COBIT的体系架构及解析

COBIT的体系架构及解析

OBIT具有完整的体系架构，如图4-5所示。上面的部分可以供董事会或者执行层参考。中间部分关注管理层，因为管理层重视测控和基准。下面部分提供了对实施的详细支持，并确保有足够的IT控制和管理。在使用COBIT时，可以综合使用各个部分进行管理，因为COBIT是面向过程的，所以可以用它来了解IT控制目标并控制与IT相关的商业风险。

4.3.2.1 《执行概要》

《执行概要》是对COBIT概念和原理的总体解释，《执行概要》定义了COBIT中的概念和原理以及其它各部分的大纲。为了提供组织为达到其目标所需要的信息，IT资源需要由一套整合的流程来管理。其中，COBIT把信息标准定义为7种：有效性、效率性、机密性、完整性、可用性、符合性、可靠性。IT资源定义为5类：人员、应用、技术、设施、数据。IT过程分为四个领域：计划和组织、获取和实施、交付和支持、监控。这个结构覆盖了信息及其支撑技术的各个方面。

4.3.2.2 《控制框架》

COBIT的《控制框架》为企业过程拥有者提供了一个促进其履行职责的工具，提供信息化管控指导。它指出这些IT过程影响到哪些信息标准，涉及到哪些IT资源，从而把IT过程、IT资源和信息连接到企业战

略和目标上去，使计划和组织、获取和实施、交付和支持、监控IT绩效以最优的方式一体化，使企业充分利用其信息并因此而使利润最大化，抓住每一个机会，赢得竞争优势。

4.3.2.3 《管理指南》

《管理指南》，是COBIT最近发展的理论，它进一步加强企业管理以更有效地处理业务需求和信息化管控要求。《管理指南》定义了IT过程的成熟度模型，为管理者评估IT过程的状态提供了标准。同时也给出了一些重要的测度，这包括：关键成功因素、关键目标指标、关键绩效指标。帮助提供典型管理问题的答案：我们该控制IT到什么程度，成本和收益是否相符？有没有一个测量标准用于判断何时肯定会出现失败？怎样才算是好的性能？关键成功因素是什么？哪些是影响我们实现组织目标的风险，其他的组织在做什么？我们应该怎样进行测量与比较？

COBIT尤其是《管理指南》搭建了贯通业务风险、控制需要和技术问题这三者之间的桥梁。《管理指南》面向实施，是普遍情况的总结，同时为怎样得到企业信息和相关的处理提供了管理方向，这些相关处理包括控制、监控组织目标成果、监控和改进每个IT处理的性能和组织成就的基准。

4.3.2.4 《控制目标》

COBIT框架结构包含高层控制目标和其分类的整体结构。根本的分类理论是：考虑IT资源的管理时，就本质而言，有三个层次的IT行为：

从底部开始，第一层是为达到一个可测量结果的活动和任务。尽管活动也有一个生命周期的概念，然而活动尚属于离散的行为，生命周期概念更强调不同于离散行为的典型控制要求。

“过程”被定义在第二层（更高的一个层次），是一系列具有自然（或有控制的）间断的联合活动和任务。

在最高层，过程被自然归组成域。它们的自然组合经常被作为组织结构的职责域，并与可应用于IT过程的管理周期或生命周期相一致。

COBIT提供了一套34个高层的控制目标，每一个目标对应着一个IT过程，一共组成4个域：计划和组织、获取和实现、交付和支持、监控。这种结构涵盖了信息和相关支持技术的所有方面。通过发布这34个高层控制目标，业务处理者可以确保对IT环境提供适当的控制系统。

在34个IT过程中，针对每个IT过程，给出了管理策略，包括：该IT过程满足了何种业务需求，应采用何种措施，它影响到哪些信息标准，涉及到哪些IT资源以及在该IT过程中应注意的事项。

控制目标下，又定义了318个具体的控制子目标。每个子目标从价值交付和风险管理的角度，再将子控制目标细化成可执行的控制措施（Control Practice或译为控制实践、控制实务）并为实施执行提供业务指导。IT控制措施是对应用COBIT的进一步阐述，同时为实践者提供

了额外层次的详细说明。COBIT的IT处理，业务需求和详细的控制目标定义了要实施有效的控制结构需要做的事情。IT控制措施提供了更为详细的需求，并解释了管理层、服务提供者、最终用户和控制人员怎样以及为什么需要IT控制措施。

