ISO20000與CobiT

2019/3/8 15:33:40 次

　　CobiT(control objectives for infonnation and related tecbnology)即信息及相關(guān)技術(shù)控制目標(biāo)，目前已成為國際上公認(rèn)的IT治理與控制標(biāo)準(zhǔn)，由美國IT治理研究院(ITGI)開發(fā)與推廣，從1994年推出第一版到現(xiàn)在己陸續(xù)發(fā)布四個版本。

　　CobiT的設(shè)計初衷就是通過對IT資源的管理和控制，確保IT的目標(biāo)符合業(yè)務(wù)需求。CobiT 4.1中定義了7個業(yè)務(wù)需求、20個業(yè)務(wù)目標(biāo)、28個IT目標(biāo)、34個IT過程、100多個控制管理目標(biāo)，還定義了專業(yè)的度量方法和能力成熟度評估模型。

　　CobiT將100多個控制目標(biāo)和34 個過程分為四個控制域：計劃和組織(plan and organize)、獲取和實施(acquire and implement)、交付和支持(deliver and support)、監(jiān)控和評估(monitor and evaluate)。這四個控制域的相互關(guān)系與PDCA 有些類似，但不完全一樣。

　　與ISO20000關(guān)注方法和實施過程不同的是，CobiT更加關(guān)注企業(yè)整體戰(zhàn)略。從使用者來說，CobiT是IT審計者、董事會/高管層、 IT管理層的管理利器，而ISO20000則主要由IT人員或服務(wù)管理人員用來改善IT服務(wù)。盡管兩者有著諸多的不同，但是目標(biāo)卻是一致的，實施上也并不矛盾。事實上因為SOX法案的要求，國外很多企業(yè)都采取整合方法應(yīng)用這兩個管理體系。lTGI和OGC還共同研究并發(fā)布了兩者對應(yīng)關(guān)系和如何整合應(yīng)用方法，并且雙方在各自體系升級時都會考慮與對方體系的對應(yīng)關(guān)系。

　　具體而言， CobiT可以用在最高層次的IT治理，基于IT過程模型提供一個完整的控制框架，而ISO20000(ITIL)則提供更加細(xì)化、更加具體的實施流程，并且所有的流程都可對應(yīng)到CobiT的框架當(dāng)中去。CobiT為每一個過程提供的各種績效指標(biāo)，與ISO20000過程相結(jié)合可以建立過程管理的基準(zhǔn)。