COBIT定义及理解精.docx
《COBIT定义及理解精.docx》由会员分享,可在线阅读,更多相关《COBIT定义及理解精.docx(17页珍藏版)》请在冰豆网上搜索。
COBIT定义及理解精
COBIT定义及理解
COBIT
经过几十年的发展,西方发达国家总结了信息化建设的经验,将“企业治理”的概念引入到信息化领域,提出了“IT治理”的概念,对信息化建设的管理提升到了一个新的高度。
信息化建设过程实质上就是一个对IT进行治理的过程,在这个背景下,ISACA提出了COBIT。
COBIT是什么?
COBIT是ControlledObjectivesforInformationandRelatedTechnology的缩写,即信息及相关技术的控制目标。
COBIT是ISACA(信息系统审计和控制联合会制订的面向过程的信息系统审计和评价的标准。
对信息化建设成果的评价,按照系统属性可以划分为若干方面,如:
对最终成果评价、对建设过程评价、对系统架构评价等。
COBIT是一个基于IT治理概念的、面向IT建设过程的IT治理实现指南和审计标准。
ISACA成立于1969年,是国际上最富盛名的信息控制理论研究及研究资料的出版机构,是一个专门从事IT治理相关技术研究、教育的国际组织。
它在全球拥有100多个会员国,主要任务定位于协调世界范围内建立IT控制惯例,并与其他国际组织如财务、会计、审计及IT专业建立了战略联盟,使自己在IT治理方面达到世界最高水平。
ISACA于1996年发表了COBIT的第一版,1998年修订后发表第二版。
最新的版本是COBIT新面孔--COBIT4.0揭秘
[日期:
2007-02-25]来源:
ITGov作者:
王东红白杨[字体:
大中小]
随着萨班斯法案的出台,及增强企业本身IT内部控制的需要,COBIT已为大家所熟知,作为全球公认的IT治理框架,其得到了各个国家各个行业的广泛应用。
2005年三月,欧洲共同体(EC委员会选择了COBIT,来保证信息的安全以及对其农业资金支付代理的控制。
被像EC这样的组织广泛地认识并采用,足以证明COBIT发展的广度和深度。
2005年第四季度,ISACA发布了CobiT最新版本COBIT4.0,对框架进行了重大的调整。
ITGov中国IT治理研究中心在第一时间组织了相关专家对COBIT4.0进行了研究和分析,本文介绍了COBIT的发展背景、新版本中包括哪些更新、为什么需要这些更新以及它如何能够使现在的和将来的用户收益等内容。
欢迎与我们交流。
为什么COBIT需要更新?
自1992年发布最初版本后,COBIT已发展成为实际的IT治理控制框架。
如今,
COBIT可以提供广泛指导,同时,其产品被世界范围内的许多组织和政府部门广泛地接受。
随着IT和相应指南对有效管理的要求在不断变化,COBIT用户,尤其是推动组织采用COBIT框架的人期望其持续改善,支持组织环境的变化。
在COBIT项目开展10年后的2002年,伴随着3个版本的发展,又进行了一个保持COBIT持续发展的战略。
这项战略的其中一个关键目标就是提供一个持续维护的并反映IT快速变更、响应用户回馈和持续符合需求的框架。
2003年,COBITOnline作为最新的COBIT知识库正式启用,提供了能够及时并且持续更新的资源,并且使所有COBIT用户能够方便的访问。
当有更多的更新以反映重大变化时,新的可以打印并下载的PDF版本的COBIT就会出现。
自从COBIT第三版于2000年发布以来的五年中,ITGI对IT治理进行了广泛的研究,其中包括对广大COBIT用户反馈的分析,这些便形成了COBIT4.0更新计划的基础,这项计划开始于2004年,并计划于2005年11月份发布。
如何发展并维持COBIT?
