COBIT定義及理解(精)

1、COBIT 定義及理解COBIT經(jīng)過(guò)幾十年的發(fā)展，西方發(fā)達(dá)國(guó)家總結(jié)了信息化建設(shè)的經(jīng)驗(yàn)，將企業(yè)治理”的概 念引入到信息化領(lǐng)域 提出了 “IT 治理”的概念，對(duì)信息化建設(shè)的管理提升到 了一個(gè)新 的高度。信息化建設(shè)過(guò)程實(shí)質(zhì)上就是一個(gè)對(duì)IT 進(jìn)行治理的過(guò)程，在這個(gè)背景下，ISACA 提出了 COBIT。COBIT 是什么？COBIT 是 Con trolled Objectives for In formation and Related Tech nolog y 的縮 寫,即信息及相關(guān)技術(shù)的控制目標(biāo)。COBIT 是 ISACA（信息系統(tǒng)審計(jì)和控制聯(lián)合會(huì) 制訂的面向過(guò)程的信息系統(tǒng)審計(jì)和評(píng)價(jià)的標(biāo)準(zhǔn)。對(duì)信

2、息化建設(shè)成果的評(píng)價(jià)，按照系統(tǒng)屬性可以劃分為若干方面，如:對(duì)最終成果評(píng)價(jià)、對(duì)建設(shè)過(guò)程評(píng)價(jià)、對(duì)系統(tǒng)架構(gòu)評(píng)價(jià)等。COBIT 是一個(gè)基于 IT 治理概念的、面向 IT 建設(shè)過(guò)程的 IT 治理實(shí)現(xiàn)指 南和 審計(jì)標(biāo)準(zhǔn)。ISACA 成立于 1969 年,是國(guó)際上最富盛名的信息控制理論研究及研究資料的出 版機(jī)構(gòu)，是一個(gè)專門從事 IT 治理相關(guān)技術(shù)研究、教育的國(guó)際組織。它在全球擁有100 多個(gè)會(huì)員國(guó)，主要任務(wù)定位于協(xié)調(diào)世界范圍內(nèi)建立 IT 控制慣例，并與其他國(guó)際組 織如財(cái)務(wù)、會(huì)計(jì)、審計(jì)及 IT 專業(yè)建立了戰(zhàn)略聯(lián)盟，使自己在 IT 治理方面達(dá)到世界 最高水平。ISACA 于 1996 年發(fā)表了 COBIT 的第一

3、版，1998 年修訂后發(fā)表第二版。最新的版本是 COBIT 新面孔-COBIT 4.0 揭秘日期:2007-02-25來(lái)源:ITGov 作者:王東紅 白楊字體:大中 小隨著薩班斯法案的出臺(tái)，及增強(qiáng)企業(yè)本身 IT 內(nèi)部控制的需要，COBIT 已為大家所熟知，作為全球公認(rèn)的 IT 治理框架，其得到了各個(gè)國(guó)家各個(gè)行業(yè)的廣泛應(yīng)用。2005 年三月，歐洲共同體（EC 委員會(huì)選擇了 COBIT ,來(lái)保證信息的安全以及對(duì)其農(nóng) 業(yè)資金支付代理的控制。被像 EC 這樣的組織廣泛地認(rèn)識(shí)并采用，足以證明 COBIT 發(fā)展的廣度和深度。2005 年第四季度，ISACA 發(fā)布了 CobiT 最新版本 COBIT4.0,

4、 對(duì)框架進(jìn)行了重大的調(diào)整。ITGov 中國(guó) IT 治理研究中心在第一時(shí)間組織了相關(guān)專 家對(duì) COBIT 4.0 進(jìn)行了研究和分析，本文介紹了 COBIT 的發(fā)展背景、新版本中包括 哪些更新、為什么需要這些更新以及它如何能夠使現(xiàn)在的和將來(lái)的用戶收益等內(nèi) 容。歡迎與我們交流。為什么 COBIT 需要更新？自 1992 年發(fā)布最初版本后,COBIT 已發(fā)展成為實(shí)際的 IT 治理控制框架。如今COBIT 可以提供廣泛指導(dǎo)，同時(shí)，其產(chǎn)品被世界范圍內(nèi)的許多組織和政府部門廣 泛地接受。隨著 IT 和相應(yīng)指南對(duì)有效管理的要求在不斷變化,COBIT 用戶,尤其是 推動(dòng)組織采用 COBIT 框架的人期望其持續(xù)改善

5、，支持組織環(huán)境的變化。在 COBIT 項(xiàng)目開展 10 年后的 2002 年,伴隨著 3 個(gè)版本的發(fā)展，又進(jìn)行了一個(gè)保 持COBIT 持續(xù)發(fā)展的戰(zhàn)略。這項(xiàng)戰(zhàn)略的其中一個(gè)關(guān)鍵目標(biāo)就是提供一個(gè)持續(xù)維護(hù) 的并反映IT 快速變更、響應(yīng)用戶回饋和持續(xù)符合需求的框架。2003 年，COBIT Online 作為最新的 COBIT 知識(shí)庫(kù)正式啟用，提供了能夠及時(shí)并 且持續(xù)更新的資源，并且使所有 COBIT 用戶能夠方便的訪問(wèn)。當(dāng)有更多的更新以反 映重大變化時(shí),新的可以打印并下載的 PDF 版本的 COBIT 就會(huì)出現(xiàn)。自從 COBIT 第三版于 2000 年發(fā)布以來(lái)的五年中，ITGI 對(duì) IT 治理進(jìn)行了廣泛

6、 的研究,其中包括對(duì)廣大 COBIT 用戶反饋的分析，這些便形成了 COBIT 4.0 更新計(jì) 劃的基礎(chǔ)，這項(xiàng)計(jì)劃開始于 2004 年，并計(jì)劃于 2005 年 11 月份發(fā)布。如何發(fā)展并維持 COBIT ?尋找并組織支持COBIT的資源對(duì)ITGI這樣的非營(yíng)利組織來(lái)說(shuō)是項(xiàng)巨大的挑 戰(zhàn)。 ITGI的獨(dú)立身份和致力于促進(jìn) COBIT 成為完全開放有效的指南是影響其發(fā)展 的重要因素。COBIT 指導(dǎo)委員會(huì)，由 ISACA 的會(huì)員志愿者和一些由基金投資的管理團(tuán)隊(duì)組成，確定并執(zhí)行 COBIT 戰(zhàn)略的發(fā)展流程。來(lái)自 ISACA 的全球?qū)＜覉F(tuán)隊(duì)和處于領(lǐng)導(dǎo)地位的行 業(yè)參與者組成了特別的 COBIT 志愿支持團(tuán)隊(duì)

7、,這支團(tuán)隊(duì)現(xiàn)已有 100 多位專 家且分布 在 7 個(gè)不同的國(guó)家。這種結(jié)構(gòu)使 COBIT 成為一種分散的資源，同時(shí)由世界 范圍內(nèi)的專業(yè)用戶保持并維護(hù)著。在專業(yè)的研討會(huì)中有效、有目標(biāo)，且沒(méi)有商業(yè)壓力和導(dǎo)向的運(yùn)作，促使 ITGI 能夠非常有效地發(fā)展 COBIT。有時(shí),具體的發(fā)展工作是 由顧問(wèn)或?qū)W術(shù)機(jī)構(gòu)確定并執(zhí)行。ISACA 總部為原始材料到最終產(chǎn)品的轉(zhuǎn)化提供了 支持服務(wù)，并為他們的傳播提供支持。COBIT 4.0 是包含許多相連項(xiàng)目的復(fù)雜項(xiàng)目。是通過(guò)管理團(tuán)隊(duì)歷時(shí)兩年的辛勤勞動(dòng)完成的，其中包括眾多的工作會(huì)議和具體開發(fā)任務(wù)。致力促進(jìn)COBIT 發(fā)展的個(gè)人也正在增多。對(duì)變化的環(huán)境和用戶做出的反映自 19

