基本信息
COBIT(Control Objectives for Information and related Technology) 是國際上通用的信息系統審計的標準,由信息系統審計與控制協會在1996年公布。這是一個在國際上公認的、權威的安全與信息技術管理和控制的標準。它在商業風險、控制需要和技術問題之間架起了一座橋樑,以滿足管理的多方面需要。該標準體系已在世界一百多個國家的重要組織與企業中運用,指導這些組織有效利用信息資源,有效地管理與信息相關的風險。
什麼是COBIT
“IT審計”已經成為眾多國家的政府部門、企業對IT的計畫與組織、採購與實施、服務提供與服務支持、監督與控制等進行全面考核與認可的業界標準。相應地,“註冊信息系統審計師”(CISA)日益成為世界各國發展信息化過程中,爭相發展的新興職業和領域。作為IT治理的核心模型, COBIT包含34個信息技術過程控制,並歸集為四個控制域:IT規劃和組織(Planning and Organization)、系統獲得和實施(Acquisition and Implementation)、交付與支持(Delivery and Support)以及信息系統運行性能監控(Monitoring)。
COBIT已成為國際上公認的IT管理與控制框架,已在世界一百多個國家的重要組織與企業中運用,指導這些組織有效地利用信息資源,有效地管理與信息相關的風險。
COBIT的主要組件
COBIT有6個組件:
- Executive Summary
- Management Guidelines
- Framework
- Control Objectives
- Implemenation Toolset
- Audit Guidelines
COBIT對企業的作用
COBIT型是企業戰略目標和信息技術戰略目標的橋樑,使得信息技術目標和企業戰略目標之間實現互動。
該框架的意義在於:COBIT實現了企業目標與IT治理目標之間的橋樑作用。
首先,COBIT考慮了企業自身的戰略規劃,對業務環境和企業總的業務戰略進行分析定位,並將戰略規劃所產生的目標、政策、行動計畫作為信息技術的關鍵環境,並由此確定IT準則。
IT為企業戰略提供了基於技術的解決方案,為滿足業務戰略需求提供了技術與工具。在IT準則的指導下,利用控制目標模型,分別從規劃與組織、獲取與實施、交付與支持、監控等過程進行控制、管理信息資源。在IT管理的同時,引入審計指南,從而保證IT資源管理的安全性、可靠性和有效性。
COBIT實現可跟蹤的業績衡量,通過平衡記分卡可以在財務(企業資源管理)、客戶(客戶關係管理)、過程(內部網,工作流工具)、學習(知識管理)等方面維持平衡,評價企業目標的實現情況以及IT績效,並調整業務目標和IT戰略,進行持續的IT管理。
COBIT採用成熟度模型,可以定位自己企業的IT管理目前在業界所處的位置,以及未來努力的方向,通俗地說就是給IT管理“打分”。
COBIT還提供了目前最佳案例和關鍵成功因素(CSF),供企業和組織借鑑。
從內容上看,COBIT覆蓋了從分析&設計到開發&實施到運營、維護的整個過程。對於分析&設計,重點目標是IT與業務的需求,根據業務目標細化IT戰略,確定待開放的IT系統,進行相應的系統分析和設計。在分析與設計這樣一個流程範圍中,比我們傳統所說的信息系統的分析與設計要寬廣得多,它強調的是 IT的戰略要符合業務的戰略,任何信息系統的開發都應該與業務戰略保持精確的校準。從業務戰略的高度來分析和設計信息系統。提供這個階段主要是考察組織的需求,同時根據這些需求設計合理的資源組合,設立合理的服務級別、目標,提供滿足客戶需求的IT服務。這個階段對IT套用已上升到IT服務管理的階段。主要解決下面的問題,為滿足客戶的需要提供哪些資源,這些資源之間的成本是多少,如何在服務成本和服務的效益間達到一個恰當的平衡點。在支持這個層面,主要是如何滿足客戶提出的IT需求,以支持服務的需求。 COBIT上層是對IT運行進行外部控制和內部審計,以確保IT與業務實現精確校準,同時實現對IT套用持續不斷的套用和改進。COBIT覆蓋整個信息系統的全部生命周期,其視野是最為開闊的。
