资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,2005 Computer Associates International,Inc.(CA).All trademarks,trade names,services marks and logos referenced herein belong to their respective companies.,COBIT5培训,1.,Whats COBIT,2.,The Evolution,3.,The IT G Focus Areas&Value of COBIT,4.,Why COBIT5.0,5.,Product Family,6.,COBIT5.0 Principles,7.,The Governance Objective:Value Creation,8.,Goals Cascade,9.,Governance Approach,10.,Framework Integrator,11.,Enablers,12.,EDM Model,13.,Process Reference Model,14.,Process Capability Model,Outline,1.COBIT Whats COBIT,COBIT(,Control Objectives for Information and Related Technology,),COBIT,是一个在国际上得到公认的、先进的和权威的安全与信息技术管理和控制标准,它在业务风险、控制需要和技术问题之间架起了一座桥梁,它可以辅助管理层进行,IT,治理,指导组织有效利用信息资源,有效地管理与信息相关的风险。,面向业务是,COBIT,的主题,它不仅是为用户和审计师而设计,而且更重要的是它可以作为管理者及业务过程的所有者的综合指南,。,COBIT,真正关注的问题是,企业是否具备适当的控制力,以确保符合相关的管理规定。它帮助企业确定他们是否正在做他们表示要做的事,以及他们是否可以证明这一点。,3,1996,1998,2000,2005/7,2012,COBIT1,COBIT2,COBIT3,COBIT4.0/4.1,COBIT5.0,Audit,Control,Management,IT Governance,Governance of Enterprise IT,2.COBIT the evolution,Evolution,1996 ISACF,审计指南,1998 ISACF,控制目标,2000 ITGI,管理指南,2005 ITGI,治理与管理,2012 ISACA,组织治理,4,3.IT G focus Areas&COBIT Value,IT,治理关注的领域,战略定位:,IT,与企业运营保持一致,价值交付:,优化成本和证明,IT,的内在价值,风险管理:,风险意识、风险偏好、合规需求,资源管理:,关键,IT,资源的最优投资和恰当管理,性能测量:,跟踪和监控,COBIT,的价值:,通过实施,COBIT,增加了管理层对控制的感觉及支持。,COBIT,使,IT,管理工作简易并量化,减轻对复杂信息系统管理工作的难度,并且可以应用在每天都发生的各种新问题中。,COBIT,提供一种国际通用的,IT,管理及问题解决方案。,COBIT,有助于提高信息系统审计师的影响力。,COBIT,框架可以帮助决定过程责任,提高,IT,治理水平。,Performance,Measurement,Resource,Management,Risk,Management,Value,Delivery,Strategic,Alignment,IT,Governance,Domains,5,2012,年,4,月,10,,,ISACA,官方即将正式发布,CobiT5.0,,这是,COBIT,发展,16,年来最重大的一次变化。,CobiT5.0,是建立在,CobiT4.1,的基础上,并通过整合其他重要框架(重要框架主要包括:,ISACAsValIT,、,RiskIT,及其他相关的国际标准)对,CobiT4.1,进行扩展而成。,CobiT5.0,提供了一个组织,IT,治理的端到端业务视图,该视图反映了信息技术在创造业务价值时的重要作用。该框架中提供了全球广泛认可的原则、最佳实践、分析工具和模型可帮助组织获得对信息系统的信任并从中产生价值。,CobiT5.05,大本质,1.,帮助您通过提高,IT,相关风险的管理能力,增强业务与,IT,的沟通,提高业务目标的,IT,交付以从,IT,中获取更多的价值,降低,IT,成本,增强企业竞争力。