控制目标的内容

（三）IT控制目标的内容^[1]

从规划、组织到获取与实施，再到交付与支持恰好对应着信息系统生命周期中的分析与设计、开发与实施、运行与维护三个重要环节，在这个周期里，监控覆盖了全部过程。这也正是COBIT四个域之间的关系。我们可以看到，COBIT覆盖整个信息系统的全部生命周期，与其他一些标准相比有着更为开阔的视野。下面分别对图5－3中的每一控制过程加以说明。

1.IT规划与组织的控制（PO）

在COBIT中，IT规划和组织是一个控制域。对于一个在IT应用方面成熟的企业，在IT方面投资之前都会有一个详细的规划和论证过程。同时，信息组织结构和职能的优化也是伴随着IT投入而展开的。

规划与组织的重点目标是IT与业务的需求，根据业务目标细化IT战略，确定待开发的IT系统，进行相应的系统分析和设计。应该注意的是，这儿的分析与设计流程范围，比传统所说的信息系统的分析与设计要宽广得多，它强调的是IT战略要符合业务战略，任何信息系统的开发都应该与业务战略保持精确的一致。从业务战略的高度来分析和设计信息系统。提供这个阶段主要是考察组织的需求，同时根据这些需求设计合理的资源组合，设立合理的服务级别、目标，提供满足客户需求的IT服务。

在这个域中，COBIT列出了11个需要控制的过程（Processes）。

（1）定义IT战略规划（PO1）。在COBIT中，要求通过战略规划，为企业提供长期并符合企业发展目标的IT规划，并且定期将这目标转换成可以操作的短期实施计划。在IT规划和组织中首先提出需要控制的过程是：对企业IT战略规划制定的控制。该控制确保企业在制定计划时考虑到这些因素：企业的业务战略，明确定义了IT是如何支撑业务目标实现的，目前的技术解决方案和架构情况、技术发展趋势，可行性研究与对比、现有系统的评估，企业在风险控制、市场反应和质量方面所处的地位等等。

（2）定义信息结构（PO2）。“信息孤岛”是目前许多企业所面临的一个问题。造成“信息孤岛”的原因是多方面的，有管理方面的原因，但更重要的是企业在IT规划和组织过程中没有对企业的信息结构进行明确的定义。在COBIT的“IT战略规划和组织”中，对“定义信息结构”这个过程有个明确的控制目标。控制的对象是建立和维护业务信息模型，确保企业获得适当信息系统的整个流程是否合理。具体控制评估的内容包括：数据字典、数据语法规则、数据使用权限和安全定义、反映业务特征的信息模型以及企业信息架构的标准。

（3）确定技术方向（PO3）。IT在企业中的作用是服务于业务自身的需要，那么企业在决定信息技术方向时必须有一个能够很好制定和管理技术选择的过程，而这个过程就是要确保技术能够很好地实现企业对产品、服务和交付能力的期望。对于这样的过程，COBIT提出需要考虑的控制细节。它包括：现有技术架构的能力，通过可靠资源对技术发展进行跟踪，进行概念论证，明确技术实现的风险和机遇、技术获取计划、技术切换策略，明确与技术供应商的关系，独立的技术再评估和软硬件价格性能的变更等管理。

（4）定义IT组织与内部关系（PO4）。信息技术在企业中的成功应用已经越来越不是技术本身所能决定的，而是需要企业具备完善的IT决策服务组织体系去实现IT在企业中的价值。COBIT对于“定义IT组织与内部关系”的过程控制提出了11个控制目标和方向，它们是：董事会对IT所担负的职责，管理层对IT的监督和指导，IT与业务的匹配，在企业关键战略决策中IT的融入，组织的灵活性，角色与职责的清晰，平衡监督和放权的关系，工作描述，安全、质量和内部控制等的组织定位，责权分离等。

（5）IT投资管理（PO5）。企业每年在IT方面的预算和支出都在增长。对于IT投资决策和资金使用管理的流程控制是确保企业信息化建设有效开展的关键。对于这个决策和管理的控制，COBIT提出了建立滚动的投资和运营预算并要求必须获得业务部门的批准。在这个过程中，需要考虑的控制内容包括：筹资方式的选择、清晰的预算所有权、实际支出的控制、成本的合理性、收益的合理性和收益实现的追溯、技术和应用软件的生命周期、与企业业务战略的匹配程度、影响力分析和资产的管理。