COBIT的優點
概括而言,COBIT的主要優點如下:
COBIT是一個非常有用的工具,也非常易於理解和實施,可以幫助企業在管理層、IT與審計之間交流的鴻溝上搭建橋樑,提供了彼此溝通的共同語言。幾乎每個機構都可以從COBIT中獲益,來決定基於IT過程及他們所支持的商業功能的合理控制。當我們知道這些業務功能是什麼,其對企業的影響到什麼程度時,就能對這些事件進行良好的分類。所有的信息系統審計、控制及安全專業人員應該考慮採用COBIT原則。
通過實施COBIT,增加了管理層對控制的感知及支持。COBIT幫助管理層懂得如何控制影響、業務功能。COBIT提供的實施工具集包括優秀的案例資料(提供模板業務過程,使得優秀範例能夠迅速移植),有助於向管理層很好地表述IT管理概念。管理層在基於最佳控制實踐基礎上做出正確決策的能力亦得到了提高。
COBIT使IT管理工作簡易並量化,減輕對複雜信息系統管理工作的難度。對於那些不具有廣博IT知識的人來講,是一個認清信息技術的有價值的工具。它也使得信息系統審計師具有與IT專業人員相同的專業廣度,並且可以詢問IT工程相關的問題。
COBIT提供了一種國際通用的IT管理及問題解決方案,普遍適用於各種不同的業務項目和審計,並且既包容了當前的情況,也提供將來可能會使用到的指導方針。
COBIT有助於提高信息系統審計師的影響力,依據COBIT出具的信息系統審計報告,更容易得到管理層的肯定。
COBIT框架可以能夠幫助決定過程責任,提高IT治理水平。通過套用該框架進行責任分析,可以做到基於角色的IT管理,定義過程措施,確保客戶利益。
總之,COBIT模型實現了企業戰略與IT戰略的互動,並形成持續改進的良性循環機制,為企業提供了具有一定參考價值的解決方案。因此,針對我國信息化存在的問題,借鑑COBIT的IT治理思想和框架,科學、系統地對信息及相關技術進行管理,逐步試行建立IT治理機制,對推動我國信息技術的發展和套用具有十分重要的現實意義。
COBIT標準的套用原則
COBIT的控制目標主要是針對信息系統的管理控制和運行控制,COBIT提出的控制目標可以套用到所有的信息系統,下面以COBIT的規劃與組織、獲取與實施、服務與支持、監控四個域及其高級控制目標為線索來談談COBIT標準在企業信息系統中的套用。
【(一)規劃與組織】
1、定義戰略性的信息系統規劃(Define a Strategic IT Plan)
系統規劃是信息系統建設的第一步,包括信息系統的戰略目標、政策和約束、計畫和指標分析;信息系統本身的建設目標、建設模式;信息系統的功能結構、組織、人員管理;信息系統的效益分析和實施汁劃。規劃的好壞對信息系統建設的成敗有至關重要的影響。信息系統究竟包含哪些具體的內容和衡量指標?如何推進?推行信息系統的各項工作要經歷哪幾個發展階段?這些都是我們在確立企業IT治理工作目標所必須回答的問題體現的是定義戰略性系統規劃的重要性。
整個信息系統的建設要以最佳化企業管理的核心業務流程,提高工作效率,更好地發揮企業巨觀管理、綜合協調與服務的職能為總體目標。因此,在建設信息系統的過程中,應以建設關鍵支撐體系為核心,以建設各個套用功能系統為階段目標,在長期的建設過程逐漸與其他各個分立的信息管理系統,及各類信息化支撐體系融合併最終形成比較完整信息體系。
一套好的信息系統規劃應當具備幾個特點:
首先,規劃本身應當明確無誤而且易於理解,應當是一個可以為大多數人所理解和認同的概念。規劃必須得到領導小組的認可;
其次,這套規劃必須相對具體,它不僅要提出一個奮鬥目標,而且還要說明如何才能夠實現這個目標。換旬話說,我們不僅要明確發展企業要達到的終極目標,而且還要說明在企業現有的發展水平下,如何才能夠多快好省地建設信息系統;
再次,規劃目標應當是可衡量的。否則的話,我們就無從判斷自己究竟是否是在向目標邁進,以及自己目前究竟處於哪個發展階段。
最後,規劃必須建立在對內外信息調查的基礎上制定。
