信息化建設(shè)解決方案之咨詢(xún)篇

題1.1IT管理面臨的困惑公室下，即使單獨(dú)設(shè)置，人員也很少，在信息化建設(shè)中很難推動(dòng)業(yè)務(wù)部門(mén)開(kāi)展IT建設(shè)工作脯保證干好，最后老板拍桌子發(fā)火怎么干的，項(xiàng)問(wèn)題，缺少與其他部門(mén)業(yè)務(wù)銜接的考慮，在單位內(nèi)部形成了一系列的信息（5）在信息化項(xiàng)目建設(shè)中，項(xiàng)目拖期已經(jīng)成為一種常態(tài)，而且項(xiàng)目達(dá)（6）信息中心一天到晚忙忙碌碌，通宵達(dá)旦加班，扮演“救火員理不及時(shí)的抱怨，業(yè)務(wù)部門(mén)不理解信息中心都在忙什么，即使增加IT人員，還是很忙碌，信息中心到底需1.2IT管理問(wèn)題分析（2）IT投資決策流程不規(guī)范，技術(shù)經(jīng)濟(jì)論明，系統(tǒng)規(guī)模越大、與管理聯(lián)系越密切、集成度越高的系統(tǒng)，風(fēng)險(xiǎn)越大，失局的角度、從超前的技術(shù)視角來(lái)進(jìn)行整體規(guī)劃，打破各業(yè)務(wù)單元的本位需要的角度來(lái)優(yōu)化流程、統(tǒng)籌資源，總體規(guī)劃、分布實(shí)施，否則容易造成企業(yè)信息孤島林立、技術(shù)過(guò)難的。但是，沒(méi)有科學(xué)度量就沒(méi)有科學(xué)管理，度量是為管理服務(wù)的，智力密集型、評(píng)價(jià)主觀性等特點(diǎn)，決定了IT項(xiàng)目管理更加困難，純粹使用項(xiàng)目管理技術(shù)并不能解決根越復(fù)雜、系統(tǒng)越來(lái)越龐大；另一方面業(yè)務(wù)部門(mén)需求越來(lái)越強(qiáng)、要求越來(lái)越高。更的信息安全管理工作，在安全規(guī)劃、風(fēng)險(xiǎn)、應(yīng)急、安全教育培訓(xùn)、系統(tǒng)評(píng)估方面采【導(dǎo)讀】IT治理這一詞匯大家并不陌生，那么IT治理究竟是什么，IT治理能幫助組織做治理工作。IT治理方法論，以引導(dǎo)組織進(jìn)行合適的IT管理問(wèn)題的IT到解決自身主要.中國(guó)IT治理研究中心（ITGov）認(rèn)包括業(yè)務(wù)與信息化戰(zhàn)略的機(jī)制、權(quán)責(zé)對(duì)等的責(zé)任擔(dān)當(dāng)框架和問(wèn)責(zé)機(jī)制、資源配制、核心IT能力發(fā)展機(jī)制、績(jī)效管理機(jī)制以及覆蓋信息化全生命周期的風(fēng)險(xiǎn)管控機(jī)制。該制度安排的目的用企業(yè)的信息資源，平衡IT系統(tǒng)的投資，管理IT相關(guān)風(fēng)險(xiǎn)，通過(guò)有效集成與協(xié)調(diào)，確保IT及時(shí)按照目標(biāo)組織的信息化戰(zhàn)略必須在組織發(fā)展戰(zhàn)略驅(qū)動(dòng)下進(jìn)息化取得的實(shí)效，這也是信息資源開(kāi)發(fā)和信息化建設(shè)的核心任務(wù)，但綜合國(guó)內(nèi)就是落實(shí)監(jiān)管要求、構(gòu)建組織內(nèi)部風(fēng)險(xiǎn)控制體系，通過(guò)制定信息資源的保護(hù)級(jí)險(xiǎn)意識(shí)，通過(guò)組織、制度、流程、技術(shù)多個(gè)方面來(lái)實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的有的內(nèi)在動(dòng)力，通過(guò)IT治理構(gòu)建組織信息2.3.1IT治理框架綜述當(dāng)前，我國(guó)信息化建設(shè)中的最大問(wèn)題，不是技領(lǐng)導(dǎo)者最大的問(wèn)題不是缺少經(jīng)驗(yàn)和能力，而是缺乏卓越的管理素質(zhì)和管理方法。