COBIT简介
标准名称:《信息及相关技术的控制目标》(Control Objectives for Information and related Technology,COBIT)
隶属机构:美国IT治理研究院(IT Governance Institute)开发与推广
标准作用:信息、IT 以及相关风险控制方面的国际公认标准,COBIT 还被作为一种遵从SOX(Sarbanes-Oxley)法案的工具而广泛采用
最新版本:《COBIT 4.1》,COBIT 第一版于1994年推出
COBIT的IT框架由四个部分组成:
规划和组织
获得和实施
交付和支持
监控和评估
COBIT
基础知识
COBIT
是
Control Objectives for Information and related Technology
(信息及其技术的控制管理目标集)的简称。
COBIT
是一个
IT
管理框架,同时也提供了一个支持工具集,来帮助管理者弥合控制需求、技术问题、业务风险之间的差距,并与利益干系人沟通控制级别。(
COBIT is a IT governance framework and supporting toolset that allow managers to bridge the gap with respect to control requirements, technical issues and business risks, and communicate that level of control to stakeholders.
)
COBIT
是
IT
最佳实践的集合体(
integrator
),也是
IT
管理的伞状框架,它能帮助理解和管理与
IT
相关的风险和收益。
1.1 COBIT
的基本逻辑
COBIT
的基本逻辑是:
IT resources are managed by IT processes to achieve IT goals that respond to the business requirements
(
IT
资源被
IT
过程管理,以达到符合业务需求的
IT
目标)。
COBIT
认为
IT
资源是有限的,所以应该被有效管理。如何实现这个目标呢?通过管理
IT
过程。因为
IT
资源被
IT
活动所使用,所以管理好
IT
活动就能够管理好
IT
资源;而
IT
过程是
IT
活动的集合,所以管理
IT
过程也就是管理
IT
活动。
1.2 COBIT
的内容
我们已经知道
COBIT
包括一个
IT
管理框架和一个支持工具集。下面将分别介绍这些内容。
1.2.1
支持工具集
为了达成
“
通过
IT
过程管理
IT
资源,实现
IT
目标满足业务需求
”
的目的,
COBIT
认为首先需要有一些控制管理目标来定义正在实施的政策、流程、实践的最终目的,从而保证业务目标能够被达成且不会有不期望的事件发生。但是光有这些控制管理目标是不足够的,还需要建立标准,用来评判现状是理想的还是需要改进的。要和标准进行比对,就必须能够对现状进行度量,这又要求必须有一套度量现状的方法。
因此,
COBIT
提供了三个工具:
1
、
Benchmarking of IT process capability expressed as maturity models, derived from the Software Engineering Institute’s Capability Maturity Model;
(标准
Scales
)
2
、
Goals and metrics of the IT processes to define and measure their outcome and performance based on the principles of Robert Kaplan and David Norton’s balanced business scorecard;
(度量
Measures
)
3
、
Activity goals for getting these processes under control, based on COBIT’s detailed control objectives.
(控制管理目标
Indicators
)
COBIT
采用
SEI
的能力成熟度模型来描述
IT
过程能力,以此作为
IT
过程能力度量标准;基于业务平衡记分卡这种度量方法,
COBIT
采用
Goal
(
KGI
关键目的指标)来度量
IT
过程输出,采用
Metrics
(
KPI
关键绩效指标)来度量
IT
过程绩效;最后,用
COBIT
控制管理目标来定义
IT
过程的活动目的,这是
COBIT
的精华和独创部分。
COBIT
的
Dashboard
就是它的框架(下一节会介绍),而控制管理目标就是
Dashboard
上面的
Indicators
。这有点象中医里面的经络图,
COBIT
框架(
Dashboard
)就是那张图,控制管理目标(
Indicators
)就是经络图上的穴位。那张图,除了告诉你全身(
IT
管理)有多少个穴位以外,还告诉你哪个穴位可以治什么病(业务需求)。有了这张图你就知道,扎针扎在这儿可以治头疼,扎在那儿可以治脚疼,扎别的地方除了疼什么都治不了。但它没告诉你扎针应该扎多深。
Benchmarking
给的就是这个扎针的深度,治脚疼要扎三分,治头疼要扎一分。但没告诉你这个
“
分
”
到底是怎样量出来的。
Scorecards
给的就是一个记分的方法。三样隔一块儿就可以保证这一针扎下去一定有效。所以,
COBIT
也是这样,必须三样都齐备才能保证
IT
管理的有效。
1.2.2 COBIT
框架
COBIT
框架包括:一个索引(穴位在哪里),三张关系匹配图(每个穴位治什么病)。
COBIT
框架提供了一个索引。
COBIT
定义了
100
多个控制管理目标,如何组织这些目标,需要一个框架。因此,
COBIT
借鉴了一些业界研究成果,将
IT
活动归纳到
34
个过程
4
个过程域中,控制管理目标通过定义
IT
活动目的被组织在这个框架里。度量和标准都是针对控制管理目标的,找到了控制管理目标就找到了相应的度量方法和标准。
1.3 COBIT
文档系列
为了说清楚这些内容,
COBIT
工作小组开发了一系列文档,分成不同的小册子,主要是为了适应不同层面的读者需求。不同层面的读者,职责不同需求不同,只要看与自己的职责需求相对应的部分即可,并不需要全都了解得一清二楚。这些独立分开的小册子提供了这种便利。
这些文档面向三类用户:
1
、公司高级执行长官和董事会:(红色部分)
2
、业务和技术管理层:(深蓝色部分)
3
、管理、保证、控制和安全专家:(浅灰色部分)
方框里的是文档名称,分别和各类用户相对应。
提供给大家的
COBIT4.0
只包括其中的三部分内容,其余部分需要成为
ISACA
的高级会员才能拿到。
1.4
如何使用
COBIT4.0
COBIT4.0
一共有
209
页,囊括了
7
个业务需求、
20
个业务目标、
28
个
IT
目标、
34
个
IT
过程、
100
多个控制管理目标,针对每个
IT
过程还定义有专门的度量方法和能力成熟度评估模型(
5
个级别,每个级别有专门的定义描述)。这让熟悉
COBIT
的每个细节成为不可能。
那我们该如何使用
COBIT
呢?这里有个三步曲:
第一步:明确你的工作目的。我是要实现某个
IT
目标,还是业务目标,或者是业务需求,甚至可以只是要对某个
IT
过程进行评估。总而言之,你需要首先确定好你的工作目的。(知道要治什么病)
第二步:通过
COBIT
框架找到支撑你工作目的的
IT
过程。
COBIT
提供了一个很好的框架,通过这个框架,你很容易就能定位到支撑你工作目的的
IT
过程。(找到治病穴位的大方位)
第三步:找到支持这个
IT
过程落实的控制管理目标、度量方法和标准。
COBIT
从
28
页开始就以
IT
过程为单位逐一论述每个过程的控制管理目标、度量方法和标准。因此,有了
IT
过程就有了支持这个过程落实的一系列工具(控制管理目标、度量方法和标准)。然后,照着这个去做就可以了。(知道穴位在哪里,扎针该扎多深,也知道该怎么量)
这样,
COBIT
就真正成为支撑我们工作的工具了。
|