COBIT简介资料讲解.doc

1、COBIT简介一、 什么是COBIT？COBIT的含义是“信息及其相关技术控制目标”(Control Objectives for Information and related Technology)，是一个在国际上得到公认的、先进的和权威的安全与信息技术管理和控制标准，它在业务风险、控制需要和技术问题之间架起了一座桥梁。面向业务是COBIT的主题，它不仅是为用户和审计师而设计，而且更重要的是它可以作为管理者及业务过程的所有者的综合指南。COBIT标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。COBIT从信息技术的规划与组织、采

2、集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制目标、审计方针和对IT处理过程进行评估的方法。COBIT是由国际组织ISACA(信息系统审计与控制协会)制定的，ISACA总部设在美国，在100多个国家设有160个分会，现有会员超过4万人。ISACA主要负责制订信息系统审计准则、实务指南等专业规范来指导信息系统审计师的工作， ISACA每年为通过考试为从业人员颁发CISA证书，CISA资格在世界各国被广泛认可。二、 COBIT能给组织带来的利益l 有助于大幅提高组织对IT治理的接受程度，减少实施IT治理所需的时间；l 对IT审计方法与审计方案标准

3、化，为正式的IT审计与检查提供指南，为识别所有的主要风险区域提供可靠的参考；l IT运行管理人员通过COBIT可以了解审计师的关注点，有助于利用审计结果作为实施改善行动的机会；l 是实现IT治理目标的驱动力，可以帮助组织完善IT实务和IT过程；l 为组织提供了一个经济的、可持续完善的控制框架，控制IT建设过程中的风险，并提供一个有价值的参照基准，使得管理层对控制的决策可以基于一个可信的来源；l 有助于在业务与IT之间搭起沟通的桥梁，完善业务人员与IT管理人员的关系三、 COBIT的历史l COBIT第一版由信息系统审计与控制基金会（ISACF）于1996年发布。l COBIT第二版于1998年

4、出版，修订了高层控制目标与详细控制目标，增加了实施工具集（Implementation Tool Set）l 信息系统审计与控制协会（ISACA）及其相关的基金会在1998年创立 IT治理研究院(ITGI)，由ITGI制定并发布了COBIT第三版，加入了管理指南，以及扩展和加强了对IT治理的关注；l COBIT基于ISACF的建立的IT控制目标，参照了其他控制框架、行业标准； l ITGI于2005年底发布了COBIT第四版，这一版对IT某些过程进行了调整，强调了IT控制与IT治理五个领域的对应关系四、 COBIT框架模型如下所示的COBIT模型表明，企业在进行IT控制时，必须将IT资源、信息

5、准则、IT过程与企业的策略与目标紧密联系起来，形成一个三维的体系结构。其中，IT准则集中反映了企业的战略目标，IT资源是信息化控制的主要对象，IT过程是在准则指导下，管理IT资源的方式。如图3所示。 COBIT控制框架为业务过程所有者提供了一个工具，以方便他们履行职责。该框架基于这样一个简单和实用的前提：为了提供组织需要用来实现其目标的信息，IT 资源需要被一组自然组合的过程管理起来。该框架提出了34个的高层控制目标，每个目标都针对特定的IT过程；这些高层控制目标又可组合为策划与组织、采购与实施、交付与支持、监控四大领域。这个体系覆盖了信息及其相关技术的所有方面。通过实现这34个高层控制目标，

6、业务过程所有者可以确保为IT环境提供了一个充分的控制系统。 五、 COBlT的体系架构 COBIT具有完整的体系架构，如下图所示。上面的部分可以供董事会或者执行层参考。中间部分关注管理层，因为管理层重视测控和基准。下面部分提供了对实施的详细支持，并确保有足够的IT控制和管理。在使用COBIT时，可以综合使用各个部分进行管理，因为COBIT是面向过程的，所以，可以用它来了解IT控制目标并控制与IT相关的商业风险。1执行概要执行概要是对COBIT概念和原理的总体解释，执行概要定义了COBIT中的概念和原理以及其他各部分的大纲。为了提供组织为达到其目标所需要的信息，IT资源需要由一套整合的流程来管理

