COBIT5培训

ACOBIT5Overview25Jun20151陈一中/CSST1.What’sCOBIT2.TheEvolution3.TheITGFocusAreas&ValueofCOBIT4.WhyCOBIT5.05.ProductFamily6.COBIT5.0Principles7.TheGovernanceObjective:ValueCreation8.GoalsCascade9.GovernanceApproach10.FrameworkIntegrator11.Enablers12.EDMModel13.ProcessReferenceModel14.ProcessCapabilityModelOutline31.COBIT—What’sCOBITCOBIT(ControlObjectivesforInformationandRelatedTechnology)•COBIT是一个在国际上得到公认的、先进的和权威的安全与信息技术管理和控制标准，它在业务风险、控制需要和技术问题之间架起了一座桥梁，它可以辅助管理层进行IT治理，指导组织有效利用信息资源，有效地管理与信息相关的风险。•面向业务是COBIT的主题，它不仅是为用户和审计师而设计，而且更重要的是它可以作为管理者及业务过程的所有者的综合指南。•COBIT真正关注的问题是，企业是否具备适当的控制力，以确保符合相关的管理规定。它帮助企业确定他们是否正在做他们表示要做的事，以及他们是否可以证明这一点。1996199820002005/72012COBIT1COBIT2COBIT3COBIT4.0/4.1COBIT5.0AuditControlManagementITGovernanceGovernanceofEnterpriseIT2.COBIT—theevolutionEvolution41996ISACF审计指南1998ISACF控制目标2000ITGI管理指南2005ITGI治理与管理2012ISACA组织治理53.ITGfocusAreas&COBITValueIT治理关注的领域战略定位：IT与企业运营保持一致价值交付：优化成本和证明IT的内在价值风险管理：风险意识、风险偏好、合规需求资源管理：关键IT资源的最优投资和恰当管理性能测量：跟踪和监控COBIT的价值：通过实施COBIT,增加了管理层对控制的感觉及支持。COBIT使IT管理工作简易并量化，减轻对复杂信息系统管理工作的难度，并且可以应用在每天都发生的各种新问题中。COBIT提供一种国际通用的IT管理及问题解决方案。COBIT有助于提高信息系统审计师的影响力。COBIT框架可以帮助决定过程责任，提高IT治理水平。ResourceManagementITGovernanceDomains62012年4月10，ISACA官方即将正式发布CobiT5.0，这是COBIT发展16年来最重大的一次变化。CobiT5.0是建立在CobiT4.1的基础上，并通过整合其他重要框架（重要框架主要包括：ISACA’sValIT、RiskIT及其他相关的国际标准）对CobiT4.1进行扩展而成。CobiT5.0提供了一个组织IT治理的端到端业务视图，该视图反映了信息技术在创造业务价值时的重要作用。该框架中提供了全球广泛认可的原则、最佳实践、分析工具和模型可帮助组织获得对信息系统的信任并从中产生价值。CobiT5.05大本质1.帮助您通过提高IT相关风险的管理能力，增强业务与IT的沟通，提高业务目标的IT交付以从IT中获取更多的价值，降低IT成本，增强企业竞争力。2.能够通过IT治理和管理的业务框架满足业务领导和IT领导的需求。3.能够满足整个企业内利益相关者的需求，并且为更有效的决策阐明目标。4.提供一套整合其他方法和标准的端到端框架，以解决组织的所有领域。5.代表了全球近百位专家的集体智慧。4.WhyCOBIT5.0?75.COBIT5ProductFamilyCOBIT5产品系列包含以下产品：COBIT5（框架）COBIT5促成因素指南，在指南中详细讨论了治理和管理促成因素，它们包括：促成流程、促使信息（开发中）、其它促成因素指南。COBIT5专业指南，包括：实施、信息安全、保障、风险、其它专业指导8COBIT5原则1.满足利益相关者需求2.端到端覆盖企业3.采用单一集成框架4.启用一种综合的方法5.区分治理和管理图2——COBIT5原则6.COBIT5Principles9利益相关者需求驱动实现收益风险优化资源优化治理目标：创造价值图3——治理目标：创造价值7.TheGovernanceObjective:ValueCreation1.MeetingStakeholderNeeds10图4——COBIT5目标级联综述利益相关者驱动因素（环境、技术演化，……）企业目标IT相关目标促成因素目标实现收益风险优化资源优化利益相关者需求影响级联到级联到级联到附录D附录B附录C图5图68.GoalsCascade1.MeetingStakeholderNeeds11图5——COBIT5企业目标BSC维度企业目标与治理目标的关系收益实现风险优化资源优化财务1.业务投资的利益相关者的价值PS2.竞争产品和服务的组合PPS3.管理业务的风险（资产维护）PS4.遵守外部法律和法规P5.财务透明PSS客户6.面向客户的服务文化PS7.业务服务连续性和可用性P8.对业务环境变化的快速响应PS9.基于信息的战略决策PPP10.服务交付成本的优化PP内部因素11.业务流程功能优化PP12.业务流程成本优化PP13.管理业务的变化方案PPS14.业务和员工生产力PP15.遵守内部政策P学习和成长16.业务熟练和积极进取的人SPP17.