如何用 COBIT2019 设计定义合适的企业 IT 治理
对企业信息和技术(I&T)等复杂且不断发展的领域进行治理需要许多组件,包括流程、组织结构、信息流、行为等。所有这些元素必须以整体的方式协同工作以正确理解,设计并实施适用于 I&T 的适合目的的企业治理系统。
刚刚发布的 COBIT 2019 这些要素整合到一个良好实践的通用框架中,以实现 40 个治理和管理目标。
上海信息化培训中心 SITC 多年的培训和咨询经验表明,企业 I&T 并不存在一种“万能的”治理系统。每个企业都有自己独特的文化和形象,至少在以下几个方面与其他组织有所不同:
· 企业规模
· 所处行业
· 监管格局
· 威胁景观
· IT 在组织中的作用
· 战术类技术相关的选择
外部和内部环境及策略上的这些差异对于组织的治理系统的设计和实施是重要的影响因素。因此,任何 COBIT 2019 实施方案都需要进行剪裁才能适合目的。
设计工作流程的目的是允许每个组织从 COBIT 核心模型开始,然后从那里使治理系统适应其自身的优先级和特殊性**。**
上海信息化培训中心 SITC 的专家介绍,为了帮助定制标准和通用 COBIT 框架并使每个组织从 I&T 的使用中获得最大价值,ISACA 开发了 COBIT 2019 设计工作流程。设计工作流的目的是允许每个组织从 COBIT 核心模型开始,然后从那里使治理系统适应企业自身的优先级和特殊性。
上海信息化培训中心 SITC 的专家经验表明,在实施或改进 I&T 治理时,很难一次完成所有工作,因为组织的资源有限且能力不断变化。设计工作流程可帮助组织首先确定并关注正确的优先级。设计量身定制的治理系统是一个迭代过程,当组织环境或策略(或任何其他设计因素)发生变化时,将重复该过程。
设计工作流程考虑了许多设计因素(DF)。这些是可能影响企业治理系统设计的因素(图 1)。
图 1-COBIT 设计因素
资料来源:ISACA,《 COBIT 2019 设计指南:设计信息和技术治理解决方案 》。
设计因素 DF 通过为每个设计要素提出一组值来帮助组织描述其背景和策略。例如,DF 6 合规性要求具有 3 个可能的值 - 高,正常或低 - 这些值又与数字分数相关联。当企业描述其监管环境时,它将选择以下三个值之一:这些值和相关分数共同构成了经过精确校准的设计工作流程,并有助于组织确定:
· 实施 COBIT 2019 中定义的 40 个治理和管理目标的优先事项
· 所选相应流程的目标能力级别
ISACA 对有关特定主题或重点领域的其他指南正在开发中;重点领域的内容将提供针对数字化转型,云,DevOps,中小型企业,风险和信息安全的更加量身定制的指南。
在开始实施 I&T 治理实施项目时,或者在寻求改进现有的 I&T 治理系统时,企业的第一步应该始终是应用设计工作流程并定制 COBIT 2019 框架以适合当前的组织。
这项定制工作与《COBIT 2019 实施指南:实施和优化信息和技术治理解决方案》中所述的 7 个阶段工作流程的第 1 阶段至第 4 阶段相吻合。《COBIT 2019 设计指南》和《 COBIT 2019 实施指南》是相辅相成的,每本《指南》* 都为端到端治理实施流程的一个阶段提供了具体指南。它们共同构成了每个希望实施或改进其 I&T 治理体系的组织的手册。
《COBIT 2019 设计指南》和设计工作流程丰富了 COBIT 套件,从而有可能支持许多组织以独特的方式实现增值 I&T 治理。
上海信息化培训中心 SITC 是 COBIT2019 全球首批授权培训机构,ISACA 官方授权培训机构,提供 CISA, CISM, CGCIT, CRISC 和 COBIT2019 全系列认证培训和考试。定期举办公开课,应邀赴全国各地举行团体定制课程。