COBIT要点.ppt
- 文档编号:1387179
- 上传时间:2022-10-21
- 格式:PPT
- 页数:56
- 大小:563KB
COBIT要点.ppt
《COBIT要点.ppt》由会员分享,可在线阅读,更多相关《COBIT要点.ppt(56页珍藏版)》请在冰豆网上搜索。
0,COBIT信息及相关技术的控制目标,COBIT已经成为国际普遍认同的IT治理和控制最佳实践,它通过四个管理控制域,34个流程/控制目标提供了一个可执行的、逻辑性强的管理控制结构。
95%以上的参与者使用过一种主要的IT治理框架。
少数参与者使用他们自己的框架(或者是咨询顾问帮助定义的框架)。
这些主要的框架包括:
CobiT:
占所有使用的框架的63%来源:
PWC2005,0,1,COBIT:
前提,COBIT框架所基于的前提是IT需要为企业达成其目标提供所需要的信息。
COBIT框架专注于业务对信息的需求并组织IT资源,以此来帮助IT与业务保持一致。
COBIT为实施IT治理提供了一个框架及指南。
1,2,COBIT:
原则,COBIT框架的原则是将管理层对IT的期望与IT职责联系在一起。
其目标是协助IT治理在提供IT价值的同时管理IT风险。
2,3,COBIT框架,作为一个IT的控制和治理框架,COBIT关注于以下两个关键点:
提供所需要的信息以支持业务目标和需求根据IT流程所管理的IT相关资源及应用对信息进行处理,3,4,组织会考虑并使用多种IT模型、标准,以及最佳实践,此外需要对它们进行认真理解,以考虑如何将其与COBIT进行无缝连接。
COBIT,ISO9000,ISO17799,ITIL,COSO,做什么,怎么做,COBIT及其他IT管理框架,覆盖范围,4,5,绩效:
业务目标,合规性:
BaselII,Sarbanes-OxleyAct,etc.,企业治理,IT治理,ISO9001:
2000,ISO17799,ISO20000,最佳实践标准,质量保证步骤,流程和步骤,驱动,COBIT,COSO,安全原则,ITIL,平衡计分卡,COBIT适用于何处?
5,6,业务目标和治理目标,效率,应用信息基础架构人,提供和支持,监控和评估,获取和实施,信息,IT资源,COBIT框架,有效性,保密性,完整性,可用性,合规性,DS1服务级别定义及管理DS2第三方服务管理DS3性能和能力管理DS4连续服务保障DS5系统安全保障DS6成本识别及分配DS7用户教育及培训.DS8服务台和突发事件管理DS9配置管理DS10问题管理DS11数据管理DS12物理环境管理DS13操作管理,ME1监控与评价IT性能ME2监控与评价内部控制ME3确保与法律的符合性ME4提供IT治理,PO1制定IT战略计划PO2确定信息架构.PO3确定技术方向.PO4定义IT流程、组织和关系.PO5IT投资管理.PO6沟通管理目标和方向PO7IT人力资源管理PO8质量管理PO9IT风险评估和管理.PO10项目管理,AI1识别解决方案.AI2获取与维护应用软件AI3获取与维护技术架构AI4运营与使用能力保障AI5获取IT资源AI6变更管理AI7变更及方案的部署和授权,计划和组织,可靠性,COBIT框架,6,7,COBIT模型:
IT域,计划与组织(PO)目标:
指明战略和战术识别如何使IT为业务目标的达成作出最大的贡献计划、沟通和管理战略目标的实现实施组织和技术架构范围:
IT与业务在战略上是否一致?
企业对资源的利用是否合理?
是否所有的员工都理解IT目标?
是否所有的风险都被理解并管理?
IT系统质量是否满足业务需求?
IT和业务,7,8,COBIT模型:
IT域(续),8,9,COBIT模型:
IT域(续),获取与实施(AI)目标:
识别、制定或获取、实施并整合IT方案现有系统的变更与维护范围:
新项目提供的解决方案是否满足业务需求提供?
新项目是否能在预算范围内及时提供?
新项目实施后是否能正常工作?
变更是否能够不影响当前的业务运营?
