《COBIT的体系架构及解析.docx》由会员分享,可在线阅读,更多相关《COBIT的体系架构及解析.docx(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、COBIT 的体系架构及解析OBIT 具有完整的体系架构,如图 4-5 所示。上面的局部可以供董事会或者执行层参考。中间局部关注治理层,由于治理层重视测控和基准.下面局部供给了对实施的具体支持,并确保有足够的 IT 掌握和治理.在使用 COBIT 时,可以综合使用各个局部进展治理,由于 COBIT 是面对过程的,所以可以用它来了解 IT 掌握目标并掌握与 IT 相关的商业风险。4。3.2。1执行概要执行概要是对 COBIT 概念和原理的总体解释,执行概要定义了 COBIT 中的概念和 原理以及其它各局部的大纲。为了供给组织为到达其目标所需要的信息,IT 资源需要由一套整合的流程来治理。其中,C
2、OBIT 把信息标准定义为 7 种:有效性、效率性、机密性、完整性、可用性、符合性、牢靠性。IT 资源定义为 5 类:人员、应用、技术、设施、数据。IT 过程分 为四个领域:打算和组织、猎取和实施、交付和支持、监控。这个构造掩盖了信息及其支撑技 术的各个方面。4。3。2.2掌握框架COBIT 的掌握框架为企业过程拥有者供给了一个促进其履行职责的工具,供给信息化管控指导。它指出这些IT 过程影响到哪些信息标准,涉及到哪些IT 资源,从而把IT 过程、IT 资源和信息连接到企业战略和目标上去,使打算和组织、猎取和实施、交付和支持、监控IT 绩效以最优的方式一体化,使企业充分利用其信息并因此而使利润
3、最大化,抓住每一个时机,赢得竞争优势。4。3.2。3治理指南治理指南,是 COBIT 最近进展的理论,它进一步加强企业治理以更有效地处理业务需求和信息化管控要求。治理指南定义了 IT 过程的成熟度模型,为治理者评估 IT 过程的状态供给了标准。同时也给出了一些重要的测度,这包括:关键成功因素、关键目标指标、关键绩效指标。帮助供给典型治理问题的答案:我们该掌握 IT 到什么程度,本钱和收益是否相符? 有没有一个测量标准用于推断何时确定会消灭失败?怎样才算是好的性能?关键成功因素是 什么?哪些是影响我们实现组织目标的风险,其他的组织在做什么?我们应当怎样进展测量与比较?COBIT 尤其是治理指南搭
4、建了贯穿业务风险、掌握需要和技术问题这三者之间的桥梁。治理指南面对实施,是普遍状况的总结,同时为怎样得到企业信息和相关的处理供给了治理方向,这些相关处理包括掌握、监控组织目标成果、监控和改进每个 IT 处理的性能和组织成就的基准。4。3。2.4掌握目标COBIT 框架构造包含高层掌握目标和其分类的整体构造。根本的分类理论是:考虑 IT 资源的治理时,就本质而言,有三个层次的 IT 行为:从底部开头,第一层是为到达一个可测量结果的活动和任务。尽管活动也有一个生命周期的概念,然而活动尚属于离散的行为,生命周期概念更强调不同于离散行为的典型掌握要求。“过程”被定义在其次层(更高的一个层次),是一系列
5、具有自然(或有掌握的连续的联合活动和任务。在最高层,过程被自然归组成域.它们的自然组合常常被作为组织构造的职责域,并与可应用于 IT 过程的治理周期或生命周期相全都。COBIT 供给了一套 34 个高层的掌握目标,每一个目标对应着一个 IT 过程,一共组成 4 个域: 打算和组织、猎取和实现、交付和支持、监控.这种构造涵盖了信息和相关支持技术的全部方面。通过公布这 34 个高层掌握目标,业务处理者可以确保对 IT 环境供给适当的掌握系统.掌握目标下,又定义了 318 个具体的掌握子目标.每个子目标从价值交付和风险治理的角度,在 34 个 IT 过程中,针对每个 IT 过程,给出了治理策略,包括
6、:该 IT 过程满足了何种业务需求,应承受何种措施,它影响到哪些信息标准,涉及到哪些IT 资源以及在该 IT 过程中应留意的事项。再将子掌握目标细化成可执行的掌握措施Control Practice 或译为掌握实践、掌握实务)并为实施执行供给业务指导。IT 掌握措施是对应用 COBIT 的进一步阐述,同时为实践者供给了额构造需要做的事情。IT 掌握措施供给了更为具体的需求,并解释了治理层、效劳供给者、最终外层次的具体说明。COBIT 的 IT 处理,业务需求和具体的掌握目标定义了要实施有效的掌握用户和掌握人员怎样以及为什么需要 IT 掌握措施.4。3.2.5审计指南审计指南通过审查实际的活动的
