COBIT模型.docx

1、COBIT模型一、IT治理路线图二、COBIT原理三、COBIT模型四、COBIT域1.规划与组织（PO，Planning and Organization）3 交付与支持（DS ,Delivery and Support）PO1制定IT战略规划PO2确定信息体系结构PO3确定技术方向PO4定义IT组织与关系PO5管理IT投资PO6传达管理目标和方向PO7人力资源管理PO8确保与外部需求一致PO9风险评估PO10项目管理PO11质量管理DS1定义并管理服务水平DS2管理第三方的服务DS3管理绩效与容量DS4确保服务的连续性DS5确保系统安全DS6确定并分配成本DS7教育并培训客户DS8为客户提

2、供帮助和建议DS9配置管理DS10处理问题和突发事件DS11数据管理DS12设施管理DS13运营管理2.获得与实施（AI, Acquisition and Implementation）4 监控（M ,Monitoring）AI1确定自动化的解决方案AI2获取并维护应用程序软件AI3获取并维护技术基础设施AI4程序开发与维护AI5系统安装与鉴定AI6变更管理M1过程监控M2评价内部控制的适当性M3获取独立保证M4提供独立的审计五、COBIT产品家族六、IT规划和组织的控制COBIT系列讲座之一IT治理的提出，为企业在实现业务目标的同时平衡IT投资和风险方面提供一种机制。为了确保企业能够实现业务

3、目标，实现在风险管理和收益实现间的有效平衡，指导和管理各类IT活动就显得非常迫切。国际信息系统审计与控制协会提出了信息系统和技术控制目标（COBIT）。作为IT治理的核心模型，COBIT包含34个信息技术过程控制，并归集为四个控制域：IT规划和组织（Planning and Organization）、系统获得和实施（Acquisition and Implementation）、交付与支持（Delivery and Support）以及信息系统运行性能监控（Monitoring）。在本次系列讲座中，我们将对每一个控制域（Control domains）内的过程控制有选择的展开论述。对于一个在

4、IT应用方面成熟的企业，任何在IT方面投资，之前都会有一个详细的规划和论证过程。同时，信息组织结构和职能的优化也是伴随着IT投入而展开的。在COBIT中，IT规划和组织是一个控制域。在这个域中，COBIT列出了11个需要控制的流程（Processes），分别如下：定义it战略规划 在cobit中，要求通过战略规划，为企业提供长期并符合企业发展目标的it规划，并且定期将这目标转换成可以操作的短期实施计划。在it规划和组织中首先提出需要控制的流程是：对企业it战略规划制定的控制。该控制确保企业在制定计划时考虑到这些因素：企业的业务战略，明确定义了it是如何支撑业务目标实现的，目前的技术解决方案和架

5、构的情况、技术发展趋势，可行性研究与对比、现有系统的评估，企业在风险控制、市场反应和质量方面所处的地位等等。定义信息结构 信息孤岛是目前许多企业所面临的一个问题。造成信息孤岛的原因是多方面的，有管理方面的原因，但更重要的是企业在it规划和组织过程中没有对企业的信息架构（architecture）有个明确的定义。在cobit的it战略规划和组织中，对 定义信息结构这个流程有个明确的控制目标。控制的对象是建立和维护业务信息模型，确保企业获得合适信息系统的整个流程是否合理。具体控制评估的内容包括：数据字典、数据语法规则、数据使用权限和安全定义、反映业务特征的信息模型以及企业信息架构的标准。确定技术方

6、向 it在企业中的作用是服务于业务自身的需要，那么企业在决定信息技术方向时必须有一个能够很好制定和管理技术选择的流程，而这个流程就是要确保技术能够很好地实现企业对产品、服务和交付能力的期望。对于这样的流程，cobit提出需要考虑的控制细节。它包括：现有技术架构的能力，通过可靠的资源对技术发展进行跟踪，实行概念论证，明确技术实现的风险和机遇、技术获取计划、技术切换策略，明确与技术供应商的关系，独立的技术再评估和软硬件价格性能的变更等管理。定义it组织与内部关系 信息技术在企业中的成功应用已经越来越不是技术本身所能决定的事了，而是需要企业具备完善的it决策服务组织体系去实现it在企业中的价值。co

