《信息化绩效评价》章节试读

《信息化绩效评价》的笔记-第69页 - 第4章 以企业信息化管理控制为基础的评价框架

本章导读。管理层需要统一的管控体系，对企业内所有层次的IT风险和限制进行评价和分析，这样才能实现对信息机相关技术有效的指导和充分的控制........重点介绍了以信息化管控为基础的标准框架——cobit，以及如何利用cobit的工具进行评价管理控制为基础，借鉴的是cobit体系。控制——政策、程序、实践和组织结构，用来提供合理保证，以确保获取业务目标，阻止或侦测意外事件的发生。信息化管控——是一个过程，管理层借此增加达成阻止目标且减少风险的可能性。信息化管控目标——是在特别的IT活动中实施控制程序的理想结果或期望目标的声明。信息化管控体系的基本假设....第一个基本假设是管理层的责任，有效的信息化管控体系不是任何群体的责任，而是管理层的责任。第二个假设就是合理保证.....第三个假设是特定管控应该随着不同的技术而变化......第四个基本假设涉及到局限性....这段内容，不，全书，我都看不太明白。像定义目标为声明这种定义，还是很别扭。另外“信息化管控体系的基本假设”这个，基本假设是什么意思?为什么要提出基本假设？管理层的责任，这点比较赞同。特别是在信安这一块，就是领导重视就是信息安全，不重视就是啥都不是还占资源。合理保证的意思是建立管控是合理控制并解决，但不是完全解决。如果一味解决，就要考虑投入的成本和风险发生承受力是否对等。

《信息化绩效评价》的笔记-第75页 - 4.3信息化管控模型——cobit

当前比较流行的控制模型分为以下几类：商业控制模型，主要从受托责任方面来考虑一般控制框架的价值，如美国的COSO,加拿大的coco。集中于技术的IT控制模型，如CICA（加拿大特许会计师协会）的IT控制指南和NIST(美国标准技术协会)的安全手册。沟通IT与商业的控制模型，以cobit为代表。cobit管控模型，三维体系结构。IT准则集中反映了企业的战略目标，IT资源是信息化管控的主要对象，IT过程是在准则指导下管理IT资源的方式。企业的信息系统是由一个个功能组成的，他们对应于企业经营领域的一个个活动。这些活动可以按照彼此之间关系的紧密程度或者目标的一致程度归结为一些过程，例如......风险评估等....活动/任务层、过程层和域层没有去查这个概念是不是从cobit搬过来的。大概想说的就是过程就是一个流程，很多个流程会构成域，域的概念是指职责。域实现的是职责的目标。像0A，我需要内部办公，办公有公文上传审批通报等一系列流程，每个流程有写批阅等活动？这么理解？最底层（也就是分的最细化的层次）包含可测量结果的活动或任务（活动有一个生命周期的概念，然而任务是离散的不连续的。）在这个层次上，任何活动或任务都能得到有效的评测和控制。域下面有控制目标，那控制目标和这个“活动或任务的有效评测和控制”有关系的吗？还是这个控制其实是指过程的控制目标？——后面看到了，34个高层控制目标就是主要的IT过程。

《信息化绩效评价》的笔记-第72页 - 4.2.1面向业务目标

管控的最终目标是追求企业的业务目标。需要在IT控制目标与企业业务目标之间建立清晰而明显的联系纽带。控制目标是根据企业重组再造的原则以面向过程的方法来定义的。在已确定的领域和过程中，高层控制目标被定义为理论基础并以文档的形式说明与业务目标的联系。此外，还提供了考虑因素和指导方法来定义并实施IT控制目标高层控制目标基本没见过。IT控制目标是大概想出来的。为了保证IT实现其业务目标，必须指导并管理IT活动以达到管理风险（取得安全性、可靠性、一致性）和实现利益（增长的效用和效率）的有效平衡，需要一定管控手段为IT活动，如计划和组织、获取和实施、交付和支持、监控等活动建立指导方法的基础。。。。哪些是应该执行的最重要的活动及为了达到目标的度量过程达到目标的度量过程？？？是度量过程？不是应该度量目标的完成度？

《信息化绩效评价》的笔记-第73页 - 4.2.2设定IT准则

业务和IT的目标和测量方法是如何联系起来的呢？通常我们可以采用IT准则来描述，即为了实现企业的经营目的，需要信息技术遵循哪些准则。........IT的目标可以被描绘成传递符合IT准则的企业经营信息，这些经营信息用于企业的经营决策........信息准则将IT目标与企业目标集成起来。为了满足企业业务目标，需要制定信息准则，典型的信息准则应该满足质量要求、信用要求、安全要求。IT准则==》IT目标。