CobiT终极大解密

发布时间：2006年08月10日点击数： 作者：ITgov 来源：本站原创

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:

Cobit

COBIT是信息及相关技术控制目标的缩写。

文件分类

COBIT被看作是IT治理、控制和保证的公认的最佳实务文件集合。

发行者

COBIT的第一版由信息系统审计和控制协会（ISACA）于1996年发行。在1998年，第二版在增加了控制目标和实施工具集后出版。第三版由IT治理研究院在2000年发行，增加了管理方针和其他详细的控制目标。现在CobiT已经更新至第四版。

准则或指南出版物的目的

COBIT的任务是：研究、发展、宣传权威的、最新的国际化的公认信息技术控制目标以供企业经理、IT专业人员和保险专业人员每日使用。

 

驱动实施指南（包括典型情况）的业务需求

COBIT常常在下列情形中实施：

l 有IT治理的需求

l IT所提供的服务与企业目标一致

l自动化/标准化IT程序的要求

l需要有一个全面IT程序框架

l过程要统一

l需要有一个质量管理系统框架

l定义一个结构性的审计方法

l合并或购并在发生

lIT成本控制的需要

l部分或所有的IT功能将外包

l关注对外部要求的遵从

 

相关的非遵从风险：

lIT服务的偏离及分歧

l由于偏离造成不能对企业目标支持

l由于偏离浪费的机会

l把IT作为一个黑箱来理解

l存在与管理措施和管理期望间的差距

l会造成只与关键个人而不与组织相联系

l过量的IT成本和间接费用

l错误的投资决策和项目

 

目标读者：

不同的组织、公众或私人公司和外部保险专业人员组成了相关的目标群体。在组织中，有三个层次：管理层、IT使用者和专业人员以及保险专业人员。

 

 

时效性：

尽管最近版本在2000年发行，它仍是较新的。在2003-04这个出版物出版时，对COBIT的最新修改包括：

lCOBIT Quickstart

lCOBIT在线

lIT治理实施指南

lIT控制实务

 

认证

CobiT审计指南依据控制目标提供相应的审计和自我评估条目。然而，CobiT的每一部分没有相应的认证。将来，在实施SAS 70检查的时候，注册会计师和特许会计师会经常使用CobiT架构。

 

作为CobiT的发明者——ISACA（国际信息系统审计与控制专业委员会）虽然没有针对CobiT的认证，但有相应的注册信息系统审计师(Certified Information System Auditor CISA)和注册信息系统安全管理员(Certified Information Security Manager CISM)。

 

通用性

COBIT在世界范围内使用。除了英文版之外，它还被译成西班牙语、德语、法语和其他几种语言。

 

完整性

如前所述，COBIT提出了一个IT管理责任的广阔范围。COBIT包括IT管理的所有重要部分，及由其他准则所涵盖的部分。尽管不包括技术性细节，但遵照控制目标的必要任务是不需加以说明的。因此，它被看作相对高的控制目标，目标是一般性而非具体性地完成。

 

可用性

可以登陆www.isaca.org/cobitonline 网站购买COBIT在线，COBIT在线允许使用者为他们的企业定制一个COBIT版本，然后储存和操作他们所想要的版本。它提供在线、实时调查和基准。COBIT的大多数部分是开放的，并且在ITGI 或ISACA的网站，www.itgi.org 或者www.isaca.org 能免费下载赠送版。对ISACA成员来说，已公布了审计方针的免费下载。作为选择，印刷本和全搜索CD-ROM可从ISACA的书店购买(bookstore@isaca.org).

