COBIT简介
一、什么是COBIT?
COBIT的含义是“信息及其相关技术控制目标”(Control Objectives for Information and related Technology),是一个在国际上得到公认的、先进的和权威的安全与信息技术管理和控制标准,它在业务风险、控制需要和技术问题之间架起了一座桥梁。面向业务是COBIT的主题,它不仅是为用户和审计师而设计,而且更重要的是它可以作为管理者及业务过程的所有者的综合指南。 COBIT标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。COBIT从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制目标、审计方针和对IT处理过程进行评估的方法。 COBIT是由国际组织ISACA(信息系统审计与控制协会)制定的,ISACA总部设在美国,在ari100多个国家设有160个分会,现有会员超过4万人。ISACA主要负责制订信息系统审计准则、实
务指南等专业规范来指导信息系统审计师的工作, ISACA每年为通过考试为从业人员颁发CISA证书,CISA资格在世界各国被广泛认可。
二、COBIT能给组织带来的利益
●有助于大幅提高组织对IT治理的接受程度,减少实施IT治理所需的时间;
●对IT审计方法与审计方案标准化,为正式的IT审计与检查提供指南,为识别所有的主要风险区域提供可靠的参考; ●IT运行管理人员通过COBIT可以了解审计师的关注点,有助于利用审计结果作为实施改善行动的机会;
●是实现IT治理目标的驱动力,可以帮助组织完善IT实务和IT过程;
●为组织提供了一个经济的、可持续完善的控制框架,控制IT建设过程中的风险,并提供一个有价值的参照基准,使得管理层对控制的决策可以基于一个可信的来源;
●有助于在业务与IT之间搭起沟通的桥梁,完善业务人员与IT管理人员的关系
三、COBIT的历史
●COBIT第一版由信息系统审计与控制基金会(ISACF)于1996年发布。
●COBIT第二版于1998年出版,修订了高层控制目标与详细控制目标,增加了实施工具集(Implementation Tool Set)
●信息系统审计与控制协会(ISACA)及其相关的基金会在1998年创立 IT治理研究院(ITGI),由ITGI制定并发布了COBIT第三版,加入了管理指南,以及扩展和加强了对IT治理的关注;
●COBIT基于ISACF的建立的IT控制目标,参照了其他控制框架、行业标准;
●ITGI于2005年底发布了COBIT第四版,这一版对IT某些过程进行了调整,强调了IT控制与IT治理五个领域的对应关系
jw2005四、COBIT框架模型
如下所示的COBIT模型表明,企业在进行IT控制时,必须将IT资源、信息准则、IT过程与
企业的策略与目标紧密联系起来,形成一个三维的体系结构。其中,IT准则集中反映了企业的战略目标,IT资源是信息化控制的主要对象,IT过程是在准则指导下,管理IT资源的方式。如图3所示。
COBIT控制框架为业务过程所有者提供了一个工具,以方便他们履行职责。该框架基于这样一个简单和实用的前提:为了提供组织需要用来实现其目标的信息,IT 资源需要被一组肉蒲之极乐宝鉴
自然组合的过程管理起来。cnki免费入口
该框架提出了34个的高层控制目标,每个目标都针对特定的IT过程;这些高层控制目标又可组合为策划与组织、采购与实施、交付与支持、监控四大领域。这个体系覆盖了信息及其相关技术的所有方面。通过实现这34个高层控制目标,业务过程所有者可以确保为IT环境提供了一个充分的控制系统。
五、COBlT的体系架构
COBIT具有完整的体系架构,如下图所示。上面的部分可以供董事会或者执行层参考。中间部分关注管理层,因为管理层重视测控和基准。下面部分提供了对实施的详细支持,并确保有足够的IT控制和管理。在使用COBIT时,可以综合使用各个部分进行管理,因为COBIT是面向过程的,所以,可以用它来了解IT控制目标并控制与IT相关的商业风险。学生成绩管理系统论文
1.《执行概要》
