IT 治理包括业务持续性规划（Business Continuity Planning，BCP）、信息系统审计与控制、IT 服务管理、信息化战略规划、IT 项目管理、信息安全管理6 个方面。

业务持续性规划

BCP 可以帮助企业确认影响业务发展的关键性因素及其可能面临的威胁。由此而拟定的一系列计划与步骤可以确保企业无论处于何种状况下，这些关键因素的作用都能正常而持续地发挥。笼统地说，BCP 的目标就是确定并减少危险可能带来的损失，有效地保障业务的连续性。

业务持续性对确保灾难发生时企业的生存是至关重要的，不过与之同等重要的是要保证企业日常的业务运行平稳有序。业务持续管理（BCM）是一种整体管理流程，它能够确定可能发生的冲击及对企业运作造成的威胁，并提供一个架构来阻止或有效的抵消这些威胁，以保护股东的利益、企业的名誉及品牌。

每个企业所制定的BCP 都应该有每个企业或者所处行业独有的特色，彼此之间不会完全一致，但大致上说来，一个完备的BCP 主要是由危险评估、业务影响分析、策略和指标定义4 个部分构成。

危险评估就是认识并分析各种潜在危险的结果。这些危险的来源可能是各种区域性的天灾，如洪水、地震、疫病等；人为事故或蓄意破坏造成的严重灾难，如火灾、恐怖主义袭击等；网络安全威胁、硬件、网络或通信故障；灾难性的应用系统错误。

业务影响分析实质上就是对关键性的企业功能、以及当这些功能一旦失去作用时可能造成的损失和影响的分析。

BCP 包括预防、响应、再继续（Resumption）、恢复（Recovery）、复原（Restoration）等策略。其中再继续只涉及那些时间敏感的业务流程，要么是在中断发生后立即再继续，要么是在可允许的一段平均时间后再继续，但不是对所有业务的恢复。

在危险评估和业务影响分析阶段之后，保持业务连续的基础业务就已经显现出来。可以将企业的业务功能分成关键业务、基础业务、必要业务和有利业务4 类。这样，业务恢复的目标就可以用下面的指标进行量化：

● 恢复的时间目标（RTO）——最大可允许中断时间

● 恢复的时点目标（RPO）——数据损失可允许的最远回溯时点

● 由于引进了BCP 的评测指标而导致的企业性能退化

● 实施BCP 的成本

IT 治理－信息系统审计与控制

信息系统审计是指审计人员接受委托或授权，收集并评估证据以判断一个计算机系统是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。它既包括信息系统外部审计的鉴定目标，即对被审计单位的信息系统保护资产安全及数据完整的鉴定，又包含内部审计的管理目标，即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。

信息系统审计是随着计算机在财务会计领域的应用而产生的，作为传统财务审计业务的一种辅助工具，对客户的电子化会计数据进行处理和分析，为财务报表审计人员提供服务。随着计算机技术应用范围的不断扩展，计算机对被审计单位各个业务环节的影响越来越大，计算机审计所关注的内容也从单纯的对电子的处理，延伸到对计算机系统的可靠性、安全性进行了解和评价。

信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标，为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域，例如对组织的信息系统审计（主要集中在对信息技术的管理控制）、技术方面的信息系统审计（包括架构、数据中心、数据通信等）、应用的信息系统审计（包括经营、财务）、开发实施信息系统审计（包括需求识别、设计、开发以及实施后阶段）和信息系统是否符合国家或国际标准的审计以及网誉审计、电子签名审计业务等电子商务审计。

信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源，其关注的核心是资产保护与信息系统的效率、效果。不仅包括对建设过程的审计，更重要的是对信息系统的运营审计，向公众出具审计报告，鉴定信息系统能否保护企业资产安全，其产生、传递的信息是否完整，整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行，审计活动一直存在。

另外，信息系统工程监理的过程是可见的，即对项目成本、进度和质量与目标出现的偏差是可见的，及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性，这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕，这仅仅是信息化的开始，大量的问题将出现在信息系统运营维护阶段，因此，从这个角度而言，信息系统审计是保证信息系统质量的行之有效的方法。

信息系统审计的鉴定价值是指通过审计，合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性，政策遵循的一贯性。在市场经济条件下，被审计单位输出的信息资料对该单位的存在与发展及其业务经营活动非常重要，对一些利益相关者而言也非常重要。例如，在电子商务中，交易双方在虚拟的空间进行交易活动，信息的真实性、可靠性、完整性，双方声明的商业政策能否一贯的遵循直接影响到交易是否顺利实现或公平实现。这种情况下，不仅被审计单位自己关注其信息系统对信息资产的安全、完整、真实的作用，同时交易的另一方也非常关心。由于技术、商业机密以及距离上的限制，信息的使用者不可能亲自对信息的质量做出审查，因此需要一个可信赖的一方为此提供鉴定。

