COBIT标准
出自 MBA智库百科(https://wiki.mbalib.com/)
COBIT标准认证机构网站网址:http://www.isaca.org/
目录 |
COBIT(Control Objectives for Information and related Technology):即信息系统和技术控制目标。成立于1969年的美国信息系统审计与控制协会(ISACA),于1996推出了用于“IT审计”的知识体系COBIT。“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。相应地,“注册信息系统审计师”(CISA)日益成为世界各国发展信息化过程中,争相发展的新兴职业和领域。作为IT治理的核心模型, COBIT包含34个信息技术过程控制,并归集为四个控制域:IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)以及信息系统运行性能监控(Monitoring)。 COBIT目前已成为国际上公认的IT管理与控制标准。
COBIT目前已成为国际上公认的IT管理与控制框架,已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效地利用信息资源,有效地管理与信息相关的风险。
COBIT有6个组件:
- Executive Summary
- Management Guidelines
- Framework
- Control Objectives
- Implemenation Toolset
- Audit Guidelines
COBIT型是企业战略目标和信息技术战略目标的桥梁,使得信息技术目标和企业战略目标之间实现互动。
该框架的意义在于:COBIT实现了企业目标与IT治理目标之间的桥梁作用。
首先,COBIT考虑了企业自身的战略规划,对业务环境和企业总的业务战略进行分析定位,并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境,并由此确定IT准则。
IT为企业战略提供了基于技术的解决方案,为满足业务战略需求提供了技术与工具。在IT准则的指导下,利用控制目标模型,分别从规划与组织、获取与实施、交付与支持、监控等过程进行控制、管理信息资源。在IT管理的同时,引入审计指南,从而保证IT资源管理的安全性、可靠性和有效性。
COBIT实现可跟踪的业绩衡量,通过平衡记分卡可以在财务(企业资源管理)、客户(客户关系管理)、过程(内部网,工作流工具)、学习(知识管理)等方面维持平衡,评价企业目标的实现情况以及IT绩效,并调整业务目标和IT战略,进行持续的IT管理。
COBIT采用成熟度模型,可以定位自己企业的IT管理目前在业界所处的位置,以及未来努力的方向,通俗地说就是给IT管理“打分”。
COBIT还提供了目前最佳案例和关键成功因素(CSF),供企业和组织借鉴。
从内容上看,COBIT覆盖了从分析&设计到开发&实施到运营、维护的整个过程。对于分析&设计,重点目标是IT与业务的需求,根据业务目标细化IT战略,确定待开放的IT系统,进行相应的系统分析和设计。在分析与设计这样一个流程范围中,比我们传统所说的信息系统的分析与设计要宽广得多,它强调的是 IT的战略要符合业务的战略,任何信息系统的开发都应该与业务战略保持精确的校准。从业务战略的高度来分析和设计信息系统。提供这个阶段主要是考察组织的需求,同时根据这些需求设计合理的资源组合,设立合理的服务级别、目标,提供满足客户需求的IT服务。这个阶段对IT应用已上升到IT服务管理的阶段。主要解决下面的问题,为满足客户的需要提供哪些资源,这些资源之间的成本是多少,如何在服务成本和服务的效益间达到一个恰当的平衡点。在支持这个层面,主要是如何满足客户提出的IT需求,以支持服务的需求。 COBIT上层是对IT运行进行外部控制和内部审计,以确保IT与业务实现精确校准,同时实现对IT应用持续不断的应用和改进。COBIT覆盖整个信息系统的全部生命周期,其视野是最为开阔的。
