IT治理利器——COBIT4.0简介
关键字:COBIT
COBIT是Control Objectives for Information and related Technology(信息及其技术的控制管理目标集)的简称。
成立于1969年的美国信息系统审计与控制协会(ISACA),于1996推出了用于“IT审计”的知识体系COBIT。“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。相应地,“注册信息系统审计师”(CISA)日益成为世界各国发展信息化过程中,争相发展的新兴职业和领域。
COBIT是IT最佳实践的集合体(integrator),也是IT管理的伞状框架,它能帮助理解和管理与IT相关的风险和收益。作为IT治理的核心模型, COBIT包含34个信息技术过程控制,并归集为四个控制域:IT规划和组织(Planning _and Organization)、系统获得和实施(Acquisition _and Implementation)、交付与支持(Delivery _and Support)以及信息系统运行性能监控(Monitoring)。 COBIT目前已成为国际上公认的IT管理与控制标准。COBIT目前已成为国际上公认的IT管理与控制框架,已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效地利用信息资源,有效地管理与信息相关的风险。
1、COBIT的基本逻辑
COBIT的基本逻辑是:IT resources are managed by IT processes to achieve IT goals that respond to the business requirements(IT资源被IT过程管理,以达到符合业务需求的IT目标)。
COBIT认为IT资源是有限的,所以应该被有效管理。如何实现这个目标呢?通过管理IT过程。因为IT资源被IT活动所使用,所以管理好IT活动就能够管理好IT资源;而IT过程是IT活动的集合,所以管理IT过程也就是管理IT活动。
2、COBIT的内容
我们已经知道COBIT包括一个IT管理框架和一个支持工具集。下面将分别介绍这些内容。
2.1 支持工具集
为了达成“通过IT过程管理IT资源,实现IT目标满足业务需求”的目的,COBIT认为首先需要有一些控制管理目标来定义正在实施的政策、流程、实践的最终目的,从而保证业务目标能够被达成且不会有不期望的事件发生。但是光有这些控制管理目标是不足够的,还需要建立标准,用来评判现状是理想的还是需要改进的。要和标准进行比对,就必须能够对现状进行度量,这又要求必须有一套度量现状的方法。
下图用一个传统行业的问题用例来类比上述管理过程所需的管理工具。
因此,COBIT提供了三个工具:
1、Benchmarking of IT process capability expressed as maturity models, derived from the Software Engineering Institute’s Capability Maturity Model;(标准 Scales)
2、 Goals and metrics of the IT processes to define and measure their outcome and performance based on the principles of Robert Kaplan and David Norton’s balanced business scorecard;(度量 Measures)
3、Activity goals for getting these processes under control, based on COBIT’s detailed control objectives.(控制管理目标 Indicators)
COBIT采用SEI的能力成熟度模型来描述IT过程能力,以此作为IT过程能力度量标准;基于业务平衡记分卡这种度量方法,COBIT采用Goal(KGI关键目的指标)来度量IT过程输出,采用Metrics(KPI关键绩效指标)来度量IT过程绩效;最后,用COBIT控制管理目标来定义IT过程的活动目的,这是COBIT的精华和独创部分。