系統規劃階段投入的時間和精力越多,將來設計和實現的效果就越好,以後花的時間以及遇到的困難和波折也就越少。一個有效的系統規劃有利乾實現比較友好的系統界面,有利於合理分配和使用信息系統的資源,從而節省信息系統的投資;一個好的規劃還可以作為一個標準,用來考核信息系統人員的工作,明確他們的方向,調動他們的積極性。
2.制定信息體系結構(Define the Information Architecture)
制定信息體系結構主要完成下列工作:
A.確定信息體系結構模型。
建立數據字典和數據處理的語法規則。這裡要提一提的信息結構和數據與信息標準。信息結構是指信息的組織形式和結構,包括信息的長度、結構和信息間的相互關係。信息結構的定義要有利於信息系統的組織,通過建立並維護一個信息模式,建立一個合適的信息系統,以使企業信息能夠被最最佳化地使用。信息結構包括以下幾個內容:文檔、數據字典、數據語法規則、數據的所有關係和分類。數據和信息標準主要是明確地定義和規定企業信息的標準和採集與套用的規範,此外,還應對政府信息的生命周期以及在其生命周期的每一個階段的管理問題做出規定。
B.建立數據分類規劃。
C.劃分安全級別。從套用角度分析,企業的信息系統承載的信息流和數據很重要,對安全性、可靠性的有一定的要求。因此,在構建電子政務系統時,可以從三個層次處理問題:
(1)確保核心套用系統和關鍵環節在各類實施方案中的技術自主性,在此層次的套用系統中,技術的先進性不是首要的。這裡需要指出的是,技術自主性的含義是比較廣泛的。以軟體技術為例,自主技術的軟體並非特指在我國自行開發研製的系統平台上由國內技術人員所編制的軟體,它可以包括由國內技術人員依靠國外的系統平台和開發平合編制的軟體,甚至也可以包括直接由國外軟體公司編制的軟體,但其中的關鍵算法和重用接口必須為我方人員所掌握。
(2)對於位於核心層外部,但又與具他外部信息系統(如Internet)存在可監控的隔絕層的層次,可以儘量採用先進技術以提高系統的效率和可靠性。
(3)對於直接與外部信息系統相連的部分,要針對不同情況分別加以考慮。對於安全監控系統要在其核心部分(如核心加密算法)確保技術自主;對於其餘部分,由於所承載的信息基本都屬於非關鍵信息,並且需要與其他信息系統的接口保持通信協定、數據格式甚至軟體體系的一致性,因此,不應強求對技術自主性的要求。
3.確定技術方向(Determine Technological Direction)
現代企業的發展離不開現代信息技術,由於企業所處的行業不同,採用的技術也不盡相同,每個企業在實施IT治理時一定要確定企業技術的大方向。建立一個開發信息系統的技術框架,充分利用已掌握和可獲得的技術優勢。通常企業的信息系統包括5個方面的技術:通信網路平台、計算機系統硬體和作業系統軟體平台、資料庫平合、套用軟體平台、安全體系和安全標準。技術方向的選擇必須同企業信息系統的開發需求匹配,既要保證技術的先進性,適應企業信息化發展的需要,同時又要充分考慮所需的資源、人力和設備的花費在預算的範圍內。技術方向的選擇必須滿足以下要求:
A.為電子政務系統將來的擴展留有餘地,採用的技術需要能無縫升級;
B.具有高度的可伸縮性、能夠實現多系統並存所需的互操作能力,以及多種資源管理能力;
C.對技術基礎架構進行規劃;
D.時刻關注技術的發展趨勢及其相關規則;
E.在技術飛速發展的情況下,儘量保證技術的基礎架構的連貫性;
F.注意平衡硬體和軟體採購;
G.注意技術的各種標準,儘量符合這些標準。
4.定義組織及其關係(Define the IT Organisation and Relationships)
A.實施IT規劃或是建立各種領導委員會;
B.確立IT功能中的組織定位;
C.審視企業已經取得的成績;
D.明確各自的職能與職責;
E.明確質量保障、邏輯與物理安全方面的職責;
F.確立所有權和管理人的職務;
G.確立數據和各個系統的所有權關係;
H.實施監控和職責劃分;
I.明確IT員工的工作和位置;
J.明確各個人員、部門之間的關係;
5.IT投資管理(Manage the IT Investment)
