IT规划与信息安全规划_图文_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
IT规划与信息安全规划
阅读已结束，下载文档到电脑
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，方便使用
还剩12页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢君，已阅读到文档的结尾了呢~~
豆丁精品文档： 银行业标准体系 银行业标准体系全文 银行业标准体系内容 信息安全管理体系 信息安全体系 信息安全保障体系 银行业信息 实践教学体系 安全管理体系 食品安全体系
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
银行业信息安全管理体系的实践
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口404 Not Found
The requested URL /gywm.aspx was not found on this server.COBIT 5.0中文版-谷安天下翻译-仅供参考-海文库
全站搜索：
您现在的位置：&>&&>&计算机硬件及网络
COBIT 5.0中文版-谷安天下翻译-仅供参考
COBIT 5（中文翻译版）企业IT治理与管理框架
COBIT 5 (中文翻译版) 企业IT治理与管理框架目录一. COBIT 5：一个治理和管理企业IT的业务框架 .................................................................................. 1二. 概述 ...................................................................................................................................................... 2三. 第一章
COBIT 5综述 ......................................................................................................................... 53.1 本出版物的综述 ............................................................................................................................... 7四. 第二章
原则一：满足利益相关者需求 ........................................................................................... 84.1 引言 ................................................................................................................................................... 84.2 COBIT 5 目标级联 ............................................................................................................................. 94.3 运用COBIT 5的目标级联 .............................................................................................................. 134.4 关于IT方面的治理与管理问题 .................................................................................................... 15五. 第三章
原则二: 端到端覆盖企业 .................................................................................................. 185.1 治理方法 ......................................................................................................................................... 18六. 第四章
原则三：采用单一集成框架 ............................................................................................. 216.1 COBIT 5的框架集成器 .................................................................................................................... 21七. 第五章
原则四：启用一种整体的方法 ......................................................................................... 237.1 COBIT 5促成因素 ............................................................................................................................ 237.2 通过相互关联的促成因素系统地治理和管理 ............................................................................. 247.3 COBIT 5促成因素的维度 ................................................................................................................ 257.4 实践中促成因素的例子 ................................................................................................................. 28八. 第六章
原则五：区分治理与管理 ................................................................................................. 308.1 治理与管理 ..................................................................................................................................... 308.2 治理与管理的相互作用 ................................................................................................................. 308.3 COBIT 5流程参考模型 .................................................................................................................... 31九. 第七章
实施指南 ............................................................................................................................. 349.1 引言 ................................................................................................................................................. 349.2 考虑企业环境 ................................................................................................................................. 359.3 创造合适的环境 ............................................................................................................................. 369.4 识别难点与触发事件 ..................................................................................................................... 379.5 启动变革 ......................................................................................................................................... 389.6 一种生命周期方法 ......................................................................................................................... 399.7 入门：制作业务案例 ..................................................................................................................... 40十. 第八章
COBIT 5过程能力模型 ....................................................................................................... 43 10.1 引言 ............................................................................................................................................... 43 更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
COBIT 5 (中文翻译版) 企业IT治理与管理框架 10.2 COBIT 4.1成熟度模型与COBIT 5过程能力模型的不同点 ......................................................... 43 10.3 实际应用的不同 ........................................................................................................................... 47 10.4 这些变化的好处： ....................................................................................................................... 50 10.5 在COBIT 5中执行过程能力评估 ................................................................................................ 50十一. 附录B
企业目标―IT相关目标之间的详细映射关系 .............................................................. 53十二. 附录C
IT相关目标―IT相关流程之间详细的映射关系 .......................................................... 57十三. 附录D
利益相关者需求和企业目标.......................................................................................... 61十四. 附录E
COBIT 5与最相关的相关框架和标准的映射关系 ........................................................ 64 14.1 引言 ............................................................................................................................................... 64 14.2 COBIT 5和ISO/IEC 38500 .............................................................................................................. 64 14.3 与其它标准对比 ........................................................................................................................... 70十五. 附录F
COBIT 5信息模型与COBIT 4.1 信息标准的对比 .......................................................... 73十六. 附录G
COBIT 5促成因素的详细描述 ........................................................................................ 75 16.1 引言 ............................................................................................................................................... 75 16.2 COBIT 5的促成因素：原则、政策和框架 .................................................................................. 77 16.3 COBIT 5的促成因素：流程 .......................................................................................................... 81 16.4 COBIT 5的促成因素：组织结构 .................................................................................................. 90 16.5 COBIT 5的促成因素：文化、伦理道德和行为 .......................................................................... 94 16.6 COBIT 5的促成因素：信息 .......................................................................................................... 97 16.7 COBIT 5的促成因素：服务，基础设施和应用 ........................................................................ 103 16.8 COBIT 5的促成因素：人，技能和竞争力 ................................................................................ 106 十七. 附录H
术语表 ........................................................................................................................... 109
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
COBIT 5 (中文翻译版) 企业IT治理与管理框架插图索引图 1.1 图表1 COBIT 5产品系列 ............................................................................................................... 1图 2.1 图表2.COBIT 5原则 ....................................................................................................................... 3图 4.1 图表3.治理目标：创造价值 ......................................................................................................... 9图 4.2 图表4.COBIT 5目标级联概述 ..................................................................................................... 10图 4.3 图表 5.COBIT 5企业目标 ............................................................................................................ 12图 4.4 图表6.IT相关目标 ....................................................................................................................... 13图 4.5 图表7.关于IT治理和管理的问题 .............................................................................................. 17图 5.1 图表8.COBIT 5治理与管理 ......................................................................................................... 19图 5.2 图表9.关键的角色、活动与相互关系 ....................................................................................... 20图 6.1 图表10. COBIT 5单一集成框架 .................................................................................................. 22图 6.2 图表11.COBIT 5产品系列 ........................................................................................................... 23图 7.1 图表12.COBIT 5企业促成因素 ................................................................................................... 24图 7.2 图表13.COBIT 5通用促成因素 ................................................................................................... 26图 8.1 图14
COBIT 5治理和管理的相互作用 .................................................................................... 31图 8.2 图表15.COBIT 5治理与管理的关键领域 ................................................................................... 32图 8.3 图表16.COBIT 5流程参考模型 ................................................................................................... 34图 9.1 图表17.实施生命周期的七个阶段 ............................................................................................. 39图 10.1 图表18.COBIT 4.1成熟度模型概要 .......................................................................................... 44图 10.2 图表19.COBIT 5过程能力模型概要 ......................................................................................... 45图 10.3 图表20.成熟水平（COBIT4.1）和过程能力水平（COBIT 5）对照表 ................................... 49图 11.1 图表22.COBIT 5企业目标与IT相关目标的映射关系 ............................................................ 56图 12.1 图表23. IT相关目标与流程的映射关系 .................................................................................. 61图 13.1 图表24. COBIT 5企业目标与治理管理问题的映射关系 ........................................................ 63图 14.1 图表25.COBIT 5其它标准与框架覆盖范围 ............................................................................. 72图 15.1 图表26.COBIT 5与COBIT4.1信息标准的等同物 .................................................................... 74图 16.1 图表27.COBIT 5通用促成因素 ................................................................................................. 75图 16.2 图表28.COBIT 5促成因素：原则、政策和框架 ..................................................................... 79图 16.3 图表29 COBIT 5的促成因素：流程 ......................................................................................... 81 更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
COBIT 5 (中文翻译版) 企业IT治理与管理框架图 16.4 图表30.COBIT 5治理和管理的关键领域 ................................................................................. 88图 16.5 图表31.COBIT 5流程参考模型 ................................................................................................. 89图 16.6 图表32.COBIT 5促成因素：组织结构 ..................................................................................... 91图 16.7 图表33.COBIT 5角色和组织结构 ............................................................................................. 94图 16.8 图表34.COBIT 5促成因素：文化、伦理道德和行为 ............................................................. 94图 16.9 图表35.COBIT 5元数据――信息循环 .................................................................................... 97图 16.10 图表36.COBIT 5促成因素：信息 ........................................................................................... 98 图 16.11 图表37.COBIT 5促成因素：服务、基础设施和应用 ......................................................... 104 图 16.12 图表38.COBIT 5促成因素：人才、技能和竞争力 ............................................................. 106 图 16.13 图表39.COBIT 5技能类别 ..................................................................................................... 108
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
COBIT 5：一个治理和管理企业IT的业务框架COBIT 5出版物包含治理和管理企业IT的COBIT 5框架。本出版物是图表1所示的COBIT 5产品系列的一部分。
图表1 COBIT 5产品系列COBIT5框架基于5条基本原则，这些原则在其中有详细的描述，包括关于治理和管理企业IT的促成因素广泛的指导。
COBIT 5产品系列包含以下产品：? COBIT 5（框架）? COBIT 5促成因素指南，在指南中详细讨论了治理和管理促成因素。它们包括：―COBIT 5：促成流程―COBIT 5：促使信息（开发中）―其它促成因素指南（查看www.isaca.org/cobit）? COBIT 5专业指南，包括：更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
―COBIT 5实施―COBIT 5信息安全（开发中）―COBIT 5保障（开发中）―COBIT 5风险（开发中）―COBIT 5其它专业指导（查看www.isaca.org/cobit）? 可用于支持COBIT 5使用的在线协作环境。二.
