COBIT在信息系统风险控制中的应用

摘 要:信息管理系统的高效运作离不开风险管理和控制,COBIT标准为信息系统的风险管理提供了一系列详尽的控制措施和控制技术。参照COBIT信息准则,选出相应的IT过程,能够有针对性地对目标信息系统进行有效的风险评估和控制。

关键词:信息系统;风险控制;COBIT;风险管理

中图分类号:TP311文献标识码:B

文章编号:1004-373X(2009)10-031-03

Application of COBIT in Information Systems′ Risk Control

GUAN Lili,XIN Yi,ZHANG Gaoyu

(Shanghai Finance University,Shanghai,201209,China)

Abstract:An efficient operation of information systems is depending on risks control and management.COBIT standards provide a series of detailed control measures and control technologies for information systems′ risk management.Selecting a corresponding IT process based on COBIT guidelines,it can respectively conduct efficient risks assessment and control upon targeted information system.

Keywords:information system;risk control;COBIT;risk management

0 引 言

信息管理系统的高效运作离不开风险管理和控制,COBIT标准为信息系统风险管理提供了一系列详尽的控制措施和控制技术。参照COBIT信息准则,选出相应的IT过程,能够针对性地对目标信息系统进行有效的风险评估和控制。COBIT实现了组织战略与IT战略的互动,并形成持续改进的良性循环机制,为企业提供了具有一定参考价值的解决方案。借鉴COBIT标准的信息系统风险控制,可以科学、系统地对信息及相关技术进行管理,逐步建立起信息系统的风险控制,是企业信息化的可靠保证。

1 信息系统控制风险分析

随着社会信息化进程的不断加剧,信息已经成为社会活动中的基础资源,信息系统使信息资源的作用得以充分发挥,信息系统越来越趋向于大型化、网络化和复杂化。信息系统是为完成诸功能而建立的,各种功能的实现给企业和社会带来了方便和效益,这是系统的正面效应。但信息系统控制不当,会出现功能故障或停止运行,企业和社会就会产生混乱和损失,导致系统的负面效应[1],如图1所示。

信息系统的脆弱性是指信息系统特性中本来就具有的弱点。信息系统依赖的硬件、软件等IT技术,在建设和使用过程中都存在着大量的风险因素。这类风险客观长期存在,既有系统硬件带来的环境风险,也有系统软件带来的技术风险;既有系统建设过程中隐匿的风险,也有系统使用维护过程中凸现的风险;既有系统因为应用集中,自动化程度提高,导致的风险扩大,也有网络的大量应用,导致的风险蔓延。信息系统的诸多不安全因素,若不进行必要的风险管理和控制,系统将会遭受到严重的侵扰和损坏。因此,有效管理和控制信息系统风险,确保信息系统的安全运行是进入信息化社会的可靠保障。

2 COBIT控制标准

在对信息系统风险控制的实施过程中要遵从一些准则,而COBIT标准(Control Objectives for Information and related Technology)是一套著名的信息和相关技术的控制目标体系,它是美国信息系统审计与控制协会ISACA(Information Systems Audit and Control Association)和IT治理研究所(IT Governance Institute)共同开发的[2]。

该标准体系已在世界100多个国家的重要组织和企业中运用,许多国际大型企业都利用它来控制信息和信息资源的风险,并取得了很好的效果,是一套权威的、最新的、国际性的、被企业管理者广泛接受的,并能指导日常应用的国际标准。

系统的管理和控制是不可分割的,COBIT作为信息系统控制标准,主要有概述、控制目标、管理指南、审计指南以及工具集等几部分组成。其核心部分是IT控制目标,管理和控制都以控制目标为核心,相辅相成,如图2所示。

(1) 概述。提供了让管理层了解COBIT关键概念和原则的综合性信息,说明了4个控制域的体系结构。

(2) 框架。详细描述了34个IT控制过程,指出IT控制过程、信息准则和IT资源三者之间的关系[3]。这34个过程也正是信息系统生命周期中的关键环节。信息系统的生命周期一般分为系统规划、系统设计、系统实施、系统运行和系统评价5个阶段。COBIT根据系统的生命周期将34个IT控制过程划分在4个控制域中,规划与组织域相对生命周期的规划阶段;获取与实施域相对系统的设计和实施阶段;交付与支持域针对运行维护阶段;监控域则是覆盖了对整个生命周期的控制。企业可通过对这34个环节进行控制和评价提高信息系统绩效,评估信息系统价值,衡量信息化效益,如表1所示。

(3) 控制目标。为IT控制提供了一个用来明晰策略和实施的关键指导方针,包括318个具体的IT控制目标的详细说明。

(4) 管理指南。包括成熟度模型(用来决定每一个控制阶段和期望水平是否符合标准规范);关键成功要素(用来辨认在信息化过程中实现有效控制所必需的最重要的活动);关键目标指标(用来定义关键目标的绩效衡量标准);关键绩效指标(用来衡量IT控制程序是否能达到目标)。以上都是为了确保组织和企业能成功和有效整合业务流程和信息的系统。

(5) 审计指南。为了达到所期望的IT控制目标,必须要审计所有的IT程序。在审计指南中给出34个IT控制目标的审计步骤,用来协助信息系统的审计员检验IT程序是否符合318个控制目标,以提供管理上的保证和改进。

(6) 应用工具集。包括了管理意识、IT控制的诊断、应用指导、常见问题集、应用COBIT的企业个案研究及介绍COBIT的相关教材。这些新的工具组主要是让COBIT的应用更为容易,让组织能快速成功地从教材中学到如何在工作环境中应用COBIT,并且让领导层思考COBIT对企业目标的重要性[4,5]。

3 COBIT在企业信息系统风险控制中的应用

上海通用汽车公司于2002年准备投资建立客户关系管理系统(CRM),系统投入很大,而风险与投入成正比。因此,总公司建立专门机构统一部署,聘请专业IT审计师对信息资源投入的风险加以控制,确保投入的信息资源成为最有价值的资产。

作为企业级系统软件,IT审计人员在进行风险管理时,需要确定系统的实施步骤和风险控制级别,不能仅审查应用程序的技术风险,而要将其与商业过程的控制目标联系起来考虑,将企业所有的重要过程和步骤充分集成,能使企业运作更有效率。应用COBIT标准对系统进行审查,要根据自身组织的特性进行控制目标的确定。在审查初期就成功实施COBIT,解决管理人员的诸多问题,包括优化企业组件解决方案,满足用户需求,避免集成失败,确保技术架构匹配,解决供应商的支持问题。