|
COBIT的控制目标主要是针对信息系统的管理控制和运行控制,COBIT提出的控制目标可以应用到所有的信息系统,下面以COBIT的规划与组织、获取与实施、服务与支持、监控四个域及其高级控制目标为线索来谈谈COBIT标准在企业信息系统中的应用。
系统规划是信息系统建设的第一步,包括信息系统的战略目标、政策和约束、计划和指标分析;信息系统本身的建设目标、建设模式;信息系统的功能结构、组织、人员管理;信息系统的效益分析和实施汁划。规划的好坏对信息系统建设的成败有至关重要的影响。信息系统究竟包含哪些具体的内容和衡量指标?如何推进?推行信息系统的各项工作要经历哪几个发展阶段?这些都是我们在确立企业IT治理工作目标所必须回答的问题体现的是定义战略性系统规划的重要性。整个信息系统的建设要以优化企业管理的核心业务流程,提高工作效率,更好地发挥企业宏观管理、综合协调与服务的职能为总体目标。因此,在建设信息系统的过程中,应以建设关键支撑体系为核心,以建设各个应用功能系统为阶段目标,在长期的建设过程逐渐与其他各个分立的信息管理系统,及各类信息化支撑体系融合并最终形成比较完整信息体系。
一套好的信息系统规划应当具备几个特点: 首先,规划本身应当明确无误而且易于理解,应当是一个可以为大多数人所理解和认同的概念。规划必须得到领导小组的认可; 其次,这套规划必须相对具体,它不仅要提出一个奋斗目标,而且还要说明如何才能够实现这个目标。换旬话说,我们不仅要明确发展企业要达到的终极目标,而且还要说明在企业现有的发展水平下,如何才能够多快好省地建设信息系统; 再次,规划目标应当是可衡量的。否则的话,我们就无从判断自己究竟是否是在向目标迈进,以及自己目前究竟处于哪个发展阶段。 最后,规划必须建立在对内外信息调查的基础上制定。 系统规划阶段投入的时间和精力越多,将来设计和实现的效果就越好,以后花的时间以及遇到的困难和波折也就越少。一个有效的系统规划有利干实现比较友好的系统界面,有利于合理分配和使用信息系统的资源,从而节省信息系统的投资;一个好的规划还可以作为一个标准,用来考核信息系统人员的工作,明确他们的方向,调动他们的积极性。
制定信息体系结构主要完成下列工作: 确定信息体系结构模型。 建立数据字典和数据处理的语法规则。 划分安全级别。
这里要提一提的信息结构和数据与信息标准。信息结构是指信息的组织形式和结构,包括信息的长度、结构和信息问的相互关系。信息结构的定义要有利于信息系统的组织,通过建立并维护一个信息模式,建立一个合适的信息系统,以使企业信息能够被最优化地使用。信息结构包括以下几个内容:文档、数据字典、数据语法规则、数据的所有关系和分类。数据和信息标准主要是明确地定义和规定企业信息的标准和采集与应用的规范。
从应用角度分析,企业的信息系统承载的信息流和数据很重要,对安全性、可靠性的有一定的要求。因此,在构建系统时,可以从三个层次处理问题: 确保核心应用系统和关键环节在各类实施方案中的技术自主性,在此层次的应用系统中,技术的先进性不是首要的。这里需要指出的是,技术自主性的含义是比较广泛的。以软件技术为例,自主技术的软件并非特指在我国自行开发研制的系统平台上由国内技术人员所编制的软件,它可以包括由国内技术人员依靠国外的系统平台和开发平合编制的软件,甚至也可以包括直接由国外软件公司编制的软件,但其中的关键算法和重用接口必须为我方人员所掌握。 对于位于核心层外部,但又与具他外部信息系统(如Internet)存在可监控的隔绝层的层次,可以尽量采用先进技术以提高系统的效率和可靠性。 对于直接与外部信息系统相连的部分,要针对不同情况分别加以考虑。对于安全监控系统要在其核心部分(如核心加密算法)确保技术自主;对于其余部分,由于所承载的信息基本都属于非关键信息,并且需要与其他信息系统的接口保持通信协议、数据格式甚至软件体系的一致性,因此,不应强求对技术自主性的要求。
现代企业的发展离不开现代信息技术,由于企业所处的行业不同,采用的技术也不尽相同,每个企业在实施IT治理时一定要确定企业技术的大方向。建立一个开发信息系统的技术框架,充分利用已掌握和可获得的技术优势。通常企业的信息系统包括5个方面的技术:通信网络平台、计算机系统硬件和操作系统软件平台、数据库平合、应用软件平台、安全体系和安全标准。技术方向的选择必须同企业信息系统的开发需求匹配,既要保证技术的先进性,适应企业信息化发展的需要,同时又要充分考虑所需的资源、人力和设备的花费在预算的范围内。技术方向的选择必须满足以下要求: 为系统将来的扩展留有余地,采用的技术需要能无缝升级; 具有高度的可伸缩性、能够实现多系统并存所需的互操作能力,以及多种资源管理能力; 对技术基础架构进行规划; 时刻关注技术的发展趋势及其相关规则; 在技术飞速发展的情况下,尽量保证技术的基础架构的连贯性; 注意平衡硬件和软件采购; 注意技术的各种标准,尽量符合这些标准。
