来源:蜘蛛抓取(WebSpider)
时间:2017-12-15 04:47
标签:
北京谷安天下
一、安全易视简介;“安全易视”是谷安天下从实践中探索并总结出来倾力;二、安全易视的研发背景;信息安全意识的重要性;信息作为一种资产,是企业或组织进行正常商务运作和;据统计,世界上每分钟就有2个企业因为信息安全问题;根据GooAnn发布的国内首份《中国企业员工信息;就我国而言,2006年国信办组织“信息安全管理体;系标准还是国内的等保保护要求,都会提到对人员的
一、安全易视简介 “安全易视”是谷安天下从实践中探索并总结出来倾力打造的信息安全意识教育产品,凝聚了众多信息安全专家团队的智慧与心血,引领行业信息安全意识教育的革命,引领信息安全管理的方向。“安全易视”以大众化信息安全意识培养作为信息安全工作重点,主要用于企业对全体员工进行长期信息安全意识教育。
二、安全易视的研发背景 信息安全意识的重要性 信息作为一种资产,是企业或组织进行正常商务运作和管理不可或缺的资源,也是企业财产和个人隐私等的重要载体。与此同时,信息安全的重要性也越加凸显:从最高层次来讲,信息安全关系到国家的安全;对组织机构来说,信息安全关系到正常运作和持续发展;就个人而言,信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家,保持关键的信息资产的安全性都是非常重要的。 据统计,世界上每分钟就有2个企业因为信息安全问题倒闭,而在所有的信息安全事故中,只有20%―30%是因为黑客入侵或其他外部原因造成的,70%―80%是由于内部员工的疏忽或有意泄露造成的;同时78%的企业数据泄露是来自内部员工的不规范操作。 根据GooAnn发布的国内首份《中国企业员工信息安全意识调查报告(2010)》结果显示,受访者认为在所有企业的安全隐患中,信息安全意识缺乏是最大的安全隐患,占到42.8%的比例,提高全员信息安全意识的重要性由此可见。
就我国而言,2006年国信办组织“信息安全管理体系标准试点工作”,之后很多组织开展了安全管理体系建设工作;2007年7月四部委发布《关于开展全国重要信息系统安全等级保护定级工作的通知》,要求在全国范围内开展等级保护工作。然而,无论安全管理体系标准还是国内的等保保护要求,都会提到对人员的意识教育,但在具体实施中提高企业全体人员的信息安全意识目前还面临重重困难,这与企业和组织本身缺乏对于信息安全意识教育的正确认识有关。 信息安全意识理解的误区 误区一:安全预算绝大部分都投入在产品上 现在企业和组织对安全的认识和重视程度在逐步提高,不少企业都不惜花费大量资金用于购买了网络安全设备和软件。然而,绝大多数是企业宁愿花重金在安全技术和产品上,也不愿在全员信息安全意识教育上有所投入,而从HBgaryFederal事件得出的教训就是,黑客往往能够采用最低的成本,从企业最薄弱的人员突破,使得企业花重金打造的安全体系成了“马其诺防线”,而实际上在提升全员信息安全意识上的花费是所有安全投入中性价比最高的。 误区二:提高信息安全专业人员的技能就可以了 企业所面临的大量安全问题,往往由信息安全团队无法完全控制的原因而引起 :员工本身的安全意识。信息安全人员可以给系统打补丁、升级杀毒软件,以及不遗余力的看护装有防护设备的关键设施,但是企业安全事件还是屡屡发生,只要员工能够收到外界的电子邮件、访问网站以及干其他类似的事情,企业就会持续不断地出现安全问题。因此,仅仅提高安全人员的能力是远远不够的。究其原因如果不从提高全员安全意识的角度根本上来解决问题,企业的安全工作永远都是被动的,信息安全人员一直都会是救火队员。 误区三:信息安全意识教育培训一次就够了 在GooAnn所服务过的客户中,绝大多数企业和组织的领导者或者人力资源部门认为,提高全员信息安全意识就是随便搞搞培训,而且搞一次就够了,实际上信息安全意识教育远不止搞一次培训这么简单。正是基于这种思想,即便搞了培训效果也不好,这样就陷入了恶性循环的怪圈之中。 总结: 根据GooAnn发布的国内首份《中国企业员工信息安全意识调查报告(2010)》结果显示,对于目前有效保护企业和组织信息安全面临的最大障碍,受访者认为最大的障碍是普遍缺乏信息安全意识。因此,提高全员的信息安全意识应该摆到企业和组织信息安全建设的议事日程上来。 谷安天下的观点 观点一:人是信息安全环节中最薄弱的一环 让我们引用世界头号黑客Kevin Mitnick 曾说过一句话:“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备,可只要有人给毫无戒心的员工打个电话??”。安全技术和产品无法保护每一个人远离每一种可能存在的安全风险。通过提升全员的信息安全意识,让员工建立起保护企业信息的责任感,是企业面对安全威胁的最佳方式。 观点二:员工信息安全意识状况不容乐观 在很多看起来不起眼的细节上,都隐藏着对企业致命的安全隐患,让我们列举一组数字来说明,由此可见企业迫切需要提升员工的信息安全意识。[数据来源:GooAnn发布的国内首份《中国企业员工信息安全意识调查报告(2010)》] ? 58.6%的受访者半年以上更换一次密码,或者从不更换密码; ? 仅有26.4%的人会定期给电脑做备份,不做备份和不定期做备份的比例共为73.6%; ? 67.9%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里和锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的物品保管行为; ? 如果遇到与工作无关但关系要好的同事要工作资料,94.4%的受访者会根据情况的不同,最终还是选择给同事; ? 当收到熟悉发件人发送的自动播放flash动画或邮件内部嵌入的网页时,69%的人会看动画、下载动画、浏览网页或点击网页链接; ? 面对内容吸引人的不明邮件,42.5%的受访者会看邮件内容; ? …… 观点三:信息安全意识教育应全方位、立体化 企业和组织往往认为意识教育就是搞培训,但是单纯的、正统式的培训形式效果都不会很好,在我们最早为企业开展信息安全意识教育的事后就碰到了这问题,最常见的现象是上面老师在讲,下面员工在睡觉、手机上网、玩游戏……。GooAnn认为信息安全意识教育也是需要规划的,即便是培训也应是生动的才能给人留下深刻的印象,并且培训只是众多意识教育手段的一种,信息安全意识教育应该是系统的、广泛的、全面的、立体的,才能达到预期效果。 观点四:提升全员信息安全意识应持之以恒 在实践中我们发现,企业和组织在进行信息安全建设时,会借助建设项目进行一次或几次培训,然后随着建设项目的结束,信息安全意识教育也就随之结束了。根据GooAnn发布的国内首份《中国企业员工信息安全意识调查报告(2010)》结果显示仅有15.8%的受访者会接受定期的信息安全培训,25.2%的受访者仅在入职时接受过信息安全培训,而48.9%的受访者从来没有接受过信息安全培训。GooAnn认为提升全员的信息安全教育意识是一项长期的工作,不能指望凭借“三分钟热情”一蹴而就,而应该坚持不懈,才能最终在企业和组织内建立起信息安全文化。
三、安全易视详细介绍 由于员工缺少足够的信息安全意识,他们往往因为自己的便利而违反信息安全规章,也往往意识不到,因为自己的这种行为,会将其他同事乃至整个公司的信息资产推向危险的境地。所以必须在整个企业和组织内树立信息安全意识,对员工进行信息安全意识方面的教育,才能够整体提高企业和组织的信息安全水平。 那么企业和组织如何开展信息安全意识教育呢?采用什么样的方式来营造信息安全文化?怎样才能覆盖到信息安全方方面面的主题?什么手段员工更容易接受?……等等。这些都是企业和组织面临的问题,然而绝大多数企业和组织对此感到很茫然。对此,GooAnn结合多年从事信息安全实践的经验,针对这些问题开展了专项研究,并总结出了一套行之有效的方法,同时开发出了一系列的安全意识产品。 我们的理论基础 既然信息安全意识如此重要,在企业和组织内开展信息安全意识教育,并且取得良好的效果,我们首先必须对信息安全意识的本质有清晰且深刻的认识。 意识是人们对事物的初期认识,在长期的锻炼学习中所获得的一种对事物的价值观与评价。意识的本质是客观对象的主观映象,是对客观存在的反映;是在长期工作和生活中,大脑自然产生的结论,会形成一种精神上的条件反射,因此要想形成这种条件反射,就需要经过一定的时间不断刺激。 信息安全意识属意识的一种,是人所特有的一种对信息安全?的高级心理反映形式;也是人们在工作和生活中面对各种有可能对自己、企业和组织造成损失的外在环境条件的一种戒备和警觉的心理状态。 员工只有有了信息安全意识,才会有好的信息安全行为;有了好的信息安全行为,才会有好的信息安全习惯,人人都养成好的信息安全习惯,才能有效保障企业和组织的安全。信息安全意识的养成要从习惯抓起;世界上最可怕的力量是习惯,最宝贵的财富也是习惯。而要改变人们身上的不良习惯,必须首先转变人们思想上的不良观念和意识。因为在人的大脑中所形成的观念和意识,支配着人的行为,即习惯性行为,而行为习惯又体现并创造企业文化。提升信息安全意识的最终目的是要在企业和组织内建立起信息安全文化。 GooAnn从实践中发现,通常企业和组织信息安全文化的建立与发展有几种形式。第一种是靠制度约束,设立条条框框,不能越雷池半步,这是一种强制文化;第二个种是靠技术手段监督,使每一个人在意识上产生不敢违章心理,这是一种压制文化;第三个阶段是提升全员的信息安全意识,使每一个人养成良好的信息安全行为习惯,以及保护企业信息的责任感,并使之成为企业文化之一,由于人的信息安全意识具有能动性质,这是一种能动文化。显然,前两者都是被动的,而后者是主动的。 “安全易视”立方 “安全易视”是GooAnn从实践中探索并总结出来倾力打造的信息安全意识教育产品,凝聚了众多信息安全专家团队的智慧与心血,引领行业信息安全意识教育的革命,引领信息安全管理的方向。“安全易视”以大众化信息安全意识培养作为信息安全工作重点,主要用于企业对全体员工进行长期信息安全意识教育。 “安全易视”意为安全意识的谐音。 “安全”是指信息安全知识,信息安全意识是人们在工作和生活中对信息安全现实的认识,它和信息安全认识紧密联系着,其核心是安全知识,没有安全知识就谈不上安全意识。 “易”是指容易,有两层含义,即信息安全知识要容易获取,这些只是时时刻刻就在身边,随处都能够获得;同时获取的信息安全知识要容易理解,理解后的知识能够转化为长期记忆保存在大脑中。 “视”是指方式,即通过多种视听等手段来感知,信息安全意识的实现既要通过思维,也要通过感知。信息安全认识在信息安全意识中占核心地位,它们并不等同,在信息安全意识中不仅包含着安全认识,而且也包含着体验,因为从意识到客观现实的是具体的人,他不只是在认识着,而且也在感受着和行为着。 正是基于以上的对于信息安全意识的深刻理解,“安全易视”系列产品,可以总结为“安全意识”立方。
谷安天下信息安全介绍 ? 信息安全Flash动画 GooAnn系统总结了员工需要掌握的安全知识,内容包括:人员安全、物理安全、网络安全、系统安全、应用安全、信息安全、个人电脑安全配置操作、攻击防范、通讯设备、信息保密安全常识等主题方向,并将以上主题细化分为更多的和企业员工工作与生活相关的信息安全主题方向。 Flash动画通过强化视觉与听觉的冲击力,通过生动、幽默、实用和高效的信息安全知识宣传,让员工随时随地的轻松掌握信息安全基本知识,理解信息安全对实现组织目标的重三亿文库包含各类专业文献、外语学习资料、高等教育、幼儿教育、小学教育、应用写作文书、行业资料、生活休闲娱乐、32谷安天下安全易视等内容。
谷安天下安全易视 7页 免费 谷安天下_soc(IT管控系统... 14页 免费喜欢...Java 安全编码高级课程 信息系统安全开发培训方案 《Java 安全编码》课程说明在... GooAnn 培训教育与信息安全意识简介 谷安天下培训简介: 谷安天下培训以满足客户实际需求为目标,以培养信息安全与 IT 风险管控人才为己任,帮助客户切实 提升信息安全... 谷安天下专业 cisp 培训机构 什么是 CISP 注册信息安全专业人员(Certified Information Security Professional,简称 CISP),根据实际岗位工作需要, CISP 分为三类,分别...当前位置: >>
