COBIT简介 (一)

COBIT 简介
标准名称:《信息及相关技术的控制目标》(Control Objectives for Information and related Technology,COBIT)
隶属机构:美国IT治理研究院(IT Governance Institute)开发与推广
标准作用:信息、IT 以及相关风险控制方面的国际公认标准,COBIT 还被作为一种遵从SOX(Sarbanes-Oxley)法案的工具而广泛采用
最新版本:《COBIT 4.1》,COBIT 第一版于1994年推出
COBIT 的IT框架由四个部分组成:
规划和组织
获得和实施
交付和支持
监控和评估
COBIT 基础知识
        COBIT Control Objectives for Information and related Technology (信息及其技术的控制管理目标集)的简称。
        COBIT 是一个 IT 管理框架,同时也提供了一个支持工具集,来帮助管理者弥合控制需求、技术问题、业务风险之间的差距,并与利益干系人沟通控制级别。( COBIT is a IT governance framework and supporting toolset that allow managers to bridge the gap with respect to control requirements, technical issues and business risks, and communicate that level of control to stakeholders.
        COBIT IT 最佳实践的集合体( integrator ),也是 IT 管理的伞状框架,它能帮助理解和管理与 IT 相关的风险和收益。
1.1 COBIT 的基本逻辑
        COBIT 的基本逻辑是: IT resources are managed by IT processes to achieve IT goals that respond to the business requirements IT 资源被 IT 过程管理,以达到符合业务需求的 IT 目标)。
        COBIT 认为 IT 资源是有限的,所以应该被有效管理。如何实现这个目标呢?通过管理 IT 过程。因为 IT 资源被 IT 活动所使用,所以管理好 IT 活动就能够管理好 IT 资源;而 IT 过程是 IT 活动的集合,所以管理 IT 过程也就是管理 IT 活动。
 1.2 COBIT 的内容
        我们已经知道 COBIT 包括一个 IT 管理框架和一个支持工具集。下面将分别介绍这些内容。
    1.2.1 支持工具集
        为了达成 通过 IT 过程管理 IT 资源,实现 IT 目标满足业务需求 的目的, COBIT 认为首先需要有一些控制管理目标来定义正在实施的政策、流程、实践的最终目的,从而保证业务目标能够被达成且不会有不期望的事件发生。但是光有这些控制管理目标是不足够的,还需要建立标准,用来评判现状是理想的还是需要改进的。要和标准进行比对,就必须能够对现状进行度量,这又要求必须有一套度量现状的方法。
因此, COBIT 提供了三个工具:
    1 Benchmarking of IT process capability expressed as maturity models, derived from the Software Engineering Institute’s Capability Maturity Model; (标准 Scales
    2 Goals and metrics of the IT processes to define and measure their outcome and performance based on the principles of Robert Kaplan and David Norton’s balanced business scorecard; (度量 Measures
    3 Activity goals for getting these processes under control, based on COBIT’s detailed control objectives. (控制管理目标 Indicators
        COBIT 采用 SEI 的能力成熟度模型来描述 IT 过程能力,以此作为 IT 过程能力度量标准;基于业务平衡记分卡这种度量方法, COBIT 采用 Goal KGI 关键目的指标)来度量 IT 过程输出,采用 Metrics KPI 关键绩效指标)来度量 IT 过程绩效;最后,用 COBIT 控制管理目标来定义 IT 过程的活动目的,这是 COBIT 的精华和独创部分。
        COBIT Dashboard 就是它的框架(下一节会介绍),而控制管理目标就是 Dashboard 上面的 Indicators 。这有点象中医里面的经络图, COBIT 框架( Dashboard )就是那张图,控制管理目标( Indicators )就是经络图上的穴位。那张图,除了告诉你全身( IT 管理)有多少个穴位以外,还告诉你哪个穴位可以治什么病(业务需求)。有了这张图你就知道,扎针扎在这儿可以治头疼,扎在那儿可以治脚疼,扎别的地方除了疼什么都治不了。但它没告诉你扎针应该扎多深。 Benchmarking 给的就是这个扎针的深度,治脚疼要扎三分,治头疼要扎一分。但没告诉你这个 到底是怎样量出来的。 Scorecards 给的就是一个记分的方法。三样隔一块儿就可以保证这一针扎下去一定有效。所以, COBIT 也是这样,必须三样都齐备才能保证 IT 管理的有效。
    1.2.2 COBIT 框架
        COBIT 框架包括:一个索引(穴位在哪里),三张关系匹配图(每个穴位治什么病)。
        COBIT 框架提供了一个索引。
        COBIT 定义了 100 多个控制管理目标,如何组织这些目标,需要一个框架。因此, COBIT 借鉴了一些业界研究成果,将 IT 活动归纳到 34 个过程 4 个过程域中,控制管理目标通过定义 IT 活动目的被组织在这个框架里。度量和标准都是针对控制管理目标的,找到了控制管理目标就找到了相应的度量方法和标准。
1.3 COBIT 文档系列
        为了说清楚这些内容, COBIT 工作小组开发了一系列文档,分成不同的小册子,主要是为了适应不同层面的读者需求。不同层面的读者,职责不同需求不同,只要看与自己的职责需求相对应的部分即可,并不需要全都了解得一清二楚。这些独立分开的小册子提供了这种便利。
        这些文档面向三类用户:
        1 、公司高级执行长官和董事会:(红色部分)
        2
、业务和技术管理层:(深蓝色部分)
        3
、管理、保证、控制和安全专家:(浅灰色部分)
        方框里的是文档名称,分别和各类用户相对应。
        提供给大家的 COBIT4.0 只包括其中的三部分内容,其余部分需要成为 ISACA 的高级会员才能拿到。
1.4 如何使用 COBIT4.0
        COBIT4.0 一共有 209 页,囊括了 7 个业务需求、 20 个业务目标、 28 IT 目标、 34 IT 过程、 100 多个控制管理目标,针对每个 IT 过程还定义有专门的度量方法和能力成熟度评估模型( 5 个级别,每个级别有专门的定义描述)。这让熟悉 COBIT 的每个细节成为不可能。
        那我们该如何使用 COBIT 呢?这里有个三步曲:
        第一步:明确你的工作目的。我是要实现某个 IT 目标,还是业务目标,或者是业务需求,甚至可以只是要对某个 IT 过程进行评估。总而言之,你需要首先确定好你的工作目的。(知道要治什么病)
        第二步:通过 COBIT 框架找到支撑你工作目的的 IT 过程。 COBIT 提供了一个很好的框架,通过这个框架,你很容易就能定位到支撑你工作目的的 IT 过程。(找到治病穴位的大方位)
        第三步:找到支持这个 IT 过程落实的控制管理目标、度量方法和标准。 COBIT 28 页开始就以 IT 过程为单位逐一论述每个过程的控制管理目标、度量方法和标准。因此,有了 IT 过程就有了支持这个过程落实的一系列工具(控制管理目标、度量方法和标准)。然后,照着这个去做就可以了。(知道穴位在哪里,扎针该扎多深,也知道该怎么量)
    这样, COBIT 就真正成为支撑我们工作的工具了。
 

你可能感兴趣的:(职场,休闲,ITIL,COBIT)