浅析ITIL、COBIT治理模型及其差异

1、.：.；浅析ITIL、COBIT治理模型及其差别作者名字(单位全名 部门全名,市(或直辖市) 邮政编码)摘 要：COBIT是IT治理控制架构，从战略、战术、运营层面给出了对IT的评测、量度和审计方法，重点在于IT控制和IT度量；ITIL是一种关注方法和实施过程的IT效力管理架构，基于企业的最正确实务，列出了各个效力管理流程最正确的目的、活动、输入和输出以及各个流程之间的关系，重点在于IT过程管理，强调IT支持和IT交付。关键词：IT治理 公司治理 ITIL COBIT 1 IT治理概述近年来，“信息化带开工业化、工业化促进信息化的国家战略已日益深化人心，这一战略曾经极大推进了我国现代化建立的进

2、程。在信息化进程中，信息系统也已逐渐浸透到商业和政府组织中，IT系统开场从传统的后台支持转变为新业务开展的直接驱动力，IT也日益成为企业的直接利润中心。但我国十多年的信息化建立进程，主要是在技术专家或技术厂商主导下进展的，而不是经济专家或管理专家主导。技术专家或技术厂商从技术的视角去关注信息技术和设备的先进性等，较少聚焦在IT战略和组织战略目的的互动上，因此不可防止地存在IT与组织业务环境、业务目的脱节景象。随着各种组织对信息系统的依赖程度在不断添加，信息化建立的管控问题遭到越来越广泛的关注。信息化给我们带来什么？如何充分利用IT 资源？如何管理好所依赖的信息与信息平台？如何进展控制把IT 风

3、险降到最低？信息化建立如何实现可继续开展，如何提升IT投资报答？随IT而来的风险、利益和时机使得IT治理成为公司和政府治理中关键的一个方面。IT治理是国际IT领域中一个新的概念，是公司治理在信息时代的重要开展。IT治理用于描画企业或政府能否采用有效的机制，使得IT的运用可以完成组织赋予它的使命，同时平衡信息技术与过程的风险、确保实现组织的战略目的。公司治理Corporate Governance又名公司管治、企业管治和企业管理，OECDOrganisation for Economic Co-operation and Development在中给出了一个有代表性的定义：“公司治理构造是一种据

4、以对工商公司进展管理和控制的体系。公司治理构造明确规定了公司的各个参与者的责任和权益分布，诸如董事会、经理层、股东和其他利益相关者。公司治理目的是提供战略方向，保证目的可以实现，风险适当管理，企业的资源合理运用。公司治理驱动和调整IT治理，同时，IT可以提供关键的输入，构成战略方案的一个重要组成部分。IT 治理的主体和其它治理主体一样，是管理执行人员和利益相关者。IT 治理包括管理层、组织构造、过程，IT 治理维护利益相关者的权益，使风险透明化，同时指点和控制IT 投资、机遇、利益、风险。IT治理主要涉及两个方面：IT要为企业交付价值，IT风险要降低。前者受IT与企业的战略一致性驱动，后者由责

5、任义务落实到企业驱动。这两者都需求衡量，如运用平衡计分卡。这就可以看出IT治理的四个中心领域，都是由利益相关者价值驱动的，其中两个是成果：价值交付和风险降低，另外两个是驱动力：战略一致性和业绩衡量。IT 治理的使命和目的的实现需求经过多种辅助手段来实现，目前国际上通行的规范主要有如下四个：COBIT、ITIL、ISO/IEC17799 和PRINCE2。其中：BS 7799ISO/IEC17799即国际信息平安管理规范体系，而 PRINCE2Projects In Controlled Environments是一种对工程管理的某些特定方面提供支持的方法。2 ITIL与COBIT简介2.1 I

6、TILITILInformation Technology Infrastructure Library，IT根底设备库，是一套被广泛成认的用于有效IT效力管理的实际准那么。1980年以来，英国政府商务办公室GOC，原称政府计算机与通讯中心为处理“IT效力质量不佳的问题，逐渐提出和完善了一整套对IT效力的质量进展评价的方法体系。2001年，英国规范协会在国际IT效力管实际坛itSMF上正式发布了以ITIL为中心的英国国家规范BS15000。这成为IT效力管理领域具有历史意义的艰苦事件。ITIL以流程为导向、以客户为中心，它经过整合IT效力与企业业务，提高了企业的IT效力提供和运营管理的才干和程

7、度。ITIL是IT效力管理的最正确选择，是公认的最正确实际，基于流程，以“最正确为目的，详细指明了IT管理流程该当如何构建和落实，包括流程的涉及范围、主要活动、角色和职能、常见问题的处理等。ITIL的主体框架包括六个主要模块：效力管理、业务管理、根底设备管理、运用管理、IT效力管理实施规划、平安管理。在主体框架中，效力管理模块处于中心位置，分为两部分：面向IT根底设备管理的效力支持和面向业务管理的效力提供。图001 ITIL主体框架ITIL的主要流程包括效力支持流程和效力提供流程。图002 ITIL主要流程IT效力支持主要关注于IT根底设备的日常效力支持，担任确保IT效力的稳定性与灵敏性，包括

8、1个效力机构及5个管理流程，分别为：效力台、配置管理、事件管理、问题管理、变卦管理和发布管理。IT效力提供管理担任为业务用户提供高质量、低本钱的IT效力，与组织每年的规划周期和每年继续的评价信息相关，包括效力级别管理、可用性管理、才干管理、IT效力可继续管理及IT效力财务管理五个部分。2.2 COBITCOBITControl Objectives for Information and related Technology：即信息系统和技术控制目的。成立于1969年的美国信息系统审计与控制协会ISACA，于1996推出了用于“IT审计的知识体系COBIT。“IT审计曾经成为众多国家的政府部门

