COBIT: 国际信息安全审计规范简介

最新推荐文章于 2024-05-19 08:36:06 发布
最新推荐文章于 2024-05-19 08:36:06 发布
阅读量1.7k 收藏
点赞数
分类专栏: 其他 文章标签: diagnostics 应用工具 performance 项目管理 教育 活动
 
 
COBIT的全名是Control Objectives for Information and related Technology,是一个由美国负责信息技术安全 与控制参考架构的组织ISACA(Information Systems Audit and Control Association)在1996年所公布的业界标准,目前已经更新至第三版,是国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。COBIT归纳了世界上18项相关的来源,形成了一套专供企业经营者、使用者、IT专家、MIS审计员与安控人员来强化和评估IT管理和控制的规范。

COBIT架构的主要目的是为提供业界提供关于IT控制的一个清楚的政策和发展的良好的典范,这个架构共有34个IT的程序,分成四个领域:PO(Planning & Organization)、AI(Acquisition & Implementation)、DS(Delivery and Support)、和Monitoring,所有的程序中包含了302个控制目标,全都提供了最佳的施行指导。

以下是分类介绍:

1. 管理指导方针(Management Guidelines):包括了成熟度模型(Maturity Models)来帮助决定每一个控制阶段和期待的水准是否符合产业的规范;关键成功因素法(Critical Success Factors)用来辨认IT程序中达成控制最重要的活动;关键目标指标法(Key Goal Indicators)来定义绩效的目标水准;而关键性能指标法(Key Performance Indicators)则用来测量IT控制的程序是否能达到目标。这些指导方针都是为了要确保企业能成功及有效地整合企业业务流程与信息系统。

2. 管理者摘要(Executive Summary):健全的企业决策在于实时、恰当和简要的信息,这里提供了让分秒必争的资深管理阶层了解COBIT关键概念和原则的综述及让他们更深入了解COBIT细节的四个领域及34个相关IT程序的概要架构。

3. 架构(Framework):一个成功的组织是建构在一个数据和知识的坚固架构上,所以在这个部分详细描述了COBIT的34个IT高层次的控制目标,并且指出了企业对信息标准的要求(效果、效率、隐私性、真确性、可用性、承诺、可靠性)和IT资源(人力、应用、技术、能力和数据)上的需求是如何紧密的融入各个控制目标中。

4. 审计指导方针(Audit Guidelines):为了要达成所期待的目标,必须要持续和确实地审计所有的程序。这里建议了关于34个IT高层次的控制目标的审计步骤,来协助信息系统的审计员来检验IT的程序是否符合302的个别的控制目标,以提供管理上的保证和改进的建议服务。

5. 控制目标(Control Objectives):在科技不断变化的环境中能维持赢利的关键在于如何维持良好的控制。COBIT的控制目标为IT控制提供了一个用来明晰策略和良好的实施指导的关键方针,包括了用来达成所期待目的或结果的302个别控制目标的详细说明。

6. 应用工具集(Implementation Tool Set):包括了管理意识(Management Awareness)、 IT控制的诊断(IT Control Diagnostics)、应用指导(Implementation Guide)、常见问题集(FAQs)、应用COBIT组织的个案研究(Case Studies)及介绍COBIT的相关教材(Slide resentations)。这些新的工具组主要是设计让COBIT的应用更为容易、让组织能快速地且成功地从教材中学到如何在工作环境应用COBIT、并且让领导层思考COBIT对企业目标的重要性。 以上是COBIT初步的概念,下面再进一步介绍其四大领域和34IT的程序:

一、PO(Planning & Organization)

1. 定义一个策略性的IT计划

2. 定义信息的架构

3. 决定采用技术的方向

4. 定义IT组织及其关系

5. 管理对IT的投资

6. 管理目标和方向的沟通

7. 管理人力资源

8. 确保遵循外部的条件

9. 资产风险

10. 项目管理

11. 品质管理

二、AI(Acquisition & Implementation)

1. 辨识解决方案

2. 应用软件的取得与维护

3. 技术架构的取得与维护

4. IT程序的发展与维护

5. 系统的安装与确认

6. 变革管理

三、DS(Delivery and Support)

1. 定义服务的层次

2. 第三者提供服务的管理

3. 效果和能力的管理

4. 持续服务的确保

5. 系统安全的确保

6. 成本的确认和分摊

7. 使用者的教育和训练

8. 对IT客户的协助和建议

9. 型态设定的管理

10. 问题和意外事件的管理

11. 数据的管理

12. 相关设施的管理

13. 运营管理

四、M(Monitoring)

