COBIT 簡介

COBIT 是美國資訊系統審計與控制協會（ISACA）和 IT 治理委員會（IT Governance Institute - ITGI）於 1992 年草擬，全名為：Control Objectives for Information & related Technology（簡稱 COBIT）[3]，是一系列關於 IT 治理（IT Governance）最佳實務的管理框架（Management Framework）。COBIT 為企業管理、

稽核和 IT 人員提供通用的測量、呈現和處理方法，幫助企業使用 IT 技術時，可以 有效進行治理與控制，以滿足企業的經營目標（Business Goal）。COBIT 協助使用 者認識和瞭解企業資訊系統，以決定系統的安全性，及透過資訊治理來保護企業 資訊資產。2007 年最新 4.1 版中，提出 IT 治理開放性框架及相關工具集，協助組 織透過控制、度量、標準來管理 IT 資源，提升 IT 價值並透過適當的監控作業，確 保各種控制均如預期運作，降低 IT 風險。為了滿足經營目標，COBIT 的主要特性 有「聚焦業務」、「流程導向」、「以控制為基礎」、「以度量驅動」，以下逐項說明。

一、 聚焦業務 (Business-Focused)

COBIT 架構訴求對象不侷限於 IT、稽核人員或使用者，更重要的還包含了管 理指引與業務流程的負責人(Business Process Owner)。為了提供企業滿足經營目標 所需之資訊，企業必須投資與管理資訊資源，並透過結構化的流程與服務，確保 資訊的交付（圖 1）。

Business

Information COBIT

drive the investment in

that are used by to deliver

which

有效性（Effectiveness） 一致、適用、及時與正確提供營運活動相關的資訊 效率（Efficiency） 最佳運用資源，以最具生產力與經濟效益提供資訊 機密性（Confidentiality） 保障企業機密，不受未經授權揭露

完整性（Integrity） 符合企業預期的準確與完整內容 可用性（Availability） 確保企業維持穩定不中斷的可用性 遵循性（Compliance） 符合企業與法規之規範

可靠性（Reliability） 提供公司治理與組織運作的資訊

二、 流程導向 (Process-Oriented)

COBIT 過程及監控範圍包含四個部分（表 2 ）。

表2 COBIT 四大領域與說明

領域 說明 管理議題

計畫與組織 用來找出為達成經營目標最  IT 是否與經營目標一致

Plan and Organize

佳方案的 IT 策略

Acquire and Implement

透過 IT 策略的瞭解，辨認、

Deliver and Support

服務交付、安全與不中斷管

Monitor and Evaluate

透過常態性的監控與評估控

•DS8 Manage Servie Desk and Incidents.

•DS9 Manage the configuration.

•DS10 Manage Problem

•DS11 Manage data.

•DS12 Manage the physical environment.

•DS13 Manage operations.

•Applications

•Information

•Infrastructure

•People

Monitor &

Evaluate

Information Criteria

Plan &

Organize

Acquire &

Implement Deliver &

Support

IT Resources

Governance Objectives Business Objectives

•ME1 Monitor and evaluate performance.

•ME2 Monitor and evaluate internal control.

•ME3 Ensure compliance with external requirements.

•ME4 Provide IT governance.

•DS1 Define and manage service levels.

•DS2 Manage 3rd party services.

•DS3 Manage performance capacity

•DS4 Ensure continue service.

•DS5 Ensure system security.

•DS6 Identity and allocate cost.

•DS7 Educate and training users.

•AI1 Identity automated solutions.

•AI2 Acquire and maintain application software.

•AI3 Acquire and maintain technology infrastructure.

•AI4 Enable operation and use.

•AI5 Procure IT resources.

•AI6 Manage change.

•AI7 Install and accredit solutions and changes.

•PO1 Define strategic IT plan.

•PO2 Define the information architecture.

•PO3 Determine technological direction.

•PO4 Define IT process, organization and relationships.

•PO5 Manage IT investment.

•PO6 Communicate management aims and direction.

•PO7 Manage IT human resources.

•PO8 Manage quality

•PO9 Assess and manage IT risks

•PO10 Manage Projects.

圖 3.COBIT框架

四、 以度量驅動 (Measurement-Driven)

經營目標由上而下定義，再決定需要多少 IT 目標來達成；而 IT 目標是由一個 或多個作業流程來實現，因此 IT 目標協助定義不同的作業流程目標，作業流程目 標會由多個活動來滿足（圖 4）。度量這些目標的有以下兩種類型：

 成果度量 (outcome measure) – 判斷目標是否達成，一般是在相關結果已 經發生之後，也可稱為落後指標（lag indicators）。

 績效度量 (performance measure) – 度量目標達成的可能性高低，是在結 果已經產出之前的度量，也可稱為領先指標（lead indicators）（圖 5）。

圖 4.目標與成果度量

圖 5.績效驅動範例

五、 COBIT 與績效評估指標

COBIT 是一個較為完整與廣泛的管理框架，且有流程、控制與度量的概念，

對於 SOC 的績效度量，有較多可以參考的地方。但 COBIT 是廣義的 IT Governance 框架，不是單獨針對 IT Security Govarnmance 的管理框架。但是 IT Security Governance 是 IT Governance 是的ㄧ部份，有關 IT Governance 所需注意與管理的 項目，均可做為 IT Security Governance 的參考。

本論文之績效指標，將比對 COBIT 的控制目標（參考第六章 第二節、與 COBIT 控制目標比較），檢視本論文設計指標的完整度與涵蓋情況。