IT治理——标准、框架与案例分析

 IT治理——标准、框架与案例分析（国内第一部具有自主创新管理模式的IT治理丛书，由二十位行业领袖联袂推荐）

基本信息

• 出版社：清华大学出版社
• ISBN：9787302266075
• 上架时间：2011-12-6
• 出版日期：2012 年2月
• 开本：16开
• 页码：1
• 版次：1-1

内容简介

         本书系统介绍了国内外公认以及ITGov自主创新的IT治理标准、框架和最佳实践，并辅以我国政府部门和企业推进信息化工作的典型案例。该书为新型的信息化领导者提供了一部国际国内IT治理及最佳实践“集萃式的方法与案例集”，对政府部门和企业各级领导科学决策和实践具有重要借鉴意义。

         本书作者是中国IT治理研究与实践的奠基者，所著IT治理智库丛书均填补了相关出版领域的空白，亦曾荣登当当网IT图书畅销榜第一名。

互动网预售：   http://product.china-pub.com/198862

样章免费下载：http://download.csdn.net/detail/qinghuawenkang/3896896

 

 

作者简介

孟秀转 CPA、BS15000、ITIL、COBIT、PRINCE2认证专家。ITGov中国IT治理研究中心研究员，国务院国资委“中央企业全面风险管理指引”专家顾问，劳动部认证高级信息化管理师和特邀讲师、北京联合大学应用文理学院副教授，美国新英格兰大学访问学者，“文化·组织·IT治理智库”副主编，中国IT治理研究与实践的最早推动者之一。主要从事公司治理与IT治理、信息系统审计、IT投资回报和信息化绩效评估、IT服务管理体系等领域的研究与实践。联系方式：it@itgov.org.cn。

于秀艳 管理学博士，山东理工大学、ITGov中国IT治理研究中心研究员。主要从事IT治理、IT商业价值评估、核心IT能力评价、IT服务管理研究工作，已在国内外核心期刊发表论文15余篇，部分被EI收录。

郝晓玲 管理学博士，上海财经大学副教授，注册信息系统审计师，ITGov中国IT治理研究中心研究员。主要研究方向为IT治理、信息化绩效评价、IT服务管理，已在国内外核心期刊发表论文20余篇。联系方式：haoxl@itgov.org.cn。

孙强 CISA、CISM、BS7799LA、COBIT、ISO20000、ITIL、PRINCE2、CGEIT认证专家。ITGov中国IT治理研究中心主任，北京大学信息化治理研究中心常务副主任，工业和信息化部电子政务专家、国际IT治理协会（ITGA）副理事长，“文化· 组织· IT治理智库”主编。联系方式：sunq@itgov.org.cn

 