Cobit相关过程

（+ ）提及 （—）未提及或很少提及

 

 

相关的信息标准

指南及其内容叙述

企业治理（管理和控制组织的系统）和IT治理（管理和控制组织的IT的系统）是——从  COBIT的观点看——高度独立的。没有IT治理，企业治理是不充分的，反之亦然。IT能延伸和影响组织的绩效，但它必须有充分的治理。另一方面，经营过程需要IT过程带来的信息，这种相互关系必须要加以治理。

在这个题目下，计划-执行-检查-行动（PDCA）循环开始变得明显。PDCA循环的概念经常在结构化的问题解决和持续发展过程中使用。PDCA循环也称为戴明循环或持续发展过程的戴明轮。信息需求（公司治理）和信息提供（IT治理）必须与可衡量、建设性的指示器一起来规划（计划）。信息和可能的信息系统必须得到实施、发送和使用（执行）。发送和使用信息的结果按照在计划阶段所定义的指示器来衡量（检查）。产生的背离要得到调查并采取纠正行动（行动）。

考虑到这些独立性，很明显，IT过程不是它们本身的终结。它们是一种到达终点的手段，并和经营过程的管理高度整合。如下是IT治理研究院的定义：
IT治理是董事会和管理执行人员的责任。作为企业治理的一个不可分割的部分，它是一个由领导关系和组织结构过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程风险、增加价值来确保实现企业目标。

CobiT 架构
组织如同为所有的资产一样，也必须满足信息的质量、信用和安全要求。管理当局也必须充分利用可以得到的资源，包括数据、应用系统、技术、设施和人员。为履行这些责任并且达到它们的目标，管理当局必须了解它们自己的IT系统的状况并决定它们应提供什么安全和控制。

COBIT框架通过联结经营风险、控制需要和技术事务来帮助满足管理当局多样化的需求。它提供了通过一个范围和过程框架的良好的习惯做法，提供了在一个可控和逻辑结构内的活动。COBIT的良好的习惯作法反映了专家的一致意见，帮助充分利用信息投资活动，提供了判断如果事情作错了的措施。

CobiT 目标
CobiT提供了与IT流程相对的34个高级控制目标，这些控制目标分成四个域：规划与组织(Planning and organization),获取与交付(Acquisition and implementation),交付与支持(Delivery and support),监控(Monitoring)。四个域覆盖了信息和信息技术的所有方面，通过这34个高级控制目标，管理层可以确保为IT环境提供充分的控制系统。

 

管理指南（Management Guidelines）COBIT管理指南在IT控制和IT治理之间提供了连接。它们是普通的并以行动为导向,提供给管理层如下目的的具体指南和指导：获得控制下的企业信息和相关过程；监督组织目标的完成；在每个IT过程中监督和完善绩效和衡量组织的成绩。它们为下列典型的管理问题提供答案：
  在控制IT过程中我们应走多远？成本和收益能配比吗？？
  关键效绩指标有哪些？
  关键成功因素有哪些？
  如果不能达到目标，相应的风险是什么？
  还需要其它部门做是什么？
  我们如何按照行业内或国际标准当今情况来衡量和比较组织的成熟度
  组织发展的战略是什么？

控制实务（Control Practices）
IT控制实务通过给从业者提供附加的细节水平来扩展COBIT性能。COBIT IT过程、业务要求和详细的控制目标定义了要满足什么需求以实施一种有效的控制架构。IT控制实务提供了更详细的管理层、服务提供商、终端客户和控制专业人员如何及为什么需要，以实施高度具体的基于经营和IT风险分析之上的控制。

 

审计指南（Audit Guidelines）
分析、评估、解释、反应和实施。为了达到既定的目的和目标，企业必须持续进行审计检查。在控制目标的风险不能有效控制的情况下，审计指南提供符合34个高级控制目标的具体实施措施。

CobiT Quickstart

这个专用版本适用于中小企业及其它企业，这些企业信息系统不作为影响企业生存和发展的核心部分，但它可作为IT治理与适当控制水平的起始点。这一方案在对COBIT解释的完整形式的反馈中已被广泛接受，但由一个小的IT职员来操作往往没有足够的资源来实现所有的COBIT.这个COBIT版本 ;组成了整个COBIT体系的一个子集。只有那些最重要的控制目标被考虑在内，以至于COBIT基本原理能容易、有效相对快速的执行。

 

