雲端運算的治理與管理

本文我們將介紹使用COBIT 2019框架來對企業的雲端運算進行”目標管理”。

什麼是COBIT?

COBIT（Control Objectives for Information and Related Technology）是一個企業等級的IT管理框架，它提供了IT治理的最佳實踐指南，幫助企業管理其資訊和技術資源，以實現業務目標。

COBIT框架的目的是幫助企業管理其IT資源，以最大程度地實現業務目標，同時確保IT的安全性和適當性。它提供了一套IT管理最佳實踐的指南，以幫助企業創建和維護可靠的IT環境，從而"提高效率"和"降低風險"。

COBIT框架包含5個核心部分：框架介紹、IT治理、執行、評估和更新。這些部分提供了一套完整的IT管理生命週期，從"確定業務目標"到實現這些目標的過程。

COBIT框架的主要目標是確保企業IT系統的"安全性、可靠性和適當性"，並確保其"符合法規和合規性要求"。通過使用COBIT框架，企業可以更好地管理其IT資源，以實現業務目標並提高效率。

COBIT原則

COBIT的原則分為兩類:

1. 描述為企業資訊和技術(雲端運算)治理體系(Governance System)核心需求的原則
2. 可用於為企業構建治理體系的治理框架(Governance Framework)的原則

也就是治理框架(Governance Framework)是High-Level，而治理體系(Governance System)則是執行的細節。

治理體系的六項原則

1. 提供利害關係人價值(Provide Stakeholder Value):
   每個企業都需要一個治理體系來滿足利害關係人的需求並從資訊與技術的使用中產生價值。 "價值反映了效益、風險和資源之間的平衡"，企業需要一個可行的策略和治理體系來實現這一價值。
2. 整體方法(Holistic Approach):
   企業資訊與技術的治理體系由許多不同類型的組件構建而成，這些組件以整體方式協同作業。
3. 動態治理體系(Dynamic Governance System):
   治理體系應該是動態的。 這意味著每次一個或多個治理體系的"設計因素"發生變化（例如，策略或技術的變化）時，必須考量這些變化對 COBIT的EGIT(Enterprise Governance of Information and Technology)體系的影響。 EGIT 的動態視圖將導致建立一個可行且朝向未來的 EGIT 體系。
4. 不同於管理(Management)的治理(Governance):
   治理體系應明確區分"治理與管理"的活動和結構。
5. 貼合企業需求:
   治理體系應該根據企業的需求量身訂制，使用一組設計因素作為參數來訂制符合每個企業自己的治理系體系組件並確定其優先等級。
6. 企業整體治理體系:
   治理體系應涵蓋整個企業，不僅關注 IT 功能，還關注企業為實現其目的而採用的所有資訊與技術，無論是在哪一個企業的流程

治理框架的三項原則

1. 基於概念模型:
   治理框架應基於概念模型，識別主要組件和組件之間的關係，以最大限度地提高一致性並允許自動化。
2. 開放且靈活:
   治理框架應該是開放和靈活的。 它應該允許加入新內容和以最靈活的方式解決新問題的能力，同時保持完整性和一致性。
3. 符合主要標準:
   治理框架應與相關的主要相關標準、框架和法規保持一致

架構體系與其組件的基本概念

COBIT 2019有四個關於其框架的文件，分別是:

1. COBIT 2019 Framework: Introduction and Methodology —
   這是COBIT 2019的一些主要概念
2. COBIT 2019 Framework: Governance and Management Objective —
   這篇指南有5大類40個核心＂治理與管理＂目標與相關過程與組件。這篇指南也參考了其他標準與框架。
3. COBIT 2019 Design Guide: Designing an Information and Technology Governance Solution —
   該指南是探討可以影響治理的＂設計因素(Design factors)＂，並包括用於為企業規劃量身訂制的治理體系的工作流程(workflow)。
4. COBIT 2019 Implementation Guide: Implementing and Optimizing an Information and Technology Governance Solution —
   本指南是COBIT 5 Implementation Guide的昇級版，並發展了持續治理改進(continuous governance improvement)的路線圖。 它可以與 COBIT 2019 Design Guide結合使用。

