【专家视点】IT自主掌控能力评估标准

近年来随着随着国家信息化战略从“两化融合”到“互联网+”的逐步演进，网络安全问题逐渐凸现出来，中培伟业《信息安全技术与信息安全管理体系(ISO27001认证)》培训专家袁老师指出，“没有网络安全就没有国家安全”。然而我国在信息化的关键核心技术方面不能自主，信息安全得不到有效保障。

数据显示，我国操作系统的自主化率仅为2.75%，数据库的自主化率为4.96%，服务器自主化率约13%，而网络存储设备的自主化率仅为16%，统计表明我国在关键核心技术、信息基础设施、相关软硬件技术严重受制于人。

国家主管部门近期发布了相关政策，以支持企业实现“自主掌控”。

［2012年6月28日 国务院印发了23号文件《关于大力推进信息化发展和切实保障信息安全的若干意见》，将“信息化装备的安全可控水平明显提高”确定为国家信息化和信息安全工作的一项重要目标。

2014年9月 银监会印发《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》，发文明确指出：从2015年起，各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加，直至2019年掌握银行业信息化的核心知识和关键技术，安全可控信息技术在银行业达到不低于75%的总体占比。

银监会、工业和信息化部联合编制了《银行业应用安全可控信息技术推进指南（2014-2015年度）》，该文对银行业信息化所涉及的技术、产品及服务的安全可控给出明确要求，并制定评价标准，强调从应用和研究两大方向细化任务要求，以指导和促进银行业金融机构账务信息化的推进。］

除了响应国家号召外，企业自身也存在着“IT自主掌控”的刚性需求。

国内大部分企业在信息化过程中，本着“急用先上”的原则，大量采用外部专业厂商（特别是国外领先厂商）提供的信息化规划方案及软硬件解决方案来构建自身的信息系统，信息系统的设计、开发及运维等环节严重依赖于外部厂商，虽然当下已经有部分企业逐渐意识到相关问题，逐渐转为采购国内厂商的产品与服务，企业一部分应用系统尽量利用自身力量来开发，但根本上来说，企业本身还不具有信息化自主规划与建设的能力。而信息化不能自主掌控，一方面存在信息安全隐患，容易增加信息泄露及网络攻击的风险；另一方面，由于支持业务发展的IT能力缺乏，企业核心竞争力受到制约。

可仅仅意识到IT自主掌控的重要性还远远不够，何为“IT自主掌控”？如何评价企业“IT自主掌控能力”？又如何去增强“IT自主掌控能力”？这些问题无疑是更重要、更核心的问题所在。

缘此市场需求，中培结合多年行业经验和最佳实践以及中培方法论的严谨推导与大型项目落地实践证明，总结出“IT自主掌控”的五个等级和六大能力模型，现重磅推出与业内人士共享成果。

2 何为“IT自主掌控”？

信息技术“自主掌控”是指组织以自身能力为主导，在全面掌握信息化核心技术的基础上，进行信息化的研发、设计、建设与运维工作，继而实现信息化资产全过程的安全可控。企业自主掌控的内容包括掌控自身的知识产权、产品服务、IT能力和创新发展等内容。

2 “IT自主掌控”级别

企业信息化自主掌控的本质是对信息化资产的“掌控”，以实现信息资产长期的战略支撑价值。信息化自主掌控的级别可以分为“资产使用”、“资产拥有”、“核心掌控”、“全面自主”、“自主创新”五个能力级别。

评估其掌控级别的策略也不仅仅是对信息化成果的拥有权进行评估，而应更加关注信息化资产从规划、设计、开发、部署和应用全过程的控制能力的评估。

 第一级，仅通过商业采购或资本运作手段获取信息化资产的使用权，其在转化为信息化成果（包含专利、软件、硬件、数据、产品、服务等）时受到较大的约束，称之为“资产使用”；

 第二级，通过商业采购或资本运作手段获取信息化成果（包含专利、软件、硬件、数据、产品、服务等），并使其能在较大的程度上转化为企业自身的信息资产的能力，称之为“资产拥有”；

 第三极，通过资源配置和运营手段，整合所拥有的信息资产，并对重要的信息资产的设计方案、核心架构和应用规则等方面能做到有效控制，称之为”核心掌控”；

 第四级，通过完善治理机制与提高管理水平，培养出自己的信息化人才队伍，全面掌握信息化资产的规划、设计、实现、运营过程，并建立全面的过程和成果的评测能力，使其持续创造价值，称之为”全面自主”。

 第五级，在理解和掌控企业所拥有信息资产架构和运营规则的基础上，对信息化的规划、设计、实现以及运行等方面能够进行自主设计、自主开发和自主运营，并通过信息技术来引领业务的发展，满足企业自身的业务需求，称之为“自主创新”。

2 企业如何进行“IT自主掌控”能力的提升？

2 企业要获得自主掌控能力，首先要建立以安全可控、自主创新为导向的制度体系，明确目标、策略与职责分工；其次，加强创新组织建设和人才培养，保障创新资源；再则，要有序推进整体架构自主设计、核心应用自主研发、核心知识自主掌握、关键技术自主应用等重点工作。

1. IT支持业务的能力

包含完善信息科技治理机制、进行业务需求管理，加强知识产权保护与标准规范建设，加强人才队伍建设，培养、引入和留住高端人才等方面内容

2. IT自主设计开发能力

包含完善顶层设计与架构规划能力、加强自主开发能力建设以及积极推动信息技术自主创新等方面的内容

3. 自主运维能力

包含信息系统的服务水平规划、日常运维以及信息系统的高可用管理等方面内容

4. 外包控制能力

包含IT外包管理体系、IT外包风险控制机制以及IT外包管理合作机制的建设

5. 信息安全能力

包含：信息安全管理体系建立、安全可控技术的选择、国产设备和密码算法的选择以及建立信息安全审查和风险评估机制等方面的内容

6. 灾备与业务连续性管理能力

包含：应急计划与灾备能力建设以及业务连续性管理能力建设等内容。

中培伟业作为国内IT培训领域的领导品牌，在信息安全方面有着10年的培训历史，《信息安全技术与信息安全管理体系(ISO27001认证)》就是中培不断优化更新打磨出来的精品课程，本月的《信息安全技术与信息安全管理体系(ISO27001认证)》培训课程将于8月18日—23日在 北京 举行，目前学员的报名工作已经到了最后的冲刺阶段，欢迎广大行业人才抓紧时间，积极报名参加！