資訊技術成熟度模型（IT Maturity Model）

周忠信 博士

　　在制定企業與組織的資訊技術政策前，另一項必須事先進行的工作，則是先行評估、衡量(assessment)企業與組織本身目前的資訊技術使用之「成熟度」（maturity level）。透過先行瞭解現況，才能進而提出對於企業與組織本身未來有助益的資訊技術政策。目前有關企業與組織「資訊技術成熟度模型」的探討頗多，在這裡我們採用的成熟度模型是由著名的Gartner Group所提出的IT Maturity Model。如下圖所示，Gartner將一個企業與組織的資訊技術成熟度分為五個等級，我們分述如下：

第一個等級 – Fire Fighting，是指企業與組織的資訊技術使用與管理還停留在最原始的狀態。企業使用者必須針對自己所需之資訊技術，透過爭取才能滿足。整個資訊技術的服務，仍處在極為被動的狀況。
第二個等級 – Reactive，遠比第一個等級為好，因為企業與組織的資訊技術使用與管理，已具有適當的人員與流程來支援所需之服務。各類資訊技術與資訊安全相關之事件追蹤、監控與管理，也各有所司。
第三個等級 – Proactive，企業與組織內的資訊技術之服務與管理單位，能夠進一步化被動為主動，朝向主動提昇整體效能、主動根據企業與組織需求去規劃所需之資訊技術、需求變更管理、主動解決問題、各項資訊技術相關服務工作的自動排程展開等。

Gartner Group

　　到了資訊技術成熟度的第四級 – Service，企業與組織內的資訊技術之服務與管理單位，已經將自己提昇為企業內的服務提供者。此時各式服務水準的監控與管理會被制定，如此才能保障企業與組織內部在使用資訊技術時的流暢性，進而確保企業的競爭力。到了第四級成熟度時，企業與組織的資訊技術使用已達到極佳狀態，唯一欠缺的則是沒有進一步將資訊技術的策略與企業經營成效的策略結合在一起。因此在Gartner的第五級成熟度 – Value所強調的，就是如何進一步將資訊技術的價值，透過與企業策略的衡量值相結合，進而協助企業與組織對於所需導入之資訊技術的使用，具有量化的決策能力。

資訊技術評估的內容與資訊安全規範標準ISO17799

　　為了正確評估一個企業與組織的資訊技術成熟度，評估內容的完整性是成功與否的關鍵之一。通常資訊技術評估的內容，主要涵蓋下列幾項：

• 資訊軟、硬體與網路的基礎建設
• 企業應用軟體的基礎建設
• 資訊安全的基礎建設
• 服務與支援的基礎建設
• 組織與專業技術的基礎建設

　　其中ISO國際標準組織在2000年底，根據BS7799正式提出有關企業與組織在安全方面的ISO17799標準。此項標準涵蓋面極廣且完整有效，因此我們乃將之納入資訊技術的評估內容。我們進一步發展自己的評估方法，根據評估所得結果，可以自動指出企業與組織目前在各個基礎建設面的成熟度。同時在此評估下，我們也可協助企業與組織根據其經營目標，找出資訊技術需要改善之處，同時進一步協助企業與組織發展其所需之資訊技術政策白皮書。有關評估內容以及評估方法的介紹，將分別於第二章到第八章中說明之。