目录

第1章  IT治理概念与范畴... 1

1.1  IT治理与IT管理概述. 1

1.1.1  IT治理与IT管理概念. 1

1.1.2  IT治理的背景和发展. 7

1.1.3  IT治理目标. 14

1.1.4  IT管理要素. 16

1.1.5  IT管理分类. 17

1.2  IT面临的问题和风险. 18

1.2.1  IT面临的问题. 19

1.2.2  IT面临的风险. 19

1.3  IT治理面临的问题与挑战. 23

1.3.1  IT治理面临的问题. 23

1.3.2  IT治理面临的挑战. 24

1.4  IT治理框架. 25

1.5  协调式管理咨询方法论. 27

1.5.1  概述. 27

1.5.2  优势. 27

1.5.3  特点. 29

1.5.4  示范推广的意义. 30

1.6  IT治理人才培养. 32

1.6.1  基本情况. 32

1.6.2  知识体系. 33

1.6.3  三个转型. 34

关键词. 35

思考题. 36

参考文献. 36

拓展阅读. 36

第2章  IT规划管理... 38

2.1  IT规划管理概述. 38

2.1.1  IT规划管理的概念与内涵. 38

2.1.2  IT规划管理的意义. 39

2.1.3  IT规划框架与架构. 40

2.2  Zachman框架. 41

2.2.1  Zachman框架概述. 41

2.2.2  Zachman框架主要内容. 42

2.2.3  Zachman框架实施步骤. 43

2.3  开放组体系架构框架. 44

2.3.1  TOGAF概述. 44

2.3.2  TOGAF的主要内容. 45

2.4  面向服务架构. 47

2.4.1  SOA概述. 47

2.4.2  SOA的主要内容. 48

2.5  战略对应性模型. 50

2.5.1  SAM概述. 50

2.5.2  SAM主要内容. 52

2.5.3  SAM实施步骤. 53

2.6  关键成功因素法. 54

2.6.1  CSF概述. 54

2.6.2  CSF的主要内容. 55

2.6.3  CSF的实施步骤. 56

2.7  企业系统规划法. 57

2.7.1  BSP概述. 57

2.7.2  BSP的主要内容. 58

2.7.3  BSP实施步骤. 58

2.8  战略集转化法. 60

2.8.1  SST概述. 60

2.8.2  SST的实施步骤. 61

2.9  战略网格法. 62

2.9.1  SG概述. 62

2.9.2  SG的主要内容. 62

2.10  动态集成IT规划方法. 64

2.10.1  动态集成IT规划方法概述. 64

2.10.2  动态集成IT规划方法内容. 65

2.10.3  动态集成IT规划方法的实施步骤. 66

2.11  各种规划方法比较. 70

2.12  A省经济开发区信息化规划案例. 72

关键词. 76

思考题. 77

参考文献. 77

拓展阅读. 77

第3章  IT获取与实现管理... 79

3.1  IT获取与实现管理的概述. 79

3.1.1  IT获取与实现管理的相关概念. 79

3.1.2  IT获取与实现管理的意义. 80

3.2  统一软件开发过程. 83

3.2.1  RUP概述. 83

3.2.2  RUP模型. 83

3.2.3  RUP开发过程. 86

3.2.4  RUP的适用范围. 89

3.3  敏捷统一过程(AUP) 90

3.3.1  敏捷方法学. 90

3.3.2  AUP主要内容. 91

3.3.3  AUP实施过程. 92

3.4  Scrum方法. 94

3.4.1  Scrum概述. 94

3.4.2  Scrum的主要内容. 95

3.4.3  Scrum方法开发过程. 97

3.4.4  Scrum对过程的管理. 98

3.5  电子外包能力模型. 100

3.5.1  eSCM概述. 100

3.5.2  eSCM-SP概述. 101

3.5.3  eSCM-SP的主要内容. 102

3.5.4  eSCM-SP应用领域. 105

3.5.5  eSCM-SP应用. 105

关键词. 107

思考题. 107

参考资料. 108

拓展阅读. 108

第4章  IT服务管理... 109

4.1  IT服务管理概述. 109

4.1.1  IT服务管理的概念与内涵. 109

4.1.2  IT服务管理的意义——信息化的“破冰船”. 111

4.1.3  ITSM的基本原理. 114

4.1.4  IT服务管理发展现状. 115

4.2  ITIL 116

4.2.1  ITIL概述. 116

4.2.2  ITIL主要内容. 117

4.2.3  ITIL实施步骤. 124

4.3  ISO/IEC20000 127

