[转帖]CobiT终极大解密（1）

COBIT

COBIT是信息及相关技术控制目标的缩写。

文件分类
COBIT被看作是IT治理、控制和保证的公认的最佳实务文件集合。

发行者
COBIT的第一版由信息系统审计和控制协会（ISACA）于1996年发行。在1998年，第二版在增加了控制目标和实施工具集后出版。第三版由IT治理研究院在2000年发行，增加了管理方针和其他详细的控制目标。现在CobiT已经更新至第四版。

准则或指南出版物的目的
COBIT的任务是：研究、发展、宣传权威的、最新的国际化的公认信息技术控制目标以供企业经理、IT专业人员和保险专业人员每日使用。

驱动实施指南（包括典型情况）的业务需求
COBIT常常在下列情形中实施：
1、有IT治理的需求
2、IT所提供的服务与企业目标一致
3、自动化/标准化IT程序的要求
4、需要有一个全面IT程序框架
5、过程要统一
6、需要有一个质量管理系统框架
7、定义一个结构性的审计方法
8、合并或购并在发生
9、IT成本控制的需要
10、部分或所有的IT功能将外包
11、关注对外部要求的遵从

相关的非遵从风险：
1、IT服务的偏离及分歧
2、由于偏离造成不能对企业目标支持
3、由于偏离浪费的机会
4、把IT作为一个黑箱来理解
5、存在与管理措施和管理期望间的差距
6、会造成只与关键个人而不与组织相联系
7、过量的IT成本和间接费用
8、错误的投资决策和项目

目标读者：
不同的组织、公众或私人公司和外部保险专业人员组成了相关的目标群体。在组织中，有三个层次：管理层、IT使用者和专业人员以及保险专业人员。

时效性：
尽管最近版本在2000年发行，它仍是较新的。在2003-04这个出版物出版时，对COBIT的最新修改包括：
1、COBIT Quickstart
2、COBIT在线
3、IT治理实施指南
4、IT控制实务

认证
CobiT审计指南依据控制目标提供相应的审计和自我评估条目。然而，CobiT的每一部分没有相应的认证。将来，在实施SAS 70检查的时候，注册会计师和特许会计师会经常使用CobiT架构。

作为CobiT的发明者——ISACA（国际信息系统审计与控制专业委员会）虽然没有针对CobiT的认证，但有相应的注册信息系统审计师(Certified Information System Auditor CISA)和注册信息系统安全管理员(Certified Information Security Manager CISM)。

通用性
COBIT在世界范围内使用。除了英文版之外，它还被译成西班牙语、德语、法语和其他几种语言。

完整性
如前所述，COBIT提出了一个IT管理责任的广阔范围。COBIT包括IT管理的所有重要部分，及由其他准则所涵盖的部分。尽管不包括技术性细节，但遵照控制目标的必要任务是不需加以说明的。因此，它被看作相对高的控制目标，目标是一般性而非具体性地完成。

可用性
可以登陆www.isaca.org/cobitonline 网站购买COBIT在线，COBIT在线允许使用者为他们的企业定制一个COBIT版本，然后储存和操作他们所想要的版本。它提供在线、实时调查和基准。COBIT的大多数部分是开放的，并且在ITGI 或ISACA的网站，www.itgi.org 或者www.isaca.org 能免费下载赠送版。对ISACA成员来说，已公布了审计方针的免费下载。作为选择，印刷本和全搜索CD-ROM可从ISACA的书店购买(bookstore@isaca.org).

指南及其内容叙述
企业治理（管理和控制组织的系统）和IT治理（管理和控制组织的IT的系统）是——从  COBIT的观点看——高度独立的。没有IT治理，企业治理是不充分的，反之亦然。IT能延伸和影响组织的绩效，但它必须有充分的治理。另一方面，经营过程需要IT过程带来的信息，这种相互关系必须要加以治理。

在这个题目下，计划-执行-检查-行动（PDCA）循环开始变得明显。PDCA循环的概念经常在结构化的问题解决和持续发展过程中使用。PDCA循环也称为戴明循环或持续发展过程的戴明轮。信息需求（公司治理）和信息提供（IT治理）必须与可衡量、建设性的指示器一起来规划（计划）。信息和可能的信息系统必须得到实施、发送和使用（执行）。发送和使用信息的结果按照在计划阶段所定义的指示器来衡量（检查）。产生的背离要得到调查并采取纠正行动（行动）。