1. 流程监测

2. 内部控制适当性的评估

3. 自主性保证的获得

4. 自主性审计的提供

COBIT可应用在所有的企业信息系统,包括了个人计算机、小型计算机、大型主机和分布式运算环境,它建立在一个IT资源必须被一套自然分类的程序所管理的想法上,而这想法是为了要能提供组织要达成目标的适当且可靠的信息。目前 ISACA组织,针对 COBIT信息控制的专业,提供专业的认证,经认证的专家在欧美各国已协助执行计算机安全控制审计的历史已有十多年;针对网络安全的挑战,强化了许多控制管理的要项。目前我国已有十余名经考试与认证通过的国际计算机审计师(CISA: Certified Information Systems Auditor);美国电子签章法案,对电子凭证服务单位的信息安全控制,甚至要求具有CISA资格的人员执行独立性审计,以确认其安全管理的有效性,足见CISA的市场前景。
luedipiaofeng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
COBIT 审计指南 中文版(非常棒)
03-01
ISACA的绝对精华-Cobit(CISA背后的故事) Cobit-Control Objectives for Information and related Technology 信息及相关技术的控制目标 Cobit系列是ISACA真正的核心。 ISACA是谁?发CISA证书的机构。 窃以为,Cobit远比ISO/IEC 17799要牛,17799成为国际标准是因为使用了快速通道,至今其实仍然存在很多争议。别的不说,在称谓国际标准时,美国等是投的反对票。对各种国际/国内标准,看了很多,也研究了很久,其实包括17799/13335等等标准我这很早就有中文版了,由于工作原因不能外传,遗憾。 当年,我其实是先看到Cobit,再接触ISACA的和CISA的,这可能同大部分考CISA的兄弟们走的路不一样。 私下里探讨,我一直很反对安全就是CIA(机密性、完整性和可用性),其实IA的领域远远已超出了CIA的界限,而且CIA也不甚准确。 Cobit信息安全审计等早已扩展到IT Governance的境界,立点不可谓不高。而且也非常具有实践性和可操作性。 Cobit共包括以下书籍: Executive Summary:执行总结 Framework:框架 Management Guidelines:管理指南 Detailed Control Objectives:详细控制目标 Audit Guidelines:审计指南 Implementation Tool Set:实施工具集 其中Audit Guideline审计指南仅限于会员下载。
初谈“信息安全审计
citing9836的博客
04-22 536
本篇文章版权由ECF和HP所有初谈“信息安全审计”作者:沈诗理信息生命周期管理模型(Information Lifecycle Management)认为信息有一个从产生、保护、读取、更改、迁移、存档、回收的周期、再次激活以...
CISP学习笔记——COBIT(信息和相关技术的控制目标)
最新发布
老怪的博客
05-19 382
COBIT 最初是"信息与相关技术的控制目标",在框架发布之前,人们将"COBIT"称为"IT 控制目标"或"信息及相关技术的控制目标"。该框架定义了一套管理IT 的通用流程,确定了每个过程与过程输入和输出、关键流程活动、流程目标、绩效评估和初级成熟度模型。COBIT 还为信息系统和技术的治理和控制过程提供了一套推荐的最佳实践,其实质是使IT 与业务相一致。COBIT 5 将COBIT 4.1 、ValIT 和风险IT 整合为一个单一的框架,作为与其他框架和标准相一致和可互操作的企业框架。
COBIT
少年休闲海
07-19 1124
COBIT(Control Objectives for Information and related Technology) 是目前国际上通用的信息系统审计的标准,由信息系统审计与控制协会在1996年公布。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准,目前已经更新至5.0版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国
cobit简介
weixin_34415923的博客
06-27 802
   善治的IT治理架构是确保IT资源与公司战略目标保持一致的基础,同样也能确保IT服务满足组织对优质、可信和安全的信息需要。采用标准的IT治理(IT Governance)架构可以给企业带来诸多收益。如美国堪萨斯州把COBIT标准作为虚拟政府策略的一部分,结果降低了运营成本,并为它的客户和委托人提供了很高质量的服务。Proctor&Gamble在采用ITIL标准的四年里,节省超过5亿美金...
COBIT(cobit框架)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-25 474
萨班斯法案,内部控制和cobit的关系速度,奖励! 萨班斯法案是能够影响公司治理,财务报告和会计实践的最重要的财务法案之一. 这个是财务问题,建议转个地方在会计或者财会经济类提问。 IT治理参考标准(COBIT)使用应该注意哪些问题? 框架鉴于COBIT的通用性,它忽略了各个信息系统的特殊性,因此不能照搬CO...
IT审计规范体系简介.ppt
08-25
【IT审计规范体系简介】 IT审计是评估和验证信息技术(IT)系统、流程和操作是否有效地支持和保障组织业务目标的实现。它涉及到对IT环境的全面审查,以确保其合规性、安全性、效率和有效性。在中国建设银行(建行)...
【推荐】CISA国际信息系统审计师资料合集.zip
11-11
推荐,CISA国际信息系统审计师资料合集,资料包含知识点梳理、模拟试题、真题(较老)、以及基础教程资料等。...03-IT审计规范 04-现场IT审计步骤 05-IT治理及相关标准规范 06-行业IT控制规范 07-相关资源
