1、一、IT 治理路线图二、COBIT 原理三、COBIT 模型四、COBIT 域1.规划与组织(PO,Planning and Organization)3 交付与支持(DS ,Delivery and Support)PO1制定 IT战略规划PO2确定信息体系结构PO3确定技术方向PO4定义 IT组织与关系PO5管理 IT投资PO6传达管理目标和方向PO7人力资源管理PO8确保与外部需求一致PO9风险评估PO10项目管理PO11质量管理DS1定义并管理服务水平DS2管理第三方的服务DS3管理绩效与容量DS4确保服务的连续性DS5确保系统安全DS6确定并分配成本DS7教育并培训客户DS8为客户提
2、供帮助和建议DS9配置管理DS10处理问题和突发事件DS11数据管理DS12设施管理DS13运营管理2.获得与实施(AI, Acquisition and Implementation) 4 监控(M ,Monitoring)AI1确定自动化的解决方案AI2获取并维护应用程序软件AI3获取并维护技术基础设施AI4程序开发与维护AI5系统安装与鉴定AI6变更管理M1过程监控M2评价内部控制的适当性M3获取独立保证M4提供独立的审计五、COBIT 产品家族六、IT 规划和组织的控制 COBIT 系列讲座之一IT 治理的提出,为企业在实现业务目标的同时平衡 IT 投资和风险方面提供一种机制。为了确保
3、企业能够实现业务目标,实现在风险管理和收益实现间的有效平衡,指导和管理各类 IT 活动就显得非常迫切。国际信息系统审计与控制协会提出了“信息系统和技术控制目标“(COBIT )。作为 IT 治理的核心模型,COBIT 包含 34 个信息技术过程控制,并归集为四个控制域:IT 规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)以及信息系统运行性能监控(Monitoring)。在本次系列讲座中,我们将对每一个控制域( Control domains)
4、内的过程控制有选择的展开论述。对于一个在 IT 应用方面成熟的企业,任何在 IT 方面投资,之前都会有一个详细的规划和论证过程。同时,信息组织结构和职能的优化也是伴随着 IT 投入而展开的。在 COBIT 中,IT 规划和组织是一个控制域。在这个域中,COBIT 列出了 11 个需要控制的流程(Processes),分别如下:定义 it 战略规划 在 cobit 中,要求通过战略规划,为企业提供长期并符合企业发展目标的 it 规划,并且定期将这目标转换成可以操作的短期实施计划。在 it 规划和组织中首先提出需要控制的流程是:对企业 it 战略规划制定的控制。该控制确保企业在制定计划时考虑到这些
5、因素:企业的业务战略,明确定义了 it 是如何支撑业务目标实现的,目前的技术解决方案和架构的情况、技术发展趋势,可行性研究与对比、现有系统的评估,企业在风险控制、市场反应和质量方面所处的地位等等。定义信息结构 “信息孤岛“ 是目前许多企业所面临的一个问题。造成“信息孤岛 “的原因是多方面的,有管理方面的原因,但更重要的是企业在 it 规划和组织过程中没有对企业的信息架构(architecture)有个明确的定义。在 cobit 的“it 战略规划和组织“中,对 “定义信息结构 “这个流程有个明确的控制目标。控制的对象是建立和维护业务信息模型,确保企业获得合适信息系统的整个流程是否合理。具体控制
6、评估的内容包括:数据字典、数据语法规则、数据使用权限和安全定义、反映业务特征的信息模型以及企业信息架构的标准。确定技术方向 it 在企业中的作用是服务于业务自身的需要,那么企业在决定信息技术方向时必须有一个能够很好制定和管理技术选择的流程,而这个流程就是要确保技术能够很好地实现企业对产品、服务和交付能力的期望。对于这样的流程,cobit 提出需要考虑的控制细节。它包括:现有技术架构的能力,通过可靠的资源对技术发展进行跟踪,实行概念论证,明确技术实现的风险和机遇、技术获取计划、技术切换策略,明确与技术供应商的关系,独立的技术再评估和软硬件价格性能的变更等管理。定义 it 组织与内部关系 信息技术
