COBIT简介资料讲解.doc

COBIT简介一、 什么是 COBIT？COBIT的含义是“信息及其相关技术控制目标” (Control Objectives for Informationand related Technology) ，是一个在国际上得到公认的、先进的和权威的安全与信息技术管理和控制标准，它在业务风险、控制需要和技术问题之间架起了一座桥梁面向业务是COBIT的主题，它不仅是为用户和审计师而设计，而且更重要的是它可以作为管理者及业务过程的所有者的综合指南COBIT标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源， 有效地管理与信息相关的风险 COBIT从信息技术的规划与组织、 采集与实施、交付与支持、 监控等四个方面确定了 34个信息技术处理过程， 每个处理过程还包括更加详细的控制目标、审计方针和对 IT 处理过程进行评估的方法COBIT是由国际组织 ISACA(信息系统审计与控制协会 ) 制定的， ISACA总部设在美国，在100多个国家设有 160个分会，现有会员超过 4万人 ISACA主要负责制订信息系统审计准则、实务指南等专业规范来指导信息系统审计师的工作， ISACA 每年为通过考试为从业人员颁发CISA证书， CISA资格在世界各国被广泛认可。

二、 COBIT能给组织带来的利益有助于大幅提高组织对 IT 治理的接受程度，减少实施 IT 治理所需的时间；对IT 审计方法与审计方案标准化，为正式的 IT 审计与检查提供指南，为识别所有的主要风险区域提供可靠的参考；IT 运行管理人员通过 COBIT可以了解审计师的关注点， 有助于利用审计结果作为实施改善行动的机会；是实现 IT 治理目标的驱动力，可以帮助组织完善 IT 实务和 IT 过程；为组织提供了一个经济的、可持续完善的控制框架，控制 IT 建设过程中的风险，并提供一个有价值的参照基准，使得管理层对控制的决策可以基于一个可信的来源；有助于在业务与 IT 之间搭起沟通的桥梁，完善业务人员与 IT 管理人员的关系三、 COBIT的历史COBIT第一版由信息系统审计与控制基金会（ ISACF）于 1996年发布COBIT第二版于 1998年出版， 修订了高层控制目标与详细控制目标， 增加了实施工具集（ Implementation Tool Set ）信息系统审计与控制协会（ ISACA）及其相关的基金会在 1998年创立 IT 治理研究院(ITGI) ，由ITGI 制定并发布了 COBIT第三版， 加入了管理指南， 以及扩展和加强了对 IT 治理的关注；COBIT基于 ISACF的建立的 IT 控制目标，参照了其他控制框架、行业标准；ITGI 于 2005年底发布了 COBIT第四版，这一版对 IT 某些过程进行了调整，强调了 IT 控制与 IT 治理五个领域的对应关系四、 COBIT框架模型如下所示的 COBIT 模型表明，企业在进行 IT 控制时，必须将 IT 资源、信息准则、 IT过程与企业的策略与目标紧密联系起来，形成一个三维的体系结构。

其中， IT 准则集中反映了企业的战略目标， IT 资源是信息化控制的主要对象， IT 过程是在准则指导下，管理 IT资源的方式如图 3 所示COBIT控制框架为业务过程所有者提供了一个工具，以方便他们履行职责该框架基于这样一个简单和实用的前提：为了提供组织需要用来实现其目标的信息， IT 资源需要被一组自然组合的过程管理起来该框架提出了 34个的高层控制目标， 每个目标都针对特定的 IT 过程；这些高层控制目标又可组合为策划与组织、 采购与实施、交付与支持、监控四大领域这个体系覆盖了信息及其相关技术的所有方面 通过实现这 34个高层控制目标， 业务过程所有者可以确保为 IT 环境提供了一个充分的控制系统五、 COBlT的体系架构COBIT具有完整的体系架构，如下图所示上面的部分可以供董事会或者执行层参考中间部分关注管理层， 因为管理层重视测控和基准 下面部分提供了对实施的详细支持， 并确保有足够的 IT 控制和管理在使用 COBIT时，可以综合使用各个部分进行管理， 因为 COBIT是面向过程的，所以，可以用它来了解 IT 控制目标并控制与 IT 相关的商业风险1．《执行概要》《执行概要》 是对 COBIT概念和原理的总体解释， 《执行概要》 定义了 COBIT中的概念和原理以及其他各部分的大纲。