概括而言,COBIT的主要优点如下:
COBIT是一个非常有用的工具,也非常易于理解和实施,可以帮助企业在管理层、IT与审计之间交流的鸿沟上搭建桥梁,提供了彼此沟通的共同语言。几乎每个机构都可以从COBIT中获益,来决定基于IT过程及他们所支持的商业功能的合理控制。当我们知道这些业务功能是什么,其对企业的影响到什么程度时,就能对这些事件进行良好的分类。所有的信息系统审计、控制及安全专业人员应该考虑采用COBIT原则。
通过实施COBIT,增加了管理层对控制的感知及支持。COBIT帮助管理层懂得如何控制影响、业务功能。COBIT提供的实施工具集包括优秀的案例资料(提供模板业务过程,使得优秀范例能够迅速移植),有助于向管理层很好地表述IT管理概念。管理层在基于最佳控制实践基础上做出正确决策的能力亦得到了提高。
COBIT使IT管理工作简易并量化,减轻对复杂信息系统管理工作的难度。对于那些不具有广博IT知识的人来讲,是一个认清信息技术的有价值的工具。它也使得信息系统审计师具有与IT专业人员相同的专业广度,并且可以询问IT工程相关的问题。
COBIT提供了一种国际通用的IT管理及问题解决方案,普遍适用于各种不同的业务项目和审计,并且既包容了当前的情况,也提供将来可能会使用到的指导方针。
COBIT有助于提高信息系统审计师的影响力,依据COBIT出具的信息系统审计报告,更容易得到管理层的肯定。
COBIT框架可以能够帮助决定过程责任,提高IT治理水平。通过应用该框架进行责任分析,可以做到基于角色的IT管理,定义过程措施,确保客户利益。
总之,COBIT模型实现了企业战略与IT战略的互动,并形成持续改进的良性循环机制,为企业提供了具有一定参考价值的解决方案。因此,针对我国信息化存在的问题,借鉴COBIT的IT治理思想和框架,科学、系统地对信息及相关技术进行管理,逐步试行建立IT治理机制,对推动我国信息技术的发展和应用具有十分重要的现实意义。
COBIT的控制目标主要是针对信息系统的管理控制和运行控制,COBIT提出的控制目标可以应用到所有的信息系统,下面以COBIT的规划与组织、获取与实施、服务与支持、监控四个域及其高级控制目标为线索来谈谈COBIT标准在企业信息系统中的应用。
1、定义战略性的信息系统规划(Define a Strategic IT Plan)
系统规划是信息系统建设的第一步,包括信息系统的战略目标、政策和约束、计划和指标分析;信息系统本身的建设目标、建设模式;信息系统的功能结构、组织、人员管理;信息系统的效益分析和实施计划。规划的好坏对信息系统建设的成败有至关重要的影响。信息系统究竟包含哪些具体的内容和衡量指标?如何推进?推行信息系统的各项工作要经历哪几个发展阶段?这些都是我们在确立企业IT治理工作目标所必须回答的问题体现的是定义战略性系统规划的重要性。
整个信息系统的建设要以优化企业管理的核心业务流程,提高工作效率,更好地发挥企业宏观管理、综合协调与服务的职能为总体目标。因此,在建设信息系统的过程中,应以建设关键支撑体系为核心,以建设各个应用功能系统为阶段目标,在长期的建设过程逐渐与其他各个分立的信息管理系统,及各类信息化支撑体系融合并最终形成比较完整信息体系。
一套好的信息系统规划应当具备几个特点:
首先,规划本身应当明确无误而且易于理解,应当是一个可以为大多数人所理解和认同的概念。规划必须得到领导小组的认可;
其次,这套规划必须相对具体,它不仅要提出一个奋斗目标,而且还要说明如何才能够实现这个目标。换旬话说,我们不仅要明确发展企业要达到的终极目标,而且还要说明在企业现有的发展水平下,如何才能够多快好省地建设信息系统;
再次,规划目标应当是可衡量的。否则的话,我们就无从判断自己究竟是否是在向目标迈进,以及自己目前究竟处于哪个发展阶段。
最后,规划必须建立在对内外信息调查的基础上制定。
