(3)IT運(yùn)維管理：ITIL先鋒論壇-COBIT設(shè)計(jì)指南信息和技術(shù)治理解決方案

CQBITio,設(shè)計(jì)指南 圖表列表 15第一章.介紹和用途 151.1治理系統(tǒng) 1.2本書的結(jié)構(gòu) 1.3本書的目標(biāo)受眾 1.4相關(guān)指南：《COBIT?2019實(shí)施指南》 第二章.基本概念：治理系統(tǒng)及組件 172.1引言 2.2治理和管理目標(biāo) 2.3治理系統(tǒng)的組件 202.4焦點(diǎn)領(lǐng)域 202.5能力級(jí)別 202.6設(shè)計(jì)因素 212.6.1為什么沒有特定行業(yè)領(lǐng)域的設(shè)計(jì)因素？ 28第三章.設(shè)計(jì)因素的影響 293.1設(shè)計(jì)因素的影響 29第四章.設(shè)計(jì)量身定制的治理系統(tǒng) 314.1引言 314.2第1步：了解企業(yè)環(huán)境和戰(zhàn)略 324.2.1了解企業(yè)戰(zhàn)略 324.2.2了解企業(yè)目標(biāo) 324.2.3了解風(fēng)險(xiǎn)概況 324.2.4了解當(dāng)前的I&T相關(guān)問題 334.2.5總結(jié) 334.3第2步：確定治理系統(tǒng)的初步范圍 334.3.1將設(shè)計(jì)因素轉(zhuǎn)化為治理和管理優(yōu)先級(jí) 334.3.2思考企業(yè)戰(zhàn)略（設(shè)計(jì)因素1） 344.3.3思考企業(yè)目標(biāo)并運(yùn)用COBIT目標(biāo)級(jí)聯(lián)（設(shè)計(jì)因素2） 344.3.4思考企業(yè)的風(fēng)險(xiǎn)概況（設(shè)計(jì)因素3） 354.3.5思考企業(yè)當(dāng)前的I&T相關(guān)問題（設(shè)計(jì)因素4） 354.3.6總結(jié) 364.4第3步：優(yōu)化治理系統(tǒng)的范圍 364.4.1思考威脅環(huán)境（設(shè)計(jì)因素5） 364.4.2思考合規(guī)性要求（設(shè)計(jì)因素6） 374.4.3思考IT角色（設(shè)計(jì)因素7） 374.4.4思考IT采購模式（設(shè)計(jì)因素8） 384.4.5思考IT實(shí)施方法（設(shè)計(jì)因素9） 384.4.6思考技術(shù)采用戰(zhàn)略（設(shè)計(jì)因素10） 394.4.7思考企業(yè)規(guī)模（設(shè)計(jì)因素11） 394.4.8總結(jié) 404.5第4步：解決沖突并最終確定治理系統(tǒng)的設(shè)計(jì)方案 404.5.1解決固有的優(yōu)先級(jí)沖突 40目的 40解決戰(zhàn)略 41解決方法 418COBIT?2019設(shè)計(jì)指南4.5.2最終確定治理系統(tǒng)的設(shè)計(jì) 41最終確定設(shè)計(jì) 41維持治理系統(tǒng) 42第五章.與《COBIT?2019實(shí)施指南》相關(guān)聯(lián) 435.1《COBIT?2019實(shí)施指南》的目的 435.2COBIT實(shí)施方法 435.2.1第1階段—有哪些驅(qū)動(dòng)因素？ 445.2.2第2階段—現(xiàn)在到了什么程度？ 445.2.3第3階段—我們想要達(dá)到什么目標(biāo)？ 455.2.4第4階段—我們需要完成什么行動(dòng)？ 455.2.5第5階段—我們?nèi)绾螌?shí)現(xiàn)？ 455.2.6第6階段—我們是否實(shí)現(xiàn)？ 455.2.7第7階段—我們?nèi)绾伪３智斑M(jìn)的動(dòng)力？ 455.3《COBIT設(shè)計(jì)指南》與《COBIT實(shí)施指南》的關(guān)系 45第II部分.執(zhí)行和示例 49第六章.治理系統(tǒng)設(shè)計(jì)工具包 496.1引言 496.2工具包的基礎(chǔ)知識(shí) 496.3第1步和第2步：確定治理系統(tǒng)的初步范圍 496.3.1企業(yè)戰(zhàn)略（設(shè)計(jì)因素1） 506.3.2企業(yè)目標(biāo)和運(yùn)用COBIT目標(biāo)級(jí)聯(lián)（設(shè)計(jì)因素2） 516.3.3企業(yè)風(fēng)險(xiǎn)概況（設(shè)計(jì)因素3） 526.3.4企業(yè)的當(dāng)前I&T相關(guān)問題（設(shè)計(jì)因素4） 536.3.5總結(jié) 546.4第3步：優(yōu)化治理系統(tǒng)的范圍 566.4.1威脅環(huán)境（設(shè)計(jì)因素5） 576.4.2合規(guī)性要求（設(shè)計(jì)因素6） 586.4.3IT角色（設(shè)計(jì)因素7） 596.4.4IT采購模式（設(shè)計(jì)因素8） 606.4.5IT實(shí)施方法（設(shè)計(jì)因素9） 616.4.6技術(shù)采用戰(zhàn)略（設(shè)計(jì)因素10） 626.4.7企業(yè)規(guī)模（設(shè)計(jì)因素11） 636.4.8總結(jié) 63第七章.示例 657.1引言 657.2示例1：制造企業(yè) 657.2.1第1步：了解企業(yè)環(huán)境和戰(zhàn)略 657.2.2第2步：確定治理系統(tǒng)的初步范圍 697.2.3第3步：優(yōu)化治理系統(tǒng)的范圍 787.2.4第4步：確定治理解決方案的最終設(shè)計(jì) 87治理和管理目標(biāo) 87其他組件 89具體焦點(diǎn)領(lǐng)域指南 897.3示例2：中型創(chuàng)新企業(yè) 907.3.1第1步：了解企業(yè)環(huán)境和戰(zhàn)略 907.3.2第2步：確定治理系統(tǒng)的初步范圍 947.3.3第3步：優(yōu)化治理系統(tǒng)的范圍 7.3.4第4步：確定治理解決方案的最終設(shè)計(jì) 治理和管理目標(biāo) 其他組件 具體焦點(diǎn)領(lǐng)域指南 7.4示例3：知名政府機(jī)構(gòu) 7.4.1第1步：了解企業(yè)環(huán)境和戰(zhàn)略 7.4.2第2步：確定治理系統(tǒng)的初步范圍 7.4.3第3步：優(yōu)化治理系統(tǒng)的范圍 7.4.4第4步：確定治理解決方案的最終設(shè)計(jì) 治理和管理目標(biāo) 其他組件 具體焦點(diǎn)領(lǐng)域指南 附錄 135附錄A：對(duì)應(yīng)關(guān)系表—企業(yè)戰(zhàn)略與治理和管理目標(biāo) 135附錄B：對(duì)應(yīng)關(guān)系表—企業(yè)目標(biāo)與一致性目標(biāo) 137附錄C：對(duì)應(yīng)關(guān)系表—一致性目標(biāo)與治理和管理目標(biāo) 138附錄D：對(duì)應(yīng)關(guān)系表—IT風(fēng)險(xiǎn)與治理和管理目標(biāo) 139附錄E：對(duì)應(yīng)關(guān)系表—I&T相關(guān)問題與治理和管理目標(biāo) 141附錄F：對(duì)應(yīng)關(guān)系表—威脅環(huán)境與治理和管理目標(biāo) 143附錄G：對(duì)應(yīng)關(guān)系表—合規(guī)性要求與治理和管理目標(biāo) 144附錄H：對(duì)應(yīng)關(guān)系表—IT角色與治理和管理目標(biāo) 145附錄I：對(duì)應(yīng)關(guān)系表—IT采購模式與治理和管理目標(biāo) 146附錄J：對(duì)應(yīng)關(guān)系表—IT實(shí)施方法與治理和管理目標(biāo) 147附錄K：關(guān)系對(duì)應(yīng)表—技術(shù)采用戰(zhàn)略與治理和管理目標(biāo) 148COBIT?2019設(shè)計(jì)指南本頁特意留白 第二章.基本概念：治理系統(tǒng)及組件圖2.1—COBIT概述 圖2.2—COBIT核心模型 圖2.3—流程的能力級(jí)別 21圖2.4—COBIT設(shè)計(jì)因素 22圖2.5—企業(yè)戰(zhàn)略設(shè)計(jì)因素 22圖2.6—企業(yè)目標(biāo)設(shè)計(jì)因素 22圖2.7—風(fēng)險(xiǎn)概況設(shè)計(jì)因素（IT風(fēng)險(xiǎn)類別） 23圖2.8—I&T相關(guān)問題設(shè)計(jì)因素 26圖2.9—威脅環(huán)境設(shè)計(jì)因素 26圖2.10—合規(guī)性要求設(shè)計(jì)因素 27圖2.11—IT角色設(shè)計(jì)因素 27圖2.12—IT采購模式設(shè)計(jì)因素 27圖2.13—IT實(shí)施方法設(shè)計(jì)因素 27圖2.14—技術(shù)采用戰(zhàn)略設(shè)計(jì)因素 28圖2.15—企業(yè)規(guī)模設(shè)計(jì)因素 28第三章.設(shè)計(jì)因素的影響圖3.1—設(shè)計(jì)因素對(duì)治理系統(tǒng)的影響 29第四章.設(shè)計(jì)量身定制的治理系統(tǒng)圖4.1—治理系統(tǒng)設(shè)計(jì)工作流程 31圖4.2—對(duì)應(yīng)到企業(yè)戰(zhàn)略設(shè)計(jì)因素的治理和管理目標(biāo)優(yōu)先級(jí) 34圖4.3—對(duì)應(yīng)到威脅環(huán)境設(shè)計(jì)因素的治理和管理目標(biāo)優(yōu)先級(jí) 36圖4.4—對(duì)應(yīng)到合規(guī)性要求設(shè)計(jì)因素的治理和管理目標(biāo)優(yōu)先級(jí) 37圖4.5—對(duì)應(yīng)到IT角色設(shè)計(jì)因素的治理和管理目標(biāo)優(yōu)先級(jí) 37圖4.6—對(duì)應(yīng)到IT采購模式設(shè)計(jì)因素的治理和管理目標(biāo)優(yōu)先級(jí) 38圖4.7—對(duì)應(yīng)到IT實(shí)施方法設(shè)計(jì)因素的治理和管理目標(biāo)優(yōu)先級(jí) 38圖4.8—對(duì)應(yīng)到技術(shù)采用戰(zhàn)略設(shè)計(jì)因素的治理和管理目標(biāo)優(yōu)先級(jí) 39圖4.9—對(duì)應(yīng)到企業(yè)規(guī)模設(shè)計(jì)因素的治理和管理目標(biāo)優(yōu)先級(jí) 39圖4.10—治理系統(tǒng)設(shè)計(jì)第4步—總結(jié) 40第五章.