COBIT定义及理解精.docx

1、COBIT定义及理解精COBIT 定义及理解COBIT经过几十年的发展,西方发达国家总结了信息化建设的经验,将 “企业治理”的 概念引入到信息化领域,提出了“IT 治理”的概念,对信息化建设的管理提升到 了一个新的高度。信息化建设过程实质上就是一个对 IT 进行治理的过程,在这个 背景下, ISACA 提出了 COBIT 。COBIT 是什么?COBIT 是 Controlled Objectives for Information and Related Technology的缩 写,即信息及相关技术的控制目标。 COBIT 是 ISACA(信息系统审计和控制联合会 制订的面向过程的信息系统

2、审计和评价的标准。对信息化建设成果的评价,按 照系统属性可以划分为若干方面,如:对最终成果评价、对建设过程评价、对系 统架构评价等。 COBIT 是一个基于 IT 治理概念的、面向 IT 建设过程的 IT 治理实现指 南和审计标准。ISACA 成立于 1969年,是国际上最富盛名的信息控制理论研究及研究资料的出版机 构,是一个专门从事 IT 治理相关技术研究、教育的国际组织。它在全球拥有 100多 个会员国,主要任务定位于协调世界范围内建立 IT 控制惯例,并与其他国际组织 如财务、会计、审计及 IT 专业建立了战略联盟,使自己在 IT 治理方面达到世界最 高水平。ISACA 于 1996年发

3、表了 COBIT 的第一版, 1998年修订后发表第二版。最新的版本是 COBIT 新面孔 - COBIT 4.0揭秘日期:2007-02-25 来源:ITGov 作者:王东红 白杨 字体:大 中 小 随着萨班斯法案的出台,及增强企业本身 IT 内部控制的需要, COBIT 已为大家所 熟知,作为全球公认的 IT 治理框架 ,其得到了各个国家各个行业的广泛应用。 2005年三月,欧洲共同体 (EC委员会选择了 COBIT ,来保证信息的安全以及对其农 业资金支付代理的控制。被像 EC 这样的组织广泛地认识并采用,足以证明 COBIT 发 展的广度和深度。 2005年第四季度, ISACA 发布

4、了 CobiT 最新版本 COBIT4.0,对框 架进行了重大的调整。 ITGov 中国 IT 治理研究中心在第一时间组织了相关专家对 COBIT 4.0进行了研究和分析,本文介绍了 COBIT 的发展背景、新版本中包括哪些 更新、为什么需要这些更新以及它如何能够使现在的和将来的用户收益等内容。 欢迎与我们交流。为什么 COBIT 需要更新 ?自 1992年发布最初版本后, COBIT 已发展成为实际的 IT 治理控制框架。如今,COBIT 可以提供广泛指导,同时,其产品被世界范围内的许多组织和政府部门广泛 地接受。随着 IT 和相应指南对有效管理的要求在不断变化, COBIT用户,尤其是 推

5、动组织采用 COBIT 框架的人期望其持续改善,支持组织环境的变化。在 COBIT 项目开展 10年后的 2002年,伴随着 3个版本的发展,又进行了一个保持 COBIT 持续发展的战略。这项战略的其中一个关键目标就是提供一个持续维护的并 反映 IT 快速变更、响应用户回馈和持续符合需求的框架。2003年, COBIT Online作为最新的 COBIT 知识库正式启用,提供了能够及时并且持 续更新的资源,并且使所有 COBIT 用户能够方便的访问。当有更多的更新以反映重 大变化时,新的可以打印并下载的 PDF 版本的 COBIT 就会出现。自从 COBIT 第三版于 2000年发布以来的五年

