COBIT 5 培訓(xùn).ppt

ACOBIT5Overview 25Jun2015 1 陳一中 CSST 1 What sCOBIT2 TheEvolution3 TheITGFocusAreas ValueofCOBIT4 WhyCOBIT5 05 ProductFamily6 COBIT5 0Principles7 TheGovernanceObjective ValueCreation8 GoalsCascade9 GovernanceApproach10 FrameworkIntegrator11 Enablers12 EDMModel13 ProcessReferenceModel14 ProcessCapabilityModel Outline 3 1 COBIT What sCOBIT COBIT ControlObjectivesforInformationandRelatedTechnology COBIT是一個(gè)在國際上得到公認(rèn)的 先進(jìn)的和權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn) 它在業(yè)務(wù)風(fēng)險(xiǎn) 控制需要和技術(shù)問題之間架起了一座橋梁 它可以輔助管理層進(jìn)行IT治理 指導(dǎo)組織有效利用信息資源 有效地管理與信息相關(guān)的風(fēng)險(xiǎn) 面向業(yè)務(wù)是COBIT的主題 它不僅是為用戶和審計(jì)師而設(shè)計(jì) 而且更重要的是它可以作為管理者及業(yè)務(wù)過程的所有者的綜合指南 COBIT真正關(guān)注的問題是 企業(yè)是否具備適當(dāng)?shù)目刂屏?以確保符合相關(guān)的管理規(guī)定 它幫助企業(yè)確定他們是否正在做他們表示要做的事 以及他們是否可以證明這一點(diǎn) 1996 1998 2000 2005 7 2012 COBIT1 COBIT2 COBIT3 COBIT4 0 4 1 COBIT5 0 Audit Control Management ITGovernance GovernanceofEnterpriseIT 2 COBIT theevolution Evolution 4 1996ISACF審計(jì)指南 1998ISACF控制目標(biāo) 2000ITGI管理指南 2005ITGI治理與管理 2012ISACA組織治理 5 3 ITGfocusAreas COBITValue IT治理關(guān)注的領(lǐng)域戰(zhàn)略定位 IT與企業(yè)運(yùn)營保持一致價(jià)值交付 優(yōu)化成本和證明IT的內(nèi)在價(jià)值風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)意識(shí) 風(fēng)險(xiǎn)偏好 合規(guī)需求資源管理 關(guān)鍵IT資源的最優(yōu)投資和恰當(dāng)管理性能測(cè)量 跟蹤和監(jiān)控 COBIT的價(jià)值 通過實(shí)施COBIT 增加了管理層對(duì)控制的感覺及支持 COBIT使IT管理工作簡(jiǎn)易并量化 減輕對(duì)復(fù)雜信息系統(tǒng)管理工作的難度 并且可以應(yīng)用在每天都發(fā)生的各種新問題中 COBIT提供一種國際通用的IT管理及問題解決方案 COBIT有助于提高信息系統(tǒng)審計(jì)師的影響力 COBIT框架可以幫助決定過程責(zé)任 提高IT治理水平 6 2012年4月10 ISACA官方即將正式發(fā)布CobiT5 0 這是COBIT發(fā)展16年來最重大的一次變化 CobiT5 0是建立在CobiT4 1的基礎(chǔ)上 并通過整合其他重要框架 重要框架主要包括 ISACA sValIT RiskIT及其他相關(guān)的國際標(biāo)準(zhǔn) 對(duì)CobiT4 1進(jìn)行擴(kuò)展而成 CobiT5 0提供了一個(gè)組織IT治理的端到端業(yè)務(wù)視圖 該視圖反映了信息技術(shù)在創(chuàng)造業(yè)務(wù)價(jià)值時(shí)的重要作用 該框架中提供了全球廣泛認(rèn)可的原則 最佳實(shí)踐 分析工具和模型可幫助組織獲得對(duì)信息系統(tǒng)的信任并從中產(chǎn)生價(jià)值 CobiT5 05大本質(zhì)1 幫助您通過提高IT相關(guān)風(fēng)險(xiǎn)的管理能力 增強(qiáng)業(yè)務(wù)與IT的溝通 提高業(yè)務(wù)目標(biāo)的IT交付以從IT中獲取更多的價(jià)值 降低IT成本 增強(qiáng)企業(yè)競(jìng)爭(zhēng)力 2 能夠通過IT治理和管理的業(yè)務(wù)框架滿足業(yè)務(wù)領(lǐng)導(dǎo)和IT領(lǐng)導(dǎo)的需求 3 能夠滿足整個(gè)企業(yè)內(nèi)利益相關(guān)者的需求 并且為更有效的決策闡明目標(biāo) 4 提供一套整合其他方法和標(biāo)準(zhǔn)的端到端框架 以解決組織的所有領(lǐng)域 5 代表了全球近百位專家的集體智慧 4 WhyCOBIT5 0 7 5 COBIT5ProductFamily COBIT5產(chǎn)品系列包含以下產(chǎn)品 COBIT5 框架 COBIT5促成因素指南 在指南中詳細(xì)討論了治理和管理促成因素 它們包括 促成流程 促使信息 開發(fā)中 其它促成因素指南 COBIT5專業(yè)指南 