寻找并组织支持COBIT的资源,对ITGI这样的非营利组织来说是项巨大的挑战。
ITGI的独立身份和致力于促进COBIT成为完全开放有效的指南是影响其发展的重要因素。
COBIT指导委员会,由ISACA的会员志愿者和一些由基金投资的管理团队组成,确定并执行COBIT战略的发展流程。
来自ISACA的全球专家团队和处于领导地位的行业参与者组成了特别的COBIT志愿支持团队,这支团队现已有100多位专家且分布在7个不同的国家。
这种结构使COBIT成为一种分散的资源,同时由世界范围内的专业用户保持并维护着。
在专业的研讨会中有效、有目标,且没有商业压力和导向的运作,促使ITGI能够非常有效地发展COBIT。
有时,具体的发展工作是由顾问或学术机构确定并执行。
ISACA总部为原始材料到最终产品的转化提供了支持服务,并为他们的传播提供支持。
COBIT4.0是包含许多相连项目的复杂项目。
是通过管理团队历时两年的辛勤劳动完成的,其中包括众多的工作会议和具体开发任务。
致力促进COBIT发展的个人也正在增多。
对变化的环境和用户做出的反映
自1992年来,IT发生了巨大的变化,随着互联网的普及和全球化,关键业务运作和战略目标的实现越来越依赖于IT。
在过去的五年内,对公司治理、更严格的规章制度和公司领导责任的聚焦空前巨大。
对IT的影响已成为IT管理和绩效上更突
出的焦点,越来越多的人开始关注IT治理。
COBIT最初作为审计师处理IT治理及IT管理和控制的改善工具,已经扩展到了IT治理及IT管理控制的框架。
COBIT4.0更加关注:
•更加关注IT管理——为目前的IT运作环境提供适当的管理和控制指南。
•更广泛的目标用户——满足审计师、执法者、安全专家和其他在不同情况下为IT绩效提供保证的相关人的需求。
•董事层对治理的更多关注——确保有足够的业务聚焦和机制,将IT目标的管理和控制与企业的需求结合起来。
•完善IT最佳实践和标准——在企业不断接受专业指导(如ITIL和ISO17799时,COBIT可以成为一个综合框架,并且被认为是全面IT控制的高度可信且可实践的指导
•3个主要目标用户的综合使用:
管理者、IT部门和审计师——确保所使用的结构、表达和语言能够为管理层的股东们、参与者和专业人员提供更容易的理解和应用。
•持续符合法规——确保COBIT涉及了IT治理的所有方面,并且展示它与IT治理域和COSO框架相对应。
确保它能够一直被认为是实际的IT治理管理控制框架。
COBIT4.0计划聚焦于何处?
COBIT4.0发展战略集中于以下方面:
•IT治理—基于五个方面的整合:
由ITGI定义的战略整合、价值交付、风险管理、资源管理和绩效管理。
虽然COBIT涉及了许多方面,但分析显示还存在着一些不足,需要调整某些IT流程的名称并增加部分新的控制目标。
COBIT4.0中加入了一个矩阵图,描绘了所有IT流程和治理域的对应关系
•业务需求—以业务需求为原则,并且基于信息标准是COBIT的基本原则。
由Antwerp大学进行的IT如何为业务目标提供支持的更广泛的研究涉及了各个不同的行业,提供了普遍通用的业务目标和IT目标。
COBIT中提供了一个表格来说明业务目标、IT目标和COBITIT流程的关系,以帮助用户确定他们组织业务与IT的联接。
这还常被用来改善目标和绩效评价体系
•协调一致——帮助用户更方便地将COBIT与其他更具体的指导进行整合,如
ITIL,ISO17799,PMBOK以及PRINCE2。
COBIT4.0中使用的术语和原理较之以前,更加协调。
•价值创造—由于COBIT的审计起源,COBIT很强调风险管理的控制。
COBIT4.0更好地平衡了风险与价值,并吸取了IT价值管理的最新研究成果。
•企业结构—COBIT4.0提供了RACI图表(Responsible-负责执行任务的角色、Accountable-对任务负全责的角色、Consulted-提供信息辅助执行任务的人员、Informed-拥有既定特权、应及时得到通知的人员阐明每个IT流程的角色和职责。
结合着目标、资源、信息和流程,框架中还解释了企业结构原则。
•流程定义及流程信息流—为了改善对IT流程模型的理解,COBIT4.0提供了对每个流程的描述,包括流程的输入与输出及与其他流程的关系。
•语言与表述—在COBIT4.0中使用了更加简练、符合时代发展及行为导向的语言。
控制目标和管理指南的内容根据IT流程结合起来。
COBIT4.0的核心内容只有一本书。
•反馈—定期的来自用户的注释和建议,以及来自COBIT用户大会的回馈信息促进了COBIT4.0的内容的完善。
COBIT4.0中的主要变化?
