IT投資與管理(三)IT資產管理

Gartner近年來一直針對全美各產業調查IT花費，其中一項是IT的隱藏性預算，亦即在組織內不被IT單位所集中管控的IT預算。如業務部門依各別需求購買個人電腦或特別的應用系統。依照去年11月所公佈的結果，平均隱藏性IT支出和IT部門管控的IT支出比約為2比7（22%：78%）。而之所以特別會調查這樣的數字，最主要的原因就在於，些隱藏性成本往往是企業可以節省的地方。例如，由IT部門統一購買同型號的個人電腦，則系統維護成本可降低，藉由採購的經濟規模亦可降低成本，甚至配合產品的生命週期有計劃地購買。依照Giga Research的統計，藉由集中管理IT資產，光是個人電腦部分就可以省到30%。而其它類別通常可省到20%。

從另一個角度來看，隨著資訊安全受重視，各公司開始注意到非法軟體的使用，對於一個企業來說，非法軟體除了有可能有後門或無法管控而使得企業機密資料外洩，或是有病毒而造成電腦或網路的不能使用外。如果被發現內部員工有違反智慧財產權保護法的情況，不僅企業會遭受罰款，也會造成商譽上的損失。因此，許多公司多半將管控非法軟體的使用列入資安政策，並列入重要的稽核項目而加強檢查。然而，對於企業來說，這樣的政策在執行上往往有其困難，畢竟要到每個人的電腦裏面去看到底灌了哪些軟體本身就很不方便，也不實際，因此需要有一套搭配的工具進行控管。而企業在做軟體採購時，到底要買多少套也是一個問題，在這一點上，如果能有一個機制能夠對於實際的使用量作出統計，就能夠針對實際的使用量去進行採購，以降低成本。

為了達到上述的目的，現今已有許多企業開始推行所謂的IT資產管理（IT Asset Management，ITAM），透過對於IT資產資訊的管理，來對如軟體、硬體，與服務等IT資產的使用進行最佳化，以達到降低風險、管控成本，與增加作業生產力等企業目標。

基本上來說，少有企業沒有採行IT資產管理的相關制度（應該至少會記錄資產及其編號，會計作業也會列入折舊與攤提），只是做到什麼程度或是完整性的問題。

圖1.PriceWaterhouseCoopers的IT資產管理架構

"圖1為PriceWaterhouseCoopers的IT資產管理架構，可以透過這樣的架構，來針對IT資產管理的幾個重要的構面進行檢視。這個架構主要可以分為三個部份：

＂生命週期管理程序＂
是否有完整的從IT資產生命週期的各階段，提出相對應的管理措施或制度，而依照生命週期的各階段，又可分成以下幾個觀察角度：

●規劃（Plan）：是否有依照企業的目標去進行需求的預測與決定的相關步驟。
●取得（Acquire）：主要是針對IT資產的取得或採購，去檢視其從詢價、下單、驗收，與付款等程序的相關規定與完整度。
●部署（Deploy）：在取得資產以後，是否有足夠的管控規定，以管控這些IT資產的設定，並要求透過規劃，去實地完成IT資產的部署。
●維護（Maintain）：在資產完成部署後，接下來就需要確保這個資產的正常運作。而相關的管理程序包括變更管理（如資產的擴充、移動、或變更）與維護契約的管理，並且要瞭解到這些變更是否有被妥善的追蹤以記錄，以便能夠取得最新或最即時的資產資訊。
●報廢（Retire）：包括對包含於機密或敏感資訊資產的處理，以及資產的處理與丟棄等。

＂技術＂
這主要是要看是否有利用到相關的資訊科技來協助進行與落實IT資產的管理。而技術之所以位於這個架構核心，主要是在於對於相關IT資產資訊的整合、追蹤，與分析，一般都會需要仰賴資訊系統才能發揮效果。

