https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

綜觀資訊治理指南

2009 / 07 / 14
謝持恆
綜觀資訊治理指南
資訊治理是整個組織治理的一個部份,藉由結構化的關聯及流程,平衡資訊單位所面臨的挑戰,並達成組織的目標,Cobit即為普遍的資訊治理指南。

  在政府政策的推動之下,一時之間資訊安全管理系統(ISMS),似乎已經成
各資訊單位朗朗上口的名詞。然而在資訊單位要做的事,絕對不是只有資安一個項目而已。從各種資訊設備的日常維運,以及軟硬體系統的更新,這些都是資訊單位的工作內容。許多組織投入了大量的金錢以及資源在資訊作業上,藉由資訊科技便利的特性,提供組織內各項業務的運作。在同一時間,資訊單位也承受著各種壓力,最明顯的就是資訊單位似乎是個無底洞,一直要不斷的投入各種新的資源。面對組織的成長與外界環境的變化,資訊單位也面對前所未有的挑戰,這些挑戰包括如下:

?如何讓資訊系統持續運作

?如何降低資訊成本

?如何提高資訊作業的價值

?如何管理複雜的資訊環境

?如何與組織的目標相連接

?如何配合法令法規的要求

?如何滿足資安需求

何謂資訊治理

  上面所列的事項,不但是一個資訊部門主管所要深思熟慮的問題,同時也是經營決策層,以及和組織有關的各個利害關係人,對資訊單位加以關注的課題。這些議題彼此之間都有著關聯性,無法單獨偏重某一個領域。如何在效率及各項規定間取得一個平衡點,也是這幾年新興討論的議題。希望經營管理階層,以及中高階主管,能夠用另外一種思維方式,來檢視以往例行性的管理工作。資訊治理(IT Governance)也就是在這樣環境下的一個產物,事實上,資訊治理是整個組織治理的一個部份,其目的就是要藉由結構化的關聯及流程,藉以平衡上述資訊單位所面臨的挑戰,並且能達成組織的目標。對於這樣的描述,一般大眾似乎還是很難理解,就以大家所熟知的ISMS認證來做個說明。

  從早期的BS 7799開始,風險評鑑一直是在認證中扮演重要的角色,風險評鑑的目的,在於辨別風險的高低,以及處理的優先順序。到了ISO 27001:2005更加入了量測方式,藉由數值得量測,以便讓所謂的P-D-C-A循環能持續進行。讓我們一起來思考一個問題,這些數值化的指標,是要給那些人看的?這些數字的背後又代表的意義是什麼?量化的數字,絕對不是只是為了單純的驗證而用的,或是第1年建置完畢之後,就等到第2年要複評時再拿來調整一下內容,增補一下異動的項目。理論上,這些數字都是平日記錄的累積,有了這些基礎的資料,再加以整理分析以後所產生的各項數據。而每一項彙整出來的結果,事實上就是組織營運的方向,也是高階主管管理的依據。這些指標性資料,是會隨著時間及經驗而有所變動。同時為了要達成這樣的指標,便要對所屬的業務進行各項的管控。舉例來說,資訊單位年度目標是將異常事件發生的機率比去年降低3%,這個3%絕對不是如同在傳統市場討價還價得來的,需要有一套較為完整的方法,並且依照這套方法加以執行後所產生出來的結果,同時將成本、效能、組織期望等全部考量進去。換言之也就是從以往由下而上的運作,轉換為從上到下的管理,另一個隱含的意義,也就是要將人為的不確定性降到最低。有了這樣一個認知,再來看資訊治理,簡單的說資訊治理所涵蓋的範圍,包括策略結合、價值提供、風險管理、資源管理以及績效管理,希望藉由這些管理的作業,最終目的是要取得高階主管的信任,並且為組織取得較好的投資報酬。

國外資訊治理指南Cobit

  有鑑於資訊治理的複雜度,國際電腦稽核協會(ISACA, Information Systems Audit and Control Association),於1996年提出了第一版的Cobit(Control Objectives for Information and related Technology),這也是目前在國外用來進行資訊治理較為普遍的指南。顧名思義,最初編寫的目的,還是為了提供一份資訊作業流程的控制,並且提供相對應程序的稽核指引。後來陸續再擴大管理面的綱要,並且將成熟度模式導入。目前最新的版本是2008年修訂的4.1版,將資訊作業分成4個領域,並且包含了34個高階作業流程。對於許多第一次接觸Cobit的人而言,如果將閱讀Cobit的方式,把它當作實施細則在看的話,一定會滿腹疑惑。要瞭解Cobit產出的對象,是要達成組織及中高階主管所設定的目標,既然如此,在閱讀Cobit時,就要把自己的角色定位轉換成中高階主管的地位,把Cobit當作是一本對應的工具書,這樣子就比較容易理解。舉例來說,如果資訊部門有一條年度目標是確保使用者滿足所提供的服務以及服務水準,身為資訊主管的你,需要做那些事情?是不是要考量如何做好品質管理的工作,並且要能確保機器設備的運作與使用,如果有問題發生的時候要如何管理?還有那些要考慮的?這些考量的項目有那些注意事項?這個時候再來看看Cobit所陳述的高階作業流程,你會發現使用者教育訓練也需要,事故管理也不可缺,就很容易明瞭還有那些事情要去執行。那麼進一步再來看看,如果要進行品質管理,是不是應用軟體、資訊、基礎架構、人員都是會影響到作業品質的項目。到底相關人員,對於品質管理又在意的是什麼?接下來要做好品質管理需要那些資訊?透過相對應的活動,又會有那些的產出物?這些產出物會在那些地方被使用?更重要的是又有那些人會參與這項活動?這些人所扮演的角色又為何?我如何判定現有的流程是達到成熟度的那一個等級?透過這樣一層層剝洋蔥般的方式,等於給資訊單位一個自我體檢的工具,讓資訊單位全方位檢視一下到底還有那些工作需要加強的,又有那些作業是以往沒有做的,這些有調整空間的資訊作業,到底對於整個組織會有怎樣的影響。

新國際標準ISO/IEC 38500:2008

  即便是ISO國際組織,也趕上這一波資訊治理的熱潮。在今年的6月份,推出了一個新的國際標準ISO/IEC 38500:2008。這是第一個以資訊治理的國際標準,在這個標準中,很明確的提到資訊治理的框架。這個標準雖然相當簡短,而且容易閱讀,但相關的觀念相當複雜。同時就實作面而言,還需要搭配其他的管理制度一併實施。在過度美化認證作業的台灣,也許在很短的時間,又有組織信誓旦旦的要通過這項認證,我們也真心的期盼能有一些組織,能夠真正發揮火車頭的功用,將資訊治理再往前跨一大步。但是講到資訊治理,無論如何一定要從日常最基本的工作開始做起,如果沒有打穩基礎,或是還是覺得找個範本抄抄就好。即便有再多再好的標準或工作指南,那麼對組織來說,仍然不會有任何實質的助益。