IT治理——标準、架構與案例分析

 IT治理——标準、架構與案例分析（國内第一部具有自主創新管理模式的IT治理叢書，由二十位行業領袖聯袂推薦）

基本資訊

• 出版社：清華大學出版社
• ISBN：9787302266075
• 上架時間：2011-12-6
• 出版日期：2012 年2月
• 開本：16開
• 頁碼：1
• 版次：1-1

内容簡介

         本書系統介紹了國内外公認以及ITGov自主創新的IT治理标準、架構和最佳實踐，并輔以我國政府部門和企業推進資訊化工作的典型案例。該書為新型的資訊化上司者提供了一部國際國内IT治理及最佳實踐“集萃式的方法與案例集”，對政府部門和企業各級上司科學決策和實踐具有重要借鑒意義。

         本書作者是中國IT治理研究與實踐的奠基者，所著IT治理智庫叢書均填補了相關出版領域的空白，亦曾榮登當當網IT圖書暢銷榜第一名。

互動網預售：   http://product.china-pub.com/198862

樣章免費下載下傳：http://download.csdn.net/detail/qinghuawenkang/3896896

作者簡介

孟秀轉 CPA、BS15000、ITIL、COBIT、PRINCE2認證專家。ITGov中國IT治理研究中心研究員，國務院國資委“中央企業全面風險管理指引”專家顧問，勞動部認證進階資訊化管理師和特邀講師、北京聯合大學應用文理學院副教授，美國新英格蘭大學通路學者，“文化·組織·IT治理智庫”副主編，中國IT治理研究與實踐的最早推動者之一。主要從事公司治理與IT治理、資訊系統審計、IT投資回報和資訊化績效評估、IT服務管理體系等領域的研究與實踐。聯系方式：[email protected]。

于秀豔 管理學博士，山東理工大學、ITGov中國IT治理研究中心研究員。主要從事IT治理、IT商業價值評估、核心IT能力評價、IT服務管理研究工作，已在國内外核心期刊發表論文15餘篇，部分被EI收錄。

郝曉玲 管理學博士，上海财經大學副教授，注冊資訊系統審計師，ITGov中國IT治理研究中心研究員。主要研究方向為IT治理、資訊化績效評價、IT服務管理，已在國内外核心期刊發表論文20餘篇。聯系方式：[email protected]。

孫強 CISA、CISM、BS7799LA、COBIT、ISO20000、ITIL、PRINCE2、CGEIT認證專家。ITGov中國IT治理研究中心主任，北京大學資訊化治理研究中心常務副主任，工業和資訊化部電子政務專家、國際IT治理協會（ITGA）副理事長，“文化· 組織· IT治理智庫”主編。聯系方式：[email protected]