,2.,能够通过,IT,治理和管理的业务框架满足业务领导和,IT,领导的需求。,3.,能够满足整个企业内利益相关者的需求,并且为更有效的决策阐明目标。,4.,提供一套整合其他方法和标准的端到端框架,以解决组织的所有领域。,5.,代表了全球近百位专家的集体智慧。,4.Why COBIT5.0?,6,5.COBIT 5 Product Family,COBIT 5,产品系列包含以下产品:,COBIT 5,(框架),COBIT 5,促成因素指南,在指南中详细讨论了治理和管理促成因素,,它们包括:促成流程、促使信息(开发中)、其它促成因素指南。,COBIT 5,专业指南,包括:实施、信息安全、保障、风险、其它专业指导,7,图,2COBIT5,原则,6.COBIT 5 Principles,8,利益相关者需求,驱动,实现收益,风险优化,资源优化,治理目标:创造价值,图,3,治理目标:创造价值,7.,The Governance Objective:Value Creation,1.Meeting Stakeholder Needs,9,图,4COBIT5,目标级联综述,利益相关者驱动因素,(环境、技术演化,,),企业目标,IT,相关目标,促成因素目标,实现收益,风险优化,资源优化,利益相关者需求,影响,级联到,级联到,级联到,附录,D,附录,B,附录,C,图,5,图,6,8.Goals Cascade,1.Meeting Stakeholder Needs,10,图,5COBIT 5,企业目标,BSC,维度,企业目标,与治理目标的关系,收益实现,风险优化,资源优化,财务,1.,业务投资的利益相关者的价值,P,S,2.,竞争产品和服务的组合,P,P,S,3.,管理业务的风险(资产维护),P,S,4.,遵守外部法律和法规,P,5.,财务透明,P,S,S,客户,6.,面向客户的服务文化,P,S,7.,业务服务连续性和可用性,P,8.,对业务环境变化的快速响应,P,S,9.,基于信息的战略决策,P,P,P,10.,服务交付成本的优化,P,P,内部因素,11.,业务流程功能优化,P,P,12.,业务流程成本优化,P,P,13.,管理业务的变化方案,P,P,S,14.,业务和员工生产力,P,P,15.,遵守内部政策,P,学习和成长,16.,业务熟练和积极进取的人,S,P,P,17.,产品和业务创新文化,P,8.Goals Cascade,11,图,6,IT,相关的目标,IT BSC,维度,信息及其相关技术目标,财务,01 IT,调整和业务战略,02 IT,遵守和支持企业遵守外部法律和法规的业务,03,执行管理对,IT,相关决策的承诺,04,管理与,IT,相关的业务风险,05,从,IT,技术的投资和服务组合实现收益,06 IT,成本,收益和风险的透明,客户,07,符合业务需求的,IT,服务的交付,08,应用程序,信息和技术解决方案的充分利用,内部因素,09 IT,灵活性,10,信息、处理基础设施和应用程序的安全性,11 IT,资产、资源和能力的优化,12,通过将应用程序和技术集成到业务流程中,启用和支持业,务流程,13,方案的执行提供的好处,按时间,按预算,并满足要求和,质量标准,14,用于决策的可靠和有用的信息的可用性,15 IT,遵守内部政策,学习和成长,16,能干和积极进取的业务和,IT,人员,17,业务创新的知识、专业知识和举措,8.Goals Cascade,12,13,图,8COBIT5,中的治理和管理,实现收益,风险优化,资源优化,治理目标:创造价值,治理促成因素,角色,活动和关系,治理范围,9.Governance Approach,2.Covering the Enterprise End-to-end,14,图,9,关键角色,活动和关系,代表,拥有者和利益相关者,负责,治理机构,设定方向,监控,经营,指导和,调整,报告,运作和执行,角色,活动和关系,9.Governance Approach,2.Covering the Enterprise End-to-end,15,图,10COBIT5,单一集成框架,现有,ISACA,指南,(COBIT,VAL IT,RISK IT,BMIS),新的,ISACA,指南资料,其他标准及框架,COBIT 5,专业指南,COBIT 5,促成因素指南,COBIT 5,COBIT 5,在线协作环境,COBIT 5,产品家族,COBIT 5,知识平台,现有指南与内容,未来内容架构,COBIT 