與《COBIT?2019實(shí)施指南》相關(guān)聯(lián)圖5.1—COBIT實(shí)施路線圖 44圖5.2—《COBIT設(shè)計(jì)指南》與《COBIT實(shí)施指南》的關(guān)聯(lián)點(diǎn) 46第II部分.執(zhí)行和示例第七章.示例圖7.1—示例1，第1.1步：企業(yè)戰(zhàn)略 65圖7.2—示例1，第1.2步：企業(yè)目標(biāo) 66圖7.3—示例1，第1.3步：風(fēng)險(xiǎn)概況 67圖7.4—示例1，第1.4步：I&T相關(guān)問題 68圖7.5—示例1，第2.1步：企業(yè)戰(zhàn)略 69圖7.6—示例1，第2.1步：針對(duì)設(shè)計(jì)因素1企業(yè)戰(zhàn)略獲得治理/管理目標(biāo)的重要性 70圖7.7—示例1，第2.2步：企業(yè)目標(biāo) 71圖7.8—示例1，第2.2步：針對(duì)設(shè)計(jì)因素2企業(yè)目標(biāo)獲得治理/管理目標(biāo)的重要性 72圖7.9—示例1，第2.3步：風(fēng)險(xiǎn)概況 73圖7.10—示例1，第2.3步：針對(duì)設(shè)計(jì)因素3風(fēng)險(xiǎn)概況獲得治理/管理目標(biāo)的重要性 74圖7.11—示例1，第2.4步：I&T相關(guān)問題 75COBIT?2019設(shè)計(jì)指南圖7.12—示例1，第2.4步：針對(duì)設(shè)計(jì)因素4I&T相關(guān)問題獲得治理/管理目標(biāo)的重要性 76圖7.13—示例1，第2.5步：治理和管理目標(biāo)重要性的初步設(shè)計(jì)摘要 77圖7.14—示例1治理系統(tǒng)的定制版 78圖7.15—示例1，第3.1步：威脅環(huán)境 80圖7.16—示例1，第3.1步：針對(duì)設(shè)計(jì)因素5威脅環(huán)境獲得治理/管理目標(biāo)的重要性 80圖7.17—示例1，第3.2步：合規(guī)性要求 81圖7.18—示例1，第3.2步：針對(duì)設(shè)計(jì)因素6合規(guī)性要求獲得治理/管理目標(biāo)的重要性 82圖7.19—示例1，第3.3步：IT角色 82圖7.20—示例1，第3.3步：針對(duì)設(shè)計(jì)因素7IT角色獲得治理/管理目標(biāo)的重要性 83圖7.21—示例1，第3.4步：IT采購模式 84圖7.22—示例1，第3.4步：針對(duì)設(shè)計(jì)因素8IT采購模式獲得治理/管理目標(biāo)的重要性 84圖7.23—示例1，第3.5步：IT實(shí)施方法 85圖7.24—示例1，第3.5步：針對(duì)設(shè)計(jì)因素9IT實(shí)施方法獲得治理/管理目標(biāo)的重要性 85圖7.25—示例1，第3.6步：技術(shù)采用戰(zhàn)略 86圖7.26—示例1，第3.6步：針對(duì)設(shè)計(jì)因素10技術(shù)采用戰(zhàn)略獲得治理/管理目標(biāo)的重要性 86圖7.27—示例1，第4步：治理和管理目標(biāo)的重要性（所有設(shè)計(jì)因素） 87圖7.28—示例1：治理和管理目標(biāo)以及目標(biāo)流程能力級(jí)別 88圖7.29—示例2，第1.1步：企業(yè)戰(zhàn)略 90圖7.30—示例2，第1.2步：企業(yè)目標(biāo) 91圖7.31—示例2，第1.3步：風(fēng)險(xiǎn)概況 92圖7.32—示例2，第1.4步：I&T相關(guān)問題 93圖7.33—示例2，第2.1步：企業(yè)戰(zhàn)略 94圖7.34—示例2，第2.1步：針對(duì)設(shè)計(jì)因素1企業(yè)戰(zhàn)略獲得治理/管理目標(biāo)的重要性 95圖7.35—示例2，第2.2步：企業(yè)目標(biāo) 96圖7.36—示例2，第2.2步：針對(duì)設(shè)計(jì)因素2企業(yè)目標(biāo)獲得治理/管理目標(biāo)的重要性 97圖7.37—示例2，第2.3步：風(fēng)險(xiǎn)概況 98圖7.38—示例2，第2.3步：針對(duì)設(shè)計(jì)因素3風(fēng)險(xiǎn)概況獲得治理/管理目標(biāo)的重要性 99圖7.39—示例2，第2.4步：I&T相關(guān)問題 100圖7.40—示例2，第2.4步：針對(duì)設(shè)計(jì)因素4I&T相關(guān)問題獲得治理/管理目標(biāo)的重要性 101圖7.41—示例2，第2.5步：治理和管理目標(biāo)重要性的初步設(shè)計(jì)摘要 102圖7.42—適用于示例2的治理系統(tǒng)范圍優(yōu)化表 103圖7.43—示例2，第3.1步：威脅環(huán)境 105圖7.44—示例2，第3.1步：針對(duì)設(shè)計(jì)因素5威脅環(huán)境獲得治理/管理目標(biāo)的重要性 105圖7.45—示例2，第3.2步：合規(guī)性要求 107圖7.46—示例2，第3.2步：針對(duì)設(shè)計(jì)因素6合規(guī)性要求獲得治理/管理目標(biāo)的重要性 107圖7.47—示例2，第3.3步：IT角色 108圖7.48—示例2，第3.3步：針對(duì)設(shè)計(jì)因素7IT角色獲得治理/管理目標(biāo)的重要性 108圖7.49—示例2，第3.4步：IT采購模式 109圖7.50—示例2，第3.4步：針對(duì)設(shè)計(jì)因素8IT采購模式獲得治理/管理目標(biāo)的重要性 圖7.51—示例2，第3.5步：IT實(shí)施方法 圖7.52—示例2，第3.5步：針對(duì)設(shè)計(jì)因素9IT實(shí)施方法獲得治理/管理目標(biāo)的重要性 圖7.53—示例2，第3.6步：技術(shù)采用戰(zhàn)略 圖7.54—示例2，第3.6步：針對(duì)設(shè)計(jì)因素10技術(shù)采用戰(zhàn)略獲得治理/管理目標(biāo)的重要性 圖7.55—示例2，第4.1步：治理和管理目標(biāo)的重要性（所有設(shè)計(jì)因素） 圖7.56—示例2治理和管理目標(biāo)以及目標(biāo)流程能力級(jí)別 圖7.57—示例3，第1.1步：企業(yè)戰(zhàn)略 圖7.58—示例3，第1.2步：企業(yè)目標(biāo) 圖7.59—示例3，第1.3步：風(fēng)險(xiǎn)概況 圖7.60—示例3，第1.4步：I&T相關(guān)問題 圖7.61—示例3，第2.1步：企業(yè)戰(zhàn)略 120圖7.62—示例3，第2.1步：針對(duì)設(shè)計(jì)因素1企業(yè)戰(zhàn)略獲得治理/管理目標(biāo)的重要性 121圖7.63—示例3，第2.2步：企業(yè)目標(biāo) 122圖7.64—示例3，第2.2步：針對(duì)設(shè)計(jì)因素2企業(yè)目標(biāo)獲得治理/管理目標(biāo)的重要性 123圖7.65—示例3，第2.3步：風(fēng)險(xiǎn)概況 124圖7.66—示例3，第2.3步：針對(duì)設(shè)計(jì)因素3風(fēng)險(xiǎn)概況獲得治理/管理目標(biāo)的重要性 125 圖7.67—示例3，第2.4步：I&T相關(guān)問題 126圖7.68—示例3，第2.4步：針對(duì)設(shè)計(jì)因素4I&T相關(guān)問題獲得治理/管理目標(biāo)的重要性 127圖7.69—示例3，第2.5步：治理和管理目標(biāo)重要性的初步設(shè)計(jì)摘要 128圖7.70—適用于示例3的治理系統(tǒng)范圍優(yōu)化表 129圖7.71—示例3，第4步：治理和管理目標(biāo)的重要性（所有設(shè)計(jì)因素） 130圖7.72—示例3：治理和管理目標(biāo)以及目標(biāo)流程能力級(jí)別 131圖7.73—示例3，第4步：組織結(jié)構(gòu) 133附錄圖A.1—企業(yè)戰(zhàn)略與治理和管理目標(biāo)的對(duì)應(yīng)關(guān)系 135圖A.2—企業(yè)目標(biāo)與一致性目標(biāo)的對(duì)應(yīng)關(guān)系 137圖A.3—一致性目標(biāo)與治理和管理目標(biāo)的對(duì)應(yīng)關(guān)系 138圖A.4—IT風(fēng)險(xiǎn)與治理和管理目標(biāo)的對(duì)應(yīng)關(guān)系 139圖A.5—I&T相關(guān)問題與治理和管理目標(biāo)的對(duì)應(yīng)關(guān)系 141圖A.6—威脅環(huán)境與治理和管理目標(biāo)的對(duì)應(yīng)關(guān)系 143圖A.7—合規(guī)性要求與治理和管理目標(biāo)的對(duì)應(yīng)關(guān)系 144圖A.8—IT角色與治理和管理目標(biāo)的對(duì)應(yīng)關(guān)系 145圖A.9—IT采購模式與治理和管理目標(biāo)的對(duì)應(yīng)關(guān)系 146圖A.10—IT實(shí)施方法與治理和管理目標(biāo)的對(duì)應(yīng)關(guān)系 147圖A.11—技術(shù)采用戰(zhàn)略與治理和管理目標(biāo)的對(duì)應(yīng)關(guān)系 148 設(shè)計(jì)流程第一章介紹和用途造價(jià)值的起點(diǎn)。這適用于各種類型和規(guī)模的企業(yè)。I&T等復(fù)雜領(lǐng)域的治理需要多個(gè)組件，包括流程構(gòu)、信息流和行為。所有這些要素必須系統(tǒng)地協(xié)調(diào)運(yùn)作；因此，本書所描述的治理解不存在放之四海而皆準(zhǔn)的唯一企業(yè)I&T治理系統(tǒng)。每個(gè)企業(yè)有自身的特點(diǎn)和情況，在企業(yè)規(guī)模、行業(yè)領(lǐng)域、監(jiān)管環(huán)境、威脅形勢(shì)、IT在組織中的角色以及與戰(zhàn)略性技術(shù)相關(guān)的選擇等關(guān)鍵方面，不同組織都會(huì)存在差異。所有這些方面（在COBIT?中統(tǒng)稱為“設(shè)計(jì)因素”）都要求組織定制治理系統(tǒng)，以實(shí)現(xiàn)I&T使用定制意味著企業(yè)應(yīng)從COBIT?核心模型開始，并根據(jù)一系列設(shè)計(jì)因素的相關(guān)性和重要性對(duì)通用框架進(jìn)行改1.2本書的結(jié)構(gòu)l第4章是本書的核心，介紹了基于潛在設(shè)計(jì)因素情況下，設(shè)計(jì)企業(yè)治理解決方案的工作流程。