比特网Chinabyte3月11日消息(刘军)2008 IBM IT 治理和风险管理高峰论坛在北京亮马河饭店隆重开幕,本次大会主题:“驾驭IT风险 护航业务创新”大会将在“改善服务管理;维持业务连续性;加强IT安全性”这几方面进行深入的探讨,在大会中IBM 亚太区软件部 Tivoli 品牌总监Mitchell Young先生进行了以“向更完善的 IT 治理转型”为主题的演讲。
在讲演中Mitchell Young先生表示:作为一个中国的组织,你们会面临着史无前例的机会,这个机会就是在中国本地市场和全球市场都有所作为,当然你们也知道这个机会也是和挑战并存的。在我之后的一个发言人会谈到这些挑战,我想这些挑战也是你们非常熟悉的。我在这里主要给大家强调三点:
IBM 亚太区软件部 Tivoli 品牌总监Mitchell Young先生
第一,我们现在企业的人员流动性越来越强。我们IBM有大量的生产效率的提高,我们给客户提供更好的服务,但是怎么做到这一点呢?是因为我们有大量的技术人员在流动,是上门给客户服务并支持客户各种各样的需求。但是作为一家企业,我们必须要平衡好人员流动性和风险上升之间的关系,我们要做好这样的平衡,因为很多的流动工作人员拿着IBM安全信息或者客户的保密信息,数据就可能面临着风险,在这个过程中,我们需要去做一个决定,怎么样来控制风险。
第二,我们在和合作伙伴和供应商进行合作的时候,我们怎么样优化跟他们的合作?你们应该和他们共享什么信息?哪些信息需要共享?这需要我们做一些决定。IBM在这方面做了很多的工作,我们经常问自己这样的问题,作为IBM公司我们应该设定什么样的标准?制定什么样的政策?而供应商应该如何遵循我们的标准和政策?作为我们的合作方必须遵循IBM方面的标准。这就是IT和业务要结合在一起的重要的方面。因此,IT治理不仅仅是IT的技术问题,而更多的是IT治理和业务治理相结合的这样一种情况。所以我们在这个过程中要不断地推进IT的治理。
前面一位发言人给我们提出了一系列的变化和发展的趋势和挑战,中国的商业环境在不断地发生变化。有很多应用,还有很多以服务为导向的架构,比如SOA等等这些都是我们所处的新的环境,我们有很多以前的IT的孤岛现在都连接在一起了,已经没有一个孤立的服务器和孤立的应用在那边运转了。我们把IT很多组建整合在一起形成一个网络,在这个过程中就使得我们的环境越来越复杂,从可用性和安全角度来讲也提出了更大的挑战。
另外我们还有很多史无前例的变化的速度和变化的水平,我们和亚洲地区很多客户交流的时候,我们看到有很多非常关键的商业服务,成百上千,每个月都要进行变化的领域,环境在变化,你的服务也在变化,这使得我们的环境更加复杂、变化的速度更加快。
另外,我们从很多的客户那儿听到,一旦业务发生中断,一旦宕机,一旦不能向我们的客户提供服务,不管是什么原因,是外部的威胁或者是攻击,或者是因为我们一开始IT组织提出的服务无法实现,或者是我们服务的中断,这些都会造成大规模恶劣的影响和后果。
去年我们就有一个例子,有一家公司制造黑莓手机,为能够上网、接收电子邮件的手机做生产,他们其中有一个设备可以储存E-Mail信息,这样的变化对于北美地区很多的黑莓的用户来说出了一个问题——有八个小时他们没有办法接收他们的E-Mail,这就造成了业务中断,给顾客的满意度带来了负面的影响。另外,我们看到在中国以及全球的范围内,刚才孙先生介绍了监管法规越来越复杂,萨班斯法案是其中的一个例子,美国的证券交易所提出了很多新的监管的要求,新的巴塞尔协定有新的规定,我们有越来越复杂的法规环境,作为IT行业的领袖工作越来越艰巨,因为他要不断地处理合规的问题,要遵从这种法律法规。
另外我们看到环境中的威胁越来越多,内部的威胁是重要的,需要考虑。外部的威胁也是越来越强。这些威胁不光是病毒或者是恶意的攻击,有时候我们会出现一些有组织的网络犯罪,他们的手段越来越高明。我们听到Bete F. Demeke的开场白中讲到,大量美国、瑞典信用卡的数据失窃,因为一个零售商IT系统出现问题导致大量客户信用卡的数据被盗窃,这是有组织的网络犯罪。这需要我们应对一系列的问题和挑战,这些风险都是可以通过IT的治理和良好的风险管理的框架来解决的。
