|
|
|
成立于1969年的美国信息系统审计与控制协会(ISACA),于1996推出了用于“IT审计”的知识体系COBIT(Control Objectives for Information and related Technology信息系统和技术控制目标),COBIT包含34个信息技术过程控制,并归集为4个控制域:IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)以及信息系统运行性能监控(Monitoring)。
|
|
|
|
COBIT目前已成为国际上公认的IT管理与控制框架,已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效地利用信息资源,有效地管理与信息相关的风险。该框架如下图所示。
|
|
|
|
|
|
|
|
该框架的意义在于:COBIT实现了企业目标与IT治理目标之间的桥梁作用。
|
|
|
|
首先,COBIT考虑了企业自身的战略规划,对业务环境和企业总的业务战略进行分析定位,并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境,并由此确定IT准则。
|
|
|
|
IT为企业战略提供了基于技术的解决方案,为满足业务战略需求提供了技术与工具。在IT准则的指导下,利用控制目标模型,分别从规划与组织、获取与实施、交付与支持、监控等过程进行控制、管理信息资源。在IT管理的同时,引入审计指南,从而保证IT资源管理的安全性、可靠性和有效性。
|
|
|
|
COBIT实现可跟踪的业绩衡量,通过平衡记分卡可以在财务(企业资源管理)、客户(客户关系管理)、过程(内部网,工作流工具)、学习(知识管理)等方面维持平衡,评价企业目标的实现情况以及IT绩效,并调整业务目标和IT战略,进行持续的IT管理。
|
|
|
|
COBIT采用成熟度模型,可以定位自己企业的IT管理目前在业界所处的位置,以及未来努力的方向,通俗地说就是给IT管理“打分”。
|
|
|
|
COBIT还提供了目前最佳案例和关键成功因素(CSF),供企业和组织借鉴。
|
|
|
|
从内容上看,COBIT覆盖了从分析、设计到开发、实施到运营、维护的整个过程,COBIT覆盖整个信息系统的全部生命周期,其视野是最为开阔的。
|
|
|