6、中, ITGI 对 IT 治理进行了广泛的研究, 其中包括对广大 COBIT 用户反馈的分析,这些便形成了 COBIT 4.0更新计划的基础 ,这项计划开始于 2004年,并计划于 2005年 11月份发布。如何发展并维持 COBIT ?寻找并组织支持 COBIT 的资源,对 ITGI 这样的非营利组织来说是项巨大的挑战。 ITGI 的独立身份和致力于促进 COBIT 成为完全开放有效的指南是影响其发展的重要 因素。COBIT 指导委员会,由 ISACA 的会员志愿者和一些由基金投资的管理团队组成,确 定并执行 COBIT 战略的发展流程。来自 ISACA 的全球专家团队和处于领导地位的行 业

7、参与者组成了特别的 COBIT 志愿支持团队,这支团队现已有 100多位专家且分布 在 7个不同的国家。这种结构使 COBIT 成为一种分散的资源,同时由世界范围内的 专业用户保持并维护着。在专业的研讨会中有效、有目标,且没有商业压力和导 向的运作,促使 ITGI 能够非常有效地发展 COBIT 。有时,具体的发展工作是由顾问 或学术机构确定并执行。 ISACA 总部为原始材料到最终产品的转化提供了支持服务 ,并为他们的传播提供支持。COBIT 4.0是包含许多相连项目的复杂项目。是通过管理团队历时两年的辛勤劳动 完成的,其中包括众多的工作会议和具体开发任务。致力促进 COBIT 发展的个人也

8、 正在增多。对变化的环境和用户做出的反映自 1992年来, IT 发生了巨大的变化,随着互联网的普及和全球化,关键业务运作 和战略目标的实现越来越依赖于 IT 。在过去的五年内,对公司治理、更严格的规 章制度和公司领导责任的聚焦空前巨大。对 IT 的影响已成为 IT 管理和绩效上更突出的焦点,越来越多的人开始关注 IT 治理。 COBIT 最初作为审计师处理 IT 治理及 IT 管理和控制的改善工具,已经扩展到了 IT 治理及 IT 管理控制的框架。COBIT 4.0更加关注: 更加关注 IT 管理为目前的 IT 运作环境提供适当的管理和控制指南。 更广泛的目标用户满足审计师、执法者、安全专家

9、和其他在不同情况下为 IT 绩效提供保证的相关人的需求。 董事层对治理的更多关注确保有足够的业务聚焦和机制,将 IT 目标的管理 和控制与企业的需求结合起来。 完善 IT 最佳实践和标准在企业不断接受专业指导(如 ITIL 和 ISO 17799时 , COBIT 可以成为一个综合框架,并且被认为是全面 IT 控制的高度可信且可实践的 指导 3个主要目标用户的综合使用:管理者、 IT 部门和审计师确保所使用的结构 、表达和语言能够为管理层的股东们、参与者和专业人员提供更容易的理解和应 用。 持续符合法规确保 COBIT 涉及了 IT 治理的所有方面,并且展示它与 IT 治理域 和 COSO 框

10、架相对应。确保它能够一直被认为是实际的 IT 治理管理控制框架。COBIT 4.0计划聚焦于何处 ?COBIT 4.0 发展战略集中于以下方面: IT治理 基于五个方面的整合:由 ITGI 定义的战略整合、价值交付、风险管 理、资源管理和绩效管理。虽然 COBIT 涉及了许多方面,但分析显示还存在着一些 不足,需要调整某些 IT 流程的名称并增加部分新的控制目标。 COBIT 4.0中加入了 一个矩阵图,描绘了所有 IT 流程和治理域的对应关系 业务需求 以业务需求为原则,并且基于信息标准是 COBIT 的基本原则。由 Antwerp 大学进行的 IT 如何为业务目标提供支持的更广泛的研究涉及

11、了各个不同的 行业,提供了普遍通用的业务目标和 IT 目标。 COBIT 中提供了一个表格来说明业务 目标、 IT 目标和 COBIT IT流程的关系,以帮助用户确定他们组织业务与 IT 的联接 。这还常被用来改善目标和绩效评价体系 协调一致帮助用户更方便地将 COBIT 与其他更具体的指导进行整合,如ITIL, ISO 17799, PMBOK以及 PRINCE 2。 COBIT 4.0中使用的术语和原理较之以 前,更加协调。 价值创造 由于 COBIT 的审计起源, COBIT 很强调风险管理的控制。 COBIT 4.0 更好地平衡了风险与价值,并吸取了 IT 价值管理的最新研究成果。 企