下圖總結上述所提到的四個文件可以涵蓋到企業的各個面向的高階呈現。

取自ISACA官網

治理與管理目標(Governance and Management Objective)

為了使雲端運算有助於實現企業的目的，許多治理和管理目標需要被實現。 與治理和管理目標相關的基本概念是：

• 治理或管理目標永遠會有一個流程和一系列其他類型的相關組件相連，以幫助實現目標。
• 治理目標與治理流程相關（如下圖中的深藍色部分），而管理目標與管理流程相關（如下圖中的淺藍色部分）。 董事會和高階管理層通常對治理流程負責，而管理流程是資深和中層管理人員的範圍。

COBIT 中的治理和管理目標分為五種類別。 這些類別的名稱帶有表達其中包含的目標的主要目的和活動範圍：

治理目標(Governance Objective)

治理目標位在評估、指導和監控 (EDM — Evaluate, Direct and Monitor) 類別中。 在這個類別中，治理單位(通常是董事會)評估策略選項，指導資深/中階管理層選擇策略並監督策略的實現。例如，治理單位可能在雲端運算評估使用多雲策略來建立其該企業的資訊與技術。

管理目標(Management Objective)

管理分為四個類別：

• Align, Plan and Organize(APO) — 解決資訊與技術的整體組織、策略和支援性活動
• Build, Acquire and Implement(BAI) — 處理各種資訊與技術解決方案的定義、取得和實施及其在業務流程中的整合
• Deliver, Service and Support — 解決資訊與技術的維運交付和支援，包括安全性
• Monitor, Evaluate and Assess(MEA) —處理績效監控和"資訊與技術"與企業內部績效目標、內部控制目標和企業外部要求的一致性

取自ISACA官網

EDM01 — 確認治理框架的設定與維護
提供一致的方法，與企業治理方法整合並保持一致。 與資訊與技術相關的決策必須符合企業的策略和目標，並實現期望的價值。 為此，確保資訊與技術相關流程得到有效和透明的監督； 確認符合法律、合約和監管要求； 董事會成員的治理要求得到滿足。例如，雲端運算的使用在企業所處的產業中有沒有特別的監管要求?

ED02 — 確保效益的交付
從與資訊與技術相關的計劃、服務和資產中獲得最佳價值； 具有成本效益的解決方案和服務交付； 以及對成本和可能效益的"可靠和準確"的描述，以便具有"效能與效率"地支持業務需求。例如，雲端的成本效益是不是超過原來地端的TCO。

EDM03 — 確保風險優化
確保與資訊與技術相關的企業風險不超過企業的風險偏好和風險承受能力，識別和管理資訊與技術風險對企業價值的影響，並將合規失敗的可能性降至最低。例如，雲端的使用在企業的產品/服務上是否比原來的地端機房上使用更有較低的風險。

EDM04 — 確保資源優化
確保以最佳方式來滿足企業的資源需求，優化資訊與技術成本，提高實現效益和為未來變革做好準備的可能性。例如，雲端的資源使用一般比地端機房來得更為優化，企業使用雲端是否達到比在地端機房更佳的資源優化。

EDM05 — 確保利害關係人的參與
確保利害關係人支持資訊與技術戰略和路線圖，與利害關係人的溝通有效及時，並建立回報基礎以提高績效。 確定需要改進的領域，並確認資訊與技術相關的目標和策略有符合企業的策略。雲端運算的使用對企業的業務流程會有很大的變革，企業是否已經將所有相關的利害關係人加入這一類的變革活動。

APO01 — 受管理的資訊與技術管理框架
為滿足企業治理要求實施一致的管理方法，涵蓋管理流程等治理要素； 組織結構； 角色和職責； 可靠和可重複的活動； 資訊； 政策和程序; 技能和能力； 文化和行為； 和服務、基礎設施和應用程式。雲端運算的使用與傳統的IT不同，企業是否準備好一個符合雲端特性的管理框架。

