对于CISA课程第二章IT治理与管理的理解-涂振涛

格式：doc
大小：49.50 KB
文档页数：4

下载文档原格式

IT治理的含义

度量驱动
（controls-based）（measurement-driven）
14
王东红 wdh@
IT治理、IT审计、信息化绩效评价、IT管控、IT服务管理、信息安全管理
发展历史
研究、建立、宣传并不断提升一个权威的、最新的、国际公认的IT治理控制框架，使之为企业广泛接受，并成为业务经理、IT专业人员和风险控制人员的行为指南。
Cobit是在控制的需要、技术问题和商业风险这三者鸿沟之间架起的一座桥梁。
Cobit聚焦在“what needs to be achieved”,而不是 “how to achieve”。
Cobit面向管理层、用户、信息系统审计师、业务经理、内控及安全人员等。
Cobit是一个可实施、可裁减的框架。
3
王东红 wdh@
IT治理、IT审计、信息化绩效评价、IT管控、IT服务管理、信息安全管理
IT治理的目标
帮助管理层建立以组织战略为导向，以外界环境为依据，以业务与IT整合为重心的观念，正确定位IT部门在整个组织的作用。最终能够针对不同业务发展要求，整合信息资源，制定并执行IT战略，推动组织发展。
4
王东红 wdh@
IT治理、IT审计、信息化绩效评价、IT管控、IT服务管理、信息安全管理
IT治理的主要特点
健全的组织架构(健全的组织架构是正确决策的保障) 清晰的职责边界(清晰的职责边界是确保各治理主体独立运作、有效制
衡的基础)
明确的决策规则和程序(如果说职责边界是明确由谁做出决策，决策规则和程序就是明确怎么做出决策。 )
监控与评价 M1 IT绩效监督与评估 M2 内部控制监督与评估 M3 确保法规遵从 M4 提供IT治理

《IT治理-一流绩效企业的IT治理之道》读书模板笔记(7(1

欢迎共阅《IT治理－一流绩效企业的IT治理之道》读书笔记1、IT治理：在IT应用过程中，为鼓励期望行为．．．．．．而明确的决策权归属和责任担当框架。

明晰的期望行为是有效治理的关键。

研究IT治理，须将其放在组织背景中，将其看作是必须通过治理而产生价值地六种关键资产（人力、财务、实物、知识产权、IT、关系）之一。

治理与管理的差别：治理是决定由谁来决策；管理是制定和执行这些决策的过程。

（如5、IT决策的关键问题6、决策权分配的IT治理原型8、一流治理绩效企业的7个特征1) 更多领导层的管理者们可以描述IT 2) 使用，使用，再使用。

3) 高层领导者更直接地参与IT 治理；4) IT 的：降低成本； 5) 6) 7) 治理变更的次数逐年减少 9、什么样的治理安排最为有效？1) 提供输入：一般而言，治理绩效较好的企业，在IT 原则和业务应用需求上，往往应用联邦制的输入模型。

作为切入点，我们推荐采用联邦制治理安排作为五个关键IT 决策的输入，特别是对IT原则和业务应用需求。

2)制定决策：具有较高治理绩效的公司，多为IT原则和投资的关键决策选用IT双寡头模型。

3)三种成功的治理绩效模式：2)对比两个图表，并且回答在治理设计架构中的目标是如何通过治理安排矩阵实现的，实现得如何。

关注那些没有被实现的绩效目标。

考虑如何调整治理安排来达到那些绩效目标？3)对IT治理进行审计。

A.有多少个机制在使用？它们是否在一个以上的关键IT决策上交叠使用？这些机制是否也被用于治理公司得其他关键资产？B.这些机制是单独使用有效还是联合起来有效？4)举行一个高级管理团队会议，就治理设计框架上部的左右两个方框进行辩论。

然后根据你的战略和绩效目标来决定你偏好的治理安排矩阵。

5)应用治理设计框架和治理安排矩阵得“将来”版本来引导企业的变革。

使用这些图表来交流、讲授、证明、精练和度量IT治理的成功。

12、IT治理的十大领导原则1)积极地设计治理2)知道何时重新设计3)高层经理的参与4)做出选择5)阐明例外处理流程6)提供正确的激励7)为IT治理分配权利和义务8)9)。