隨著企業信息化向縱深發展,IT投資越來越重要,因此要對IT投資實施有效的管理才能利企業IT治理。具體來說就是要做到:
A.每年都要進行IT操作預算;
B.對IT投資的成本和收益進行監控;
C.考察IT投資的成本和收益的正確性;
6.確立通信管理的目標和方向(Communicate Management Aims and Direction)
由於企業時刻處於現代化的網路環境,所以通信的好壞對於企業發展十分關鍵,因此在進行企業的組織和規劃時,一定要確立通信管理的目標和方向。具體來說就是要做到以下幾點:
A.為企業建立一個積極的信息控制環境;
B.明確企業方針中的管理職責;
C.在企業的政策中包括通訊方面的相關政策、通訊維護方面的政策以及協調各種通訊處理過程和標準的政策;
D.成立有關的通訊質量管理委員會;
E.指定有關安全和網際網路控制框架的政策;
F.明確智慧財產權;
G.對於一些特殊的問題也要制定有關的處理政策;
H.建立有關通訊的IT安全預警機制;
7.人力資源管理(Manage Human Resources)
企業人力資源的管理是企業管理的重要方面,主要包括:員工的招聘、培訓、升遷、儲備與精簡;如何提高員工的素質;不同部門員工的職責劃分;員工工作績效的評估、工作的終結與變更等方面。
8.保證規劃與外部需求的協調一致(Ensure Compliance with External Requirements)
首先要審視外部需求;然後,實施符合外部需求的實踐與處理過程,儘量使企業安全與人文環境協調一致,還要注意保證數據流和智慧財產權的合法權益;經常召開電子會議,集思廣益;最後還要作到儘量保證企業規劃與組織和保險契約協調一致。
9.資產風險(Assess Risks)
採用一定的評估方法和評價規則對對商業風險做出評估;然後制定風險行動計畫,成立應對企業風險的委員會,制定應對風險的備選方案,估計企業可以承受的各種風險。
10. 項目管理(Manage Projects)
制定項目管理框架,在項目的最初階段讓用戶部門也參與進來,規劃主項目計畫、系統質量保證計畫與方法,明確項目組成員的職責,制定培訓計畫、測試計畫和項目完成後的評審計畫,最終定義項目並使其獲得認可。
11. 質量管理(Manage Quality)
A.制定通用的質量管理規劃
B.選擇合理的質量保證方法
C.以符合IT標準和處理流程的質量保證為根本
D.採用生命周期的系統開發
E.對於現有技術的主要變革也採用生命周期的方法實施系統開發
F.即使更新系統開發的生命周期方法
G.注意協作與交流
H.為技術的基礎框架維護框架
J.明確與第三方執行者的關係
K.制定程式測試標準、系統測試標準、文檔生成標準
I.進行平行/引導測試
L.生成有關的系統測試文檔
M.進行符合開發標準的質量評估
N.進行是否符合IT目標的質量評估
O.制定質量規則
P.生成質量保證方面的審查報告
【(二)採集與實施(ACQUISITION & IMPLEMENTATION)】
1、確定自動化的解決方案(Identify Automated Solutions)
A.進行充分的系統需求分析
完成的系統分析必須滿足以下四個方面的要求:
首先是一致性,所有的需求必須是一致的,任何一條需求不能和其他需求相互矛盾;
其次是完整性,需求必須是完整的,規格說明書應該包括行使政府職責的每一個功能或性能;
再次是現實性,制定的需求應該是用現有的硬體技術和軟體技術可以實現的。對硬體技術的進步可以做些預測,對軟體技術的進步則很難做出預測,只能從現有技術水平出發判斷需求的現實性:
最後是有效性,需求必須確實能解決目前企業管理中面臨的問題。
B.研究各種解決方案的可行性
可行性研究實質上是在較高層次上以較抽象的方式進行系統分析和設計的過程,目的是以最小的代價,在儘可能短的時間內確定問題是否能夠解決。必須分析各種解決方案的利弊,從而判斷系統的建設目標和規模是否現實,系統完成後為企業帶來的社會效益和經濟效益是否大到值得開發。對每一種解決方案,至少應該從以下三方面研究其可行性:
(1)技術可行性:使用現有的技術能實現這個系統嗎?
