信息化建设的成功除了有赖于符合未来整体发展战略的业务实现模式和业务逻辑、符合业务模式和业务逻辑的信息技术架构和平台,还需要相应的信息管理组织去支撑业务信息系统的规划、实施、运营、维护和管理。怎样构建企业IT运营管理体系,使得企业信息管理模式与企业业务管理模式和企业应用特点能够有机的融合,是企业信息组织建设的关键,同时也决定了企业未来在信息化建设方面顺利推进的重要保障。
1 对企业IT管理使命的理解
在充分理解和融合企业业务管理战略的基础上,运用先进的管理思想和信息技术,推动企业改革与发展;建立满足企业需要的一流的IT基础设施,迅速地提升企业IT能力和应用水平,满足企业未来发展战略的需要。为此,建立高效的IT运营管理体系是首要任务。一般来说IT运营管理基本定义应包括以下内容:
·IT运营管理基本原则:应作为企业集团IT运营管理体系的基本指南;
·IT运营管理策略:用于确定企业集团各种IT活动间关系的基本原则和出发点;
·IT运营管理组织:明确企业集团各项信息技术活动的授权和责任;
·IT运营管理流程:明确信息技术活动的程序以保障高效的运作;
·IT运营资源和技能管理:提供企业IT管理运作所需要的技能资源;
·IT运营体系的运行与维护:保障企业IT运营体系服务的成本效率和 *** 作性。
2 IT运营管理基本原则
IT运营管理基本原则是指为加强企业在信息技术方面的战略执行能力而提出的基本的准则和指导性的方针。根据信息技术发展的特点结合企业信息化的发展需求,其基本原则框架应由七个部分组成:
总方针
战略的融合:信息技术因素需要渗透到企业战略的制定中去;
业务伙伴关系:企业的IT将与业务用户在工作上建立伙伴关系,以了解和达成企业的业务实现目标;
IT项目应视为投资:信息技术项目应该被视为一项投资,它应以支持业务需求为基础;
以客户为中心:信息化管理应以服务水平为基础,重点应关注在满足业务部门的需求;
IT组件配置:应遵从IT体系结构和IT标准;
IT资源共享:IT资源应被视为企业的一项资产,每一个企业员工都有责任和义务正确的使用和保护这些资产;
IT策略和规划的沟通:IT的策略和规划应在企业集团内部进行有效的交流和沟通。
信息组织和流程
熟练和专业的工作团队:保持一个熟练和专业的工作团队管理整个体系结构,以确保达成业务目标, 业务部门从组织上参与信息部门的管理;
策略和规划的管理:为适应业务和技术的变化,有必要对策略、规划、管理、信息服务目标实现的成效作周期性审查和改进;
流程与职责:流程和职责分配要被明确清楚定义。
技术管理
技术创新的使用:主动进行技术创新,以增强企业的核心竞争力;
行业标准的使用:当存在相应的行业标准并能满足所涉及的业务需求时,应采用相应的行业标准;
因特网技术的作用:未来的应用系统和服务的交付要考虑使用互联网/企业内部网/局域网技术。
IT运营服务管理
未来的企业,在信息技术硬件和软件的应用方面会愈来愈集中,即通常所说的物理集中和业务逻辑的集中。信息中心的职能在这种高度集中的模式下,其定义相应地发生了改变。从组织层面上来看,信息管理组织将企业的IT部门从成本中心转化为服务中心;从具体IT运作层面上来看,它不是传统的以职能为中心的IT管理方式,而是以流程为中心,对复杂的IT管理活动进行管理,比如事故管理、问题管理和配置管理,将这些流程规范化、标准化,明确定义各个流程的目标和范围、成本和效益、运作步骤、关键成功因素和绩效指标、有关人员的责权利,以及各个流程之间的关系。它的根本目标体现在:
(1)提供以业务为中心的信息服务;
(2)提供高质量、低成本的服务;
(3)提供的服务如需要是可准确计价的。
数据
数据获取:每个数据将仅在企业第一次出现的时间和地点被获取一次,以后在整个企业内部共享;
数据分布:数据分布应遵守完整性和应用的需求,数据容量、数据需求共享、网络能力和数据安全同样也需考虑;
数据词典:应有一个对企业所有应用程序存取并遵循的、全公司范围的数据定义;
