中化借信息系統審計脫困“IT蛛網”
如果一個企業的實踐經驗,能夠成為全行業的指導規范,這勢必是值得分享的事情。 中化集團實施的IT治理就是如此。作為中化集團IT治理的主導者,信息技術部總經理彭勁松告訴《中國經濟和信息化》記者:過去幾年
如果一個企業的實踐經驗,能夠成為全行業的指導規范,這勢必是值得分享的事情。
中化集團實施的IT治理就是如此。作為中化集團IT治理的主導者,信息技術部總經理彭勁松告訴《中國經濟和信息化》記者:“過去幾年,中化集團不斷通過IT審計完善企業內部控制機制,在IT治理上逐漸摸索出了自己的經驗,現在我們正配合審計署把這些經驗進一步總結提煉。”
2009年年底,審計署把中化集團確定為企業IT審計的試點單位,通過把中化集團在IT審計方面的成功經驗總結提煉,最終融入審計署的相關指導規范中。
其實早在2008年上半年,審計署曾組織中國煙草總公司、中國石油化工集團、中化集團開展了信息系統審計調查。2008年下半年,審計署又組織中化集團及天津公司開展了信息系統審計項目,這是審計署第一次獨立組織的信息系統審計項目。如今,中化集團憑借其信息系統審計實踐,成為審計署的典型案例之一。
救火?救火!
作為國內最重要的國有骨干企業之一,中化集團業務包括石油、化工、化肥、金融以及房地產等多元化業務,下屬有超過100家各種類型的大小公司,在海外還有四大集團。因為這樣,支撐其運營的IT系統變得異常復雜。為了確保IT系統安全運行并使業務發展更加順暢,相應的IT審計勢在必行。
目前,中化集團已經建立起一套完備的承擔全球各個公司業務的信息系統,其中以ERP系統為核心,包括內部辦公自動化系統、分銷管理系統、內部門戶等系統在內的企業信息化平臺,可以進行有效的業務管理和流程控制。但是要監控這些系統對信息技術部來說是一個極大的挑戰。
過去發生技術故障,彭勁松總是要等事故發生后才從業務人員的反饋中得到信息,而且涉及大量人員,要進行電話逐一排查,不僅耗費大量的工作時間,還給相關部門造成了很大的被動,就像救火隊員,火勢最終是可以撲滅的,但是其帶來的損失卻難以估量。客觀環境要求信息部門人員總是要守在電話旁邊,寸步也不能離開,因為不知道什么時候業務人員或者財務人員就會打來電話。不管是業務人員下單發生問題,還是財務部報表生成不了,或者出現更嚴重的賬目問題,都有可能造成全集團的重大損失。
用COBIT分析決策
在審計署計算機中心輔助審計處陳劍看來,企業實施IT審計的必要性通常來源于兩點。其一,信息化進程的迅速推進,信息系統成為許多被審單位內部管理與控制的關鍵工具,因此,信息系統的可靠性、安全性已經直接影響審計工作的效率和質量。《審計署2006至2010年審計工作發展規劃》提出“逐步開展對關系國計民生的重大行業、部門的聯網審計,全面提高計算機應用水平”的要求。
其二,信息技術作為企業發展的重要支撐,投資額度不斷加大,投資失敗的風險日漸成了企業難以承受之重。為了有效控制IT運營成本,更好地提升企業價值,勢必需要對相關IT活動加以控制。
對于中化集團這樣規模龐大的集團企業而言,遍布全球的信息系統可能處處隱藏著一些盲點,它們隨時都有可能成為企業的隱性漏洞而發生些許意外,如果發生大的意外,將可能造成無法挽回的損失。而企業的屬性又決定了業務不允許被中斷,并希望故障時間越短越好,越能提前預防越好。因此,如何在業務人員發現問題之前,對系統實施實時監控并預先對事故進行處理和解決,控制風險并治理好IT,是中化集團需要解決的戰略問題。
“IT治理的確有必要,它是一種完整的世界觀和思維范式,它引導了企業正確的IT決策。”彭勁松說,“IT治理如同ERP一樣是業界最佳實踐的結晶,當然最終都需要落在具體的方法論和工具上,就像ERP最終會落在SAP/Oracle等廠商的系統產品上一樣。IT治理的落腳點是通過COBIT進行表現與實施的。”
作為一個全面的內部控制框架,COBIT是一個在國際上公認的先進、權威的安全與信息技術管理和控制的標準。中化集團CIO彭勁松在此方面無疑是走在前列的。彭勁松告訴記者,他是最早一批參加了由ITGov(中國IT治理研究中心)主辦的“基于COBIT的IT治理”培訓,并獲得由ISACA頒發的COBIT國際資格認證的人。
正是基于這些對IT治理的認識,彭勁松對傳統信息化建設的思維范式也產生了突破性的轉變。用他的話說,就是擺脫選產品、詢價格、找解決方案的傳統信息化建設方法,避免被供應商牽著鼻子走的局面,取而代之的是按照科學的方法,運用COBIT工具進行分析,來幫助中化集團信息技術部做項目決策。
流程分解 井然有序