(2)經濟可行性:實施該系統帶來的社會效益和經濟效益能超過它的開發成本嗎?
(3)操作可行性:系統的運作方式在目前企業的各部門中行得通嗎?
C.制定信息技術標準,建立項目實施規範
主要的信息和技術標準有:
(1)業務系統標準代碼體系、內部區域網路域名命名標準、廣域網域名命名標準、區域網路IP位址命名標準、廣域網IP位址命名標準。
(2)設計開發規範,包括設計開發過程涉及的全部標準規範主要有:業務流程設計規範、軟體設計規範、資料庫設計規範、用戶界面設計規範、用戶分類授權機制設計規範、程式異常出口統一處理規範。
(3)軟體開發規範,包括流程、測試、文檔等方面的規範。
D.確定開發模式和開發方法
2、收集和維護套用軟體(Acquire and Maintain Application Software)
首先,在確定開發方法的基礎上,生成需求定義的有關文檔。然後,確定設計方案,在該方案中要包括程式說明書、源數據的蒐集方法、接口定義、用戶界面定義、系統的輸入、輸出定義和相關文檔等系統開發的重要內容;接著,對設計方案的可控性、關鍵設計要素的實用性、是否能提供IT整合等方面進行評價;最後,在獲得通過的前提下,對現存系統進行大的調整與改變,並對該設計方案進行再一次的評價。
3、抓好基礎體系結構的建設(Acquire and Maintain Technology Infrastructure)
信息系統的體系結構對整個信息系統的建設具有基礎的重要性,因此企業的各個部門都要重視基礎體系結構的建設工作。具體就是:正確評價新的硬體和軟體;為硬體進行預防性質的維護工作;進行系統軟體的安裝、維護、安全性等方面的工作;對軟體的改變進行控制管理;使用和監控系統中的各種工具。
4、開發的實施與維護(Develop and Maintain Procedures)
了解用戶對操作的需求,根據服務層次的不同製作不同的操作手冊,並提供一定的培訓資料。
5、對系統實施安裝和授權(Install and Accredit Systems)
開發、測試新系統後進入安裝階段,這時要指定安裝實施計畫,注意系統之間的轉換、數據方面的轉換。安裝完畢後還要進行測試,起過程是:先制定測試策略和計畫,然後對新安裝的系統進行系統改變、系統安全、系統操作等方面的測試,具體測試時可以按照Parallel/Pilot的標準進行。最後當新系統通過測試後,從滿足用戶需求的角度對其進行評價,並總結。
6、對系統改變的管理(Manage Changes)
從一開始就要注重系統變革方面的要求,對變革造成的影響要有充分的評估,並實施必要的控制,生成有關文檔,進行一定的維護與管理。
【(三)發布與支持(DELIVERY & SUPPORT)】
1. 定義服務層次並對其實施管理
制訂服務層次框架,在框架中對於服務所涉及的各個方面、服務的處理流程、服務條款、服務的監控和有關報告的生成以及服務改進程式都要有明確的定義和說明。
2.管理好來自於第三方的服務
現代企業中有一些服務來自第三方,因此對第三方的服務也要實施良好的管理,具體就是要認真對待供應商所提供的第三方服務契約、外包契約;對於服務的所屬權、安全關係質量保證和服務的連貫性進行管理與監控。
3、對服務的性能進行管理
首先要明確服務服務性能的要求及其可行性,指定可行的計畫,對於資源的可用性和規劃作到心中有數;然後利用建模工具實施有效的資源管理、性能管理,進行監控並生成有關報告,同時對工作符合做出預測。
4.保證服務的連續性
制定IT連貫性框架、策略和所遵循的原則;明確保證IT連貫性的具體內容;儘量把IT連貫性的要求降至最低;還要對有關人員進行這方面的培訓。此外,系統需要具有高可靠性和高標準的故障恢復能力,因此要建立完善的備份系統。系統備份包括物理實體備份、通訊網路備份、數據備份和套用系統備份。一個完善的系統備份需要滿足以下八個原則:穩定性、全面性、自動化、高性能、安全性、操作簡單、實用性和容錯性。