12、业结构 COBIT 4.0提供了 RACI 图表(Responsible-负责执行任务的角色、 Accountable-对任务负全责的角色、 Consulted-提供信息辅助执行任务的人员、 Informed-拥有既定特权、应及时得到通知的人员阐明每个 IT 流程的角色和职责 。结合着目标、资源、信息和流程,框架中还解释了企业结构原则。 流程定义及流程信息流 为了改善对 IT 流程模型的理解, COBIT 4.0提供了对 每个流程的描述,包括流程的输入与输出及与其他流程的关系。 语言与表述 在 COBIT 4.0中使用了更加简练、符合时代发展及行为导向的语 言。控制目标和管理指南的内容根据 I

13、T 流程结合起来。 COBIT 4.0的核心内容只有 一本书。 反馈 定期的来自用户的注释和建议,以及来自 COBIT 用户大会的回馈信息促 进了 COBIT 4.0的内容的完善。COBIT 4.0中的主要变化 ?以下描述了 COBIT 的主要变化区域和增强区域。框架 虽然仍然还是 4个域和 34个流程,但每个域的范围和一些流程会有些变化: 规划与组织PO4 定义 IT 组织和关系,现已扩展到涉及 IT 流程、关系和组织PO5 IT投资管理,已更偏重于价值创造PO8 确保遵从外部需求,现已删除,这方面要求体现在新的 ME3中。PO10 质量管理,现已变成 PO8。现在 PO 域只有 10个流程

14、。 获取与实施AI4 开发流程,现已被扩展并叫做授权操作和使用。增加了一个新的流程 -获取 IT 资源作为 AI5(以前的 AI5变成 AI7放在生命周期中更合 理的位置 AI6中有关发布管理的部分也整合到新的 AI7中,与 ITIL 原则结合得更加 紧密。 交付与支持DS8更名为服务台和事件管理DS10更名为问题管理,并且只涉及问题管理,这与 ITIL 指南一致。DS11数据管理,现在只处理数据管理目标,与应用控制相关的目标转移到框架的 其他部分。因为应用控制通常与业务流程相结合,而不是 IT 流程。 监督与评估ME1 IT绩效管理更名为 IT 绩效监督与评估,主要服务于流程职责的需求。ME

15、2内部控制监督更名为内部控制监督与评估,主要服务于对 IT 整体负责的人的需 求。ME3由原来不被认为是 IT 流程的提供独立审计变更为确保法规遵从。 ME3对外部法 规、法律和合同要求做出回应,并且来自原来的 PO8。ME4由原来的获取独立的保证变更为提供 IT 治理,服务于整个企业职责。 IT资源由原来的 5项变为新的 4项:人员信息 , 取代了数据应用软件基础架构 , 取代了技术和设施控制目标和管理指南 高级控制目标介绍仍然呈现为瀑布流模式,但被修正为以下格式:对。 IT 流程的控制使 IT 。满足业务需求由。来实现,由。来管理,由。来衡量 控制目标和管理指南被整合到一本书中,展示了所有

16、的 IT 流程。为所有用户提 供了简单易用的操作手册。 增强的详细控制目标改善了 IT 治理的范围并与其他实践协调,同时结合了用户 的回馈。目标的数量和文本的页数减少了大概 20%,并且它们的表述更加以行为为 导向而且简明。许多第三版本的控制目标都是可以普遍找到的,所以这些都用框 架中一个简短的常用列表来代替了。 每个 IT 流程现在都有基本输入 /输出的描述 , 确定它从哪个流程来,到哪个流程 去,或是否有其它路径。这些输入 /输出的连接使 CobiT 中的关键流程被确定下来 。 对于每个 IT 流程,新增加的信息描述了流程活动(说明性的但不详尽的和流 程负责人,而且加入了职责说明。这被表述