此工作流程COBIT?2019設(shè)計(jì)指南1.3本書的目標(biāo)受眾本書目標(biāo)受眾包括I&T治理方面的眾多直接利益相關(guān)方：董事會(huì)成員、執(zhí)行管理層或高級(jí)管理層，以及企I&T治理的間接利益相關(guān)方包括客戶、用戶和公民；盡管他們當(dāng)中很少有人會(huì)參考本書，但卻是企業(yè)實(shí)現(xiàn)良要從本指南中獲益，需要一定的經(jīng)驗(yàn)水平并對(duì)企業(yè)有深入的了解。用戶只1.4相關(guān)指南：《COBIT?2019實(shí)施指南》《COBIT?2019實(shí)施指南》與本書相關(guān)。它描述了持續(xù)基本概念：治理系統(tǒng)及組件第二章基本概念：治理系統(tǒng)及組件2.1引言圖2.1—COBIT概述治理和管理目標(biāo)的參考模型標(biāo)準(zhǔn)、框架和法規(guī)社區(qū)貢獻(xiàn)社區(qū)貢獻(xiàn)COBIT?2019基于COBIT?5和其他權(quán)威資料。COB簡(jiǎn)介和方法》第10章列出了這些標(biāo)準(zhǔn)。對(duì)相關(guān)標(biāo)準(zhǔn)以及COBIT與這些標(biāo)準(zhǔn)的一致性進(jìn)行的分析，奠定了未來，COBIT呼吁用戶社區(qū)提供更新建議，并持續(xù)采納和管理這些建議，使COBIT與最新的行業(yè)見解和發(fā)l《COBIT?2019框架：治理和管理目標(biāo)》全面介紹了40個(gè)核心治理和管理目標(biāo)，以及其中包含的流程和l《COBIT?2019設(shè)計(jì)指南：信息和技術(shù)治理解決方案的設(shè)計(jì)》探討了可能影響治理的設(shè)COBIT?2019設(shè)計(jì)指南l《COBIT?2019實(shí)施指南：信息和技術(shù)治理解決方案的實(shí)施和優(yōu)化》是《COBIT?5實(shí)施指南》的演進(jìn)圖2.1中標(biāo)識(shí)為焦點(diǎn)領(lǐng)域的內(nèi)容包含對(duì)特定主題的更詳細(xì)指導(dǎo)。目前正在準(zhǔn)備其中多個(gè)焦點(diǎn)領(lǐng)域的內(nèi)容指南，其余焦點(diǎn)領(lǐng)域也已納入計(jì)劃。這些焦點(diǎn)領(lǐng)域的指南是開放式的，將會(huì)不斷完善本節(jié)其余部分根據(jù)COBIT框架出版物中的定義，描述了COBIT?2019的基本概念。設(shè)計(jì)因素、焦點(diǎn)領(lǐng)域和變體的概念將用于設(shè)計(jì)量身定制的企業(yè)I&T治理系統(tǒng)。基于COBIT的定制治理系統(tǒng)應(yīng)采用COBIT的通用內(nèi)容，并根據(jù)企業(yè)自身的環(huán)境和設(shè)計(jì)因素值，為治理和管理組件分配特定的優(yōu)先級(jí)和目2.2治理和管理目標(biāo)要通過信息和技術(shù)促進(jìn)實(shí)現(xiàn)企業(yè)目標(biāo)，應(yīng)達(dá)到一系列的治理和管理目標(biāo)。有關(guān)治理和管理目標(biāo)的基本概念l治理或管理目標(biāo)總會(huì)涉及一個(gè)流程（具有相同或相似的名稱）和一系列其他類型的相關(guān)組l治理目標(biāo)與治理流程（如圖2.2中深藍(lán)色背景所示）有關(guān)，而管理目標(biāo)與管理流程（如圖2.2中淺藍(lán)色背景所示）有關(guān)。治理流程通常由董事會(huì)和執(zhí)行管理層負(fù)責(zé)，而管理流程則在高級(jí)和中級(jí)管理層的職責(zé)范基本概念：治理系統(tǒng)及組件圖2.2—COBIT核心模型治理框架的設(shè)治理框架的設(shè)置和維護(hù)實(shí)現(xiàn)效益風(fēng)險(xiǎn)優(yōu)化資源優(yōu)化利益相關(guān)方參與管理的績(jī)效和一致性監(jiān)控管理的內(nèi)部控制系統(tǒng)管理的外部要求合規(guī)性管理的鑒證管理的I&T管理框架管理的I&T管理框架管理的戰(zhàn)略管理的企業(yè)架構(gòu)管理的創(chuàng)新管理的預(yù)算和成本管理的人力資源管理的關(guān)系管理的服務(wù)協(xié)議管理的供應(yīng)商管理的質(zhì)量管理的安全管理的數(shù)據(jù)管理的組合管理的風(fēng)險(xiǎn)管理的計(jì)劃管理的計(jì)劃管理的需求定義管理的解決方案識(shí)別和構(gòu)建管理的組織變更管理的IT變更管理的IT變更接受和交接管理的知識(shí)管理的資產(chǎn)管理的配置管理的可用性和容量管理的項(xiàng)目管理的運(yùn)營(yíng)管理的運(yùn)營(yíng)管理的服務(wù)請(qǐng)求和事故管理的問題管理的連續(xù)性管理的業(yè)務(wù)流程控制管理的安全服務(wù)COBIT中的治理和管理目標(biāo)分為五個(gè)領(lǐng)域。這些領(lǐng)域的名稱包含動(dòng)詞，傳達(dá)了主要目的及目標(biāo)涵蓋的活動(dòng)l治理目標(biāo)被列入評(píng)估、指導(dǎo)和監(jiān)控(EDM)領(lǐng)域。在這個(gè)領(lǐng)域，治理機(jī)構(gòu)將評(píng)估戰(zhàn)略方案、指導(dǎo)高級(jí)管理n監(jiān)控、評(píng)價(jià)和評(píng)估(MEA)針對(duì)I&T的性能監(jiān)控及其與內(nèi)部性能目標(biāo)、內(nèi)部控制目標(biāo)和外部要求的一致COBIT?2019設(shè)計(jì)指南2.3治理系統(tǒng)的組件l組件可以是不同類型的。最熟悉的組件是流程。但是，治理系統(tǒng)的組件也包括組織結(jié)構(gòu)、政策和程序、信nCOBIT核心模型（請(qǐng)參閱圖2.2）描述了通用組件，原則上可以應(yīng)用于任何情況。但是，它們本質(zhì)上雖n變體基于通用組件，但針對(duì)特定目的或焦點(diǎn)領(lǐng)域內(nèi)的環(huán)境（如信息安全、DevOps或特定法規(guī)）進(jìn)行了2.4焦點(diǎn)領(lǐng)域焦點(diǎn)領(lǐng)域描述了一個(gè)特定的治理主題、領(lǐng)域或問題，可以通過一系列治理和管理目標(biāo)及其領(lǐng)域的例子包括：中小型企業(yè)、網(wǎng)絡(luò)安全、數(shù)字化轉(zhuǎn)型、云計(jì)算、隱私和DevOps。1焦點(diǎn)領(lǐng)域可能包含通COBIT作為開放式標(biāo)準(zhǔn)，其焦點(diǎn)領(lǐng)域的數(shù)量幾乎沒有限制?？筛鶕?jù)需要添加新的焦點(diǎn)領(lǐng)域，或由主題專家2.5能力級(jí)別COBIT?2019支持基于能力成熟度模型集成(CMMI?)的流程能力方案。每個(gè)治理和管理目標(biāo)內(nèi)的流程可在0到5之間的不同能力級(jí)別下運(yùn)行。能力級(jí)別用于衡量流程的實(shí)施和執(zhí)行情況。圖2.3描述了模型、遞增的1DevOps是組件變體和焦點(diǎn)領(lǐng)域的例證。為什么？DevOps是市場(chǎng)中的最新主題，而且非常需要具體指導(dǎo)，因而成為一個(gè)焦點(diǎn)領(lǐng)域。DevOps21基本概念：治理系統(tǒng)及組件圖2.3—流程的能力級(jí)別 55流程達(dá)到其目的，定義明確，流程績(jī)效得到衡量以實(shí)現(xiàn)改進(jìn)，并尋求持續(xù)流程達(dá)到其目的，定義明確，并且績(jī)效得到衡量33流程運(yùn)用組織資產(chǎn)，以更有條理的方式達(dá)到其目的。流程通常定義2211流程通過應(yīng)用一組不完整的活動(dòng)大體達(dá)到其COBIT核心模型為所有流程活動(dòng)分配能力級(jí)別，從而對(duì)不同流程的能力級(jí)別有明確定義。本指南中有時(shí)會(huì)2.6設(shè)計(jì)因素設(shè)計(jì)因素可能影響企業(yè)治理系統(tǒng)的設(shè)計(jì)，為成功使用I&T奠定基礎(chǔ)。下面列出了設(shè)計(jì)因素，第3章闡述了COBIT?2019設(shè)計(jì)指南圖2.4—COBIT設(shè)計(jì)因素1.企業(yè)戰(zhàn)略—企業(yè)可以有不同的戰(zhàn)略，這些戰(zhàn)略可以用圖2.5所示的一種或多種原型來表示。組織通常有圖2.5—企業(yè)戰(zhàn)略設(shè)計(jì)因素成長(zhǎng)/收購企業(yè)專注于成長(zhǎng)（收入）2創(chuàng)新/差異化企業(yè)專注于為客戶提供不同的創(chuàng)新產(chǎn)品和服務(wù)3企業(yè)專注于短期的成本最小化4客戶服務(wù)/穩(wěn)定性企業(yè)專注于提供穩(wěn)定、面向客戶的服務(wù)5圖2.6—企業(yè)目標(biāo)設(shè)計(jì)因素andReactor”，Elibrary，/3737/management/miles_snows_typology_defender_pro/2012/094與成本領(lǐng)導(dǎo)相對(duì)應(yīng)；請(qǐng)參閱UniversityofCambridge，“Porter’sGenericCompetitiveStrategies(waysManufacturing(IfM)ManagementTechnologyPolicy，https://www.ifm.eng.cam.ac.也與卓越運(yùn)營(yíng)相對(duì)應(yīng)；請(qǐng)參閱Treac與Miles-Snow戰(zhàn)略類型學(xué)中的“防御者”(defender)相對(duì)應(yīng)。請(qǐng)參閱前述著作“MilesandSn23基本概念：治理系統(tǒng)及組件圖2.6—企業(yè)目標(biāo)設(shè)計(jì)因素（續(xù)）圖2.7—風(fēng)險(xiǎn)概況設(shè)計(jì)因素（IT風(fēng)險(xiǎn)類別）1IT投資決策制定、投資2A.高級(jí)管理層未能終止（由于成本激增、過度延遲、范圍偏離、業(yè)務(wù)優(yōu)先級(jí)變更）失E.第三方外包商未能按照合同協(xié)議交付項(xiàng)目（超出預(yù)算、質(zhì)量問題、功能缺失、延遲346修訂自ISACA，TheRiskITPractitionerGuide，美國(guó)，2009年COBIT?2019設(shè)計(jì)指南圖2.7—風(fēng)險(xiǎn)概況設(shè)計(jì)因素（IT風(fēng)險(xiǎn)類別）（續(xù)）5企業(yè)/IT架構(gòu)C.未及時(shí)采用和利用新軟件（功能、優(yōu)6J.丟失備份介質(zhì)或未檢查備份的有效性78軟件采用/使用問題9E.