COBIT 5 培训.ppt

ACOBIT5Overview 25Jun2015 1 陈一中 CSST 1 What sCOBIT2 TheEvolution3 TheITGFocusAreas ValueofCOBIT4 WhyCOBIT5 05 ProductFamily6 COBIT5 0Principles7 TheGovernanceObjective ValueCreation8 GoalsCascade9 GovernanceApproach10 FrameworkIntegrator11 Enablers12 EDMModel13 ProcessReferenceModel14 ProcessCapabilityModel Outline 3 1 COBIT What sCOBIT COBIT ControlObjectivesforInformationandRelatedTechnology COBIT是一个在国际上得到公认的 先进的和权威的安全与信息技术管理和控制标准 它在业务风险 控制需要和技术问题之间架起了一座桥梁 它可以辅助管理层进行IT治理 指导组织有效利用信息资源 有效地管理与信息相关的风险 面向业务是COBIT的主题 它不仅是为用户和审计师而设计 而且更重要的是它可以作为管理者及业务过程的所有者的综合指南 COBIT真正关注的问题是 企业是否具备适当的控制力 以确保符合相关的管理规定 它帮助企业确定他们是否正在做他们表示要做的事 以及他们是否可以证明这一点 1996 1998 2000 2005 7 2012 COBIT1 COBIT2 COBIT3 COBIT4 0 4 1 COBIT5 0 Audit Control Management ITGovernance GovernanceofEnterpriseIT 2 COBIT theevolution Evolution 4 1996ISACF审计指南 1998ISACF控制目标 2000ITGI管理指南 2005ITGI治理与管理 2012ISACA组织治理 5 3 ITGfocusAreas COBITValue IT治理关注的领域战略定位 IT与企业运营保持一致价值交付 优化成本和证明IT的内在价值风险管理 风险意识 风险偏好 合规需求资源管理 关键IT资源的最优投资和恰当管理性能测量 跟踪和监控 COBIT的价值 通过实施COBIT 增加了管理层对控制的感觉及支持 COBIT使IT管理工作简易并量化 减轻对复杂信息系统管理工作的难度 并且可以应用在每天都发生的各种新问题中 COBIT提供一种国际通用的IT管理及问题解决方案 COBIT有助于提高信息系统审计师的影响力 COBIT框架可以帮助决定过程责任 提高IT治理水平 6 2012年4月10 ISACA官方即将正式发布CobiT5 0 这是COBIT发展16年来最重大的一次变化 CobiT5 0是建立在CobiT4 1的基础上 并通过整合其他重要框架 重要框架主要包括 ISACA sValIT RiskIT及其他相关的国际标准 对CobiT4 1进行扩展而成 CobiT5 0提供了一个组织IT治理的端到端业务视图 该视图反映了信息技术在创造业务价值时的重要作用 该框架中提供了全球广泛认可的原则 最佳实践 分析工具和模型可帮助组织获得对信息系统的信任并从中产生价值 CobiT5 05大本质1 帮助您通过提高IT相关风险的管理能力 增强业务与IT的沟通 提高业务目标的IT交付以从IT中获取更多的价值 降低IT成本 增强企业竞争力 2 能够通过IT治理和管理的业务框架满足业务领导和IT领导的需求 3 能够满足整个企业内利益相关者的需求 并且为更有效的决策阐明目标 4 提供一套整合其他方法和标准的端到端框架 以解决组织的所有领域 5 代表了全球近百位专家的集体智慧 4 WhyCOBIT5 0 7 5 COBIT5ProductFamily COBIT5产品系列包含以下产品 COBIT5 框架 COBIT5促成因素指南 在指南中详细讨论了治理和管理促成因素 它们包括 促成流程 促使信息 开发中 其它促成因素指南 COBIT5专业指南 包括 实施 信息安全 保障 风险 其它专业指导 8 6 COBIT5Principles 9 7 TheGovernanceObjective ValueCreation 1 MeetingStakeholderNeeds 10 8 GoalsCascade 1 MeetingStakeholderNeeds 11 8 GoalsCascade 12 8 GoalsCascade 13 14 9 GovernanceApproach 2 CoveringtheEnterpriseEnd to end 15 图9 关键角色 活动和关系 角色 活动和关系 9 GovernanceApproach 2 CoveringtheEnterpriseEnd to end 16 COBIT5促成因素 知识库内容漏斗 10 FrameworkIntegrator 3 ApplyingaSingleIntegratedFramework 17 10 FrameworkIntegrator SITC Service Security ISO31000 ISO38500 BS25999 Prince2PMBOK COBIT ITILV3 ISO27001 ISPL SCAMPI TOGAF Security AvailabilityMgt ISO17799 ISO13335 ISO9001 ITGRC QualityManagementSystem ITGovernance ServiceMgt Governance RiskMgt ISO15408 ProjectMgt Newservice ITILv2 ITGovernance ITSCM GovernanceRisk compliance TicketIT NIST800 SLM BR ConfigurationMgt ITSM SupplierMgt Mgtsystem Org Finance CapacityMgt ISO15504 Appraisal auditMgt MOF MSF ISO20000 ValIT 3 ApplyingaSingleIntegratedFramework Valuedelivery BCMDR BusinessContinueMgtDisasterRecovery 18 10 FrameworkIntegrator 3 ApplyingaSingleIntegratedFramework ISO38500 ISO20000 ISO27001 COBITfoundationexam ITILFoundationexamServiceManagerExpert CISA CISMCISSP BUSINESS INDIVIDUAL Certificationsoverview 19 11 Enablers 4 EnablingaHolisticApproach 20 20 11 Enablers 4 EnablingaHolisticApproach 21 调整 规划和组织 APO 建立 获取和实施 BAI 交付 服务和支持 DSS 监控 评价和评估 MEA COBIT5流程参考模型将企业IT治理和管理流程分为两个主要流程领域 治理 包括5个治理流程 在每个流程内 定义了评估 指导和监控 EDM 实践 管理 包含四个领域 根据责任区域的规划 构建 运行和监控 PBRM 并提供IT端到端的覆盖 这些领域是COBIT4 1域和流程结构的演变 这些领域的名称是根据主要领域的标识选择的 但包含了更多的动词描述他们 5 SeparatingGovernanceFromManagement 12 EDMModel 22 5 SeparatingGovernanceFromManagement 12 EDMModel IT治理国际标准 ISO38500ISO IEC38500 2008可以用于任何规模的组织 包括公 私有性质的公司 政府机构以及非营利组织 这一标准提供了一个IT治理的框架 以协助组织高层管理者理解并履行其组织IT使用的既定职责 实现IT治理的有效性 可用性及效率 1 主要内容 范围 应用与目标良好的IT治理框架IT治理指南2 指导准则 职责分工IT支持组织发展可获得性可用性合规性尊重人性因素 以人为本 3 治理机制 EDM模型评价指导监控 有效的IT治理应当是可实施的 具有一致性的 EDM模型聚焦于更广泛层次的IT治理 它略微不同于管理者典型使用的PDCA模型 在这一模型中 管理者依据业务压力与业务需求来监控 Monitor 并评价 Evaluate 组织的IT使用 而后指导 Direct 实施政策方针弥补差距 EDM模型 12 EDMModel 24 24 24 企业IT治理流程 13