企业IT治理与风险防范

日期: 2010-04-07 来源:TechTarget中国

  网络在中国正日益普及。中国企业的经营管理也逐步走入信息化时代,尤其是最近几年,信息技术与信息系统对中国企业的组织形态、治理结构、管理体制、运作流程、商业模式等的影响是非常深远的。回顾几年来的发展,“信息化带动工业化、工业化促进信息化”的国家战略已日益深人人心,中国企业的信息化应用取得了世人瞩目的成就。

  企业信息化主要包括产品设计的信息化、生产过程的信息化、产品/服务销售的信息化、经营管理信息化、决策信息化以及信息化人才队伍的培养等多个方面。现代信息技术的迅猛发展和飞速普及,使企业生存和竞争环境发生了根本变化,信息化建设成为企业获取竞争优势的最终选择。与此同时,我们也要清醒地认识到,随着信息化建设和应用的深入发展,在企业的IT基础设施建设渐成规模的时候,IT对企业核心业务的重要性也日益凸显。然而,缺乏对IT风险的有效监控和治理,使许多企业正饱受这样一些困扰:企业的IT和数据始终面临风险,却缺乏总体的安全措施;企业无法预测潜在的风险,更不能采取有针对性的措施;企业无法保证IT的高可用性,更不能让其及时响应业务需求,并为企业、客户提供高质量的服务等等。

  因此,加强企业IT风险管理、加强IT治理和优化已迫在眉睫。企业需要一个端到端的业务不间断性计划,从评估一直到实施,为企业的业务运行保驾护航。

  一、建立完善的IT系统灾难处理解决方案

  也许绝大多数企业的IT系统都会遇到各种各样的意外情况,比如:断电、病毒、硬件故障、应用系统升级等导致的系统问题。有些公司设有备份中心,发生灾难时可以及时从主中心切换到备份中心,以保证系统正常运转。但是很多公司的系统,从主中心切换到备份中心的时候,实际上没有办法把主中心的业务百分之百的切换过来,这样就会发生很多问题,导致很多用户无法正常使用。

  企业在建立灾备中心时应该考虑很多问题,不仅要进行数据切换的演练,新业务上马的时候,还有很多地方要去考虑。一个备份中心不单单是建设的概念,往往和管理有关系。如何保证关键业务的不停顿,灾备的概念早就从单纯的数据保护或数据备份扩展到了BCM(业务持续管理)。

  对于金融行业的用户,银监会出台了《商业银行操作风险管理指引》、《银行业金融机构信息系统风险管理指引》,一个是在商业角度的规范,一个是金融机构的IT业务上的规范。要求银行要具备和自己的商业规模和商业运作的复杂度相匹配的业务连续性计划,这个应急计划是要经过测试的,真正发生灾难的时候能够真正起到保护金融机构以及客户的利益。对于灾备中心的定义也做了相关规定,如果是两省以下的业务中断,超过6小时要上报银监会,省级以下的数据中心需要有数据备份以及保存,省级的数据中心需要有实时的数据备份。还要有恢复能力。

  目前很多大型国有银行基本上具备了在两地或者三地的灾备中心,从软件和硬件,软件和服务来架构一个安全体系。其中有些银行已经完成了业务连续方案的设定以及演变,有的正在积极从事业务连续和稳定化的设计和编制以及演练过程。

  很多国外企业在业务持续性与可用性咨询及解决方案方面积累了非常丰富的经验,并且形成了一套相对科学完整的方法论和工具体系,并拥有全面的解决方案。中国企业借助他们的经验往往比企业纯粹自己摸索,闭门造车要更经济,更有效。利用他们成功经验和完善全面的解决方案可以帮助企业应对数据保护与完整性;应用的冗余与备份;数据库、系统与网络、数据中心的物理安全性与备份;身份认证和管理;入侵检查、病毒防范;漏洞检测和主动修补;现场和办公场所备份与恢复;广泛领域内的灾难恢复等业务风险。

  二、切实加强企业的IT治理

  在中国经济强劲增长的背后,中国企业的业务发展与创新对IT的依赖程度也是越来越高。正如汽车需要保养一样。IT系统同样需要保养、优化与管理,也就是IT治理与风险管理,用以保证IT系统正常运作、不会泄露企业的商业机密,缺乏IT治理与风险管理的企业所面临的风险是巨大的。

  IT治理超越了单纯的IT技术应用。强调从企业经营管理的战略及其实施层面,对IT应用以及信息化进程进行管理和控制,从而更好地实现企业IT应用目标,进一步提升企业信息化绩效,促进企业充分开发利用IT资源以增强企业的核心竞争力,为企业应对IT应用挑战提供了新颖的思路和有效的途径。

