探索中国CIO人才现状 | 第四季调研报告
IT合规与IT治理分享
2014-07-27  作者:苏州胶囊亚太区信息总监 沈荣 来源:CIO发展中心

【CIO发展中心独家】IT治理是很大的话题,合规性只是其中之一,通过IT治理达到合规性的要求,不光是业务,也是IT的要求。在IT运维当中,无时无刻不会用到IT治理的一些概念。通过CRM、实验室系统管控实现合规性,也是IT治理的一部分。

苏州胶囊亚太区信息总监 沈荣

IT治理包含了领导、组织架构和一些流程,确保整个企业的IT可以维持和增强整个组织的目标和策略,这是IT治理学院的定义。IT治理是公司治理框架中不可分割的一个部分,负责人应该是公司的董事会,而非IT。IT治理要遵循一定的标准,如COBIT标准等等。

企业可以根据业界的标准和框架量身定制自己的IT治理目标。一般而言,企业的治理目标确定后,才能设立IT治理的目标,两者是统一的。举个例子,企业的治理是参照平衡积分卡的维度来进行的,有这么四个维度,财务的,客户的,还有内部的,还有学习成长的,等等。对企业而言,要实现利益的最大化,就要优化资源,降低风险,这是企业治理的目标。

为什么需要IT治理,其实就是要维护高质量的信息,然后支持业务的决策,从而产生价值,实现IT支持下的投资,驱动业务的成长。对于苏州胶囊而言,我们首先要保证业务的连续性,其次要能够随着业务的变更做变更,并通过一个可靠和有效的技术应用,来保障整个运营的高效和优化。另外我们还要维护IT的风险在可接受的水平,这不光是说IT对于业务的风险,而是包括对于IT本身的风险。同时,还要优化IT服务和技术的成本,最终当然就是一个合规,还要符合日益增长的相关的法律法规的过程。

IT治理在集中在5个方面,首先是策略性地跟业务相关联,我们要实现一些价值,其次是风险的管理,最终我们要完成资源的管理,不光包括IT人员、技术架构、应用和数据的管理,还要通过一些绩效的评估来保障我的IT治理的有效性。

在苏州胶囊,我们的治理共分了8个领域,首先是战略。整个IT的服务和技术用来支持组织的近期和长期的目标;投资组合这一块,是确保IT在做正确的事情,用正确的成本交付最大的业务的价值;在技术标准这一块,要考虑技术平台的合理性。

举个例子,XP已经退市了,不能等到这一天才去做准备,而是在一年之前就考虑,是否要把XP逐步淘汰掉。技术的标准就是针对一些特定的硬件、软件和接口,提供一个针对于组织,能够符合其未来应用的平台。同时我们要从技术标准方面得到一些好处,它的可靠性,可拓展性以及运营的高效性和优秀性,以及整个成本的有效性。

技术架构上,我们是通过IT外包来实现的IT运维的。应用层面,也不是自行开发的,以免被这些应用绑定了,影响业务的转型和变更。应用的标准我们是自己制定的。以移动应用为例,我们在做外部开发时,会考虑到它的技术标准是什么?我们推荐的平台是什么?系统架构是什么?标准没有定好,是不可以去找厂商的。

系统架构上,我们也会考虑其合规性,和重复可使用性,以及它的生命周期。企业信息这一块,我们现在用的是office365,不会再去买Exchange来做这些事情。当然大家说了,万云皆有风险,这取决于你如何管理,首先选择供应商的时候,是否做过一些评估,这就又回到了IT治理方面。

另外,安全也是我们IT治理的一个重中之重。对于上市企业,这一块是很重要的。网络安全对于投资者非常重要,一旦有风险,一旦出现问题,整个知识产权,或者客户信息都有可能泄露。

另外大家提到的,两三个星期之前有一个HeartBleed漏洞,让各大硬件厂商都很恐慌,甚至一些软件厂商,包括云存储的厂商,影响都挺大的。大家可以通过一些扫描的工具可以在你的网络内部做一些扫描,看看哪一个应用或者系统受到了影响。

接下来就是质量与合规。今天讲了很多,但是从IT的角度,我们在整个的医药行业,包括计算机验证在内,很多东西并没有认真地做,这是需要改善的地方。

IT治理的范围,可以分为三大类,在投资组合的角度,要确保正确的投资;在技术角度,要确保有正确的技术;在以及质量和合规这一块,要确保有隐私保护,以及SOX的遵从,等等。审计过程是每个企业每年都会做的一个东西,具体到技术这一块,不光是软件开发平台的评估,还有整个技术架构,以及一些像网络的标准,等等,要能够根据业务的发展,灵活的变动。

对于而言,IT治理方面是否存在问题和弱点,也可以通过一些自我评估来确定,COBIT应提供了一揽子的评估模板,可以在些基础上,量身定制成企业的自己的评估标准。