過熱和/或其他環(huán)境條件（如濕度）導(dǎo)致硬件故障10E.應(yīng)用程序軟件已過時(shí)（如過期、文檔記錄不合格、維護(hù)成本高、難以擴(kuò)展、未集成25 基本概念：治理系統(tǒng)及組件圖2.7—風(fēng)險(xiǎn)概況設(shè)計(jì)因素（IT風(fēng)險(xiǎn)類別）（續(xù)）11邏輯攻擊（黑客攻擊、12第三方/供應(yīng)商事故A.外包商在大規(guī)模的長(zhǎng)期外包安排中績(jī)效欠佳（例如，沒有對(duì)供應(yīng)商進(jìn)行財(cái)務(wù)能力、131415161718COBIT?2019設(shè)計(jì)指南圖2.7—風(fēng)險(xiǎn)概況設(shè)計(jì)因素（IT風(fēng)險(xiǎn)類別）（續(xù)）19A.信息保留/歸檔/處置的效率不高，導(dǎo)致未經(jīng)授權(quán)人員發(fā)現(xiàn)敏感信息4.I&T相關(guān)問題—評(píng)估企業(yè)I&T風(fēng)險(xiǎn)的一個(gè)相關(guān)方法是考慮企業(yè)當(dāng)前面臨哪些I&T相關(guān)問題，換句話圖2.8—I&T相關(guān)問題設(shè)計(jì)因素ABCDEFGHIJKLMNO業(yè)務(wù)和技術(shù)知識(shí)之間的差距導(dǎo)致業(yè)務(wù)用戶與PQ大量的最終用戶計(jì)算導(dǎo)致對(duì)處于開發(fā)階段和已投入運(yùn)行的應(yīng)用程序缺乏監(jiān)督、質(zhì)量RS忽視和/或違反安全和隱私法規(guī)T圖2.9—威脅環(huán)境設(shè)計(jì)因素高27基本概念：治理系統(tǒng)及組件圖2.10—合規(guī)性要求設(shè)計(jì)因素圖2.11—IT角色設(shè)計(jì)因素9IT被視為業(yè)務(wù)流程和服務(wù)的創(chuàng)新驅(qū)動(dòng)力。但目前，業(yè)務(wù)流程和服務(wù)的運(yùn)行和連續(xù)性對(duì)圖2.12—IT采購模式設(shè)計(jì)因素云圖2.13—IT實(shí)施方法設(shè)計(jì)因素DevOps企業(yè)使用DevOps工作方法進(jìn)行軟件），9此表包含的角色摘自McFarlan,F.Warren；JamesL.McKenney；PhilipPyburn；COBIT?2019設(shè)計(jì)指南圖2.14—技術(shù)采用戰(zhàn)略設(shè)計(jì)因素圖2.15—企業(yè)規(guī)模設(shè)計(jì)因素?fù)碛?0-250名全職員工的企業(yè)每個(gè)行業(yè)在I&T使用的期望方面都有自己獨(dú)特的要求。但是，通過結(jié)合上述表中列出的設(shè)計(jì)因素，可以捕l金融行業(yè)的特點(diǎn)如下：IT受到嚴(yán)格監(jiān)管且發(fā)揮戰(zhàn)略性作用，IT組織通常由大型企業(yè)組成，并且在高威脅l如醫(yī)院等醫(yī)療服務(wù)提供者通常尋求將客戶服務(wù)/穩(wěn)定性和創(chuàng)新戰(zhàn)略相結(jié)合，他們受到嚴(yán)格監(jiān)管，面臨很多特定風(fēng)險(xiǎn)領(lǐng)域（安全、安保、隱私、連續(xù)性等在中度但不斷加劇的威脅環(huán)境中運(yùn)營(yíng)，并且在戰(zhàn)略上越l公共機(jī)構(gòu)通常是大型組織，采用客戶服務(wù)和成本領(lǐng)導(dǎo)戰(zhàn)略。他們面臨中等至較高的風(fēng)險(xiǎn)概況，并且因其特29 設(shè)計(jì)因素的影響第三章設(shè)計(jì)因素的影響3.1設(shè)計(jì)因素的影響設(shè)計(jì)因素對(duì)定制企業(yè)治理系統(tǒng)產(chǎn)生的影響體現(xiàn)在多個(gè)方面。本書將這些影響劃分為三種不同的類型，圖3.1—設(shè)計(jì)因素對(duì)治理系統(tǒng)的影響優(yōu)先級(jí)和設(shè)計(jì)因素設(shè)計(jì)因素1.管理目標(biāo)優(yōu)先級(jí)/選擇—COBIT核心模型包含40個(gè)治理和管理目標(biāo)，每個(gè)目標(biāo)由相應(yīng)的流程和相關(guān)組件構(gòu)成。它們本質(zhì)上是對(duì)等的，沒有先后順序。但是，設(shè)計(jì)因素可以影響這種對(duì)等關(guān)系，使某些治理和管理目標(biāo)比其他目標(biāo)更重要，甚至使某些治理和管理目標(biāo)變得可忽略不計(jì)。在實(shí)踐中，治理和管理目標(biāo)COBIT?2019設(shè)計(jì)指南妥當(dāng)妥當(dāng)管理妥妥當(dāng)管妥當(dāng)妥當(dāng)管理妥妥當(dāng)管妥當(dāng)管理的解決方案識(shí)別和構(gòu)示例：如果一家企業(yè)從企業(yè)目標(biāo)列表中確定了相關(guān)度最高的企業(yè)目標(biāo)并應(yīng)用目標(biāo)級(jí)的管理目標(biāo)。例如，如果企業(yè)高度重視“EG01有競(jìng)爭(zhēng)力的產(chǎn)品和服務(wù)的組合”，則管理目標(biāo)“APO05示例：對(duì)風(fēng)險(xiǎn)極度敏感的企業(yè)會(huì)更加重視可促進(jìn)治理及管理風(fēng)險(xiǎn)和安全的管理目標(biāo)。治理和管理目標(biāo)“EDM03確保風(fēng)險(xiǎn)優(yōu)化”、“APO12妥示例：在高威脅環(huán)境中運(yùn)營(yíng)的企業(yè)需要高能力的安全相關(guān)流程：“APO13妥當(dāng)管理的安全”和“DSS05示例：如果IT角色對(duì)業(yè)務(wù)成功具有戰(zhàn)略性和關(guān)鍵性的作用，則企業(yè)需要組織結(jié)構(gòu)中IT相關(guān)角色的高度參與，IT專業(yè)人員對(duì)業(yè)務(wù)具有透徹的了解（反之亦然及對(duì)“APO02妥當(dāng)管理的戰(zhàn)略”和“APO082.組件變體：實(shí)現(xiàn)治理和管理目標(biāo)需要多個(gè)組件。設(shè)計(jì)因素可以要求特定的組件變體，也可以影響組件的示例：中小型企業(yè)可能不需要COBIT核心模型中列出的全套角色和組織結(jié)構(gòu)，而使用簡(jiǎn)化版本作為替代。示例：在受到嚴(yán)格監(jiān)管的環(huán)境中運(yùn)營(yíng)的企業(yè)示例：使用DevOps進(jìn)行解決方案開發(fā)和運(yùn)營(yíng)的企業(yè)需要側(cè)重于有關(guān)“BAI033.對(duì)特定焦點(diǎn)領(lǐng)域的指導(dǎo)需求—一些設(shè)計(jì)因素（如威脅環(huán)境、特定風(fēng)險(xiǎn)、目標(biāo)開發(fā)方法和基礎(chǔ)設(shè)施設(shè)示例：示例：采用DevOps方法的企業(yè)需要在治理系統(tǒng)中包含COBIT的DevOps焦點(diǎn)領(lǐng)域指南中所述的若干通用示例：中小型企業(yè)的員工較少、IT資源較少，匯報(bào)關(guān)系簡(jiǎn)單直接，與大型企業(yè)存在多方面的差異。因此，11《COBIT?2019設(shè)計(jì)指南12《COBIT?2019設(shè)計(jì)指南：信息和13《COBIT?2019設(shè)計(jì)指南：信31設(shè)計(jì)量身定制的治理系統(tǒng)第四章設(shè)計(jì)量身定制的治理系統(tǒng)4.1引言圖4.1—治理系統(tǒng)設(shè)計(jì)工作流程如圖4.1所示，在設(shè)計(jì)流程的不同階段和步驟中，會(huì)提出如下建議，包括實(shí)現(xiàn)治理和管理目標(biāo)或?qū)嵤┫嚓P(guān)治其中一些步驟或子步驟可能會(huì)產(chǎn)生相互沖突的指導(dǎo)意見，考慮到存在大量設(shè)計(jì)因建議在設(shè)計(jì)流程的最后階段，將在不同步驟中獲得的所有指導(dǎo)意見排列在設(shè)計(jì)“畫板”上，盡可能地解決“畫板”上所有要素之間的沖突，并得出最終結(jié)論。這一過程沒有萬能秘方。最終設(shè)計(jì)將是基于設(shè)計(jì)“畫注注1：在開始治理系統(tǒng)的設(shè)計(jì)工作之前，應(yīng)明確適用范圍，這一點(diǎn)很重要。例如，設(shè)計(jì)治理系統(tǒng)面向的是某個(gè)業(yè)務(wù)部門、整個(gè)企業(yè)還是不同企業(yè)形成的網(wǎng)注2：本書提出的工作流程包含四個(gè)步驟。每個(gè)步驟中的子步驟并不是強(qiáng)制性的。例如，企業(yè)可以決定設(shè)計(jì)一個(gè)治理系統(tǒng)，以（僅）解決特定的戰(zhàn)略選擇或（僅）解決某些IT風(fēng)險(xiǎn)領(lǐng)域，而無需完成工作流程的14了解這一范圍完全符合遞歸的系統(tǒng)設(shè)計(jì)思維，即“任Huygh,T.；S.DeHaes；“UsingtheViableSystemModeltoStudyITGovernanceDCOBIT?2019設(shè)計(jì)指南4.2第1步：了解企業(yè)環(huán)境和戰(zhàn)略4.2.1了解企業(yè)戰(zhàn)略最好的做法通常是確定一個(gè)主要原型并選擇一個(gè)備用原型。當(dāng)企業(yè)戰(zhàn)略被定義為同等重要的戰(zhàn)略原型組合4.2.2了解企業(yè)目標(biāo)企業(yè)戰(zhàn)略需要通過達(dá)成（一組）企業(yè)目標(biāo)來實(shí)現(xiàn)。COBIT為了將企業(yè)目標(biāo)轉(zhuǎn)化為治理和管理目標(biāo)重要性的相對(duì)評(píng)級(jí)（參見第4.3.3節(jié)的目標(biāo)級(jí)聯(lián)應(yīng)明確選擇企業(yè)目標(biāo)。建議僅確定幾個(gè)主要企業(yè)目標(biāo)和若干個(gè)次要企業(yè)目標(biāo)。當(dāng)所有企業(yè)目標(biāo)都有相4.2.3了解風(fēng)險(xiǎn)概況治理系統(tǒng)設(shè)計(jì)的另一個(gè)重要輸入是了解企業(yè)的風(fēng)險(xiǎn)概況，即了解哪些風(fēng)險(xiǎn)場(chǎng)景可能會(huì)33 設(shè)計(jì)量身定制的治理系統(tǒng)當(dāng)所有IT風(fēng)險(xiǎn)都被評(píng)定為同等重要時(shí)，COBIT核心模型的治理和管理目標(biāo)往往變得幾乎同等重要，從而使4.2.4了解當(dāng)前的I&T相關(guān)問題與IT風(fēng)險(xiǎn)密切相關(guān)的是企業(yè)當(dāng)前面臨的I&T相關(guān)問題，也稱為痛點(diǎn)（可視為已發(fā)生的風(fēng)險(xiǎn)）。