COBIT: 国际信息安全审计规范简介

最新推荐文章于 2022-02-25 08:40:03 发布
最新推荐文章于 2022-02-25 08:40:03 发布
阅读量1.6k 收藏
点赞数
分类专栏: 其他 文章标签: diagnostics 应用工具 performance 项目管理 教育 活动
 
 
COBIT的全名是Control Objectives for Information and related Technology,是一个由美国负责信息技术安全 与控制参考架构的组织ISACA(Information Systems Audit and Control Association)在1996年所公布的业界标准,目前已经更新至第三版,是国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。COBIT归纳了世界上18项相关的来源,形成了一套专供企业经营者、使用者、IT专家、MIS审计员与安控人员来强化和评估IT管理和控制的规范。

COBIT架构的主要目的是为提供业界提供关于IT控制的一个清楚的政策和发展的良好的典范,这个架构共有34个IT的程序,分成四个领域:PO(Planning & Organization)、AI(Acquisition & Implementation)、DS(Delivery and Support)、和Monitoring,所有的程序中包含了302个控制目标,全都提供了最佳的施行指导。

以下是分类介绍:

1. 管理指导方针(Management Guidelines):包括了成熟度模型(Maturity Models)来帮助决定每一个控制阶段和期待的水准是否符合产业的规范;关键成功因素法(Critical Success Factors)用来辨认IT程序中达成控制最重要的活动;关键目标指标法(Key Goal Indicators)来定义绩效的目标水准;而关键性能指标法(Key Performance Indicators)则用来测量IT控制的程序是否能达到目标。这些指导方针都是为了要确保企业能成功及有效地整合企业业务流程与信息系统。

2. 管理者摘要(Executive Summary):健全的企业决策在于实时、恰当和简要的信息,这里提供了让分秒必争的资深管理阶层了解COBIT关键概念和原则的综述及让他们更深入了解COBIT细节的四个领域及34个相关IT程序的概要架构。

3. 架构(Framework):一个成功的组织是建构在一个数据和知识的坚固架构上,所以在这个部分详细描述了COBIT的34个IT高层次的控制目标,并且指出了企业对信息标准的要求(效果、效率、隐私性、真确性、可用性、承诺、可靠性)和IT资源(人力、应用、技术、能力和数据)上的需求是如何紧密的融入各个控制目标中。

4. 审计指导方针(Audit Guidelines):为了要达成所期待的目标,必须要持续和确实地审计所有的程序。这里建议了关于34个IT高层次的控制目标的审计步骤,来协助信息系统的审计员来检验IT的程序是否符合302的个别的控制目标,以提供管理上的保证和改进的建议服务。

5. 控制目标(Control Objectives):在科技不断变化的环境中能维持赢利的关键在于如何维持良好的控制。COBIT的控制目标为IT控制提供了一个用来明晰策略和良好的实施指导的关键方针,包括了用来达成所期待目的或结果的302个别控制目标的详细说明。

6. 应用工具集(Implementation Tool Set):包括了管理意识(Management Awareness)、 IT控制的诊断(IT Control Diagnostics)、应用指导(Implementation Guide)、常见问题集(FAQs)、应用COBIT组织的个案研究(Case Studies)及介绍COBIT的相关教材(Slide resentations)。这些新的工具组主要是设计让COBIT的应用更为容易、让组织能快速地且成功地从教材中学到如何在工作环境应用COBIT、并且让领导层思考COBIT对企业目标的重要性。 以上是COBIT初步的概念,下面再进一步介绍其四大领域和34IT的程序:

一、PO(Planning & Organization)

1. 定义一个策略性的IT计划

2. 定义信息的架构

3. 决定采用技术的方向

4. 定义IT组织及其关系

5. 管理对IT的投资

6. 管理目标和方向的沟通

7. 管理人力资源

8. 确保遵循外部的条件

9. 资产风险

10. 项目管理

11. 品质管理

二、AI(Acquisition & Implementation)

