首席信息官（CIO）角色不再是一個(gè)簡(jiǎn)單的IT管理人員，現(xiàn)在負(fù)責(zé)對(duì)所有與企業(yè)相關(guān)的信息進(jìn)行可持續(xù)管理。因此，CIO必須提供處理信息的方法，保證相關(guān)服務(wù)的連續(xù)性，確保信息的安全，遵守適用的法律法規(guī)，并監(jiān)督所有這些活動(dòng)，確保這些活動(dòng)與企業(yè)目標(biāo)相一致。實(shí)際上，CIO角色已經(jīng)發(fā)生了變化。CIO現(xiàn)在是負(fù)責(zé)公平處理所有業(yè)務(wù)相關(guān)信息的主要人員，而不僅僅是負(fù)責(zé)控制技術(shù)成本的人員。

如果CIO角色僅限于遵守技術(shù)目標(biāo)和成本控制，那么有些業(yè)務(wù)期望將得不到適當(dāng)或充分的滿足。治理、風(fēng)險(xiǎn)和合規(guī)(GRC)實(shí)踐要求CIO具備將信息處理技術(shù)與該信息對(duì)企業(yè)的價(jià)值聯(lián)系起來的技能。主動(dòng)并集成到內(nèi)部流程中的治理角色允許通過有效且高效地將組織需求與業(yè)務(wù)的運(yùn)營(yíng)方面聯(lián)系起來，從而為企業(yè)創(chuàng)造價(jià)值。只關(guān)注經(jīng)濟(jì)節(jié)約或技術(shù)目標(biāo)的CIO不具備正確解釋業(yè)務(wù)需求演變所需的技能。

在公司治理中，經(jīng)典的組織結(jié)構(gòu)認(rèn)為CIO是面向信息技術(shù)治理的高級(jí)管理職位，具有分析成本和收益的能力，并有權(quán)處置運(yùn)營(yíng)資源。然而，CIO也有直接與其他高級(jí)管理人員互動(dòng)的特權(quán)，并積極參與治理組織風(fēng)險(xiǎn)的更廣泛過程。這無(wú)疑是一個(gè)優(yōu)勢(shì)，因?yàn)檫@些責(zé)權(quán)允許CIO在完全符合企業(yè)目標(biāo)的情況下，以對(duì)信息的價(jià)值和作用完美理解的方式管理信息和技術(shù)(I&T)。

為了給這個(gè)角色增加新的和公認(rèn)的價(jià)值，CIO必須從簡(jiǎn)單的業(yè)務(wù)戰(zhàn)略觀察者轉(zhuǎn)變?yōu)橐庾R(shí)到他們的決策對(duì)整個(gè)組織績(jī)效的影響。CIO必須在運(yùn)營(yíng)過程的技術(shù)知識(shí)與組織技能之間取得平衡，從而能夠理解和維護(hù)企業(yè)資產(chǎn)的價(jià)值。CIO必須能夠保證通過確保對(duì)信息的適當(dāng)處理，從而保持信息價(jià)值，保證信息的可用性符合業(yè)務(wù)需要，并保證信息的持續(xù)保護(hù)的能力。

保證對(duì)信息的適當(dāng)處理

CIO必須能夠在提供足夠的技術(shù)基礎(chǔ)設(shè)施、應(yīng)用程序和服務(wù)以及提出和提供合適的解決方案以支持企業(yè)目標(biāo)方面滿足業(yè)務(wù)期望。IT職能必須基于業(yè)務(wù)流程的整體視圖，包括設(shè)計(jì)、發(fā)布和管理運(yùn)營(yíng)流程；以可接受的成本分配必要的資源；以及監(jiān)測(cè)運(yùn)營(yíng)。以業(yè)務(wù)目標(biāo)為指導(dǎo)，首先有必要了解企業(yè)的信息處理需求，即制定適當(dāng)實(shí)施、交付和控制所需服務(wù)的關(guān)鍵需求。

