CISA课程第二章:IT治理与管理.pptx
《CISA课程第二章:IT治理与管理.pptx》由会员分享,可在线阅读,更多相关《CISA课程第二章:IT治理与管理.pptx(80页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、CISA课程第二章:IT治理与管理GooAnn目标确保CISA考生能够理解并为以下事项提供保证:企业具有实现目标和支持企业战略的必要的IT领导力、组织结构和流程。所占比重,CISA培训-第二章,谷安天下版权所有严禁传播,2,1,GooAnn,学习任务,T2.1评价IT治理结构的有效性以确定IT决策、方向和绩效是否能够支持组织的战略和目标;T2.2评价IT组织结构和人力资源管理以确定它们是否能够支持组织的战略和目标;T2.3评价IT战略,包括IT方向和战略制定、批准、实施及维护的IT流程,是否与组织战略和目标保持一致;T2.4评价组织IT政策、标准、规程和流程的制定、批准、实施及维护,确保支持I
2、T战略并满足法律、法规的要求;T2.5评价质量管理系统的充分性以确定它是否以成本效益的方式支持组织的战略和目标;,CISA培训-第二章,谷安天下版权所有严禁传播,3,2,GooAnn,学习任务,CISA培训-第二章,谷安天下版权所有严禁传播,4,T2.6评价IT管理和控制监控(如:连续的监控,质量保证)是否符合组织的策略、标准、程序;T2.7评价IT资源投资、使用、分配实践(包括优先级标准),是否与组织的战略和目标保持一致;T2.8评价IT合同战略、政策及合同管理实务,确保支持组织战略和目标;T2.9评价风险管理实务,确保组织IT相关风险得到适当管理;T2.10评价监督和保证实务,确保董事会与
3、高级管理层能充分、及时地获得IT绩效信息;T2.11评价组织业务持续性计划以确保IT中断期间关键业务持续运作的能力。,3,GooAnn,知识点,KS2.1IT治理、管理、安全和控制框架,以及相关标准、指南和实践;KS2.2组织IT战略、策略、标准和程序对组织的意义及各自的基本内容;KS2.3组织架构、角色和关于IT的职责;KS2.4IT战略、策略、标准和程序的开发、实施和维护流程;KS2.5组织的技术方向和IT架构以及它们对组织长期战略方向的意义KS2.6影响组织的相关法律、法规和行业标准KS2.7质量管理系统的知识KS2.8成熟度模型使用的知识KS2.9过程优化模型的知识KS2.10IT资源
4、投资和分配实务,包括优先级标准(例如:项目组合管理、价值管理、项目管理),CISA培训-第二章,谷安天下版权所有严禁传播,5,4,GooAnn,知识点,KS2.11IT供应商选择、合同管理、关系管理和包含第三方外包关系的绩效监控流程;KS2.12企业风险管理的知识;KS2.13IT绩效监控和报告的相关知识(例如:平衡计分卡、关键绩效指标KPIs);KS2.14用于启动业务连续性计划的人力资源管理实践方面的知识。KS2.15与业务连续性计划相关的业务影响分析(BIA)的知识。KS2.16业务连续性计划开发与维护和演练方法标准与程序的知识。,CISA培训-第二章,谷安天下版权所有严禁传播,6,5,
5、IT治理主线:什么是IT治理?为什么要搞IT治理?IT治理和IT管理的区别?IT治理关注的领域是什么?和IT治理相关的控制标准与指南有哪些?IT治理包含的内容有哪些?IT治理实务等。IT管理实务主线:IT人力资源管理,IT采购实务,IT变更管理,IT财务管理实务,IT质量管理,信息安全管理,IT绩效优化,业务连续性计划(BCP)和灾难恢复计划(DRP)等。,第二章知识点主线,6,课程讲解内容,1,IT治理的一些概念,2,IT管理实务介绍,【公司治理】,1999年出版的公司治理的基本原则一书所下的定义为:为确定组织目标和确保目标实现的绩效监控所提供的治理结构。具体来说,是指公司所有者(股东)对公
6、司经营者的一种监督与制衡机制,即通过一种制度安排,来合理地界定和配置所有者与经营者之间的权利与责任关系。公司治理的目标是保证股东利益的最大化,防止经营者行为与所有者利益的背离。,什么是公司治理?,GooAnn,1.1IT治理的由来,IT在社会各个领域的应用不断深化,日益深刻地影响和改变着人类的生活方式、工作方式和社会经济发展;IT对企业的战略思想、管理理念、运行方式、组织结构等各个方面产生革命性变革;IT成为企业完善业务与积累财富的主要驱动力,成为企业获得成功的关键因素;IT还会发挥更大的作用,CISA培训-第二章,谷安天下版权所有严禁传播,IT给我们带了什么?,GooAnn,IT治理的由来,