COBIT 5.0中文版-谷安天下翻译-仅供参考
COBIT 5(中文翻译版) 企业 IT 治理与管理框架■ 免责声明本作品为北京谷安天下科技有限公司翻译版本, 仅供个人与机构学习欣赏使用, 任何个人与机 构不得用于任何商业目的, 不得以任何方式修改本作品, 基于此产生的法律责任北京谷安天下 科技有限公司不承担连带责任。�COBIT 5 (中文翻译版) 企业 IT 治理与管理框架目录一. COBIT 5:一个治理和管理企业 IT 的业务框架 .................................................................................. 1 二. 概述 ...................................................................................................................................................... 2 三. 第一章 COBIT 5 综述 ......................................................................................................................... 53.1 本出版物的综述 ............................................................................................................................... 7 四. 第二章 原则一:满足利益相关者需求 ........................................................................................... 84.1 引言 ................................................................................................................................................... 8 4.2 COBIT 5 目标级联 ............................................................................................................................. 9 4.3 运用 COBIT 5 的目标级联 .............................................................................................................. 13 4.4 关于 IT 方面的治理与管理问题 .................................................................................................... 15 五. 第三章 原则二: 端到端覆盖企业 .................................................................................................. 185.1 治理方法 ......................................................................................................................................... 18 六. 第四章 原则三:采用单一集成框架 ............................................................................................. 216.1 COBIT 5 的框架集成器 .................................................................................................................... 21 七. 第五章 原则四:启用一种整体的方法 ......................................................................................... 237.1 COBIT 5 促成因素 ............................................................................................................................ 23 7.2 通过相互关联的促成因素系统地治理和管理 ............................................................................. 24 7.3 COBIT 5 促成因素的维度 ................................................................................................................ 25 7.4 实践中促成因素的例子 ................................................................................................................. 28 八. 第六章 原则五:区分治理与管理 ................................................................................................. 308.1 治理与管理 ..................................................................................................................................... 30 8.2 治理与管理的相互作用 ................................................................................................................. 30 8.3 COBIT 5 流程参考模型 .................................................................................................................... 31 九. 第七章 实施指南 ............................................................................................................................. 349.1 引言 ................................................................................................................................................. 34 9.2 考虑企业环境 ................................................................................................................................. 35 9.3 创造合适的环境 ............................................................................................................................. 36 9.4 识别难点与触发事件 ..................................................................................................................... 37 9.5 启动变革 ......................................................................................................................................... 38 9.6 一种生命周期方法 ......................................................................................................................... 39 9.7 入门:制作业务案例 ..................................................................................................................... 40 十. 第八章 COBIT 5 过程能力模型 ....................................................................................................... 4310.1 引言 ............................................................................................................................................... 43更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第I 页�COBIT 5 (中文翻译版) 企业 IT 治理与管理框架10.2 COBIT 4.1 成熟度模型与 COBIT 5 过程能力模型的不同点 ......................................................... 43 10.3 实际应用的不同 ........................................................................................................................... 47 10.4 这些变化的好处: ....................................................................................................................... 50 10.5 在 COBIT 5 中执行过程能力评估 ................................................................................................ 50 十一. 附录 B 十二. 附录 C 十三. 附录 D 十四. 附录 E 企业目标―IT 相关目标之间的详细映射关系 .............................................................. 