概述信息对所有企业来说都是关键资源，并且从信息诞生那一刻起一直到消失，技术扮演着重要的角色，信息技术已变得越来越先进并已在企业、社会环境、公共环境、商业环境中普及。因此，今天企业及其管理人员比以往任何时候都更努力做到：? 保持高质量的信息以支持业务决策；? 从IT的投资获得商业价值，即通过高效、创新地应用IT实现战略目标和商业收益，；? 通过可靠与有效的技术应用实现卓越运营；? 将IT相关风险保持在可接受水平之内；? 优化IT服务和技术的成本；? 遵守不断增加的相关法律、法规、合同条款和政策。在过去的十年中，“治理”一词已经转移到商业思想的最前沿，以回应充分表明良好治理的重要性，和天平的另一端――全球业务事故的先例。成功的企业已经意识到董事会和高管需要像重视业务一样重视IT，业务和IT部门的董事会成员和管理层必须合作并一起工作，以使IT包括在治理和管理方法之内。另外，越来越多的相关法律和规则得以通过和颁布实施来满足这个需求。COBIT 5提供一个综合的框架来帮助企业实现治理和管理企业IT的目标。简单地说，它通过保持实现效益与优化风险水平和资源使用平衡来帮助企业创造来更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
自IT的最佳价值，COBIT 5能够使IT对整个企业包括所有端到端业务以及IT相关的功能区以一种整体的方式管理和控制，并考虑内外部利益相关者的有关IT的利益。COBIT 5是通用的，对所有规模的企业，无论是商业化的、非盈利的或者公共部门均能应用。
图表2.COBIT 5原则COBIT 5基于5条关键原则（如图2所示）治理和管理企业IT原则1：满足利益相关者需求企业存在的目的是为利益相关者创造价值，这些价值的创造通过保持效益实现与风险和资源使用优化之间的平衡来实现。COBIT 5通过应用IT提供所有的必要的程序和促成因素来支持价值创造，因为不同企业有不同的目标，企业可以通过目标级联，自定义COBIT 5以适合其自身的情况，将高级别的企业目标转化成易管理、特定的、IT相关的目标并将它们映射到具体的流程和实践。原则2：端到端覆盖企业COBIT 5将企业IT治理融合到企业治理中：― 它包含企业内的所有职能部门与流程；COBIT 5不仅关注“IT部门”，而且把信息与相关技术当作资产，就像公司中每个人拥有的其他资产一样。 更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
― 它考虑到了所有端到端的和企业范围的IT相关的治理和管理的促成因素，也就是说，它包括企业内部和外部的，与企业的信息和涉及的IT的治理与管理相关的每种东西和每个人。原则3：采用单一集成框架― 有许多IT相关标准和最佳实践，每一个均提供一部分IT活动的指导，COBIT 5与其它相关标准与框架保持高度一致，并因此能够成为企业IT治理和管理的总体框架。原则4：启用一种整体的方法有效的企业IT治理和管理需要一种考虑多个相互影响的组件的整体的方法，，COBIT 5定义一系列促成因素来支持企业IT综合的治理和管理系统的实施。促成因素宽泛的定义为任何能够实现企业目标的东西，COBIT 5框架定义了7类促成因素：― 原则、政策和框架― 流程― 组织结构― 文化、伦理道德和行为― 信息― 服务、基础设施和应用― 人、技能和竞争力原则5：区分管理和治理COBIT 5框架明确区分管理与治理，这两个概念包括不同种类的活动，需要不同的组织结构以及为不同的目的服务。COBIT 5关于管理与治理的区别的观点是：―治理
―管理更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
在大多数企业中，管理是首席执行官（CEO）领导下的执行管理层的责任。 综上，这5条原则使企业能够建立一个有效的治理与管理框架，该框架为了利益相关者的利益，优化信息与技术投资和应用。三.
COBIT 5综述COBIT 5提供下一代关于企业IT治理与管理的ISACA（美国信息系统审计和控制协会）的指导，它建立在COBIT超过15年的、许多企业及来自业务、IT、风险、证券、保险行业的用户的实践与应用的基础上。COBIT 5发展的主要驱动因素包括以下的需要：? 为更多利益相关者在决定他们期望从信息和相关技术得到什么方面提供发言权（在什么可接受的风险水平和多少成本下有多少收益）以及在确保期望收益有多少实际交付方面的优先权。一些利益相关者期望短期回报而另一些期望可持续性的回报，一些愿意承担较大的风险而另一些则不愿意，需要有效地处理这些有分歧的，有时甚至是冲突的期望。而且，这些利益相关者不仅希望更多地参与，他们也希望提高关于这将如何发生以及实际得到的结果的透明度。? 关注企业成功对外部业务和IT团队，例如外包商、供应商、咨询人员、客户、云服务和其他服务提供者，以及一系列不同的内部的方法和交付预期价值的机制等，不断增加的依赖度。? 处理显著增加的信息量，企业怎样选择相关的和可信的、能够促成卓有成效的业务决策的信息？信息同样需要有效的管理，而有效的信息模型可以帮助做到。? 处理更加普及的IT，这越来越成为业务的不可分割的一部分。通常，将IT从业务中分出来已经不能令人满意了。它需要成为业务项目、组织结更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
构、风险管理、政策、技术、流程等的不可分割的一部分。首席信息官（CIO）以及IT职能的角色在不断发展，越来越多业务部门的人拥有IT技能并且正在或者将会参与IT决策与IT运营。IT与业务将需要更好地融合。? 在创新和新兴技术领域提供进一步的指导，这关系到创造性、发明能力、研发新产品、使现有产品对顾客更具吸引力并且吸引新的顾客类型。创新也意味着以不断提升的效率、速度和质量水平将产品交付市场的流水线产品研发、制造和供应链流程。? 包含所有端到端业务和IT职能责任以及所有促使企业IT有效治理和管理的所有方面，例如，组织结构、政策和文化及上述流程。? 更好地控制不断增加的用户发起和用户控制的IT解决方案。? 实现企业：― 通过有效和创新地应用企业IT创造价值― 业务使用者对IT业务与服务满意― 遵守相关法律、法规、合同协议和内部政策― 改善业务需求和IT目标之间的关系? 连接到并匹配市场上的其他主要框架与标准，例如ITIL?、TOGAF?、PMBOK?、PRINCE2?、COSO和ISO 标准。这将帮助利益相关者理解各种框架、最佳实践和标准如何相互关联以及它们如何一起得到应用。? 融合所有主要的ISACA框架和指导，主要关注COBIT、Val IT 和Risk IT。但是，也要考虑信息安全业务模型（BMIS）、IT保证框架（ITAF）、刊物《IT治理董事会简报》和《推动治理资源(TGF)》，这样就使COBIT 5涵盖整个企业并且为融合其它的框架、标准和实践成为一个单个的框架提供了基础。不同的产品和其它涵盖各种各样的利益相关者不同需求的指南将基于COBIT 5主体知识库建立，随着时间的推移会出现这种情况：使COBIT 5产品架构成为动态的文档。最新的COBIT 5产品架构可以在ISACA网站的COBIT页面找到()。更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
本出版物的综述COBIT 5包含另外7个章节：第二章阐述原则1：满足利益相关者需求。它介绍了COBIT 5目标级联，企业的IT目标用于将利益相关者需求正规化和结构化，企业目标可以与IT相关目标联系，并且这些IT相关的目标可以通过优化应用和执行包括流程的各种促成因素实现，这一系列相互关联的目标称为COBIT 5目标级联。这一章提供利益相关者可能有的关于企业IT治理与管理典型的问题的例子。第三章阐述原则2：涵盖企业端到端业务。它解释了COBIT 5如何依靠涵盖企业所有部门与流程将企业IT 治理融入到企业治理中去。第四章阐述原则3：应用单一集成框架，并简要描述了COBIT 5实现融合的架构。第五章阐述原则4：启用一种整体的方法。企业IT治理是系统的并且由一系列促成因素支撑。在这一章介绍了促成因素和一种普遍的看待促成因素的方法：通用促成因素模型。第六章阐述原则5：区分治理与管理，并讨论治理与管理的不同以及它们怎么相互关联。高级COBIT 5过程参考模型作为示例。第七章包括执行指南的介绍。它主要描述合适的环境如何创造，需要的促成因素，典型的实施激发因素和难点以及生命周期的实施和不断改善。这一章基于名为《COBIT 5实施》的刊物，这篇刊物详细说明如何实施基于可以发现的COBIT 5进行企业IT治理。第八章阐述在COBIT评估方案方法(www.isaca.org/cobit-assessment-programme ) 构想中COBIT 5 过程能力模型，它与COBIT 4.1过程成熟性评估如何区别以及用户如何移植到新方法中。附录包括参考信息、映射关系图和特定主题的更加详细的信息：? 附录A：列出COBIT 5开发中用到的参考文献? 附录B：详细的企业目标与IT相关目标之间的映射关系，描述企业目标通常如何由一个或多个IT相关目标支撑。更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
? 附录C：详细的IT相关目标与IT相关流程之间的映射关系，描述COBIT流程如何支撑IT相关目标的实现。? 附录D：利益相关者需求和企业目标，描述利益相关者需求如何与COBIT5企业目标联系。? 附录E：与COBIT 5联系最密切的相关标准与框架的映射关系? 附录F：COBIT 5信息模型与COBIT4.1信息标准比较? 附录G：COBIT 5促成因素详细描述，以第五章为基础并引入更多不同促成因素的详细信息，包括详细的描述特定元件的促成因素模型和一些例证说明。? 附录H：术语表
原则一：满足利益相关者需求4.1
