IT治理的利器其二：ITIL

在如火如荼的IT市場，人們常常遇到這樣一個問題，如果充分發(fā)揮本公司已經擁有的IT基礎設施的最大價值？而早在20世紀80年代，英國政府計算機與電信管理中心(CCTA)就致力于解決這樣一個問題：如何提高政府部門采購IT設備和服務之后，實際利用的價值和服務質量。

這個問題在人們經過漫長的探索之后，終于得到了滿意的答案-IT治理。IT治理是IT，經濟學和管理學界的一個新的概念，用于描述企業(yè)政府是否能夠采用有效的手段，使得IT的應用能夠完成組織所賦予他的使命。

IT治理這個新領域是以“IT治理”為總框架，涵蓋IT審計、信息安全審計、IT服務管理，著重研究IT發(fā)展與企業(yè)發(fā)展在治理結構、企業(yè)戰(zhàn)略、企業(yè)運營管理、風險與價值、成本與控制、審計與監(jiān)督、服務標準和規(guī)范等方面的新問題、新知識和新方法。

目前國際上通行的IT治理標準主要有四個：ITIL 、COBIT、ISO/IEC17799和PRINCE2。

(1)ITIL

ITIL(Information Technology Infrastructure Library)：即信息技術基礎構架庫，一套被廣泛承認的用于有效IT服務管理的實踐準則。1980年以來，英國政府商務辦公室(GOC，原稱政府計算機與通信中心)為解決“IT服務質量不佳”的問題，逐步提出和完善了一整套對IT服務的質量進行評估的方法體系，叫做ITIL。2001年，英國標準協(xié)會在國際IT服務管理論壇(itSMF)上正式發(fā)布了以ITIL為核心的英國國家標準BS15000。這成為IT服務管理領域具有歷史意義的重大事件。

(2)COBIT

COBIT(Control Objectives for Information and related Technology)：即信息系統(tǒng)和技術控制目標。成立于1969年的美國信息系統(tǒng)審計與控制協(xié)會ISACA，于1996推出了用于“IT審計”的知識體系COBIT。“IT審計”已經成為眾多國家的政府部門、企業(yè)對IT的計劃與組織、采購與實施、服務提供與服務支持、監(jiān)督與控制等進行全面考核與認可的業(yè)界標準。相應地，“注冊信息系統(tǒng)審計師”(CISA)日益成為世界各國發(fā)展信息化過程中，爭相發(fā)展的新興職業(yè)和領域。作為IT治理的核心模型，COBIT包含34個信息技術過程控制，并歸集為四個控制域：IT規(guī)劃和組織(Planning and Organization)、系統(tǒng)獲得和實施(Acquisition and Implementation)、交付與支持(Delivery and Support)以及信息系統(tǒng)運行性能監(jiān)控(Monitoring)。 COBIT 目前已成為國際上公認的IT管理與控制標準。

(3)BS 7799

BS 7799(ISO/IEC17799)：即國際信息安全管理標準體系，2000年12月，國際標準化組織ISO正式發(fā)布了有關信息安全的國際標準ISO17799，這個標準包括信息系統(tǒng)安全管理和安全認證兩大部分，是參照英國國家標準BS7799而來的。它是一個詳細的安全標準，包括安全內容的所有準則，由十個獨立的部分組成，每一節(jié)都覆蓋了不同的主題和區(qū)域。

由英國標準協(xié)會(BSI)編寫的信息安全管理體系標準BS 7799-Part 1 (ISO 17799) 及BS 7799-Part 2為各種機構、企業(yè)進行信息安全管理提供了一個完整的管理框架。這一套‘姊妹對’標準引導機構、企業(yè)建立一個完整的信息安全管理體系，對信息安全進行動態(tài)的、以分析機構及企業(yè)面臨的安全風險為起點對企業(yè)的信息安全風險進行動態(tài)的、全面的、有效的、不斷改進的管理，并強調信息安全管理的目的是保持機構及企業(yè)業(yè)務的連續(xù)性不受信息安全事件的破壞，要從機構或企業(yè)現(xiàn)有的資源和管理基礎為出發(fā)點，建立信息安全管理體系(ISMS)，不斷改進信息安全管理的水平，使機構或企業(yè)的信息安全以最小代價達到需要的水準。保護信息安全，建立信息安全管理體系是機構或企業(yè)營運的重要工作之一，尤其是BS 7799-2: 2002是目前最完整的參考依據(jù)，它以“計劃(Plan)、實施(Do)、檢查(Check)、行動(Action)”模式，將管理體系規(guī)范導入機構或企業(yè)內，以達到“持續(xù)改進”的目的。

(4)PRINCE2

PRINCE2(Projects In Controlled Environments)是一種對項目管理的某些特定方面提供支持的方法。PRINCE2描述了一個項目如何被切分成一些可供管理的階段，以便高效地控制資源的使用和在整個項目周期執(zhí)行常規(guī)的監(jiān)督流程。PRINCE2的視野并不僅僅限于對具體項目的管理，還蓋了在組織范圍對項目的管理。