（6）传达IT管理层目标和方向（PO6）。企业中，管理层在IT方面的目标和方向需要通过合适的渠道和流程由上至下传达，同时要确保用户的意识和对这些目标的正确理解。COBIT对于该控制目标，提出了企业需要有清晰的IT目标描述，技术应用方向应该与企业的业务目标紧密相连，具备行为规范，质量承诺，安全与内部控制政策，安全与内部控制规范、持续的共同计划以及检验法律法规的遵守性。这些对“传达IT管理层目标和方向”的控制要素，将确保企业的IT管理目标和方向为企业员工理解。

（7）人力资源管理（PO7）。信息系统的效益是靠人用出来的。企业IT的应用技能直接关系到系统是否能够实现业务目标和要求。企业需要有一个合理、公平和透明的人员管理规范，从招聘、使用、待遇、培训、评估、晋升到解雇。COBIT对于“人力资源管理”控制目标提出了具体的注意点，它包括：招聘和提升，培训和资格要求，意识的建立，跨部门培训和岗位轮换，聘用、使用和解雇的程序，目标和绩效评估，对技术和市场变化的反应，内部和外部资源的平衡，关键职位的梯队培养。

（8）遵守外部规则（PO8）。由于企业和社会对信息技术的依赖程度越来越强，政府制定了不同的法律和法规来规范和约束信息技术的使用，以降低由于信息技术对社会生活和商业活动的顺利展开所带来的不利影响。许多法规都与企业信息技术的应用有或多或少的联系。企业必须确保能够遵守这些法律法规。COBIT提出需要通过识别和分析外部的这些规定对企业本身IT应用的影响，并采取适当的措施来遵守它们。COBIT提出了几点需要考虑的控制点：法律、法规及合同，跟踪法律法规的发展变化，定期监督执行情况，隐私和知识产权的保护。

（9）风险评估（PO9）。企业的业务和管理的实现需要IT的帮助。帮助意味着依赖，依赖意味着风险。信息系统在企业中的应用，需要有一套管理体系去应对系统使用过程中的风险。COBIT针对“评估风险”这一控制目标，提出在这个风险管理体系中，需要有IT风险的识别、影响力分析，涉及多个部门并且需要采取最经济和有效的措施来规避风险。同时考虑：风险管理的所有权和责任权，不同类型IT的风险（技术、安全、持续性、规范性等），所定义和发布的风险容忍限度，根本原因的分析，风险的定性和定量衡量，风险评估方法论，风险行动计划，及时的再评估。

（10）项目管理（PO10）。COBIT针对这个过程的控制提出企业对项目的安排需要与企业的业务运营计划相符合，并采用合适的项目管理手段来确保项目按计划完成。在控制过程中，需要考虑的内容包括：业务部门对项目的支持，计划管理，项目管理能力，用户参与，任务分解、里程碑定义和阶段审核，责任分配，对里程碑和阶段成果交付的跟踪，成本和预算，内部和外部资源的平衡，项目风险的评估，开发到运营的转换。

（11）质量管理（PO11）。对于系统和信息组织为各个业务部门提供的服务，也存在着客户和服务供应商这样的关系。COBIT提出这类服务质量管理同样需要计划、实施和维护等质量管理标准的存在。重点考虑下面几点因素：质量文化的建立，质量计划，质量保证责任制，质量控制规范，系统开发生命周期方法论，程序和系统测试及文档，质量保证审核和报告，培训和最终用户及质量保证人员的参与，质量保证知识体系的建立，行业标准的对比。

2.IT获取与实施过程控制（AI）

COBIT把信息技术的“获取和实施”作为IT过程控制的一个控制域，并在其中定义了需要控制的六个主要IT过程。

（1）确定系统的解决方案（AI1）。确定系统解决方案的过程也就是通常所讲的系统选型过程，系统解决方案的识别和选择是企业信息化建设中的一个重要环节。企业信息化建设已经从初期的注重技术的先进性，逐步发展到以企业的实际业务需求作为驱动，系统对业务的支持和满足已经是很多企业考虑的首要问题，这是实现企业信息化建设投资高效和低风险的关键。那么在企业“识别和选择信息系统解决方案”这个过程中，需要考虑哪些因素才能确保系统满足企业的需求呢?