4.3.1  ISO/IEC20000概述. 127

4.3.2  ISO/IEC20000主要内容. 128

4.3.3  ISO/IEC20000实施步骤. 130

4.4  ISPL 132

4.4.1  ISPL概述. 132

4.4.2  ISPL主要内容. 132

4.4.3  适用范围. 133

4.5  ITS-CMM 134

4.5.1  ITS-CMM概述. 134

4.5.2  ITS-CMM主要内容. 134

4.5.3 适用范围. 136

4.6  BiSL 136

4.6.1  BiSL概述. 136

4.6.2  BiSL主要内容. 137

4.6.3  BiSL适用范围. 139

4.7  eTOM 140

4.7.1  eTOM概述. 140

4.7.2  eTOM主要内容. 141

4.7.3  适用范围. 144

4.8  ASL 144

4.8.1  ASL概述. 145

4.8.2  ASL主要内容. 145

4.8.3  ASL适用范围. 148

4.9 案例研究. 148

4.9.1 国家某部委IT运维管理体系总体规划. 148

4.9.2  ISO 20000成功案例. 158

关键词. 166

思考题. 166

参考资料. 167

拓展阅读. 167

第5章  IT项目管理... 169

5.1  IT项目管理的概述. 169

5.1.1  IT项目的概念和内涵. 169

5.1.2  IT项目管理的意义. 173

5.2  PMBoK 173

5.2.1  PMBoK概述. 173

5.2.2  PMBoK主要内容. 174

5.2.3  PMBoK实施过程. 181

5.3  IPMP 182

5.3.1  IPMP概述. 182

5.3.2  IPMP主要内容. 184

5.3.3  iPMBoK2004 186

5.4  PRINCE2 188

5.4.1  PRINCE2概述. 188

5.4.2  PRINCE2主要内容. 189

5.4.3  PRINCE2实施步骤. 192

5.4.4  PRINCE2与PMBOK比较. 195

5.5  MSP 196

5.5.1  MSP概述. 196

5.5.2  MSP主要内容. 197

5.5.3  MSP实施步骤. 199

关键词. 201

思考题. 201

参考文献. 202

拓展阅读. 202

第6章  IT质量管理... 204

6.1  IT质量管理概述. 205

6.1.1  IT质量管理的概念与内涵. 205

6.1.2  IT质量管理的意义. 206

6.2  信息系统工程监理. 206

6.2.1  信息系统工程监理概述. 206

6.2.2  信息系统工程监理主要内容. 208

6.2.3  信息系统工程监理实施步骤. 209

6.3  CMM 210

6.3.1  CMM概述. 210

6.3.2  CMM的内容. 211

6.3.3  CMM的适用范围. 216

6.4  TickIT 216

6.4.1  TickIT概述. 216

6.4.2  TickIT的主要内容. 218

6.5  TQM 219

6.5.1  TQM概述. 219

6.5.2  TQM主要内容. 220

6.5.3  TQM的PDCA循环. 222

6.5.4  TQM与其他质量管理之间关联. 224

6.6  ISO 9000 225

6.6.1  ISO9000概述. 225

6.6.2  ISO 9000的主要内容. 226

6.6.3  ISO9000实施方法. 229

6.6.4  ISO9000适用范围. 229

6.6.5  ISO9000与Six Sigma、CMM的比较. 230

6.6.6  ISO/IEC 9126主要内容. 232

6.7  Six Sigma 233

6.7.1  Six Sigma概述. 233

6.7.2  Six Sigma主要内容. 234

6.7.3  DMAIC方法. 236

6.7.4  Six Sigma适用范围. 237

6.7.5  Six Sigma与TQM的联系. 238

关键词. 238

思考题. 238

参考文献. 239

拓展阅读. 239

第7章  IT风险管理... 241

7.1  IT风险管理概述... 241

7.1.1  IT风险管理的概念... 241

7.1.2  IT风险的分类... 243

7.1.3  IT风险管理的意义... 244

7.2  COSO－ERM... 246

7.2.1  COSO－ERM概述... 246

7.2.2  COSO－ERM主要内容... 247

7.2.3  COSO－ERM实施步骤... 248

7.3  M_o_R.. 250