7、在企业中的成功应用已经越来越不是技术本身所能决定的事了,而是需要企业具备完善的 it 决策服务组织体系去实现 it 在企业中的价值。cobit 对于“ 定义 it 组织与内部关系“的流程控制提出了 11 个控制目标和方向, 它们是:董事会对 it 所担负的职责,管理层对 it 的监督和指导,it 与业务的匹配,在企业关键战略决策中 it 的融入,组织的灵活性,角色与职责的清晰,平衡监督和放权的关系,工作描述,安全、质量和内部控制等的组织定位,责权分离等。 it 投资管理 企业每年在 it 方面的预算和支出都在增长。对于 it 投资决策和资金使用管理的流程控制是确保企业信息化建设有效开展的关键。
8、对于这个决策和管理的控制,cobit 提出了建立滚动的投资和运营预算并要求必须获得业务部门的批准。在这个过程中,需要考虑的控制内容包括:筹资方式的选择、清晰的预算所有权、实际支出的控制、成本的合理性、收益的合理性和收益实现的追溯、技术和应用软件的生命周期、与企业业务战略的匹配程度、影响力分析和资产的管理。沟通 it 管理层目标 企业中,管理层在 it 方面的目标(aims)和方向需要通过合适的渠道和流程由上至下传达,同时要确保用户的意识和对这些目标的正确理解。cobit 对于该控制目标,提出了企业需要有清晰的 it 目标描述,技术应用方向应该与企业的业务目标紧密相连,具备行为规范,质量承诺,安
9、全与内部控制政策,安全与内部控制规范、持续的共同计划以及检验法律法规的遵守性。这些对“沟通 it 管理层目标“ 的控制要素,将确保企业的 it 管理目标和方向为企业员工理解。在企业的 erp 实施过程中,对于软件演示是整个系统实施的一个关键环节。这类演示也是确保沟通的一个有效方式,如果缺乏这一环节,实施系统的目标就不能为系统用户所认识。管理人力资源 信息系统的效益是靠人用出来的。企业 it 的应用技能直接关系到系统是否能够实现业务目标和要求。企业需要有一个合理、公平和透明的人员管理规范,从招聘、使用、待遇、培训、评估、晋升到解雇。cobit 对于 “管理人力资源“这个控制目标提出了具体的注意点
10、,它包括:招聘和提升,培训和资格要求,意识的建立,跨部门培训和岗位轮换,聘用、使用和解雇的程序,目标和绩效评估,对技术和市场变化的反应,内部和外部资源的平衡,关键职位的梯队培养。遵守外部环境 由于企业和社会对信息技术的依赖程度越来越强,政府制定了不同的法律和法规来规范和约束信息技术的使用,降低由于信息技术对社会生活和商业活动的顺利展开所带来的不利影响。许多法规都与企业信息技术的应用有或多或少的联系。企业必须确保能够遵守(compliance )这些法律法规。cobit 提出需要通过识别和分析外部的这些规定对企业本身 it 应用的影响,并采取适当的措施来遵守它们。 cobit 提出了几点需要考虑
11、的控制点:法律、法规及合同,跟踪法律法规的发展变化,定期监督执行情况,隐私的保护和知识产权。 评估风险 企业的业务和管理的实现需要 it 的帮助,帮助意味着依赖,依赖意味着风险。信息系统在企业中的应用,需要有一套管理体系去应对系统使用过程中的风险。cobit针对“ 评估风险 “这一控制目标,提出在这个风险管理体系中,需要有 it 风险的识别、影响力分析,涉及到多个部门并且需要采取最经济和有效的措施来规避风险。同时考虑:风险管理的所有权和责任权,不同类型 it 的风险(技术、安全、持续性、规范性等),所定义和发布的风险容忍限度,根本原因的分析,风险的定性和定量衡量,风险评估方法论,风险行动计划,
12、及时的再评估。 管理项目 cobit 针对这个流程的控制提出企业对项目的安排需要与企业的业务运营计划相符合,并采用合适的项目管理手段来确保项目按计划完成。在控制过程中,需要考虑的内容包括:业务部门对项目的支持,程序管理,项目管理能力,用户参与,任务分解、里程碑定义和阶段审核,责任分配,对里程碑和阶段成果交付的跟踪,成本和预算,内部和外部资源的平衡,项目风险的评估,开发到运营的转换。 管理质量 对于系统和信息组织为各个业务部门提供的服务,这里也存在着客户和服务供应商这样的关系。cobit 提出这类服务质量管理同样需要计划、实施和维护等质量管理标准的存在。重点考虑下面几点因素:质量文化的建立,质量
13、计划,质量保证责任制,质量控制规范,系统开发生命周期方法论,程序和系统测试及文档,质量保证审核和报告,培训和最终用户及质量保证人员的参与,质量保证知识体系的建立,行业标杆的对比。 七、IT 获得和实施过程控制COBIT 系列讲座之二偶遇一位制造型企业的信息中心主任,闲聊间得知该企业为了上一套 ERP 系统经历了三年的选型期,看遍了国内外所有知名软件的演示,最终选定了一家国外的系统。这种被认为是企业和系统“联姻“ 的过程是目前许多国内企业在信息化建设中都在经历的事。企业意识到,系统的合适与否直接关系到信息化建设的成败,更关系到企业所有者的利益是否得到很好的保护。COBIT 把信息技术的“获得和实
