1、COBIT信息及相關(guān)技術(shù)的控制目標(biāo)和要點(diǎn)0COBIT信息及相關(guān)技術(shù)的控制目標(biāo)COBIT已經(jīng)成為國(guó)際普遍認(rèn)同的IT治理和控制最佳實(shí)踐，它通過(guò)四個(gè)管理控制域 ，34個(gè)流程/控制目標(biāo)提供了一個(gè)可執(zhí)行的、邏輯性強(qiáng)的管理控制結(jié)構(gòu)。1COBIT: 前提COBIT框架所基于的前提是IT需要為企業(yè)達(dá)成其目標(biāo)提供所需要的信息。i資源和流程 信息業(yè)務(wù)流程業(yè)務(wù)目標(biāo)提供給達(dá)成COBIT 框架專注于業(yè)務(wù)對(duì)信息的需求并組織IT資源，以此來(lái)幫助IT與業(yè)務(wù)保持一致。 COBIT為實(shí)施IT治理提供了一個(gè)框架及指南。2COBIT: 原則COBIT框架的原則是將管理層對(duì)IT的期望與IT職責(zé)聯(lián)系在一起。其目標(biāo)是協(xié)助IT治理在提供IT

2、價(jià)值的同時(shí)管理IT風(fēng)險(xiǎn)。業(yè)務(wù)戰(zhàn)略信息標(biāo)準(zhǔn)IT資源IT流程3COBIT框架作為一個(gè)IT的控制和治理框架， COBIT關(guān)注于以下兩個(gè)關(guān)鍵點(diǎn)：提供所需要的信息以支持業(yè)務(wù)目標(biāo)和需求根據(jù)IT流程所管理的IT相關(guān)資源及應(yīng)用對(duì)信息進(jìn)行處理流程活動(dòng)域IT流程有效性效率保密性完整性可用性合規(guī)性可靠性IT資源應(yīng)用信息基礎(chǔ)架構(gòu)人員IT流程業(yè)務(wù)需求控制方法考慮事項(xiàng) .信息標(biāo)準(zhǔn)4組織會(huì)考慮并使用多種IT模型、標(biāo)準(zhǔn)，以及最佳實(shí)踐，此外需要對(duì)它們進(jìn)行認(rèn)真理解，以考慮如何將其與COBIT進(jìn)行無(wú)縫連接。COBITISO 9000ISO 17799ITILCOSO做什么怎么做COBIT及其他IT管理框架覆蓋范圍5績(jī)效: 業(yè)務(wù)目標(biāo)

3、合規(guī)性：Basel II, Sarbanes-Oxley Act, etc.企業(yè)治理IT治理ISO 9001:2000ISO 17799ISO 20000最佳實(shí)踐標(biāo)準(zhǔn)質(zhì)量保證步驟流程和步驟驅(qū)動(dòng) COBITCOSO安全原則ITIL 平衡計(jì)分卡COBIT適用于何處？6業(yè)務(wù)目標(biāo)和治理目標(biāo)效率應(yīng)用信息基礎(chǔ)架構(gòu)人提供和支持監(jiān)控和評(píng)估獲取和實(shí)施信息IT資源C O B I T框架有效性保密性完整性可用性合規(guī)性DS1 服務(wù)級(jí)別定義及管理DS2 第三方服務(wù)管理DS3 性能和能力管理DS4 連續(xù)服務(wù)保障DS5 系統(tǒng)安全保障DS6 成本識(shí)別及分配DS7 用戶教育及培訓(xùn).DS8 服務(wù)臺(tái)和突發(fā)事件管理DS9 配置管理D

