整合COBIT、ITIL、ISO/IEC17799和PRINCE2
讨论了标准之间的关系 没法加附件啊?有图片,不好意思,我换别的版发吧整合COBIT、ITIL、ISO/IEC17799和PRINCE2 构建善治的IT治理机制善治的IT治理架构是确保IT资源与公司战略目标保持一致的基础,同样也能确保IT服务满足组织对优质、可信和安全的信息需要。采用标准的IT治理(IT Governance)架构可以给企业带来诸多收益。如美国堪萨斯州把COBIT标准作为虚拟政府策略的一部分,结果降低了运营成本,并为它的客户和委托人提供了很高质量的服务。Proctor&Gamble在采用ITIL标准的四年里,节省超过5亿美金的预算。同时Procter&Gamble内部财务和IT部门的调查显示,其运作费用降低6%~8%,而技术人员的人数减少15%~20%。ISO/IEC17799是成为国际标准最快的一个标准,ISO/IEC17799的前身BS7799是卖出拷贝最多的管理标准,目前已有二十多个国家引用BS7799-2作为国标,各大信息安全公司也都以BS7799为指导向客户提供信息安全咨询服务。近年来Prince2在Prince的基础上迅速席卷包括IT项目在内的项目管理,PRINCE 2 已风行欧洲与北美等国。Sun、Oracle等将PRINCE2作为实施项目的标准管理方法;香港特别行政区政府资讯科技署将PRINCE作为政府项目管理的标准指南。
何为IT治理
IT治理是IT、经济学及管理学界中一个新的概念,用于描述企业或政府是否采用有效的机制,使得IT的应用能够完成组织赋予它的使命,同时平衡信息化过程中的风险,确保实现组织的战略目标。其主要使命是:保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,适当管理与IT相关的风险。具体而言如下:
· IT战略目标必须与企业战略目标保持一致,IT对于来说组织非常关键,也是战略规划的重要组成部分,甚至直接影响到战略竞争机遇。· IT治理包含治理委员会、治理结构、治理流程和企业文化等。· IT治理使风险透明化,从而保护利益相关者的权益。· IT治理可用来指导和控制IT投资、机遇、收益及风险。· IT治理通过引导IT战略,并建立标准的信息基础架构,来实现业务增长。· IT治理对核心IT资源做出合理的制度安排,这将成为进入新的市场、进行有效竞争、实现总收入增长、改善客户满意度及维系客户关系的制度保障。 四种基本的IT治理支持手段
·COBIT——信息及相关技术的控制目标(Control Objectives for Information and related Technology,COBIT) ,是IT治理的一个开放性标准,由美国IT治理研究院(IT Governance Institute)开发与推广,现已更新为第三版。IT业务流程是COBIT关注的焦点,对每一个IT业务流程,COBIT提出了一系列的控制目标、相应的实现这些控制目标的控制程序,评价这些控制程序是否存在,并被有效执行的一系列审计程序。该标准为IT的治理、安全与控制提供了一个普遍适用的公认标准,以辅助管理层进行IT治理。目前已在世界一百多个国家的
重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。COBIT模型如图1所示。
COBIT架构的主要目的是为业界提供关于IT控制的清晰策略和良好典范。该架构的四个域分别是:PO(Planning & Organization)、AI(Acquisition & Implementation)、DS(Delivery & support)和 Monitoring。进一步细分为34个IT处理流程。如表1。
表1 COBIT域
1规划与组织(PO,Planning and Organization)
3 交付与支持(DS ,Delivery and Support)
PO1制定IT战略规划
PO2确定信息体系结构
PO3确定技术方向
PO4定义IT组织与关系
PO5管理IT投资
PO6传达管理目标和方向
PO7人力资源管理
PO8确保与外部需求一致
PO9风险评估
PO10项目管理
PO11质量管理
DS1定义并管理服务水平
DS2管理第三方的服务
DS3管理绩效与容量
DS4确保服务的连续性
DS5确保系统安全
DS6确定并分配成本
DS7教育并培训客户
DS8为客户提供帮助和建议
DS9配置管理
DS10处理问题和突发事件
DS11数据管理
DS12设施管理
DS13运营管理
2获得与实施(AI, Acquisition and Implementation)
4 监控(M ,Monitoring)
AI1确定自动化的解决方案
AI2获取并维护应用程序软件
AI3获取并维护技术基础设施
AI4程序开发与维护
AI5系统安装与鉴定
AI6变更管理
M1过程监控
M2评价内部控制的适当性
M3获取独立保证
M4提供独立的审计
资料来源:ISACA
COBIT产品家族分类如图2所示。
资料来源:ISACA
①管理指导方针(Management Guidelines)其中:成熟度模型(Maturity Models)是用来决定每一个控制阶段和期望水准是否符合标准规范。关键成功要素(Critical Success Factors)是用来辨认在信息化过程中实现有效控制所必需的最重要的活动。关键目标指标(Key Goal Indicators)是用来定义关键目标的绩效衡量标准。关键绩效指标(Key performance Indicators)用来测量IT控制程序是否能达到目标。以上管理方针都是为了确保企业能成功和有效地整合业务流程与信息系统。②执行概要(Executive Summary)提供了让管理层了解COBIT关键概念和原则的综合性简介,还概述了COBIT四大领域的体系架构。③架构(Framework)详细描述了的34个控制目标,并指出了企业对信息标准的要求和在IT资源上的需求是如何融入控制目标中的。④审计指导方针(Audit Guidelines)提供了关于34个控制目标的审计步骤,以协助信息系统审计师检验IT程序是否符合控制目标,并提供管理上的保证和改进的建议。⑤控制目标(Control Objectives)为IT控制提供了一个用来明晰策略和实施指导的关键方针,包括控制目标的详细说明。⑥应用工具集(Implementation Tool Set)包括管理意识(Management Awareness),IT控制诊断(IT Control Diagnostics),应用指导(Implementation Guide),常见问题及(FAQs)等。这些新工具主要是设计让COBIT的应用更容易,让组织能快速且成功地从教材中掌握如何在工作中应用COBIT。
需要指出的是,COBIT可具体应用到几乎所有企业信息系统中。目前ISACA也提供相关专业人士的认证服务,经认证的专家可在一百多个国家执行信息系统审计业务。 90年代后期,ITIL的思想和方法,被美国、澳大利亚、南非等国家广泛引用,并进一步发展。2001年英国标准协会(British Standard Institute,BSI)在国际IT服务管理ITIL培训基地(itSMF)年会上,正式发布了基于ITIL的英国国家标准BS15000。2002年,BS15000为国际标准化组织(ISO)所接受,作为IT服务管理的国际标准的重要组成部分。目前,ITSM领域正成为全球IT厂商、政府、企业和业界专家广泛参与的新兴领域,对未来的IT走向和企业信息化,将会产生深远的影响。其内容描述的是IT部门应该包含的各个工作流程以及各个工作流程之间的相互关系。ITIL的核心内容包括服务支持和服务交付,共11个流程。如表2。其架构模型如图2所示。
表2 ITIL工作流程
服务支持(Service Support)
服务交付(Service Delivery)
􀁺 服务台
􀁺 服务级别管理
􀁺 事故管理
􀁺 成本管理
􀁺 问题管理
􀁺 持续性管理
􀁺 配置管理
􀁺 变更管理
􀁺 发布管理
􀁺 可用性管理
􀁺 容量管理
资料来源:OGC
资料来源:Paul Graham等著,《ICT Infrastructure Management》,P7,OGC,2002年。