张化川

【摘 要】本文通过对IT管控意义的探讨，对IT管控在企业内部的具体落实，对IT管控的技术手段，进行相关研究和论述。

【关键词】信息化 量化 管理 流程

【中图分类号】G647【文献标识码】A【文章编号】1672-5158（2013）02-0349-02

近年来，大部分企业信息化建设已初具规模，信息化基础建设基本到位，信息系统渗透到企业生产经营的各个环节。在新的形势下，如何使信息系统更好、更稳定、更安全运行，提高管理效率，落实有效益的信息化，是企业信息化工作的迫切需求。要实现这一目标，必然要管理与服务相结合，要求企业建立以国际行业标准为依据的较为完善的IT管控体系，提升IT运维服务水平。

企业加强IT管控，目的就是建立一个类似“轮流分粥，分者后取”的规则，明确区分母公司与各子分公司（含控股）、业务部门与IT部门和IT部门内部各岗位的责任、权力、利益。责、权、利分清后，对IT部门的约束力、执行力等会有很大的提高，其中IT管控对于组织工作的健康有序开展起到了重要作用。

一、IT管控对于IT工作的重要意义

1.IT管控能保障IT组织的稳定

有效的IT管控对IT组织的控制最主要是职责分离、合理设岗。要求完善人员管理与控制，能清晰定义IT部门相关岗位，能明显一个人能同时给予多少相关权限，从而清楚规划IT部门必要的岗位人数，最大程度保障IT组织的稳定。

2.IT管控能确保IT工作的有序

IT管控必然要求将建立完善的IT流程体系，制定完备服务目录。信息化部门利用服务台统一接收各种流程输入的表单，根据服务级别协议（SLA）和操作级别协议（OLA），对相关需求或故障，安排不同的技术力量，进行针对性的解决，从而确保了IT工作的有序。

3.IT管控能促使IT工作强度的均匀

信息化日常运维工作量不均衡是因为有较多的突发事件，如信息基础设施故障和信息系统故障等。要使运维工作量比较均衡，就要降低突发事件概率，使忙的时间少下来。IT管控能就是要让“闲”的时间忙起来，要求IT部门各岗位在日常中加强监测，重视巡检，加固系统，防患于未然；同时加强学习和演练，提高处置各种事件的能力。这样，一旦发生突发事件，也可以有条不紊地进行处置，实现信息化日常运维工作的“削峰平谷”，强度均匀。

4.IT管控能确保IT风险的可控

IT风险主要包括IT技术风险和IT项目投资风险。随着业务系统访问、网络应用行为日益频繁，网络被攻击、数据被篡改、设备被入侵和信息被泄密等IT技术风险的压力也日益增大。IT管控提供管理程序、技术和保障措施，确保信息技术服务的可用性，能适当地防御不正当操作、蓄意攻击或自然灾害，并从这些故障中尽快恢复；确保拒绝未经授权的访问。IT管控体系要求IT项目投资必须事先经业务部门和IT部门共同把关，再报公司管理委员会决策，这样能确保IT项目既符合业务需求，又符合IT技术规范，降低了IT投资的风险。万物皆有规律，IT风险防范也是有规律可以把握，良好的IT管控能很好控制IT风险。

二、IT管控在企业信息化中的运用

从行业信息化发展战略出发，从企业自身发展战略出发，作为信息化建设到一定规模的企业，必然要求企业信息化建设的重点则从技术转向管理，要求信息化工作必须精益求精，加强管控，夯实基础，强化运作。

构建完整的IT管控体系是一项复杂的系统工程，涉及到人、硬件、软件，以及管理层面的IT服务管理、风险管理和成本管理多个方面。因此，必须从更高的角度，更宽的视野，更新的理念去构建有效的IT管控体系。

1.选择合适的IT管控模型

现今企业IT管控体系的国际标准，主要有COBIT、ITIL、ISO20000等，选择构建一个既满足企业的业务需要，又能够符合国际标准的IT管控体系，是信息化工作的成功保障。就如笔者，结合企业实际、IT部门现有实际运作流程和知识框架，选择以ITIL主要标准，采取联邦制IT决策方式作为笔者企业的IT管控模型。