7、bit对于定义it组织与内部关系的流程控制提出了11个控制目标和方向, 它们是：董事会对it所担负的职责，管理层对it的监督和指导，it与业务的匹配，在企业关键战略决策中it的融入，组织的灵活性，角色与职责的清晰，平衡监督和放权的关系，工作描述，安全、质量和内部控制等的组织定位，责权分离等。 it投资管理 企业每年在it方面的预算和支出都在增长。对于it投资决策和资金使用管理的流程控制是确保企业信息化建设有效开展的关键。对于这个决策和管理的控制，cobit提出了建立滚动的投资和运营预算并要求必须获得业务部门的批准。在这个过程中，需要考虑的控制内容包括：筹资方式的选择、清晰的预算所有权、实际支出

8、的控制、成本的合理性、收益的合理性和收益实现的追溯、技术和应用软件的生命周期、与企业业务战略的匹配程度、影响力分析和资产的管理。沟通it管理层目标 企业中，管理层在it方面的目标（aims）和方向需要通过合适的渠道和流程由上至下传达，同时要确保用户的意识和对这些目标的正确理解。cobit对于该控制目标，提出了企业需要有清晰的it目标描述，技术应用方向应该与企业的业务目标紧密相连，具备行为规范，质量承诺，安全与内部控制政策，安全与内部控制规范、持续的共同计划以及检验法律法规的遵守性。这些对沟通it管理层目标的控制要素，将确保企业的it管理目标和方向为企业员工理解。在企业的erp实施过程中，对于软

9、件演示是整个系统实施的一个关键环节。这类演示也是确保沟通的一个有效方式，如果缺乏这一环节，实施系统的目标就不能为系统用户所认识。管理人力资源 信息系统的效益是靠人用出来的。企业it的应用技能直接关系到系统是否能够实现业务目标和要求。企业需要有一个合理、公平和透明的人员管理规范，从招聘、使用、待遇、培训、评估、晋升到解雇。cobit对于管理人力资源这个控制目标提出了具体的注意点，它包括：招聘和提升，培训和资格要求，意识的建立，跨部门培训和岗位轮换，聘用、使用和解雇的程序，目标和绩效评估，对技术和市场变化的反应，内部和外部资源的平衡，关键职位的梯队培养。遵守外部环境 由于企业和社会对信息技术的依赖

10、程度越来越强，政府制定了不同的法律和法规来规范和约束信息技术的使用，降低由于信息技术对社会生活和商业活动的顺利展开所带来的不利影响。许多法规都与企业信息技术的应用有或多或少的联系。企业必须确保能够遵守（compliance）这些法律法规。cobit提出需要通过识别和分析外部的这些规定对企业本身it应用的影响，并采取适当的措施来遵守它们。cobit提出了几点需要考虑的控制点：法律、法规及合同，跟踪法律法规的发展变化，定期监督执行情况，隐私的保护和知识产权。 评估风险 企业的业务和管理的实现需要it的帮助，帮助意味着依赖，依赖意味着风险。信息系统在企业中的应用，需要有一套管理体系去应对系统使用过程

11、中的风险。cobit针对评估风险这一控制目标，提出在这个风险管理体系中，需要有it风险的识别、影响力分析，涉及到多个部门并且需要采取最经济和有效的措施来规避风险。同时考虑：风险管理的所有权和责任权，不同类型it的风险（技术、安全、持续性、规范性等），所定义和发布的风险容忍限度，根本原因的分析，风险的定性和定量衡量，风险评估方法论，风险行动计划，及时的再评估。 管理项目 cobit针对这个流程的控制提出企业对项目的安排需要与企业的业务运营计划相符合，并采用合适的项目管理手段来确保项目按计划完成。在控制过程中，需要考虑的内容包括：业务部门对项目的支持，程序管理，项目管理能力，用户参与，任务分解、里