5.保證系統的安全
系統安全是企業信息系統管理中十分重要的環節,為了作好這方面的工作,首先要對資源訪問進行授權和身份確認,進行數據分類,對可以線上訪問的數據做出有關規定;管理好用戶的賬戶,限制只有用戶可以控制其賬戶;制定安全管理的評價細則,實施安全監控,密碼管理,定期生成安全報告;限制管理許可權;建立突發事件的處理機制;對於惡意侵犯要有一定防範措施;建立公共網路的防火牆體系結構。
6. 明確地劃分成本
對可操控的成本做到心中有數,進行成本分配時按規定流程處理,注意用戶的反饋。
7. 對用戶實施培訓、教育
明確用戶對培訓的需求,制定有計畫的培訓方案,保持對培訓的敏感度,及時改進。
8.進行客戶援助活動
上門為客戶服務,細心分析客戶提出的各種情況,解決可以解決的各種問題。
9. 配置管理
記錄系統配置信息,明確係統配置基本要求和軟體說明,實施配置控制,進行軟體存儲,對於未經授權的軟體要有相應的處理措施。
10. 問題和突發事件的管理
建立問題管理系統,對問題進行跟蹤處理,對於突然事件和臨時性訪問採取授權措施,並劃分處理的優先權。
11. 數據管理
首先要作好數據的準備工作,建立源數據資源收集文檔,及時處理文檔中的和數據出入和處理過程中產生的錯誤,對這些文檔的處理、數據的輸入都要在授權的前提下進行,而且要進行數據的準確性、完整性和授權進行檢查。同時,對於數據輸出要進平衡與協調處理、錯誤處理、安全性檢查。在交易和事務處理中要注意保護敏感信息,保證電子事務的完整性和數據存儲的連貫性。此外,還要進行數據的存儲管理,建立管理系統的媒介庫,明確媒介庫職責,還要作好各種備份工作。
12. 設施管理
這裡提到的設施管理主要包括物理安全管理設施、IT站點低層框架、員工健康與安全、環境保護、能源供應等方面的各項設施的管理。
13. 操作管理
信息系統的運作與各種操作密不可分,所以操作管理也是發布與服務中很重要的環節之一。具體來說就是要建立操作過程及其指導手冊,書寫各種操作文檔,生成操作日誌,對工作安排要有規劃地按標準進行,儘量保證工作的連貫性,對於輸出設備要有相應的安全表格進行記錄,此外還要注重遠程操作的管理。
【(四)監控(MONITORING)】
信息系統發布、實施之後要想使其健康地運作一行要採取有效的監控手段對其進行監控,及時發現系統的漏洞、缺陷等問題才行。在COBIT標準中對於監控工作的實施制訂了如下規則:
1. 處理流程監控
對處理流程進行監控是監控中最基本的環節,具體來說,首先要收集各種監控數據,評價各種性能,然後對於用戶的滿意度進行評價,最後生成相應的管理報告。
2. 對內部控制實施適當的評價
對於企業內部的控制也要進行及時的、必要的監控,保證操作安全和內部控制的順利進行並生成有關報告。
3. 獲得獨立性的保證(Obtain Independent Assurance)
管理的獨立性涉及IT服務、第三方服務提供商的安全獨立性和內部控制的合格性鑑定等相關方面,為此,我們要對IT服務和第三方服務是否實現了有效的獨立性進行正確的評價,同時,還要在符合法律和有關法規的前提下確保IT服務和第三方服務的獨立性,實現獨立性的各項功能,並在其中包括審計的成分。
4. 為獨立審計提供必要的條件(Provide for Independent Audit)
內部信息系統審計部門,從組織地位上來講必須獨立於政府的IT職能部問和最終用戶部門。內部審計應遵循以下步驟:
首先確定待審計的信息系統的邊界和範圍,明確審計的目的;
其次,選擇適當的審計方法,如結果觀察法、類比一對比法、專家評價法或評分法等,確定適當的評估指標,
然後,收集有關數據、資料進行分析、計算,得出審計結果,並做出審計報告;
最後的審計報告不應該包含專業術語,以便企業管理層即使不懂信息系統也能理解審計報告,知道問題的所在,做出正確的決策。