经过几十年的发展, 西方发达国家总结了信息化建设的经验, 将 “企业治理” 的概念引入到信息化领域, 提出了“IT 治理” 的概念, 对信息化建设的管理提升到了一个新的高度。 信息化建设过程实质上就是一个对 IT 进行治理的过程, 在这个背景下, ISACA 提出了 COBIT。COBIT 是什么?
COBIT 是 Controlled Objectives for Information and Related Technology 的缩写, 即信息及相关技术的控制目标。 COBIT 是 ISACA(信息系统审计和控制联合会) 制订的面向过程的信息系统审计和评价的标准。 对信息化建设成果的评价, 按照系统属性可以划分为若干方面, 如: 对最终成果评价、 对建设过程评价、 对系统架构评价等。 COBIT 是一个基于 IT 治理概念的、 面向 IT 建设过程的 IT 治理实现指南和审计标准。
ISACA 成立于 1969 年, 是国际上最富盛名的信息控制理论研究及研究资料的出版机构, 是一个专门从事 IT 治理相关技术研究、 教育的国际组织。 它在全球拥有 100 多个会员国, 主要任务定位于协调世界范围内建立 IT 控制惯例, 并与其他国际组织如财务、 会计、 审计及 IT 专业建立了战略联盟, 使自己在 IT 治理方面达到世界最高水平。
ISACA 于 1996 年发表了 COBIT 的第一版, 1998 年修订后发表第二版。 最新的版本是 2001 年发布的第三版。 在第三版中, ISACA 对第二版的内容进行了修订, 增加了“管理指南” 等内容, 反映当前最新的信息和相关技术控制目标。 COBIT 是一个指导信息化建设、 审计、 治理的标准或框架。 COBIT 第三版中包含了COBIT 的框架、 控制目标、 实现目标所应采取的实践方法、 对信息化建设进行审计等一系列内容。 ISACA 发布 COBIT 的目的:
-- 集中体现全球 IT 管理专家贡献的精华
-- 是进行 IT 治理和风险管理的有效工具
-- 是平衡风险和投资关系的有效工具
-- 是进行 IT 性能考核的重要参考
-- 设置行动标杆, 指导企业达到适当的控制水平
-- 还可用于支持政府和行业管理部门的信息系统审计活动COBIT 的用途是:
--- 作为 IT 治理的核心模型
--- 作为“审计 ” 信息系统的标准
--- 作为指导信息化建设行动
COBIT 的主要服务对象是:
--- 管理人员: 帮助他们在变幻莫测的 IT 环境中平衡风险和控制投资。
--- 信息化的用户: 得到内部或第三方提供服务的安全、 IT 服务控制的保证。
--- 审计人员: 借助 COBIT 证实他们对 IT 系统状况的判断, 为管理层改善内部控制提供建议。
在开发 COBIT 的过程中, ISACA 博采众长, 大量吸取了世界范围的、 与信息技术管理相关的研究成果,主要包括:
-- 来自 ISO、 EDIFACT 等的技术标准
-- 来自 OECD、 ISACA 等的职业道德规范;
-- 来自 IT 系统和过程的质量标准, 如 ITSEC、 TCSEC、 ISO9000、 SPICE、 TickIT 等
-- 来自内部控制和审计的职业标准: 如 COSO、 IFAC、 AICPA、 CICA、 ISACA、 IIA、 PCIE、 GAO 等
-- 来自行业论坛的行业管理和规定及政府发起的论坛, 如 ESF、 I4、 IBAG、 NIST、 DTI 等。
-- 行业特殊标准: 如银行业、 电子商务和 IT 制造等。
COBIT 的基本概念
COBIT 是一个典型的按照西方思维方法取得的研究成果, 即分析事实、 提炼模型、 建立概念、 提出行动方法和评价体系。 基于 IT 治理的概念, ISACA 对 IT 建设过程进行提炼, 建立了一系列概念和过程及,确定行动目标, 提出行动方法和评审标准。 这些内容构成了 COBIT 的框架和支柱, 使用者可以根据实际情况做一定的剪裁。 COBIT 所提出基本概念是: IT 治理的模型、 IT 治理的过程、 成熟度级别、 控制目标、 关键目标指示(KGI) 、 关键性能指示(KPI) 、 重要成功因素(CSF) 等。
COBIT 认为信息化建设就是借助“IT 资源” , 通过管理活动(activities) , 将输入的“事件” 转换为“信息” 。 IT 治理就是对这个控制、 转换过程进行管理和控制。 COBIT 将“信息” 的特性划分为: 效果、效率、 机密性、 完整性、 适用性、 遵从性(即遵守有关的法律法规、 规章制度) 、 可靠性等七个属性, 将“IT 资源” 划分为: 技术、 应用、 人员、 设施、 数据。 信息及资源的关系见图 1。
下一篇:联系的客观性原理和方法论