引言企业存在的目的是为利益相关者创造价值，因此，任何企业，无论是商业化的或非非商业化的，都将创造价值作为治理目标。创造价值意味着利用最优的资源成本实现效益，同时优化风险（见图表3）。效益有多种形式，比如，商业企业的财务或者政府部门的公共服务。更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
图表3.治理目标：创造价值企业拥有许多利益相关者，并且“价值创造”对他们来说意义并不相同，有时会相冲突。治理是在所有利益相关者的不同价值利益间协商与做决定。因此，在做效益、风险、资源评估决策时，治理系统应该考虑所有利益相关者。对于每个决策，以下问题可以也应该问及：为谁创造效益？谁承担风险？需要什么资源？4.2
COBIT 5 目标级联每个企业在不同的环境中运作，这个环境由外部因素（市场、产业、政治等）和内部因素（文化、组织、风险偏好等）决定，因此，企业需要一种定制的治理和管理系统。必须将利益相关者的需求转化成企业可执行的战略。COBIT 5目标级联是一种将利益相关者需求转化成特定的、可执行的、客户化的企业目标的机制，这一转化允许在企业的每一层级和每个领域设定特定目标，以支持总体目标和利益相关者要求，从而有效地支持企业需求和IT解决方案和服务之间的一致性。COBIT 5目标级联如图表4所示。第一步，利益相关者驱动因素影响利益相关者的需求利益相关者的需求受许多因素影响，例如，战略的变化、不断变化的业务和监管环境以及新技术。第二步，利益相关者需求与企业目标的各级联系更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
利益相关者需求能够与一系列通用的企业目标联系，这些企业目标应用平衡记分卡（BSC）维度制定，并且它们代表了通常使用的、企业可能为自己定义的目标列表。尽管这个列表并不详尽，但是大多数的企业特定的目标可以容易的映射到一个或多个通用企业目标，附录D展示了利益相关者需求和企业目标的表格。
图表4.COBIT 5目标级联概述
COBIT 5定义了17个通用的目标，如图表5所示，包括以下信息：? 企业目标适合的BSC维度? 企业目标? 与三个主要治理目标――效益实现、风险优化、资源优化的关系（“P”代表主要关系，“S”代表次要关系，即稍弱一点的关系）第三步，企业目标与IT相关目标的各级联系更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
企业目标的实现需要许多IT相关的结果，它们被IT相关目标和信息与相关技术的标准所呈现，IT相关目标沿着IT平衡记分卡（IT BSC）的维度构建。COBIT 5定义了17种IT相关的目标，列在图表6中。IT相关目标与企业相关目标的映射表包含在附录B中，它显示了每个企业目标如何由多个IT相关目标支持。第四步，IT相关目标与促成因素目标的各级联系实现IT相关目标需要成功应用和使用一些促成因素，促成因素的概念在第五章中详细解释，促成因素包括流程、组织结构和信息，对于每个促成因素，定义一系列特定相关目标以支持IT相关目标。流程是促成因素之一，附录C包含IT相关目标与COBIT 5相关流程的映射关系，而COBIT 5相关流程包含相关流程目标。
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
图表 5.COBIT 5企业目标
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
第12 页400 070 6887 或010-
图表6.IT相关目标
运用COBIT 5的目标级联COBIT 5目标级联的好处：目标级联是重要的，因为它允许对实施、提升和保障基于企业目标和相关风险的企业IT治理的优先权进行定义，实际上，目标级联：? 在各种责任级别下定义相关的有形的目标? 基于企业目标过滤COBIT 5知识库来提取相关指南，以纳入特定的实施、提升或保障项目。? 明确识别与沟通促成因素如何对实现企业目标很重要（有时是运作层面的） 仔细使用COBIT 5目标级联目标级联（在企业目标和IT相关目标以及IT相关目标与COBIT 5包括流程在内的促成因素之间的映射表），不包含通用的真理，用户不能企图以一种完全机械的方式运用它，应该作为指导方针应用。这有各种各样的原因，包括：? 每个企业在它的目标方面有不同的优先级，而且这些优先级可能随时间而变化；? 映射表不能区分企业的规模和/或行业，总体上，它们代表不同等级的目标是怎样联系的一种共性；? 映射中的指标使用重要性或相关性的两种等级，意味着关联等级是离散的，然而，实际中，映射中各种各样的关联的程度是接近连续的。实际应用COBIT 5目标级联从之前的说明，显然，企业使用目标级联时迈出的第一步应该总是在考虑其自身特殊情况下自定义映射。换句话说，每个企业应该建立它们自己的目标级联，将它与COBIT比较并对其细化。更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
例如，企业可能希望：? 为每个企业目标将其战略优先级转换成特定的“权重”或重要性? 在考虑其特定的环境与行业等情况下，验证目标级联映射关系
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
关于IT方面的治理与管理问题考虑到对IT的高度依赖，在任何企业，利益相关者需求的满足将会引起许多关于企业
IT治理和管理方面的问题（图7）。更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
图表7.关于IT治理和管理的问题如何找到这些问题的答案？图7中所提到的所有问题都与企业目标相关，都可作为各级目标的输入，并且基于各级目标它们可被有效地解决。附录D包括图7中所提到的内部利益相关者的问题与企业目标之间的示范映射关系。
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
原则二: 端到端覆盖企业COBIT 5从整个企业范围内端到端的角度关注信息及相关技术的治理和管理。 这意味着COBIT 5：? 将企业IT治理融入到企业治理当中。也就是说，COBIT 5提出的企业IT治理系统无缝地集成在任何企业治理系统中。COBIT 5与关于治理的最新观点一致。? 覆盖了治理与管理企业信息与相关技术所需要的所有功能及流程，信息可能被处理的任何地方。鉴于此扩展的企业范围，COBIT 5解决所有有关的内部与外部IT服务，同时处理内部与外部的业务流程。在众多促成因素的基础上，COBIT 5提供了对企业的IT治理与管理的整体性和系统性的观点（见原则4），这些促成因素是企业范围的和端到端的，也就是说，包括与企业信息与相关IT的治理与管理有关的每件事和每个人，内部与外部，包括IT部门与非IT业务部门的活动与责任。信息是COBIT的促成因素之一。COBIT 5定义促成因素的模型允许每个利益相关者定义对信息与信息处理周期的扩展的、完整的要求。因此将业务与对充足的信息和IT功能的需求连接起来，同时支持业务与环境的重点。5.1
治理方法端到端的治理方法是图8的所描绘的COBIT 5的基础部分，图8也展示了一个治理系统的关键组成。更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
图表8.COBIT 5治理与管理除治理目标外，治理方法的其他重要元素还包括促成因素、范围、角色、活动和关系。治理促成因素治理促成因素是治理的组织资源，如框架，原则，结构，流程，和实践，通过或对行动导向和实现目标。促成因素还包括企业的资源，例如，服务能力（IT基础设施，应用软件等），人员和信息。资源或促成因素的缺乏，可能会影响企业创造价值的能力。鉴于治理促成因素的重要性，COBIT 5包括看待和处理促成因素的单一方式（见第5章）。治理范围治理可以应用到整个企业，机构，有形或无形的资产等等。也就是说，定义关于企业应用治理的不同视角是可能的，而定义治理系统的范围是必须的。COBIT 5的范围是整个企业，但在本质上COBIT 5可以应对任何不同的视角。角色，活动和关系最后一个因素是治理的角色，活动和关系。在任何治理框架的范围内，它定义谁参与治理，他们是如何参与，他们做什么以及它们如何进行交互。 在COBIT 5更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
中，明确区分治理和管理域的治理和管理活动，以及它们之间的和所涉及的角色的接口。图9详细描述了图8的下半部分，并列出不同的角色之间的相互作用。有关治理的通用视图的更多信息，请参阅“推进治理”，网站www.takinggovernanceforward.org。
图表9.关键的角色、活动与相互关系
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
原则三：采用单一集成框架COBIT 5是一个单一的、集成的框架，因为:? 它与其他最新的相关标准和框架相一致，从而允许企业把COBIT 5作为总体治理和管理框架的集成器。? 它完全覆盖企业，提供有效地整合其他框架、 标准和所用的做法的基础。单一的总体框架以非技术性的，与技术无关的通用语言，用作一贯的综合指导资源。?? 它提供了一种简单的构建指导材料和生成一致的产品集的架构。 它集成了以前分散在不同的 ISACA 框架的所有知识。 ISACA已研究企业治理的关键领域多年，并已开发了如COBIT，Val IT，风险IT，BMIS，出版物IT治理简报，以及ITAF，它为企业提供指导和协助。COBIT 5融合了所有这些知识。6.1
COBIT 5的框架集成器图10 提供了COBIT 5如何实现其一致和集成框架中的角色的图形化描述。 更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