数据共享:应用程序应共享已有的数据,除非必须要坚持满足特殊的安全性和完整性需求;
数据所有权:每一个信息单元都需指派拥有者,负责定义数据的使用规则和保护规则;
数据质量:所有的数据在概定的频率内均可得到,保存时间长短要按时间而定,还应经过标准验证流程验证,确保数据的准确性和完整性。
应用系统
用户需求:所有的应用系统的采纳或设计都必须依照用户业务需求,并要得到业务赞助人的认可;
公共评价标准:对企业内部所有的应用系统(包括软件包)将采用一套公共的评价标准进行评价;
引进与管理:采用标准软件包。对于新应用系统供应商的引入需要建立相应的控制策略及制度,建议重点考虑国际领先的标准软件包。
网络
外部连通性:网络必须使外部连接更方便;
行业标准:行业标准将被用于企业内部和对外的沟通;
单一的逻辑网络:将只有一个逻辑、用于实际运作的网络为各互联系统提供应用和数据存取;
因特网技术:企业的网络支持因特网技术。
系统管理
服务水平管理:资源将被选择、配置和管理以满足业务的服务水平目标;
性能和容量管理:解决方案的设计应便于性能和容量管理;
安全和方便使用管理:安全措施应是全面的,但不能妨碍用户完成工作;
可用性管理:按事先达成的服务水平的协议,用户应该能够随时随地得到所需要的资源;
灾难恢复计划:有能力从灾难中恢复关键业务功能,这些关键业务是按重要程度排序的。
3 IT运营管理策略
在考虑企业未来的IT管理体系时,我们首先需要明确的是未来企业的IT管理策略。IT管理策略就是提供一些基本原则,用来将各项管理职能及业务、资源,在公司内、外部之间,以及各级管理和业务单位之间合理地分配和组合,以保障企业IT使命实现并充分优化成本和效率目标。
IT管理运作模型
在分析企业的IT管理策略时,我们以下图所示的IT管理运作模型为基础。该模型在许多IT技术应用较为成熟的国际化大公司得到应用,并取得良好的效果。
企业IT管理运作模式就是在此基础,结合企业自身的实际情况,企业IT使命、定位和战略选择,及未来发展模式,将各项管理职能及业务、资源,在集团及各权属公司之间以及外部关联单位之间合理地分配和组合。
内/外部分配策略选择
业务外包已经成为当今世界范围优秀企业在运作方面的一个重要趋势,尤其是IT业务的外包。通过利用外部资源,使企业的IT运作降低成本和降低风险,并更加集中于自己的核心竞争力。我们需要在IT管理策略进行更为具体的思考,以保证这项战略取得成功。
考虑内、外部分配的原则,是根据IT管理职能和业务对企业的战略价值进行区分。能够对企业战略利益产生重大影响的管理职能和业务,包括基本原则、策略、标准、规划、体系结构、用户需求等方面,应当视为企业的关键能力保持在内部,可引入外部资源提供相关咨询服务支持。而与公司核心竞争力关系较小管理职能和业务,包括方案实施推行、提供运作服务、IT服务和解决方案支持、IT资产和基础设施管理等方面,则可以根据在效率、成本、资源方面的内外部优势比较,考虑由内部管理或是采用外包。
集中/分散控制策略选择
主要包括两个方面:
·规划、控制和标准
·资源,包括人力资源、技术资源以及软硬件资源
根据对以上两个方面进行集中控制或分散控制的不同考虑,可以构成如下图所示的四种可选择的策略:
通过前面的分析我们看到,目前企业IT管理多数是一种“分散资源,分散控制”的方式。这是造成公司目前信息系统诸多问题的一个关键因素,已经不能适应企业未来发展的需要。企业需要根据自己的实际情况,结合当今信息管理的最佳实践做出新的选择。
通过对实现规模效益与保障对业务用户需求的快速有效支持方面的平衡考虑,可以适当地提高对IT资源的集中管理控制。即在IT管理策略方面进行如下图所示的转变:
信息管理策略建议
·企业需要集中IT制度、标准、基础设施方面的管理控制,以确保实现企业对未来信息系统在成本效率、互 *** 作性、对关键业务流程的支持能力方面的要求;
·涉及企业集团主要业务流程及公共的应用系统及相关基础设施包括数据中心、公共网络等,由集团集中建设和管理控制;