产品和业务创新文化P8.GoalsCascade12图6——IT相关的目标ITBSC维度信息及其相关技术目标财务01IT调整和业务战略02IT遵守和支持企业遵守外部法律和法规的业务03执行管理对IT相关决策的承诺04管理与IT相关的业务风险05从IT技术的投资和服务组合实现收益06IT成本，收益和风险的透明客户07符合业务需求的IT服务的交付08应用程序，信息和技术解决方案的充分利用内部因素09IT灵活性10信息、处理基础设施和应用程序的安全性11IT资产、资源和能力的优化12通过将应用程序和技术集成到业务流程中，启用和支持业务流程13方案的执行提供的好处，按时间，按预算，并满足要求和质量标准14用于决策的可靠和有用的信息的可用性15IT遵守内部政策学习和成长16能干和积极进取的业务和IT人员17业务创新的知识、专业知识和举措8.GoalsCascade131.业务投资的利益相关者的价2.竞争产品和服务的组合3.管理业务的风险（资产维护4.遵守外部法律和法规5.财务透明6.面向客户的服务文化7.业务服务连续性和可用性8.对业务环境变化的快速响应9.基于信息的战略决策10.服务交付成本的优化11.业务流程功能优化12.业务流程成本优化13.管理业务的变化方案14.业务和员工生产力15.遵守内部政策01IT调整和业务战略PPSPSPPSPSP02IT遵守和支持企业遵守外部法律和法规的业务SPP03执行管理对IT相关决策的承诺PSSSSSP04管理与IT相关的业务风险PSPSPSS05从IT技术的投资和服务组合实现收益PPSSSSPS06IT成本，收益和风险的透明SSPSPP07符合业务需求的IT服务的交付PPSSPSPSPSS08应用程序，信息和技术解决方案的充分利用SSSSSSSPSP09IT灵活性SPSSPPSS10信息、处理基础设施和应用程序的安全性PPPP11IT资产、资源和能力的优化PSSPSPSS12通过将应用程序和技术集成到业务流程中，启用和支持业务流程SPSSSSPSSS13方案的执行提供的好处，按时间，按预算，并满足要求和质量标准PSSSSSP财务客户内部因素图22——COBIT5企业目标与IT相关目标之间的映射关系企业目标IT相关目标财务客户内部因素14图8——COBIT5中的治理和管理实现收益风险优化资源优化治理目标：创造价值治理促成因素角色，活动和关系治理范围9.GovernanceApproach2.CoveringtheEnterpriseEnd-to-end15图9——关键角色，活动和关系代表拥有者和利益相关者负责治理机构设定方向监控经营指导和调整报告运作和执行角色，活动和关系9.GovernanceApproach2.CoveringtheEnterpriseEnd-to-end16图10——COBIT5单一集成框架现有ISACA指南(COBIT,VALIT,RISKIT,BMIS…)新的ISACA指南资料其他标准及框架COBIT5专业指南COBIT5促成因素指南COBIT5COBIT5在线协作环境COBIT5产品家族COBIT5知识平台现有指南与内容未来内容架构COBIT5促成因素知识库内容漏斗10.FrameworkIntegrator3.ApplyingaSingleIntegratedFramework1710.FrameworkIntegratorSITC:Service&SecurityISO31000ISO38500BS25999Prince2PMBOKITILV3ISO27001ISPLSCAMPITOGAFSecurity&AvailabilityMgtISO17799ISO13335ISO9001ITGRCITGovernance&ServiceMgtGovernance&RiskMgtISO15408ITILv2ITGovernanceGovernanceRisk&complianceTicketITNIST800SupplierMgtMgtsystem&OrgFinance&CapacityMgtISO15504MOF&MSFISO20000ValIT3.ApplyingaSingleIntegratedFrameworkBCMDR1810.FrameworkIntegrator3.ApplyingaSingleIntegratedFrameworkISO38500ISO20000ISO27001•COBITfoundationexam•ITIL•Foundationexam•ServiceManager•Expert•CISA/CISM•CISSPBUSINESSINDIVIDUALCertificationsoverview19图12——COBIT5企业促成因素2.流程3.组织结构4.文化、伦理道德和行为1.原则、政策和框架5.信息6.服务、基础设施和应用7.人、技能和竞争力资源11.Enablers4.EnablingaHolisticApproach2020图13——COBIT5一般促成因素利益相关者·内部利益相关者·外部利益相关者目标·内在质量·情景质量（相关性，有效性）·可访问性和安全性生命周期·规划·设计·构建/获得/创造/实施·使用/操纵·更新/报废良好做法·实践·工作产品（输入/输出）促成因素维度利益相关者的需要处理了吗？促成因素目标实现了吗？管理生命周期了吗？良好做法应用了吗？实现目标的衡量标准（滞后指标）实践应用的衡量标准（领先指标）促成因素性能管理11.Enablers4.EnablingaHolisticApproach21—调整，规划和组织（APO）—建立，获取和实施（BAI）—交付，服务和支持（DSS）—监控，评价和评估（MEA）COBIT5流程参考模型将企业IT治理和管理流程分为两个主要流程领域：治理：包括5个治理流程，在每个流程内，定义了评估、指导和监控（EDM）实践。管理：包含四个领域，根据责任区域的规划，构建，运行和监控（PBRM），并提供IT端到端的覆盖。这些领域是COBIT4.1域和流程结构的演变。这些领域的名称是根据主要领域的标识选择的，但包含了更多的动词描述他们：图15——COBIT5治理和管理的关