图表10. COBIT 5单一集成框架COBIT 5 框架为利益相关者提供关于企业IT治理和管理的最完整的和最新的指南（见图11），通过：? 研究和应用一系列驱动新内容开发的资源，包括：―把现存的ISACA指南（COBIT 4.1，Val IT 2.0，风险IT，BMIS）整合到这个单一结构框架下―在需要详细阐述和更新升级的地方进行内容补充―与其他相关标准和结构相匹配，比如ITIL、TOGAF和ISO标准。在附录A中可以找到完整的参考文献列表―定义一系列能提供所有指导资料结构的治理和管理的促成因素? 普及COBIT 5的知识库，该知识库包括目前产生的所有指导和内容，也为将来提供附加内容的结构? 提供一个完整的、综合的优良实践参照库更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
图表11.COBIT 5产品系列
原则四：启用一种整体的方法7.1
COBIT 5促成因素促成因素是单独或共同影响某物是否起作用的因素，在本例中是企业IT的治理和管理。促成因素由各级目标驱动，即IT相关的高级目标定义了不同促成因素应该达到的要求。COBIT 5框架描述了七类促成因素（表12）：? 原则，政策和框架是把所期望的行为转变为日常管理的实践指导的工具。 ? 流程描述了一系列有组织的为达到特定目标和产生一系列的输出以支持实现整体IT相关目标的实践和活动。? 组织结构是在一个企业的关键的决策实体。? 文化、伦理道德和行为，个人和企业的文化、伦理道德和行为是在治理和管理活动中通常被低估的取得成功的因素。? 信息是在任何组织中是很普遍的，它包括企业产生和运用的所有信息。信更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
息是保证组织运行和有效治理所必需的，但是在操作层面上，信息通常是企业自身的主要产品。? 服务、基础设施和应用程序包括为企业提供信息技术服务和处理的基础设施和应用程序。? 人才，技能和竞争力与人有关，并且是做出正确决策和实施正确行动和成功完成所有活动所必需的。
图表12.COBIT 5企业促成因素之前定义的一些促成因素同样是需要管理和治理的企业资源。这适用于： ? 信息，需要当做一种资源来处理。一些信息，比如管理报告和业务情报信息是企业治理和管理的重要促成因素。?? 服务，基础设施和应用程序 人才，技能和竞争力7.2
通过相互关联的促成因素系统地治理和管理图12 也传达出这种应该被企业治理采纳的理念，包括IT治理，IT治理是实现企业的主要目标。任何企业必须一直考虑一系列相互关联的促成因素。也就是说，每种促成因素：更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
? 要想完全有效，需要其他促成因素的输入，比如，流程需要信息，组织结构需要技能和行为。? 为其他促成因素提供输出，比如，流程传递信息，技能和行为状况使流程生效。所以当解决企业IT管理和治理中的问题时，只有当考虑这种系统性的治理与管理的本质时，好的决策才会被采纳。这意味着为了应对任何利益相关者的需要，必须分析所有相互关联的促成因素的相关性，如果需要做相应处理。这种思维模式必须由企业的顶层驱动，如下面的例子所示。
COBIT 5促成因素的维度所有的促成因素具有共同的维度组合，这一共同维度的组合（图13）： ? 提供了一种通用的、单一的、结构化的方法来处理促成因素? 允许一个实体来管理其复杂的相互作用? 促成促成因素的成功结果更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
图表13.COBIT 5通用促成因素促成因素维度促成因素的4个通用维度是：? 利益相关者：每个促成因素都有利益相关者（发挥积极的作用和/或对促成因素感兴趣的各方）。例如，流程有执行流程中的活动和/或对流程结果感兴趣的不同各方；组织结构有利益相关者，每一个都有他/她各自的角色或兴趣，这是结构的一部分；利益相关者对企业可以是内部的或者外部的，他们都有自己的利益和需求，这些利益与需求有时可能是冲突的，利益相关者需求转换成企业目标，进而转化为企业的IT相关的目标。利益相关者列表在图7中显示。? 目标：每一个企业都有若干目标，并且促成因素通过实现目标提供价值，目标可以根据定义： ――促成因素期望输出结果 ――促成因素自身的应用与运作更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
第26 页400 070 6887 或010-
促成因素目标是COBIT 5目标级联中的最后一步，目标可以进一步分为不同的类别：――内在质量：促成因素准确，客观地工作，并提供准确、客观、有信誉的结果的程度――环境质量：促成因素及其结果，在考虑他们运营环境的情况下，适合目的的程度，举例来说，结果应该是相关的，完整的，最新的，适当的，一致的，易于理解和易于使用的。――访问和安全：促成因素及其结果可访问和安全的程度。诸如：? 当需要和如果需要时，促成因素是可得的。? 输出是安全的，即访问仅限于那些有权并需要它的人。? 生命周期：每一个促成因素都有生命周期，从成立以来，经过运营/有用的生命，直到被处理掉。这适用于信息、结构、流程、政策等等。生命周期的阶段包括：―规划（包括概念的发展和概念的选择）―设计―建立/收购/创建/实施―应用/运作―评估/监控―更新/弃置? 好的实践：对每一个促成因素，可以定义好的实践。好的实践支持促成因素目标的实现，好的实践提供关于如何最佳实施促成因素和需要什么工作产品或输入输出的示例和建议。COBIT 5提供一些由其自身提供的促成因素的好的实践的例子（例如流程）。对其它的促成因素，可以应用来自其它标准或框架等的指南。促成因素性能管理企业期望从应用促成因素中得到积极的结果，为了管理这些促成因素的性能，以下问题需要定期监控并从而随后解决（基于衡量指标）：? 利益相关者额需求处理了吗？更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
? 促成因素目标实现了吗？? 管理促成因素生命周期了吗？? 好的实践应用了吗？前两个问题对应促成因素的实际输出，用于衡量目标的实现程度的度量指标可称为“滞后指标”。后两个问题对应促成因素自身的实际作用，这个指标可以称为“领先指标”。7.4
实践中促成因素的例子例5说明了促成因素，它们的相互联系和维度，以及如何应用它们以获得实际效益。
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
在附录G中，更详细地描述了七类促成因素，为更好理解促成因素以及它们在组织企业IT治理和管理方面的强大程度，建议阅读本附录。
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
原则五：区分治理与管理8.1
治理与管理COBIT 5框架明确区分治理与管理，这两个概念包括不同类型的活动，需要不同的组织结构和服务于不同的目的。COBIT 5认为治理与管理之间的主要区别是：? 治理
在大多数企业，治理是在董事会主席领导下的董事会负责的，? 管理
在大多数企业中，管理是首席执行官（CEO）领导下的执行管理层的责任。8.2
治理与管理的相互作用从治理和管理的定义，可以明确知道，他们包含不同类型的活动，有不同的责任；然而，鉴于治理的角色（评估、指导和监督），在治理与管理之间需要一系列相互作用来形成一个切实有效的治理系统。这些相互作用，使用促成因素结构显示在图14中。
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
COBIT 5治理和管理的相互作用8.3
COBIT 5流程参考模型COBIT 5不是规定性的，但它主张企业实施治理和管理流程以涵盖关键领域，如图15所示。更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
图表15.COBIT 5治理与管理的关键领域企业组织它认为合适的流程，只要包含所有必要的治理和管理的目标，小的企业流程少，大的复杂的企业流程多，但均包含相同的目标。COBIT 5包括一个流程参考模型，详细地定义和描述若干治理和管理流程，它代表在企业IT相关活动中经常发现的所有流程，为IT运营和业务经理提供一个通用的易理解的参考模型。这个推荐的流程模型是一个完整的、综合的模型，但它并不是唯一可能的过程模型。考虑到其具体情况，每个企业都必须定义它自己的流程集，结合企业在IT活动所涉及的所有部件的运作模式和共同的语言，是走向良好管理的最重要和最关键的步骤之一。它还提供了一个衡量、监控IT性能，提供IT保障，与服务供应商交流以及整合最好管理做法的框架。COBIT 5流程参考模型将企业IT治理和管理流程分为两个主要流程领域： ? 治理：包括5个治理流程，在每个流程内，定义了评估、指导和监控（EDM）实践。更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
? 管理：包含四个领域，根据责任区域的规划，构建，运行和监控（PBRM），并提供IT端到端的覆盖。这些领域是COBIT4.1域和流程结构的演变。这些领域的名称是根据主要领域的标识选择的，但包含了更多的动词描述他们：―调整，规划和组织（APO）―建立，获取和实施（BAI）―交付，服务和支持（DSS）―监控，评价和评估（MEA）每个领域包含若干流程。如前所述，虽然大部分流程需要在流程内或所处理的特定议题内（例如质量、安全），“规划”，“实施”，“执行”和“监控”活动。根据在企业层面看待IT时，它们通常被置于最相关的活动领域。COBIT 5流程参考模型是COBIT 4.1流程参考模型的继承者，同时也融合了风险IT、Val IT流程模型。图16显示了37种COBIT 5治理和管理流程的完整集合，根据前面介绍的流程模型，所有流程的详细情况包含在COBIT 5：启用流程中。更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
图表16.COBIT 5流程参考模型九.