風(fēng)險(xiǎn)管理部門、審計(jì)部門、高級(jí)管理層或外部利益相關(guān)方可識(shí)別或報(bào)告IT問題。本書第2.5節(jié)第4項(xiàng)定義了一系列常當(dāng)所有IT問題都評(píng)為同等嚴(yán)重時(shí)，COBIT核心模型的治理和管理目標(biāo)往往變得幾乎同等重要，從而使優(yōu)先4.2.5總結(jié)第1步結(jié)束時(shí)，企業(yè)將對(duì)企業(yè)戰(zhàn)略、企業(yè)目標(biāo)、IT風(fēng)險(xiǎn)和當(dāng)前的I&T問題形成清晰一致的看法。接下來），4.3第2步：確定治理系統(tǒng)的初步范圍4.3.1將設(shè)計(jì)因素轉(zhuǎn)化為治理和管理優(yōu)先級(jí)定性方法考慮與每個(gè)設(shè)計(jì)因素的值相關(guān)度最高的治理和管理目標(biāo)。在初步設(shè)計(jì)并設(shè)計(jì)優(yōu)化步驟（后者參見定量方法涉及為每個(gè)設(shè)計(jì)因素創(chuàng)建的數(shù)值對(duì)應(yīng)關(guān)系表。這些對(duì)應(yīng)關(guān)系表量COBIT?2019設(shè)計(jì)指南4.3.2思考企業(yè)戰(zhàn)略（設(shè)計(jì)因素1）圖4.2列出了對(duì)每個(gè)企業(yè)戰(zhàn)略原型而言最重要的治理和管理目標(biāo)、重要的治理組件以及相關(guān)的焦點(diǎn)領(lǐng)域指圖4.2—對(duì)應(yīng)到企業(yè)戰(zhàn)略設(shè)計(jì)因素的治理和管理目標(biāo)優(yōu)先級(jí)成長(zhǎng)/收購創(chuàng)新/差異化n首席數(shù)字官和/或首席創(chuàng)新官客戶服務(wù)/穩(wěn)定性lDSS02、DSS03、DSS044.3.3思考企業(yè)目標(biāo)并運(yùn)用COBIT目標(biāo)級(jí)聯(lián)（設(shè)計(jì)因素2）1.從通用企業(yè)目標(biāo)開始，確定對(duì)組織而言最重要的目標(biāo)。再從中選擇三到五項(xiàng)優(yōu)先級(jí)最高的企業(yè)目標(biāo)；如2.在企業(yè)目標(biāo)和一致性目標(biāo)之間的對(duì)應(yīng)關(guān)系表中找到優(yōu)先的企業(yè)目標(biāo)（附錄B）。使用對(duì)應(yīng)關(guān)系表確定最3.在一致性目標(biāo)與治理和管理目標(biāo)之間的對(duì)應(yīng)關(guān)系表中找到優(yōu)先的一致性目標(biāo)（附錄C）。使用對(duì)應(yīng)關(guān)系35了解風(fēng)險(xiǎn)概況”）中，企業(yè)進(jìn)行了整體風(fēng)險(xiǎn)分析，以識(shí)語言）實(shí)現(xiàn)治理和管理目標(biāo)。附了解風(fēng)險(xiǎn)概況”）中，企業(yè)進(jìn)行了整體風(fēng)險(xiǎn)分析，以識(shí)語言）實(shí)現(xiàn)治理和管理目標(biāo)。附相關(guān)問題的治理或管理目標(biāo)相關(guān)聯(lián)?？墒褂们懊婷枋龅南嗤夹g(shù)和評(píng)分注：這是使用通用對(duì)應(yīng)關(guān)系表的純機(jī)械性操作。企業(yè)必須謹(jǐn)慎地解釋結(jié)果，或者根據(jù)自身經(jīng)驗(yàn)和4.3.4思考企業(yè)的風(fēng)險(xiǎn)概況（設(shè)計(jì)因素3）的風(fēng)險(xiǎn)類別。在這個(gè)步驟中，風(fēng)險(xiǎn)分析的結(jié)果應(yīng)對(duì)是風(fēng)險(xiǎn)緩釋，它需要（以風(fēng)險(xiǎn)語言）實(shí)施一系列控制，或（以COBIT錄D包含COBIT?2019中19個(gè)IT風(fēng)險(xiǎn)類別與治理和管理目標(biāo)附錄D中的對(duì)應(yīng)關(guān)系表使用前面描述的相同技術(shù)和評(píng)分方法，將企業(yè)的風(fēng)險(xiǎn)概況與治理和管理目標(biāo)及其優(yōu)示例：附錄D說明了如果IT風(fēng)險(xiǎn)場(chǎng)景類別1(RISKCAT01)“IT投資決策制定、投資組合定義和維護(hù)”令4.3.5思考企業(yè)當(dāng)前的I&T相關(guān)問題（設(shè)計(jì)因素4）附錄E包含I&T問題與COBIT?2019治理和管理目標(biāo)之間的對(duì)應(yīng)關(guān)系表。如附錄E所示，每個(gè)I&T相關(guān)問題都與一個(gè)或多個(gè)可能影響I&T示例：如果示例：如果I&T相關(guān)問題“IT促成的變革或項(xiàng)目經(jīng)常無法滿足業(yè)務(wù)需求，并且延遲交付或超過預(yù)算”令16可通過/COBCOBIT?2019設(shè)計(jì)指南4.3.6總結(jié)企業(yè)可以選擇詳細(xì)說明當(dāng)前的初步設(shè)計(jì)，并解決各種輸入之間的所有差異；也可以等到在工作流程第4步4.4第3步：優(yōu)化治理系統(tǒng)的范圍第3步基于第2.6節(jié)定義的其余設(shè)計(jì)因素，確定對(duì)治理系統(tǒng)初步范圍的優(yōu)化。在本章中3.對(duì)于適用的設(shè)計(jì)因素，確定哪些潛在值或潛在值的組合最適用于企業(yè)。參考適用設(shè)計(jì)因素值的描述以及每次考量設(shè)計(jì)因素都會(huì)形成一份治理和管理目標(biāo)的排序表，類似于第2步的結(jié)果。運(yùn)用附錄F至K中的對(duì)4.4.1思考威脅環(huán)境（設(shè)計(jì)因素5）l思考列出的針對(duì)治理和管理目標(biāo)、組件以及焦點(diǎn)領(lǐng)域的指南，并將相關(guān)信息包含在設(shè)計(jì)“畫板”上，用于圖4.3—對(duì)應(yīng)到威脅環(huán)境設(shè)計(jì)因素的治理和管理目標(biāo)優(yōu)先級(jí)高APO13、APO14lDSS02、DSS04、DSS05、DSS信息安全焦點(diǎn)領(lǐng)域17l按照初步范圍定義l不適用17《COBIT?2019設(shè)計(jì)指南：37 設(shè)計(jì)量身定制的治理系統(tǒng)4.4.2思考合規(guī)性要求（設(shè)計(jì)因素6）l思考列出的針對(duì)治理和管理目標(biāo)、組件以及焦點(diǎn)領(lǐng)域的指南，并將相關(guān)信息包含在設(shè)計(jì)“畫板”上，用于圖4.4—對(duì)應(yīng)到合規(guī)性要求設(shè)計(jì)因素的治理和管理目標(biāo)優(yōu)先級(jí)高lAPO12l按照初步范圍定義l不適用低l按照初步范圍定義l不適用4.4.3思考IT角色（設(shè)計(jì)因素7）l思考列出的針對(duì)治理和管理目標(biāo)、組件以及焦點(diǎn)領(lǐng)域的指南，并將相關(guān)信息包含在設(shè)計(jì)“畫板”上，用于圖4.5—對(duì)應(yīng)到IT角色設(shè)計(jì)因素的治理和管理目標(biāo)優(yōu)先級(jí)l按照初步范圍定義l不適用DSS04l不適用信息安全焦點(diǎn)領(lǐng)域18l不適用DevOps焦點(diǎn)領(lǐng)域19APO12、APO13DSS04、DSS05數(shù)字化轉(zhuǎn)型焦點(diǎn)領(lǐng)域2018《COBIT?2019設(shè)計(jì)指19《COBIT?2019設(shè)計(jì)指南：信息和20《COBIT?2019設(shè)計(jì)指南：信息和技術(shù)治理解決方案的設(shè)計(jì)》出COBIT?2019設(shè)計(jì)指南4.4.4思考IT采購模式（設(shè)計(jì)因素8）l思考列出的針對(duì)治理和管理目標(biāo)、組件以及焦點(diǎn)領(lǐng)域的指南，并將相關(guān)信息包含在設(shè)計(jì)“畫板”上，用于圖4.6—對(duì)應(yīng)到IT采購模式設(shè)計(jì)因素的治理和管理目標(biāo)優(yōu)先級(jí)l不適用供應(yīng)商管理焦點(diǎn)領(lǐng)域21云l不適用云焦點(diǎn)領(lǐng)域22l按照初步范圍定義l不適用組合三種特定選項(xiàng)的指南4.4.5思考IT實(shí)施方法（設(shè)計(jì)因素9）l思考列出的針對(duì)治理和管理目標(biāo)、組件以及焦點(diǎn)領(lǐng)域的指南，并將相關(guān)信息包含在設(shè)計(jì)“畫板”上，用于圖4.7—對(duì)應(yīng)到IT實(shí)施方法設(shè)計(jì)因素的治理和管理目標(biāo)優(yōu)先級(jí)敏捷焦點(diǎn)領(lǐng)域23DevOpsDevOps焦點(diǎn)領(lǐng)域24l按照初步范圍定義l不適用組合三種特定選項(xiàng)的指南21《COBIT?2019設(shè)計(jì)指南：信息和技術(shù)治理解決方22《COBIT?2019設(shè)計(jì)指南：信息和技術(shù)治理解23《COBIT?2019設(shè)計(jì)指南：信息24《COBIT?2019設(shè)計(jì)指南：信息和技術(shù)治理解39設(shè)計(jì)量身定制的治理系統(tǒng)4.4.6思考技術(shù)采用戰(zhàn)略（設(shè)計(jì)因素10）l思考列出的針對(duì)治理和管理目標(biāo)、組件以及焦點(diǎn)領(lǐng)域的指南，并將相關(guān)信息包含在設(shè)計(jì)“畫板”上，用于圖4.8—對(duì)應(yīng)到技術(shù)采用戰(zhàn)略設(shè)計(jì)因素的治理和管理目標(biāo)優(yōu)先級(jí)l不適用DevOps焦點(diǎn)領(lǐng)域24數(shù)字化轉(zhuǎn)型焦點(diǎn)領(lǐng)域25l不適用l按照初步范圍定義l不適用4.4.7思考企業(yè)規(guī)模（設(shè)計(jì)因素11）l思考列出的針對(duì)治理和管理目標(biāo)、組件以及焦點(diǎn)領(lǐng)域的指南，并將相關(guān)信息包含在設(shè)計(jì)“畫板”上，用于圖4.9—對(duì)應(yīng)到企業(yè)規(guī)模設(shè)計(jì)因素的治理和管理目標(biāo)優(yōu)先級(jí)l按照初步范圍定義l不適用l按照初步范圍定義l中小型企業(yè)焦點(diǎn)領(lǐng)域的適用描述中小型企業(yè)焦點(diǎn)領(lǐng)域26示例：如果企業(yè)是中小型企業(yè)（示例：如果企業(yè)是中小型企業(yè)（SME，如擁有250名或更少的全職員工[24《COBIT?2019設(shè)計(jì)指南：信息和技術(shù)治25《COBIT?2019設(shè)計(jì)指南：信息和技術(shù)治理解決方案26《COBIT?2019設(shè)計(jì)指南：信息和技COBIT?2019設(shè)計(jì)指南4.4.8總結(jié)4.5第4步：解決沖突并最終確定治理系統(tǒng)的設(shè)計(jì)方案作為設(shè)計(jì)流程的最后一步，第4步整合了前面幾個(gè)步驟的所有輸入，以最終確定治理系統(tǒng)設(shè)計(jì)方案，如圖4.10—治理系統(tǒng)設(shè)計(jì)第4步—總結(jié)4.5.1解決固有的優(yōu)先級(jí)沖突目的41設(shè)計(jì)量身定制的治理系統(tǒng)解決戰(zhàn)略本指南所描述的工作流程可應(yīng)用于不同的情況，需采取不同的戰(zhàn)略來得出最終結(jié)論。