包括 實(shí)施 信息安全 保障 風(fēng)險(xiǎn) 其它專業(yè)指導(dǎo) 8 6 COBIT5Principles 9 7 TheGovernanceObjective ValueCreation 1 MeetingStakeholderNeeds 10 8 GoalsCascade 1 MeetingStakeholderNeeds 11 8 GoalsCascade 12 8 GoalsCascade 13 14 9 GovernanceApproach 2 CoveringtheEnterpriseEnd to end 15 圖9 關(guān)鍵角色 活動(dòng)和關(guān)系 角色 活動(dòng)和關(guān)系 9 GovernanceApproach 2 CoveringtheEnterpriseEnd to end 16 COBIT5促成因素 知識(shí)庫內(nèi)容漏斗 10 FrameworkIntegrator 3 ApplyingaSingleIntegratedFramework 17 10 FrameworkIntegrator SITC Service Security ISO31000 ISO38500 BS25999 Prince2PMBOK COBIT ITILV3 ISO27001 ISPL SCAMPI TOGAF Security AvailabilityMgt ISO17799 ISO13335 ISO9001 ITGRC QualityManagementSystem ITGovernance ServiceMgt Governance RiskMgt ISO15408 ProjectMgt Newservice ITILv2 ITGovernance ITSCM GovernanceRisk compliance TicketIT NIST800 SLM BR ConfigurationMgt ITSM SupplierMgt Mgtsystem Org Finance CapacityMgt ISO15504 Appraisal auditMgt MOF MSF ISO20000 ValIT 3 ApplyingaSingleIntegratedFramework Valuedelivery BCMDR BusinessContinueMgtDisasterRecovery 18 10 FrameworkIntegrator 3 ApplyingaSingleIntegratedFramework ISO38500 ISO20000 ISO27001 COBITfoundationexam ITILFoundationexamServiceManagerExpert CISA CISMCISSP BUSINESS INDIVIDUAL Certificationsoverview 19 11 Enablers 4 EnablingaHolisticApproach 20 20 11 Enablers 4 EnablingaHolisticApproach 21 調(diào)整 規(guī)劃和組織 APO 建立 獲取和實(shí)施 BAI 交付 服務(wù)和支持 DSS 監(jiān)控 評(píng)價(jià)和評(píng)估 MEA COBIT5流程參考模型將企業(yè)IT治理和管理流程分為兩個(gè)主要流程領(lǐng)域 治理 包括5個(gè)治理流程 在每個(gè)流程內(nèi) 定義了評(píng)估 指導(dǎo)和監(jiān)控 EDM 實(shí)踐 管理 包含四個(gè)領(lǐng)域 根據(jù)責(zé)任區(qū)域的規(guī)劃 構(gòu)建 運(yùn)行和監(jiān)控 PBRM 并提供IT端到端的覆蓋 這些領(lǐng)域是COBIT4 1域和流程結(jié)構(gòu)的演變 這些領(lǐng)域的名稱是根據(jù)主要領(lǐng)域的標(biāo)識(shí)選擇的 但包含了更多的動(dòng)詞描述他們 5 SeparatingGovernanceFromManagement 12 EDMModel 22 5 SeparatingGovernanceFromManagement 12 EDMModel IT治理國際標(biāo)準(zhǔn) ISO38500ISO IEC38500 2008可以用于任何規(guī)模的組織 包括公 私有性質(zhì)的公司 政府機(jī)構(gòu)以及非營利組織 這一標(biāo)準(zhǔn)提供了一個(gè)IT治理的框架 以協(xié)助組織高層管理者理解并履行其組織IT使用的既定職責(zé) 實(shí)現(xiàn)IT治理的有效性 可用性及效率 1 主要內(nèi)容 范圍 應(yīng)用與目標(biāo)良好的IT治理框架IT治理指南2 指導(dǎo)準(zhǔn)則 職責(zé)分工IT支持組織發(fā)展可獲得性可用性合規(guī)性尊重人性因素 以人為本 3 治理機(jī)制 EDM模型評(píng)價(jià)指導(dǎo)監(jiān)控 有效的IT治理應(yīng)當(dāng)是可實(shí)施的 具有一致性的 EDM模型聚焦于更廣泛層次的IT治理 它略微不同于管理者典型使用的PDCA模型 在這一模型中 管理者依據(jù)業(yè)務(wù)壓力與業(yè)務(wù)需求來監(jiān)控 Monitor 并評(píng)價(jià) Evaluate 組織的IT使用 而后指導(dǎo) Direct 實(shí)施政策方針彌補(bǔ)差距 EDM模型 12 EDMModel 24 24 24 企業(yè)IT治理流程 13