14、施“ 作为 IT 过程控制的一个控制域,并在这个域内定义了需要控制的六个主要 IT 过程。识别系统解决方案识别系统解决方案的过程也就是我们通常的系统选型的过程,系统解决方案的识别是企业信息化建设中的一个重要环节。企业信息化建设已经从初期的注重技术的先进性,逐步发展到以企业的实际业务需求作为驱动,系统对业务的支持和满足已经是很多企业考虑的首要问题,这是实现企业信息化建设投资高效和低风险的关键。那么在企业“识别和选择信息系统解决方案“这个过程中,需要考虑哪些因素才能确保系统满足企业的需求呢?COBIT 在这一过程控制中提出:企业需要在明确业务需求的情况下,客观而清晰地对多种方案进行识别和分析。在这
15、个过程中,需要考虑的因素有:市场对该系统方案的认可度,获得和实施该方案的方法论是否合理,系统用户参与实施还是直接购买系统,系统方案与企业 IT 战略的匹配性,企业的信息需求定义,可行性研究(成本、收益、可选方案等),系统的功能性、可操作性、适应性和持续发展性,系统是否符合企业的信息结构,系统是否具备经济有效的安全控制,系统是否明确了系统供应商的责任。获得和维护应用软件如果说,识别解决方案或者说系统选型的过程是让企业知道什么方案是适合自己的,那么获得和维护系统软件的过程才是实现系统给企业带来收益的开始。COBIT 对于这个过程的控制是确保这个过程能够提供支持业务流程的有效应用功能。具体来说就是软
16、件系统必须能够和业务流程很好的融合。在企业变得更为理性的时候, 知名度高的应用软件系统并非成为企业的首选, 关键是企业的业务需求是否能够获得所选系统的支持,企业的业务流程(经过优化)能否和系统融合,系统在实施过程中的每个阶段是否都有明确的成果。COBIT 针对这个过程的控制提出了需要考虑的方面包括:功能测试和验收、应用控制和安全需求、文档化管理需求、应用软件生命周期、企业信息结构、系统开发生命周期方法论(SDLC Methodology)、人机界面、系统的二次开发。针对上面几点在过程控制方面的考虑,我们仍然回到熟悉的 ERP 系统来谈。通常,测试和验收是反映系统是否满足业务要求的基本环节,无论
17、是系统实施伙伴还是客户,对这块都非常重视。但是在应用控制和安全方面相对来说关注得少一些。实现业务需求,一层含义是原先手工的活现在系统能自动完成,另一层含义是系统在应用实现过程中同样要反映出现实中的管理和控制特征。简单的说就是,哪些员工可以看哪些信息,决定或决策权限必须明确,并很好的在系统中反映。获得和维护技术设施在上述控制过程中,我们谈论的是对软件系统的获得和维护。而组成系统的除了软件还有硬件。COBIT 在对这个过程进行控制的过程中,强调“获得和维护技术设施“ 过程必须为满足业务需求的业务应用软件系统提供合适的运行平台。COBIT 在对“获得和维护技术设施 “过程的控制中,重点要考虑的因素有
18、:硬件设施的标准和未来的应用方向是否符合实际需要;对硬件的评估;安装、维护和变更的控制;升级、切换和移植的计划管理;内部和外部技术设施和资源的使用;确认与硬件供应商的关系以及它们的相应责任;变更管理;硬件设施总拥有成本;系统软件的安全性。COBIT 所提出九个方面的考虑覆盖了硬件设施从采购、安装调试到日常维护的整个过程。目前,国内的企业在硬件的采购和安装调试方面往往控制得比较好,但是在系统应用过程中,维护和系统变更等方面没有规范可控的程序去应对。开发和维护技术系统的使用流程企业对信息系统的依赖性使得业务运行的稳定对系统的敏感性越来越强。系统一方面在给企业的业务运作和管理带来收益的同时,它的复杂
19、性在另一方面也给企业信息系统的管理带来了很大的压力。此时,企业应该把信息技术管理部门作为一个企业的经营和管理中不可缺少的业务部门来看待。从业务部门管理的角度来看,需要有相应的流程来实现业务需求;从信息技术部门管理的角度来看,业务就是为系统用户或使用部门提供满足他们业务需求的信息服务,确保信息应用和技术解决手段能够得到很好的利用。COBIT 认为,对于实现信息技术部门业务的流程制定和维护的过程控制,将直接影响到信息技术部门是否能够最终满足业务部门对信息技术部门在信息服务方面的要求。在 COBIT 中,这种控制体现在企业是否有结构化的手段来制定和开发用户手册、运作流程、服务要求和培训材料等。另外还