1. 辨识解决方案

2. 应用软件的取得与维护

3. 技术架构的取得与维护

4. IT程序的发展与维护

5. 系统的安装与确认

6. 变革管理

三、DS(Delivery and Support)

1. 定义服务的层次

2. 第三者提供服务的管理

3. 效果和能力的管理

4. 持续服务的确保

5. 系统安全的确保

6. 成本的确认和分摊

7. 使用者的教育和训练

8. 对IT客户的协助和建议

9. 型态设定的管理

10. 问题和意外事件的管理

11. 数据的管理

12. 相关设施的管理

13. 运营管理

四、M(Monitoring)

1. 流程监测

2. 内部控制适当性的评估

3. 自主性保证的获得

4. 自主性审计的提供

COBIT可应用在所有的企业信息系统,包括了个人计算机、小型计算机、大型主机和分布式运算环境,它建立在一个IT资源必须被一套自然分类的程序所管理的想法上,而这想法是为了要能提供组织要达成目标的适当且可靠的信息。目前 ISACA组织,针对 COBIT信息控制的专业,提供专业的认证,经认证的专家在欧美各国已协助执行计算机安全控制审计的历史已有十多年;针对网络安全的挑战,强化了许多控制管理的要项。目前我国已有十余名经考试与认证通过的国际计算机审计师(CISA: Certified Information Systems Auditor);美国电子签章法案,对电子凭证服务单位的信息安全控制,甚至要求具有CISA资格的人员执行独立性审计,以确认其安全管理的有效性,足见CISA的市场前景。
luedipiaofeng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
COBIT体系结构
ITSense的博客
06-08 7772
关于COBIT: COBIT的全称是“Control Objectives for Information and related Technology”,信息及相关技术控制目标,COBIT是一个IT治理和控制框架,它在业务风险、控制需要和技术问题之间架起了一座桥梁,它可以辅助管理层进行IT 治理,指导组织有效利用信息资源,有效地管理与信息相关的风险。 主要关注于“需要实现什么”,而不是“如何实现”。 研究、制定、发布及促进一个权威性的、最新的、国际公认的IT治理控制框架,该框架可用于企业的业务管理人员.
简要介绍COBIT 5
Passionzq的博客
05-06 4899
一、什么是COBIT? COBIT(Control Objectives for Information and related Technology):即信息系统和技术控制目标。成立于1969年的美国信息系统审计与控制协会(ISACA),于1996推出了用于“IT审计”的知识体系COBIT。“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与...
区域卫生信息平台交互规范13:安全审计服务.pdf
09-20
区域卫生信息平台交互规范13:安全审计服务.pdf
【安全架构】COBIT vs TOGAF:哪个对网络安全更有利?
全网:架构师研究会
01-21 388
大约95%的组织使用至少一个框架来管理其IT治理。公司将始终受益于在其业务和IT流程中增加结构并保护其资产。这就是为什么许多框架都有蓝图,以便组织能够实现其关键目标,如治理、法规遵从性和安全性。两种流行的模式是COBIT和TOGAF,这两种模式都被企业广泛用于网络安全和数字恢复。在这篇关于COBIT与TOGAF的文章中,让我们探讨一下这些流行的IT治理框架在网络安全方面是...
cobit简介
weixin_34415923的博客
06-27 712
   善治的IT治理架构是确保IT资源与公司战略目标保持一致的基础,同样也能确保IT服务满足组织对优质、可信和安全的信息需要。采用标准的IT治理(IT Governance)架构可以给企业带来诸多收益。如美国堪萨斯州把COBIT标准作为虚拟政府策略的一部分,结果降低了运营成本,并为它的客户和委托人提供了很高质量的服务。Proctor&Gamble在采用ITIL标准的四年里,节省超过5亿美金...
COBIT
少年休闲海
07-19 1113