8、92 年來(lái),IT 發(fā)生了巨大的變化，隨著互聯(lián)網(wǎng)的普及和全球化，關(guān)鍵業(yè)務(wù)運(yùn)作 和戰(zhàn)略目標(biāo)的實(shí)現(xiàn)越來(lái)越依賴于 IT。在過(guò)去的五年內(nèi)，對(duì)公司治理、更嚴(yán)格的規(guī) 章 制度和公司領(lǐng)導(dǎo)責(zé)任的聚焦空前巨大。對(duì)IT 的影響已成為 IT 管理和績(jī)效上更突出的焦點(diǎn)，越來(lái)越多的人開始關(guān)注 IT 治理。COBIT 最初作為審計(jì)師處理 IT 治 理及IT 管理和控制的改善工具，已經(jīng)擴(kuò)展到了 IT 治理及 IT 管理控制的框架。COBIT 4.0 更加關(guān)注：?更加關(guān)注 IT 管理一一為目前的 IT 運(yùn)作環(huán)境提供適當(dāng)?shù)墓芾砗涂刂浦改稀?更廣泛的目標(biāo)用戶一一滿足審計(jì)師、執(zhí)法者、安全專家和其他在不同情況下為 IT 績(jī)效提供保證的

9、相關(guān)人的需求。?董事層對(duì)治理的更多關(guān)注一一確保有足夠的業(yè)務(wù)聚焦和機(jī)制，將 IT 目標(biāo)的管 理和控制與企業(yè)的需求結(jié)合起來(lái)。?完善 IT 最佳實(shí)踐和標(biāo)準(zhǔn) 在企業(yè)不斷接受專業(yè)指導(dǎo)（如 ITIL 和 ISO 17799 時(shí)，COBIT 可以成為一個(gè)綜合框架，并且被認(rèn)為是全面 IT 控制的高度可信且可實(shí)踐 的指導(dǎo)? 3 個(gè)主要目標(biāo)用戶的綜合使用：管理者、IT 部門和審計(jì)師一一確保所使用的 結(jié)構(gòu)、表達(dá)和語(yǔ)言能夠?yàn)楣芾韺拥墓蓶|們、參與者和專業(yè)人員提供更容易的理解 和應(yīng)用。?持續(xù)符合法規(guī)一一確保 COBIT 涉及了 IT 治理的所有方面,并且展示它與 IT 治理域和 COSO 框架相對(duì)應(yīng)。確保它能夠一直被認(rèn)為

10、是實(shí)際的 IT 治理管理控制框 架。COBIT 4.0 計(jì)劃聚焦于何處？COBIT 4.0 發(fā)展戰(zhàn)略集中于以下方面：?IT 治理一基于五個(gè)方面的整合：由 ITGI 定義的戰(zhàn)略整合、價(jià)值交付、風(fēng)險(xiǎn) 管理、資源管理和績(jī)效管理。雖然 COBIT 涉及了許多方面，但分析顯示還存在著一 些不足，需要調(diào)整某些 IT 流程的名稱并增加部分新的控制目標(biāo)。COBIT 4.0 中加入了 一個(gè)矩陣圖,描繪了所有 IT 流程和治理域的對(duì)應(yīng)關(guān)系?業(yè)務(wù)需求一以業(yè)務(wù)需求為原則，并且基于信息標(biāo)準(zhǔn)是 COBIT 的基本原則。由 Antwerp 大學(xué)進(jìn)行的 IT 如何為業(yè)務(wù)目標(biāo)提供支持的更廣泛的研究涉及了各個(gè)不同 的行業(yè)，提供了

11、普遍通用的業(yè)務(wù)目標(biāo)和 IT 目標(biāo)。COBIT 中提供了一個(gè)表格來(lái)說(shuō)明 業(yè)務(wù)目標(biāo)、IT目標(biāo)和 COBIT IT 流程的關(guān)系，以幫助用戶確定他們組織業(yè)務(wù)與 IT 的聯(lián)接。這還常被用來(lái)改善目標(biāo)和績(jī)效評(píng)價(jià)體系?協(xié)調(diào)一致一一幫助用戶更方便地將 COBIT 與其他更具體的指導(dǎo)進(jìn)行整合，如ITIL, ISO 17799, PMBOK 以及 PRINCE 2。COBIT 4.0 中使用的術(shù)語(yǔ)和原理較之以前，更加協(xié)調(diào)?價(jià)值創(chuàng)造一由于 COBIT 的審計(jì)起源,COBIT 很強(qiáng)調(diào)風(fēng)險(xiǎn)管理的控制。 COBIT 4.0更好地平衡了風(fēng)險(xiǎn)與價(jià)值，并吸取了 IT 價(jià)值管理的最新研究成果。?企業(yè)結(jié)構(gòu)一 COBIT 4.0 提供

12、了 RACI 圖表（Responsible-負(fù)責(zé)執(zhí)行任務(wù)的角 色、Accou ntable-對(duì)任務(wù)負(fù)全責(zé)的角色、Co nsulted-提供信息輔助執(zhí)行任務(wù)的人 員、Informed-擁有既定特權(quán)、應(yīng)及時(shí)得到通知的人員闡明每個(gè)IT 流程的角色和職責(zé)。結(jié)合著目標(biāo)、資源、信息和流程，框架中還解釋了企業(yè)結(jié)構(gòu)原則。?流程定義及流程信息流 一為了改善對(duì) IT 流程模型的理解，COBIT 4.0 提供了 對(duì)每個(gè)流程的描述，包括流程的輸入與輸出及與其他流程的關(guān)系。?語(yǔ)言與表述一在 COBIT 4.0 中使用了更加簡(jiǎn)練、 符合時(shí)代發(fā)展及行為導(dǎo)向 的語(yǔ)言。控制目標(biāo)和管理指南的內(nèi)容根據(jù) IT 流程結(jié)合起來(lái)。COBI

13、T 4.0 的核心內(nèi) 容只有一本書。?反饋一定期的來(lái)自用戶的注釋和建議，以及來(lái)自 COBIT 用戶大會(huì)的回饋信息 促進(jìn)了 COBIT 4.0 的內(nèi)容的完善。COBIT 4.0 中的主要變化？以下描述了 COBIT 的主要變化區(qū)域和增強(qiáng)區(qū)域?？蚣?雖然仍然還是 4 個(gè)域和 34 個(gè)流程，但每個(gè)域的范圍和一些流程會(huì)有些變化：- 規(guī)劃與組織PO4 定義 IT 組織和關(guān)系，現(xiàn)已擴(kuò)展到涉及 IT 流程、關(guān)系和組織PO5 IT 投資管理,已更偏重于價(jià)值創(chuàng)造PO8 確保遵從外部需求，現(xiàn)已刪除，這方面要求體現(xiàn)在新的 ME3 中。PO10 質(zhì)量管理,現(xiàn)已變成 PO8?，F(xiàn)在 PO 域只有 10 個(gè)流程。-獲取與實(shí)

14、施AI4 開發(fā)流程，現(xiàn)已被擴(kuò)展并叫做授權(quán)操作和使用。增加了一個(gè)新的流程-獲取 IT 資源作為 AI5（以前的 AI5 變成 AI7 放在生命周 期中更合理的位置AI6 中有關(guān)發(fā)布管理的部分也整合到新的 AI7 中，與 ITIL 原則結(jié)合得更加 緊 密。-交付與支持DS8 更名為服務(wù)臺(tái)和事件管理DS10 更名為問(wèn)題管理,并且只涉及問(wèn)題管理，這與 ITIL 指南一致。DS11 數(shù)據(jù)管理,現(xiàn)在只處理數(shù)據(jù)管理目標(biāo)，與應(yīng)用控制相關(guān)的目標(biāo)轉(zhuǎn)移到框架的 其他部分。因?yàn)閼?yīng)用控制通常與業(yè)務(wù)流程相結(jié)合，而不是 IT 流程。-監(jiān)督與評(píng)估ME1 IT 績(jī)效管理更名為 IT 績(jī)效監(jiān)督與評(píng)估，主要服務(wù)于流程職責(zé)的需求。M

15、E2 內(nèi)部控制監(jiān)督更名為內(nèi)部控制監(jiān)督與評(píng)估，主要服務(wù)于對(duì) IT 整體負(fù)責(zé)的人 的需求。ME3 由原來(lái)不被認(rèn)為是 IT 流程的提供獨(dú)立審計(jì)變更為確保法規(guī)遵從。ME3對(duì)外部法 規(guī)、法律和合同要求做出回應(yīng)，并且來(lái)自原來(lái)的 PO8。ME4 由原來(lái)的獲取獨(dú)立的保證變更為提供 IT 治理,服務(wù)于整個(gè)企業(yè)職責(zé)。? IT 資源由原來(lái)的 5 項(xiàng)變?yōu)樾碌?4 項(xiàng)：人員-言息，取代了數(shù)據(jù)-應(yīng)用軟件礎(chǔ)架構(gòu),取代了技術(shù)和設(shè)施控制目標(biāo)和管理指南?高級(jí)控制目標(biāo)介紹仍然呈現(xiàn)為瀑布流模式，但被修正為以下格式 對(duì)。IT 流程的控制使 IT0。滿足業(yè)務(wù)需求由。來(lái)實(shí)現(xiàn)，由。00來(lái)管理，由。00來(lái)衡量?控制目標(biāo)和管理指南被整合到一本書