7、。其中，COBIT把信息标准定义为7种：有效性、效率性、机密性、完整性、可用性、符合性、可靠性。IT资源定义为5类：人员、应用、技术、设施、数据。IT过程分为4个领域：计划和组织、获取和实施、交付和支持、监控。这个结构覆盖了信息及其支撑技术的各个方面。 2控制框架 COBIT的控制框架为企业过程拥有者提供了一个促进其履行职责的工具，提供信息化控制指导。它指出这些IT过程影响到哪些信息标准，涉及到哪些IT资源，从而把IT过程、IT资源和信息连接到企业战略和目标上去，使计划和组织、获取和实施、交付和支持、监控IT绩效以最优的方式一体化，使企业充分利用其信息并因此而使利润最大化，抓住每一个机会，赢得

8、竞争优势。3管理指南 管理指南是COBIT最近发展的理论，它进一步加强企业管理以更有效地处理业务需求和信息化控制要求。管理指南定义了IT过程的成熟度模型，为管理者评估IT过程的状态提供了标准。同时也给出了一些重要的测度，这包括：关键成功因素、关键目标指标、关键绩效指标。帮助提供典型管理问题的答案：我们该控制IT到什么程度，成本和收益是否相符?有没有一个测量标准用于判断何时肯定会出现失败?怎样才算是好的性能?关键成功因素是什么?哪些是影响我们实现组织目标的风险，其他的组织在做什么?我们应该怎样进行测量与比较? COBIT尤其是管理指南搭建了贯通业务风险、控制需要和技术问题这三者之间的桥梁。管理指

9、南面向实施，是普遍情况的总结，同时为怎样得到企业信息和相关的处理提供了管理方向，这些相关处理包括控制、监控组织目标成果、监控和改进每个IT处理的性能和组织成就的基准。4控制目标 COBIT框架结构包含高层控制目标和其分类的整体结构。根本的分类理论是：考虑IT资源的管理时，就本质而言，有三个层次的IT行为。 (1)从底部开始，第一层是为达到一个可测量结果的活动和任务。尽管活动也有一个生命周期的概念，然而活动尚属于离散的行为，生命周期概念更强调不同于离散行为的典型控制要求。 (2)“过程”被定义在第二层(更高的一个层次)，是一系列具有自然(或有控制的)间断的联合活动和任务。 (3)在最高层，过程被

10、自然归组成域。它们的自然组合经常被作为组织结构的职责域，并与可应用于IT过程的管理周期或生命周期相一致。 COBIT提供了一套34个高层的控制目标，每一个目标对应着一个IT过程，一共组成4个域：规划和组织、获取和实现、交付和支持、监控。这种结构涵盖了信息和相关支持技术的所有方面。通过发布这34个高层控制目标，业务处理者可以确保对IT环境提供适当的控制系统。 在34个IT过程中，针对每个IT过程，给出了管理策略，包括：该IT过程满足了何种业务需求，应采用何种措施，它影响到哪些信息标准，涉及到哪些IT资源以及在该IT过程中应注意的事项。 控制目标下，又定义了318个具体的控制子目标。每个子目标从价

11、值交付和风险管理的角度，再将子控制目标细化成可执行的控制实务(Control Practice或译为控制实践、控制实务)，并为实施执行提供业务指导。IT控制实务是对应用COBIT的进一步阐述，同时为实践者提供了额外层次的详细说明。COBIT的IT处理，业务需求和详细的控制目标定义了要实施有效的控制结构需要做的事情。IT控制实务提供了更为详细的需求，并解释了管理层、服务提供者、最终用户和控制人员怎样以及为什么需要IT控制措施。5审计指南 审计指南通过审查实际的活动的表现，以确保能够满足高层和详细的控制目标。对应于34个高层控制目标的每一个目标，都有一个审计指南来评审IT过程，可以结合COBIT推

