COBIT
一款信息系統審計軟體
徠COBIT(Control Objectives for Information and related Technology)是目前國際上通用的信息系統審計的標準,由信息系統審計與控制協會(ISACA)在1996年公布。這是一個在國際上公認的、權威的安全與信息技術管理和控制的標準,目前已經更新至COBIT2019版。它在商業風險、控制需要和技術問題之間架起了一座橋樑,以滿足管理的多方面需要。該標準體系已在世界一百多個國家的重要組織與企業中運用,指導這些組織有效利用信息資源,有效地管理與信息相關的風險。
COBIT是ControlledObjectivesforInformationandRelatedTechnology的縮寫,即信息及相關技術的控制目標。COBIT是ISACA(信息系統審計和控制聯合會)制訂的面向過程的信息系統審計和評價的標準。對信息化建設成果的評價,按照系統屬性可以劃分為若干方面,如:對最終成果評價、對建設過程評價、對系統架構評價等。COBIT是一個基於IT治理概念的、面向IT建設過程的IT治理實現指南和審計標準。
COBIT5為企業IT治理和管理提供的新一代指引,是以來自商務、IT、風險、安全和鑒證團體的眾多企業和用戶對 COBIT超過15年的實際使用和應用為依據而構建的,COBIT5提供一種全面的框架,以支持企業實現其企業IT治理和管理的目標。簡而言之,就是幫助企業通過維持實現利益、優化風險等級及資源利用之間的平衡,從而創造源自於IT的最佳價值。COBIT5能夠為整個企業使IT在整體上得以治理和管理,並承擔整個端到端業務和IT功能區域的責任,同時兼顧內外部利益相關者與IT相關的利益。COBIT5通用和實用於各種規模的機構,無論是商務、非營利、或公共機構。
技術資源
數據(Data)——指最廣義(例如,表面的和內在的)的對象,包括結構化和非結構化、圖表、聲音等等。
應用系統(ApplicationSystems)——人工程序和電腦程序的總和。
徠技術(Technology)——包括硬體、操作系統、資料庫管理系統、網路、多媒體等等。
設備(Facilities)——用來存放和支持信息系統的一切資源。
人員(People)——包括用來計劃、組織、獲取、傳送、支持和監控信息系統和服務所需要的人員技能、意識和生產力。
控制目標
COBIT信息技術的控制目標
(1)有效性(Effectiveness)——是指信息與商業過程相關,並以及時、準確、一致和可行的方式傳送。
(2)高效性(Efficiency)——關於如何最佳(最高產和最經濟)利用資源來提供信息。
(3)機密性(Confidentiality)——涉及對敏感信息的保護,以防止未經授權的披露
(4)完整性(Integrity)——涉及信息的精確性和完全性,以及與商業評價和期望相一致
(5)可用性(Availability)——指在商業處理需求中,信息是可用的。還指對必要的資源和相關性能的維護。
(6)符合性(Compliance)——遵守商業運作過程中必須遵守的法律、法規和契約條款,如外部強制商業標準。
(7)信息可靠性(ReliabilityofInformation)——為管理者的日常經營管理以及履行財務報告責任提供適當的信息。
優點
COBIT是一個非常有用的工具,也非常易於理解和實施,可以幫助企業在管理層、IT與審計之間交流的鴻溝上搭建橋樑,提供了彼此溝通的共同語言。幾乎每個機構都可以從COBIT中獲益,來決定基於IT過程及他們所支持的商業功能的合理控制。當我們知道這些業務功能是什麼,其對企業的影響到什麼程度時,就能對這些事件進行良好的分類。所有的信息系統審計、控制及安全專業人員應該考慮採用COBIT原則。
通過實施COBIT,增加了管理層對控制的感知及支持。COBIT幫助管理層懂得如何控制影響、業務功能。COBIT提供的實施工具集包括優秀的案例資料(提供模板業務過程,使得優秀範例能夠迅速移植),有助於向管理層很好地表述IT管理概念。管理層在基於最佳控制實踐基礎上做出正確決策的能力亦得到了提高。
COBIT使IT管理工作簡易並量化,減輕對複雜信息系統管理工作的難度。對於那些不具有廣博IT知識的人來講,是一個認清信息技術的有價值的工具。它也使得信息系統審計師具有與IT專業人員相同的專業廣度,並且可以詢問IT工程相關的問題。
COBIT提供了一種國際通用的IT管理及問題解決方案,普遍適用於各種不同的業務項目和審計,並且既包容了當前的情況,也提供將來可能會使用到的指導方針。