16、中，展示了所有的 IT 流程。為所有用戶 提供了簡(jiǎn)單易用的操作手冊(cè)。?增強(qiáng)的詳細(xì)控制目標(biāo)改善了 IT 治理的范圍并與其他實(shí)踐協(xié)調(diào)，同時(shí)結(jié)合了用 戶的回饋。目標(biāo)的數(shù)量和文本的頁(yè)數(shù)減少了大概 20%,并且它們的表述更加以行為 為導(dǎo)向而且簡(jiǎn)明。許多第三版本的控制目標(biāo)都是可以普遍找到的，所以這些都用框 架中一個(gè)簡(jiǎn)短的常用列表來(lái)代替了。?每個(gè) IT 流程現(xiàn)在都有基本輸入/輸出的描述，確定它從哪個(gè)流程來(lái)，到哪個(gè)流 程去，或是否有其它路徑。這些輸入/輸出的連接使 CobiT 中的關(guān)鍵流程被確定下 來(lái)0?對(duì)于每個(gè) IT 流程,新增加的信息描述了流程活動(dòng)（說(shuō)明性的但不詳盡的和流程 負(fù)責(zé)人，而且加入了職責(zé)說(shuō)明。這

17、被表述為與 RACI 圖表連接的關(guān)鍵活動(dòng)清單,RACI 使用了業(yè)務(wù)與 IT 中的常用角色清單。?矩陣表明一般業(yè)務(wù)目標(biāo)和 IT 目標(biāo)的關(guān)系，并在附錄中說(shuō)明了他們?nèi)绾卫L制到 IT 流程中。這份材料被用作增強(qiáng) COBIT 4.0 中的目標(biāo)和評(píng)價(jià)體系，并且?guī)椭鷱臉I(yè)務(wù) 角度證實(shí)COBIT 包括的范圍。?經(jīng)過(guò)修正和改良的目標(biāo)和評(píng)價(jià)體系（KPI 和 KGI 提供了更好的業(yè)務(wù)方向和對(duì) 每個(gè)流程目標(biāo)及 IT 整體目標(biāo)的更多關(guān)注。KPI 和 KGI 在結(jié)構(gòu)和內(nèi)容上有顯著的 改善。每個(gè)流程的主要活動(dòng)都有更多或更少的為 IT 流程本身和整個(gè) IT 可度量評(píng) 價(jià)體系。這使用戶能夠區(qū)別流程的績(jī)效指標(biāo)、流程的目標(biāo)指標(biāo)和IT

18、 的目標(biāo)指標(biāo)。所有這些?第三版本的關(guān)鍵成功因素被兩個(gè)新的術(shù)語(yǔ)取代：來(lái)自其他域的流程作為輸入項(xiàng) 是所需的成功因素，關(guān)鍵管理實(shí)踐或行動(dòng)目標(biāo)是流程負(fù)責(zé)人必須處理的關(guān)鍵成功 因 素。?成熟度模型重新排列成新的流程結(jié)構(gòu)，成熟特征表也經(jīng)過(guò)改善和修正，有以下 一些新的特征：-意識(shí)和交流-政策、標(biāo)準(zhǔn)和程序-工具和自動(dòng)化-技能和技術(shù)-職責(zé)和責(zé)任-目標(biāo)設(shè)定和度量控制實(shí)踐修改并更新控制實(shí)踐，以便與新的控制目標(biāo)保持一致。審計(jì)指南目前的審計(jì)指南是 1996 年先于管理指南和控制實(shí)踐提出的，因此，審計(jì)指南的建 立只與控制目標(biāo)有關(guān)系。他們描述并支持了控制評(píng)估的一般審計(jì)流程、符合性測(cè) 試和實(shí)質(zhì)風(fēng)險(xiǎn)。在新版本中，審計(jì)指南將被

19、COBIT 的 IT 確認(rèn)指南所代替，它將描述 COBIT 如何 能夠支持已包括在審計(jì)指南中的若干確認(rèn)技術(shù)。?風(fēng)險(xiǎn)評(píng)估概念?業(yè)務(wù)風(fēng)險(xiǎn)/價(jià)值評(píng)估?確認(rèn)計(jì)劃和范圍?控制評(píng)估與測(cè)試?控制及流程成熟度（自評(píng)估?實(shí)質(zhì)風(fēng)險(xiǎn)和有效報(bào)告因此，新版本將提供比審計(jì)指南更多的指導(dǎo)，并且會(huì)涉及 COBIT 的所有方面。 目 前版本的審計(jì)指南將由以下更全面的內(nèi)容代替：?詢問(wèn)誰(shuí)RACI 表?獲取什么一一流程輸入?評(píng)估什么一一控制目標(biāo)和控制實(shí)踐?測(cè)試什么一一確認(rèn)步驟,這將被增加到控制實(shí)踐中去?要證實(shí)并確認(rèn)的術(shù)語(yǔ)一一流程輸入和輸出,KPI 和 KGI , COBIT online 基準(zhǔn)支持每個(gè)技術(shù)問(wèn)題所需的詳細(xì)內(nèi)容仍將保留在

20、COBIT online 中,并可以下載一些確認(rèn)模板。這些都將在 2006 年見到。對(duì)目前用戶有何影響？? COBIT 4.0 是由 COBIT 第三版本發(fā)展而來(lái)的，并且本質(zhì)上基于同樣的核心原 則和結(jié)構(gòu)。?因此,沒(méi)有必要 放棄”已經(jīng)做過(guò)的工作? COBIT 4.0 從 COBIT 第三版本發(fā)展而來(lái)，并且提供了經(jīng)過(guò)改善的內(nèi)容，增加了 一些專業(yè)術(shù)語(yǔ)。?附錄中收錄了所有的相關(guān)文獻(xiàn)，說(shuō)明了流程和控制目標(biāo)如何綜合地給出指導(dǎo)，幫助轉(zhuǎn)換現(xiàn)有的任何文檔及一些新出現(xiàn)的工具。?度量標(biāo)準(zhǔn)也是基于同樣 KGI/KPI 原則，在第三版本的基礎(chǔ)上有所改進(jìn),提供了 更完善的業(yè)務(wù)導(dǎo)向以及幫助用戶定義更好的評(píng)價(jià)方法的例子。?與

21、流程描述、行為和職責(zé)相關(guān)的新版本將使每個(gè)流程的范圍和目的更容易理 解，并使流程負(fù)責(zé)人更加清晰。因此，使用 COBIT 實(shí)施或改善 IT 流程的效果就會(huì) 增強(qiáng)。?新的確認(rèn)指南將對(duì)現(xiàn)有的審計(jì)指南進(jìn)行擴(kuò)展，增加一些新的方法，涉及 COBIT4.0 的全部?jī)?nèi)容IT 交付和支持的控制COBIT 系列講座之? 2006 年的大半年中,COBIT online 將同時(shí)存在兩個(gè)版本。一個(gè)是凍結(jié)的第三版本的 COBIT 在線,一個(gè)是將持續(xù)維持的知識(shí)庫(kù) 一一 COBIT online4.0 版。因此,COBIT online 的用戶將得到全面的支持。? COBIT 的派生產(chǎn)品，如 COBIT 安全基準(zhǔn)、COBIT

22、 Quickstart、IT 治理實(shí)施指 導(dǎo)、薩班斯 IT 控制目標(biāo)和 COBIT mapping 報(bào)告，也將重新組合并更新。COBIT 4.0 如何使用戶受益？COBIT 4.0 中的變化是有益的，并且應(yīng)該幫助用戶獲取以下收益：?更完整、更全面地覆蓋 IT 治理一一幫助聚焦在正確的地方，并且?guī)椭?IT 管理 者和審計(jì)師證明 IT 處在多么有效的治理之下。?更容易理解并且有更容易實(shí)施的內(nèi)容 一一為股東在設(shè)定組織目標(biāo)和理解問(wèn)題 方面提供幫助。?與其他實(shí)踐更好的兼容一一幫助整合，并使 COBIT 像 雨傘”框架一樣使用。?增強(qiáng) IT 流程信息、業(yè)務(wù)導(dǎo)向目標(biāo)、標(biāo)準(zhǔn)以及精確的成熟度模型一一幫助用戶將I

