深蓝海域KMPRO

IT治理的利器之一:COBIT(上)

2007-09-26 00:00

从经济学意义上来说,客户愿意为任何满足自己需求的产品和服务付费,这个无须怀疑。需要怀疑的倒应该是这个问题:厂商以“自己的标准”为用户提供的所谓“服务”,能否让用户认为“物有所值”?

  是否“物有所值”,买家和卖家各自的感受会有差异,因此一个标准作为度量的尺度就成了人们关注的焦点。

  为了建立这个公正的尺度,美国信息系统审计与控制协会(ISACA)从1967年成立伊始,就开始研究这个问题,提出了“信息系统和技术控制目标”(COBIT)。COBIT,直译为信息及相关技术的控制目标,是IT治理的一个开放性标准,目前已成为国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准,以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。

  以下是PWC的COBIT原理图:

  从上图中可以看出,COBIT完全基于IT,其IT准则反映了企业的战略目标,IT资源包括人、系统、数据等相关资源,IT管理则是在IT准则指导下对IT资源进行规划处理。COBIT在PO、AI、DS、M四个方面确定了34个处理过程以及318个详细控制目标。此外对每个过程还有评审工具。下表是COBIT的34个处理过程:

 

相关推荐