20、必须考虑其他方面的因素:业务流程设计,程序的需求与技术交付的同等重要性,开发编制程序的及时性,用户程序和控制,运作管理程序和控制,培训材料,变更管理。安装和验收系统系统要满足业务的需求不仅仅是选择一套在功能上符合业务要求的解决方案,更重要的是实施这个解决方案并使它能够不断满足业务持续发展的需要。对系统安装和验收的过程控制是为了确保这个过程的有效性。在 ERP 系统的实施过程中,通常我们会经历测试、上线、并行运行和切换等环节。这些环节过程的有效性直接决定系统是否能够最终成功投入使用。COBIT 对这个过程的控制,要求企业具备规范和标准的系统安装、移植、切换和验收计划。同时还要考虑:用户和信息技术
21、运营管理人员的培训,数据转换,测试环境是否反映实际环境的特征,实施完成后的评估和反馈,最终用户在测试时是否参与,持续的质量改进计划,业务连续性需求,系统能力和数据吞吐量的衡量,以及达成共识的验收标准。管理系统的变更信息系统是为业务部门服务的。但是企业的业务是在不断变化和发展的,相应的信息系统也必须与业务的发展同步。业务对信息系统需求的变化在信息化程度高、业务依赖性较强的企业非常普遍。COBIT 提出了企业需要有一套针对现有信息系统进行变更的管理体系,它包括对所有提出的系统变更进行分析、实施和跟进的管理。对于这套体系的控制将确保由于变更而可能给企业带来的风险降低到最低限度。在对这个流程的控制中,
22、需要考虑的因素有:变更的识别,分类、优先确定和紧急处理程序,影响度评估,变更的授权,变更后的发布管理,软件的发布,工具的使用,配置管理,业务流程的重组。COBIT 在“获得和实施“ 这个控制域提出了企业从获取信息技术到实施完成中对六个方面的过程控制。在这里需要说明的是,“实施“ 在这里的概念不仅仅是系统的安装和调试,而是最终符合业务需求才能认为是“实施“ 的完成。从企业需求动态变化的角度来看, “获得和实施“这个过程是一个循环的过程,因此对于这个过程中 COBIT 所提出的六个目标控制过程的监督也是循环进行的。八、IT 交付和支持的控制 COBIT 系列讲座之三在 IT 治理中,确保 IT 投
23、资的有效性和高效性是我们关注的核心焦点;IT 投资是否能够满足业务需求是投资收益的关键,而 COBIT 中的 IT 交付和支持的过程控制正是为企业提升 IT 系统投资回报率服务的。下面,我们从控制和管理的角度来分析 COBIT 所提出的13 个需要控制的 IT 交付和支持流程。定义和管理服务品质系统用户对于系统的要求与 IT 部门对系统的要求是不同的;而服务品质正是为用户和信息技术部门建立了一座沟通的桥梁。对于这个流程的控制,COBIT 要求所定义的服务品质是可以衡量的,内容包括服务品质本身的文字描述;服务提供方和服务使用方的责任;系统服务的反应时间;相关信息的保密;使用方满意的标准;所要求服
24、务的成本收益分析等。控制第三方服务如今很多企业把信息系统服务和系统本身的维护交给第三方来管理。这种模式有很多优越性,但同时导致企业对信息系统服务质量的控制能力变弱,这时候就需要加强对第三方服务提供者的控制。COBIT 在该流程的控制中,关注的内容有:第三方服务协议;信息保密协议;服务交付的监督和汇报机制;第三方服务的风险评估;服务品质实现的奖惩机制等。控制系统的性能和能力系统的性能和能力直接关系到信息服务的及时性和准确性。COBIT 要求系统的性能和能力必须能够满足业务要求,并且能够以最有效和最经济的方式满足服务品质中所定义的要求。为此,企业需要对系统所表现的性能、能力和工作负荷进行评估,以满
25、足服务品质的要求。COBIT 重点关注:业务对系统性能和能力的需求;系统性能和能力的管理机制等。控制服务的持续性从技术的角度和成本收益的角度来说,企业无法获得百分之百的系统可靠度。系统故障发生的可能性总是客观存在的;而如何在系统出现故障的时候把对业务活动的影响控制在最小程度是决定业务运行安全的重要因素。COBIT 在这个方面重点关注内容包括:是否有合理的系统故障重要性分类;故障发生时是否有业务活动的替代流程;是否有备份和恢复程序;是否定期对系统的软硬件进行测试并对相关人员进行培训等。控制系统安全尽管访问信息时有严格的限制,但是消除这种限制却非常简单,所要做的只是获得一组数字或字母。业务需求除了