7、CISA培训-第二章,谷安天下版权所有严禁传播,企业对IT系统的依赖性越来越强的同时,面临着不断增多的系统薄弱性和各种各样的威胁;在信息与信息系统上的投资规模与成本都在不断扩大,高投入带来了高风险;现代企业IT系统的停机可能会造成业务受到巨大损失、声誉下降、竞争优势丧失;IT技术的高速发展,对企业的技术引进与更新提出挑战,企业面临技术不完备,甚至过时,不能有效利用新技术.;,IT带来的问题:,IT治理概念的提出:,通过IT治理来控制IT的风险,确保IT为企业创造价值,支持企业的战略和实现企业目标,信息技术快速发展、应用越来越广泛,IT风险越来越多、越来越大,IT已逐渐超出纯技术范畴,IT与企业
8、的业务战略、管理、运行以及风险等紧密结合在一起。,GooAnn,1.2IT治理的定义及几个重要概念IT治理的定义,德勤:IT治理是一个含义广泛的术语,包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他一些问题。其主要任务是:使得IT与业务目标保持一致,推动业务发展,促使收益最大化,合理利用IT资源;IT相关风险得到适当管理。ISACA:IT治理是企业的一种制度安排,它通过为IT提供必要的领导力、组织结构和相关过程,来保证企业的IT能支持企业战略和实现企业目标。IT治理是董事会和执行管理层的职责,是企业治理的重要组成部分。,CISA培训-第二章,谷安天下版权所有严禁传播,12,IT治理
9、是董事会和最高管理层的责任;IT治理的关键因素是保持与业务战略一致,引导业务价值的实现。IT治理在根本上关注两方面的问题:IT向业务交付价值和IT风险得到管理。前者由IT与业务战略一致推动,后者则通过向企业分配责任来推动。IT治理由领导力、组织结构以及相关流程组成,这些流程能保证组织的IT能有效支持及促进组织战略目标的实现,同时控制风险、降低成本、提高绩效。,IT治理重要的几个概念:,13,IT治理的范畴:,如何使公司信息化建设和信息化管理规范有序?如何使信息化建设和公司的发展战略保持一致、为公司创造价值?如何有效规避公司信息化带来的风险?公司高层在信息化建设和信息化管理中需承担什么职责、起到
10、什么作用?,IT治理关注的5个领域:,14,IT的组织模式:组织是采取集权、分权还是混合的模式?IT投资:组织将投资于什么?投多少IT架构:IT架构是着重于稳定性还是灵活性?这两者各到什么程度?应用系统是向外买还是内部开发?是建立一个综合性的ERP系统还是多种系统?IT标准:组织需要将什么技术标准化,采用什么标准?IT资源:IT组织将利用什么类型的资源?这些资源的来源是什么?,IT治理决策中的一些具体体现:,15,GooAnn,1.3IT治理与IT管理的关系,IT管理是指公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动;而IT治理是指最高管理层(董事会)利用IT治理这种模式来
11、监督管理IT战略上的实现过程,以确保这种实现过程、IT运营处于正确的轨道之上。,CISA培训-第二章,谷安天下版权所有严禁传播,管理大师彼得维尔指出:治理是决定由谁来进行决策,而管理则是制定和执行这些决策的过程。治理是回答哪些事情必须要做,管理是决定这些事情怎么做。IT治理决定了由谁来掌握企业在IT上的决策权。IT治理与IT管理最大的区别在于IT管理的目标是为了实现IT运营效率的最大化,主要解决的是效率问题,侧重于技术的应用。而IT治理的目标是为了实现IT决策利益的均衡,其解决的不只是效率问题,而更加关注利益问题,不只是技术的简单应用。IT治理是通过定义明确的角色和责任,对IT管理中的各方进行
12、影响和监督。,16,XX银行IT治理模式案例,COBIT(ISACA开发,ControlObjectivesforInformationandrelatedTechnology信息及相关技术控制目标),提供了一套框架来支持IT治理。ISO/IEC27001信息安全管理体系,27000系列标准是一套为组织实施和维护信息安全程序提供指南的最佳实践;ITIL(ITinfrastructurelibrary),由英国商务部开发的,关于IT服务管理最佳实践的详细框架;ITbaselineprotectioncatalogsIT基线保护手册;ISM3(信息安全管理成熟度模型)是基于流程的安全ISM成熟度模