COBIT的Dashboard就是它的框架,而控制管理目标就是Dashboard上面的Indicators。这有点象中医里面的经络图,COBIT框架(Dashboard)就是那张图,控制管理目标(Indicators)就是经络图上的穴位。那张图,除了告诉你全身(IT管理)有多少个穴位以外,还告诉你哪个穴位可以治什么病(业务需求)。有了这张图你就知道,扎针扎在这儿可以治头疼,扎在那儿可以治脚疼,扎别的地方除了疼什么都治不了。但它没告诉你扎针应该扎多深。Benchmarking给的就是这个扎针的深度,治脚疼要扎三分,治头疼要扎一分。但没告诉你这个“分”到底是怎样量出来的。Scorecards给的就是一个记分的方法。三样隔一块儿就可以保证这一针扎下去一定有效。所以,COBIT也是这样,必须三样都齐备才能保证IT管理的有效。
2.2 COBIT框架
COBIT框架包括:一个索引(穴位在哪里),三张关系匹配图(每个穴位治什么病)。
COBIT框架提供了一个索引。
COBIT定义了100多个控制管理目标,如何组织这些目标,需要一个框架。因此,COBIT借鉴了一些业界研究成果,将IT活动归纳到34个过程4个过程域中,控制管理目标通过定义IT活动目的被组织在这个框架里。度量和标准都是针对控制管理目标的,找到了控制管理目标就找到了相应的度量方法和标准。下图就是COBIT的框架图。
这个框架还体现了COBIT的基本逻辑:IT资源被IT过程管理,以达到符合业务需求的IT目标。
COBIT框架还提供了IT过程、IT目标、业务目标和业务需求四者之间的支撑关系。
COBIT还是借鉴了业界的很多研究成果,归纳出了28个IT目标,20个业务目标,7个业务需求,并提供了34个IT过程和它们之间的相互支撑关系。
3、COBIT文档系列
为了说清楚这些内容,COBIT工作小组开发了一系列文档,分成不同的小册子,主要是为了适应不同层面的读者需求。不同层面的读者,职责不同需求不同,只要看与自己的职责需求相对应的部分即可,并不需要全都了解得一清二楚。这些独立分开的小册子提供了这种便利。COBIT文档系列结构如下:
管理指南(Management Guidelines)COBIT管理指南在IT控制和IT治理之间提供了连接。它们是普通的并以行动为导向,提供给管理层如下目的的具体指南和指导:获得控制下的企业信息和相关过程;监督组织目标的完成;在每个IT过程中监督和完善绩效和衡量组织的成绩。它们为下列典型的管理问题提供答案:
在控制IT过程中我们应走多远?成本和收益能配比吗??
关键效绩指标有哪些?
关键成功因素有哪些?
如果不能达到目标,相应的风险是什么?
还需要其它部门做是什么?
我们如何按照行业内或国际标准当今情况来衡量和比较组织的成熟度
组织发展的战略是什么?
控制实务(Control Practices)
IT控制实务通过给从业者提供附加的细节水平来扩展COBIT性能。COBIT IT过程、业务要求和详细的控制目标定义了要满足什么需求以实施一种有效的控制架构。IT控制实务提供了更详细的管理层、服务提供商、终端客户和控制专业人员如何及为什么需要,以实施高度具体的基于经营和IT风险分析之上的控制。
审计指南(Audit Guidelines)
分析、评估、解释、反应和实施。为了达到既定的目的和目标,企业必须持续进行审计检查。在控制目标的风险不能有效控制的情况下,审计指南提供符合34个高级控制目标的具体实施措施。
CobiT Quickstart
这个专用版本适用于中小企业及其它企业,这些企业信息系统不作为影响企业生存和发展的核心部分,但它可作为IT治理与适当控制水平的起始点。这一方案在对COBIT解释的完整形式的反馈中已被广泛接受,但由一个小的IT职员来操作往往没有足够的资源来实现所有的COBIT.这个COBIT版本 ;组成了整个COBIT体系的一个子集。只有那些最重要的控制目标被考虑在内,以至于COBIT基本原理能容易、有效相对快速的执行。
CobiT Online
CobiT在线版本允许用户根据自己情况定制出适合自己企业的CobiT版本,然后进行实施操作。它提供了在线的、实时的调查和基准线。
IT治理实施指南(IT Governance Implementation Guide)
IT治理实施指南的目的是为读者提供使用CobiT实施和改进IT治理的方法。该指南主要关注实施IT治理的通用方法,包括:
为什么IT治理是重要的及为什么组织应该实施IT治理
IT治理生命周期
CobiT 架构
CobiT与IT治理之间的联系及如何利用CobiT 实施IT治理
对IT治理感兴趣的利益相关者
使用CobiT实施IT治理的步骤
这些文档面向三类用户:
1)公司高级执行长官和董事会:(红色部分)
2)业务和技术管理层:(深蓝色部分)
3)管理、保证、控制和安全专家:(浅灰色部分)
方框里的是文档名称,分别和各类用户相对应。
|
||||||
