1 COBIT
COBIT是Control Objectives for Information and related Technology(信息及其技术的控制管理目标集)的简称。
COBIT是一个IT治理框架,同时也提供了一个支持工具集,来帮助管理者弥合控制需求、技术问题、业务风险之间的差距,并与利益干系人沟通控制级别。(COBIT is a IT governance work and supporting toolset that allow managers to bridge the gap with respect to control requirements, technical issues and business risks, and communicate that level of control to stakeholders.)
COBIT是IT最佳实践的集合体(integrator),也是IT治理的伞状框架,它能帮助理解和管理与IT相关的风险和收益。
1.1 COBIT的基本逻辑
COBIT的基本逻辑是:IT resources are managed by IT processes to achieve IT goals that respond to the business requirements(IT资源被IT过程管理,以达到符合业务需求的IT目标)。
COBIT认为IT资源是有限的,所以应该被有效管理。如何实现这个目标呢?通过管理IT过程。因为IT资源被IT活动所使用,所以管理好IT活动就能够管理好IT资源;而IT过程是IT活动的集合,所以管理IT过程也就是管理IT活动。
1.2 COBIT的内容
我们已经知道COBIT包括一个IT治理框架和一个支持工具集。下面将分别介绍这些内容。
1.2.1 支持工具集
为了达成“通过IT过程管理IT资源,实现IT目标满足业务需求”的目的,COBIT认为首先需要有一些控制管理目标来定义正在实施的政策、流程、实践的最终目的,从而保证业务目标能够被达成且不会有不期望的事件发生。但是光有这些控制管理目标是不足够的,还需要建立标准,用来评判现状是理想的还是需要改进的。要和标准进行比对,就必须能够对现状进行度量,这又要求必须有一套度量现状的方法。
下图用一个传统行业的问题用例来类比上述管理过程所需的管理工具。
因此,COBIT提供了三个工具:
l Benchmarking of IT process capability expressed as maturity models, derived from the Software Engineering Institute’s Capability Maturity Model;(标准 Scales)
l Goals and metrics of the IT processes to define and measure their outcome and performance based on the principles of Robert Kaplan and David Norton’s balanced business scorecard;(度量 Measures)
l Activity goals for getting these processes under control, based on COBIT’s detailed control objectives.(控制管理目标 Indicators)
COBIT采用SEI的能力成熟度模型来描述IT过程能力,以此作为IT过程能力度量标准;基于业务平衡记分卡这种度量方法,COBIT采用Goal(KGI关键目的指标)来度量IT过程输出,采用Metrics(KPI关键绩效指标)来度量IT过程绩效;最后,用COBIT控制管理目标来定义IT过程的活动目的,这是COBIT的精华和独创部分。
COBIT的Dashboard就是它的框架(下一节会介绍),而控制管理目标就是Dashboard上面的Indicators。这有点象中医里面的经络图,COBIT框架(Dashboard)就是那张图,控制管理目标(Indicators)就是经络图上的穴位。那张图,除了告诉你全身(IT管理)有多少个穴位以外,还告诉你哪个穴位可以治什么病(业务需求)。有了这张图你就知道,扎针扎在这儿可以治头疼,扎在那儿可以治脚疼,扎别的地方除了疼什么都治不了。但它没告诉你扎针应该扎多深。Benchmarking给的就是这个扎针的深度,治脚疼要扎三分,治头疼要扎一分。但没告诉你这个“分”到底是怎样量出来的。Scorecards给的就是一个记分的方法。三样隔一块儿就可以保证这一针扎下去一定有效。所以,COBIT也是这样,必须三样都齐备才能保证IT管理的有效。
1.2.2 COBIT框架
COBIT框架包括:一个索引(穴位在哪里),三张关系匹配图(每个穴位治什么病)。
COBIT框架提供了一个索引。
COBIT定义了100多个控制管理目标,如何组织这些目标,需要一个框架。因此,COBIT借鉴了一些业界研究成果,将IT活动归纳到34个过程4个过程域中,控制管理目标通过定义IT活动目的被组织在这个框架里。度量和标准都是针对控制管理目标的,找到了控制管理目标就找到了相应的度量方法和标准。
下图就是COBIT的框架图。
这个框架还体现了COBIT的基本逻辑:IT资源被IT过程管理,以达到符合业务需求的IT目标。
COBIT框架还提供了IT过程、IT目标、业务目标和业务需求四者之间的支撑关系。
COBIT还是借鉴了业界的很多研究成果,归纳出了28个IT目标,20个业务目标,7个业务需求,并提供了34个IT过程和它们之间的相互支撑关系。
图一:业务目标、IT目标、业务需求三者之间的支撑关系
图二:IT目标、IT过程和业务需求三者之间的支撑关系
图三:IT过程对IT目标的支撑关系
1.3 COBIT文档系列
为了说清楚这些内容,COBIT工作小组开发了一系列文档,分成不同的小册子,主要是为了适应不同层面的读者需求。不同层面的读者,职责不同需求不同,只要看与自己的职责需求相对应的部分即可,并不需要全都了解得一清二楚。这些独立分开的小册子提供了这种便利。
COBIT文档系列结构如下:
这些文档面向三类用户:
l 公司高级执行长官和董事会:(红色部分)
l 业务和技术管理层:(深蓝色部分)
l 管理、保证、控制和安全专家:(浅灰色部分)
方框里的是文档名称,分别和各类用户相对应。
