IT審計及COBIT體系課件

IT審計及COBIT模型2013/12/28IT審計及COBIT模型內容安排1.IT審計介紹2.IT治理介紹3.COBIT概念4.COBIT體系框架5.Q&A2內容安排1.IT審計介紹2.IT治理介紹3.COBIT概念4信息系統(tǒng)審計(ITA)是以企業(yè)或政府等組織的信息系統(tǒng)為審計對象，通過現(xiàn)代的審計理論和IT管理理論，從信息資產的安全性、數(shù)據的完整性以及系統(tǒng)的有效性和效率性等方面出發(fā)，對其是否能夠有效可靠的達到組織的戰(zhàn)略目標進行全面的監(jiān)測和評估，并為改善和健全組織對信息系統(tǒng)的控制提出詳細的建議。IT審計對象是信息系統(tǒng)，審計內容是計算機資源管理、硬件、軟件獲取、系統(tǒng)軟件、數(shù)據庫、網絡、應用系統(tǒng)開發(fā)、系統(tǒng)維護、操作、安全等審計3IT審計介紹信息系統(tǒng)審計(ITA)是以企業(yè)或政府等組織的信息系統(tǒng)為審計對AssetSecurity（資產安全性）Effectivity（系統(tǒng)有效性）Efficiency（系統(tǒng)效率性）DataIntegrity（數(shù)據完整性）4IT審計目標4IT審計目標信息系統(tǒng)調查信息系統(tǒng)內部控制測試信息系統(tǒng)初步評價信息系統(tǒng)實質性測試信息系統(tǒng)綜合評價5IT審計流程信息系統(tǒng)調查5IT審計流程6調查階段信息系統(tǒng)內部控制初步評審內部控制可信賴嗎？控制測試信息系統(tǒng)控制測試結果的評價內部控制可信賴嗎？測試和評價補償控制實質性測試全面評價編制審計報告退出審計提出管理建議審計結束否否內部控制的詳細審查與評價計算機信息系統(tǒng)審計流程6調查階段信息系統(tǒng)內部控制初步評審內部控制可信賴嗎？控制測試信息系統(tǒng)調查是對被審計單位信息系統(tǒng)的管理體制、總體架構、規(guī)劃設計、管理水平等進行全面、深入地了解，是進行信息系統(tǒng)審計的基礎。了解管理體制，從總體上把握被審計單位信息系統(tǒng)管理的基本情況。了解總體架構，完成對被審計單位有什么類型的信息系統(tǒng)，每個系統(tǒng)有多少子系統(tǒng)，信息系統(tǒng)分布在哪些部門，信息系統(tǒng)之間有什么關系的調查。了解規(guī)劃管理，對信息系統(tǒng)建設、使用、管理情況的調查。7信息系統(tǒng)調查信息系統(tǒng)調查是對被審計單位信息系統(tǒng)的管理體制、總體架構、規(guī)劃IT內部控制的類型：根據控制的范圍，信息系統(tǒng)內部控制分為一般控制應用控制8IT內部控制IT內部控制的類型：根據控制的范圍，信息系統(tǒng)內部控制分為8I是指對整個計算機信息系統(tǒng)及環(huán)境要素實施的，對系統(tǒng)所有的應用或功能模塊具有普遍影響的控制措施。劃分成五類控制：組織控制：為實現(xiàn)組織的目標而進行的組織結構設計、權責安排和制度設計。包括職責分離、授權、監(jiān)督、人事管理等系統(tǒng)開發(fā)與維護控制：包括需求定義、開發(fā)規(guī)劃、系統(tǒng)設計、編程實現(xiàn)、測試、運行維護、文檔管理等控制DIB中國領先內部控制和風險管理解決方案提供商9一般控制是指對整個計算機信息系統(tǒng)及環(huán)境要素實施的，對系統(tǒng)所有的應用或安全控制：保持良好的運行環(huán)境，包括訪問接觸、環(huán)境安全、防病毒、安全保密、安全教育等控制硬件及系統(tǒng)軟件控制（1）硬件控制（2）軟件控制5、操作控制信息系統(tǒng)的使用操作應有一套完整的管理制度，包括上機守則與操作規(guī)程、上級日志記錄、保密制度和操作工作計劃等。10一般控制安全控制：保持良好的運行環(huán)境，包括訪問接觸、環(huán)境安全、防病毒應用控制是為適應各種數(shù)據處理的特殊控制要求，保證數(shù)據處理完整、準確地完成而建立的內部控制。分成三類控制輸入控制：保證只有經過授權批準的業(yè)務才能輸入計算機信息系統(tǒng)；保證經批準的數(shù)據沒有丟失、遺漏和篡改；保證被計算機拒絕的錯誤數(shù)據能改正后重新提交。