對(duì)于IT治理來(lái)說(shuō)，國(guó)際上已有許多成熟的方法和工具，形成了最佳業(yè)務(wù)實(shí)踐，這些最佳業(yè)務(wù)實(shí)踐是全球們來(lái)說(shuō)，不是再去從頭創(chuàng)新，而是需要根據(jù)國(guó)情和組織的實(shí)際情況，對(duì)最佳實(shí)2.3.2IT規(guī)劃治理分項(xiàng)制定企業(yè)IT戰(zhàn)略，明確企業(yè)中IT組織的定位、IT組織架構(gòu)，并對(duì)企業(yè)未來(lái)3至5年的信息化建設(shè)藍(lán)圖及從上圖可以看出，企業(yè)架構(gòu)分為兩大部分：業(yè)務(wù)架構(gòu)和IT架構(gòu)。其中業(yè)務(wù)架構(gòu)是把企業(yè)的業(yè)務(wù)戰(zhàn)略轉(zhuǎn)化為日常運(yùn)作的渠道，業(yè)務(wù)戰(zhàn)略決定業(yè)務(wù)架構(gòu)，它包是指導(dǎo)IT投資和設(shè)計(jì)決策的IT框架實(shí)施過(guò)程分為三個(gè)階段：第一階段是現(xiàn)狀分析與評(píng)估，基于組成IT愿景，規(guī)劃組織的應(yīng)用架構(gòu)、數(shù)據(jù)架構(gòu)、階段，制定IT規(guī)劃的具體實(shí)施策略和計(jì)劃，闡利于確保IT投資與業(yè)務(wù)的一致性，減少I(mǎi)T重復(fù)性投資，獲得最佳IT投資回報(bào)，有效解決IT投資決策和2.3.3IT建設(shè)治理分項(xiàng)IT建設(shè)治理以IT建設(shè)項(xiàng)目為治理對(duì)象，通過(guò)治理過(guò)程，明確IT項(xiàng)目組織構(gòu)建及組織的責(zé)權(quán)利體系，建立PRINCE2?是由英國(guó)政府商務(wù)部OGC推行的項(xiàng)目流程管理最佳實(shí)踐，PRINCE是PRojectINControlledEnvironment（受控環(huán)境下的項(xiàng)目）的PRINCE2是一種結(jié)構(gòu)化的項(xiàng)目管理方法，如下圖所示，制、產(chǎn)品交付管理、階段邊界管理、項(xiàng)目收尾Prince2通過(guò)指導(dǎo)項(xiàng)目和階段邊界管理等過(guò)程，確保了項(xiàng)目管理高層實(shí)現(xiàn)例外控制，讓他們用有限的時(shí)全熟悉項(xiàng)目的進(jìn)程。通過(guò)項(xiàng)目委員會(huì)將項(xiàng)目管理和組織的方案聯(lián)系起來(lái)，通過(guò)2.3.4IT運(yùn)維治理分項(xiàng)求方與服務(wù)方關(guān)系，同時(shí)建立運(yùn)維外包決策機(jī)制，在提高業(yè)務(wù)滿(mǎn)意度的同時(shí)，盡可能降運(yùn)維服務(wù)管理提供了一個(gè)客觀、嚴(yán)謹(jǐn)、可量化的最佳實(shí)踐服務(wù)轉(zhuǎn)換、服務(wù)運(yùn)營(yíng)、持續(xù)性服務(wù)改進(jìn)，涵蓋了IT服務(wù)的生命周期，從業(yè)務(wù)所需到最優(yōu)化服務(wù)；補(bǔ)充組件避免IT盲目投資，避免對(duì)“天才”的依賴(lài)，減少系統(tǒng)風(fēng)險(xiǎn)，實(shí)現(xiàn)對(duì)IT運(yùn)維業(yè)務(wù)的量化管理，保證IT與業(yè)