一、背景
现在,出现了一些描述信息系统控制最佳实务的标准, 它们有效地规定了如何最好地管理不同组织的信息化建设与运营。除了国际标准化组织之外,一些私人或半私人组织也公布了建议指南。然而,至今还没有一个共同框架有效地对它们做出比较。
中国IT治理研究中心,在深入研究Cobit,ITIL,BS7799,COSO等国际通用IT控制框架的基础上,对它们进行相互比较,形成了一个共同框架,供大家参考。通过使用这个框架,加强IT职能的详细比较和合理管理,CIO就能更好地向股东提供理解IT处理和服务的能力,帮助股东更好地做出决策。同时,股东也得到了IT治理的工具,对IT进行管理,以满足公司业务发展需求。
二、标准/指南概览
该文件不包括详细概览;它仅仅介绍了最流行的IT控制指南的总括或者IT任务和责任的最小部分。主要包括如下:
l COBIT------信息和相关技术的控制目标最初是作为IT处理过程和将IT与公司业务要求相连接的控制框架。它最初主要由保险组织和公司、IT程序所有者共同使用。从1998年的管理方针的增加版开始,COBIT现在越来越多地作为IT治理框架来使用,提供诸如衡量标准和成熟度模型的管理工具以补充控制框架。
l ITIL------IT基础结构库收集了在IT服务管理方面的最佳实务。它关注于IT服务过程并考虑了使用者的核心作用。
l ISO/IEC17799:2000------信息安全管理实务准则是一个基于BS7799-1国际标准。它是作为实施信息安全管理的最佳实务来提出的。
l ISO/IEC 13335-----IT安全管理指南,不仅包含战略规划方面的IT安全管理,而且包含实施和维护方面的IT安全管理。
l ISO/IEC 15408-----安全技术----IT安全评估标准是作为IT产品和服务的评估和保证参考来使用的。
l TICKIT----TICKIT提供了一个软件质量管理系统的保证方法。目的是要提高质量管理系统和目标客户、供应商和保险专业人员的效率。
l NIST800-14------特别报告书“公认安防信息技术系统原则和实务”包含建立全面IT安防程序的信息。
l COSO------综合性框架,给引进内控的完整过程定义了一个框架。
三、内容说明
为了能对每个标准或指南报告做出合理的比较,在评估所有指南时使用的分类策略定义如下:
资料类别
它是一个国际标准还是国家标准,它包括最佳实务吗等等?
发行者
它指标准与指南发行实体。哪个机构负责定义并保持其最新?
准则或指南发布的目标
文件的主要目标是什么?例如,指南可关注于信息安全管理、基线保护、软件开发指南或战术性事务管理。
驱动实施指南的业务需求,包括典型情况
实施指南的公司案例都有哪些?实施指南的典型情况都有哪些?
相关的非遵从风险
不执行指南的公司,面临什么风险?
目标读者
有没有特殊的目标读者 ?他们都是什么人?比如,公共机构,保险专业人员,安全管理人员或普通IT专业人员是目标读者 吗?
时效性
指南是最新的吗?有多长时间它会被修改和发布?
认证
有证明路径吗?要证明什么?谁可充当证明主体?
通用性
准则是在国际范围内使用或仅仅局限于一定的区域?可以得到使用方面的信息吗?
完整性
完整性可按两维来分类:
l 垂直-----按照技术和运营深度来说,指南要达到怎样的细节程度?
l 水平-----指南有多完整?
可用性
信息如何获取和从哪里获取?
信息标准
该部分所提及的COBIT信息标准有:
l 有效性
l 效率
l 机密性
l 完整性
l 可用性
l 符合性
l 可靠性
IT资源
该部分关注于由各自的指南所指引的COBIT IT资源,它们是:
l 人员
l 应用软件
l 技术
l 设备
l 数据
指南及其内容的描述
该指南所涉及的基本概念是什么?
相关链接:
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]
