COBIT5.docx
《COBIT5.docx》由会员分享,可在线阅读,更多相关《COBIT5.docx(11页珍藏版)》请在冰豆网上搜索。
COBIT5
COBIT5
COBIT(ControlObjectivesforInformationandrelatedTechnology):
即信息系统和技术控制目标。
成立于1969年的美国信息系统审计与控制协会(ISACA),于1996推出了用于“IT审计”的知识体系COBIT。
“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。
相应地,“注册信息系统审计师”(CISA)日益成为世界各国发展信息化过程中,争相发展的新兴职业和领域。
作为IT治理的核心模型,COBIT包含34个信息技术过程控制,并归集为四个控制域:
IT规划和组织(PlanningandOrganization)、系统获得和实施(AcquisitionandImplementation)、交付与支持(DeliveryandSupport)以及信息系统运行性能监控(Monitoring)。
COBIT目前已成为国际上公认的IT管理与控制标准。
COBIT目前已成为国际上公认的IT管理与控制框架,已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效地利用信息资源,有效地管理与信息相关的风险。
COBIT的主要组件
COBIT有6个组件:
-ExecutiveSummary
-ManagementGuidelines
-Framework
-ControlObjectives
-ImplemenationToolset
-AuditGuidelines
COBIT对企业的作用
COBIT型是企业战略目标和信息技术战略目标的桥梁,使得信息技术目标和企业战略目标之间实现互动。
该框架的意义在于:
COBIT实现了企业目标与IT治理目标之间的桥梁作用。
首先,COBIT考虑了企业自身的战略规划,对业务环境和企业总的业务战略进行分析定位,并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境,并由此确定IT准则。
信息系统的过程中,应以建设关键支撑体系为核心,以建设各个应用功能系统为阶段目标,在长期的建设过程逐渐与其他各个分立的信息管理系统,及各类信息化支撑体系融合并最终形成比较完整信息体系。
一套好的信息系统规划应当具备几个特点:
首先,规划本身应当明确无误而且易于理解,应当是一个可以为大多数人所理解和认同的概念。
规划必须得到领导小组的认可;
其次,这套规划必须相对具体,它不仅要提出一个奋斗目标,而且还要说明如何才能够实现这个目标。
换句话说,我们不仅要明确发展企业要达到的终极目标,而且还要说明在企业现有的发展水平下,如何才能够多快好省地建设信息系统;
再次,规划目标应当是可衡量的。
否则的话,我们就无从判断自己究竟是否是在向目标迈进,以及自己目前究竟处于哪个发展阶段。
最后,规划必须建立在对内外信息调查的基础上制定。
系统规划阶段投入的时间和精力越多,将来设计和实现的效果就越好,以后花的时间以及遇到的困难和波折也就越少。
一个有效的系统规划有利干实现比较友好的系统界面,有利于合理分配和使用信息系统的资源,从而节省信息系统的投资;一个好的规划还可以作为一个标准,用来考核信息系统人员的工作,明确他们的方向,调动他们的积极性。
2.制定信息体系结构(DefinetheInformationArchitecture)
制定信息体系结构主要完成下列工作:
A.确定信息体系结构模型。
建立数据字典和数据处理的语法规则。
这里要提一提的信息结构和数据与信息标准。
信息结构是指信息的组织形式和结构,包括信息的长度、结构和信息间的相互关系。
信息结构的定义要有利于信息系统的组织,通过建立并维护一个信息模式,建立一个合适的信息系统,以使企业信息能够被最优化地使用。
信息结构包括以下几个内容:
文档、数据字典、数据语法规则、数据的所有关系和分类。
数据和信息标准主要是明确地定义和规定企业信息的标准和采集与应用的规范,此外,还应对政府信息的生命周期以及在其生命周期的每一个阶段的管理问题做出规定。
B.建立数据分类规划。
C.划分安全级别。
从应用角度分析,企业的信息系统承载的信息流和数据很重要,对安全性、可靠性的有一定的要求。
因此,在构建电子政务系统时,可以从三个层次处理问题:
(1)确保核心应用系统和关键环节在各类实施方案中的技术自主性,在此层次的应用系统中,技术的先进性不是首要的。
这里需要指出的是,技术自主性的含义是比较广泛的。
以软件技术为例,自主技术的软件并非特指在我国自行开发研制的系统平台上由国内技术人员所编制的软件,它可以包括由国内技术人员依靠国外的系统平台和开发平合编制的软件,甚至也可以包括直接由国外软件公司编制的软件,但其中的关键算法和重用接口必须为我方人员所掌握。
(2)对于位于核心层外部,但又与具他外部信息系统(如Internet)存在可监控的隔绝层的层次,可以尽量采用先进技术以提高系统的效率和可靠性。
(3)对于直接与外部信息系统相连的部分,要针对不同情况分别加以考虑。
对于安全监控系统要在其核心部分(如核心加密算法)确保技术自主;对于其余部分,由于所承载的信息基本都属于非关键信息,并且需要与其他信息系统的接口保持通信协议、数据格式甚至软件体系的一致性,因此,不应强求对技术自主性的要求。
