COBIT定義及理解(精)

1、COBIT 定義及理解COBIT經(jīng)過幾十年的發(fā)展，西方發(fā)達(dá)國家總結(jié)了信息化建設(shè)的經(jīng)驗(yàn)，將企業(yè)治理”的概 念引入到信息化領(lǐng)域 提出了 “IT 治理”的概念，對信息化建設(shè)的管理提升到 了一個新 的高度。信息化建設(shè)過程實(shí)質(zhì)上就是一個對IT 進(jìn)行治理的過程，在這個背景下，ISACA 提出了 COBIT。COBIT 是什么？COBIT 是 Con trolled Objectives for In formation and Related Tech nolog y 的縮 寫,即信息及相關(guān)技術(shù)的控制目標(biāo)。COBIT 是 ISACA（信息系統(tǒng)審計(jì)和控制聯(lián)合會 制訂的面向過程的信息系統(tǒng)審計(jì)和評價的標(biāo)準(zhǔn)。對信

2、息化建設(shè)成果的評價，按照系統(tǒng)屬性可以劃分為若干方面，如:對最終成果評價、對建設(shè)過程評價、對系統(tǒng)架構(gòu)評價等。COBIT 是一個基于 IT 治理概念的、面向 IT 建設(shè)過程的 IT 治理實(shí)現(xiàn)指 南和 審計(jì)標(biāo)準(zhǔn)。ISACA 成立于 1969 年,是國際上最富盛名的信息控制理論研究及研究資料的出 版機(jī)構(gòu)，是一個專門從事 IT 治理相關(guān)技術(shù)研究、教育的國際組織。它在全球擁有100 多個會員國，主要任務(wù)定位于協(xié)調(diào)世界范圍內(nèi)建立 IT 控制慣例，并與其他國際組 織如財(cái)務(wù)、會計(jì)、審計(jì)及 IT 專業(yè)建立了戰(zhàn)略聯(lián)盟，使自己在 IT 治理方面達(dá)到世界 最高水平。ISACA 于 1996 年發(fā)表了 COBIT 的第一

3、版，1998 年修訂后發(fā)表第二版。最新的版本是 COBIT 新面孔-COBIT 4.0 揭秘日期:2007-02-25來源:ITGov 作者:王東紅 白楊字體:大中 小隨著薩班斯法案的出臺，及增強(qiáng)企業(yè)本身 IT 內(nèi)部控制的需要，COBIT 已為大家所熟知，作為全球公認(rèn)的 IT 治理框架，其得到了各個國家各個行業(yè)的廣泛應(yīng)用。2005 年三月，歐洲共同體（EC 委員會選擇了 COBIT ,來保證信息的安全以及對其農(nóng) 業(yè)資金支付代理的控制。被像 EC 這樣的組織廣泛地認(rèn)識并采用，足以證明 COBIT 發(fā)展的廣度和深度。2005 年第四季度，ISACA 發(fā)布了 CobiT 最新版本 COBIT4.0,

4、 對框架進(jìn)行了重大的調(diào)整。ITGov 中國 IT 治理研究中心在第一時間組織了相關(guān)專 家對 COBIT 4.0 進(jìn)行了研究和分析，本文介紹了 COBIT 的發(fā)展背景、新版本中包括 哪些更新、為什么需要這些更新以及它如何能夠使現(xiàn)在的和將來的用戶收益等內(nèi) 容。歡迎與我們交流。為什么 COBIT 需要更新？自 1992 年發(fā)布最初版本后,COBIT 已發(fā)展成為實(shí)際的 IT 治理控制框架。如今COBIT 可以提供廣泛指導(dǎo)，同時，其產(chǎn)品被世界范圍內(nèi)的許多組織和政府部門廣 泛地接受。隨著 IT 和相應(yīng)指南對有效管理的要求在不斷變化,COBIT 用戶,尤其是 推動組織采用 COBIT 框架的人期望其持續(xù)改善

5、，支持組織環(huán)境的變化。在 COBIT 項(xiàng)目開展 10 年后的 2002 年,伴隨著 3 個版本的發(fā)展，又進(jìn)行了一個保 持COBIT 持續(xù)發(fā)展的戰(zhàn)略。這項(xiàng)戰(zhàn)略的其中一個關(guān)鍵目標(biāo)就是提供一個持續(xù)維護(hù) 的并反映IT 快速變更、響應(yīng)用戶回饋和持續(xù)符合需求的框架。2003 年，COBIT Online 作為最新的 COBIT 知識庫正式啟用，提供了能夠及時并 且持續(xù)更新的資源，并且使所有 COBIT 用戶能夠方便的訪問。當(dāng)有更多的更新以反 映重大變化時,新的可以打印并下載的 PDF 版本的 COBIT 就會出現(xiàn)。自從 COBIT 第三版于 2000 年發(fā)布以來的五年中，ITGI 對 IT 治理進(jìn)行了廣泛

6、 的研究,其中包括對廣大 COBIT 用戶反饋的分析，這些便形成了 COBIT 4.0 更新計(jì) 劃的基礎(chǔ)，這項(xiàng)計(jì)劃開始于 2004 年，并計(jì)劃于 2005 年 11 月份發(fā)布。如何發(fā)展并維持 COBIT ?尋找并組織支持COBIT的資源對ITGI這樣的非營利組織來說是項(xiàng)巨大的挑 戰(zhàn)。 ITGI的獨(dú)立身份和致力于促進(jìn) COBIT 成為完全開放有效的指南是影響其發(fā)展 的重要因素。COBIT 指導(dǎo)委員會，由 ISACA 的會員志愿者和一些由基金投資的管理團(tuán)隊(duì)組成，確定并執(zhí)行 COBIT 戰(zhàn)略的發(fā)展流程。來自 ISACA 的全球?qū)＜覉F(tuán)隊(duì)和處于領(lǐng)導(dǎo)地位的行 業(yè)參與者組成了特別的 COBIT 志愿支持團(tuán)隊(duì)

7、,這支團(tuán)隊(duì)現(xiàn)已有 100 多位專 家且分布 在 7 個不同的國家。這種結(jié)構(gòu)使 COBIT 成為一種分散的資源，同時由世界 范圍內(nèi)的專業(yè)用戶保持并維護(hù)著。在專業(yè)的研討會中有效、有目標(biāo)，且沒有商業(yè)壓力和導(dǎo)向的運(yùn)作，促使 ITGI 能夠非常有效地發(fā)展 COBIT。有時,具體的發(fā)展工作是 由顧問或?qū)W術(shù)機(jī)構(gòu)確定并執(zhí)行。ISACA 總部為原始材料到最終產(chǎn)品的轉(zhuǎn)化提供了 支持服務(wù)，并為他們的傳播提供支持。COBIT 4.0 是包含許多相連項(xiàng)目的復(fù)雜項(xiàng)目。是通過管理團(tuán)隊(duì)歷時兩年的辛勤勞動完成的，其中包括眾多的工作會議和具體開發(fā)任務(wù)。致力促進(jìn)COBIT 發(fā)展的個人也正在增多。對變化的環(huán)境和用戶做出的反映自 19