  作为IT资源管理领域发展的重要方向,IT治理还处于新生期,由于企业缺乏对IT治理规律的深入认识与理解,常常与IT管理混为一谈,导致企业IT治理的效果并不理想。

  事实上很多企业对IT的管理都非常重视,但由于没有规范流程和方法,绝大多数企业不得不面临着三个问题:

  一是IT环境不足够可靠,例如尽管网络、服务器、数据库、应用软件等都达到了99.5%的可用性,但结果仍意味着一年要有10多天的停机时间;

  二是IT部门扮演的仍是“救火队”的角色,处于被动的服务状态,哪里有问题就扑向哪里,服务质量和业绩没有量化的标准;

  三是IT管理依靠“天才”来支撑,由于缺少相应的流程和知识积累,IT管理过多的依赖于人,关键人员的流动甚至可能会造成企业IT系统的瘫痪。因此,可以说多数企业目前的IT管理还处于被动服务的较低级层次,而IT服务管理是更高层次的TT管理,是变被动服务为主动服务,甚至要能够先知先觉,预测到可能会出现的问题、从而能主动处理问题,而实现这一目标的关键不仅需要IT管理工具的支撑,同时更要有规范的流程和人员的技能。IT服务管理是成功实现IT治理的基础,企业首先应当建立组织服务管理能力。成功的IT服务管理必须具备二个要素:实现IT和业务的可视化、可控化和自动化。

  企业管理层、业务部门、运维部门等都期望在各自的权限范围内,实时“看到”与自己相关的企业业务报告和IT运行状况,为企业各种业务运作与决策提供及时准确的信息,避免可能的业务风险和危机,从而保证业务连续性与业务目标的实现,这就是IT和业务的可视化。

  而对于资产控制而言,企业的管理者期望IT不仅仅是在控制IT资产,还应当有效管理和控制非IT资产,进而帮助企业提升资产使用率和投资回报率。这也就是IT和业务的才控性。

  IT和业务的自动化则是指IT系统应当通过整合的IT流程和自动化工具支持企业关键业务流程.从而降低人力成本和人为因素造成的风险,提升企业敏捷性。

  作为IT管理的“ERP解决方案”,IT服务管理还能给实施它的企业、企业员工等提供多方面帮助:

  一、商业运营方面:确保IT流程支撑业务流程,整体上提高业务运营的质量;通过事故管理流程、变更管理流程和服务台等提供了更可靠的业务支持;提高了客户和业务人员的生产率;提供更加及时有效的业务持续性服务;提高了客户满意度。

  二、财务管理方面:降低了各种业务的实施变更的成本,具有”量体裁衣”的能力,即根据实际需要提供适当的能力,如磁盘容量、恰当的服务持续性费用。

  三、内部员工管理方面:IT人员更加清楚了解对员工的期望,并有合适的流程和相应的培训以确保他们能够实现这些期望;提高IT人员的生产率;提高了IT人员的士气和工作满意度;使IT部门的价值得到更好的体现,从而提高了员工的工作积极性。

  四、业务创新方面:IT服务提供方可以更为清楚地理解客户的需求,确保IT服务有效支撑业务流程,可以更多地了解当前提供的IT服务的有关信息,改进IT支持,提高了服务的灵活性和可适应性;提高了预知未来发展趋势的能力,从而能够更加迅速地采用新的服务需求和进行相应的市场开发。

  IT治理不仅是一种IT管理的理念更是一种企业管理的思路。一个成功的服务管理,不是仅靠一两个项目就能完成的,而是一个企业不断成熟完善的进化过程。用户应该根据自身业务的优先级与对IT的依赖程度分阶段来实施。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 2017 CIO展望:新IT运营模式的5大元素

    在与全球数以百计的CIO对话后,我们了解了他们在2017年的最优先级别项目。总的来说,这是一个令人印象深刻的计划列表:改变IT运营模式,采用新的工作方式,提升IT人才,以应对数字化带来的一些最重要的业务影响。

  • 移动技术如何改变IT风险管理?

    近来一系列调查报告已经证实,大多数企业都在考虑将移动设备管理(简称MDM)与其它安全类方案纳入业务环境。虽然共识已经达成,但只有少数企业真正着手部署……

  • Gartner调查报告:CIO最易犯的七种错误

    根据Gartner的最近的调查报告,全球IT预算相对2011年将增长3.9%。这意味着IT经理有更多的钱用于支持项目和方案。但他们是否高效地利用这些钱了呢?

  • IT风险管理正处于十字路口

    法规遵从被认为是风险管理的首要驱动力,占受访人群的20%到28%,不同的国家比例略有不同。对于IT风险管理者来说,这是一个绝好的机会……