COBIT(Control Objectives for Information and related Technology) 是目前国际上通用的信息系统审计的标准,由信息系统审计与控制协会在1996年公布。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准,目前已经更新至5.0版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国
COBIT(cobit框架)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-25 448
萨班斯法案,内部控制和cobit的关系速度,奖励! 萨班斯法案是能够影响公司治理,财务报告和会计实践的最重要的财务法案之一. 这个是财务问题,建议转个地方在会计或者财会经济类提问。 IT治理参考标准(COBIT)使用应该注意哪些问题? 框架鉴于COBIT的通用性,它忽略了各个信息系统的特殊性,因此不能照搬CO...
cobit框架_受人青睐的新版COBIT面市
weixin_39625864的博客
11-28 2522
原作者:Mark Thomas(CRISC,CGEIT)ISACA发布了最新版本的COBIT框架,我可以毫不犹豫地告诉您,这个最新的结构是迄今为止企业信息和技术治理(EGIT)领域最佳治理和管理框架之一。如果你还没有看过COBIT 2019,现在是时候了。此次发布中包含了以下4个主要出版物:《COBIT 2019框架:引言和方法论》,阐述了整体框架的结构《COBIT 2019框架:治理和...
COBIT简介 (一)
weixin_34283445的博客
01-03 1210
COBIT简介 标准名称:《信息及相关技术的控制目标》(Control Objectives for Information and related Technology,COBIT) 隶属机构:美国IT治理研究院(IT Governance Institute)开发与推广 标准作用:信息、IT 以及相关风险控制方面的国际公认标准,COBIT 还被作为一种遵从SOX(S...
COBIT 审计指南 中文版(非常棒)
03-01
ISACA的绝对精华-Cobit(CISA背后的故事) Cobit-Control Objectives for Information and related Technology 信息及相关技术的控制目标 Cobit系列是ISACA真正的核心。 ISACA是谁?发CISA证书的机构。 窃以为,Cobit远比ISO/IEC 17799要牛,17799成为国际标准是因为使用了快速通道,至今其实仍然存在很多争议。别的不说,在称谓国际标准时,美国等是投的反对票。对各种国际/国内标准,看了很多,也研究了很久,其实包括17799/13335等等标准我这很早就有中文版了,由于工作原因不能外传,遗憾。 当年,我其实是先看到Cobit,再接触ISACA的和CISA的,这可能同大部分考CISA的兄弟们走的路不一样。 私下里探讨,我一直很反对安全就是CIA(机密性、完整性和可用性),其实IA的领域远远已超出了CIA的界限,而且CIA也不甚准确。 Cobit信息安全审计等早已扩展到IT Governance的境界,立点不可谓不高。而且也非常具有实践性和可操作性。 Cobit共包括以下书籍: Executive Summary:执行总结 Framework:框架 Management Guidelines:管理指南 Detailed Control Objectives:详细控制目标 Audit Guidelines:审计指南 Implementation Tool Set:实施工具集 其中Audit Guideline审计指南仅限于会员下载。
COBIT-2019框架:简介和方法中文.pdf
02-02
COBIT-2019框架: 简介和方法中文
COBIT5-Enabling-中文
10-19
COBIT5-Enabling-中文
信息安全技术 代码安全审计规范(征求意见稿)
06-17
文档属于信息安全行业的国家推荐标准,该标准还暂未正式实施,目前只是征求意见稿,分享给大家,以便在工作中参考。
COBIT5 中文版、英文版
03-22
最新、最全的COBIT5资料包,自己使用,分享给大家
COBIT信息技术审计指南.docx
10-14