4、S10 問(wèn)題管理DS11 數(shù)據(jù)管理DS12 物理環(huán)境管理DS13操作管理ME1 監(jiān)控與評(píng)價(jià)IT性能ME2 監(jiān)控與評(píng)價(jià)內(nèi)部控制ME3 確保與法律的符合性ME4 提供IT治理PO1 制定IT戰(zhàn)略計(jì)劃PO2 確定信息架構(gòu).PO3 確定技術(shù)方向.PO4 定義IT流程、組織和關(guān)系.PO5 IT投資管理.PO6 溝通管理目標(biāo)和方向PO7 IT人力資源管理PO8 質(zhì)量管理PO9 IT風(fēng)險(xiǎn)評(píng)估和管理.PO10 項(xiàng)目管理AI1 識(shí)別解決方案.AI2 獲取與維護(hù)應(yīng)用軟件AI3 獲取與維護(hù)技術(shù)架構(gòu)AI4 運(yùn)營(yíng)與使用能力保障AI5 獲取IT資源AI6 變更管理AI7 變更及方案的部署和授權(quán)計(jì)劃和組織可靠性COBIT框

5、架7COBIT 模型: IT 域 計(jì)劃與組織 (PO)目標(biāo):指明戰(zhàn)略和戰(zhàn)術(shù)識(shí)別如何使IT為業(yè)務(wù)目標(biāo)的達(dá)成作出最大的貢獻(xiàn)計(jì)劃、溝通和管理戰(zhàn)略目標(biāo)的實(shí)現(xiàn)實(shí)施組織和技術(shù)架構(gòu)范圍:IT與業(yè)務(wù)在戰(zhàn)略上是否一致?企業(yè)對(duì)資源的利用是否合理?是否所有的員工都理解IT目標(biāo)?是否所有的風(fēng)險(xiǎn)都被理解并管理?IT系統(tǒng)質(zhì)量是否滿足業(yè)務(wù)需求?IT 和業(yè)務(wù)8讓我們來(lái)看一下COBIT流程模型, 它由4個(gè)IT域共34個(gè)IT流程組成。 PO1 制定IT戰(zhàn)略計(jì)劃PO2 確定信息架構(gòu)PO3 確定技術(shù)導(dǎo)向PO4 定義IT流程、組織和關(guān)系PO5 IT投資管理PO6 溝通管理目標(biāo)和方向PO7 IT人力資源管理PO8 質(zhì)量管理PO9 IT風(fēng)

6、險(xiǎn)評(píng)估和管理PO10 項(xiàng)目管理計(jì)劃與組織COBIT 模型: IT 域 (續(xù))計(jì)劃與組織提供與支持獲取與實(shí)施監(jiān)控與評(píng)價(jià)IT 流程9COBIT 模型: IT 域 (續(xù)) 獲取與實(shí)施 (AI)目標(biāo):識(shí)別、制定或獲取、實(shí)施并整合IT方案現(xiàn)有系統(tǒng)的變更與維護(hù)范圍:新項(xiàng)目提供的解決方案是否滿足業(yè)務(wù)需求提供?新項(xiàng)目是否能在預(yù)算范圍內(nèi)及時(shí)提供?新項(xiàng)目實(shí)施后是否能正常工作?變更是否能夠不影響當(dāng)前的業(yè)務(wù)運(yùn)營(yíng)?新項(xiàng)目組織?10COBIT模型: IT域 (續(xù))計(jì)劃與組織提供與支持獲取與實(shí)施監(jiān)控與評(píng)價(jià)IT 流程AI1 識(shí)別自動(dòng)解決方案AI2 獲取與維護(hù)應(yīng)用軟件AI3 獲取與維護(hù)技術(shù)架構(gòu)AI4 保障運(yùn)營(yíng)與使用AI5 獲取

