【正文】 素是什么 ? ? 哪些是影響我們實(shí)現(xiàn)組織目標(biāo)的風(fēng)險(xiǎn)，其他的組織在做什么 ?我們應(yīng)該怎樣進(jìn)行測(cè)量與比較 ? ?搭建了貫通業(yè)務(wù)風(fēng)險(xiǎn)、控制需要和技術(shù)問題這三者之間的橋梁 利益 風(fēng)險(xiǎn) （二） COBIT管理指南 78 ? 管理指南的組成要素 ?針對(duì) COBIT中的每一個(gè) IT過程，管理指南提供了以下內(nèi)容： ? 對(duì)此過程的定義及對(duì)此過程目標(biāo)的描述 。 ?基于評(píng)審結(jié)果建立正式的評(píng)估過程，針對(duì)所提議的 IT計(jì)劃的修改內(nèi)容進(jìn)行評(píng)估，并達(dá)成一致意見。 ?識(shí)別長期計(jì)劃與短期計(jì)劃制定與執(zhí)行過程中的偏離現(xiàn)象，以促進(jìn)管理層采取恰當(dāng)?shù)募m正行動(dòng)。 示例： PO1－制定 IT戰(zhàn)略計(jì)劃 IT作為組織計(jì)劃的一部分 IT的長期計(jì)劃 IT長期計(jì)劃 — 方法和結(jié)構(gòu) IT長期計(jì)劃的變更 IT項(xiàng)目的短期計(jì)劃 IT對(duì)計(jì)劃的宣傳與貫徹 對(duì) IT計(jì)劃的監(jiān)控和評(píng)價(jià) 對(duì)現(xiàn)存系統(tǒng)的評(píng)估 示例： 引入控制的原因 ?確認(rèn) IT長期計(jì)劃與短期計(jì)劃與組織的使命及業(yè)務(wù)目標(biāo)保持一致，并能為業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)作出貢獻(xiàn)。 IT過程 … 的控制 業(yè)務(wù)需求 以滿足 控制描述 通過 … 實(shí)現(xiàn) 控制實(shí)踐 要考慮 73 ?導(dǎo)航標(biāo)志 ? 為便于有效地使用具有不同優(yōu)勢(shì)點(diǎn)的控制目標(biāo)，提供了一些導(dǎo)航標(biāo)志作為高層控制目標(biāo)的組成部分， COBIT 三維框架中的（過程、 IT 資源和信息標(biāo)準(zhǔn)）中的每一維，都提供了一個(gè)導(dǎo)航指示標(biāo)志。這個(gè)域要求管理人員對(duì)控制過程進(jìn)行監(jiān)督，并通過獨(dú)立的內(nèi)外部審計(jì)或其他方式對(duì)控制過程完備性提供保證。另外，這個(gè)域還包括應(yīng)用系統(tǒng)對(duì)實(shí)際數(shù)據(jù)的處理過程，應(yīng)用系統(tǒng)中對(duì)數(shù)據(jù)一般是按敏感性進(jìn)行分級(jí)的。 ? 【主題】 – IT解決方案 – 變更與維護(hù) ? 【問題】 – 新項(xiàng)目能否提供業(yè)務(wù)所需的解決方案 ? – 新的項(xiàng)目能否按時(shí)交付，且費(fèi)用控制在成本之內(nèi) ? – 當(dāng)實(shí)施完畢時(shí)，新系統(tǒng)是否正常工作 ? – 變更是否影響了正常的業(yè)務(wù)運(yùn)行 ? ? 【控制目標(biāo)】 – AI1確定 IT解決方案 – AI2獲取并維護(hù)應(yīng)用軟件 – AI3獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施 – AI4IT程序的開發(fā)與維護(hù) – AI5系統(tǒng)的安裝與驗(yàn)收 – AI6變更管理 67 ?運(yùn)行與支持 ? 