4.3.2.5 《审计指南》

《审计指南》通过审查实际的活动的表现，以确保能够满足高层和详细的控制目标。对应于34个高层控制目标的每一个目标，都有一个审计指南来评审IT过程，可以结合COBIT推荐的318个详细控制目标来提供管理保证或改进建议。《审计指南》为CIO和信息系统审计师对组织的信息系统进行分析，评估，实施，审计等提供了建议和指导。

4.3.2.6 《实施工具集》

《实施工具集》提供其他组织在漆工作环境下迅速而成功应用COBIT的经验教训。 它提供两个特别有用的工具：管理诊断工具和IT控制诊断工具。用来辅助分析组织的IT控制环境。

4.3.2.7 COBIT举例说明

COBIT包括了技术相关的控制目标和方法，它们来自于41个国际公认的安全、审计和控制参考，是对一些问题的新的思考途径，而不是IT控制和审计程序的集合，这就导致COBIT不像BS7799或ITIL那样易于理解或实施。这里特以变更管理流程为例来介绍，之所以以变更管理为例，是因为分布式计算和互联网的广泛应用所产生的一个结果就是在计算活动中失去了对安全性的控制，也就是说，如下：

控制IT过程：

变更管理 以满足下列业务需求：

把破坏，非授权的改动和错误发生的可能性减少到最小 实现方法：

建立一套管理系统来分析，实施和跟踪所有针对现有的IT基础设施的变更请求和变更过程 同时考虑：

? 变更确定

? 分类，优先和紧急程序 ? 影响评估 ? 变更授权 ? 发布管理 ? 软件分配

? 自动工具的使用 ? 配置管理

? 重新设计业务处理流程

AI 6 变更管理（以下为详细控制目标）

6.1 变更请求初始化和控制

IT 管理部门为保证所有变更可控，要做到：标准化系统的维护工作，以及符合规范的管理和程序。变更要进行分类，区分优先级，同时要有特殊的程序来处理紧急情况。变更请求人员应始终明了其请求所处的状态。

6.2 影响评估

用结构化的方式来评估，所有变更请求对操作系统及其功能上产生的影响。 6.3 变更控制

IT 管理部门应该保证变更管理，软件控制和分发都可以用一个综合配置管理系统来合为一体。用于监控应用系统变更的系统能够自动地记录和跟踪大型的，复杂的信息系统的变化。

6.4 紧急情况下的变更

当变更绕过了技术操作和以前管理评估正常的程序去执行操作时，IT 管理部门应该确立紧急情况下变更发生的参数和程序来控制这些变更。紧急情况的变更应该通过以前的IT 管理部门记录和授权实施。

6.5 文档和程序

变更程序应该确保不论什么时候实施系统变更，相关的文档和程序要相应地更新。 6.6 授权维护

IT 管理部门应该确保维护人员有详细具体的任务，同时要正确地监控他们的工作。另外，他们的访问权力应该被控制以避免对系统进行未授权访问的风险。

6.7 软件发布策略

IT 管理部门应该通过正常的程序来管理软件的发布，以保证正常完成，包装，回归测试，移交等。

6.8 软件的分发

应该建立具体的内部控制措施，来确保合适的软件单元完整地分发到了正确的地方，同时，使用合适的方法来获得审计踪迹。

这里我们再以紧急情况的变更管理为例介绍其控制措施如下： AI6 变更管理

AI6.4 紧急情况的变更管理

当紧急情况发生时，正常的技术、操作和实施前的管理评估已不能正常进行，IT 管理部门应该判定紧急情况是否发生及实施控制程序来管理这些变更。紧急情况的变更实施应该通过IT 管理部门记录和正式授权。

IT 控制实务

（1）管理层应该定义紧急情况的特征和应对流程，以便识别、对外宣布和及时响应。 （2）所有的变更管理应记录，如果此前没做，事后及时补救。 （3）所有的变更管理应进行测试，如果此前没做，事后及时补救。

（4）所有的变更管理在实施之前，应由系统所有人和管理层正式授权和管理。 （5）记录变更前后的情形，变更日志要记录并保留以被日后检查。 通过实施变更管理控制实务将：

? 确保只有突然发生意外情况时才启动紧急情况管理流程。

? 确保不损坏机密性、完整性、可用性、可靠性及正确性的情况下实施紧急情况的变

更。

本文来源：https://www.bwwdw.com/article/yfk7.html