7、IT資源AI6 變更管理AI7 變更及方案的部署和授權(quán)獲取與實(shí)施11COBIT模型: IT域 (續(xù)) 提供與支持 (DS)目標(biāo):所請(qǐng)求服務(wù)的實(shí)際提供結(jié)果, 包括服務(wù)提供過(guò)程安全、連續(xù)性、數(shù)據(jù)和運(yùn)營(yíng)設(shè)施管理對(duì)用戶的服務(wù)支持范圍:IT服務(wù)提供是否與業(yè)務(wù)優(yōu)先級(jí)相匹配?IT成本是否最優(yōu)?員工是否能安全有效的使用IT系統(tǒng)?是否能保障機(jī)密性、完整性和可用性?IT服務(wù)業(yè)務(wù)優(yōu)先級(jí)12COBIT模型: IT域 (續(xù))DS1 服務(wù)級(jí)別定義與管理DS2 第三方服務(wù)管理DS3 性能和能力管理DS4 連續(xù)服務(wù)保障DS5 系統(tǒng)安全保障DS6 成本識(shí)別與分配DS7 用戶教育與培訓(xùn)DS8 服務(wù)臺(tái)和突發(fā)事件管理DS9 配置管理

8、DS10 問(wèn)題管理DS11 數(shù)據(jù)管理DS12 物理環(huán)境管理DS13 運(yùn)營(yíng)管理提供與支持計(jì)劃與組織提供與支持獲取與實(shí)施監(jiān)控與評(píng)價(jià)IT 流程13COBIT模型: IT域 (續(xù)) 監(jiān)控與評(píng)價(jià) (ME)目標(biāo):性能管理監(jiān)控內(nèi)部控制調(diào)整一致治理范圍:IT性能是否被衡量，從而使問(wèn)題在造成影響前被監(jiān)測(cè)出來(lái)?管理是否能保證內(nèi)部控制的有效和高效?IT性能是否與業(yè)務(wù)目標(biāo)相關(guān)聯(lián)?風(fēng)險(xiǎn)、控制、一致性和績(jī)效是否被衡量并報(bào)告?IT性能14ME1 監(jiān)控與評(píng)價(jià)IT性能ME2 監(jiān)控與評(píng)價(jià)內(nèi)部控制ME3 確保與法律的符合性ME4 提供IT治理監(jiān)控與評(píng)價(jià)COBIT 模型: IT域 (續(xù))計(jì)劃與組織提供與支持獲取與實(shí)施監(jiān)控與評(píng)價(jià)IT

9、流程15IT治理路線圖16最佳實(shí)踐關(guān)注目標(biāo)IT與業(yè)務(wù)目標(biāo)IT核心競(jìng)爭(zhēng)力業(yè)務(wù)與技術(shù)發(fā)展衡量性能衡量結(jié)果活動(dòng)關(guān)鍵成功因素誰(shuí)怎么做V = IT價(jià)值傳遞 A = IT戰(zhàn)略匹配 R = 風(fēng)險(xiǎn)管理 P = 性能衡量IT治理工具17COBIT 架構(gòu)1234PO 計(jì)劃與組織AI 獲取和實(shí)施DS 提供與支持ME 監(jiān)控與評(píng)價(jià)4個(gè)域18計(jì)劃與組織制定IT戰(zhàn)略計(jì)劃PO1確定信息架構(gòu)PO2確定技術(shù)導(dǎo)向PO3定義IT流程、組織和關(guān)系PO4IT投資管理PO5溝通管理目標(biāo)和方向PO6IT人力資源管理PO7質(zhì)量管理PO8IT風(fēng)險(xiǎn)評(píng)估和管理PO9項(xiàng)目管理PO10PO19PO1 制定IT戰(zhàn)略計(jì)劃IT戰(zhàn)略計(jì)劃用于管理并指導(dǎo)所有的IT