23、T 治理與業(yè)務(wù)驅(qū)動(dòng)更好地整合在一起，然后測(cè)量流程的執(zhí)行性能和績(jī)效。IT 治理的提出，為企業(yè)在實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的同時(shí)，平衡 IT 投資和風(fēng)險(xiǎn)方面提供一 種機(jī)制。為了確保企 業(yè)能夠?qū)崿F(xiàn)業(yè)務(wù)目標(biāo)，實(shí)現(xiàn)在風(fēng)險(xiǎn)管理和收益實(shí)現(xiàn)間的有效平 衡，指導(dǎo)和管理各類 IT 活動(dòng)就顯得非常迫COBIT 包含 34 個(gè)信息技術(shù)過(guò)程控制，并歸集為四個(gè)控制域：IT 規(guī)劃和組織（Planning and Organization、 系統(tǒng)獲得和實(shí)施（Acquisition and Implementation、交付 與支持 （Delivery and Support 以及信息系統(tǒng)運(yùn)行性能監(jiān)控 （Monitoring。 在本次系列

24、講座中，我們將對(duì)每一個(gè)控制域（Control domains 內(nèi)的過(guò)程控制有選擇的展開論述。在 IT 治理中，確保 IT 投資的有效性和高效性是我們關(guān)注的核心焦點(diǎn)；IT 投資 是否能夠滿足業(yè)務(wù)需求 是投資收益的關(guān)鍵，而 COBIT 中的 IT 交付和支持的過(guò)程控 制正是為企業(yè)提升 IT 系統(tǒng)投資回報(bào)率服務(wù)的。下面，我們從控制和管理的角度來(lái)分 析 COBIT 所提出的 13 個(gè)需要控制的 IT 交付和支持流程。定義和管理服務(wù)品質(zhì)系統(tǒng)用戶對(duì)于系統(tǒng)的要求與 IT 部門對(duì)系統(tǒng)的要求是不同的；而服務(wù)品質(zhì)正是為 用戶和信息技術(shù)部門 建立了一座溝通的橋梁。對(duì)于這個(gè)流程的控制，COBIT 要求所 定義的服務(wù)品

25、質(zhì)是可以衡量的，內(nèi)容包括服務(wù)品質(zhì)本身的文字描述；服務(wù)提供方和服 務(wù)使用方的責(zé)任；系統(tǒng)服務(wù)的反應(yīng)時(shí)間；相關(guān)信息的保密;使用方滿意的標(biāo)準(zhǔn);所要求 服務(wù)的成本收益分析等?？刂频谌椒?wù)如今很多企業(yè)把信息系統(tǒng)服務(wù)和系統(tǒng)本身的維護(hù)交給第三方來(lái)管理。這種模式 有很多優(yōu)越性，但同時(shí)導(dǎo)致企業(yè)對(duì)信息系統(tǒng)服務(wù)質(zhì)量的控制能力變?nèi)酰@時(shí)候就需要 加強(qiáng)對(duì)第三方服務(wù)提供者的控制。COBIT 在該流程的控制中，關(guān)注的內(nèi)容有：第三方服務(wù)協(xié)議；信息保密協(xié)議；服務(wù)交付的監(jiān)督和匯報(bào)機(jī)制；第三方服務(wù)的風(fēng)險(xiǎn)評(píng)估；服 務(wù)品質(zhì)實(shí)現(xiàn)的獎(jiǎng)懲機(jī)制等。控制系統(tǒng)的性能和能力系統(tǒng)的性能和能力直接關(guān)系到信息服務(wù)的及時(shí)性和準(zhǔn)確性。的性能和能力必須能夠滿足

26、業(yè)務(wù)要求，并且能夠以最有效和最經(jīng)濟(jì)的方式滿足服務(wù) 品質(zhì)中所定義的要求。為此，企業(yè)需要對(duì)系統(tǒng)所表現(xiàn)的性能、能力和工作負(fù)荷進(jìn)行 評(píng)估，以滿足服務(wù)品質(zhì)的要求。COBIT 重點(diǎn)關(guān)注:業(yè)務(wù)對(duì)系統(tǒng)性能和能 力的需求；系 統(tǒng)性能和能力的管理機(jī)制等?？刂品?wù)的持續(xù)性從技術(shù)的角度和成本收益的角度來(lái)說(shuō)，企業(yè)無(wú)法獲得百分之百的系統(tǒng)可靠度。系統(tǒng)故障發(fā)生的可能性總是客觀存在的；而如何在系統(tǒng)出現(xiàn)故障的時(shí)候把對(duì)業(yè)務(wù)活 動(dòng)的影響控制在最小程度是決定業(yè)務(wù)運(yùn)行安全的重要因素。COBIT 在這個(gè)方面重點(diǎn)關(guān)注內(nèi)容包括：是否有合理的系統(tǒng)故障重要性分類；故障發(fā)生時(shí)是否 有業(yè)務(wù)活動(dòng)的 替代流程;是否有備份和恢復(fù)程序；是否定期對(duì)系統(tǒng)的軟硬件

27、進(jìn)行測(cè)試并對(duì)相關(guān)人員 進(jìn)行培訓(xùn)等?？刂葡到y(tǒng)安全盡管訪問(wèn)信息時(shí)有嚴(yán)格的限制，但是消除這種限制卻非常簡(jiǎn)單，所要做的只是獲 得一組數(shù)字或字母。業(yè)務(wù)需求除了要求系統(tǒng)從功能上滿足外，同時(shí)也必須反應(yīng)出業(yè) 務(wù)運(yùn)行中的秩序和相應(yīng)的控制機(jī)制。COBIT 關(guān)注和審核的對(duì)象包括：對(duì)信息機(jī)密程度和有關(guān)隱私信息的定義；授權(quán)身份甄別和系統(tǒng)訪問(wèn)的控制；系統(tǒng)用戶的識(shí)別和授 權(quán)的相關(guān)信息；密鑰管理;防火墻的管理等。識(shí)別和分?jǐn)偝杀居捎趯?duì)信息服務(wù)的品質(zhì)作了明確具體的定義和要求，信息服務(wù)所提供的價(jià)值與 過(guò)去相比有了很大的改 進(jìn);同時(shí)業(yè)務(wù)要求越高，獲得服務(wù)的成本也就越高。從投入產(chǎn) 出比最大化的角度來(lái)說(shuō)，業(yè)務(wù)部門必須要能 夠以最經(jīng)濟(jì)的成

28、本滿足業(yè)務(wù)需求。在對(duì) 該流程的控制中，COBIT 關(guān)注的內(nèi)容包括：企業(yè)是否明確了解所利 用的信息資源以 及這些資源是否可度量；企業(yè)是否定義和執(zhí)行完善的計(jì)費(fèi)政策和程序；企業(yè)如何核實(shí) 所實(shí)現(xiàn)的收益等。COBIT 要求系統(tǒng)教育和培訓(xùn)最終用戶對(duì)最終用戶的培訓(xùn)是確保實(shí)現(xiàn)服務(wù)品質(zhì)要求、滿足業(yè)務(wù)要求的重要環(huán)節(jié)。這個(gè) 教育和培訓(xùn)的過(guò)程是為 了確保用戶能夠有效使用技術(shù)并在使用過(guò)程中明確技術(shù)帶 來(lái)的風(fēng)險(xiǎn)以及自己所應(yīng)該承擔(dān)的職責(zé)。COBIT 要求企業(yè)在提供綜合性的培訓(xùn)和發(fā)展計(jì)劃的同時(shí)，要考慮到培訓(xùn)課程的設(shè)置、技術(shù)的儲(chǔ)備、意識(shí)的培養(yǎng)、新的培訓(xùn)方法的運(yùn)用、個(gè)人的學(xué)習(xí)效率以及知識(shí)庫(kù)的開發(fā)等。協(xié)助用戶業(yè)務(wù)部門在使用信息部門