7.3.1  M_o_R概述... 250

7.3.2  M_o_R主要内容... 251

7.3.3  M_o_R实施步骤... 254

7.3.4  M_o_R优缺点分析... 255

7.4  AS/NZS 4360. 256

7.4.1  AS/NZS 4360：1999概述... 256

7.4.2  AS/NZS 4360风险管理过程... 256

7.4.3  AS/NZS 4360适用范围... 262

7.5  CobiT. 262

7.5.1  CobiT概述... 262

7.5.2  CobiT4.1主要内容... 266

7.5.3  CobiT4.1实施步骤... 269

7.6  IT风险管理体系案例研究... 270

关键词... 272

思考题... 273

参考文献... 273

拓展阅读... 273

第8章  信息安全管理... 275

8.1  信息安全管理概述... 276

8.1.1  信息安全... 276

8.1.2  信息安全管理... 277

8.1.3  信息安全管理现状... 278

8.2  信息安全等级保护管理办法... 280

8.2.1  信息安全等级保护管理办法概述... 280

8.2.2  信息安全等级保护管理办法主要内容... 281

8.2.3  信息安全等级保护管理办法实施步骤... 282

8.3  ISO 27001. 285

8.3.1  ISO 27001概述... 285

8.3.2  ISO27001主要内容... 286

8.3.3  ISO27001实施步骤... 289

8.4  ISO/IEC 13335. 291

8.4.1  ISO/IEC TR 13335概述... 291

8.4.2  ISO/IEC TR 13335主要内容... 292

8.5  CC及ISO/IEC 15408. 300

8.5.1  CC概述... 300

8.5.2  ISO/IEC15408概述... 301

8.6  案例——信息安全管理体系设计... 302

8.7  引申阅读——信息安全治理[] 314

8.7.1  信息安全治理的产生背景... 314

8.7.2  信息安全治理的含义... 315

8.7.3  良好信息安全治理的实现... 317

8.7.4  建立我国信息安全治理机制... 323

关键词... 326

思考题... 326

参考文献... 326

拓展阅读... 327

第9章  IT绩效评价... 328

9.1  企业信息化绩效评价... 328

9.1.1  概览... 328

9.1.2  信息化绩效评价分类... 335

9.1.3  信息化绩效评价的层次... 341

9.1.4  IT平衡记分卡概述... 345

9.2  电子政务绩效评估... 358

9.2.1  概览... 358

9.2.2  国内外相关研究及实践... 359

9.2.3  电子政务绩效评估的分类... 361

9.2.4  电子政务绩效评估体系... 363

9.3  案例研究... 369

9.3.1  X集团公司IT规划、建设与运维服务外包评估案例... 369

9.3.2  服务型政府视角的电子政务综合绩效评估案例... 376

9.3.3  电子政务系统绩效评估案例――B市GIS系统绩效评估... 386

9.3.4  项目绩效评估案例――C市电子政务外网建设项目绩效评估... 390

关键词... 392

思考题... 392

参考文献... 393

拓展阅读... 393

第10章 灾难恢复和业务 持续性管理... 394

10.1  灾难恢复... 394

10.1.1  灾难恢复相关概念... 394

10.1.2  灾难恢复的意义... 395

10.2  GB20988-2007. 396

10.2.1  GB20988-2007概述... 396

10.2.2  GB20988-2007主要内容... 396

10.2.3  GB20988-2007实施步骤... 397

10.3  BS25999. 398

10.3.1  BS25999概述... 398

10.3.2  BS25999主要内容... 398

10.3.3  BS 25999实施步骤... 401

10.4  NIST SP 800-34. 402

10.4.1  NIST SP 800-34概述... 402

10.4.2  NIST 800-34主要内容... 403

10.4.3  NIST 800-34 实施步骤... 404

10.5  案例分析-信息系统灾难备份体系建设... 405

关键词... 410

思考题... 410

参考资料... 410

拓展阅读... 411

第11章  核心IT能力框架及 其评价体系... 412