26、要求系统从功能上满足外,同时也必须反应出业务运行中的秩序和相应的控制机制。COBIT 关注和审核的对象包括:对信息机密程度和有关隐私信息的定义;授权,身份甄别和系统访问的控制;系统用户的识别和授权的相关信息;密钥管理;防火墙的管理等。识别和分摊成本由于对信息服务的品质作了明确具体的定义和要求,信息服务所提供的价值与过去相比有了很大的改进;同时业务要求越高,获得服务的成本也就越高。从投入产出比最大化的角度来说,业务部门必须要能够以最经济的成本满足业务需求。在对该流程的控制中,COBIT 关注的内容包括:企业是否明确了解所利用的信息资源以及这些资源是否可度量;企业是否定义和执行完善的计费政策和程序
27、;企业如何核实所实现的收益等。教育和培训最终用户对最终用户的培训是确保实现服务品质要求、满足业务要求的重要环节。这个教育和培训的过程是为了确保用户能够有效使用技术并在使用过程中明确技术带来的风险以及自己所应该承担的职责。COBIT 要求企业在提供综合性的培训和发展计划的同时,要考虑到培训课程的设置、技术的储备、意识的培养、新的培训方法的运用、个人的学习效率以及知识库的开发等。协助用户业务部门在使用信息部门提供的服务过程中,经常会出现各种各样的问题。有些问题与用户的使用技能有关,有些问题是由于业务环境变化需要对系统进行相应的调整,也有些问题是系统本身的技术原因造成的。无论是哪种因素引起的,信息服
28、务部门和业务部门之间必须建立相应的流程,对这些问题在第一时间进行及时和有效的处理。COBIT 在该过程控制中关注的焦点有:用户问题的监控和处理;潜在问题和趋势的分析和报告;问题的追踪等。配置管理系统的复杂性给信息服务部门的日常管理带来了极大的困难,这就要求信息服务部门对系统有个全面的描述和记录,以便在系统出现问题时及时寻找解决方案,同时防止系统各类参数和设置在未经授权的情况下被人为的改动。COBIT 在该过程控制中关注的内容有:IT 资产的跟踪;配置变更的管理;企业是否使用了未授权的软件;软硬件的关联和集成度的记录描述等。问题和事件管理在信息服务的交付和支持过程中,问题和突发事件随时都有可能存
29、在。为了减少这类问题和事件的重复发生,企业内部必须建立相应的问题和事件的处理机制,通过对所发生事件的分析,杜绝类似问题的重复发生,从而在不确定环境中寻找主动解决问题的机会。COBIT 在对该过程的控制中关注的内容有:问题审计线索和解决方法;所报问题的处理和解决的及时性;逐级上报程序的有效性;事件记录的完整性;系统提供商的责任定义以及变动管理与问题和事件管理的协调性等。数据管理数据是信息服务中最基本的组成元素。确保数据在输入、更新和存储过程中的完整性、准确性和有效性是信息服务管理中的核心环节。在这个过程中,COBIT 的主要控制目标涵盖了数据的整个生命周期中的不同阶段和特征:它包括数据的格式;源
30、文档的控制、数据输入、处理和输出的控制;数据存储媒质的识别、移动和数据存放点的管理;数据备份和恢复、数据验证和完整性的管理、数据所有权的定义、数据管理政策、数据模型和数据标准、整个系统应用平台上的数据的一致性;以及涉及数据管理的法律和法规要求等。设施管理系统设施的有效管理是 IT 及时有效交付的保证。在这个过程中,信息服务部门需要提供合适的物理环境来保护 IT 设备和相关人员免受人为的和非人为的危害。为了确保有效性,COBIT 的控制目标就是为了让企业有合适的系统安置环境以及对安置环境有很好的物理控制,并且对定期的控制有效性进行评估。在控制目标的审核中,COBIT 重点关注:对设施访问的控制;
31、物理环境的安全性;业务持续性机会和危机管理机制的合理性;相关人员的健康和安全等。运营管理信息系统的运营管理贯穿整个信息服务的生命周期,它所要达到的目的是确保重要的系统支持功能都能够得到定期和有序的管理。这个过程事实上是一系列支持性活动,并对所有的支持活动进行跟踪。COBIT 在该过程控制中主要关注:企业是否具备运营程序手册;系统运行流程的文档化管理;网路服务管理机制是否健全;系统变更、系统可用性和业务持续性管理三者之间是否协调一致;预防性维护机制是否健全和有效等。九、ITIL 和 COBIT 融合建设“技术防火墙”根据风险评估的结果,综合利用各种信息安全技术与产品,在统一的 IT 服务管理平台