IBM在这方面有非常丰富的经验,我们采用这样一种先在自己公司内部进行试用、积累经验,然后处理问题的方法。我们提供给大家的服务和产品都是在IBM公司内部进行处理、进行实验,经过调整和处理最终能够提高公司业务的性能、提高公司业务的连续性以及加强风险管理,提高监管合规方面的性能。刚才我们已经强调了,风险管理已经越来越多的和IT治理和商业上的公司治理结合在一起,我们已经不像以前那样非常孤立地来看这些问题,已把这些东西越来越多地整合到IT治理的平台或者框架里面来了。所以在我们做IT风险管理的时候,做IT治理的时候,我们需要有一个一体化的过程,我们在做IT治理和风险管理的时候,需要把政策转变成为一个具体的实践,主要是通过流程的再造和设计,把政策转变成为实践。
我们要真正地实现问责制,在政策变成实践的过程中,通过流程能够找得到最后谁应该负责,哪个环节出了问题由谁负责。你可以站在巨人的肩膀上实现这一点,孙先生刚才讲过,ITIL已经推出了最新第三版的IT治理和风险管理的流程。对于IT风险管理来说是一个最新的产品,当然还有很多其他的流程,IBM会告诉你应该会采用什么样的标准,怎么样才能实现更好的IT治理与风险管理。通过流程的方法,我们能够实现更好的效果,我们可以把业务方面的一些需求通过IT治理和风险管理的框架,通过把业务需求和战略性的IT项目结合起来,而这些战略性的IT的项目是直接能够产生商业结果和业务结果的。所以通过我们这样一个平台,能够把IT业务的需求通过IT的项目转变成为真正业务成绩和结果。
而我们这些框架和产品能够帮助你实现这样的一种排序,告诉你哪些事情应该做,哪些事情是最重要的。做正确的事是我们首先要明确的,这是我们政策性、原则性的问题。还有就是以正确的方式做这些事情、以高效的方式做这些事情,还有实践的问题,怎么样把我们的政策真正的制定和落实,这就需要我们通过流程来解决这个问题。前一位嘉宾给我们介绍了流程的重要性、强调了流程的重要性。我们一些行业中领先的流程模型还有我们自己的一些流程模型,今天下午大家会更加详细地听到流程模型具体的详细内容。我们鼓励大家和IT治理和风险管理比较好的企业合作,在这个模型的基础上建立起适合于您所在企业的这些蓝图。
当然,我们不仅仅是一个IT项目,我们讲IT治理不是要进行重起炉灶,或者是大规模推倒过去的到一个全新的完整的系统,不是这么一个事情。比如你是管IT公司的副总裁,有时候你是可以在现有的框架、现有的IT系统基础之上,通过一些战略性的IT项目实现刚才提到的目的的。很多时候我们在进行风险管理的时候,可能我们就会处理这三个问题:第一,服务管理,怎么样建立起组织服务的管理能力。第二,是安全,安全的要求在不断提高。第三,要提供我们业务的弹性和业务的容灾性。
这三个非常关键的要点是我们IT战略的切入点,通过这些战略的IT项目,通过三个切入点来实现我们所看到的商业的业绩,使得我们的企业和组织能够在IT治理和风险管理方面有一个质的飞跃。有一家印度的制造商,去年我们和他们进行合作,那个组织有两个IT项目,一个是IT项目,一个是商业项目,这两个项目在他们的环境中是平行落实和部署的。其中IT项目是一个安全项目,是来提高身份认定的,这是IT部门提出来的要求,他们要改善他们企业的生产力,比如说新的用户还有密码的管理,还有整个安全政策方面,他们提出了一些新的要求,这其实是一个战略性的IT项目来提高用户的生产效率来提高安全性。在印度的客户还有另外一个项目是财务部门提出来的商业的项目、业务的项目,这个项目就是要来提高他们在订单管理过程中保证信息的安全,他们要防止不同的人在相关信息的过程中对有些信息进行的不当的使用,财务部门才提出了这样的要求。财务部和IT部提出的两个项目的目标是完全相同的,所以我们可以把两个项目合并在一起,来提高产品推出市场的时间,从而提高商业利润和成绩。
所以我们完全可以看现在公司里面有哪些商业方面的项目,有哪些业务方面的要求,从广泛、全面的角度看把业务方面的要求,是不是能够有一些IT的战略性的项目帮助我们解决业务方面的问题。在中国很多的客户,包括亚太区很多的客户希望能够充分地利用三个重要的优势:第一,怎么样更快地抓住市场的机会,我们看到现在市场当中的机会稍纵即逝,而那些反应更快的公司可以抓住机会。第二,在亚太地区和中国的企业希望进一步改善服务产品的质量来降低风险。第三,大家都知道,我们有降低成本的要求,同时我们也要加快速度,IT怎么样以更快地速度、更低的成本来支持我们的业务。这三个是我们IBM服务管理能够实现的目标。