以下描述了COBIT的主要变化区域和增强区域。
框架
•虽然仍然还是4个域和34个流程,但每个域的范围和一些流程会有些变化:
–规划与组织
PO4定义IT组织和关系,现已扩展到涉及IT流程、关系和组织
PO5IT投资管理,已更偏重于价值创造
PO8确保遵从外部需求,现已删除,这方面要求体现在新的ME3中。
PO10质量管理,现已变成PO8。
现在PO域只有10个流程。
–获取与实施
AI4开发流程,现已被扩展并叫做授权操作和使用。
增加了一个新的流程-获取IT资源作为AI5(以前的AI5变成AI7放在生命周期中更合理的位置
AI6中有关发布管理的部分也整合到新的AI7中,与ITIL原则结合得更加紧密。
–交付与支持
DS8更名为服务台和事件管理
DS10更名为问题管理,并且只涉及问题管理,这与ITIL指南一致。
DS11数据管理,现在只处理数据管理目标,与应用控制相关的目标转移到框架的其他部分。
因为应用控制通常与业务流程相结合,而不是IT流程。
–监督与评估
ME1IT绩效管理更名为IT绩效监督与评估,主要服务于流程职责的需求。
ME2内部控制监督更名为内部控制监督与评估,主要服务于对IT整体负责的人的需求。
ME3由原来不被认为是IT流程的提供独立审计变更为确保法规遵从。
ME3对外部法规、法律和合同要求做出回应,并且来自原来的PO8。
ME4由原来的获取独立的保证变更为提供IT治理,服务于整个企业职责。
•IT资源由原来的5项变为新的4项:
–人员
–信息,取代了数据
–应用软件
–基础架构,取代了技术和设施
控制目标和管理指南
•高级控制目标介绍仍然呈现为瀑布流模式,但被修正为以下格式:
对。
。
。
IT流程的控制
使IT。
。
。
满足业务需求
由。
。
。
来实现,
由。
。
。
来管理,
由。
。
。
来衡量
•控制目标和管理指南被整合到一本书中,展示了所有的IT流程。
为所有用户提供了简单易用的操作手册。
•增强的详细控制目标改善了IT治理的范围并与其他实践协调,同时结合了用户的回馈。
目标的数量和文本的页数减少了大概20%,并且它们的表述更加以行为为导向而且简明。
许多第三版本的控制目标都是可以普遍找到的,所以这些都用框架中一个简短的常用列表来代替了。
•每个IT流程现在都有基本输入/输出的描述,确定它从哪个流程来,到哪个流程去,或是否有其它路径。
这些输入/输出的连接使CobiT中的关键流程被确定下来。
•对于每个IT流程,新增加的信息描述了流程活动(说明性的但不详尽的和流程负责人,而且加入了职责说明。
这被表述为与RACI图表连接的关键活动清单,RACI使用了业务与IT中的常用角色清单。
•矩阵表明一般业务目标和IT目标的关系,并在附录中说明了他们如何绘制到IT流程中。
这份材料被用作增强COBIT4.0中的目标和评价体系,并且帮助从业务角度证实COBIT包括的范围。
•经过修正和改良的目标和评价体系(KPI和KGI提供了更好的业务方向和对每个流程目标及IT整体目标的更多关注。
KPI和KGI在结构和内容上有显著的改善。
每个流程的主要活动都有更多或更少的为IT流程本身和整个IT可度量评价体系。
这使用户能够区别流程的绩效指标、流程的目标指标和IT的目标指标。
所有这些
•第三版本的关键成功因素被两个新的术语取代:
来自其他域的流程作为输入项是所需的成功因素,关键管理实践或行动目标是流程负责人必须处理的关键成功因素。
•成熟度模型重新排列成新的流程结构,成熟特征表也经过改善和修正,有以下一些新的特征:
–意识和交流
–政策、标准和程序
–工具和自动化
–技能和技术
–职责和责任
–目标设定和度量
控制实践
修改并更新控制实践,以便与新的控制目标保持一致。
审计指南
目前的审计指南是1996年先于管理指南和控制实践提出的,因此,审计指南的建立只与控制目标有关系。
他们描述并支持了控制评估的一般审计流程、符合性测试和实质风险。
在新版本中,审计指南将被COBIT的IT确认指南所代替,它将描述COBIT如何能够支持已包括在审计指南中的若干确认技术。
•风险评估概念
•业务风险/价值评估
•确认计划和范围
•控制评估与测试
•控制及流程成熟度(自评估
•实质风险和有效报告
因此,新版本将提供比审计指南更多的指导,并且会涉及COBIT的所有方面。
目前版本的审计指南将由以下更全面的内容代替:
•询问谁——RACI表
•获取什么——流程输入
•评估什么——控制目标和控制实践
•测试什么——确认步骤,这将被增加到控制实践中去
•要证实并确认的术语——流程输入和输出,KPI和KGI,COBITonline基准。
支持每个技术问题所需的详细内容仍将保留在COBITonline中,并可以下载一些确认模板。
这些都将在2006年见到。
对目前用户有何影响?
