COBIT簡(jiǎn)介資料講解.doc

1、COBIT簡(jiǎn)介一、什么是 COBIT？COBIT的含義是“信息及其相關(guān)技術(shù)控制目標(biāo)”(ControlObjectivesforInformationand related Technology)，是一個(gè)在國(guó)際上得到公認(rèn)的、先進(jìn)的和權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)，它在業(yè)務(wù)風(fēng)險(xiǎn)、控制需要和技術(shù)問題之間架起了一座橋梁。面向業(yè)務(wù)是COBIT的主題，它不僅是為用戶和審計(jì)師而設(shè)計(jì)，而且更重要的是它可以作為管理者及業(yè)務(wù)過程的所有者的綜合指南。COBIT標(biāo)準(zhǔn)體系已在世界一百多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源， 有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。 COBIT從信息技術(shù)的規(guī)劃與組織、 采集

2、與實(shí)施、交付與支持、 監(jiān)控等四個(gè)方面確定了 34個(gè)信息技術(shù)處理過程， 每個(gè)處理過程還包括更加詳細(xì)的控制目標(biāo)、審計(jì)方針和對(duì) IT 處理過程進(jìn)行評(píng)估的方法。COBIT是由國(guó)際組織 ISACA(信息系統(tǒng)審計(jì)與控制協(xié)會(huì) ) 制定的， ISACA總部設(shè)在美國(guó)，在100多個(gè)國(guó)家設(shè)有 160個(gè)分會(huì)，現(xiàn)有會(huì)員超過 4萬(wàn)人。 ISACA主要負(fù)責(zé)制訂信息系統(tǒng)審計(jì)準(zhǔn)則、實(shí)務(wù)指南等專業(yè)規(guī)范來指導(dǎo)信息系統(tǒng)審計(jì)師的工作， ISACA 每年為通過考試為從業(yè)人員頒發(fā)CISA證書， CISA資格在世界各國(guó)被廣泛認(rèn)可。二、COBIT能給組織帶來的利益有助于大幅提高組織對(duì)IT 治理的接受程度，減少實(shí)施IT 治理所需的時(shí)間；對(duì)IT

3、審計(jì)方法與審計(jì)方案標(biāo)準(zhǔn)化，為正式的IT 審計(jì)與檢查提供指南，為識(shí)別所有的主要風(fēng)險(xiǎn)區(qū)域提供可靠的參考；IT 運(yùn)行管理人員通過COBIT可以了解審計(jì)師的關(guān)注點(diǎn)，有助于利用審計(jì)結(jié)果作為實(shí)施改善行動(dòng)的機(jī)會(huì)；是實(shí)現(xiàn) IT 治理目標(biāo)的驅(qū)動(dòng)力，可以幫助組織完善IT 實(shí)務(wù)和 IT 過程；為組織提供了一個(gè)經(jīng)濟(jì)的、可持續(xù)完善的控制框架，控制IT 建設(shè)過程中的風(fēng)險(xiǎn)，并提供一個(gè)有價(jià)值的參照基準(zhǔn)，使得管理層對(duì)控制的決策可以基于一個(gè)可信的來源；有助于在業(yè)務(wù)與IT 之間搭起溝通的橋梁，完善業(yè)務(wù)人員與IT 管理人員的關(guān)系三、COBIT的歷史COBIT第一版由信息系統(tǒng)審計(jì)與控制基金會(huì)（ISACF）于 1996年發(fā)布。COBIT

4、第二版于 1998年出版， 修訂了高層控制目標(biāo)與詳細(xì)控制目標(biāo)，增加了實(shí)施工具集（ Implementation Tool Set）信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）及其相關(guān)的基金會(huì)在1998年創(chuàng)立 IT 治理研究院(ITGI) ，由ITGI 制定并發(fā)布了 COBIT第三版， 加入了管理指南， 以及擴(kuò)展和加強(qiáng)了對(duì) IT 治理的關(guān)注；COBIT基于 ISACF的建立的 IT 控制目標(biāo)，參照了其他控制框架、行業(yè)標(biāo)準(zhǔn)；ITGI 于 2005年底發(fā)布了 COBIT第四版，這一版對(duì) IT 某些過程進(jìn)行了調(diào)整，強(qiáng)調(diào)了 IT 控制與 IT 治理五個(gè)領(lǐng)域的對(duì)應(yīng)關(guān)系四、COBIT框架模型如下所示的COBIT 模