2.3.5IT績(jī)效治理分項(xiàng)組織在信息化實(shí)施過(guò)程中往往分為幾個(gè)不同層面：戰(zhàn)略層、控制層和執(zhí)傳統(tǒng)的平衡計(jì)分卡從面向客戶(hù)與服務(wù)、成本與效益、內(nèi)部運(yùn)營(yíng)、人才與創(chuàng)新四個(gè)方面來(lái)進(jìn)平衡計(jì)分卡(ITBSC)是在平衡計(jì)分卡的基礎(chǔ)上發(fā)展起來(lái)衡計(jì)分卡的財(cái)務(wù)方面指標(biāo)只是衡量了企業(yè)在經(jīng)濟(jì)方面的收益，而忽視了其改善經(jīng)收益。IT平衡計(jì)分卡在原有的財(cái)務(wù)、內(nèi)部運(yùn)作、客戶(hù)和學(xué)習(xí)與成長(zhǎng)力維度，構(gòu)成一個(gè)擁有五個(gè)視角的改進(jìn)后的平從企業(yè)綜合實(shí)力角度出發(fā)，需要考慮如何通過(guò)信息化建設(shè)來(lái)提升企業(yè)的綜合規(guī)劃，規(guī)劃出企業(yè)的信息化建設(shè)目標(biāo)，并通過(guò)具體工作來(lái)管理好IT規(guī)劃，最終落實(shí)到信息化建設(shè)的整個(gè)項(xiàng)效考核指標(biāo)具備可操作性，促進(jìn)IT部門(mén)與業(yè)務(wù)部門(mén)的交流，強(qiáng)化IT管理和IT治理能力。2.3.6IT風(fēng)險(xiǎn)治理分項(xiàng)IT風(fēng)險(xiǎn)是指在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及退出過(guò)程中由于技術(shù)或管理和聲譽(yù)等風(fēng)險(xiǎn)。目前國(guó)際上通用的IT風(fēng)險(xiǎn)管理最佳實(shí)踐是ISACA發(fā)布的COBIT（ControlledOB關(guān)注焦點(diǎn)、以流程為導(dǎo)向、基于控制和度量驅(qū)動(dòng)。信息標(biāo)準(zhǔn)集中反映了企業(yè)的戰(zhàn)略目標(biāo)，從質(zhì)量、成本、與人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的則。同時(shí)使信息技術(shù)目標(biāo)和企業(yè)戰(zhàn)略目標(biāo)之間實(shí)現(xiàn)IT策、行動(dòng)計(jì)劃作為信息技術(shù)的關(guān)鍵環(huán)節(jié)，并由此確定可以更加有效地利用信息資源，有效地管理與COBIT互動(dòng)，形成互相依托、互相促進(jìn)的有機(jī)整體。組織通安全方針信息安全策略數(shù)據(jù)訪(fǎng)問(wèn)數(shù)據(jù)加密身份認(rèn)證災(zāi)難恢復(fù)人員與安安全審計(jì)環(huán)境安全系統(tǒng)安全病毒防護(hù)全教育策與備份策與授權(quán)策與安全策略策略策略策略略策略策略略略技術(shù)管控體系運(yùn)營(yíng)管控體系組織管控體系管理制度資產(chǎn)識(shí)別網(wǎng)絡(luò)安全物理安全組織建設(shè)領(lǐng)導(dǎo)續(xù)性管理應(yīng)用安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)安全崗位職責(zé)人員安全安全審計(jì)可信安全管理事件管理第三方考核組信息安全方針是組織對(duì)信息和信息處理設(shè)施進(jìn)行管理、保護(hù)、分配的原則；信息安全組織管控理的安全治理組織結(jié)構(gòu)，明確各部門(mén)、個(gè)體在體系中的職責(zé)、權(quán)利和義務(wù)，并對(duì)人的行為進(jìn)行制約安全技術(shù)管控體系是保證信息安全的技術(shù)手段；信息安全運(yùn)營(yíng)管控體系是動(dòng)態(tài)過(guò)程，保證“動(dòng)態(tài)”其原因是國(guó)際上雖然有成熟的方法論，但是如何將標(biāo)準(zhǔn)的方法論與組織的實(shí)際情況加以結(jié)合并真正落地，是組織在進(jìn)行IT治理的一大難題。