实施指南9.1
引言只有当有效地采纳和调整COBIT，以适应每个企业的独特环境时，才能从利用COBIT中实现最佳价值。每种实施方法也将需要解决包括管理文化和行为的变化在内的具体挑战。更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
ISACA在基于生命周期持续改善的论文《COBIT 5实施》中提供了实用的和广泛的实施指南，它不是一种指令性的方法，也不是一个完整的解决方案，而是避免经常遇到的陷阱，利用良好做法，并协助创造成功结果的指南。该指南还受到包含各种不断强化的资源的实施工具套件支持。它的内容包括：? 自我评估。测量和诊断的工具? 针对各种听众的介绍? 相关文章和进一步解释本章的目的是在一个较高层次介绍实施和持续改进的生命周期，突出强调来自COBIT 5实施的若干重要课题，诸如：? 为IT治理和管理的实施和改进制作业务案例? 认识典型的难点和触发事件? 为实施创造适当的环境? 利用COBIT来识别差距，并指导促成因素如政策、流程、原则、组织结构以及角色和责任的发展。9.2
考虑企业环境企业的IT治理和管理不会发生在真空中，每个企业的需要来设计自己的实施计划或路线图，设计需要根据企业特定的内部或外部环境，如企业的： ? 伦理道德和文化? 实施的法律、法规和政策? 使命、愿景和价值观? 治理政策和实践? 业务规划和战略意图? 运营模式和成熟水平? 管理方式? 风险偏好? 能力和可用资源? 产业实践更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
同样重要的是充分利用和构建现有的企业治理的促成因素。对每一个企业来说，企业IT治理与管理的最佳方法是不同的，并且需要理解并考虑环境因素，以在实施企业IT促成因素的治理与管理的过程中有效地采纳和调整COBIT。COBIT通常支持其它框架、好的实践和标准，并且这些也需要调整以满足特定的要求。成功实施的关键成功因素包括：? 高层管理者提供开始行动的指示与授权，以及看得见的持续的承诺与支持? 支持治理与管理流程的所有各方理解业务和IT目标? 确保对必要变革的有效的交流与促进? 调整COBIT和其它辅助的好的实践和标准以适应特定企业环境? 重视快速取胜和优先实现最易实施的最有效益的提升9.3
创造合适的环境利用COBIT的实施举措得到适当的治理和充分的管理是重要的，主要的IT相关的举措往往失败，因为各种利益相关者不适当的指导、支持和监督，利用COBIT的IT促成因素的治理或管理的实施也没有什么不同。来自关键利益相关者的支持和指导是重要的，以使改进得以采用和保持。在薄弱的企业环境（诸如不清晰的整体业务运营模式或缺乏企业级的治理促成因素）下，这种支持和参与甚至更重要。采用COBIT的促成因素应该提供一个解决实际业务需求和问题的，而不是作为自己的终端的解决方案。基于当前难点和驱动因素的需求应该被管理人员作为需要处理的领域来识别与接受。基于COBIT的高层次的健康检查，诊断或能力评估是提升意识、促成一致意见、产生行动承诺的完美工具。必须从一开始就询问相关利益相关者的承诺和偏好。为实现这些，实施的目标和利益的需要在业务术语中明确表达，在业务案例概要明确总结。一旦已取得承诺，需要为支持该方案提供足够的资源，定义和委任关键的项目角色与责任，需要注意持续保持来自所有受影响的利益相关者的承诺。 更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
应当建立和保持适当的用于监督和指导的结构和流程，这些结构和流程也应该确保与整个企业的治理和风险管理方法持续一致。关键利益相关者例如董事会和高管应该提供可见的支持和承诺，以设定的“顶层的基调”，并确保各级对方案的承诺。9.4
识别难点与触发事件有许多因素可能预示需要改善企业IT的治理和管理。通过把难点和触发事件作为实施计划的启动点，企业IT改善的治理和管理的业务案例可以与实际的、正在经历的日常问题相联系，这将提高买入并且在企业范围内创造紧迫感，而这正是揭开实施序幕所需要的。另外，在企业中最容易看见或最易识别的领域中，可以识别快速取胜，并且可以显示价值增加。这为进一步转变提供了平台，并可以协助获得广泛的高级管理层的承诺和更加普遍的变化的支持。一些典型的难点例子，新的或修订过的， IT促成因素的治理或管理可以成为一个解决方案（或解决方案的一部分），如COBIT 5实施中确认的那样，是：? 失败的方案、提高IT成本和低的业务价值感觉造成的业务挫折? 与IT风险，如数据丢失或项目失败，相关的重大事故? 外包服务交付问题，例如一致未能达到商定的服务水平? 未能达到监管和合同要求? IT限制企业的创新能力与业务敏捷性? 差的IT性能的日常审计结果或者已报告的IT服务质量问题? 藏匿和欺诈IT花费? 成倍或者方案重复或者资源浪费，例如过早终止项目? 不充分的IT资源，技术不足的员工或员工倦怠/不满? IT促使的变化没有满足业务需求和交付推迟或者超过预算? 董事会成员，高管以及高级经理不愿参与IT或者缺少信守诺言的令人满意的IT发起人? 复杂的IT操作模型更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
除了这些难点之外，企业内部或外部环境中的其它因素可以暗示或触发对IT治理和管理的关注，第3章《COBIT 5实施》出版物中的例子是：????????? 兼并，收购或剥离 市场、经济与竞争地位的变化 业务操作模型与采购安排的变化 新的监管或合规性要求 重大的技术改变或模式改变 企业范围的治理重点或项目 新的CEO、CFO、CIO等 外部审计或咨询评估 新的业务战略或优先事项9.5
启动变革成功实施取决于以适当的方式实施适当的变化（适当的治理或管理促成因素）。在许多企业中，第一方面得到了很好的重视（IT的核心治理与管理），但是对管理人力资源、行为和文化方面的变化以及激励利益相关者入股变化的重视不够。不应该假定参与或者受新的或修订的促成因素影响的各种利益相关者将愿意接受和采纳变化，对变化的无知和/或抵制需要通过一个结构化的和主动的方法解决。同样，在整个方案的各个阶段，实施方案的最佳认识应通过一种“沟通什么，以何种方式沟通，由谁沟通”的沟通计划来实现。通过获得利益相关者的承诺（投资为赢得民心，领导人的时间，并与员工沟通和回应），或者如仍需要，通过加强合规性（投资流程中的管理，监督和执行）可以实现持续改善。换句话说，需要克服人、行为和文化的障碍，以使有妥善采纳变化的共同利益，渗透采取改变的意愿，并确保采取变化的能力。更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
一种生命周期方法实施生命周期提供了一种为企业使用COBIT解决在实施过程中通常遇到的复杂性和挑战的方法。生命周期的三个相互关联的组成部分是：1.核心持续改善的生命周期：这不是一个一次性的项目 2.启用的变化：应对行为和文化方面 3.方案的管理如前面所讨论的，需要创造适当的环境，以确保成功实施或改进计划。生命周期及它的七个阶段如图17所示。
第一阶段开始认识到并同意实施或改进计划的必要性。它确定了目前的难点和触发点，并在执行管理层造成改变的欲望。更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
图表17.实施生命周期的七个阶段
第二阶段的重点是通过使用COBIT框架中企业目标与IT相关的目标以及与相关的IT流程之间的映射关系，确定实施或改进计划的范围，并考虑风险情况也可以怎样突出所关注的关键工序。高层次的诊断也可对高优先级领域的范围确定和理解有用。接着，进行当前状态的评估，并通过程能力评估识别问题或不足之处。大型倡议的结构应作为生命周期的多重迭代，任何执行超过六个月的倡议，有失去动力，焦点和从利益相关者的买入的风险。第三阶段，设置改进的目标，在COBIT框架的指导下，通过更详细的分析找出差距和潜在的解决方案。有些解决方案可能是迅速见效，但其他方案可能是更具挑战性的、更长期的活动。应优先考虑更容易实现和那些可能产生最大的效益的举措。第四阶段，通过合理的业务案例支持的项目，规划确定切实可行的解决方案。还制定一个实施的改革计划。一个发展完善的业务案例有助于确保项目的效益确定和监控。第五阶段，提出的解决方案在日常实践中实施。可以定义衡量标准和建立监控，使用COBIT的性能和指标，以保证维持和实现业务的一致性，性能可以被衡量。成功需要高层管理人员的参与和声明的承诺以及受影响的企业和IT利益相关者的所有权。第六阶段侧重于新的或改进的促成因素的可持续运营和对预期效益实现的监测。第七阶段，评估该方案的整体成功情况，确定企业IT治理或管理的进一步需求，持续改进的需求得以加强。随着时间的推移，当为企业IT的治理和管理建立一种可持续的方法时，应遵循反复的生命周期。9.7