5、型表明，企業(yè)在進(jìn)行IT 控制時(shí)，必須將IT 資源、信息準(zhǔn)則、IT過程與企業(yè)的策略與目標(biāo)緊密聯(lián)系起來，形成一個(gè)三維的體系結(jié)構(gòu)。其中，IT準(zhǔn)則集中反映了企業(yè)的戰(zhàn)略目標(biāo)，IT 資源是信息化控制的主要對(duì)象，IT 過程是在準(zhǔn)則指導(dǎo)下，管理IT資源的方式。如圖3 所示。COBIT控制框架為業(yè)務(wù)過程所有者提供了一個(gè)工具，以方便他們履行職責(zé)。該框架基于這樣一個(gè)簡(jiǎn)單和實(shí)用的前提：為了提供組織需要用來實(shí)現(xiàn)其目標(biāo)的信息，IT資源需要被一組自然組合的過程管理起來。該框架提出了34個(gè)的高層控制目標(biāo)，每個(gè)目標(biāo)都針對(duì)特定的IT 過程；這些高層控制目標(biāo)又可組合為策劃與組織、采購(gòu)與實(shí)施、交付與支持、監(jiān)控四大領(lǐng)域。這個(gè)體系覆蓋了

6、信息及其相關(guān)技術(shù)的所有方面。通過實(shí)現(xiàn)這 34個(gè)高層控制目標(biāo)， 業(yè)務(wù)過程所有者可以確保為IT 環(huán)境提供了一個(gè)充分的控制系統(tǒng)。五、COBlT的體系架構(gòu)COBIT具有完整的體系架構(gòu)，如下圖所示。上面的部分可以供董事會(huì)或者執(zhí)行層參考。中間部分關(guān)注管理層， 因?yàn)楣芾韺又匾暅y(cè)控和基準(zhǔn)。 下面部分提供了對(duì)實(shí)施的詳細(xì)支持， 并確保有足夠的 IT 控制和管理。在使用 COBIT時(shí)，可以綜合使用各個(gè)部分進(jìn)行管理， 因?yàn)?COBIT是面向過程的，所以，可以用它來了解IT 控制目標(biāo)并控制與IT 相關(guān)的商業(yè)風(fēng)險(xiǎn)。1執(zhí)行概要執(zhí)行概要 是對(duì) COBIT概念和原理的總體解釋， 執(zhí)行概要 定義了 COBIT中的概念和原理以及其

7、他各部分的大綱。為了提供組織為達(dá)到其目標(biāo)所需要的信息， IT 資源需要由一套整合的流程來管理。其中， COBIT把信息標(biāo)準(zhǔn)定義為 7 種：有效性、效率性、機(jī)密性、完整性、可用性、符合性、可靠性。 IT 資源定義為 5 類：人員、應(yīng)用、技術(shù)、設(shè)施、數(shù)據(jù)。IT 過程分為 4 個(gè)領(lǐng)域：計(jì)劃和組織、獲取和實(shí)施、交付和支持、監(jiān)控。這個(gè)結(jié)構(gòu)覆蓋了信息及其支撐技術(shù)的各個(gè)方面。2 控制框架COBIT的控制框架為企業(yè)過程擁有者提供了一個(gè)促進(jìn)其履行職責(zé)的工具，提供信息化控制指導(dǎo)。它指出這些IT 過程影響到哪些信息標(biāo)準(zhǔn)，涉及到哪些IT 資源，從而把IT過程、 IT 資源和信息連接到企業(yè)戰(zhàn)略和目標(biāo)上去，使計(jì)劃和組織、