這一過(guò)程需要外部專(zhuān)家進(jìn)行輔導(dǎo)、咨3.1MaxValue?總體框架最佳實(shí)踐，以ISO20000、ISO27001等信息安全（信息安全管理咨詢(xún)）劃）詢(xún)規(guī)/咨（略理戰(zhàn)I管TT劃I項(xiàng)I規(guī)T略目建戰(zhàn)TI管設(shè)（理咨?MaxValue詢(xún)?cè)冏衫砉溃ü躀T評(píng)運(yùn)效維T管績(jī)I理ITT咨運(yùn)I詢(xún)（維）風(fēng)險(xiǎn)與內(nèi)控風(fēng)險(xiǎn)與內(nèi)控管理咨詢(xún)）IT(職責(zé)、流程、運(yùn)行機(jī)制幾個(gè)方面來(lái)綜合考慮，從服務(wù)業(yè)務(wù)的角度、以?xún)r(jià)值為核心資源有效利用、風(fēng)險(xiǎn)有效管控、績(jī)效有效衡量的目的。3.2MaxValue?服務(wù)內(nèi)容針對(duì)客戶(hù)的實(shí)際需要，我們將提供如下咨詢(xún)服務(wù)項(xiàng)目。3.2.1IT戰(zhàn)略管理咨詢(xún)服務(wù)戰(zhàn)ITIT戰(zhàn)略是組織經(jīng)營(yíng)戰(zhàn)略的有機(jī)組成部分，它是關(guān)于組織信息技術(shù)職能的目標(biāo)及其實(shí)現(xiàn)的總體謀劃。略是在診斷和評(píng)估組基礎(chǔ)上，結(jié)合組織發(fā)展戰(zhàn)略，制定和調(diào)整組織信息化的指導(dǎo)綱領(lǐng)，爭(zhēng)取以最適合的規(guī)模、最適合不清晰、不準(zhǔn)確所導(dǎo)致的IT建設(shè)“走彎路、多走路、走錯(cuò)路”的問(wèn)題。具體服務(wù)內(nèi)容包括：IT愿景制定：信息技術(shù)的發(fā)展方向和結(jié)果。?IT原則制定：實(shí)現(xiàn)上述中長(zhǎng)期目標(biāo)所需遵循的3.2.2IT規(guī)劃管理咨詢(xún)服務(wù)IT規(guī)劃管理咨詢(xún)服務(wù)就是幫助客戶(hù)搭建合理的信息化建設(shè)藍(lán)圖，規(guī)劃信息化建設(shè)投基礎(chǔ)設(shè)施規(guī)劃：從底層支撐平臺(tái)角度描述IT架構(gòu)；?IT組織架構(gòu)設(shè)計(jì)：制定符合IT治理思想的IT組織架構(gòu)，明確責(zé)權(quán)利關(guān)系；?IT?實(shí)施規(guī)劃IT投資預(yù)算：對(duì)信息化建設(shè)每個(gè)階段甚至每個(gè)系統(tǒng)進(jìn)行相應(yīng)的投資估算。?通過(guò)咨詢(xún)服務(wù)，幫助組織制定總體信息化藍(lán)圖，改變以往無(wú)序的、松散的IT建設(shè)模式，協(xié)助組織有條地進(jìn)入IT正軌發(fā)展的道路，解決信息不對(duì)稱(chēng)、信息化計(jì)劃殘缺、系統(tǒng)應(yīng)3.2.3IT項(xiàng)目管理咨詢(xún)服務(wù)IT項(xiàng)目管理咨詢(xún)是指以專(zhuān)門(mén)的知識(shí)、信息、信息技術(shù)提供建議或方案，以幫助客戶(hù)有效地解決IT項(xiàng)目過(guò)程管理不善導(dǎo)致的IT項(xiàng)目外部治理：搭建IT項(xiàng)目外部治理組織結(jié)構(gòu)和機(jī)制，包括供應(yīng)商、咨詢(xún)單位、監(jiān)理機(jī)構(gòu)等；?