COBIT简介
标准名称:《信息及相关技术的控制目标》(Control Objectives for Information and related Technology,COBIT)
隶属机构:美国IT治理研究院(IT Governance Institute)开发与推广
标准作用:信息、IT 以及相关风险控制方面的国际公认标准,COBIT 还被作为一种遵从SOX(Sarbanes-Oxley)法案的工具而广泛采用
最新版本:《COBIT 4.1》,COBIT 第一版于1994年推出
COBIT的IT框架由四个部分组成:
规划和组织
获得和实施
交付和支持
监控和评估
COBIT 基础知识
COBIT是Control Objectives for Information and related Technology(信息及其技术的控制管理目标集)的简称。
COBIT是一个IT管理框架,同时也提供了一个支持工具集,来帮助管理者弥合控制需求、技术问题、业务风险之间的差距,并与利益干系人沟通控制级别。(COBIT is a IT governance framework and supporting toolset that allow managers to bridge the gap with respect to control requirements, technical issues and business risks, and communicate that level of control to stakeholders.)
COBIT是IT最佳实践的集合体(integrator),也是IT管理的伞状框架,它能帮助理解和管理与IT相关的风险和收益。
1.1 COBIT的基本逻辑
COBIT的基本逻辑是:IT resources are managed by IT processes to achieve IT goals that respond to the business requirements(IT资源被IT过程管理,以达到符合业务需求的IT目标)。
COBIT认为IT资源是有限的,所以应该被有效管理。如何实现这个目标呢?通过管理IT过程。因为IT资源被IT活动所使用,所以管理好IT活动就能够管理好IT资源;而IT过程是IT活动的集合,所以管理IT过程也就是管理IT活动。
1.2 COBIT的内容
我们已经知道COBIT包括一个IT管理框架和一个支持工具集。下面将分别介绍这些内容。
为了达成“通过IT过程管理IT资源,实现IT目标满足业务需求”的目的,COBIT认为首先需要有一些控制管理目标来定义正在实施的政策、流程、实践的最终目的,从而保证业务目标能够被达成且不会有不期望的事件发生。但是光有这些控制管理目标是不足够的,还需要建立标准,用来评判现状是理想的还是需要改进的。要和标准进行比对,就必须能够对现状进行度量,这又要求必须有一套度量现状的方法。
因此,COBIT提供了三个工具:
1、Benchmarking of IT process capability expressed as maturity models, derived from the Software Engineering Institute’s Capability Maturity Model;(标准 Scales)
2、 Goals and metrics of the IT processes to define and measure their outcome and performance based on the principles of Robert Kaplan and David Norton’s balanced business scorecard;(度量 Measures)
3、Activity goals for getting these processes under control, based on COBIT’s detailed control objectives.(控制管理目标 Indicators)
COBIT采用SEI的能力成熟度模型来描述IT过程能力,以此作为IT过程能力度量标准;基于业务平衡记分卡这种度量方法,COBIT采用 Goal(KGI关键目的指标)来度量IT过程输出,采用Metrics(KPI关键绩效指标)来度量IT过程绩效;最后,用COBIT控制管理目标来定义IT过程的活动目的,这是COBIT的精华和独创部分。
COBIT的Dashboard就是它的框架(下一节会介绍),而控制管理目标就是Dashboard上面的Indicators。这有点象中医里面的经络图,COBIT框架(Dashboard)就是那张图,控制管理目标(Indicators)就是经络图上的穴位。那张图,除了告诉你全身(IT管理)有多少个穴位以外,还告诉你哪个穴位可以治什么病(业务需求)。有了这张图你就知道,扎针扎在这儿可以治头疼,扎在那儿可以治脚疼,扎别的地方除了疼什么都治不了。但它没告诉你扎针应该扎多深。Benchmarking给的就是这个扎针的深度,治脚疼要扎三分,治头疼要扎一分。但没告诉你这个 “分”到底是怎样量出来的。Scorecards给的就是一个记分的方法。三样隔一块儿就可以保证这一针扎下去一定有效。所以,COBIT也是这样,必须三样都齐备才能保证IT管理的有效。
COBIT框架包括:一个索引(穴位在哪里),三张关系匹配图(每个穴位治什么病)。
COBIT框架提供了一个索引。
COBIT定义了100多个控制管理目标,如何组织这些目标,需要一个框架。因此,COBIT借鉴了一些业界研究成果,将IT活动归纳到34个过程4个过程域中,控制管理目标通过定义IT活动目的被组织在这个框架里。度量和标准都是针对控制管理目标的,找到了控制管理目标就找到了相应的度量方法和标准。
1.3 COBIT文档系列
为了说清楚这些内容,COBIT工作小组开发了一系列文档,分成不同的小册子,主要是为了适应不同层面的读者需求。不同层面的读者,职责不同需求不同,只要看与自己的职责需求相对应的部分即可,并不需要全都了解得一清二楚。这些独立分开的小册子提供了这种便利。
这些文档面向三类用户:
1、公司高级执行长官和董事会:(红色部分)
2、业务和技术管理层:(深蓝色部分)
3、管理、保证、控制和安全专家:(浅灰色部分)
2、业务和技术管理层:(深蓝色部分)
3、管理、保证、控制和安全专家:(浅灰色部分)
方框里的是文档名称,分别和各类用户相对应。
提供给大家的COBIT4.0只包括其中的三部分内容,其余部分需要成为ISACA的高级会员才能拿到。
1.4 如何使用COBIT4.0
COBIT4.0一共有209页,囊括了7个业务需求、20个业务目标、28个IT目标、34个IT过程、100多个控制管理目标,针对每个IT过程还定义有专门的度量方法和能力成熟度评估模型(5个级别,每个级别有专门的定义描述)。这让熟悉COBIT的每个细节成为不可能。
那我们该如何使用COBIT呢?这里有个三步曲:
第一步:明确你的工作目的。我是要实现某个IT目标,还是业务目标,或者是业务需求,甚至可以只是要对某个IT过程进行评估。总而言之,你需要首先确定好你的工作目的。(知道要治什么病)
第二步:通过COBIT框架找到支撑你工作目的的IT过程。COBIT提供了一个很好的框架,通过这个框架,你很容易就能定位到支撑你工作目的的IT过程。(找到治病穴位的大方位)
第三步:找到支持这个IT过程落实的控制管理目标、度量方法和标准。COBIT从28页开始就以IT过程为单位逐一论述每个过程的控制管理目标、度量方法和标准。因此,有了IT过程就有了支持这个过程落实的一系列工具(控制管理目标、度量方法和标准)。然后,照着这个去做就可以了。(知道穴位在哪里,扎针该扎多深,也知道该怎么量)
这样,COBIT就真正成为支撑我们工作的工具了。
