COBIT 5 培训ppt课件

COBIT 5 培训1A COBIT 5 Overview25 Jun 2015/CSSTCOBIT 5 培训21. Whats COBIT2. The Evolution3. The IT G Focus Areas & Value of COBIT4. Why COBIT5.05. Product Family6. COBIT5.0 Principles7. The Governance Objective: Value Creation8. Goals Cascade9. Governance Approach10.Framework Integrator11.Enablers12.EDM Model13. Process Reference Model 14. Process Capability ModelOutlineCOBIT 5 培训31. COBIT Whats COBITCOBIT(Control Objectives for Information and Related TechnologyControl Objectives for Information and Related Technology) COBIT是一个在国际上得到公认的、先进的和权威的安全与信息技术管理和控制标准，它在业务风险、控制需要和技术问题之间架起了一座桥梁，它可以辅助管理层进行IT 治理，指导组织有效利用信息资源，有效地管理与信息相关的风险。面向业务是COBIT的主题，它不仅是为用户和审计师而设计，而且更重要的是它可以作为管理者及业务过程的所有者的综合指南。 COBIT真正关注的问题是，企业是否具备适当的控制力，以确保符合相关的管理规定。它帮助企业确定他们是否正在做他们表示要做的事，以及他们是否可以证明这一点 。COBIT 5 培训41996199820002005/72012COBIT1COBIT2COBIT3COBIT4.0/4.1COBIT5.0AuditAuditControlControlManagementManagementIT GovernanceIT GovernanceGovernance of Enterprise Governance of Enterprise ITIT2. COBIT the evolutionEvolutionEvolution1996 ISACF 审计指南 1998 ISACF 控制目标2000 ITGI 管理指南 2005 ITGI 治理与管理 2012 ISACA 组织治理 COBIT 5 培训53. IT G focus Areas & COBIT ValueIT治理关注的领域战略定位： IT与企业运营保持一致价值交付：优化成本和证明IT的内在价值风险管理：风险意识、风险偏好、合规需求资源管理：关键IT资源的最优投资和恰当管理性能测量： 跟踪和监控 COBIT的价值：通过实施COBIT,增加了管理层对控制的感觉及支持。COBIT使IT管理工作简易并量化，减轻对复杂信息系统管理工作的难度，并且可以应用在每天都发生的各种新问题中。COBIT提供一种国际通用的IT管理及问题解决方案。COBIT有助于提高信息系统审计师的影响力。COBIT框架可以帮助决定过程责任，提高IT治理水平。PerformancPerformance eMeasurementMeasurementResourceResourceManagementManagementRiskRiskManagementManagementValueValueDeliverDelivery yStrategicStrategicAlignmentAlignment ITGovernance DomainsCOBIT 5 培训62012年4月10，ISACA官方即将正式发布CobiT5.0，这是COBIT 发展16年来最重大的一次变化。CobiT5.0是建立在CobiT4.1的基础上，并通过整合其他重要框架（重要框架主要包括：ISACAs Val IT、Risk IT及其他相关的国际标准）对CobiT4.1进行扩展而成。CobiT5.0 提供了一个组织IT治理的端到端业务视图，该视图反映了信息技术在创造业务价值时的重要作用。该框架中提供了全球广泛认可的原则、最佳实践、分析工具和模型可帮助组织获得对信息系统的信任并从中产生价值。CobiT5.0 5大本质1.帮助您通过提高IT相关风险的管理能力，增强业务与IT的沟通，提高业务目标的IT交付以从IT中获取更多的价值，降低IT成本，增强企业竞争力。2.能够通过IT治理和管理的业务框架满足业务领导和IT领导的需求。