9、、企业对IT的方案与组织、采购与实施、效力提供与效力支持、监视与控制等进展全面考核与认可的业界规范。相应地，“注册信息系统审计师CISA日益成为世界各国开展信息化过程中，争相开展的新兴职业和领域。COBIT的控制原理源自这样一个假设：IT部门的最高准那么和目的是及时向企业提供实现其战略或业务目的所需的、准确的信息。在此准那么下，有必要将IT资源划分为一个系列IT流程进展管理。这样，COBIT将信息准那么、IT资源以及IT流程联络起来，构成一个三维的体系构造。信息准那么维。信息准那么维集中反映了企业的战略目的和业务需求。COBIT定义了七个不同的信息评价目的衡量其能否满足业务需求，即信息的有效性

10、、高效性、性、完好性、可用性、一致性、可靠性。IT资源维。在COBIT中，IT资源维主要包括以人、运用系统、信息、根底设备在内的信息相关的资源，这是IT流程处置的主要对象。IT流程维。IT流程指的是在信息准那么的指点下，对IT资源进展规划与处置。从本质上看，对IT资源的管理包含了三层任务：最底层是根本活动和义务；往上是流程，由一系列关联的可以自然终止的活动和义务组成；再往上流程按照组织构造中的责任区别划分控制域，同时符合流程中的管理周期或生命周期。图003 COBIT体系构造COBIT经过在IT流程中建立起控制目的和控制程序，胜利将IT资源与信息准那么商业目的衔接起来：信息资源接受商业目的提出

11、的需求；控制模型对信息资源进展管理与控制；商业目的从IT流程的控制模型中获取信息，判别其目的到达的程度。这样，在一个由三者共同组成的循环中，IT资源得以充分利和，IT流程得以优化，IT准那么得以实现，从而保证组织目的的顺利达成。作为IT治理的中心模型，COBIT包含34个信息技术过程控制，并归集为四个控制域：IT规划和组织Planning and Organization、系统获得和实施Acquisition and Implementation、交付与支持Delivery and Support以及信息系统运转性能监控Monitoring。以下为COBIT定义的34个IT流程：1、规划与组织

12、Plan & OrganizePO1 定义战略性IT规划PO2 定义信息体系构造PO3 决议采用技术的方向PO4 定义IT流程/组织及其关系PO5 管理IT投资PO6 传达管理目的和方向PO7 人力资源的管理PO8 质量管理PO9 风险评价和管理P10 工程管理2、获得与实施Acquire & ImplementAI1 确定自动化处理方案AI2 获取和维护运用软件AI3 获取和维护技术根底设备AI4 管理运营和运用AI5 采购IT资源AI6 变卦管理AI7 安装和授权运用方案3、交付与支持Deliver & SupportDS1 定义和效力效力级别DS2 管理第三方的效力DS3 性能和才干管理

13、DS4 确保效力继续性DS5 确保系统平安DS6 确定并分配本钱DS7 客户培训DS8 管理效力台和突发事件DS9 配置管理DS10 问题管理DS11 数据管理DS12 物理环境管理DS13 运营管理4、监控与衡量Monitor & EvaluateME1 监控和评价IT性能ME2 监控和评价内部控制ME3 确保符合规范ME4 提供IT治理3 ITIL与COBIT的差别分析关于IT治理几种模型之间的异同，以及谁将替代谁之类的问题，不断是业界争论的焦点，各自的拥趸均有不同的看法。笔者以为，COBIT与ITIL之间的差别是IT治理与IT管理的区别。IT管理是公司的信息及信息系统的运营，确定IT目的

14、以及实现此目的所采取的行动；而IT治理是指最高管理层董事会利用它来监视管理层在IT战略上的过程、构造和联络，以确保这种运营处于正确的轨道之上。这是一个硬币的两面，谁也不能脱离谁而存在，IT治理规定了整个企业IT运作的根本框架，IT管理那么是在这个既定的框架下驾驭企业奔向目的。COBIT是一个IT治理控制架构，从战略、战术、运营层面给出了对IT的评测、量度和审计方法，它的目的听众是信息系统审计人员、企业高级管理人员以及高级IT管理人员，如CIO。COBIT基于己有的许多架构，如SEISoftware Engineering Institute的才干成熟度模型、CMM对软件企业成熟度5级的划分，以

15、及IS09000等规范，COBIT在总结这些规范的根底上重点关注企业需求什么，而不是企业需求如何做。它不包括详细的实施指南和实施步骤，它是一个控制架构Control Framework，而非详细过程架构Process Framework。 一言以蔽之，COBIT重点在于IT控制和IT度量。ITIL是一种关注方法和实施过程的IT效力管理架构，基于企业的最正确实务Best Practice，列出了各个效力管理流程最正确的目的、活动、输入和输出以及各个流程之间的关系，但没定义范围广泛的控制架构。由于它关注IT效力管理ITSM，它的视野相对COBIT来说狭窄，主要关注IT的战术和运营层面。它的目的听众是IT人员和效力管理人员。 一言以蔽之，ITIL重点在于IT过程管理，强调IT支持和IT交付。虽然两个治理模型有着许多的不同之处，但COBIT和ITIL却有着非常一致的指点原那么。信息系统审计人员通常综合运用COBIT和ITIL的自评价方法，去评价企业IT效力管理环境。COBIT为每一个过程提供了关键目的指示KGIs、关键绩效目的KPIs、关键胜利要素CSFs，与ITIL过程相结合可以建立ITIL过程管理的基准。4 关于IT治理模型选型为了实现IT治理战略的目的，我们需求做到对IT组织构造和角色、量度、过程、技术、控制以及人员等方