2022年COBIT的体系架构及解析 .pdf

《2022年COBIT的体系架构及解析 .pdf》由会员分享，可在线阅读，更多相关《2022年COBIT的体系架构及解析 .pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、COBIT的体系架构及解析OBIT 具有完整的体系架构， 如图 4-5 所示。上面的部分可以供董事会或者执行层参考。中间部分关注管理层，因为管理层重视测控和基准。下面部分提供了对实施的详细支持，并确保有足够的 IT 控制和管理。在使用COBIT 时，可以综合使用各个部分进行管理，因为COBIT是面向过程的，所以可以用它来了解IT 控制目标并控制与IT 相关的商业风险。4.3.2.1 执行概要执行概要是对COBIT概念和原理的总体解释， 执行概要定义了COBIT中的概念和原理以及其它各部分的大纲。为了提供组织为达到其目标所需要的信息，IT 资源需要由一套整合的流程来管理。其中， COBIT把信息

2、标准定义为7 种：有效性、效率性、机密性、完整性、可用性、符合性、可靠性。IT 资源定义为 5 类：人员、应用、技术、设施、数据。IT 过程分为四个领域：计划和组织、获取和实施、交付和支持、监控。这个结构覆盖了信息及其支撑技术的各个方面。4.3.2.2 控制框架COBIT 的控制框架为企业过程拥有者提供了一个促进其履行职责的工具，提供信息化管控指导。它指出这些 IT 过程影响到哪些信息标准，涉及到哪些IT 资源，从而把IT 过程、 IT 资源和信息连接到企业战名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -

3、- - - - - 第 1 页，共 5 页 - - - - - - - - - 略和目标上去，使计划和组织、获取和实施、交付和支持、监控IT 绩效以最优的方式一体化，使企业充分利用其信息并因此而使利润最大化，抓住每一个机会，赢得竞争优势。4.3.2.3 管理指南管理指南，是 COBIT 最近发展的理论，它进一步加强企业管理以更有效地处理业务需求和信息化管控要求。管理指南定义了IT 过程的成熟度模型，为管理者评估IT 过程的状态提供了标准。同时也给出了一些重要的测度，这包括：关键成功因素、关键目标指标、关键绩效指标。帮助提供典型管理问题的答案： 我们该控制 IT 到什么程度， 成本和收益是否相符

4、？有没有一个测量标准用于判断何时肯定会出现失败？怎样才算是好的性能？关键成功因素是什么？哪些是影响我们实现组织目标的风险，其他的组织在做什么？我们应该怎样进行测量与比较？COBIT 尤其是管理指南搭建了贯通业务风险、 控制需要和技术问题这三者之间的桥梁。管理指南面向实施，是普遍情况的总结，同时为怎样得到企业信息和相关的处理提供了管理方向，这些相关处理包括控制、监控组织目标成果、监控和改进每个IT 处理的性能和组织成就的基准。4.3.2.4 控制目标COBIT 框架结构包含高层控制目标和其分类的整体结构。根本的分类理论是：考虑IT 资源的管理时，就本质而言，有三个层次的IT 行为：从底部开始，第

5、一层是为达到一个可测量结果的活动和任务。尽管活动也有一个生命周期的概念，然而活动尚属于离散的行为，生命周期概念更强调不同于离散行为的典型控制要求。“过程”被定义在第二层（更高的一个层次），是一系列具有自然（或有控制的）间断的联合活动和任务。在最高层，过程被自然归组成域。它们的自然组合经常被作为组织结构的职责域，并与可应用于 IT 过程的管理周期或生命周期相一致。COBIT 提供了一套 34 个高层的控制目标，每一个目标对应着一个IT 过程，一共组成 4 个域：计划和组织、获取和实现、交付和支持、监控。这种结构涵盖了信息和相关支持技术的所有方面。通过发布这 34 个高层控制目标，业务处理者可以确

6、保对IT 环境提供适当的控制系统。在 34 个 IT 过程中，针对每个IT 过程，给出了管理策略，包括：该IT 过程满足了何种业务需求，应采用何种措施，它影响到哪些信息标准，涉及到哪些IT 资源以及在该 IT 过程中应注意的事项。控制目标下，又定义了318 个具体的控制子目标。每个子目标从价值交付和风险管理的角度，再将子控制目标细化成可执行的控制措施（Control Practice或译为控制实践、控制实务）并为实施执行提供业务指导。 IT 控制措施是对应用COBIT 的进一步阐述， 同时为实践者提供名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - -

7、- - - - - 名师精心整理 - - - - - - - 第 2 页，共 5 页 - - - - - - - - - 了额外层次的详细说明。 COBIT 的 IT 处理，业务需求和详细的控制目标定义了要实施有效的控制结构需要做的事情。 IT 控制措施提供了更为详细的需求，并解释了管理层、 服务提供者、最终用户和控制人员怎样以及为什么需要IT 控制措施。4.3.2.5 审计指南审计指南通过审查实际的活动的表现，以确保能够满足高层和详细的控制目标。对应于 34 个高层控制目标的每一个目标，都有一个审计指南来评审IT 过程，可以结合 COBIT 推荐的 318个详细控制目标来提供管理保证或改进建

8、议。审计指南为CIO 和信息系统审计师对组织的信息系统进行分析，评估，实施，审计等提供了建议和指导。4.3.2.6 实施工具集实施工具集提供其他组织在漆工作环境下迅速而成功应用COBIT 的经验教训。它提供两个特别有用的工具：管理诊断工具和IT 控制诊断工具。用来辅助分析组织的IT控制环境。4.3.2.7 COBIT 举例说明COBIT 包括了技术相关的控制目标和方法，它们来自于 41 个国际公认的安全、 审计和控制参考，是对一些问题的新的思考途径，而不是 IT 控制和审计程序的集合， 这就导致 COBIT不像 BS7799或 ITIL 那样易于理解或实施。这里特以变更管理流程为例来介绍，之所

9、以以变更管理为例，是因为分布式计算和互联网的广泛应用所产生的一个结果就是在计算活动中失去了对安全性的控制，也就是说，如下：控制 IT 过程：变更管理以满足下列业务需求：把破坏，非授权的改动和错误发生的可能性减少到最小实现方法：建立一套管理系统来分析，实施和跟踪所有针对现有的IT 基础设施的变更请求和变更过程同时考虑：变更确定分类，优先和紧急程序影响评估变更授权发布管理软件分配名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 5 页 - - - - - - - - - 自动工

10、具的使用配置管理重新设计业务处理流程AI 6 变更管理（以下为详细控制目标）6.1 变更请求初始化和控制IT 管理部门为保证所有变更可控，要做到：标准化系统的维护工作，以及符合规范的管理和程序。变更要进行分类，区分优先级，同时要有特殊的程序来处理紧急情况。变更请求人员应始终明了其请求所处的状态。6.2 影响评估用结构化的方式来评估，所有变更请求对操作系统及其功能上产生的影响。6.3 变更控制IT 管理部门应该保证变更管理，软件控制和分发都可以用一个综合配置管理系统来合为一体。用于监控应用系统变更的系统能够自动地记录和跟踪大型的，复杂的信息系统的变化。6.4 紧急情况下的变更当变更绕过了技术操作

11、和以前管理评估正常的程序去执行操作时，IT 管理部门应该确立紧急情况下变更发生的参数和程序来控制这些变更。紧急情况的变更应该通过以前的IT 管理部门记录和授权实施。6.5 文档和程序变更程序应该确保不论什么时候实施系统变更，相关的文档和程序要相应地更新。6.6 授权维护IT 管理部门应该确保维护人员有详细具体的任务，同时要正确地监控他们的工作。 另外，他们的访问权力应该被控制以避免对系统进行未授权访问的风险。6.7 软件发布策略IT 管理部门应该通过正常的程序来管理软件的发布，以保证正常完成， 包装，回归测试，移交等。6.8 软件的分发应该建立具体的内部控制措施，来确保合适的软件单元完整地分发

12、到了正确的地方，同时，使用合适的方法来获得审计踪迹。这里我们再以紧急情况的变更管理为例介绍其控制措施如下：AI6 变更管理AI6.4 紧急情况的变更管理名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 5 页 - - - - - - - - - 当紧急情况发生时，正常的技术、操作和实施前的管理评估已不能正常进行，IT 管理部门应该判定紧急情况是否发生及实施控制程序来管理这些变更。紧急情况的变更实施应该通过 IT 管理部门记录和正式授权。IT 控制实务（1）管理层应该定义紧急

13、情况的特征和应对流程，以便识别、对外宣布和及时响应。（2）所有的变更管理应记录，如果此前没做，事后及时补救。（3）所有的变更管理应进行测试，如果此前没做，事后及时补救。（4）所有的变更管理在实施之前，应由系统所有人和管理层正式授权和管理。（5）记录变更前后的情形，变更日志要记录并保留以被日后检查。通过实施变更管理控制实务将：确保只有突然发生意外情况时才启动紧急情况管理流程。确保不损坏机密性、完整性、可用性、可靠性及正确性的情况下实施紧急情况的变更。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 5 页 - - - - - - - - -