专访上海信息化培训中心副主任常威

　　【IT.com.cn上海报道】当今，企业发展已与IT信息化密不可分，关于IT治理与信息安全等相关问题也浮出水面，为了更清楚地了解IT治理与信息安全在国内的现状，以及市场上IT治理与信息安全的相关培训课程的水平内容、培训群体等，IT世界网特别邀请到了上海信息化培训中心副主任常威先生进行了一次专访。作为Future S中国IT管理论坛发起人、IT管理资深咨询专家、中国IT管理教育培训领域的开拓者，常主任在IT领域有着丰富的经验，在采访中他对IT治理与信息安全等相关问题进行了阐述，并多次提到了IT治理COBIT、IT服务管理ITIL、CISA（国际注册信息系统审计师）等认证在企业中IT运作的特点和作用。

国内IT治理现状与企业高层重视程度

IT.com.cn：随着越来越多企业的信息化，IT治理成了当今大型企业中热门的概念。请您为读者介绍一下，与欧美等发达国家相比，国内在IT治理方面的现状如何以及存在的问题？

常主任：对于IT治理的定义不同机构的说法不一，就我的理解，IT治理的机制是如何发掘IT资产的价值，使IT资产发挥最大化的作用，在这中间和IT相关的权力和责任如何分配。另外，拿培训中心来说，关注IT治理从2000年左右开始，而最早的IT治理可以说由美国的安然事件开始引起关注。当然，每个公司都会存在IT治理，只要有IT肯定存在IT治理，只是IT治理水平的高低不同并具有不同的模式。

　　而我国在IT治理还属于初级阶段，责任权利不是很明晰，公司没有明确的说法和机制使IT资产得到有效地利用。在多次峰会中很多CIO也提到了如何向高层申请预算将它变为项目，可以说预算已成了IT治理的解决问题之一。

IT.com.cn：对于刚才提到的IT治理属于初级阶段，是否是由于公司的高层对IT治理的认识不够，他们对IT治理的重视程度又如何？ 

常主任：对于这种情况，可以说是公司的高层没有认识到信息化帮助他的企业实现战略目标，企业高层或业务部门与IT自身对IT的认识不一致。在这方面我个人的建议是，可以参考国外的做法：比如COBIT，这是因为IT相对比较专业，通过COBIT可以直观地看到相关的运营状况报告，让领导比较好地来理解或掌控IT；而ITIL相对较细化，可以让IT人员利用IT工具向高层领导展现IT的价值，这两类国际上的实践经验可以作为企业的一个桥梁，使高层与IT之间进行对话，打通高层领导与IT之间存在的隔阂。

IT.com.cn：像银行、证券公司会更加重视信息安全的控制，相比IT治理的隐性，信息安全更为显性更容易引起各大公司重视。

常主任：在国际上IT治理又细分出小的分支叫信息安全治理，IT治理是强调如何提高IT资产价值及降低损失、成本和风险。降低风险这块是信息安全的控制这一块，信息安全这块的话， COBIT和ITIL通用于各行业，目的都是用来解决问题。