3.确定技术方向(DetermineTechnologicalDirection)
现代企业的发展离不开现代信息技术,由于企业所处的行业不同,采用的技术也不尽相同,每个企业在实施IT治理时一定要确定企业技术的大方向。
建立一个开发信息系统的技术框架,充分利用已掌握和可获得的技术优势。
通常企业的信息系统包括5个方面的技术:
通信网络平台、计算机系统硬件和操作系统软件平台、数据库平合、应用软件平台、安全体系和安全标准。
技术方向的选择必须同企业信息系统的开发需求匹配,既要保证技术的先进性,适应企业信息化发展的需要,同时又要充分考虑所需的资源、人力和设备的花费在预算的范围内。
技术方向的选择必须满足以下要求:
A.为电子政务系统将来的扩展留有余地,采用的技术需要能无缝升级;
B.具有高度的可伸缩性、能够实现多系统并存所需的互操作能力,以及多种资源管理能力;
C.对技术基础架构进行规划;
D.时刻关注技术的发展趋势及其相关规则;
E.在技术飞速发展的情况下,尽量保证技术的基础架构的连贯性;
F.注意平衡硬件和软件采购;
G.注意技术的各种标准,尽量符合这些标准。
4.定义组织及其关系(DefinetheITOrganisationandRelationships)
A.实施IT规划或是建立各种领导委员会;
B.确立IT功能中的组织定位;
C.审视企业已经取得的成绩;
D.明确各自的职能与职责;
E.明确质量保障、逻辑与物理安全方面的职责;
F.确立所有权和管理人的职务;
G.确立数据和各个系统的所有权关系;
H.实施监控和职责划分;
I.明确IT员工的工作和位置;
J.明确各个人员、部门之间的关系;
5.IT投资管理(ManagetheITInvestment)
随着企业信息化向纵深发展,IT投资越来越重要,因此要对IT投资实施有效的管理才能利企业IT治理。
具体来说就是要做到:
A.每年都要进行IT操作预算;
B.对IT投资的成本和收益进行监控;
C.考察IT投资的成本和收益的正确性;
6.确立通信管理的目标和方向(CommunicateManagementAimsandDirection)
由于企业时刻处于现代化的网络环境,所以通信的好坏对于企业发展十分关键,因此在进行企业的组织和规划时,一定要确立通信管理的目标和方向。
具体来说就是要做到以下几点:
A.为企业建立一个积极的信息控制环境;
B.明确企业方针中的管理职责;
C.在企业的政策中包括通讯方面的相关政策、通讯维护方面的政策以及协调各种通讯处理过程和标准的政策;
D.成立有关的通讯质量管理委员会;
E.指定有关安全和互联网控制框架的政策;
F.明确知识产权;
G.对于一些特殊的问题也要制定有关的处理政策;
H.建立有关通讯的IT安全预警机制;
7.人力资源管理(ManageHumanResources)
企业人力资源的管理是企业管理的重要方面,主要包括:
员工的招聘、培训、升迁、储备与精简;如何提高员工的素质;不同部门员工的职责划分;员工工作绩效的评估、工作的终结与变更等方面。
8.保证规划与外部需求的协调一致(EnsureCompliancewithExternalRequirements)
首先要审视外部需求;然后,实施符合外部需求的实践与处理过程,尽量使企业安全与人文环境协调一致,还要注意保证数据流和知识产权的合法权益;经常召开电子会议,集思广益;最后还要作到尽量保证企业规划与组织和保险合同协调一致。
9.资产风险(AssessRisks)
采用一定的评估方法和评价规则对对商业风险做出评估;然后制定风险行动计划,成立应对企业风险的委员会,制定应对风险的备选方案,估计企业可以承受的各种风险。
10.项目管理(ManageProjects)
制定项目管理框架,在项目的最初阶段让用户部门也参与进来,规划主项目计划、系统质量保证计划与方法,明确项目组成员的职责,制定培训计划、测试计划和项目完成后的评审计划,最终定义项目并使其获得认可。
11.质量管理(ManageQuality)
A.制定通用的质量管理规划
B.选择合理的质量保证方法
C.以符合IT标准和处理流程的质量保证为根本
D.采用生命周期的系统开发
E.对于现有技术的主要变革也采用生命周期的方法实施系统开发
F.即使更新系统开发的生命周期方法
G.注意协作与交流
H.为技术的基础框架维护框架
J.明确与第三方执行者的关系
K.制定程序测试标准、系统测试标准、文档生成标准
I.进行平行/引导测试
L.生成有关的系统测试文档
M.进行符合开发标准的质量评估
N.进行是否符合IT目标的质量评估
O.制定质量规则
P.生成质量保证方面的审查报告
(二)采集与实施(ACQUISITION&IMPLEMENTATION)
1、确定自动化的解决方案(IdentifyAutomatedSolutions)
A.进行充分的系统需求分析
完成的系统分析必须满足以下四个方面的要求:
首先是一致性,所有的需求必须是一致的,任何一条需求不能和其他需求相互矛盾;
其次是完整性,需求必须是完整的,规格说明书应该包括行使政府职责的每一个功能或性能;
再次是现实性,制定的需求应该是用现有的硬件技术和软件技术可以实现的。
对硬件技术的进步可以做些预测,对软件技术的进步则很难做出预测,只能从现有技术水平出发判断需求的现实性:
最后是有效性,需求必须确实能解决目前企业管理中面临的问题。
B.研究各种解决方案的可行性
可行性研究实质上是在较高层次上以较抽象的方式进行系统分析和设计的过程,目的是以最小的代价,在尽可能短的时间内确定问题是否能够解决。
必须分析各
升级会员 