3.能够满足整个企业内利益相关者的需求，并且为更有效的决策阐明目标。4.提供一套整合其他方法和标准的端到端框架，以解决组织的所有领域。5.代表了全球近百位专家的集体智慧。4. Why COBIT5.0 ?COBIT 5 培训75. COBIT 5 Product FamilyCOBIT 5 产品系列包含以下产品： COBIT 5（框架） COBIT 5 促成因素指南，在指南中详细讨论了治理和管理促成因素， 它们包括：促成流程、促使信息（开发中）、其它促成因素指南。 COBIT 5 专业指南，包括：实施、信息安全、保障、风险、其它专业指导COBIT 5 培训8图2COBIT5原则6. COBIT 5 PrinciplesCOBIT 5 培训9利益相关者利益相关者需求需求驱驱动动实现收益实现收益风险优化风险优化资源优化资源优化治理目标：创造价值图3治理目标：创造价值7. The Governance Objective: Value Creation1. Meeting Stakeholder NeedsCOBIT 5 培训10图4COBIT5 目标级联综述利益相关者驱动因素（环境、技术演化，）企业目标IT相关目标促成因素目标实现收益风险优化资源优化利益相关者需求影响级联到级联到级联到附录D附录B附录C图5图68. Goals Cascade1. Meeting Stakeholder NeedsCOBIT 5 培训11图图5COBIT 5 5COBIT 5 企业目标企业目标BSC BSC 维度维度企业目标企业目标与治理目标的关系与治理目标的关系收益实现收益实现风险优化风险优化资源优化资源优化财务财务1.业务投资的利益相关者的价值PS2.竞争产品和服务的组合PPS3.管理业务的风险（资产维护）PS4.遵守外部法律和法规P5.财务透明PSS客户客户6.面向客户的服务文化PS7.业务服务连续性和可用性P8.对业务环境变化的快速响应 PS9.基于信息的战略决策 PPP10.服务交付成本的优化PP内部因素内部因素11.业务流程功能优化PP12. 业务流程成本优化PP13.管理业务的变化方案PPS14.业务和员工生产力PP15.遵守内部政策P学习和成长学习和成长16. 业务熟练和积极进取的人SPP17.产品和业务创新文化P8. Goals CascadeCOBIT 5 培训12图6IT 相关的目标IT BSC IT BSC 维度维度信息及其相关技术目标信息及其相关技术目标财务财务01 IT 调整和业务战略02 IT 遵守和支持企业遵守外部法律和法规的业务03 执行管理对IT 相关决策的承诺04 管理与IT 相关的业务风险05 从IT 技术的投资和服务组合实现收益06 IT 成本，收益和风险的透明客户客户07 符合业务需求的IT 服务的交付08 应用程序，信息和技术解决方案的充分利用内部因素内部因素09 IT 灵活性10 信息、处理基础设施和应用程序的安全性11 IT 资产、资源和能力的优化12 通过将应用程序和技术集成到业务流程中，启用和支持业务流程13 方案的执行提供的好处，按时间，按预算，并满足要求和质量标准14 用于决策的可靠和有用的信息的可用性15 IT 遵守内部政策学习和成长学习和成长16 能干和积极进取的业务和IT 人员17 业务创新的知识、专业知识和举措8. Goals CascadeCOBIT 5 培训13COBIT 5 培训14图8COBIT5 中的治理和管理实现收益风险优化资源优化治理目标：创造价值治理促成因素角色，活动和关系治理范围9. Governance Approach2. Covering the Enterprise End-to-endCOBIT 5 培训15图9关键角色，活动和关系代表拥有者和利益相关者负责治理机构设定方向监控经营指导和调整报告运作和执行角色，活动和关系9. Governance Approach2. Covering the Enterprise End-to-endCOBIT 5 培训16图10COBIT5 单一集成框架现有ISACA指南(COBIT,VAL IT,RISK IT ,BMIS)新的ISACA指南资料其他标准及框架COBIT 5 专业指南COBIT 5 促成因素指南COBIT 5COBIT 5 在线协作环境COBIT 5 产品家族COBIT 5 知识平台l现有指南与内容l未来内容架构COBIT 5促成因素知识库内容漏斗10.Framework Integrator3. Applying a Single Integrated FrameworkCOBIT 5 培训1710.Framework