目錄

第1章  IT治理概念與範疇... 1

1.1  IT治理與IT管理概述. 1

1.1.1  IT治理與IT管理概念. 1

1.1.2  IT治理的背景和發展. 7

1.1.3  IT治理目标. 14

1.1.4  IT管理要素. 16

1.1.5  IT管理分類. 17

1.2  IT面臨的問題和風險. 18

1.2.1  IT面臨的問題. 19

1.2.2  IT面臨的風險. 19

1.3  IT治理面臨的問題與挑戰. 23

1.3.1  IT治理面臨的問題. 23

1.3.2  IT治理面臨的挑戰. 24

1.4  IT治理架構. 25

1.5  協調式管理咨詢方法論. 27

1.5.1  概述. 27

1.5.2  優勢. 27

1.5.3  特點. 29

1.5.4  示範推廣的意義. 30

1.6  IT治理人才培養. 32

1.6.1  基本情況. 32

1.6.2  知識體系. 33

1.6.3  三個轉型. 34

關鍵詞. 35

思考題. 36

參考文獻. 36

拓展閱讀. 36

第2章  IT規劃管理... 38

2.1  IT規劃管理概述. 38

2.1.1  IT規劃管理的概念與内涵. 38

2.1.2  IT規劃管理的意義. 39

2.1.3  IT規劃架構與架構. 40

2.2  Zachman架構. 41

2.2.1  Zachman架構概述. 41

2.2.2  Zachman架構主要内容. 42

2.2.3  Zachman架構實施步驟. 43

2.3  開放組體系架構架構. 44

2.3.1  TOGAF概述. 44

2.3.2  TOGAF的主要内容. 45

2.4  面向服務架構. 47

2.4.1  SOA概述. 47

2.4.2  SOA的主要内容. 48

2.5  戰略對應性模型. 50

2.5.1  SAM概述. 50

2.5.2  SAM主要内容. 52

2.5.3  SAM實施步驟. 53

2.6  關鍵成功因素法. 54

2.6.1  CSF概述. 54

2.6.2  CSF的主要内容. 55

2.6.3  CSF的實施步驟. 56

2.7  企業系統規劃法. 57

2.7.1  BSP概述. 57

2.7.2  BSP的主要内容. 58

2.7.3  BSP實施步驟. 58

2.8  戰略集轉化法. 60

2.8.1  SST概述. 60

2.8.2  SST的實施步驟. 61

2.9  戰略網格法. 62

2.9.1  SG概述. 62

2.9.2  SG的主要内容. 62

2.10  動态內建IT規劃方法. 64

2.10.1  動态內建IT規劃方法概述. 64

2.10.2  動态內建IT規劃方法内容. 65

2.10.3  動态內建IT規劃方法的實施步驟. 66

2.11  各種規劃方法比較. 70

2.12  A省經濟開發區資訊化規劃案例. 72

關鍵詞. 76

思考題. 77

參考文獻. 77

拓展閱讀. 77

第3章  IT擷取與實作管理... 79

3.1  IT擷取與實作管理的概述. 79

3.1.1  IT擷取與實作管理的相關概念. 79

3.1.2  IT擷取與實作管理的意義. 80

3.2  統一軟體開發過程. 83

3.2.1  RUP概述. 83

3.2.2  RUP模型. 83

3.2.3  RUP開發過程. 86

3.2.4  RUP的适用範圍. 89

3.3  靈活統一過程(AUP) 90

3.3.1  靈活方法學. 90

3.3.2  AUP主要内容. 91

3.3.3  AUP實施過程. 92

3.4  Scrum方法. 94

3.4.1  Scrum概述. 94

3.4.2  Scrum的主要内容. 95

3.4.3  Scrum方法開發過程. 97

3.4.4  Scrum對過程的管理. 98

3.5  電子外包能力模型. 100

3.5.1  eSCM概述. 100

3.5.2  eSCM-SP概述. 101

3.5.3  eSCM-SP的主要内容. 102

3.5.4  eSCM-SP應用領域. 105

3.5.5  eSCM-SP應用. 105

關鍵詞. 107

思考題. 107

參考資料. 108

拓展閱讀. 108

第4章  IT服務管理... 109

4.1  IT服務管理概述. 109

4.1.1  IT服務管理的概念與内涵. 109

4.1.2  IT服務管理的意義——資訊化的“破冰船”. 111

4.1.3  ITSM的基本原理. 114

4.1.4  IT服務管理發展現狀. 115

4.2  ITIL 116

4.2.1  ITIL概述. 116

4.2.2  ITIL主要内容. 117

4.2.3  ITIL實施步驟. 124

4.3  ISO/IEC20000 127

4.3.1  ISO/IEC20000概述. 127