17、为与 RACI 图表连接的关键活动清单, RACI 使用了业务与 IT 中的常用角色清单。 矩阵表明一般业务目标和 IT 目标的关系,并在附录中说明了他们如何绘制到 IT 流程中。这份材料被用作增强 COBIT 4.0中的目标和评价体系,并且帮助从业务角 度证实 COBIT 包括的范围。 经过修正和改良的目标和评价体系(KPI 和 KGI 提供了更好的业务方向和对每 个流程目标及 IT 整体目标的更多关注。 KPI 和 KGI 在结构和内容上有显著的改善。 每个流程的主要活动都有更多或更少的为 IT 流程本身和整个 IT 可度量评价体系。 这使用户能够区别流程的绩效指标、流程的目标指标和 IT

18、 的目标指标。所有这些 第三版本的关键成功因素被两个新的术语取代:来自其他域的流程作为输入项 是所需的成功因素,关键管理实践或行动目标是流程负责人必须处理的关键成功 因素。 成熟度模型重新排列成新的流程结构,成熟特征表也经过改善和修正,有以下 一些新的特征: 意识和交流 政策、标准和程序 工具和自动化 技能和技术 职责和责任 目标设定和度量控制实践修改并更新控制实践,以便与新的控制目标保持一致。审计指南目前的审计指南是 1996年先于管理指南和控制实践提出的,因此,审计指南的建 立只与控制目标有关系。他们描述并支持了控制评估的一般审计流程、符合性测 试和实质风险。在新版本中,审计指南将被 CO

19、BIT 的 IT 确认指南所代替,它将描述 COBIT 如何能够 支持已包括在审计指南中的若干确认技术。 风险评估概念 业务风险 /价值评估 确认计划和范围 控制评估与测试 控制及流程成熟度 (自评估 实质风险和有效报告因此,新版本将提供比审计指南更多的指导,并且会涉及 COBIT 的所有方面。目 前版本的审计指南将由以下更全面的内容代替: 询问谁 RACI 表 获取什么流程输入 评估什么控制目标和控制实践 测试什么确认步骤,这将被增加到控制实践中去 要证实并确认的术语流程输入和输出, KPI 和 KGI , COBIT online基准。支持每个技术问题所需的详细内容仍将保留在 COBIT

20、online中,并可以下载一些 确认模板。这些都将在 2006年见到。对目前用户有何影响 ? COBIT 4.0是由 COBIT 第三版本发展而来的,并且本质上基于同样的核心原则和 结构。 因此,没有必要“放弃”已经做过的工作 COBIT 4.0从 COBIT 第三版本发展而来,并且提供了经过改善的内容,增加了一 些专业术语。 附录中收录了所有的相关文献,说明了流程和控制目标如何综合地给出指导, 帮助转换现有的任何文档及一些新出现的工具。 度量标准也是基于同样 KGI/KPI原则,在第三版本的基础上有所改进,提供了更完善的业务导向以及帮助用户定义更好的评价方法的例子。 与流程描述、行为和职责相

21、关的新版本将使每个流程的范围和目的更容易理解,并使流程负责人更加清晰。因此,使用 COBIT 实施或改善 IT 流程的效果就会增强。 新的确认指南将对现有的审计指南进行扩展,增加一些新的方法,涉及 COBIT4.0的全部内容 2006年的大半年中, COBIT online 将同时存在两个版本。一个是冻结的第三版本的 COBIT 在线,一个是将持续维持的知识库 COBIT online4.0版。因此,COBIT online的用户将得到全面的支持。 COBIT的派生产品,如 COBIT 安全基准、 COBIT Quickstart、 IT 治理实施指导、萨班斯 IT 控制目标和 COBIT m