32、上(ITIL),以 “适度防范”为原则,建立有效的“技术防火墙”,这是实现信息安全管理的可靠外部保证措施。所谓“技术防火墙” 是指在风险评估的基础上,综合利用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI 服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保证企业的信息系统的机密性、完整性和可靠性。建立“技术防火墙” 要注意几个问题:1、以风险评估为基础,以“适度防范”为原则。安全产品的选择不能纯粹以技术为标准,要考虑成本和投资回报,过高的安全成本就会使安全失去意义。实现信息安全的过程其实是对风险进行管理的过程,其本质是对风险进行评估、控制并最终减轻风险后
33、果,其重点是以“适度防范”的原则,指导组织采用必要安全强度的保护措施,以满足其业务安全的需求,用最小成本将信息系统的残留风险降低到组织可以接受的水平。2、技术结构方面,应该具备评估、保护、检测、反应和恢复的五种技术能力。实现 ISO 7498-2 所定义的鉴别、访问控制、数据完整性、数据保密性、抗抵赖五类安全功能。随着安全技术日新月异的发展,现在已经有更多的安全机制来提供这样五类安全技术,可以通过不同的产品和技术手段,来实现组织各种安全功能的要求。3、安全产品要建立在统一的 IT 服务管理平台上,遵循相同的标准,降低管理的复杂性。随着企业 IT 应用的深入和规模的扩大,技术管理难度越来越大,用
34、户的负担越来越重,企业提出了简化管理的要求。根据信息安全的特点,多种安全产品的应用将跨越多个部门甚至多个企业,密集分布的安全产品增加了管理的难度,同时安全完备性也要求实现集成化安全管理和安全信息共享机制,以集中管理安全控制、安全策略、安全配置、安全事件审计、安全事故应急响应,可管理的安全才是真正意义上的安全。这就要求安全产品要建立在一个遵循相同标准的、统一的 IT 服务管理平台上。IT 基础架构库(ITIL) 是 IT 服务管理最佳做法的一套全面、一致和相关的代码,由英国的中央计算机与电信局 (CCTA) 开发,己在全世界被广泛采纳为 IT 服务标准。安全产品与服务应适应 IT 基础架构库的要
35、求,符合 ITIL 简化管理、降低管理风险的基础性标准。4、制定有效的灾难恢复与业务持续性计划。不是对所有的威胁都可以找到针对它的安全保护措施。对这类威胁可能带来的风险我们只能接受,但是要采取适当和有效的措施来减轻相关威胁实际发生时所带来的破坏后果,这些过程就是安全管理中的灾难恢复与业务持续性计划,这是组织信息安全的最后一道防线。在美国“911”恐怖袭击事件与中国的 SARS 爆发事件中,灾难恢复与业务持续性计划己显现出了保证企业业务持续性的重要性。实施系统审计对于安全框架是否已有效地建立起来,技术防火墙与人力防火墙能否起到应有的作用,需要进行信息系统安全审计。信息系统审计是一个获取并评价证据
36、,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。目前国际上通用的信息系统审计的标准是信息系统审计与控制协会在 1996 年公布的COBIT(Control Objectives for Information and related Technology) ,这是一个在国际上公认是先进、权威的安全与信息技术管理和控制的标准,目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。十、
37、COBIT 新面孔 - COBIT 4.0 揭秘随着萨班斯法案的出台,及增强企业本身 IT 内部控制的需要,COBIT 已为大家所熟知,作为全球公认的 IT 治理框架,其得到了各个国家各个行业的广泛应用。2005 年三月,欧洲共同体(EC)委员会选择了 COBIT,来保证信息的安全以及对其农业资金支付代理的控制。被像 EC 这样的组织广泛地认识并采用,足以证明 COBIT 发展的广度和深度。2005 年第四季度,ISACA 发布了 CobiT 最新版本 COBIT4.0,对框架进行了重大的调整。ITGov 中国 IT 治理研究中心在第一时间组织了相关专家对 COBIT 4.0 进行了研究和分析
