首席信息官（CIO）角色不再是一個簡單的IT管理人員，現(xiàn)在負(fù)責(zé)對所有與企業(yè)相關(guān)的信息進(jìn)行可持續(xù)管理。因此，CIO必須提供處理信息的方法，保證相關(guān)服務(wù)的連續(xù)性，確保信息的安全，遵守適用的法律法規(guī)，并監(jiān)督所有這些活動，確保這些活動與企業(yè)目標(biāo)相一致。實際上，CIO角色已經(jīng)發(fā)生了變化。CIO現(xiàn)在是負(fù)責(zé)公平處理所有業(yè)務(wù)相關(guān)信息的主要人員，而不僅僅是負(fù)責(zé)控制技術(shù)成本的人員。

如果CIO角色僅限于遵守技術(shù)目標(biāo)和成本控制，那么有些業(yè)務(wù)期望將得不到適當(dāng)或充分的滿足。治理、風(fēng)險和合規(guī)(GRC)實踐要求CIO具備將信息處理技術(shù)與該信息對企業(yè)的價值聯(lián)系起來的技能。主動并集成到內(nèi)部流程中的治理角色允許通過有效且高效地將組織需求與業(yè)務(wù)的運營方面聯(lián)系起來，從而為企業(yè)創(chuàng)造價值。只關(guān)注經(jīng)濟節(jié)約或技術(shù)目標(biāo)的CIO不具備正確解釋業(yè)務(wù)需求演變所需的技能。

在公司治理中，經(jīng)典的組織結(jié)構(gòu)認(rèn)為CIO是面向信息技術(shù)治理的高級管理職位，具有分析成本和收益的能力，并有權(quán)處置運營資源。然而，CIO也有直接與其他高級管理人員互動的特權(quán)，并積極參與治理組織風(fēng)險的更廣泛過程。這無疑是一個優(yōu)勢，因為這些責(zé)權(quán)允許CIO在完全符合企業(yè)目標(biāo)的情況下，以對信息的價值和作用完美理解的方式管理信息和技術(shù)(I&T)。

為了給這個角色增加新的和公認(rèn)的價值，CIO必須從簡單的業(yè)務(wù)戰(zhàn)略觀察者轉(zhuǎn)變?yōu)橐庾R到他們的決策對整個組織績效的影響。CIO必須在運營過程的技術(shù)知識與組織技能之間取得平衡，從而能夠理解和維護企業(yè)資產(chǎn)的價值。CIO必須能夠保證通過確保對信息的適當(dāng)處理，從而保持信息價值，保證信息的可用性符合業(yè)務(wù)需要，并保證信息的持續(xù)保護的能力。

保證對信息的適當(dāng)處理

CIO必須能夠在提供足夠的技術(shù)基礎(chǔ)設(shè)施、應(yīng)用程序和服務(wù)以及提出和提供合適的解決方案以支持企業(yè)目標(biāo)方面滿足業(yè)務(wù)期望。IT職能必須基于業(yè)務(wù)流程的整體視圖，包括設(shè)計、發(fā)布和管理運營流程；以可接受的成本分配必要的資源；以及監(jiān)測運營。以業(yè)務(wù)目標(biāo)為指導(dǎo)，首先有必要了解企業(yè)的信息處理需求，即制定適當(dāng)實施、交付和控制所需服務(wù)的關(guān)鍵需求。

對于CIO，要提出并確保交付符合業(yè)務(wù)目標(biāo)的技術(shù)解決方案，就必須充分了解規(guī)劃和控制方法、可用技術(shù)、運營流程管理以及市場提供的服務(wù)。這些知識不一定是專家級別的，但必須足以讓CIO考慮并有意識地決定適當(dāng)?shù)慕鉀Q方案。CIO必須能夠掌握為企業(yè)創(chuàng)造價值的元素，并識別那些導(dǎo)致不可接受的風(fēng)險場景的元素。CIO應(yīng)該在規(guī)劃和運營事務(wù)方面得到技術(shù)管理者的支持。

保證信息的可用性

必須根據(jù)企業(yè)定義的服務(wù)要求提供信息，例如需要信息的時間和持續(xù)時間，以符合通過持續(xù)監(jiān)測預(yù)先確定的質(zhì)量水平。業(yè)務(wù)需求決不能僅僅是強加給信息技術(shù)服務(wù)的，而應(yīng)該是業(yè)務(wù)流程、內(nèi)部控制和技術(shù)服務(wù)相結(jié)合的結(jié)果。