IntegratorISO31000ISO38500BS25999Prince2PMBOKITIL V3ISO27001ISPLSCAMPISCAMPITOGAFSecurity & Availability MgtISO17799ISO13335ISO9001ISO9001IT GRCIT GRCQuality Management SystemIT Governance & Service MgtGovernance & Risk MgtISO15408Project Mgt (New service)ITIL v2ITIL v2IT IT GovernanceGovernanceITSCMGovernance Risk & complianceTicketITNIST800SLM /BR/Configuration MgtITSMSupplier MgtMgt system & OrgFinance & CapacityMgtISO15504Appraisal & audit MgtMOF&MSFISO20000Val ITVal IT3. Applying a Single Integrated FrameworkValue deliveryBCMDRBusiness Continue Mgt Disaster RecoveryCOBIT 5 培训1810.Framework Integrator3. Applying a Single Integrated FrameworkISO38500ISO20000ISO27001COBIT foundation examITIL Foundation examService ManagerExpertCISA/CISMCISSPBUSINESSINDIVIDUALCertifications overviewCOBIT 5 培训19图12COBIT5 企业促成因素2.流程3.组织结构4.文化、伦理道德和行为1.原则、政策和框架5.信息6.服务、基础设施和应用7.人、技能和竞争力资源11.Enablers4. Enabling a Holistic ApproachCOBIT 5 培训2020图13COBIT5 一般促成因素利益相关者利益相关者 内部利益相关者 外部利益相关者目标目标 内在质量 情景质量（相关性，有效性） 可访问性和安全性生命周期生命周期 规划 设计 构建/获得/创造/实施 使用/操纵 更新/报废良好做法良好做法 实践 工作产品（输入/输出）促成因素维度促成因素维度利益相关者的利益相关者的需要处理了吗？需要处理了吗？促成因素目促成因素目标实现了吗？标实现了吗？管理生命周管理生命周期了吗？期了吗？良好做法应良好做法应用了吗？用了吗？实现目标的衡量标准实现目标的衡量标准（滞后指标）（滞后指标）实践应用的衡量标准实践应用的衡量标准（领先指标）（领先指标）促成因素性能管理促成因素性能管理11.Enablers4. Enabling a Holistic ApproachCOBIT 5 培训21调整，规划和组织（APO）建立，获取和实施（BAI）交付，服务和支持（DSS）监控，评价和评估（MEA）COBIT 5 流程参考模型将企业IT 治理和管理流程分为两个主要流程领域：治理：包括5 个治理流程，在每个流程内，定义了评估、指导和监控（EDM）实践。管理：包含四个领域，根据责任区域的规划，构建，运行和监控（PBRM），并提供IT 端到端的覆盖。这些领域是COBIT4.1 域和流程结构的演变。这些领域的名称是根据主要领域的标识选择的，但包含了更多的动词描述他们：图15 COBIT 515 COBIT 5治理和管理的关键领域治理和管理的关键领域评估评估计划计划(APO)(APO)构建构建(BAI)(BAI)运营运营(DSS)(DSS)监控监控(MEA)(MEA)治理管理指导指导监控监控业务需求管理反馈5. Separating Governance From Management12.EDM ModelCOBIT 5 培训22图图14COBIT 5 14COBIT 5 治理和管理的相互作用治理和管理的相互作用促成因素促成因素治理治理管理相互作用管理相互作用流程流程在说明性的COBIT 5 的过程模型（COBIT 5：启用流程）中，治理和管理流程是有区别的，每种流程包括一系列具体的做法和活动。流程模型还包括RACI图表，描述企业内部不同的组织结构和角色的职责。信息信息流程模型描述从不同的流程实践到其他流程的输入和输出，包括治理和管理流程之间的信息交换。用于评估，指导和监督企业IT的信息在治理和管理之间交换，如流程模型的输入和输出所描述。