入门：制作业务案例为确保利用COBIT的实施方案的成功，企业内部应该广泛认识到和沟通采取行动的需要。这可以采取 “闹钟”（如前所述，正在经历具体的难点）的形式，更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
或要追求的改善机会的表达，重要的是将要实现的利益。需要灌输适当水平的紧迫感，并且关键利益相关者应该意识到不采取行动的风险和承担项目的收益。倡议应有一个提案人，涉及所有主要利益相关者，并以业务案例为基础。最初，从战略的角度――自上而下――从清楚地了解预期的业务成果，发展到关键任务和里程碑，以及关键的角色和职责的详细描述，这可能是在一个较高的水平。业务案例是管理层可用的、指导业务价值创造的宝贵的工具。最起码，业务案例应包括以下内容：? 确定业务利益目标，与业务战略及相关受益业主（业务中保证负责业务的人）的一致性。这可以基于难点和触发事件。? 创造预想的价值需要的业务变化。这可基于健康检查和能力差距分析，并应明确说明什么在范围内，什么在范围之外。? 企业IT的治理和管理变化（基于对所需项目的估计）需要的投资。? 持续的IT和业务成本。? 以改变后的方式运营的预期收益。? 在过去的经济学中所固有的风险，包括任何限制或依赖性（基于挑战和成功因素）。? 与倡议相关的角色，责任和义务。? 在这个经济生命周期中，如何监控投资和价值创造，以及要使用的评价指标（基于目标和指标）业务案例不是一次性的静态文件，而是一个动态的业务工具，必须不断更新以反映未来的当前视图，以便可以保持方案的可行性。量化实施和改善方案的效益是困难的，并且应该只关注现实的、可行的效益。在多家企业进行的研究可以提供对已经取得的收益的有用信息。
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
COBIT 5过程能力模型10.1
引言COBIT 4.1、风险 IT和Val IT的用户对包含在那些框架中的流程成熟模型很熟悉，这些模型用来衡量目前的或者“现在”的企业的IT相关流程的成熟程度，以定义一个需要的“将来”的成熟状态，并且确定他们之间的差距以及如何改进这些流程达到希望的成熟水平。COBIT 5产品系列包括一个基于国际公认的ISO/IEC15504的软件工程――流程评估标准的流程性能系统，这个模型将实现相同的过程评估和过程改进支持的总体目标，即它将提供一种手段来衡量任何治理流程（基于EDM的）或管理（基于PBRM的）的流程性能，并将允许确定改进的区域。然而，这个新模型与COBIT 4.1成熟模型在设计和使用方面是不同的，因此，以下问题需要讨论：? COBIT 5模型与COBIT 4.1模型的不同点? COBIT 5模型的好处? COBIT 5用户在实际应用中将遇到的不同点的总结? 执行COBIT 5性能评估COBIT 5性能评估方法的详细信息包含在ISACA出版物《COBIT流程评估模型（PAM）：使用COBIT 4.1》中。尽管这种方法将会提供关于流程状态的有价值信息，但是流程仅仅是治理和管理的七大促成因素之一，因此，流程评估不能提供企业治理状态的全景，因此，其它的促成因素也需要评估。10.2
COBIT 4.1成熟度模型与COBIT 5过程能力模型的不同点COBIT 4.1成熟度模型方法的元素如图18所示：更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
图18――COBIT 4.1成熟度综述成熟度模型不存在成熟水平0Ad hoc成熟水平1可重复成熟水平2已定义流程成熟水平3可管理和测量成熟水平4已优化成熟水平5通用成熟度模型属性意识和沟通政策，规划，程序工具和自动化技能和专业知识责任和义务设定目标和衡量标准COBIT 4.1流程控制COBIT 4.1控制目标
图表18.COBIT 4.1成熟度模型概要使用COBIT 4.1成熟度模型实现流程改进目的（过程成熟度评估，确定目标成熟度水平并确定差距）需要使用以下COBIT 4.1元素。? ?首先，需要做一个流程控制目标是否满足的评估。其次，包含在每个流程的管理指导方针中的成熟模型可以用来获取流程的成熟度轮廓。?另外，通用的COBIT 4.1成熟度模型提供6个截然不同的属性，它们可以在每个流程应用，并且帮助获取关于流程成熟水平的更详细的认识。?流程控制是一般控制目标，做流程评估时，它们也需要审查，流程控制与通用的成熟度模型属性部分重叠。 COBIT 5流程性能方法可以总结如图19所示更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
图19――COBIT 5过程能力模型概要通用过程能力属性性能属性（PA)1.1过程能力不完整过程执行过程PA2.1PA2.2性能工作管理产品管理管理过程PA3.1过程定义PA3.2过程部署PA4.1过程管理PA4.2PA5.1过程过程控制创新PA5.2过程优化建立过程可预测过程优化过程012345COBIT 5流程评估模型―性能指标流程结果基础实践（管理/治理实践）COBIT 5流程评估模型―能力指标工作产品（输入/输出）通用做法通用资源通用工作产品
图表19.COBIT 5过程能力模型概要有流程可以实现的6种性能等级，包括一个“不完整流程”的称号，如果其中的实践没有达到流程的预期目标。? 0不完整流程―流程没有实施或没能实现流程目标。在这个级别，几乎 没有或者没有任何流程目标的系统实现的证据。 ? 1执行过程（1个属性）―实施过程实现流程目标。? 2管理过程（2个属性）―上面所描述的执行过程现在以管理的方式实施（规划、监控和调整），其工作产品得到适当的建立、控制和维护。 ? 3建立的流程（2个属性）―上面所描述的管理过程现在使用已定义的、能够实现流程输出的流程进行实施。? 4可预测的流程（2个属性）―上面所描述的建立的过程现在在定义的限制内运行以实现它的流程输出。? 5优化的流程（2个属性）―上面所描述的可预测的过程不断改善以满足有关的当前和预期的业务目标。更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
只有已经完全达到下面的级别，每一个性能等级才可以实现。例如，流程性能等级3（建立的流程）需要在很大程度上实现流程定义和流程部署属性，在充分实现流程性能2（管理过程）的属性之上。流程性能等级1与更高性能等级之间有重要的区别，流程性能等级1的实现需要在很大程度上实现流程性能属性，这实际上意味着流程正在顺利进行和企业获得所需的结果，然后较高的能力水平为其添加不同的属性。在此评估计划中，实现性能等级1，甚至等级是5，对于一个企业已经是重要成果。请注意，每个独立的企业应当选择（基于成本――效益和可行性的原因）它的目标或希望的水平，这很少是最高等级之一。基于ISO/IEC 15504的流程性能评估和目前COBIT 4.1成熟度模型（和类似的Val IT和风险 IT基于域的成熟度模型）的最重要区别可以总结如下：? 在流程方面，ISO/IEC 15504定义的性能水平的命名与意义与目前COBIT4.1成熟水平相当不同。? 在ISO/IEC 15504中，性能水平被一组9种流程属性定义，这些属性覆盖一些目前COBIT 4.1成熟度属性和/或流程控制覆盖的领域，但只到特定程度并以不同的方式。一种与ISO/IEC 15504:2兼容的过程参考模型的要求描述了任何将评估的过程，即任何COBIT 5的治理和/或管理流程：? 根据其目的与结果描述流程? 流程描述不应包括任何高于1级的衡量框架的任何方面，这意味着任何超出1级的流程属性的特征不能出现在一个流程的描述中。一个流程是否被衡量与监控或者它是否得到正式描述等，不能成为一个流程的描述或任何管理做法/活动的一部分。这意味着流程描述如《COBIT 5：促成流程》所包括的一样，只包含实现实际流程的目的和目标的必要的步骤。? 如之前描述的一样，适用于所有企业流程的通用属性现在定义为评估模型的2到5级。这些流程在出版物《COBIT 第三版》中产生重复控制目标并在COBIT 4.1中归为流程控制（PC）目标。更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
