Cobit_ITIL_介绍90992.pptVIP

? 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. ? 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. ? 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. ? 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. COBIT和ITIL介绍 * 引子-IT审计风险控制 国际： 萨班斯法案 404条款 (SOX) 国内： 行业风险控制和监管政策 公司治理 风险控制 IT审计 * IT管理面临的挑战 IT管理面临的挑战 IT基础设施环境异构 业务应用纷繁复杂 日益提升的可用性，可靠性 紧迫的合规性 etc. * 如何应用最佳IT管理实践 最佳IT管理实践的目的 成熟的方法论 规程化的指引和向导 ITIL, Cobit etc. 如何应用最佳IT管理实践 基于业务的分析 基于IT管理的权重参考 基于管理模式 基于人 引入最佳IT管理实践 组织结构重塑 业务流程再造 基础信息系统的符合性 * 加入变更控制 基础设施的复杂性扩大了变更操作的影响域 IT组织机构的职责： 让这些具有复杂架构的“系统之上的系统”能够协调一致的工作 每一个“服务”都需要系统具备一个详尽的、完整的“层次架构”的概念 每一系统的独特的行为和状态都可以通过多重元素来进行判断 复杂性的意义表现为发生在IT基础设施上的变更操作可能会潜在的影响商业操作的每一个部分，并对企业造成不同程度的威胁 数据正在受到威胁 扰乱带来收益的部门的服务 表现为协调需求时破坏了合规性 * 加入变更控制 目的和意义 变更操作必须处于控制中，这样可以减少IT在合规性、服务质量和安全状况等方面固有的威胁 国际和国内的法规要求：Sox Act, GLBA, HIPPA, CISP, HSE etc. 变更操作管理流程的开展是控制形式之一，最佳实践的重要组成 ITIL: Change Management Cobit 定义企业机构的变更管理操作流程 系统管理技术、工具、程式和策略的共同协作 如果推进变更管理策略不力，我们会面对： 控制不力会导致不可信的审计裁决、潜在的问题、和其他的不规范的事件行为 为审计花费高昂费用且困难重重 服务质量的下降，计划外工作，由于未经授权和无文案备录的变更操作引发的延迟交付战略项目方案 无法判断系统的安全性、数据的完整性，危险性增加 * 效益 加强变更管理 通过审计. 证实控制流程确实存在并且有效 控制住日趋攀升的审计开销 减少计划外工作. IT服务关键业务的可控实效性 新项目的及时交付 确保完整性. 无论来自外部或者内部的攻击威胁，都要确保IT资产和机密信息受到保护 * COBITControl Objectives for Information and related Technology COBIT是一个在国际上得到公认的、先进的和权威的安全与信息技术管理和控制标准，它在业务风险、控制需要和技术问题之间架起了一座桥梁，它可以辅助管理层进行IT 治理，指导组织有效利用信息资源，有效地管理与信息相关的风险。 面向业务是COBIT的主题，它不仅是为用户和审计师而设计，而且更重要的是它可以作为管理者及业务过程的所有者的综合指南。 COBIT真正关注的问题是，企业是否具备适当的控制力，以确保符合相关的管理规定。它帮助企业确定他们是否正在做他们表示要做的事，以及他们是否可以证明这一点 * CoBIT历史 COBIT第一版由信息系统审计与控制基金会（ISACF）于1996年发布。 COBI