53 IT 相关目标―IT 相关流程之间详细的映射关系 .......................................................... 57 利益相关者需求和企业目标.......................................................................................... 61 COBIT 5 与最相关的相关框架和标准的映射关系 ........................................................ 6414.1 引言 ............................................................................................................................................... 64 14.2 COBIT 5 和 ISO/IEC 38500 .............................................................................................................. 64 14.3 与其它标准对比 ........................................................................................................................... 70 十五. 附录 F 十六. 附录 G COBIT 5 信息模型与 COBIT 4.1 信息标准的对比 .......................................................... 73 COBIT 5 促成因素的详细描述 ........................................................................................ 7516.1 引言 ............................................................................................................................................... 75 16.2 COBIT 5 的促成因素:原则、政策和框架 .................................................................................. 77 16.3 COBIT 5 的促成因素:流程 .......................................................................................................... 81 16.4 COBIT 5 的促成因素:组织结构 .................................................................................................. 90 16.5 COBIT 5 的促成因素:文化、伦理道德和行为 .......................................................................... 94 16.6 COBIT 5 的促成因素:信息 .......................................................................................................... 97 16.7 COBIT 5 的促成因素:服务,基础设施和应用 ........................................................................ 103 16.8 COBIT 5 的促成因素:人,技能和竞争力 ................................................................................ 106 十七. 附录 H 术语表 ........................................................................................................................... 109更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 II 页�COBIT 5 (中文翻译版) 企业 IT 治理与管理框架插图索引图 1.1 图表 1 COBIT 5 产品系列 ............................................................................................................... 1 图 2.1 图表 2.COBIT 5 原则 ....................................................................................................................... 3 图 4.1 图表 3.治理目标:创造价值 ......................................................................................................... 9 图 4.2 图表 4.COBIT 5 目标级联概述 ..................................................................................................... 10 图 4.3 图表 5.COBIT 5 企业目标 ............................................................................................................ 12 图 4.4 图表 6.IT 相关目标 ....................................................................................................................... 13 图 4.5 图表 7.关于 IT 治理和管理的问题 .............................................................................................. 17 图 5.1 图表 8.COBIT 5 治理与管理 ......................................................................................................... 19 图 5.2 图表 9.关键的角色、活动与相互关系 ....................................................................................... 20 图 6.1 图表 10. COBIT 5 单一集成框架 .................................................................................................. 22 图 6.2 图表 11.COBIT 5 产品系列 ........................................................................................................... 23 图 7.1 图表 12.COBIT 5 企业促成因素 ................................................................................................... 24 图 7.2 图表 13.COBIT 5 通用促成因素 ................................................................................................... 26 图 8.1 图 14 COBIT 5 治理和管理的相互作用 .................................................................................... 31图 8.2 图表 15.COBIT 5 治理与管理的关键领域 ................................................................................... 32 图 8.3 图表 16.COBIT 5 流程参考模型 ................................................................................................... 34 图 9.1 图表 17.实施生命周期的七个阶段 ............................................................................................. 39 图 10.1 图表 18.COBIT 4.1 成熟度模型概要 .......................................................................................... 44 图 10.2 图表 19.COBIT 5 过程能力模型概要 ......................................................................................... 45 图 10.3 图表 20.成熟水平(COBIT4.1)和过程能力水平(COBIT 5)对照表 ................................... 49 图 11.1 图表 22.COBIT 5 企业目标与 IT 相关目标的映射关系 ............................................................ 56 图 12.1 图表 23. IT 相关目标与流程的映射关系 .................................................................................. 61 图 13.1 图表 24. COBIT 5 企业目标与治理管理问题的映射关系 ........................................................ 63 图 14.1 图表 25.COBIT 5 其它标准与框架覆盖范围 ............................................................................. 72 图 15.1 图表 26.COBIT 5 与 COBIT4.1 信息标准的等同物 .................................................................... 