IT治理框架COBIT流程

一.PO(计划与组织)

      1 定义IT战略规划

           1.1 IT价值管理

           1.2 IT与业务的一致性

           1.3 当前能力和绩效的评估

           1.4 IT 战略规划编制

           1.5  IT 战术计划

           1.6 IT 项目组合管理

    

     2  定义信息架构           

           2.1 企业信息架构模型

           2.2 企业数据字典和数据语法规则

           2.3 数据分类计划

           2.4 完整性管理

 

 

     3  确定技术方向

           3.1 技术方向计划

           3.2 技术基础设施计划

           3.3 监控未来发展趋势与合规性

           3.4 技术标准

           3.5 IT 架构委员会

 

 

    4. 定义IT 流程、组织和关系

           4.1 IT 流程框架

           4.2 IT 战略委员会

           4.3 IT 指导委员会

           4.4 IT 职能的组织定位

           4.5 IT 组织结构

           4.6 角色和职责的建立

           4.7 IT 质量保证职责

           4.8 风险、安全和合规性职责

           4.9 数据和系统所有权

           4.10 监督

           4.11 职责分离

           4.12 IT 职位

           4.13 关键IT 职员

           4.14 签约职员的政策和程序

           4.15 关系

 

 

    5. IT 投资管理

           5.1 财务管理框架

           5.2 IT 预算内的优先级

           5.3 编制IT 预算

           5.4 成本管理

           5.5 收益管理

 

 

     6. 沟通管理目标和方向

           6.1 IT 政策和控制环境

           6.2 企业IT 风险和控制框架

           6.3 IT 政策管理

           6.4 政策、标准与程序发布

           6.5 IT 目标和方向的沟通

 

 

    7.IT 人力资源管理

           7.1 人员招聘和保持

           7.2 人员能力

           7.3 角色分配

           7.4 人员培训

           7.5 对个体的依赖程度

           7.6 人员选拔程序

           7.7 雇员工作业绩评估

           7.8 工作变更与终止

 

    8.质量管理

            8.1 质量管理体系

            8.2 IT 标准与质量实践

            8.3 标准的开发与获取

            8.4 以客户为中心

            8.5 持续改进

            8.6 质量的测量、监视和评审

 

    9.IT 风险评估及管理

            9.1 IT 风险管理框架

            9.2 建立风险背景

            9.3 事件识别

            9.4 风险评估

            9.5 风险响应

            9.6 风险行动计划的维护和监控

 

   10.项目管理

            10.1 项目群管理框架

            10.2 项目管理框架

            10.3 项目管理方法

            10.4 利益相关的承诺

            10.5 项目范围说明书

            10.6 项目启动

            10.7 集成项目计划

            10.8 项目资源

            10.9 项目风险管理

            10.10 项目质量计划

            10.11 项目变更控制

            10.12 保障方法的项目计划

            10.13 项目绩效测评、报告和监控

            10.14 项目关闭

 

 

二. AI(获取与实施)

          1. 识别自动化解决方案

                 1.1 定义和维护业务功能与技术需求

                 1.2 风险评估报告

                 1.3 可行性研究和形成方案改进建议

                 1.4 需求与可行性研究的决策和批准

 

          2. 应用系统开发及维护

                  2.1 高层设计

                  2.2 详细设计

                  2.3 应用控制和可审计性

                  2.4 应用安全和可用性

                  2.5 外购应用软件的配置和实施

                  2.6 现有系统的重大升级

                  2.7 应用软件开发

                  2.8 软件质量保证

                  2.9 应用系统需求管理

                  2.10 应用系统维护

 

           3. 技术基础设施的获取和维护

                  3.1 技术基础设施的获取计划

                  3.2 基础设施资源的保护和可用性

                  3.3 基础设施维护

                  3.4 可行性验证环境

           

           4. 运营知识保障

                 4.1 运营知识保障方案

                 4.2 向业务管理层转移知识

                 4.3 向最终用户转移知识

                 4.4 向运营维护人员转移知识

 

            5. IT 资源获取

                 5.1 采购控制

                 5.2 供应商合同管理

                 5.3 选择供应商

                 5.4 IT 资源采购

 

            6.变更管理

                6.1 变更标准和流程

                6.2 影响评估、优先级和授权

                6.3 紧急变更

                6.4 变更状态跟踪和报告

                6.5 变更的结束和文档

 

 

