ITSS中的IT服务治理：标准化、模型、框架与实施指南

引言

随着信息技术的飞速发展，企业对于信息技术的依赖程度日益加深。如何有效地管理和利用信息技术资源，确保信息技术能够为企业创造价值，实现战略目标，已成为企业面临的重要课题。IT服务治理（IT Service Governance，简称ITSG）作为信息技术管理的重要组成部分，其重要性不言而喻。中国信息技术服务标准库（ITSS）中的IT治理系列标准，为企业的IT服务治理提供了科学、系统的指导。本文将从ITSS-IT治理标准化逻辑关系、治理模型、治理框架与实施框架、IT治理通用要求和治理实施指南等方面，全面介绍ITSS中的IT服务治理。

ITSS-IT治理标准化逻辑关系

IT治理标准化是确保信息技术服务质量和效率的关键。通过制定和实施统一的IT治理标准，企业可以规范IT服务的管理流程，明确各级管理者的职责和权限，提高IT服务的可靠性和安全性。同时，IT治理标准化还有助于企业实现信息技术与业务战略的深度融合，推动企业的数字化转型和可持续发展。

中国信息技术服务标准库（ITSS）是我国信息技术服务领域的重要标准体系，涵盖了信息技术服务的各个方面。其中，IT治理系列标准是ITSS的重要组成部分，为企业的IT治理提供了全面的指导和支持。ITSS中的IT治理标准不仅吸收了国际先进经验，还结合了中国企业的实际情况，具有很强的针对性和实用性，为IT 过程、IT 资源、信息与组织战略、组织目标的连接提供了一种机制。

通过指导、实施、管理和评价等过程，确保IT 支持并拓展组织的战略和目标。在IT治理目标和边界确定的情况下，IT治理围绕决策体系、责任归属、管理流程、内外评价四个方面，通过相关框架体系的研究，规范和引导组织的IT治理完成“做什么”“如何做”“怎么样”“如何评价”等问题，如图所示。

在ITSS中，比较典型的IT治理标准包括GB/T 34960.1《信息技术服务治理第1部分:通用要求》和GB/T 34960.2《信息技术服务治理第2部分:实施指南》。这些标准详细规定了IT治理的模型和框架、实施原则、治理要求以及实施指南等内容，为企业开展IT治理提供了全面的指导和支持。

IT治理模型

IT治理模型是描述IT治理结构和流程的一种框架，它为企业提供了开展IT治理的基本思路和方向。在ITSS中，IT治理模型通常包含治理的内外部要求、治理主体、治理方法以及信息技术及其应用的管理体系等内容。

该标准定义的IT 治理模型包含治理的内外部要求、治理主体、治理方法，以及信息技术及其应用的管理体系，如图所示。治理主体以组织章程、监管职责、利益相关方期望、业务压力和业务要求为驱动力，建立评估、指导、监督的治理过程并明确任务。治理主体通过信息技术战略和方针，指导管理者对信息技术及其应用的管理体系进行完善，并对信息技术相关的方案和规划进行评估，对信息技术应用的绩效和符合性进行监督。组织结合治理原则和模型，在IT治理实施的过程中，开展自我监督、自我评估和审计工作，并持续改进。

IT治理方法包括指导、实施、管理和评价等过程，旨在确保IT支持并拓展组织的战略和目标。在ITSS中，治理方法通过信息技术顶层设计、管理体系和资源三大治理域来实现。管理体系则包括质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理等多个方面，确保信息技术的全面管理和控制。

IT治理框架与实施框架

治理框架

IT治理框架是描述IT治理结构和流程的具体框架，它为企业提供了开展IT治理的具体路径和步骤。在ITSS中，IT治理框架通常包含信息技术顶层设计、管理体系和资源三大治理域。每个治理域由若干治理要素组成，共同构成完整的IT治理体系。

• 信息技术顶层设计：包括战略、组织和架构等要素，为企业的信息技术发展提供总体规划和指导。
• 管理体系：包括质量管理、项目管理、投资管理等多个方面，确保信息技术的全面管理和控制。
• 资源：包括基础设施、应用系统和数据等要素，为信息技术的运行提供必要的支持和保障。

实施框架

IT治理实施框架是指导企业如何具体实施IT治理的框架。在ITSS中，IT治理实施框架包括治理的实施环境、实施过程和治理域等内容。

• 实施环境：包括组织的内外部环境和促成因素，为IT治理的实施提供必要的条件和保障。
• 实施过程：规定了IT治理实施的方法论，包括统筹和规划、构建和运行、监督和评估、改进和优化等阶段。
• 治理域：定义了IT治理的对象和范围，包括顶层设计、管理体系和资源等治理域。