74 图 16.1 图表 27.COBIT 5 通用促成因素 ................................................................................................. 75 图 16.2 图表 28.COBIT 5 促成因素:原则、政策和框架 ..................................................................... 79 图 16.3 图表 29 COBIT 5 的促成因素:流程 ......................................................................................... 81更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 III 页�COBIT 5 (中文翻译版) 企业 IT 治理与管理框架图 16.4 图表 30.COBIT 5 治理和管理的关键领域 ................................................................................. 88 图 16.5 图表 31.COBIT 5 流程参考模型 ................................................................................................. 89 图 16.6 图表 32.COBIT 5 促成因素:组织结构 ..................................................................................... 91 图 16.7 图表 33.COBIT 5 角色和组织结构 ............................................................................................. 94 图 16.8 图表 34.COBIT 5 促成因素:文化、伦理道德和行为 ............................................................. 94 图 16.9 图表 35.COBIT 5 元数据――信息循环 .................................................................................... 97 图 16.10 图表 36.COBIT 5 促成因素:信息 ........................................................................................... 98 图 16.11 图表 37.COBIT 5 促成因素:服务、基础设施和应用 ......................................................... 104 图 16.12 图表 38.COBIT 5 促成因素:人才、技能和竞争力 ............................................................. 106 图 16.13 图表 39.COBIT 5 技能类别 ..................................................................................................... 108更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 IV 页�一. COBIT 5:一个治理和管理企业 IT 的业 务框架COBIT 5 出版物包含治理和管理企业 IT 的 COBIT 5 框架。 本出版物是图表 1 所示的 COBIT 5 产品系列的一部分。图1 ――COBIT 5产品系列 COBIT 5 COBIT 5促成因素指南 COBIT 5:促成 进程 COBIT 5专业指南 COBIT 5实施COBIT 5信息 安全 COBIT 5保障 COBIT 5风险 其他专业指南COBIT 5:促成信息其他促成因素 指南COBIT 5在线协作环境图 1.1图表 1 COBIT 5 产品系列COBIT5 框架基于 5 条基本原则, 这些原则在其中有详细的描述, 包括关于治理和 管理企业 IT 的促成因素广泛的指导。COBIT 5 产品系列包含以下产品: ? ? COBIT 5(框架) COBIT 5 促成因素指南,在指南中详细讨论了治理和管理促成因素。它们 包括: ―COBIT 5:促成流程 ―COBIT 5:促使信息(开发中) ―其它促成因素指南(查看 www.isaca.org/cobit) ? COBIT 5 专业指南,包括:第1 页更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-�―COBIT 5 实施 ―COBIT 5 信息安全(开发中) ―COBIT 5 保障(开发中) ―COBIT 5 风险(开发中) ―COBIT 5 其它专业指导(查看 www.isaca.org/cobit) ? 可用于支持 COBIT 5 使用的在线协作环境。二. 概述信息对所有企业来说都是关键资源,并且从信息诞生那一刻起一直到消失, 技术扮演着重要的角色,信息技术已变得越来越先进并已在企业、社会环境、公 共环境、商业环境中普及。 因此,今天企业及其管理人员比以往任何时候都更努力做到: ? ? 保持高质量的信息以支持业务决策; 从 IT 的投资获得商业价值,即通过高效、创新地应用 IT 实现战略目标和 商业收益, ; ? ? ? ? 通过可靠与有效的技术应用实现卓越运营; 将 IT 相关风险保持在可接受水平之内; 优化 IT 服务和技术的成本; 遵守不断增加的相关法律、法规、合同条款和政策。在过去的十年中,“治理”一词已经转移到商业思想的最前沿,以回应充分 表明良好治理的重要性,和天平的另一端――全球业务事故的先例。 成功的企业已经意识到董事会和高管需要像重视业务一样重视 IT,业务和 IT 部门的董事会成员和管理层必须合作并一起工作,以使 IT 包括在治理和管理方法 之内。另外,越来越多的相关法律和规则得以通过和颁布实施来满足这个需求。 COBIT 5 提供一个综合的框架来帮助企业实现治理和管理企业 IT 的目标。简 单地说,它通过保持实现效益与优化风险水平和资源使用平衡来帮助企业创造来更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第2 页�自 IT 的最佳价值,COBIT 5 能够使 IT 对整个企业包括所有端到端业务以及 IT 相 关的功能区以一种整体的方式管理和控制,并考虑内外部利益相关者的有关 IT 的 利益。COBIT 5 是通用的,对所有规模的企业,无论是商业化的、非盈利的或者 公共部门均能应用。图2――COBIT 5原则1.满足利益相 关者需求5.区分治理和 管理2.端到端覆盖 企业COBIT 5 原则4.启用一种综 合的方法3.采用单一集 成框架图 2.1 图表 2.COBIT 5 原则 COBIT 5 基于 5 条关键原则(如图 2 所示)治理和管理企业 IT 原则 1:满足利益相关者需求 企业存在的目的是为利益相关者创造价值,这些价值的创造通过保持效益实 现与风险和资源使用优化之间的平衡来实现。COBIT 5 通过应用 IT 提供所有的必 要的程序和促成因素来支持价值创造,因为不同企业有不同的目标,企业可以通 过目标级联,自定义 COBIT 5 以适合其自身的情况,将高级别的企业目标转化成 易管理、特定的、IT 相关的目标并将它们映射到具体的流程和实践。 原则 2:端到端覆盖企业 COBIT 5 将企业 IT 治理融合到企业治理中: ― 它包含企业内的所有职能部门与流程;COBIT 5 不仅关注“IT 部门”, 而且把信息与相关技术当作资产, 就像公司中每个人拥有的其他资产一样。更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第3 页�― 它考虑到了所有端到端的和企业范围的 IT 相关的治理和管理的促成因素, 也就是说,它包括企业内部和外部的,与企业的信息和涉及的 IT 的治理 与管理相关的每种东西和每个人。 原则 3:采用单一集成框架 ― 有许多 IT 相关标准和最佳实践,每一个均提供一部分 IT 活动的指导, COBIT 5 与其它相关标准与框架保持高度一致,并因此能够成为企业 IT 治理和管理的总体框架。 原则 4:启用一种整体的方法 有效的企业 IT 治理和管理需要一种考虑多个相互影响的组件的整体的方法, , COBIT 5 定义一系列促成因素来支持企业 IT 综合的治理和管理系统的实施。促成 因素宽泛的定义为任何能够实现企业目标的东西,COBIT 5 框架定义了 7 类促成 因素: ― 原则、政策和框架 ― 流程 ― 组织结构 ― 文化、伦理道德和行为 ― 信息 ― 服务、基础设施和应用 ― 人、技能和竞争力 原则 5:区分管理和治理 COBIT 5 框架明确区分管理与治理,这两个概念包括不同种类的活动,需要 不同的组织结构以及为不同的目的服务。COBIT 5 关于管理与治理的区别的观点 是: ―治理 治理保证通过评估利益相关者的需求、条件和选择权,以决定所要实现的、 平衡的、一致同意的企业目标,通过优先次序设定方向并决策,并监控绩效 在大多数企业,企业整体治理是在董事会主席领导下的董事会负责的,具体 和对于共同方向和目标的符合性。 治理责任可能委托给适当级别的特殊组织结构,尤其在更大的和复杂的企业中。 ―管理更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第4 页�管理规划,构建,运营和监控与治理机构设定的方向保持一致的活动以实 现企业目标。 在大多数企业中,管理是首席执行官(CEO)领导下的执行管理层的责任。 综上,这 5 条原则使企业能够建立一个有效的治理与管理框架,该框架为了 利益相关者的利益,优化信息与技术投资和应用。三. 第一章COBIT 5 综述COBIT 5 提供下一代关于企业 IT 治理与管理的 ISACA (美国信息系统审计和 控制协会)的指导,它建立在 COBIT 超过 15 年的、许多企业及来自业务、IT、 风险、证券、保险行业的用户的实践与应用的基础上。COBIT 5 发展的主要驱动 因素包括以下的需要: ? 为更多利益相关者在决定他们期望从信息和相关技术得到什么方面提供 发言权(在什么可接受的风险水平和多少成本下有多少收益)以及在确保 期望收益有多少实际交付方面的优先权。 一些利益相关者期望短期回报而 另一些期望可持续性的回报, 一些愿意承担较大的风险而另一些则不愿意, 需要有效地处理这些有分歧的,有时甚至是冲突的期望。而且,这些利益 相关者不仅希望更多地参与, 他们也希望提高关于这将如何发生以及实际 得到的结果的透明度。 ? 关注企业成功对外部业务和 IT 团队,例如外包商、供应商、咨询人员、 客户、云服务和其他服务提供者,以及一系列不同的内部的方法和交付预 期价值的机制等,不断增加的依赖度。 ? 处理显著增加的信息量,企业怎样选择相关的和可信的、能够促成卓有成 效的业务决策的信息?信息同样需要有效的管理, 而有效的信息模型可以 帮助做到。 ? 处理更加普及的 IT,这越来越成为业务的不可分割的一部分。通常,将 IT 从业务中分出来已经不能令人满意了。它需要成为业务项目、组织结更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第5 页�构、 风险管理、 政策、 技术、 流程等的不可分割的一部分。 