《执行概要》是对COBIT概念和原理的总体解释,《执行概要》定义了COBIT中的概念和原理以及其他各部分的大纲。为了提供组织为达到其目标所需要的信息,IT资源需要由一套整合的流程来管理。其中,COBIT把信息标准定义为7种:有效性、效率性、机密性、完整性、可用性、符合性、可靠性。IT资源定义为5类:人员、应用、技术、设施、数据。IT过程分为4个领域:计划和组织、获取和实施、交付和支持、监控。这个结构覆盖了信息及其支撑技术的各个方面。
黑障区
2.《控制框架》
COBIT的《控制框架》为企业过程拥有者提供了一个促进其履行职责的工具,提供信息化控制指导。它指出这些IT过程影响到哪些信息标准,涉及到哪些IT资源,从而把IT过程、IT资源和信息连接到企业战略和目标上去,使计划和组织、获取和实施、交付和支持、监控IT绩效以最优的方式一体化,使企业充分利用其信息并因此而使利润最大化,抓住每一个机会,赢得竞争优势。
3.《管理指南》
《管理指南》是COBIT最近发展的理论,它进一步加强企业管理以更有效地处理业务需求和信息化控制要求。《管理指南》定义了IT过程的成熟度模型,为管理者评估IT过程的状态提供了标准。同时也给出了一些重要的测度,这包括:关键成功因素、关键目标指标、关键绩效指标。帮助提供典型管理问题的答案:我们该控制IT到什么程度,成本和收益是否相符?有没有一个测量标准用于判断何时肯定会出现失败?怎样才算是好的性能?关键成功因素是什么?哪些是影响我们实现组织目标的风险,其他的组织在做什么?我们应该怎样进行测量与比较?
COBIT尤其是《管理指南》搭建了贯通业务风险、控制需要和技术问题这三者之间的桥梁。《管理指南》面向实施,是普遍情况的总结,同时为怎样得到企业信息和相关的处理提供了管理方向,这些相关处理包括控制、监控组织目标成果、监控和改进每个IT处理的性能和组织成就的基准。
4.《控制目标》
COBIT框架结构包含高层控制目标和其分类的整体结构。根本的分类理论是:考虑IT资源的管理时,就本质而言,有三个层次的IT行为。
(1)从底部开始,第一层是为达到一个可测量结果的活动和任务。尽管活动也有一个生命周期的概念,然而活动尚属于离散的行为,生命周期概念更强调不同于离散行为的典型控制要求。
(2)“过程”被定义在第二层(更高的一个层次),是一系列具有自然(或有控制的)间断的联合活动和任务。
(3)在最高层,过程被自然归组成域。它们的自然组合经常被作为组织结构的职责域,并与可应用于IT过程的管理周期或生命周期相一致。
COBIT提供了一套34个高层的控制目标,每一个目标对应着一个IT过程,一共组成4个域:规划和组织、获取和实现、交付和支持、监控。这种结构涵盖了信息和相关支持技术的所有方面。通过发布这34个高层控制目标,业务处理者可以确保对IT环境提供适当的控制系统。
在34个IT过程中,针对每个IT过程,给出了管理策略,包括:该IT过程满足了何种业务需求,应采用何种措施,它影响到哪些信息标准,涉及到哪些IT资源以及在该IT过程中应注意的事项。
控制目标下,又定义了318个具体的控制子目标。每个子目标从价值交付和风险管理的角度,再将子控制目标细化成可执行的控制实务(Control Practice或译为控制实践、控制实务),并为实施执行提供业务指导。IT控制实务是对应用COBIT的进一步阐述,同时为实践者提供了额外层次的详细说明。COBIT的IT处理,业务需求和详细的控制目标定义了要实施有效的控制结构需要做的事情。IT控制实务提供了更为详细的需求,并解释了管理层、服务提供者、最终用户和控制人员怎样以及为什么需要IT控制措施。
5.《审计指南》
《审计指南》通过审查实际的活动的表现,以确保能够满足高层和详细的控制目标。对应于34个高层控制目标的每一个目标,都有一个审计指南来评审IT过程,可以结合COBIT推荐的318个详细控制目标来提供管理保证或改进建议。《审计指南》为CIO和信息系统审计师对组织的信息系统进行分析、评估、实施、审计等提供了建议和指导。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议