框架
简介和方法
COBIT® 2019 框架:简介和方法
ISACA 简介
ISACA® (isaca.org) 是一家全球性协会,已成立近 50 年,致力于帮助个人和企业挖掘技术潜力,获得积极成
果。现如今,科技推动世界发展,ISACA 为专业人士提供知识、认证、指导并打造社群网络,推动他们的职
业发展及其所在组织的转型。ISACA 拥有五十万名从事信息与网络安全、治理、鉴证、风险与创新工作的专
业人员,以及一家帮助企业提升绩效的子公司 CMMI® Institute,他们共同致力于推动技术创新。ISACA 成员
遍布超过 188 个国家和地区,在美国和中国设有超过 217 个分会和办事处。
免责声明
ISACA 设计并编制了《COBIT® 2019 框架:简介和方法》(下称“作品”),主要供企业信息和技术治理
(EGIT)、鉴证、风险和安全专业人员作为学习资料使用。ISACA 无法保证使用本作品就一定能够实现成功的
结果。本作品不应被视为包含所有适用的信息、程序和测试,不排除在其它信息、程序和测试的合理指导下
获得同样结果的可能。在确定任何具体信息、程序或测试的适宜性时,企业信息和技术治理 (EGIT)、鉴证、
风险和安全专业人员应就具体的情况(特定的系统或信息技术环境)作出自己专业性的判断。
版权
© 2018 ISACA. 保留所有权利。有关使用指导原则,请参阅 www.isaca.org/COBITuse。
ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, USA
电话:+1.847.660.5505
传真:+1.847.253.1755
联系我们:https://support.isaca.org
网站:www.isaca.org
参加 ISACA 知识中心:https://engage.isaca.org/onlineforums
Twitter: http://twitter.com/ISACANews
LinkedIn: http://linkd.in/ISACAOfficial
Facebook: www.facebook.com/ISACAHQ
Instagram: www.instagram.com/isacanews/
COBIT® 2019 框架:简介和方法
ISBN 978-1-60420-779-8
2
谨此纪念:JOHN LAINHART(1946-2018 年)
谨此纪念:John Lainhart(1946-2018 年)
谨以此书献给 ISACA 董事会主席(任期 1984-1985 年)John Lainhart。John 帮助创建了 COBIT® 框架。他最
近担任的职位是 COBIT® 2019 工作组主席,并以本作品的问世画上了圆满的句号。在 ISACA 工作的四十年
间,John 参与了协会多方面的工作,并获得 ISACA 的 CISA、CRISC、CISM 和 CGEIT 认证。John 为我们留
下了宝贵的专业遗产,他的工作成果给 ISACA 带来了深刻的影响。
3
COBIT® 2019 框架:简介和方法
本页特意留白
4
致谢
致谢
ISACA 向以下人员表示感谢:
COBIT 工作组(2017-2018 年)
John Lainhart,主席,CISA,CRISC,CISM,CGEIT,CIPP/G,CIPP/US,Grant Thornton,美国
Matt Conboy,Cigna,美国
Ron Saull,CGEIT,CSP,Great-West Lifeco & IGM Financial(退休),加拿大
开发团队
Steven De Haes 博士,安特卫普大学管理学院,比利时
Matthias Goorden,PwC,比利时
Stefanie Grijp,PwC,比利时
Bart Peeters,PwC,比利时
Geert Poels 博士,根特大学,比利时
Dirk Steuperaert,CISA,CRISC,CGEIT,IT In Balance,比利时
校审专家
Sarah Ahmad Abedin,CISA,CRISC,CGEIT,Grant Thornton LLP,美国
Floris Ampe,CISA,CRISC,CGEIT,CIA,ISO27000,PRINCE2,TOGAF,PwC,比利时
Elisabeth Antonssen,Nordea Bank,瑞典
Krzystof Baczkiewicz,CHAMP,CITAM,CSAM,Transpectit,波兰
Christopher M. Ballister,CRISC,CISM,CGEIT,Grant Thornton,美国
Gary Bannister,CGEIT,CGMA,FCMA,奥地利
Graciela Braga,CGEIT,审计师和顾问,阿根廷
Ricardo Bria,CISA,CRISC,CGEIT,COTO CICSA,阿根廷
Sushil Chatterji,CGEIT,Edutech Enterprises,新加坡
Peter T. Davis,CISA,CISM,CGEIT,COBIT 5 评估员,CISSP,CMA,CPA,PMI-RMP,PMP,
Peter Davis+Associates,加拿大
James Doss,CISM,CGEIT,EMCCA,PMP,SSGB,TOGAF 9,ITvalueQuickStart.com,美国
Yalcin Gerek,CISA,CRISC,CGEIT,ITIL 专家,Prince2,ISO 20000LI,ISO27001LA,TAC AS.,土耳其
James L. Golden,Golden Consulting Associates,美国
J. Winston Hayden,CISA,CISM,CRISC,CGEIT,南非
Jimmy Heschl,CISA,CISM,CGEIT,Red Bull,奥地利
Jorge Hidalgo,CISA,CISM,CGEIT,智利
John Jasinski,CISA,CRISC,CISM,GEIT,COBIT 5 评估员,CSM,CSPO,IT4IT-F,ITIL 专家,
Lean IT-F,MOF,SSBB,TOGAF-F,美国
Joanna Karczewska,CISA,波兰
Glenn Keaveny,CEH,CISSP,Grant Thornton,美国
Eddy Khoo S. K.,CGEIT,Kuala Lumpur,马来西亚
Joao Souza Neto,CRISC,CGEIT,Universidade Católica de Brasília,巴西
Tracey O’Brien,CISA,CISM,CGEIT,IBM Corp(退休),美国
Zachy Olorunojowon,CISA,CGEIT,PMP,卑诗省卫生部,维多利亚,加拿大卑诗省
Opeyemi Onifade,CISA,CISM,CGEIT,BRMP,CISSP,ISO 27001LA,M.IoD,Afenoid Enterprise
Limited,尼日利亚
5
COBIT® 2019 框架:简介和方法
致谢(续)
校审专家(续)
Andre Pitkowski,CRISC,CGEIT,CRMA-IIA,OCTAVE,SM,APIT Consultoria de Informatica Ltd.,巴西
Abdul Rafeq,CISA,CGEIT,FCA,Wincer Infotech Limited 常务董事,印度
Dirk Reimers,Entco Deutschland GmbH,A Micro Focus Company
Steve Reznik,CISA,CRISC,ADP, LLC.,美国
Bruno Horta Soares,CISA,CRISC,CGEIT,PMP,GOVaaS (Governance Advisors, as-a-Service),葡萄牙
Dr. Katalin Szenes 博士,CISA,CISM,CGEIT,CISSP,John von Neumann Faculty of Informatics,
欧布达大学,匈牙利
Peter Tessin,CISA,CRISC,CISM,CGEIT,Discover,美国
Mark Thomas,CRISC,CGEIT,Escoute,美国
John Thorp,CMC,ISP,ITCP,The Thorp Network,加拿大
Greet Volders,CGEIT,COBIT 评估员,Voquals N.V.,比利时
Markus Walter,CISA,CISM,CISSP,ITIL,PMP,TOGAF,PwC,新加坡/瑞士
David M. Williams,CISA,CAMS,Westpac,新西兰
Greg Witte,CISM,G2 Inc.,美国
ISACA 董事会
Rob Clyde,CISM,Clyde Consulting LLC,美国,主席
Brennan Baybeck,CISA,CRISC,CISM,CISSP,Oracle Corporation,美国,副主席
Tracey Dedrick,Hudson City Bancorp 前首席风险官,美国
Leonard Ong,CISA,CRIS,CISM,CGEIT,COBIT 5 实施和评估员,CFE,CIPM,CIPT,CISSP,
CITBCM,CPP,CSSLP,GCFA,GCIA,GCIH,GSNA,ISSMP-ISSAP,PMP,Merck & Co., Inc.,新加坡
R.V. Raghu,CISA,CRISC,Versatilist Consulting India Pvt. Ltd.,印度
Gabriela Reynaga,CISA,CRISC,COBIT 5 Foundation,GRCP,Holistics GRC,墨西哥
Gregory Touhill,CISM,CISSP,Cyxtera Federal Group,美国
Ted Wolff,CISA,Vanguard, Inc.,美国
Tichaona Zororo,CISA,CRISC,CISM,CGEIT,COBIT 5 评估员,CIA,CRMA,EGIT | Enterprise
Governance of IT,南非
Theresa Grafenstine,CISA,CRISC,CGEIT,CGAP,CGMA,CIA,CISSP,CPA,Deloitte & Touche LLP,
美国,2017-2018 年 ISACA 董事会主席
Chris K. Dimitriadis,博士,CISA,CRISC,CISM,INTRALOT,希腊,2015-2017 年 ISACA 董事会主席
Matt Loeb,CGEIT,CAE,FASAE,首席执行官,ISACA,美国
Robert E Stroud(1965-2018 年),CRISC,CGEIT,XebiaLabs, Inc.,美国,2014-2015 年 ISACA 董事会主席
Robert E Stroud 于2018 年9 月逝世,ISACA 谨此致以沉痛哀悼。
6
目录
目录
图表列表 ....................................................................................................................................................................9
第一章. 引言...........................................................................................................................................................11
