COBIT5

COBIT（ControlObjectivesforInformationandrelatedTechnology）：即信息系统和技术控制目标。成立于1969年的美国信息系统审计与控制协会(ISACA)，于1996推出了用于“IT审计”的知识体系COBIT。“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。相应地，“注册信息系统审计师”（CISA）日益成为世界各国发展信息化过程中，争相发展的新兴职业和领域。作为IT治理的核心模型，COBIT包含34个信息技术过程控制，并归集为四个控制域：IT规划和组织（PlanningandOrganization）、系统获得和实施（AcquisitionandImplementation）、交付与支持（DeliveryandSupport）以及信息系统运行性能监控（Monitoring）。COBIT目前已成为国际上公认的IT管理与控制标准。COBIT目前已成为国际上公认的IT管理与控制框架，已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效地利用信息资源，有效地管理与信息相关的风险。COBIT的主要组件COBIT有6个组件：-ExecutiveSummary-ManagementGuidelines-Framework-ControlObjectives-ImplemenationToolset-AuditGuidelinesCOBIT对企业的作用COBIT型是企业战略目标和信息技术战略目标的桥梁，使得信息技术目标和企业战略目标之间实现互动。该框架的意义在于：COBIT实现了企业目标与IT治理目标之间的桥梁作用。首先，COBIT考虑了企业自身的战略规划，对业务环境和企业总的业务战略进行分析定位，并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境，并由此确定IT准则。IT为企业战略提供了基于技术的解决方案，为满足业务战略需求提供了技术与工具。在IT准则的指导下，利用控制目标模型，分别从规划与组织、获取与实施、交付与支持、监控等过程进行控制、管理信息资源。在IT管理的同时，引入审计指南，从而保证IT资源管理的安全性、可靠性和有效性。COBIT实现可跟踪的业绩衡量，通过平衡记分卡可以在财务（企业资源管理）、客户（客户关系管理）、过程（内部网，工作流工具）、学习（知识管理）等方面维持平衡，评价企业目标的实现情况以及IT绩效，并调整业务目标和IT战略，进行持续的IT管理。COBIT采用成熟度模型，可以定位自己企业的IT管理目前在业界所处的位置，以及未来努力的方向，通俗地说就是给IT管理“打分”。COBIT还提供了目前最佳案例和关键成功因素（CSF），供企业和组织借鉴。从内容上看，COBIT覆盖了从分析＆设计到开发＆实施到运营、维护的整个过程。对于分析＆设计，重点目标是IT与业务的需求，根据业务目标细化IT战略，确定待开放的IT系统，进行相应的系统分析和设计。在分析与设计这样一个流程范围中，比我们传统所说的信息系统的分析与设计要宽广得多，它强调的是IT的战略要符合业务的战略，任何信息系统的开发都应该与业务战略保持精确的校准。从业务战略的高度来分析和设计信息系统。提供这个阶段主要是考察组织的需求，同时根据这些需求设计合理的资源组合，设立合理的服务级别、目标，提供满足客户需求的IT服务。这个阶段对IT应用已上升到IT服务管理的阶段。主要解决下面的问题，为满足客户的需要提供哪些资源，这些资源之间的成本是多少，如何在服务成本和服务的效益间达到一个恰当的平衡点。在支持这个层面，主要是如何满足客户提出的IT需求，以支持服务的需求。COBIT上层是对IT运行进行外部控制和内部审计，以确保IT与业务实现精确校准，同时实现对IT应用持续不断的应用和改进。COBIT覆盖整个信息系统的全部生命周期，其视野是最为开阔的。