對(duì)于CIO，要提出并確保交付符合業(yè)務(wù)目標(biāo)的技術(shù)解決方案，就必須充分了解規(guī)劃和控制方法、可用技術(shù)、運(yùn)營(yíng)流程管理以及市場(chǎng)提供的服務(wù)。這些知識(shí)不一定是專家級(jí)別的，但必須足以讓CIO考慮并有意識(shí)地決定適當(dāng)?shù)慕鉀Q方案。CIO必須能夠掌握為企業(yè)創(chuàng)造價(jià)值的元素，并識(shí)別那些導(dǎo)致不可接受的風(fēng)險(xiǎn)場(chǎng)景的元素。CIO應(yīng)該在規(guī)劃和運(yùn)營(yíng)事務(wù)方面得到技術(shù)管理者的支持。

保證信息的可用性

必須根據(jù)企業(yè)定義的服務(wù)要求提供信息，例如需要信息的時(shí)間和持續(xù)時(shí)間，以符合通過持續(xù)監(jiān)測(cè)預(yù)先確定的質(zhì)量水平。業(yè)務(wù)需求決不能僅僅是強(qiáng)加給信息技術(shù)服務(wù)的，而應(yīng)該是業(yè)務(wù)流程、內(nèi)部控制和技術(shù)服務(wù)相結(jié)合的結(jié)果。

作為創(chuàng)造價(jià)值的行動(dòng)推動(dòng)者，CIO需要參與風(fēng)險(xiǎn)分析評(píng)估決策，例如全面評(píng)估技術(shù)變革的關(guān)鍵需求和投入適當(dāng)?shù)馁Y源。

信息可用性的一個(gè)有趣的方面是流程外包。外包信息技術(shù)服務(wù)的管理有時(shí)被認(rèn)為是一種簡(jiǎn)單的節(jié)省開支的手段；然而，這種模式需要扭轉(zhuǎn)。在做出任何外包決定之前，必須通過風(fēng)險(xiǎn)分析評(píng)估違反數(shù)據(jù)保密性、完整性或可用性的后果。在這方面，CIO應(yīng)該得到專門滿足業(yè)務(wù)流程需求的特定IT經(jīng)理和其他運(yùn)營(yíng)專家的支持。

保證對(duì)信息的持續(xù)保護(hù)

對(duì)信息的訪問必須以符合相應(yīng)數(shù)據(jù)安全分類的方式控制。信息保護(hù)在很大程度上是IT部門的職責(zé)，盡管IT部門可能并不擁有數(shù)據(jù)。在這種情況下，根據(jù)其組織地位，CIO應(yīng)掌握與信息價(jià)值相關(guān)的必要知識(shí)，并應(yīng)采取行動(dòng)評(píng)估安全戰(zhàn)略的有效性，驗(yàn)證運(yùn)營(yíng)計(jì)劃并促進(jìn)改進(jìn)。

這種對(duì)CIO角色的看法包含了首席信息安全官（CISO）的一些典型特征，CIO在組織中的地位證明了這一點(diǎn)。CIO負(fù)責(zé)實(shí)現(xiàn)I&T流程目標(biāo)，有權(quán)分配必要的資源，并且是最高管理層的成員。該職位集中了所有決策和驗(yàn)證流程，提供了最佳的整體業(yè)務(wù)愿景，并確保該人員有機(jī)會(huì)理解和應(yīng)對(duì)問題。相比之下，CISO只是垂直地關(guān)注安全問題，不像CIO那樣有大局觀。CIO必須不斷平衡I&T目標(biāo)與組織、運(yùn)營(yíng)和控制問題，這使CIO能夠以更大的批判性意識(shí)面對(duì)風(fēng)險(xiǎn)場(chǎng)景。CIO應(yīng)在運(yùn)營(yíng)事務(wù)上得到CISO的支持。

與業(yè)務(wù)目標(biāo)保持一致

應(yīng)定期評(píng)估構(gòu)成I&T流程的活動(dòng)，確保其與業(yè)務(wù)目標(biāo)一致。為了從全球業(yè)務(wù)角度驗(yàn)證I&T流程管理的結(jié)果，需要掌握GRC相關(guān)技能。CIO必須處理的問題各不相同，但I(xiàn)&T治理是必要的。信息代表著需要保護(hù)的價(jià)值，而技術(shù)則是保護(hù)價(jià)值的手段。

