COBIT是一个典型的按照西方思维方法取得的研究成果,即分析事实、提炼模型、建立概念、提出行动方法和评价体系。基于IT治理的概念,ISACA对IT建设过程进行提炼,建立了一系列概念和过程及,确定行动目标,提出行动方法和评审标准。这些内容构成了COBIT的框架和支柱,使用者可以根据实际情况做一定的剪裁。COBIT所提出基本概念是:IT治理的模型、IT治理的过程、成熟度级别、控制目标、关键目标指示(KGI)、关键性能指示(KPI)、重要成功因素(CSF)等。
COBIT认为信息化建设就是借助“IT资源”,通过管理活动(activities),将输入的“事件”转换为“信息”。IT治理就是对这个控制、转换过程进行管理和控制。COBIT将“信息”的特性划分为:效果、效率、机密性、完整性、适用性、遵从性(即遵守有关的法律法规、规章制度)、可靠性等七个属性,将“IT资源”划分为:技术、应用、人员、设施、数据。信息及资源的关系见图1.从图1我们可以看到,IT资源是将事件转换为信息的装置,COBIT将这个装置形象地描述为一个圆柱体,圆柱体的核心是数据,数据外围包裹着由“技术”、“(IT)设施”、“人员”组成竖井,竖井外包围的是“应用(系统)”。
图1 IT治理模型
COBIT采用关键目标指示KGI(Key Goal Indicators)表达一个过程要达到哪些指标,KGI可以与著名的绩效考核方法“平衡记分法”中的绩效指标相关联。为了衡量每个过程在“多大程度”上达到了KGI,COBIT设置了 “关键性能指示(KPI)”(Key Performance Indicators)。COBIT将IT治理过程划分为34个过程(下面将谈到),为每个过程给出了为了实现KGI必须完成的一系列重要工作 —— “重要成功因素CSF”(Critical Success Factors)。而每个过程达到的关键性能指示(KPI)的程度则用六个成熟度级别来表示,它们是:0-混沌(根本不存在)、1-初始级;2-可重复级、3-可定义级、4-可管理级、5-优化级。
COBIT将IT治理过程或信息化建设过程划分为四个域:计划和组织(Planning and Organization)、获取和实施(Acquisition & Implementation)、交付和支持(Delivery and Support)、监视(Monitoring)。每个过程域下面又划分为若干过程:
过程域“计划和组织”包括:PO1-IT战略规划确定、PO2-信息结构确定、PO3-技术方向确定、PO4-IT组织及关系确定、PO5-IT投资管理、PO6-沟通管理的目标和方向、PO7-人力资源管理、PO8-遵守外部要求的保证、PO9-风险评估、PO10-项目管理、PO11-质量管理。
过程域“获取和实施”包含:AI1-自动解决方案的识别、AI2-应用软件的获取和维护、AI3-技术设施的获取和维护、AI4-开发和维护程序、AI5-安装和授权系统、AI6-变更管理。
过程域“交付和支持”包括:DS1-服务水平定义及管理、DS2-第三方服务管理、DS3-性能和容量管理、DS4-不间断服务保证、DS5-系统安全保证、DS6-成本的识别和分配、DS7-用户教育和培训、DS8-对客户的协助和建议、DS9-配置管理、DS10-问题和意外事件管理、DS11-数据管理、DS12-设施管理、DS13-运行管理。