APO02 — 受管理的策略
支持組織的數位轉型策略，並通過漸進式變革的路線圖提供所需的價值。 使用整體資訊與技術方法，確保每項舉措都與總體策略明確相關。 在組織的所有不同方面實現變革，從途徑和流程到資料、文化、技能、運營模式和激勵措施。

APO03 — 受管理的企業架構
代表構成企業及其相互關係的不同建構區塊(Building Block)，與指導其設計和隨時間演變的原則，以實現運營和策略目標的標準、回應和高效的交付。更多的企業架構資訊可參閱本部落格TOGAF相關文章。

APO04 — 受管理的創新
通過利用資訊與技術(雲端運算)發展和技術，獲得競爭優勢、業務創新、改善客戶體驗以及提高運營效能和效率。

APO05 — 受管理的組合
優化整個資訊與技術方案組合的績效，以回應單一方案、產品和服務效能以及不斷變化的企業優先等級和需求。

APO06 — 受管理的預算與成本
促進資訊與技術(雲端運算)和企業利害關係人之間的伙伴關係，以具"效能和效率"使用雲端相關資源，並提供解決方案和服務的成本和商業價值的透明度和問責制。 使企業能夠就雲端解決方案和服務的使用做出明智的決策。

APO07 — 受管理的人力資源
優化人力資源能力以滿足企業目標。同時也要根據路線圖對人員的心態與技能做出改變。

APO08 — 受管理的關係
運用正確的知識、技能和行為，以創造更好的成果、增強信心、相互信任和有效利用資源，從而促進與業務利害關係人的富有成效的關係。

APO09 — 受管理的服務協議
確保雲端的產品、服務和服務水準滿足當前和未來的企業需求。

APO10 — 受管理的供應商
優化可用的資訊與技術能力以支持雲端策略和路線圖，最大限度地降低不合規(或不良)供應商相關的風險，並確保有競爭力的定價。

APO11 — 受管理的質量
確保技術解決方案和服務的一致交付，以滿足企業的質量要求和利害關係人的需求。

APO12 — 受管理的風險
將與資訊與技術(雲端運算)相關的企業風險管理與整體企業風險管理（ERM）相結合，平衡與資訊與技術相關企業風險管理的成本和收益。

APO13 — 受管理的安全
將資安事故的"衝擊和發生"控制在企業的風險偏好範圍內。

APO14 — 受管理的資料
確保有效利用關鍵資料資產以實現企業目標。

BAI01 — 管受管理的問題
實現所需的業務價值並降低"預期外的延期、成本和價值侵蝕的風險"。 為此，改善與業務和終端使用者的溝通和參與，確保方案可交付成果的價值和質量以及方案內專案的跟進，並最大限度地提高方案對投資組合的貢獻。

BAI02 —受管理的需求定義
建立滿足企業需求的最佳解決方案，同時最大限度地降低風險。

BAI03 — 受管理的解決方案識別和構建
確保數位產品和服務的敏捷和可擴展交付。 建立能夠支持企業策略和運營目標的”即時且具有成本效益”的解決方案（技術、業務流程和工作流程）。

BAI04— 受管理的可用性與能力
通過預測未來的效能和容量需求，維護服務可用性、資源的有效管理和系統效能的優化。

BAI05 — 受管理的組織變革
為業務變革準備並承諾利害關係人，並降低失敗風險。

BAI06 — 受管理的IT變更
快速和可靠的向業務交付變更。 減輕對已更改環境的穩定性或完整性產生負面影響的風險。

BAI07 — 受管理的IT變更的認可與過渡
根據協議後的期望和成果安全地實施解決方案。

BAI08 — 受管理的知識
提供支持所有員工進行企業資訊與技術治理和管理所需的知識和管理資訊，並允許做出明智的決策。

BAI09 — 受管理的資產
解釋所有資訊與技術資產並優化其使用所提供的價值

BAI10 — 受管理的配置
提供有關服務資產的充分資訊，以便有效地管理服務。 評估變更的影響並處理服務事故。

BAI11 — 受管理的專案
通過改善與業務和終端用戶的溝通和參與，實現定義的專案成果並降低意外延期、成本和價值侵蝕的風險。 確保專案可交付成果的價值和質量，並最大限度地提高它們對既定方案和投資組合的貢獻。