考虑到这些独立性，很明显，IT过程不是它们本身的终结。它们是一种到达终点的手段，并和经营过程的管理高度整合。如下是IT治理研究院的定义：
IT治理是董事会和管理执行人员的责任。作为企业治理的一个不可分割的部分，它是一个由领导关系和组织结构过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程风险、增加价值来确保实现企业目标。

CobiT 架构
组织如同为所有的资产一样，也必须满足信息的质量、信用和安全要求。管理当局也必须充分利用可以得到的资源，包括数据、应用系统、技术、设施和人员。为履行这些责任并且达到它们的目标，管理当局必须了解它们自己的IT系统的状况并决定它们应提供什么安全和控制。

COBIT框架通过联结经营风险、控制需要和技术事务来帮助满足管理当局多样化的需求。它提供了通过一个范围和过程框架的良好的习惯做法，提供了在一个可控和逻辑结构内的活动。COBIT的良好的习惯作法反映了专家的一致意见，帮助充分利用信息投资活动，提供了判断如果事情作错了的措施。

CobiT 目标
CobiT提供了与IT流程相对的34个高级控制目标，这些控制目标分成四个域：规划与组织(Planning and organization),获取与交付(Acquisition and implementation),交付与支持(Delivery and support),监控(Monitoring)。四个域覆盖了信息和信息技术的所有方面，通过这34个高级控制目标，管理层可以确保为IT环境提供充分的控制系统。

管理指南（Management Guidelines）COBIT管理指南在IT控制和IT治理之间提供了连接。它们是普通的并以行动为导向,提供给管理层如下目的的具体指南和指导：获得控制下的企业信息和相关过程；监督组织目标的完成；在每个IT过程中监督和完善绩效和衡量组织的成绩。它们为下列典型的管理问题提供答案：
1、在控制IT过程中我们应走多远？成本和收益能配比吗？？
2、关键效绩指标有哪些？
3、关键成功因素有哪些？
4、如果不能达到目标，相应的风险是什么？
5、还需要其它部门做是什么？
6、我们如何按照行业内或国际标准当今情况来衡量和比较组织的成熟度
7、组织发展的战略是什么？

控制实务（Control Practices）
IT控制实务通过给从业者提供附加的细节水平来扩展COBIT性能。COBIT IT过程、业务要求和详细的控制目标定义了要满足什么需求以实施一种有效的控制架构。IT控制实务提供了更详细的管理层、服务提供商、终端客户和控制专业人员如何及为什么需要，以实施高度具体的基于经营和IT风险分析之上的控制。

审计指南（Audit Guidelines）
分析、评估、解释、反应和实施。为了达到既定的目的和目标，企业必须持续进行审计检查。在控制目标的风险不能有效控制的情况下，审计指南提供符合34个高级控制目标的具体实施措施。

CobiT Quickstart
这个专用版本适用于中小企业及其它企业，这些企业信息系统不作为影响企业生存和发展的核心部分，但它可作为IT治理与适当控制水平的起始点。这一方案在对COBIT解释的完整形式的反馈中已被广泛接受，但由一个小的IT职员来操作往往没有足够的资源来实现所有的COBIT.这个COBIT版本 ;组成了整个COBIT体系的一个子集。只有那些最重要的控制目标被考虑在内，以至于COBIT基本原理能容易、有效相对快速的执行。

CobiT Online
CobiT在线版本允许用户根据自己情况定制出适合自己企业的CobiT版本，然后进行实施操作。它提供了在线的、实时的调查和基准线。

IT治理实施指南(IT Governance Implementation Guide)
IT治理实施指南的目的是为读者提供使用CobiT实施和改进IT治理的方法。该指南主要关注实施IT治理的通用方法，包括：
1、为什么IT治理是重要的及为什么组织应该实施IT治理
2、IT治理生命周期
3、CobiT 架构
4、CobiT与IT治理之间的联系及如何利用CobiT 实施IT治理
5、对IT治理感兴趣的利益相关者
6、使用CobiT实施IT治理的步骤

继续《CobiT终极大解密（2）》

推荐到鲜果： 查阅更多相关主题的帖子: IT治理 信息安全 业内动态