首席信息官 (CIO) 以及 IT 职能的角色在不断发展,越来越多业务部门的人拥有 IT 技能并且 正在或者将会参与 IT 决策与 IT 运营。IT 与业务将需要更好地融合。 ? 在创新和新兴技术领域提供进一步的指导,这关系到创造性、发明能力、 研发新产品、使现有产品对顾客更具吸引力并且吸引新的顾客类型。创新 也意味着以不断提升的效率、 速度和质量水平将产品交付市场的流水线产 品研发、制造和供应链流程。 ? 包含所有端到端业务和 IT 职能责任以及所有促使企业 IT 有效治理和管理 的所有方面,例如,组织结构、政策和文化及上述流程。 ? ? 更好地控制不断增加的用户发起和用户控制的 IT 解决方案。 实现企业: ― 通过有效和创新地应用企业 IT 创造价值 ― 业务使用者对 IT 业务与服务满意 ― 遵守相关法律、法规、合同协议和内部政策 ― 改善业务需求和 IT 目标之间的关系 ? 连接到并匹配市场上的其他主要框架与标准,例如 ITIL?、TOGAF?、PMBOK?、 PRINCE2?、 COSO 和 ISO 标准。 这将帮助利益相关者理解各种框架、 最佳实践和标准如何相互关联以及它们如何一起得到应用。 ? 融合所有主要的 ISACA 框架和指导, 主要关注 COBIT、 IT 和 Risk IT。 Val但是,也要考虑信息安全业务模型(BMIS) 、IT 保证框架(ITAF) 、刊物《IT 治 理董事会简报》和《推动治理资源(TGF)》 ,这样就使 COBIT 5 涵盖整个企业并且 为融合其它的框架、标准和实践成为一个单个的框架提供了基础。 不同的产品和其它涵盖各种各样的利益相关者不同需求的指南将基于 COBIT 5 主体知识库建立,随着时间的推移会出现这种情况:使 COBIT 5 产品架构成为 动态的文档。最新的 COBIT 5 产品架构可以在 ISACA 网站的 COBIT 页面找到 (www.isaca.org/cobit)。更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第6 页�3.1 本出版物的综述COBIT 5 包含另外 7 个章节: 第二章阐述原则 1:满足利益相关者需求。它介绍了 COBIT 5 目标级联,企 业的 IT 目标用于将利益相关者需求正规化和结构化, 企业目标可以与 IT 相关目标 联系,并且这些 IT 相关的目标可以通过优化应用和执行包括流程的各种促成因素 实现,这一系列相互关联的目标称为 COBIT 5 目标级联。这一章提供利益相关者 可能有的关于企业 IT 治理与管理典型的问题的例子。 第三章阐述原则 2:涵盖企业端到端业务。它解释了 COBIT 5 如何依靠涵盖 企业所有部门与流程将企业 IT 治理融入到企业治理中去。 第四章阐述原则 3:应用单一集成框架,并简要描述了 COBIT 5 实现融合的 架构。 第五章阐述原则 4:启用一种整体的方法。企业 IT 治理是系统的并且由一系 列促成因素支撑。在这一章介绍了促成因素和一种普遍的看待促成因素的方法: 通用促成因素模型。 第六章阐述原则 5: 区分治理与管理,并讨论治理与管理的不同以及它们怎么 相互关联。高级 COBIT 5 过程参考模型作为示例。 第七章包括执行指南的介绍。它主要描述合适的环境如何创造,需要的促成 因素,典型的实施激发因素和难点以及生命周期的实施和不断改善。这一章基于 名为 《COBIT 5 实施》 的刊物, 这篇刊物详细说明如何实施基于可以发现的 COBIT 5 进行企业 IT 治理。 第八章阐述在 COBIT 评估方案方法(www.isaca.org/cobit-assessment-programme ) 构想中 COBIT 5 过程能力模型,它与 COBIT 4.1 过程成熟性评估如何区别以及 用户如何移植到新方法中。 附录包括参考信息、映射关系图和特定主题的更加详细的信息: ? 附录 A:列出 COBIT 5 开发中用到的参考文献 ? 附录 B:详细的企业目标与 IT 相关目标之间的映射关系,描述企业目标 通常如何由一个或多个 IT 相关目标支撑。更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第7 页�? 附录 C: 详细的 IT 相关目标与 IT 相关流程之间的映射关系, 描述 COBIT 流程如何支撑 IT 相关目标的实现。 ? 附录 D: 利益相关者需求和企业目标, 描述利益相关者需求如何与 COBIT 5 企业目标联系。 ? 附录 E:与 COBIT 5 联系最密切的相关标准与框架的映射关系 ? 附录 F:COBIT 5 信息模型与 COBIT4.1 信息标准比较 ? 附录 G:COBIT 5 促成因素详细描述,以第五章为基础并引入更多不同 促成因素的详细信息, 包括详细的描述特定元件的促成因素模型和一些例 证说明。 ? 附录 H:术语表四. 第二章4.1 引言原则一:满足利益相关者需求企业存在的目的是为利益相关者创造价值,因此,任何企业,无论是商业化 的或非非商业化的,都将创造价值作为治理目标。创造价值意味着利用最优的资 源成本实现效益,同时优化风险(见图表 3)。效益有多种形式,比如,商业企业 的财务或者政府部门的公共服务。更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第8 页�图3――治理目标:创造价值利益相关 者需求 驱 动治理目标:创造价值 收益实现 风险优化 资源优化图 4.1 图表 3.治理目标:创造价值 企业拥有许多利益相关者,并且“价值创造”对他们来说意义并不相同,有 时会相冲突。治理是在所有利益相关者的不同价值利益间协商与做决定。因此, 在做效益、风险、资源评估决策时,治理系统应该考虑所有利益相关者。对于每 个决策, 以下问题可以也应该问及: 为谁创造效益?谁承担风险?需要什么资源?4.2 COBIT 5 目标级联每个企业在不同的环境中运作,这个环境由外部因素(市场、产业、政治等) 和内部因素(文化、组织、风险偏好等)决定,因此,企业需要一种定制的治理 和管理系统。 必须将利益相关者的需求转化成企业可执行的战略。COBIT 5 目标级联是一 种将利益相关者需求转化成特定的、可执行的、客户化的企业目标的机制,这一 转化允许在企业的每一层级和每个领域设定特定目标,以支持总体目标和利益相 关者要求,从而有效地支持企业需求和 IT 解决方案和服务之间的一致性。 COBIT 5 目标级联如图表 4 所示。第一步,利益相关者驱动因素影响利益相关者的需求利益相关者的需求受许多因素影响,例如,战略的变化、不断变化的业务和 监管环境以及新技术。第二步,利益相关者需求与企业目标的各级联系更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第9 页�利益相关者需求能够与一系列通用的企业目标联系,这些企业目标应用平衡 记分卡(BSC)维度制定,并且它们代表了通常使用的、企业可能为自己定义的 目标列表。尽管这个列表并不详尽,但是大多数的企业特定的目标可以容易的映 射到一个或多个通用企业目标, 附录 D 展示了利益相关者需求和企业目标的表格。图4――COBIT 5目标级联综述 利益相关者驱动因素 (环境,技术演化,??)影响利益相关者需求收益实现 风险优化 资源优化级联到附录D企业目标级联到图5附录B 图6IT相关目标级联到附录C促成因素目标C 图 4.2 图表 4.COBIT 5 目标级联概述COBIT 5 定义了 17 个通用的目标,如图表 5 所示,包括以下信息: ? ? ? 企业目标适合的 BSC 维度 企业目标 与三个主要治理目标――效益实现、风险优化、资源优化的关系( “P”代 表主要关系, “S”代表次要关系,即稍弱一点的关系)第三步,企业目标与 IT 相关目标的各级联系更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 10 页�企业目标的实现需要许多 IT 相关的结果, 它们被 IT 相关目标和信息与相关技 术的标准所呈现,IT 相关目标沿着 IT 平衡记分卡(IT BSC)的维度构建。COBIT 5 定义了 17 种 IT 相关的目标,列在图表 6 中。 IT 相关目标与企业相关目标的映射表包含在附录 B 中,它显示了每个企业目 标如何由多个 IT 相关目标支持。第四步,IT 相关目标与促成因素目标的各级联系实现 IT 相关目标需要成功应用和使用一些促成因素,促成因素的概念在第五 章中详细解释,促成因素包括流程、组织结构和信息,对于每个促成因素,定义 一系列特定相关目标以支持 IT 相关目标。 流程是促成因素之一,附录 C 包含 IT 相关目标与 COBIT 5 相关流程的映射 关系,而 COBIT 5 相关流程包含相关流程目标。 图 5――COBIT 5 企业目标 BSC 维度 企业目标 与治理目标的关系 收益 实现 财务 1.业务投资的利益相关者的价 P 值 2.竞争产品和服务的组合 3.管理业务的风险(资产维护) 4.遵守外部法律和法规 5.财务透明 客户 6.面向客户的服务文化 7.业务服务连续性和可用性 8.对业务环境变化的快速响应 9.基于信息的战略决策 10.服务交付成本的优化 内部因素 11.业务流程功能优化 P P P P P P P P S P P P P P P P S S S S S 风险 优化 资源 优化 S更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 11 页�12. 业务流程成本优化 13.管理业务的变化方案 14.业务和员工生产力 15.遵守内部政策 学习和成长 16. 业务熟练和积极进取的人 17.产品和业务创新文化P P P P S P P PP S PP图 4.3 图表 5.COBIT 5 企业目标图 6――IT 相关的目标 IT BSC 维度 财务 01 02 03 04 05 06 客户 07 08 内部因素 09 10 11 12 信息及其相关技术目标 IT 调整和业务战略 IT 遵守和支持企业遵守外部法律和法规的业务 执行管理对 IT 相关决策的承诺 管理与 IT 相关的业务风险 从 IT 技术的投资和服务组合实现收益 IT 成本,收益和风险的透明 符合业务需求的 IT 服务的交付 应用程序,信息和技术解决方案的充分利用 IT 灵活性 信息、处理基础设施和应用程序的安全性 IT 资产、资源和能力的优化 通过将应用程序和技术集成到业务流程中, 启用和支持业 务流程 13 方案的执行提供的好处,按时间,按预算,并满足要求和 质量标准 14 15 用于决策的可靠和有用的信息的可用性 IT 遵守内部政策第 12 页更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-�学习和成长16 17能干和积极进取的业务和 IT 人员 业务创新的知识、专业知识和举措 图 4.4 图表 6.IT 相关目标4.3 运用 COBIT 5 的目标级联COBIT 5 目标级联的好处: 目标级联是重要的,因为它允许对实施、提升和保障基于企业目标和相关风 险的企业 IT 治理的优先权进行定义,实际上,目标级联: ? ? 在各种责任级别下定义相关的有形的目标 基于企业目标过滤 COBIT 5 知识库来提取相关指南, 以纳入特定的实施、 提升或保障项目。 ? 明确识别与沟通促成因素如何对实现企业目标很重要 (有时是运作层面的)仔细使用 COBIT 5 目标级联 目标级联(在企业目标和 IT 相关目标以及 IT 相关目标与 COBIT 5 包括流程 在内的促成因素之间的映射表),不包含通用的真理,用户不能企图以一种完全 机械的方式运用它,应该作为指导方针应用。这有各种各样的原因,包括: ? 每个企业在它的目标方面有不同的优先级, 而且这些优先级可能随时间而 变化; ? 映射表不能区分企业的规模和/或行业,总体上,它们代表不同等级的目 标是怎样联系的一种共性; ? 映射中的指标使用重要性或相关性的两种等级, 意味着关联等级是离散的, 然而,实际中,映射中各种各样的关联的程度是接近连续的。 实际应用 COBIT 5 目标级联 从之前的说明,显然,企业使用目标级联时迈出的第一步应该总是在考虑其 自身特殊情况下自定义映射。 换句话说, 每个企业应该建立它们自己的目标级联, 将它与 COBIT 比较并对其细化。