DSS01 — 受管理的營運
按計劃交付資訊與技術(雲端)運營的產品和服務成果。

DSS02— 受管理的服務請求與事故
通過快速解決使用者查詢和事故，提高工作效率並最大限度地減少中斷。 評估變更的影響並處理服務事故。 解決使用者請求並恢復服務以回應事故。

DSS03 — 受管理的問題
通過減少運營問題的數量來提高可用性、提高服務水準、降低成本、提高使用者便利性和滿意度，並將識別根本原因(Root causes)作為問題解決方案的一部分。

DSS04 — 受管理的持續性
在發生重大中斷（例如，威脅、機會、需求）時，快速回應、持續業務運營並將資源和資訊的可用性維持在企業可接受的水準。

DSS05 — 受管理的安全服務
最大限度地減少運營資訊安全漏洞和事故對業務的影響。

DSS06 — 受管理的業務流程控制
維護在企業或其外包業務的業務流程中處理的資訊資產的完整性和安全性。

MEA01 — 受管理的績效與一致性的監控
提供績效和一致性的透明度，並推動目標的實現。

MEA02 — 受管理的內部控制體系
讓主要利害關係人了解內部控制系統的足夠性，從而提供對運營的信任、對實現企業目標的信心以及對剩餘風險的充分了解。

MEA03 — 受管理的外部合規需求
確保企業符合所有適用的外部要求。

MEA04 — 受管理的保證性
使用基於廣為接受的保證方法的路線圖，使組織能夠設計和開發具效能與效率的保證舉措，為保證審查的規劃、範圍界定、執行和跟進提供指導。

治理體系的組件

為了滿足企業雲端運算的治理和管理目標，每個企業都需要建立、訂制和維持一個由多個組件構建的治理體系。

• 組件是單獨也是共同促進企業資訊與技術治理體系良好運作的因素
• 各個組件相互作用，形成一個整體的資訊與技術治理體系。
• 組件可以是不同的類型。 最多的是流程。 然而，治理體系的組成部分還包括組織結構； 政策和程序；資訊項目； 企業文化和行為；技能和能力； 還有服務、基礎設施和應用程式(如下圖所示)。

組件的類型

• 流程(Processes)描述了一組有組織的實踐和活動，以實現某些目標並產生一組支持實現總體 IT 相關目標的產出。例如源自雲端運算的DevOps(or DevSecOps)就是許多的流程，這些DevOps的流程最後的產出是甚麼？是否支持了企業總體IT相關目標。
• 組織結構(Organizational structure)是企業的關鍵決策主體。根據雲端運算的特性，企業的組織結構是否需要要改變？
• 原則、政策和框架(Principle, Policies and Framework)將應有的行為轉化為日常管理的實用性指南。哪麼針對雲端運算，企業該有的原則、政策與框架該是甚麼？原則與政策則是每家企業都各自獨有的。
• 資訊(Information)是遍及任何組織，包括企業生產和使用的所有資訊。 COBIT 著重於企業治理體系有效運作所需的資訊，也是雲端運算有效運作的關鍵。
• 作為治理和管理活動成功的因素，個人和企業的文化、道德和行為(Culture, ethic and behavior)經常被低估。由於雲端運算需要一個高度互相信任的組織體系，原來傳統的Command & Control的文化是否需要改變？以期能對雲端運算產生一個高效且良好的治理。
• 良好的決策、糾正措施的執行和成功需要人員、技能和能力(People, Skill and competencies)完成所有活動。雲端運算在人員、技能和能力與傳統的IT完全不同，企業需要思考這一方面的人員現有的技能與能力。
• 服務、基礎設施和應用程式(Services, infrastructure and applications)包括為企業提供資訊與技術流程治理體系的基礎設施、技術和應用程序。