IT治理概念及规划

IT治理概念及规划1、引言IT治理是信息系统审计和控制领域中的一个新概念。

IBM首次将此理念引入我们的视线，是2002年在其论坛中给中国银行业“汇聚了全球金融行业的智慧与经验”白皮书中提出的，该白皮书给银行业务与管理的建议是：大力推动银行流程化与流程标准化的管理，建立全行级跨部门的IT 治理决策机构从而来决定IT项目实施的顺序，加强全行的管理与流程执行纪律，与IT行业的供货商结成战略联盟，将战略伙伴的价值并人价值链。

2、IT治理的概念及目标2.1 IT治理的概念在对IT治理广泛研究和分析的基础上，关于其定义汇集了三种主要观点。

美国南加州大学教授Robert认为，IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。

IT的应用对于组织能否达到它的远景、使命、战略目标至关重要。

德勤定义为，IT治理是一个含义广泛的概念，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。

其主要任务是保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。

国际信息系统审计与控制协会(ISACA)理解为，IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。

2.2 IT治理目标IT治理的目标有以下三个：1)与业务目标一致IT治理要从组织目标和信息化战略中抽取信息需求和功能需求，形成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术跟上持续变化的业务目标。

2)有效利用信息资源由于目前信息化工程超期，IT客户的需求没有得到较好的满足，IT平台不支持业务应用等问题较为突出，通过IT 治理可以对信息资源的管理职责进行有效管理，保证投资的回收，并支持决策。

3)风险管理由于企业越来越依赖于信息技术和网络，新的风险不断涌现。

IT治理强调风险管理，通过制定信息资源的保护级别，强调关键的信息技术资源，有效实施监控和做好事故处理。

CISA重要知识第二章IT治理重要知识点

第二章IT治理★必须的知识点1.IT战略、政策、标准和程序对于组织的意义，及其基本要素2.IT治理框架(体系)3.制定、实施和维护IT战略、政策、标准和程序的流程。

如:信息资产的保护、业务持续和灾难恢复、系统和基础建设生命周期、IT服务交付与支持4.质量管理战略和政策5.与IT使用私}管理相关的组织结构、角色私!职责。

6.公认的国际IT标准和准则(指导)。

7.制订一长期战略方向的企业所需的IT体系及其内容8.风险管理方法和工具9.控制框架(模型)的使用，如:CobiT, COSO, ISO 17799等控制模型。

10.成熟度和流程改进模型(如:C1V1M, CobiT)的使用。

11.签约战略、程序和合同管理实务。

12.IT绩效的监督和报告实务13.有关的法律、规章等问题(如:保密法/隐私法、知识产权、公司治理的要求)14.IT人力资源管理15.资源投资和配置实务(如:投资的资产管理回报)★可能的考试重点公司治理与IT治理（概念）IT治理中董事会和执行经理层的作用（责任、关键成功因素）IT治理最佳实务（结构与关系）IT治理中审计的的作用（确保IT的运用符合组织目标）IT战略：IT战略委员会（职责、作用、组成）、IT平衡记分卡信息安全治理企业架构（结构化方式反映组织的IT资产）业务流程驱动的企业架构FEA参考模型风险管理（原第七章内容，重点）采购实务IS模块交付（内包、外包、混合采购）采购战略外包实务和战略（优缺点、风险）服务水平协议（SLA）全球化战略和实务第三方审计报告能力与发展服务改进和用户满意度行业标准/基准信息系统组织结构供货商和外包商管理体系运营和维护（原运维）应用开发和维护/系统开发和维护职责分离（重点）组织结构中不同人员的职责★需要了解和熟悉IT治理审计查询理解★★★★★★★信息系统安全管理的成果信息系统安全管理的不同层次★知识点摘要公司治理倡导的公司道德文化。

世界经合组织将公司治理定义:“公司内不同群体之间责权利的分配关系，如董事会、管理层、股东和其他利害相关者，这些分配关系清楚地勾勒出公司决策的规则和程序。

企业战略-IT治理：公司治理体系中的IT视角

★★★文档资源★★★【摘要】IT治理与IT管理，IT治理与公司治理间的关系，是对IT 治理形成正确认识的基础。

本文分析了三者的关系，指出IT治理是公司治理的一部分，IT管理与IT治理在目标、任务、执行主体、地位上有明确区别。

【关键词】IT治理 IT管理公司治理IT治理是从上世纪90年代中期开始受到广泛关注的研究热点，它部分继承了公司治理的思想，发展到现在已经逐渐形成了相对完整的学术及行业体系。