作為創(chuàng)造價值的行動推動者，CIO需要參與風(fēng)險分析評估決策，例如全面評估技術(shù)變革的關(guān)鍵需求和投入適當(dāng)?shù)馁Y源。

信息可用性的一個有趣的方面是流程外包。外包信息技術(shù)服務(wù)的管理有時被認(rèn)為是一種簡單的節(jié)省開支的手段；然而，這種模式需要扭轉(zhuǎn)。在做出任何外包決定之前，必須通過風(fēng)險分析評估違反數(shù)據(jù)保密性、完整性或可用性的后果。在這方面，CIO應(yīng)該得到專門滿足業(yè)務(wù)流程需求的特定IT經(jīng)理和其他運營專家的支持。

保證對信息的持續(xù)保護

對信息的訪問必須以符合相應(yīng)數(shù)據(jù)安全分類的方式控制。信息保護在很大程度上是IT部門的職責(zé)，盡管IT部門可能并不擁有數(shù)據(jù)。在這種情況下，根據(jù)其組織地位，CIO應(yīng)掌握與信息價值相關(guān)的必要知識，并應(yīng)采取行動評估安全戰(zhàn)略的有效性，驗證運營計劃并促進(jìn)改進(jìn)。

這種對CIO角色的看法包含了首席信息安全官（CISO）的一些典型特征，CIO在組織中的地位證明了這一點。CIO負(fù)責(zé)實現(xiàn)I&T流程目標(biāo)，有權(quán)分配必要的資源，并且是最高管理層的成員。該職位集中了所有決策和驗證流程，提供了最佳的整體業(yè)務(wù)愿景，并確保該人員有機會理解和應(yīng)對問題。相比之下，CISO只是垂直地關(guān)注安全問題，不像CIO那樣有大局觀。CIO必須不斷平衡I&T目標(biāo)與組織、運營和控制問題，這使CIO能夠以更大的批判性意識面對風(fēng)險場景。CIO應(yīng)在運營事務(wù)上得到CISO的支持。

與業(yè)務(wù)目標(biāo)保持一致

應(yīng)定期評估構(gòu)成I&T流程的活動，確保其與業(yè)務(wù)目標(biāo)一致。為了從全球業(yè)務(wù)角度驗證I&T流程管理的結(jié)果，需要掌握GRC相關(guān)技能。CIO必須處理的問題各不相同，但I(xiàn)&T治理是必要的。信息代表著需要保護的價值，而技術(shù)則是保護價值的手段。

風(fēng)險

為了管理與信息相關(guān)的風(fēng)險，必須讓那些對基礎(chǔ)設(shè)施、系統(tǒng)、服務(wù)和信息技術(shù)負(fù)有整體責(zé)任的人員而不僅僅是安全人員積極參與。CIO的角色應(yīng)允許了解所處理信息的價值、管理信息的技術(shù)的關(guān)鍵性質(zhì)以及所做決策的后果。通過這種方式，I&T流程的管理將以基于風(fēng)險意識的系統(tǒng)方法為指導(dǎo)。

技術(shù)

CIO不執(zhí)行任何與I&T流程相關(guān)的運營任務(wù)，但僅在管理和控制層面發(fā)揮作用。即便如此，他們必須保持和更新技術(shù)技能，以便能夠以一種可理解的方式評價和解釋對最高管理層的相對優(yōu)勢和劣勢，從而指導(dǎo)決策過程。專業(yè)知識可以委托給企業(yè)中的運營角色。

連續(xù)性

對業(yè)務(wù)至關(guān)重要的流程必須滿足企業(yè)設(shè)置的運營參數(shù)。因此，必須根據(jù)場景的具體性、控制設(shè)計的一致性和分配資源的充分性驗證連續(xù)性計劃、業(yè)務(wù)影響分析（BIA）和事件管理程序。CIO應(yīng)發(fā)揮監(jiān)督作用，改進(jìn)連續(xù)性流程，使其更有彈性，即所有行動都是根據(jù)業(yè)務(wù)目標(biāo)規(guī)劃和執(zhí)行的，不會扭曲預(yù)算。

安全

保護機密信息的使用和訪問不是CIO的直接責(zé)任。然而，基于對此類信息關(guān)鍵性的了解，CIO可以充當(dāng)監(jiān)督者，并提供糾正現(xiàn)有措施和尋找資源所需的適當(dāng)關(guān)注。首席信息官還可以作為職責(zé)分離（SoD）和用戶重新驗證流程的推動者。