然而,當彭勁松把COBIT引入中化集團后,情況的確有了改觀。基于COBIT標準,中化集團把IT目標總共定義為24個流程,然后對照自身企業需要達到的效果,從中確定其中4個流程的管理為實現目標,即確保連續性服務、管理服務臺和事件、管理性能與容量、管理數據。
在整個分析和準備的過程中,每一份調研文檔、每一次會議記錄、每一個工作流程都嚴格按照COBIT的方法備案或執行。中化集團經過一段時間的“自我診治”,將以上4個流程的管理轉化成了中化集團在IT系統管理方面最重要和緊迫的具體需求:其一是支持業務連續性的基本容災能力;其二是應對日益復雜IT環境的基本治理能力,其中包括可靠的數據備份與恢復能力,初步的網絡、系統和存儲監控能力,初步的企業級IT綜合監控臺。歸根結底是要保障中化集團全球各個公司網絡系統基礎設施無障礙運行。
曾經新加坡合資公司通過中化國際的一個專網賬號,登錄中化集團的郵件系統,隨即中化集團北京總部監控圖上立刻出現了一個紅點。工作人員隨即在監控屏幕右側找到了發生異常的具體地點,迅速將問題鎖定在新加坡公司,并確認了異常信息的性質。因為該公司具有獨立的Internet出口,工作人員登錄后在中化集團出現了一個新的登錄端口地址,所以系統即認為是異常。換句話說,改善后的系統可以完整地處理突發的跟蹤流程,即感知、隔離、診斷、采取行動、評估。
“以前系統沒有統一管理,比如像九江斷網這樣的異常情況基本上不可能被發現,一旦問題不能及時發現,就很有可能變成一個網絡漏洞,進一步甚至會發生黑客攻擊等未知的事件。”中化集團的一位IT工程師感嘆道。
如今,彭勁松很少再有以前那樣“四處救火”的狀態。因為引入了COBIT這個IT治理工具,同時又按照ITIL的指導建立起了IT服務流程,中化集團的IT服務管理變得井然有序。
中化集團實施的IT治理就是如此。作為中化集團IT治理的主導者,信息技術部總經理彭勁松告訴《中國經濟和信息化》記者:“過去幾年,中化集團不斷通過IT審計完善企業內部控制機制,在IT治理上逐漸摸索出了自己的經驗,現在我們正配合審計署把這些經驗進一步總結提煉。”
2009年年底,審計署把中化集團確定為企業IT審計的試點單位,通過把中化集團在IT審計方面的成功經驗總結提煉,最終融入審計署的相關指導規范中。
其實早在2008年上半年,審計署曾組織中國煙草總公司、中國石油化工集團、中化集團開展了信息系統審計調查。2008年下半年,審計署又組織中化集團及天津公司開展了信息系統審計項目,這是審計署第一次獨立組織的信息系統審計項目。如今,中化集團憑借其信息系統審計實踐,成為審計署的典型案例之一。
救火?救火!
作為國內最重要的國有骨干企業之一,中化集團業務包括石油、化工、化肥、金融以及房地產等多元化業務,下屬有超過100家各種類型的大小公司,在海外還有四大集團。因為這樣,支撐其運營的IT系統變得異常復雜。為了確保IT系統安全運行并使業務發展更加順暢,相應的IT審計勢在必行。
目前,中化集團已經建立起一套完備的承擔全球各個公司業務的信息系統,其中以ERP系統為核心,包括內部辦公自動化系統、分銷管理系統、內部門戶等系統在內的企業信息化平臺,可以進行有效的業務管理和流程控制。但是要監控這些系統對信息技術部來說是一個極大的挑戰。
過去發生技術故障,彭勁松總是要等事故發生后才從業務人員的反饋中得到信息,而且涉及大量人員,要進行電話逐一排查,不僅耗費大量的工作時間,還給相關部門造成了很大的被動,就像救火隊員,火勢最終是可以撲滅的,但是其帶來的損失卻難以估量。客觀環境要求信息部門人員總是要守在電話旁邊,寸步也不能離開,因為不知道什么時候業務人員或者財務人員就會打來電話。不管是業務人員下單發生問題,還是財務部報表生成不了,或者出現更嚴重的賬目問題,都有可能造成全集團的重大損失。
用COBIT分析決策
在審計署計算機中心輔助審計處陳劍看來,企業實施IT審計的必要性通常來源于兩點。其一,信息化進程的迅速推進,信息系統成為許多被審單位內部管理與控制的關鍵工具,因此,信息系統的可靠性、安全性已經直接影響審計工作的效率和質量。《審計署2006至2010年審計工作發展規劃》提出“逐步開展對關系國計民生的重大行業、部門的聯網審計,全面提高計算機應用水平”的要求。
其二,信息技術作為企業發展的重要支撐,投資額度不斷加大,投資失敗的風險日漸成了企業難以承受之重。為了有效控制IT運營成本,更好地提升企業價值,勢必需要對相關IT活動加以控制。
