一、什么是治理

所谓治理（Governance），就是把服务使用方面的政策付诸实践。它定义了一个组织的原则和行为规范。

在展开深入讨论以前，我们先综合考察IT的治理流程，因为其中的许多原则与云环境的原则具有相关性。IT管理着复杂的硬件、数据、存储基础架构和软件环境。组织设计数据中心是为了有效地利用所有资产，同时还能保证一定程度的用户服务水平。数据中心有专门负责管理其中所有设施的团队，这些设施包括：工作任务、硬件、软件、数据和网络基础设施。

除了数据中心本身以外，你所在的组织可能还有依存于数据中心的远程技术设施。IT管理涵盖了管理和监控个人IT组件的成熟流程，这对于组织来说是有益的。

IT治理涉及以下诸多方面：

1）确保IT资产（系统、流程等）的实施和使用过程是根据商定的政策和程序进行的

2）确保这些资产得到适当的控制与维护

3）确保这些资产能为组织创造价值（实际上起到支持你所在组织战略和业务目标的作用）

因此，IT治理需要涵盖测量和控制系统管理方式的技术和政策。但是，IT治理过程并不是单独进行的。为了确保治理的有效性，还需要整体协作。跟每一项技术一样，整体协作是指如何组织每个环节，人们如何协作来实现业务目标。因此，好的治理方式是让IT与业务协同合作。

IT治理的相关规范明确了谁要对哪个环节负责，谁来负责修复哪些需要修复的环节。规范还规定了人们需要为什么样的政策负责，哪些政策是需要实施的，并确定负责的人或团队是否真正负起了责任。

IT治理的重点之一就是确定业务和IT之间的组织关系，并说明人们如何跨组织协作。

二、IT治理如何起作用

IT治理通常会涉及建立一个由企业和IT代表组成的委员会。委员会负责创建规则和流程，而组织必须确保相关政策得到遵守。这些政策可能包括：

1）理解诸如合规要求或研发资金等业务问题

2）建立佳实践并监测这些流程

3）负责诸如编程标准、设计审查、认证等事项，并从技术角度对应用程序进行监控等

例如，IT治理需要确保计算正常运行时间满足要求，这就是IT治理的一个方面。这个正常运行时间是以应用程序对于企业的重要性为基础，由企业和IT服务提供方之间经过协商确定的。

1、确定治理人员

云治理可以看成是云服务用户和云供应商所共担的责任。明确责任的界限以及在你的组织内确立一个适当的治理策略需要经过认真权衡。你必须考虑很多因素，从IT环境中各种组件的性能水平到关键性能指标（KPI），后者是用来测量你企业业务流程效果的。你的治理策略需要反映出内部数据中心、私有云以及公共云所提供的IT服务的复杂性。

云治理要求你管理好基础设施以及那些不是由你全权负责的基础设施。例如，你的组织必须监控所有组件的性能，这种监控方式要能够反映出所有IT性能对于企业的影响。你无法完全看到云环境的结构，这使得你在满足治理要求时必须应对一些挑战。

以下两个例子可以反映出当你向IT环境增加云服务时，治理过程是如何变得复杂的。

设想一个场景

假设你把一些业务处理流程交给云来完成，并期望得到与数据中心一样的正常运行时间。你需要依靠你的云供应商来获得虚拟服务器，但是，问题是你无法看到该环境的内部构成。

从治理的角度来说，你需要注意哪些问题呢？

你是否能够通过你的云供应商来获取这种可用性？

你的云供应商是否有工具允许你监测服务目标是否得到满足？

你的云供应商可能满足了预先商定的服务水平，但是供应商会与你交流这些信息吗？

三、了解云环境的风险

IT治理必须与业务目标和政策紧密联系，从而确保服务按照用户期望的那样得到优化。由于IT和业务目标通过治理策略紧密联系，我们认为，从整体业务的角度审视云规范也是非常重要的。

你的治理策略应该通过下面两种主要方式得出。

理解企业必须遵守的规范和风险测量方法。你业务怎样才能满足IT、企业、行业和政府在合规性方面的要求？例如，你的企业能否跨国共享数据？这些要求需要通过技术控制、自动化和流程、数据和工作流的严格治理来实现。

了解具体的业务目标。你可以根据销售收入、利润、股票价格、产品或服务的质量和交货周期来测算你业务表现。你的云供应商必须有力支持服务交付从而优化业务表现。

四、风险的理解

每个行业都有一系列治理准则，这些准则是基于其规范和竞争环境及其风险的角度提出的。风险有多种等级。例如，在某些公司信息不能跨国共享。金融服务业需要遵循一定的数据规则。在软件开发过程中，在外部市场购买产品可能会带来风险。医疗保健行业需要注意病人的隐私问题。

例如，假设你所在企业有一条规范，规定公司的市场分析系统不能使用信用卡系统的数据。如果CIO后来发现这个信息已经被系统使用，企业将面临风险，这也意味着IT治理不够成功。CIO周围的人需要清楚，出于隐私方面的考虑，这类信息不能用于市场分析。

在复杂多变的IT环境中，IT需要处理各种任务：满足客户的期望、优化业务目标、识别资源的限制因素，并遵守规则和要求。云进一步让这些问题变得更加复杂，因为IT要为其他资源负责。这意味着治理主体还要负责供应商关系的管理。