29、提供的服務(wù)過(guò)程中，經(jīng)常會(huì)出現(xiàn)各種各樣的問(wèn)題。有些問(wèn)題與用戶的使用技能有關(guān)，有些問(wèn)題是由于業(yè)務(wù)環(huán)境變化需要對(duì)系統(tǒng)進(jìn)行相應(yīng)的調(diào)整，也有些問(wèn)題是系統(tǒng)本身的技術(shù)原因造 成的。無(wú)論是哪種因素引起的，信息服務(wù)部門和業(yè)務(wù)部門 之間必須建立相應(yīng)的流程，對(duì)這些問(wèn)題在第一時(shí)間進(jìn)行及時(shí)和有效的處理。COBIT 在該過(guò)程控制中關(guān)注的焦點(diǎn)有：用戶問(wèn)題的監(jiān)控和處理；潛在問(wèn)題和趨 勢(shì)的分析和報(bào) 告;問(wèn)題的追蹤等。配置管理系統(tǒng)的復(fù)雜性給信息服務(wù)部門的日常管理帶來(lái)了極大的困難，這就要求信息服務(wù)部門對(duì)系統(tǒng)有個(gè)全面的描述和記錄，以便在系統(tǒng)出現(xiàn)問(wèn)題時(shí)及時(shí)尋找解決方案，同 時(shí)防止系統(tǒng)各類參數(shù)和設(shè)置在未經(jīng)授權(quán)的情況下被人為的改動(dòng)。COB

30、IT 在該過(guò)程 控制中關(guān)注的內(nèi)容有：IT 資產(chǎn)的跟蹤；配置變更的管理；企業(yè)是否使 用了未授權(quán)的軟 件;軟硬件的關(guān)聯(lián)和集成度的記錄描述等。問(wèn)題和事件管理在信息服務(wù)的交付和支持過(guò)程中，問(wèn)題和突發(fā)事件隨時(shí)都有可能存在。為了減 少這類問(wèn)題和事件的重復(fù)發(fā)生，企業(yè)內(nèi)部必須建立相應(yīng)的問(wèn)題和事件的處理機(jī)制，通 過(guò)對(duì)所發(fā)生事件的分析，杜絕類似問(wèn)題的重 復(fù)發(fā)生，從而在不確定環(huán)境中尋找主動(dòng)解 決問(wèn)題的機(jī)會(huì)。COBIT 在對(duì)該過(guò)程的控制中關(guān)注的內(nèi)容有：?jiǎn)栴}審計(jì)線索和解決 方法;所報(bào)問(wèn)題的處理和解決的及時(shí)性；逐級(jí)上報(bào)程序的有效性；事件記錄的完整性；系統(tǒng)提供商的責(zé)任定義以及變動(dòng)管理與問(wèn)題和事件管理的協(xié)調(diào)性等。數(shù)據(jù)管理數(shù)據(jù)

31、是信息服務(wù)中最基本的組成元素。確保數(shù)據(jù)在輸入、更新和存儲(chǔ)過(guò)程中的 完整性、準(zhǔn)確性和有效性是信息服務(wù)管理中的核心環(huán)節(jié)。在這個(gè)過(guò)程中，COBIT 的 主要控制目標(biāo)涵蓋了數(shù)據(jù)的整個(gè)生命周期中的 不同階段和特征：它包括數(shù)據(jù)的格式；源文檔的控制、數(shù)據(jù)輸入、處理和輸出的控制；數(shù)據(jù)存儲(chǔ)媒質(zhì)的識(shí)別、移動(dòng)和數(shù)據(jù) 存放點(diǎn)的管理 擻據(jù)備份和恢復(fù)、數(shù)據(jù)驗(yàn)證和完整性的管理、數(shù)據(jù)所有權(quán)的定義、 數(shù)據(jù)管理政策、數(shù)據(jù)模型和數(shù)據(jù)標(biāo)準(zhǔn)、整個(gè)系統(tǒng)應(yīng)用平臺(tái)上的數(shù)據(jù)的一致性；以及涉及數(shù)據(jù)管理的法律和法規(guī)要求等。設(shè)施管理系統(tǒng)設(shè)施的有效管理是 IT 及時(shí)有效交付的保證。在這個(gè)過(guò)程中，信息服務(wù)部門 需要提供合適的物理環(huán)境來(lái)保護(hù) IT 設(shè)備和

32、相關(guān)人員免受人為的和非人為的危害。為了確保有效性,COBIT 的控制目標(biāo)就是為了讓企業(yè)有合適的系統(tǒng)安置環(huán)境以及對(duì)安置環(huán)境有很好 的物理控制，并且對(duì)定期的控制有效性進(jìn)行評(píng)估。在 控制目標(biāo)的審核中，COBIT 重 點(diǎn)關(guān)注:對(duì)設(shè)施訪問(wèn)的控制；物理環(huán)境的安全性；業(yè)務(wù)持續(xù)性機(jī)會(huì)和危機(jī)管理機(jī)制的 合理性；相關(guān)人員的健康和安全等。運(yùn)營(yíng)管理信息系統(tǒng)的運(yùn)營(yíng)管理貫穿整個(gè)信息服務(wù)的生命周期，它所要達(dá)到的目的是確保重要的系統(tǒng)支持功能都能夠得到定期和有序的管理。這個(gè)過(guò)程事實(shí)上是一系列支 持性活動(dòng),并對(duì)所有的支持活動(dòng)進(jìn)行跟蹤。COBIT 在該過(guò)程控制中主要關(guān)注：企業(yè)是否具備運(yùn)營(yíng)程序手冊(cè)；系統(tǒng)運(yùn)行流程的文檔化管理；網(wǎng)路服務(wù)

33、管理機(jī)制 是否健全；系統(tǒng)變更、系統(tǒng)可用性和業(yè)務(wù)持續(xù)性管理三者之間是否協(xié)調(diào)一致；預(yù)防性維護(hù)機(jī)制 是否健全和有效等。與 ITIL 和 COBIT 融合建設(shè)技術(shù)防火墻”根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，綜合利用各種信息安全技術(shù)與產(chǎn)品，在統(tǒng)一的 IT 服務(wù)管理 平臺(tái)上（ITIL,以 適度防范”為原則，建立有效的 技術(shù)防火墻”這是實(shí)現(xiàn)信息安全管 理的可靠外部保證措施。所謂技術(shù)防火墻”是指在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，綜合利用商用密碼、防火墻、防 病毒、身份識(shí)別、網(wǎng) 絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、PKI 服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動(dòng)反擊等多種技術(shù)與產(chǎn)品來(lái)保證企業(yè)的信息系統(tǒng)的機(jī)密性、完整性和可靠性。建立技術(shù)防火墻”要注意

34、幾個(gè)問(wèn)題：1、 以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，以適度防范”為原則。安全產(chǎn)品的選擇不能純粹以技術(shù)為標(biāo)準(zhǔn)，要考慮成本和投資回報(bào)，過(guò)高的安全成 本就會(huì)使安全失去意義。實(shí)現(xiàn)信息安全的過(guò)程其實(shí)是對(duì)風(fēng)險(xiǎn)進(jìn)行管理的過(guò)程，其本 質(zhì)是對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估、控制并最終減輕風(fēng)險(xiǎn) 后果，其重點(diǎn)是以 適度防范”的原則,指 導(dǎo)組織采用必要安全強(qiáng)度的保護(hù)措施，以滿足其業(yè)務(wù)安全的需求，用最小成本將信息 系統(tǒng)的殘留風(fēng)險(xiǎn)降低到組織可以接受的水平。2、技術(shù)結(jié)構(gòu)方面，應(yīng)該具備評(píng)估、保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)的五種技術(shù)能力。實(shí)現(xiàn) ISO 7498-2 所定義的鑒別、訪問(wèn)控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、抗抵 賴五類安全功能。隨著 安全技術(shù)日新月異的發(fā)展，現(xiàn)在已

35、經(jīng)有更多的安全機(jī)制來(lái)提 供這樣五類安全技術(shù)，可以通過(guò)不同的產(chǎn)品和 技術(shù)手段,來(lái)實(shí)現(xiàn)組織各種安全功能的 要求。3、 安全產(chǎn)品要建立在統(tǒng)一的 IT 服務(wù)管理平臺(tái)上，遵循相同的標(biāo)準(zhǔn)，降低管理的 復(fù)雜性。隨著企業(yè) IT 應(yīng)用的深入和規(guī)模的擴(kuò)大，技術(shù)管理難度越來(lái)越大，用戶的負(fù)擔(dān)越來(lái) 越重，企業(yè)提出了簡(jiǎn)化管理的要求。根據(jù)信息安全的特點(diǎn)，多種安全產(chǎn)品的應(yīng)用將跨 越多個(gè)部門甚至多個(gè)企業(yè)，密集分布的 安全產(chǎn)品增加了管理的難度，同時(shí)安全完備性 也要求實(shí)現(xiàn)集成化安全管理和安全信息共享機(jī)制，以集中管 理安全控制、安全策 略、安全配置、安全事件審計(jì)、安全事故應(yīng)急響應(yīng)，可管理的安全才是真正意義上 的安全。這就要求安全產(chǎn)品