對于中化集團這樣規模龐大的集團企業而言,遍布全球的信息系統可能處處隱藏著一些盲點,它們隨時都有可能成為企業的隱性漏洞而發生些許意外,如果發生大的意外,將可能造成無法挽回的損失。而企業的屬性又決定了業務不允許被中斷,并希望故障時間越短越好,越能提前預防越好。因此,如何在業務人員發現問題之前,對系統實施實時監控并預先對事故進行處理和解決,控制風險并治理好IT,是中化集團需要解決的戰略問題。
“IT治理的確有必要,它是一種完整的世界觀和思維范式,它引導了企業正確的IT決策。”彭勁松說,“IT治理如同ERP一樣是業界最佳實踐的結晶,當然最終都需要落在具體的方法論和工具上,就像ERP最終會落在SAP/Oracle等廠商的系統產品上一樣。IT治理的落腳點是通過COBIT進行表現與實施的。”
作為一個全面的內部控制框架,COBIT是一個在國際上公認的先進、權威的安全與信息技術管理和控制的標準。中化集團CIO彭勁松在此方面無疑是走在前列的。彭勁松告訴記者,他是最早一批參加了由ITGov(中國IT治理研究中心)主辦的“基于COBIT的IT治理”培訓,并獲得由ISACA頒發的COBIT國際資格認證的人。
正是基于這些對IT治理的認識,彭勁松對傳統信息化建設的思維范式也產生了突破性的轉變。用他的話說,就是擺脫選產品、詢價格、找解決方案的傳統信息化建設方法,避免被供應商牽著鼻子走的局面,取而代之的是按照科學的方法,運用COBIT工具進行分析,來幫助中化集團信息技術部做項目決策。
流程分解 井然有序
然而,當彭勁松把COBIT引入中化集團后,情況的確有了改觀。基于COBIT標準,中化集團把IT目標總共定義為24個流程,然后對照自身企業需要達到的效果,從中確定其中4個流程的管理為實現目標,即確保連續性服務、管理服務臺和事件、管理性能與容量、管理數據。
在整個分析和準備的過程中,每一份調研文檔、每一次會議記錄、每一個工作流程都嚴格按照COBIT的方法備案或執行。中化集團經過一段時間的“自我診治”,將以上4個流程的管理轉化成了中化集團在IT系統管理方面最重要和緊迫的具體需求:其一是支持業務連續性的基本容災能力;其二是應對日益復雜IT環境的基本治理能力,其中包括可靠的數據備份與恢復能力,初步的網絡、系統和存儲監控能力,初步的企業級IT綜合監控臺。歸根結底是要保障中化集團全球各個公司網絡系統基礎設施無障礙運行。
曾經新加坡合資公司通過中化國際的一個專網賬號,登錄中化集團的郵件系統,隨即中化集團北京總部監控圖上立刻出現了一個紅點。工作人員隨即在監控屏幕右側找到了發生異常的具體地點,迅速將問題鎖定在新加坡公司,并確認了異常信息的性質。因為該公司具有獨立的Internet出口,工作人員登錄后在中化集團出現了一個新的登錄端口地址,所以系統即認為是異常。換句話說,改善后的系統可以完整地處理突發的跟蹤流程,即感知、隔離、診斷、采取行動、評估。
“以前系統沒有統一管理,比如像九江斷網這樣的異常情況基本上不可能被發現,一旦問題不能及時發現,就很有可能變成一個網絡漏洞,進一步甚至會發生黑客攻擊等未知的事件。”中化集團的一位IT工程師感嘆道。
如今,彭勁松很少再有以前那樣“四處救火”的狀態。因為引入了COBIT這個IT治理工具,同時又按照ITIL的指導建立起了IT服務流程,中化集團的IT服務管理變得井然有序。
責任編輯:葉雨田
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
權威發布 | 新能源汽車產業頂層設計落地:鼓勵“光儲充放”,有序推進氫燃料供給體系建設
2020-11-03新能源,汽車,產業,設計 -
中國自主研制的“人造太陽”重力支撐設備正式啟運
2020-09-14核聚變,ITER,核電 -
探索 | 既耗能又可供能的數據中心 打造融合型綜合能源系統
2020-06-16綜合能源服務,新能源消納,能源互聯網
-
新基建助推 數據中心建設將迎爆發期
2020-06-16數據中心,能源互聯網,電力新基建 -
泛在電力物聯網建設下看電網企業數據變現之路
2019-11-12泛在電力物聯網 -
泛在電力物聯網建設典型實踐案例
2019-10-15泛在電力物聯網案例
-
權威發布 | 新能源汽車產業頂層設計落地:鼓勵“光儲充放”,有序推進氫燃料供給體系建設
2020-11-03新能源,汽車,產業,設計 -
中國自主研制的“人造太陽”重力支撐設備正式啟運
2020-09-14核聚變,ITER,核電 -
能源革命和電改政策紅利將長期助力儲能行業發展
-
探索 | 既耗能又可供能的數據中心 打造融合型綜合能源系統
2020-06-16綜合能源服務,新能源消納,能源互聯網 -
5G新基建助力智能電網發展
2020-06-125G,智能電網,配電網 -
從智能電網到智能城市