更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 13 页�例如,企业可能希望: ? ? 为每个企业目标将其战略优先级转换成特定的“权重”或重要性 在考虑其特定的环境与行业等情况下,验证目标级联映射关系例 1――目标级联 企业已经为自己定义了许多战略目标,其中提高顾客满意度是最重要的,从 那里,企业想知道在与 IT 相关的所有东西中哪里需要改善。 企业认为使顾客满意是一个关键的优先级, 等同于提高以下企业目标的优先 级(来自图表 5): ? ? ? 6.以客户为中心的服务文化; 7.业务服务的连续性与可用性; 8.对不断变化的市场环境的快速响应;企业现在在目标级联中采取下一步措施:分析哪些 IT 相关目标对应到这些 企业目标。在附录 B 中列出了一个建议的介于它们之间的映射关系。 从那里,以下 IT 相关目标建议作为最重要目标(所有关系为‘P’的) ? 01. IT 与业务战略的一致性; ? 04.受控的 IT 相关业务风险; ? 07.与业务要求一致的 IT 服务交付; ? 09.IT 敏捷性; ? 10.信息,流程基础设施与应用的安全性; ? 14.用于决策制定的、可靠有用的信息的可用性; ? 17.知识,专业技术和业务创新的积极性; 企业验证这个列表,并决定保留前 4 个目标作为优先考虑的目标。 在级联的下一步中,应用促成因素概念(见第 5 章),这些 IT 相关目标推 动许多包括流程因素在内的促成因素目标。附录 C 中推荐了一种 IT 相关目标与 COBIT 5 流程的映射关系, 这个表格允许识别最相关的支持 IT 相关目标的 IT 相 关流程,但是,仅仅有流程是不够的。其它的促成因素,例如文化、行为和伦理 道德、 组织结构或者技能和专业知识是同等重要的, 并且需要一系列清晰的目标。更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 14 页�当这些工作完成时, 企业就拥有一套针对所有促成因素的、容许它到达阐明 的战略目标的、一贯的目标和一套相关的衡量性能的标准。例 2――利益相关者需求:可持续性 进行利益相关者需求分析之后,企业决定将可持续性作为战略优先。因为, 可持续性不仅包括环境方面,而且包括所有有助于企业长期成功的所用东西。 基于利益相关者需求的分析结果, 企业决定将重点放在以下 5 个目标, 并增 加了一些目标的进一步说明: 1. 业务投资的利益相关者价值,尤其对利益相关者团体; 4.遵守外部法律和法规, 注重环境方面的法律和外包安排中劳动规章涉及的 法律; 8.对不断变化的市场环境的快速响应; 16.熟练的和积极的员工,意识到企业的成功取决于它的员工; 17.产品和业务创新文化,注重长期创新; 基于以上优先顺序,目标级联可以如文章中所说的那样应用。4.4 关于 IT 方面的治理与管理问题考虑到对 IT 的高度依赖,在任何企业,利益相关者需求的满足将会引起许多 关于企业 IT 治理和管理方面的问题(图 7)。 图 7――关于企业 IT 治理管理方面的问题 内部利益相关者 ? ? 董事会 首席执行官(CEO) ? 内部利益相关者的问题 我如何从使用 IT 中获得价值?终端用户对 IT 服 务质量感到满意吗?第 15 页更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-�? ? ? ? ? ? ? ? ? ? ? ? ? ? ?首席财务官(CFO) ? 首席信息官(CIO) ?我如何管理 IT 的性能? 我如何最好地利用新技术发现新的战略机会? 我如何建立和构造最佳 IT 部门? 我对外部供应商的依赖度有多少?IT 外包协议管 理得如何?我如何从外部供应商得到保障?首席风险官(CRO) ? 业务主管 业务流程负责人 业务经理 风险经理 安全经理 服务经理 人力资源 (HR) 经理 内部审计员 保密人员 IT用户 IT经理 等 ? ? ? ? ? ? ? ? ? ?对信息的要求(控制)是什么? 我处理所有 IT 相关的风险了吗? 我是在高效有弹性地运营 IT 吗? 我如何控制 IT 的成本?我如何以最切实有效的方 式使用 IT 资源?最切实有效地采购选择是什么? 我有足够的 IT 人员吗?我如何发展和保持他们的 技能?我如何管理他们的绩效? 我如何获得 IT 保障? 我正在处理的信息得到很好的保护了吗? 我如何通过更灵活的 IT 环境提供业务敏捷性? IT 项目未能提供所承诺的结果吗?―如果是,为 什么?IT 阻碍了业务战略的执行吗??IT 对维持企业有多重要?如果 IT 不可用我怎么 办??基于 IT 的至关重要的具体业务流程是什么?业务 流程的要求是什么??运营预算的平均超支一直以来是多少?IT 项目超 过预算的频率和额度多少??IT 工作在多大程度上是救火而不是促使业务改 善??是否有足够的满足企业战略目标的 IT 资源和基础 设施可用??做出重大的 IT 决策需要多长时间?第 16 页更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-�? ?全部 IT 工作和投资是透明的吗? IT 是在遵守法规和服务级别支持企业吗?我怎么 知道我是否符合所有适用的法规?外部利益相关者 ? ? ? ? ? ? ? ? ? ? 业务合作伙伴 供应商 利益相关者 监管机构/政府 外部用户 客户 标准化组织 外聘审计师 顾问 等 ? ? ? ?外部利益相关者的问题 我如何才能知道我的合伙伙伴的运营是安全可靠 的? 我如何才能知道企业是遵守适用的规则和条例 的? 我如何才能知道企业一直保持有效的内部控制制 度? 业务合作伙伴控制它们之间的信息链了吗?图 4.5 图表 7.关于 IT 治理和管理的问题 如何找到这些问题的答案? 图 7 中所提到的所有问题都与企业目标相关,都可作为各级目标的输入,并 且基于各级目标它们可被有效地解决。附录 D 包括图 7 中所提到的内部利益相关 者的问题与企业目标之间的示范映射关系。更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 17 页�五. 第三章原则二: 端到端覆盖企业COBIT 5 从整个企业范围内端到端的角度关注信息及相关技术的治理和管理。 这意味着 COBIT 5: ? 将企业 IT 治理融入到企业治理当中。也就是说,COBIT 5 提出的企业 IT 治理系统无缝地集成在任何企业治理系统中。COBIT 5 与关于治理的最 新观点一致。 ? 覆盖了治理与管理企业信息与相关技术所需要的所有功能及流程,信息可能被处理的任何地方。鉴于此扩展的企业范围,COBIT 5 解决所有有关 的内部与外部 IT 服务,同时处理内部与外部的业务流程。 在众多促成因素的基础上,COBIT 5 提供了对企业的 IT 治理与管理的整体性 和系统性的观点 (见原则 4) 这些促成因素是企业范围的和端到端的, , 也就是说, 包括与企业信息与相关 IT 的治理与管理有关的每件事和每个人,内部与外部,包 括 IT 部门与非 IT 业务部门的活动与责任。 信息是 COBIT 的促成因素之一。COBIT 5 定义促成因素的模型允许每个利益 相关者定义对信息与信息处理周期的扩展的、完整的要求。因此将业务与对充足 的信息和 IT 功能的需求连接起来,同时支持业务与环境的重点。5.1 治理方法端到端的治理方法是图 8 的所描绘的 COBIT 5 的基础部分,图 8 也展示了一 个治理系统的关键组成。更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 18 页�图8――COBIT 5中的治理和管理治理目标:创造价值收益实现 风险优化 资源优化治理促成 因素治理范围角色,活动和关系图 5.1 图表 8.COBIT 5 治理与管理 除治理目标外,治理方法的其他重要元素还包括促成因素、范围、角色、活动和 关系。 治理促成因素 治理促成因素是治理的组织资源,如框架,原则,结构,流程,和实践,通 过或对行动导向和实现目标。促成因素还包括企业的资源,例如,服务能力(IT 基础设施,应用软件等),人员和信息。资源或促成因素的缺乏,可能会影响企 业创造价值的能力。 鉴于治理促成因素的重要性, COBIT 5 包括看待和处理促成因素的单一方式 (见 第 5 章)。 治理范围 治理可以应用到整个企业,机构,有形或无形的资产等等。也就是说,定义 关于企业应用治理的不同视角是可能的,而定义治理系统的范围是必须的。COBIT 5 的范围是整个企业,但在本质上 COBIT 5 可以应对任何不同的视角。 角色,活动和关系 最后一个因素是治理的角色,活动和关系。在任何治理框架的范围内,它定 义谁参与治理,他们是如何参与,他们做什么以及它们如何进行交互。 在 COBIT 5更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 19 页�中,明确区分治理和管理域的治理和管理活动,以及它们之间的和所涉及的角色 的接口。图 9 详细描述了图 8 的下半部分,并列出不同的角色之间的相互作用。 有关治理的通用视图的更多信息,请参阅“推进治理”,网站 www.takinggovernanceforward.org。图9――关键角色,活动和关系角色,活动和关系拥有者和 利益相关 者代表 设定方向治理机构负责 监控经营指导和调 整 报告运作和执 行图 5.2 图表 9.关键的角色、活动与相互关系更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 20 页�六. 第四章原则三:采用单一集成框架COBIT 5 是一个单一的、集成的框架,因为: ? 它与其他最新的相关标准和框架相一致,从而允许企业把 COBIT 5作为总体治理和管理框架的集成器。 ? 它完全覆盖企业,提供有效地整合其他框架、 标准和所用的做法的基础。单一的总体框架以非技术性的,与技术无关的通用语言,用作一贯的综 合指导资源。 ? ? 它提供了一种简单的构建指导材料和生成一致的产品集的架构。 它集成了以前分散在不同的 ISACA 框架的所有知识。 ISACA 已研究企业治理的关键领域多年,并已开发了如 COBIT,Val IT,风险 IT,BMIS,出 版物 IT 治理简报,以及 ITAF,它为企业提供指导和协助。COBIT 5 融合了所 有这些知识。6.1 COBIT 5 的框架集成器图 10 提供了 COBIT 5 如何实现其一致和集成框架中的角色的图形化描述。更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 21 页�图10―― COBIT 5单一集成框架现有ISACA指 南(COBIT,val IT,Risk IT,BMIS?.)新的ISACA 指南资料其他标准及 框架COBIT5 知识平台 COBIT5促成因素 ? ? 现有指南与内 容 未来内容架构知识库内容漏斗COBIT5产品家族 COBIT 5COBIT 5促成因素指南COBIT 5专业指南COBIT 5在线协作环境图 6.1 图表 10. COBIT 5 单一集成框架 COBIT 5 框架为利益相关者提供关于企业 IT 治理和管理的最完整的和最新 的指南(见图 11),通过: ? 研究和应用一系列驱动新内容开发的资源,包括:―把现存的 ISACA 指南(COBIT 4.1,Val IT 2.0,风险 IT,BMIS)整合到 这个单一结构框架下 ―在需要详细阐述和更新升级的地方进行内容补充 ―与其他相关标准和结构相匹配,比如 ITIL、TOGAF 和 ISO 标准。在附录 A 中可以找到完整的参考文献列表 ―定义一系列能提供所有指导资料结构的治理和管理的促成因素 ? 普及 COBIT 5 的知识库,该知识库包括目前产生的所有指导和内容,也 为将来提供附加内容的结构 ? 提供一个完整的、综合的优良实践参照库更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 22 页�图11―― COBIT 5产品系列 COBIT 5 COBIT 5促成因素指南 COBIT 5:促成 进程 COBIT 5专业指南 COBIT 5实施COBIT 5信息 安全 COBIT 5保障 COBIT 5风险 其他专业指南COBIT 5:促成信息其他促成因素 指南COBIT 5在线协作环境图 6.2 图表 11.COBIT 5 产品系列七. 