當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 重慶OA系統(tǒng) > 重慶OA行業(yè)資訊
IT治理“上能通天” 使CIO“下能達(dá)地”
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
石菲企業(yè)風(fēng)險(xiǎn)控制需要IT治理,然而它的具體應(yīng)用也要考慮中國國情的特殊性。
信息技術(shù)從其誕生,一直至今,絕大多數(shù)的企業(yè)和個(gè)人都認(rèn)識(shí)到了它的威力。信息技術(shù)的魔力和信息技術(shù)黑洞就像一對(duì)孿生兄弟,成為信息化建設(shè)過程中一對(duì)由來已久的矛盾。要投資IT嗎?要搞信息化建設(shè)嗎?答案都是肯定的,可是到底如何才能使其回報(bào)對(duì)得起自己的投入呢?
在如今的信息化水平下,即便是國外較為發(fā)達(dá)的狀況下,一談到IT相關(guān)問題,大多數(shù)人想到的仍然是管理與控制,而不是“治理”。
國外尚且如此,那么國內(nèi)呢?我們到底需不需要IT治理呢?IT治理真的只是一個(gè)概念嗎?IT治理的確“上能通天”,可是對(duì)于務(wù)實(shí)的中國CIO來講,更需要的是“下能達(dá)地”。
“中國式”IT治理
我們必須承認(rèn)一點(diǎn),IT治理的確不是企業(yè)的任何發(fā)展階段都需要的,而是企業(yè)信息化發(fā)展到一定階段的產(chǎn)物。一個(gè)尚處于手工管理信息,或者IT投資額所占比例不大,影響較弱時(shí),談IT治理有些過于“陽春白雪”。
但企業(yè)要想強(qiáng)大—解決了生存問題再圖謀更大發(fā)展時(shí),IT治理的作用就非常突出。
中國的企業(yè)是否需要IT治理,不能一概而論。事實(shí)上,目前已有一些我國企業(yè)正在或已經(jīng)實(shí)施了IT治理,只不過有些不這么稱呼罷了,畢竟信息化建設(shè)越深入就越演變成一種變革,要的只是實(shí)際效果。比如政府的金財(cái)工程也提出了IT治理模型,中化集團(tuán)在CIO彭勁松的領(lǐng)導(dǎo)下也實(shí)施了基于COBIT的IT治理實(shí)踐,再比如深圳三九醫(yī)貿(mào)公司的CIO李士峰提出成立IT項(xiàng)目委員會(huì)負(fù)責(zé)公司所有IT項(xiàng)目的審批、驗(yàn)收、資金控制、人員職權(quán)和考核等,拉開了IT治理的帷幕。
同時(shí),IT治理在中國會(huì)遇到許多國外沒有的特殊困難,也是不容回避的事實(shí)。
2007年5月31日,中國網(wǎng)通集團(tuán)所屬的中國網(wǎng)通集團(tuán)(香港)有限公司以零缺陷的測(cè)試結(jié)果通過了普華永道會(huì)計(jì)事務(wù)所對(duì)其財(cái)產(chǎn)報(bào)告的內(nèi)控審計(jì),成為率先過關(guān)美國《薩班斯—奧克斯利法案》404條款的國內(nèi)電信運(yùn)營商。有人說,這標(biāo)志著國內(nèi)運(yùn)營商開始進(jìn)入“后法規(guī)遵從”時(shí)代,運(yùn)營商將面臨審計(jì)合格后的持久性內(nèi)控建設(shè)。
實(shí)際上,自2004年年末,網(wǎng)通就開始推進(jìn)內(nèi)控體系建設(shè),確立了風(fēng)險(xiǎn)管理與內(nèi)控體系建設(shè)的指導(dǎo)原則和實(shí)施步驟。作為公司薩班斯法案小組組長的網(wǎng)通CFO李福申曾表示:“原來我們過度地把西方的東西看成和中國的水火不容,其實(shí)并不一定如此。不要僵化地理解和執(zhí)行美國的公司治理和404條款,一定要和所在國家的實(shí)際情況相結(jié)合。”
黃先生是國內(nèi)某銀行軟件開發(fā)部的成員,作為軟件的開發(fā)者,他對(duì)軟件開發(fā)過程中的安全和和法規(guī)遵從兩方面都不太感興趣。
他說,“這不是我們考慮的問題。法規(guī)遵從是在業(yè)務(wù)部門提需求時(shí),銀行的法律合規(guī)部門介入,看提出的需求符不符合法律的需要。我們只需要滿足業(yè)務(wù)部門的需求——業(yè)務(wù)部門都很強(qiáng)勢(shì),只要按時(shí)把項(xiàng)目完成,其他都可以忽略。”