COBIT在这一过程控制中提出：企业需要在明确业务需求的情况下，客观而清晰地对多种方案进行识别和分析。在这个过程中，需要考虑的因素有：市场对该系统方案的认可度，获得和实施该方案的方法论是否合理，系统用户参与实施还是直接购买系统，系统方案与企业IT战略的匹配性，企业的信息需求定义，可行性研究（成本、收益、可选方案等），系统的功能性、可操作性、适应性和持续发展性，系统是否符合企业的信息结构，系统是否具备经济有效的安全控制，系统是否明确了系统供应商的责任。

（2）获取与维护应用软件（AI2）。如果说，确定系统解决方案或系统选型过程是让企业知道什么方案适合自己，那么获取和维护应用软件的过程才是实现系统给企业带来收益的开始。COBIT对于这个过程的控制是确保这个过程能够提供支持业务流程的有效应用功能。具体来说就是软件系统必须能够和业务流程很好的融合。

在企业变得更为理性的时候，知名度高的应用软件系统并非成为企业的首选，关键是企业的业务需求是否能够获得所选系统的支持，企业的业务流程（经过优化）能否和系统融合，系统在实施过程中的每个阶段是否都有明确的成果。COBIT针对这个过程的控制提出了需要考虑的方面包括：功能测试和验收、应用控制和安全需求、文档化管理需求、应用软件生命周期、企业信息结构、系统开发生命周期方法论（SDLC Methodology）、人机界面、系统的二次开发。

（3）获取并维护技术基础设施（AI3）。COBIT在这个控制过程中，强调“获取和维护技术基础设施”过程必须为满足业务需求的应用软件系统提供合适的运行平台。

COBIT在对“获取并维护技术基础设施”过程的控制中，重点要考虑的因素有：硬件设施的标准和未来的应用方向是否符合实际需要;对硬件的评估;安装、维护和变更的控制;升级、切换和移植的计划管理;内部和外部技术设施和资源的使用;确认与硬件供应商的关系以及它们的相应责任;变更管理;硬件设施总拥有成本;系统软件的安全性。COBIT所提出九个方面的考虑覆盖了硬件设施从采购、安装调试到日常维护的整个过程。

（4）开发和维护技术系统的使用流程（AI4）。企业对信息系统的依赖性使得业务运行的稳定性对系统的敏感性越来越强。系统一方面在给企业的业务运作和管理带来收益的同时，它的复杂性在另一方面也给企业信息系统的管理带来了很大的压力。此时，企业应该把信息技术管理部门作为一个企业的经营和管理中不可缺少的业务部门来看待。从业务部门管理的角度来看，需要有相应的流程来实现业务需求;从信息技术部门管理的角度来看，业务就是为系统用户或使用部门提供满足他们业务需求的信息服务，确保信息应用和技术解决手段能够得到很好的利用。

COBIT认为，对于实现信息技术部门业务的流程制定和维护的过程控制，将直接影响到信息技术部门是否能够最终满足业务部门对信息技术部门在信息服务方面的要求。在COBIT中，这种控制体现在企业是否有结构化的手段来制定和开发用户手册、运作流程、服务要求和培训材料等。另外还必须考虑其他方面的因素：业务流程设计，程序的需求与技术交付的同等重要性，开发编制程序的及时性，用户程序和控制，运作管理程序和控制，培训材料，变更管理。

（5）系统安装与验收（AI5）。系统要满足业务的需求不仅仅是选择一套在功能上符合业务要求的解决方案，更重要的是实施这个解决方案并使它能够不断满足业务持续发展的需要。对系统安装与验收的过程控制是为了确保这个过程的有效性。

COBIT对这个过程的控制，要求企业具备规范和标准的系统安装、移植、切换和验收计划。同时还要考虑：用户和信息技术运营管理人员的培训，数据转换，测试环境是否反映实际环境的特征，实施完成后的评估和反馈，最终用户在测试时是否参与，持续的质量改进计划，业务连续性需求，系统能力和数据吞吐量的衡量，以及达成共识的验收标准。

（6）系统的变更管理（AI6）。信息系统是为业务部门服务的。但是企业的业务是在不断变化和发展的，相应的信息系统也必须与业务的发展同步。业务对信息系统需求的变化在信息化程度高、业务依赖性较强的企业非常普遍。

COBIT提出了企业需要有一套针对现有信息系统进行变更的管理体系，它包括对所有提出的系统变更进行分析、实施和跟进的管理。对于这套体系的控制将确保由于变更而可能给企业带来的风险降低到最低限度。在对这个流程的控制中，需要考虑的因素有：变更的识别，分类、优先确定和紧急处理程序，影响度评估，变更的授权，变更后的发布管理，软件的发布，工具的使用，配置管理，业务流程的重组。