38、,本文介绍了 COBIT 的发展背景、新版本中包括哪些更新、为什么需要这些更新以及它如何能够使现在的和将来的用户收益等内容。欢迎与我们交流。为什么 COBIT 需要更新?自 1992 年发布最初版本后,COBIT 已发展成为实际的 IT 治理控制框架。如今,COBIT 可以提供广泛指导,同时,其产品被世界范围内的许多组织和政府部门广泛地接受。随着 IT和相应指南对有效管理的要求在不断变化, COBIT 用户,尤其是推动组织采用 COBIT 框架的人期望其持续改善,支持组织环境的变化。在 COBIT 项目开展 10 年后的 2002 年,伴随着 3 个版本的发展,又进行了一个保持 COBIT 持
39、续发展的战略。这项战略的其中一个关键目标就是提供一个持续维护的并反映 IT 快速变更、响应用户回馈和持续符合需求的框架。2003 年,COBIT Online 作为最新的 COBIT 知识库正式启用,提供了能够及时并且持续更新的资源,并且使所有 COBIT 用户能够方便的访问。当有更多的更新以反映重大变化时,新的可以打印并下载的 PDF 版本的 COBIT 就会出现。自从 COBIT 第三版于 2000 年发布以来的五年中,ITGI 对 IT 治理进行了广泛的研究,其中包括对广大 COBIT 用户反馈的分析,这些便形成了 COBIT 4.0 更新计划的基础,这项计划开始于 2004 年,并计划
40、于 2005 年 11 月份发布。如何发展并维持 COBIT ?寻找并组织支持 COBIT 的资源,对 ITGI 这样的非营利组织来说是项巨大的挑战。ITGI 的独立身份和致力于促进 COBIT 成为完全开放有效的指南是影响其发展的重要因素。COBIT 指导委员会,由 ISACA 的会员志愿者和一些由基金投资的管理团队组成,确定并执行 COBIT 战略的发展流程。来自 ISACA 的全球专家团队和处于领导地位的行业参与者组成了特别的 COBIT 志愿支持团队,这支团队现已有 100 多位专家且分布在 7 个不同的国家。这种结构使 COBIT 成为一种分散的资源,同时由世界范围内的专业用户保持并
41、维护着。在专业的研讨会中有效、有目标,且没有商业压力和导向的运作,促使 ITGI 能够非常有效地发展 COBIT。有时,具体的发展工作是由顾问或学术机构确定并执行。ISACA 总部为原始材料到最终产品的转化提供了支持服务,并为他们的传播提供支持。COBIT 4.0 是包含许多相连项目的复杂项目。是通过管理团队历时两年的辛勤劳动完成的,其中包括众多的工作会议和具体开发任务。致力促进 COBIT 发展的个人也正在增多。 对变化的环境和用户做出的反映自 1992 年来,IT 发生了巨大的变化,随着互联网的普及和全球化,关键业务运作和战略目标的实现越来越依赖于 IT。在过去的五年内,对公司治理、更严格
42、的规章制度和公司领导责任的聚焦空前巨大。对 IT 的影响已成为 IT 管理和绩效上更突出的焦点,越来越多的人开始关注 IT 治理。COBIT 最初作为审计师处理 IT 治理及 IT 管理和控制的改善工具,已经扩展到了 IT 治理及 IT 管理控制的框架。COBIT 4.0 更加关注: 更加关注 IT 管理为目前的 IT 运作环境提供适当的管理和控制指南。 更广泛的目标用户满足审计师、执法者、安全专家和其他在不同情况下为 IT 绩效提供保证的相关人的需求。 董事层对治理的更多关注确保有足够的业务聚焦和机制,将 IT 目标的管理和控制与企业的需求结合起来。 完善 IT 最佳实践和标准在企业不断接受
43、专业指导(如 ITIL 和 ISO 17799)时,COBIT 可以成为一个综合框架,并且被认为是全面 IT 控制的高度可信且可实践的指导 3 个主要目标用户的综合使用:管理者、IT 部门和审计师确保所使用的结构、表达和语言能够为管理层的股东们、参与者和专业人员提供更容易的理解和应用。 持续符合法规确保 COBIT 涉及了 IT 治理的所有方面,并且展示它与 IT 治理域和 COSO 框架相对应。确保它能够一直被认为是实际的 IT 治理管理控制框架。COBIT 4.0 计划聚焦于何处?COBIT 4.0 发展战略集中于以下方面: IT 治理 基于五个方面的整合:由 ITGI 定义的战略整合、价
44、值交付、风险管理、资源管理和绩效管理。虽然 COBIT 涉及了许多方面,但分析显示还存在着一些不足,需要调整某些 IT 流程的名称并增加部分新的控制目标。COBIT 4.0 中加入了一个矩阵图,描绘了所有 IT 流程和治理域的对应关系 业务需求 以业务需求为原则,并且基于信息标准是 COBIT 的基本原则。由 Antwerp大学进行的 IT 如何为业务目标提供支持的更广泛的研究涉及了各个不同的行业,提供了普遍通用的业务目标和 IT 目标。COBIT 中提供了一个表格来说明业务目标、IT 目标和 COBIT IT 流程的关系,以帮助用户确定他们组织业务与 IT 的联接。这还常被用来改善目标和绩效
