各位来宾,大家下午好,今天我将的题目是IT管控的相关介绍。
在具体的议题以前,我想作一个声明和插播一段广告。
做一个声明下面的演讲中有一些图片,有一些标准还有网上的资料,这是我个人数据的资料,它的出处没有注明。另外一个广告是介绍我服务的单位,是中国软件评测中心,我们下面有三个部分,主要从事监理、培训和评测的业务。
首先我们看一下三个方面这是今天我给大家交流的三个方面,一个是IT管控旧瓶装新酒。第二个是几个相关的标准、制度和软件,最后提出多方管控的概念。
首先讲的是IT管控旧瓶装新酒。我第一次听到这个词的时候,觉得肯定是炒作概念,因为IT界最不缺少的就是新概念,两年一换,有的时候一年就换了。从中文的字面理解,管控就是管理与控制,我们也经常做管理与控制,我们的项目管理,还有国家的一些相应的制度。
为什么提这个管控的概念呢?刚开始的时候我不理解,我们传统的大家一直在做的管理与控制,以前更多的是技术范畴的,需要技术专家对IT管理与控制工作,另外就是建设过程中的项目管理,我们以前聚焦的是在项目的建设过程,项目得成功与失败,主要的决定因素。我们一直到现在也在看这个观念,成功主要决定于项目的管理经验,和其他方面的关系不是很大。由于IT的可视性很差,很难进行评估和考核。所以这个绩效大概差不多就行了。基本上管理与控制是按照这样的模式来进行的,这种模式我称之为IT管理与控制的旧酒就是味道很浓,但是带来的效果是孤立的、单方面的IT管控,就是没有全过程的管控,只注重建设阶段。
什么叫IT人生?IT的全寿命周期和人的人生一样,它是从孕育、出生到成长最后死亡,咱们得想一下,一个人其实出生阶段就是10个月,等于说这个项目就产生了,更长的时间是在成长,不断的成长,发挥它的价值的时间,信息系统也一样,信息系统的出生就是一个孕育,项目产生了,但是更多的是运营和维护阶段,这个是信息系统价值最核心的体现阶段,但是我们对这个阶段以前关注的管理与控制比较少。包括前期的规划,也可以叫育种阶段,当时是决定一个大方向,如果这个做不好,身为残疾肯定不行。所以最终导致的现象就是大量项目的失败,并不是说这个系统没有建好,归根到底考核的因素是不是对我的业务产生有利的促进和影响?如果说没有促进和有利的影响肯定是失败的。
怎么办呢?我觉得套用现在中央的话,提出两荣两耻,就是以IT业务的发展为荣,IT与业务割裂为耻,以IT长寿为荣,以IT短命为耻,注重IT的运营管理。
现在我们所谈论的管控这个词,就是强调生命周期的因素,以及多方的,另外是标准和工具,我们希望新的IT管控达到什么效果?就是与业务的促进,与业务目标的一致,这是管控的根本目的,规避IT相关的风险,保证IT投资的价值,充分利用我们现有的资源,建成的项目是运营的,高效的运营可持续的发展,应该对运营效果有一个可量化的绩效评估,当然再深的来说,通过我们的管控能对我们企业的流程再造,以及企业文化建设起到更好的推动作用,因为这个管理与控制叫管控,或者叫治理,说明与传统的酿造工艺有不一样的。
下面我介绍一下标准制度和软件。
他提供的就是辅助工具,提供的都是框架,具体的内容我们要结合所在的组织具体的实际情况来进行,遵循“采用和调整”的原则。
信息及向段技术的控制目标,这个标准是信息系统审计与控制基金会的主要研究成果,致力于对信息技术的管理与控制,目前更新到了第四版,大家可以到网站上下载这个版本。
下面这个是具体的框架图,从这个图上可以很清晰的看到,IT管控是干什么用的呢?促使的是我们业务目标的实现,动力来自于我们的业务目标,价值体现在是给业务目标提供价值,这就是IT管控最核心的一点,这就是我们现在的IT管控。
在COBIT的框架图里面分成六个方面,一个是信息、一个是IT的资源,再一个是组织和规划,获取和实施以及交付支持,最后是监控,每个方面都提供了一个过程,每一个过程都提供了考核和监控的指标。
比如说获取和实施的过程,提出了六个工作,就是AL1一直到AL6加入拿这个管理来说,有什么控制目标,分车了八个控制目标,每个控制目标又提供了一个关键目标指标,关键绩效指标,以及关键成功要素,比如在这个变更指标里面关键目标指标里面,我们要看变更引起的错误数是不是减少,绩效里面我们要同一个时间安装了不同的版本,以及在不同的平台上软件的发布以及分布等等。整个就是COBIT一个管理框架,这个框架给我们提供什么呢?我个人初步的理解,就是给我们提供了就是我们在管控中到底做什么事?但是具体怎么做没有告诉你。
比如现在的审计,你看一下你的单位做的IT管理与控制是不是做了这些方面的内容,这是它给我们提供的一个指南。
刚才具体的展开是获取与实施的一个方面,其他的每个方面也都是按照这个层次进行展开的。最新的标准是4.0,4.0的框架图和3.0也有比较大的改变,大家可以明显的看到,从6个方面来说,增加了监控和评估的内容,当然这里面细的内容也有很多的调整,比如IT资源这块,进行了单项的合并和增加。