隱私

企業(yè)對個人數(shù)據(jù)的處理在很大程度上屬于信息安全范疇，即使這些責(zé)任分配給了其他人。雖然這個主題與CIO沒有直接關(guān)系，但CIO應(yīng)該對關(guān)鍵流程和法律合規(guī)要求有廣泛的了解。因此，在法律允許的情況下，CIO有很大的潛力擔(dān)任數(shù)據(jù)保護官或類似崗位。從這個意義上說，由于CIO不是數(shù)據(jù)所有者，但對數(shù)據(jù)處理過程有一個完整的視圖，因此可以有效地支持?jǐn)?shù)據(jù)控制者的保護和意識行動，并實施必要的控制措施，使該過程符合法律要求。

合規(guī)

內(nèi)部審計職能部門通常負(fù)責(zé)驗證對內(nèi)外部規(guī)則的合規(guī)性。盡管CIO沒有直接參與驗證過程，但仍有責(zé)任確保所有IT行動都按照運營計劃實施，并定期實施控制。CIO應(yīng)參與風(fēng)險處理計劃和審計補救計劃的起草。盡管這兩個計劃有不同的起源，但都旨在改進(jìn)業(yè)務(wù)流程，也包括IT領(lǐng)域。

評估CIO的績效

CIO的績效評估應(yīng)基于以下四個主要目標(biāo)：

1. 安全性——該評估考慮了導(dǎo)致信息泄露的事件的數(shù)量和嚴(yán)重程度，以及審計結(jié)果和所有與安全性相關(guān)的報告。

2. 連續(xù)性——該指標(biāo)考慮了事件、未遂事件和發(fā)現(xiàn)的異常情況的數(shù)量。嚴(yán)重性用作歸一化均值的權(quán)重。

3. 質(zhì)量——這是一種滿足預(yù)定需求的能力，符合所要求的服務(wù)級別，包括發(fā)布和補救時間表。這個值是與各自目標(biāo)值相比，達(dá)到的滿意程度的平均百分比、發(fā)現(xiàn)的異常數(shù)量、累積的延遲和使用的額外預(yù)算。

4. 效率——這是指僅用預(yù)算資源提供所需服務(wù)的能力，可能會將經(jīng)濟成分限制在最小值。這種評價考慮到預(yù)算中分配的資源的價值和最后結(jié)余中的實際承付額。

評估計劃活動和項目的結(jié)果需要通過衡量標(biāo)準(zhǔn)比較四個目標(biāo)中每一個個的成熟度。例如，圖1描述了每個目標(biāo)在0到1的范圍內(nèi)實現(xiàn)的成熟度水平。這顯然突出了沒有實現(xiàn)目標(biāo)的情況。

圖片

以這種方式評估CIO可以確保在技術(shù)知識和治理能力之間，以及在提供戰(zhàn)略指導(dǎo)和驗證監(jiān)管合規(guī)之間取得平衡。如果CIO只關(guān)注技術(shù)問題或降低成本，就幾乎沒有什么價值。業(yè)務(wù)的整體遠(yuǎn)景是理解組織目標(biāo)的所有重要方面和對潛在后果做出明智決策的基礎(chǔ)。

結(jié)論

為了使I&T管理更加有效，必須擴大CIO的作用，這意味著在GRC領(lǐng)域獲得更多的技能和責(zé)任，并從業(yè)務(wù)角度適當(dāng)?shù)仃P(guān)注控制而不是純粹基于技術(shù)績效。CIO必須是一個C級職位，即制定總體目標(biāo)并擁有為實現(xiàn)這些目標(biāo)而分配必要資源的權(quán)力的管理層。

CIO的職責(zé)是提供實施指南并評估結(jié)果的實現(xiàn)情況，確保根據(jù)實際業(yè)務(wù)需求處理信息，確保信息以所需的方式和時間可用，并保護信息不被未經(jīng)授權(quán)的使用或訪問。為了實現(xiàn)這一點，CIO必須具備必要的技能理解業(yè)務(wù)請求，并將這些需求與可用的技術(shù)聯(lián)系起來，以正確的角色和職責(zé)組織活動，監(jiān)督控制的執(zhí)行，并評估I&T流程的當(dāng)前狀態(tài)。

CIO的角色已不再那么注重技術(shù)和財務(wù)，而是更加注重GRC了。這需要具備組織過程中的橫向能力，包括風(fēng)險分析、合規(guī)評估和溝通技能。與此同時，CISO的角色也被部分重新定義以避免重疊，例如與安全相關(guān)的更大的技術(shù)和方法垂直化，CISO直接向CIO報告。