45、评价体系 协调一致 帮助用户更方便地将 COBIT 与其他更具体的指导进行整合,如 ITIL, ISO 17799, PMBOK 以及 PRINCE 2。COBIT 4.0 中使用的术语和原理较之以前,更加协调。 价值创造 由于 COBIT 的审计起源,COBIT 很强调风险管理的控制。COBIT 4.0 更好地平衡了风险与价值,并吸取了 IT 价值管理的最新研究成果。 企业结构 COBIT 4.0 提供了 RACI 图表(Responsible-负责执行任务的角色、 Accountable-对任务负全责的角色、 Consulted-提供信息辅助执行任务的人员、Informed-拥有既定特权、
46、应及时得到通知的人员)阐明每个 IT 流程的角色和职责。结合着目标、资源、信息和流程,框架中还解释了企业结构原则。 流程定义及流程信息流 为了改善对 IT 流程模型的理解,COBIT 4.0 提供了对每个流程的描述,包括流程的输入与输出及与其他流程的关系。 语言与表述 在 COBIT 4.0 中使用了更加简练、符合时代发展及行为导向的语言。控制目标和管理指南的内容根据 IT 流程结合起来。COBIT 4.0 的核心内容只有一本书。 反馈 定期的来自用户的注释和建议,以及来自 COBIT 用户大会的回馈信息促进了 COBIT 4.0 的内容的完善。 COBIT 4.0 中的主要变化?以下描述了
47、COBIT 的主要变化区域和增强区域。框架 虽然仍然还是 4 个域和 34 个流程,但每个域的范围和一些流程会有些变化: 规划与组织PO4 定义 IT 组织和关系,现已扩展到涉及 IT 流程、关系和组织PO5 IT 投资管理,已更偏重于价值创造PO8 确保遵从外部需求,现已删除,这方面要求体现在新的 ME3 中。PO10 质量管理,现已变成 PO8。现在 PO 域只有 10 个流程。 获取与实施AI4 开发流程,现已被扩展并叫做授权操作和使用。增加了一个新的流程-获取 IT 资源作为 AI5(以前的 AI5 变成 AI7 放在生命周期中更合理的位置)AI6 中有关发布管理的部分也整合到新的 A
48、I7 中,与 ITIL 原则结合得更加紧密。 交付与支持DS8 更名为服务台和事件管理DS10 更名为问题管理,并且只涉及问题管理,这与 ITIL 指南一致。DS11 数据管理,现在只处理数据管理目标,与应用控制相关的目标转移到框架的其他部分。因为应用控制通常与业务流程相结合,而不是 IT 流程。 监督与评估ME1 IT 绩效管理更名为 IT 绩效监督与评估,主要服务于流程职责的需求。ME2 内部控制监督更名为内部控制监督与评估,主要服务于对 IT 整体负责的人的需求。ME3 由原来不被认为是 IT 流程的提供独立审计变更为确保法规遵从。ME3 对外部法规、法律和合同要求做出回应,并且来自原来
49、的 PO8。ME4 由原来的获取独立的保证变更为提供 IT 治理,服务于整个企业职责。 IT 资源由原来的 5 项变为新的 4 项:人员信息,取代了数据应用软件基础架构,取代了技术和设施控制目标和管理指南 高级控制目标介绍仍然呈现为瀑布流模式,但被修正为以下格式:对。IT 流程的控制使 IT。满足业务需求由。来实现,由。来管理,由。来衡量 控制目标和管理指南被整合到一本书中,展示了所有的 IT 流程。为所有用户提供了简单易用的操作手册。 增强的详细控制目标改善了 IT 治理的范围并与其他实践协调,同时结合了用户的回馈。目标的数量和文本的页数减少了大概 20%,并且它们的表述更加以行为为导向而且简明。许多第三版本的控制目标都是可以普遍找到的,所以这些都用框架中一个简短的常用列表来代替了。 每个 IT 流程现在都有基本输入/输出的描述,确定它从哪个流程来,到哪个流程去,或是否有其它路径。这些输入/输出的连接使 CobiT 中的关键流程被确定下来。 对于每个 IT 流程,新增加的信息描述了流程活动(说明性的但不详尽的)和流程负责人,而且加入了职责说明。这被表述为与 RACI 图表连接的关键活动清单,RACI 使用了业务与 IT 中的常用角