4.3.2  ISO/IEC20000主要内容. 128

4.3.3  ISO/IEC20000實施步驟. 130

4.4  ISPL 132

4.4.1  ISPL概述. 132

4.4.2  ISPL主要内容. 132

4.4.3  适用範圍. 133

4.5  ITS-CMM 134

4.5.1  ITS-CMM概述. 134

4.5.2  ITS-CMM主要内容. 134

4.5.3 适用範圍. 136

4.6  BiSL 136

4.6.1  BiSL概述. 136

4.6.2  BiSL主要内容. 137

4.6.3  BiSL适用範圍. 139

4.7  eTOM 140

4.7.1  eTOM概述. 140

4.7.2  eTOM主要内容. 141

4.7.3  适用範圍. 144

4.8  ASL 144

4.8.1  ASL概述. 145

4.8.2  ASL主要内容. 145

4.8.3  ASL适用範圍. 148

4.9 案例研究. 148

4.9.1 國家某部委IT運維管理體系總體規劃. 148

4.9.2  ISO 20000成功案例. 158

關鍵詞. 166

思考題. 166

參考資料. 167

拓展閱讀. 167

第5章  IT項目管理... 169

5.1  IT項目管理的概述. 169

5.1.1  IT項目的概念和内涵. 169

5.1.2  IT項目管理的意義. 173

5.2  PMBoK 173

5.2.1  PMBoK概述. 173

5.2.2  PMBoK主要内容. 174

5.2.3  PMBoK實施過程. 181

5.3  IPMP 182

5.3.1  IPMP概述. 182

5.3.2  IPMP主要内容. 184

5.3.3  iPMBoK2004 186

5.4  PRINCE2 188

5.4.1  PRINCE2概述. 188

5.4.2  PRINCE2主要内容. 189

5.4.3  PRINCE2實施步驟. 192

5.4.4  PRINCE2與PMBOK比較. 195

5.5  MSP 196

5.5.1  MSP概述. 196

5.5.2  MSP主要内容. 197

5.5.3  MSP實施步驟. 199

關鍵詞. 201

思考題. 201

參考文獻. 202

拓展閱讀. 202

第6章  IT品質管理... 204

6.1  IT品質管理概述. 205

6.1.1  IT品質管理的概念與内涵. 205

6.1.2  IT品質管理的意義. 206

6.2  資訊系統工程監理. 206

6.2.1  資訊系統工程監理概述. 206

6.2.2  資訊系統工程監理主要内容. 208

6.2.3  資訊系統工程監理實施步驟. 209

6.3  CMM 210

6.3.1  CMM概述. 210

6.3.2  CMM的内容. 211

6.3.3  CMM的适用範圍. 216

6.4  TickIT 216

6.4.1  TickIT概述. 216

6.4.2  TickIT的主要内容. 218

6.5  TQM 219

6.5.1  TQM概述. 219

6.5.2  TQM主要内容. 220

6.5.3  TQM的PDCA循環. 222

6.5.4  TQM與其他品質管理之間關聯. 224

6.6  ISO 9000 225

6.6.1  ISO9000概述. 225

6.6.2  ISO 9000的主要内容. 226

6.6.3  ISO9000實施方法. 229

6.6.4  ISO9000适用範圍. 229

6.6.5  ISO9000與Six Sigma、CMM的比較. 230

6.6.6  ISO/IEC 9126主要内容. 232

6.7  Six Sigma 233

6.7.1  Six Sigma概述. 233

6.7.2  Six Sigma主要内容. 234

6.7.3  DMAIC方法. 236

6.7.4  Six Sigma适用範圍. 237

6.7.5  Six Sigma與TQM的聯系. 238

關鍵詞. 238

思考題. 238

參考文獻. 239

拓展閱讀. 239

第7章  IT風險管理... 241

7.1  IT風險管理概述... 241

7.1.1  IT風險管理的概念... 241

7.1.2  IT風險的分類... 243

7.1.3  IT風險管理的意義... 244

7.2  COSO－ERM... 246

7.2.1  COSO－ERM概述... 246

7.2.2  COSO－ERM主要内容... 247

7.2.3  COSO－ERM實施步驟... 248

7.3  M_o_R.. 250

7.3.1  M_o_R概述... 250

7.3.2  M_o_R主要内容... 251

7.3.3  M_o_R實施步驟... 254

