it治理、it审计跟cobit.ppt

活动：企业的信息系统是由一个个功能组成的，它们对应于企业经营领域的一个个活动。 过程：这些活动可以按照彼此之间关系的紧密程度或者目标的一致程度归结为一些过程，例如，定义IT战略规划、定义信息体系结构、管理IT投资、风险评估，等等。 域：过程之间的自然组合形成企业的域，与企业结构的职责域相对应。 * * * * * * 业务目标和治理目标 效率 应用 信息 基础架构 人 提供和支持 监控和评估 获取和实施 信息 IT资源 C O B I T 框架 有效性 保密性 完整性 可用性 合规性 DS1 服务级别定义及管理 DS2 第三方服务管理 DS3 性能和能力管理 DS4 连续服务保障 DS5 系统安全保障 DS6 成本识别及分配 DS7 用户教育及培训. DS8 服务台和突发事件管理 DS9 配置管理 DS10 问题管理 DS11 数据管理 DS12 物理环境管理 DS13操作管理 ME1 监控与评价IT性能 ME2 监控与评价内部控制 ME3 确保与法律的符合性 ME4 提供IT治理 PO1 制定IT战略计划 PO2 确定信息架构. PO3 确定技术方向. PO4 定义IT流程、组织和关系. PO5 IT投资管理. PO6 沟通管理目标和方向 PO7 IT人力资源管理 PO8 质量管理 PO9 IT风险评估和管理. PO10 项目管理 AI1 识别解决方案. AI2 获取与维护应用软件 AI3 获取与维护技术架构 AI4 运营与使用能力保障 AI5 获取IT资源 AI6 变更管理 AI7 变更及方案的部署和授权 计划和组织 可靠性 COBIT框架 * COBIT 模型: IT 域 计划与组织 (PO) 目标: 指明战略和战术 识别如何使IT为业务目标的达成作出最大的贡献 计划、沟通和管理战略目标的实现 实施组织和技术架构 范围: IT与业务在战略上是否一致? 企业对资源的利用是否合理? 是否所有的员工都理解IT目标? 是否所有的风险都被理解并管理? IT系统质量是否满足业务需求? IT 和业务 * 让我们来看一下COBIT流程模型, 它由4个IT域共34个IT流程组成。 PO1 制定IT战略计划 PO2 确定信息架构 PO3 确定技术导向 PO4 定义IT流程、组织和关系 PO5 IT投资管理 PO6 沟通管理目标和方向 PO7 IT人力资源管理 PO8 质量管理 PO9 IT风险评估和管理 PO10 项目管理 计划与组织 COBIT 模型: IT 域 (续) 计划 与组织 提供 与支持 获取 与实施 监控 与评价 IT 流程 * COBIT 模型: IT 域 (续) 获取与实施 (AI) 目标: 识别、制定或获取、实施并整合IT方案 现有系统的变更与维护 范围: 新项目提供的解决方案是否满足业务需求提供? 新项目是否能在预算范围内及时提供? 新项目实施后是否能正常工作? 变更是否能够不影响当前的业务运营? 新项目 组织 ? * COBIT模型: IT域 (续) 计划 与组织 提供 与支持 获取 与实施 监控 与评价 IT 流程 AI1 识别自动解决方案 AI2 获取与维护应用软件 AI3 获取与维护技术架构 AI4 保障运营与使用 AI5 获取IT资源 AI6 变更管理 AI7 变更及方案的部署和授权 获取与实施 * COBIT模型: IT域 (续) 提供与支持 (DS) 目标: 所请求服务的实际提供结果, 包括服务提供过程 安全、连续性、数据和运营设施管理 对用户的服务支持 范围: IT服务提供是否与业务优先级相匹配? IT成本是否最优? 员工是否能安全有效的使用IT系统? 是否能保障机密性、完整性和可用性? IT服务 业务优先级 * COBIT模型: IT域 (续) DS1 服务级别定义与管理 DS2 第三方服务管理 DS3 性能和能力管理 DS4 连续服务保障 DS5 系统安全保障 DS6 成本识别与分配 DS7 用户教育与培训 DS8 服务台和突发事件管理 DS9 配置管理 DS10 问题管理 DS11 数据管理 DS12 物理环境管理 DS13 运营管理 提供与支持 计划 与组织 提供 与支持 获取 与实施 监控与评价 IT 流程 * COBIT模型: IT域 (续) 监控与评价 (ME) 目标: 性能管理 监控内部控制 调整一致 治理 范围: IT性能是否被衡量，从而使问题在造成影响前被监测出来? 管理是否能保证内部控制的有效和高效? IT性能是否与业务目标相关联? 风险、控制、一致性和绩效是否被衡量并报告? IT 性能 * ME1 监控与评价IT性能 ME2 监控与评价内部控制 ME3 确保与