8、獲取和實(shí)施、交付和支持、監(jiān)控 IT 績(jī)效以最優(yōu)的方式一體化，使企業(yè)充分利用其信息并因此而使利潤(rùn)最大化，抓住每一個(gè)機(jī)會(huì)，贏得競(jìng)爭(zhēng)優(yōu)勢(shì)。3管理指南管理指南 是 COBIT最近發(fā)展的理論，它進(jìn)一步加強(qiáng)企業(yè)管理以更有效地處理業(yè)務(wù)需求和信息化控制要求。 管理指南定義了IT 過程的成熟度模型，為管理者評(píng)估IT 過程的狀態(tài)提供了標(biāo)準(zhǔn)。同時(shí)也給出了一些重要的測(cè)度，這包括：關(guān)鍵成功因素、關(guān)鍵目標(biāo)指標(biāo)、關(guān)鍵績(jī)效指標(biāo)。幫助提供典型管理問題的答案：我們?cè)摽刂艻T 到什么程度，成本和收益是否相符 ?有沒有一個(gè)測(cè)量標(biāo)準(zhǔn)用于判斷何時(shí)肯定會(huì)出現(xiàn)失敗?怎樣才算是好的性能?關(guān)鍵成功因素是什么 ?哪些是影響我們實(shí)現(xiàn)組織目標(biāo)的風(fēng)險(xiǎn)，

9、其他的組織在做什么?我們應(yīng)該怎樣進(jìn)行測(cè)量與比較 ?COBIT 尤其是管理指南搭建了貫通業(yè)務(wù)風(fēng)險(xiǎn)、控制需要和技術(shù)問題這三者之間的橋梁。管理指南面向?qū)嵤?，是普遍情況的總結(jié)，同時(shí)為怎樣得到企業(yè)信息和相關(guān)的處理提供了管理方向，這些相關(guān)處理包括控制、監(jiān)控組織目標(biāo)成果、監(jiān)控和改進(jìn)每個(gè) IT 處理的性能和組織成就的基準(zhǔn)。4控制目標(biāo)COBIT框架結(jié)構(gòu)包含高層控制目標(biāo)和其分類的整體結(jié)構(gòu)。根本的分類理論是：考慮IT資源的管理時(shí)，就本質(zhì)而言，有三個(gè)層次的IT 行為。(1) 從底部開始，第一層是為達(dá)到一個(gè)可測(cè)量結(jié)果的活動(dòng)和任務(wù)。盡管活動(dòng)也有一個(gè)生命周期的概念， 然而活動(dòng)尚屬于離散的行為， 生命周期概念更強(qiáng)調(diào)不同于離散

10、行為的典型控制要求。(2) “過程”被定義在第二層 ( 更高的一個(gè)層次 ) ，是一系列具有自然 ( 或有控 制的 ) 間斷的聯(lián)合活動(dòng)和任務(wù)。(3) 在最高層，過程被自然歸組成域。它們的自然組合經(jīng)常被作為組織結(jié)構(gòu)的職責(zé)域，并與可應(yīng)用于 IT 過程的管理周期或生命周期相一致。COBIT提供了一套34 個(gè)高層的控制目標(biāo)，每一個(gè)目標(biāo)對(duì)應(yīng)著一個(gè)IT 過程，一共組成4個(gè)域：規(guī)劃和組織、獲取和實(shí)現(xiàn)、交付和支持、監(jiān)控。這種結(jié)構(gòu)涵蓋了信息和相關(guān)支持技術(shù)的所有方面。 通過發(fā)布這 34 個(gè)高層控制目標(biāo)， 業(yè)務(wù)處理者可以確保對(duì) IT 環(huán)境提供適當(dāng)?shù)目刂葡到y(tǒng)。在 34 個(gè) IT 過程中， 針對(duì)每個(gè) IT 過程，給出了管

11、理策略， 包括：該 IT 過程滿足了何種業(yè)務(wù)需求， 應(yīng)采用何種措施， 它影響到哪些信息標(biāo)準(zhǔn)， 涉及到哪些 IT 資源以及在該 IT 過程中應(yīng)注意的事項(xiàng)?？刂颇繕?biāo)下， 又定義了 318 個(gè)具體的控制子目標(biāo)。 每個(gè)子目標(biāo)從價(jià)值交付和風(fēng)險(xiǎn)管理的角度，再將子控制目標(biāo)細(xì)化成可執(zhí)行的控制實(shí)務(wù) (Control Practice 或譯為控制實(shí)踐、控制實(shí)務(wù) ) ，并為實(shí)施執(zhí)行提供業(yè)務(wù)指導(dǎo)。 IT 控制實(shí)務(wù)是對(duì)應(yīng)用 COBIT的進(jìn)一步闡述，同時(shí)為實(shí)踐者提供了額外層次的詳細(xì)說明。 COBIT 的 IT 處理，業(yè)務(wù)需求和詳細(xì)的控制目標(biāo)定義了要實(shí)施有效的控制結(jié)構(gòu)需要做的事情。 IT 控制實(shí)務(wù)提供了更為詳細(xì)的需求，并解