信息系统审计可以促进被审计单位更有效地融入到社会经济生活中，可以促进被审计单位改进内部控制，加强管理，提高信息系统实现组织目标的效率、效果。信息系统审计师在完成审计后，出具审计证明，即审计报告，以证明被审计单位信息的真实、完整、可靠。审计师的证明可以增强人们对其信息的信任程度。随着网络技术的普及，商业信息的在线和实时披露都是不可扭转的必然趋势。信息系统审计师能够以在线、实时的信息为基础提供鉴定，对使用信息的所有相关体而言是具有巨大价值的。这样会给被审计单位带来更多的资金、更多的业务及合作伙伴。同时，信息的使用者也可以借助这些信息，加强被审计单位的管理决策，提高其经济效益。

信息系统审计在审计过程中发现的控制缺陷或漏洞，可以审计报告、管理建议书等形式报告给委托人或被审计单位管理当局，并提出解决问题的建议，从而促进被审计单位提高管理水平，提高经济效益。信息系统审计的一个出发点在于从外部对被审计单位信息系统进行全面的审视，可以发现从内部看不到的问题。信息系统审计师提供的外部审视的价值既表现在用新的思维方式、新的观点去观察企业，分析其存在的问题及原因，也表现在以科学的态度和创新精神，去设计解决问题的方案。

为了减少信息化风险，信息系统审计师可凭借其专门知识和实践经验，受托或主动服务于被审计单位的管理者或其业务人员，在信息化过程中帮助企业或政府部门建立健全内部控制制度，进行系统诊断，根据企业需要，确定信息化的目标和内容，选择合适的软件产品，帮助企业或政府部门调整现有的管理架构和流程或修改软件产品使其更好地服务于管理的需要。

由美国IT 治理研究院开发与推广的”信息及相关技术的控制目标”（Control Objectives For Information and Related Technology，COBIT）标准由34 个高层控制目标和318 个细节控制目标组成，已成为国际上公认的最先进、最权威的信息技术管理和控制的标准，已在世界100 多个国家的重要组织与企业中运用。

COBIT 模型使得信息技术目标和战略目标之间实现互动。COBIT 考虑了企业或政府部门自身的战略规划，对业务环境和企业或政府部门总的业务战略进行分析定位，并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境，并由此确定IT 准则。在IT 准则的指导下，利用控制目标模型，分别从规划与组织、获取与实施、交付与支持、监控等过程进行控制、管理信息资源。

COBIT 实现可跟踪的业绩衡量，通过平衡记分卡可以在财务、客户、流程、学习等方面维持平衡，评价企业或政府部门目标的实现情况以及IT 绩效，并调整业务目标和IT 战略，进行持续的IT 管理。COBIT 采用成熟度模型，可以定位自己企业或政府部门的IT 管理目前在业界所处的位置，以及未来努力的方向。COBIT 还提供了目前最佳案例和关键成功因素，供企业或政府部门借鉴。

COBIT 覆盖了从分析与设计到开发与实施，再到运营与维护的整个过程。对于分析与设计，重点目标是IT 与业务需求的结合，根据业务目标细化IT 战略，确定待开放的IT 系统，进行相应的系统分析和设计。在分析与设计这样一个流程范围中，比传统所说的信息系统的分析与设计要宽广得多，它强调的是IT 的战略要符合业务的战略，任何信息系统的开发都应该与业务战略保持精确的校准。

IT 治理－IT 服务管理

IT 服务管理是一套通过服务级别协议（SLA）来保证IT 服务质量的协同业务流程，它通过整合IT 服务与组织业务，提高组织IT 服务提供和服务支持的能力及其水平。IT 服务管理的重点是IT 的运营和管理，而不是IT 的战略规划。IT 规划关注的是组织的IT 方面的战略问题，而IT 服务管理是确保IT 战略得到有效执行的战术性和运营性活动。

虽然IT 服务管理也是一种IT 管理，不过与传统的IT 管理不同，它是一种以服务为中心的IT 管理。

虽然技术管理是IT 服务管理的重要组成部分，但IT 服务管理的主要目标不是管理技术。有关IT 的技术管理是系统管理和网络管理的任务，IT 服务管理的主要任务是管理客户和用户的IT 需求。在IT 服务管理中，IT 部门或IT 外包商是IT 服务的提供者，业务部门是IT部门或IT 外包商的客户，如何有效的利用IT 资源恰当地满足业务部门的需求就成了IT 服务管理的最终使命。

从组织层面上来看，IT 服务管理将IT 部门从成本中心转化为服务中心和利润中心；从具体IT 运营层面上来看，它不是传统的以职能为中心的IT 管理方式，而是以业务流程为中心，从复杂的IT 管理活动中梳理出那些核心的业务流程，比如事故管理、问题管理和配置管理，将这些业务流程规范化、标准化，明确定义各个业务流程的目标和范围、成本和效益、运营步骤、关键成功因素和绩效指标、有关人员的责权利以及各个业务流程之间的关系。实施IT 服务管理的根本目标是以客户为中心提供IT 服务，提供高质量、低成本的服务，提供的服务是可准确计价的。

