CobiT 目标
CobiT提供了与IT流程相对的34个高级控制目标,这些控制目标分成四个域:规划与组织(Planning and organization),获取与交付(Acquisition and implementation),交付与支持(Delivery and support),监控(Monitoring)。四个域覆盖了信息和信息技术的所有方面,通过这34个高级控制目标,管理层可以确保为IT环境提供充分的控制系统。
管理指南(Management Guidelines)
COBIT管理指南在IT控制和IT治理之间提供了连接。它们是普通的并以行动为导向,提供给管理层如下目的的具体指南和指导:获得控制下的企业信息和相关过程;监督组织目标的完成;在每个IT过程中监督和完善绩效和衡量组织的成绩。它们为下列典型的管理问题提供答案:
l 在控制IT过程中我们应走多远?成本和收益能配比吗??
l 关键效绩指标有哪些?
l 关键成功因素有哪些?
l 如果不能达到目标,相应的风险是什么?
l 还需要其它部门做是什么?
l 我们如何按照行业内或国际标准当今情况来衡量和比较组织的成熟度
l 组织发展的战略是什么?
控制实务(Control Practices)
IT控制实务通过给从业者提供附加的细节水平来扩展COBIT性能。COBIT IT过程、业务要求和详细的控制目标定义了要满足什么需求以实施一种有效的控制架构。IT控制实务提供了更详细的管理层、服务提供商、终端客户和控制专业人员如何及为什么需要,以实施高度具体的基于经营和IT风险分析之上的控制。
审计指南(Audit Guidelines)
分析、评估、解释、反应和实施。为了达到既定的目的和目标,企业必须持续进行审计检查。在控制目标的风险不能有效控制的情况下,审计指南提供符合34个高级控制目标的具体实施措施。
CobiT Quickstart
这个专用版本适用于中小企业及其它企业,这些企业信息系统不作为影响企业生存和发展的核心部分,但它可作为IT治理与适当控制水平的起始点。这一方案在对COBIT解释的完整形式的反馈中已被广泛接受,但由一个小的IT职员来操作往往没有足够的资源来实现所有的COBIT.这个COBIT版本 ;组成了整个COBIT体系的一个子集。只有那些最重要的控制目标被考虑在内,以至于COBIT基本原理能容易、有效相对快速的执行。
CobiT Online
CobiT在线版本允许用户根据自己情况定制出适合自己企业的CobiT版本,然后进行实施操作。它提供了在线的、实时的调查和基准线。
IT治理实施指南(IT Governance Implementation Guide)
IT治理实施指南的目的是为读者提供使用CobiT实施和改进IT治理的方法。该指南主要关注实施IT治理的通用方法,包括:
l 为什么IT治理是重要的及为什么组织应该实施IT治理
l IT治理生命周期
l CobiT 架构
l CobiT与IT治理之间的联系及如何利用CobiT 实施IT治理
l 对IT治理感兴趣的利益相关者
l 使用CobiT实施IT治理的步骤
CobiT IT流程
IT流程划分成的四个域,如图1:
无论是IT提供的所有服务还是为核心业务提供的整体服务都需要进行规划,并与已有的规划进行整合,如图1。可以根据提供的各种服务来有选择地采取已有的规划或组织架构,随后实施服务,并考虑在线服务、提供和监控的预防措施。
从IT治理的角度来看,单一的服务流程是不全面的,必须集中关注PDCA循环模型,图2描述了高级的控制角色,这些角色可作为平衡记分卡的内容。
图2——平衡记分卡
从顶到底执行CobiT的方法,如图3:
图3——从顶到底的方法
可以用下列信息描述每个流程:
l 高级控制目标
l 详细控制目标
l 受流程影响的信息标准
l 流程使用的IT资源
l 依靠成熟度模型的典型特征
l 关键成功因素
l 关键绩效指标
l 关键目标指标
信息标准
提供给核心业务的信息需要满足一定的标准,它们的特征如下:
l 质量需求
Ø 有效性——处理与业务过程相关及相应的信息,同时用及时、正确、一致和可用的方式交付。
Ø 效率——考虑通过优化(最具生产力的和最经济的)资源使用来提供信息
l 安全需求
Ø 机密性——关注敏感信息不被非授权泄露。
Ø 完整性——与信息的准确性、完整性和有效性有关,同时与业务价值和期望值保持一致。
Ø 可用性——主要关注不论在当前还是将来,使用人在需要时都可获取信息和使用相关的资产。同时还关注必要资源和相关能力的保护。
l 信用需求
Ø 符合性——进行业务处理时需要遵守一些外部强加的法律、法规和合同契约,符合性关注是否遵守法律、法规和合同契约。
Ø 可靠性——为管理层提供适当的信息以经营业务,并行使财务和报告的权力。
IT资源
根据CobiT的定义,IT资源定义如下:
l 数据——是广义形式(内部和外部),结构化和非结构化,图形和声音等的对象。
l 应用系统——被理解为手工的和已编程的程序的总和。
l 技术——涵盖硬件、操作系统、数据库管理系统、网络系统和多媒体等
l 设施——是包括场所在内的所有支持信息系统的资源
l 人员——包括员工进行规划、组织、采购、交付、支持和监控信息系统和服务的技能、知识和生产力。
CobiT 模型
CobiT将IT过程、IT资源及信息与企业的策略与目标联系起来,形成一个三维体系结构,如图4。
使用CobiT实施IT治理
IT治理及其流程是一个周期性评估的过程,需要与既定的标准进行比较,及时有效地采取控制措施。这种方法遵循下列控制原则,如:每个人都需要了解使用加热系统(流程)室温(标准)设置的流程,同时不断与周围温度(控制信息)进行比较,并采取相应措施调节温度(措施)。这个模型及其原则识别了应用于所有流程的关键成果因素,如:标准是什么,谁来设置,谁来进行或需要采取的行动等。
参考资料
ISACA www.isaca.org
IT Governance Institute www.itgi.org
CMM www.sei.cmu.edu
Cobit 就分析到这里,下一主题是 ITIL。
图1——CobiT IT流程划分的四个域
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]
