COBIT 5 与最相关的相关框架和标准的映射关系


本节将 COBIT 5 与管理范围内最相关的应用的标准和框架进行对比。对 ISO/IEC 38500 是通过基于 ISO/IEC 38500 的原则的对比进行的。对其它的对比,使用了一种带格式的表格,其中 COBIT 5 流程与所涉及的标准或框架的等同内容进行映射。

COBIT 5 和 ISO/IEC 38500

以下总结了 COBIT 5 如何支持采用标准的原则和实施方法。标准, ISO / IEC 38500:2008——企业信息技术治理, 基于六个关键原则。 这里解释了每个原则的实际运用,连同 COBIT 5 指南如何促成好的实践。

ISO/IEC 38500 原则

原则 1——责任

这在实践中意味着:

业务(客户)和 IT(供应商) 应该在一个合作模式中合作,利用有效的基于积极和信任关系的沟通,表明清晰的相关责任与义务。对于规模较大的企业, IT 执行委员会(也称为 IT 战略委员会)代表董事会行事,由董事会成员主持,是一种非常有效的评估、 指导和监督在企业中使用 IT 以及向董事会就关键的 IT 问题提出建议的机制。 小型和中型企业拥有更简单的命令结构和较短的通信路径,它们的董事在监督 IT 活动时,需要采取更直接的办法。 在所有情况下,适当的治理组织结构、 角色和责任,必须由治理机构授权,提供重要的决定和任务的明确的所有权和问责制, 这应该包括与关键的第三方 IT 服务提供商的关系。

ISACA 指南如何促使好的实践:

1. COBIT 5 框架定义了若干治理企业 IT 的促成因素。 “流程 ” 促成因素 和“组织结构” 促成因素,结合 RACI 表是在这种环境中特别相关的。它们极力主张责任的分配,并为董事会成员和所有关键相关的流程和活动的管理者提供示范角色和活动。

2. 《COBIT 5 实施》解释了当实施或加强 IT 治理安排时,利益相关者和其他有关各方的责任。

3. COBIT 5 有两个层面的监测,第一个层次是与治理环境有关,流程 EDM05 确保利益相关者透明用建立目标及相关指标的通用方法, 解释了董事在监测和评估 IT 治理和 IT 性能方面的作用。

原则 2:战略

这在实践中意味着:

IT 战略规划是一个复杂和关键的任务,要求企业的业务部门和 IT 战略计划之间的密切协调, 优先安排最有可能实现预期效益的计划,并有效地分配资源也是至关重要的。 高层次的目标需要被转化成可实现的战术计划,确保最小的失败和意外,我们的目标是提供支持战略目标的价值,同时考虑到相关的与董事局风险偏好有关的风险。 尽管以自上而下的方式的级联计划是重要的, 但计划还必须是具有灵活性和适应性,以满足瞬息万变的业务需求和 IT 机遇。

此外,存在或缺乏 IT 能力可以启用或阻碍企业的战略,因此, IT 战略规划应包括透明的和适当的 IT 能力规划。这应包括评估当前的 IT 基础设施和人力资源的能力,以支持未来的业务需求和使竞争优势和/或优化成本的未来的技术发展的考虑。 IT 资源包括与许多外部产品供应商和服务供应商的关系,其中一些人可能在支持业务方面发挥了关键作用。 因此,治理的战略采购是一个非常重要的战略规划活动,需要行政级别的指导和监督。

ISACA 指南如何促成好的实践

1. COBIT 5 提供了具体的关于管理 IT 投资和(特别是,在这个过程中 EDM02确保在治理领域的收益交付)战略目标应如何通过适当的业务案例支持的指导。

2. COBIT 5 APO 领域解释了为有效地规划所需的流程和内部和外部的 IT资源的组织,包括战略规划、技术和架构的规划、组织规划、创新规划、 投资组合管理、投资管理、风险管理、客户关系管理和质量管理。也解释了业务和 IT 目标的一致性,用通用的例子说明他们如何基于业界研究它们如何支持所有 IT 相关的流程的战略目标。

3. 确定和调整企业目标与 IT 相关的目标的工作,提出了企业目标、 IT 相关的目标和促成因素的级联关系的更好的理解,其中包括 IT 流程。它提出了一个实力雄厚的 17 个通用企业的目标和 17 个通用的 IT 相关的目标的列表,在不同部门之间验证和优先,连同两者之间的连接信息,它提供了建立一个业务目标与 IT 目标之间的通用级联关系的良好的基础。

原则 3:收购

这在实践中意味着:

IT 解决方案的存在,以支持业务流程,因此必须注意不考虑在隔离或只是一个“技术”项目或服务的 IT 的解决方案。另一方面, 不适当技术架构选择,未能保持当前和适当的技术基础设施,或缺乏熟练的人力资源,可能导致项目失败,无法维持业务或价值减少的业务。 IT 资源的收购应被视为更广泛的 IT 业务变化的一部分。所收购的技术也必须支持和运作现有的和计划中的业务流程和 IT 基础设施。实施也并不只是一个技术问题,而是一个组织的变化、 修订后的业务流程、培训、 变化促成因素。因此, IT 项目应进行更广泛的企业级的包括其他项目的一部分的变化方案,满足全方位的需要,以帮助确保取得圆满成功的活动。