風(fēng)險(xiǎn)

為了管理與信息相關(guān)的風(fēng)險(xiǎn)，必須讓那些對(duì)基礎(chǔ)設(shè)施、系統(tǒng)、服務(wù)和信息技術(shù)負(fù)有整體責(zé)任的人員而不僅僅是安全人員積極參與。CIO的角色應(yīng)允許了解所處理信息的價(jià)值、管理信息的技術(shù)的關(guān)鍵性質(zhì)以及所做決策的后果。通過這種方式，I&T流程的管理將以基于風(fēng)險(xiǎn)意識(shí)的系統(tǒng)方法為指導(dǎo)。

技術(shù)

CIO不執(zhí)行任何與I&T流程相關(guān)的運(yùn)營(yíng)任務(wù)，但僅在管理和控制層面發(fā)揮作用。即便如此，他們必須保持和更新技術(shù)技能，以便能夠以一種可理解的方式評(píng)價(jià)和解釋對(duì)最高管理層的相對(duì)優(yōu)勢(shì)和劣勢(shì)，從而指導(dǎo)決策過程。專業(yè)知識(shí)可以委托給企業(yè)中的運(yùn)營(yíng)角色。

連續(xù)性

對(duì)業(yè)務(wù)至關(guān)重要的流程必須滿足企業(yè)設(shè)置的運(yùn)營(yíng)參數(shù)。因此，必須根據(jù)場(chǎng)景的具體性、控制設(shè)計(jì)的一致性和分配資源的充分性驗(yàn)證連續(xù)性計(jì)劃、業(yè)務(wù)影響分析（BIA）和事件管理程序。CIO應(yīng)發(fā)揮監(jiān)督作用，改進(jìn)連續(xù)性流程，使其更有彈性，即所有行動(dòng)都是根據(jù)業(yè)務(wù)目標(biāo)規(guī)劃和執(zhí)行的，不會(huì)扭曲預(yù)算。

安全

保護(hù)機(jī)密信息的使用和訪問不是CIO的直接責(zé)任。然而，基于對(duì)此類信息關(guān)鍵性的了解，CIO可以充當(dāng)監(jiān)督者，并提供糾正現(xiàn)有措施和尋找資源所需的適當(dāng)關(guān)注。首席信息官還可以作為職責(zé)分離（SoD）和用戶重新驗(yàn)證流程的推動(dòng)者。

隱私

企業(yè)對(duì)個(gè)人數(shù)據(jù)的處理在很大程度上屬于信息安全范疇，即使這些責(zé)任分配給了其他人。雖然這個(gè)主題與CIO沒有直接關(guān)系，但CIO應(yīng)該對(duì)關(guān)鍵流程和法律合規(guī)要求有廣泛的了解。因此，在法律允許的情況下，CIO有很大的潛力擔(dān)任數(shù)據(jù)保護(hù)官或類似崗位。從這個(gè)意義上說，由于CIO不是數(shù)據(jù)所有者，但對(duì)數(shù)據(jù)處理過程有一個(gè)完整的視圖，因此可以有效地支持?jǐn)?shù)據(jù)控制者的保護(hù)和意識(shí)行動(dòng)，并實(shí)施必要的控制措施，使該過程符合法律要求。

合規(guī)

內(nèi)部審計(jì)職能部門通常負(fù)責(zé)驗(yàn)證對(duì)內(nèi)外部規(guī)則的合規(guī)性。盡管CIO沒有直接參與驗(yàn)證過程，但仍有責(zé)任確保所有IT行動(dòng)都按照運(yùn)營(yíng)計(jì)劃實(shí)施，并定期實(shí)施控制。CIO應(yīng)參與風(fēng)險(xiǎn)處理計(jì)劃和審計(jì)補(bǔ)救計(jì)劃的起草。盡管這兩個(gè)計(jì)劃有不同的起源，但都旨在改進(jìn)業(yè)務(wù)流程，也包括IT領(lǐng)域。