10、資源與業(yè)務(wù)戰(zhàn)略及優(yōu)先級(jí)一致，IT職能部門和業(yè)務(wù)利益相關(guān)者負(fù)責(zé)保證通過(guò)項(xiàng)目和服務(wù)投資組合實(shí)現(xiàn)價(jià)值最大化。戰(zhàn)略計(jì)劃有助于主要利益相關(guān)者理解IT優(yōu)勢(shì)和限制、評(píng)估當(dāng)前性能、識(shí)別能力和人力資源需求，并說(shuō)明所需要的投資水平。業(yè)務(wù)戰(zhàn)略和優(yōu)先級(jí)反映于投資組合中并在IT戰(zhàn)術(shù)計(jì)劃中執(zhí)行,描述了同時(shí)符合業(yè)務(wù)和IT需求的總體目標(biāo)、行動(dòng)計(jì)劃和任務(wù)。20PO2 確定信息架構(gòu) 信息系統(tǒng)職能部門負(fù)責(zé)建立并定期更新業(yè)務(wù)信息模式和定義合適的系統(tǒng)以使信息利用最優(yōu)化。它包括根據(jù)組織的數(shù)據(jù)語(yǔ)法規(guī)則、數(shù)據(jù)分類規(guī)則和安全等級(jí)定義相應(yīng)的數(shù)據(jù)字典。該流程通過(guò)確保提供可靠、安全的信息以提高管理決策質(zhì)量，同時(shí)它能夠合理地匹配系統(tǒng)資源與業(yè)務(wù)戰(zhàn)略。該

11、IT流程增強(qiáng)了數(shù)據(jù)完整性和安全性保障，并加強(qiáng)了對(duì)應(yīng)用和實(shí)體的信息共享的控制及有效性。21PO3 確定技術(shù)導(dǎo)向 信息服務(wù)職能部門負(fù)責(zé)確定支持業(yè)務(wù)的技術(shù)導(dǎo)向。這要求建立一個(gè)技術(shù)架構(gòu)計(jì)劃和架構(gòu)委 員會(huì)，用于確立與管理明確的并可實(shí)現(xiàn)的技術(shù)期望，這種技術(shù)期望可以從產(chǎn)品、服務(wù)和交付機(jī)制三個(gè)方面來(lái)考慮。技術(shù)架構(gòu)計(jì)劃應(yīng)包括系統(tǒng)架構(gòu)、技術(shù)導(dǎo)向、獲取計(jì)劃、標(biāo)準(zhǔn)、轉(zhuǎn)移策略以及意外，并需要定期更新。這能夠保證對(duì)競(jìng)爭(zhēng)環(huán)境的變化及時(shí)作出響應(yīng)，形成信息系統(tǒng)人員及投資的規(guī)模經(jīng)濟(jì)，并改善應(yīng)用和平臺(tái)的交互性。22PO4定義IT流程、組織和關(guān)系IT組織的建立必須考慮人員、技能、職能、問(wèn)責(zé)性、職權(quán)、角色及職責(zé)、監(jiān)管的需求。應(yīng)將組織嵌

12、入IT流程框架中，以確保透明度和控制，該框架也包含組織高層和業(yè)務(wù)管理。戰(zhàn)略委員會(huì)負(fù)責(zé)關(guān)注IT整體概況，由業(yè)務(wù)部門和IT人員構(gòu)成的一個(gè)或多個(gè)指導(dǎo)委員會(huì)負(fù)責(zé)根據(jù)業(yè)務(wù)需求確定IT資源優(yōu)先級(jí)。應(yīng)為所有的職能部門建立流程、管理策略和步驟，尤其需要關(guān)注控制、質(zhì)量保障、風(fēng)險(xiǎn)管理、信息安全、數(shù)據(jù)和系統(tǒng)所有權(quán)，以及職責(zé)分離。為了保證能夠及時(shí)支持業(yè)務(wù)需求，IT應(yīng)包括在相關(guān)的決策流程中。23PO5 IT投資管理應(yīng)建立并維護(hù)一個(gè)管理IT投資項(xiàng)目的框架，這個(gè)框架包括成本、收益、預(yù)算優(yōu)先級(jí)、正式的預(yù)算流程以及預(yù)算管理。利益相關(guān)者要結(jié)合IT戰(zhàn)略和戰(zhàn)術(shù)計(jì)劃識(shí)別和控制總成本和收益，并根據(jù)需要采取合適的行動(dòng)。這個(gè)流程關(guān)注IT與業(yè)