12、荐的318个详细控制目标来提供管理保证或改进建议。审计指南为CIO和信息系统审计师对组织的信息系统进行分析、评估、实施、审计等提供了建议和指导。6实施工具集 实施工具集提供其他组织在工作环境下迅速而成功应用COBIT的经验教训。 它提供两个特别有用的工具：管理诊断工具和IT控制诊断工具。用来辅助分析组织的lT控制环境。六、 对COBIT要素的描述1IT资源 COBIT中定义的IT资源如下。 (1)数据：是最广泛意义上的对象(如外部和内部的)、结构化及非结构化的、图形、声音等。 (2)应用系统：手工的以及计算机程序的总和。 (3)技术：包括硬件、操作系统、数据库管理系统、网络、多媒体等。 (4)

13、设备：包括所拥有的支持信息系统的所有资源。 (5)人员：包括员工技能、意识，以及计划、组织、获取、交付、支持和监控信息系统及服务的能力。 2IT准则 通常，企业目标映射为IT目标，意味着从业务的观点看，IT必须满足哪些准则，才能保证其收益的实现。这意味着从业务的观点来看，信息系统应该具备： 有效性既能处理与业务过程有关的信息，又能以及时、正确、一致和可用的方式交付。 效率考虑通过最优的(最有效及最经济的)资源利用来提供信息。 保密性考虑保护敏感的信息免于暴露给未经授权的人。 完整性既关系到信息的正确性和完全性，又关系到与业务价值和期望的一致性。 可用性主要关注不论在当前还是将来，用户在需要时都

14、可获取信息。同时还关注必要资源和相关能力的安全保护措施。 符合性是指IT与商业过程必须遵从的法律、法规和合同规定是否相一致的问题，例如：必须与企业外部征税准则相一致。符合性关注是否遵守法律、法规和合同规定。 可靠性为管理层开展业务经营提供适当的信息，并且利益相关者获取的财务报告等信息是真实可靠的。 这里需要指出，所有的控制准则并不一定必须同样程度地影响IT资源。因此，COBIT框架结构特指处于考虑中的过程(而不是那些仅仅参与的过程)所管理的IT资源的适用性。 此外，所有的控制准则并不一定必须同样程度地满足不同的业务信息需求。在COBIT中有“主要”和“次要”之分，“主要”是指己定义的控制目标直

15、接影响相关信息准则的程度。“次要”是指已定义的控制目标在一个较小范围内或是间接地满足相关信息准则的程度。3IT过程 IT资源，包括人员、应用系统、技术、设施和数据等资源需要通过一定的组织才能够实现价值，这也意味着需要在各种IT领域的过程中正确使用IT资源。 对于企业的IT过程而言，在这里进行更详尽的解释。企业的信息系统是由一个个功能组成的，它们对应于企业经营领域的一个个活动。这些活动可以按照彼此之间关系的紧密程度或者目标的一致程度归结为一些过程，例如，定义IT战略规划、定义信息体系结构、管理IT投资、风险评估，等等。过程之间的自然组合形成企业的域，与企业结构的职责域相对应。因此，对企业IT资源

16、的管理和控制就分布在相应的三个层次上活动任务层、过程层和域层。如图所示: 最底层(也就是分的最细化的层次)包含可测量结果的活动或任务(活动有一个生命周期的概念，然而任务是离散的不连续的)。在这个层次上，任何活动或任务都能得到有效的评测和控制，可以认为这些活动或任务是一个个可测量与评估的单元，通过对这些单元的评测和控制，从而达到积少成多，完成对整个过程的控制。 第二层定义为“过程”，是一系列具有自然(或有控制的)间隔的活动和任务的组合。在这个层次里面，过程是由一个个相互关联的活动所组成，完成相对独立的一个功能。 在最高层，过程被自然归组成域。过程的自然组合被作为组织结构的职责域，并与应用于IT处

