COBIT的体系架构及解析 .pdfVIP

COBIT 的体系架构及解析 OBIT具有完整的体系架构，如图4-5所示。上面的部分可以供董事会或者执行层参考。中 间部分关注管理层，因为管理层重视测控和基准。下面部分提供了对实施的详细支持，并确保 有足够的IT控制和管理。在使用COBIT时，可以综合使用各个部分进行管理，因为COBIT 是面向过程的，所以可以用它来了解IT控制目标并控制与IT相关的商业风险。 4.3。2。1 《执行概要》 《执行概要》是对COBIT概念和原理的总体解释, 《执行概要》定义了COBIT 中的概念和原 理以及其它各部分的大纲。为了提供组织为达到其目标所需要的信息，IT资源需要由一套整 合的流程来管理。其中，COBIT把信息标准定义为7种：有效性、效率性、机密性、完整性、 可用性、符合性、可靠性。IT资源定义为5类：人员、应用、技术、设施、数据。IT过程分 为四个领域：计划和组织、获取和实施、交付和支持、监控。这个结构覆盖了信息及其支撑技 术的各个方面。 4。3.2.2 《控制框架》 COBIT 的《控制框架》为企业过程拥有者提供了一个促进其履行职责的工具,提供信息化管控指导。它指 出这些IT过程影响到哪些信息标准，涉及到哪些IT资源，从而把IT过程、IT资源和信息连接到企业战 略和目标上去,使计划和组织、获取和实施、交付和支持、监控IT 绩效以最优的方式一体化，使企业充分 利用其信息并因此而使利润最大化，抓住每一个机会，赢得竞争优势。 4.3.2.3 《管理指南》 《管理指南》，是COBIT 最近发展的理论,它进一步加强企业管理以更有效地处理业务需求 和信息化管控要求。《管理指南》定义了IT 过程的成熟度模型，为管理者评估IT 过程的状态 提供了标准.同时也给出了一些重要的测度,这包括：关键成功因素、关键目标指标、关键绩效 指标。帮助提供典型管理问题的答案：我们该控制IT 到什么程度，成本和收益是否相符？有 没有一个测量标准用于判断何时肯定会出现失败？怎样才算是好的性能？关键成功因素是什 么？哪些是影响我们实现组织目标的风险,其他的组织在做什么？我们应该怎样进行测量与比 较? COBIT 尤其是《管理指南》搭建了贯通业务风险、控制需要和技术问题这三者之间的桥梁. 《管理指南》面向实施,是普遍情况的总结，同时为怎样得到企业信息和相关的处理提供了管 理方向，这些相关处理包括控制、监控组织目标成果、监控和改进每个IT 处理的性能和组织 成就的基准。 4.3.2.4 《控制目标》 COBIT 框架结构包含高层控制目标和其分类的整体结构。根本的分类理论是:考虑IT 资源 的管理时，就本质而言,有三个层次的IT 行为： 从底部开始，第一层是为达到一个可测量结果的活动和任务。尽管活动也有一个生命周期 的概念，然而活动尚属于离散的行为，生命周期概念更强调不同于离散行为的典型控制要求. “过程”被定义在第二层（更高的一个层次），是一系列具有自然（或有控制的) 间断的联 合活动和任务. 在最高层，过程被自然归组成域。它们的自然组合经常被作为组织结构的职责域，并与可 应用于IT 过程的管理周期或生命周期相一致。 COBIT 提供了一套34 个高层的控制目标，每一个目标对应着一个IT 过程，一共组成4 个 域：计划和组织、获取和实现、交付和支持、监控。这种结构涵盖了信息和相关支持技术的所 有方面.通过发布这34 个高层控制目标，业务处理者可以确保对IT 环境提供适当的控制系统。 在34 个IT 过程中，针对每个IT 过程，给出了管理策略,包括：该IT 过程满足了何种业务 需求,应采用何种措施，它影响到哪些信息标准,涉及到哪些IT 资源以及在该IT 过程中应注意 的事项。 控制目标下，又定义了318 个具体的控制子目标。每个子目标从价值交付和风险管理的角 度，再将子控制目标细化成可执行的控制措施(Control Practice 或译为控制实践、控制实务） 并为实施执行提供业务指导。IT 控制措施是对应用COBIT 的进一步阐述，同时为实践者提供 了额外层次的详细说明.COBIT的IT处理，业务需求和详细的控制目标定义了要实施有效的 控制结构需要做的事情.IT控制措施提供了更为详细的需求，并解释了管理层、服务提供者、 最终用户和控制人员怎样以及为什么需要IT控制措施. 4.3。2.5 《审计指南》 《审计指南》通过审查实际的活动的表现，以确保能够满足高层和详细的控制目标。对应 于