·满足具体业务单位特殊业务需求的独立性应用系统,及运行于PC机的个人办公软件等,及PC机、打印机等信息系统终端设备、局部网络,由各权属公司的信息中心在企业集团统一的标准和规范下进行运作;
·考虑到规模效益和管理的有效性,建议在目前模式下适当提高集中度,当企业统一的信息管理平台实施并建成后,成立企业集团信息中心来完成相应的各项管理与维护职能。
4 IT运营管理模式与组织架构
管理组织架构
根据企业IT的使命及定位,应提高未来信息管理组织的地位,使其能够成为:
·充分地掌握公司战略、目标、决策、运作情况等必要信息;
·拥有足够的职权行使其职能,保障信息技术与公司战略的紧密结合,并推动信息建设和应用;
·有能力与其他职能和业务部门充分地沟通与协作,使信息技术能够支持业务目标;
·流程和IT技术:将信息系统的建设和业务流程的梳理、优化紧密结合,使系统建设从技术驱动向业务驱动转变,真正发挥支撑业务运作的杠杆作用,从而给企业带来最大的收益;
·制定与实施IT体系结构标准规范,使企业集团(含权属公司)统一在一个高效的IT平台上运作;
·项目实施和信息系统运作支持分开,使信息管理部门更好地发挥检查和平衡作用。
结合前面对企业信息组织管理策略及运作模型的分析,未来企业信息管理组织机构的设置如下图所示的:
信息化委员会
作为企业的IT业务赞助者,由集团总裁领导下的各职能部门、权属公司负责人组成的非常设机构,承担以下职能:
·审批集团信息化建设和业务流程优化战略、规划;
·审批信息系统建设和业务流程优化计划,为业务流程优化和信息系统建设项目确定优先级,并提供所需资金和业务资源;
·审查和评价信息系统建设的收益和风险;
·对企业信息化建设的风险和收益做监控,并对重大问题进行协调和决策。
信息总监
建议由具备企业战略发展思维,能够统筹协调并赋予足够决策权的人担任。副总裁级人员,同时是信息化委员会副主任,作为企业集团信息战略的执行和管理者,应承担以下职能:
·确保信息系统的运营与公司战略目标的紧密结合;
·管理信息系统的业务价值。审视集团 (含权属公司)各业务流程的运作状况和信息系统支持情况,促进信息部门与业务部门/单位的沟通和协作,保障信息系统的价值为企业业务部门/单位所共识;
·确定公司信息系统管理规范,向信息化委员会提出信息战略和技术应用方向,保证信息系统对业务的服务和支持;
·管理公司信息技术基础架构和资源,审批公司信息技术方针政策、制度、流程、标准,信息组织机构调整及重要的外部合作等;
·推动和监控集团(含权属公司)信息系统和业务流程项目的实施,并具体监控企业集团信息系统的运作水平,向信息化委员会和集团总裁报告。
集团信息中心
作为信息管理的核心部门,在信息总监的领导下实施信息系统建设应用,并保障信息系统与战略结合,支持业务目标,通过流程优化提高企业竞争力。承担的职能可分成规划控制、流程管理、项目管理、运行监管四部分,根据企业的具体情况,每个部分可以设置成一个项目组负责,项目组成员可以由相关的部门主管或业务骨干兼任,例如战略发展部可以参与规划控制项目组、人力资源部可以参与流程管理项目组等等,各部分具体职责如下:
1、规划控制
·与业务部门/单位共同确认业务需求,并制定企业信息系统规划和计划,并对有关的信息系统建设和业务流程管理项目的优先级提出建议,上报信息总监和信息化委员会;
·跟踪信息技术发展及相关管理实践经验,保障企业集团信息系统规划的制订与执行,为提高公司的竞争力服务;
·制定并及时更新信息系统和业务流程管理相关的规章制度、标准和流程,上报信息总监和信息化委员会发布,并监督执行;
·管理企业的信息系统体系结构,以确保信息系统在成本效率、互 *** 作性、对关键业务流程的支持能力方面的要求;
·审查集团范围内(含权属公司)的信息系统建设方案及采购,为信息化委员会的决策提供依据,确保满足有关的体系结构标准和规章制度;