12、程碑定义和阶段审核，责任分配，对里程碑和阶段成果交付的跟踪，成本和预算，内部和外部资源的平衡，项目风险的评估，开发到运营的转换。 管理质量 对于系统和信息组织为各个业务部门提供的服务，这里也存在着客户和服务供应商这样的关系。cobit提出这类服务质量管理同样需要计划、实施和维护等质量管理标准的存在。重点考虑下面几点因素：质量文化的建立，质量计划，质量保证责任制，质量控制规范，系统开发生命周期方法论，程序和系统测试及文档，质量保证审核和报告，培训和最终用户及质量保证人员的参与，质量保证知识体系的建立，行业标杆的对比。 七、IT获得和实施过程控制COBIT系列讲座之二偶遇一位制造型企业的信息中心主

13、任，闲聊间得知该企业为了上一套ERP系统经历了三年的选型期，看遍了国内外所有知名软件的演示，最终选定了一家国外的系统。这种被认为是企业和系统联姻的过程是目前许多国内企业在信息化建设中都在经历的事。企业意识到，系统的合适与否直接关系到信息化建设的成败，更关系到企业所有者的利益是否得到很好的保护。COBIT把信息技术的获得和实施作为IT过程控制的一个控制域，并在这个域内定义了需要控制的六个主要IT过程。识别系统解决方案识别系统解决方案的过程也就是我们通常的系统选型的过程，系统解决方案的识别是企业信息化建设中的一个重要环节。企业信息化建设已经从初期的注重技术的先进性，逐步发展到以企业的实际业务需求作

14、为驱动，系统对业务的支持和满足已经是很多企业考虑的首要问题，这是实现企业信息化建设投资高效和低风险的关键。那么在企业识别和选择信息系统解决方案这个过程中，需要考虑哪些因素才能确保系统满足企业的需求呢？COBIT在这一过程控制中提出：企业需要在明确业务需求的情况下，客观而清晰地对多种方案进行识别和分析。在这个过程中，需要考虑的因素有：市场对该系统方案的认可度，获得和实施该方案的方法论是否合理，系统用户参与实施还是直接购买系统，系统方案与企业IT战略的匹配性，企业的信息需求定义，可行性研究（成本、收益、可选方案等），系统的功能性、可操作性、适应性和持续发展性，系统是否符合企业的信息结构，系统是否具

15、备经济有效的安全控制，系统是否明确了系统供应商的责任。获得和维护应用软件如果说，识别解决方案或者说系统选型的过程是让企业知道什么方案是适合自己的，那么获得和维护系统软件的过程才是实现系统给企业带来收益的开始。COBIT对于这个过程的控制是确保这个过程能够提供支持业务流程的有效应用功能。具体来说就是软件系统必须能够和业务流程很好的融合。在企业变得更为理性的时候, 知名度高的应用软件系统并非成为企业的首选, 关键是企业的业务需求是否能够获得所选系统的支持，企业的业务流程（经过优化）能否和系统融合，系统在实施过程中的每个阶段是否都有明确的成果。COBIT针对这个过程的控制提出了需要考虑的方面包括：功

16、能测试和验收、应用控制和安全需求、文档化管理需求、应用软件生命周期、企业信息结构、系统开发生命周期方法论（SDLC Methodology）、人机界面、系统的二次开发。针对上面几点在过程控制方面的考虑，我们仍然回到熟悉的ERP系统来谈。通常，测试和验收是反映系统是否满足业务要求的基本环节，无论是系统实施伙伴还是客户，对这块都非常重视。但是在应用控制和安全方面相对来说关注得少一些。实现业务需求，一层含义是原先手工的活现在系统能自动完成，另一层含义是系统在应用实现过程中同样要反映出现实中的管理和控制特征。简单的说就是，哪些员工可以看哪些信息，决定或决策权限必须明确，并很好的在系统中反映。获得和维护