COBIT在“获取和实施”这个控制域提出了企业从获取信息技术到实施完成中对六个方面的过程控制。在这里需要说明的是，“实施”在这里的概念不仅仅是系统的安装和调试，而是最终符合业务需求才能认为是“实施”的完成。从企业需求动态变化的角度来看，“获取和实施”这个过程是一个循环的过程，因此对于这个过程中COBIT所提出的六个目标控制过程的监督也是循环进行的。

3.IT交付和支持的控制（DS）

在IT治理中，确保IT投资的有效性和高效性是核心; IT投资是否能够满足业务需求是投资收益的关键，而COBIT中的IT交付和支持的过程控制正是为企业提升IT系统投资回报率服务的。下面从控制和管理的角度来分析COBIT所提出的13个需要控制的IT交付和支持流程。

（1）定义和管理服务品质（DS1）。系统用户对于系统的要求与IT部门对系统的要求是不同的;而服务品质则为用户和信息技术部门建立了一座沟通的桥梁。对于这个过程的控制，COBIT要求所定义的服务品质是可以衡量的，内容包括服务品质本身的文字描述;服务提供方和服务使用方的责任;系统服务的反应时间;相关信息的保密;使用方满意的标准;所要求服务的成本收益分析等。

（2）控制第三方服务（DS2）。如今很多企业把信息系统服务和系统本身的维护交给第三方来管理。这种模式有很多优越性，但同时导致企业对信息系统服务质量的控制能力变弱，这就需要加强对第三方服务提供者的控制。COBIT在该过程的控制中，关注的内容有：第三方服务协议;信息保密协议;服务交付的监督和汇报机制;第三方服务的风险评估;服务品质实现的奖惩机制等。

（3）控制系统的性能和能力（DS3）。系统的性能和能力直接关系到信息服务的及时性和准确性。COBIT要求系统的性能和能力必须能够满足业务要求，并且能够以最有效和最经济的方式满足服务品质中所定义的要求。为此，企业需要对系统所表现的性能、能力和工作负荷进行评估，以满足服务品质的要求。COBIT重点关注：业务对系统性能和能力的需求;系统性能和能力的管理机制等。

（4）确保服务的连续性（DS4）。从技术和成本收益的角度讲，企业无法获得百分之百的系统可靠度。系统故障发生的可能性总是客观存在的;而如何在系统出现故障时把对业务活动的影响控制在最小程度是决定业务运行安全的重要因素。COBIT在这方面重点关注的内容包括：是否有合理的系统故障重要性分类;故障发生时是否有业务活动的替代流程;是否有备份和恢复程序;是否定期对系统的软硬件进行测试并对相关人员进行培训等。

（5）确保系统安全（DS5）。尽管访问信息时有严格的限制，但消除这种限制却非常简单，所要做的只是获得一组数字或字母。业务需求除了要求系统从功能上满足外，还必须反映出业务运行中的秩序和相应的控制机制。COBIT关注和审核的对象包括：对信息机密程度和有关隐私信息的定义;授权、身份甄别和系统访问控制;系统用户识别和授权的相关信息;密钥管理;防火墙管理等。

（6）识别并分摊成本（DS6）。由于对信息服务的品质做了明确具体的定义和要求，信息服务所提供的价值与过去相比有了很大的改进;同时业务要求越高，获得服务的成本也就越高。从投入产出比最大化的角度来说，业务部门必须能够以最经济的成本满足业务需求。在对该过程的控制中，COBIT关注的内容包括：企业是否明确了解所利用的信息资源以及这些资源是否可度量;企业是否定义和执行完善的计费政策和程序;企业如何核实所实现的收益等。

（7）教育与培训用户（DS7）。对用户的培训是确保实现服务品质要求、满足业务要求的重要环节。教育和培训过程是为了确保用户能够有效使用技术并在使用过程中明确技术带来的风险，以及自己所应该承担的职责。COBIT要求企业在提供综合性的培训和发展计划的同时，要考虑到培训课程的设置、技术的储备、意识的培养、新培训方法的运用、个人的学习效率以及知识库的开发等。

（8）为用户提供帮助和建议（DS8）。业务部门在使用信息部门提供的服务过程中，经常会出现各种各样的问题。有些问题与用户的使用技能有关，有些问题是由于业务环境变化需要对系统进行相应的调整，也有些问题是系统本身的技术原因造成的。无论是哪种因素引起的，信息服务部门和业务部门之间必须建立相应的流程，对这些问题在第一时间进行及时和有效的处理。COBIT在该过程控制中关注的焦点有：用户问题的监控和处理;潜在问题和趋势的分析和报告;问题的追踪等。