CobiT Online

CobiT在线版本允许用户根据自己情况定制出适合自己企业的CobiT版本，然后进行实施操作。它提供了在线的、实时的调查和基准线。

 

IT治理实施指南(IT Governance Implementation Guide)

IT治理实施指南的目的是为读者提供使用CobiT实施和改进IT治理的方法。该指南主要关注实施IT治理的通用方法，包括：

l 为什么IT治理是重要的及为什么组织应该实施IT治理

l        IT治理生命周期

l        CobiT 架构

l        CobiT与IT治理之间的联系及如何利用CobiT 实施IT治理

l        对IT治理感兴趣的利益相关者

l  使用CobiT实施IT治理的步骤
 

CobiT IT流程

IT流程划分成的四个域，如图一：

                 图1——CobiT IT流程划分的四个域

无论是IT提供的所有服务还是为核心业务提供的整体服务都需要进行规划，并与已有的规划进行整合，如图1。可以根据提供的各种服务来有选择地采取已有的规划或组织架构，随后实施服务，并考虑在线服务、提供和监控的预防措施。

 

从IT治理的角度来看，单一的服务流程是不全面的，必须集中关注PDCA循环模型，图2描述了高级的控制角色，这些角色可作为平衡记分卡的内容。

                

                        图2——平衡记分卡

从顶到底执行CobiT的方法，如图3：

         图3——从顶到底的方法

可以用下列信息描述每个流程：

l 高级控制目标

l 详细控制目标

l 受流程影响的信息标准

l 流程使用的IT资源

l 依靠成熟度模型的典型特征

l 关键成功因素

l 关键绩效指标

l 关键目标指标

信息标准

提供给核心业务的信息需要满足一定的标准，它们的特征如下：

l 质量需求

  Ø 效果——处理与业务过程相关及相应的信息，同时用及时、正确、一致和可用的方式交付。

  Ø 效率——考虑通过优化(最具生产力的和最经济的)资源使用来提供信息

l 安全需求

  Ø 机密性——关注敏感信息不被非授权泄露。

  Ø 完整性——与信息的准确性、完整性和效果有关，同时与业务价值和期望值保持一致。

  Ø 可用性——主要关注不论在当前还是将来，使用人在需要时都可获取信息和使用相关的资产。同时还关注必要资源和相关能力的保护。

l 信用需求

  Ø 符合性——进行业务处理时需要遵守一些外部强加的法律、法规和合同契约，符合性关注是否遵守法律、法规和合同契约。

  Ø 可靠性——为管理层提供适当的信息以经营业务，并行使财务和报告的权力。

IT资源

根据CobiT的定义，IT资源定义如下：

l 数据——是广义形式（内部和外部），结构化和非结构化，图形和声音等的对象。

l 应用系统——被理解为手工的和已编程的程序的总和。

l 技术——涵盖硬件、操作系统、数据库管理系统、网络系统和多媒体等

l 设施——是包括场所在内的所有支持信息系统的资源

l 人员——包括员工进行规划、组织、采购、交付、支持和监控信息系统和服务的技能、知识和生产力。

 

CobiT 模型

CobiT将IT过程、IT资源及信息与企业的策略与目标联系起来，形成一个三维体系结构，如图4。

                图4——Cobit模型

使用CobiT实施IT治理

IT治理及其流程是一个周期性评估的过程，需要与既定的标准进行比较，及时有效地采取控制措施。这种方法遵循下列控制原则，如：每个人都需要了解使用加热系统（流程）室温（标准）设置的流程，同时不断与周围温度（控制信息）进行比较，并采取相应措施调节温度（措施）。这个模型及其原则识别了应用于所有流程的关键成果因素，如：标准是什么，谁来设置，谁来进行或需要采取的行动等。

参考资料

ISACA    www.isaca.org

IT Governance Institute  www.itgi.org

CMM     www.sei.cmu.edu

(+) 经常提及 (o) 适度提及 (-) 未提及或很少提及

 

 

涉及的IT资源

(+) 经常提及 (o) 适度提及 (-) 未提及或很少提及