《中国企业的IT治理之道》构建了一套以企业架构为核心的IT治理框架，作者认为IT治理有十大基本流程体系，这十大流程体系可以归纳为三大类：决策、激励、控制，这是IT治理的三大支柱。全书围绕这三大支柱展开，详细论述了基于企业架构的IT决策体系、IT投资决策的基本流程与制度、IT部门的治理模式、IT绩效评估与IT人员的激励、IT内部控制、IT项目治理、IT运维治理、信息安全治理、IT供应商治理、信息系统审计等内容，构建了一个符合中国企业的IT治理框架和内容体系。

近年来，IT治理成为一个热门话题，但相关的理论研究却相对滞后，既没有完整的理论体系，更缺乏有效指导中国企业实践的框架。作为一本全面阐述IT治理理念与实践的图书，本书构建了一套以企业架构（EA）为核心的IT治理框架，提出了IT治理的三大支柱：决策、激励、控制，并进一步梳理了IT治理的十大基本流程体系。本书理论与实践俱备，方法与案例并重，在明晰理念的同时为IT治理在企业落地提供了切实的指导。

本书不仅对奋战在企业信息化一线的CIO、IT主管、信息中心主任等有着直接的指导、借鉴作用，对企业业务部门管理人员、其他想进入信息化行业工作的专业人士也有较大的指导作用，亦可作为高等院校信息管理、管理信息系统等专业的本科生、研究生的参考书。

