ISO20000与CobiT
CobiT(control objectives for infonnation and related tecbnology)即信息及相关技术控制目标,目前已成为国际上公认的IT治理与控制标准,由美国IT治理研究院(ITGI)开发与推广,从1994年推出第一版到现在己陆续发布四个版本。
CobiT的设计初衷就是通过对IT资源的管理和控制,确保IT的目标符合业务需求。CobiT 4.1中定义了7个业务需求、20个业务目标、28个IT目标、34个IT过程、100多个控制管理目标,还定义了专业的度量方法和能力成熟度评估模型。
CobiT将100多个控制目标和34 个过程分为四个控制域:计划和组织(plan and organize)、获取和实施(acquire and implement)、交付和支持(deliver and support)、监控和评估(monitor and evaluate)。这四个控制域的相互关系与PDCA 有些类似,但不完全一样。
与ISO20000关注方法和实施过程不同的是,CobiT更加关注企业整体战略。从使用者来说,CobiT是IT审计者、董事会/高管层、 IT管理层的管理利器,而ISO20000则主要由IT人员或服务管理人员用来改善IT服务。尽管两者有着诸多的不同,但是目标却是一致的,实施上也并不矛盾。事实上因为SOX法案的要求,国外很多企业都采取整合方法应用这两个管理体系。lTGI和OGC还共同研究并发布了两者对应关系和如何整合应用方法,并且双方在各自体系升级时都会考虑与对方体系的对应关系。
具体而言, CobiT可以用在最高层次的IT治理,基于IT过程模型提供一个完整的控制框架,而ISO20000(ITIL)则提供更加细化、更加具体的实施流程,并且所有的流程都可对应到CobiT的框架当中去。CobiT为每一个过程提供的各种绩效指标,与ISO20000过程相结合可以建立过程管理的基准。