7.3.4  M_o_R優缺點分析... 255

7.4  AS/NZS 4360. 256

7.4.1  AS/NZS 4360：1999概述... 256

7.4.2  AS/NZS 4360風險管理過程... 256

7.4.3  AS/NZS 4360适用範圍... 262

7.5  CobiT. 262

7.5.1  CobiT概述... 262

7.5.2  CobiT4.1主要内容... 266

7.5.3  CobiT4.1實施步驟... 269

7.6  IT風險管理體系案例研究... 270

關鍵詞... 272

思考題... 273

參考文獻... 273

拓展閱讀... 273

第8章  資訊安全管理... 275

8.1  資訊安全管理概述... 276

8.1.1  資訊安全... 276

8.1.2  資訊安全管理... 277

8.1.3  資訊安全管理現狀... 278

8.2  資訊安全等級保護管理辦法... 280

8.2.1  資訊安全等級保護管理辦法概述... 280

8.2.2  資訊安全等級保護管理辦法主要内容... 281

8.2.3  資訊安全等級保護管理辦法實施步驟... 282

8.3  ISO 27001. 285

8.3.1  ISO 27001概述... 285

8.3.2  ISO27001主要内容... 286

8.3.3  ISO27001實施步驟... 289

8.4  ISO/IEC 13335. 291

8.4.1  ISO/IEC TR 13335概述... 291

8.4.2  ISO/IEC TR 13335主要内容... 292

8.5  CC及ISO/IEC 15408. 300

8.5.1  CC概述... 300

8.5.2  ISO/IEC15408概述... 301

8.6  案例——資訊安全管理體系設計... 302

8.7  引申閱讀——資訊安全治理[] 314

8.7.1  資訊安全治理的産生背景... 314

8.7.2  資訊安全治理的含義... 315

8.7.3  良好資訊安全治理的實作... 317

8.7.4  建立我國資訊安全治理機制... 323

關鍵詞... 326

思考題... 326

參考文獻... 326

拓展閱讀... 327

第9章  IT績效評價... 328

9.1  企業資訊化績效評價... 328

9.1.1  概覽... 328

9.1.2  資訊化績效評價分類... 335

9.1.3  資訊化績效評價的層次... 341

9.1.4  IT平衡記分卡概述... 345

9.2  電子政務績效評估... 358

9.2.1  概覽... 358

9.2.2  國内外相關研究及實踐... 359

9.2.3  電子政務績效評估的分類... 361

9.2.4  電子政務績效評估體系... 363

9.3  案例研究... 369

9.3.1  X集團公司IT規劃、建設與運維服務外包評估案例... 369

9.3.2  服務型政府視角的電子政務綜合績效評估案例... 376

9.3.3  電子政務系統績效評估案例――B市GIS系統績效評估... 386

9.3.4  項目績效評估案例――C市電子政務外網建設項目績效評估... 390

關鍵詞... 392

思考題... 392

參考文獻... 393

拓展閱讀... 393

第10章 災難恢複和業務 持續性管理... 394

10.1  災難恢複... 394

10.1.1  災難恢複相關概念... 394

10.1.2  災難恢複的意義... 395

10.2  GB20988-2007. 396

10.2.1  GB20988-2007概述... 396

10.2.2  GB20988-2007主要内容... 396

10.2.3  GB20988-2007實施步驟... 397

10.3  BS25999. 398

10.3.1  BS25999概述... 398

10.3.2  BS25999主要内容... 398

10.3.3  BS 25999實施步驟... 401

10.4  NIST SP 800-34. 402

10.4.1  NIST SP 800-34概述... 402

10.4.2  NIST 800-34主要内容... 403

10.4.3  NIST 800-34 實施步驟... 404

10.5  案例分析-資訊系統災難備份體系建設... 405

關鍵詞... 410

思考題... 410

參考資料... 410

拓展閱讀... 411

第11章  核心IT能力架構及 其評價體系... 412

11.1  核心IT能力概述... 412

11.1.1  概念與内涵... 412

11.1.2  核心IT能力及其評價研究的意義... 416

11.2  核心IT能力架構... 417