（9）配置管理（DS9）。系统的复杂性给信息服务部门的日常管理带来了极大的困难，这就要求信息服务部门对系统有个全面的描述和记录，以便在系统出现问题时及时寻求解决方案，同时防止系统各类参数和设置在未经授权的情况下被人为改动。COBIT在该过程控制中关注的内容有：IT资产的跟踪;配置变更的管理;企业是否使用了未授权的软件;软硬件的关联和集成度的记录描述等。

（10）问题与突发事件管理（DS10）。在信息服务的交付和支持过程中，问题和突发事件随时都有可能存在。为了减少这类问题和事件的重复发生，企业内部必须建立相应的问题和突发事件的处理机制，通过对所发生事件的分析，杜绝类似问题的重复发生，从而在不确定环境中寻找主动解决问题的机会。COBIT在对该过程的控制中关注的内容有：问题审计线索和解决方法;所报问题的处理和解决的及时性;逐级上报程序的有效性;事件记录的完整性;系统提供商的责任定义以及变动管理与问题和突发事件管理的协调性等。

（11）数据管理（DS11）。数据是信息服务中最基本的组成元素。确保数据在输入、更新和存储过程中的完整性、准确性和有效性是信息服务管理中的核心环节。在这个过程中，COBIT的主要控制目标涵盖了数据整个生命周期中的不同阶段和特征：它包括数据的格式;源文档的控制、数据输入、处理和输出的控制;数据存储介质的识别、移动和数据存放点的管理;数据备份和恢复、数据验证和完整性的管理、数据所有权的定义、数据管理政策、数据模型和数据标准、整个系统应用平台上数据的一致性，以及涉及数据管理的法律和法规要求等。

（12）设施管理（DS12）。系统设施的有效管理是IT及时有效交付的保证。在这个过程中，信息服务部门需要提供合适的物理环境来保护IT设备和相关人员免受人为的和非人为的危害。为了确保有效性，COBIT的控制目标是让企业有合适的系统安置环境以及对安置环境有很好的物理控制，并对定期控制的有效性进行评估。在控制目标的审核中，COBIT重点关注：对设施访问的控制;物理环境的安全性;业务连续性机会和危机管理机制的合理性;相关人员的健康和安全等。

（13）运营管理（DS13）。信息系统的运营管理贯穿整个信息服务的生命周期，其目的是确保重要的系统支持功能都能够得到定期和有序的管理。这个过程事实上是一系列支持性活动，并对所有的支持活动进行跟踪。COBIT在该过程控制中主要关注：企业是否具备运营程序手册;系统运行流程的文档化管理;网络服务管理机制是否健全;系统变更、系统可用性和业务持续性管理三者之间是否协调一致;预防性维护机制是否健全和有效等。

4.监控（M）

上述过程都需要进行监督，以便对系统的品质和内部控制要求的落实进行评价，并加以改进。其控制要点及控制目标和政策如下：

（1）系统处理过程监控（M1）。过程监控是为了确保系统运行性能目标的实现。管理层应该搜集有关处理过程的信息，并对系统服务水平的满意度进行评估。IT部门应对系统运行的异常情况进行及时报告;监控过程应生成综合的信息管理报告，并向高层经理报告。

（2）评价内部控制的适当性（M2）。确保统内部控制目标的实现。审计机构负责对内部控制进行持续监督和评估，对严重偏差应向高级主管报告; IT管理人员对系统自动生成的有关差错、不一致或异常情况的信息进行记录和系统报告;管理层还应对上述内部控制评估结果和建议予以适当考虑。

（3）获取独立的质量保证（M3）。提高企业、用户和第三方服务提供商之间的相互信任和系统的置信度水平。企业应定期获取系统运行质量（包括相关法令和合同规定的遵循情况、安全水平）的独立保证;获取对第三方服务提供商、系统安全水平和内部控制运行状况的独立保证。

（4）供独立的审计（M4）。企业设立独立的内部审计部门，在审计委员会或高层决策机构领导下工作;规定审计部门不参与系统开发、运行和管理业务;授权审计部门负责测评内部控制的制定和执行情况;审计人员的配备和技术能力必须得到保障;审计部门必须建立职业规范、内部控制评价工具和标准;审计委员会或分管机构评估内部审计职业标准的遵循情况和审计效果。