關(guān)方責(zé)權(quán)利，平衡項(xiàng)目資源；幫助客戶(hù)形成IT項(xiàng)目的約束機(jī)制，控制IT項(xiàng)目風(fēng)險(xiǎn)；為客戶(hù)進(jìn)行IT項(xiàng)目決3.2.4IT運(yùn)維管理咨詢(xún)服務(wù)隨著信息技術(shù)的高速發(fā)展，組織信息化已經(jīng)從最初運(yùn)維階段。不斷復(fù)雜化的IT系統(tǒng)、可靠/穩(wěn)定/安全運(yùn)行要求、較高的客戶(hù)滿(mǎn)驗(yàn)，為客戶(hù)建設(shè)以服務(wù)為導(dǎo)向的IT運(yùn)維管IT服務(wù)外包管控設(shè)計(jì)：設(shè)計(jì)IT?服務(wù)外包的管控體系。通過(guò)咨詢(xún)，幫助企業(yè)梳理現(xiàn)有的IT運(yùn)維業(yè)務(wù)流程，建3.2.5IT績(jī)效管理咨詢(xún)服務(wù)信息化績(jī)效評(píng)估是指，評(píng)價(jià)主體依照評(píng)價(jià)目標(biāo)，通過(guò)設(shè)定評(píng)估體系和評(píng)估模型，運(yùn)用估標(biāo)準(zhǔn)，按照嚴(yán)格的流程，在定量與定性相結(jié)合的基礎(chǔ)上進(jìn)行對(duì)比分析，對(duì)信息化全創(chuàng)新、IT對(duì)業(yè)務(wù)支持五個(gè)方面制定詳細(xì)的評(píng)價(jià)指標(biāo)，形成整體的評(píng)價(jià)體系，IT績(jī)效評(píng)估：應(yīng)用IT評(píng)價(jià)體系對(duì)客戶(hù)進(jìn)行IT價(jià)值達(dá)成通過(guò)咨詢(xún)，幫助客戶(hù)搭建IT績(jī)效評(píng)價(jià)體系，在客戶(hù)內(nèi)部建化的指標(biāo)來(lái)突出IT部門(mén)/IT系統(tǒng)在3.2.6信息安全管理咨詢(xún)服務(wù)病毒破壞、黑客攻擊、系統(tǒng)癱瘓、員工失誤和惡意破壞、商業(yè)間諜等，越來(lái)越多的信息估，幫助客戶(hù)建立制度化、流程化的信息安全管理體系，輔導(dǎo)客戶(hù)在其組織范圍安.安全管理體系改善：發(fā)現(xiàn)?ISMS運(yùn)行中存在的問(wèn)題及弱點(diǎn)，及時(shí)采取適當(dāng)通過(guò)咨詢(xún)，幫助客戶(hù)發(fā)現(xiàn)安全管理存在的問(wèn)題，在組織內(nèi)部建立并運(yùn)行信息安全管理體系（ISMS不斷改進(jìn)優(yōu)化組織的信息安全管理體系，有效防止或快速處理組織所面對(duì)的信3.2.7IT風(fēng)險(xiǎn)與內(nèi)控管理咨詢(xún)服務(wù)并基于相關(guān)的IT控制目標(biāo)，對(duì)信息系統(tǒng)管理相關(guān)關(guān)鍵流程、風(fēng)險(xiǎn)控部整改方案，通過(guò)宣貫和培訓(xùn)落實(shí)方案實(shí)施，從而為客戶(hù)順利通過(guò)相關(guān)外部審計(jì)提供IT審計(jì)：按照組織審計(jì)相關(guān)要求，對(duì)組織IT進(jìn)行專(zhuān)業(yè)性審計(jì)工作。?通過(guò)咨詢(xún)，幫助客戶(hù)搭建合規(guī)的IT內(nèi)控體系，通過(guò)IT內(nèi)控促使組織內(nèi)部的作業(yè)流程最大3.3MaxValue?