9,10,COBIT模型:
IT域(续),10,11,COBIT模型:
IT域(续),提供与支持(DS)目标:
所请求服务的实际提供结果,包括服务提供过程安全、连续性、数据和运营设施管理对用户的服务支持范围:
IT服务提供是否与业务优先级相匹配?
IT成本是否最优?
员工是否能安全有效的使用IT系统?
是否能保障机密性、完整性和可用性?
11,12,COBIT模型:
IT域(续),12,13,COBIT模型:
IT域(续),监控与评价(ME)目标:
性能管理监控内部控制调整一致治理范围:
IT性能是否被衡量,从而使问题在造成影响前被监测出来?
管理是否能保证内部控制的有效和高效?
IT性能是否与业务目标相关联?
风险、控制、一致性和绩效是否被衡量并报告?
13,14,COBIT模型:
IT域(续),14,15,IT治理路线图,15,16,IT治理工具,16,17,COBIT架构,17,18,计划与组织,18,19,PO1制定IT战略计划,IT战略计划用于管理并指导所有的IT资源与业务战略及优先级一致,IT职能部门和业务利益相关者负责保证通过项目和服务投资组合实现价值最大化。
战略计划有助于主要利益相关者理解IT优势和限制、评估当前性能、识别能力和人力资源需求,并说明所需要的投资水平。
业务战略和优先级反映于投资组合中并在IT战术计划中执行,描述了同时符合业务和IT需求的总体目标、行动计划和任务。
19,20,PO2确定信息架构,信息系统职能部门负责建立并定期更新业务信息模式和定义合适的系统以使信息利用最优化。
它包括根据组织的数据语法规则、数据分类规则和安全等级定义相应的数据字典。
该流程通过确保提供可靠、安全的信息以提高管理决策质量,同时它能够合理地匹配系统资源与业务战略。
该IT流程增强了数据完整性和安全性保障,并加强了对应用和实体的信息共享的控制及有效性。
20,21,PO3确定技术导向,信息服务职能部门负责确定支持业务的技术导向。
这要求建立一个技术架构计划和架构委员会,用于确立与管理明确的并可实现的技术期望,这种技术期望可以从产品、服务和交付机制三个方面来考虑。
技术架构计划应包括系统架构、技术导向、获取计划、标准、转移策略以及意外,并需要定期更新。
这能够保证对竞争环境的变化及时作出响应,形成信息系统人员及投资的规模经济,并改善应用和平台的交互性。
21,22,PO4定义IT流程、组织和关系,IT组织的建立必须考虑人员、技能、职能、问责性、职权、角色及职责、监管的需求。
应将组织嵌入IT流程框架中,以确保透明度和控制,该框架也包含组织高层和业务管理。
战略委员会负责关注IT整体概况,由业务部门和IT人员构成的一个或多个指导委员会负责根据业务需求确定IT资源优先级。
应为所有的职能部门建立流程、管理策略和步骤,尤其需要关注控制、质量保障、风险管理、信息安全、数据和系统所有权,以及职责分离。
为了保证能够及时支持业务需求,IT应包括在相关的决策流程中。
22,23,PO5IT投资管理,应建立并维护一个管理IT投资项目的框架,这个框架包括成本、收益、预算优先级、正式的预算流程以及预算管理。
利益相关者要结合IT战略和战术计划识别和控制总成本和收益,并根据需要采取合适的行动。
这个流程关注IT与业务利益相关者之间的关系,使IT资源使用有效且高效,并提供整体拥有成本的透明度以及相应的权责,实现商业利益和IT投资的投资回报率。
23,24,PO6沟通管理目标和方向,管理者应制定企业的IT控制框架并定义、沟通策略。
应实施持续的沟通来传达管理者批准并支持的使命、服务目标、策略和步骤等。
沟通可以支持IT目标的实现,并确保员工熟悉并理解业务和IT风险、目标以及方向。
该流程应保证与相关的法律法规一致。
24,25,PO7IT人力资源管理,为业务进行IT服务的创建和交付需要人员的保障。
为实现上述目标,应制定并遵循相关的流程,包括招聘、培训、绩效评估、晋升和离职。
这个流程很重要,因为人是重要的资产,企业治理和内部环境控制在很大程度上依赖于人员的激励和能力。
25,26,PO8ManageQualityPO8质量管理,应建立并维护质量管理体系(QMS),QMS包括流程和标准的开发和获取。