簡(jiǎn)示例：如果企業(yè)示例：如果企業(yè)正在進(jìn)行一項(xiàng)重要的舉措（例如，對(duì)企業(yè)應(yīng)用程序、數(shù)字化轉(zhuǎn)型計(jì)劃等進(jìn)行重大投資）或想要專注于某個(gè)具體的主題或問題（例如，解決一個(gè)重要的安全問題、采用DevOps方法、調(diào)整并遵守新的隱私法規(guī)等企業(yè)不需要全部應(yīng)用所提議的工作流程中的所有步驟，而是重點(diǎn)關(guān)注特定的感興趣l在進(jìn)行重要的開發(fā)投資情況下，企業(yè)可以將企業(yè)戰(zhàn)略（設(shè)計(jì)因素1）視為l如果出臺(tái)新的隱私法規(guī)，企業(yè)可專注于與高合規(guī)性要求相對(duì)應(yīng)的治理和管理目標(biāo)（設(shè)計(jì)因素6）。這些目標(biāo)包括EDM01“確保治理框架的設(shè)置和維護(hù)”、EDM03“確保風(fēng)險(xiǎn)優(yōu)化”、APO12“妥當(dāng)管理的風(fēng)險(xiǎn)”、MEA03“妥當(dāng)管理的外部要求合規(guī)性”以及MEA04“妥當(dāng)管理的鑒證”。此外，企業(yè)還需關(guān)注示例：如果企業(yè)希望就其治理系統(tǒng)獲得廣泛、全面和整體的認(rèn)識(shí)，建議在定義治理系統(tǒng)的設(shè)計(jì)時(shí)，企業(yè)應(yīng)審查其治理和管理目標(biāo)，并分析當(dāng)前的績(jī)效水平（之后，在制定實(shí)現(xiàn)目標(biāo)治理系統(tǒng)的路線圖時(shí)，企業(yè)應(yīng)根據(jù)這些評(píng)估結(jié)果，優(yōu)先解決方法沒有普遍適用的準(zhǔn)則可以解決所有企業(yè)環(huán)境中存在的相互競(jìng)爭(zhēng)或沖突的優(yōu)先級(jí)。不過l讓所有關(guān)鍵利益相關(guān)方參與討論治理系統(tǒng)設(shè)計(jì)，包括l考慮COBIT指南的通用性和對(duì)應(yīng)關(guān)系表，它們無法兼顧到每個(gè)企業(yè)的所有具體情況。企業(yè)可以并且應(yīng)該l同樣需要注意的是，企業(yè)的特定背景可能要求其偏離按照通用的預(yù)編程計(jì)算（如數(shù)學(xué)矩陣計(jì)算得出的結(jié)4.5.2最終確定治理系統(tǒng)的設(shè)計(jì)最終確定設(shè)計(jì)n已定義目標(biāo)能力級(jí)別（對(duì)于非流程則為等效的績(jī)效要求其中針對(duì)最關(guān)鍵的目標(biāo)定義更高的目標(biāo)能力COBIT?2019設(shè)計(jì)指南l各種流程的目標(biāo)能力級(jí)別（或其他組件的等效績(jī)效目標(biāo)）。在定義這些目標(biāo)時(shí)，不建議追求最高等級(jí)，l由于特定問題或情況，需要特別關(guān)注某個(gè)治理組件（例如，如果企業(yè)最擔(dān)心的是隱私問題，則應(yīng)額維持治理系統(tǒng)在設(shè)計(jì)工作流程的最后一步會(huì)形成一個(gè)設(shè)計(jì)良好的治理系統(tǒng)。但治理系統(tǒng)本質(zhì)上是動(dòng)戰(zhàn)略或啟動(dòng)重要的投資計(jì)劃，威脅環(huán)境和技術(shù)也在不斷變化，這治理系統(tǒng)具有動(dòng)態(tài)性，為此，《COBIT?2019實(shí)施指南》概括了一個(gè)持續(xù)改進(jìn)周期（另請(qǐng)參閱本書的43 與《COBIT?2019實(shí)施指南》相關(guān)聯(lián)第五章與《COBIT?2019實(shí)施指南》相關(guān)聯(lián)5.1《COBIT?2019實(shí)施指南》的目的《COBIT?2019實(shí)施指南》強(qiáng)調(diào)從整個(gè)企業(yè)的角度來審視I&T治理，并且認(rèn)識(shí)到I&T已滲透到企業(yè)的每個(gè)因此，企業(yè)I&T治理和管理應(yīng)作為企業(yè)治理不可或缺的一部分來實(shí)施，全面覆蓋端到端的業(yè)務(wù)和IT職能領(lǐng)治理系統(tǒng)的實(shí)施之所以會(huì)失敗，一個(gè)常見的原因是沒有按照計(jì)劃發(fā)起并繼以妥善的管理，無法確保實(shí)現(xiàn)效益。治理計(jì)劃須由執(zhí)行管理層發(fā)起、明確適用范圍并定義可實(shí)現(xiàn)的目標(biāo)。只有這盡管推薦采用計(jì)劃和項(xiàng)目的方式來有效推動(dòng)改進(jìn)舉措，但總體目標(biāo)也是為治理與管理企業(yè)I&T建立起常規(guī)的業(yè)務(wù)實(shí)踐和可持續(xù)的方法（像企業(yè)治理的其他方面一樣）。因此，實(shí)施方法是基于賦能業(yè)務(wù)和IT利益相當(dāng)側(cè)重IT相關(guān)優(yōu)先目標(biāo)和治理改進(jìn)的流程開始產(chǎn)生可衡量的效益，且計(jì)劃成果已融入持續(xù)進(jìn)行的業(yè)務(wù)活動(dòng)5.2COBIT實(shí)施方法COBIT?2019設(shè)計(jì)指南圖5.1—COBIT實(shí)施路線圖?力動(dòng)的進(jìn)前持保何如們我?現(xiàn)實(shí)否是們我?素因動(dòng)驅(qū)些哪有?度程么什了到在現(xiàn)什動(dòng)?我們?nèi)绾螌?shí)現(xiàn)?我要我們想要達(dá)到什么標(biāo)?性效有查審劃計(jì)起發(fā)遇隊(duì)機(jī)團(tuán)和施題實(shí)問義立定成態(tài)狀估評(píng)前當(dāng)要望動(dòng)需愿行求革到變?nèi)⌒枇⒆R(shí)建采認(rèn)益效現(xiàn)實(shí)法方的新實(shí)落估評(píng)持和維控監(jiān)量衡和作操執(zhí)行計(jì)劃操實(shí)作施和改使進(jìn)用改建定目溝定標(biāo)通成義?力動(dòng)的進(jìn)前持保何如們我?現(xiàn)實(shí)否是們我?素因動(dòng)驅(qū)些哪有?度程么什了到在現(xiàn)什動(dòng)?我們?nèi)绾螌?shí)現(xiàn)?我要我們想要達(dá)到什么標(biāo)?性效有查審劃計(jì)起發(fā)遇隊(duì)機(jī)團(tuán)和施題實(shí)問義立定成態(tài)狀估評(píng)前當(dāng)要望動(dòng)需愿行求革到變?nèi)⌒枇⒆R(shí)建采認(rèn)益效現(xiàn)實(shí)法方的新實(shí)落估評(píng)持和維控監(jiān)量衡和作操執(zhí)行計(jì)劃操實(shí)作施和改使進(jìn)用改建定目溝定標(biāo)通成義狀果態(tài)定義路線圖構(gòu)進(jìn)確角色計(jì)劃方案?jìng)冃柰瓿擅葱?變革推行?持續(xù)改進(jìn)生命周期實(shí)施方法的第1階段識(shí)別當(dāng)前變革驅(qū)動(dòng)因素，促使執(zhí)行管理層產(chǎn)生變革愿望，然后通過業(yè)務(wù)案例概述來表達(dá)。變革驅(qū)動(dòng)因素屬于內(nèi)部或外部事件、狀況或關(guān)鍵問題，充當(dāng)變革刺激因素。事件、趨與計(jì)劃實(shí)施本身有關(guān)的風(fēng)險(xiǎn)將在業(yè)務(wù)案例中說明并在整個(gè)生命周期中進(jìn)行是評(píng)判、支持以及確保任何舉措（包括治理系統(tǒng)的改進(jìn)）成功的重要課題。它們確保第2階段確保I&T相關(guān)目標(biāo)與企業(yè)戰(zhàn)略和風(fēng)險(xiǎn)保持一致，并確定最重要的企業(yè)目標(biāo)、一致性目標(biāo)和流程的根據(jù)選定的企業(yè)目標(biāo)、IT相關(guān)目標(biāo)和其他設(shè)計(jì)因素，企業(yè)必須確定關(guān)鍵的治理和管理目標(biāo)以及具備足夠能力的支持流程，以確保成功獲得所需的結(jié)果。管理層需要了解其當(dāng)前能力以及可能存在45 與《COBIT?2019實(shí)施指南》相關(guān)聯(lián)有些解決方案將快速帶來效益，而有些則是更具挑戰(zhàn)性的長(zhǎng)期任務(wù)。應(yīng)該優(yōu)先執(zhí)行可成功離不開員工的參與、意識(shí)和溝通；離不開最高管理層的理解和承諾；離不開受影響的業(yè)務(wù)和IT流程所計(jì)劃和項(xiàng)目管理基于最佳實(shí)踐并在七個(gè)階段的每個(gè)階段設(shè)置了檢查點(diǎn)，從而確保計(jì)劃有關(guān)計(jì)劃和項(xiàng)目管理的進(jìn)一步指導(dǎo)，還可參閱COBIT管理目標(biāo)“BAI01妥當(dāng)管理的計(jì)劃”和“BAI11妥當(dāng)5.3《COBIT設(shè)計(jì)指南》與《COBIT實(shí)施指南》的關(guān)系《COBIT?2019設(shè)計(jì)指南》詳細(xì)說明了《COBIT?2019實(shí)施指南》中定義的一組任務(wù)。圖5.2描述了兩份指南之間的關(guān)聯(lián)點(diǎn)，并且該表的目的是讓《COBIT?2019實(shí)施指南》的用戶能為《COBIT?2COBIT?2019設(shè)計(jì)指南圖5.2—《COBIT設(shè)計(jì)指南》與《COBIT實(shí)施指南》的關(guān)聯(lián)點(diǎn)？