36、要建立在一個(gè)遵循相同標(biāo)準(zhǔn)的、統(tǒng)一的 IT 服務(wù)管理平臺(tái)上。IT 基礎(chǔ)架構(gòu)庫(kù)（ITIL 是 IT 服務(wù)管理最佳做法的一套全面、一致和相關(guān)的代碼，由英國(guó)的中央計(jì)算機(jī)與電信局（CCTA 開發(fā),己在全世界被廣泛采納為 IT 服務(wù)標(biāo) 準(zhǔn)。安全產(chǎn)品與服務(wù)應(yīng)適應(yīng) IT 基礎(chǔ)架構(gòu)庫(kù)的要求，符合 ITIL 簡(jiǎn)化管 理、降低管理 風(fēng)險(xiǎn)的基礎(chǔ)性標(biāo)準(zhǔn)。4、 制定有效的災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計(jì)劃。不是對(duì)所有的威脅都可以找到針對(duì)它的安全保護(hù)措施。對(duì)這類威脅可能帶來(lái)的 風(fēng)險(xiǎn)我們只能接受，但是要采取適當(dāng)和有效的措施來(lái)減輕相關(guān)威脅實(shí)際發(fā)生時(shí)所帶 來(lái)的破壞后果，這些過(guò)程就是安全管理中的災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計(jì)劃，這是組織信 息安全的

37、最后一道防線。在美國(guó)“911 恐怖襲擊事件與中國(guó)的 SARS 爆發(fā)事件中，災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計(jì)劃己顯現(xiàn)出了保證企業(yè)業(yè)務(wù)持續(xù)性的重要性。實(shí)施系統(tǒng)審計(jì)對(duì)于安全框架是否已有效地建立起來(lái)，技術(shù)防火墻與人力防火墻能否起到應(yīng)有 的作用，需要進(jìn)行信息系統(tǒng)安全審計(jì)。信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷 計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過(guò)程。目前國(guó)際上通用的信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)是信息系統(tǒng)審計(jì)與控制協(xié)會(huì)在1996 年公布的 COBIT （Co ntrol Objectives for In formation and related Tech no

38、logy,這是一個(gè)在 國(guó)際上公認(rèn)是先進(jìn)、權(quán)威的安全 與信息技術(shù)管理和控制的標(biāo)準(zhǔn)，目前已經(jīng)更新至第 三版。它在商業(yè)風(fēng)險(xiǎn)、控制需要和技術(shù)問(wèn)題之間架起了一座橋梁，以滿足管理的多方面需要。該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。IT 獲得和實(shí)施過(guò)程控制 一一 COBIT 系列講座之二日期:2006-12-13 來(lái)源:中國(guó)計(jì)算機(jī)用戶 作者:漢道信息技術(shù)咨詢有限公司 資深 顧問(wèn)陸培煒字體:大中小IT 治理的提出，為企業(yè)在實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的同時(shí)平衡 IT 投資和風(fēng)險(xiǎn)方面提供一種 機(jī)制。為了確保企業(yè)能夠?qū)崿F(xiàn)業(yè)務(wù)目標(biāo)，實(shí)現(xiàn)在風(fēng)險(xiǎn)管理和收益實(shí)現(xiàn)間

39、的有效平衡，指導(dǎo)和管理各類 IT 活動(dòng)就顯得非常迫切。國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)提出了信息系統(tǒng)和技術(shù)控制目標(biāo)（COBIT。作為 IT 治理的核心模型，COBIT 包含 34 個(gè)信息技術(shù)過(guò)程控制，并歸集為四個(gè)控制 域:IT規(guī)劃和組織（Planning and Organization、系 統(tǒng)獲得和實(shí)施（Acquisition andImplementation、交付與支持（Delivery and Support 以及信息系 統(tǒng)運(yùn)行性能監(jiān)控（Monitoring。 在本次系列講座中，我們將對(duì)每一個(gè)控制域 （Control domains 內(nèi)的過(guò)程 控制有選擇的展開論述。偶遇一位制造型企業(yè)的信息中

40、心主任，閑聊間得知該企業(yè)為了上一套 ERP 系統(tǒng) 經(jīng)歷了三年的選型期，看遍了國(guó)內(nèi)外所有知名軟件的演示，最終選定了一家國(guó)外的系 統(tǒng)。這種被認(rèn)為是企業(yè)和系統(tǒng)聯(lián)姻的過(guò)程 是目前許多國(guó)內(nèi)企業(yè)在信息化建設(shè) 中都在經(jīng)歷的事。企業(yè)意識(shí)到，系統(tǒng)的合適與否直接關(guān)系到信息化建設(shè)的成敗,更關(guān)系到企業(yè)所有者的利益是否得到很好的保護(hù)。COBIT 把信息技術(shù)的獲得和實(shí)施作為 IT 過(guò)程控制的一個(gè)控制域，并在這個(gè)域內(nèi)定義了需要控制的六個(gè)主要IT 過(guò)識(shí)別系統(tǒng)解決方案識(shí)別系統(tǒng)解決方案的過(guò)程也就是我們通常的系統(tǒng)選型的過(guò)程，系統(tǒng)解決方案的識(shí)別是企業(yè)信息化建設(shè) 中的一個(gè)重要環(huán)節(jié)。企業(yè)信息化建設(shè)已經(jīng)從初期的注重技 術(shù)的先進(jìn)性，逐步發(fā)展

41、到以企業(yè)的實(shí)際業(yè)務(wù)需求 作為驅(qū)動(dòng)，系統(tǒng)對(duì)業(yè)務(wù)的支持和滿足 已經(jīng)是很多企業(yè)考慮的首要問(wèn)題，這是實(shí)現(xiàn)企業(yè)信息化建設(shè)投資高效和低風(fēng)險(xiǎn)的關(guān) 鍵。那么在企業(yè)識(shí)別和選擇信息系統(tǒng)解決方案這個(gè)過(guò)程中,需要考慮哪些因素 才能確保系 統(tǒng)滿足企業(yè)的需求呢？COBIT 在這一過(guò)程控制中提出：企業(yè)需要在明確業(yè)務(wù)需求的情況下，客觀而清晰 地對(duì)多種方案進(jìn)行識(shí)別和分析。在這個(gè)過(guò)程中，需要考慮的因素有：市場(chǎng)對(duì)該系統(tǒng)方 案的認(rèn)可度，獲得和實(shí)施該方案的方法論 是否合理，系統(tǒng)用戶參與實(shí)施還是直接購(gòu)買 系統(tǒng)，系統(tǒng)方案與企業(yè) IT 戰(zhàn)略的匹配性，企業(yè)的信息需求定 義，可行性研究（成本、收 益、可選方案等，系統(tǒng)的功能性、可操作性、適應(yīng)性和

42、持續(xù)發(fā)展性，系統(tǒng)是否符合企 業(yè)的信息結(jié)構(gòu)，系統(tǒng)是否具備經(jīng)濟(jì)有效的安全控制，系統(tǒng)是否明確了系統(tǒng)供應(yīng)商的責(zé) 任。獲得和維護(hù)應(yīng)用軟件如果說(shuō)，識(shí)別解決方案或者說(shuō)系統(tǒng)選型的過(guò)程是讓企業(yè)知道什么方案是適合自 己的，那么獲得和維護(hù)系統(tǒng)軟件的過(guò)程才是實(shí)現(xiàn)系統(tǒng)給企業(yè)帶來(lái)收益的開始。COBIT 對(duì)于這個(gè)過(guò)程的控制是確保這個(gè)過(guò)程能夠提供支持業(yè)務(wù)流程的有效應(yīng)用功 能。具體來(lái)說(shuō)就是軟件系統(tǒng)必須能夠和業(yè)務(wù)流程很好的融合。在企業(yè)變得更為理性的時(shí)候，知名度高的應(yīng)用軟件系統(tǒng)并非成為企業(yè)的首選，關(guān)鍵是企業(yè)的業(yè)務(wù)需求是否能夠獲得所選系統(tǒng)的支持，企業(yè)的業(yè)務(wù)流程（經(jīng)過(guò)優(yōu)化能 否和系統(tǒng)融合，系統(tǒng)在實(shí)施過(guò)程中的每個(gè)階段是否都有明確的成果。