对IT治理与IT管理和公司治理关系的研究，有助于我们整理IT治理思想的脉络，并在此基础上，形成对IT治理的重新认识。

IT治理的定义较多，Broadbent说过，“IT治理是个热门话题，但看来没有人能准确说出它是什么，或者如何描述它”。

Weill也对“IT治理定义的复杂性和困难性，这种没有一致意见的情况表示忧虑，是从IT中获得价值的最严重的障碍之一”。

Peterson将这种情况称为“术语从林”，每个新来者都在其中播下一粒种子。

我们将IT治理定义为：IT治理是公司治理的一部分，是以股东为中心的企业利益相关者，为了让IT产生最大收益，解决IT决策中的信息不对称问题，而设计的与IT有关的决策、激励和约束机制。

一、IT治理与IT管理的关系多数学者认为IT治理与IT管理的关系，是指导关系，即先与后，上与下的关系。

Weill指出，治理是决定由谁来进行决策，而管理则是制定和执行这些决策的过程。

他举例说，治理决定了由谁来掌握企业在IT投资额度上的决策权，管理则决定某年投入的实际资金数的资金所投向的范围。

他曾说到，IT治理是一系列有关谁做出IT管理决策的决策。

而Weill有关IT治理与IT管理的区别的思想，Boynton 在1992就提出过。

Boynton指出，IT治理并不关注IT资源的位置和分布本身，而是IT资源的位置、分布、IT管理责任体系、IT控制在应用和贯彻中，给组织所带来的本质的影响。

Starre等在1998年也提出，治理是创造一个管理者能有效工作的环境，而管理是做出运营方面的决策。

IT治理读后感10篇

IT治理读后感10篇《IT治理》是一本由孟秀转 / 于秀艳 / 郝晓玲 / 孙强著作，清华大学出版社出版的平装图书，本书定价：68.00元，页数：454，特精心从网络上整理的一些读者的读后感，希望对大家能有帮助。

《IT治理》读后感(一)：IT治理可以帮助企业做什么，怎么做？IT治理可以帮助管理层建立以组织战略为导向，以外界环境为依据，以业务与IT整合为中心的观念，从而正确定位IT部门在整个组织中的作用。

最终能够针对不同业务发展要求，整合信息资源，制定并执行推动组织发展的IT战略。

具体操作，《IT治理：标准、框架与案例分析》里有详尽阐述。

《IT治理》读后感(二)：好书不必多言好书不必多言，它就是我要找的好书，它系统，细致，引进经典专著和邀请专家学者编著相结合，从总结信息化经验、指导信息化实践。

让我受益匪浅，这本书是同学推荐的，现在我把它推荐给大家，给力奥！《IT治理》读后感(三)：cio必读该书在专业领域具有极高的参考价值, 不仅适用于cio、政府和企业领导、it咨询顾问、注册会计师，还是准备通过各类it高端认证考试人员的必备参考佳作，更可作为高等院校信息化管理教学的参考教材。

该书是汇集了前人得思维与智慧的结晶，对于从事信息技术行业的同仁来说,该书算得上是必读刊物。

《IT治理》读后感(四)：就《IT治理：标准。

框架与案例分析》观点《IT治理》汇聚了经典专著理论、最佳实务指引和IT治理智库，是我国信息化理论和实务研究园地中的一朵奇葩。

读书前知识性粗略的看一下，但是看后就放不下了，它系统介绍了国内外业界公认的信息化建设以及风险管理标准、框架与最佳实践，并辅以我国政府部门和企业推进信息化工作的典型案例。