顶层设计包括战略、组织和架构:管理体系包括质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理;资源包括基础设施、应用系统和数据。组织可以结合实施环境的分析，按照实施过程，以治理域为对象开展 工治理实施。

IT治理通用要求

通用要求概述

IT治理通用要求是企业开展IT治理必须遵循的基本要求和规范。在ITSS中，GB/T 34960.1《信息技术服务治理第1部分:通用要求》详细规定了IT治理的模型和框架、实施原则以及治理要求等内容。

治理要求具体内容

• 建立组织的IT治理体系：企业应建立符合自身特点的IT治理体系，明确各级管理者的职责和权限，确保信息技术的决策和执行得到有效管理和控制。
• 实施自我评价：企业应定期开展IT治理的自我评价工作，评估IT治理的成效和存在的问题，并采取相应的改进措施。
• 开展信息技术审计：企业应通过信息技术审计等手段，对IT治理体系的有效性进行监督和评估，确保各项治理要求得到有效执行。
• 强化风险管理：企业应建立完善的信息技术风险管理体系，对潜在的信息技术风险进行识别、评估、监控和应对，确保信息技术服务的安全性和可靠性。
• 促进持续改进：企业应建立持续改进的机制，通过收集和分析内外部信息，不断优化IT治理体系，提高IT服务的质量和效率。
• 确保合规性：企业应确保IT治理活动符合相关法律法规、行业标准以及企业内部规章制度的要求，避免因违规操作而引发的风险和问题。

治理实施指南

实施指南概述

IT治理实施指南是为企业具体实施IT治理提供详细指导和建议的文档。在ITSS中，GB/T 34960.2《信息技术服务治理第2部分:实施指南》详细阐述了IT治理的实施步骤、关键活动、工具和方法等内容，为企业开展IT治理提供了实用的参考。

实施步骤

1. 需求分析与规划：企业应对自身的IT治理现状进行全面评估，明确治理目标和需求，制定详细的实施规划。
2. 治理体系设计：根据实施规划，企业应设计符合自身特点的IT治理体系，包括治理模型、治理框架、治理流程等。
3. 组织与资源准备：企业应成立专门的IT治理团队，明确团队成员的职责和权限，并准备必要的资源支持治理活动的开展。
4. 培训与宣传：企业应对员工进行IT治理相关知识的培训，提高员工的治理意识和能力。同时，通过内部宣传和外部沟通，营造良好的治理氛围。
5. 实施与监控：按照实施规划，企业应逐步推进IT治理活动的实施，并对实施过程进行监控和评估，确保各项治理要求得到有效执行。
6. 评估与改进：企业应定期对IT治理体系的有效性进行评估，发现问题并采取相应的改进措施，持续优化IT治理体系。

关键活动

• 制定信息技术战略：明确信息技术的发展方向和目标，为企业的业务发展提供有力支持。
• 建立治理组织：成立专门的IT治理机构，明确各级管理者的职责和权限，确保治理活动的顺利开展。
• 制定治理政策和流程：根据企业的实际情况，制定符合自身特点的IT治理政策和流程，规范IT服务的管理和操作。
• 实施风险管理：建立完善的信息技术风险管理体系，对潜在的信息技术风险进行识别、评估、监控和应对。
• 开展审计与评估：通过内部审计和外部评估等手段，对IT治理体系的有效性进行监督和评估。
• 促进持续改进：建立持续改进的机制，鼓励员工提出改进建议，不断优化IT治理体系。

工具与方法

• 风险管理工具：如风险矩阵、风险清单等，用于识别、评估和管理信息技术风险。
• 治理评估模型：如COBIT、ITIL等，为IT治理评估提供框架和指导。
• 流程管理工具：如BPMN（业务流程模型与表示法）、Visio等，用于绘制和优化IT治理流程。
• 数据分析工具：如大数据分析工具、数据挖掘软件等，用于收集和分析治理过程中的数据，为决策提供支持。

结论

ITSS中的IT服务治理标准为企业提供了科学、系统的指导，帮助企业建立和完善IT治理体系，提高信息技术服务的质量和效率。通过遵循IT治理的通用要求和实施指南，企业可以确保信息技术战略与业务战略的一致性，优化资源配置，降低运营成本，提高市场竞争力。同时，IT治理的实施还有助于企业应对复杂多变的市场环境和技术挑战，实现可持续发展。