22、apping报告,也将重新组合并更新。COBIT 4.0如何使用户受益 ?COBIT 4.0中的变化是有益的,并且应该帮助用户获取以下收益: 更完整、更全面地覆盖 IT 治理帮助聚焦在正确的地方,并且帮助 IT 管理者和审计师证明 IT 处在多么有效的治理之下。 更容易理解并且有更容易实施的内容为股东在设定组织目标和理解问题方面提供帮助。 与其他实践更好的兼容帮助整合,并使 COBIT 像“雨伞”框架一样使用。 增强 IT 流程信息、业务导向目标、标准以及精确的成熟度模型帮助用户将IT 治理与业务驱动更好地整合在一起,然后测量流程的执行性能和绩效。IT 交付和支持的控制 COBIT 系列讲座之

23、三IT 治理的提出,为企业在实现业务目标的同时,平衡 IT 投资和风险方面提供一种机制。为了确保企 业能够实现业务目标,实现在风险管理和收益实现间的有效平衡,指导和管理各类 IT 活动就显得非常迫COBIT 包含 34个信息技术过程控制, 并归集为四个控制域:IT 规划和组织 (Planning and Organization 、 系统获得和实施(Acquisition and Implementation、交付与支持(Delivery and Support以及信息 系统运行性能监控(Monitoring 。在本次系列讲座中,我们将对每一个控制域(Control domains内 的过程控

24、制有选择的展开论述。在 IT 治理中, 确保 IT 投资的有效性和高效性是我们关注的核心焦点; IT 投资是否能够满足业务需求 是投资收益的关键,而 COBIT 中的 IT 交付和支持的过程控制正是为企业提升 IT 系统投资回报率服务的。 下面,我们从控制和管理的角度来分析 COBIT 所提出的 13个需要控制的 IT 交付和支持流程。定义和管理服务品质系统用户对于系统的要求与 IT 部门对系统的要求是不同的;而服务品质正是为用户和信息技术部门 建立了一座沟通的桥梁。对于这个流程的控制, COBIT 要求所定义的服务品质是可以衡量的,内容包括服 务品质本身的文字描述;服务提供方和服务使用方的责

25、任;系统服务的反应时间;相关信息的保密;使用 方满意的标准;所要求服务的成本收益分析等。控制第三方服务如今很多企业把信息系统服务和系统本身的维护交给第三方来管理。这种模式有很多优越性,但同时 导致企业对信息系统服务质量的控制能力变弱,这时候就需要加强对第三方服务提供者的控制。 COBIT 在 该流程的控制中,关注的内容有:第三方服务协议;信息保密协议;服务交付的监督和汇报机制;第三方 服务的风险评估;服务品质实现的奖惩机制等。控制系统的性能和能力系统的性能和能力直接关系到信息服务的及时性和准确性。 COBIT 要求系统的性能和能力必须能够满 足业务要求,并且能够以最有效和最经济的方式满足服务品

26、质中所定义的要求。为此,企业需要对系统所 表现的性能、能力和工作负荷进行评估,以满足服务品质的要求。 COBIT 重点关注:业务对系统性能和能 力的需求;系统性能和能力的管理机制等。控制服务的持续性从技术的角度和成本收益的角度来说,企业无法获得百分之百的系统可靠度。系统故障发生的可能性 总是客观存在的;而如何在系统出现故障的时候把对业务活动的影响控制在最小程度是决定业务运行安全 的重要因素。 COBIT 在这个方面重点关注内容包括:是否有合理的系统故障重要性分类;故障发生时是否 有业务活动的替代流程;是否有备份和恢复程序;是否定期对系统的软硬件进行测试并对相关人员进行培 训等。控制系统安全尽管

27、访问信息时有严格的限制,但是消除这种限制却非常简单,所要做的只是获得一组数字或字母。 业务需求除了要求系统从功能上满足外,同时也必须反应出业务运行中的秩序和相应的控制机制。 COBIT 关注和审核的对象包括:对信息机密程度和有关隐私信息的定义;授权,身份甄别和系统访问的控制;系 统用户的识别和授权的相关信息;密钥管理;防火墙的管理等。识别和分摊成本由于对信息服务的品质作了明确具体的定义和要求,信息服务所提供的价值与过去相比有了很大的改 进;同时业务要求越高,获得服务的成本也就越高。从投入产出比最大化的角度来说,业务部门必须要能 够以最经济的成本满足业务需求。在对该流程的控制中, COBIT 关