13、型。AS8015-2005是澳大利亚标准,用于信息的公司治理以及通信技术。ISO/IEC38500;,1.4和IT治理相关的标准、指南和实践,17,COBIT(ControlObjectivesforInformationandrelatedTechnology信息及相关技术控制目标),提供了一套框架来支持IT治理。COBIT是一个在国际上得到公认的、先进的和权威的安全与信息技术管理和控制标准,它在业务风险、控制需要和技术问题之间架起了一座桥梁。面向业务是COBIT的主题,它不仅是为用户和审计师而设计,而且更重要的是它可以作为管理者及业务过程所有者的综合指南。COBIT标准体系已在世界一百多个
14、国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。COBIT从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制目标、审计方针和对IT处理过程进行评估的方法。COBIT是由国际组织ISACA(信息系统审计与控制协会)制定的,ISACA总部设在美国,在100多个国家设有160个分会,现有会员超过4万人。ISACA主要负责制订信息系统审计准则、实务指南等专业规范来指导信息系统审计师的工作,ISACA每年为通过考试为从业人员颁发CISA证书,CISA资格在世界各国被广泛认可。,1.4和IT治理
15、相关的标准、指南和实践,18,COBIT介绍,19,COBIT介绍,20,COBIT介绍,21,COBIT介绍,22,ISO/IEC27001信息安全管理体系,27000系列标准是一套为组织实施和维护信息安全程序提供指南的最佳实践;,1.4和IT治理相关的标准、指南和实践,23,ITIL(ITinfrastructurelibrary),由英国商务部开发的,关于IT服务管理最佳实践的详细框架;ITIL即IT基础架构库(InformationTechnologyInfrastructureLibrary,ITIL,信息技术基础架构库)由英国政府部门CCTA(CentralComputingand
16、TelecommunicationsAgency)在20世纪80年代末制订,现由英国商务部OGC(OfficeofGovernmentCommerce)负责管理,主要适用于IT服务管理(ITSM)。ITIL为企业的IT服务管理实践提供了一个客观、严谨、可量化的标准和规范。2001年,英国标准协会(BSI)正式发布了以ITIL为基础的IT服务管理英国国家标准BS15000。2005年12月15日,BSI的IT服务管理标准BS15000正式发布成为ISO国际标准:ISO20000。BS15000/ISO20000关注IT系统的运维,追求的是IT服务质量。正确应用ITIL能够增加信息系统正常运行的时
17、间、迅速解决运维问题、加强系统的安全性,从而提高IT部门的服务质量。虽然BS15000/ISO20000仅侧重IT服务与支持方面,但是作为一个国际上认可的IT服务质量标准,它对如何提高IT运营质量有着详尽的规范和实施细则。,1.4和IT治理相关的标准、指南和实践,24,ITIL对企业的价值,ITIL/ITSM是一套公开的、基于业界最佳实践制定,用于规范IT服务管理的流程和方法论。ITIL(ITInfrastructureLibrary)以流程为导向,以客户为中心,通过整合IT服务与企业业务,提高了企业IT服务提供与运营管理的水平。1989年最初由英国商务部OGC(OfficeofGovernm
18、entCommerce)组织开发、出版十大流程(1.0版本)。2001年,整合、增加为6个模块,构成了ITIL2.0版本。现在已推出ITIL3.0版本。目前已经成为一套事实上标准,全球有至少20,000多家在各自行业领先的组织都依据ITIL的框架来提升IT服务的效率及改善IT部门内部的以及IT部门与业务部门沟通。,ITIL能对企业解决信息化发展中遇到的问题提供帮助,ITIL核心服务支持、服务提供,ITCustomerRelationshipManagement,发布管理,变更管理,配置管理,服务水平管理,事件(故障)管理,问题管理,服务提供ServiceDelivery,服务支持Service