5,促成因素,知识库内容漏斗,10.Framework Integrator,3.Applying a Single Integrated Framework,16,10.Framework Integrator,ISO31000,ISO38500,BS25999,Prince2,PMBOK,COBIT,ITIL V3,ISO27001,ISPL,SCAMPI,TOGAF,Security&Availability Mgt,ISO17799,ISO13335,ISO9001,IT,GRC,Quality Management System,IT Governance&Service Mgt,Governance&Risk Mgt,ISO15408,Project Mgt(New service),ITIL v2,IT,Governance,ITSCM,Governance Risk&compliance,TicketIT,NIST800,SLM/BR/,Configuration Mgt,ITSM,Supplier Mgt,Mgt system&Org,Finance&Capacity,Mgt,ISO15504,Appraisal&audit Mgt,MOF&MSF,ISO20000,Val IT,3.Applying a Single Integrated Framework,Value delivery,BCM,DR,Business Continue Mgt Disaster Recovery,17,SITC:Service&Security,10.Framework Integrator,3.Applying a Single Integrated Framework,ISO38500,ISO20000,ISO27001,COBIT foundation,exam,ITIL,Foundation exam,Service Manager,Expert,CISA/CISM,CISSP,B,U,S,I,N,E,S,S,I,N,D,I,V,I,D,U,A,L,Certifications overview,18,图,12COBIT5,企业促成因素,2.,流程,3.,组织结构,4.,文化、伦理道德和行为,1.,原则、政策和框架,5.,信息,6.,服务、基础设施和应用,7.,人、技能和竞争力,资源,11.Enablers,4.Enabling a Holistic Approach,19,20,图,13COBIT5,一般促成因素,利益相关者,内部利益相关者,外部利益相关者,目标,内在质量,情景质量(相关性,有效性),可访问性和安全性,生命周期,规划,设计,构建,/,获得,/,创造,/,实施,使用,/,操纵,更新,/,报废,良好做法,实践,工作产品,(输入,/,输,出),促成因素维度,利益相关者的需要处理了吗?,促成因素目标实现了吗?,管理生命周期了吗?,良好做法应用了吗?,实现目标的衡量标准(滞后指标),实践应用的衡量标准,(领先指标),促成因素性能管理,11.Enablers,4.Enabling a Holistic Approach,20,调整,规划和组织(,APO,),建立,获取和实施(,BAI,),交付,服务和支持(,DSS,),监控,评价和评估(,MEA,),COBIT 5,流程参考模型将企业,IT,治理和管理流程分为两个主要流程领域:,治理:包括,5,个治理流程,在每个流程内,定义了评估、指导和监控(,EDM,)实践。,管理:包含四个领域,根据责任区域的规划,构建,运行和监控(,PBRM,),并提供,IT,端到端的覆盖。这些领域是,COBIT4.1,域和流程结构的演变。这些领域的名称是根据主要领域的标识选择的,但包含了更多的动词描述他们:,图,15 COBIT 5,治理和管理的关键领域,评估,计划,(APO),构建,(BAI),运营,(DSS),监控,(MEA),治理,管理,指导,监控,业务需求,管理反馈,5.Separating Governance From Management,12.EDM Model,21,图,14,COBIT 5,治理和管理的相互作用,促成因素,治理,管理相互作用,流程,在说明性的,COBIT 5,的过程模型(,COBIT 5,:启用流程)中,治理和管理流程是有区别的,每种流程包括一系列具体的做法和活动。流程模型还包括,RACI,图表,描述企业内部不同的组织结构和角色的职责。,信息,流程模型描述从不同的流程实践到其他流程的输入和输出,包括治理和管理流程之间的信息交换。