 第一篇 IT治理体系的构建

第1章 拨开IT治理概念的迷雾/3

 1.1 信息化的乱象催生IT治理/3

 1.2 揭开IT治理的面纱/6

1.2.1 众说纷纭的公司治理/6

1.2.2 IT治理概念的丛林/2

1.2.3 IT治理的定义与内涵/4

 1.3 IT治理的相关概念/8

1.3.1 IT治理与公司治理的关系/8

1.3.2 IT治理与IT管理的关系/9

第2章 走出IT治理标准的迷宫/21

 2.1 COBIT——IT控制与审计的利器/22

 2.2 ITIL——IT服务管理的最佳实践/26

 2.3 ISO/IEC 17799/27001——信息安全管理的国际标准/30

 2.4 CMMI——IT项目过程控制的框架/34

 2.5 IT治理标准比较/35

第3章 构建中国特色的IT治理模型/38

 3.1 中国企业IT治理的整体模型/39

3.1.1 时间维度：信息化的四大阶段/39

3.1.2 空间维度：信息化的五大治理对象/40

3.1.3 中国企业IT治理框架/40

3.1.4 中国企业的IT治理模型/41

 3.2 中国企业IT治理的十大流程体系/42

 3.3 中国企业IT治理的三大支柱/47

第二篇 决策——IT治理的第一大支柱

第4章 企业架构——IT决策的依据/51

 4.1 企业架构为企业“画骨”/52

4.1.1 企业架构在信息化中的作用与地位/52

4.1.2 目前主流的架构框架对比/53

 4.2 企业架构的构成/55

4.2.1 业务架构是企业架构的基础/55

4.2.2 数据架构是企业架构的核心/56

4.2.3 应用架构是企业IT的缩影/59

4.2.4 技术架构是数据和应用的支撑/60

 4.3 基于企业架构的IT决策模型/62

4.3.1 企业架构能保证IT投资与业务保持一致性/63

4.3.2 企业架构是减少IT重复投资的利器/63

4.3.3 企业架构是企业获得最佳IT投资回报的依据/64

第5章 IT投资决策治理/66

 5.1 IT投资决策与IT治理的关系/67

5.1.1 IT投资决策中存在的问题/67

5.1.2 从IT治理角度看IT投资决策/69

 5.2 IT需求的必要性论证/73

 5.3 IT需求的初步可行性分析阶段/76

5.3.1 初步技术可行性分析/77

5.3.2 初步经济可行性分析/77

 5.4 IT项目的优先级排序/78

5.4.1 多项目管理的含义与特点/78

5.4.2 项目管理办公室：项目组合管理的治理机构/82

5.4.3 项目组合管理的基本流程/85

5.4.4 项目组合选择的方法/87

5.4.5 项目组合管理的优缺点分析/90

 5.5 IT项目的详细可行性研究/91

第三篇 激励——IT治理的第二大支柱

第6章 IT治理结构/99

 6.1 IT部门定位与发展阶段/100

 6.2 IT部门组织结构的多种现存模式/102

6.2.1 最具代表性的三种组织模式/102

6.2.2 外包与独立运作模式/106

 6.3 IT组织机构的设置/107

6.3.1 IT决策与规划机构设置/108

6.3.2 IT执行与实施机构设置/112

6.3.3 IT监督与审计机构设置/113

第7章 IT绩效评价与人员激励/121

 7.1 IT绩效难以评估的原因/121

 7.2 IT绩效管理的整体框架/124

7.2.1 IT绩效评价的主要方法/124

7.2.2 IT绩效评价的层次/125

 7.3 以平衡记分卡为核心的IT绩效评价/126

7.3.1 成本与效益类评价指标/127

7.3.2 客户与服务类评价指标/128

7.3.3 内部运营类评价指标/129

7.3.4 人才与创新类评价指标/130

7.3.5 信息化项目类评价指标/132

7.3.6 IT绩效评价过程及注意事项/133

 7.4 IT岗位及人员的绩效考核/136

7.4.1 CIO的绩效考核/136

7.4.2 IT员工的绩效考核/138

 7.5 IT人员的激励机制/142

7.5.1 CIO的激励机制/142

7.5.2 IT员工的激励机制/144

第四篇 控制——IT治理的第三大支柱

第8章 信息系统内部控制与合规/151

 8.1 IT内部控制在企业控制中的作用/152

8.1.1 内部控制是企业由大变强的关键/152

8.1.2 IT内部控制：企业内部控制的基石/153

 8.2 国内外关于IT内部控制的现行标准/154

8.2.1 COSO委员会《企业风险管理——整合框架》/154

8.2.2 美国政府颁布的《萨班斯法案》/155

8.2.3 中国的《企业内部控制基本规范》/157

 8.3 IT内部控制的层次与内容/157

8.3.1 IT内部控制的层次/158

8.3.2 IT内部控制的主要内容/160

 8.4 构建企业的IT内部控制体系/169

8.4.1 IT内部控制组织体系的构建/169

8.4.2 企业IT内部控制体系的构建流程/171

第9章 IT项目治理与管控/177

 9.1 IT项目治理的概念与模型/178

9.1.1 IT项目的特点/178

9.1.2 什么是IT项目治理/179

9.1.3 IT项目治理分类/181

 9.2 IT项目的内部治理/182

9.2.1 IT项目内部治理结构/182

9.2.2 公司层面治理机制/188

9.2.3 项目层面治理机制/190

 9.3 IT项目的外部治理/195

9.3.1 IT项目供应商治理/195

9.3.2 IT项目监理机构/198

第10章 IT运维治理与管控/202

 10.1 流程——IT运维管控的关键/202

 　10.1.1 ITIL为IT运维注入新的活力/202

 　10.1.2 流程是ITIL的核心/204

 10.2 IT服务管控的两个重点问题/206

 　10.2.1 变更管理：控制IT运维风险的关键/206

 　10.2.2 服务级别管理：IT与业务的盟约/217

 10.3 IT服务管控实施流程/226

 　10.3.1 确立远景目标/227

 　10.3.2 评估现状/227

 　10.3.3 重组IT部门/228

 　10.3.4 流程优化/228

 　10.3.5 效果检查/231

 　10.3.6 持续改进/232

第11章 信息安全治理与管控/233

 11.1 信息安全治理与信息安全管理/234

 　11.1.1 信息安全治理的复杂性/234

 　11.1.2 信息安全的层次模型/235

 11.2 信息安全治理与管控体系/237

 　11.2.1 信息安全方针/238

 　11.2.2 信息安全策略/239

 　11.2.3 信息安全组织体系/241

 　11.2.4 信息安全技术体系/245

 　11.2.5 信息安全运营管控体系/247

 11.3 信息安全管控体系构建流程/254

 　11.3.1 差距分析/254

 　11.3.2 风险评估/255

 　11.3.3 安全管理体系规划及构建/261

 　11.3.4 安全管控体系监控与审计/264

 　11.3.5 构建信息安全管控体系的保障机制/268

第12章 IT供应商治理与管控/270

 12.1 IT供应商治理与管控流程/271

 　12.1.1 IT供应商管控现状与问题/271

 　12.1.2 IT供应商管控基本流程/272

 12.2 IT供应商的评价与选择/274

 　12.2.1 IT供应商选型的组织与角色/274

 　12.2.2 IT供应商选择的标准/275

 　12.2.3 IT供应商选择的流程/278

 12.3 IT供应商的绩效评价/278

 12.4 IT外包的治理与管控/280

 　12.4.1 IT外包的决策与流程/280

 　12.4.2 IT外包的风险/286

 　12.4.3 IT外包关系的管控机制/290

 　12.4.4 用ITIL规范IT服务外包/293

第13章 信息系统审计/299

 13.1 信息系统审计的背景与内涵/300

 　13.1.1 信息系统审计的内涵/300

 　13.1.2 信息系统审计主体/300

 　13.1.3 信息系统审计对象/301

 　13.1.4 信息系统审计的目的/301

 13.2 IT审计的标准和规范/302

 　13.2.1 国际信息系统审计准则/302

 　13.2.2 我国信息系统审计规范/305

 13.3 信息系统审计内容与方法/306

 　13.3.1 信息系统一般控制审计/307

 　13.3.2 信息系统应用控制审计/308

 　13.3.3 信息系统开发与实施审计/312

 　13.3.4 信息系统运行审计/318

 　13.3.5 信息系统安全审计/319

 　13.3.6 计算机信息资料审计/321

 13.4 信息系统审计的过程与步骤/325

 　13.4.1 计划阶段/325

 　13.4.2 实施阶段/326

 　13.4.3 报告阶段/328

 　13.4.4 后续阶段/329

 参考文献/331