包括數(shù)據采集、數(shù)據輸入控制11應用控制應用控制是為適應各種數(shù)據處理的特殊控制要求，保證數(shù)據處理完整處理控制：對信息系統(tǒng)進行的內部數(shù)據處理活動的控制措施，這些控制措施往往被寫入計算機程序，包括數(shù)據有效性檢測、錯誤糾正控制。輸出控制：主要是保證交付給用戶的數(shù)據是符合格式要求的、可交付的，并以一致和安全的方式遞交給用戶，包括輸出錯誤處理、輸出報告管理、報告接收確認12應用控制處理控制：對信息系統(tǒng)進行的內部數(shù)據處理活動的控制措施，這些控內容安排1.IT審計介紹2.IT治理介紹3.COBIT概念4.COBIT體系框架5.Q&A13內容安排1.IT審計介紹2.IT治理介紹3.COBIT概念414IT治理提出的背景14IT治理提出的背景公司治理就是為所有股東創(chuàng)造和呈現(xiàn)價值的企業(yè)道德行為公司治理包括組織中管理層、董事會、股東和其他利益相關法之間的一系列關系，它為制定公司目標、確定實現(xiàn)目標和監(jiān)督績效的方式提供了框架。15IT治理公司治理就是為所有股東創(chuàng)造和呈現(xiàn)價值的企業(yè)道德行為15IT治16IT治理16IT治理IT治理是一個綜合術語，它包括信息系統(tǒng)，技術和通訊，業(yè)務，法律相關事務，所有利益相關方，董事會，高級管理層，流程所有人，IT供應商，用戶和審計師。IT治理有助于確保IT和企業(yè)目標保持一致。IT治理是組織中的一種制度安排，目的是為了提高IT績效、降低IT風險，有效地利用資源。IT治理采用最佳實踐來確保組織信息及相關技術支持其業(yè)務目標和價值交付，確保資源得到合理使用，風險得到適當管理、績效得到測評。17IT治理IT治理是一個綜合術語，它包括信息系統(tǒng)，技術和通訊，業(yè)務，法IT治理在根本上關注以下兩方面的問題：IT向業(yè)務交付價值：由IT和業(yè)務的戰(zhàn)略一致驅動IT風險得到管理：通過向企業(yè)分配責任來驅動18IT治理IT治理在根本上關注以下兩方面的問題：18IT治理19IT治理領域19IT治理領域內容安排1.IT審計介紹2.IT治理介紹3.COBIT概念4.COBIT體系框架5.Q&A20內容安排1.IT審計介紹2.IT治理介紹3.COBIT概念4ControlObjectivesforInformationandrelatedTechnologyCOBIT是一個在國際上得到公認的、先進的和權威的安全與信息技術管理和控制標準，它在業(yè)務風險、控制需要和技術問題之間架起了一座橋梁，它可以輔助管理層進行IT治理，指導組織有效利用信息資源，有效地管理與信息相關的風險。面向業(yè)務是COBIT的主題，它不僅是為用戶和審計師而設計，而且更重要的是它可以作為管理者及業(yè)務過程的所有者的綜合指南。COBIT真正關注的問題是，企業(yè)是否具備適當?shù)目刂屏?，以確保符合相關的管理規(guī)定。它幫助企業(yè)確定他們是否正在做他們表示要做的事，以及他們是否可以證明這一點21COBIT是什么？ControlObjectivesforInformaCOBIT第一版由信息系統(tǒng)審計與控制基金會（ISACF）于1996年發(fā)布。COBIT第二版于1998年出版，修訂了高層控制目標與詳細控制目標，增加了實施工具集（ImplementationToolSet）信息系統(tǒng)審計與控制協(xié)會（ISACA）及其相關的基金會在1998年創(chuàng)立IT治理研究院(ITGI)，由ITGI制定并發(fā)布了COBIT第三版，加入了管理指南，以及擴展和加強了對IT治理的關注；COBIT基于ISACF的建立的IT控制目標，參照了其他控制框架、行業(yè)標準；ITGI于2005年底發(fā)布了COBIT第四版，這一版對IT某些過程進行了調整，強調了IT控制與IT治理五個領域的對應關系。22COBIT發(fā)展歷程COBIT第一版由信息系統(tǒng)審計與控制基金會（ISACF）于1早期第1、2版以控制目標和審計指南為主。