2 相關知識點
2.1 IT資源、IT過程、業務需求
1、IT資源、IT過程和業務需求各部分的基本內涵;
2、三者之間的關係。
2、三者之間的關係。
2.2 控制
什麼是控制?COBIT認爲控制是那些被定義成政策、流程、實踐和組織結構的內容,它們的設計目的是爲了提供合理的保證,以使得業務目標能夠被達成,且能阻止、發現、糾正不期望的事件。
那IT控制管理目標是什麼呢?是預期的結果,或者是實施控制的目的。
如何實現控制呢?下圖提供了一個方法。
從這張圖裏,我們可以看到控制是一個收集,比較,糾正的過程。那收集什麼?如何收集?和什麼進行比較?這三個問題又引出了控制三要素:控制管理目標、度量方法、標準。
西方管理學有句名言:你不能管理你不能度量的。控制管理的邏輯充分體現了這句話。
IT資源
IT資源包括應用、信息、基礎設施和人員。這裏的“應用”,概念比我們慣常理解的範圍要大一些,它除了指處理信息的自動系統外,還包括人工流程。因此,它特別指出應用控制的運行管理和控制管理職責不是由IT部門承擔的,而應該是由業務部門的Owner來承擔。(注意:這裏說的是管理職責不是執行職責)
業務需求
COBIT描述業務需求的方法很有意思,它提供的是一個基於信息的需求模型。所以,大家可能會覺得裏面的很多東西很熟悉,例如:保密、完整、可用。它在此基礎上增加了效果、效率、遵從和可靠。COBIT稱之爲“Information Criteria”(信息標準)。
IT過程
IT過程在結構上分三層,從上至下是過程域(也叫過程組)、過程、活動。COBIT定義了34個過程,分爲四個過程域。這四個過程域分別是:
1、Plan and Organize:包含10個過程
2、Acquire and Implement:包含7個過程
3、Deliver and Support:包含13個過程
4、Monitor and Evaluate:包含4個過程
乍一看,和PDCA模型有點像,不過不完全一樣。
三者關係
還是那句話:IT資源被IT過程管理,實現IT目標滿足業務需求。
2.3 度量模型
能力、績效、控制度是度量過程的三個緯度。
3 COBIT和信息安全
表面看來,COBIT似乎和信息安全並不直接相關。34個過程中,只有PO9“評估和管理IT風險”和DS5“保證系統安全”直接和信息安全相關。所以,研究COBIT對我們有什麼幫助呢?
在回答這個問題前,我們先來看幾個信息安全領域的術語定義。
風險(Risk):某一特定的威脅利用某資產或某一羣資產的弱點致使該資產受到損失或損壞的潛在可能性。(The potential that a given threat will exploit vulnerabilities of an asset or group of assets to cause loss of/or damage to the assets.)一般是通過威脅發生的可能性和它造成的結果進行組合來衡量的。(It usually is measured by a combination of impact and probability of occurrence.) 【參考ISO/IEC TR 13335-1和BS 7799-2:2002】
風險處置(Risk Treatment):選擇和實施修正風險的控制的過程。(Process selection and implementation of controls to modify risk.)【參考BS 7799-2:2002】
控制措施(Safeguard):降低風險的實踐、過程或機制。(A practice, procedure or mechanism that reduces risk.)【參考BS 7799-2:2002】
控制措施(Safeguard):降低風險的實踐、過程或機制。(A practice, procedure or mechanism that reduces risk.)【參考BS 7799-2:2002】
再和控制的定義比較一下,會發現兩者本質上是相同的。所謂的安全,實際上就是控制,將風險控制在可以接受的範圍內,這就是安全的本質目的。所以,COBIT的邏輯和方法在信息安全領域實際上也是適用的。這就是對我們工作的幫助意義。