本文节选自《信息化绩效评价：框架、实施与案例分析》，孙强、郝晓玲

4.5 COBIT中对于IT资源、IT准则和IT过程都是如何定义的？

资源

COBIT中定义的IT资源如下：

（1）数据：是最广泛意义上的对象（如外部和内部的）、结构化及非结构化的、图形、声音等。

（2）应用系统：手工的以及计算机程序的总和。

（3）技术：包括硬件、操作系统、数据库管理系统、网络、多媒体等。

（4）设备：包括所拥有的支持信息系统的所有资源。

（5）人员：包括员工技能，意识，以及计划、组织、获取、交付、支持和监控信息系统及服务的能力。

准则

通常，企业目标映射为IT目标，意味着从业务的观点看，IT必须满足哪些准则，才能保证其收益的实现。这意味着从业务的观点来看，信息系统应该具有：

l  有效性：既能处理与业务过程有关的信息，又能以及时、正确、一致和可用的方式交付。

l  效率：考虑通过最优的（最有效及最经济的）资源利用来提供信息。

l  保密性：考虑保护敏感的信息免于暴露给未经授权的人。

l  完整性：既关系到信息的正确性和完全性，又关系到与业务价值和期望的一致性。

l  可用性：主要关注不论在当前还是将来，用户在需要时都可获取信息。同时还关注必要资源和相关能力的安全保护措施。

l  符合性：是指IT与商业过程必须遵从的法律、法规和合同规定是否相一致的问题，例如：必须与企业外部征税准则相一致。符合性关注是否遵守法律、法规和合同规定。

l  可靠性：为管理层开展业务经营提供适当的信息，并且利益相关者获取的财务报告等信息是真实可靠的。

这里需要指出，所有的控制准则并不一定必须同样程度地影响IT资源。因此，COBIT框架结构特指处于考虑中的过程（而不是那些仅仅参与的过程）所管理的IT资源的适用性。

此外，所有的控制准则并不一定必须同样程度地满足不同的业务信息需求。在COBIT中有“主要”和“次要”之分，“主要”是指已定义的控制目标直接影响相关信息准则的程度。“次要”是指已定义的控制目标在一个较小范围内或是间接地满足相关信息准则的程度。

过程

IT资源，包括人员、应用系统、技术、设施和数据等资源需要通过一定的组织才能够实现价值，这也意味着需要在各种IT领域的过程中正确使用IT资源。

对于企业的IT过程而言，在这里进行更详尽的解释。企业的信息系统是由一个个功能组成的，它们对应于企业经营领域的一个个活动。这些活动可以按照彼此之间关系的紧密程度或者目标的一致程度归结为一些过程，例如，定义IT战略规划、定义信息体系结构、管理IT投资、风险评估，等等。过程之间的自然组合形成企业的域，与企业结构的职责域相对应。因此，对企业IT资源的管理和控制就分布在相应的三个层次上——活动/任务层、过程层和域层。如下图所示。

最底层（也就是分的最细化的层次）包含可测量结果的活动或任务（活动有一个生命周期的概念，然而任务是离散的不连续的）。在这个层次上，任何活动或任务都能得到有效的评测和控制，可以认为这些活动或任务是一个个可测量与评估的单元，通过对这些单元的评测和控制，从而达到积少成多，完成对整个过程的控制。

第二层定义为“过程”，是一系列具有自然（或有控制的）间隔的活动和任务的组合。在这个层次里面，过程是由一个个相互关联的活动所组成，完成相对独立的一个功能。

欢迎您与作者探讨您的观点和看法，联系电话：010-51657848

电子邮件：GOV#ITGov.org.cn(请将#替换为@) 。