8、92 年來,IT 發(fā)生了巨大的變化，隨著互聯(lián)網(wǎng)的普及和全球化，關(guān)鍵業(yè)務(wù)運(yùn)作 和戰(zhàn)略目標(biāo)的實(shí)現(xiàn)越來越依賴于 IT。在過去的五年內(nèi)，對公司治理、更嚴(yán)格的規(guī) 章 制度和公司領(lǐng)導(dǎo)責(zé)任的聚焦空前巨大。對IT 的影響已成為 IT 管理和績效上更突出的焦點(diǎn)，越來越多的人開始關(guān)注 IT 治理。COBIT 最初作為審計(jì)師處理 IT 治 理及IT 管理和控制的改善工具，已經(jīng)擴(kuò)展到了 IT 治理及 IT 管理控制的框架。COBIT 4.0 更加關(guān)注：?更加關(guān)注 IT 管理一一為目前的 IT 運(yùn)作環(huán)境提供適當(dāng)?shù)墓芾砗涂刂浦改稀?更廣泛的目標(biāo)用戶一一滿足審計(jì)師、執(zhí)法者、安全專家和其他在不同情況下為 IT 績效提供保證的

9、相關(guān)人的需求。?董事層對治理的更多關(guān)注一一確保有足夠的業(yè)務(wù)聚焦和機(jī)制，將 IT 目標(biāo)的管 理和控制與企業(yè)的需求結(jié)合起來。?完善 IT 最佳實(shí)踐和標(biāo)準(zhǔn) 在企業(yè)不斷接受專業(yè)指導(dǎo)（如 ITIL 和 ISO 17799 時，COBIT 可以成為一個綜合框架，并且被認(rèn)為是全面 IT 控制的高度可信且可實(shí)踐 的指導(dǎo)? 3 個主要目標(biāo)用戶的綜合使用：管理者、IT 部門和審計(jì)師一一確保所使用的 結(jié)構(gòu)、表達(dá)和語言能夠?yàn)楣芾韺拥墓蓶|們、參與者和專業(yè)人員提供更容易的理解 和應(yīng)用。?持續(xù)符合法規(guī)一一確保 COBIT 涉及了 IT 治理的所有方面,并且展示它與 IT 治理域和 COSO 框架相對應(yīng)。確保它能夠一直被認(rèn)為

10、是實(shí)際的 IT 治理管理控制框 架。COBIT 4.0 計(jì)劃聚焦于何處？COBIT 4.0 發(fā)展戰(zhàn)略集中于以下方面：?IT 治理一基于五個方面的整合：由 ITGI 定義的戰(zhàn)略整合、價值交付、風(fēng)險 管理、資源管理和績效管理。雖然 COBIT 涉及了許多方面，但分析顯示還存在著一 些不足，需要調(diào)整某些 IT 流程的名稱并增加部分新的控制目標(biāo)。COBIT 4.0 中加入了 一個矩陣圖,描繪了所有 IT 流程和治理域的對應(yīng)關(guān)系?業(yè)務(wù)需求一以業(yè)務(wù)需求為原則，并且基于信息標(biāo)準(zhǔn)是 COBIT 的基本原則。由 Antwerp 大學(xué)進(jìn)行的 IT 如何為業(yè)務(wù)目標(biāo)提供支持的更廣泛的研究涉及了各個不同 的行業(yè)，提供了

11、普遍通用的業(yè)務(wù)目標(biāo)和 IT 目標(biāo)。COBIT 中提供了一個表格來說明 業(yè)務(wù)目標(biāo)、IT目標(biāo)和 COBIT IT 流程的關(guān)系，以幫助用戶確定他們組織業(yè)務(wù)與 IT 的聯(lián)接。這還常被用來改善目標(biāo)和績效評價體系?協(xié)調(diào)一致一一幫助用戶更方便地將 COBIT 與其他更具體的指導(dǎo)進(jìn)行整合，如ITIL, ISO 17799, PMBOK 以及 PRINCE 2。COBIT 4.0 中使用的術(shù)語和原理較之以前，更加協(xié)調(diào)?價值創(chuàng)造一由于 COBIT 的審計(jì)起源,COBIT 很強(qiáng)調(diào)風(fēng)險管理的控制。 COBIT 4.0更好地平衡了風(fēng)險與價值，并吸取了 IT 價值管理的最新研究成果。?企業(yè)結(jié)構(gòu)一 COBIT 4.0 提供

12、了 RACI 圖表（Responsible-負(fù)責(zé)執(zhí)行任務(wù)的角 色、Accou ntable-對任務(wù)負(fù)全責(zé)的角色、Co nsulted-提供信息輔助執(zhí)行任務(wù)的人 員、Informed-擁有既定特權(quán)、應(yīng)及時得到通知的人員闡明每個IT 流程的角色和職責(zé)。結(jié)合著目標(biāo)、資源、信息和流程，框架中還解釋了企業(yè)結(jié)構(gòu)原則。?流程定義及流程信息流 一為了改善對 IT 流程模型的理解，COBIT 4.0 提供了 對每個流程的描述，包括流程的輸入與輸出及與其他流程的關(guān)系。?語言與表述一在 COBIT 4.0 中使用了更加簡練、 符合時代發(fā)展及行為導(dǎo)向 的語言?？刂颇繕?biāo)和管理指南的內(nèi)容根據(jù) IT 流程結(jié)合起來。COBI

13、T 4.0 的核心內(nèi) 容只有一本書。?反饋一定期的來自用戶的注釋和建議，以及來自 COBIT 用戶大會的回饋信息 促進(jìn)了 COBIT 4.0 的內(nèi)容的完善。COBIT 4.0 中的主要變化？以下描述了 COBIT 的主要變化區(qū)域和增強(qiáng)區(qū)域。框架?雖然仍然還是 4 個域和 34 個流程，但每個域的范圍和一些流程會有些變化：- 規(guī)劃與組織PO4 定義 IT 組織和關(guān)系，現(xiàn)已擴(kuò)展到涉及 IT 流程、關(guān)系和組織PO5 IT 投資管理,已更偏重于價值創(chuàng)造PO8 確保遵從外部需求，現(xiàn)已刪除，這方面要求體現(xiàn)在新的 ME3 中。PO10 質(zhì)量管理,現(xiàn)已變成 PO8?，F(xiàn)在 PO 域只有 10 個流程。-獲取與實(shí)

14、施AI4 開發(fā)流程，現(xiàn)已被擴(kuò)展并叫做授權(quán)操作和使用。增加了一個新的流程-獲取 IT 資源作為 AI5（以前的 AI5 變成 AI7 放在生命周 期中更合理的位置AI6 中有關(guān)發(fā)布管理的部分也整合到新的 AI7 中，與 ITIL 原則結(jié)合得更加 緊 密。-交付與支持DS8 更名為服務(wù)臺和事件管理DS10 更名為問題管理,并且只涉及問題管理，這與 ITIL 指南一致。DS11 數(shù)據(jù)管理,現(xiàn)在只處理數(shù)據(jù)管理目標(biāo)，與應(yīng)用控制相關(guān)的目標(biāo)轉(zhuǎn)移到框架的 其他部分。因?yàn)閼?yīng)用控制通常與業(yè)務(wù)流程相結(jié)合，而不是 IT 流程。-監(jiān)督與評估ME1 IT 績效管理更名為 IT 績效監(jiān)督與評估，主要服務(wù)于流程職責(zé)的需求。M

15、E2 內(nèi)部控制監(jiān)督更名為內(nèi)部控制監(jiān)督與評估，主要服務(wù)于對 IT 整體負(fù)責(zé)的人 的需求。ME3 由原來不被認(rèn)為是 IT 流程的提供獨(dú)立審計(jì)變更為確保法規(guī)遵從。ME3對外部法 規(guī)、法律和合同要求做出回應(yīng)，并且來自原來的 PO8。ME4 由原來的獲取獨(dú)立的保證變更為提供 IT 治理,服務(wù)于整個企業(yè)職責(zé)。? IT 資源由原來的 5 項(xiàng)變?yōu)樾碌?4 項(xiàng)：人員-言息，取代了數(shù)據(jù)-應(yīng)用軟件礎(chǔ)架構(gòu),取代了技術(shù)和設(shè)施控制目標(biāo)和管理指南?高級控制目標(biāo)介紹仍然呈現(xiàn)為瀑布流模式，但被修正為以下格式 對。IT 流程的控制使 IT0。滿足業(yè)務(wù)需求由。來實(shí)現(xiàn)，由。00來管理，由。00來衡量?控制目標(biāo)和管理指南被整合到一本書