12、釋了管理層、服務(wù)提供者、最終用戶和控制人員怎樣以及為什么需要 IT 控制措施。5審計(jì)指南審計(jì)指南 通過審查實(shí)際的活動(dòng)的表現(xiàn)，以確保能夠滿足高層和詳細(xì)的控制目標(biāo)。對(duì)應(yīng)于 34 個(gè)高層控制目標(biāo)的每一個(gè)目標(biāo)，都有一個(gè)審計(jì)指南來評(píng)審IT 過程，可以結(jié)合COBIT推薦的 318 個(gè)詳細(xì)控制目標(biāo)來提供管理保證或改進(jìn)建議。審計(jì)指南為CIO 和信息系統(tǒng)審計(jì)師對(duì)組織的信息系統(tǒng)進(jìn)行分析、評(píng)估、實(shí)施、審計(jì)等提供了建議和指導(dǎo)。6實(shí)施工具集實(shí)施工具集 提供其他組織在工作環(huán)境下迅速而成功應(yīng)用COBIT 的經(jīng)驗(yàn)教訓(xùn)。提供兩個(gè)特別有用的工具：管理診斷工具和IT 控制診斷工具。 用來輔助分析組織的環(huán)境。lT它控制六、對(duì)COBI

13、T要素的描述1 IT 資源COBIT中定義的IT 資源如下。(1) 數(shù)據(jù)：是最廣泛意義上的對(duì)象 ( 如外部和內(nèi)部的 ) 、結(jié)構(gòu)化及非結(jié)構(gòu)化的、圖形、聲音等。(2) 應(yīng)用系統(tǒng)：手工的以及計(jì)算機(jī)程序的總和。(3)技術(shù)：包括硬件、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等。(4) 設(shè)備：包括所擁有的支持信息系統(tǒng)的所有資源。(5) 人員：包括員工技能、意識(shí)，以及計(jì)劃、組織、獲取、交付、支持和監(jiān)控信息系統(tǒng)及服務(wù)的能力。2 IT準(zhǔn)則通常，企業(yè)目標(biāo)映射為IT 目標(biāo)，意味著從業(yè)務(wù)的觀點(diǎn)看，IT 必須滿足哪些準(zhǔn)則，才能保證其收益的實(shí)現(xiàn)。這意味著從業(yè)務(wù)的觀點(diǎn)來看，信息系統(tǒng)應(yīng)該具備：有效性既能處理與業(yè)務(wù)過程有關(guān)的信息

14、，又能以及時(shí)、 正確、 一致和可用的方式交付。效率考慮通過最優(yōu)的( 最有效及最經(jīng)濟(jì)的) 資源利用來提供信息。保密性考慮保護(hù)敏感的信息免于暴露給未經(jīng)授權(quán)的人。完整性既關(guān)系到信息的正確性和完全性，又關(guān)系到與業(yè)務(wù)價(jià)值和期望的一致性?？捎眯灾饕P(guān)注不論在當(dāng)前還是將來，用戶在需要時(shí)都可獲取信息。同時(shí)還關(guān)注必要資源和相關(guān)能力的安全保護(hù)措施。符合性是指IT 與商業(yè)過程必須遵從的法律、法規(guī)和合同規(guī)定是否相一致的問題，例如：必須與企業(yè)外部征稅準(zhǔn)則相一致。符合性關(guān)注是否遵守法律、法規(guī)和合同規(guī)定。可靠性為管理層開展業(yè)務(wù)經(jīng)營(yíng)提供適當(dāng)?shù)男畔?，并且利益相關(guān)者獲取的財(cái)務(wù)報(bào)告等信息是真實(shí)可靠的。這里需要指出，所有的控制準(zhǔn)則并

