文档介绍:发表时间:2010-7-26 郑煦平 阳杰 来源:万方数据关键字:COBIT IT治理 IT内部控制COBIT以其关注业务、面向过程、。COBIT主要是一种IT治理工具,同时还可作为建立和改善企业的IT内部控制和进行IT审计的指南。COBIT的四个领域关注的是组织信息化建设的整个生命周期,因此对于我国的企业的信息化建设也具有指导意义。一、COBIT的背景介绍从现有的控制框架来看,以COSO为代表的业务控制框架,主要是从受托责任方面来考虑一般控制的价值,缺少对IT控制的阐述和说明;以CICA的IT控制指南为代表的IT控制框架,侧重于对技术进行控制。因此。这两类模型都没有全面照顾到业务和IT。COBIT的出现就是为了填补这个空白,它基于COSO,同时整合了全球所有主要的信息技术标准。因此既能关注IT,又能与业务日标紧密联系,其任务就是研究、开发、出版和推动一个权威的、最新的、被国际上的企业,业务经理的日常使用、IT专业人上和鉴证专业认识所广泛接受的IT治理框架。 COBIT由ISACA开发与推广。1976年,ISACA专门设立ISACF。从事IT的管理、控制和安全保证领域的研究。同年。。试图将它作为一种审计工具。为了响应对IT进行控制的需要,,,改进了高层控制目标和具体控制目标,增加了实施工具包。1998年,ISACA与ISACF合并设立了旨在促进IT治理原则推广和应用的ITGI,COBIT的后续的研究和更新就是由ITGI来完成的。,还将ISACA原始的“控制目标”修改为管理目标,同时还扩充和加强了对IT治理的关注。使得COBIT演变为一个管理工具。IT的日益广泛应用,增加了对IT治理的需求,ITCI于2005年在广泛调查和研究的基础上,,它站在IT治理的角度,从更高的层面上来指导管理层进行IT控制和信息系统管理,使之成为一个真正意义上的IT治理框架。2007年5月,,并无本质更新。整个演进过程可用图1来表示。二、,需要业务管理者在既定的控制框架内对所有IT过程实施控制。COBIT通过IT过程来组织IT控制目标,控制框架提供了IT治理要求、IT过程和IT控制之间清晰的关系。关注业务、面向过程、基于控制和度量驱动是其主要特性。(一)关注业务关注业务是COBIT的主要宗旨。它设计不仅仅用来为IT服务提供商、用户和审计师使用,更重要的是给管理者和业务流程所有者提供一个完整的指南。COBIT框架基于这样一个原则:要提供企业达到其目标所需的信息,企业需要使用一组结构化的过程来投资、管理和控制IT资源,以提供服务来交付企业所需的信息。 COBIT认为,IT的最终目标是为企业实现业务活动提供其所需的符合信息标准的信息,这些标准包括信息的有效性、效率性、保密性、完整性、可用性、符合性和可靠性,这可称之为业务的信息需求。尽管信息标准提供了一般的方法来定义业务需求,但是规定一组业务和IT目标为建立业务需求并依据这些要求开发度量的标