19、Support,ServiceDesk服务台,容量(能力)管理,IT服务连续性管理,可用性管理,安全管理,IT服务财务管理,ITIL和业务的关系,IT-Services,问题,发布,配置,变更,事故,IT持续,容量,可用性,服务,服务提供,服务支持,管理层关注,战略层面,运维层面正确地做事,战术层面做正确的事,业务,服务台,财务,GooAnn,IT治理实践:,IT战略委员会平衡记分卡IT战略规划IT架构信息安全治理,CISA培训-第二章,谷安天下版权所有严禁传播,28,GooAnn,1.5IT战略委员会,IT战略委员会是业界最佳实践,他协助董事会实施其IT治理职责,不仅提供IT战略建议,而且关
20、注IT价值、IT风险和IT绩效。这也是把IT治理整合到公司治理中的一种机制。IT战略委员会是董事会实施其IT治理目标的重要机制,一般由董事会成员及非董事会成员组成,它主要职责是协助董事会治理和监督企业的IT相关事务。通常,组织在执行层设立指导委员会来处理整个组织层面的IT事务。应当深入理解IT战略委员会和IT指导委员会的职责。,CISA培训-第二章,谷安天下版权所有严禁传播,29,GooAnn,1.6IT平衡记分卡(BSC)平衡记分卡,绩效测量是企业管理中的重要因素,没有绩效测量就无法对业务进行有效管理,但随着企业创造价值的方式由有形资产逐渐转向无形资产,对无形资产的衡量,不能采用传统的针对有
21、形资产的财务数据方式;平衡记分卡是目前企业管理中较流行的绩效测量工具,它可以把企业战略转化为实际的行为,从而实现企业目标;这种绩效测量系统超出了传统的财务记帐方式,它不仅测量财务数据,还要对业务过程与基于知识的资产等方面进行测量。,CISA培训-第二章,谷安天下版权所有严禁传播,31,GooAnn,1.6IT平衡记分卡平衡记分卡的四个视角:,财务视角为使股东满意,我们需要达到什么样的财务目标?客户视角为实现财务目标,我们需要服务什么样的客户?过程视角为了提高客户和利益相关者的满意度,我们需要建立什么样的内部业务过程?学习视角为了达成目标,组织应当如何学习与创新?,CISA培训-第二章,谷安天下
22、版权所有严禁传播,32,GooAnn,1.6IT平衡记分卡,CISA培训-第二章,谷安天下版权所有严禁传播,33,GooAnn,1.7信息安全治理,由于信息安全治理具有特定的价值驱动:信息的机密性、完整性和可用性,持续服务和信息资产保护等,使得信息安全治理成为一个重点关注领域。为实现对信息资源的充分保护,必须将该事项提升到与其他关键治理职能平级的董事会层面。信息安全的复杂性、相关性、危险性及其治理都要求在组织最高层予以考虑并提供支持。信息安全治理是董事会和最高管理层的职责,必须是公司治理的有机组成部分。信息安全治理由领导关系、组织结构和保护信息的流程组成。,CISA培训-第二章,谷安天下版权所
23、有严禁传播,28,CISA培训-第二章,谷安天下版权所有严禁传播,GooAnn,1.7信息安全治理,有效信息安全治理的基本成果应包括战略一致、风险管理、和价值交付,这些成果通过以下措施来实现:绩效测评(PerformanceMeasurement)衡量、监督和报告信息安全流程,以确保实现SMART目标(确定的、可度量的、可实现的、相关的和符合时间要求的)。为衡量绩效应当完成以下事项:制定并批准一套符合战略目标的、明确的、有意义的指标体系测评过程能有助于识别流程缺陷并提供反馈以解决问题由外部评估人员和审计师提供的独立保证资源管理(ResourceManagement)有效利用信息安全知识与基础设
24、施。为实现资源管理,应当考虑以下内容:确保已经掌握可用的知识记录安全程序和实务制定安全架构以有效建立和使用基础资源流程整合(ProcessIntegration)关注组织安全管理保证流程的整合。安全活动有时会被不同的报告结构条块分割,使其难于甚至不可能成为一个整体。流程整合的目标旨在改善整体安全及其运营效率。,CISA培训-第二章,谷安天下版权所有严禁传播,GooAnn,信息安全治理是公司治理的一部分,公司治理为安全活动提供战略方针并确保其目标的实现,信息安全治理则确保能适当地管理信息安全风险并合理使用企业信息资源。为实现有效的信息安全治理,管理层必须制定和维护一个框架,以指导建立和管理一个支
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISA 课程 第二 IT 治理 管理
限制150内