11.2.1  核心IT能力架構... 417

11.2.2  核心IT能力架構内容... 418

11.3  核心IT能力評價體系... 427

11.3.1  評價架構... 427

11.3.2  企業核心IT能力評價名額的設計原則及方法... 428

11.3.3  企業核心IT能力評價名額體系... 429

11.4  企業核心IT能力實證研究... 437

關鍵詞... 439

思路題... 439

參考文獻... 440

拓展閱讀... 440

第12章  IT控制能力... 441

12.1  IT控制能力概述... 441

12.1.1  概念與内涵... 441

12.1.2  IT控制能力的作用... 445

12.2  IT控制能力結構架構... 446

12.2.1  IT控制能力結構架構... 446

12.2.2  IT控制能力構成要素分析... 449

12.3  IT控制能力與企業績效的關系... 456

12.3.1  IT控制能力與企業績效的關系模型... 456

12.3.2  IT控制能力與企業績效的測度模型... 461

12.3.3  IT控制能力與企業績效關系的實證研究... 468

12.4  提升我國企業IT控制能力的路徑... 469

關鍵詞... 471

思考題... 471

參考文獻... 471

拓展閱讀... 472

第13章  IT治理架構... 473

13.1  組織IT治理架構... 473

13.2  IT治理架構内容... 475

13.2.1  科學的資訊化發展觀... 475

13.2.2  IT商業價值... 477

13.2.3  IT治理方法... 492

13.2.4  IT治理決策模式... 498

13.2.5  IT風險管理控制流程及其要素... 502

13.2.6  IT治理績效評價... 507

13.2.7  核心IT能力... 509

13.3  IT治理架構元件之間的關系... 509

13.4  ISO 38500. 510

關鍵詞... 512

思路題... 512

參考文獻... 512

拓展閱讀... 513

推薦

文化·組織·IT治理智庫，引進經典專著和邀請專家學者編著相結合，從總結資訊化經驗、指導資訊化實踐，以及通過資訊技術應用完善公司治理結構的兩個方面，繁榮着我國資訊化學術園地，将對我國資訊化發展起到積極的引導作用。更希望，有更多的專家學者投身到資訊化理論研究和實踐總結，為我國資訊化發展奠定堅實的理論基礎。

——中華人民共和國工業和資訊化部副部長 楊學山

ITGov的《IT治理》彙聚了經典專著理論、最佳實務指引和IT治理智庫，從IT治理的戰略思想、科學決策、系統架構、管理标準、實踐路徑、實務方法等方面，為國家資訊化治理提供了理論借鑒，為政府資訊化治理提供了思想指引，為企業資訊化治理提供了實務指導，是我國資訊化理論和實務研究園地中的一朵奇葩。

      ——中華人民共和國審計署資訊化建設上司小組辦公室主任  周德銘

IT治理，在我國資訊化程序中是一件非常重要但是仍未獲得應有地位的事情。之是以說它重要，是由于在多年的資訊化建設中，很多資訊化工程從開始規劃設計到下一輪更新的全生命周期中，因缺少連貫、系統的IT治理工作而造成失誤、浪費、延誤的現象比比皆是；說到它的地位，我認為從總體設計一開始就應當有專業的IT治理工程師參加進來，跟蹤設計、建設、運作的全過程，這就需要在項目立項建設和日常運維中設立專門的科目，提前招标、全程跟蹤。好在近年來在一些機構的系統建設中，見到IT治理正在逐漸得到認識和應用，稍感欣慰。更好在看到《IT治理：标準、架構與案例分析》這樣一部書即将問世，且其從理論到實操，在各環節均有明晰而不含混的闡述，還給出了一些不錯的案例，這就更感欣慰了。作為ITGov中國IT治理研究中心所出版的系列IT治理叢書中一項最新成果，非常願意向業内人士推薦本書，以期我國IT治理事業再前進一步。

——中國勞動學會副會長、前勞動保障部資訊中心主任 王東岩

《IT治理：标準、架構與案例分析》系統介紹了國内外業界公認的資訊化建設以及風險管理标準、架構與最佳實踐，并輔以我國政府部門和企業推進資訊化工作的典型案例。該書為資訊化上司者、實施者和風險管理人員，提供了一部可以參考借鑒的國内外IT治理及風險管理最佳實踐的“集萃式”方法與案例集，對使用者IT治理的決策和實踐具有重要的借鑒意義。同時，各機關在實踐中也應結合自身IT治理需要，有選擇分階段地開展IT治理工作。

                                 ——中國工商銀行内審局副局長仲安妮

IT治理已不是一個新話題，但仍處于初級階段。如何擺脫IT治理“就技術論技術”、“重建設輕管理”的局面，結合中國文化背景，提高董事會和進階管理層的“知曉度”與“參與度”，發揮IT是生産力的作用，防範IT風險，使得IT治理從“要我做”變為“我要做”，值得我們關注。《IT治理：标準、架構與案例分析》做了許多有益的探索。

