COBIT意義
COBIT將IT過程,IT資源與企業的策略與目標(準則)聯繫起來,形成一個三維的體系結構。(1)IT準則維集中反映了企業的戰略目標,主要從質量、成本、時間、資源利用率、系統效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性;
(2)IT資源主要包括以人、套用系統、技術、設施及數據在內的信息相關的資源,這是IT治理過程的主要對象;
(3)IT過程維則是在IT準則的指導下,對信息及相關資源進行規劃與處理,從信息技術 I規劃與組織、採集與實施、交付與支持、監控等四個方面確定了34個信息技術處理過程,每個處理過程還包括更加詳細的控制目標和審計方針對IT處理過程進行評估。
信息技術的控制目標
(1)有效性(Effectiveness)——是指信息與商業過程相關,並以及時、準確、一致和可行的方式傳送。(2)高效性(Efficiency)——關於如何最佳(最高產和最經濟)利用資源來提供信息。
(3)機密性(Confidentiality)——涉及對敏感信息的保護,以防止未經授權的披露
(4)完整性(Integrity)——涉及信息的精確性和完全性,以及與商業評價和期望相一致
COBIT信息技術的控制目標
(5)可用性(Availability)——指在現在和將來的商業處理需求中,信息是可用的。還指對必要的資源和相關性能的維護。
(6)符合性(Compliance)——遵守商業運作過程中必須遵守的法律、法規和契約條款,如外部強制商業標準。
(7)信息可靠性(Reliability of Information)——為管理者的日常經營管理以及履行財務報告責任提供適當的信息。
為了滿足遵循《薩班斯法案》的要求,谷安天下(GooAnn)在IT內部控制方面參照COSO內部控制框架和CoBIT控制標準,幫助客戶建立完整的內部控制體系,滿足薩班斯法案及國內上市公司的要求,COBIT Training上谷安天下(GooAnn)也結合了ISACA認證大綱體系開發了COBIT認證課程體系。
信息技術資源
*數據(Data)——指最廣義(例如,表面的和內在的)的對象,包括結構化和非結構化、圖表、聲音等等。*套用系統(Application Systems)——人工程式和電腦程式的總和。
*技術(Technology)——包括硬體、作業系統、資料庫管理系統、網路、多媒體等等。
*設備(Facilities)——用來存放和支持信息系統的一切資源。
*人員(People)——包括用來計畫、組織、獲取、傳送、支持和監控信息系統和服務所需要的人員技能、意識和生產力。
COBIT是一個非常有用的工具,也非常易於理解和實施,可以幫助在管理層、IT審計之間交流的鴻溝上搭建橋樑,提供了彼此之間溝通的共同語言。
COBIT的優點
· 通過實施COBIT,增加了管理層對控制的感知及支持。· COBIT使IT管理工作簡易並量化,減輕對複雜信息系統管理工作的難度,並且可以套用在每天都在發生的各種新問題中。
· COBIT提供了一種國際通用的IT管理及問題解決方案 。
· COBIT有助於提高信息系統審計師的影響力。
· COBIT框架可以幫助決定過程責任,提高IT治理水平 。
COBIT(Control Objectives for Information and related Technology 信息和相關技術的控制目標)是由ITGI(信息技術治理協會)提出的IT控制框架,該協會於1996,1998,2000,2005年分別頒布了COBIT 1.0,COBIT 2.0,COBIT 3.0以及COBIT 4.0,2007年5月份,已經更新到COBIT 4.1 。在這個過程中,COBIT已從一個審計師的工具,演變為IT治理框架,越來越多地被IT管理人員使用。
COBIT4.1產品家族分三個層次分別為執行管理層和董事會,業務和IT經理層,治理、鑑證、控制和安全專家提供支持。具體產品包括:(1)董事會IT治理手冊(第二版)——旨在解釋IT治理緣何重要、IT治理關注的主要問題和主管人員在管理過程中負有的責任。(2)管理者指南/成熟度模型——幫助管理者指派責任,衡量績效,檢查和解釋能力缺口。(3)框架——分不同的IT域和過程組織IT治理目標和優秀實踐,並將其與組織需求聯繫起來。(4)控制目標——提供給管理者一套完整的有效控制每個IT過程所需考慮的高層次需求。(5)IT治理實施指南:運用COBIT ® and Val IT TM, 第二版——為運用COBIT ® and Val IT TM實施IT治理提供了一般通用路徑。(6)COBIT控制實踐:成功IT治理控制目標的實現指南,第二版——解釋實施控制的必要性以及如何實施。(7)IT鑑證指南:運用COBIT ®——為COBIT支持各種鑑證活動、測試IT過程和控制目標提供指南。