【描述】 – 這個(gè)域重點(diǎn)關(guān)注所需服務(wù)的實(shí)際交付 (從傳統(tǒng)的安全及持續(xù)性方面的運(yùn)行到各種培訓(xùn) ) 。 ? 【主題】 – 戰(zhàn)略和戰(zhàn)術(shù) – 遠(yuǎn)景規(guī)劃 – 組織及其基礎(chǔ)設(shè)施 ? 【問題】 – IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略相一致嗎 ? – 組織的資源是否被優(yōu)化使用 ? – 組織中的每個(gè)人理解 IT目標(biāo)嗎 ? – IT風(fēng)險(xiǎn)是否已被識(shí)別并有效管理 ? – IT系統(tǒng)的質(zhì)量滿足業(yè)務(wù)的需求嗎 ? 65 ? 【控制目標(biāo)】 – PO1制定 IT戰(zhàn)略規(guī)劃 – PO2確定信息體系架構(gòu) – PO3確定技術(shù)方向 – PO4定義 IT組織與相互關(guān)系 – PO5管理 IT投資 – PO6管理目標(biāo)與方向的溝通協(xié)調(diào) – PO7人力資源管理 – PO8確保符合外部要求 – PO9風(fēng)險(xiǎn)評(píng)估 – PO10項(xiàng)目管理 – PO11質(zhì)量管理 66 ?獲取與實(shí)施 ? 【描述】 – 為實(shí)現(xiàn) IT戰(zhàn)略，應(yīng)當(dāng)識(shí)別、開發(fā)（或獲取）和實(shí)施 IT解決方案，并使 IT系統(tǒng)業(yè)務(wù)流程進(jìn)行融合。 ? 空白 (Blank)——可能適用；但由該過程的其他標(biāo)準(zhǔn)或由其他過程來滿足此需求更合適。 62 ?控制程度的選擇 COBIT總體結(jié)構(gòu)圖 ? 主要的（ Primary，簡(jiǎn)寫為 P） ——在這個(gè)程度上，定義的控制目標(biāo)直接影響相關(guān)信息標(biāo)準(zhǔn)。 ) ? 監(jiān)控與評(píng)價(jià) ——要對(duì)所有 IT過程的質(zhì)量以及與控制需求的符合性進(jìn)行周期性的評(píng)估。為了提供服務(wù)，必須建立必要的支持過程。另外，此域還涵蓋到了對(duì)現(xiàn)有系統(tǒng)的更新與維護(hù)，以確保這些系統(tǒng)生命周期的持續(xù)性。此外，還應(yīng)當(dāng)建立合理的組織與技術(shù)基礎(chǔ)設(shè)施。這三個(gè)維度在 COBIT立方塊中可表示成下圖： 4個(gè)域 — 34個(gè)過程 — 318個(gè)控制目標(biāo) 61 ? COBIT的四個(gè)域 ? 計(jì)劃和組織 ——這個(gè)域涵蓋了戰(zhàn)略和戰(zhàn)術(shù)，其目的是要識(shí)別出能使 IT為實(shí)現(xiàn)業(yè)務(wù)目標(biāo)作出最大的貢獻(xiàn)的方法。 ? 人員 ——員工在計(jì)劃、組織、采購、交付、支持和監(jiān)控信息系統(tǒng)和服務(wù)時(shí)，所應(yīng)具備的技能、意識(shí)和生產(chǎn)力。 ? 技術(shù) ——涵蓋硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等。 58 ? COBIT中識(shí)別的 IT資源定義如下： ? 數(shù)據(jù) ——是指廣義形式的（即組織內(nèi)部與外部）、結(jié)構(gòu)化的和非結(jié)構(gòu)化的、圖形的、聲音的數(shù)據(jù)對(duì)象。 ? 符合性 —處理與業(yè)務(wù)流程相關(guān)的法規(guī)、法律及合同的符合性問題，即遵循外部強(qiáng)加的各種業(yè)務(wù)標(biāo)準(zhǔn)。 ? 完整性 —與信息的準(zhǔn)確性和完全性相關(guān)，同時(shí)也與符合業(yè)務(wù)價(jià)值和業(yè)務(wù)預(yù)期的正確性有關(guān)。 ? 經(jīng)濟(jì)性 —以最優(yōu)化資源使用的方式（最具生產(chǎn)力的和經(jīng)濟(jì)的方式）來提供信息。 53 ? COBIT能給組織帶來的利益 ? 有助于大幅提高組織對(duì) IT治理的接受程度，減少實(shí)施 IT治理所需的時(shí)間； ? 對(duì) IT審計(jì)方法與審計(jì)方案標(biāo)準(zhǔn)化，為正式的 IT審計(jì)與檢查提供指南，為識(shí)別所有的主要風(fēng)險(xiǎn)區(qū)域提供可靠的參考； ? IT運(yùn)行管理人員通過 COBIT可以了解審計(jì)師的關(guān)注點(diǎn)，有助于利用審計(jì)結(jié)果作為實(shí)施改善行動(dòng)的機(jī)會(huì)； ? 是實(shí)現(xiàn) IT治理目標(biāo)的驅(qū)動(dòng)力，可以幫助組織完善 IT實(shí)務(wù)和 IT過程； ? 為組織提供了一個(gè)經(jīng)濟(jì)的、可持續(xù)完善的控制框架，提供一個(gè)有價(jià)值的參照基準(zhǔn)，使得管理層對(duì)控制的決策可以基于一個(gè)可信的來源； ? 有助于在業(yè)務(wù)與 IT之間搭起溝通的橋梁，完善業(yè)務(wù)人員與 IT管理人員的關(guān)系 54 ? COBIT產(chǎn)品簇 COBIT框架 控制目標(biāo) 控制實(shí)務(wù) 審計(jì)指南 實(shí)施指南 管理指南 IT治理總論 Practices Responsibilities Executives Boards 治理實(shí)務(wù) 職責(zé) 董事會(huì)與執(zhí)行管理層 Business and Technology Management w Performance measures w Critical success factors w Maturity models 業(yè)務(wù)與技術(shù)管理層 績效測(cè)量 關(guān)鍵成功因素 成熟度模型 Audit, control and security professional What is the IT Control Framework ? How to assess the IT Control Framework ? How to introduce it in the enterprise ? 審計(jì)、控制和安全從業(yè)人員 如何制定 IT控制框架 ? 如何評(píng)估 IT控制框架 ? 如何在組織中建立 IT控制框架 ? 55 ? COBIT原理 ? COBIT框架的出發(fā)點(diǎn) ? 要實(shí)現(xiàn)對(duì) IT的控制，就要考慮支持業(yè)務(wù)目標(biāo)或業(yè)務(wù)需求的信息，考慮運(yùn)用 IT相關(guān)資源后得到的信息，對(duì) IT資源要通過恰當(dāng)?shù)?IT過程來進(jìn)行管理。 ?用戶 對(duì)內(nèi)部或第三方提供的 IT服務(wù)，獲得在安全與控制方面的保證。 （一） IT治理工具－ COBIT 50 ? COBIT基本的準(zhǔn)則 ?國際上通用的、得到普遍認(rèn)可的 IT控制最佳實(shí)務(wù)標(biāo)準(zhǔn)，是實(shí)施 IT治理的重要基礎(chǔ)； ?適用企業(yè)建立全局信息系統(tǒng)時(shí)參照使用，與具體的技術(shù)無關(guān)； ?