2000年推出第3版，重點突出了“管理指南”。2006年推出第4版，精簡了控制目標，并完善了管理指南2007年推出第4.1版，將審計指南改為“簽證指南”，并提出ValueIT等理念，與IT治理聯(lián)系更緊密。23COBIT發(fā)展歷程早期第1、2版以控制目標和審計指南為主。23COBIT發(fā)展COBIT中定義的IT資源如下。(1)數(shù)據：是最廣泛意義上的對象(如外部和內部的)、結構化及非結構化的、圖形、聲音等。(2)應用系統(tǒng)：手工的以及計算機程序的總和。(3)技術：包括硬件、操作系統(tǒng)、數(shù)據庫管理系統(tǒng)、網絡、多媒體等。(4)設備：包括所擁有的支持信息系統(tǒng)的所有資源。(5)人員：包括員工技能、意識，以及計劃、組織、獲取、交付、支持和監(jiān)控信息系統(tǒng)及服務的能力。24IT資源COBIT中定義的IT資源如下。24IT資源COBIT定義了7方面的信息標準：效果性（Effectiveness）：信息系統(tǒng)提供對業(yè)務處理來說“有效”的信息效率性（Efficiency）：“有效率”地使用資源，提供信息保密性（Confidentiality）：保護敏感信息，避免泄漏信息一致性（Integrity）：保證信息的“真實可信”，即信息準確、完整，并且從業(yè)務價值和業(yè)務需要的角度來說是正確有效的可用性（Availablity）：當業(yè)務需要時，信息可隨時獲得可靠性（Reliability）：為管理層維持組織運轉和履行所賦予職責提供適當?shù)男畔⒑弦?guī)性（Compliance）：符合相關法律、規(guī)定、合同對業(yè)務過程的規(guī)定25IT準則COBIT定義了7方面的信息標準：25IT準則活動：企業(yè)的信息系統(tǒng)是由一個個功能組成的，它們對應于企業(yè)經營領域的一個個活動。過程：這些活動可以按照彼此之間關系的緊密程度或者目標的一致程度歸結為一些過程，例如，定義IT戰(zhàn)略規(guī)劃、定義信息體系結構、管理IT投資、風險評估，等等。域：過程之間的自然組合形成企業(yè)的域，與企業(yè)結構的職責域相對應。26活動、過程、域活動：企業(yè)的信息系統(tǒng)是由一個個功能組成的，它們對應于企業(yè)經營27活動、過程、域27活動、過程、域內容安排1.IT審計介紹2.IT治理介紹3.COBIT概念4.COBIT體系框架5.Q&A28內容安排1.IT審計介紹2.IT治理介紹3.COBIT概念429COBIT框架模型29COBIT框架模型30CoBit框架模型Cobit可細化為34項高層控制目標，318個細化控制目標。每個目標都針對特定的IT過程；這些高層控制目標又可組合為策劃與組織、采購與實施、交付與支持、監(jiān)控四大領域。30CoBit框架模型Cobit可細化為34項高層控制目標，31COBIT體系結構31COBIT體系結構32COBIT產品簇32COBIT產品簇控制目標（ControlObjectives）在34個高層控制目標的基礎上，為每個IT過程定義了更為詳細的控制目標（detailobjectives，共計318個），用以指導IT控制工作、保證該過程的成功實施。33COBIT體系結構33COBIT體系結構審計指南（AuditGuideline）針對每個IT過程分別提出了審計方法，通過對照審查相應的控制目標實現(xiàn)對IT過程的評價和建議。內容：如何了解該過程相關內控，包括應面詢的對象、問題、應查閱的文檔如何評價該過程的控制，包括具體要核查的項目該過程中常規(guī)的符合性測試項目該過程中常規(guī)的實質性測試項目34COBIT體系結構34COBIT體系結構管理指南（ManagementGuideline）針對每個IT過程均為管理者詳細定義了下列分析工具：關鍵成功因素（CSF）：管理者“應該作什么？”，即在每一個過程中最重要的因素或控制活動，可以作為IT投資的指導之一。關鍵目標指標（KGI）：IT過程“執(zhí)行后的結果應該作到怎樣”。若想實現(xiàn)業(yè)務目標，該過程執(zhí)行后必須達到哪些指標。關鍵執(zhí)行指標或關鍵性能指標（KPI）：怎樣判斷正在執(zhí)行的IT過程當前的狀態(tài)是否良好、是否需要調整。