COBIT的优点概括而言，COBIT的主要优点如下：COBIT是一个非常有用的工具，也非常易于理解和实施，可以帮助企业在管理层、IT与审计之间交流的鸿沟上搭建桥梁，提供了彼此沟通的共同语言。几乎每个机构都可以从COBIT中获益，来决定基于IT过程及他们所支持的商业功能的合理控制。当我们知道这些业务功能是什么，其对企业的影响到什么程度时，就能对这些事件进行良好的分类。所有的信息系统审计、控制及安全专业人员应该考虑采用COBIT原则。通过实施COBIT，增加了管理层对控制的感知及支持。COBIT帮助管理层懂得如何控制影响、业务功能。COBIT提供的实施工具集包括优秀的案例资料（提供模板业务过程，使得优秀范例能够迅速移植），有助于向管理层很好地表述IT管理概念。管理层在基于最佳控制实践基础上做出正确决策的能力亦得到了提高。COBIT使IT管理工作简易并量化，减轻对复杂信息系统管理工作的难度。对于那些不具有广博IT知识的人来讲，是一个认清信息技术的有价值的工具。它也使得信息系统审计师具有与IT专业人员相同的专业广度，并且可以询问IT工程相关的问题。COBIT提供了一种国际通用的IT管理及问题解决方案，普遍适用于各种不同的业务项目和审计，并且既包容了当前的情况，也提供将来可能会使用到的指导方针。COBIT有助于提高信息系统审计师的影响力，依据COBIT出具的信息系统审计报告，更容易得到管理层的肯定。COBIT框架可以能够帮助决定过程责任，提高IT治理水平。通过应用该框架进行责任分析，可以做到基于角色的IT管理，定义过程措施，确保客户利益。总之，COBIT模型实现了企业战略与IT战略的互动，并形成持续改进的良性循环机制，为企业提供了具有一定参考价值的解决方案。因此，针对我国信息化存在的问题，借鉴COBIT的IT治理思想和框架，科学、系统地对信息及相关技术进行管理，逐步试行建立IT治理机制，对推动我国信息技术的发展和应用具有十分重要的现实意义。COBIT标准的应用原则COBIT的控制目标主要是针对信息系统的管理控制和运行控制，COBIT提出的控制目标可以应用到所有的信息系统，下面以COBIT的规划与组织、获取与实施、服务与支持、监控四个域及其高级控制目标为线索来谈谈COBIT标准在企业信息系统中的应用。（一）规划与组织1、定义战略性的信息系统规划（DefineaStrategicITPlan）系统规划是信息系统建设的第一步，包括信息系统的战略目标、政策和约束、计划和指标分析；信息系统本身的建设目标、建设模式；信息系统的功能结构、组织、人员管理；信息系统的效益分析和实施计划。规划的好坏对信息系统建设的成败有至关重要的影响。信息系统究竟包含哪些具体的内容和衡量指标？如何推进？推行信息系统的各项工作要经历哪几个发展阶段？这些都是我们在确立企业IT治理工作目标所必须回答的问题体现的是定义战略性系统规划的重要性。整个信息系统的建设要以优化企业管理的核心业务流程，提高工作效率，更好地发挥企业宏观管理、综合协调与服务的职能为总体目标。因此，在建设信息系统的过程中，应以建设关键支撑体系为核心，以建设各个应用功能系统为阶段目标，在长期的建设过程逐渐与其他各个分立的信息管理系统，及各类信息化支撑体系融合并最终形成比较完整信息体系。一套好的信息系统规划应当具备几个特点：首先，规划本身应当明确无误而且易于理解，应当是一个可以为大多数人所理解和认同的概念。规划必须得到领导小组的认可；其次，这套规划必须相对具体，它不仅要提出一个奋斗目标，而且还要说明如何才能够实现这个目标。换句话说，我们不仅要明确发展企业要达到的终极目标，而且还要说明在企业现有的发展水平下，如何才能够多快好省地建设信息系统；再次，规划目标应当是可衡量的。否则的话，我们就无从判断自己究竟是否是在向目标迈进，以及自己目前究竟处于哪个发展阶段。最后，规划必须建立在对内外信息调查的基础上制定。系统规划阶段投入的时间和精力越多，将来设计和实现的效果就越好，以后花的时间以及遇到的困难和波折也就越少。