11.1  核心IT能力概述... 412

11.1.1  概念与内涵... 412

11.1.2  核心IT能力及其评价研究的意义... 416

11.2  核心IT能力框架... 417

11.2.1  核心IT能力框架... 417

11.2.2  核心IT能力框架内容... 418

11.3  核心IT能力评价体系... 427

11.3.1  评价框架... 427

11.3.2  企业核心IT能力评价指标的设计原则及方法... 428

11.3.3  企业核心IT能力评价指标体系... 429

11.4  企业核心IT能力实证研究... 437

关键词... 439

思路题... 439

参考文献... 440

拓展阅读... 440

第12章  IT控制能力... 441

12.1  IT控制能力概述... 441

12.1.1  概念与内涵... 441

12.1.2  IT控制能力的作用... 445

12.2  IT控制能力结构框架... 446

12.2.1  IT控制能力结构框架... 446

12.2.2  IT控制能力构成要素分析... 449

12.3  IT控制能力与企业绩效的关系... 456

12.3.1  IT控制能力与企业绩效的关系模型... 456

12.3.2  IT控制能力与企业绩效的测度模型... 461

12.3.3  IT控制能力与企业绩效关系的实证研究... 468

12.4  提升我国企业IT控制能力的路径... 469

关键词... 471

思考题... 471

参考文献... 471

拓展阅读... 472

第13章  IT治理框架... 473

13.1  组织IT治理框架... 473

13.2  IT治理框架内容... 475

13.2.1  科学的信息化发展观... 475

13.2.2  IT商业价值... 477

13.2.3  IT治理方法... 492

13.2.4  IT治理决策模式... 498

13.2.5  IT风险管理控制流程及其要素... 502

13.2.6  IT治理绩效评价... 507

13.2.7  核心IT能力... 509

13.3  IT治理框架组件之间的关系... 509

13.4  ISO 38500. 510

关键词... 512

思路题... 512

参考文献... 512

拓展阅读... 513

 

推荐

文化·组织·IT治理智库，引进经典专著和邀请专家学者编著相结合，从总结信息化经验、指导信息化实践，以及通过信息技术应用完善公司治理结构的两个方面，繁荣着我国信息化学术园地，将对我国信息化发展起到积极的引导作用。更希望，有更多的专家学者投身到信息化理论研究和实践总结，为我国信息化发展奠定坚实的理论基础。

——中华人民共和国工业和信息化部副部长 杨学山

 

ITGov的《IT治理》汇聚了经典专著理论、最佳实务指引和IT治理智库，从IT治理的战略思想、科学决策、系统架构、管理标准、实践路径、实务方法等方面，为国家信息化治理提供了理论借鉴，为政府信息化治理提供了思想指引，为企业信息化治理提供了实务指导，是我国信息化理论和实务研究园地中的一朵奇葩。

      ——中华人民共和国审计署信息化建设领导小组办公室主任  周德铭

IT治理，在我国信息化进程中是一件非常重要但是仍未获得应有地位的事情。之所以说它重要，是由于在多年的信息化建设中，很多信息化工程从开始规划设计到下一轮升级的全生命周期中，因缺少连贯、系统的IT治理工作而造成失误、浪费、延误的现象比比皆是；说到它的地位，我认为从总体设计一开始就应当有专业的IT治理工程师参加进来，跟踪设计、建设、运行的全过程，这就需要在项目立项建设和日常运维中设立专门的科目，提前招标、全程跟踪。好在近年来在一些机构的系统建设中，见到IT治理正在逐步得到认识和应用，稍感欣慰。更好在看到《IT治理：标准、框架与案例分析》这样一部书即将问世，且其从理论到实操，在各环节均有明晰而不含混的阐述，还给出了一些不错的案例，这就更感欣慰了。作为ITGov中国IT治理研究中心所出版的系列IT治理丛书中一项最新成果，非常愿意向业内人士推荐本书，以期我国IT治理事业再前进一步。

——中国劳动学会副会长、前劳动保障部信息中心主任 王东岩

 

《IT治理：标准、框架与案例分析》系统介绍了国内外业界公认的信息化建设以及风险管理标准、框架与最佳实践，并辅以我国政府部门和企业推进信息化工作的典型案例。该书为信息化领导者、实施者和风险管理人员，提供了一部可以参考借鉴的国内外IT治理及风险管理最佳实践的“集萃式”方法与案例集，对使用者IT治理的决策和实践具有重要的借鉴意义。同时，各单位在实践中也应结合自身IT治理需要，有选择分阶段地开展IT治理工作。

                                 ——中国工商银行内审局副局长仲安妮

 

