原作者:Mark Thomas(CRISC,CGEIT)
ISACA发布了最新版本的COBIT框架,我可以毫不犹豫地告诉您,这个最新的结构是迄今为止企业信息和技术治理(EGIT)领域最佳治理和管理框架之一。如果你还没有看过COBIT 2019,现在是时候了。
此次发布中包含了以下4个主要出版物:
《COBIT 2019框架:引言和方法论》,阐述了整体框架的结构
《COBIT 2019框架:治理和管理目标》,包含了COBIT核心模型及40个治理和管理目标的详细说明
《COBIT 2019设计指南》 ,为如何将COBIT付诸于实践提供了指导
《COBIT 2019实施指南》,与《COBIT 5实施指南》相关,是其更新版
我喜欢ISACA的做法之一是,前2个出版物对于ISACA会员和非会员都是免费提供的,你可从COBIT 2019的相关网页上下载PDF版本。而第3、第4个出版物对于会员也是免费的,会员同样可以在网上下载到PDF版本。
大家都知道我是各种框架的忠实粉丝,而COBIT的这个新版本就是很好的一个,是一个更加全面的信息和技术(Information and Technology, IT, I&T)治理和管理框架。 COBIT持续将自己建立为不仅是一个普遍接受的I&T治理框架,而是一个针对整个企业的框架。也就是说,企业用于实现其目标的所有技术和信息处理。值得注意的是,COBIT不是组织业务流程的框架,也不是治理和管理所有特定技术的框架。它侧重于治理和管理企业接收、处理、存储和传播信息所需的IT组件。
COBIT 2019有什么新内容?
我阅读这些新出版物发现COBIT 2019与其前身COBIT 5之间存在一些重大差异。这些差异包括:修订的原则;新的关注领域;新的设计因素;更新的目标梯度;修订后的流程(从37到40);更新的绩效管理;“治理组件”一词取代了COBIT 5的使能者;以及我个人最喜欢的,新的详细的治理和管理目标。有很多积极的变化很难在这里一一列出,因此我将重点介绍新组件和治理与管理目标之间是如何相互关联的。您可能想知道流程是如何适应这一点的。下面我就来给您讲解一下。
治理组件
为了实现治理和管理目标,企业应建立一个由多个组件构建的治理系统。组件是一些因素,这些因素单独和协同-,可以有助于企业在IT上的治理系统良好运行。这些组件包括:
•流程
•组织结构
•信息流和信息项
•人员、技能和胜任力
•文化、道德和行为
•政策与程序
•服务、基础设施和应用程序
您可能还记得COBIT 5中的这些动力。我喜欢COBIT 5里面“动力”这一概念,但很难将它与企业中的实际应用联系起来。现在,这些组件是COBIT 2019框架的关键部分,他们是如何与治理和管理目标相关联的基础。
治理和管理目标
交付I&T价值的关键领域之一是有助于实现企业目标(已在修订后的目标梯度中确定)。这些目标位于我们之前看到的相同的领域中,如图1所示:
图1—COBIT 2019 域
每个领域都有一组治理和管理目标。治理或管理目标总是与实现该目标的流程和相关组件相关。治理目标与评价、指导和监控(Evaluate, Direct and Monitor, EDM)相关,而管理目标则与匹配、计划和组织(Align, Plan and Organize, APO);构建、获取和实施(Build, Acquire and Implement, BAI);交付、服务和支持(Deliver, Service and Support, DSS);监控、评价和评估(Monitor, Evaluate and Assess, MEA)相关。
此次的框架中有40个治理和管理目标,如图2所示:
图2—COBIT 2019 治理和管理目标
COBIT 2019将COBIT 5中的流程参考模型(Process Reference Model, PRM)确定为COBIT核心模型(Core Model)。在这个模型中,40个治理和管理目标的每一个都与某一个流程相关,而相关的流程就是治理组件之一。那么,所有这些是如何组合在一起的呢?