·外部IT供应商的认证和评价管理,确保外部信息系统供应商执行集团有关的体系结构标准和规章制度;
·监控全集团范围内的IT技能和资源状况,为实现公司IT使命和目标提供保障,并就有关技能和资源的开发引进向信息化委员会提出建议。
2、流程管理
·参加公司信息系统规划和计划,并对规划和计划中业务流程优化项目的方案、计划可行性以及资源需求负责;
·跟踪业务流程相关技术发展及管理实践经验,并推动有关的知识和技能在全集团范围内的有效传播;
·参加集团 (含权属公司)业务流程管理相关的规章制度、标准和流程的制定;
·参与监控业务流程优化工作。
3、项目管理
·参加公司信息系统规划和计划,并对规划和计划中信息系统建设项目的方案、计划可行性以及资源需求负责;
·管理或组织协调企业信息系统建设项目,对项目的目标、进度、成本、质量负责。对各权属公司信息化建设项目进行监督;
·负责所有已批准的集团级信息系统建设项目的外部采购。以及软、硬件选型和项目实施管理。
4、运行监管
·与业务部门、内外部运行服务提供单位协商确定服务水平和标准;
·参加集团信息系统规划和计划,并对规划和计划中信息系统建设项目的运行服务水平和标准要求负责;
·依据预先制定的标准对建设完成的信息系统项目进行投入运行的验收确认,确保系统未来运行达到有关的管理标准和服务水平要求;
·监控内外部运行服务提供单位的服务和技术支持达到设定的水平和标准,协调解决有关的问题;
·管理和监控集团IT资产和基础设施,以满足相应服务水平和标准的要求,并保障集团有关IT运行服务的长期安全;
·在服务管理的机制下确保信息系统所提供的服务满足业务部门的具体需求。
权属公司信息中心
权属公司信息中心作为本业务单位的IT管理和支持服务部门,在业务上接受集团信息中心的管理和指导,而在行政上可以继续由各权属公司负责。
·执行集团有关IT管理制度和标准,向本业务单位范围内各业务部门提供IT管理和支持服务;
·参加集团信息系统建设和业务流程优化项目,协调涉及本业务单位的有关工作,并为本业务单位所涉及的业务需求负责;
·管理和维护本业务单位的局域网、PC机及其他信息终端设备等本单位IT资产,以保障本单位所涉及的信息系统的正常运行;
·负责引进开发用于满足本单位独特业务需求的独立性应用系统,并负责相应的维护和技术支持。
外部IT咨询服务公司:
定位在企业战略性的独立外部IT公共服务及相应的外部能力资源。因为企业已明确IT咨询服务公司负责管理运作对企业具备重要战略价值的信息系统关键基础设施及提供相应服务,故在这里也将其考虑为企业未来IT的组成部分。企业内部IT与IT咨询服务公司的业务关系,由企业信息总监CIO负责管理,信息中心及各权属公司的信息部门具体分工执行。IT咨询服务公司作为企业IT的一个独立组成部分承担以下责任:
·作为指定单位负责向企业提供关键应用系统公共服务,并依照公平的市场原则收取服务费用;
·依照公平的市场原则下承担企业的IT规划、流程优化、IT管理制度标准等方面的咨询;
·依照公平的市场原则下承担企业的信息系统方案设计、实施和开发,及第三方项目监理等服务。
IT管理组织机构过渡考虑
·信息化委员会建议由企业集团的信息化应用领导小组改造而成;
·从企业集团信息管理角度,近期信息中心可以仍由战略发展部分管,可考虑强化战略发展部的职能,加强/建立其在IT规划控制、流程管理、IT建设和运作管理方面的职权;
·企业集团可以一方面考虑整合现有的信息技术管理人才资源(含权属公司),另一方逐步培养或引进,使信息中心逐步独立承担起管理企业IT的使命;
·在集团即将建设统一的信息系统平台应用方面,建议利用集团在投资方向上的管理权利推动在各权属公司的应用,按照“整体规划、分步实施”的原则,从集团财务管理信息化管理入手,选择试点适当的单位进行实施,用事实来使信息化管理平台的优越性得到充分的体现,为全面推广应用打下坚实的基础。
5 IT运营管理关键流程
为管理好企业的IT运营管理,需要建立和落实一系列的流程。具体如下:
·集团信息化规划流程
·权属公司信息化规划审核流程
·集团信息化招标管理流程
·集团信息化采购管理流程
·权属公司信息化采购管理流程
·信息管理规范制订与维护流程
·IT项目立项流程
·IT项目管理流程
·IT系统维护流程
·IT系统安全管理流程
·IT系统安全检查流程
6 IT运营资源和技能管理
面对未来的使命,企业IT的管理和运作依赖于从事相关工作的人员具备合适的技能。目前企业IT最紧迫需要加强的技能有以下几方面:
·IT管理:吸取IT组织如何在企业或其他有重大使命的行业中产生业务价值;
·业务分析:收集IT客户需求并成功地将业务需求转换为IT需求,这种技能有助于IT更能以客户为中心;
·项目管理:保证解决方案的实施能在财政预算范围内及时的产生所承诺的价值;
·软件包引进和实施:识别适当的软件包并建议相应业务流程变革;
·业务流程分析与优化:发现现有业务流程问题并推动流程变革;
·系统管理:建立系统管理原则,并利用相应的解决方案来简化每天的运作。
企业应当综合考虑如下的资源获取方案,以建立未来IT所需的技能:
·整合内部资源:利用集团(含权属公司)已有的信息技术与人才资源;
·内部培训:逐渐获得技能;
·招聘:迅速获得技能;
·外包:使用外部技能资源。
7 IT运营体系的运行与维护
未来企业的信息中心将承担整个集团的物理系统和业务逻辑的运营和维护。作为信息服务中心,稳定高效及时的信息收集、处理和发送将直接关系到整个集团日常业务的运营。因此,合理有效的信息服务管理模式是实现IT信息服务水平的基础。针对企业的未来业务管理模式和信息系统软、硬件的特点,IT信息服务管理模式如下:
整个服务架构是由5个部分构成的,即业务管理(商业视角)、服务管理、IT基础架构管理、应用管理、安全管理,它们的定义如下:
1、业务管理(商业视角):从业务部门而不是IT服务提供者(技术)的角度理解IT服务需求,也就是说,在提供IT服务的时候,我们首先应该考虑业务需求。业务管理这个模块就是用于帮助业务管理者如何利用商业思维分析IT问题,深入了解IT基础架构支持业务流程的能力和IT服务管理在提供端到端IT服务过程中作用,以及协助他们更好地处理业务部门和信息部门之间的关系,以实现商业利益;
2、服务管理:服务管理模块是整个服务架构的核心,它以一系列典型流程的方式把大部分IT管理内容进行了合理划分和管理。服务管理模块由服务支持和服务提供两个子模块构成。其中服务提供由服务级别管理、IT服务财务管理、IT服务持续性管理、可用性管理和能力管理组成,服务支持由事故管理、问题管理、配置管理、变更管理和发布管理等职能组成。服务管理取决于所实施的系统和业务部门的业务需求特征;
3、IT基础架构管理。IT服务管理的本质也是对IT基础架构的管理,只不过它采取的是一种与通常的管理方法不同的方式,即将对IT管理的任务标准化和模块化,然后打包成服务按需提供给客户。IT基础架构管理模块覆盖了IT基础架构管理的所有方面,从识别业务需求、实施、部署以及支持和维护基础架构。其目标是确保提供一个稳定可靠的IT基础架构,以支撑业务运作;
4、应用管理:IT服务管理包括对应用系统的支持、维护和运营,而应用系统是由业务部门或信息中心或第三方开发的。IT服务管理的职能应该合理地延伸,介入应用系统的开发、测试和部署。应用管理模块解决的是如何协调这两者,以使他们一致地为服务于业务部门;
5、安全管理:其目标是保护IT基础架构,使其避免未经授权的使用。安全管理模块为如何确定安全需求、制定安全政策和策略及处理安全事故提供全面指导。
服务管理模式的应用
可以想象,未来数据信息中心将是一个庞大和复杂的,如此高度集中的物理系统和业务逻辑系统给信息管理部门提出了非常高的运营和维护要求,服务管理模式的提出为信息中心在确保信息服务质量,提高服务满意度方面给出了一个结构性的管理架构。
