• Bookmark

信息及相关技术的控制目标 (COBIT) 的核心刊物:快速概览

企业信息科技管治认证 (CGEIT) Mark Thomas

COBIT Focus | 2015 年 4 月 13 日 英语 | 法语 | 葡萄牙语 | 日语 | 西班牙语 | 土耳其语

当国际信息系统审计协会(ISACA) 宣布将 COBIT 4.1 更新成一个新的框架版本时,一些专家曾对此持怀疑态度。COBIT 4.1内容简单,且为人们所熟悉。如果需要COBIT 中未包含的信息,如 Val IT 或 Risk IT 等刊物可提供更多的详情。但事实证明,框架正趋向于更加组织有序,COBIT 5恰好符合这点。COBIT 5 中不仅将Val IT或Risk IT等ISACA刊物纳入其总体框架,同时还融入了业界的一些主流框架和标准。


然而,COBIT 5 产品家族有许多刊物可供选择,有时难以确切地知道该从何处搜寻具体信息。许多新的COBIT用户通常会问:“ 我应该参考哪一份刊物(请填写在空白处)?” COBIT 5 的一个关键原则就是整合之前分布于不同ISACA框架中的全部知识。这意味着什么? 如今在COBIT 5 产品家族里为查找更多信息指明了方向。从COBIT 5开始,产品家族将刊物有序地按逻辑进行分类整理,并对所有可能需要的事项都给予了详细的专业指导和支持。此外,随着近期发布的COBIT在线,搜索框架变得十分容易。


因此,如果您对这些产品的内容有所困惑,下面提供了一份关于各种产品及其用途的描述。
 

图 1 —— COBIT 5 产品家族

源文件:ISACA、COBIT 5、USA、2012年


COBIT 5

这是用来查阅企业 IT治理(GEIT)的端到端业务视图的核心刊物。它也被称作“企业IT治理和管理的业务框架”。出人意料的是,它只有 94 页,并非长篇大论。它阐述了框架的整体结构,尤其是五大原则和七大动力。值得注意的是 COBIT 5 框架本身就是五大原则(在刊物的第17-34页,因此有17页用于阐述核心框架指南)。最精华的部分是附录中关于目标级联的描述,依我看来,这是行业最佳的保留秘密之一。另外,在备考COBIT基础(Foundation)考试时,请花些时间阅读附录 G ,其中概括了关于七大动力的重要内容。


COBIT 5: 启用流程

COBIT 5:启用流程》 是针对 COBIT 5 流程参考模型中所定义的流程的详细参考指南。对于每一个流程都有描述、目的、目标和度量、实践、活动、以及责任方、承担方、咨询方和知情方(RACI)模型矩阵及输入/输出。此外,也提供了业界最佳实践参考。乍看之下,这只是表格和列表的堆砌,但是请不要被误导,这是针对流程治理的权威指南,并且令人印象深刻。


COBIT 5: 启用信息

需要一种关于信息治理和管理的结构化思维方式吗? 请关注眼前的 《COBIT 5:启用信息》,因为它就是你所需要的。本刊物包含了一个综合模型,它涵盖了各个方面的信息并可以贯穿于信息的整个生命周期,从构思、设计、到鉴证和废弃。最精华之处是什么呢? 它从适用的动力(是的,与COBIT 5框架中相同的动力)角度解决了各种问题。


COBIT 5 实施指南

本刊物为基于生命周期的持续改进治理实施提供一个良好的实践方法。这听起来令人难以置信,但是请冒险尝试并全身心投入其中。该方法的实用性在于它是持续不断的过程并利用七大基本步骤,这些步骤进一步分解成三大焦点领域(项目管理、变更驱动和持续改进任务),已经证明该方法合乎逻辑并有很好的适应性。对任何尝试采用治理方案的人来说,推荐 《COBIT 5 的实施指南》 作为必读物。


COBIT 5 信息安全

人们普遍意识到信息安全是当前一个相当热门的话题,这也是高度推荐人们花时间了解本刊物的原因。《COBIT 5 信息安全》 是最完整和最新的指南,它将COBIT与全球广泛认可的标准和实践进行了整合。它不但适用于信息安全人员,也让 IT 和业务用户也受益匪浅。即使那些认为自己并非信息安全专业人士的人员,也会发现附录中七大 COBIT动力提供了详细、易于理解和运用的重要安全信息。


COBIT 5 鉴证

本刊物适用审计人员。《COBIT 5鉴证》 不仅将有助于改善鉴证方法,并且通过该方法为信息鉴证计划、适用范围和执行IT鉴证活动方面的审计功能提供了清晰的视图。不仅如此,它同样也为IT 专业人员提供了宝贵丰富的信息。不必惊讶它也是由动力因素组织而成,这与整个COBIT产品家族是一致的。


COBIT 5 风险

不要被标题误导了。本刊物不仅与IT风险相关,还包括业务风险。更进一步说,是企业在引入、获取、使用、管理IT过程中给企业所带来的业务风险。。我最近恰好在与某客户合作制定企业风险登记册的时候使用过本刊物,发现 《COBIT 5风险》 已完成许多基础性工作。可能不为人知的是,本刊物概括了111个通用风险场景,定制化后可以适用于大部分组织机构。这种方法已经在现实场景中得以运用,其他机构也同样适用。


COBIT 5 在线

您是否正在寻找一种为某个特定领域而搜索全部COBIT 5产品的简单方法? 请尝试搜索 COBIT 在线。 您是否需要一个灵活的工具来创建一个定制的目标级联和相关的RACI模型?请尝试COBIT在线。如果您正在使用或打算使用COBIT,请尝试COBIT在线。除了获得COBIT刊物以外,COBIT在线还提供实时新闻和深刻见解、社交协作和许多重要珍闻。应该注意的是大部分提到的功能仅适用于ISACA会员。


COBIT 5 框架的其他用途

本文着眼于COBIT 5的核心刊物。ISACA 同样使用COBIT 5框架作为致力于解决企业所面临的关键GEIT问题的实用指南,包括: 《COBIT 5 原则:它们来自何处?》、《云控制和鉴证:使用 COBIT 5 》、《COSO相关 内部控制—— 集成框架和 COBIT 》、《供应商管理:使用 COBIT 5》、 《移动设备安全加固》、 《网络安全变革》、 《配置管理:使用 COBIT 5》、 以及 《符合萨班斯-奥克斯利法案的 IT 控制目标:使用 COBIT 5 进行基于财务报告的内部控制的设计与实施,第三版》。 值得注意的是企业并不需要成为 COBIT 5 的用户才能从这些指南中获益。实际上,处理这些问题通常是在实践中开始运用COBIT 5的好时机,这有助于企业解决需要管控的问题。


企业信息科技管治认证(CGEIT) Mark Thomas

他是国际知名的 IT 治理专家兼Escoute咨询公司的总裁。他拥有二十多年的专业经验,担任过从首席信息官(CIO)到管理人员和 IT 顾问等领导角色。Thomas领导大型团队在多个行业中开展IT外包事宜、企业应用实施管理以及实施治理和风险管理的流程。此外,他还是一位在COBIT、ITIL和IT治理等学科中享有盛誉的咨询培训师和演讲者。