43、COBIT 針對(duì)這 個(gè)過(guò)程的控制提出了需要考慮的方面包括：功能測(cè)試和驗(yàn)收、應(yīng)用控制和安全需求、文檔化管理需求、應(yīng)用軟件生命周期、企業(yè)信息結(jié) 構(gòu)、系統(tǒng)開發(fā)生命周期方法論（SDLC Methodology、人機(jī)界面、系統(tǒng)的二次開 發(fā)。針對(duì)上面幾點(diǎn)在過(guò)程控制方面的考慮，我們?nèi)匀换氐绞煜さ?ERP 系統(tǒng)來(lái)談。通 常，測(cè)試和驗(yàn)收是反映系統(tǒng)是否滿足業(yè)務(wù)要求的基本環(huán)節(jié)，無(wú)論是系統(tǒng)實(shí)施伙伴還是 客戶，對(duì)這塊都非常重視。但是在應(yīng)用控制 和安全方面相對(duì)來(lái)說(shuō)關(guān)注得少一些。實(shí) 現(xiàn)業(yè)務(wù)需求，一層含義是原先手工的活現(xiàn)在系統(tǒng)能自動(dòng)完成，另一層含義是系統(tǒng)在應(yīng) 用實(shí)現(xiàn)過(guò)程中同樣要反映出現(xiàn)實(shí)中的管理和控制特征。簡(jiǎn)單的說(shuō)就是，哪些

44、員工可以看哪些信息，決定或決策權(quán)限必須明確，并很好的在系統(tǒng)中反映。獲得和維護(hù)技術(shù)設(shè)施在上述控制過(guò)程中，我們談?wù)摰氖菍?duì)軟件系統(tǒng)的獲得和維護(hù)。而組成系統(tǒng)的除 了軟件還有硬件。COBIT 在對(duì)這個(gè)過(guò)程進(jìn)行控制的過(guò)程中，強(qiáng)調(diào)獲得和維護(hù)技術(shù) 設(shè)施過(guò)程必須為滿足業(yè)務(wù)需求的業(yè)務(wù)應(yīng)用軟件系統(tǒng)提供合適的運(yùn)行平臺(tái)。COBIT 在對(duì)獲得和維護(hù)技術(shù)設(shè)施過(guò)程的控制中，重點(diǎn)要考慮的因素有：硬件 設(shè)施的標(biāo)準(zhǔn)和未來(lái)的應(yīng) 用方向是否符合實(shí)際需要；對(duì)硬件的評(píng)估;安裝、維護(hù)和變更 的控制；升級(jí)、切換和移植的計(jì)劃管理；內(nèi)部和外部技術(shù)設(shè)施和資源的使用；確認(rèn)與 硬件供應(yīng)商的關(guān)系以及它們的相應(yīng)責(zé)任；變更管理;硬件設(shè)施總擁有成本；系統(tǒng)軟件

45、的安全性。COBIT 所提出九個(gè)方面的考慮覆蓋了硬件設(shè)施從采購(gòu)、安裝調(diào)試到日 常維護(hù)的整個(gè)過(guò)程。目前，國(guó)內(nèi)的企業(yè)在硬件的采購(gòu)和安裝調(diào)試方面往往控制得比 較好,但是在系統(tǒng)應(yīng)用過(guò)程 中，維護(hù)和系統(tǒng)變更等方面沒(méi)有規(guī)范可控的程序去應(yīng)對(duì)。開發(fā)和維護(hù)技術(shù)系統(tǒng)的使用流程企業(yè)對(duì)信息系統(tǒng)的依賴性使得業(yè)務(wù)運(yùn)行的穩(wěn)定對(duì)系統(tǒng)的敏感性越來(lái)越強(qiáng)。系統(tǒng)一方面在給企業(yè)的業(yè)務(wù) 運(yùn)作和管理帶來(lái)收益的同時(shí)，它的復(fù)雜性在另一方面也給企 業(yè)信息系統(tǒng)的管理帶來(lái)了很大的壓力。此時(shí)，企業(yè)應(yīng)該把信息技術(shù)管理部門作為一 個(gè)企業(yè)的經(jīng)營(yíng)和管理中不可缺少的業(yè)務(wù)部門來(lái)看待。從業(yè)務(wù)部門管理的角度來(lái)看,需要有相應(yīng)的流程來(lái)實(shí)現(xiàn)業(yè)務(wù)需求；從信息技術(shù)部門管理的角

46、度來(lái)看，業(yè)務(wù)就是為系 統(tǒng)用戶或使用部門提供滿足他們業(yè)務(wù)需求的信息服務(wù)，確保信息應(yīng)用和技術(shù)解決手 段能夠得到很好的利用。COBIT 認(rèn)為對(duì)于實(shí)現(xiàn)信息技術(shù)部門業(yè)務(wù)的流程制定和維護(hù)的過(guò)程控制將直接影響到信息技術(shù)部門 是否能夠最終滿足業(yè)務(wù)部門對(duì)信息技術(shù)部門在信息服務(wù)方面 的要求。在 COBIT 中，這種控制體現(xiàn)在企業(yè)是否有結(jié)構(gòu)化的手段來(lái)制定和開發(fā)用戶 手冊(cè)、運(yùn)作流程、服務(wù)要求和培訓(xùn)材料等。另外還必須考慮其他方面的因素:業(yè)務(wù)流程設(shè)計(jì),程序的需求與技術(shù)交付的同等重要性，開發(fā)編制程序的及時(shí)性，用戶程序 和控制,運(yùn)作管理程序和控制，培訓(xùn)材料,變更管理。安裝和驗(yàn)收系統(tǒng)系統(tǒng)要滿足業(yè)務(wù)的需求不僅僅是選擇一套在功能上

47、符合業(yè)務(wù)要求的解決方案，更重要的是實(shí)施這個(gè)解決方案并使它能夠不斷滿足業(yè)務(wù)持續(xù)發(fā)展的需要。對(duì)系統(tǒng) 安裝和驗(yàn)收的過(guò)程控制是為了確保這個(gè)過(guò)程的有效性。在 ERP 系統(tǒng)的實(shí)施過(guò)程中通常我們會(huì)經(jīng)歷測(cè)試、上線、并行運(yùn)行和切換等環(huán)節(jié)。這些環(huán)節(jié)過(guò)程的有效性直接決定系統(tǒng)是否能夠最終成功投入使用。COBIT 對(duì)這個(gè)過(guò)程的控制，要求企業(yè)具備規(guī)范和標(biāo)準(zhǔn)的系統(tǒng)安裝、移植、切換 和驗(yàn)收計(jì)劃。同時(shí)還要 考慮:用戶和信息技術(shù)運(yùn)營(yíng)管理人員的培訓(xùn)，數(shù)據(jù)轉(zhuǎn)換，測(cè)試 環(huán)境是否反映實(shí)際環(huán)境的特征，實(shí)施完成后的評(píng)估和反饋，最終用戶在測(cè)試時(shí)是否參 與,持續(xù)的質(zhì)量改進(jìn)計(jì)劃，業(yè)務(wù)連續(xù)性需求，系統(tǒng)能力和數(shù)據(jù)吞吐量的衡量，以及達(dá)成 共識(shí)的驗(yàn)收標(biāo)準(zhǔn)

48、。管理系統(tǒng)的變更信息系統(tǒng)是為業(yè)務(wù)部門服務(wù)的。但是企業(yè)的業(yè)務(wù)是在不斷變化和發(fā)展的，相應(yīng)的信息系統(tǒng)也必須與業(yè)務(wù)的發(fā)展同步。業(yè)務(wù)對(duì)信息系統(tǒng)需求的變化在信息化程度 高、業(yè)務(wù)依賴性較強(qiáng)的企業(yè)非常普遍。COBIT 提出了企業(yè)需要有一套針對(duì)現(xiàn)有信息系統(tǒng)進(jìn)行變更的管理體系，它包括對(duì)所有提出的系統(tǒng)變更進(jìn)行分析、實(shí)施和跟進(jìn)的管理。對(duì)于這套體系的控制將確 保由于變更而可能給企業(yè)帶來(lái)的風(fēng)險(xiǎn)降低到最低限度。在對(duì)這個(gè)流程的控制中，需要考慮的因素有：變更的識(shí)別，分類、優(yōu)先確定和緊急處理程序，影響度評(píng)估,變更的 授權(quán)，變更后的發(fā)布管理，軟件的發(fā)布，工具的使用，配置管理，業(yè)務(wù)流程的重組。COBIT 在獲得和實(shí)施這個(gè)控制域提出了