評(píng)估CIO的績(jī)效

CIO的績(jī)效評(píng)估應(yīng)基于以下四個(gè)主要目標(biāo)：

1. 安全性——該評(píng)估考慮了導(dǎo)致信息泄露的事件的數(shù)量和嚴(yán)重程度，以及審計(jì)結(jié)果和所有與安全性相關(guān)的報(bào)告。

2. 連續(xù)性——該指標(biāo)考慮了事件、未遂事件和發(fā)現(xiàn)的異常情況的數(shù)量。嚴(yán)重性用作歸一化均值的權(quán)重。

3. 質(zhì)量——這是一種滿足預(yù)定需求的能力，符合所要求的服務(wù)級(jí)別，包括發(fā)布和補(bǔ)救時(shí)間表。這個(gè)值是與各自目標(biāo)值相比，達(dá)到的滿意程度的平均百分比、發(fā)現(xiàn)的異常數(shù)量、累積的延遲和使用的額外預(yù)算。

4. 效率——這是指僅用預(yù)算資源提供所需服務(wù)的能力，可能會(huì)將經(jīng)濟(jì)成分限制在最小值。這種評(píng)價(jià)考慮到預(yù)算中分配的資源的價(jià)值和最后結(jié)余中的實(shí)際承付額。

評(píng)估計(jì)劃活動(dòng)和項(xiàng)目的結(jié)果需要通過衡量標(biāo)準(zhǔn)比較四個(gè)目標(biāo)中每一個(gè)個(gè)的成熟度。例如，圖1描述了每個(gè)目標(biāo)在0到1的范圍內(nèi)實(shí)現(xiàn)的成熟度水平。這顯然突出了沒有實(shí)現(xiàn)目標(biāo)的情況。

圖片

以這種方式評(píng)估CIO可以確保在技術(shù)知識(shí)和治理能力之間，以及在提供戰(zhàn)略指導(dǎo)和驗(yàn)證監(jiān)管合規(guī)之間取得平衡。如果CIO只關(guān)注技術(shù)問題或降低成本，就幾乎沒有什么價(jià)值。業(yè)務(wù)的整體遠(yuǎn)景是理解組織目標(biāo)的所有重要方面和對(duì)潛在后果做出明智決策的基礎(chǔ)。

結(jié)論

為了使I&T管理更加有效，必須擴(kuò)大CIO的作用，這意味著在GRC領(lǐng)域獲得更多的技能和責(zé)任，并從業(yè)務(wù)角度適當(dāng)?shù)仃P(guān)注控制而不是純粹基于技術(shù)績(jī)效。CIO必須是一個(gè)C級(jí)職位，即制定總體目標(biāo)并擁有為實(shí)現(xiàn)這些目標(biāo)而分配必要資源的權(quán)力的管理層。

CIO的職責(zé)是提供實(shí)施指南并評(píng)估結(jié)果的實(shí)現(xiàn)情況，確保根據(jù)實(shí)際業(yè)務(wù)需求處理信息，確保信息以所需的方式和時(shí)間可用，并保護(hù)信息不被未經(jīng)授權(quán)的使用或訪問。為了實(shí)現(xiàn)這一點(diǎn)，CIO必須具備必要的技能理解業(yè)務(wù)請(qǐng)求，并將這些需求與可用的技術(shù)聯(lián)系起來，以正確的角色和職責(zé)組織活動(dòng)，監(jiān)督控制的執(zhí)行，并評(píng)估I&T流程的當(dāng)前狀態(tài)。

CIO的角色已不再那么注重技術(shù)和財(cái)務(wù)，而是更加注重GRC了。這需要具備組織過程中的橫向能力，包括風(fēng)險(xiǎn)分析、合規(guī)評(píng)估和溝通技能。與此同時(shí)，CISO的角色也被部分重新定義以避免重疊，例如與安全相關(guān)的更大的技術(shù)和方法垂直化，CISO直接向CIO報(bào)告。