一个有效的系统规划有利干实现比较友好的系统界面，有利于合理分配和使用信息系统的资源，从而节省信息系统的投资；一个好的规划还可以作为一个标准，用来考核信息系统人员的工作，明确他们的方向，调动他们的积极性。2．制定信息体系结构（DefinetheInformationArchitecture）制定信息体系结构主要完成下列工作：A.确定信息体系结构模型。建立数据字典和数据处理的语法规则。这里要提一提的信息结构和数据与信息标准。信息结构是指信息的组织形式和结构，包括信息的长度、结构和信息间的相互关系。信息结构的定义要有利于信息系统的组织，通过建立并维护一个信息模式，建立一个合适的信息系统，以使企业信息能够被最优化地使用。信息结构包括以下几个内容：文档、数据字典、数据语法规则、数据的所有关系和分类。数据和信息标准主要是明确地定义和规定企业信息的标准和采集与应用的规范，此外，还应对政府信息的生命周期以及在其生命周期的每一个阶段的管理问题做出规定。B.建立数据分类规划。C.划分安全级别。从应用角度分析，企业的信息系统承载的信息流和数据很重要，对安全性、可靠性的有一定的要求。因此，在构建电子政务系统时，可以从三个层次处理问题：（1）确保核心应用系统和关键环节在各类实施方案中的技术自主性，在此层次的应用系统中，技术的先进性不是首要的。这里需要指出的是，技术自主性的含义是比较广泛的。以软件技术为例，自主技术的软件并非特指在我国自行开发研制的系统平台上由国内技术人员所编制的软件，它可以包括由国内技术人员依靠国外的系统平台和开发平合编制的软件，甚至也可以包括直接由国外软件公司编制的软件，但其中的关键算法和重用接口必须为我方人员所掌握。（2）对于位于核心层外部，但又与具他外部信息系统（如Internet）存在可监控的隔绝层的层次，可以尽量采用先进技术以提高系统的效率和可靠性。（3）对于直接与外部信息系统相连的部分，要针对不同情况分别加以考虑。对于安全监控系统要在其核心部分（如核心加密算法）确保技术自主；对于其余部分，由于所承载的信息基本都属于非关键信息，并且需要与其他信息系统的接口保持通信协议、数据格式甚至软件体系的一致性，因此，不应强求对技术自主性的要求。3．确定技术方向（DetermineTechnologicalDirection）现代企业的发展离不开现代信息技术，由于企业所处的行业不同，采用的技术也不尽相同，每个企业在实施IT治理时一定要确定企业技术的大方向。建立一个开发信息系统的技术框架，充分利用已掌握和可获得的技术优势。通常企业的信息系统包括5个方面的技术：通信网络平台、计算机系统硬件和操作系统软件平台、数据库平合、应用软件平台、安全体系和安全标准。技术方向的选择必须同企业信息系统的开发需求匹配，既要保证技术的先进性，适应企业信息化发展的需要，同时又要充分考虑所需的资源、人力和设备的花费在预算的范围内。技术方向的选择必须满足以下要求：A.为电子政务系统将来的扩展留有余地，采用的技术需要能无缝升级；B.具有高度的可伸缩性、能够实现多系统并存所需的互操作能力，以及多种资源管理能力；C.对技术基础架构进行规划；D.时刻关注技术的发展趋势及其相关规则；E.在技术飞速发展的情况下，尽量保证技术的基础架构的连贯性；F.注意平衡硬件和软件采购；G.注意技术的各种标准，尽量符合这些标准。4．定义组织及其关系（DefinetheITOrganisationandRelationships）A.实施IT规划或是建立各种领导委员会；B.确立IT功能中的组织定位；C.审视企业已经取得的成绩；D.明确各自的职能与职责；E.明确质量保障、逻辑与物理安全方面的职责；F.确立所有权和管理人的职务；G.确立数据和各个系统的所有权关系；H.实施监控和职责划分；I.明确IT员工的工作和位置；J.明确各个人员、部门之间的关系；5．IT投资管理（ManagetheITInvestment）随着企业信息化向纵深发展，IT投资越来越重要