信息安全技术 信息系统灾难恢复规范
12-16
如GB/T19716-2005《信息技术 信息安全管理实用规则》、GB/T20984《信息安全 风险评估指南》、DRI International(国际灾难恢复协会)的相关文献、ISACA(信息系统审计与控制协会)的《COBIT Management Guidelines》、...
COBIT-2019框架:治理和管理目标中文
05-06
- **GAM04: 信息安全与隐私**:保护组织的信息资产,确保数据的安全性和隐私。 - **GAM05: 服务与质量**:提供高质量的IT服务,满足用户的需求和期望。 - **GAM06: 有效率与效果**:确保IT运营既高效又有效,最大化...
信息安全体系的术-汇编.zip
08-04
信息安全等级保护技术标准合集 信息安全等级保护政策法规合集 三、企业内控 COSO框架下的内部控制 企业风险管理整体框架 企业内部控制基本规范 企业内部控制应用指引 SOX文件 四、信息安全风控制 实用关键威胁、资产...
区域卫生信息平台交互规范13:安全审计服务.pdf
09-20
区域卫生信息平台交互规范13:安全审计服务.pdf
cobit中文学习手册
07-11
1 执行总结 9 2 COBIT框架 15 2.1 lT治理控制框架需求 15 2.1.1为什么 15 2.1.2谁 15 2.1.3什么 16 2.2 COBIT如何满足要求 16 2.2.1 以业务为关注焦点 16 2.2.2 过程导向 18 2.2.3基于控制 19 IT应用的输出和保留应遵循己定义的程序和考虑隐私和安全的需求 22 2.2.4测量驱动 23 2.2.5COBIT框架模型 28 2.3 COBlT的公认性 30 2.4如何使用本书 31 2.4.1 COBIT框架导航 31 2.4.2 COBIT核心组件概述 32 2.4.3附录 33 3 PO策划与组织 33 3.1PO 1定义lT战略计划 33 3.1.1高级控制目标 33 3.1.2详细控制目标 34 3.1.3管理指南 36 3.1.4成熟度模型 37 3.2 P02定义信息架构 38 3.2.1高级控制目标 38 3.2.2详细控制目标 39 3.2.3管理指南 39 3.2.4成熟度模型 41 3.3 P03确定技术导向 41 3.3.1高级控制目标 41 3.3.2详细控制目标 42 3.3.3管理指南 43 3.3.4成熟度模型 44 3.4 PO4定义IT过程、组织和关系 45 3.4.1高级控制目标 45 3.4.2详细控制目标 46 3.4.3管理指南 47 3.4.4成熟度模型 49 3.5 P05 lT投资管理 50 3.5.1高级控制目标 50 3.5.2详细控制目标 51 3.5.3管理指南 51 3.5.4成熟度模型 53 3.6 P06沟通管理目的和方向 53 3.6.1高级控制目标 53 3.6.2详细控制目标 54 3.6.3管理指南 55 3.6.4成熟度模型 56 3.7 P07 lT人力资源管理 57 3.7.1高级控制目标 57 3.7.2详细控制目标 58 3.7.3管理指南 59 3.7.4成熟度模型 60 3.8 P08质量管理 61 3.8.1高级控制目标 61 3.8.2详细控制目标 62 3.8.3管理指南 63 3.8.4成熟度模型 64 3.9 P09 lT风险评估及管理 65 3.9.1高级控制目标 65 3.9.2详细控制目标 65 3.9.3管理指南 66 3.9.4成熟度模型 68 3.1 0 P01 0项目管理 69 3.10.1高级控制目标 69 3.10.2详细的控制目标 70 3.1 0.4成熟度模型 73
COBIT-2019框架:简介和方法中文.pdf
02-02
COBIT-2019框架: 简介和方法中文
CoBIT 5 参考指南 Reference Guide
07-07
CoBIT 5 Customized Process Reference Guide (English)
COBIT体系结构
ITSense的博客
06-08 8109
关于COBIT: COBIT的全称是“Control Objectives for Information and related Technology”,信息及相关技术控制目标,COBIT是一个IT治理和控制框架,它在业务风险、控制需要和技术问题之间架起了一座桥梁,它可以辅助管理层进行IT 治理,指导组织有效利用信息资源,有效地管理与信息相关的风险。 主要关注于“需要实现什么”,而不是“如何实现”。 研究、制定、发布及促进一个权威性的、最新的、国际公认的IT治理控制框架,该框架可用于企业的业务管理人员.
COBIT简介 (一)
weixin_34283445的博客
01-03 1328
COBIT简介 标准名称:《信息及相关技术的控制目标》(Control Objectives for Information and related Technology,COBIT) 隶属机构:美国IT治理研究院(IT Governance Institute)开发与推广 标准作用:信息、IT 以及相关风险控制方面的国际公认标准,COBIT 还被作为一种遵从SOX(S...
cobit框架_NIST和COBIT:为更可靠和安全的技术协同工作
weixin_39520149的博客
11-28 396
2020年发生的事件比以往任何时候更让我们体会到什么是瞬息万变。信息和技术日新月异,我们已经看到各个领域的技术革命,从移动设备到不断变化的办公环境,甚至是在我们的宇宙飞船中!我们可以通过《NIST网络安全框架》和COBIT 2019的协同工作,帮助沟通和协调活动,以确保这些技术的可靠性和安全性。从COBIT 5到COBIT 2019的演变带来了一些重大的更新。COBIT 2019借鉴...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值