在中國,有很多有中國特色的特例。很多情況可以輕描淡寫用一句話帶過,那就是國情不同。但從某種程度上來說,是否重視安全和法規(guī)遵從,反應(yīng)了企業(yè)對(duì)這兩個(gè)問題的態(tài)度。企業(yè)要意識(shí)到IT治理不是一個(gè)部門的問題,而是整體的一個(gè)架構(gòu)。真正的安全應(yīng)該是端到端的整體安全,隨著企業(yè)的整體安全越來越被關(guān)注,也許,企業(yè)的軟件開發(fā)部應(yīng)該和法律合規(guī)部一起思考這個(gè)問題。畢竟在軟件開發(fā)期間把這個(gè)漏洞找出,成本會(huì)大大降低,很多用戶缺少的是提前防御的意識(shí)。
一些國際廠商也在對(duì)用戶宣揚(yáng)這樣的理念。IBM公司在2007年7月20日對(duì)外公布完成了對(duì)Watchfire公司的收購,在Rational軟件中加入了安全和法規(guī)遵從的部分。在軟件開發(fā)的源頭加入控制安全和法規(guī)遵從,也許可以使軟件更安全。但要想使企業(yè)更安全,需要改變的是人的意識(shí)。
我們需要全新的安全
再來說說安全,對(duì)于企業(yè)來說,安全問題無疑是一個(gè)至關(guān)重要的問題。在中國,只要你不去美國上市,薩班斯—奧克斯利法案好像離我們很遙遠(yuǎn)。
而在美國,企業(yè)都會(huì)被要求對(duì)公司實(shí)施安全方面的控制,否則CIO、CEO會(huì)受到僅次于謀殺罪名的法律制裁。
新加坡的一家銀行,有500個(gè)小額帳戶的信息被泄露,導(dǎo)致40000個(gè)用戶覺得此銀行不安全,把自己的資金轉(zhuǎn)走。500個(gè)小額帳戶和40000個(gè)用戶相比,儲(chǔ)戶更在乎的顯然是對(duì)銀行的信心。
即使是一些比較著名的公司,包括杜邦、黑莓、CNN等,也都在過去幾年中遭遇過安全方面的危險(xiǎn)。杜邦、黑莓、CNN面臨的威脅都是來自于外部,而內(nèi)部的風(fēng)險(xiǎn)往往都是來自于內(nèi)部的成員沒有很好的遵循內(nèi)部的規(guī)范。
據(jù)研究統(tǒng)計(jì)表明,差不多有85%的安全或風(fēng)險(xiǎn)問題,都來自于企業(yè)的內(nèi)部。而這些風(fēng)險(xiǎn)很大一部分都是來自于企業(yè)內(nèi)部跟IT相關(guān)的管理,也就是說現(xiàn)在越來越多的客戶認(rèn)識(shí)到安全管理或防范不只是構(gòu)建一道外界防御的工具。
IBM全球治理與風(fēng)險(xiǎn)管理的戰(zhàn)略總監(jiān)Kristine Lovejoy曾經(jīng)是一家媒體的編輯,一次她去參觀一位用戶的數(shù)據(jù)中心時(shí),工作人員向她開放了自己的全部設(shè)備。其中,路由器就放在門口放衣服的地方,沒有引起企業(yè)的重視。
舉這個(gè)例子,Kristine想說明,在一個(gè)企業(yè)中,員工的信息如果不進(jìn)行量化,會(huì)造成很大的風(fēng)險(xiǎn),因?yàn)樗麄儾恢朗裁词强梢酝嘎兜男畔ⅲ裁词遣荒苄孤┑男畔?,以及他們的安全?jí)別。
根據(jù)一家研究機(jī)構(gòu)的統(tǒng)計(jì),80%的CIO認(rèn)為企業(yè)的安全措施要從頭開始。用戶采購了很多相關(guān)工具,但是他們互相不關(guān)聯(lián),不集成,應(yīng)用起來比較復(fù)雜。傳統(tǒng)的點(diǎn)到點(diǎn)的安全解決方案不再起作用,容易造成數(shù)據(jù)孤島和冗余成本,并且復(fù)雜性高、資產(chǎn)應(yīng)用低效。用戶需要一種全新的,基于流程的安全管控方式。
有鑒于此,很多企業(yè)開始推廣全新的端到端安全解決方案。華為和北電都推出了針對(duì)網(wǎng)絡(luò)的端到端安全解決方案。2006去年10月,IBM耗資十二億美元收購了ISS,并隨即開始將ISS與IBM全球信息科技服務(wù)部原有的企業(yè)IT安全服務(wù)能力進(jìn)行無縫整合,以期充分利用ISS主動(dòng)防御集成安全平臺(tái)以及前瞻性安全解決方案,完善與強(qiáng)化IBM的整體安全架構(gòu)體系。
我們今天所處的復(fù)雜IT環(huán)境決定,任何局部的、支零破碎的安全技術(shù)或方案都不足以應(yīng)對(duì)形形色色的風(fēng)險(xiǎn)問題。企業(yè)需要的是由最先進(jìn)的產(chǎn)品和技術(shù)組成的‘端到端’的風(fēng)險(xiǎn)管理解決方案,只有這樣他們才能確保業(yè)務(wù)數(shù)據(jù)的安全,并獲得對(duì)法規(guī)遵從性的管理。
且不論這是不是商家的炒作,IT治理到底是蜜糖還是毒藥,全看我們?cè)趺葱袆?dòng)。橘生淮南則為橘,生于淮北則為枳。但愿IT治理到了中國,不要變成了壓垮中國CIO的最后一根稻草。
你信任你的員工嗎?