            7. 系统测试与发布

                7.1 用户培训

                7.2 测试方案

                7.3 实施方案

                7.4 测试环境

               7.5 系统切换和数据转换

               7.6 变更测试

               7.7 最终验收测试

                7.8 系统上线

                7.9 实施后评审

 

 

          三. DS(交付与支持)

               1. 服务水平的定义和管理

                     1.1 服务水平管理框架

                     1.2 服务定义

                     1.3 服务水平协议

                     1.4 运营水平协议

                     1.5 服务水平绩效的监控和报告

                     1.6 服务水平协议和合同的审阅

 

                2. 第三方服务管理

                     2.1 所有供应商关系的识别

                     2.2 供应商关系管理

                     2.3 供应商风险管理

                     2.4 供应商绩效监控

 

                3. 性能和容量管理

                     3.1 性能和容量计划

                     3.2 当前性能和容量

                     3.3 未来性能和容量

                     3.4 IT 资源的可用性

                     3.5 监控和报告

          

               4. 确保持续服务

                      4.1 IT 持续性框架

                      4.2 IT 持续性计划

                      4.3 关键IT 资源

                      4.4 IT 持续性计划的维护

                      4.5 IT 持续性计划的测试

                      4.6 IT 持续性计划的培训

                      4.7 IT 持续性计划的分发

                      4.8 IT 服务恢复和重新开始

                      4.9 异地备份存储

                      4.10 恢复后审查

  

                5. 确保系统安全

                      5.1 IT 安全管理

                      5.2 IT 安全计划

                      5.3 身份管理

                      5.4 用户账户管理

                      5.5 安全测试与监控

                      5.6 安全事件定义

                      5.7 安全技术保护

                      5.8 密钥管理

                      5.9 恶意软件的预防、检测和纠正

                      5.10 网络安全

                      5.11 敏感数据交换

 

 

            6. 成本确认和分摊

                    6.1 服务的定义

                    6.2 IT 成本核算

                    6.3 成本模型和收费

                    6.4 成本模型的维护

 

 

               7.教育和培训用户

                    7.1 教育和培训需求的识别

                    7.2 教育和培训的交付

                    7.3 培训评估

 

               8. 服务台和事件管理

                    8.1 服务台

                    8.2 登记客户查询

                    8.3 事件的逐步升级

                    8.4 事件关闭

                    8.5 报告和趋势分析

 

               9. 配置管理

                     9.1 配置库和基线

                     9.2 配置项的标识和维护

                     9.3 配置的完整性检查

 

               10. 问题管理

                    10.1 问题识别和分类

                    10.2 问题跟踪和解决

                    10.3 问题关闭

                    10.4 配置、事件和问题管理的集成

 

               11.  数据管理

                    11.1 数据管理的业务需求

                    11.2 存储和保管方案

                    11.3 介质库管理系统

                    11.4 销毁

                    11.5 备份和恢复

                    11.6 数据管理的安全需求

 

 

              12.  物理环境管理

                      12.1 地点的选择和规划

                      12.2 物理安全措施

                      12.3 物理访问

                      12.4 依据环境因素的保护

                      12.5 物理设施的管理

 

              13. 运营管理

                     13.1 运营流程和操作指南

                     13.2 作业调度

                     13.3 IT 基础设施的监控

                     13.4 敏感资料和输出设备

                     13.5 硬件的预防性维护

 

    

四.ME(监控与评价)

               1. 监控与评价IT 绩效

                       1.1 监控体系

                       1.2 监控数据的收集和识别

                       1.3 监控方法

                       1.4 绩效评价

                       1.5 董事会和管理层报告

                       1.6 整改措施

 

 

               2.监控与评价内部控制

                      2.1 监控内部控制框架

                      2.2 管理评价

                      2.3 控制例外事件

                      2.4 控制自我评估

                      2.5 内部控制保证

                      2.6 对第三方的内部控制

                      2.7 整改措施

 

              3. 确保遵循外部要求

                     3.1 识别外部法律、法规和合同的合规性要求

                     3.2 优化对于外部要求的应对措施

                     3.3 评估外部要求的合规性

                     3.4 积极保证合规性

                     3.5 整合报告

 

               4. 提供IT 治理

                       4.1 建立IT 治理框架

                       4.2 战略融合

                       4.3 价值交付

                       4.4 资源管理

                       4.5 风险管理

                       4.6 绩效测评

                       4.7 独立保证