回转支承厂家
免费服务热线

Free service

hotline

010-00000000
回转支承厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

电子政务的IT治理研究

发布时间:2020-06-30 19:12:12 阅读: 来源:回转支承厂家

摘要:  针对电子政务建设的六个关键要素(组织和角色、流程、安全、风险、审计和评估、标准和法规),本文选择了COBIT、ITIL、ISO/IEC 17799、COSO/ERM和SOX法案5种IT治理支持手段。

关键词:IT治理

建设电子政务不仅仅是技术层面的工作,它实质上是对政府结构的优化和政务流程的重组,是通过对信息技术的应用而实现政府业务目标即“提高行政效率、创建服务型政府”的过程。因此,决定电子政务是否实现预期目标的关键,在于能否使所有具体的IT目标与政府的业务目标相一致,使所有相关工作都紧密围绕着共同的目标而展开。目前,我国的电子政务建设由于IT治理缺失造成了很多问题,如IT战略目标与政府战略目标偏差、组织保障乏力、政务流程改造不够深入、缺乏风险管理意识等等。IT 治理理论就是专门为解决这些问题而提出的。

IT治理是目前在企业广泛运用的管理手段,它的目标是帮助管理层建立以组织战略为导向,以外界环境为依据,以业务与IT整合为中心的观念,正确定位IT部门在整个组织中的作用,最终能够针对不同业务的发展要求,整合信息资源,制定并执行推动组织发展的IT战略。本文结合电子政务建设的需求和特点,将IT治理引入电子政务,提出了电子政务的IT治理架构模型,以针对性的解决电子政务中现存的问题,实施善治的政府治理。

针对电子政务建设的六个关键要素(组织和角色、流程、安全、风险、审计和评估、标准和法规),本文选择了COBIT、ITIL、ISO/IEC 17799、COSO/ERM和SOX法案5种IT治理支持手段。

COBIT(信息及相关技术的控制目标)对每个IT业务流程,提出一系列的控制目标、相应的实现这些控制目标的控制程序,评价这些控制程序是否存在,并被有效执行的一系列审计程序。

ITIL(IT基础架构库)描述的是IT部门应该包含的各个工作流程以及各个工作流程之间的相互关系。

ISO/IEC 17799是信息安全管理的国际标准,对各类信息安全问题的高级别概述,详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。

COSO/ERM,即加入ERM(企业风险管理)框架的新COSO报告,是帮助企业构建以风险管理为中心的内部控制体系的框架的方法。

SOX法案是IT治理的法制规定,由于IT和财务报告的关联性,IT也需要加强控制以达到SOX合规要求,IT的SOX合规审计必须落实到企业对IT的有效管理控制上来。实际上,在SOX法案的合规要求中,40%在IT控制,60%在财务控制方面。

在电子政务的实际建设中,问题都是综合的,也是复杂的,仅仅从一个角度出发考虑问题是不全面的,也是不正确的。例如,一套完善的政府信息安全管理体系,应该包括规范化的信息安全管理内容、以风险和策略为核心的建设方法、定性和定量的信息安全管理度量。同时,政府信息安全管理体系应该能够将信息安全管理同信息系统审计、信息系统内控体系、信息技术服务体系相互结合,形成有安全保障的政府信息系统运维管理体系,以真正达到保护政府信息和信息资产的安全,保护业务持续性。一个标准在一个方面是强项,在另一个方面可能就是弱项,将COBIT、ITIL、ISO/IEC 17799、COSO/ERM、SOX法案等多个标准结合起来,发挥整体优势,才能更好地解决复杂的问题。下面将着重阐述这5种IT治理手段之间密切的联系,并将它们融合成为一个整体以构建出完善的电子政务IT治理框架。

在这5种IT治理手段中,COBIT与SOX法案包含的内容最广,层次最高,本文主要以COBIT与SOX法案为中心介绍它们之间的联系。

一、COBIT与其它IT治理手段的联系

COBIT 4.0分析了如何将具体的控制目标划入五个IT管理域,并可识别潜在缺口以使COBIT符合其他标准(ITIL、CMM、COSO、PMBOK、ISF 和 ISO 17799等)。COBIT是一个伞状模型,构建了IT治理的整体框架。