组织结构组织结构每个企业都定义了若干组织结构，结构可以放在治理空间或管理空间中，这取决于其决策的组成和范围。由于治理是关于设定方向，在治理结构所做的决策（比如决定投资组合和风险偏好）和落实前面的决策和业务之间产生的互动。原则、政策和原则、政策和框架框架原则，政策和框架是企业内部治理决策的制度化的工具，出于这个原因，它们也是治理决策（设定方向）和管理（执行决策）之间的相互作用。文化、伦理道文化、伦理道德和行为德和行为行为也是一个企业良好治理和管理的关键促成因素，它位于顶层，由示例引导，因此是治理和管理之间的重要的相互作用。人、技能和竞人、技能和竞争力争力治理和管理活动需要不同的技能组合，但治理机构成员和管理层的一项基本技能是理解任务以及治理与管理之间的不同之处。服务、基础设服务、基础设施和应用施和应用服务是必需的，由应用程序和基础设施支持，从而为治理机构提供充足的信息，并支持治理活动的评估，方向设定和监控。5. Separating Governance From Management12.EDM ModelCOBIT 5 培训23评价指导监控IT实施IT项目提提出出建建议议业务压力业务需求规划策略绩效合规IT治理业务流程 IT IT治理国际标准：治理国际标准：ISO 38500ISO 38500ISO/IEC38500ISO/IEC38500：20082008可以用于任何规模的组织，包括公/私有性质的公司，政府机构以及非营利组织。这一标准提供了一个提供了一个ITIT治理的框架治理的框架，以协助组织高层管理者理解并履行其组织履行其组织ITIT使用的既使用的既定职责，实现定职责，实现ITIT治理的有效性、可用性及效率。治理的有效性、可用性及效率。1 1、主要内容：、主要内容： 范围、应用与目标 良好的IT治理框架 IT治理指南2 2、指导准则：、指导准则： 职责分工 IT支持组织发展 可获得性 可用性 合规性 尊重人性因素（以人为本）3 3、治理机制、治理机制EDMEDM模型模型 评价 指导 监控有效的IT治理应当是可实施的可实施的、具有一致性一致性的，EDM模型聚焦于更广泛层次的ITIT治理治理，它略微不同于管理者典型使用的PDCA模型。在这一模型中，管理者依据业务压力与业务需求依据业务压力与业务需求来监控监控（Monitor）并评价评价（Evaluate）组织的IT使用，而后指导指导（Direct）实施政策方针弥补差距。EDMEDM模型模型12.EDM ModelCOBIT 5 培训242424企业企业ITIT治理流程治理流程图图16COBIT 516COBIT 5流程参考模型流程参考模型EDM01确保治理框架设置和维护EDM02确保收益交付EDM03确保风险优化EDM04确保资源优化EDM05确保利益相关者透明企业企业ITIT治理流程治理流程评估，指导和监控AP001管理IT管理框架AP002管理战略AP003管理企业架构AP004管理创新AP005管理投资组合AP006管理预算和成本AP007管理人力资源AP008管理关系AP009管理服务协议AP010管理供应商AP011管理质量AP012管理风险AP013管理安全调整、计划和组织调整、计划和组织BAI01管理方案和项目BAI02管理需求定义BAI03管理解决方案识别和构建BAI04管理可用性和能力BAI05管理组织变革启用BAI06管理变更BAI07管理变更验收和过渡BAI08管理知识BAI09管理资产BAI10管理配置构建、发展和实施构建、发展和实施MEA01MEA01监监测，评估测，评估和分析性和分析性能和合规能和合规MEA02MEA02监监测，评估测，评估和分析内和分析内部控制系部控制系统统MEA03MEA03监监测，评估测，评估和分析与和分析与外部需求外部需求的符合性的符合性交付、服交付、服务和支持务和支持交付、服务和支持交付、服务和支持DSS01管理运营DSS02管理服务请求和事故DSS03管理问题DSS04管理持续性DSS05管理安全服务DSS06管理业务流程控制13.Processes Reference ModelCOBIT 5 培训2514.Process Capability 14.Process Capability ModelModelCOBIT 5 培训26Thank You !Implementation Guidance1.Differences Between the COBIT 4.12.A Life Cycle Approach3.Process Capability Model4.RACI Model5.Making the Business Case