在未来企业的系统中,在确认系统满足业务需求的前提下,还需要以这里所提出的“服务管理模式”的思想建立这样的服务管理控制系统,并与信息中心的组织架构相融合,对整个信息中心的信息服务进行监控和管理,从而提高业务系统应用水平的同时,降低系统维护的强度。
“服务管理模式”是未来信息中心必需的,但就目前企业信息化建设的情况来说,从降低风险和资源需求的角度上分析,不是目前的重点。一般,在业务部门业务运作基本上已运用信息系统进行时,服务管理模式才开始启动。
目前中国企业大多数是中小型企业,这些企业整体信息化进程不高、意识薄弱,企业信息化建设和信息安全现状令人担忧, 主要表现在以下几个方面:
1 信息安全管理制度不完善
公司对信息化重视程序不够,内外部的网络使用管理比较混乱,普遍缺少正确的信息化观念。很多公司只配备了一个网络管理员的岗位,负责简单的桌面运维和IT设备维护等工作,更别提建立一套信息安全管理制度了。对于员工的上网行为也极少有效管控,容易造成网络病毒的攻击,存在安全隐患。
2 缺乏信息安全意识
信息安全不光是由IT部门来制定实施的,而是源于每一个员工、每一台设备、每一台终端、每一个系统,只有控制到最细小的颗粒度,安全保护才能达到最大化,达到每一层的安全保护。大部分企业管理架构的信息安全保护意识不足,全员没有进行相关的安全教育和培训。
3 太过重视项目建设,忽略安全建设
很多企业经营者认为,只要建设了几个项目,企业就有了信息化。这也是长期存在企业主大脑中的固有思维,都太过于重视单个信息系统的项目建设,而忽略整体IT战略的规划,更没有信息安全建设一说。
4 信息系统陈旧落后
过于陈旧的系统设备、过于老化的系统软件、不及时的补丁更新等都会导致信息安全漏洞,使安全风险加大。安全漏洞防范机制不健全、对于紧急事故处理不及时,还有一个就是企业舍不得投资花钱,最终一旦出了安全事故,会付出比设备和系统本身更昂贵的成本。
因此,为了谋求企业的长远发展,企业应该在经营层面制定信息安全体系。企业IT部门要建立多层次的安全防护体系,制定和完善相应的信息安全管理策略,要以预防为主、综合管理、人员防范和技术防范相结合的原则,具体措施建议以下:
1 构建并完善信息安全管理制度
重视IT部门的建设,将IT部门的定位由服务部门转为业务部门,对IT部门的岗位职责必须进行统一规划和分工,分工明确,各司其职。保障管理的效率性,防止多头控制和执行不力的现象出现,保障权责统一。设定使用权限,未签订允许授权单不得进入计算机信息网络或者使用计算机信息网络资源,将安全信息工作落到实处。
2 提升全员信息安全意识
建立信息安全培训教育制度,定期培训,开展讲座。组织全体工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高自上而下工作人员的维护网络安全的警惕性和自觉性。一旦发现从事危害计算机信息网络安全的 *** 作活动的,承担相应的处罚责任,签订安全信息保密承诺书。从各部门级出发,针对这些信息隐患制订安全防范措施。
3 及时改进安全方案,调整安全策略
随着信息技术的不断进步和发展,企业的信息安全策略也要因时而变。面对各种新的未知技术和威胁,不是所有的信息安全问题都可以一次性解决,人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的,不可能一次就发现所有的安全问题。
综上,信息安全是相对的,不是绝对的,是一个伴随着企业信息化应用发展而发展的永恒课题。所以要以战略的角度来考虑,从信息建设、人员配置、机制流程等方面入手,制定有效的管理策略与措施,加强应对信息安全事件的应急处置能力,维护基础信息网络、重要信息系统和重要控制系统的安全,保障公司各项生产经营活动安全的顺利开展。
以上就是关于如何避免企业遭遇数据泄露事故全部的内容,包括:如何避免企业遭遇数据泄露事故、如何管理公司it资产、it管理员的工作内容等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)