Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2553648
  • 博文数量: 709
  • 博客积分: 12251
  • 博客等级: 上将
  • 技术积分: 7905
  • 用 户 组: 普通用户
  • 注册时间: 2005-07-17 00:00
个人简介

实现有价值的IT服务

文章存档

2012年(7)

2011年(147)

2009年(3)

2008年(5)

2007年(74)

2006年(431)

2005年(42)

分类: IT业界

2011-09-21 21:41:38

COBIT(Control Objectives for Information and related Technology) 是目前国际上通用的信息系统审计的标准,由信息系统审计与控制协会在1996年公布。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准,目前已经更新至4.1版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。
目录
COBIT意义
COBIT信息技术的控制目标
信息技术控制目标中定义的信息技术资源
COBIT的优点
COBIT意义
  COBIT将IT过程,IT资源与企业的策略与目标(准则)联系起来,形成一个三维的体系结构。
  (1)IT准则维集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;
  (2)IT资源主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是IT治理过程的主要对象;
  (3)IT过程维则是在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术 I规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。
COBIT信息技术的控制目标
  (1)有效性(Effectiveness)——是指信息与商业过程相关,并以及时、准确、一致和可行的方式传送。
  (2)高效性(Efficiency)——关于如何最佳(最高产和最经济)利用资源来提供信息。
  (3)机密性(Confidentiality)——涉及对敏感信息的保护,以防止未经授权的披露
  (4)完整性(Integrity)——涉及信息的精确性和完全性,以及与商业评价和期望相一致
  COBIT信息技术的控制目标
  (5)可用性(Availability)——指在现在和将来的商业处理需求中,信息是可用的。还指对必要的资源和相关性能的维护。
  (6)符合性(Compliance)——遵守商业运作过程中必须遵守的法律、法规和契约条款,如外部强制商业标准。
  (7)信息可靠性(Reliability of Information)——为管理者的日常经营管理以及履行财务报告责任提供适当的信息。
  为了满足遵循《萨班斯法案》的要求,谷安天下(GooAnn)在IT内部控制方面参照COSO内部控制框架和CoBIT控制标准,帮助客户建立完整的内部控制体系,满足萨班斯法案及国内上市公司的要求,COBIT Training上谷安天下(GooAnn)也结合了ISACA认证大纲体系开发了COBIT认证课程体系。
  
 
GooAnn IT风险内部控制体系(一)(1张)
 
GooAnn IT风险管理内部控制体系(二)(1张)
信息技术控制目标中定义的信息技术资源
  *数据(Data)——指最广义(例如,表面的和内在的)的对象,包括结构化和非结构化、图表、声音等等。
  *应用系统(Application Systems)——人工程序和电脑程序的总和。
  *技术(Technology)——包括硬件、操作系统、数据库管理系统、网络、多媒体等等。
  *设备(Facilities)——用来存放和支持信息系统的一切资源。
  *人员(People)——包括用来计划、组织、获取、传送、支持和监控信息系统和服务所需要的人员技能、意识和生产力。
  COBIT是一个非常有用的工具,也非常易于理解和实施,可以帮助在管理层、IT审计之间交流的鸿沟上搭建桥梁,提供了彼此之间沟通的共同语言。
COBIT的优点
  • 通过实施COBIT,增加了管理层对控制的感知及支持。
  • COBIT使IT管理工作简易并量化,减轻对复杂信息系统管理工作的难度,并且可以应用在每天都在发生的各种新问题中。
  • COBIT提供了一种国际通用的IT管理及问题解决方案 。
  • COBIT有助于提高信息系统审计师的影响力。
  • COBIT框架可以帮助决定过程责任,提高IT治理水平 。
  COBIT(Control Objectives for Information and related Technology 信息和相关技术的控制目标)是由ITGI(信息技术治理协会)提出的IT控制框架,该协会于1996,1998,2000,2005年分别颁布了COBIT 1.0,COBIT 2.0,COBIT 3.0以及COBIT 4.0,2007年5月份,已经更新到COBIT 4.1 。在这个过程中,COBIT已从一个审计师的工具,演变为IT治理框架,越来越多地被IT管理人员使用。
  COBIT4.1产品家族分三个层次分别为执行管理层和董事会,业务和IT经理层,治理、鉴证、控制和安全专家提供支持。具体产品包括:(1)董事会IT治理手册(第二版)——旨在解释IT治理缘何重要、IT治理关注的主要问题和主管人员在管理过程中负有的责任。(2)管理者指南/成熟度模型——帮助管理者指派责任,衡量绩效,检查和解释能力缺口。(3)框架——分不同的IT域和过程组织IT治理目标和优秀实践,并将其与组织需求联系起来。(4)控制目标——提供给管理者一套完整的有效控制每个IT过程所需考虑的高层次需求。(5)IT治理实施指南:运用COBIT ® and Val IT TM, 第二版——为运用COBIT ® and Val IT TM实施IT治理提供了一般通用路径。(6)COBIT控制实践:成功IT治理控制目标的实现指南,第二版——解释实施控制的必要性以及如何实施。(7)IT鉴证指南:运用COBIT ®——为COBIT支持各种鉴证活动、测试IT过程和控制目标提供指南。

 

阅读(1494) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~