COBIT信息技术审计指南
【推荐】CISA国际信息系统审计师资料合集.zip
11-11
推荐,CISA国际信息系统审计师资料合集,资料包含知识点梳理、模拟试题、真题(较老)、以及基础教程资料等。 一、CISA 中文知识点梳理 第一章-信息系统审计程序重要知识点 第二章-IT治理重要知识点 第六章-灾难...
IT审计规范体系简介.ppt
08-25
IT审计概要 COBIT简介 建行IT审计规范体系 IT审计的实施策略 建行IT审计的情况
IT审计及COBIT体系.ppt
08-25
IT审计介绍 IT治理介绍 COBIT概念 COBIT体系框架
cobit 2019 全部文档
最新发布
06-22
### 回答1: COBIT 2019 全部文档是由 IT 领域的国际标准化组织 ISACA 发布的关于企业IT管理的框架和指南,用于帮助组织通过提高其IT治理和管理的成熟度,实现更好的IT业务整合和可持续的战略目标。 COBIT是“控制目标与信息技术(COntrol Objectives for IT)”的缩写,该框架为企业提供了一个结构化的、标准化的方法,以确保其IT管理和治理控制已采取最佳实践方法,关注企业的业务需求,以及符合国家和国际法规要求。 COBIT 2019 所包含的全部文档包括一个框架指南和8个关键过程指南: 1. COBIT 2019 框架指南:提供了一个全面的概述,包括 COBIT 2019 的概念、组成部分、框架构建、以及如何使用 COBIT 2019 的指南。为组织提供了一个将 IT 管理整合到业务管理的桥梁。 2. 战略管理指南:帮助组织对IT战略的开发、实现和管理,以对业务进行支持。 3. 管理和监督指南:建议组织如何将IT治理和风险管理与业务需求结合起来。 4. 客户、用户和供应商指南:强调如何通过提供优秀的客户服务、用户和供应商关系来增加企业价值。 5. 信息架构管理指南:提供了对组织如何实现IT架构、安全、隐私和管理信息的建议。 6. 应用管理指南:为组织提供了IT应用程序生命周期管理的建议,以支持业务目标。 7. 安全管理指南:提供了企业如何能够在业务和技术层面上,提升其IT安全的控制性的建议。 8. 服务管理指南:为组织提供了管理IT服务提供、服务级别协议、供应链管理和供应商管理的建议。 COBIT 2019 全部文档可用于企业内部自评、审计、监督和非法律限制使用的商用和非商用使用。这一框架可适用于各种类型的组织,无论是私营、公共、非盈利组织等。 ### 回答2: COBIT 2019是全球公认的企业IT治理相关的最佳实践标准,全称Control Objectives for Information and Related Technology 2019,是由ISACA(全球信息系统和控制协会)制定发布的一系列规范和指南。协会在2019年进行了对COBIT进行了更新,推出了新的COBIT框架和全新的COBIT 2019所有文档。 COBIT 2019的所有文档共包括6个部分,分别是: 1. COBIT 2019框架:该部分定义了COBIT 2019框架的内容、架构和组成部分,并为企业提供了IT治理、风险管理和合规性管理的所有要素。 2. COBIT 2019概述: 该部分提供了COBIT 2019的概念、目标、原则和价值主张,以及COBIT 2019框架和其他文档的指南。 3. COBIT 2019各要素的概述:该部分详细介绍了COBIT 2019框架中包括管理目标、流程和控制等要素,以及每个要素的定义、目的和价值。 4. COBIT 2019实践指南:该部分提供了COBIT 2019框架的实施指南,帮助企业了解如何使用COBIT 2019框架实践可持续的IT治理和管理。 5. COBIT 2019参考工具包:该部分提供了更具体的参考工具,包括指导、模板、表格和流程图,以帮助企业在实施COBIT 2019框架时更加顺利。 6. COBIT 2019附录:包括术语和缩略语、COBIT 2019框架的开源法律协议、参考文献、COBIT在线资源和构建COBIT资质认证方案的想法。 总之,COBIT 2019框架和所有文档是企业IT治理中非常重要的标准和指南,并提供了实施最佳实践的方法和指导,帮助企业更加有效地管理和控制风险、提高IT价值和可持续发展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值