当然，根据你所在组织使用云的方式，治理的风险和参与度可能不同。例如，云可用于以下方式，你必须对每种方式进行分别评估来确定适合你公司的治理级别：

1）作为临时计算能力

2）作为一种SaaS模式

3）作为平台来构建服务

五、风险清单

当你迁移到云端时，请考虑下列这些风险：

1）审计及规范风险。包括数据权限、数据的访问控制、审计跟踪的问题。

2）安全风险。包括数据完整性、数据保密性和私密性。

3）信息风险（处于安全保护范围外）。包括对于知识产权的保护。

4）性能和可用性的风险。包括适合你公司的可用性和性能水平。这包括了警报、通知和供应商的业务连续性计划。此外，供应商是否具有预案信息以防某些环节出现差错？

5）互用性风险。在开发一个可能由多个服务构成的服务时会存在这种风险。基础设施是否会继续支持你的服务？如果你使用的服务发生变化了呢？有哪些规定能够确保出现变化时你会收到通知？

6）合同风险。当你没有仔细阅读合同内容时会出现这类风险。例如，谁持有你在云中的数据？如果服务中断了，你会得到哪些补偿？如果供应商破产了怎么办？

7）结算风险。当你无法确认你是否合理地并且只为你消费的资源付费时会出现这类风险。

还记得吗，我们曾说过规范与信任相关联？事实是，如果你使用云，那么你需要相信云供应商和每一个云供应商合作的其他供应商。目前，还没有关于云计算的专业标准或法律。

风险管理怎样重视都不为过。云治理与内部IT治理不同，后者中所有的角色方都有同样的合法性，云治理需要企业与外部供应商合作，因此治理协议需要得到明确的说明。

六、性能的测量和监控

对能力进行测试来帮助提高能力，这种观念为许多竞技运动员所熟知。我们可以想象一下运动员在训练中测试、记录以及在时间和距离的监控方面所花费的大量时间。但是，如果运动员服用类固醇药物呢？他是否违反了相关法规？显然，即使其他所有的测试结果都很好，但违反了规则就把所有一切都改变了。

这个例子与云治理之间有什么关联呢？

虽然测量和监测可以帮助你提高性能，但是如果你不遵循治理规则，那么这个性能就失去意义了。

你可以用生产、销售、收入、股票价格和用户满意度与你的目标进行比较，来测量业务性能。你可以用以下指标与你的目标进行比较来测量IT性能：服务器、应用程序和网络正常运行时间，服务解决时间，预算，项目完成日期。企业可以使用这些指标来评估性能，并与竞争对手的性能和用户、合作伙伴和股东的期望值进行比较。

在云计算中，你需要测量IT性能对于业务的影响。根据定义，这里所说的影响还包括云提供商的性能。

当然，你自己的内部治理团队需要首先回答下列问题：

1）IT性能的监测如何才能支持业务？

2）应该采取怎样的管理措施和监控来确保成功的IT治理？

3）客户是否可以在期望的时间内得到对请求的响应？

4）客户的交易数据能否免受未经授权的访问？

5）管理人员能否在正确的时间得到正确的信息？

6）IT能否向企业管理层证明，你的公司可以从故障中恢复而不会降低顾客忠诚度？

7）你的公司能否主动地监控系统，好让在故障服务影响到规范规则前把它修理好？

8）你能否向企业管理层证明IT投资的正确性？

七、治理

我们认为：有效的云管理，既需要通过人与流程，也需要通过技术来实现。这三个方面对于有效的云治理来说是必不可少的。

你的组织需要一个治理主体来处理云的问题（可能是现有的治理委员会），并且需要一个流程来解决这些问题所涉及的业务。这个委员会应该监督业务，并与业务部门（也应该包括业务部门成员）合作解决直接影响你组织的云问题。委员会也可以开发佳实践来管理云计算环境。

云需要一个治理主体来处理服务标准和其他共享基础设施的问题。你的组织需要一个与该团队沟通、合作的接口。你的参与程度取决于你在部署云时的参与程度。

你的组织需要相关技术来自动监测云中的运行情况。

八、确定你的治理主体

你需要一个自己的团队，这个团队的成员熟悉业务，并且可以处理云的业务问题。这个治理委员会可以由公司、部门和IT管理代表构成，这有助于促进交流，这也是连接IT管理人员和企业所必需的。该委员会还可以创建其他团队来负责其他方面的治理问题。例如，它可能会创建一个团队来了解云标准，或者也可以设立IT安全团队。

当然，这种治理结构其中一个重要组成部分，就是一个实际负责与云供应商谈判并在未来负责管理云供应商的团队。

这个治理主体应该持续存在，在企业内具有权威性，并且具备与IT管理人员交流业务目标和变更信息的机制。在理想情况下，你可以设定相应的行政级别来让其更有效地运转。

九、监控和测量IT的服务性能

除了与你的云供应商进行交流之外，你还必须监控这些云供应商的所作所为。根据不同的情况，这可能意味着需要进行技术上的投资，来弄清楚云的运行状况。

许多公司使用仪表板（Dashboard），这是一种控制界面，可以控制不同的服务并显示你的性能措施是否达到了你的目标。这个界面还需要显示有关云的信息。很少有新兴供应商会提供工具来让企业监控其云提供商。

监测有助于回答这样的问题：

1）我们的目标是什么？我们的关键业绩指标是什么？

2）以关键业绩指标来衡量的话，实际运行情况如何？

3）我们的表现与上周或去年相比有什么变化？

4）规则和流程是否被正确实施了？

5）是否每个服务都满足技术标准？

许多组织使用服务目录来记录IT服务。这一做法应该扩展到云中。目录可以包含一些信息，比如：

1）为了某个服务，需要联系谁；

2）谁有权变更服务；

3）哪些关键应用程序与服务相关；

4）与服务相关的中断或其他事件；

5）服务之间关系的信息；

6）IT供应商和用户/服务使用者之间的所有协议文件。