16、中，展示了所有的 IT 流程。為所有用戶 提供了簡單易用的操作手冊。?增強(qiáng)的詳細(xì)控制目標(biāo)改善了 IT 治理的范圍并與其他實(shí)踐協(xié)調(diào)，同時結(jié)合了用 戶的回饋。目標(biāo)的數(shù)量和文本的頁數(shù)減少了大概 20%,并且它們的表述更加以行為 為導(dǎo)向而且簡明。許多第三版本的控制目標(biāo)都是可以普遍找到的，所以這些都用框 架中一個簡短的常用列表來代替了。?每個 IT 流程現(xiàn)在都有基本輸入/輸出的描述，確定它從哪個流程來，到哪個流 程去，或是否有其它路徑。這些輸入/輸出的連接使 CobiT 中的關(guān)鍵流程被確定下 來0?對于每個 IT 流程,新增加的信息描述了流程活動（說明性的但不詳盡的和流程 負(fù)責(zé)人，而且加入了職責(zé)說明。這

17、被表述為與 RACI 圖表連接的關(guān)鍵活動清單,RACI 使用了業(yè)務(wù)與 IT 中的常用角色清單。?矩陣表明一般業(yè)務(wù)目標(biāo)和 IT 目標(biāo)的關(guān)系，并在附錄中說明了他們?nèi)绾卫L制到 IT 流程中。這份材料被用作增強(qiáng) COBIT 4.0 中的目標(biāo)和評價體系，并且?guī)椭鷱臉I(yè)務(wù) 角度證實(shí)COBIT 包括的范圍。?經(jīng)過修正和改良的目標(biāo)和評價體系（KPI 和 KGI 提供了更好的業(yè)務(wù)方向和對 每個流程目標(biāo)及 IT 整體目標(biāo)的更多關(guān)注。KPI 和 KGI 在結(jié)構(gòu)和內(nèi)容上有顯著的 改善。每個流程的主要活動都有更多或更少的為 IT 流程本身和整個 IT 可度量評 價體系。這使用戶能夠區(qū)別流程的績效指標(biāo)、流程的目標(biāo)指標(biāo)和IT

18、 的目標(biāo)指標(biāo)。所有這些?第三版本的關(guān)鍵成功因素被兩個新的術(shù)語取代：來自其他域的流程作為輸入項(xiàng) 是所需的成功因素，關(guān)鍵管理實(shí)踐或行動目標(biāo)是流程負(fù)責(zé)人必須處理的關(guān)鍵成功 因 素。?成熟度模型重新排列成新的流程結(jié)構(gòu)，成熟特征表也經(jīng)過改善和修正，有以下 一些新的特征：-意識和交流-政策、標(biāo)準(zhǔn)和程序-工具和自動化-技能和技術(shù)-職責(zé)和責(zé)任-目標(biāo)設(shè)定和度量控制實(shí)踐修改并更新控制實(shí)踐，以便與新的控制目標(biāo)保持一致。審計(jì)指南目前的審計(jì)指南是 1996 年先于管理指南和控制實(shí)踐提出的，因此，審計(jì)指南的建 立只與控制目標(biāo)有關(guān)系。他們描述并支持了控制評估的一般審計(jì)流程、符合性測 試和實(shí)質(zhì)風(fēng)險。在新版本中，審計(jì)指南將被

19、COBIT 的 IT 確認(rèn)指南所代替，它將描述 COBIT 如何 能夠支持已包括在審計(jì)指南中的若干確認(rèn)技術(shù)。?風(fēng)險評估概念?業(yè)務(wù)風(fēng)險/價值評估?確認(rèn)計(jì)劃和范圍?控制評估與測試?控制及流程成熟度（自評估?實(shí)質(zhì)風(fēng)險和有效報(bào)告因此，新版本將提供比審計(jì)指南更多的指導(dǎo)，并且會涉及 COBIT 的所有方面。 目 前版本的審計(jì)指南將由以下更全面的內(nèi)容代替：?詢問誰RACI 表?獲取什么一一流程輸入?評估什么一一控制目標(biāo)和控制實(shí)踐?測試什么一一確認(rèn)步驟,這將被增加到控制實(shí)踐中去?要證實(shí)并確認(rèn)的術(shù)語一一流程輸入和輸出,KPI 和 KGI , COBIT online 基準(zhǔn)支持每個技術(shù)問題所需的詳細(xì)內(nèi)容仍將保留在

20、COBIT online 中,并可以下載一些確認(rèn)模板。這些都將在 2006 年見到。對目前用戶有何影響？? COBIT 4.0 是由 COBIT 第三版本發(fā)展而來的，并且本質(zhì)上基于同樣的核心原 則和結(jié)構(gòu)。?因此,沒有必要 放棄”已經(jīng)做過的工作? COBIT 4.0 從 COBIT 第三版本發(fā)展而來，并且提供了經(jīng)過改善的內(nèi)容，增加了 一些專業(yè)術(shù)語。?附錄中收錄了所有的相關(guān)文獻(xiàn)，說明了流程和控制目標(biāo)如何綜合地給出指導(dǎo)，幫助轉(zhuǎn)換現(xiàn)有的任何文檔及一些新出現(xiàn)的工具。?度量標(biāo)準(zhǔn)也是基于同樣 KGI/KPI 原則，在第三版本的基礎(chǔ)上有所改進(jìn),提供了 更完善的業(yè)務(wù)導(dǎo)向以及幫助用戶定義更好的評價方法的例子。?與

21、流程描述、行為和職責(zé)相關(guān)的新版本將使每個流程的范圍和目的更容易理 解，并使流程負(fù)責(zé)人更加清晰。因此，使用 COBIT 實(shí)施或改善 IT 流程的效果就會 增強(qiáng)。?新的確認(rèn)指南將對現(xiàn)有的審計(jì)指南進(jìn)行擴(kuò)展，增加一些新的方法，涉及 COBIT4.0 的全部內(nèi)容IT 交付和支持的控制COBIT 系列講座之? 2006 年的大半年中,COBIT online 將同時存在兩個版本。一個是凍結(jié)的第三版本的 COBIT 在線,一個是將持續(xù)維持的知識庫 一一 COBIT online4.0 版。因此,COBIT online 的用戶將得到全面的支持。? COBIT 的派生產(chǎn)品，如 COBIT 安全基準(zhǔn)、COBIT

22、 Quickstart、IT 治理實(shí)施指 導(dǎo)、薩班斯 IT 控制目標(biāo)和 COBIT mapping 報(bào)告，也將重新組合并更新。COBIT 4.0 如何使用戶受益？COBIT 4.0 中的變化是有益的，并且應(yīng)該幫助用戶獲取以下收益：?更完整、更全面地覆蓋 IT 治理一一幫助聚焦在正確的地方，并且?guī)椭?IT 管理 者和審計(jì)師證明 IT 處在多么有效的治理之下。?更容易理解并且有更容易實(shí)施的內(nèi)容 一一為股東在設(shè)定組織目標(biāo)和理解問題 方面提供幫助。?與其他實(shí)踐更好的兼容一一幫助整合，并使 COBIT 像 雨傘”框架一樣使用。?增強(qiáng) IT 流程信息、業(yè)務(wù)導(dǎo)向目標(biāo)、標(biāo)準(zhǔn)以及精確的成熟度模型一一幫助用戶將I

