什么是 IT 治理？

有效的 IT 治理作为一项治理、风险与合规 (GRC) 策略，是整体业务战略和公司治理的重要组成部分。IT 治理在确保遵守行业和政府法规的同时，还要管理治理情况和风险。优化 IT 治理需要正确调配 IT 投资、策略和人员。它有助于组织根据业务目标制定一致的 IT 目标。

全面的 IT 战略如果纳入了强有力的 IT 治理，就可以简化 IT 决策，最终推动实现关键业务目标。对于负责 IT 运营的开发运维 (DevOps) 团队而言，IT 治理正日益成为他们的一项工作。开发运维 (DevOps) 团队可以更高效地合作创建、测试和交付软件。

随着组织增加 IT 投资，强有力的 IT 治理策略也变得更加重要。首席信息官 (CIO) 与高级管理层的其他关键利益相关者一起，推动实现 IT 治理战略。

保持强有力的 IT 治理能够帮助组织在多个重要的方面蓬勃发展。

组织 IT 流程的中断会影响整个企业。因此，组织将弹性作为 IT 治理流程的核心组成部分。组织可以调整 IT 职能来最大限度地延长正常运行时间，并创建适当的备份和冗余来保持业务运转。

了解 IT 资源成本及其对业务增长的影响是 CIO 的一项重要工作。虽然技术是所有现代组织的重要组成部分，但 CEO 需要知道，各种 IT 项目、计划和支出都与实现业务目标直接相关。

企业 IT 越来越多地使用客户数据来推动业务运营，这意味着管理机构会更加关注组织如何运营 IT 部门。如果组织能够强有力地实行 IT 治理，那么遇到合规性问题的可能性就会降低，因而也更有能力将精力集中于其他业务领域。

组织日益依赖于第一方和第三方数据展开运营，其中许多数据是专有数据或包含私人消费者信息。越来越多不法分子将收集这些宝贵数据的组织作为攻击目标。IT 风险管理和缓解至关重要；组织可以制定保护用户安全的策略和程序。根据 CIO.com 的一项调查，受访 CEO 将管理 IT 风险¹ 列为第二大优先事项，仅次于数字化转型。

负责制定和维护 IT 治理标准与指导原则的是几家政府组织和非政府组织 (NGO) 以及一些私营企业。

• ISACA：该组织前身为信息系统审计和控制协会，负责为审计、网络安全等关键领域的 IT 专业人员提供证书。
• 国际标准化组织：这家非政府组织负责制定跨业务部门（包括 IT 运营）的标准，旨在更好地促进贸易与合作。该组织已发布多项标准，包括 2008 年发布的 ISO/IEC 38500 IT 治理标准，以及 ISO 27001 信息安全管理标准。
• Axelos：该组织原为英国政府与 Capita 公司的合资企业，于 2021 年 7 月被 PeopleCert 收购。该组织负责多项认证，包括 IT 基础架构库 (ITIL) 认证。

有一些 IT 治理策略和程序得到许多组织的采用。

也称为 COBIT，是一个公认实践和工具的框架，可最大限度地降低风险，引入监管合规性并推动实现业务目标。

该框架是一个最佳实践库，可帮助组织更好地管理其 IT 支持与服务。AXELOS 负责管理 ITIL 更新。最新的 ITIL 4 发布于 2019 年²，纳入了人工智能和云计算等新的工具和技术。

该框架涉及规划、实施、管理和优化 IT 服务，以满足用户的需求并帮助组织实现业务目标。ITSM 旨在为企业中的每个用户提供针对每项 IT 资源的最佳部署、运营和管理。用户可能包括客户、员工或业务合作伙伴。

IT 资源可能包括任意硬件、软件或计算资产，例如笔记本电脑、软件应用程序、云存储或虚拟服务器。在某些组织中，DevOps 被用来代替 ITSM 或作为 ITSM 的替代方案。但是，很多组织将 DevOps 和 ITSM 视为互补关系：DevOps 主要关注速度和敏捷性，而 ITSM 则关注用户与客户满意度。

该模型最初由美国国防部开发，涉及组织的软件开发过程。如今的 CMMI 模型可帮助各种规模的组织构建 IT 运营、衡量其成熟度并确定需要改进的方面。

• 战略一致：此概念涉及根据业务需求制定一致的 IT 目标。通过调整组织成功所需的资源，可以更好地分配 IT 资源，并构建合适的 IT 治理结构，帮助组织取得成功。
• 网络安全：鉴于客户和合作伙伴托付给组织的数据极其重要，组织需要优先考虑保护信息安全。拥有良好健全的网络安全状况不仅可以保护这些数据，还能帮助组织防御灾难性网络攻击。
• 资源管理：组织必须持续监控一些工具和服务的使用情况，例如云的使用情况和数据存储，这些工具和服务价值宝贵但价格也昂贵，能够提升业务价值。优先考虑资源管理的组织可以确定正确的 IT 计划并优化 IT 系统，从而建立正确的决策流程。
• 灾难恢复：当出现问题时，组织需要有完备的计划在手。组织的服务器或数据库发生灾难性的故障可能会导致客户数据或其他知识产权丢失、停机时间增加以及其他业务中断。即使系统遭受攻击或出现问题，对灾难恢复的优先级划分也能使组织保持正常运转。
• 监管合规：组织需要遵守国家和地区的各种法规。妥善维护的 IT 治理战略可帮助组织了解这些法规并监控各项行动和活动，以便在对 IT 策略做出任何变动时都能确保合规性。

生成式 AI 对现代企业的各个方面（包括 IT）都产生了重大影响。在 AI 时代，组织可能需要重新思考其 IT 治理策略，尤其是当他们正在考虑使用 ChatGPT 等第三方工具时。如今构建的生成式 AI 提出了若干难题，涉及合理使用、数据隐私和对结果正确性的信心。

接受并采用生成式 AI 的组织可能需要审核现有的 IT 治理策略，确定是否需要制定使用该技术的新规则。此外，生成式 AI 还可作为制定 IT 治理策略的重要工具，例如提出关键内容的建议或提出 IT 治理团队可能面临的问题。