《COBIT&ITIL介绍》由会员分享,可在线阅读,更多相关《COBIT&ITIL介绍(16页珍藏版)》请在金锄头文库上搜索。
1、COBIT和和ITIL介绍介绍引子引子-IT审计审计&风险控制风险控制国际:萨班斯法案 404条款 (SOX) 国内:行业风险控制和监管政策公司治理风险控制IT审计IT管理面临的挑战管理面临的挑战IT管理面临的挑战IT基础设施环境异构业务应用纷繁复杂日益提升的可用性,可靠性紧迫的合规性etc.如何应用最佳如何应用最佳IT管理实践管理实践最佳IT管理实践的目的成熟的方法论规程化的指引和向导ITIL, Cobit etc.如何应用最佳IT管理实践基于业务的分析基于IT管理的权重参考基于管理模式基于人引入最佳IT管理实践组织结构重塑业务流程再造基础信息系统的符合性加入变更控制加入变更控制基础设施的复
2、杂性扩大了变更操作的影响域IT组织机构的职责:让这些具有复杂架构的“系统之上的系统”能够协调一致的工作每一个“服务”都需要系统具备一个详尽的、完整的“层次架构”的概念每一系统的独特的行为和状态都可以通过多重元素来进行判断复杂性的意义表现为发生在IT基础设施上的变更操作可能会潜在的影响商业操作的每一个部分,并对企业造成不同程度的威胁数据正在受到威胁扰乱带来收益的部门的服务表现为协调需求时破坏了合规性加入变更控制加入变更控制目的和意义变更操作必须处于控制中,这样可以减少IT在合规性、服务质量和安全状况等方面固有的威胁国际和国内的法规要求:Sox Act, GLBA, HIPPA, CISP, HS
3、E etc.变更操作管理流程的开展是控制形式之一,最佳实践的重要组成ITIL: Change ManagementCobit定义企业机构的变更管理操作流程系统管理技术、工具、程式和策略的共同协作如果推进变更管理策略不力,我们会面对:控制不力会导致不可信的审计裁决、潜在的问题、和其他的不规范的事件行为为审计花费高昂费用且困难重重服务质量的下降,计划外工作,由于未经授权和无文案备录的变更操作引发的延迟交付战略项目方案无法判断系统的安全性、数据的完整性,危险性增加效益效益加强变更管理 通过审计通过审计. .证实控制流程确实存在并且有效控制住日趋攀升的审计开销 减少计划外工作减少计划外工作. .IT服
4、务关键业务的可控实效性新项目的及时交付 确保完整性确保完整性. .无论来自外部或者内部的攻击威胁,都要确保IT资产和机密信息受到保护COBITControl Objectives for Information and related TechnologyCOBIT是一个在国际上得到公认的、先进的和权威的安全与信息技术管理和控制标准,它在业务风险、控制需要和技术问题之间架起了一座桥梁,它可以辅助管理层进行IT 治理,指导组织有效利用信息资源,有效地管理与信息相关的风险。面向业务是COBIT的主题,它不仅是为用户和审计师而设计,而且更重要的是它可以作为管理者及业务过程的所有者的综合指南。 COB
5、IT真正关注的问题是,企业是否具备适当的控制力,以确保符合相关的管理规定。它帮助企业确定他们是否正在做他们表示要做的事,以及他们是否可以证明这一点 CoBIT历史历史COBIT第一版由信息系统审计与控制基金会(ISACF)于1996年发布。COBIT第二版于1998年出版,修订了高层控制目标与详细控制目标,增加了实施工具集(Implementation Tool Set)信息系统审计与控制协会(ISACA)及其相关的基金会在1998年创立 IT治理研究院(ITGI),由ITGI制定并发布了COBIT第三版,加入了管理指南,以及扩展和加强了对IT治理的关注;COBIT基于ISACF的建立的IT控
6、制目标,参照了其他控制框架、行业标准; ITGI于2005年底发布了COBIT第四版,这一版对IT某些过程进行了调整,强调了IT控制与IT治理五个领域的对应关系。CoBit框架模型框架模型CoBit框架模型(续)框架模型(续)Cobit可细化为34项高层控制目标,318个细化控制目标。每个目标都针对特定的IT过程;这些高层控制目标又可组合为策划与组织、采购与实施、交付与支持、监控四大领域。Cobit体系结构体系结构Cobit价值价值有助于大幅提高组织对IT治理的接受程度,减少实施IT治理所需的时间;对IT审计方法与审计方案标准化,为正式的IT审计与检查提供指南,为识别所有的主要风险区域提供可靠
7、的参考;IT运行管理人员通过COBIT可以了解审计师的关注点,有助于利用审计结果作为实施改善行动的机会;是实现IT治理目标的驱动力,可以帮助组织完善IT实务和IT过程;为组织提供了一个经济的、可持续完善的控制框架,控制IT建设过程中的风险,并提供一个有价值的参照基准,使得管理层对控制的决策可以基于一个可信的来源;有助于在业务与IT之间搭起沟通的桥梁,完善业务人员与IT管理人员的关系。ITIL和和COBIT给国有大中型企业给国有大中型企业带来了什么?带来了什么?科学合理的控制框架,有助于降低企业整体IT运作风险有效整合人、流程和技术的管理框架和指南通过结果导向的控制(COBIT提供了各种控制目标)和过程导向的流程管理(ITIL侧重于以流程导向的方式加强对运营过程的管理)两方面提升了企业IT运作的效率和效果,有效地降低了风险ITIL和和COBIT培训的价值培训的价值执行源于理解。只有真正地理解ITIL和COBIT体系,才能真正有效地实施它;全面系统地了解这些管理体系,为企业在制定相关的IT运营管理规划时提供了目标和蓝图;统一认识才能统一行动;它山之石,可以攻玉。通过培训,可以将本企业的实践与其他企业的最佳实践结合起来,借鉴和学习其他企业良好的管理实践。