23、T 治理與業(yè)務(wù)驅(qū)動更好地整合在一起，然后測量流程的執(zhí)行性能和績效。IT 治理的提出，為企業(yè)在實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的同時，平衡 IT 投資和風(fēng)險方面提供一 種機(jī)制。為了確保企 業(yè)能夠?qū)崿F(xiàn)業(yè)務(wù)目標(biāo)，實(shí)現(xiàn)在風(fēng)險管理和收益實(shí)現(xiàn)間的有效平 衡，指導(dǎo)和管理各類 IT 活動就顯得非常迫COBIT 包含 34 個信息技術(shù)過程控制，并歸集為四個控制域：IT 規(guī)劃和組織（Planning and Organization、 系統(tǒng)獲得和實(shí)施（Acquisition and Implementation、交付 與支持 （Delivery and Support 以及信息系統(tǒng)運(yùn)行性能監(jiān)控 （Monitoring。 在本次系列

24、講座中，我們將對每一個控制域（Control domains 內(nèi)的過程控制有選擇的展開論述。在 IT 治理中，確保 IT 投資的有效性和高效性是我們關(guān)注的核心焦點(diǎn)；IT 投資 是否能夠滿足業(yè)務(wù)需求 是投資收益的關(guān)鍵，而 COBIT 中的 IT 交付和支持的過程控 制正是為企業(yè)提升 IT 系統(tǒng)投資回報(bào)率服務(wù)的。下面，我們從控制和管理的角度來分 析 COBIT 所提出的 13 個需要控制的 IT 交付和支持流程。定義和管理服務(wù)品質(zhì)系統(tǒng)用戶對于系統(tǒng)的要求與 IT 部門對系統(tǒng)的要求是不同的；而服務(wù)品質(zhì)正是為 用戶和信息技術(shù)部門 建立了一座溝通的橋梁。對于這個流程的控制，COBIT 要求所 定義的服務(wù)品

25、質(zhì)是可以衡量的，內(nèi)容包括服務(wù)品質(zhì)本身的文字描述；服務(wù)提供方和服 務(wù)使用方的責(zé)任；系統(tǒng)服務(wù)的反應(yīng)時間；相關(guān)信息的保密;使用方滿意的標(biāo)準(zhǔn);所要求 服務(wù)的成本收益分析等?？刂频谌椒?wù)如今很多企業(yè)把信息系統(tǒng)服務(wù)和系統(tǒng)本身的維護(hù)交給第三方來管理。這種模式 有很多優(yōu)越性，但同時導(dǎo)致企業(yè)對信息系統(tǒng)服務(wù)質(zhì)量的控制能力變?nèi)?，這時候就需要 加強(qiáng)對第三方服務(wù)提供者的控制。COBIT 在該流程的控制中，關(guān)注的內(nèi)容有：第三方服務(wù)協(xié)議；信息保密協(xié)議；服務(wù)交付的監(jiān)督和匯報(bào)機(jī)制；第三方服務(wù)的風(fēng)險評估；服 務(wù)品質(zhì)實(shí)現(xiàn)的獎懲機(jī)制等?？刂葡到y(tǒng)的性能和能力系統(tǒng)的性能和能力直接關(guān)系到信息服務(wù)的及時性和準(zhǔn)確性。的性能和能力必須能夠滿足

26、業(yè)務(wù)要求，并且能夠以最有效和最經(jīng)濟(jì)的方式滿足服務(wù) 品質(zhì)中所定義的要求。為此，企業(yè)需要對系統(tǒng)所表現(xiàn)的性能、能力和工作負(fù)荷進(jìn)行 評估，以滿足服務(wù)品質(zhì)的要求。COBIT 重點(diǎn)關(guān)注:業(yè)務(wù)對系統(tǒng)性能和能 力的需求；系 統(tǒng)性能和能力的管理機(jī)制等?？刂品?wù)的持續(xù)性從技術(shù)的角度和成本收益的角度來說，企業(yè)無法獲得百分之百的系統(tǒng)可靠度。系統(tǒng)故障發(fā)生的可能性總是客觀存在的；而如何在系統(tǒng)出現(xiàn)故障的時候把對業(yè)務(wù)活 動的影響控制在最小程度是決定業(yè)務(wù)運(yùn)行安全的重要因素。COBIT 在這個方面重點(diǎn)關(guān)注內(nèi)容包括：是否有合理的系統(tǒng)故障重要性分類；故障發(fā)生時是否 有業(yè)務(wù)活動的 替代流程;是否有備份和恢復(fù)程序；是否定期對系統(tǒng)的軟硬件

27、進(jìn)行測試并對相關(guān)人員 進(jìn)行培訓(xùn)等。控制系統(tǒng)安全盡管訪問信息時有嚴(yán)格的限制，但是消除這種限制卻非常簡單，所要做的只是獲 得一組數(shù)字或字母。業(yè)務(wù)需求除了要求系統(tǒng)從功能上滿足外，同時也必須反應(yīng)出業(yè) 務(wù)運(yùn)行中的秩序和相應(yīng)的控制機(jī)制。COBIT 關(guān)注和審核的對象包括：對信息機(jī)密程度和有關(guān)隱私信息的定義；授權(quán)身份甄別和系統(tǒng)訪問的控制；系統(tǒng)用戶的識別和授 權(quán)的相關(guān)信息；密鑰管理;防火墻的管理等。識別和分?jǐn)偝杀居捎趯π畔⒎?wù)的品質(zhì)作了明確具體的定義和要求，信息服務(wù)所提供的價值與 過去相比有了很大的改 進(jìn);同時業(yè)務(wù)要求越高，獲得服務(wù)的成本也就越高。從投入產(chǎn) 出比最大化的角度來說，業(yè)務(wù)部門必須要能 夠以最經(jīng)濟(jì)的成

28、本滿足業(yè)務(wù)需求。在對 該流程的控制中，COBIT 關(guān)注的內(nèi)容包括：企業(yè)是否明確了解所利 用的信息資源以 及這些資源是否可度量；企業(yè)是否定義和執(zhí)行完善的計(jì)費(fèi)政策和程序；企業(yè)如何核實(shí) 所實(shí)現(xiàn)的收益等。COBIT 要求系統(tǒng)教育和培訓(xùn)最終用戶對最終用戶的培訓(xùn)是確保實(shí)現(xiàn)服務(wù)品質(zhì)要求、滿足業(yè)務(wù)要求的重要環(huán)節(jié)。這個 教育和培訓(xùn)的過程是為 了確保用戶能夠有效使用技術(shù)并在使用過程中明確技術(shù)帶 來的風(fēng)險以及自己所應(yīng)該承擔(dān)的職責(zé)。COBIT 要求企業(yè)在提供綜合性的培訓(xùn)和發(fā)展計(jì)劃的同時，要考慮到培訓(xùn)課程的設(shè)置、技術(shù)的儲備、意識的培養(yǎng)、新的培訓(xùn)方法的運(yùn)用、個人的學(xué)習(xí)效率以及知識庫的開發(fā)等。協(xié)助用戶業(yè)務(wù)部門在使用信息部門

29、提供的服務(wù)過程中，經(jīng)常會出現(xiàn)各種各樣的問題。有些問題與用戶的使用技能有關(guān)，有些問題是由于業(yè)務(wù)環(huán)境變化需要對系統(tǒng)進(jìn)行相應(yīng)的調(diào)整，也有些問題是系統(tǒng)本身的技術(shù)原因造 成的。無論是哪種因素引起的，信息服務(wù)部門和業(yè)務(wù)部門 之間必須建立相應(yīng)的流程，對這些問題在第一時間進(jìn)行及時和有效的處理。COBIT 在該過程控制中關(guān)注的焦點(diǎn)有：用戶問題的監(jiān)控和處理；潛在問題和趨 勢的分析和報(bào) 告;問題的追蹤等。配置管理系統(tǒng)的復(fù)雜性給信息服務(wù)部門的日常管理帶來了極大的困難，這就要求信息服務(wù)部門對系統(tǒng)有個全面的描述和記錄，以便在系統(tǒng)出現(xiàn)問題時及時尋找解決方案，同 時防止系統(tǒng)各類參數(shù)和設(shè)置在未經(jīng)授權(quán)的情況下被人為的改動。COB

