文档介绍：第二章 IT治理

★必须的知识点

1. IT 战略、政策、标准和程序对于组织的意义,及其基本要素
2. IT 治理框架(体系)
3. 制定、实施和维护 IT 战略、政策、标准和程序的流程。如:信息资产的保护、业务持续
和灾难恢复、系统和基础建设生命周期、IT 服务交付与支持
4. 质量管理战略和政策
5. 与 IT 使用私}管理相关的组织结构、角色私!职责。
6. 公认的国际 IT 标准和准则(指导)。
7. 制订一长期战略方向的企业所需的 IT 体系及其内容
8. 风险管理方法和工具
9. 控制框架(模型)的使用,如:CobiT, COSO, ISO 17799 等控制模型。
10. 成熟度和流程改进模型(如:C1V1M, CobiT)的使用。
11. 签约战略、程序和合同管理实务。
12. IT 绩效的监督和报告实务
13. 有关的法律、规章等问题(如:保密法/隐私法、知识产权、公司治理的要求)
14. IT 人力资源管理
15. 资源投资和配置实务(如:投资的资产管理回报)

★可能的考试重点

公司治理与 IT 治理(概念)
IT 治理中董事会和执行经理层的作用(责任、关键成功因素)
IT 治理最佳实务(结构与关系)
IT 治理中审计的的作用(确保 IT 的运用符合组织目标)
IT 战略:IT 战略委员会(职责、作用、组成)、IT 平衡记分卡
信息安全治理
企业架构(结构化方式反映组织的 IT 资产)
业务流程驱动的企业架构
FEA 参考模型
风险管理(原第七章内容,重点)
采购实务
IS 模块交付(内包、外包、混合采购)
采购战略
外包实务和战略(优缺点、风险)
服务水平协议(SLA)
全球化战略和实务
第三方审计报告
能力与发展
服务改进和用户满意度
行业标准/基准
信息系统组织结构
供货商和外包商管理
体系运营和维护(原运维)
应用开发和维护/系统开发和维护
职责分离(重点)
组织结构中不同人员的职责★需要了解和熟悉
IT 治理审计
查询理解★★★★★★★
信息系统安全管理的成果
信息系统安全管理的不同层次

★知识点摘要

公司治理
倡导的公司道德文化。世界经合组织将公司治理定义:“公司内不同群体之间责权利的分配
关系,如董事会、管理层、股东和其他利害相关者,这些分配关系清楚地勾勒出公司决策的
规则和程序。由此,制定公司目标和确定达成目标和监控绩效的方式。”
公司治理框架中的一个很重要内容是建立管理和报告业务风险的规则。该规则要求公司在改
进和革新业务活动时有监控风险的内部控制体系。同时,公司治理框架又是保护股东利益的

董事会和执行经理层监控和保证实务
IT 治理一般关注两方面问题:IT 增加商业价值和 IT 风险得到控制。前者通过使 IT 战略与业
务战略保持一致来达到,后者通过组织内的职责分工来达到。
IT 治理是董事会或最高管理层的责任,是企业治理的重要组成部分。
IT 治理的关键因素就是要使 IT 与业务融合,以实现组织的业务价值。

关键的 IT 治理因素包括:
IT 战略委员会
不仅要包括协助董事会承担 IT 治理责任方面提供战略建议,而且要把目光聚集在 IT 价
值、风险及绩效上面。这是把 IT 治理机制集成到公司治理层面中去的一种机制。作为
隶属于董事会的 IT 战略委员会,其主要职责就是要协助董事会监管组织的 IT 相关事务,
保证董事会在掌握充分的内部、外部信息的基础上,作出有效的 IT 治理决策。
执行机构:指导委员会(mittees)
风险管理
标准 IT 平衡记分卡
过程管理评价技术。该方法超越了传统的财务评价方法,在顾客满意度、内部流程和创
新能力等方。。三个层面:使命、战略、措施
IT 平衡记分卡是协助 IT 战略委员会和最高管理层,保持 IT 与组织业务高度一致的最
有效的办法之一。IT 平衡记分卡的主要目的就是要为管理层建立一套工具,以便于:管
理层向董事会汇报 IT 运营状况;在重要的利益相关者之间对 IT 战略目标达到一致;证明
IT 的价值及有效性;在组织中沟通 IT 的绩效、风险、能力。

IT 治理是各种关系和流程的架构,用来指导和控制组织达成增值目标,同时还要保证 IT 及
其流程的风险与收益的平衡。
IT 治理的目的是指导 IT 工作,确保 IT 绩效满足 IT 目标符合企业目标和预期利润的实现。
另外,IT 应该帮助企业开拓商机,实现利益最大化。IT 资源应得到充分的利用,IT 相