用于评估,指导和监督企业,IT,的信息在治理和管理之间交换,如流程模型的输入和输出所描述。,组织结构,每个企业都定义了若干组织结构,结构可以放在治理空间或管理空间中,这取决于其决策的组成和范围。由于治理是关于设定方向,在治理结构所做的决策(比如决定投资组合和风险偏好)和落实前面的决策和业务之间产生的互动。,原则、政策和框架,原则,政策和框架是企业内部治理决策的制度化的工具,出于这个原因,它们也是治理决策(设定方向)和管理(执行决策)之间的相互作用。,文化、伦理道德和行为,行为也是一个企业良好治理和管理的关键促成因素,它位于顶层,由示例引导,因此是治理和管理之间的重要的相互作用。,人、技能和竞争力,治理和管理活动需要不同的技能组合,但治理机构成员和管理层的一项基本技能是理解任务以及治理与管理之间的不同之处。,服务、基础设施和应用,服务是必需的,由应用程序和基础设施支持,从而为治理机构提供充足的信息,并支持治理活动的评估,方向设定和监控。,5.Separating Governance From Management,12.EDM Model,22,评价,指导,监控,IT,实施,IT,项目,提出建议,业务压力,业务需求,规划策略,绩效合规,IT,治理,业务流程,IT,治理国际标准:,ISO 38500,ISO/IEC38500,:,2008,可以用于任何规模的组织,包括公,/,私有性质的公司,政府机构以及非营利组织。这一标准,提供了一个,IT,治理的框架,,以协助组织高层管理者理解并,履行其组织,IT,使用的既定职责,实现,IT,治理的有效性、可用性及效率。,1,、主要内容:,范围、应用与目标,良好的,IT,治理框架,IT,治理指南,2,、指导准则:,职责分工,IT,支持组织发展,可获得性 可用性 合规性,尊重人性因素(以人为本),3,、治理机制,EDM,模型,评价,指导,监控,有效的,IT,治理应当是,可实施的,、具有,一致性,的,,EDM,模型聚焦于更广泛层次的,IT,治理,,它略微不同于管理者典型使用的,PDCA,模型。在这一模型中,管理者,依据业务压力与业务需求,来,监控,(,Monitor,)并,评价,(,Evaluate,)组织的,IT,使用,而后,指导,(,Direct,)实施政策方针弥补差距。,EDM,模型,12.EDM Model,24,24,企业,IT,治理流程,图,16COBIT 5,流程参考模型,EDM01,确保治理框架设置和维护,EDM02,确保,收益交付,EDM03,确保,风险优化,EDM04,确保,资源优化,EDM05,确保,利益相关者,透明,企业,IT,治理流程,评估,指导和监控,AP001,管理,IT,管理框架,AP002,管理战略,AP003,管理企业架构,AP004,管理创新,AP005,管理投资组合,AP006,管理预算和成本,AP007,管理人力资源,AP008,管理关系,AP009,管理服务协议,AP010,管理供应商,AP011,管理质量,AP012,管理风险,AP013,管理安全,调整、计划和组织,BAI01,管,理方案和,项目,BAI02,管理,需求定义,BAI03,管理解决方案识别和构建,BAI04,管理,可用性和,能力,BAI05,管理,组织变革启用,BAI06,管理,变更,BAI07,管理,变更验收和过渡,BAI08,管理,知识,BAI09,管理,资产,BAI10,管理,配置,构建、发展和实施,MEA01,监,测,评估,和分析性,能和合规,MEA02,监,测,评估,和分析内,部控制系,统,MEA03,监,测,评估,和分析与,外部需求,的符合性,交付、服务和支持,交付、服务和支持,DSS01,管理运营,DSS02,管理服务请求和事故,DSS03,管理问题,DSS04,管理持续性,DSS05,管理安全服务,DSS06,管理业务流程控制,13.Processes Reference Model,24,14.Process Capability Model,25,Thank You!,Implementation Guidance,1.Differences Between the COBIT 4.1,2.A Life Cycle Approach,3.Process Capability Model,4.RACI Model,5.Making the Business Case,26,
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
