COBIT 4.0专用课件.pptVIP

COBIT 4.0 管平新 CISSP 汇报大纲 COBIT产生背景 COBIT发展历程 COBIT 4.0内容 COBIT应用与发展 COBIT产生背景 什么是COBIT？ 为什么会产生COBIT？ 谁、在哪里需要COBIT？ COBIT能解决什么问题？ What Why? 什么是COBIT？ Control Objectives for Information and related Technology 由国际信息系统审计与控制协会（ISACA）1996年发行 COBIT 4.0由IT治理研究院（ITGI）发行 为什么会产生COBIT？ 现在的IT产品、IT系统和解决方案，都具有很高的技术复杂度。里面有大量的模块和功能。如果不购买卖家的服务的话，可能连“初始化”的工作也无法完成 厂商以“自己的标准”给出的所谓“服务包”，能否让客户放心地认为“物有所值”？ ISACA：如何度量信息系统的质量？ 信息系统的“所得非所需”是一个由来已久的问题 COBIT：提供可以量化的一系列指标，给卖家和买家提供一个共同参考的“第三方框架” Who Where? 谁需要COBIT？ 管理人员，帮助他们在通常无法预测的IT环境中平衡对风险和控制的投资 用户，帮助用户获得由内部或第三方提供的对IT安全和控制服务的保证 IT审计人员，证实他们就内部控制问题向管理部门提出的意见和建议 在哪需要COBIT？ 有IT治理的需求 IT所提供的服务与企业目标一致 自动化/标准化IT程序的要求 需要有一个全面IT程序框架 过程要统一 需要有一个质量管理系统框架 定义一个结构性的审计方法 合并或购并在发生 IT成本控制的需要 部分或所有的IT功能将外包 关注对外部要求的遵从 How？ COBIT能解决什么问题？ IT服务的“第三极” 我们看待IT的角度，还真正停留在非常传统的“产品”的层面；而COBIT是真正的“服务”的层面。 COBIT所指的服务，即不是“产品的延伸”，更不是什么“售后服务”、“支持服务”，而是“服务框架”、服务方法论和服务模型，这构成了“信息系统服务”的第三极。这一极，既不隶属于某个厂商，也独立于用户 COBIT从体系化、标准化的高度，构建关于信息系统投资、建设、评估、风险控制的知识框架，超越了传统的产品与服务的概念，是IT行业乃至信息化事业的新的发展思路。 解决的问题 让IT与用户的应用相契合 COBIT发展历程 COBIT发展历史 IT治理的4种辅助手段比较 COBIT发展历史 COBIT第一版由国际信息系统审计和控制协会（ISACA）1996年发行 1998年，第二版在增加了控制目标和实施工具集后出版 第三版由IT治理研究院（ITGI）在2000年发行，增加了管理方针和其他详细的控制目标 第四版由IT治理研究院（ITGI）在2005年发行，做了很大的调整 IT治理的4种辅助手段比较（1） 什么是IT治理？ IT治理是IT、经济学及管理学界中一个新的概念，用于描述企业或政府是否采用有效的机制，使得IT的应用能够完成组织赋予它的使命，同时平衡信息化过程中的风险，确保实现组织的战略目标。 其主要使命是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。 IT治理支持手段 COBIT ITIL ISO/IEC 17799 PRINCE2 IT治理的4种辅助手段比较（2） COBIT 信息及相关技术的控制目标(Control Objectives for Information and related Technology，COBIT) ，是IT治理的一个开放性标准，由国际IT治理研究院(IT Governance Institute)开发与推广。 IT业务流程是COBIT关注的焦点，对每一个IT业务流程，COBIT提出了一系列的控制目标、相应的实现这些控制目标的控制程序，评价这些控制程序是否存在，并被有效执行的一系列审计程序。 该标准为IT的治理、安全与控制提供了一个普遍适用的公认标准，以辅助管理层进行IT治理。 IT治理的4种辅助手段比较（3） ITIL IT基础架构库(Information Technology Infrastructure Library, ITIL)由英国政府部门在20世纪80年代末制订，现由英国商务部OGC负责管理，主要适用于IT服务管理（ITSM）。 20世纪90年代后期，ITIL的思想和方法，被美国、澳大利亚、南非等国家广泛引用，并进一步发展。 2001年英国标准协会（BSI）在国际IT服务管理论坛（itSMF）年会上，正式发布了基于ITIL的英国国家标准BS15000。 2002年，BS15000为国际标准化组织（ISO）所接受，作为IT服务管理的国际标