质量管理是通过提供明确的质量需求、步骤和策略来策划、实施和维护QMS进而实现保障。
质量需求应以量化的和可达到的指标存在和沟通。
通过持续的监控、分析和纠正偏差来实现持续改进,并将结果报告给利益相关者。
质量管理本质上是保证IT为业务提供价值、持续改进,并为利益相关者实现透明化。
26,27,PO9IT风险评估和管理,应创建并维护风险管理框架,该框架描述了一个通用并约定的IT风险等级、缓释策略和剩余风险。
应识别、分析并评估意外事故对组织目标的潜在影响,采用风险缓释策略来最小化剩余风险使将其降低到可接受的水平。
风险评估结果应被利益相关者理解,并采用财务术语来表达,以使利益相关者能够对风险进行调控至可接受的水平。
27,28,PO10项目管理,为了协调项目并合理安排项目优先级,需要建立项目群和项目管理框架对所有IT项目进行管理。
为确保项目风险管理的实施并为业务提供价值,该框架应包括:
总体规划、资源分配、交付物定义、用户批准、阶段性交付方法、质量保证、正式测试计划、测试及实施后评审。
该方法减少了非预期的费用支出和项目取消的风险,改善了业务部门和最终用户的交流和参与,确保项目交付物的价值和质量,同时也使IT投资项目的回报最大化。
28,29,获取与实施,29,30,AI1定义软件解决方案,为了有效并高效地满足业务需求,在获取或开发新应用或新功能之前,需要对新的应用或者新的需求功能进行分析。
该流程包括需求定义、备选资源的考虑、技术和经济可行性评估、风险分析和成本收益分析,最后作出“生产”或“购买”决定。
所有这些步骤都是为了确保组织在达到业务目标的同时,使获取和实施解决方案的费用最小。
30,31,AI2获取与维护应用软件,应用必须在与业务需求一致的情况下可用。
该流程包括应用设计、应用控制和安全要求的相关内容,以及根据标准进行开发和配置。
合理地使用自动化应用系统使组织有能力支持业务的正常运营。
31,32,AI3获取与维护技术架构,组织应建立对技术架构进行获取、实施和升级的流程。
这就需要一种方法来获取、维护和保护技术架构与定义的技术策略、测试环境相一致。
它确保能够为业务应用提供持续的技术支持。
32,33,AI4保障运营与使用,新系统的相关知识必须可用。
该流程要求为客户和IT人员制定文件和手册,并提供培训,以确保应用和基础设施的正确使用和运营。
33,34,AI5获取IT资源,为获取包括人员、硬件、软件和服务在内的IT资源,需要定义并执行采购、供应商选择、合同管理以及实施本身,确保组织获取所需的IT资源及时并最具成本效益。
34,35,AI6变更管理,所有变更,包括生产环境中设施和应用的应急维护及打补丁,必须以受控的方式管理。
在实施变更及根据预期结果回顾变更之前,必须对变更(包括程序、流程、系统和服务参数)进行记录、评估和授权,以降低对存在对生产环境稳定性、完整性的负面影响的风险。
35,36,AI7变更及方案的部署和授权,要确保新系统开发完成后可运营,需要使用相关的测试数据在专门的测试环境中进行测试、定义上线和移植指令、计划发布、运行以及实施后回顾,确保运营系统与期望及预期结果相一致。
36,37,DeliverAndSupport提供与支持,37,38,DS1服务级别定义及管理,IT管理者和业务客户之间关于所需服务的有效沟通是能够通过书面的定义和IT服务及服务水平的协议来约束的。
此流程也包括对所达到的服务水平进行监控并及时向利益相关者报告。
此流程也能够保证IT服务可以满足相关业务需求。
38,39,DS2第三方服务管理,为了保证由第三方提供的服务符合业务需求,组织需要建立有效的第三者管理流程。
这个流程包括在第三方协议中清楚地定义角色、职责和期望,同时还包括保证有效性和一致性定期检查和监控。
有效的管理第三方服务能够使与不履行职责的供应商相关的业务风险降到最低。
39,40,DS3性能及能力管理,为了管理IT资源的性能和能力,组织需要建立一个流程周期性地检查现有的IT资源的性能和能力。
此流程包括基于工作量、存储
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- COBIT 要点