49、企業(yè)從獲取信息技術(shù)到實(shí)施完成 中對(duì)六個(gè)方面的過(guò)程控制。在這里需要說(shuō)明的是,實(shí)施在這里的概念不僅僅是系統(tǒng)的安裝和調(diào)試，而是最終符合業(yè)務(wù)需求才能認(rèn)為 是實(shí)施的完成。從企業(yè)需 求動(dòng)態(tài)變化的角度來(lái)看,獲得和實(shí)施這個(gè)過(guò)程是一個(gè)循環(huán)的過(guò)程，因此對(duì)于 這個(gè) 過(guò)程中 COBIT所提出的六個(gè)目標(biāo)控制過(guò)程的監(jiān)督也是循環(huán)進(jìn)行的。出版日期：2003-10-13IT 規(guī)劃和組織的控制COBIT 系列講座之一漢道信息技術(shù)咨詢有限公司IT 治理的提出，為企業(yè)在實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的同時(shí)平衡 IT 投資和風(fēng)險(xiǎn)方面提供一種 機(jī)制。為了確保企業(yè)能夠?qū)崿F(xiàn)業(yè)務(wù)目標(biāo)，實(shí)現(xiàn)在風(fēng)險(xiǎn)管理和收益實(shí)現(xiàn)間的有效平衡 指導(dǎo)和管理各類 IT 活動(dòng)就顯得非常迫

50、切。國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)提出了 信息系統(tǒng)和技術(shù)控制目標(biāo)（COBIT。作為 IT 治理的核心模型,COBIT 包含 34 個(gè) 信息技術(shù)過(guò)程控制，并歸集為四個(gè)控制域：IT 規(guī)劃和組織（Planning andOrganization、系 統(tǒng)獲得和實(shí)施（Acquisition and Implementation、交付與支持（Deliveryand Support 以及信息系 統(tǒng)運(yùn)行性能監(jiān)控（Monitoring。在本次系列講座中 我們將對(duì)每一個(gè)控制域（Control domains 內(nèi)的過(guò)程控制有選擇的展開論述。對(duì)于一個(gè)在 IT 應(yīng)用方面成熟的企業(yè)，任何在 IT 方面投資，之前都會(huì)有一個(gè)詳細(xì)

51、 的規(guī)劃和論證過(guò)程。同時(shí)，信息組織結(jié)構(gòu)和職能的優(yōu)化也是伴隨著IT 投入而展開 的。在 COBIT 中,IT 規(guī)劃和組織是一個(gè)控制 域。在這個(gè)域中,COBIT 列出了 11 個(gè) 需要控制的流程（Processes 分別如下：定義 it 戰(zhàn)略規(guī)劃在 cobit 中,要求通過(guò)戰(zhàn)略規(guī)劃，為企業(yè)提供長(zhǎng)期并符合企業(yè)發(fā) 展目標(biāo)的 it 規(guī)劃，并且定期將這目標(biāo)轉(zhuǎn)換成可以操作的短期實(shí)施計(jì)劃。在it 規(guī)劃和組織中首先提出需要控制的流程是：對(duì)企業(yè) it 戰(zhàn)略規(guī)劃制定的控制。該控制確保企 業(yè)在制定計(jì)劃時(shí)考慮到這些因素：企業(yè)的業(yè)務(wù)戰(zhàn)略，明確定義了 it 是如何支撐業(yè)務(wù)目 標(biāo)實(shí)現(xiàn)的，目前的技術(shù)解決方案和架構(gòu)的情況、技術(shù)發(fā)

52、展趨勢(shì)，可行性研究與對(duì)比、 現(xiàn)有系統(tǒng)的評(píng)估，企業(yè)在風(fēng)險(xiǎn)控制、市場(chǎng)反應(yīng)和質(zhì)量方面所處的地位等等。定義信 息結(jié)構(gòu)信息孤島是目前許多企業(yè)所面臨的一個(gè)問(wèn)題。造成信息孤島的原因是多方面的，有管理方面的原因，但更重要的是企業(yè)在 it 規(guī)劃和組織過(guò)程中沒(méi)有 對(duì)企業(yè)的信息架構(gòu)（architecture 有個(gè)明確的定義。在 cobit 的it 戰(zhàn)略規(guī)劃和組織中,對(duì)定義信息 結(jié)構(gòu)這個(gè)流程有個(gè)明確的控制目標(biāo)?？?制的對(duì)象是建立和維護(hù)業(yè)務(wù)信息模型，確保企業(yè)獲得合適信息系統(tǒng)的整個(gè)流程是否 合理。具體控制評(píng)估的內(nèi)容包括：數(shù)據(jù)字典、數(shù)據(jù)語(yǔ)法規(guī)則、數(shù)據(jù)使用權(quán)限和安 全定義、反映業(yè)務(wù)特征的信息模型以及企業(yè)信息架構(gòu)的標(biāo)準(zhǔn)。確定技

53、術(shù)方向it 在企業(yè)中的作用是服務(wù)于業(yè)務(wù)自身 的需要，那么企業(yè)在決定信息技術(shù)方向時(shí)必須有一 個(gè)能夠很好制定和管理技術(shù)選擇的流程，而這個(gè)流程就是要確保技術(shù)能夠很好地實(shí) 現(xiàn)企業(yè)對(duì)產(chǎn)品、服務(wù)和交付能力的期望。對(duì)于這樣的流程，cobit 提出需要考 慮的控制細(xì)節(jié)。它包括:現(xiàn)有技術(shù)架構(gòu)的能力，通過(guò)可靠的資源對(duì)技術(shù)發(fā)展進(jìn)行跟蹤，實(shí)行概念論 證，明確技術(shù)實(shí)現(xiàn)的風(fēng) 險(xiǎn)和機(jī)遇、技術(shù)獲取計(jì)劃、技術(shù)切換策略，明確與技術(shù)供應(yīng)商 的關(guān)系，獨(dú)立的技術(shù)再評(píng)估和軟硬件價(jià)格性 能的變更等管理。定義 it 組織與內(nèi)部關(guān) 系信息技術(shù)在企業(yè)中的成功應(yīng)用已經(jīng)越來(lái)越不是技術(shù)本身所能決定的事了，而是需要企業(yè)具備完善的 it 決策服務(wù)組織體系

54、去實(shí)現(xiàn) it 在企業(yè)中的價(jià)值。cobit 對(duì)于定 義 it 組織與內(nèi)部關(guān)系的流程控制提出了 11 個(gè)控制目標(biāo)和方向，它們是:董事會(huì)對(duì) it 所擔(dān)負(fù)的職責(zé),管理層對(duì) it 的監(jiān)督和指導(dǎo)，it 與業(yè)務(wù)的匹配，在企業(yè)關(guān)鍵戰(zhàn)略決策中 it 的融入,組織的靈活性，角色與職責(zé) 的清晰，平衡監(jiān)督和放權(quán)的關(guān)系，工作描述，安 全、質(zhì)量和內(nèi)部控制等的組織定位，責(zé)權(quán)分離等。it 投資管理企業(yè)每年在 it 方面的 預(yù)算和支出都在增長(zhǎng)。對(duì)于it 投資決策和資金使用管理的流程控制是確保 企業(yè)信 息化建設(shè)有效開展的關(guān)鍵。對(duì)于這個(gè)決策和管理的控制，cobit 提出了建立滾動(dòng)的投 資和運(yùn)營(yíng)預(yù)算 并要求必須獲得業(yè)務(wù)部門的批準(zhǔn)。在

55、這個(gè)過(guò)程中，需要考慮的控制內(nèi)容包括：籌資方式的選擇、清晰的預(yù)算所有 權(quán)、實(shí)際支出的控制、成本 的合理性、收益的合理性和收益實(shí)現(xiàn)的追溯、技術(shù)和 應(yīng)用軟件的生命周期、與企業(yè)業(yè)務(wù)戰(zhàn)略的匹配程度、影響力分析和資產(chǎn)的管理。溝通 it 管理層目標(biāo) 企業(yè)中，管理層在 it 方面的目標(biāo)（aims 和方向需要通 過(guò)合適的渠 道和流程由上至下傳達(dá)，同時(shí)要確保用戶的意識(shí)和對(duì)這些目標(biāo)的正確理解。cobit 對(duì)于該控制目標(biāo),提出了企業(yè)需要有清晰的 it 目標(biāo)描述，技術(shù)應(yīng)用方向應(yīng)該與企業(yè)的業(yè) 務(wù)目標(biāo)緊密相連，具備行為 規(guī)范，質(zhì)量承諾，安全與內(nèi)部控制政策，安全與內(nèi)部控制規(guī) 范、持續(xù)的共同計(jì)劃以及檢驗(yàn)法律法規(guī)的遵守性。這些對(duì)溝