COBIT簡介
標準名稱:《信息及相關技術的控制目標》(Control Objectives for Information and related Technology,COBIT)
隸屬機構:美國IT治理研究院(IT Governance Institute)開發與推廣
標準作用:信息、IT 以及相關風險控制方面的國際公認標準,COBIT 還被作爲一種遵從SOX(Sarbanes-Oxley)法案的工具而廣泛採用
最新版本:《COBIT 4.1》,COBIT 第一版於1994年推出
COBIT的IT框架由四個部分組成:
規劃和組織
獲得和實施
交付和支持
監控和評估
COBIT 基礎知識
COBIT是Control Objectives for Information and related Technology(信息及其技術的控制管理目標集)的簡稱。
COBIT是一個IT管理框架,同時也提供了一個支持工具集,來幫助管理者彌合控制需求、技術問題、業務風險之間的差距,並與利益干係人溝通控制級別。(COBIT is a IT governance framework and supporting toolset that allow managers to bridge the gap with respect to control requirements, technical issues and business risks, and communicate that level of control to stakeholders.)
COBIT是IT最佳實踐的集合體(integrator),也是IT管理的傘狀框架,它能幫助理解和管理與IT相關的風險和收益。
1.1 COBIT的基本邏輯
COBIT的基本邏輯是:IT resources are managed by IT processes to achieve IT goals that respond to the business requirements(IT資源被IT過程管理,以達到符合業務需求的IT目標)。
COBIT認爲IT資源是有限的,所以應該被有效管理。如何實現這個目標呢?通過管理IT過程。因爲IT資源被IT活動所使用,所以管理好IT活動就能夠管理好IT資源;而IT過程是IT活動的集合,所以管理IT過程也就是管理IT活動。
1.2 COBIT的內容
我們已經知道COBIT包括一個IT管理框架和一個支持工具集。下面將分別介紹這些內容。
爲了達成“通過IT過程管理IT資源,實現IT目標滿足業務需求”的目的,COBIT認爲首先需要有一些控制管理目標來定義正在實施的政策、流程、實踐的最終目的,從而保證業務目標能夠被達成且不會有不期望的事件發生。但是光有這些控制管理目標是不足夠的,還需要建立標準,用來評判現狀是理想的還是需要改進的。要和標準進行比對,就必須能夠對現狀進行度量,這又要求必須有一套度量現狀的方法。
因此,COBIT提供了三個工具:
1、Benchmarking of IT process capability expressed as maturity models, derived from the Software Engineering Institute’s Capability Maturity Model;(標準 Scales)
2、 Goals and metrics of the IT processes to define and measure their outcome and performance based on the principles of Robert Kaplan and David Norton’s balanced business scorecard;(度量 Measures)
3、Activity goals for getting these processes under control, based on COBIT’s detailed control objectives.(控制管理目標 Indicators)
COBIT採用SEI的能力成熟度模型來描述IT過程能力,以此作爲IT過程能力度量標準;基於業務平衡記分卡這種度量方法,COBIT採用 Goal(KGI關鍵目的指標)來度量IT過程輸出,採用Metrics(KPI關鍵績效指標)來度量IT過程績效;最後,用COBIT控制管理目標來定義IT過程的活動目的,這是COBIT的精華和獨創部分。
COBIT的Dashboard就是它的框架(下一節會介紹),而控制管理目標就是Dashboard上面的Indicators。這有點象中醫裏面的經絡圖,COBIT框架(Dashboard)就是那張圖,控制管理目標(Indicators)就是經絡圖上的穴位。那張圖,除了告訴你全身(IT管理)有多少個穴位以外,還告訴你哪個穴位可以治什麼病(業務需求)。有了這張圖你就知道,扎針紮在這兒可以治頭疼,紮在那兒可以治腳疼,扎別的地方除了疼什麼都治不了。但它沒告訴你扎針應該扎多深。Benchmarking給的就是這個扎針的深度,治腳疼要扎三分,治頭疼要扎一分。但沒告訴你這個 “分”到底是怎樣量出來的。Scorecards給的就是一個記分的方法。三樣隔一塊兒就可以保證這一針紮下去一定有效。所以,COBIT也是這樣,必須三樣都齊備才能保證IT管理的有效。
COBIT框架包括:一個索引(穴位在哪裏),三張關係匹配圖(每個穴位治什麼病)。
COBIT框架提供了一個索引。
COBIT定義了100多個控制管理目標,如何組織這些目標,需要一個框架。因此,COBIT借鑑了一些業界研究成果,將IT活動歸納到34個過程4個過程域中,控制管理目標通過定義IT活動目的被組織在這個框架裏。度量和標準都是針對控制管理目標的,找到了控制管理目標就找到了相應的度量方法和標準。
1.3 COBIT文檔系列
爲了說清楚這些內容,COBIT工作小組開發了一系列文檔,分成不同的小冊子,主要是爲了適應不同層面的讀者需求。不同層面的讀者,職責不同需求不同,只要看與自己的職責需求相對應的部分即可,並不需要全都瞭解得一清二楚。這些獨立分開的小冊子提供了這種便利。
這些文檔面向三類用戶:
1、公司高級執行長官和董事會:(紅色部分)
2、業務和技術管理層:(深藍色部分)
3、管理、保證、控制和安全專家:(淺灰色部分)
2、業務和技術管理層:(深藍色部分)
3、管理、保證、控制和安全專家:(淺灰色部分)
方框裏的是文檔名稱,分別和各類用戶相對應。
提供給大家的COBIT4.0只包括其中的三部分內容,其餘部分需要成爲ISACA的高級會員才能拿到。
1.4 如何使用COBIT4.0
COBIT4.0一共有209頁,囊括了7個業務需求、20個業務目標、28個IT目標、34個IT過程、100多個控制管理目標,針對每個IT過程還定義有專門的度量方法和能力成熟度評估模型(5個級別,每個級別有專門的定義描述)。這讓熟悉COBIT的每個細節成爲不可能。
那我們該如何使用COBIT呢?這裏有個三步曲:
第一步:明確你的工作目的。我是要實現某個IT目標,還是業務目標,或者是業務需求,甚至可以只是要對某個IT過程進行評估。總而言之,你需要首先確定好你的工作目的。(知道要治什麼病)
第二步:通過COBIT框架找到支撐你工作目的的IT過程。COBIT提供了一個很好的框架,通過這個框架,你很容易就能定位到支撐你工作目的的IT過程。(找到治病穴位的大方位)
第三步:找到支持這個IT過程落實的控制管理目標、度量方法和標準。COBIT從28頁開始就以IT過程爲單位逐一論述每個過程的控制管理目標、度量方法和標準。因此,有了IT過程就有了支持這個過程落實的一系列工具(控制管理目標、度量方法和標準)。然後,照着這個去做就可以了。(知道穴位在哪裏,扎針該扎多深,也知道該怎麼量)
這樣,COBIT就真正成爲支撐我們工作的工具了。