北京一家軟件企業(yè)很早就有了風(fēng)險(xiǎn)管理意識(shí),比如把研發(fā)部門所有臺(tái)式機(jī)的機(jī)箱都額外封加一個(gè)外殼,所有USB接口也都封鎖,所有研發(fā)人員只能登錄內(nèi)網(wǎng),不能瀏覽外網(wǎng)。“即使更換一個(gè)電腦鼠標(biāo),也必須告訴公司的IT部門,會(huì)有專門人員來進(jìn)行更換。”
這件事從安全角度反應(yīng)出了這家公司的企業(yè)文化—不太信任員工。從安全的角度看,企業(yè)的風(fēng)險(xiǎn)管理容易陷入兩個(gè)極端:要么充分相信員工,所有的信息資源都共享;要么就是一點(diǎn)都不信任員工。而從風(fēng)險(xiǎn)管理的實(shí)質(zhì)來看,這些都非IT治理的初衷,風(fēng)險(xiǎn)管理和安全管理做到恰如其分,就會(huì)使企業(yè)業(yè)務(wù)流程更加自動(dòng)化和有效。
來源:賽迪網(wǎng)
- 1企業(yè)計(jì)劃體系變遷從ERP到SCP
- 2業(yè)務(wù)開發(fā)平臺(tái)與SOA應(yīng)用的統(tǒng)一論
- 3知識(shí)轉(zhuǎn)化:管理的視角和技術(shù)的視角(by AMT 萬濤 孟凡強(qiáng))
- 4什么是Web Service
- 5美國IT大廠商爭(zhēng)奪病歷數(shù)字化市場(chǎng)
- 6冶金行業(yè)信息化:高級(jí)系統(tǒng)的三種模式
- 7網(wǎng)絡(luò)服務(wù)來日方長
- 8重慶房地產(chǎn)軟件產(chǎn)品適用范圍營銷管理工具
- 9重慶五屆五十佳房地產(chǎn)企業(yè),預(yù)示房地產(chǎn)OA前途無量
- 10銀行新疆域之爭(zhēng)
- 11交通違章繳費(fèi)系統(tǒng)有望全國聯(lián)網(wǎng)管理
- 12SaaS渠道的成長的煩惱:驅(qū)動(dòng)力不足
- 13IT基礎(chǔ)設(shè)施庫ITIL的力量:ITIL介紹及應(yīng)用案例(三)(AMT 張純棣 編譯)
- 14馬文東:企業(yè)EHR建設(shè)還需“量力而行”
- 15小企業(yè)為何存在信息化難邁步問題
- 16一套好的OA系統(tǒng)能夠大大提高企業(yè)運(yùn)轉(zhuǎn)效率,還能節(jié)約運(yùn)營成本
- 17袁紅崗:看好Java未來 開源產(chǎn)品前途堪憂
- 18中小企業(yè)服務(wù)器需求 寒中尋春
- 19地方金融信息化遭遇尷尬 創(chuàng)新破瓶頸
- 20信息化悄然推動(dòng)稅收征管革命
- 21服務(wù)器托管常見問題糾紛與解決方法
- 22[理論] 選購企業(yè)重慶OA系統(tǒng)的25項(xiàng)評(píng)估要點(diǎn)(夏敬華)
- 23四大熱點(diǎn)信息技術(shù)加速紡織業(yè)變革
- 24對(duì)中國冶金企業(yè)信息化的思考
- 25SOA與云計(jì)算之間可進(jìn)行互補(bǔ)相互促進(jìn)
- 26隱性成本造成IT項(xiàng)目預(yù)算超支
- 27尋找網(wǎng)上銀行的“門神”
- 28SOA安全方面的最大隱患是什么?
- 29IT規(guī)劃的誤區(qū)與風(fēng)險(xiǎn)
- 30企業(yè)找尋IT架構(gòu)的第三條道路
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓
版權(quán)所有:泛普軟件 渝ICP備14008431號(hào)-2 渝公網(wǎng)安備50011202501700號(hào) 咨詢電話:400-8352-114