《cobit与itil的相关研究以及两者间的区别和联系》由会员分享,可在线阅读,更多相关《cobit与itil的相关研究以及两者间的区别和联系(22页珍藏版)》请在金锄头文库上搜索。
1、COBIT与ITIL的相关研究以及两者间的区别和联系 COBIT与ITIL的相关研究以及两者间的区别和联系提交日期:2008年7月14日拷贝份数:*1. 文档控制文档更新记录日期更新人版本备注2008/07/14填写文档作者易仁南文档审核记录日期审核人职务备注Approved文档去向记录拷贝份数接受人职务备注目 录1.文档控制22.文档说明43.COBIT的相关研究53.1.COBIT是什么53.2.COBIT的发展历程53.3.COBIT的基本概念53.4.COBIT的控制目标83.5.COBIT的用途83.6.COBIT的主要服务对象83.7.COBIT的业务需求93.8.COBIT的优点
2、93.8.1.从COBIT自身的特点而言,它具有以下优点:93.8.2.从COBIT对企业的作用而言,COBIT的优点主要如下:103.9.COBIT的不足103.10.COBIT产品的分类104.ITIL的相关研究124.1.ITIL是什么124.2.ITIL的发展历程124.3.ITIL的目标124.4.ITIL的框架体系124.5.ITIL的十大流程134.6.服务支持方面的问题154.7.ITIL的特点154.8.附录ITIL服务支持管理的流程165.COBIT与ITIL的联系与区别215.1.COBIT与ITIL的区别215.2.COBIT与ITIL的联系222. 文档说明文档说明。
3、3. COBIT的相关研究3.1. COBIT是什么COBIT是Controlled Objectives for Information and Related Technology的缩写,即信息及相关技术的控制目标。COBIT是 ISACA(信息系统审计和控制联合会)制订的面向过程的信息系统审计和评价的标准。对信息化建设成果的评价,按照系统属性可以划分为若干方面,如:对最终成果评价、对建设过程评价、对系统架构评价等。COBIT是一个基于IT治理概念的、面向IT建设过程的IT治理实现指南和审计标准。COBIT的意义在于它是企业战略目标和信息技术战略目标的桥梁,使得信息技术目标和企业战略目标之
4、间实现互动。3.2. COBIT的发展历程ISACA于1996年发表了COBIT的第一版,1998年修订后发表第二版。2001年发布第三版。从第三版起引入了新的主要出版商IT治理研究所(IT Governance Institute,IT治理研究所是1998年由信息系统审计与控制协会及其基金会合并而成的,旨在促进IT治理原则的推广和应用)。2005年12月16日,IT治理学会(ITGI)发表了COBIT 4.0版。2007年5月8日,IT治理研究所(ITGI)宣布发行COBIT 4.1版,COBIT 4.1的更新包括提高了性能测量、改善了控制目标并且对商业和IT目标有了更好的定位。3.3. C
5、OBIT的基本概念COBIT所提出基本概念是:IT治理的模型、IT治理的过程、成熟度级别、控制目标、关键目标指示(KGI)、关键性能指示(KPI)、重要成功因素(CSF)等。COBIT认为信息化建设就是借助“IT资源”,通过管理活动(activities),将输入的“事件”转换为“信息”。IT治理就是对这个控制、转换过程进行管理和控制。COBIT将“信息”的特性划分为:效果、效率、机密性、完整性、适用性、遵从性(即遵守有关的法律法规、规章制度)、可靠性等七个属性,将“IT资源”划分为:技术、应用、人员、设施、数据。信息及资源的关系见图1。从图1我们可以看到,IT资源是将事件转换为信息的装置,C
6、OBIT将这个装置形象地描述为一个圆柱体,圆柱体的核心是数据,数据外围包裹着由“技术”、“(IT)设施”、“人员”组成竖井,竖井外包围的是“应用(系统)”。IT治理模型COBIT采用关键目标指示KGI(Key Goal Indicators)表达一个过程要达到哪些指标,KGI可以与著名的绩效考核方法“平衡记分法”中的绩效指标相关联。为了衡量每个过程在“多大程度”上达到了KGI,COBIT设置了 “关键性能指示(KPI)”(Key Performance Indicators)。COBIT将IT治理过程划分为34个过程,为每个过程给出了为了实现KGI必须完成的一系列重要工作 - “重要成功因素C
7、SF”(Critical Success Factors)。而每个过程达到的关键性能指示(KPI)的程度则用六个成熟度级别来表示,它们是:0-混沌(根本不存在)、1-初始级;2-可重复级、3-可定义级、4-可管理级、5-优化级。COBIT将IT治理过程划分为34个过程,划分为四个域:计划和组织(Planning and Organization)、获取和实施(Acquisition & Implementation)、交付和支持(Delivery and Support)、监视(Monitoring)。所有的过程中又包含了318个控制目标,全都提供了最佳的施行指导。通过这34个高级控制目标,可