•COBIT4.0是由COBIT第三版本发展而来的,并且本质上基于同样的核心原则和结构。
•因此,没有必要“放弃”已经做过的工作
•COBIT4.0从COBIT第三版本发展而来,并且提供了经过改善的内容,增加了一些专业术语。
•附录中收录了所有的相关文献,说明了流程和控制目标如何综合地给出指导,帮助转换现有的任何文档及一些新出现的工具。
•度量标准也是基于同样KGI/KPI原则,在第三版本的基础上有所改进,提供了更
完善的业务导向以及帮助用户定义更好的评价方法的例子。
•与流程描述、行为和职责相关的新版本将使每个流程的范围和目的更容易理解
并使流程负责人更加清晰。
因此,使用COBIT实施或改善IT流程的效果就会增强
。
•新的确认指南将对现有的审计指南进行扩展,增加一些新的方法,涉及COBIT
4.0的全部内容
•2006年的大半年中,COBITonline将同时存在两个版本。
一个是冻结的第三版
本的COBIT在线,一个是将持续维持的知识库——COBITonline4.0版。
因此,
COBITonline的用户将得到全面的支持。
•COBIT的派生产品,如COBIT安全基准、COBITQuickstart、IT治理实施指导、
萨班斯IT控制目标和COBITmapping报告,也将重新组合并更新。
COBIT4.0如何使用户受益?
COBIT4.0中的变化是有益的,并且应该帮助用户获取以下收益:
•更完整、更全面地覆盖IT治理——帮助聚焦在正确的地方,并且帮助IT管理者
和审计师证明IT处在多么有效的治理之下。
•更容易理解并且有更容易实施的内容——为股东在设定组织目标和理解问题方
面提供帮助。
•与其他实践更好的兼容——帮助整合,并使COBIT像“雨伞”框架一样使用。
•增强IT流程信息、业务导向目标、标准以及精确的成熟度模型——帮助用户将
IT治理与业务驱动更好地整合在一起,然后测量流程的执行性能和绩效。
IT交付和支持的控制——COBIT系列讲座之三
IT治理的提出,为企业在实现业务目标的同时,平衡IT投资和风险方面提供一种机制。
为了确保企业能够实现业务目标,实现在风险管理和收益实现间的有效平衡,指导和管理各类IT活动就显得非常迫
COBIT包含34个信息技术过程控制,并归集为四个控制域:
IT规划和组织(PlanningandOrganization、系统获得和实施(AcquisitionandImplementation、交付与支持(DeliveryandSupport以及信息系统运行性能监控(Monitoring。
在本次系列讲座中,我们将对每一个控制域(Controldomains内的过程控制有选择的展开论述。
在IT治理中,确保IT投资的有效性和高效性是我们关注的核心焦点;IT投资是否能够满足业务需求是投资收益的关键,而COBIT中的IT交付和支持的过程控制正是为企业提升IT系统投资回报率服务的。
下面,我们从控制和管理的角度来分析COBIT所提出的13个需要控制的IT交付和支持流程。
定义和管理服务品质
系统用户对于系统的要求与IT部门对系统的要求是不同的;而服务品质正是为用户和信息技术部门建立了一座沟通的桥梁。
对于这个流程的控制,COBIT要求所定义的服务品质是可以衡量的,内容包括服务品质本身的文字描述;服务提供方和服务使用方的责任;系统服务的反应时间;相关信息的保密;使用方满意的标准;所要求服务的成本收益分析等。
控制第三方服务
如今很多企业把信息系统服务和系统本身的维护交给第三方来管理。
这种模式有很多优越性,但同时导致企业对信息系统服务质量的控制能力变弱,这时候就需要加强对第三方服务提供者的控制。
COBIT在该流程的控制中,关注的内容有:
第三方服务协议;信息保密协议;服务交付的监督和汇报机制;第三方服务的风险评估;服务品质实现的奖惩机制等。
控制系统的性能和能力
系统的性能和能力直接关系到信息服务的及时性和准确性。
COBIT要求系统的性能和能力必须能够满足业务要求,并且能够以最有效和最经济的方式满足服务品质中所定义的要求。
为此,企业需要对系统所表现的性能、能力和工作负荷进行评估,以满足服务品质的要求。
COBIT重点关注:
业务对系统性能和能力的需求;系统性能和能力的管理机制等。
控制服务的持续性
从技术的角度和成本收益的角度来说,企业无法获得百分之百的系统可靠度。
系统故障发生的可能性总是客观存在的;而如何在系统出现故障的时候把对业务活动的影响控制在最小程度是决定业务运行安全的重要因素。
