COBIT的全名是Control Objectives for Information and related Technology,是一個由美國負責資訊技術安全 與控制參考架構的組織ISACA(Information Systems Audit and Control Association)在1996年所公布的業界標準,目前已經更新至第三版,是國際上公認的最先進、最權威的安全與資訊技術管理和控制的標準。COBIT歸納了世界上18項相關的來源,形成了一套專供企業經營者、使用者、IT專家、MIS審計員與安控人員來強化和評估IT管理和控制的規範。
COBIT架構的主要目的是為提供業界提供關於IT控制的一個清楚的政策和發展的良好的典範,這個架構共有34個IT的程式,分成四個領域:PO(Planning & Organization)、AI(Acquisition & Implementation)、DS(Delivery and Support)、和Monitoring,所有的程式中包含了302個控制目標,全都提供了最佳的施行指導。
以下是分類介紹:
1. 管理指導方針(Management Guidelines):包括了成熟度等級模型(Maturity Models)來協助決定每一個控制階段和期待的水準是否符合產業的規範;關鍵成功因素法(Critical Success Factors)用來辨認IT程式中達成控制最重要的活動;關鍵目標指標法(Key Goal Indicators)來定義績效的目標水準;而關鍵效能指標法(Key Performance Indicators)則用來測量IT控制的程式是否能達到目標。這些指導方針都是為了要確保企業能成功及有效地整合企業商務程序與資訊系統。
2. 管理者摘要(Executive Summary):健全的企業決策在於即時、恰當和簡要的資訊,這裡提供了讓分秒必爭的資深管理階層瞭解COBIT關鍵概念和原則的綜述及讓他們更深入瞭解COBIT細節的四個領域及34個相關IT程式的概要架構。
3. 架構(Framework):一個成功的組織是建構在一個資料和知識的堅固架構上,所以在這個部分詳細描述了COBIT的34個IT高層次的控制目標,並且指出了企業對資訊標準的要求(效果、效率、隱私性、真確性、可用性、承諾、可靠性)和IT資源(人力、應用、技術、能力和資料)上的需求是如何緊密的融入各個控制目標中。
4. 審計指導方針(Audit Guidelines):為了要達成所期待的目標,必須要持續和確實地審計所有的程式。這裡建議了關於34個IT高層次的控制目標的審計步驟,來協助資訊系統的審計員來檢驗IT的程式是否符合302的個別的控制目標,以提供管理上的保證和改進的建議服務。
5. 控制目標(Control Objectives):在科技不斷變化的環境中能維持贏利的關鍵在於如何維持良好的控制。COBIT的控制目標為IT控制提供了一個用來明晰策略和良好的實施指導的關鍵方針,包括了用來達成所期待目的或結果的302個別控制目標的詳細說明。
6. 應用工具集(Implementation Tool Set):包括了管理意識(Management Awareness)、 IT控制的診斷(IT Control Diagnostics)、應用指導(Implementation Guide)、常見問題集(FAQs)、應用COBIT組織的個案研究(Case Studies)及介紹COBIT的相關教材(Slide resentations)。這些新的工具組主要是設計讓COBIT的應用更為容易、讓組織能快速地且成功地從教材中學到如何在工作環境應用COBIT、並且讓領導層思考COBIT對企業目標的重要性。 以上是COBIT初步的概念,下面再進一步介紹其四大領域和34IT的程式:
一、PO(Planning & Organization)
1. 定義一個策略性的IT計劃
2. 定義資訊的架構
3. 決定採用技術的方向
4. 定義IT組織及其關係
5. 管理對IT的投資
6. 管理目標和方向的溝通
7. 管理人力資源
8. 確保遵循外部的條件
9. 資產風險
10. 專案管理
11. 品質管理
二、AI(Acquisition & Implementation)
1. 辨識解決方案
2. 應用軟體的取得與維護
3. 技術架構的取得與維護
4. IT程式的發展與維護
5. 系統的安裝與確認
6. 變革管理
三、DS(Delivery and Support)
1. 定義服務的層次
2. 第三者提供服務的管理
3. 效果和能力的管理
4. 持續服務的確保
5. 系統安全的確保
6. 成本的確認和分攤
7. 使用者的教育和訓練
8. 對IT客戶的協助和建議
9. 型態設定的管理
10. 問題和意外事件的管理
11. 資料的管理
12. 相關設施的管理
13. 運營管理
四、M(Monitoring)
1. 流程監測
2. 內部控制適當性的評估
3. 自主性保證的獲得
4. 自主性審計的提供
COBIT可應用在所有的公司資訊系統,包括了個人電腦、小型電腦、大型主機和分布式運算環境,它建立在一個IT資源必須被一套自然分類的程式所管理的想法上,而這想法是為了要能提供組織要達成目標的適當且可靠的資訊。目前 ISACA組織,針對 COBIT資訊控制的專業,提供專業的認證,經認證的專家在歐美各國已協助執行電腦安全控制審計的曆史已有十多年;針對網路安全的挑戰,強化了許多控制管理的要項。目前我國已有十餘名經考試與認證通過的國際電腦審計師(CISA: Certified Information Systems Auditor);美國電子簽章法案,對電子憑證服務單位的資訊安全控制,甚至要求具有CISA資格的人員執行獨立性審計,以確認其安全管理的有效性,足見CISA的市場前景。