ISACA 指南如何促成好的实践

1. COBIT 5 EDM 领域提供了经历他们的整个生命周期(收购,实施,运行和退役)的治理和管理 IT 业务的投资的指导, APO05 管理集合流程针对如何运用有效的组合和这样的投资计划管理,以帮助确保实现利益和成本进行优化。

2. COBIT 5 APO 领域提供收购计划的指导,包括投资规划,风险管理,计划和项目规划,质量规划。

3. COBIT 5 BAI 领域提供收购和实施 IT 解决方案所需的过程,包括定义的要求、确定可行的解决方案、准备、文档和培训,使用户和业务运行新系统的指导。此外,提供指导,以帮助确保该解决方案进行测试和变化的管理业务和 IT 环境的适当控制。

4. COBIT 5MEA 领域和 EDM05 流程包括指导董事如何可以监测和评估收购过程以及内部控制,以帮助确保收购得到妥善管理和执行。

原则 4:绩效

这在实践中意味着:

有效的绩效衡量取决于正在解决的两个关键方面:绩效目标明确的定义和建立有效的指标来监控目标的实现。还需要一个性能测量过程,以帮助确保性能一致和可靠的监测。达到设定的目标是从上往下,并与高层次的、 经批准的管理目标相一致,有效的治理指标建立从下往上,使在各级层被管理阶层监控目标的实现的方式相一致。两个关键的治理的成功因素是利益相关者的目标的批准和接受问责的董事和经理的目标的实现。它是一个复杂和技术方面的问题,因此,重要的依靠言语方式表达目标、 指标和绩效报告来对利益相关者实现透明度, 因此可以采取适当的行动。

ISACA 指南如何促成好的实践:

1. COBIT 5 框架提供全方位的 IT 相关的流程和其它促成因素目标和指标的通用例子,并说明它们如何与业务目标,使企业能够适应他们自己的特定用途。

2. COBIT 5 提供关于设置 IT 目标与业务目标相一致的指导管理,并介绍如何监视这些目标、应用目标和衡量。流程性能可以使用 ISO/ IEC 15504 履约能力评估模型评估。

3. 两个关键的 COBIT 5 过程提供特定的指导:

  • APO02 管理战略重视设定目标。
  • APO09 管理服务协议注重定义适当的服务和服务目标并记录在他们的服务水平协议。

4. 在流程 MEA01 监测、评价和评估性能和一致性, COBIT 5 对这项活动的执行管理职责提供了指导。

5. 计划 COBIT 5 保证指南将解释如何保证专业人士可以为董事提供独立的对 IT 性能的保证。

原则 5:合规性

这在实践中意味着:

在今天的全球市场,通过互联网和先进的技术支持,企业需要遵守的法律法规和监管要求越来越多。由于近年来的公司丑闻和财务失败,在更严厉的法律和法规的存在和影响的会议室有明显增强的意识。 利益相关者需要加强保证企业遵守法律、 法规和符合他们的管理环境的良好的企业管治常规。此外,因为 IT 促使企业之间的无缝业务流程,也是不断增长的帮助确保合同包括 IT 相关的重要领域,如隐私,保密,知识产权和安全要求的需求。

董事需要确保遵从外部需求作为战略规划的一部分,而不是作为一种昂贵的事后处理。他们还需要设置高层话语权和为建立他们管理政策和程序,确保实现企业目标,风险最小且符合实现。高层管理人员,必须取得性能和一致性之间的适当平衡,确保绩效目标不危及遵守,反之,一致性制度是恰当的,并不过分限制业务运作。

ISACA 指南如何促成好的实践:

1. COBIT 5 治理和管理实践提供了一个在企业中建立一个适当的控制环境的基础。过程能力评估使管理 IT 过程能力评估和衡量。

2. COBIT 5 流程 APO02 管理策略有助于确保 IT 计划和整体管理目标之间有对应关系,包括治理要求相一致。

3. COBIT 5 流程 MEA02 监测、评价和评估内部控制制度,评估控制是否足以满足董事要求。

4. COBIT 5 流程 MEA03 监测、评价和评估遵守外部的要求有助于确保外部要求遵守的确定,董事设定遵守的方向,并且作为一个整体符合企业要求的一部分符合本身进行监测、评估和报告。

5. COBIT 5 计划保证指南解释了审计员如何提供来自内部指令或外部的法律、法规或合同规定的内部政策,确认可以提供独立保证遵守和坚持,已经由负责采取任何纠正措施,以解决任何遵守差距及时的流程的所有者。

原则 6:人的行为

这在实践中意味着:

实施任何 IT 功能的变化,包括 IT 治理本身,通常需要显着的文化和行为的改变,企业内部以及与客户和业务伙伴。这可能会造成员工之间的恐惧和误解,因此需要认真管理人员如果要保持积极从事执行。董事必须明确沟通目标,并积极支持建议修改。加强人员培训和技能是关键方面的变化,尤其是考虑到技术的快速移动的性质。人们都受到它的影响,在企业中的各级,作为利益相关者,管理者和使用者,或作为专家提供 IT 相关的服务和解决方案业务。以外的企业,它会影响客户和业务伙伴,并越来越多地使国家内部以及跨越国界的自助服务和自动化的公司间交易。的 IT 支持的业务流程,同时带来了新的利益和机会,他们也进行类型的风险增加。个人隐私和欺诈等问题日益关注,以及这些风险和其他类型的需要进行管理,如果人们相信他们使用的 IT 系统。信息系统也极大地影响工作实践,通过手工程序自动化。

ISACA 指南如何促成好的实践:

以下 COBIT 5 促成因素(包括流程)提供指导与人类行为有关的要求:

1. COBIT 5 的促成因素包括人才、技能和能力以及文化、道德和行为。对于每一个促成因素模型通过实例说明提出了关于如何处理促成因素。

2. COBIT 5流程APO07管理人力资源解释了个人与企业目标对应如何表现,应保持什么 IT 专业技能,以及如何定义的角色和责任。

3. COBIT 5 过程 BAI02 管理需求定义有助于确保应用程序的设计,以满足人类的操作和使用要求。

4. COBIT 5 流程 BAI05 管理组织变革的启用和 BAI08 管理知识帮助确保用户能够有效地使用系统。

此外, ISACA 协会为专业人员提供进行有关 IT 治理的关键角色四个认证, 知识主体 COBIT 5 的内容大体覆盖:

  • 企业 IT 管理认证(CHEIT)
  • 系统审计员信息认证(CISA)
  • 系统安全经理信息认证(CISM)
  • 风险信息系统控制认证(CRISC)

证书的持有人在执行这种角色的能力和经验都已经证明这些。

ISO/IEC 38500 评估、直接和监控

ISACA 指南如何促成好的实践:

COBIT 5 流程模型控制模型有 5 个流程,并且每个流程定义了 EDM 实践, 这是在 COBIT 5 治理相关的活动定义的主要位置。

与其它标准对比

COBIT 5 考虑一些其他的标准和框架, 这些标准在附录 A 中列出。

COBIT 5:启用过程包含了每个 COBIT 流程和包含附加指南的相关标准与框架最相关部分之间高水平示意图。

在这一部分,一个包括每个框架与标准简要描述,说明 COBIT 5 涉及了那个领域。

ITIL V3 2011 和 ISO/IEC 20000

以下 COBIT 5 领域被 ITIL V3 2011 和 ISO/IEC 20000 包括:

  • DSS 领域流程子集
  • BAI 领域流程子集
  • APO 领域一些流程

ISO/IEC 27000 系列

以下 COBIT 5 领域被 ISO/IEC 27000 覆盖:

  • EDM、 APO 和 DSS 中安全和风险相关流程
  • 其它领域流程各种安全相关活动
  • MEA 领域监控和评估活动

ISO/IEC 310000 系列

以下 COBIT 5 领域被 ISO/IEC 31000 覆盖:

  • 在 EDM 和 APO 领域风险相关管理流程

TOGAF

通过 TOGAF,以下 COBIT 5 地区和领域涵盖:

  • 在 EDM(经济学)域的建筑板 TOGAF 的组件资源相关的流程,治理架构和架构成熟度模型映射到资源优化配置。
  • 在 APO 域的企业架构过程。在 TOGAF 的核心是架构开发方法(AMD),映射到了 COBIT 发展的架构愿景的做法(AMD 的阶段 A),定义的参考架构(AMD 阶段 B, C 和 D),选择的机会和解决方案(AMD 阶段 E),
    并定义架构的实施(AMD 阶段 F, G)的。 TOGAF 的组件映射到了 COBIT 5。
    • ADM 需求管理
    • 架构的原则
    • 利益相关者管理
    • 业务转型准备评估
    • 风险管理
    • 基于能力的规划
    • 架构合规
    • 架构合同

资源成熟度模型集成(CMMI)(发展)

CMMI 所涵盖的下列 COBIT 5 的地区和领域:

  • 应用建设和收购相关的流程、BAI 域
  • 从 APO 域的一些组织和质量相关的流程

PRINCE2

通过 PRINCE2,以下 COBIT 5 的地区和领域的:

  • 在 APO 域组合相关的流程
  • 在 BAI 域的方案和项目管理流程

图表 25 描述了 5 COBIT 的和其他的标准和框架之间的相对覆盖。

图表 25.COBIT 5 其它标准与框架覆盖范围 图表 25 - COBIT 5 其它标准与框架覆盖范围 


最近更新于 2022-05-14 孜孜不倦2022-05-01 发布, 已阅 283 次。