30、IT 在該過程 控制中關(guān)注的內(nèi)容有：IT 資產(chǎn)的跟蹤；配置變更的管理；企業(yè)是否使 用了未授權(quán)的軟 件;軟硬件的關(guān)聯(lián)和集成度的記錄描述等。問題和事件管理在信息服務(wù)的交付和支持過程中，問題和突發(fā)事件隨時都有可能存在。為了減 少這類問題和事件的重復(fù)發(fā)生，企業(yè)內(nèi)部必須建立相應(yīng)的問題和事件的處理機(jī)制，通 過對所發(fā)生事件的分析，杜絕類似問題的重 復(fù)發(fā)生，從而在不確定環(huán)境中尋找主動解 決問題的機(jī)會。COBIT 在對該過程的控制中關(guān)注的內(nèi)容有：問題審計(jì)線索和解決 方法;所報(bào)問題的處理和解決的及時性；逐級上報(bào)程序的有效性；事件記錄的完整性；系統(tǒng)提供商的責(zé)任定義以及變動管理與問題和事件管理的協(xié)調(diào)性等。數(shù)據(jù)管理數(shù)據(jù)

31、是信息服務(wù)中最基本的組成元素。確保數(shù)據(jù)在輸入、更新和存儲過程中的 完整性、準(zhǔn)確性和有效性是信息服務(wù)管理中的核心環(huán)節(jié)。在這個過程中，COBIT 的 主要控制目標(biāo)涵蓋了數(shù)據(jù)的整個生命周期中的 不同階段和特征：它包括數(shù)據(jù)的格式；源文檔的控制、數(shù)據(jù)輸入、處理和輸出的控制；數(shù)據(jù)存儲媒質(zhì)的識別、移動和數(shù)據(jù) 存放點(diǎn)的管理 擻據(jù)備份和恢復(fù)、數(shù)據(jù)驗(yàn)證和完整性的管理、數(shù)據(jù)所有權(quán)的定義、 數(shù)據(jù)管理政策、數(shù)據(jù)模型和數(shù)據(jù)標(biāo)準(zhǔn)、整個系統(tǒng)應(yīng)用平臺上的數(shù)據(jù)的一致性；以及涉及數(shù)據(jù)管理的法律和法規(guī)要求等。設(shè)施管理系統(tǒng)設(shè)施的有效管理是 IT 及時有效交付的保證。在這個過程中，信息服務(wù)部門 需要提供合適的物理環(huán)境來保護(hù) IT 設(shè)備和

32、相關(guān)人員免受人為的和非人為的危害。為了確保有效性,COBIT 的控制目標(biāo)就是為了讓企業(yè)有合適的系統(tǒng)安置環(huán)境以及對安置環(huán)境有很好 的物理控制，并且對定期的控制有效性進(jìn)行評估。在 控制目標(biāo)的審核中，COBIT 重 點(diǎn)關(guān)注:對設(shè)施訪問的控制；物理環(huán)境的安全性；業(yè)務(wù)持續(xù)性機(jī)會和危機(jī)管理機(jī)制的 合理性；相關(guān)人員的健康和安全等。運(yùn)營管理信息系統(tǒng)的運(yùn)營管理貫穿整個信息服務(wù)的生命周期，它所要達(dá)到的目的是確保重要的系統(tǒng)支持功能都能夠得到定期和有序的管理。這個過程事實(shí)上是一系列支 持性活動,并對所有的支持活動進(jìn)行跟蹤。COBIT 在該過程控制中主要關(guān)注：企業(yè)是否具備運(yùn)營程序手冊；系統(tǒng)運(yùn)行流程的文檔化管理；網(wǎng)路服務(wù)

33、管理機(jī)制 是否健全；系統(tǒng)變更、系統(tǒng)可用性和業(yè)務(wù)持續(xù)性管理三者之間是否協(xié)調(diào)一致；預(yù)防性維護(hù)機(jī)制 是否健全和有效等。與 ITIL 和 COBIT 融合建設(shè)技術(shù)防火墻”根據(jù)風(fēng)險評估的結(jié)果，綜合利用各種信息安全技術(shù)與產(chǎn)品，在統(tǒng)一的 IT 服務(wù)管理 平臺上（ITIL,以 適度防范”為原則，建立有效的 技術(shù)防火墻”這是實(shí)現(xiàn)信息安全管 理的可靠外部保證措施。所謂技術(shù)防火墻”是指在風(fēng)險評估的基礎(chǔ)上，綜合利用商用密碼、防火墻、防 病毒、身份識別、網(wǎng) 絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、PKI 服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動反擊等多種技術(shù)與產(chǎn)品來保證企業(yè)的信息系統(tǒng)的機(jī)密性、完整性和可靠性。建立技術(shù)防火墻”要注意

34、幾個問題：1、 以風(fēng)險評估為基礎(chǔ)，以適度防范”為原則。安全產(chǎn)品的選擇不能純粹以技術(shù)為標(biāo)準(zhǔn)，要考慮成本和投資回報(bào)，過高的安全成 本就會使安全失去意義。實(shí)現(xiàn)信息安全的過程其實(shí)是對風(fēng)險進(jìn)行管理的過程，其本 質(zhì)是對風(fēng)險進(jìn)行評估、控制并最終減輕風(fēng)險 后果，其重點(diǎn)是以 適度防范”的原則,指 導(dǎo)組織采用必要安全強(qiáng)度的保護(hù)措施，以滿足其業(yè)務(wù)安全的需求，用最小成本將信息 系統(tǒng)的殘留風(fēng)險降低到組織可以接受的水平。2、技術(shù)結(jié)構(gòu)方面，應(yīng)該具備評估、保護(hù)、檢測、反應(yīng)和恢復(fù)的五種技術(shù)能力。實(shí)現(xiàn) ISO 7498-2 所定義的鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、抗抵 賴五類安全功能。隨著 安全技術(shù)日新月異的發(fā)展，現(xiàn)在已

35、經(jīng)有更多的安全機(jī)制來提 供這樣五類安全技術(shù)，可以通過不同的產(chǎn)品和 技術(shù)手段,來實(shí)現(xiàn)組織各種安全功能的 要求。3、 安全產(chǎn)品要建立在統(tǒng)一的 IT 服務(wù)管理平臺上，遵循相同的標(biāo)準(zhǔn)，降低管理的 復(fù)雜性。隨著企業(yè) IT 應(yīng)用的深入和規(guī)模的擴(kuò)大，技術(shù)管理難度越來越大，用戶的負(fù)擔(dān)越來 越重，企業(yè)提出了簡化管理的要求。根據(jù)信息安全的特點(diǎn)，多種安全產(chǎn)品的應(yīng)用將跨 越多個部門甚至多個企業(yè)，密集分布的 安全產(chǎn)品增加了管理的難度，同時安全完備性 也要求實(shí)現(xiàn)集成化安全管理和安全信息共享機(jī)制，以集中管 理安全控制、安全策 略、安全配置、安全事件審計(jì)、安全事故應(yīng)急響應(yīng)，可管理的安全才是真正意義上 的安全。這就要求安全產(chǎn)品