所有類型的組件都可以是通用的，也可以是通用組件的變體：

• 通用組件在 COBIT core model中都有描述到，原則上適用於任何情況。 然而，它們本質上是通用的，在實際實行之前通常需要客制。
• 變體基於通用組件，但針對特定目的或重點領域內的背景脈絡進行訂製（例如，用於雲端、資安、特定法規）。

聚焦區域

一個聚焦區域描述了一個特定的治理主題、領域或問題，這些主題、領域或問題可以通過一系列治理和管理目標及其組成部分來解決。 重點領域的例子包括：網路安全、數位轉型、雲端運算、隱私和 DevOps。 聚焦區域可能包含通用治理組件和變體的組合。

設計因素

設計因素是指可以影響企業治理體系設計並使其在成功使用雲端運算中定位的因素。設計因素包括以下圖中各項因素的任何一種組合。

取自ISACA官網

1.企業策略(Enterprise Strategy) —
企業可以有不同的策略，可以呈現為下表中的一種或多種原型。 組織通常有一個主要策略，至多有一個次要策略。初期使用雲端運算的企業通常都是需要成本優勢，能活用雲端的企業的策略通常是創新/差異化。

2. 企業目的(Enterprise Goals)支援企業策略—
企業策略是透過（一組）企業目的的實現來達成的。 這些目的在 COBIT 框架中定義，按照平衡計分卡 (BSC) 維度構建，並包括下表中呈現的元素。

3.風險概況(Risk profile) —
企業的風險概況和"資訊與技術"相關的現行問題 — — 風險概況確定了企業當前面臨的資訊與技術(雲端運算)相關風險的種類，並指出哪些風險領域超出了風險承受能力。 下表中列出的風險類別讓企業在使用雲端運算時需要進行考量。

4. 資訊與技術(雲端)的相關議題 —
企業創新與科技風險評估的一個相關方法是考量其"目前面臨"哪些由雲端運算帶起的創新與科技相關的問題，或者換句話說，與雲端運算相關的創新與科技相關的風險已經成為現實。 最常見的此類“議題”如下圖表列。

5.威脅態勢(Threat landscape) —
企業運營所處的威脅態勢可以分類如下表所示。

6.合規要求(Compliance requirements) —
企業所要遵守的合規要求可以按照下表中的類別進行分類。

7. IT的角色 —
IT 對企業的作用可以分類以下類別。資訊與技術使用得當的企業可以到達轉機性質或策略性質。

8.IT的採購模式 —
企業運用的採購模式可以分類如下表。

9.IT運作方式 —
企業採用的方式可以分類如下表。

10.技術採用策略 —
技術採用策略可以分類如下表。

11.企業的大小 —
如下表，企業治理體系的設計有兩種類別。

目標串聯(Goals Cascade)

所謂目標串聯的是企業將高層次的目標分解為更具體、可行的目標，逐級下達給各部門、團隊或個人，以確保所有人都在同一個方向上工作，最終實現組織整體的目標。

利害關係人的需求必須轉化為企業的可行策略。 目標串聯(如下圖)支持企業目標，這是治理系統的關鍵設計因素之一。 支持基於企業目標優先等級的管理目標優先等級排序。

目標串聯進一步支援將企業目標轉化為對齊目標的優先等級。

• 企業目標已經被整合、減少、更新和澄清。
• 對齊目標強調所有 IT 作業與業務目標的對齊。 這個更新後的術語還試圖避免經常出現的誤解，即這些目標呈現了企業內 IT 部門的純粹內部目標。 與企業目標一樣，調整目標已在必要時進行了整合、減少、更新和澄清。

企業目標

利害關係人需要串聯到企業目標。 下表顯示了一組 13 個企業目標以及一些範例指標。

對齊目標(Alignment Goals)

企業目標串聯到對齊目標。 下表包含一組對齊目標和範例指標。