1.1 企业信息和技术治理...................................................................................................................................11
1.2 信息和技术治理的优点 ...............................................................................................................................11
1.3 使用 COBIT 作为 I&T 治理框架 .................................................................................................................12
1.3.1 COBIT 是什么?不是什么? ....................................................................................................................13
1.4 本出版物的结构..........................................................................................................................................14
第二章. 目标受众 ...............................................................................................................................................15
2.1 治理利益相关方..........................................................................................................................................15
第三章. COBIT 原则 .......................................................................................................................................17
3.1 引言.............................................................................................................................................................17
3.2 治理系统的六大原则...................................................................................................................................17
3.3 治理框架的三大原则...................................................................................................................................18
3.4 COBIT® 2019..............................................................................................................................................18
第四章. 基本概念:治理系统及组件 ...................................................................................................19
4.1 COBIT 概述................................................................................................................................................19
4.2 治理和管理目标..........................................................................................................................................20
4.3 治理系统的组件..........................................................................................................................................21
4.4 焦点领域 ....................................................................................................................................................22
4.5 设计因素 ....................................................................................................................................................23
4.6 目标级联 ....................................................................................................................................................28
4.6.1 企业目标..................................................................................................................................................29
4.6.2 一致性目标 ..............................................................................................................................................30
第五章. COBIT 治理和管理目标 ...........................................................................................................33
5.1 目的............................................................................................................................................................33
第六章. COBIT 中的绩效管理 ................................................................................................................35
6.1 定义............................................................................................................................................................35
6.2 COBIT 绩效管理原则 .................................................................................................................................35
6.3 COBIT 绩效管理概述 .................................................................................................................................35
6.4 管理流程绩效 .............................................................................................................................................36
6.4.1 流程能力级别...........................................................................................................................................36
6.4.2 流程活动评级...........................................................................................................................................37
6.4.3 焦点领域的成熟度级别 ............................................................................................................................37
6.5 管理其他治理系统组件的绩效 ....................................................................................................................38
6.5.1 组织结构的绩效管理 ................................................................................................................................38
6.5.2 信息项的绩效管理 ...................................................................................................................................39