让我爱不释手。

《IT治理》读后感(五)：就《IT治理：标准。

框架与案例分析》观点《IT治理》汇聚了经典专著理论、最佳实务指引和IT治理智库，是我国信息化理论和实务研究园地中的一朵奇葩。

CISA笔记第二章IT治理

1、工作范围，包括清晰定义所涵盖的职能领域和事务；
2、采用的报告路线，使查出的IT治理问题能报告给组织的最高层
3、信息系统审计师对信息的访问权限，包括对组织内部和第三方服务提供商
* IT战略委员会是方向性的；IT指导委员会是技术执行层面的
* IT平衡记分卡是协助IT战略委员会和管理层实现IT与业务保持一致的最有效的方法之一，其目标是建立管理层向董事会的报告途径，就IT战略目标在关键利益相关方之间达成一致，证实IT的效果与价值，沟通IT绩效、风险和能力。
* IT治理采用最佳实践来确保组织信息及相关技术支持其业务目标（如战略一致）和价值交付，确保资源得到合理使用、风险得到适当管理、绩效得到测评
* 信息技术对企业非常重要，不能把职责放给IT管理人员或IT专家，而必须得到整个高级管理层的关注
* IT治理在根本上关注以下两方面的问题：
IT向业务交付价值：由IT与业务的战略一致驱动
* 威胁的发生是由于信息资产存在脆弱性，脆弱性是信息资源的特性，可以被威胁利用并造成损害
* 发生任何威胁所造成的结果称为影响，它能导致这种或那种损失
* IT风险需要在多个层面上进行管理：
运行层面
项目层面
战略层面
* 信息系统管理实务反映的是为各种信息系统相关管理活动所设计的政策与程序的实施情况
* IT治理是组织中的一种安排。目的是为了提高IT绩效，降低IT风险，有效利用资源。
* 信息系统的战略规划是获取、配置和管理信息资源及实现组织远景目标的总体规划，包括软件、硬件、责任以及资源配置等，提供给组织相应的解决方案。
* IT治理有助于确保IT和企业目标保持一致，IT治理的关键因素是IT与业务保持一致，以实现业务价值

IT治理——从IT中获得最大价值

IT治理——从IT中获得最大价值如果存在好的IT治理机制，IT管理得好就是必然的，管理不好是偶然的；而如果没有好的IT治理机制，IT管理得好是偶然的，管理不好是必然的。

以下内容需要回复才能看到什么是IT治理IT治理是公司治理的一部分，对于公司治理，1999年出版的《公司治理的基本原则》一书所下的定义为：为确定组织目标和确保目标实现的绩效监控所提供的治理结构。

关于IT治理，中外学者给出了很多的定义，美国IT治理协会给IT治理的定义是：“IT 治理是一种引导和控制企业各种关系和流程的结构，这种结构安排，旨在通过平衡信息技术及其流程中的风险和收益，增加价值，以实现企业目标。

”国内有一种观点认为，IT治理是描述企业或政府是否采用有效的机制，使得IT的应用能够完成组织赋予它的使命，同时平衡信息化过程中的风险，确保实现组织的战略目标的过程。

它的使命是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。

美国麻省理工学院的学者彼得·维尔和珍妮·罗斯在其所撰写的《IT治理》一书中指出，IT治理就是为鼓励IT应用的期望行为，而明确的决策权归属和责任担当框架。

他们认为是行为而不是战略创造价值，任何战略的实施都要落实到具体的行为上。

从IT中获得最大的价值，取决于在IT应用上产生我们期望的行为。

期望行为是组织信念和文化的具体体现，它们的确定和颁布不仅基于战略，而且基于公司的价值纲要、使命纲要、业务规则、约定的行为习惯以及结构等。

在每一家公司里，期望行为都各不相同。

综合这些定义，我们可以得出，IT治理就是要明确有关IT决策权的归属机制和有关IT 责任的承担机制，以鼓励IT应用的期望行为的产生，以联接战略目标、业务目标和IT目标，从而使企业从IT中获得最大的价值。