15、不一定必須同樣程度地影響IT資源。因此， COBIT框架結(jié)構(gòu)特指處于考慮中的過程( 而不是那些僅僅參與的過程) 所管理的IT 資源的適用性。此外，所有的控制準(zhǔn)則并不一定必須同樣程度地滿足不同的業(yè)務(wù)信息需求。在COBIT中有“主要”和“次要”之分，“主要”是指己定義的控制目標(biāo)直接影響相關(guān)信息準(zhǔn)則的程度?！按我?是指已定義的控制目標(biāo)在一個(gè)較小范圍內(nèi)或是間接地滿足相關(guān)信息準(zhǔn)則的程度。3 IT 過程IT資源，包括人員、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施和數(shù)據(jù)等資源需要通過一定的組織才能夠?qū)崿F(xiàn)價(jià)值，這也意味著需要在各種IT 領(lǐng)域的過程中正確使用IT 資源。對(duì)于企業(yè)的IT 過程而言，在這里進(jìn)行更詳盡的解釋。企業(yè)的信息

16、系統(tǒng)是由一個(gè)個(gè)功能組成的， 它們對(duì)應(yīng)于企業(yè)經(jīng)營(yíng)領(lǐng)域的一個(gè)個(gè)活動(dòng)。這些活動(dòng)可以按照彼此之間關(guān)系的緊密程度或者目標(biāo)的一致程度歸結(jié)為一些過程，例如，定義IT 戰(zhàn)略規(guī)劃、定義信息體系結(jié)構(gòu)、管理 IT 投資、風(fēng)險(xiǎn)評(píng)估，等等。過程之間的自然組合形成企業(yè)的域，與企業(yè)結(jié)構(gòu)的職責(zé)域相對(duì)應(yīng)。因此，對(duì)企業(yè) IT 資源的管理和控制就分布在相應(yīng)的三個(gè)層次上活動(dòng)任務(wù)層、過程層和域?qū)?。如圖所示 :最底層 ( 也就是分的最細(xì)化的層次) 包含可測(cè)量結(jié)果的活動(dòng)或任務(wù)( 活動(dòng)有一個(gè)生命周期的概念，然而任務(wù)是離散的不連續(xù)的) 。在這個(gè)層次上，任何活動(dòng)或任務(wù)都能得到有效的評(píng)測(cè)和控制， 可以認(rèn)為這些活動(dòng)或任務(wù)是一個(gè)個(gè)可測(cè)量與評(píng)估的單元，

17、通過對(duì)這些單元的評(píng)測(cè)和控制，從而達(dá)到積少成多，完成對(duì)整個(gè)過程的控制。第二層定義為“過程”，是一系列具有自然( 或有控制的 ) 間隔的活動(dòng)和任務(wù)的組合。這個(gè)層次里面，過程是由一個(gè)個(gè)相互關(guān)聯(lián)的活動(dòng)所組成，完成相對(duì)獨(dú)立的一個(gè)功能。在在最高層， 過程被自然歸組成域。過程的自然組合被作為組織結(jié)構(gòu)的職責(zé)域，并與應(yīng)用于 IT 處理過程的管理周期或生命周期相一致，每個(gè)域都有各自明確的控制目標(biāo)及其所涵蓋的功能范圍。包括以下四個(gè)域：1) 規(guī)劃與組織域【描述】這個(gè)域包括戰(zhàn)略和戰(zhàn)術(shù)兩個(gè)層面，重點(diǎn)關(guān)注如何識(shí)別滿足業(yè)務(wù)目標(biāo)的IT 系統(tǒng)。同時(shí)，戰(zhàn)略目標(biāo)的實(shí)現(xiàn)應(yīng)規(guī)劃，并從不同的層面溝通和管理。最后，良好的組織架構(gòu)和技術(shù)基礎(chǔ)架