6.5.3 文化和行为的绩效管理 ............................................................................................................................41
第七章. 设计量身定制的治理系统 ........................................................................................................43
7.1 设计因素的影响..........................................................................................................................................43
7.2 设计流程的阶段和步骤 ...............................................................................................................................45
7
COBIT® 2019 框架:简介和方法
第八章. 实施企业 IT 治理 ...........................................................................................................................47
8.1 COBIT 实施指南的目的..............................................................................................................................47
8.2 COBIT 实施方法.........................................................................................................................................47
8.2.1 第 1 阶段 — 有哪些驱动因素? ...............................................................................................................48
8.2.2 第 2 阶段 — 现在到了什么程度?............................................................................................................48
8.2.3 第 3 阶段 — 我们想要达到什么目标? ....................................................................................................49
8.2.4 第 4 阶段 — 我们需要完成什么行动? ....................................................................................................49
8.2.5 第 5 阶段 — 我们如何实现?...................................................................................................................49
8.2.6 第 6 阶段 — 我们是否实现?...................................................................................................................49
8.2.7 第 7 阶段 — 我们如何保持前进的动力? .................................................................................................49
8.3 《COBIT® 2019 设计指南》与《COBIT® 2019 实施指南》之间的关系........................................................50
第九章. 开始实施 COBIT:制作案例.................................................................................................51
9.1 业务案例 ....................................................................................................................................................51
9.2 执行摘要 ....................................................................................................................................................51
9.3 背景............................................................................................................................................................52
9.4 业务挑战 ....................................................................................................................................................52
9.4.1 差距分析和目标 .......................................................................................................................................53
9.4.2 考虑的替代方案 .......................................................................................................................................53
9.5 提议的解决方案..........................................................................................................................................54
9.5.1 第 1 阶段:前期规划................................................................................................................................54
9.5.2 第 2 阶段:计划实施................................................................................................................................54
9.5.3 计划范围..................................................................................................................................................55
9.5.4 计划方法和调整 .......................................................................................................................................55
9.5.5 计划交付成果...........................................................................................................................................55
9.5.6 计划风险..................................................................................................................................................56
9.5.7 利益相关方 ..............................................................................................................................................56
9.5.8 成本效益分析...........................................................................................................................................57
9.5.9 挑战和成功因素 .......................................................................................................................................58
第十章. COBIT 和其他标准 ......................................................................................................................59
10.1 指导原则...................................................................................................................................................59
10.2 参考标准清单 ...........................................................................................................................................59
8