COBIT有助於提高信息系統審計師的影響力,依據COBIT出具的信息系統審計報告,更容易得到管理層的肯定。
COBIT框架可以能夠幫助決定過程責任,提高IT治理水平。通過應用該框架進行責任分析,可以做到基於角色的IT管理,定義過程措施,確保客戶利益。
總之,COBIT模型實現了企業戰略與IT戰略的互動,並形成持續改進的良性循環機制,為企業提供了具有一定參考價值的解決方案。因此,針對我國信息化存在的問題,借鑒COBIT的IT治理思想和框架,科學、系統地對信息及相關技術進行管理,逐步試行建立IT治理機制,對推動我國信息技術的發展和應用具有十分重要的現實意義。
意義
COBIT將IT過程,IT資源與企業的策略與目標(準則)聯繫起來,形成一個三維的體系結構。
(1)IT準則維集中反映了企業的戰略目標,主要從質量、成本、時間、資源利用率、系統效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性;
(2)IT資源主要包括以人、應用系統、技術、設施及數據在內的信息相關的資源,這是IT治理過程的主要對象;
(3)IT過程維則是在IT準則的指導下,對信息及相關資源進行規劃與處理,從信息技術I規劃與組織、採集與實施、交付與支持、監控等四個方面確定了34個信息技術處理過程,每個處理過程還包括更加詳細的控制目標和審計方針對IT處理過程進行評估。
COBIT有過五個主要版本:
1996年,第一版推出
1998年,第二版推出,包括了“管理指南”
2000年,第三版推出。2003年,此版本可以從網上獲得。
2005年12月,第四版首次推出。2007年5月,發行其修訂版COBIT4.1
2012年6月,COBIT5發行。它鞏固並集合了COBIT4.1,ValIT2.0和RISKIT框架,同時從BMIS和ITAF中汲取了部分內容。
COBIT框架能將IT和業務匹配,有利於災難恢復。以下是根據COBIT做出的災難恢復的要點:
用於災難恢復計劃
IT持續性管理的重要性
為了基於業務需求做好災難恢復計劃,每個企業都得有組織地策劃,包括持續性管理、災難恢復投入力、替代物和關鍵資源識別的組織結構。COBIT框架中的Deliverandsupport(DS)4.1強調災難恢復計劃中的企業級持續性管理。根據COBIT框架的DS4.4,災難恢復計劃的維護包括根據業務需求升級。為災難恢復計劃繪製COBIT框架,有利於確保企業能否恢復到業務的正常點。
單獨持續性的需求
對於組織來說,大型的單獨持續性和恢復計劃是一項管理的挑戰。而基於風險的業務評估會幫助你識別哪些區域需要獨立的災難恢復計劃。根據COBIT中的DS4.2,你必須分析風險評估,確保你的計劃設計是基於一個能夠最小化中斷業務操作影響的框架。在為災難恢復計劃繪製COBIT框架,這一點要一直記住。
彈性、恢復和優先順序
業務需求、災難影響以及業務進度危機程度的評估都需要一起考慮,DS4.3能幫助你執行基於風險和影響的優先順序分析,以做出災難恢復的合理策略。
使用在DS4.2中推薦的基於風險的分析方法,企業的災難恢復計劃必須保證彈性需求,還有可替換的恢復處理方法。
保證不同時間段的責任
COBIT框架通過DS4.3,說明災難恢復計劃必須經過合適的設計,基於時刻。責任時間應該基於工作和非工作時段來區別,還要考慮工作、升級和同步時間。
關注常規測試和訓練
DS4.5強調常規測試,它保證災難恢復的每一步是有效的。DS4.6強調了所有的利益相關者和用戶必須經歷常規訓練,參加演習。通過這些學到的知識用在你的策略和流程優化中,升級災難恢復計劃。這也是COBIT非常重要的一點。
災難恢復計劃的準備
把災難恢復計劃合理安全地分配很重要。DS4.7認為災難恢復計劃對於所有授權的人員,應該輕鬆實現可用,還需要分配給安全主管。
DS4.8強調了解業務和資金支持對於災難恢復計劃的重要性。持續性和災難恢復計劃必須有購入的環節,不管是投入時間還是金錢都得有。
策劃恢復和重啟的環節
DS4.8指引了在恢復和重啟過程中的備份恢復和可替代步驟。IT團隊和業務所有者必須成為決定存儲需求和鑒別關鍵資產的一份子,然後把它們備份到離線區域。DS4.9提供了對於所有關鍵介質、文件材料和所需資源的最佳實踐前景。
計劃的常規管理評估
當為災難恢復計劃做好COBIT框架之後,必要的一步是進行常規管理評估。COBIT框架在DS4.10中詳細描述了所有利益相關者需要定期評估的計劃需求,以及與業務和風險評估相關的信息。