18、構(gòu)是必不可少的。【主題】戰(zhàn)略和戰(zhàn)術(shù)遠(yuǎn)景規(guī)劃組織及其基礎(chǔ)架構(gòu)【問題】IT 戰(zhàn)略與業(yè)務(wù)戰(zhàn)略相一致嗎?組織的資源是否被最優(yōu)使用?組織中的每個(gè)人理解IT 目標(biāo)嗎 ? IT 風(fēng)險(xiǎn)是否已被識(shí)別并有效管理 ? IT 系統(tǒng)的質(zhì)量滿足業(yè)務(wù)的需求嗎 ?【控制目標(biāo)】PO 1 制定 IT 戰(zhàn)略規(guī)劃PO 2 確定信息體系架構(gòu)PO 3 確定技術(shù)方向PO 4 定義 IT 組織與相互關(guān)系PO 5 管理 IT 投資PO 6 管理目標(biāo)與方向的協(xié)調(diào)PO 7 人力資源管理PO 8 確保符合外部要求PO 9 風(fēng)險(xiǎn)評(píng)估PO 10 項(xiàng)目管理PO 11 質(zhì)量管理2) 建設(shè)與實(shí)施域【描述】理解 IT 戰(zhàn)略后，應(yīng)識(shí)別、開發(fā)或獲取、實(shí)施IT 解決

19、方案，同時(shí)，密切與業(yè)務(wù)流程的融合。另外，這個(gè)域還包括已有系統(tǒng)的變更與維護(hù)，以確保系統(tǒng)生命周期的持續(xù)改進(jìn)?！局黝}】 IT 解決方案變更與維護(hù)【問題】新項(xiàng)目是否能滿足業(yè)務(wù)的需求 ?新的項(xiàng)目是否可以按時(shí)交付且在成本之內(nèi)?當(dāng)實(shí)施完畢時(shí)，新系統(tǒng)是否能正常工作?變更是否會(huì)影響正常的業(yè)務(wù)操作?【控制目標(biāo)】 AI 1 確定解決方案 AI 2 獲取并維護(hù)應(yīng)用軟件 AI 3 獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施 AI 4 程序開發(fā)與維護(hù) AI 5 系統(tǒng)安裝與驗(yàn)收 AI 6 變更管理3) 運(yùn)行與支持域【描述】這個(gè)域重點(diǎn)關(guān)注服務(wù) ( 從傳統(tǒng)的運(yùn)營(yíng)到培訓(xùn) ) 的價(jià)值交付，為了保證價(jià)值交付，必要的 IT 服務(wù)支持流程是不可或缺的。另外

20、，這個(gè)域還包括應(yīng)用系統(tǒng)的實(shí)際數(shù)據(jù)處理流程及系統(tǒng)的安全性?！局黝}】服務(wù)的交付建立服務(wù)支持流程應(yīng)用系統(tǒng)的處理過程【問題】交付的 IT 服務(wù)是否與業(yè)務(wù)優(yōu)先順序相一致?IT 成本是否被優(yōu)化?職員是否能夠安全有效地使用IT系統(tǒng)?系統(tǒng)是否安全、完整、可用?【控制目標(biāo)】DS 1定義并管理服務(wù)水平DS 2管理第三方服務(wù)DS 3績(jī)效管理與容量管理DS 4確保持續(xù)性服務(wù)DS 5確保系統(tǒng)安全DS 6確認(rèn)與分配成本DS 7教育并培訓(xùn)客戶DS 8為客戶提供幫助和建議DS 9配置管理DS 10問題管理與緊急事件管理DS 11數(shù)據(jù)管理DS 12設(shè)施管理DS 13運(yùn)營(yíng)管理4) 監(jiān)控與評(píng)價(jià)域【描述】為了保證系統(tǒng)的質(zhì)量并滿足控制

21、需求，所有的流程應(yīng)被定期評(píng)估。這個(gè)域避免了控制流程的管理疏忽，并包括獨(dú)立的內(nèi)外部審計(jì)?！局黝}】周期性評(píng)估，確保成果交付控制系統(tǒng)的管理疏忽績(jī)效評(píng)估機(jī)制【問題】IT 的績(jī)效如何被度量及如何盡早發(fā)現(xiàn)潛在問題?是否需要獨(dú)立的保證以確保關(guān)鍵區(qū)域按既定目標(biāo)運(yùn)作?【控制目標(biāo)】M1流程監(jiān)控M2評(píng)價(jià)內(nèi)部控制的適當(dāng)性M3獲得獨(dú)立保證M4提供獨(dú)立性審計(jì)總之，以上 4 個(gè)域中定義了34 個(gè)高層控制目標(biāo)，這些控制目標(biāo)就是主要的IT過程，通過三維結(jié)構(gòu)可以指出這些IT 過程影響到哪些信息標(biāo)準(zhǔn)，涉及到哪些IT 資源。如表所示。COBlT 控制過程、資源、準(zhǔn)則之間的關(guān)聯(lián)有經(jīng)保完可符可域lT 過程效濟(jì)密整用合人應(yīng)技設(shè)數(shù)靠用術(shù)施據(jù)