17、技术设施在上述控制过程中，我们谈论的是对软件系统的获得和维护。而组成系统的除了软件还有硬件。COBIT在对这个过程进行控制的过程中，强调获得和维护技术设施过程必须为满足业务需求的业务应用软件系统提供合适的运行平台。COBIT在对获得和维护技术设施过程的控制中，重点要考虑的因素有：硬件设施的标准和未来的应用方向是否符合实际需要；对硬件的评估；安装、维护和变更的控制；升级、切换和移植的计划管理；内部和外部技术设施和资源的使用；确认与硬件供应商的关系以及它们的相应责任；变更管理；硬件设施总拥有成本；系统软件的安全性。COBIT所提出九个方面的考虑覆盖了硬件设施从采购、安装调试到日常维护的整个过程。目

18、前，国内的企业在硬件的采购和安装调试方面往往控制得比较好，但是在系统应用过程中，维护和系统变更等方面没有规范可控的程序去应对。开发和维护技术系统的使用流程企业对信息系统的依赖性使得业务运行的稳定对系统的敏感性越来越强。系统一方面在给企业的业务运作和管理带来收益的同时，它的复杂性在另一方面也给企业信息系统的管理带来了很大的压力。此时，企业应该把信息技术管理部门作为一个企业的经营和管理中不可缺少的业务部门来看待。从业务部门管理的角度来看，需要有相应的流程来实现业务需求；从信息技术部门管理的角度来看，业务就是为系统用户或使用部门提供满足他们业务需求的信息服务，确保信息应用和技术解决手段能够得到很好的

19、利用。COBIT认为，对于实现信息技术部门业务的流程制定和维护的过程控制，将直接影响到信息技术部门是否能够最终满足业务部门对信息技术部门在信息服务方面的要求。在COBIT中，这种控制体现在企业是否有结构化的手段来制定和开发用户手册、运作流程、服务要求和培训材料等。另外还必须考虑其他方面的因素：业务流程设计，程序的需求与技术交付的同等重要性，开发编制程序的及时性，用户程序和控制，运作管理程序和控制，培训材料，变更管理。安装和验收系统系统要满足业务的需求不仅仅是选择一套在功能上符合业务要求的解决方案，更重要的是实施这个解决方案并使它能够不断满足业务持续发展的需要。对系统安装和验收的过程控制是为了确

20、保这个过程的有效性。在ERP系统的实施过程中，通常我们会经历测试、上线、并行运行和切换等环节。这些环节过程的有效性直接决定系统是否能够最终成功投入使用。COBIT对这个过程的控制，要求企业具备规范和标准的系统安装、移植、切换和验收计划。同时还要考虑：用户和信息技术运营管理人员的培训，数据转换，测试环境是否反映实际环境的特征，实施完成后的评估和反馈，最终用户在测试时是否参与，持续的质量改进计划，业务连续性需求，系统能力和数据吞吐量的衡量，以及达成共识的验收标准。管理系统的变更信息系统是为业务部门服务的。但是企业的业务是在不断变化和发展的，相应的信息系统也必须与业务的发展同步。业务对信息系统需求的

21、变化在信息化程度高、业务依赖性较强的企业非常普遍。COBIT提出了企业需要有一套针对现有信息系统进行变更的管理体系，它包括对所有提出的系统变更进行分析、实施和跟进的管理。对于这套体系的控制将确保由于变更而可能给企业带来的风险降低到最低限度。在对这个流程的控制中，需要考虑的因素有：变更的识别，分类、优先确定和紧急处理程序，影响度评估，变更的授权，变更后的发布管理，软件的发布，工具的使用，配置管理，业务流程的重组。COBIT在获得和实施这个控制域提出了企业从获取信息技术到实施完成中对六个方面的过程控制。在这里需要说明的是，实施在这里的概念不仅仅是系统的安装和调试，而是最终符合业务需求才能认为是实施