治理和管理是两个不同的概念，它们之间的区别就在于，治理是决定由谁来进行决策，管理则是制定和执行这些决策。

it治理的基本概念

it治理的基本概念IT治理是企业管理中不可或缺的一部分，旨在确保企业的信息技术（IT）战略、管理和实践与其业务战略和目标保持一致，从而为企业的长期成功提供支持。

本文将介绍IT治理的九个基本概念，包括战略匹配、风险控制、合理授权、透明度、持续改进、绩效评估、利益相关者管理、合规性和技术选择与实施。

1.战略匹配战略匹配是指企业的IT战略与企业整体战略的一致性。

IT治理要求企业制定IT战略时，要考虑到企业的整体战略和目标，确保IT 战略与业务战略相辅相成，以实现企业的长期目标。

为了实现战略匹配，企业需要建立良好的IT战略规划流程，以及确保IT部门与业务部门之间的有效沟通和协作。

2.风险控制风险控制是指企业在IT治理中采取措施来识别、评估、控制和管理与IT相关的风险。

这些风险可能包括技术故障、数据泄露、安全攻击等。

企业需要建立完善的风险评估机制，定期对IT风险进行评估，并采取相应的措施来降低和避免这些风险。

3.合理授权合理授权是指企业在进行IT治理时，根据员工、部门或角色的需要和责任，为其提供适当的授权和资源。

合理授权可以确保企业的IT资源得到高效利用，同时降低安全风险和操作不当的可能性。

企业需要建立明确的授权机制，并确保授权的透明度和可追踪性。

4.透明度透明度是指企业在IT治理中，确保所有利益相关者对企业的IT 战略、管理和实践有清晰的了解。

透明度可以提高企业与利益相关者之间的信任度和合作意愿，同时降低信息不对称带来的风险。

企业需要建立透明的沟通机制，定期向利益相关者报告IT战略、管理与实践的情况，以及IT治理的进展和成果。

5.持续改进持续改进是指企业在IT治理中，通过不断监测、评估和改进IT 战略、管理和实践，以实现企业的长期成功。

企业需要建立完善的持续改进机制，定期对IT战略、管理和实践进行评估，并根据评估结果进行调整和改进。

此外，企业还需要鼓励员工积极提出改进建议，并采纳合适的建议来优化企业的IT治理。

CISA笔记-第二章

第二章IT治理1.公司治理整个组织层面的文化、决策和实务都必须通过公司治理来培养，公司治理被治理层定义为：为所有股东创造和呈现价值的企业道德行为，公司治理为制定公司目标、确定实现目标和监督绩效的方式提供了框架。

2.董事会和高级管理层的监督和保证实务IT治理是一个综合术语，它包括信息系统、技术和通讯、业务、法律相关事务，所有利益相关方、董事会、高级管理层、流程所有人、IT供应商、用户和审计师。

IT治理有助于确保IT 和企业的目标保持一致。

以实现业务的价值。

公司治理应采用公认的最佳实践，并通过特定控制来保证其实施。

通过这些实践来贯彻组织方针，指导特定活动使用组织资源。

对活动的结果要进行测评和报告，为控制的维护和持续改进提供依据。

IT治理采用最佳实践来确保组织信息及相关技术支持业务目标和价值交付，确保资源得到合理使用、风险得到适当管理、绩效得到测评。

IT治理在根本上关注两方面问题：IT向业务交付价值和IT风险得到管理。

前者由IT与业务的战略一致驱动，后者通过向企业分配责任来驱动。

2.1.IT治理的最佳实践IT治理整合最佳实践并使之制度化，确保企业IT支持业务目标，IT治理的目的是指导IT工作，确保IT绩效满足IT目标符合企业目标的要求，并实现预期的收益。

2.1.1.审计在IT治理中的角色P58IT治理包含了确定企业内如何应用IT的一系列问题，审计有助于确保组织满足所实施的IT 治理的要求。

IT治理报告涉及组织最高层次，并可能是跨区域，跨职能、跨部门的，IS审计师应当确认已明确以下内容：工作范围：包括清晰定义所涵盖的职能领域和事务；采用的报告路线：使查出的IT治理问题能报告给组织最高层；IS审计师对信息的访问权限，包括对组织内部和第三方服务提供商。

按照IS审计师的既定角色，需要评价与IT治理的相关内容：IS职能与组织使命、愿景、价值、目标和战略的一致性；法律、环境、信息质量、委托、安全和隐私方面的要求；组织的环境控制；IS环境的固有风险。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

