COBIT模型.doc

IT治理路线图 COBIT原理 COBIT模型 COBIT域 1.规划与组织（PO，Planning and Organization） 3 交付与支持（DS ,Delivery and Support） PO1制定IT战略规划PO2确定信息体系结构PO3确定技术方向PO4定义IT组织与关系PO5管理IT投资PO6传达管理目标和方向PO7人力资源管理PO8确保与外部需求一致PO9风险评估PO10项目管理PO11质量管理 DS1定义并管理服务水平DS2管理第三方的服务DS3管理绩效与容量DS4确保服务的连续性DS5确保系统安全DS6确定并分配成本DS7教育并培训客户DS8为客户提供帮助和建议DS9配置管理DS10处理问题和突发事件DS11数据管理DS12设施管理DS13运营管理 2.获得与实施（AI, Acquisition and Implementation） 4 监控（M ,Monitoring） AI1确定自动化的解决方案AI2获取并维护应用程序软件AI3获取并维护技术基础设施AI4程序开发与维护AI5系统安装与鉴定AI6变更管理 M1过程监控M2评价内部控制的适当性M3获取独立保证 M4提供独立的审计 COBIT产品家族 IT规划和组织的控制——COBIT系列讲座之一 　　IT治理的提出，为企业在实现业务目标的同时平衡IT投资和风险方面提供一种机制。为了确保企业能够实现业务目标，实现在风险管理和收益实现间的有效平衡，指导和管理各类IT活动就显得非常迫切。国际信息系统审计与控制协会提出了信息系统和技术控制目标（COBIT）。作为IT治理的核心模型，COBIT包含34个信息技术过程控制，并归集为四个控制域：IT规划和组织（Planning and Organization）、系统获得和实施（Acquisition and Implementation）、交付与支持（Delivery and Support）以及信息系统运行性能监控（Monitoring）。在本次系列讲座中，我们将对每一个控制域（Control domains）内的过程控制有选择的展开论述。 ? 　　对于一个在IT应用方面成熟的企业，任何在IT方面投资，之前都会有一个详细的规划和论证过程。同时，信息组织结构和职能的优化也是伴随着IT投入而展开的。在COBIT中，IT规划和组织是一个控制域。在这个域中，COBIT列出了11个需要控制的流程（Processes），分别如下： ? 定义it战略规划 在cobit中，要求通过战略规划，为企业提供长期并符合企业发展目标的it规划，并且定期将这目标转换成可以操作的短期实施计划。在it规划和组织中首先提出需要控制的流程是：对企业it战略规划制定的控制。该控制确保企业在制定计划时考虑到这些因素：企业的业务战略，明确定义了it是如何支撑业务目标实现的，目前的技术解决方案和架构的情况、技术发展趋势，可行性研究与对比、现有系统的评估，企业在风险控制、市场反应和质量方面所处的地位等等。定义信息结构 信息孤岛是目前许多企业所面临的一个问题。 ? 造成信息孤岛的原因是多方面的，有管理方面的原因，但更重要的是企业在it规划和组织过程中没有对企业的信息架构（architecture）有个明确的定义。在cobit的it战略规划和组织中，对 定义信息结构这个流程有个明确的控制目标。控制的对象是建立和维护业务信息模型，确保企业获得合适信息系统的整个流程是否合理。具体控制评估的内容包括：数据字典、数据语法规则、数据使用权限和安全定义、反映业务特征的信息模型以及企业信息架构的标准。确定技术方向 it在企业中的作用是服务于业务自身的需要，那么企业在决定信息技术方向时必须有一个能够很好制定和管理技术选择的流程，而这个流程就是要确保技术能够很好地实现企业对产品、服务和交付能力的期望。对于这样的流程，cobit提出需要考虑的控制细节。 ? 它包括：现有技术架构的能力，通过可靠的资源对技术发展进行跟踪，实行概念论证，明确技术实现的风险和机遇、技术获取计划、技术切换策略，明确与技术供应商的关系，独立的技术再评估和软硬件价格性能的变更等管理。定义it组织与内部关系 信息技术在企业中的成功应用已经越来越不是技术本身所能决定的事了，而是需要企业具备完善的it决策服务组织体系去实现it在企业中的价值。cobit对于定义it组织与内部关系的流程控制提出了11个控制目标和方向, 它们是：董事会对it所担负的职责，管理层对it的监督和指导，it与业务的匹配，在企业关键战略决策中it的融入，组织的灵活性，角色与职责的清晰，平衡监督和放权的关系，工作描述，安全、质量和内部控制等的组织定位，责权分离等。 it投资管理 企业