实际应用的不同从之前的描述可知，很显然，有一些与流程模型变化联系的实际应用方面的不同，用户需要了解这些变化并能够将它们考虑到实际的行动计划中。需要考虑的主要变化包括：? 尽管由于数量规模和用于形容它们的词的明显的相似之处而尝试对比COBIT 4.1和COBIT 5评估结果，但因为在范围、关注点和意图方面的差异，比较是困难的，如图20所示。? 一般来说，COBIT 5过程能力模型的的得分要小一些，如图20所示。在COBIT 4.1成熟度模型中，一个流程可以达到等级1或等级2而不需要完全实现整个流程目标。在COBIT 5流程性能等级中，这将导致一个较低的得分为0或1。COBIT 4.1和COBIT 5能力规模大约可被视为'地图'，如图20所示。? COBIT 5中详细的流程内容在每个流程中不再有特定的成熟度模型，因为在ISO /IEC 15504的过程能力评估方法并不需要这甚至不允许此方法。相反，该方法定义“过程参考模型”所要求的信息（该过程模型可用于评估）： ―流程的描述，有目的的陈述―基本的做法，在COBIT 5术语中，这是相当于过程治理或管理的做法的等同物―工作产品，在COBIT 5术语中，输入和输出的等同物? COBIT 4.1成熟度模型产生一个企业的成熟度轮廓，这个轮廓的主要目的是确定在哪个维度或为哪个属性有需要改进的具体弱点。当有改善焦点而不是为报道目的而获得一个成熟度的数字的需求时，企业使用这种方法。在COBIT 5中，流程评估模型为各性能属性和如何应用的指导提供了一个测量尺度，所以每个流程的评估可以针对这九个功能属性。? COBIT 4.1成熟度属性和COBIT 5流程性能属性并不是完全相同的，它们在一定程度上重叠或相互映射，如图21所示。一直应用COBIT 4.1成熟度模型属性方法的企业可以重用它们现有的评估数据，并对它们在基于图更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
21的COBIT 5属性评估进行重新分类。
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
图表20.成熟水平（COBIT4.1）和过程能力水平（COBIT 5）对照表 更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
图表21.成熟度属性（COBIT4.1）和流程属性（COBIT 5）对照表10.4
这些变化的好处：与COBIT 4.1成熟度模型相比，COBIT 5的过程能力模型的优点包括：对正在处理的过程的关注的改善，以保证它正在实现其目的并产生预期的需要的结果。? 通过减少重复的东西以减少内容，因为COBIT 4.1成熟度模型评估需要使用许多特定的元件，包括通用的成熟度模型，过程成熟度模型，控制目标和流程的控制以支持流程的评估。? 改善了过程能力评估活动及评价的可靠性及可重复性，同时减少利益相关者在评估结果上的争论与分歧。? 提高了过程能力评估结果的可用性，因为这个新模型为实现内部和潜在的外部目的，为将要执行的更正规的更严格的评估建立了一个基础。? 与普遍接受的过程评估标准一致，也因此强烈支持市场上的过程评估方法。 10.5
在COBIT 5中执行过程能力评估ISO / IEC 15504标准规定，过程能力评估可以用于各种用途，也适用于不同严谨的程度。可以是内部的目的，着重于与企业领域和/或内部收益的流程改进之间的比较，或者也可以是外部目的，着重于正式的评估，报告和认证。更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
COBIT 5的基于ISO / IEC 15504的评估方法，一直促进下列目标的实现，自2000年以来这已成为一种重点COBIT的方法：? 使得治理机构和管理层能够为过程能力设定基准；? 使得高水平的“现在”和“将来”健康性检查能支持与过程改善有关的，治理主体与管理层投资决策的制定。? 提供差距分析和和改善计划信息以支持合理的改善项目的确定。? 向治理主体和管理层提供评估等级以衡量和监控当前的能力。这一节介绍了为什么可以用COBIT 5过程能力模型执行一个高水平的评估以实现这些目标。评估能力1级和更高级之间有区别。事实上，如前所述，过程能力级别1描述了过程是否达到预期目的，因此是一个要达到的非常重要的级别，也是使能力要达到更高的水平的基础。评估过程是否实现其目标，或者换句话说，达到1级能力，可以通过：1、审查过程的结果，因为他们为每个流程中所描述的详细过程描述，并使用ISO / IEC 15504评定量表，为实现不同程度的目标分配一个等级。这个量表包括以下的评定等级：? N（未实现）――在评估过程中，有很少或没有证据显示定义的属性的实现程度。（0％至15％的实现率）? P（部分实现）――在评估过程中，有一些证据显示定义的属性的一种方法或部分完成。在考察属性的完成情况的某些方面可能是不可预知的。 （15％至50％的实现率）? L（基本上实现）――对定义在评估过程中的属性，有系统化方法的证据和显著的成就。在评估过程中可能存在的一些有关此属性的弱点。 （50至85％的实现率）? F（完全实现）――对定义在评估过程中的属性有一个完整和系统的方法和证据，并充分实现。在评估过程中不存在有关该属性明显的弱点。 （85至100％的实现率）更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
2、此外，流程（治理或管理）实践可以使用相同的评定量表评估，表示在何种程度上的基本实践得到应用。3、要进一步完善评估，也可以考虑工作产品以确定一个具体的评估属性已经实现到何种程度。虽然确定目标的能力级别取决于每个企业，许多企业将有希望将他们所有的流程达到一级水平。（否则，拥有这些流程还有什么意义？）如果没有达到这个水平，没有达到这个水平的原因会立即从以上解释的方法中得出，可以确定改进计划：1. 如果一直没有实现所需的流程的结果，那么该流程不符合目标，需要加以改进。2. 流程实践的评估将揭示哪些做法是缺乏的或是失败的，并使这些实践实施和/或改善发生，并允许实现所有流程的成果。对于较高的过程能力等级，从ISO/IEC 15504:2标准看，使用通用的做法。它们为每一个能力等级提供通用描述。
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
企业目标―IT相关目标之间的详细映射关系在第2章解释了COBIT目标级联。图22中的映射表的目的是演示如何支持企业目标（或转换成）IT相关的目标。出于这个原因，表格中包含以下信息：? 在列中，所有的17个通用的企业目标在COBIT 5定义，按BSC的维度进行分组。? 在行中，所有的17个与IT相关的目标，也按BSC的维度进行分组。 ? 每个企业的目标是如何支持IT相关的目标的映射。此映射使用以下尺度表示：“P”代表主要关系，当有重要的关系时，即与IT相关的目标是实现企业目标的主要支持。“S”代表次要关系，当仍然有一个强大的、但不太重要的关系是，即与IT有关的目标是实现企业目标的辅助支持。
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
该表的创建基于以下输入：? 安特卫普大学管理学院IT调整和治理研究所的研究? 在COBIT 5的发展和审查过程中获得的额外的评论和专家的意见更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
应用图22中的表格时，请考虑第二章做的关于如何应用COBIT 5目标级联的评价。
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
图表22.COBIT 5企业目标与IT相关目标的映射关系更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
IT相关目标―IT相关流程之间详细的映射关系这个附录包括IT相关目标和IT相关流程之间的映射关系表和IT相关流程是如何支持它们的，作为第二章解释的目标级联的一部分。图表23包括：? 在纵列中，在第二章中，定义了所有17个通用的IT相关目标，按IT BSC维度分组。? 在行中，所有的37个COBIT 5流程，依据范围分组。? 每一个IT相关目标如何被COBIT 5 IT相关流程支持的映射关系，这一映射关系用以下尺度表示：“P”代表主要关系，当有一个重要关系时，即COBIT 5流程是实现IT相关目标的主要支持。“S”代表次要关系，当有一个仍然很强，但不太重要的关系时，即COBIT 5流程是实现IT相关目标的次要支持。
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
这个表格的创建基于以下输入：? 安特卫普大学管理学院IT调整和治理研究所的研究? 在COBIT 5的发展和审查过程中获得的额外的评论和专家的意见 应用图23中的表格时，请考虑第二章做的关于如何应用COBIT 5目标级联的评价。
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
图表23. IT相关目标与流程的映射关系十三.