22、的完成。从企业需求动态变化的角度来看，获得和实施这个过程是一个循环的过程，因此对于这个过程中COBIT所提出的六个目标控制过程的监督也是循环进行的。八、IT交付和支持的控制 COBIT系列讲座之三在IT治理中，确保IT投资的有效性和高效性是我们关注的核心焦点；IT投资是否能够满足业务需求是投资收益的关键，而COBIT中的IT交付和支持的过程控制正是为企业提升IT系统投资回报率服务的。下面，我们从控制和管理的角度来分析COBIT所提出的13个需要控制的IT交付和支持流程。定义和管理服务品质系统用户对于系统的要求与IT部门对系统的要求是不同的；而服务品质正是为用户和信息技术部门建立了一座沟通的桥梁

23、。对于这个流程的控制，COBIT要求所定义的服务品质是可以衡量的，内容包括服务品质本身的文字描述；服务提供方和服务使用方的责任；系统服务的反应时间；相关信息的保密；使用方满意的标准；所要求服务的成本收益分析等。控制第三方服务如今很多企业把信息系统服务和系统本身的维护交给第三方来管理。这种模式有很多优越性，但同时导致企业对信息系统服务质量的控制能力变弱，这时候就需要加强对第三方服务提供者的控制。COBIT在该流程的控制中，关注的内容有：第三方服务协议；信息保密协议；服务交付的监督和汇报机制；第三方服务的风险评估；服务品质实现的奖惩机制等。控制系统的性能和能力系统的性能和能力直接关系到信息服务的及

24、时性和准确性。COBIT要求系统的性能和能力必须能够满足业务要求，并且能够以最有效和最经济的方式满足服务品质中所定义的要求。为此，企业需要对系统所表现的性能、能力和工作负荷进行评估，以满足服务品质的要求。COBIT重点关注：业务对系统性能和能力的需求；系统性能和能力的管理机制等。控制服务的持续性从技术的角度和成本收益的角度来说，企业无法获得百分之百的系统可靠度。系统故障发生的可能性总是客观存在的；而如何在系统出现故障的时候把对业务活动的影响控制在最小程度是决定业务运行安全的重要因素。COBIT在这个方面重点关注内容包括：是否有合理的系统故障重要性分类；故障发生时是否有业务活动的替代流程；是否有

25、备份和恢复程序；是否定期对系统的软硬件进行测试并对相关人员进行培训等。控制系统安全尽管访问信息时有严格的限制，但是消除这种限制却非常简单，所要做的只是获得一组数字或字母。业务需求除了要求系统从功能上满足外，同时也必须反应出业务运行中的秩序和相应的控制机制。COBIT关注和审核的对象包括：对信息机密程度和有关隐私信息的定义；授权，身份甄别和系统访问的控制；系统用户的识别和授权的相关信息；密钥管理；防火墙的管理等。识别和分摊成本由于对信息服务的品质作了明确具体的定义和要求，信息服务所提供的价值与过去相比有了很大的改进；同时业务要求越高，获得服务的成本也就越高。从投入产出比最大化的角度来说，业务部门

26、必须要能够以最经济的成本满足业务需求。在对该流程的控制中，COBIT关注的内容包括：企业是否明确了解所利用的信息资源以及这些资源是否可度量；企业是否定义和执行完善的计费政策和程序；企业如何核实所实现的收益等。教育和培训最终用户对最终用户的培训是确保实现服务品质要求、满足业务要求的重要环节。这个教育和培训的过程是为了确保用户能够有效使用技术并在使用过程中明确技术带来的风险以及自己所应该承担的职责。COBIT要求企业在提供综合性的培训和发展计划的同时，要考虑到培训课程的设置、技术的储备、意识的培养、新的培训方法的运用、个人的学习效率以及知识库的开发等。协助用户业务部门在使用信息部门提供的服务过程中