使用治理和管理目标组件
如前所述, 每个治理和管理目标始终关联COBIT核心模型中的1个流程, 因此,核心模型有40个流程也就不足为奇了。这就是这个模型的强大之处。记得之前我提到过COBIT 5动力很难关联到COBIT模型吗?好了, 现在我们看到这些组件 (以前称为动力) 都被用来描述实现目标的所有要素。
在COBIT 2019框架: 治理和管理目标出版物中, 通过使用图3所示的治理组件明确描述了每一个治理和管理目标 (也称为流程)。
图 3—COBIT 治理体系中的核心模型和组件
现在我已经解释了这些是如何关联在一起的, 接下来让我们举个如何描述治理或管理目标的例子。我将以 BAI06 IT变更管理为例。
高层级信息
这包括领域名、焦点领域、治理或管理目标名称、描述和意图说明 (图 4)。
图 4—治理和管理目标展示
目标分层
这包括适用的一致性目标 (以前称为IT相关目标)、企业目标和指标示例 (图 5)。
图 5—企业目标、一致目标和指标示例的展示
相关组件
如前所述,在COBIT 5中被称为 "动力"的有7个组件。它们是:
1. 流程
每一个治理或管理目标都涉及一个流程, 这是一个关键要素。在流程组件中, 变化不大。我们仍然看到了一组管理实践、指标示例和活动以及相关指南。还记得吗,现在每个治理组件都已经配备了相关指南。COBIT2019的主要新增内容之一是每个活动都关联了一个能力级别 (图 6)。
图 6—流程组件的展示
2. 组织结构
不同的参与程度可被分为不同的责任和执行级别。企业应审查责任、执行,商议和告知的级别 (RACI), 并根据企业的具体环境、优先事项和术语更新组织架构图中的角色和组织结构。这里提示一下,责任和执行的角色会与COBIT 5有所区别;COBIT 5还包括商议和告知角色。由于商议和告知的角色取决于组织具体环境和优先事项, 因此没有将其纳入新的COBIT指南中 (图 7)。
图7—组织结构组件的展示
3. 信息流和信息项
此治理组件提供对于与流程实践相关的信息流和信息项的指南。每项实践都包括输入和输出, 并注明来源和目的(图 8)。
图 8—信息流和信息项组件的展示
4.人员,技能和胜任能力
此组件确认了实现治理或管理目标所需的人力资源和技能 (图 9)。
图 9—人员、技能和胜任能力组件的展示
5. 文化、道德和行为
此组件就组织内支持实现治理或管理目标所期望的文化元素提供详细指南 (图 10)。
图 10—文化、道德和行为组件的展示
6. 政策与程序
此组件就组织内支持实现治理或管理目标所期望的文化元素提供详细指南 (图 11)。
图 11—政策和程序组件的展示
7.服务、基础设施和应用程序
此组件提供有关被用于支持实现治理或管理目标的第三方服务、基础设施类型和应用程序类别的详细指南。指南是通用的 (以避免提及特定的供应商或产品)。
图 12—服务、基础设施和应用程序组件的展示
相关指南
对于每个治理组件, COBIT 2019确认了可被参考的适用的标准、框架和合规性要求。它还包括详细的参考资料。在每个适用组件下都有相关的指南-这与COBIT 5不同, 在 COBIT 5 中, 只有流程才有相关的指南。在即将发表的文章中,请留意我对新的COBIT 2019框架的更多看法。一如既往,感谢您的想法和观点!
马克·托马斯,CRISC,CGEIT
是国际知名的IT治理专家和Escoute Consulting的总裁。他的背景涵盖超过20年的专业经验, 包括从首席信息官到IT咨询和管理的领导角色。托马斯曾领导过大型IT外包团队、管理过企业应用程序实施,以及在跨行业中实施治理和风险流程。此外, 他还是多个学科的咨询培训师和演讲者, 包括COBIT、ITIL和IT治理。
感谢ISACA志愿者翻译小组:
成佳杰,唐四宝,吴海琦,姚凯,尹杭宇
扫一扫
8188
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