为了提供组织为达到其目标所需要的信息， IT 资源需要由一套整合的流程来管理其中， COBIT把信息标准定义为 7 种：有效性、效率性、机密性、完整性、可用性、符合性、可靠性 IT 资源定义为 5 类：人员、应用、技术、设施、数据IT 过程分为 4 个领域：计划和组织、获取和实施、交付和支持、监控这个结构覆盖了信息及其支撑技术的各个方面2 ．《控制框架》COBIT 的《控制框架》为企业过程拥有者提供了一个促进其履行职责的工具，提供信息化控制指导它指出这些 IT 过程影响到哪些信息标准，涉及到哪些 IT 资源，从而把IT过程、 IT 资源和信息连接到企业战略和目标上去，使计划和组织、获取和实施、交付和支持、监控 IT 绩效以最优的方式一体化，使企业充分利用其信息并因此而使利润最大化，抓住每一个机会，赢得竞争优势3．《管理指南》《管理指南》 是 COBIT最近发展的理论， 它进一步加强企业管理以更有效地处理业务需求和信息化控制要求 《管理指南》定义了 IT 过程的成熟度模型，为管理者评估 IT 过程的状态提供了标准同时也给出了一些重要的测度，这包括：关键成功因素、关键目标指标、关键绩效指标。

帮助提供典型管理问题的答案：我们该控制 IT 到什么程度，成本和收益是否相符 ?有没有一个测量标准用于判断何时肯定会出现失败 ?怎样才算是好的性能 ?关键成功因素是什么 ?哪些是影响我们实现组织目标的风险， 其他的组织在做什么 ?我们应该怎样进行测量与比较 ?COBIT 尤其是《管理指南》搭建了贯通业务风险、控制需要和技术问题这三者之间的桥梁《管理指南》面向实施，是普遍情况的总结，同时为怎样得到企业信息和相关的处理提供了管理方向，这些相关处理包括控制、监控组织目标成果、监控和改进每个 IT 处理的性能和组织成就的基准4．《控制目标》COBIT 框架结构包含高层控制目标和其分类的整体结构根本的分类理论是：考虑 IT资源的管理时，就本质而言，有三个层次的 IT 行为1) 从底部开始，第一层是为达到一个可测量结果的活动和任务尽管活动也有一个生命周期的概念， 然而活动尚属于离散的行为， 生命周期概念更强调不同于离散行为的典型控制要求2) “过程”被定义在第二层 ( 更高的一个层次 ) ，是一系列具有自然 ( 或有控 制的 ) 间断的联合活动和任务3) 在最高层，过程被自然归组成域它们的自然组合经常被作为组织结构的职责域，并与可应用于 IT 过程的管理周期或生命周期相一致。

COBIT 提供了一套 34 个高层的控制目标，每一个目标对应着一个 IT 过程，一共组成 4个域：规划和组织、获取和实现、交付和支持、监控这种结构涵盖了信息和相关支持技术的所有方面 通过发布这 34 个高层控制目标， 业务处理者可以确保对 IT 环境提供适当的控制系统在 34 个 IT 过程中， 针对每个 IT 过程，给出了管理策略， 包括：该 IT 过程满足了何种业务需求， 应采用何种措施， 它影响到哪些信息标准， 涉及到哪些 IT 资源以及在该 IT 过程中应注意的事项控制目标下， 又定义了 318 个具体的控制子目标 每个子目标从价值交付和风险管理的角度，再将子控制目标细化成可执行的控制实务 (Control Practice 或译为控制实践、控制实务 ) ，并为实施执行提供业务指导 IT 控制实务是对应用 COBIT的进一步阐述，同时为实践者提供了额外层次的详细说明 COBIT 的 IT 处理，业务需求和详细的控制目标定义了要实施有效的控制结构需要做的事情 IT 控制实务提供了更为详细的需求，并解释了管理层、服务提供者、最终用户和控制人员怎样以及为什么需要 IT 控制措施。

5．《审计指南》《审计指南》 通过审查实际的活动的表现， 以确保能够满足高层和详细的控制目标 对应于 34 个高层控制目标的每一个目标，都有一个审计指南来评审 IT 过程，可以结合 COBIT推荐的 318 个详细控制目标来提供管理保证或改进建议 《审计指南》为 CIO 和信息系统审计师对组织的信息系统进行分析、评估、实施、审计等提供了建议和指导6．《实施工具集》《实施工具集》 提供其他组织在工作环境下迅速而成功应用 COBIT 的经验教训提供两个特别有用的工具： 管理诊断工具和 IT 控制诊断工具 用来辅助分析组织的环境lT它控制六、 对COBIT要素的描述1． IT 资源COBIT 中定义的 IT 资源如下1) 数据：是最广泛意义上的对象 ( 如外部和内部的 ) 、结构化及非结构化的、图形、声音等2) 应用系统：手工的以及计算机程序的总和3) 技术：包括硬件、操作系统、数据库管理系统、 网络、多媒体等4) 设备：包括所拥有的支持信息系统的所有资源5) 人员：包括员工技能、意识，以及计划、组织、获取、交付、支持和监控信息系统及服务的能力2． IT准则通常，企业目标映射为 IT 目标，意味着从业务的观点看， IT 必须满足哪些准则，才能保证其收益的实现。

这意味着从业务的观点来看，信息系统应该具备：·有效性——既能处理与业务过程有关的信息， 又能以及时、 正确、 一致和可用的方式交付·效率——考虑通过最优的 ( 最有效及最经济的 ) 资源利用来提供信息·保密性——考虑保护敏感的信。