IT治理已不是一个新话题，但仍处于初级阶段。如何摆脱IT治理“就技术论技术”、“重建设轻管理”的局面，结合中国文化背景，提高董事会和高级管理层的“知晓度”与“参与度”，发挥IT是生产力的作用，防范IT风险，使得IT治理从“要我做”变为“我要做”，值得我们关注。《IT治理：标准、框架与案例分析》做了许多有益的探索。

                       ——中国银监会信息中心处长    陈文雄

 

惊喜地拿到《IT治理：标准、框架与案例分析》的电子样稿，毫不夸张地说，这是至今为止我所读过的、由国内专家自主撰写的有关IT治理的最详细的一本专著。该书的内容几乎覆盖了IT治理知识框架中的所有领域，书中选择的案例也具有浓厚的本土色彩，很有针对性。相信该书不仅可以作为信息管理专业的主力教材，更能为我们各类组织中的IT管理和实践者制订IT战略、管理IT项目、提升IT服务、控制IT风险、评价IT绩效等提供重要的指导和借鉴。

              ——上海国家会计学院副院长  刘勤教授

 

大力推进国民经济和社会信息化，是覆盖现代化建设全局的战略举措。如何有效地推进信息化建设，如何将公司治理和IT治理有效地结合在一起，时时困扰着政府、企业、科研单位的各级领导和信息化主管人员。《IT治理》的作者潜心研究、辛勤工作，默默推动着中国信息化的可持续发展，精神可嘉，成果可喜。相信其多年的努力，一定会在我国信息化实践中结出硕果。 

——中国移动信息安全管理部副总经理  张滨

 

随着越来越多的关键业务以信息系统作为支撑，IT已经成为企业持续发展的基础，信息系统运行的好坏对企业关键业务能否顺畅运行的影响越来越大。如何使IT为企业服务？如何管理IT架构中的风险？如何保障IT系统的安全？这些问题一直困扰着企业管理者和企业的信息化工作者，IT治理为他们提供了信息化的管理框架。企业IT架构越复杂，IT资产越多，关键业务越依赖于信息系统的支持，IT治理的必要性也就越显著。IT治理已成为我国信息化建设的瓶颈，IT治理的水平对IT应用效果的影响越来越深刻。我国信息化建设迫切需要解决的不仅是技术，更要重视建立完善的IT治理框架。ITGov的《IT治理》指明并总结出IT管理的方法论和最佳实践，为广大企业管理者和信息化工作者提供了管理参考和决策依据。

——中国石化股份有限公司　教授级高工　吴正宏

ITGov的《IT治理》作为IT治理智库的第九个成员，以战略信息化和系统信息化的高度和宽度，成功聚合了国内外IT治理和战略架构的经典研究成果与经典实践案例，堪称中国IT治理领域、乃至中国信息化界的“九阳真经”。必将引导并引领中国IT治理以及信息化产业的超越和发展。

                         ——岛石集团董事长、十大创新浙商  帅新武

 

从事了多年信息化建设工作，不断获取、总结相关的知识和经验，有书本上学到的，但更多是实践中总结的，总觉得零散、杂乱。翻开《IT治理：标准、框架与案例分析》一书，如获至宝。该书系统地介绍了国内外公认的IT治理标准、框架和最佳实践，不但把我思想中零散的IT管理和IT治理的概念串接了起来，更使我建立起了完整的IT治理概念。边看这本书，脑海里边闪现出下一步工作计划，并有冲动立刻去付诸行动。

     ——北京首都国际机场股份有限公司信息部党委书记、副经理  熊英

 

IT风险管理、信息安全、IT服务管理等概念和实践活动已在IT界推广了很长时间，从我个人的工作经历中，看到很多政府机构、企业界的各级领导和IT部门都进行了有益的尝试，但如果不把这些实践活动上升到治理的理念，从IT系统生命周期的观点出发系统地治理信息系统，就不能从根本上解决IT效益最大化的问题。欣闻孟秀转博士及其研究团队将多年的理论研究和实践经验汇聚在《IT治理》专著中，我认为该书对从事IT治理实践的工作人员具有重要的指导意义。

——DNV可持续发展中心总经理 郭晓英