对于CISA课程第二章IT治理与管理内容的理解
暨打算如何对CISA学员进行课程讲解
文/涂振涛
作者简介：涂振涛，谷安天下高级咨询顾问，17年信息系统安全管理、IT审计、信息安全管理规划与管理等方面工作经验，有着丰富的证券行业信息系统管理经验，熟悉证券监管部门对于证券公司信息系统安全管理的具体要求，熟悉审计流程，有着较强的分析与项目管理、实施能力。

近段时间我在准备CISA课程培训试讲，在准备《第二章：IT治理与管理》内容讲解的过程中，也对这一章节内容有了更深一步的认识。

结合自身以前作为CISA学员听课的体验，对这一章节的授课方法有了一些自己想法，并打算在今后对CISA学员进行培训时予以实施。

个人分析认为，在给学员进行第二章节内容讲解时，如果讲师只是仅仅按部就班地按照CISA培训教材的内容进行逐一讲解，效果并不好。

因为真正想通过CISA考试的学员，必定会去看书，第二章节的知识点其实难度并不深，讲师如果仅仅是按照培训教材编排内容按部就班地进行讲解，从学员体验来说，和自己看书的效果差别并不大。

第二章节关键在于对IT治理概念及其关注域的理解，所有内容都是围绕着IT治理关注域展开的，如果讲师能首先对于该章节的内容进行一个概括性的介绍，说清楚什么是IT治理？IT治理和IT管理的区别？IT治理的关注域是什么？然后再对章节内容进行逐一讲解，效果应该会更好。

另培训教材将第二章IT治理和管理的内容分为13小节，个人认为讲师在给学员培训时应该对本章节为什么包含了这些内容进行解释，否则学员可能不能理解这13个小节的内容为什么在这个章节出现，这些内容和IT治理有什么关系。

为此，我打算在对CISA学员进行第二章节内容培训的时候按照以下顺序进行讲解:
1、解释什么是IT治理？IT治理和IT管理的区别？IT治理的关注域是什么？
2、解释第二章节包含了哪些内容，为什么包含了这些内容；
3、按照第二章节内容进行逐一讲解。

一、什么是IT治理？IT治理关注的领域是什么？IT治理和IT管理的区别？
IT治理是信息系统审计和控制领域中的一个较新的理念，IBM最早将此理念引入中国。

IT治理是公司治理在信息时代的重要发展，用于描述企业或政府是否采用有效的机制，使得IT的应用能够完成组织赋予它的使命，同时平衡信息技术与过程的风险、确保实现组织的战略目标。

IT治理是公司治理的一部分，对于公司治理，1999年出版的《公司治理的基本原则》一书所下的定义为：为确定组织目标和确保目标实现的绩效监控所提供的治理结构。

IT治理的定义：
关于IT治理，中外学者给出了很多的定义。

综合这些定义，IT治理就是要明确有关IT 决策权的归属机制和有关IT责任的承担机制，以鼓励IT应用的期望行为的产生，以联接战略目标、业务目标和IT目标，从而使企业从IT中获得最大的价值。

IT治理与公司治理：
公司治理主要关注利益相关者权益和管理，包括一系列责任和条例，由最高管理层（董事会）和执行管理层实施；
公司治理目的是提供战略方向，保证目标能够实现，风险适当管理，企业资源合理使用；
IT治理是公司治理的重要组成部分，是董事会或最高管理层的责任；
IT治理由领导、组织结构以及相关流程组成，这些流程能保证组织的IT能有效支持及促进组织战略目标的实现，同时控制风险、降低成本、提高绩效。

IT治理是董事会及高管层的责任。

IT治理的决策范围一般包括以下五个方面：
组织模式:组织是采取集权、分权还是混合的模式？
投资:组织将投资于什么？投多少
架构:组织是着重于稳定性还是灵活性?这两者各到什么程度?应用系统是向外购买还是内部开发？是建立一个综合性的ERP系统还是多种系统？
标准:组织需要将什么技术标准化，采用什么标准？
资源:IT组织将利用什么类型的资源?这些资源的来源是什么？
IT治理关注的5个关键域：战略一致性、价值交付、资源管理、风险管理、绩效测量。

IT治理与IT管理的区别：
IT 管理是公司的信息及信息系统的运营，确定IT 目标以及实现此目标所采取的行动；
而IT 治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。