36、要建立在一個遵循相同標(biāo)準(zhǔn)的、統(tǒng)一的 IT 服務(wù)管理平臺上。IT 基礎(chǔ)架構(gòu)庫（ITIL 是 IT 服務(wù)管理最佳做法的一套全面、一致和相關(guān)的代碼，由英國的中央計(jì)算機(jī)與電信局（CCTA 開發(fā),己在全世界被廣泛采納為 IT 服務(wù)標(biāo) 準(zhǔn)。安全產(chǎn)品與服務(wù)應(yīng)適應(yīng) IT 基礎(chǔ)架構(gòu)庫的要求，符合 ITIL 簡化管 理、降低管理 風(fēng)險的基礎(chǔ)性標(biāo)準(zhǔn)。4、 制定有效的災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計(jì)劃。不是對所有的威脅都可以找到針對它的安全保護(hù)措施。對這類威脅可能帶來的 風(fēng)險我們只能接受，但是要采取適當(dāng)和有效的措施來減輕相關(guān)威脅實(shí)際發(fā)生時所帶 來的破壞后果，這些過程就是安全管理中的災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計(jì)劃，這是組織信 息安全的

37、最后一道防線。在美國“911 恐怖襲擊事件與中國的 SARS 爆發(fā)事件中，災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計(jì)劃己顯現(xiàn)出了保證企業(yè)業(yè)務(wù)持續(xù)性的重要性。實(shí)施系統(tǒng)審計(jì)對于安全框架是否已有效地建立起來，技術(shù)防火墻與人力防火墻能否起到應(yīng)有 的作用，需要進(jìn)行信息系統(tǒng)安全審計(jì)。信息系統(tǒng)審計(jì)是一個獲取并評價證據(jù)，以判斷 計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過程。目前國際上通用的信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)是信息系統(tǒng)審計(jì)與控制協(xié)會在1996 年公布的 COBIT （Co ntrol Objectives for In formation and related Tech no

38、logy,這是一個在 國際上公認(rèn)是先進(jìn)、權(quán)威的安全 與信息技術(shù)管理和控制的標(biāo)準(zhǔn)，目前已經(jīng)更新至第 三版。它在商業(yè)風(fēng)險、控制需要和技術(shù)問題之間架起了一座橋梁，以滿足管理的多方面需要。該標(biāo)準(zhǔn)體系已在世界一百多個國家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險。IT 獲得和實(shí)施過程控制 一一 COBIT 系列講座之二日期:2006-12-13 來源:中國計(jì)算機(jī)用戶 作者:漢道信息技術(shù)咨詢有限公司 資深 顧問陸培煒字體:大中小IT 治理的提出，為企業(yè)在實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的同時平衡 IT 投資和風(fēng)險方面提供一種 機(jī)制。為了確保企業(yè)能夠?qū)崿F(xiàn)業(yè)務(wù)目標(biāo)，實(shí)現(xiàn)在風(fēng)險管理和收益實(shí)現(xiàn)間

39、的有效平衡，指導(dǎo)和管理各類 IT 活動就顯得非常迫切。國際信息系統(tǒng)審計(jì)與控制協(xié)會提出了信息系統(tǒng)和技術(shù)控制目標(biāo)（COBIT。作為 IT 治理的核心模型，COBIT 包含 34 個信息技術(shù)過程控制，并歸集為四個控制 域:IT規(guī)劃和組織（Planning and Organization、系 統(tǒng)獲得和實(shí)施（Acquisition andImplementation、交付與支持（Delivery and Support 以及信息系 統(tǒng)運(yùn)行性能監(jiān)控（Monitoring。 在本次系列講座中，我們將對每一個控制域 （Control domains 內(nèi)的過程 控制有選擇的展開論述。偶遇一位制造型企業(yè)的信息中

40、心主任，閑聊間得知該企業(yè)為了上一套 ERP 系統(tǒng) 經(jīng)歷了三年的選型期，看遍了國內(nèi)外所有知名軟件的演示，最終選定了一家國外的系 統(tǒng)。這種被認(rèn)為是企業(yè)和系統(tǒng)聯(lián)姻的過程 是目前許多國內(nèi)企業(yè)在信息化建設(shè) 中都在經(jīng)歷的事。企業(yè)意識到，系統(tǒng)的合適與否直接關(guān)系到信息化建設(shè)的成敗,更關(guān)系到企業(yè)所有者的利益是否得到很好的保護(hù)。COBIT 把信息技術(shù)的獲得和實(shí)施作為 IT 過程控制的一個控制域，并在這個域內(nèi)定義了需要控制的六個主要IT 過識別系統(tǒng)解決方案識別系統(tǒng)解決方案的過程也就是我們通常的系統(tǒng)選型的過程，系統(tǒng)解決方案的識別是企業(yè)信息化建設(shè) 中的一個重要環(huán)節(jié)。企業(yè)信息化建設(shè)已經(jīng)從初期的注重技 術(shù)的先進(jìn)性，逐步發(fā)展

41、到以企業(yè)的實(shí)際業(yè)務(wù)需求 作為驅(qū)動，系統(tǒng)對業(yè)務(wù)的支持和滿足 已經(jīng)是很多企業(yè)考慮的首要問題，這是實(shí)現(xiàn)企業(yè)信息化建設(shè)投資高效和低風(fēng)險的關(guān) 鍵。那么在企業(yè)識別和選擇信息系統(tǒng)解決方案這個過程中,需要考慮哪些因素 才能確保系 統(tǒng)滿足企業(yè)的需求呢？COBIT 在這一過程控制中提出：企業(yè)需要在明確業(yè)務(wù)需求的情況下，客觀而清晰 地對多種方案進(jìn)行識別和分析。在這個過程中，需要考慮的因素有：市場對該系統(tǒng)方 案的認(rèn)可度，獲得和實(shí)施該方案的方法論 是否合理，系統(tǒng)用戶參與實(shí)施還是直接購買 系統(tǒng)，系統(tǒng)方案與企業(yè) IT 戰(zhàn)略的匹配性，企業(yè)的信息需求定 義，可行性研究（成本、收 益、可選方案等，系統(tǒng)的功能性、可操作性、適應(yīng)性和

42、持續(xù)發(fā)展性，系統(tǒng)是否符合企 業(yè)的信息結(jié)構(gòu)，系統(tǒng)是否具備經(jīng)濟(jì)有效的安全控制，系統(tǒng)是否明確了系統(tǒng)供應(yīng)商的責(zé) 任。獲得和維護(hù)應(yīng)用軟件如果說，識別解決方案或者說系統(tǒng)選型的過程是讓企業(yè)知道什么方案是適合自 己的，那么獲得和維護(hù)系統(tǒng)軟件的過程才是實(shí)現(xiàn)系統(tǒng)給企業(yè)帶來收益的開始。COBIT 對于這個過程的控制是確保這個過程能夠提供支持業(yè)務(wù)流程的有效應(yīng)用功 能。具體來說就是軟件系統(tǒng)必須能夠和業(yè)務(wù)流程很好的融合。在企業(yè)變得更為理性的時候，知名度高的應(yīng)用軟件系統(tǒng)并非成為企業(yè)的首選，關(guān)鍵是企業(yè)的業(yè)務(wù)需求是否能夠獲得所選系統(tǒng)的支持，企業(yè)的業(yè)務(wù)流程（經(jīng)過優(yōu)化能 否和系統(tǒng)融合，系統(tǒng)在實(shí)施過程中的每個階段是否都有明確的成果。