成熟度模型（CMM）：為每一個過程定義了六種成熟度級別，使管理者可以評價本組織在該過程控制上所處的級別，然后通過與同行業(yè)標竿企業(yè)相比較，判斷自身所處的先進程度、競爭優(yōu)勢和改進方向。35COBIT體系結構35COBIT體系結構36COBIT各組件之間的關系36COBIT各組件之間的關系37集大成者37集大成者38COBIT特點38COBIT特點39Business-focused39Business-focused40Business-focused40Business-focused41Process-Oriented41Process-Oriented42Controls-based42Controls-based43Measurement-Driven43Measurement-Driven44Measurement-Driven44Measurement-Driven45成熟度模型45成熟度模型46COBIT組織方式46COBIT組織方式內容安排1.IT審計介紹2.IT治理介紹3.COBIT概念4.COBIT體系框架5.Q&A47內容安排1.IT審計介紹2.IT治理介紹3.COBIT概念448Q&A48Q&A49謝謝！49謝謝！IT審計及COBIT模型2013/12/28IT審計及COBIT模型內容安排1.IT審計介紹2.IT治理介紹3.COBIT概念4.COBIT體系框架5.Q&A51內容安排1.IT審計介紹2.IT治理介紹3.COBIT概念4信息系統(tǒng)審計(ITA)是以企業(yè)或政府等組織的信息系統(tǒng)為審計對象，通過現(xiàn)代的審計理論和IT管理理論，從信息資產的安全性、數(shù)據的完整性以及系統(tǒng)的有效性和效率性等方面出發(fā)，對其是否能夠有效可靠的達到組織的戰(zhàn)略目標進行全面的監(jiān)測和評估，并為改善和健全組織對信息系統(tǒng)的控制提出詳細的建議。IT審計對象是信息系統(tǒng)，審計內容是計算機資源管理、硬件、軟件獲取、系統(tǒng)軟件、數(shù)據庫、網絡、應用系統(tǒng)開發(fā)、系統(tǒng)維護、操作、安全等審計52IT審計介紹信息系統(tǒng)審計(ITA)是以企業(yè)或政府等組織的信息系統(tǒng)為審計對AssetSecurity（資產安全性）Effectivity（系統(tǒng)有效性）Efficiency（系統(tǒng)效率性）DataIntegrity（數(shù)據完整性）53IT審計目標4IT審計目標信息系統(tǒng)調查信息系統(tǒng)內部控制測試信息系統(tǒng)初步評價信息系統(tǒng)實質性測試信息系統(tǒng)綜合評價54IT審計流程信息系統(tǒng)調查5IT審計流程55調查階段信息系統(tǒng)內部控制初步評審內部控制可信賴嗎？控制測試信息系統(tǒng)控制測試結果的評價內部控制可信賴嗎？測試和評價補償控制實質性測試全面評價編制審計報告退出審計提出管理建議審計結束否否內部控制的詳細審查與評價計算機信息系統(tǒng)審計流程6調查階段信息系統(tǒng)內部控制初步評審內部控制可信賴嗎？控制測試信息系統(tǒng)調查是對被審計單位信息系統(tǒng)的管理體制、總體架構、規(guī)劃設計、管理水平等進行全面、深入地了解，是進行信息系統(tǒng)審計的基礎。了解管理體制，從總體上把握被審計單位信息系統(tǒng)管理的基本情況。了解總體架構，完成對被審計單位有什么類型的信息系統(tǒng)，每個系統(tǒng)有多少子系統(tǒng)，信息系統(tǒng)分布在哪些部門，信息系統(tǒng)之間有什么關系的調查。了解規(guī)劃管理，對信息系統(tǒng)建設、使用、管理情況的調查。56信息系統(tǒng)調查信息系統(tǒng)調查是對被審計單位信息系統(tǒng)的管理體制、總體架構、規(guī)劃IT內部控制的類型：根據控制的范圍，信息系統(tǒng)內部控制分為一般控制應用控制57IT內部控制IT內部控制的類型：根據控制的范圍，信息系統(tǒng)內部控制分為8I是指對整個計算機信息系統(tǒng)及環(huán)境要素實施的，對系統(tǒng)所有的應用或功能模塊具有普遍影響的控制措施。