BIT和ITIL的联系

COBIT重点关注企业需要什么,而不是企业需要如何做,它不包括具体的实施指南和具体实施步骤。ITIL基于企业的最佳实务(Best Practice),列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系,但没定义范围广泛的控制架构,它关注方法和实施过程。尽管两个标准有着许多的不同之处,但在COBIT和ITIL背后却有着非常一致的指导原则,总体来说,ITIL覆盖了COBIT中40-50%的控制目标。在实际应用中,综合这两个标准可以实现优势互补,更好的进行IT治理。COBIT为每一个过程提供了关键目标指标(KGIs)、关键绩效指标(KPIs)、关键成功要素(CSFs),与ITIL过程相结合可以建立ITIL过程管理的基准。以ITIL为基础的COBIT可以将IT流程、IT资源及信息与企业的策略与目标联系起来,为企业管理的成功提供集成的IT管理,通过保证有关企业处理流程的高效的改进措施,以更快、更好、更安全地响应企业需求。

BIT和ISO/IEC 17799的联系

ISO/IEC 17799强调信息安全管理体系的有效性、经济性、全面性、普遍性和开放性,目的是为希望达到一定管理效果的组织提供一种高质量、高实用性的参照,它将安全管理理念渗透到组织管理的每个环节,包括业务的安全管理并不仅仅局限在IT范围,而且它是基于风险管理的安全管理标准。与ISO/IEC 17799不同,COBIT完全基于IT,侧重于IT安全管理是否实现了IT战略目标,即IT安全管理审计。COBIT 4.0注重了与其它标准的兼容,对于ISO/IEC 17799标准,COBIT能够很好的将其纳入IT治理框架。

BIT和COSO/ERM的联系

COBIT和COSO/ERM包含很多相同的内容,但是在使用目的和范围以及提供指导的详尽程度等方面有一定差别。COBIT提供了评价支持企业目标的IT技术的内部控制的指导,主要强调IT控制措施与企业目标的关系,COBIT将内部控制视为一个包括政策、程序、实务和组织结构的支持企业完成目标的程序,强调内部控制是一个程序,突出了保证财务报告可靠性这一目标。COSO/ERM提供了可以用于评估内部控制系统的手段,但主要致力于推荐用以检查控制措施的形式和提供所有形式的样本。

X法案与其它IT治理手段的联系

严格来说,SOX法案并不是某种具体的IT治理手段,而是规定企业和组织如何使用具体的IT治理手段以进行合规性实践的法规,因此,它与其他IT治理手段有着密切的联系。法律制度对IT治理的监督是IT治理有效实施的重要保证。目前,我国此方面的法制建设工作严重滞后,经验严重匮乏,我国可以从SOX法案与其它IT治理手段的关系,获得制定相关法律法规的启发。

二、 ITIL、ISO/IEC 17799与COSO/ERM的联系

在COBIT与SOX法案的总体指导下,ITIL、ISO/IEC 17799、COSO/ERM虽然涉及的是IT治理的不同方面,但实际上存在着千丝万缕的内在联系,它们不但相互补充,还互为支持手段。ITIL中的安全管理指导方针就是建立在ISO/IEC 17799标准之上的,其中的突发事件流程与问题流程的设计可以从COSO/ERM中的事项识别、风险评估、风险反应中获得指导;ISO/IEC 17799是基于风险管理的信息安全管理标准,因此COSO/ERM可以为其提供更充分的支持,而建立COSO/ERM制度也需要ISO/IEC 17799作为他们的安全规范;ISO/IEC 17799、ISO/IEC 17799要融入具体服务流程环节中,都需要ITIL的指导。

对于目前的电子政务建设来说,问题不是在技术方面而是在管理方面,因此本文中的电子政务侧重于管理,包括组织和角色、流程、风险、安全、审计和评估、标准和法规六个关键要素。本文根据这六个关键要素构建了电子政务的IT治理架构模型,以解决目前电子政务建设中存在的问题。这里需要注意的是,虽然政府的每个关键要素都侧重对应于某个或多个IT治理手段,但是其它的IT治理手段都对其提供了补充和支持,因此要把IT治理的各个支持手段融合成为一个整体应用到电子政府建设当中。本文构建的电子政务架构模型侧重了IT治理手段在电子政务关键要素中的应用,并将其映射到IT治理手段的相互联系当中,如下图所示:

图中的下半部分直观的表现了上述这5种IT治理手段的相互关系。图中的上半部分为电子政务的组织和角色、流程、风险、安全、审计和评估、标准和法规这六个关键要素与IT治理手段的对应关系,并映射到IT治理手段的关系图中。通过图中所示的电子政务架构模型,我们可以清晰直观地看到电子政务的关键要素与各个IT治理手段的对应关系,可以更加有针对性更加全面的进行电子政务的IT治理。

(作者单位:中央财经大学)

责编:

定做工装

黑龙江防静电工服订做

枣庄定做劳保工服