第五章原则四:启用一种整体的方法7.1 COBIT 5 促成因素促成因素是单独或共同影响某物是否起作用的因素,在本例中是企业 IT 的治 理和管理。促成因素由各级目标驱动,即 IT 相关的高级目标定义了不同促成因素 应该达到的要求。 COBIT 5 框架描述了七类促成因素(表 12): ? ? 原则,政策和框架是把所期望的行为转变为日常管理的实践指导的工具。 流程描述了一系列有组织的为达到特定目标和产生一系列的输出以支持 实现整体 IT 相关目标的实践和活动。 ? ? 组织结构是在一个企业的关键的决策实体。 文化、伦理道德和行为,个人和企业的文化、伦理道德和行为是在治理和 管理活动中通常被低估的取得成功的因素。 ? 信息是在任何组织中是很普遍的,它包括企业产生和运用的所有信息。信第 23 页更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-�息是保证组织运行和有效治理所必需的,但是在操作层面上,信息通常是 企业自身的主要产品。 ? 服务、 基础设施和应用程序包括为企业提供信息技术服务和处理的基础设 施和应用程序。 ? 人才,技能和竞争力与人有关,并且是做出正确决策和实施正确行动和成 功完成所有活动所必需的。图12――COBIT 5企业促成因素2.流程3.组织结构4.文化,伦理 道德和行为1.原则,政策和框架5.信息6.服务,基础 设施和应用7.人,技能 和竞争力资源图 7.1 图表 12.COBIT 5 企业促成因素 之前定义的一些促成因素同样是需要管理和治理的企业资源。这适用于:?信息,需要当做一种资源来处理。一些信息,比如管理报告和业务情报信 息是企业治理和管理的重要促成因素。? ?服务,基础设施和应用程序 人才,技能和竞争力7.2 通过相互关联的促成因素系统地治理和管理图 12 也传达出这种应该被企业治理采纳的理念,包括 IT 治理,IT 治理是实 现企业的主要目标。任何企业必须一直考虑一系列相互关联的促成因素。也就是 说,每种促成因素:更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 24 页�?要想完全有效,需要其他促成因素的输入,比如,流程需要信息,组织结构需要技能和行为。 ? 为其他促成因素提供输出,比如,流程传递信息,技能和行为状况使流程生效。 所以当解决企业 IT 管理和治理中的问题时,只有当考虑这种系统性的治 理与管理的本质时,好的决策才会被采纳。这意味着为了应对任何利益相关者 的需要,必须分析所有相互关联的促成因素的相关性,如果需要做相应处理。 这种思维模式必须由企业的顶层驱动,如下面的例子所示。 例 3――企业 IT 的治理和管理 假设提供给所有用户的 IT 服务需要服务能力(基础设施,应用程序),为实现 些功能, 需要有适当技能组合和行为的员工,也需要执行很多由适当的组织机构 支持的服务交付程序,以展示服务成功地交付是如何需要所有的促成因素的。例 4――企业 IT 的治理和管理 信息安全的需要要求建立大量的政策和工作规程并付诸实施。 这些工作原则反过 来需要实施很多安全相关的实践环节。然而,如果企业或者员工的文化或道德标 准不适合,信息安全流程和程序将不会有效。7.3 COBIT 5 促成因素的维度所有的促成因素具有共同的维度组合,这一共同维度的组合(图 13) : ? 提供了一种通用的、单一的、结构化的方法来处理促成因素 ? 允许一个实体来管理其复杂的相互作用 ? 促成促成因素的成功结果更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 25 页�图13――COBIT 5一般促成因素促 成 因 素 维 度利益相关者 ? 内部利 益相关 者 ? 外部利 益相关 者? ??目标 内在质量 情景质量 (相关性, 有效性) 可访问性和 安全性? ? ? ? ?生命周期 规划 设计 构建/获得/ 创造/实施 使用/操纵 更新/报废良好做法 ? ? 实践 工作产品 (输入/输 出)促 成 因 素 性 能 管 理利益相关者的 需要处理了吗?促成因素目标实 现了吗?管理生命周期了 吗?良好做法应用了 吗?实现目标的衡量标准 (滞后指标)实践应用的衡量标准 (领先指标)图 7.2 图表 13.COBIT 5 通用促成因素 促成因素维度 促成因素的 4 个通用维度是:?利益相关者:每个促成因素都有利益相关者(发挥积极的作用和/或对促 成因素感兴趣的各方) 。例如,流程有执行流程中的活动和/或对流程结果 感兴趣的不同各方;组织结构有利益相关者,每一个都有他/她各自的角 色或兴趣,这是结构的一部分;利益相关者对企业可以是内部的或者外部 的,他们都有自己的利益和需求,这些利益与需求有时可能是冲突的,利 益相关者需求转换成企业目标,进而转化为企业的 IT 相关的目标。利益 相关者列表在图 7 中显示。?目标:每一个企业都有若干目标,并且促成因素通过实现目标提供价值, 目标可以根据定义:――促成因素期望输出结果 ――促成因素自身的应用与运作更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 26 页�促成因素目标是 COBIT 5 目标级联中的最后一步,目标可以进一步分为不 同的类别: ――内在质量:促成因素准确,客观地工作,并提供准确、客观、有信誉的结 果的程度 ――环境质量:促成因素及其结果,在考虑他们运营环境的情况下,适合目的 的程度,举例来说,结果应该是相关的,完整的,最新的,适当的,一致的, 易于理解和易于使用的。 ――访问和安全:促成因素及其结果可访问和安全的程度。诸如: ? 当需要和如果需要时,促成因素是可得的。 ? 输出是安全的,即访问仅限于那些有权并需要它的人。?生命周期:每一个促成因素都有生命周期,从成立以来,经过运营/有用 的生命,直到被处理掉。这适用于信息、结构、流程、政策等等。生命周 期的阶段包括: ―规划(包括概念的发展和概念的选择) ―设计 ―建立/收购/创建/实施 ―应用/运作 ―评估/监控 ―更新/弃置?好的实践:对每一个促成因素,可以定义好的实践。好的实践支持促成因 素目标的实现, 好的实践提供关于如何最佳实施促成因素和需要什么工作 产品或输入输出的示例和建议。COBIT 5 提供一些由其自身提供的促成因 素的好的实践的例子(例如流程) 。对其它的促成因素,可以应用来自其 它标准或框架等的指南。促成因素性能管理 企业期望从应用促成因素中得到积极的结果,为了管理这些促成因素的性能, 以下问题需要定期监控并从而随后解决(基于衡量指标): ? 利益相关者额需求处理了吗?更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 27 页�? 促成因素目标实现了吗? ? 管理促成因素生命周期了吗? ? 好的实践应用了吗? 前两个问题对应促成因素的实际输出,用于衡量目标的实现程度的度量指标 可称为“滞后指标”。 后两个问题对应促成因素自身的实际作用,这个指标可以称为“领先指标”。7.4 实践中促成因素的例子例 5 说明了促成因素,它们的相互联系和维度,以及如何应用它们以获得实 际效益。 例 5:促成因素 组织已为 IT 相关的流程任命流程经理, 负责在企业 IT 良好治理和管理的环 境下,定义和运行有效和高效的 IT 相关的流程。 起初,流程经理将侧重于流程的促成因素,并考虑促成因素的范围: ? 利益相关者:流程中的利益相关者包括所有流程参与者,即负责、有义务、 咨询和被告知的各方为或在流程活动中。为此,RACI 表格如在 COBIT 5 中描 述:促成流程可以得到应用。 ? 目标:对每一个流程,需要定义足够的目标和相关的衡量指标。例如,对于 一个流程管理关系(COBIT 5:启用流程中的流程 AP008),可以发现一组流 程的目标和指标如: ―目标:业务战略、规划和要求得到很好地理解、记录和批准。 ? 指标:与企业业务要求/优先级相一致的方案的百分比 ―目标:企业与 IT 部门之间良好的关系。 ? 指标:用户评价和 IT 人员的满意度调查 ? 生命周期:每个流程都有生命周期,即它需要被创建,执行和监测,并在需 要时调整,最终,流程不复存在。在本例中,流程经理首先需要设计和定义 过程,他们可以使用 COBIT 5:启用过程的一些元素来设计流程,即明确责更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 28 页�任和将流程分解为实践和活动, 并定义过程的工作产品 (输入和输出) 的若。 在稍后阶段,需要将流程设计得更强大和更有效率,并且为这一目的,流程 经理可以提高流程的性能水平。由 ISO/IEC 15504 启发的 COBIT 5 过程能力 模型和流程性能属性可以用于这个目的。 ? 好的实践:充足详细介绍了 COBIT 5:启用流程好的实践,如先前提到的, 在那儿可以得到启示和获得示例流程,并全方位覆盖良好的企业 IT 治理和 管理所需的活动。 除了流程促成因素的指导,流程经理可以决定看一些其他促成因素,诸如: ? RACI 表格,它描述角色与责任,其它促成因素深入这一维度诸如: ――在技能与竞争力促成因素中,可以定义每个角色需要的技能与竞争力, 并且定义适当的目标(如技术和行为技能水平)与相关指标。 ――RACI 表格也包括一些组织结构,在组织结构促成因素中,这些结构可 以进一步阐述,其中可以提供更详细的结构描述,定义预期成果和相关指标(如 决策),并且可以定义好的实践(如控制范围,结构的操作原则,授权级别) ? 原则和政策将使流程正式化并描述流程为什么存在, 对谁可用以及流 程怎么应用,这是原则和政策促成因素的重点领域。在附录 G 中,更详细地描述了七类促成因素,为更好理解促成因素以及它们 在组织企业 IT 治理和管理方面的强大程度,建议阅读本附录。更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 29 页�八. 第六章8.1 治理与管理原则五:区分治理与管理COBIT 5 框架明确区分治理与管理,这两个概念包括不同类型的活动,需要 不同的组织结构和服务于不同的目的。COBIT 5 认为治理与管理之间的主要区别 是:?治理治理保证通过评估利益相关者的需求、条件和选择权,以决定所要实现的、 平衡的、一致同意的企业目标,通过优先次序设定方向并决策,并监控绩效和 对于共同方向和目标的符合性。 在大多数企业,治理是在董事会主席领导下的董事会负责的,?管理管理规划,构建,运营和监控与治理机构设定的方向保持一致的活动以实 现企业目标。 在大多数企业中,管理是首席执行官(CEO)领导下的执行管理层的责任。8.2 治理与管理的相互作用从治理和管理的定义,可以明确知道,他们包含不同类型的活动,有不同的 责任;然而,鉴于治理的角色(评估、指导和监督),在治理与管理之间需要一 系列相互作用来形成一个切实有效的治理系统。这些相互作用,使用促成因素结 构显示在图 14 中。 图 14――COBIT 5 治理和管理的相互作用 促成因素 流程 治理―管理相互作用 在说明性的 COBIT 5 的过程模型(COBIT 5:启用流程)中,治 理和管理流程是有区别的,每种流程包括一系列具体的做法和活 动。流程模型还包括 RACI 图表,描述企业内部不同的组织结构更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 30 页�和角色的职责。 信息 流程模型描述从不同的流程实践到其他流程的输入和输出,包括 治理和管理流程之间的信息交换。用于评估,指导和监督企业 IT 的信息在治理和管理之间交换, 如流程模型的输入和输出所描述。 组织结构 每个企业都定义了若干组织结构,结构可以放在治理空间或管理 空间中,这取决于其决策的组成和范围。由于治理是关于设定方 向,在治理结构所做的决策(比如决定投资组合和风险偏好)和 落实前面的决策和业务之间产生的互动。 