点击下载《Cobit 3.0(英文版)》(3462 KB)
COBIT的全名是Control Objectives for Information and related Technology,是一个由美国负责信息技术安全 与控制参考架构的组织ISACA(Information Systems Audit and Control Association)在1996年所公布的业界标准,目前已经更新至第四版,是国际上公认的最先进、最权威的安全与信息技术管理和控制的标准(本文介绍的仅是第三版)。 COBIT归纳了世界上18项相关的来源,形成了一套专供企业经营者、使用者、IT专家、MIS审计员与安控人员来强化和评估IT管理和控制的规范。
COBIT 架构的主要目的是为提供业界提供关于IT控制的一个清楚的政策和发展的良好的典范,这个架构共有34个IT的程序,分成四个领域:PO(Planning & Organization)、AI(Acquisition & Implementation)、DS(Delivery and Support)、和Monitoring,所有的程序中包含了302个控制目标,全都提供了最佳的施行指导。
以下是分类介绍:
1. 管理指导方针(Management Guidelines):包括了成熟度模型(Maturity Models)来帮助决定每一个控制阶段和期待的水准是否符合产业的规范;关键成功因素法(Critical Success Factors)用来辨认IT程序中达成控制最重要的活动;关键目标指标法(Key Goal Indicators)来定义绩效的目标水准;而关键性能指标法(Key Performance Indicators)则用来测量IT控制的程序是否能达到目标。这些指导方针都是为了要确保企业能成功及有效地整合企业业务流程与信息系统。
2. 管理者摘要(Executive Summary):健全的企业决策在于实时、恰当和简要的信息,这里提供了让分秒必争的资深管理阶层了解COBIT关键概念和原则的综述及让他们更深入了解COBIT细节的四个领域及34个相关IT程序的概要架构。
3. 架构(Framework):一个成功的组织是建构在一个数据和知识的坚固架构上,所以在这个部分详细描述了COBIT的34个IT高层次的控制目标,并且指出了企业对信息标准的要求(效果、效率、隐私性、真确性、可用性、承诺、可靠性)和IT资源(人力、应用、技术、能力和数据)上的需求是如何紧密的融入各个控制目标中。
4. 审计指导方针(Audit Guidelines):为了要达成所期待的目标,必须要持续和确实地审计所有的程序。这里建议了关于34个IT高层次的控制目标的审计步骤,来协助信息系统的审计员来检验IT的程序是否符合302的个别的控制目标,以提供管理上的保证和改进的建议服务。
5. 控制目标(Control Objectives):在科技不断变化的环境中能维持赢利的关键在于如何维持良好的控制。COBIT的控制目标为IT控制提供了一个用来明晰策略和良好的实施指导的关键方针,包括了用来达成所期待目的或结果的302个别控制目标的详细说明。
6. 应用工具集(Implementation Tool Set):包括了管理意识(Management Awareness)、 IT控制的诊断(IT Control Diagnostics)、应用指导(Implementation Guide)、常见问题集(FAQs)、应用COBIT组织的个案研究(Case Studies)及介绍COBIT的相关教材(Slide resentations)。这些新的工具组主要是设计让COBIT的应用更为容易、让组织能快速地且成功地从教材中学到如何在工作环境应用COBIT、并且让领导层思考COBIT对企业目标的重要性。 以上是COBIT初步的概念,下面再进一步介绍其四大领域和34IT的程序:
一、PO(Planning & Organization)
1. 定义一个策略性的IT计划
2. 定义信息的架构
3. 决定采用技术的方向
4. 定义IT组织及其关系
5. 管理对IT的投资
6. 管理目标和方向的沟通
7. 管理人力资源
8. 确保遵循外部的条件
9. 资产风险
10. 项目管理
11. 品质管理
二、AI(Acquisition & Implementation)
1. 辨识解决方案
2. 应用软件的取得与维护
3. 技术架构的取得与维护
4. IT程序的发展与维护
5. 系统的安装与确认
6. 变革管理
三、DS(Delivery and Support)
1. 定义服务的层次
2. 第三者提供服务的管理
3. 效果和能力的管理
4. 持续服务的确保
5. 系统安全的确保
6. 成本的确认和分摊
7. 使用者的教育和训练
8. 对IT客户的协助和建议
9. 型态设定的管理
10. 问题和意外事件的管理
11. 数据的管理
12. 相关设施的管理
13. 运营管理
四、M(Monitoring)
1. 流程监测
2. 内部控制适当性的评估
3. 自主性保证的获得
4. 自主性审计的提供
COBIT 可应用在所有的企业信息系统,包括了个人计算机、小型计算机、大型主机和分布式运算环境,它建立在一个IT资源必须被一套自然分类的程序所管理的想法上,而这想法是为了要能提供组织要达成目标的适当且可靠的信息。目前 ISACA组织,针对 COBIT信息控制的专业,提供专业的认证,经认证的专家在欧美各国已协助执行计算机安全控制审计的历史已有十多年;针对网络安全的挑战,强化了许多控制管理的要项。目前我国已有十余名经考试与认证通过的国际计算机审计师(CISA: Certified Information Systems Auditor);美国电子签章法案,对电子凭证服务单位的信息安全控制,甚至要求具有CISA资格的人员执行独立性审计,以确认其安全管理的有效性,足见CISA的市场前景。