27、，经常会出现各种各样的问题。有些问题与用户的使用技能有关，有些问题是由于业务环境变化需要对系统进行相应的调整，也有些问题是系统本身的技术原因造成的。无论是哪种因素引起的，信息服务部门和业务部门之间必须建立相应的流程，对这些问题在第一时间进行及时和有效的处理。COBIT在该过程控制中关注的焦点有：用户问题的监控和处理；潜在问题和趋势的分析和报告；问题的追踪等。配置管理系统的复杂性给信息服务部门的日常管理带来了极大的困难，这就要求信息服务部门对系统有个全面的描述和记录，以便在系统出现问题时及时寻找解决方案，同时防止系统各类参数和设置在XX的情况下被人为的改动。COBIT在该过程控制中关注的内容有：

28、IT资产的跟踪；配置变更的管理；企业是否使用了未授权的软件；软硬件的关联和集成度的记录描述等。问题和事件管理在信息服务的交付和支持过程中，问题和突发事件随时都有可能存在。为了减少这类问题和事件的重复发生，企业内部必须建立相应的问题和事件的处理机制，通过对所发生事件的分析，杜绝类似问题的重复发生，从而在不确定环境中寻找主动解决问题的机会。COBIT在对该过程的控制中关注的内容有：问题审计线索和解决方法；所报问题的处理和解决的及时性；逐级上报程序的有效性；事件记录的完整性；系统提供商的责任定义以及变动管理与问题和事件管理的协调性等。数据管理数据是信息服务中最基本的组成元素。确保数据在输入、更新和存

29、储过程中的完整性、准确性和有效性是信息服务管理中的核心环节。在这个过程中，COBIT的主要控制目标涵盖了数据的整个生命周期中的不同阶段和特征：它包括数据的格式；源文档的控制、数据输入、处理和输出的控制；数据存储媒质的识别、移动和数据存放点的管理；数据备份和恢复、数据验证和完整性的管理、数据所有权的定义、数据管理政策、数据模型和数据标准、整个系统应用平台上的数据的一致性；以及涉及数据管理的法律和法规要求等。设施管理系统设施的有效管理是IT及时有效交付的保证。在这个过程中，信息服务部门需要提供合适的物理环境来保护IT设备和相关人员免受人为的和非人为的危害。为了确保有效性，COBIT的控制目标就是为

30、了让企业有合适的系统安置环境以及对安置环境有很好的物理控制，并且对定期的控制有效性进行评估。在控制目标的审核中，COBIT重点关注：对设施访问的控制；物理环境的安全性；业务持续性机会和危机管理机制的合理性；相关人员的健康和安全等。运营管理信息系统的运营管理贯穿整个信息服务的生命周期，它所要达到的目的是确保重要的系统支持功能都能够得到定期和有序的管理。这个过程事实上是一系列支持性活动，并对所有的支持活动进行跟踪。COBIT在该过程控制中主要关注：企业是否具备运营程序手册；系统运行流程的文档化管理；网路服务管理机制是否健全；系统变更、系统可用性和业务持续性管理三者之间是否协调一致；预防性维护机制是

31、否健全和有效等。九、ITIL和COBIT融合建设“技术防火墙”根据风险评估的结果，综合利用各种信息安全技术与产品，在统一的IT服务管理平台上(ITIL)，以“适度防范”为原则，建立有效的“技术防火墙”，这是实现信息安全管理的可靠外部保证措施。所谓“技术防火墙”是指在风险评估的基础上，综合利用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保证企业的信息系统的机密性、完整性和可靠性。建立“技术防火墙”要注意几个问题：1、以风险评估为基础，以“适度防范”为原则。安全产品的选择不能纯粹以技术为标准，要考虑成本和投资回报，过高的安全成本就会使安全失去意义。