從業(yè)務(wù)對(duì)信息的需求出發(fā)，面向企業(yè)管理層和業(yè)務(wù)過程的所有者； 51 ? COBIT的背景 ?第一版由信息系統(tǒng)審計(jì)與控制基金會(huì)（ ISACF）于1996年發(fā)布。 （四）對(duì) IT治理的評(píng)估 43 ? 一流治理績效企業(yè)的七個(gè)特征 ?更多領(lǐng)導(dǎo)層的管理者們可以描述 IT治理 ?更多地利用五種溝通機(jī)制 ?高層管理者更直接地參與 IT治理 ? IT投資具有更加清晰的業(yè)務(wù)目標(biāo) ?更多差異化的業(yè)務(wù)戰(zhàn)略 ?較少的非授權(quán)例外和較多的得到正式批準(zhǔn)的例外 ?治理變更的次數(shù)逐年減少 44 ? 什么樣的治理安排最有效 ?不同治理安排下，“最好”和“最差”的治理績效 45 ?誰做出更好的決策？ 46 ?最成功的三種 IT決策模式 47 ? 案例研究 ?Delta航空公司的 IT決策 ?國內(nèi)證券公司的 IT治理模式 ?道富公司的 IT治理設(shè)計(jì) 48 ? IT治理的實(shí)施框架 ? 為了實(shí)施有效的 IT治理，除了在戰(zhàn)略層建立決策權(quán)歸屬和職責(zé)擔(dān)當(dāng)?shù)目蚣芡?，還要對(duì)企業(yè)的戰(zhàn)術(shù)運(yùn)行層制定一套適用的 IT控制框架，以確保 IT支持業(yè)務(wù)目標(biāo)，確保資源得到了可靠的使用、風(fēng)險(xiǎn)受到了合理的管理。 ?溝通方式有以下 5種： ? 高級(jí)管理層的公告 ? 正式的委員會(huì) ? CIO或 IT治理辦公室 ? 與不守常規(guī)者的共事 ? 基于網(wǎng)絡(luò)的門戶 40 ? 影響力高且具有挑戰(zhàn)性的機(jī)制 41 ? 建立有效 IT治理機(jī)制的原則 ?從三種類型中選擇適用的治理機(jī)制； ?限制決策制定結(jié)構(gòu) ?需要決策結(jié)構(gòu)中各類人員的交叉 ?在企業(yè)的多個(gè)層面上設(shè)置相應(yīng)的機(jī)制 ?明確責(zé)任 42 ? 對(duì) IT治理績效的評(píng)估 ? 組織 IT治理安排鼓勵(lì)期望行為的程度和組織最終達(dá)到績效目標(biāo)的程度。 ?治理工作流程包括以下 6個(gè)流程： ? IT投資批準(zhǔn)流程 ? 架構(gòu)例外流程 ? 服務(wù)水平協(xié)議 ? 費(fèi)用分?jǐn)倷C(jī)制 ? 項(xiàng)目追蹤 ? 業(yè)務(wù)價(jià)值的正式追蹤 39 ? 溝通方法 ?闡明有關(guān) IT治理決策和流程以及整個(gè)企業(yè)范圍內(nèi)的相關(guān)期望行為。 38 ? 治理工作流程 ?保證對(duì) IT進(jìn)行有效管理和使 IT應(yīng)用得以推廣的 IT管理技術(shù)。 ? 70%的企業(yè)擁有包含業(yè)務(wù)成員和 IT成員的 IT理事會(huì)，85%的企業(yè)擁有包含 IT成員的流程團(tuán)隊(duì)， 85%的企業(yè)擁有 IT和業(yè)務(wù)關(guān)系經(jīng)理。 – 架構(gòu)委員會(huì)與業(yè)務(wù)部門經(jīng)營者緊密協(xié)作時(shí)，它不僅能有效地引進(jìn)技術(shù)標(biāo)準(zhǔn)，還能預(yù)測(cè)對(duì)于有價(jià)值的新技術(shù)的需求。 ? 架構(gòu)委員會(huì) – 由技術(shù)專家組成，負(fù)責(zé)制訂標(biāo)準(zhǔn)，在某些情況下可批準(zhǔn)例外項(xiàng)目。 – 超過 85%的企業(yè)擁有正式的