IT 管理就是在既定的IT 治理模式下，管理层为实现公司的目标而采取的行动。

缺乏良好IT 治理模式的公司，即使有“很好”的IT 管理体系（而这实际上是不可能的），就像一座地基不牢固的大厦；
同样，没有公司IT 管理体系的畅通，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容。

二、教材中第二章节包含了哪些内容？为何包含了这些内容？
教材中第二章IT治理与管理的内容包括13小节：
2.2 公司治理
2.3 IT治理
2.4 董事会和高管层对于信息技术监督与保证实践
2.5 信息系统战略
2.6 成熟度以及流程改进模型
2.7 IT投资和分配实践
2.8 政策与程序
2.9 风险管理
2.10 IS管理实务
2.11 IS组织结构和职责
2.12 审计IT治理结构及实施情况
2.13 业务连续性计划与灾难恢复计划
2.14 审计业务连续性
对于为何在《第二章IT治理与管理》中包含了这13个小节的内容，我的理解如下表：
章节内容包含的理由备注主线
2.2 公司治理IT治理是公司治理的重要内容，为引出IT治理的
概念做铺垫.
讲
述
IT
治
理
及
IT
管
理
中
相
对
高
层
次
的
内
容
2.3 IT治理给出IT 治理的定义，IT治理的关键因素以及根本关注哪两个方面问题。

2.4 董事会和高管层对于信息技术监督与保证实践IT治理是董事会和高管的责任，董事会和高管层
在IT治理应该承担的职责和需要关注的五个关注
关键域，IT治理的相关标准和指南，IT治理实务：
IT战略委员会、标准IT平衡计分卡，信息安全治
理；IT治理和企业架构密切相关，企业架构也在
包含在本节内容中。

IT治理关注的
5个关键域：战
略一致性、价
值交付、资源
管理、风险管
理、绩效测量。

2.5 信息系统战略IT治理的一个关键因素是保持与业务的战略一致，引导业务价值的实现。

为此，制定信息系统战略是IT治理首要关注的问题。

2.6 成熟度以及流程改进模型此成熟度指软件开发流程的成熟度，适合于IT研发企业。

在IT研发企业，软件开发流程的成熟度是IT治理的重要内容。

2.7 IT投资和分配实践属于IT治理关注的5个关键域之一：价值交付的内容
2.8 政策与程序政策和程序反映了管理层对信息系统及其相关资源的控制方面的指导方针，属于IT治理的重要内容。

2.9 风险管
理
属于IT治理关注的5个关键域之一：风险管理
2.10 IT管理实务IT管理实务反映的是为各种IT相关管理活动所涉
及的政策与程序的实施情况。

IT管理的情况和实
现组织目标密切相关。

IT管理内容比较多，包括
(IT)人力资源管理、IT开发管理、IT外包（采购）
管理、IT系统（技术）变更管理、IT运行及维护
管理、IT服务管理、IT财务管理、IT质量管理、
信息安全管理、业务连续性管理（应急管理）、IT
绩效优化等。

IT开发管理、IT运行维护管理及IT
IT服务管理
（ITSM)包括
IT服务支持
（服务平台、
事件管理、问
题管理、配置
管理、变更管
理、发布管理）
服务管理、信息安全管理的内容作为三个大章节分别放在第三章、第四章和第五章中讲述（从管理的层次来说，相对较低），其他相对在管理层次中较高的内容在本节中予以介绍。

和IT服务交付（服务水平管理、IT财务管理、能力管理、IT服务连续性管理、可用性管理）
2.11 IS组
织结构和职责
IT的组织结构和职责属于IT治理的重要内容。

2.12 审计IT治理结构及实施情况介绍IT审计师审计（评估）IT治理情况时，需要评估的内容和审核的文档
2.13 业务连续性计划与灾难恢复计划业务连续性和灾难恢复的目地是使组织在中断后可以持续提供关键服务并且从灾难中幸存。

严格的计划和资源保证对于计划是非常必要的，属于IT治理的范围。

2.14 审计业务连续性介绍IT审计师审计（评估）业务连续性计划（灾难恢复计划）时，需要评估的内容和查看审核的文档。

三、按照第二章节的内容（上表的13个小节内容）进行逐一较为深入的讲解。

具体讲解内容，见谷安天下培训部制作的CISA课程培训PPT，此处不再赘述。