17、理过程的管理周期或生命周期相一致，每个域都有各自明确的控制目标及其所涵盖的功能范围。包括以下四个域： 1)规划与组织域 【描述】 这个域包括战略和战术两个层面，重点关注如何识别满足业务目标的IT系统。同时，战略目标的实现应规划，并从不同的层面沟通和管理。最后，良好的组织架构和技术基础架构是必不可少的。 【主题】 战略和战术 远景规划 组织及其基础架构 【问题】 IT战略与业务战略相一致吗? 组织的资源是否被最优使用? 组织中的每个人理解IT目标吗? IT风险是否已被识别并有效管理? IT系统的质量满足业务的需求吗? 【控制目标】 PO 1制定IT战略规划 PO 2确定信息体系架构 PO 3确定

18、技术方向 PO 4定义IT组织与相互关系 PO 5管理IT投资 PO 6管理目标与方向的协调 PO 7人力资源管理 PO 8确保符合外部要求 PO 9风险评估 PO 10项目管理 PO 11质量管理 2)建设与实施域 【描述】 理解IT战略后，应识别、开发或获取、实施IT解决方案，同时，密切与业务流程的融合。另外，这个域还包括已有系统的变更与维护，以确保系统生命周期的持续改进。 【主题】 IT解决方案 变更与维护 【问题】 新项目是否能满足业务的需求? 新的项目是否可以按时交付且在成本之内? 当实施完毕时，新系统是否能正常工作? 变更是否会影响正常的业务操作? 【控制目标】 AI 1确定解决方

19、案 AI 2获取并维护应用软件 AI 3获取并维护技术基础设施 AI 4程序开发与维护 AI 5系统安装与验收 AI 6变更管理 3)运行与支持域 【描述】 这个域重点关注服务(从传统的运营到培训)的价值交付，为了保证价值交付，必要的IT服务支持流程是不可或缺的。另外，这个域还包括应用系统的实际数据处理流程及系统的安全性。 【主题】 服务的交付 建立服务支持流程 应用系统的处理过程 【问题】 交付的IT服务是否与业务优先顺序相一致? IT成本是否被优化? 职员是否能够安全有效地使用IT系统? 系统是否安全、完整、可用? 【控制目标】 DS 1定义并管理服务水平 DS 2管理第三方服务 DS 3

20、绩效管理与容量管理 DS 4确保持续性服务 DS 5确保系统安全 DS 6确认与分配成本 DS 7教育并培训客户 DS 8为客户提供帮助和建议 DS 9配置管理 DS 10 问题管理与紧急事件管理 DS 11数据管理 DS 12设施管理 DS 13运营管理 4)监控与评价域 【描述】 为了保证系统的质量并满足控制需求，所有的流程应被定期评估。这个域避免了控制流程的管理疏忽，并包括独立的内外部审计。 【主题】 周期性评估，确保成果交付 控制系统的管理疏忽 绩效评估机制 【问题】 IT的绩效如何被度量及如何尽早发现潜在问题? 是否需要独立的保证以确保关键区域按既定目标运作? 【控制目标】 M1流程

21、监控 M2评价内部控制的适当性 M3获得独立保证 M4提供独立性审计 总之，以上4个域中定义了34个高层控制目标，这些控制目标就是主要的IT过程，通过三维结构可以指出这些IT过程影响到哪些信息标准，涉及到哪些IT资源。如表所示。COBlT控制过程、资源、准则之间的关联域lT过程有效性经济性保密性完 整 性可用性符合性可靠性人 员应用技术设施数 据规划与组织(PO)制定IT战略计划PSXXXXX确定信息体系架构PSSSXX确定技术方向PSXX定义IT组织与相互关系PSX管理IT投资PPSXXXX管理目标与方向的协调PSX人力资源管理PPX确保符合外部要求PPSXXX风险评估PSPPPSSXXXX