                       ——中國銀監會資訊中心處長    陳文雄

驚喜地拿到《IT治理：标準、架構與案例分析》的電子樣稿，毫不誇張地說，這是至今為止我所讀過的、由國内專家自主撰寫的有關IT治理的最詳細的一本專著。該書的内容幾乎覆寫了IT治理知識架構中的所有領域，書中選擇的案例也具有濃厚的本土色彩，很有針對性。相信該書不僅可以作為資訊管理專業的主力教材，更能為我們各類組織中的IT管理和實踐者制訂IT戰略、管理IT項目、提升IT服務、控制IT風險、評價IT績效等提供重要的指導和借鑒。

              ——上海國家會計學院副院長  劉勤教授

大力推進國民經濟和社會資訊化，是覆寫現代化建設全局的戰略舉措。如何有效地推進資訊化建設，如何将公司治理和IT治理有效地結合在一起，時時困擾着政府、企業、科研機關的各級上司和資訊化主管人員。《IT治理》的作者潛心研究、辛勤工作，默默推動着中國資訊化的可持續發展，精神可嘉，成果可喜。相信其多年的努力，一定會在我國資訊化實踐中結出碩果。 

——中國移動資訊安全管理部副總經理  張濱

随着越來越多的關鍵業務以資訊系統作為支撐，IT已經成為企業持續發展的基礎，資訊系統運作的好壞對企業關鍵業務能否順暢運作的影響越來越大。如何使IT為企業服務？如何管理IT架構中的風險？如何保障IT系統的安全？這些問題一直困擾着企業管理者和企業的資訊化工作者，IT治理為他們提供了資訊化的管理架構。企業IT架構越複雜，IT資産越多，關鍵業務越依賴于資訊系統的支援，IT治理的必要性也就越顯著。IT治理已成為我國資訊化建設的瓶頸，IT治理的水準對IT應用效果的影響越來越深刻。我國資訊化建設迫切需要解決的不僅是技術，更要重視建立完善的IT治理架構。ITGov的《IT治理》指明并總結出IT管理的方法論和最佳實踐，為廣大企業管理者和資訊化工作者提供了管理參考和決策依據。

——中國石化股份有限公司　教授級高工　吳正宏

ITGov的《IT治理》作為IT治理智庫的第九個成員，以戰略資訊化和系統資訊化的高度和寬度，成功聚合了國内外IT治理和戰略架構的經典研究成果與經典實踐案例，堪稱中國IT治理領域、乃至中國資訊化界的“九陽真經”。必将引導并引領中國IT治理以及資訊化産業的超越和發展。

                         ——島石集團董事長、十大創新浙商  帥新武

從事了多年資訊化建設工作，不斷擷取、總結相關的知識和經驗，有書本上學到的，但更多是實踐中總結的，總覺得零散、雜亂。翻開《IT治理：标準、架構與案例分析》一書，如獲至寶。該書系統地介紹了國内外公認的IT治理标準、架構和最佳實踐，不但把我思想中零散的IT管理和IT治理的概念串接了起來，更使我建立起了完整的IT治理概念。邊看這本書，腦海裡邊閃現出下一步工作計劃，并有沖動立刻去付諸行動。

     ——北京首都國際機場股份有限公司資訊部黨委書記、副經理  熊英

IT風險管理、資訊安全、IT服務管理等概念和實踐活動已在IT界推廣了很長時間，從我個人的工作經曆中，看到很多政府機構、企業界的各級上司和IT部門都進行了有益的嘗試，但如果不把這些實踐活動上升到治理的理念，從IT系統生命周期的觀點出發系統地治理資訊系統，就不能從根本上解決IT效益最大化的問題。欣聞孟秀轉博士及其研究團隊将多年的理論研究和實踐經驗彙聚在《IT治理》專著中，我認為該書對從事IT治理實踐的從業人員具有重要的指導意義。

——DNV可持續發展中心總經理 郭曉英