劃分成五類控制：組織控制：為實現(xiàn)組織的目標而進行的組織結構設計、權責安排和制度設計。包括職責分離、授權、監(jiān)督、人事管理等系統(tǒng)開發(fā)與維護控制：包括需求定義、開發(fā)規(guī)劃、系統(tǒng)設計、編程實現(xiàn)、測試、運行維護、文檔管理等控制DIB中國領先內部控制和風險管理解決方案提供商58一般控制是指對整個計算機信息系統(tǒng)及環(huán)境要素實施的，對系統(tǒng)所有的應用或安全控制：保持良好的運行環(huán)境，包括訪問接觸、環(huán)境安全、防病毒、安全保密、安全教育等控制硬件及系統(tǒng)軟件控制（1）硬件控制（2）軟件控制5、操作控制信息系統(tǒng)的使用操作應有一套完整的管理制度，包括上機守則與操作規(guī)程、上級日志記錄、保密制度和操作工作計劃等。59一般控制安全控制：保持良好的運行環(huán)境，包括訪問接觸、環(huán)境安全、防病毒應用控制是為適應各種數(shù)據處理的特殊控制要求，保證數(shù)據處理完整、準確地完成而建立的內部控制。分成三類控制輸入控制：保證只有經過授權批準的業(yè)務才能輸入計算機信息系統(tǒng)；保證經批準的數(shù)據沒有丟失、遺漏和篡改；保證被計算機拒絕的錯誤數(shù)據能改正后重新提交。包括數(shù)據采集、數(shù)據輸入控制60應用控制應用控制是為適應各種數(shù)據處理的特殊控制要求，保證數(shù)據處理完整處理控制：對信息系統(tǒng)進行的內部數(shù)據處理活動的控制措施，這些控制措施往往被寫入計算機程序，包括數(shù)據有效性檢測、錯誤糾正控制。輸出控制：主要是保證交付給用戶的數(shù)據是符合格式要求的、可交付的，并以一致和安全的方式遞交給用戶，包括輸出錯誤處理、輸出報告管理、報告接收確認61應用控制處理控制：對信息系統(tǒng)進行的內部數(shù)據處理活動的控制措施，這些控內容安排1.IT審計介紹2.IT治理介紹3.COBIT概念4.COBIT體系框架5.Q&A62內容安排1.IT審計介紹2.IT治理介紹3.COBIT概念463IT治理提出的背景14IT治理提出的背景公司治理就是為所有股東創(chuàng)造和呈現(xiàn)價值的企業(yè)道德行為公司治理包括組織中管理層、董事會、股東和其他利益相關法之間的一系列關系，它為制定公司目標、確定實現(xiàn)目標和監(jiān)督績效的方式提供了框架。64IT治理公司治理就是為所有股東創(chuàng)造和呈現(xiàn)價值的企業(yè)道德行為15IT治65IT治理16IT治理IT治理是一個綜合術語，它包括信息系統(tǒng)，技術和通訊，業(yè)務，法律相關事務，所有利益相關方，董事會，高級管理層，流程所有人，IT供應商，用戶和審計師。IT治理有助于確保IT和企業(yè)目標保持一致。IT治理是組織中的一種制度安排，目的是為了提高IT績效、降低IT風險，有效地利用資源。IT治理采用最佳實踐來確保組織信息及相關技術支持其業(yè)務目標和價值交付，確保資源得到合理使用，風險得到適當管理、績效得到測評。66IT治理IT治理是一個綜合術語，它包括信息系統(tǒng)，技術和通訊，業(yè)務，法IT治理在根本上關注以下兩方面的問題：IT向業(yè)務交付價值：由IT和業(yè)務的戰(zhàn)略一致驅動IT風險得到管理：通過向企業(yè)分配責任來驅動67IT治理IT治理在根本上關注以下兩方面的問題：18IT治理68IT治理領域19IT治理領域內容安排1.IT審計介紹2.IT治理介紹3.COBIT概念4.COBIT體系框架5.Q&A69內容安排1.IT審計介紹2.IT治理介紹3.COBIT概念4ControlObjectivesforInformationandrelatedTechnologyCOBIT是一個在國際上得到公認的、先進的和權威的安全與信息技術管理和控制標準，它在業(yè)務風險、控制需要和技術問題之間架起了一座橋梁，它可以輔助管理層進行IT治理，指導組織有效利用信息資源，有效地管理與信息相關的風險。面向業(yè)務是COBIT的主題，它不僅是為用戶和審計師而設計，而且更重要的是它可以作為管理者及業(yè)務過程的所有者的綜合指南。