下面介绍一下IT的基础架构库。
目前这个标准发展到了2.0,预计到2006年下半年会发布3.0。这个也是它的架构图,大家看一下,跟COBIT差不多,这两个重点强调了业务和技术的融合,我们的管理与控制起到了一种桥梁的作用,在这里面,分成了六大管控方面,一个是实施管控的规划,还有业务前景,当然SERVICE SUPPORT和SERVICE DELIVER都是管理中的一些内这些给我们提供的是一些管理的流程,大家可以看一下,这个是全景的分布图,它分成了服务支持和服务交付,上半部分是服务支持的内容下半部分是服务交付的内容,服务交付的目的是什么,当人家有服务需要的时候,我有能力提供服务这就是最核心的内容,服务支持的就是当人家需要服务支持的时候,我有能力对它的服务提供支持。
首先要定义一个服务的基点,就是说我这个单位有能力提供这个级别的服务,而且要提供可持续服务的管理,要想提供可持续的服务管理,投资应该是什么样的一种投资,通过这样的投资建立一个什么样的容量?比如说就想打一些蚊子,非要建一个二炮部队,就太浪费了。这个是流程化的,一步一步相关联的,服务支持就是前面一个服务来解决下一个问题。
如果问题解决不了,一下子处理没有,就进入问题的管理流程,进入到问题里面,就要分析、查找原因,一定要把问题解决掉。如果在当前的版本下可以解决,就可以进入事故管理。如果解决不了,就需要换个版本,这个时候进行变更的管理,以及发布和配制的管理流程。
它给我们一个事故管理、问题关系和变更关系,在进行服务的时候,我们可以参照这种模式,来进行工作。
前面讲了两个标准,应该说这两个标准都是以业务为核心,而且驱动和价值体现都是业务。COBIT重点关注IT的控制以及度量指标,但是没有告诉我们流程,ITIL重点是服务的流程,因此在管控领域,更多的是两种的组合是使用,当然也可以引入一些其他的专用标准,比如在安全方面,可以更多的使用ISO7799。
前面讲的是两个标准,下面讲一下目前实行的一些相关的管控制度。
2004年关于投资体制改革的决定说明:“要通过招投标的方式,选择专业化的项目管理单位复杂项目的事实,建成之后移交给使用单位。这是对我国今后建设的一个方向,目前代监还是一个试点工作,比如北京市的开始实行代建制。对于资质的认定和选择将成为今后的热点问题。就是代建单位有没有能力替政府、替投资方做管控的工作。
国家信息化领导小组关于我国电子政务建设的意见17号文里面指出,要明确分工,各司其职,要做好前期的审议、可行性研究、采购招标、监理和验收工作,以及建立项目的绩效评估机制。
下面是工程管理制度,主要是面向IT建设业主方的工程管理,就是说IT是否成功,不仅仅是系统集成商的作用,更大的作用还是在业主方面。因为系统商是在出生的阶段是介入的,在其他的方面主要以业主单位为主。系统集成资质的制度,对于系统集成商资质的管理,这下面列了三个文件,一个是1049号文,还有一个821号文,都是信息产业部发布的文件。
2002年信息产业部发布信部信2002年570号文件,发布了信息系统工程监理暂行规定,就是对信息工程项目实行监督管理。
下面这两个是监理单位资质的办法以及信息工程监理工程师资格的办法,现在全国都在考试。
下面我简单介绍一下监理的框架,首先是监理的阶段,为什么这两个标红呢?现在监理界有整个,就是工程规划和运行,有争议,目前说的就是招标、设计、实施和验收。监理的内容是北京赛迪公司在全国首家提出来的,四控三管一协调,就是质量、进度、投资、变更控制,以及合同、安全、信息管理和协调工作。这里面的标准,包括投入、包括质量、包括安全等等都有一些元素在里面。
监理的支撑要素是什么?一个是监理机构,另外一个是合同、规划以及具体的监理工作细则。
我们在使用这个制度标准的时候,一定要借助一些专业化的工具,这个是微软的运营框架图,这个跟ITIL非常相似,这里面有配制管理,还有包括发布的,这里有服务级别、财务、容量,我们比较一下,看MOF和ITIT标准的比较,拿服务管理流程和服务支持来说,有事故台,MOF对服务支持里面所有的内容都支持,并且增强了事故管理和问题管理的项目,微软都习惯于做项目。
这个是惠普的一个,也比较相似,这个是美科利的,美科利主要是从测试的角度来谈的,也叫GOVERNANCE中心,从质量中心,性能中心还有业务可用性的中心。这个是Compuware的一个系统,从测试信息,以及报告还有质量管理等等。
这个是IBM ratinal的一个架构图,它把所有的东西都融合在了一起。前面讲的是标准和工具,结合我国的现实,实现IT管控需要多方的配合与合作,涉及到建设方、代建方、承建方,服务的第三方,各自承担所应承担的责备,各自发挥所应发挥得作用,才能把IT管控提升到一个新的高度。谢谢大家!