COBIT在这个方面重点关注内容包括:
是否有合理的系统故障重要性分类;故障发生时是否有业务活动的替代流程;是否有备份和恢复程序;是否定期对系统的软硬件进行测试并对相关人员进行培训等。
控制系统安全
尽管访问信息时有严格的限制,但是消除这种限制却非常简单,所要做的只是获得一组数字或字母。
业务需求除了要求系统从功能上满足外,同时也必须反应出业务运行中的秩序和相应的控制机制。
COBIT关注和审核的对象包括:
对信息机密程度和有关隐私信息的定义;授权,身份甄别和系统访问的控制;系统用户的识别和授权的相关信息;密钥管理;防火墙的管理等。
识别和分摊成本
由于对信息服务的品质作了明确具体的定义和要求,信息服务所提供的价值与过去相比有了很大的改进;同时业务要求越高,获得服务的成本也就越高。
从投入产出比最大化的角度来说,业务部门必须要能够以最经济的成本满足业务需求。
在对该流程的控制中,COBIT关注的内容包括:
企业是否明确了解所利用的信息资源以及这些资源是否可度量;企业是否定义和执行完善的计费政策和程序;企业如何核实所实现的收益等。
教育和培训最终用户
对最终用户的培训是确保实现服务品质要求、满足业务要求的重要环节。
这个教育和培训的过程是为了确保用户能够有效使用技术并在使用过程中明确技术带来的风险以及自己所应该承担的职责。
COBIT要求企业在提供综合性的培训和发展计划的同时,要考虑到培训课程的设置、技术的储备、意识的培养、新的培训方法的运用、个人的学习效率以及知识库的开发等。
协助用户
业务部门在使用信息部门提供的服务过程中,经常会出现各种各样的问题。
有些问题与用户的使用技
能有关,有些问题是由于业务环境变化需要对系统进行相应的调整,也有些问题是系统本身的技术原因造成的。
无论是哪种因素引起的,信息服务部门和业务部门之间必须建立相应的流程,对这些问题在第一时间进行及时和有效的处理。
COBIT在该过程控制中关注的焦点有:
用户问题的监控和处理;潜在问题和趋势的分析和报告;问题的追踪等。
配置管理
系统的复杂性给信息服务部门的日常管理带来了极大的困难,这就要求信息服务部门对系统有个全面的描述和记录,以便在系统出现问题时及时寻找解决方案,同时防止系统各类参数和设置在XX的情况下被人为的改动。
COBIT在该过程控制中关注的内容有:
IT资产的跟踪;配置变更的管理;企业是否使用了未授权的软件;软硬件的关联和集成度的记录描述等。
问题和事件管理
在信息服务的交付和支持过程中,问题和突发事件随时都有可能存在。
为了减少这类问题和事件的重复发生,企业内部必须建立相应的问题和事件的处理机制,通过对所发生事件的分析,杜绝类似问题的重复发生,从而在不确定环境中寻找主动解决问题的机会。
COBIT在对该过程的控制中关注的内容有:
问题审计线索和解决方法;所报问题的处理和解决的及时性;逐级上报程序的有效性;事件记录的完整性;系统提供商的责任定义以及变动管理与问题和事件管理的协调性等。
数据管理
数据是信息服务中最基本的组成元素。
确保数据在输入、更新和存储过程中的完整性、准确性和有效性是信息服务管理中的核心环节。
在这个过程中,COBIT的主要控制目标涵盖了数据的整个生命周期中的不同阶段和特征:
它包括数据的格式;源文档的控制、数据输入、处理和输出的控制;数据存储媒质的识别、移动和数据存放点的管理;数据备份和恢复、数据验证和完整性的管理、数据所有权的定义、数据管理政策、数据模型和数据标准、整个系统应用平台上的数据的一致性;以及涉及数据管理的法律和法规要求等。
设施管理
系统设施的有效管理是IT及时有效交付的保证。
在这个过程中,信息服务部门需要提供合适的物理
环境来保护IT设备和相关人员免受人为的和非人为的危害。
为了确保有效性,COBIT的控制目标就是为了让企业有合适的系统安置环境以及对安置环境有很好的物理控制,并且对定期的控制有效性进行评估。
在控制目标的审核中,COBIT重点关注:
对设施访问的控制;物理环境的安全性;业务持续性机会和危机管理机制的合理性;相关人员的健康和安全等。
运营管理
信息系统的运营管理贯穿整个信息服务的生命周期,它所要达到的目的是确保重要的系统支持功能都能够得到定期和有序的管理。
这个过程事实上是一系列支持性活动,并对所有的支持活动进行跟踪。
COBIT在该过程控制中主要关注:
企业是否具备运
升级会员 