COBIT简介 （二）

2 相关知识点

        2.1 IT 资源、 IT 过程、业务需求

        1 、 IT 资源、 IT 过程和业务需求各部分的基本内涵；
        2 、三者之间的关系。

        2.2 控制

        什么是控制？ COBIT 认为控制是那些被定义成政策、流程、实践和组织结构的内容，它们的设计目的是为了提供合理的保证，以使得业务目标能够被达成，且能阻止、发现、纠正不期望的事件。

        那 IT 控制管理目标是什么呢？是预期的结果，或者是实施控制的目的。

        如何实现控制呢？下图提供了一个方法。

        从这张图里，我们可以看到控制是一个收集，比较，纠正的过程。那收集什么？如何收集？和什么进行比较？这三个问题又引出了控制三要素：控制管理目标、度量方法、标准。

        西方管理学有句名言：你不能管理你不能度量的。控制管理的逻辑充分体现了这句话。

        IT 资源

        IT 资源包括应用、信息、基础设施和人员。这里的 “ 应用 ” ，概念比我们惯常理解的范围要大一些，它除了指处理信息的自动系统外，还包括人工流程。因此，它特别指出应用控制的运行管理和控制管理职责不是由 IT 部门承担的，而应该是由业务部门的 Owner 来承担。（注意：这里说的是管理职责不是执行职责）

         业务需求

        COBIT 描述业务需求的方法很有意思，它提供的是一个基于信息的需求模型。所以，大家可能会觉得里面的很多东西很熟悉，例如：保密、完整、可用。它在此基础上增加了效果、效率、遵从和可靠。 COBIT 称之为 “Information Criteria” （信息标准）。

        IT 过程

        IT 过程在结构上分三层，从上至下是过程域（也叫过程组）、过程、活动。 COBIT 定义了 34 个过程，分为四个过程域。这四个过程域分别是：

        1 、 Plan and Organize ：包含 10 个过程

        2 、 Acquire and Implement ：包含 7 个过程

        3 、 Deliver and Support ：包含 13 个过程

        4 、 Monitor and Evaluate ：包含 4 个过程

        乍一看，和 PDCA 模型有点像，不过不完全一样。

        三者关系

        还是那句话： IT 资源被 IT 过程管理，实现 IT 目标满足业务需求。

        2.3 度量模型

        能力、绩效、控制度是度量过程的三个纬度。

3 COBIT 和信息安全

        表面看来， COBIT 似乎和信息安全并不直接相关。 34 个过程中，只有 PO9“ 评估和管理 IT 风险 ” 和 DS5“ 保证系统安全 ” 直接和信息安全相关。所以，研究 COBIT 对我们有什么帮助呢？

        在回答这个问题前，我们先来看几个信息安全领域的术语定义。

        风险（ Risk ）：某一特定的威胁利用某资产或某一群资产的弱点致使该资产受到损失或损坏的潜在可能性。（ The potential that a given threat will exploit vulnerabilities of an asset or group of assets to cause loss of/or damage to the assets. ）一般是通过威胁发生的可能性和它造成的结果进行组合来衡量的。（ It usually is measured by a combination of impact and probability of occurrence. ） 【参考 ISO/IEC TR 13335-1 和 BS 7799-2:2002 】

        风险处置（ Risk Treatment ）：选择和实施修正风险的控制的过程。（ Process selection and implementation of controls to modify risk. ）【参考 BS 7799-2:2002 】
   
        控制措施（ Safeguard ）：降低风险的实践、过程或机制。（ A practice, procedure or mechanism that reduces risk. ）【参考 BS 7799-2:2002 】

        再和控制的定义比较一下，会发现两者本质上是相同的。所谓的安全，实际上就是控制，将风险控制在可以接受的范围内，这就是安全的本质目的。所以， COBIT 的逻辑和方法在信息安全领域实际上也是适用的。这就是对我们工作的帮助意义。