IT 服务管理的基本原理可简单地用“二次转换”来概括，第一次是“梳理”，第二次是“打包”。 第一次转换是将纵向的各种技术管理工作，如服务器管理、网络管理和系统软件管理等，进行梳理，形成典型的业务流程，比如ITIL 中的10 个业务流程。业务流程主要是IT服务提供方内部使用的，客户对他们并不感兴趣。仅有这些业务流程并不能保证服务质量或客户满意。第二次转换是将这些业务流程按需“打包”成特定的IT 服务，然后提供给客户。第一次转换将技术管理转化为业务流程管理，第二次转换将业务流程管理转化为服务管理。

ITIL 中有10 个重要的IT 服务管理关键模块

(1)配置管理(Configuration Management)

配置管理的目的是在维持配置管理数据库中每个IT 基础建设的配置记录，提供配置项目的报表，这包含了一些管理信息，如问题记录，变动记录，版本信息，状态信息，关系信息等。

(2)帮助台(Help Desk)

帮助台提供每天对IT 使用者的服务窗口。使用者反馈对IT 服务不满、疑问和建议等。帮助台是一个很容易让使用者可以反馈的界面窗口，也是使用者在使用IT 服务的登录点，他们的表现代表IT 服务给客户的服务品质。帮助台同时负责尽快地协助顾客恢复服务的运作，比如提供使用指引，修正，或针对某一意外事件做补救。

(3)问题管理(Problem Management)

帮助台不负责意外事件的分析，这类的深入分析是属于问题管理的范畴。问题管理的目的是在找出并去除IT 服务中的错误，以维持一个稳定的IT 服务。

(4)变更管理 (Change Management)

变更管理的目的是要确保在IT 服务变动的过程中能够有标准化的方法以有效地监控这些变动，降低或消除因为变动所造成的问题。所有在配置项目上的变动都必需纳入变更管理的控制。

(5)软件控制和发布 (Software Control & Distribution)

软件控制和发布的目的是要保障所有软件模块的安全性，以确保只有经过完整测试的正确版本得到授权进入正式运作环境。为了控制软件的版本，需建立一个最终软件库(Definitive Software Library，DSL)，这是一个有实体或逻辑上的储藏室。不论哪一种形式，它就是一个存放正式授权软件版本的地方。

(6)服务管理(Service Management)

服务管理的目的是要在一个可接受的成本下，让服务提供者和顾客之间达成一个彼此同意的最佳服务协议。这表示服务管理是需要服务供应者和接受者之间长期沟通的。服务管理着重在从商业角度考虑的服务水准，而不是从IT 的观点。

(7)能力管理 (Capacity Management)

能力管理的目的是要支持IT 服务的最佳效率，主要是在调整营运需求和IT 资源的平衡。能力管理是要确保在合适的时间，地点和适当的成本下提供合适的资源。对IT 部门来说，有效地利用可用资源很重要，并且要对系统营运的未来需求制定计划。

(8)可用性管理(Availability Management)

可用性管理是在正确使用资源，方法及技术的前提下，保障IT 服务的可用性。当企业营运越来越依赖IT，为了维持竞争力，IT 必需避免或减小预期外的当机时间。可用度管理在深入探讨那些资源和测量是维持最佳营运状态所必要的，希望能让资源的使用最有效。

(9)意外事故管理(Contingency Management)

意外事件管理是处理IT 的危机并要从中恢复运转，例如有一段时间无法提供服务，这需要将工作转移到另一套系统，而这并不应是平常会遇到的，必须发展一套在面临IT 危机时能够恢复正常运转的计划以备不时之需。

(10)成本管理(Cost Management)

成本管理是在提供深入了解，监督和IT 恢复运作的花费。这个程序提供了相关的财务信息以期达到性价比最高。没有成本管理就很难制定服务级别协议。

前5 个业务流程属于服务提供业务流程，后5 个业务流程和服务台职能属于服务支持业务流程。服务支持业务流程主要面向用户，确保用户得到适当服务以支持组织的业务功能，确保IT 服务提供方所提供的服务质量，符合服务级别协议(SLA)的要求。这5 个业务流程属于运营层次的服务管理业务流程服务台(Service Desk)：服务台是一项管理职能而不是一个管理业务流程。它作为IT 服务提供方与IT 服务客户和用户之间的统一联系点。一方面，当客户或用户提出服务请求或报告事件或问题时负责记录这些请求、事件和问题，尽量解决它们，在不能解决时可以转交给相应的支持小组并负责协调小组和用户的交互。