28、注的内容包括:企业是否明确了解所利 用的信息资源以及这些资源是否可度量;企业是否定义和执行完善的计费政策和程序;企业如何核实所实 现的收益等。教育和培训最终用户对最终用户的培训是确保实现服务品质要求、满足业务要求的重要环节。这个教育和培训的过程是为 了确保用户能够有效使用技术并在使用过程中明确技术带来的风险以及自己所应该承担的职责。 COBIT 要 求企业在提供综合性的培训和发展计划的同时,要考虑到培训课程的设置、技术的储备、意识的培养、新 的培训方法的运用、个人的学习效率以及知识库的开发等。协助用户业务部门在使用信息部门提供的服务过程中,经常会出现各种各样的问题。有些问题与用户的使用技能有关

29、,有些问题是由于业务环境变化需要对系统进行相应的调整,也有些问题是系统本身的技术原因造 成的。无论是哪种因素引起的,信息服务部门和业务部门之间必须建立相应的流程,对这些问题在第一时 间进行及时和有效的处理。 COBIT 在该过程控制中关注的焦点有:用户问题的监控和处理;潜在问题和趋 势的分析和报告;问题的追踪等。配置管理系统的复杂性给信息服务部门的日常管理带来了极大的困难,这就要求信息服务部门对系统有个全面 的描述和记录,以便在系统出现问题时及时寻找解决方案,同时防止系统各类参数和设置在XX的情 况下被人为的改动。 COBIT 在该过程控制中关注的内容有:IT 资产的跟踪;配置变更的管理;企业

30、是否使 用了未授权的软件;软硬件的关联和集成度的记录描述等。问题和事件管理在信息服务的交付和支持过程中,问题和突发事件随时都有可能存在。为了减少这类问题和事件的重 复发生,企业内部必须建立相应的问题和事件的处理机制,通过对所发生事件的分析,杜绝类似问题的重 复发生,从而在不确定环境中寻找主动解决问题的机会。 COBIT 在对该过程的控制中关注的内容有:问题 审计线索和解决方法;所报问题的处理和解决的及时性;逐级上报程序的有效性;事件记录的完整性;系 统提供商的责任定义以及变动管理与问题和事件管理的协调性等。数据管理数据是信息服务中最基本的组成元素。确保数据在输入、更新和存储过程中的完整性、准确

31、性和有效 性是信息服务管理中的核心环节。在这个过程中, COBIT 的主要控制目标涵盖了数据的整个生命周期中的 不同阶段和特征:它包括数据的格式;源文档的控制、数据输入、处理和输出的控制;数据存储媒质的识 别、移动和数据存放点的管理;数据备份和恢复、数据验证和完整性的管理、数据所有权的定义、数据管 理政策、数据模型和数据标准、整个系统应用平台上的数据的一致性;以及涉及数据管理的法律和法规要 求等。设施管理系统设施的有效管理是 IT 及时有效交付的保证。在这个过程中,信息服务部门需要提供合适的物理环境来保护 IT 设备和相关人员免受人为的和非人为的危害。 为了确保有效性, COBIT 的控制目标就是为了 让企业有合适的系统安置环境以及对安置环境有很好的物理控制,并且对定期的控制有效性进行评估。在 控制目标的审核中, COBIT 重点关注:对设施访问的控制;物理环境的安全性;业务持续性机会和危机管 理机制的合理性;相关人员的健康和安全等。运营管理信息系统的运营管理贯穿整个信息服务的生命周期,它所要达到的目的是确保重要的系统支持功能都 能够得到定期和有序的管理。 这个过程事实上是一系列支持性活动, 并对所有的支持活动进行跟踪。 COBIT 在该过程控制中主要关注:企业是否具备运