＂治理（Governance）＂
主要是要看相關的管理措施。包括：
●相關的政策和工作指引（Policies and Standards）：一般說來，組織會先有政策，再由這些政策去訂定相關的程序。IT資產管理也是如此，需要在政策面賦與其意義與方針。
●報告與衡量指標（Reporting and Metrics）：主要是要看是否有針對IT資產管理的程序，去制定相關的衡量指標，並且透過適當的報告程序，由指定的人員去產生特定的報告，並向相關人員做報告。
●教育訓練與宣導（Training and Awareness）：對於IT資產管理的重要性與相關程序，組織內部是否有足夠的認知與執行能力。
●資訊安全（Security）：是否瞭解到這些IT資產的風險，並且有採取相關的安全機制去保護這些資產。
●法規的遵循（Compliance）：是否已識別出相關的法律規定，並且採取相關的程序來確保這些法令的遵守，以免因為不小心而造成企業金錢或是商譽的損失。

透過以上這些IT資產管理構面的檢視，通常可以發現目前組織內部的缺失或不足的地方，而可以進行相關的改善，如果發現實在差太多，可能就需要採用以下的步驟去進行IT資產管理機制的重新設計（就改善上原則上也是會依照這樣的流程去思考，只是針對各企業狀況的不同，可以針對特別所需要的去做改善）：

●釐清相關的法規與安全要求。
●訂定IT資產管理的計劃目標。在這邊要強調的是，如果要推動IT資產管理的計劃，並不是一定要一次就要把所有的程序都做到一百分，而且這樣要花的時間和成本太高，容易造成計劃的失敗。一般說來，可以先透過一些Quick Win的方式，逐步建立組織對於這個計劃的信心，然後再逐年依照執行的結果加強。
●擬定相關政策，像是IT資產採購政策、資產的識別與追蹤政策、需求規劃政策、資產租賃政策、資產部署政策、軟體版權控管政策、維護政策、報廢政策，與相關支援工具的使用政策。
●成立執行IT資產管理工作的任務型組織，並且指派各項工作的負責人以及工作的責任。
●尋找可以配合所定義政策或程序的工具，在這個階段，這樣的工具應該至少要能夠協助整合資產與其關聯性的資訊，並且可以透過適當的介面，去追蹤與管理IT資產的狀態，並且提供相關的資訊。
●依照前面定義的政策，由負責人員參考目前可用的工具，就IT資產生命週期的各階段，去定義詳細的程序。舉例來說，如果需求規劃政策是在談說規劃的一個大方向，則在此處，可能就進一步把這樣的政策分成四個主要的流程：現況分析流程、IT資產策略定義流程、建立硬體與網路資產規劃流程，與軟體資產規劃流程。而針對這些流程的步驟，需要有清楚的輸入、輸出與相關人員的責任。
●設計衡量指標與產生相關報表
●教育訓練及宣導的規劃與執行

最後，在資訊科技日新月異的今天，一個組織可能需要管理數百種的資訊系統，與數萬件的資訊資產。因此，推動IT資產管理的制度或機制，除了可以降低成本以外，也成為避免IT成為組織再繼續成長瓶頸最重要的機制之一。而許多相關的制度，也會需要這方面資訊的支援。舉例來說，可獲得性管理（Availability）就需要IT資產資訊來找出目前系統的風險並做出改善，以達到可獲得性的要求；而意外管理（Incident Management）程序，以便於在意外發生時，IT人員能夠很快的取得相關資產的資訊，而進行意外的排除；更不用說資訊資產管理在資訊安全的領域中是必要且相當重要的一環。因此，或許企業不需要一次做到非常完美，但至少應該要開始去思考這方面的問題。

作者：查士朝／資誠企管首席技術經理。台大資訊管理博士，台大工管系兼任助理教授，目前教授科目為資料庫。查士朝具有多年大型系統開發及管理經驗，除了是PMP以外，在系統開發上面，具有SCEA、MCSD.NET，及MCDBA認證；在系統及網路管理上，擁有MCSE、CWNA、LPIC。查士朝對於資訊安全及個人電腦資料保護也多有研究，除了於國外發表多篇論文外，也擁有CISSP等資安證，並曾參與健保局及財稅資料中心等資安制度建立。