（一）IT部门内部运作的管控

要建立制度化、流程化工作机制，精益求精，稳步推进。根据ITIL/ ITSM（IT服务管理）的标准，继续完善IT服务目录，对各子服务定义不同的SLA（服务级别协议），建立服务台，统一受理所有的流程输入，建立IT服务管理体系，体系应包含事件管理、问题管理、变更管理、配置管理、发布管理和服务级别管理。根据IT技术标准和行业具体技术规范要求，建立先进、稳定、安全的信息通讯技术基础设施（主要包括机房和信息化网络），并完善巡检、监控等基础设施管理机制。

（二）企业信息化运作的管控

首先是加强对信息化项目的管控，必须坚持统一性、系统性、规范性、安全性原则，必须坚持“事先技术把关，事中实施监督，事后运行维护”的原则。即项目涉及的IT部门的责任或义务的，IT部门必须管控到位。事先对项目立项相关技术规范进行把关，确保项目符合行业相关技术规范；事中对项目供应商（软件开发商）安装实施等服务进行严格监督，确保项目在技术上能顺利开展，保障设备（系统）能正常上线运行；事后必须将设备或系统运维维护好，确保设备（系统）安全、稳定运行。其次是加强对信息化资产的管控。加强对计算机设备调控，优化各终端计算机的配置。强化IT部门对软件资产的归口管理职能，坚决贯彻落实软件正版化相关要求，统一采购正版成品软件，规范信息系统的登记、领用、运维和报废。规范IT设备维修保养机制，延长IT设备使用寿命。第三是加强对信息系统用户的管控。建立操作上岗证机制，加强培训，提升其规范操作水平，采取检查监督等措施，促使其能正确操作，规范操作。

（三）信息安全的管控

信息安全管控体系是一项复杂的系统工程，必须采用系统工程的观点和方法，分析信息安全问题及具体措施。结合企业实际，就是要严格贯彻相关信息安全要求，做好信息化安全规划，业系统信息安全规划，建立覆盖日常维护，变更管理，安全监控的信息安全体系，将信息安全审计作为信息安全保障中的一项重要工作。建立三个长效保障机制：构建信息安全文化氛围、信息安全奖惩机制和内部信息安全审计机制，以确保信息安全管控能够有效长久运行。

2.利用合适先进工具软件强化IT管控

对信息化日常运作层的管控，必须利用合适先进的工具软件对信息化工作流程、设施和信息模型进行全面管控。引进先进的IT运维管理系统，建立IT服务管理监控平台，管理IT服务所涉及的各个流程，监控信息相关基础设施和中间件等。利用现有或将要购买的信息管理软件，如桌面管理和软件发布系统，综合网管系统，接入管理系统和数字认证（CA）等，建立信息系统综合管理系统，管理整个信息系统的设备、软件等资产，管理桌面、应用等功能单元的运行，以及管理整个设备网络和网络上接入的各种系统的正常运行。

追根溯源，建立有效的IT管控体系，最终目的是为了提升IT部门服务水平，提高用户的满意度，发展有效益的企业信息化。随着行业信息化的发展和实践的深入，新技术的不断应用，企业的信息化需求不断变化，IT部门只有建立基于企业治理上的IT管控体系，才能适应不断变化发展的信息化，为企业企业发展提供重要的信息支撑。

参考文献

[1] [荷兰]JanvanBon主编，章斌译：基于ITIL的IT服务管理基础篇[M].北京：清华大学出版社，2009.

[2] [荷兰]JanvanBon主编，刘向晖译：IT管理框架[M].北京：清华大学出版社，2009.

[3] 王仰富，刘继承：中国企业的IT治理之道[M].北京：清华大学出版社，2010.

[4] 王胜：IT治理—为企业带来革命性的变革[M].北京：经济科学出版社，2009.

[5] 孙永祥：公司治理结构：理论与实证研究[M].上海：上海人民出版社，2003.