对于CISA课程第二章IT治理与管理的理解-涂振涛
对于CISA课程第二章IT治理与管理内容的理解
暨打算如何对CISA学员进行课程讲解
文/涂振涛
作者简介:涂振涛,谷安天下高级咨询顾问,17年信息系统安全管理、IT审计、信息安全管理规划与管理等方面工作经验,有着丰富的证券行业信息系统管理经验,熟悉证券监管部门对于证券公司信息系统安全管理的具体要求,熟悉审计流程,有着较强的分析与项目管理、实施能力。
近段时间我在准备CISA课程培训试讲,在准备《第二章:IT治理与管理》内容讲解的过程中,也对这一章节内容有了更深一步的认识。结合自身以前作为CISA学员听课的体验,对这一章节的授课方法有了一些自己想法,并打算在今后对CISA学员进行培训时予以实施。
个人分析认为,在给学员进行第二章节内容讲解时,如果讲师只是仅仅按部就班地按照CISA培训教材的内容进行逐一讲解,效果并不好。因为真正想通过CISA考试的学员,必定会去看书,第二章节的知识点其实难度并不深,讲师如果仅仅是按照培训教材编排内容按部就班地进行讲解,从学员体验来说,和自己看书的效果差别并不大。第二章节关键在于对IT治理概念及其关注域的理解,所有内容都是围绕着IT治理关注域展开的,如果讲师能首先对于该章节的内容进行一个概括性的介绍,说清楚什么是IT治理?IT治理和IT管理的区别?IT治理的关注域是什么?然后再对章节内容进行逐一讲解,效果应该会更好。另培训教材将第二章IT治理和管理的内容分为13小节,个人认为讲师在给学员培训时应该对本章节为什么包含了这些内容进行解释,否则学员可能不能理解这13个小节的内容为什么在这个章节出现,这些内容和IT治理有什么关系。
为此,我打算在对CISA学员进行第二章节内容培训的时候按照以下顺序进行讲解:
1、解释什么是IT治理?IT治理和IT管理的区别?IT治理的关注域是什么?
2、解释第二章节包含了哪些内容,为什么包含了这些内容;
3、按照第二章节内容进行逐一讲解。
一、什么是IT治理?IT治理关注的领域是什么?IT治理和IT管理的区别?
IT治理是信息系统审计和控制领域中的一个较新的理念,IBM最早将此理念引入中国。IT治理是公司治理在信息时代的重要发展,用于描述企业或政府是否采用有效的机制,使得IT的应用能够完成组织赋予它的使命,同时平衡信息技术与过程的风险、确保实现组织的战略目标。IT治理是公司治理的一部分,对于公司治理,1999年出版的《公司治理的基本原则》一书所下的定义为:为确定组织目标和确保目标实现的绩效监控所提供的治理结构。
IT治理的定义:
关于IT治理,中外学者给出了很多的定义。综合这些定义,IT治理就是要明确有关IT 决策权的归属机制和有关IT责任的承担机制,以鼓励IT应用的期望行为的产生,以联接战略目标、业务目标和IT目标,从而使企业从IT中获得最大的价值。
IT治理与公司治理:
公司治理主要关注利益相关者权益和管理,包括一系列责任和条例,由最高管理层(董事会)和执行管理层实施;
公司治理目的是提供战略方向,保证目标能够实现,风险适当管理,企业资源合理使用;
IT治理是公司治理的重要组成部分,是董事会或最高管理层的责任;
IT治理由领导、组织结构以及相关流程组成,这些流程能保证组织的IT能有效支持及促进组织战略目标的实现,同时控制风险、降低成本、提高绩效。
IT治理是董事会及高管层的责任。IT治理的决策范围一般包括以下五个方面:
组织模式:组织是采取集权、分权还是混合的模式?
投资:组织将投资于什么?投多少
架构:组织是着重于稳定性还是灵活性?这两者各到什么程度?应用系统是向外购买还是内部开发?是建立一个综合性的ERP系统还是多种系统?
标准:组织需要将什么技术标准化,采用什么标准?
资源:IT组织将利用什么类型的资源?这些资源的来源是什么?