22、X项目管理PPXXXX质量管理PPPSXXXX获取与实施(AI)确定解决方案PSXXX获取并维护应用软件PPSSSX获取并维护技术基础设施PPSX程序开发与维护过程PPSSSXXXX系统的安装与验收PSSXXXXX变更管理PPPPSXXXXX交付与支持(DS)定义并管理服务水平PPSSSSSXXXXX管理第三方服务PPSSSSSXXXXX绩效管理与容量管理PPSXXX确保持续性服务PSPXXXXX确保系统安全PPSSSXXXXX确认与分配成本PPXXXXX教育并培训客户PSX为客户提供帮助和建议PPXX配置管理PSSXXX问题管理与紧急事件管理PPSXXXXX数据管理PPX设施管理PPX运营管

23、理PPSSXXXX监控（M）流程监控PPSSSSSXXXXX评估内部榨制的话当件PPSSSPSXXXXX获得独立保证PPSSSPSXXXXX提供独立性审计PPSSSPSXXXXX七、 COBIT举例说明 COBIT包括了技术相关的控制目标和方法，它们来自于41个国际公认的安全、审计和控制参考，是对一些问题的新的思考途径，而不是IT控制和审计程序的集合，这就导致COBIT不像ISO27001或ITIL那样易于理解或实施。这里特以变更管理流程为例来介绍COBIT的使用：l 变更管理流程的控制框架控制IT过程： 变更管理 以满足下列业务需求： 把破坏、非授权的改动和错误发生的可能性减少到最小。 实现

24、方法： 建立一套管理系统来分析、实施和跟踪所有针对现有的IT基础设施的变更请求和变更过程。 同时考虑： 变更确定 分类，优先和紧急程序 影响评估 变更授权 发布管理 软件分配 自动工具的使用 配置管理 重新设计业务处理流程l 变更管理流程的控制目标(以下为详细控制目标)AI 6变更管理 61变更请求初始化和控制 IT管理部门为保证所有变更可控，要做到：标准化系统的维护工作，以及符合规范的管理和程序。变更要进行分类，区分优先级，同时要有特殊的程序来处理紧急情况。变更请求人员应始终明了其请求所处的状态。 62影响评估 用结构化的方式来评估，所有变更请求对操作系统及其功能上产生的影响。 63变更控制

25、 IT管理部门应该保证变更管理，软件控制和分发都可以用一个综合配置管理系统来合为一体。用于监控应用系统变更的系统能够自动地记录和跟踪大型的、复杂的信息系统的变化。 64紧急情况下的变更 当变更绕过了技术操作和以前管理评估正常的程序去执行操作时，IT管理部门应该确立紧急情况下变更发生的参数和程序来控制这些变更。紧急情况的变更应该通过以前的IT管理部门记录和授权实施。 65文档和程序 变更程序应该确保不论什么时候实施系统变更，相关的文档和程序要相应地更新。 66授权维护 IT管理部门应该确保维护人员有详细具体的任务，同时要正确地监控他们的工作。另外，他们的访问权力应该被控制以避免对系统进行未授权访

26、问的风险。 67软件发布策略 IT管理部门应该通过正常的程序来管理软件的发布，以保证正常完成、包装、回归测试、移交等。 68软件的分发 应该建立具体的内部控制措施，来确保合适的软件单元完整地分发到了正确的地方，同时，使用合适的方法来获得审计踪迹。 l 这里我们再以紧急情况的变更管理为例介绍其控制实务如下。AI64紧急情况的变更管理 当紧急情况发生时，正常的技术、操作和实施前的管理评估已不能正常进行，IT管理部门应该判定紧急情况是否发生及实施控制程序来管理这些变更。紧急情况的变更实施应该通过IT管理部门记录和正式授权。 IT控制实务 (1)管理层应该定义紧急情况的特征和应对流程，以便识别、对外宣布和及时响应。 (2)所有的变更管理应记录，如果此前没做，事后及时补救。 (3)所有的变更管理应进行测试，如果此前没做，事后及时补救。 (4)所有的变更管理在实施之前，应由系统所有人和管理层正式授权和管理。 (5)记录变更前后的情形，变更日志要记录并保留以备日后检查。 通过实施变更管理控制实务将： 确保只有突然发生意外情况时，才启动紧急情况管理流程。 确保不损坏机密性、完整性、可用性、可靠性及正确性的情况下实施紧急 情况的变更。