提供给大家的COBIT4.0只包括其中的三部分内容,其余部分需要成为ISACA的高级会员才能拿到。
1.4 如何使用COBIT4.0
COBIT4.0一共有209页,囊括了7个业务需求、20个业务目标、28个IT目标、34个IT过程、100多个控制管理目标,针对每个IT过程还定义有专门的度量方法和能力成熟度评估模型(5个级别,每个级别有专门的定义描述)。这让熟悉COBIT的每个细节成为不可能。
那我们该如何使用COBIT呢?这里有个三步曲:
第一步:明确你的工作目的。我是要实现某个IT目标,还是业务目标,或者是业务需求,甚至可以只是要对某个IT过程进行评估。总而言之,你需要首先确定好你的工作目的。(知道要治什么病)
第二步:通过COBIT框架找到支撑你工作目的的IT过程。COBIT提供了一个很好的框架,通过这个框架,你很容易就能定位到支撑你工作目的的IT过程。(找到治病穴位的大方位)
第三步:找到支持这个IT过程落实的控制管理目标、度量方法和标准。COBIT从28页开始就以IT过程为单位逐一论述每个过程的控制管理目标、度量方法和标准。因此,有了IT过程就有了支持这个过程落实的一系列工具(控制管理目标、度量方法和标准)。然后,照着这个去做就可以了。(知道穴位在哪里,扎针该扎多深,也知道该怎么量)
这样,COBIT就真正成为支撑我们工作的工具了。
2 相关知识点
2.1 IT资源、IT过程、业务需求
下图表达两方面的内容:
1、 IT资源、IT过程和业务需求各部分的基本内涵;
2、 三者之间的关系。
IT资源
IT资源包括应用、信息、基础设施和人员。这里的“应用”,概念比我们惯常理解的范围要大一些,它除了指处理信息的自动系统外,还包括人工流程。因此,它特别指出应用控制的运行管理和控制管理职责不是由IT部门承担的,而应该是由业务部门的Owner来承担。(注意:这里说的是管理职责不是执行职责)
业务需求
COBIT描述业务需求的方法很有意思,它提供的是一个基于信息的需求模型。所以,大家可能会觉得里面的很多东西很熟悉,例如:保密、完整、可用。它在此基础上增加了效果、效率、遵从和可靠。COBIT称之为“Information Criteria”(信息标准)。
IT过程
IT过程在结构上分三层,从上至下是过程域(也叫过程组)、过程、活动。COBIT定义了34个过程,分为四个过程域。这四个过程域分别是:
l Plan and Organize:包含10个过程
l Acquire and Implement:包含7个过程
l Deliver and Support:包含13个过程
l Monitor and Evaluate:包含4个过程
乍一看,和PDCA模型有点像,不过不完全一样。
三者关系
还是那句话:IT资源被IT过程管理,实现IT目标满足业务需求。
2.2 控制
Control is defined as the polices, procedures, practices and organizational structures designed to provide reasonable assurance that business objectives will be achieved and undesired events will be prevented or detected and corrected.
什么是控制?COBIT认为控制是那些被定义成政策、流程、实践和组织结构的内容,它们的设计目的是为了提供合理的保证,以使得业务目标能够被达成,且能阻止、发现、纠正不期望的事件。
An IT control objective is a statement of the desired result or purpose to be achieved by implementing control procedures in a particular IT activity.
那IT控制管理目标是什么呢?是预期的结果,或者是实施控制的目的。
如何实现控制呢?下图提供了一个方法。
从这张图里,我们可以看到控制是一个收集,比较,纠正的过程。那收集什么?如何收集?和什么进行比较?这三个问题又引出了控制三要素:控制管理目标、度量方法、标准。
西方管理学有句名言:你不能管理你不能度量的。控制管理的逻辑充分体现了这句话。
2.3 度量模型
能力、绩效、控制度是度量过程的三个纬度。
控制度关注的是过程对风险的控制能力和对IT目标、业务目标、业务需求的支撑程度;绩效关注的是过程执行结果,常常是用投资收益率来表示;能力关注的是组织执行这个过程的能力,采用的是成熟度模型来描述的,从0级一直到5级。
3 COBIT和信息安全
表面看来,COBIT似乎和信息安全并不直接相关。34个过程中,只有PO9“评估和管理IT风险”和DS5“保证系统安全”直接和信息安全相关。所以,研究COBIT对我们有什么帮助呢?
在回答这个问题前,我们先来看几个信息安全领域的术语定义。
风险(Risk):某一特定的威胁利用某资产或某一群资产的弱点致使该资产受到损失或损坏的潜在可能性。(The potential that a given threat will exploit vulnerabilities of an asset or group of assets to cause loss of/or damage to the assets.)一般是通过威胁发生的可能性和它造成的结果进行组合来衡量的。(It usually is measured by a combination of impact and probability of occurrence.) 【参考ISO/IEC TR 13335-1和BS 7799-2:2002】
风险处置(Risk Treatment):选择和实施修正风险的控制的过程。(Process selection and implementation of controls to modify risk.)【参考BS 7799-2:2002】
控制措施(Safeguard):降低风险的实践、过程或机制。(A practice, procedure or mechanism that reduces risk.)【参考BS 7799-2:2002】
再和控制的定义比较一下,会发现两者本质上是相同的。所谓的安全,实际上就是控制,将风险控制在可以接受的范围内,这就是安全的本质目的。所以,COBIT的逻辑和方法在信息安全领域实际上也是适用的。这就是对我们工作的帮助意义。