8、以为IT环境提供充分的控制系统。(1)过程域“计划和组织”包括:PO1-IT战略规划确定、PO2-信息结构确定、PO3-技术方向确定、PO4-IT组织及关系确定、PO5-IT投资管理、PO6-沟通管理的目标和方向、PO7-人力资源管理、PO8-遵守外部要求的保证、PO9-风险评估、PO10-项目管理、PO11-质量管理。(2)过程域“获取和实施”包含:AI1-自动解决方案的识别、AI2-应用软件的获取和维护、AI3-技术设施的获取和维护、AI4-开发和维护程序、AI5-安装和授权系统、AI6-变更管理。(3(过程域“交付和支持”包括:DS1-服务水平定义及管理、DS2-第三方服务管理、DS3-
9、性能和容量管理、DS4-不间断服务保证、DS5-系统安全保证、DS6-成本的识别和分配、DS7-用户教育和培训、DS8-对客户的协助和建议、DS9-配置管理、DS10-问题和意外事件管理、DS11-数据管理、DS12-设施管理、DS13-运行管理。(4)过程域“监视”则包含了:M1-监视过程、M2-评估内部控制充分性、M3-获得独立保证、M4-提供独立审计。 COBIT的34个IT过程IT治理COBIT模型框架COBIT将IT过程,IT资源与企业的策略与目标(准则)联系起来,形成一个三维的体系结构。 (1)IT准则维集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性
10、、完整性、可用性等方面来保证信息的安全性、可靠性、有效性; (2)IT资源主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是IT治理过程的主要对象; (3)IT过程维则是在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术 I规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。 COBIT的三维框架3.4. COBIT的控制目标 (1)有效性(Effectiveness)是指信息与商业过程相关,并以及时、准确、一致和可行的方式传送。(2)高效性(Efficiency)关于
11、如何最佳(最高产和最经济)利用资源来提供信息。(3)机密性(Confidentiality)涉及对敏感信息的保护,以防止未经授权的披露(4)完整性(Integrity)涉及信息的精确性和完全性,以及与商业评价和期望相一致 。(5)可用性(Availability)指在现在和将来的商业处理需求中,信息是可用的。还指对必要的资源和相关性能的维护。(6)符合性(Compliance)遵守商业运作过程中必须遵守的法律、法规和契约条款,如外部强制商业标准。(7)信息可靠性(Reliability of Information)为管理者的日常经营管理以及履行财务报告责任提供适当的信息。3.5. COBIT
12、的用途 作为IT治理的核心模型; 作为“审计 ”信息系统的标准; 作为指导信息化建设行动。COBIT型是企业战略目标和信息技术战略目标的桥梁,使得信息技术目标和企业战略目标之间实现互动。该框架的意义在于:COBIT实现了企业目标与IT治理目标之间的桥梁作用。首先,COBIT考虑了企业自身的战略规划,对业务环境和企业总的业务战略进行分析定位,并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境,并由此确定IT准则。IT为企业战略提供了基于技术的解决方案,为满足业务战略需求提供了技术与工具。在IT准则的指导下,利用控制目标模型,分别从规划与组织、获取与实施、交付与支持、监控等过程进行控制
13、、管理信息资源。在IT管理的同时,引入审计指南,从而保证IT资源管理的安全性、可靠性和有效性。COBIT实现可跟踪的业绩衡量,通过平衡记分卡可以在财务(企业资源管理)、客户(客户关系管理)、过程(内部网,工作流工具)、学习(知识管理)等方面维持平衡,评价企业目标的实现情况以及IT绩效,并调整业务目标和IT战略,进行持续的IT管理。COBIT采用成熟度模型,可以定位自己企业的IT管理目前在业界所处的位置,以及未来努力的方向,通俗地说就是给IT管理“打分”。COBIT还提供了目前最佳案例和关键成功因素(CSF),供企业和组织借鉴。从内容上看,COBIT覆盖了从分析设计到开发实施到运营、维护的整个过
14、程。对于分析设计,重点目标是IT与业务的需求,根据业务目标细化IT战略,确定待开放的IT系统,进行相应的系统分析和设计。在分析与设计这样一个流程范围中,比我们传统所说的信息系统的分析与设计要宽广得多,它强调的是 IT的战略要符合业务的战略,任何信息系统的开发都应该与业务战略保持精确的校准。从业务战略的高度来分析和设计信息系统。提供这个阶段主要是考察组织的需求,同时根据这些需求设计合理的资源组合,设立合理的服务级别、目标,提供满足客户需求的IT服务。这个阶段对IT应用已上升到IT服务管理的阶段。主要解决下面的问题:为满足客户的需要提供哪些资源,这些资源之间的成本是多少,如何在服务成本和服务的效益间达到一个恰当的平衡点。在支持这个层面,主要是如何满足客户提出的IT需求,以支持服务的需求。 COBIT上层是对IT运行进行外部控制和内部审计,以确保IT与业务实现精确校准,同时实现对IT应用持续不断的应用和改进。COBIT覆盖整个信息系统的全部生命周期,其视野是最为开阔的。 通过实施COBIT,增加了管理层对控制的感知及支持。 COBIT使IT管理工作简易并量化,减轻对复杂信息系统管理工作的难度,并且可以应用在每天都在发生的各种新问题中。 COBIT提供了一种国际通用的IT管理及问题解决方案 。 COBIT有助于提高信息系统审计师的影响力。 COBIT框架可以帮助决定过程责任,提高IT治理