服務(wù)特點(diǎn)及客戶(hù)收益4.1應(yīng)用項(xiàng)目組合管理可有效輔助高層IT決策，提高IT投資效果項(xiàng)目組合管理提供了一個(gè)有效評(píng)估IT項(xiàng)目決的，采取自上而下的管理方式，將投資與企業(yè)的戰(zhàn)略目標(biāo)相結(jié)合，優(yōu)先選項(xiàng)目組合管理提供一套科學(xué)的模型完成項(xiàng)目決策。這個(gè)模型定義了適合企業(yè)的評(píng)估項(xiàng)目開(kāi)展的優(yōu)先級(jí)。項(xiàng)目組合管理能夠提供衡量項(xiàng)目的最重要的指標(biāo)，包括項(xiàng)目收益、目標(biāo)的契合度、項(xiàng)目里程碑進(jìn)度表和風(fēng)險(xiǎn)模型。另外用戶(hù)也可以增加和輸入與自身業(yè)務(wù)如ROI、意外事件、業(yè)務(wù)增長(zhǎng)目標(biāo)、質(zhì)量統(tǒng)計(jì)、業(yè)務(wù)4.2科學(xué)IT規(guī)劃是預(yù)防組織出現(xiàn)信息孤島的有效手段組織的動(dòng)態(tài)發(fā)展、復(fù)雜的應(yīng)用環(huán)境與多種應(yīng)用系統(tǒng)之間的沖突，形成了信息孤島。經(jīng)總體規(guī)劃就是組織要在戰(zhàn)略層面，根據(jù)組織的發(fā)展戰(zhàn)略，遵循科學(xué)的方法論，制定合IT規(guī)劃制定實(shí)施方案，這是一個(gè)需要總體規(guī)劃、分步實(shí)施，才能完成的長(zhǎng)期投資任4.3明確的項(xiàng)目團(tuán)隊(duì)績(jī)效管理可有效改善IT項(xiàng)目管理最終效果組織在日常IT項(xiàng)目建設(shè)過(guò)程中，雖然也按照項(xiàng)目共同組成。如果沒(méi)有配套的IT項(xiàng)目績(jī)效考核體系，往往導(dǎo)致團(tuán)隊(duì)成員以現(xiàn)有業(yè)務(wù)績(jī)效導(dǎo)向?yàn)槟繕?biāo)，忽視或者輕視IT項(xiàng)目團(tuán)隊(duì)中的工作，重視原有業(yè)務(wù)工作，團(tuán)隊(duì)成員不能100%投4.4應(yīng)用7Rs問(wèn)題分析法可有效評(píng)估變更中的風(fēng)險(xiǎn)任何變更都存在風(fēng)險(xiǎn)，有效的變更必須將風(fēng)險(xiǎn)控制在合理的范圍和程度內(nèi)。如何評(píng)估風(fēng)險(xiǎn)、風(fēng)險(xiǎn)進(jìn)行評(píng)估，通過(guò)有效回答這七個(gè)問(wèn)題，可以幫助組織在變更前有效識(shí)別風(fēng)險(xiǎn)并加以規(guī)4.5應(yīng)用服務(wù)臺(tái)管理可有效提高IT部門(mén)對(duì)業(yè)務(wù)服務(wù)需求的響應(yīng)效率組織業(yè)務(wù)部門(mén)對(duì)于IT部門(mén)服務(wù)的抱怨之一就是I聯(lián)系誰(shuí)就會(huì)出現(xiàn)IT服務(wù)需求響應(yīng)慢的問(wèn)題。應(yīng)用服務(wù)臺(tái)為組織IT用戶(hù)提供了聯(lián)系IT部門(mén)的單一聯(lián)系點(diǎn)，從而能夠確保用戶(hù)能夠找到合適的技術(shù)人員來(lái)幫助解決技術(shù)問(wèn)題或請(qǐng)求。服務(wù)臺(tái)的設(shè)置可以根據(jù)組織的業(yè)務(wù)需求本地設(shè)置、集提供一線(xiàn)的支持服務(wù)；?協(xié)調(diào)二