43、COBIT 針對這 個過程的控制提出了需要考慮的方面包括：功能測試和驗(yàn)收、應(yīng)用控制和安全需求、文檔化管理需求、應(yīng)用軟件生命周期、企業(yè)信息結(jié) 構(gòu)、系統(tǒng)開發(fā)生命周期方法論（SDLC Methodology、人機(jī)界面、系統(tǒng)的二次開 發(fā)。針對上面幾點(diǎn)在過程控制方面的考慮，我們?nèi)匀换氐绞煜さ?ERP 系統(tǒng)來談。通 常，測試和驗(yàn)收是反映系統(tǒng)是否滿足業(yè)務(wù)要求的基本環(huán)節(jié)，無論是系統(tǒng)實(shí)施伙伴還是 客戶，對這塊都非常重視。但是在應(yīng)用控制 和安全方面相對來說關(guān)注得少一些。實(shí) 現(xiàn)業(yè)務(wù)需求，一層含義是原先手工的活現(xiàn)在系統(tǒng)能自動完成，另一層含義是系統(tǒng)在應(yīng) 用實(shí)現(xiàn)過程中同樣要反映出現(xiàn)實(shí)中的管理和控制特征。簡單的說就是，哪些

44、員工可以看哪些信息，決定或決策權(quán)限必須明確，并很好的在系統(tǒng)中反映。獲得和維護(hù)技術(shù)設(shè)施在上述控制過程中，我們談?wù)摰氖菍浖到y(tǒng)的獲得和維護(hù)。而組成系統(tǒng)的除 了軟件還有硬件。COBIT 在對這個過程進(jìn)行控制的過程中，強(qiáng)調(diào)獲得和維護(hù)技術(shù) 設(shè)施過程必須為滿足業(yè)務(wù)需求的業(yè)務(wù)應(yīng)用軟件系統(tǒng)提供合適的運(yùn)行平臺。COBIT 在對獲得和維護(hù)技術(shù)設(shè)施過程的控制中，重點(diǎn)要考慮的因素有：硬件 設(shè)施的標(biāo)準(zhǔn)和未來的應(yīng) 用方向是否符合實(shí)際需要；對硬件的評估;安裝、維護(hù)和變更 的控制；升級、切換和移植的計(jì)劃管理；內(nèi)部和外部技術(shù)設(shè)施和資源的使用；確認(rèn)與 硬件供應(yīng)商的關(guān)系以及它們的相應(yīng)責(zé)任；變更管理;硬件設(shè)施總擁有成本；系統(tǒng)軟件

45、的安全性。COBIT 所提出九個方面的考慮覆蓋了硬件設(shè)施從采購、安裝調(diào)試到日 常維護(hù)的整個過程。目前，國內(nèi)的企業(yè)在硬件的采購和安裝調(diào)試方面往往控制得比 較好,但是在系統(tǒng)應(yīng)用過程 中，維護(hù)和系統(tǒng)變更等方面沒有規(guī)范可控的程序去應(yīng)對。開發(fā)和維護(hù)技術(shù)系統(tǒng)的使用流程企業(yè)對信息系統(tǒng)的依賴性使得業(yè)務(wù)運(yùn)行的穩(wěn)定對系統(tǒng)的敏感性越來越強(qiáng)。系統(tǒng)一方面在給企業(yè)的業(yè)務(wù) 運(yùn)作和管理帶來收益的同時，它的復(fù)雜性在另一方面也給企 業(yè)信息系統(tǒng)的管理帶來了很大的壓力。此時，企業(yè)應(yīng)該把信息技術(shù)管理部門作為一 個企業(yè)的經(jīng)營和管理中不可缺少的業(yè)務(wù)部門來看待。從業(yè)務(wù)部門管理的角度來看,需要有相應(yīng)的流程來實(shí)現(xiàn)業(yè)務(wù)需求；從信息技術(shù)部門管理的角

46、度來看，業(yè)務(wù)就是為系 統(tǒng)用戶或使用部門提供滿足他們業(yè)務(wù)需求的信息服務(wù)，確保信息應(yīng)用和技術(shù)解決手 段能夠得到很好的利用。COBIT 認(rèn)為對于實(shí)現(xiàn)信息技術(shù)部門業(yè)務(wù)的流程制定和維護(hù)的過程控制將直接影響到信息技術(shù)部門 是否能夠最終滿足業(yè)務(wù)部門對信息技術(shù)部門在信息服務(wù)方面 的要求。在 COBIT 中，這種控制體現(xiàn)在企業(yè)是否有結(jié)構(gòu)化的手段來制定和開發(fā)用戶 手冊、運(yùn)作流程、服務(wù)要求和培訓(xùn)材料等。另外還必須考慮其他方面的因素:業(yè)務(wù)流程設(shè)計(jì),程序的需求與技術(shù)交付的同等重要性，開發(fā)編制程序的及時性，用戶程序 和控制,運(yùn)作管理程序和控制，培訓(xùn)材料,變更管理。安裝和驗(yàn)收系統(tǒng)系統(tǒng)要滿足業(yè)務(wù)的需求不僅僅是選擇一套在功能上

47、符合業(yè)務(wù)要求的解決方案，更重要的是實(shí)施這個解決方案并使它能夠不斷滿足業(yè)務(wù)持續(xù)發(fā)展的需要。對系統(tǒng) 安裝和驗(yàn)收的過程控制是為了確保這個過程的有效性。在 ERP 系統(tǒng)的實(shí)施過程中通常我們會經(jīng)歷測試、上線、并行運(yùn)行和切換等環(huán)節(jié)。這些環(huán)節(jié)過程的有效性直接決定系統(tǒng)是否能夠最終成功投入使用。COBIT 對這個過程的控制，要求企業(yè)具備規(guī)范和標(biāo)準(zhǔn)的系統(tǒng)安裝、移植、切換 和驗(yàn)收計(jì)劃。同時還要 考慮:用戶和信息技術(shù)運(yùn)營管理人員的培訓(xùn)，數(shù)據(jù)轉(zhuǎn)換，測試 環(huán)境是否反映實(shí)際環(huán)境的特征，實(shí)施完成后的評估和反饋，最終用戶在測試時是否參 與,持續(xù)的質(zhì)量改進(jìn)計(jì)劃，業(yè)務(wù)連續(xù)性需求，系統(tǒng)能力和數(shù)據(jù)吞吐量的衡量，以及達(dá)成 共識的驗(yàn)收標(biāo)準(zhǔn)

48、。管理系統(tǒng)的變更信息系統(tǒng)是為業(yè)務(wù)部門服務(wù)的。但是企業(yè)的業(yè)務(wù)是在不斷變化和發(fā)展的，相應(yīng)的信息系統(tǒng)也必須與業(yè)務(wù)的發(fā)展同步。業(yè)務(wù)對信息系統(tǒng)需求的變化在信息化程度 高、業(yè)務(wù)依賴性較強(qiáng)的企業(yè)非常普遍。COBIT 提出了企業(yè)需要有一套針對現(xiàn)有信息系統(tǒng)進(jìn)行變更的管理體系，它包括對所有提出的系統(tǒng)變更進(jìn)行分析、實(shí)施和跟進(jìn)的管理。對于這套體系的控制將確 保由于變更而可能給企業(yè)帶來的風(fēng)險降低到最低限度。在對這個流程的控制中，需要考慮的因素有：變更的識別，分類、優(yōu)先確定和緊急處理程序，影響度評估,變更的 授權(quán)，變更后的發(fā)布管理，軟件的發(fā)布，工具的使用，配置管理，業(yè)務(wù)流程的重組。COBIT 在獲得和實(shí)施這個控制域提出了