22、員性性性性性性性規(guī)制定 IT 戰(zhàn)略計(jì)劃PSXXXXX劃確定信息體系架構(gòu)PSSSXX與確定技術(shù)方向PSXX組定義 IT 組織與相互關(guān)系PSX織管理 IT 投資PPSXXXX(PO)PSX管理目標(biāo)與方向的協(xié)調(diào)人力資源管理PPX確保符合外部要求PPSXXX風(fēng)險(xiǎn)評(píng)估PSPPPSSXXXXX項(xiàng)目管理PPXXXX質(zhì)量管理PPPSXXXX獲確定解決方案PSXXX取獲取并維護(hù)應(yīng)用軟件PPSSSX與獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施PPSX實(shí)程序開發(fā)與維護(hù)過程PPSSSXXXX施系統(tǒng)的安裝與驗(yàn)收PSSXXXXX(AI)變更管理PPPPSXXXXX定義并管理服務(wù)水平PPSSSSSXXXXX管理第三方服務(wù)PPSSSSSXXXX

23、X績(jī)效管理與容量管理PPSXXX確保持續(xù)性服務(wù)PSPXXXXX交確保系統(tǒng)安全PPSSSXXXXX付確認(rèn)與分配成本PPXXXXX與教育并培訓(xùn)客戶PSX支持為客戶提供幫助和建議PPXX(DS)配置管理PSSXXX問題管理與緊急事件管理PPSXXXXX數(shù)據(jù)管理PPX設(shè)施管理PPX運(yùn)營(yíng)管理PPSSXXXX流程監(jiān)控PPSSSSSXXXXX監(jiān)評(píng)估內(nèi)部榨制的話當(dāng)件PPSSSPSXXXXX控獲得獨(dú)立保證PPSSSPSXXXXX（M）提供獨(dú)立性審計(jì)PPSSSPSXXXXX七、COBIT舉例說明COBIT 包括了技術(shù)相關(guān)的控制目標(biāo)和方法，它們來自于41 個(gè)國(guó)際公認(rèn)的安全、審計(jì)和控制參考，是對(duì)一些問題的新的思考途徑

24、，而不是 IT 控制和審計(jì)程序的集合，這就導(dǎo)致 COBIT不像 ISO27001 或 ITIL那樣易于理解或?qū)嵤?。這里特以變更管理流程為例來介紹COBIT的使用：變更管理流程的控制框架控制 IT 過程：變更管理以滿足下列業(yè)務(wù)需求：把破壞、非授權(quán)的改動(dòng)和錯(cuò)誤發(fā)生的可能性減少到最小。實(shí)現(xiàn)方法：建立一套管理系統(tǒng)來分析、實(shí)施和跟蹤所有針對(duì)現(xiàn)有的施的變更請(qǐng)求和變更過程。同時(shí)考慮：變更確定分類，優(yōu)先和緊急程序影響評(píng)估變更授權(quán)發(fā)布管理軟件分配自動(dòng)工具的使用配置管理重新設(shè)計(jì)業(yè)務(wù)處理流程IT基礎(chǔ)設(shè)變更管理流程的控制目標(biāo)( 以下為詳細(xì)控制目標(biāo))AI 6 變更管理6 1 變更請(qǐng)求初始化和控制IT 管理部門為保證所有變更可控，要做到：標(biāo)準(zhǔn)化系統(tǒng)的維護(hù)工作，以及符合規(guī)范的管理和程序。變更要進(jìn)行分類，區(qū)分優(yōu)先級(jí)，同時(shí)要有特殊的程序來處理緊急情況。變更請(qǐng)求人員應(yīng)始終明了其請(qǐng)求所處的狀態(tài)。6 2 影響評(píng)估用結(jié)構(gòu)化的方式來評(píng)估，所有變更請(qǐng)求對(duì)操作系統(tǒng)及其功能上產(chǎn)生的影響。6 3 變更控制I