1 / 20

从评估到治理, 标准、对比和思索 ------ 魏忠 博士

从评估到治理, 标准、对比和思索 ------ 魏忠 博士. 内容. 评估和治理 内涵和标准的发展. 最新治理介绍. 目前发展阶段的思考. 连续性服务. ISO20000. 配置管理. ITIL. 事故管理. 问题管理. 27001~27013. ISO27000. 安全最佳实践. 7799 . 133 个控制目标. 十大类. 治理,从 7799 到 COBIT. 平衡记分卡. Cobit3.0. 控制目标、指标. COBIT. place. 34 个内控流程. 4 大类. 目标管理. place. 生命周期. place.

lowell
Download Presentation

从评估到治理, 标准、对比和思索 ------ 魏忠 博士

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 从评估到治理,标准、对比和思索------魏忠 博士

  2. 内容 • 评估和治理内涵和标准的发展 • 最新治理介绍 • 目前发展阶段的思考

  3. 连续性服务 ISO20000 配置管理 ITIL 事故管理 问题管理 27001~27013 ISO27000 安全最佳实践 7799 133个控制目标 十大类 治理,从7799到COBIT 平衡记分卡 Cobit3.0 控制目标、指标 COBIT place 34个内控流程 4大类

  4. 目标管理 place 生命周期 place 裁减优化 效能评价 效率控制 内部控制 能力成熟 价值贡献 过程改进 最佳实践 控制措施 治理道路,从单向到全过程 行业管理 Tivoli、政务 业务目标 效能管理 38500 内部控制 COBIT 效率管理 ITIL 服务管理 7799 安全管理

  5. 本人经过的信息安全管理和评估 • 1999年,S219,忽悠事情的年代,格尔软件:交通银行与国家安全局;关键词:务虚忽悠 • 2002年,公务网,强权瓜分的年代,三零卫士:保密标准与政务标准:关键词:务虚、认证、评估(范红的故事) • 17799中国版起草; • 13335中国版起草; • SSE-CMM中国版起草; • 北京市党政信息系统测评指南; • 计算机信息系统等级安全工程指南; • 杭州市电子政务测评指南; • 2007年,工业和信息化;务实的年代,后评估、治理和GVSUN;行业审计和治理:关键词:应用、审计、治理、专业

  6. 本人经过的安全管理和评估工具 • 1、德国的BSI • 2、OCTAVE • 保密指南和测评工具; • CC • ISO17799(27000) • ISOSSE-CMM • ISO13335 • ISOCOBIT • ISO20000 • ISO13335

  7. 3、组织IT治理指南 place 3.1 职责 place 3.2 策略 3.3 采购 3.4 绩效 3.5 符合 3.6 人员行为 2、良好组织IT治理框架 2.1 6项原则 2.2 评估、领导、监视 1、范围 最新的工具ISO38500 • 确保利益相关者对于组织IT治理的信心 • 指导管理者治理组织的IT使用 • 为IT治理的目标评估提供了基础

  8. “ISO/IEC 38500:2008可以用于任何规模的组织,包括 公/私有性质的公司,政府机构以及非营利组织。这一 标准提供了一个IT治理的框架,以协助组织高层管理者 理解并履行他们对于其组织IT使用的既定职责,实现 IT治理的有效性、可用性及效率。” -------应用范围

  9. “ISO(国际标准化组织)和IEC(国际电工委员会)“ISO(国际标准化组织)和IEC(国际电工委员会) 是世界范围的标准化组织。各国的相关标准化组织都是 其成员,并通过各种技术委员会参与相关标准的制定。 其他国际组织,政府机构及非政府机构也协同工作。国 际标准的草案,须能得到所有会员75%以上的赞成票,该标准才可被公布为国际标准。在信息技术领域, ISO和IEC成立了一个联合技术委员会ISO/IEC JTC 1。 该委员会以澳大利亚标准AS8015为蓝本,并结合 AS 8000:2003 – 良好的治理原则和AS 3806:2006 – 合 规性程序,制定了IT治理的国际标准ISO/IEC 38500:2008。” --------------ISO38500

  10. “ISO/IEC 29382,信息和通讯技术治理标准,作为现有 澳大利亚标准AS8015的快速跟随者,于2007年首次发 布。2008年4月该标准官方正式更名为ISO/IEC 38500, 原ISO/IEC 29382放弃使用。” --------------ISO38500

  11. 模型

  12. 与COBIT对比

  13. ISO38500的观点 评 估 监 视 • 这是第一个IT治理国际标准。 • 这个标准简短的、易读,但相关概念十分复杂。 • IT治理提供了一个有效的、易实施的、高效的框架,更好的将组织决策与IT联系起来。 • 该标准中建议与指南适用于任何形式规模组织。 • 该标准中的建议与指南不仅供管理者使用,还可面向其下属职员,组织中各个层面人都能读懂。 • 该标准为所有关键员工提供了合适的IT治理基本指南。 • 该标准介绍了好的治理所需要的一些特征及治理流程,但是离真正的实施还有距离,需要其他标准的补充。 职责 领 导 策略 采购 绩效 符合 人员行为

  14. 一点初步看法 • 一个很好的IT治理模型参考 • 还没有评估和认证机构 • 不是也不能代替以往的标准和控制 • 针对行业需要融合其它标准和实践 • 与我们理解的政务IT治理方面项目并不重合 • 欠缺我们关注的基于项目视角的管理内容

  15. 目标管理 place 生命周期 place 裁减优化 效能评价 效率控制 内部控制 能力成熟 价值贡献 过程改进 最佳实践 控制措施 目前发展阶段需要的要素 安全管理 绩效管理 项目周期管理 能力管理

  16. 魏忠认为评估的发展方向 • 忽悠事情的阶段已经过去 • 技术测评 • 管理审计 • 重新回到行业应用库 • 评估的双轮驱动:风险和意识

  17. 魏忠认为评估的发展方向 • 项目视角 • 生命周期控制 • 效率和效能管理 • 行业的应用 • 融合标准在行业中的应用 • 状态管理和能力成熟并举

  18. 建议 • 充分依托行业实际情况 • 充分吸收最新的国际成果 • 充分融合已有的有益经验和标准 • 充分发挥已有的多年经验带头人的积极性 • 充分关注上海多年最佳实践成果和项目管理沉淀

  19. 关于培训 • 1、回到10年前,关注风险和风险意识; • 2、培训工具,除了行政化也要更加关注实战和训练; • 技术&管理的思索,技术和管理的逻辑链条; • 3、从“专家到官员”和&“从博士到专家” • 4、建立起自己的安全培训和评估平台;

  20. 谢谢 13311750802 wising@sina.com

More Related