49、企業(yè)從獲取信息技術(shù)到實(shí)施完成 中對六個方面的過程控制。在這里需要說明的是,實(shí)施在這里的概念不僅僅是系統(tǒng)的安裝和調(diào)試，而是最終符合業(yè)務(wù)需求才能認(rèn)為 是實(shí)施的完成。從企業(yè)需 求動態(tài)變化的角度來看,獲得和實(shí)施這個過程是一個循環(huán)的過程，因此對于 這個 過程中 COBIT所提出的六個目標(biāo)控制過程的監(jiān)督也是循環(huán)進(jìn)行的。出版日期：2003-10-13IT 規(guī)劃和組織的控制COBIT 系列講座之一漢道信息技術(shù)咨詢有限公司IT 治理的提出，為企業(yè)在實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的同時平衡 IT 投資和風(fēng)險方面提供一種 機(jī)制。為了確保企業(yè)能夠?qū)崿F(xiàn)業(yè)務(wù)目標(biāo)，實(shí)現(xiàn)在風(fēng)險管理和收益實(shí)現(xiàn)間的有效平衡 指導(dǎo)和管理各類 IT 活動就顯得非常迫

50、切。國際信息系統(tǒng)審計(jì)與控制協(xié)會提出了 信息系統(tǒng)和技術(shù)控制目標(biāo)（COBIT。作為 IT 治理的核心模型,COBIT 包含 34 個 信息技術(shù)過程控制，并歸集為四個控制域：IT 規(guī)劃和組織（Planning andOrganization、系 統(tǒng)獲得和實(shí)施（Acquisition and Implementation、交付與支持（Deliveryand Support 以及信息系 統(tǒng)運(yùn)行性能監(jiān)控（Monitoring。在本次系列講座中 我們將對每一個控制域（Control domains 內(nèi)的過程控制有選擇的展開論述。對于一個在 IT 應(yīng)用方面成熟的企業(yè)，任何在 IT 方面投資，之前都會有一個詳細(xì)

51、 的規(guī)劃和論證過程。同時，信息組織結(jié)構(gòu)和職能的優(yōu)化也是伴隨著IT 投入而展開 的。在 COBIT 中,IT 規(guī)劃和組織是一個控制 域。在這個域中,COBIT 列出了 11 個 需要控制的流程（Processes 分別如下：定義 it 戰(zhàn)略規(guī)劃在 cobit 中,要求通過戰(zhàn)略規(guī)劃，為企業(yè)提供長期并符合企業(yè)發(fā) 展目標(biāo)的 it 規(guī)劃，并且定期將這目標(biāo)轉(zhuǎn)換成可以操作的短期實(shí)施計(jì)劃。在it 規(guī)劃和組織中首先提出需要控制的流程是：對企業(yè) it 戰(zhàn)略規(guī)劃制定的控制。該控制確保企 業(yè)在制定計(jì)劃時考慮到這些因素：企業(yè)的業(yè)務(wù)戰(zhàn)略，明確定義了 it 是如何支撐業(yè)務(wù)目 標(biāo)實(shí)現(xiàn)的，目前的技術(shù)解決方案和架構(gòu)的情況、技術(shù)發(fā)

52、展趨勢，可行性研究與對比、 現(xiàn)有系統(tǒng)的評估，企業(yè)在風(fēng)險控制、市場反應(yīng)和質(zhì)量方面所處的地位等等。定義信 息結(jié)構(gòu)信息孤島是目前許多企業(yè)所面臨的一個問題。造成信息孤島的原因是多方面的，有管理方面的原因，但更重要的是企業(yè)在 it 規(guī)劃和組織過程中沒有 對企業(yè)的信息架構(gòu)（architecture 有個明確的定義。在 cobit 的it 戰(zhàn)略規(guī)劃和組織中,對定義信息 結(jié)構(gòu)這個流程有個明確的控制目標(biāo)?？?制的對象是建立和維護(hù)業(yè)務(wù)信息模型，確保企業(yè)獲得合適信息系統(tǒng)的整個流程是否 合理。具體控制評估的內(nèi)容包括：數(shù)據(jù)字典、數(shù)據(jù)語法規(guī)則、數(shù)據(jù)使用權(quán)限和安 全定義、反映業(yè)務(wù)特征的信息模型以及企業(yè)信息架構(gòu)的標(biāo)準(zhǔn)。確定技

53、術(shù)方向it 在企業(yè)中的作用是服務(wù)于業(yè)務(wù)自身 的需要，那么企業(yè)在決定信息技術(shù)方向時必須有一 個能夠很好制定和管理技術(shù)選擇的流程，而這個流程就是要確保技術(shù)能夠很好地實(shí) 現(xiàn)企業(yè)對產(chǎn)品、服務(wù)和交付能力的期望。對于這樣的流程，cobit 提出需要考 慮的控制細(xì)節(jié)。它包括:現(xiàn)有技術(shù)架構(gòu)的能力，通過可靠的資源對技術(shù)發(fā)展進(jìn)行跟蹤，實(shí)行概念論 證，明確技術(shù)實(shí)現(xiàn)的風(fēng) 險和機(jī)遇、技術(shù)獲取計(jì)劃、技術(shù)切換策略，明確與技術(shù)供應(yīng)商 的關(guān)系，獨(dú)立的技術(shù)再評估和軟硬件價格性 能的變更等管理。定義 it 組織與內(nèi)部關(guān) 系信息技術(shù)在企業(yè)中的成功應(yīng)用已經(jīng)越來越不是技術(shù)本身所能決定的事了，而是需要企業(yè)具備完善的 it 決策服務(wù)組織體系

54、去實(shí)現(xiàn) it 在企業(yè)中的價值。cobit 對于定 義 it 組織與內(nèi)部關(guān)系的流程控制提出了 11 個控制目標(biāo)和方向，它們是:董事會對 it 所擔(dān)負(fù)的職責(zé),管理層對 it 的監(jiān)督和指導(dǎo)，it 與業(yè)務(wù)的匹配，在企業(yè)關(guān)鍵戰(zhàn)略決策中 it 的融入,組織的靈活性，角色與職責(zé) 的清晰，平衡監(jiān)督和放權(quán)的關(guān)系，工作描述，安 全、質(zhì)量和內(nèi)部控制等的組織定位，責(zé)權(quán)分離等。it 投資管理企業(yè)每年在 it 方面的 預(yù)算和支出都在增長。對于it 投資決策和資金使用管理的流程控制是確保 企業(yè)信 息化建設(shè)有效開展的關(guān)鍵。對于這個決策和管理的控制，cobit 提出了建立滾動的投 資和運(yùn)營預(yù)算 并要求必須獲得業(yè)務(wù)部門的批準(zhǔn)。在

55、這個過程中，需要考慮的控制內(nèi)容包括：籌資方式的選擇、清晰的預(yù)算所有 權(quán)、實(shí)際支出的控制、成本 的合理性、收益的合理性和收益實(shí)現(xiàn)的追溯、技術(shù)和 應(yīng)用軟件的生命周期、與企業(yè)業(yè)務(wù)戰(zhàn)略的匹配程度、影響力分析和資產(chǎn)的管理。溝通 it 管理層目標(biāo) 企業(yè)中，管理層在 it 方面的目標(biāo)（aims 和方向需要通 過合適的渠 道和流程由上至下傳達(dá)，同時要確保用戶的意識和對這些目標(biāo)的正確理解。cobit 對于該控制目標(biāo),提出了企業(yè)需要有清晰的 it 目標(biāo)描述，技術(shù)應(yīng)用方向應(yīng)該與企業(yè)的業(yè) 務(wù)目標(biāo)緊密相連，具備行為 規(guī)范，質(zhì)量承諾，安全與內(nèi)部控制政策，安全與內(nèi)部控制規(guī) 范、持續(xù)的共同計(jì)劃以及檢驗(yàn)法律法規(guī)的遵守性。這些對溝