在這里我們首先介紹IT治理中最鋒利的寶劍-ITIL。

ITIL上世紀80年代起源于英國，現(xiàn)在世界各地的公司都在使用它。雖然英國、荷蘭和加拿大是采用ITIL最積極的地區(qū)，但ITIL在世界上其它地方的使用也在增長。任何使用ITIL的公司通常都會嚴肅對待它，因為需要在培訓和管理時間上做相當大的投入才能夠開發(fā)和維護ITIL所要求的過程。

ITIL是一套詳細描述最佳IT服務管理的叢書。它是一種公共框架、最佳實踐框架，服務質量是ITIL的核心。但ITIL只說明了要做什么(what)，沒有說明如何去做(How)，企業(yè)應根據(jù)需求去參照ITIL框架進行IT服務管理的建設，而不應追求大而全；并且ITIL不是一個理論模型，而是一個最佳實踐庫。

按照IBM公司的說法，基礎設施庫(ITIL)是管理科學在信息技術(IT)中的應用。相關知識被組織為一個由40多本書組成的庫，它們描述了一系列基于過程的IT服務管理最佳實踐。這些書現(xiàn)在正在被合并和重寫。ITIL的主要目標是使技術服務能夠正確地與業(yè)務需求相匹配。

ITIL是一種基于過程的方法，IT部門使用這一方法來確認自己能夠以一種可控制和訓練有素的方式向終端用戶提供IT服務。它包括了一系列適用于所有IT組織的最佳實踐-無論這些組織的規(guī)模如何以及使用的是什么技術。ITIL可用于創(chuàng)建和提供服務管理過程；由于使用了服務和系統(tǒng)管理工具(如IBM Tivoli軟件提供的那些工具)，這些任務可以更容易地完成。

簡而言之，ITIL就是說明一個組織為管理和運行IT基礎設施(目標是以合理的成本實現(xiàn)最優(yōu)的客戶服務供應)，需要在自己的內部實現(xiàn)哪些實踐。

沒有被定義的內容就無法對其進行管理
不能對其進行管理就不能對其進行評估
不能對其評估就不能對其進行改進

通過提供IT實踐的定義，ITIL可作為一個路線圖，引導組織高效和有效地使用技術。通過將支持技術與其最佳實踐捆綁在一起，組織可以在自己IT管理系統(tǒng)的內部實現(xiàn)巨大的經濟價值。這些改進后的IT管理系統(tǒng)可以為業(yè)務用戶提供高質量的服務，從而提高企業(yè)IT投資的總體回報。

除了IBM之外，HP、微軟、CA、富士通等國際大公司，都聲稱自己有“與ITIL相容”或“源于ITIL”的IT服務管理產品、模型和方法論。比如HP的Openview、CA的Unicenter?？梢奍TIL已經得到了各大IT廠商的認可。

在美國，已經有大量的組織依賴于ITIL，并且有越來越多的組織正將其IT戰(zhàn)略轉向ITIL。諸如P&G、國營農場(State Farm)和波音這樣的知名企業(yè)一直以來都共享彼此在IT部門實施ITIL的經驗，以及將IT服務管理融入其IT管理戰(zhàn)略的經驗。

在亞洲，加拿大Pink Elephant將自2004年2月起向日本提供IT服務管理的國際標準ITIL(IT基礎設施程序庫)的教育計劃。按計劃將提供Computer Associates(CA)的教育課程“ITIL實踐課程”的內容。

由此可見，ITIL已經在IT治理領域打拼出了自己的一塊領地，已經為企業(yè)創(chuàng)造了巨大的價值，但是ITIL與其它任何應用工具別無二樣：它所起的效果如何，完全取決于使用者的使用技巧及與這個工具的磨合程度。

正如AMT管政先生在《IT治理，中國需要嗎？》一文中談到的那樣，“從IT治理的使命來看，它是為提升信息化的投資收益率服務的，是為了確保IT戰(zhàn)略與企業(yè)戰(zhàn)略保持更好的一致性，是為了提升IT投資在企業(yè)利潤貢獻中的作用。但分析中國目前信息化建設以及信息中心的現(xiàn)狀，談IT治理，本人認為難度較大。也許現(xiàn)在只能停留在概念形成階段，還遠沒有到應用和實施階段。”但我深信，IT治理雖然目前遠沒有達到它所期望的效果，但是企業(yè)為了發(fā)揮它現(xiàn)有IT基礎設施的最大價值，必然需要一套IT治理的標準來完善它的管理，因此IT治理的利器其一——ITIL，必將在中國這個世界上未來最大的IT市場獲得最大的發(fā)展，為中國企業(yè)的信息化作出最大的貢獻。