系统规划阶段投入的时间和精力越多,将来设计和实现的效果就越好,以后花的时间以及遇到的困难和波折也就越少。一个有效的系统规划有利干实现比较友好的系统界面,有利于合理分配和使用信息系统的资源,从而节省信息系统的投资;一个好的规划还可以作为一个标准,用来考核信息系统人员的工作,明确他们的方向,调动他们的积极性。
2.制定信息体系结构(Define the Information Architecture)
制定信息体系结构主要完成下列工作:
A.确定信息体系结构模型。
建立数据字典和数据处理的语法规则。这里要提一提的信息结构和数据与信息标准。信息结构是指信息的组织形式和结构,包括信息的长度、结构和信息间的相互关系。信息结构的定义要有利于信息系统的组织,通过建立并维护一个信息模式,建立一个合适的信息系统,以使企业信息能够被最优化地使用。信息结构包括以下几个内容:文档、数据字典、数据语法规则、数据的所有关系和分类。数据和信息标准主要是明确地定义和规定企业信息的标准和采集与应用的规范,此外,还应对政府信息的生命周期以及在其生命周期的每一个阶段的管理问题做出规定。
B.建立数据分类规划。
C.划分安全级别。从应用角度分析,企业的信息系统承载的信息流和数据很重要,对安全性、可靠性的有一定的要求。因此,在构建电子政务系统时,可以从三个层次处理问题:
(1)确保核心应用系统和关键环节在各类实施方案中的技术自主性,在此层次的应用系统中,技术的先进性不是首要的。这里需要指出的是,技术自主性的含义是比较广泛的。以软件技术为例,自主技术的软件并非特指在我国自行开发研制的系统平台上由国内技术人员所编制的软件,它可以包括由国内技术人员依靠国外的系统平台和开发平合编制的软件,甚至也可以包括直接由国外软件公司编制的软件,但其中的关键算法和重用接口必须为我方人员所掌握。
(2)对于位于核心层外部,但又与具他外部信息系统(如Internet)存在可监控的隔绝层的层次,可以尽量采用先进技术以提高系统的效率和可靠性。
(3)对于直接与外部信息系统相连的部分,要针对不同情况分别加以考虑。对于安全监控系统要在其核心部分(如核心加密算法)确保技术自主;对于其余部分,由于所承载的信息基本都属于非关键信息,并且需要与其他信息系统的接口保持通信协议、数据格式甚至软件体系的一致性,因此,不应强求对技术自主性的要求。
3.确定技术方向(Determine Technological Direction)
现代企业的发展离不开现代信息技术,由于企业所处的行业不同,采用的技术也不尽相同,每个企业在实施IT治理时一定要确定企业技术的大方向。建立一个开发信息系统的技术框架,充分利用已掌握和可获得的技术优势。通常企业的信息系统包括5个方面的技术:通信网络平台、计算机系统硬件和操作系统软件平台、数据库平合、应用软件平台、安全体系和安全标准。技术方向的选择必须同企业信息系统的开发需求匹配,既要保证技术的先进性,适应企业信息化发展的需要,同时又要充分考虑所需的资源、人力和设备的花费在预算的范围内。技术方向的选择必须满足以下要求:
A.为电子政务系统将来的扩展留有余地,采用的技术需要能无缝升级;
B.具有高度的可伸缩性、能够实现多系统并存所需的互操作能力,以及多种资源管理能力;
C.对技术基础架构进行规划;
D.时刻关注技术的发展趋势及其相关规则;
E.在技术飞速发展的情况下,尽量保证技术的基础架构的连贯性;
F.注意平衡硬件和软件采购;
G.注意技术的各种标准,尽量符合这些标准。
4.定义组织及其关系(Define the IT Organisation and Relationships)
A.实施IT规划或是建立各种领导委员会;
B.确立IT功能中的组织定位;
C.审视企业已经取得的成绩;
D.明确各自的职能与职责;
E.明确质量保障、逻辑与物理安全方面的职责;
F.确立所有权和管理人的职务;
G.确立数据和各个系统的所有权关系;
H.实施监控和职责划分;
I.明确IT员工的工作和位置;
J.明确各个人员、部门之间的关系;
5.IT投资管理(Manage the IT Investment)