原 则 , 政 策 原则,政策和框架是企业内部治理决策的制度化的工具,出于这 和框架 个原因,它们也是治理决策(设定方向)和管理(执行决策)之 间的相互作用。 文 化 , 伦 理 行为也是一个企业良好治理和管理的关键促成因素, 它位于顶层, 道德和行为 由示例引导,因此是治理和管理之间的重要的相互作用。人 , 技 能 和 治理和管理活动需要不同的技能组合,但治理机构成员和管理层 竞争力 的一项基本技能是理解任务以及治理与管理之间的不同之处。服 务 , 基 础 服务是必需的,由应用程序和基础设施支持,从而为治理机构提 设施和应用 供充足的信息,并支持治理活动的评估,方向设定和监控。 图 8.1 图 14 COBIT 5 治理和管理的相互作用8.3 COBIT 5 流程参考模型COBIT 5 不是规定性的,但它主张企业实施治理和管理流程以涵盖关键领域, 如图 15 所示。更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 31 页�图15 ――COBIT 5治理和管理的关键领域 业务需求 治理评估指导管理反馈监控管理计划 (APO)构建 (BAI)运营 (DSS)监控 (MEA)图 8.2 图表 15.COBIT 5 治理与管理的关键领域 企业组织它认为合适的流程,只要包含所有必要的治理和管理的目标,小的 企业流程少,大的复杂的企业流程多,但均包含相同的目标。 COBIT 5 包括一个流程参考模型,详细地定义和描述若干治理和管理流程, 它代表在企业 IT 相关活动中经常发现的所有流程, IT 运营和业务经理提供一个 为 通用的易理解的参考模型。这个推荐的流程模型是一个完整的、综合的模型,但 它并不是唯一可能的过程模型。考虑到其具体情况,每个企业都必须定义它自己 的流程集, 结合企业在 IT 活动所涉及的所有部件的运作模式和共同的语言,是走向良好 管理的最重要和最关键的步骤之一。它还提供了一个衡量、监控 IT 性能,提供 IT 保障,与服务供应商交流以及整合最好管理做法的框架。 COBIT 5 流程参考模型将企业 IT 治理和管理流程分为两个主要流程领域: ? 治理: 包括 5 个治理流程, 在每个流程内, 定义了评估、 指导和监控 (EDM) 实践。更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 32 页�?管理: 包含四个领域, 根据责任区域的规划, 构建, 运行和监控 (PBRM) , 并提供 IT 端到端的覆盖。这些领域是 COBIT4.1 域和流程结构的演变。 这些领域的名称是根据主要领域的标识选择的, 但包含了更多的动词描述 他们:―调整,规划和组织(APO) ―建立,获取和实施(BAI) ―交付,服务和支持(DSS) ―监控,评价和评估(MEA) 每个领域包含若干流程。如前所述,虽然大部分流程需要在流程内或所处理 的特定议题内(例如质量、安全),“规划”,“实施”,“执行”和“监控” 活动。根据在企业层面看待 IT 时,它们通常被置于最相关的活动领域。 COBIT 5 流程参考模型是 COBIT 4.1 流程参考模型的继承者,同时也融合了 风险 IT、Val IT 流程模型。 图 16 显示了 37 种 COBIT 5 治理和管理流程的完整集合,根据前面介绍的流 程模型,所有流程的详细情况包含在 COBIT 5:启用流程中。更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 33 页�图16――COBIT 5流程参考模型企业IT治理流程评估,指导和监控 EDM01确保 治理框架设 置和维护 EDM02确保 收益交付 EDM03确保 风险优化 EDM04确保 资源优化 EDM05确保 利益相关者 透明调整,计划和组织 AP001管理 IT管理框架 AP008管理 关系 AP002管理 战略 AP009管理 服务协议 AP003管理 企业架构 AP010管理 供应商 AP004管理 创新 AP011管理 质量 AP005管理 投资组合 AP012管理 风险 AP006管理 预算和成本 AP012管理 安全 AP007管理 人力资源监测,评 估和分析 MEA01监 测,评估 和分析性 能和合规构建,发展和实施 BAI01管 BAI02管理 理方案和 需求定义 项目 BAI08管理 知识 BAI09管理 资产BAI03管理解 决方案识别 和构建 BAI10管理 配置BAI04管理 可用性和 能力BAI05管理 组织变革 启用BAI06管理 变更BAI07管理 变更验收 和过渡MEA02监 测,评估 和分析内 部控制系 统交付,服务和支持 DSS01管理 运营 DSS02管理 服务请求 和事故 DSS03管理 问题 DSS04管理 持续性 DSS05管理 安全服务 DSS06管理 业务流程控 制MEA03监 测,评估 和分析与 外部需求 的符合性企业IT治理流程图 8.3 图表 16.COBIT 5 流程参考模型九. 第七章9.1 引言实施指南只有当有效地采纳和调整 COBIT,以适应每个企业的独特环境时,才能从利 用 COBIT 中实现最佳价值。每种实施方法也将需要解决包括管理文化和行为的变 化在内的具体挑战。更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 34 页�ISACA 在基于生命周期持续改善的论文《COBIT 5 实施》中提供了实用的和 广泛的实施指南,它不是一种指令性的方法,也不是一个完整的解决方案,而是 避免经常遇到的陷阱,利用良好做法,并协助创造成功结果的指南。该指南还受 到包含各种不断强化的资源的实施工具套件支持。它的内容包括: ? ? ? 自我评估。测量和诊断的工具 针对各种听众的介绍 相关文章和进一步解释本章的目的是在一个较高层次介绍实施和持续改进的生命周期,突出强调来 自 COBIT 5 实施的若干重要课题,诸如: ? ? ? ? 为 IT 治理和管理的实施和改进制作业务案例 认识典型的难点和触发事件 为实施创造适当的环境 利用 COBIT 来识别差距,并指导促成因素如政策、流程、原则、组织结 构以及角色和责任的发展。9.2 考虑企业环境企业的 IT 治理和管理不会发生在真空中,每个企业的需要来设计自己的 实施计划或路线图,设计需要根据企业特定的内部或外部环境,如企业的: ? ? ? ? ? ? ? ? ? ? 伦理道德和文化 实施的法律、法规和政策 使命、愿景和价值观 治理政策和实践 业务规划和战略意图 运营模式和成熟水平 管理方式 风险偏好 能力和可用资源 产业实践第 35 页更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-�同样重要的是充分利用和构建现有的企业治理的促成因素。 对每一个企业来说,企业 IT 治理与管理的最佳方法是不同的,并且需要理解 并考虑环境因素,以在实施企业 IT 促成因素的治理与管理的过程中有效地采纳和 调整 COBIT。COBIT 通常支持其它框架、好的实践和标准,并且这些也需要调整 以满足特定的要求。 成功实施的关键成功因素包括: ? 高层管理者提供开始行动的指示与授权,以及看得见的持续的承诺与 支持 ? 支持治理与管理流程的所有各方理解业务和 IT 目标 ? 确保对必要变革的有效的交流与促进 ? 调整 COBIT 和其它辅助的好的实践和标准以适应特定企业环境 ? 重视快速取胜和优先实现最易实施的最有效益的提升9.3 创造合适的环境利用 COBIT 的实施举措得到适当的治理和充分的管理是重要的,主要的 IT 相关的举措往往失败,因为各种利益相关者不适当的指导、支持和监督,利用 COBIT 的 IT 促成因素的治理或管理的实施也没有什么不同。 来自关键利益相关者 的支持和指导是重要的,以使改进得以采用和保持。在薄弱的企业环境(诸如不 清晰的整体业务运营模式或缺乏企业级的治理促成因素)下,这种支持和参与甚 至更重要。 采用 COBIT 的促成因素应该提供一个解决实际业务需求和问题的,而不是作 为自己的终端的解决方案。基于当前难点和驱动因素的需求应该被管理人员作为 需要处理的领域来识别与接受。基于 COBIT 的高层次的健康检查,诊断或能力评 估是提升意识、促成一致意见、产生行动承诺的完美工具。必须从一开始就询问 相关利益相关者的承诺和偏好。为实现这些,实施的目标和利益的需要在业务术 语中明确表达,在业务案例概要明确总结。 一旦已取得承诺,需要为支持该方案提供足够的资源,定义和委任关键的项 目角色与责任,需要注意持续保持来自所有受影响的利益相关者的承诺。更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 36 页�应当建立和保持适当的用于监督和指导的结构和流程,这些结构和流程也应 该确保与整个企业的治理和风险管理方法持续一致。 关键利益相关者例如董事会和高管应该提供可见的支持和承诺, 以设定的 “顶 层的基调”,并确保各级对方案的承诺。9.4 识别难点与触发事件有许多因素可能预示需要改善企业 IT 的治理和管理。 通过把难点和触发事件作为实施计划的启动点,企业 IT 改善的治理和管理的 业务案例可以与实际的、正在经历的日常问题相联系,这将提高买入并且在企业 范围内创造紧迫感,而这正是揭开实施序幕所需要的。另外,在企业中最容易看 见或最易识别的领域中,可以识别快速取胜,并且可以显示价值增加。这为进一 步转变提供了平台,并可以协助获得广泛的高级管理层的承诺和更加普遍的变化 的支持。 一些典型的难点例子,新的或修订过的, IT 促成因素的治理或管理可以成为 一个解决方案(或解决方案的一部分),如 COBIT 5 实施中确认的那样,是: ? ? ? ? ? ? ? ? ? ? ? 失败的方案、提高 IT 成本和低的业务价值感觉造成的业务挫折 与 IT 风险,如数据丢失或项目失败,相关的重大事故 外包服务交付问题,例如一致未能达到商定的服务水平 未能达到监管和合同要求 IT 限制企业的创新能力与业务敏捷性 差的 IT 性能的日常审计结果或者已报告的 IT 服务质量问题 藏匿和欺诈 IT 花费 成倍或者方案重复或者资源浪费,例如过早终止项目 不充分的 IT 资源,技术不足的员工或员工倦怠/不满 IT 促使的变化没有满足业务需求和交付推迟或者超过预算 董事会成员,高管以及高级经理不愿参与 IT 或者缺少信守诺言的令人满 意的 IT 发起人 ? 复杂的 IT 操作模型第 37 页更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-�除了这些难点之外,企业内部或外部环境中的其它因素可以暗示或触发对 IT 治理和管理的关注,第 3 章《COBIT 5 实施》出版物中的例子是: ? ? ? ? ? ? ? ? ? 兼并,收购或剥离 市场、经济与竞争地位的变化 业务操作模型与采购安排的变化 新的监管或合规性要求 重大的技术改变或模式改变 企业范围的治理重点或项目 新的 CEO、CFO、CIO 等 外部审计或咨询评估 新的业务战略或优先事项9.5 启动变革成功实施取决于以适当的方式实施适当的变化 (适当的治理或管理促成因素) 。 在许多企业中,第一方面得到了很好的重视(IT 的核心治理与管理),但是对管 理人力资源、行为和文化方面的变化以及激励利益相关者入股变化的重视不够。 不应该假定参与或者受新的或修订的促成因素影响的各种利益相关者将愿意 接受和采纳变化,对变化的无知和/或抵制需要通过一个结构化的和主动的方法解 决。同样,在整个方案的各个阶段,实施方案的最佳认识应通过一种“沟通什么, 以何种方式沟通,由谁沟通”的沟通计划来实现。 通过获得利益相关者的承诺(投资为赢得民心,领导人的时间,并与员工沟 通和回应),或者如仍需要,通过加强合规性(投资流程中的管理,监督和执行) 可以实现持续改善。换句话说,需要克服人、行为和文化的障碍,以使有妥善采 纳变化的共同利益,渗透采取改变的意愿,并确保采取变化的能力。更多关于 COBIT、CISA 等课程相关资料欢迎致电谷安天下 400 070 6887 或 010-第 38 页�9.6一种生命周期方法实施生命周期提供了一种为企业使用 COBIT 解决在实施过程中通常遇到的复杂性和挑战的方法。生命周期的三个相互关联的组成部分是