实施IT规划或是建立各种领导委员会; 确立IT功能中的组织定位; 审视企业已经取得的成绩; 明确各自的职能与职责; 明确质量保障、逻辑与物理安全方面的职责; 确立所有权和管理人的职务; 确立数据和各个系统的所有权关系; 实施监控和职责划分; 明确IT员工的工作和位置; 明确各个人员、部门之间的关系;
随着企业信息化向纵深发展,IT投资越来越重要,因此要对IT投资实施有效的管理才能利企业IT治理。具体来说就是要做到: 每年都要进行IT操作预算; 对IT投资的成本和收益进行监控; 考察IT投资的成本和收益的正确性;
企业人力资源的管理是企业管理的重要方面,主要包括:员工的招聘、培训、升迁、储备与精简;如何提高员工的素质;不同部门员工的职责划分;员工工作绩效的评估、工作的终结与变更等方面。 首先要审视外部需求;然后,实施符合外部需求的实践与处理过程,尽量使企业安全与人文环境协调一致,还要注意保证数据流和知识产权的合法权益;经常召开电子会议,集思广益;最后还要作到尽量保证企业规划与组织和保险合同协调一致。 采用一定的评估方法和评价规则对对商业风险做出评估;然后制定风险行动计划,成立应对企业风险的委员会,制定应对风险的备选方案,估计企业可以承受的各种风险。 10. 项目管理(Manage Projects)制定项目管理框架,在项目的最初阶段让用户部门也参与进来,规划主项目计划、系统质量保证计划与方法,明确项目组成员的职责,制定培训计划、测试计划和项目完成后的评审计划,最终定义项目并使其获得认可。
完成的系统分析必须满足以下四个方面的要求: 首先是一致性,所有的需求必须是一致的,任何一条需求不能和其他需求相互矛盾; 其次是完整性,需求必须是完整的,规格说明书应该包括行使政府职责的每一个功能或性能; 再次是现实性,制定的需求应该是用现有的硬件技术和软件技术可以实现的。对硬件技术的进步可以做些预测,对软件技术的进步则很难做出预测,只能从现有技术水平出发判断需求的现实性: 最后是有效性,需求必须确实能解决目前企业管理中面临的问题。
可行性研究实质上是在较高层次上以较抽象的方式进行系统分析和设计的过程,目的是以最小的代价,在尽可能短的时间内确定问题是否能够解决。必须分析各种解决方案的利弊,从而判断系统的建设目标和规模是否现实,系统完成后为企业带来的社会效益和经济效益是否大到值得开发。对每一种解决方案,至少应该从以下三方面研究其可行性: (1)技术可行性:使用现有的技术能实现这个系统吗? (2)经济可行性:实施该系统带来的社会效益和经济效益能超过它的开发成本吗? (3)操作可行性:系统的运作方式在目前企业的各部门中行得通吗?
主要的信息和技术标准有: (1)业务系统标准代码体系、内部局域网域名命名标准、广域网域名命名标准、局域网IP地址命名标准、广域网IP地址命名标准。 (2)设计开发规范,包括设计开发过程涉及的全部标准规范主要有:业务流程设计规范、软件设计规范、数据库设计规范、用户界面设汁规范、用户分类授权机制设计规范、程序异常出口统一处理规范。 (2)软件开发规范,包括流程、测试、文档等方面的规范。确定开发模式和开发方法 首先,在确定开发方法的基础上,生成需求定义的有关文档。然后,确定设计方案,在该方案中要包括程序说明书、源数据的搜集方法、接口定义、用户界面定义、系统的输入、输出定义和相关文档等系统开发的重要内容;接着,对设计方案的可控性、关键设计要素的实用性、是否能提供IT整合等方面进行评价;最后,在获得通过的前提下,对现存系统进行大的调整与改变,并对该设计方案进行再一次的评价。 信息系统的体系结构对整个信息系统的建设具有基础的重要性,因此企业的各个部门都要重视基础体系结构的建设工作。具体就是:正确评价新的硬件和软件;为硬件进行预防性质的维护工作;进行系统软件的安装、维护、安全性等方面的工作;对软件的改变进行控制管理;使用和监控系统中的各种工具。 了解用户对操作的需求,根据服务层次的不同制作不同的操作手册,并提供一定的培训资料 开发、测试新系统后进入安装阶段,这时要指定安装实施计划,注意系统之间的转换、数据方面的转换。安装完毕后还要进行测试,起过程是:先制定测试策略和计划,然后对新安装的系统进行系统改变、系统安全、系统操作等方面的测试,具体测试时可以按照Parallel/Pilot的标准进行。最后当新系统通过测试后,从满足用户需求的角度对其进行评价,并总结。 从一开始就要注重系统变革方面的要求,对变革造成的影响要有充分的评估,并实施必要的控制,生成有关文档,进行一定的维护与管理。