利益相关者需求和企业目标第四章说明了目标级联的单独步骤，从利益相关者需求开始一直向下到促成因素目标。第二章包括一个典型的关于IT治理与管理问题的表格。从利益相关者的观点来看，知道这些问题如何联系到到企业目标是有趣的。因此，图24被包括进来，它显示了内部利益相关者需求如何与企业目标相联系的一个列表。这个表格可以用来帮助基于特定利益相关者需求设置和优先考虑特定的企业目标或IT相关的目标，当使用这些图表与其他目标等级表时，可以应用同样的预防措施，即每个企业情况不同，这些表格不能以机械的方式使用，而是作为一个推荐的通用的关系的集合应用。在图24中，如果某个目标需要考虑某项需求，则填充利益相关者需求与企业目标交叉点（这里用字母“Ｐ”代表填充）。更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
图表24. COBIT 5企业目标与治理管理问题的映射关系
更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
COBIT 5与最相关的相关框架和标准的映射关系14.1
引言这个附录将COBIT 5与管理范围内最相关的应用的标准和框架进行对比。对ISO/IEC 38500是通过基于ISO/IEC 38500的原则的对比进行的。对其它的对比，使用了一种带格式的表格，其中COBIT 5流程与所涉及的标准或框架的等同内容进行映射。14.2
COBIT 5和ISO/IEC 38500以下总结了COBIT 5如何支持采用标准的原则和实施方法。标准，ISO / IEC ――企业信息技术治理，基于六个关键原则。这里解释了每个原则的实际运用，连同COBIT 5指南如何促成好的实践。ISO/IEC 38500原则原则1――责任这在实践中意味着：业务（客户）和IT（供应商）应该在一个合作模式中合作，利用有效的基于积极和信任关系的沟通，表明清晰的相关责任与义务。对于规模较大的企业，IT执行委员会（也称为IT战略委员会）代表董事会行事，由董事会成员主持，是一种非常有效的评估、指导和监督在企业中使用IT以及向董事会就关键的IT问题提出建议的机制。小型和中型企业拥有更简单的命令结构和较短的通信路径，它们的董事在监督IT活动时，需要采取更直接的办法。在所有情况下，适当的治理组织结构、角色和责任，必须由治理机构授权，提供重要的决定和任务的明确的所有权和问责制，这应该包括与关键的第三方IT服务提供商的关系。ISACA指南如何促使好的实践：1. COBIT 5框架定义了若干治理企业IT的促成因素。 “流程 ”促成因素更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
和“组织结构”促成因素，结合RACI表是在这种环境中特别相关的。它们极力主张责任的分配，并为董事会成员和所有关键相关的流程和活动的管理者提供示范角色和活动。2. 《COBIT 5实施》解释了当实施或加强IT治理安排时，利益相关者和其他有关各方的责任。3. COBIT 5有两个层面的监测，第一个层次是与治理环境有关，流程EDM05确保利益相关者透明用建立目标及相关指标的通用方法，解释了董事在监测和评估IT治理和IT性能方面的作用。原则2：战略这在实践中意味着：IT战略规划是一个复杂和关键的任务，要求企业的业务部门和IT战略计划之间的密切协调，优先安排最有可能实现预期效益的计划，并有效地分配资源也是至关重要的。高层次的目标需要被转化成可实现的战术计划，确保最小的失败和意外，我们的目标是提供支持战略目标的价值，同时考虑到相关的与董事局风险偏好有关的风险。尽管以自上而下的方式的级联计划是重要的，但计划还必须是具有灵活性和适应性，以满足瞬息万变的业务需求和IT机遇。此外，存在或缺乏IT能力可以启用或阻碍企业的战略，因此，IT战略规划应包括透明的和适当的IT能力规划。这应包括评估当前的IT基础设施和人力资源的能力，以支持未来的业务需求和使竞争优势和/或优化成本的未来的技术发展的考虑。IT资源包括与许多外部产品供应商和服务供应商的关系，其中一些人可能在支持业务方面发挥了关键作用。因此，治理的战略采购是一个非常重要的战略规划活动，需要行政级别的指导和监督。ISACA指南如何促成好的实践1. COBIT 5提供了具体的关于管理IT投资和（特别是，在这个过程中EDM02确保在治理领域的收益交付）战略目标应如何通过适当的业务案例支持的指导。2. COBIT 5 APO领域解释了为有效地规划所需的流程和内部和外部的IT资源的组织，包括战略规划、技术和架构的规划、组织规划、创新规划、更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
投资组合管理、投资管理、风险管理、客户关系管理和质量管理。也解释了业务和IT目标的一致性，用通用的例子说明他们如何基于业界研究它们如何支持所有IT相关的流程的战略目标。3. 确定和调整企业目标与IT相关的目标的工作，提出了企业目标、IT相关的目标和促成因素的级联关系的更好的理解，其中包括IT流程。它提出了一个实力雄厚的17个通用企业的目标和17个通用的IT相关的目标的列表，在不同部门之间验证和优先，连同两者之间的连接信息，它提供了建立一个业务目标与IT目标之间的通用级联关系的良好的基础。原则3：收购这在实践中意味着：IT解决方案的存在，以支持业务流程，因此必须注意不考虑在隔离或只是一个“技术”项目或服务的IT的解决方案。另一方面，不适当技术架构选择，未能保持当前和适当的技术基础设施，或缺乏熟练的人力资源，可能导致项目失败，无法维持业务或价值减少的业务。IT资源的收购应被视为更广泛的IT业务变化的一部分。所收购的技术也必须支持和运作现有的和计划中的业务流程和IT基础设施。实施也并不只是一个技术问题，而是一个组织的变化、修订后的业务流程、培训、变化促成因素。因此，IT项目应进行更广泛的企业级的包括其他项目的一部分的变化方案，满足全方位的需要，以帮助确保取得圆满成功的活动。ISACA指南如何促成好的实践1. COBIT 5 EDM领域提供了经历他们的整个生命周期（收购，实施，运行和退役）的治理和管理IT业务的投资的指导，APO05管理集合流程针对如何运用有效的组合和这样的投资计划管理，以帮助确保实现利益和成本进行优化。2. COBIT 5 APO领域提供收购计划的指导，包括投资规划，风险管理，计划和项目规划，质量规划。3. COBIT 5 BAI领域提供收购和实施IT解决方案所需的过程，包括定义的要求、确定可行的解决方案、准备、文档和培训，使用户和业务运行新系统的指导。此外，提供指导，以帮助确保该解决方案进行测试和变化的管更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
理业务和IT环境的适当控制。4. COBIT 5MEA领域和EDM05流程包括指导董事如何可以监测和评估收购过程以及内部控制，以帮助确保收购得到妥善管理和执行。原则4：绩效这在实践中意味着：有效的绩效衡量取决于正在解决的两个关键方面：绩效目标明确的定义和建立有效的指标来监控目标的实现。还需要一个性能测量过程，以帮助确保性能一致和可靠的监测。达到设定的目标是从上往下，并与高层次的、经批准的管理目标相一致，有效的治理指标建立从下往上，使在各级层被管理阶层监控目标的实现的方式相一致。两个关键的治理的成功因素是利益相关者的目标的批准和接受问责的董事和经理的目标的实现。它是一个复杂和技术方面的问题，因此，重要的依靠言语方式表达目标、指标和绩效报告来对利益相关者实现透明度，因此可以采取适当的行动。ISACA指南如何促成好的实践：1. COBIT 5框架提供全方位的IT相关的流程和其它促成因素目标和指标的通用例子，并说明它们如何与业务目标，使企业能够适应他们自己的特定用途。2. COBIT 5提供关于设置IT目标与业务目标相一致的指导管理，并介绍如何监视这些目标、应用目标和衡量。流程性能可以使用ISO/ IEC 15504履约能力评估模型评估。3. 两个关键的COBIT 5过程提供特定的指导：? APO02管理战略重视设定目标。? APO09管理服务协议注重定义适当的服务和服务目标并记录在他们的服务水平协议。4. 在流程MEA01监测、评价和评估性能和一致性，COBIT 5对这项活动的执行管理职责提供了指导。5. 计划COBIT 5保证指南将解释如何保证专业人士可以为董事提供独立的对IT性能的保证。更多关于COBIT、CISA等课程相关资料欢迎致电谷安天下
400 070 6887 或010-
原则5：合规性这在实践中意味着：在今天的全球市场，通过互联网和先进的技术支持，企业需要遵守的法律法规和监管要求越来越多。由于近年来的公司丑闻和财务失败，在更严厉的法律和法规的存在和影响的会议室有明显增强的意识。利益相关者需要加强保证企业遵守法律、法规和符合他们的管理环境的良好的企业管治常规。此外，因为IT促使企业之间的无缝业务流程，也是不断增长的帮助确保合同包括IT相关的重要领域，如隐私，保密，知识产权和安全要求的需求。董事需要确保遵从外部需求作为战略规划的一部分，而不是作为一种昂贵的事后处理。他们还需要设置高层话语权和为建立他们管理政策和程序，确保实现企业目标，风险最小且符合实现。高层管理人员，必须取得性能和一致性之间的适当平衡，确保绩效目标不危及遵守，反之，一致性制度是恰当的，并不过分限制业务运作。ISACA指南如何促成好的实践：1. COBIT 5治理和管理实践提供了一个在企业中建立一个适当的控制环境的基础。过程能力评估使管理IT过程能力评估和衡量。2. COBIT 5流程APO02管理策略有助于确保IT计划和整体管理目标之间有对应关系，包括治理要求相一致。3. COBIT 5流程MEA02监测、评价和评估内部控制制度，评估