IT治理关注的5个关键域:战略一致性、价值交付、资源管理、风险管理、绩效测量。
IT治理与IT管理的区别:
IT 管理是公司的信息及信息系统的运营,确定IT 目标以及实现此目标所采取的行动;
而IT 治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。
IT 管理就是在既定的IT 治理模式下,管理层为实现公司的目标而采取的行动。
缺乏良好IT 治理模式的公司,即使有“很好”的IT 管理体系(而这实际上是不可能的),就像一座地基不牢固的大厦;
同样,没有公司IT 管理体系的畅通,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容。
二、教材中第二章节包含了哪些内容?为何包含了这些内容?
教材中第二章IT治理与管理的内容包括13小节:
2.2 公司治理
2.3 IT治理
2.4 董事会和高管层对于信息技术监督与保证实践
2.5 信息系统战略
2.6 成熟度以及流程改进模型
2.7 IT投资和分配实践
2.8 政策与程序
2.9 风险管理
2.10 IS管理实务
2.11 IS组织结构和职责
2.12 审计IT治理结构及实施情况
2.13 业务连续性计划与灾难恢复计划
2.14 审计业务连续性
对于为何在《第二章IT治理与管理》中包含了这13个小节的内容,我的理解如下表:
章节内容包含的理由备注主线
2.2 公司治理IT治理是公司治理的重要内容,为引出IT治理的
概念做铺垫.
讲
述
IT
治
理
及
IT
管
理
中
相
对
高
层
次
的
内
容
2.3 IT治理给出IT 治理的定义,IT治理的关键因素以及根本关注哪两个方面问题。
2.4 董事会和高管层对于信息技术监督与保证实践IT治理是董事会和高管的责任,董事会和高管层
在IT治理应该承担的职责和需要关注的五个关注
关键域,IT治理的相关标准和指南,IT治理实务:
IT战略委员会、标准IT平衡计分卡,信息安全治
理;IT治理和企业架构密切相关,企业架构也在
包含在本节内容中。
IT治理关注的
5个关键域:战
略一致性、价
值交付、资源
管理、风险管
理、绩效测量。
2.5 信息系统战略IT治理的一个关键因素是保持与业务的战略一致,引导业务价值的实现。为此,制定信息系统战略是IT治理首要关注的问题。
2.6 成熟度以及流程改进模型此成熟度指软件开发流程的成熟度,适合于IT研发企业。在IT研发企业,软件开发流程的成熟度是IT治理的重要内容。
2.7 IT投资和分配实践属于IT治理关注的5个关键域之一:价值交付的内容
2.8 政策与程序政策和程序反映了管理层对信息系统及其相关资源的控制方面的指导方针,属于IT治理的重要内容。
2.9 风险管
理
属于IT治理关注的5个关键域之一:风险管理
2.10 IT管理实务IT管理实务反映的是为各种IT相关管理活动所涉
及的政策与程序的实施情况。IT管理的情况和实
现组织目标密切相关。IT管理内容比较多,包括
(IT)人力资源管理、IT开发管理、IT外包(采购)
管理、IT系统(技术)变更管理、IT运行及维护
管理、IT服务管理、IT财务管理、IT质量管理、
信息安全管理、业务连续性管理(应急管理)、IT
绩效优化等。IT开发管理、IT运行维护管理及IT
IT服务管理
(ITSM)包括
IT服务支持
(服务平台、
事件管理、问
题管理、配置
管理、变更管
理、发布管理)
服务管理、信息安全管理的内容作为三个大章节分别放在第三章、第四章和第五章中讲述(从管理的层次来说,相对较低),其他相对在管理层次中较高的内容在本节中予以介绍。和IT服务交付(服务水平管理、IT财务管理、能力管理、IT服务连续性管理、可用性管理)
2.11 IS组
织结构和职责
IT的组织结构和职责属于IT治理的重要内容。
2.12 审计IT治理结构及实施情况介绍IT审计师审计(评估)IT治理情况时,需要评估的内容和审核的文档
2.13 业务连续性计划与灾难恢复计划业务连续性和灾难恢复的目地是使组织在中断后可以持续提供关键服务并且从灾难中幸存。严格的计划和资源保证对于计划是非常必要的,属于IT治理的范围。
2.14 审计业务连续性介绍IT审计师审计(评估)业务连续性计划(灾难恢复计划)时,需要评估的内容和查看审核的文档。
三、按照第二章节的内容(上表的13个小节内容)进行逐一较为深入的讲解。
具体讲解内容,见谷安天下培训部制作的CISA课程培训PPT,此处不再赘述。