式。对于大型企业而言,由于其IT系统比较复杂和庞大,单单依靠人工来管理显然不是很现实,像Tivoli这样好的管理工具是必需的。但对于中小企业而言,最重要的并不是管理工具,而在于如何理顺企业的管理流程。流程理顺后,也可以达到不错的效果。在流程没有理顺之前,使用工具不仅仅达不到IT治理的效果,反而是对企业资源的一种更大的浪费。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 专家:有多少云计算风险可以避免?

    IT服务供应商CDW公司的云技术专家Stephen Braat,日前分享了他对于云计算风险管理的看法。

  • CIO如何构建云服务管理框架?

    云风险管理最重要的不在于云服务提供商本身,而是大企业缺乏一种针对云计算的统一框架。诸如数据隐私和安全等技术相关的云计算风险本身就处于快速的变化中,即使技术本身也因服务或提供商的不同而存在显著区别。

  • 不能忽视的工作场合隐私保护

    一个机构又该如何平衡保护个人隐私与满足某种调查目的而需要查看个人隐私之间的关系呢?TechTarget 执行编辑Linda Tucci将为我们带来她的见解。

  • 四步打造成功的企业风险管理方案

    Techtarget根据Forrester一份名为“风险管理手册”里的内容,并结合ISO 31000风险管理标准谈到的“设置环境”,为大家介绍制定风险管理方案的四个步骤。