随着企业信息化向纵深发展,IT投资越来越重要,因此要对IT投资实施有效的管理才能利企业IT治理。具体来说就是要做到:
A.每年都要进行IT操作预算;
B.对IT投资的成本和收益进行监控;
C.考察IT投资的成本和收益的正确性;
6.确立通信管理的目标和方向(Communicate Management Aims and Direction)
由于企业时刻处于现代化的网络环境,所以通信的好坏对于企业发展十分关键,因此在进行企业的组织和规划时,一定要确立通信管理的目标和方向。具体来说就是要做到以下几点:
A.为企业建立一个积极的信息控制环境;
B.明确企业方针中的管理职责;
C.在企业的政策中包括通讯方面的相关政策、通讯维护方面的政策以及协调各种通讯处理过程和标准的政策;
D.成立有关的通讯质量管理委员会;
E.指定有关安全和互联网控制框架的政策;
F.明确知识产权;
G.对于一些特殊的问题也要制定有关的处理政策;
H.建立有关通讯的IT安全预警机制;
7.人力资源管理(Manage Human Resources)
企业人力资源的管理是企业管理的重要方面,主要包括:员工的招聘、培训、升迁、储备与精简;如何提高员工的素质;不同部门员工的职责划分;员工工作绩效的评估、工作的终结与变更等方面。
8.保证规划与外部需求的协调一致(Ensure Compliance with External Requirements)
首先要审视外部需求;然后,实施符合外部需求的实践与处理过程,尽量使企业安全与人文环境协调一致,还要注意保证数据流和知识产权的合法权益;经常召开电子会议,集思广益;最后还要作到尽量保证企业规划与组织和保险合同协调一致。
9.资产风险(Assess Risks)
采用一定的评估方法和评价规则对对商业风险做出评估;然后制定风险行动计划,成立应对企业风险的委员会,制定应对风险的备选方案,估计企业可以承受的各种风险。
10. 项目管理(Manage Projects)
制定项目管理框架,在项目的最初阶段让用户部门也参与进来,规划主项目计划、系统质量保证计划与方法,明确项目组成员的职责,制定培训计划、测试计划和项目完成后的评审计划,最终定义项目并使其获得认可。
11. 质量管理(Manage Quality)
A.制定通用的质量管理规划
B.选择合理的质量保证方法
C.以符合IT标准和处理流程的质量保证为根本
D.采用生命周期的系统开发
E.对于现有技术的主要变革也采用生命周期的方法实施系统开发
F.及时更新系统开发的生命周期方法
G.注意协作与交流
H.为技术的基础框架维护框架
J.明确与第三方执行者的关系
K.制定程序测试标准、系统测试标准、文档生成标准
I.进行平行/引导测试
L.生成有关的系统测试文档
M.进行符合开发标准的质量评估
N.进行是否符合IT目标的质量评估
O.制定质量规则
P.生成质量保证方面的审查报告
1、确定自动化的解决方案(Identify Automated Solutions)
A.进行充分的系统需求分析
完成的系统分析必须满足以下四个方面的要求:
首先是一致性,所有的需求必须是一致的,任何一条需求不能和其他需求相互矛盾;
其次是完整性,需求必须是完整的,规格说明书应该包括行使政府职责的每一个功能或性能;
再次是现实性,制定的需求应该是用现有的硬件技术和软件技术可以实现的。对硬件技术的进步可以做些预测,对软件技术的进步则很难做出预测,只能从现有技术水平出发判断需求的现实性:
最后是有效性,需求必须确实能解决目前企业管理中面临的问题。
B.研究各种解决方案的可行性
可行性研究实质上是在较高层次上以较抽象的方式进行系统分析和设计的过程,目的是以最小的代价,在尽可能短的时间内确定问题是否能够解决。必须分析各种解决方案的利弊,从而判断系统的建设目标和规模是否现实,系统完成后为企业带来的社会效益和经济效益是否大到值得开发。对每一种解决方案,至少应该从以下三方面研究其可行性:
(1)技术可行性:使用现有的技术能实现这个系统吗?