7、表现,以确保能够满足高层和具体的掌握目标.对应于34 个高层掌握目标的每一个目标,都有一个审计指南来评审 IT 过程,可以结合 COBIT 推举的318 个具体掌握目标来供给治理保证或改进建议。审计指南为 CIO 和信息系统审计师对组织的信息系统进展分析,评估,实施,审计等供给了建议和指导.4。3。2.6实施工具集实施工具集供给其他组织在漆工作环境下快速而成功应用 COBIT 的阅历教训.它供给两个特别有用的工具:治理诊断工具和 IT 掌握诊断工具。用来关心分析组织的 IT掌握环境。4。3。2。7COBIT 举例说明COBIT 包括了技术相关的掌握目标和方法,它们来自于 41 个国际公认的安全
8、、审计和控制参考,是对一些问题的的思考途径,而不是 IT 掌握和审计程序的集合,这就导致 COBIT 不像 BS7799 或 ITIL 那样易于理解或实施.这里特以变更治理流程为例来介绍,之所以以变更管理为例,是由于分布式计算和互联网的广泛应用所产生的一个结果就是在计算活动中失去了对安全性的掌握,也就是说,如下:掌握 IT 过程:变更治理以满足以下业务需求:把破坏,非授权的改动和错误发生的可能性削减到最小实现方法:建立一套治理系统来分析,实施和跟踪全部针对现有的IT 根底设施的变更恳求和变更过程同时考虑:llllll变更确定分类,优先和紧急程序影响评估变更授权公布治理软件安排lll自开工具的使
9、用配置治理重设计业务处理流程AI 6 变更治理以下为具体掌握目标)6。1 变更恳求初始化和掌握IT 治理部门为保证全部变更可控,要做到:标准化系统的维护工作,以及符合标准的治理和程序。变更要进展分类,区分优先级,同时要有特别的程序来处理紧急状况。变更恳求人员应始终明白其恳求所处的状态.6。2 影响评估用构造化的方式来评估,全部变更恳求对操作系统及其功能上产生的影响.6.3 变更掌握IT 治理部门应当保证变更治理,软件掌握和分发都可以用一个综合配置治理系统来合为一体。用于监控应用系统变更的系统能够自动地记录和跟踪大型的,简单的信息系统的变化。6。4 紧急状况下的变更当变更绕过了技术操作和以前治理
10、评估正常的程序去执行操作时,IT 治理部门应当确立紧急状况下变更发生的参数和程序来掌握这些变更。紧急状况的变更应当通过以前的 IT 治理部门记录和授权实施.6.5 文档和程序变更程序应当确保不管什么时候实施系统变更,相关的文档和程序要相应地更.6.6 授权维护IT 治理部门应当确保维护人员有具体具体的任务,同时要正确地监控他们的工作.另外, 他们的访问权力应当被掌握以避开对系统进展未授权访问的风险.6。7软件公布策略IT 治理部门应当通过正常的程序来治理软件的公布,以保证正常完成,包装,回归测试, 移交等.6.8软件的分发应当建立具体的内部掌握措施,来确保适宜的软件单元完整地分发到了正确的地方
11、,同时,使用适宜的方法来获得审计踪迹。这里我们再以紧急状况的变更治理为例介绍其掌握措施如下:AI6 变更治理AI6。4 紧急状况的变更治理l确保只有突然发生意外状况时才启动紧急状况治理流程。l确保不损坏机密性、完整性、可用性、牢靠性及正确性的状况下实施紧急状况的变更。当紧急状况发生时,正常的技术、操作和实施前的治理评估已不能正常进展,IT 治理部门应当判定紧急状况是否发生及实施掌握程序来治理这些变更.紧急状况的变更实施应当通过IT 治理部门记录和正式授权.IT 掌握实务(1 治理层应当定义紧急状况的特征和应对流程,以便识别、对外宣布和准时响应。(2 全部的变更治理应记录,假设此前没做,事后准时补救。3)全部的变更治理应进展测试,假设此前没做,事后准时补救.4)全部的变更治理在实施之前,应由系统全部人和治理层正式授权和治理. (5记录变更前后的情形,变更日志要记录并保存以被日后检查。通过实施变更治理掌握实务将: