Cobit_ITIL_介绍.ppt

1、COBIT和ITIL介绍,2,引子-IT审计&风险控制,国际： 萨班斯法案 404条款 (SOX) 国内： 行业风险控制和监管政策 公司治理 风险控制 IT审计,3,IT管理面临的挑战,IT管理面临的挑战 IT基础设施环境异构 业务应用纷繁复杂 日益提升的可用性，可靠性 紧迫的合规性 etc.,4,如何应用最佳IT管理实践,最佳IT管理实践的目的 成熟的方法论 规程化的指引和向导 ITIL, Cobit etc. 如何应用最佳IT管理实践 基于业务的分析 基于IT管理的权重参考 基于管理模式 基于人 引入最佳IT管理实践 组织结构重塑 业务流程再造 基础信息系统的符合性,5,加入变更控制,基础

2、设施的复杂性扩大了变更操作的影响域 IT组织机构的职责： 让这些具有复杂架构的“系统之上的系统”能够协调一致的工作 每一个“服务”都需要系统具备一个详尽的、完整的“层次架构”的概念 每一系统的独特的行为和状态都可以通过多重元素来进行判断 复杂性的意义表现为发生在IT基础设施上的变更操作可能会潜在的影响商业操作的每一个部分，并对企业造成不同程度的威胁 数据正在受到威胁 扰乱带来收益的部门的服务 表现为协调需求时破坏了合规性,6,加入变更控制,目的和意义 变更操作必须处于控制中，这样可以减少IT在合规性、服务质量和安全状况等方面固有的威胁 国际和国内的法规要求：Sox Act, GLBA, HIP

3、PA, CISP, HSE etc. 变更操作管理流程的开展是控制形式之一，最佳实践的重要组成 ITIL: Change Management Cobit 定义企业机构的变更管理操作流程 系统管理技术、工具、程式和策略的共同协作 如果推进变更管理策略不力，我们会面对： 控制不力会导致不可信的审计裁决、潜在的问题、和其他的不规范的事件行为 为审计花费高昂费用且困难重重 服务质量的下降，计划外工作，由于未经授权和无文案备录的变更操作引发的延迟交付战略项目方案 无法判断系统的安全性、数据的完整性，危险性增加,7,效益,加强变更管理 通过审计. 证实控制流程确实存在并且有效 控制住日趋攀升的审计开销

4、减少计划外工作. IT服务关键业务的可控实效性 新项目的及时交付 确保完整性. 无论来自外部或者内部的攻击威胁，都要确保IT资产和机密信息受到保护,8,COBITControl Objectives for Information and related Technology,COBIT是一个在国际上得到公认的、先进的和权威的安全与信息技术管理和控制标准，它在业务风险、控制需要和技术问题之间架起了一座桥梁，它可以辅助管理层进行IT 治理，指导组织有效利用信息资源，有效地管理与信息相关的风险。 面向业务是COBIT的主题，它不仅是为用户和审计师而设计，而且更重要的是它可以作为管理者及业务过程的所

5、有者的综合指南。 COBIT真正关注的问题是，企业是否具备适当的控制力，以确保符合相关的管理规定。它帮助企业确定他们是否正在做他们表示要做的事，以及他们是否可以证明这一点,9,CoBIT历史,COBIT第一版由信息系统审计与控制基金会（ISACF）于1996年发布。 COBIT第二版于1998年出版，修订了高层控制目标与详细控制目标，增加了实施工具集（Implementation Tool Set） 信息系统审计与控制协会（ISACA）及其相关的基金会在1998年创立 IT治理研究院(ITGI)，由ITGI制定并发布了COBIT第三版，加入了管理指南，以及扩展和加强了对IT治理的关注； COB

6、IT基于ISACF的建立的IT控制目标，参照了其他控制框架、行业标准； ITGI于2005年底发布了COBIT第四版，这一版对IT某些过程进行了调整，强调了IT控制与IT治理五个领域的对应关系。,10,CoBit框架模型,11,CoBit框架模型（续）,Cobit可细化为34项高层控制目标，318个细化控制目标 。每个目标都针对特定的IT过程；这些高层控制目标又可组合为策划与组织、采购与实施、交付与支持、监控四大领域。,12,Cobit体系结构,13,Cobit价值,有助于大幅提高组织对IT治理的接受程度，减少实施IT治理所需的时间； 对IT审计方法与审计方案标准化，为正式的IT审计与检查提供

7、指南，为识别所有的主要风险区域提供可靠的参考； IT运行管理人员通过COBIT可以了解审计师的关注点，有助于利用审计结果作为实施改善行动的机会； 是实现IT治理目标的驱动力，可以帮助组织完善IT实务和IT过程； 为组织提供了一个经济的、可持续完善的控制框架，控制IT建设过程中的风险，并提供一个有价值的参照基准，使得管理层对控制的决策可以基于一个可信的来源； 有助于在业务与IT之间搭起沟通的桥梁，完善业务人员与IT管理人员的关系。,14,ITIL和COBIT给国有大中型企业带来了什么？,科学合理的控制框架，有助于降低企业整体IT运作风险 有效整合人、流程和技术的管理框架和指南 通过结果导向的控制（COBIT提供了各种控制目标）和过程导向的流程管理（ITIL侧重于以流程导向的方式加强对运营过程的管理）两方面提升了企业IT运作的效率和效果，有效地降低了风险,15,ITIL和COBIT培训的价值,执行源于理解。只有真正地理解ITIL和COBIT体系，才能真正有效地实施它； 全