(2)经济可行性:实施该系统带来的社会效益和经济效益能超过它的开发成本吗?
(3)操作可行性:系统的运作方式在目前企业的各部门中行得通吗?
C.制定信息技术标准,建立项目实施规范
主要的信息和技术标准有:
(1)业务系统标准代码体系、内部局域网域名命名标准、广域网域名命名标准、局域网IP地址命名标准、广域网IP地址命名标准。
(2)设计开发规范,包括设计开发过程涉及的全部标准规范主要有:业务流程设计规范、软件设计规范、数据库设计规范、用户界面设汁规范、用户分类授权机制设计规范、程序异常出口统一处理规范。
(3)软件开发规范,包括流程、测试、文档等方面的规范。
D.确定开发模式和开发方法
2、收集和维护应用软件(Acquire and Maintain Application Software)
首先,在确定开发方法的基础上,生成需求定义的有关文档。然后,确定设计方案,在该方案中要包括程序说明书、源数据的搜集方法、接口定义、用户界面定义、系统的输入、输出定义和相关文档等系统开发的重要内容;接着,对设计方案的可控性、关键设计要素的实用性、是否能提供IT整合等方面进行评价;最后,在获得通过的前提下,对现存系统进行大的调整与改变,并对该设计方案进行再一次的评价。
3、抓好基础体系结构的建设(Acquire and Maintain Technology Infrastructure)
信息系统的体系结构对整个信息系统的建设具有基础的重要性,因此企业的各个部门都要重视基础体系结构的建设工作。具体就是:正确评价新的硬件和软件;为硬件进行预防性质的维护工作;进行系统软件的安装、维护、安全性等方面的工作;对软件的改变进行控制管理;使用和监控系统中的各种工具。
4、开发的实施与维护(Develop and Maintain Procedures)
了解用户对操作的需求,根据服务层次的不同制作不同的操作手册,并提供一定的培训资料。
5、对系统实施安装和授权(Install and Accredit Systems)
开发、测试新系统后进入安装阶段,这时要指定安装实施计划,注意系统之间的转换、数据方面的转换。安装完毕后还要进行测试,起过程是:先制定测试策略和计划,然后对新安装的系统进行系统改变、系统安全、系统操作等方面的测试,具体测试时可以按照Parallel/Pilot的标准进行。最后当新系统通过测试后,从满足用户需求的角度对其进行评价,并总结。
6、对系统改变的管理(Manage Changes)
从一开始就要注重系统变革方面的要求,对变革造成的影响要有充分的评估,并实施必要的控制,生成有关文档,进行一定的维护与管理。
1. 定义服务层次并对其实施管理
制订服务层次框架,在框架中对于服务所涉及的各个方面、服务的处理流程、服务条款、服务的监控和有关报告的生成以及服务改进程序都要有明确的定义和说明。
2.管理好来自于第三方的服务
现代企业中有一些服务来自第三方,因此对第三方的服务也要实施良好的管理,具体就是要认真对待供应商所提供的第三方服务合同、外包合同;对于服务的所属权、安全关系质量保证和服务的连贯性进行管理与监控。
3、对服务的性能进行管理
首先要明确服务服务性能的要求及其可行性,指定可行的计划,对于资源的可用性和规划作到心中有数;然后利用建模工具实施有效的资源管理、性能管理,进行监控并生成有关报告,同时对工作符合做出预测。
4.保证服务的连续性
制定IT连贯性框架、策略和所遵循的原则;明确保证IT连贯性的具体内容;尽量把IT连贯性的要求降至最低;还要对有关人员进行这方面的培训。此外,系统需要具有高可靠性和高标准的故障恢复能力,因此要建立完善的备份系统。系统备份包括物理实体备份、通讯网络备份、数据备份和应用系统备份。一个完善的系统备份需要满足以下八个原则:稳定性、全面性、自动化、高性能、安全性、操作简单、实用性和容错性。