（1確定當(dāng)前的治理環(huán)境、業(yè)務(wù)和IT痛點(diǎn)、事件，以及觸發(fā)行動(dòng)1.42識(shí)別業(yè)務(wù)和治理驅(qū)動(dòng)因素以及合規(guī)性要求，以改進(jìn)企業(yè)I&T1.11.21.33確定依賴于IT的業(yè)務(wù)優(yōu)先級(jí)和業(yè)務(wù)戰(zhàn)略，包括當(dāng)前任何重大1.11.21.34與企業(yè)政策、戰(zhàn)略、指導(dǎo)原則以及任何持續(xù)開展的治理舉措除了治理設(shè)計(jì)步驟之外，這些任務(wù)與《COBIT實(shí)施指南》中的變革推行(CE)任務(wù)關(guān)系更為密切，并且已在該指南567確保執(zhí)行管理層和董事會(huì)了解并批準(zhǔn)高層次方法，并接受不？（12.12.22確定支持業(yè)務(wù)目標(biāo)所需的IT能力（解決方案和服務(wù)）的重要2.23.33.43.53.63.73識(shí)別與當(dāng)前和未來所需解決方案和服務(wù)有關(guān)的關(guān)鍵治理問題和缺陷、支持IT相關(guān)目標(biāo)所需的企業(yè)架構(gòu)，以及存在的制約2.44確定并選擇對(duì)支持IT相關(guān)目標(biāo)至關(guān)重要的流程，適當(dāng)情況下2.12.25評(píng)估與關(guān)鍵IT流程有關(guān)的效益/價(jià)值實(shí)現(xiàn)風(fēng)險(xiǎn)、計(jì)劃/項(xiàng)目交2.362.371.32.347 與《COBIT?2019實(shí)施指南》相關(guān)聯(lián)圖5.2—《COBIT設(shè)計(jì)指南》與《COBIT實(shí)施指南》的關(guān)聯(lián)點(diǎn)（續(xù)）？（8流程的評(píng)估方法是《COBIT?2019框架：簡(jiǎn)介和方法中描92.12.22.32.43.13.23.33.43.53.63.7104.14.2114.14.21l評(píng)估競(jìng)爭(zhēng)對(duì)手和同行的能力級(jí)別，確定改進(jìn)目標(biāo)級(jí)別的合4.14.224.14.23COBIT?2019設(shè)計(jì)指南本頁特意留白49治理系統(tǒng)設(shè)計(jì)工具包執(zhí)行和示例第六章治理系統(tǒng)設(shè)計(jì)工具包6.1引言本章介紹《COBIT設(shè)計(jì)指南》的配套工具包，一種基于Excel?電子表格的工具，能夠簡(jiǎn)化第4章所述治理此工具包用于展示本書第7章所述的三個(gè)示例。此介紹應(yīng)有助為第7章中的示例生成結(jié)果。下載的工具6.2工具包的基礎(chǔ)知識(shí)-數(shù)值反映了專家組確定的平均值。這些數(shù)值不能也沒有模擬所有給定的獨(dú)特情況，因此應(yīng)謹(jǐn)慎使用。n設(shè)計(jì)因素2企業(yè)目標(biāo)的對(duì)應(yīng)關(guān)系表略有不同，因?yàn)樗瑑蓚€(gè)對(duì)應(yīng)關(guān)系表。其中一個(gè)表為企業(yè)目標(biāo)與一6.3第1步和第2步：確定治理系統(tǒng)的初步范圍治理系統(tǒng)設(shè)計(jì)工作流程的這兩個(gè)步驟會(huì)對(duì)企業(yè)戰(zhàn)略、目標(biāo)、風(fēng)險(xiǎn)概況和I&T相關(guān)問題進(jìn)行評(píng)估。這兩個(gè)步COBIT?2019設(shè)計(jì)指南6.3.1企業(yè)戰(zhàn)略（設(shè)計(jì)因素1）l必須對(duì)企業(yè)戰(zhàn)略設(shè)計(jì)因素四個(gè)可能的值（成長(zhǎng)/收購、創(chuàng)新/差異化、成本領(lǐng)導(dǎo)、客戶服務(wù)/穩(wěn)定性）分別l工具包利用設(shè)計(jì)因素1企業(yè)戰(zhàn)略的對(duì)應(yīng)關(guān)系表對(duì)設(shè)計(jì)因素1的輸入值執(zhí)行矩陣計(jì)算，從而得出各治理/l工具包隨后計(jì)算各治理/管理目標(biāo)的相對(duì)重要性，并作為兩組值之間的相對(duì)差異，以百分比表示并四舍五入到5。此數(shù)值既可以是正數(shù)，也可以是負(fù)數(shù)，表明與基準(zhǔn)分?jǐn)?shù)相比，治理/管理目標(biāo)是更重要還是l此選項(xiàng)卡的輸出部分包含為40項(xiàng)COBIT?2019成長(zhǎng)/收購創(chuàng)新/差異化客戶服務(wù)/穩(wěn)定性2設(shè)計(jì)因素1設(shè)計(jì)因素1企業(yè)戰(zhàn)略獲得治理/管理目標(biāo)的重要性（輸出）3551治理系統(tǒng)設(shè)計(jì)工具包6.3.2企業(yè)目標(biāo)和運(yùn)用COBIT目標(biāo)級(jí)聯(lián)（設(shè)計(jì)因素2）l利用通用企業(yè)目標(biāo)確定對(duì)企業(yè)最為重要的目標(biāo)。建議選l工具在(1)評(píng)級(jí)的企業(yè)目標(biāo)及企業(yè)目標(biāo)與IT一致性目標(biāo)之間的對(duì)應(yīng)關(guān)系表；和(2)第一次矩陣計(jì)算的結(jié)l工具隨后計(jì)算各治理/管理目標(biāo)的相對(duì)重要性，并作為兩組值之間的相對(duì)差異，以百分比表示并四舍五入到5。此數(shù)值既可以是正數(shù)，也可以是負(fù)數(shù)，表明與基準(zhǔn)分?jǐn)?shù)相比，治理/管理目標(biāo)是更重要還是更l此表格的輸出部分包含為40項(xiàng)COBIT?2019設(shè)計(jì)因素設(shè)計(jì)因素2企業(yè)目標(biāo)COBIT?2019設(shè)計(jì)指南6.3.3企業(yè)風(fēng)險(xiǎn)概況（設(shè)計(jì)因素3）l工具利用設(shè)計(jì)因素3風(fēng)險(xiǎn)概況的對(duì)應(yīng)關(guān)系表為風(fēng)險(xiǎn)評(píng)級(jí)執(zhí)行矩陣計(jì)算，從而得出各治理/管理目標(biāo)的l工具隨后計(jì)算各治理/管理目標(biāo)的相對(duì)重要性，并作為兩組值之間的相對(duì)差異，以百分比表示并四舍五入到5。此數(shù)值既可以是正數(shù)，也可以是負(fù)數(shù)，表明與基準(zhǔn)分?jǐn)?shù)相比，治理/管理目標(biāo)是更重要還是更l此工具的輸出部分包含為40項(xiàng)COBIT?2019風(fēng)險(xiǎn)情景類別風(fēng)險(xiǎn)情景類別可能性可能性風(fēng)險(xiǎn)風(fēng)險(xiǎn)設(shè)計(jì)因素3設(shè)計(jì)因素3風(fēng)險(xiǎn)概況獲得治理/管理目標(biāo)的重要性ITIT投資決策制定、投資組合定義和維護(hù)計(jì)劃和項(xiàng)目生命周期管理計(jì)劃和項(xiàng)目生命周期管理未授權(quán)的行動(dòng)軟件采用/使用問題硬件事故軟件故障邏輯攻擊（黑客攻擊、惡意軟件等）第三方/供應(yīng)商事故違規(guī)地緣政治問題勞工行動(dòng)基于技術(shù)的創(chuàng)新環(huán)境數(shù)據(jù)和信息管理極高風(fēng)險(xiǎn)極高風(fēng)險(xiǎn)中度風(fēng)險(xiǎn)中度風(fēng)險(xiǎn)低風(fēng)險(xiǎn)低風(fēng)險(xiǎn)53治理系統(tǒng)設(shè)計(jì)工具包6.3.4企業(yè)的當(dāng)前I&T相關(guān)問題（設(shè)計(jì)因素4）l工具利用設(shè)計(jì)因素4的對(duì)應(yīng)關(guān)系表對(duì)設(shè)計(jì)因素4的基準(zhǔn)數(shù)值集執(zhí)行第二次矩陣計(jì)算，從而得出各治理/l工具隨后計(jì)算各治理/管理目標(biāo)的相對(duì)重要性，并作為兩組值之間的相對(duì)差異，以百分比表示并四舍五入到5。此數(shù)值既可以是正數(shù)，也可以是負(fù)數(shù)，表明與基準(zhǔn)分?jǐn)?shù)相比，治理/管理目標(biāo)是更重要還是更l此選項(xiàng)卡的輸出部分包含為40項(xiàng)COBIT?2019重要性基準(zhǔn)無問題嚴(yán)重問題設(shè)計(jì)因素4設(shè)計(jì)因素4IT相關(guān)問題獲得治理/管理目標(biāo)的重要性COBIT?2019設(shè)計(jì)指南6.3.5總結(jié)l工具對(duì)計(jì)算所得的與前四個(gè)設(shè)計(jì)因素有關(guān)的治理/l然后將獲得的結(jié)果按100分進(jìn)行標(biāo)準(zhǔn)化（包含正、負(fù)值）并反映在第l第2步摘要選項(xiàng)卡包含為40項(xiàng)COBIT?2019治理和管理目標(biāo)分別計(jì)算得到的相對(duì)重要性。55 治理系統(tǒng)設(shè)計(jì)工具包第2第2步初步設(shè)計(jì)治理和管理目標(biāo)的重要性COBIT?2019設(shè)計(jì)指南6.4第3步：優(yōu)化治理系統(tǒng)的范圍57 治理系統(tǒng)設(shè)計(jì)工具包6.4.1威脅環(huán)境（設(shè)計(jì)因素5）l必須對(duì)威脅環(huán)境設(shè)計(jì)因素的兩個(gè)可能值（高和正常）分別進(jìn)行評(píng)級(jí)，評(píng)級(jí)范圍介于0％和100％兩個(gè)值的總和必須為100％。l很多企業(yè)會(huì)將100％分配給其中一個(gè)類別。由于企業(yè)運(yùn)營(yíng)的一部分會(huì)面臨較高威脅環(huán)l工具利用設(shè)計(jì)因素5威脅環(huán)境的對(duì)應(yīng)關(guān)系表對(duì)設(shè)計(jì)因素5的輸入值執(zhí)行矩陣計(jì)算，從而得出各治理/管l工具利用設(shè)計(jì)因素5的對(duì)應(yīng)關(guān)系表對(duì)設(shè)計(jì)因素5的基準(zhǔn)數(shù)值集執(zhí)行第二次矩陣計(jì)算，從而得出各治理/l工具隨后計(jì)算各治理/管理目標(biāo)的相對(duì)重要性，并作為兩組值之間的相對(duì)差異，以百分比表示并四舍五入到5。