一、什麼是COBIT?
COBIT(Control Objectives for Information and related Technology):即信息系統和技術控制目標。成立於1969年的美國信息系統審計與控制協會(ISACA),於1996推出了用於“IT審計”的知識體系COBIT。“IT審計”已經成爲衆多國家的政府部門、企業對IT的計劃與組織、採購與實施、服務提供與服務支持、監督與控制等進行全面考覈與認可的業界標準。相應地,“註冊信息系統審計師”(CISA)日益成爲世界各國發展信息化過程中,爭相發展的新興職業和領域。作爲IT治理的核心模型, COBIT包含34個信息技術過程控制,並歸集爲四個控制域:IT規劃和組織(Planning and Organization)、系統獲得和實施(Acquisition and Implementation)、交付與支持(Delivery and Support)以及信息系統運行性能監控(Monitoring)。 COBIT目前已成爲國際上公認的IT管理與控制標準。
COBIT 5於2012年6月發行,它鞏固並集合了COBIT 4.1, Val IT 2.0和RISK IT框架,同時從BMIS和ITAF中汲取了部分內容。它爲企業IT治理和管理提供的新一代指引,是以來自商務、IT、風險、安全和鑑證團體的衆多企業和用戶對 COBIT 超過 15 年的實際使用和應用爲依據而構建的,COBIT 5提供一種全面的框架,以支持企業實現其企業 IT 治理和管理的目標。簡而言之,就是幫助企業通過維持實現利益、優化風險等級及資源利用之間的平衡,從而創造源自於 IT 的最佳價值。COBIT 5 能夠爲整個企業使 IT 在整體上得以治理和管理,並承擔整個端到端業務和 IT 功能區域的責任,同時兼顧內外部利益相關者與IT 相關的利益。COBIT 5 通用和實用於各種規模的機構,無論是商務、非營利、或公共機構。
COBIT標準認證機構網站網址:http://www.isaca.org/
二、COBIT的主要組件
- 框架(Framework):按IT領域和流程組織IT治理目標和良好實踐,並將其與業務需求聯繫起來。
- 流程描述(Process descriptions):組織中每個人的參考流程模型和通用語言。 流程映射到計劃,構建,運行和監視的職責區域。
- 控制目標(Control objectives):提供一套完整的高級要求,供管理層考慮以有效控制每個IT流程。
- 管理準則(Management guidelines):幫助分配職責,達成目標,衡量績效並說明與其他流程的相互關係。
- 成熟度模型(Maturity models):評估每個流程的成熟度和能力,並幫助彌補差距。
三、 COBIT 5的原則
COBIT 5基於對企業IT的有效管理和治理必不可少的五項原則:
將其翻譯成中文:
- 原則1:滿足利益相關者的需求
- 原則2:涵蓋企業的端到端
- 原則3:應用單個集成框架
- 原則4:採用整體方法
- 原則5:將治理與管理分開
這五項原則使組織可以建立基於七個“推動者”(enablers)的IT治理和管理的整體框架:
- 人員,政策和框架
- 工藝流程
- 組織架構
- 文化,道德與行爲
- 信息
- 服務,基礎架構和應用
- 人員,技能和能力
這些原則和促成因素共同使組織能夠使其IT投資與其目標保持一致,以實現這些投資的價值。
四、企業使用COBIT的原因
COBIT型是企業戰略目標和信息技術戰略目標的橋樑,使得信息技術目標和企業戰略目標之間實現互動。
該框架的意義在於:COBIT實現了企業目標與IT治理目標之間的橋樑作用。
首先,COBIT考慮了企業自身的戰略規劃,對業務環境和企業總的業務戰略進行分析定位,並將戰略規劃所產生的目標、政策、行動計劃作爲信息技術的關鍵環境,並由此確定IT準則。
IT爲企業戰略提供了基於技術的解決方案,爲滿足業務戰略需求提供了技術與工具。在IT準則的指導下,利用控制目標模型,分別從規劃與組織、獲取與實施、交付與支持、監控等過程進行控制、管理信息資源。在IT管理的同時,引入審計指南,從而保證IT資源管理的安全性、可靠性和有效性。
COBIT實現可跟蹤的業績衡量,通過平衡記分卡可以在財務(企業資源管理)、客戶(客戶關係管理)、過程(內部網,工作流工具)、學習(知識管理)等方面維持平衡,評價企業目標的實現情況以及IT績效,並調整業務目標和IT戰略,進行持續的IT管理。
COBIT採用成熟度模型,可以定位自己企業的IT管理目前在業界所處的位置,以及未來努力的方向,通俗地說就是給IT管理“打分”。
COBIT還提供了目前最佳案例和關鍵成功因素(CSF),供企業和組織借鑑。
從內容上看,COBIT覆蓋了從分析&設計到開發&實施到運營、維護的整個過程。對於分析&設計,重點目標是IT與業務的需求,根據業務目標細化IT戰略,確定待開放的IT系統,進行相應的系統分析和設計。在分析與設計這樣一個流程範圍中,比我們傳統所說的信息系統的分析與設計要寬廣得多,它強調的是 IT的戰略要符合業務的戰略,任何信息系統的開發都應該與業務戰略保持精確的校準。從業務戰略的高度來分析和設計信息系統。提供這個階段主要是考察組織的需求,同時根據這些需求設計合理的資源組合,設立合理的服務級別、目標,提供滿足客戶需求的IT服務。這個階段對IT應用已上升到IT服務管理的階段。主要解決下面的問題,爲滿足客戶的需要提供哪些資源,這些資源之間的成本是多少,如何在服務成本和服務的效益間達到一個恰當的平衡點。在支持這個層面,主要是如何滿足客戶提出的IT需求,以支持服務的需求。 COBIT上層是對IT運行進行外部控制和內部審計,以確保IT與業務實現精確校準,同時實現對IT應用持續不斷的應用和改進。COBIT覆蓋整個信息系統的全部生命週期,其視野是最爲開闊的。