5.保证系统的安全
系统安全是企业信息系统管理中十分重要的环节,为了作好这方面的工作,首先要对资源访问进行授权和身份确认,进行数据分类,对可以在线访问的数据做出有关规定;管理好用户的账户,限制只有用户可以控制其账户;制定安全管理的评价细则,实施安全监控,密码管理,定期生成安全报告;限制管理权限;建立突发事件的处理机制;对于恶意侵犯要有一定防范措施;建立公共网络的防火墙体系结构。
6. 明确地划分成本
对可操控的成本做到心中有数,进行成本分配时按规定流程处理,注意用户的反馈。
7. 对用户实施培训、教育
明确用户对培训的需求,制定有计划的培训方案,保持对培训的敏感度,及时改进。
8.进行客户援助活动
上门为客户服务,细心分析客户提出的各种情况,解决可以解决的各种问题。
9. 配置管理
记录系统配置信息,明确系统配置基本要求和软件说明,实施配置控制,进行软件存储,对于未经授权的软件要有相应的处理措施。
10. 问题和突发事件的管理
建立问题管理系统,对问题进行跟踪处理,对于突然事件和临时性访问采取授权措施,并划分处理的优先权。
11. 数据管理
首先要作好数据的准备工作,建立源数据资源收集文档,及时处理文档中的和数据出入和处理过程中产生的错误,对这些文档的处理、数据的输入都要在授权的前提下进行,而且要进行数据的准确性、完整性和授权进行检查。同时,对于数据输出要进平衡与协调处理、错误处理、安全性检查。在交易和事务处理中要注意保护敏感信息,保证电子事务的完整性和数据存储的连贯性。此外,还要进行数据的存储管理,建立管理系统的媒介库,明确媒介库职责,还要作好各种备份工作。
12. 设施管理
这里提到的设施管理主要包括物理安全管理设施、IT站点低层框架、员工健康与安全、环境保护、能源供应等方面的各项设施的管理。
13. 操作管理
信息系统的运作与各种操作密不可分,所以操作管理也是发布与服务中很重要的环节之一。具体来说就是要建立操作过程及其指导手册,书写各种操作文档,生成操作日志,对工作安排要有规划地按标准进行,尽量保证工作的连贯性,对于输出设备要有相应的安全表格进行记录,此外还要注重远程操作的管理。
信息系统发布、实施之后要想使其健康地运作一行要采取有效的监控手段对其进行监控,及时发现系统的漏洞、缺陷等问题才行。在COBIT标准中对于监控工作的实施制订了如下规则:
1. 处理流程监控
对处理流程进行监控是监控中最基本的环节,具体来说,首先要收集各种监控数据,评价各种性能,然后对于用户的满意度进行评价,最后生成相应的管理报告。
2. 对内部控制实施适当的评价
对于企业内部的控制也要进行及时的、必要的监控,保证操作安全和内部控制的顺利进行并生成有关报告。
3. 获得独立性的保证(Obtain Independent Assurance)
管理的独立性涉及IT服务、第三方服务提供商的安全独立性和内部控制的合格性鉴定等相关方面,为此,我们要对IT服务和第三方服务是否实现了有效的独立性进行正确的评价,同时,还要在符合法律和有关法规的前提下确保IT服务和第三方服务的独立性,实现独立性的各项功能,并在其中包括审计的成分。
4. 为独立审计提供必要的条件(Provide for Independent Audit)
内部信息系统审计部门,从组织地位上来讲必须独立于政府的IT职能部问和最终用户部门。内部审计应遵循以下步骤:
首先确定待审计的信息系统的边界和范围,明确审计的目的;
其次,选择适当的审计方法,如结果观察法、类比一对比法、专家评价法或评分法等,确定适当的评估指标,
然后,收集有关数据、资料进行分析、计算,得出审计结果,并做出审计报告;
最后的审计报告不应该包含专业术语,以便企业管理层即使不懂信息系统也能理解审计报告,知道问题的所在,做出正确的决策。