此數(shù)值既可以是正數(shù)，也可以是負(fù)數(shù)，表明與基準(zhǔn)分?jǐn)?shù)相比，治理/管理目標(biāo)是更重要還是更l此選項(xiàng)卡的輸出包含為40項(xiàng)COBIT?2019設(shè)計(jì)因素5威脅環(huán)境設(shè)計(jì)因素5設(shè)計(jì)因素5威脅環(huán)境獲得治理/管理目標(biāo)的重要性COBIT?2019設(shè)計(jì)指南6.4.2合規(guī)性要求（設(shè)計(jì)因素6）l必須對(duì)合規(guī)性要求設(shè)計(jì)因素的三個(gè)可能值分別進(jìn)行評(píng)級(jí)，評(píng)級(jí)范圍介于0％和100％之間。三個(gè)值的總和必須為100％。l很多企業(yè)會(huì)將100％分配給其中一個(gè)類別。但如果企業(yè)的IT環(huán)境相當(dāng)龐大，并且某些部分會(huì)受到嚴(yán)格l工具利用設(shè)計(jì)因素6合規(guī)性要求的對(duì)應(yīng)關(guān)系表對(duì)設(shè)計(jì)因素6的輸入值執(zhí)行矩陣計(jì)算，從而得出各治理/l工具利用設(shè)計(jì)因素6的對(duì)應(yīng)關(guān)系表對(duì)設(shè)計(jì)因素6的基準(zhǔn)數(shù)值集執(zhí)行第二次矩陣計(jì)算，從而得出各治理/l工具隨后計(jì)算各治理/管理目標(biāo)的相對(duì)重要性，并作為兩組值之間的相對(duì)差異，以百分比表示并四舍五入到5。此數(shù)值既可以是正數(shù)，也可以是負(fù)數(shù)，表明與基準(zhǔn)分?jǐn)?shù)相比，治理/管理目標(biāo)是更重要還是更l此選項(xiàng)卡的輸出包含為40項(xiàng)COBIT?2019設(shè)計(jì)因素設(shè)計(jì)因素6合規(guī)性要求設(shè)計(jì)因素6設(shè)計(jì)因素6合規(guī)性要求獲得治理/管理目標(biāo)的重要性高高正常正常低低59治理系統(tǒng)設(shè)計(jì)工具包6.4.3IT角色（設(shè)計(jì)因素7）l工具利用設(shè)計(jì)因素7IT角色的對(duì)應(yīng)關(guān)系表對(duì)設(shè)計(jì)因素7的輸入值執(zhí)行矩陣計(jì)算，從而得出各治理/管理l工具利用設(shè)計(jì)因素7的對(duì)應(yīng)關(guān)系表對(duì)設(shè)計(jì)因素7的基準(zhǔn)數(shù)值集執(zhí)行第二次矩陣計(jì)算，從而得出各治理/l工具隨后計(jì)算各治理/管理目標(biāo)的相對(duì)重要性，并作為兩組值之間的相對(duì)差異，以百分比表示并四舍五入到5。此數(shù)值既可以是正數(shù)，也可以是負(fù)數(shù)，表明與基準(zhǔn)分?jǐn)?shù)相比，治理/管理目標(biāo)是更重要還是更l此選項(xiàng)卡的輸出包含為40項(xiàng)COBIT?2019設(shè)計(jì)因素7設(shè)計(jì)因素7IT角色獲得治理/管理目標(biāo)的重要性COBIT?2019設(shè)計(jì)指南6.4.4IT采購模式（設(shè)計(jì)因素8）l必須對(duì)IT采購模式設(shè)計(jì)因素的三個(gè)可能值（外包、云和內(nèi)包）分別進(jìn)行評(píng)級(jí)，評(píng)級(jí)范圍介于0％和100％之間。三個(gè)值的總和必須為100％。l請(qǐng)注意，還有第四類—混合分類。工具中并未顯示此分類，因?yàn)楦鶕?jù)定義，將百分比分配給其他三個(gè)l工具利用設(shè)計(jì)因素8IT采購模式的對(duì)應(yīng)關(guān)系表對(duì)此設(shè)計(jì)因素的輸入值執(zhí)行矩陣計(jì)算，從而得出各治理/l工具利用設(shè)計(jì)因素8的對(duì)應(yīng)關(guān)系表對(duì)設(shè)計(jì)因素8的基準(zhǔn)數(shù)值集執(zhí)行第二次矩陣計(jì)算，從而得出各治理/l工具隨后計(jì)算各治理/管理目標(biāo)的相對(duì)重要性，并作為兩組值之間的相對(duì)差異，以百分比表示并四舍五入到5。此數(shù)值既可以是正數(shù)，也可以是負(fù)數(shù)，表明與基準(zhǔn)分?jǐn)?shù)相比，治理/管理目標(biāo)是更重要還是更l此選項(xiàng)卡的輸出部分包含為40項(xiàng)COBIT?2019設(shè)計(jì)因素設(shè)計(jì)因素8IT采購模式獲得治理/管理目標(biāo)的重要性61 治理系統(tǒng)設(shè)計(jì)工具包6.4.5IT實(shí)施方法（設(shè)計(jì)因素9）l必須對(duì)IT實(shí)施方法設(shè)計(jì)因素的三個(gè)可能值（敏捷、De和100％之間。三個(gè)值的總和必須為100％。l請(qǐng)注意，還有第四類—混合分類。工具中并未顯示此分類，因?yàn)楦鶕?jù)定義，將百分比分配給其他三個(gè)l工具利用設(shè)計(jì)因素9IT實(shí)施方法的對(duì)應(yīng)關(guān)系表對(duì)設(shè)計(jì)因素9的輸入值執(zhí)行矩陣計(jì)算，從而得出各治理/l工具利用設(shè)計(jì)因素9的對(duì)應(yīng)關(guān)系表對(duì)設(shè)計(jì)因素9的基準(zhǔn)數(shù)值集執(zhí)行第二次矩陣計(jì)算，從而得出各治理/l工具隨后計(jì)算各治理/管理目標(biāo)的相對(duì)重要性，并作為兩組值之間的相對(duì)差異，以百分比表示并四舍五入到5。此數(shù)值既可以是正數(shù)，也可以是負(fù)數(shù)，表明與基準(zhǔn)分?jǐn)?shù)相比，治理/管理目標(biāo)是更重要還是更l此選項(xiàng)卡的輸出部分包含為40項(xiàng)COBIT?2019設(shè)計(jì)因素9IT實(shí)施方法設(shè)計(jì)因素9設(shè)計(jì)因素9IT實(shí)施方法獲得治理/管理目標(biāo)的重要性敏捷敏捷傳統(tǒng)傳統(tǒng)COBIT?2019設(shè)計(jì)指南6.4.6技術(shù)采用戰(zhàn)略（設(shè)計(jì)因素10）l必須對(duì)技術(shù)采用戰(zhàn)略設(shè)計(jì)因素的三個(gè)可能值（先行者、追隨0％和100％之間。三個(gè)值的總和必須為100％。l很多企業(yè)可能會(huì)將100％分配給其中一個(gè)類別。但如果企業(yè)的IT環(huán)境相當(dāng)龐大，并且不同的領(lǐng)域會(huì)以l工具利用設(shè)計(jì)因素10技術(shù)采用戰(zhàn)略的對(duì)應(yīng)關(guān)系表對(duì)設(shè)計(jì)因素l工具隨后計(jì)算各治理/管理目標(biāo)的相對(duì)重要性，并作為兩組值之間的相對(duì)差異，以百分比表示并四舍五入到5。此數(shù)值既可以是正數(shù)，也可以是負(fù)數(shù)，表明與基準(zhǔn)分?jǐn)?shù)相比，治理/管理目標(biāo)是更重要還是更l此選項(xiàng)卡的輸出包含為40項(xiàng)COBIT?2019設(shè)計(jì)因素10技術(shù)采用戰(zhàn)略獲得治理/管理目標(biāo)的重要性獲得治理/管理目標(biāo)的重要性設(shè)計(jì)因素設(shè)計(jì)因素10技術(shù)采用戰(zhàn)略先行者先行者追隨者追隨者滯后者滯后者63治理系統(tǒng)設(shè)計(jì)工具包6.4.7企業(yè)規(guī)模（設(shè)計(jì)因素11）企業(yè)規(guī)模設(shè)計(jì)因素僅表明是否應(yīng)使用中小型企業(yè)焦點(diǎn)領(lǐng)域指南，而非核心COBIT指南。27企業(yè)規(guī)模不會(huì)影6.4.8總結(jié)l可在畫板選項(xiàng)卡中輸入權(quán)重，該值默認(rèn)設(shè)置為1。例如，如果合規(guī)性要求更為重要（因?yàn)槠髽I(yè)在受到嚴(yán)），l第3步摘要選項(xiàng)卡包含為40項(xiàng)COBIT?2019治理和管理目標(biāo)分別計(jì)算得到的相對(duì)重要性。注：如果按照第注：如果按照第6章所示的輸入數(shù)據(jù)輸入設(shè)計(jì)因素5到10，則下述范例圖將與各設(shè)計(jì)因素的范例圖保持27《COBIT?2019設(shè)計(jì)指南：信息和技術(shù)治理解決方COBIT?2019設(shè)計(jì)指南治理和管理目標(biāo)的重要性（所有設(shè)計(jì)因素）治理和管理目標(biāo)的重要性（所有設(shè)計(jì)因素）65 第七章示例7.1引言為了闡明治理系統(tǒng)的設(shè)計(jì)流程，本章將第47.2示例1：制造企業(yè)這是一家從事商品制造的大型企業(yè)，它強(qiáng)烈關(guān)注成本控制，希望成為所在行業(yè)中的成認(rèn)為I&T僅是輔助提升運(yùn)營(yíng)效率與效果的支持部門。雖然IT僅僅是個(gè)支持部門，但該企業(yè)卻極為依賴它。該企業(yè)采用傳統(tǒng)方法進(jìn)行開發(fā)和運(yùn)營(yíng)，對(duì)新技術(shù)的采用遲疑不決。該企業(yè)最近不僅7.2.1第1步：了解企業(yè)環(huán)境和戰(zhàn)略圖7.1—示例1，第1.1步：企業(yè)戰(zhàn)略設(shè)計(jì)因素1企業(yè)戰(zhàn)略成長(zhǎng)/收購創(chuàng)新/差異化客戶服務(wù)/穩(wěn)定性111153COBIT?2019設(shè)計(jì)指南圖7.2—示例1，第1.2步：企業(yè)目標(biāo)44454445設(shè)計(jì)因素2企業(yè)目標(biāo)11 111167險(xiǎn)評(píng)級(jí)列中以紅色圓點(diǎn)標(biāo)識(shí)IT運(yùn)營(yíng)基礎(chǔ)設(shè)施事件、未經(jīng)授權(quán)的操作、軟件采用/使用問題、硬件事件、圖7.3—示例1，第1.3步：風(fēng)險(xiǎn)概況設(shè)計(jì)因素3風(fēng)險(xiǎn)概況433223324454軟件采用/使用問題44444453第三方/供應(yīng)商事故2432424242243極高風(fēng)險(xiǎn)高風(fēng)險(xiǎn)中度風(fēng)險(xiǎn)低風(fēng)險(xiǎn)COBIT?2019設(shè)計(jì)指南第1.4步：了解I&T現(xiàn)存問題—對(duì)現(xiàn)狀進(jìn)行分析（評(píng)級(jí)范圍為1到3分）可問題評(píng)估。以下問題為該