COBIT 5 培訓.ppt

ACOBIT5Overview 25Jun2015 1 陳一中 CSST 1 What sCOBIT2 TheEvolution3 TheITGFocusAreas ValueofCOBIT4 WhyCOBIT5 05 ProductFamily6 COBIT5 0Principles7 TheGovernanceObjective ValueCreation8 GoalsCascade9 GovernanceApproach10 FrameworkIntegrator11 Enablers12 EDMModel13 ProcessReferenceModel14 ProcessCapabilityModel Outline 3 1 COBIT What sCOBIT COBIT ControlObjectivesforInformationandRelatedTechnology COBIT是一個在國際上得到公認的 先進的和權威的安全與信息技術管理和控制標準 它在業(yè)務風險 控制需要和技術問題之間架起了一座橋梁 它可以輔助管理層進行IT治理 指導組織有效利用信息資源 有效地管理與信息相關的風險 面向業(yè)務是COBIT的主題 它不僅是為用戶和審計師而設計 而且更重要的是它可以作為管理者及業(yè)務過程的所有者的綜合指南 COBIT真正關注的問題是 企業(yè)是否具備適當?shù)目刂屏?以確保符合相關的管理規(guī)定 它幫助企業(yè)確定他們是否正在做他們表示要做的事 以及他們是否可以證明這一點 1996 1998 2000 2005 7 2012 COBIT1 COBIT2 COBIT3 COBIT4 0 4 1 COBIT5 0 Audit Control Management ITGovernance GovernanceofEnterpriseIT 2 COBIT theevolution Evolution 4 1996ISACF審計指南 1998ISACF控制目標 2000ITGI管理指南 2005ITGI治理與管理 2012ISACA組織治理 5 3 ITGfocusAreas COBITValue IT治理關注的領域戰(zhàn)略定位 IT與企業(yè)運營保持一致價值交付 優(yōu)化成本和證明IT的內(nèi)在價值風險管理 風險意識 風險偏好 合規(guī)需求資源管理 關鍵IT資源的最優(yōu)投資和恰當管理性能測量 跟蹤和監(jiān)控 COBIT的價值 通過實施COBIT 增加了管理層對控制的感覺及支持 COBIT使IT管理工作簡易并量化 減輕對復雜信息系統(tǒng)管理工作的難度 并且可以應用在每天都發(fā)生的各種新問題中 COBIT提供一種國際通用的IT管理及問題解決方案 COBIT有助于提高信息系統(tǒng)審計師的影響力 COBIT框架可以幫助決定過程責任 提高IT治理水平 6 2012年4月10 ISACA官方即將正式發(fā)布CobiT5 0 這是COBIT發(fā)展16年來最重大的一次變化 CobiT5 0是建立在CobiT4 1的基礎上 并通過整合其他重要框架 重要框架主要包括 ISACA sValIT RiskIT及其他相關的國際標準 對CobiT4 1進行擴展而成 CobiT5 0提供了一個組織IT治理的端到端業(yè)務視圖 該視圖反映了信息技術在創(chuàng)造業(yè)務價值時的重要作用 該框架中提供了全球廣泛認可的原則 最佳實踐 分析工具和模型可幫助組織獲得對信息系統(tǒng)的信任并從中產(chǎn)生價值 CobiT5 05大本質(zhì)1 幫助您通過提高IT相關風險的管理能力 增強業(yè)務與IT的溝通 提高業(yè)務目標的IT交付以從IT中獲取更多的價值 降低IT成本 增強企業(yè)競爭力 2 能夠通過IT治理和管理的業(yè)務框架滿足業(yè)務領導和IT領導的需求 3 能夠滿足整個企業(yè)內(nèi)利益相關者的需求 并且為更有效的決策闡明目標 4 提供一套整合其他方法和標準的端到端框架 以解決組織的所有領域 5 代表了全球近百位專家的集體智慧 4 WhyCOBIT5 0 7 5 COBIT5ProductFamily COBIT5產(chǎn)品系列包含以下產(chǎn)品 COBIT5 框架 COBIT5促成因素指南 在指南中詳細討論了治理和管理促成因素 它們包括 促成流程 促使信息 開發(fā)中 其它促成因素指南 COBIT5專業(yè)指南 包括 實施 信息安全 保障 風險 其它專業(yè)指導 8 6 COBIT5Principles 9 7 TheGovernanceObjective ValueCreation 1 