cobit itil 介绍.ppt

COBIT和ITIL介绍引子-IT审计&风险控制国际:萨班斯法案404条款(SOX)国内:行业风险控制和监管政策公司治理风险控制IT审计2IT管理面临的挑战IT管理面临的挑战IT基础设施环境异构业务应用纷繁复杂日益提升的可用性,,:让这些具有复杂架构的“系统之上的系统”能够协调一致的工作每一个“服务”都需要系统具备一个详尽的、完整的“层次架构”的概念每一系统的独特的行为和状态都可以通过多重元素来进行判断复杂性的意义表现为发生在IT基础设施上的变更操作可能会潜在的影响商业操作的每一个部分,并对企业造成不同程度的威胁数据正在受到威胁扰乱带来收益的部门的服务表现为协调需求时破坏了合规性5加入变更控制目的和意义变更操作必须处于控制中,这样可以减少IT在合规性、服务质量和安全状况等方面固有的威胁国际和国内的法规要求:SoxAct,GLBA,HIPPA,CISP,,最佳实践的重要组成ITIL:ChangeManagementCobit定义企业机构的变更管理操作流程系统管理技术、工具、程式和策略的共同协作如果推进变更管理策略不力,我们会面对:控制不力会导致不可信的审计裁决、潜在的问题、和其他的不规范的事件行为为审计花费高昂费用且困难重重服务质量的下降,计划外工作,由于未经授权和无文案备录的变更操作引发的延迟交付战略项目方案无法判断系统的安全性、数据的完整性,,都要确保IT资产和机密信息受到保护7COBITControlObjectivesforInformationandrelatedTechnologyCOBIT是一个在国际上得到公认的、先进的和权威的安全与信息技术管理和控制标准,它在业务风险、控制需要和技术问题之间架起了一座桥梁,它可以辅助管理层进行IT治理,指导组织有效利用信息资源,有效地管理与信息相关的风险。面向业务是COBIT的主题,它不仅是为用户和审计师而设计,而且更重要的是它可以作为管理者及业务过程的所有者的综合指南。COBIT真正关注的问题是,企业是否具备适当的控制力,以确保符合相关的管理规定。它帮助企业确定他们是否正在做他们表示要做的事,以及他们是否可以证明这一点8CoBIT历史COBIT第一版由信息系统审计与控制基金会(ISACF)于1996年发布。COBIT第二版于1998年出版,修订了高层控制目标与详细控制目标,增加了实施工具集(ImplementationToolSet)信息系统审计与控制协会(ISACA)及其相关的基金会在1998年创立IT治理研究院(ITGI),由ITGI制定并发布了COBIT第三版,加入了管理指南,以及扩展和加强了对IT治理的关注;COBIT基于ISACF的建立的IT控制目标,参照了其他控制框架、行业标准;ITGI于2005年底发布了COBIT第四版,这一版对IT某些过程进行了调整,强调了IT控制与IT治理五个领域的对应关系。9CoBit框架模型10