(三) 发布与支持(DELIVERY & SUPPORT) 1. 定义服务层次并对其实施管理 制订服务层次框架,在框架中对于服务所涉及的各个方面、服务的处理流程、服务条款、服务的监控和有关报告的生成以及服务改进程序都要有明确的定义和说明。 2.管理好来自于第三方的服务 现代企业中有一些服务来自第三方,因此对第三方的服务也要实施良好的管理,具体就是要认真对待供应商所提供的第三方服务合同、外包合同;对于服务的所属权、安全关系质量保证和服务的连贯性进行管理与监控。 3、对服务的性能进行管理 首先要明确服务服务性能的要求及其可行性,指定可行的计划,对于资源的可用性和规划作到心中有数;然后利用建模工具实施有效的资源管理、性能管理,进行监控并生成有关报告,同时对工作符合做出预测。 4.保证服务的连续性 制定IT连贯性框架、策略和所遵循的原则;明确保证IT连贯性的具体内容;尽量把IT连贯性的要求降至最低;还要对有关人员进行这方面的培训。此外,系统需要具有高可靠性和高标准的故障恢复能力,因此要建立完善的备份系统。系统备份包括物理实体备份、通讯网络备份、数据备份和应用系统备份。一个完善的系统备份需要满足以下八个原则:稳定性、全面性、自动化、高性能、安全性、操作简单、实用性和容错性。 5.保证系统的安全 系统安全是企业信息系统管理中十分重要的环节,为了作好这方面的工作,首先要对资源访问进行授权和身份确认,进行数据分类,对可以在线访问的数据做出有关规定;管理好用户的账户,限制只有用户可以控制其账户;制定安全管理的评价细则,实施安全监控,密码管理,定期生成安全报告;限制管理权限;建立突发事件的处理机制;对于恶意侵犯要有一定防范措施;建立公共网络的防火墙体系结构。 6. 明确地划分成本 对可操控的成本做到心中有数,进行成本分配时按规定流程处理,注意用户的反馈。 7. 对用户实施培训、教育 明确用户对培训的需求,制定有计划的培训方案,保持对培训的敏感度,及时改进。 8.进行客户援助活动 上门为客户服务,细心分析客户提出的各种情况,解决可以解决的各种问题。 9. 配置管理 记录系统配置信息,明确系统配置基本要求和软件说明,实施配置控制,进行软件存储,对于未经授权的软件要有相应的处理措施。 10. 问题和突发事件的管理 建立问题管理系统,对问题进行跟踪处理,对于突然事件和临时性访问采取授权措施,并划分处理的优先权。 11. 数据管理 首先要作好数据的准备工作,建立源数据资源收集文档,及时处理文档中的和数据出入和处理过程中产生的错误,对这些文档的处理、数据的输入都要在授权的前提下进行,而且要进行数据的准确性、完整性和授权进行检查。同时,对于数据输出要进平衡与协调处理、错误处理、安全性检查。在交易和事务处理中要注意保护敏感信息,保证电子事务的完整性和数据存储的连贯性。此外,还要进行数据的存储管理,建立管理系统的媒介库,明确媒介库职责,还要作好各种备份工作。 12. 设施管理 这里提到的设施管理主要包括物理安全管理设施、IT站点低层框架、员工健康与安全、环境保护、能源供应等方面的各项设施的管理。 13. 操作管理 信息系统的运作与各种操作密不可分,所以操作管理也是发布与服务中很重要的环节之一。具体来说就是要建立操作过程及其指导手册,书写各种操作文档,生成操作日志,对工作安排要有规划地按标准进行,尽量保证工作的连贯性,对于输出设备要有相应的安全表格进行记录,此外还要注重远程操作的管理。 信息系统发布、实施之后要想使其健康地运作一行要采取有效的监控手段对其进行监控,及时发现系统的漏洞、缺陷等问题才行。在COBIT标准中对于监控工作的实施制订了如下规则: 1. 处理流程监控 对处理流程进行监控是监控中最基本的环节,具体来说,首先要收集各种监控数据,评价各种性能,然后对于用户的满意度进行评价,最后生成相应的管理报告。 2. 对内部控制实施适当的评价 对于企业内部的控制也要进行及时的、必要的监控,保证操作安全和内部控制的顺利进行并生成有关报告。 3. 获得独立性的保证 管理的独立性涉及IT服务、第三方服务提供商的安全独立性和内部控制的合格性鉴定等相关方面,为此,我们要对IT服务和第三方服务是否实现了有效的独立性进行正确的评价,同时,还要在符合法律和有关法规的前提下确保IT服务和第三方服务的独立性,实现独立性的各项功能,并在其中包括审计的成分。 4. 为独立审计提供必要的条件 内部信息系统审计部门,从组织地位上来讲必须独立于企业的IT职能部门和最终用户部门。内部审计应遵循以下步骤: 首先确定待审计的信息系统的边界和范围,明确审计的目的; 其次,选择适当的审计方法,如结果观察法、类比一对比法、专家评价法或评分法等,确定适当的评估指标, 然后,收集有关数据、资料进行分析、计算,得出审计结果,并做出审计报告; 最后的审计报告不应该包含专业术语,以便企业管理层即使不懂信息系统也能理解审计报告,知道问题的所在,做出正确的决策。
|