MeetingStakeholderNeeds 10 8 GoalsCascade 1 MeetingStakeholderNeeds 11 8 GoalsCascade 12 8 GoalsCascade 13 14 9 GovernanceApproach 2 CoveringtheEnterpriseEnd to end 15 圖9 關鍵角色 活動和關系 角色 活動和關系 9 GovernanceApproach 2 CoveringtheEnterpriseEnd to end 16 COBIT5促成因素 知識庫內(nèi)容漏斗 10 FrameworkIntegrator 3 ApplyingaSingleIntegratedFramework 17 10 FrameworkIntegrator SITC Service Security ISO31000 ISO38500 BS25999 Prince2PMBOK COBIT ITILV3 ISO27001 ISPL SCAMPI TOGAF Security AvailabilityMgt ISO17799 ISO13335 ISO9001 ITGRC QualityManagementSystem ITGovernance ServiceMgt Governance RiskMgt ISO15408 ProjectMgt Newservice ITILv2 ITGovernance ITSCM GovernanceRisk compliance TicketIT NIST800 SLM BR ConfigurationMgt ITSM SupplierMgt Mgtsystem Org Finance CapacityMgt ISO15504 Appraisal auditMgt MOF MSF ISO20000 ValIT 3 ApplyingaSingleIntegratedFramework Valuedelivery BCMDR BusinessContinueMgtDisasterRecovery 18 10 FrameworkIntegrator 3 ApplyingaSingleIntegratedFramework ISO38500 ISO20000 ISO27001 COBITfoundationexam ITILFoundationexamServiceManagerExpert CISA CISMCISSP BUSINESS INDIVIDUAL Certificationsoverview 19 11 Enablers 4 EnablingaHolisticApproach 20 20 11 Enablers 4 EnablingaHolisticApproach 21 調(diào)整 規(guī)劃和組織 APO 建立 獲取和實施 BAI 交付 服務和支持 DSS 監(jiān)控 評價和評估 MEA COBIT5流程參考模型將企業(yè)IT治理和管理流程分為兩個主要流程領域 治理 包括5個治理流程 在每個流程內(nèi) 定義了評估 指導和監(jiān)控 EDM 實踐 管理 包含四個領域 根據(jù)責任區(qū)域的規(guī)劃 構建 運行和監(jiān)控 PBRM 并提供IT端到端的覆蓋 這些領域是COBIT4 1域和流程結構的演變 這些領域的名稱是根據(jù)主要領域的標識選擇的 但包含了更多的動詞描述他們 5 SeparatingGovernanceFromManagement 12 EDMModel 22 5 SeparatingGovernanceFromManagement 12 EDMModel IT治理國際標準 ISO38500ISO IEC38500 2008可以用于任何規(guī)模的組織 包括公 私有性質(zhì)的公司 政府機構以及非營利組織 這一標準提供了一個IT治理的框架 以協(xié)助組織高層管理者理解并履行其組織IT使用的既定職責 實現(xiàn)IT治理的有效性 可用性及效率 1 主要內(nèi)容 范圍 應用與目標良好的IT治理框架IT治理指南2 指導準則 職責分工IT支持組織發(fā)展可獲得性可用性合規(guī)性尊重人性因素 以人為本 3 治理機制 EDM模型評價指導監(jiān)控 有效的IT治理應當是可實施的 具有一致性的 EDM模型聚焦于更廣泛層次的IT治理 它略微不同于管理者典型使用的PDCA模型 在這一模型中 管理者依據(jù)業(yè)務壓力與業(yè)務需求來監(jiān)控 Monitor 并評價 Evaluate 組織的IT使用 而后指導 Direct 實施政策方針彌補差距 EDM模型 12 EDMModel 24 24 24 企業(yè)IT治理流程 13