COBIT真正關注的問題是，企業(yè)是否具備適當?shù)目刂屏?，以確保符合相關的管理規(guī)定。它幫助企業(yè)確定他們是否正在做他們表示要做的事，以及他們是否可以證明這一點70COBIT是什么？ControlObjectivesforInformaCOBIT第一版由信息系統(tǒng)審計與控制基金會（ISACF）于1996年發(fā)布。COBIT第二版于1998年出版，修訂了高層控制目標與詳細控制目標，增加了實施工具集（ImplementationToolSet）信息系統(tǒng)審計與控制協(xié)會（ISACA）及其相關的基金會在1998年創(chuàng)立IT治理研究院(ITGI)，由ITGI制定并發(fā)布了COBIT第三版，加入了管理指南，以及擴展和加強了對IT治理的關注；COBIT基于ISACF的建立的IT控制目標，參照了其他控制框架、行業(yè)標準；ITGI于2005年底發(fā)布了COBIT第四版，這一版對IT某些過程進行了調整，強調了IT控制與IT治理五個領域的對應關系。71COBIT發(fā)展歷程COBIT第一版由信息系統(tǒng)審計與控制基金會（ISACF）于1早期第1、2版以控制目標和審計指南為主。2000年推出第3版，重點突出了“管理指南”。2006年推出第4版，精簡了控制目標，并完善了管理指南2007年推出第4.1版，將審計指南改為“簽證指南”，并提出ValueIT等理念，與IT治理聯(lián)系更緊密。72COBIT發(fā)展歷程早期第1、2版以控制目標和審計指南為主。23COBIT發(fā)展COBIT中定義的IT資源如下。(1)數(shù)據：是最廣泛意義上的對象(如外部和內部的)、結構化及非結構化的、圖形、聲音等。(2)應用系統(tǒng)：手工的以及計算機程序的總和。(3)技術：包括硬件、操作系統(tǒng)、數(shù)據庫管理系統(tǒng)、網絡、多媒體等。(4)設備：包括所擁有的支持信息系統(tǒng)的所有資源。(5)人員：包括員工技能、意識，以及計劃、組織、獲取、交付、支持和監(jiān)控信息系統(tǒng)及服務的能力。73IT資源COBIT中定義的IT資源如下。24IT資源COBIT定義了7方面的信息標準：效果性（Effectiveness）：信息系統(tǒng)提供對業(yè)務處理來說“有效”的信息效率性（Efficiency）：“有效率”地使用資源，提供信息保密性（Confidentiality）：保護敏感信息，避免泄漏信息一致性（Integrity）：保證信息的“真實可信”，即信息準確、完整，并且從業(yè)務價值和業(yè)務需要的角度來說是正確有效的可用性（Availablity）：當業(yè)務需要時，信息可隨時獲得可靠性（Reliability）：為管理層維持組織運轉和履行所賦予職責提供適當?shù)男畔⒑弦?guī)性（Compliance）：符合相關法律、規(guī)定、合同對業(yè)務過程的規(guī)定74IT準則COBIT定義了7方面的信息標準：25IT準則活動：企業(yè)的信息系統(tǒng)是由一個個功能組成的，它們對應于企業(yè)經營領域的一個個活動。過程：這些活動可以按照彼此之間關系的緊密程度或者目標的一致程度歸結為一些過程，例如，定義IT戰(zhàn)略規(guī)劃、定義信息體系結構、管理IT投資、風險評估，等等。域：過程之間的自然組合形成企業(yè)的域，與企業(yè)結構的職責域相對應。75活動、過程、域活動：企業(yè)的信息系統(tǒng)是由一個個功能組成的，它們對應于企業(yè)經營76活動、過程、域27活動、過程、域內容安排1.IT審計介紹2.IT治理介紹3.COBIT概念4.COBIT體系框架5.Q&A77內容安排1.IT審計介紹2.IT治理介紹3.COBIT概念478COBIT框架模型29COBIT框架模型79CoBit框架模型Cobit可細化為34項高層控制目標，318個細化控制目標。每個目標都針對特定的IT過程；這些高層控制目標又可組合為策劃與組織、采購與實施、交付與支持、監(jiān)控四大領域。30CoBit框架模型Cobit可細化為34項高層控制目標，80COBIT體系結構31COBIT體系結構81COBIT產品簇32COBIT產品簇控制目標（ControlObject