13、務(wù)利益相關(guān)者之間的關(guān)系，使IT資源使用有效且高效，并提供整體擁有成本的透明度以及相應(yīng)的權(quán)責(zé)，實(shí)現(xiàn)商業(yè)利益和IT投資的投資回報(bào)率。24PO6 溝通管理目標(biāo)和方向管理者應(yīng)制定企業(yè)的IT控制框架并定義、溝通策略。應(yīng)實(shí)施持續(xù)的溝通來(lái)傳達(dá)管理者批準(zhǔn)并支持的使命、服務(wù)目標(biāo)、策略和步驟等。溝通可以支持IT目標(biāo)的實(shí)現(xiàn)，并確保員工熟悉并理解業(yè)務(wù)和IT風(fēng)險(xiǎn)、目標(biāo)以及方向。該流程應(yīng)保證與相關(guān)的法律法規(guī)一致。25PO7 IT人力資源管理為業(yè)務(wù)進(jìn)行IT服務(wù)的創(chuàng)建和交付需要人員的保障。為實(shí)現(xiàn)上述目標(biāo)，應(yīng)制定并遵循相關(guān)的流程，包括招聘、培訓(xùn)、績(jī)效評(píng)估、晉升和離職。這個(gè)流程很重要，因?yàn)槿耸侵匾馁Y產(chǎn)，企業(yè)治理和內(nèi)部環(huán)境控制在

14、很大程度上依賴于人員的激勵(lì)和能力。26PO8 Manage QualityPO8 質(zhì)量管理 應(yīng)建立并維護(hù)質(zhì)量管理體系（QMS），QMS包括流程和標(biāo)準(zhǔn)的開(kāi)發(fā)和獲取。質(zhì)量管理是通過(guò)提供明確的質(zhì)量需求、步驟和策略來(lái)策劃、實(shí)施和維護(hù)QMS進(jìn)而實(shí)現(xiàn)保障。質(zhì)量需求應(yīng)以量化的和可達(dá)到的指標(biāo)存在和溝通。通過(guò)持續(xù)的監(jiān)控、分析和糾正偏差來(lái)實(shí)現(xiàn)持續(xù)改進(jìn)，并將結(jié)果報(bào)告給利益相關(guān)者。質(zhì)量管理本質(zhì)上是保證IT為業(yè)務(wù)提供價(jià)值、持續(xù)改進(jìn)，并為利益相關(guān)者實(shí)現(xiàn)透明化。27PO9 IT風(fēng)險(xiǎn)評(píng)估和管理應(yīng)創(chuàng)建并維護(hù)風(fēng)險(xiǎn)管理框架，該框架描述了一個(gè)通用并約定的IT風(fēng)險(xiǎn)等級(jí)、緩釋策略和剩余風(fēng)險(xiǎn)。應(yīng)識(shí)別、分析并評(píng)估意外事故對(duì)組織目標(biāo)的潛在影響

15、，采用風(fēng)險(xiǎn)緩釋策略來(lái)最小化剩余風(fēng)險(xiǎn)使將其降低到可接受的水平。風(fēng)險(xiǎn)評(píng)估結(jié)果應(yīng)被利益相關(guān)者理解，并采用財(cái)務(wù)術(shù)語(yǔ)來(lái)表達(dá)，以使利益相關(guān)者能夠?qū)︼L(fēng)險(xiǎn)進(jìn)行調(diào)控至可接受的水平。28PO10 項(xiàng)目管理為了協(xié)調(diào)項(xiàng)目并合理安排項(xiàng)目?jī)?yōu)先級(jí)，需要建立項(xiàng)目群和項(xiàng)目管理框架對(duì)所有IT項(xiàng)目進(jìn)行管理。為確保項(xiàng)目風(fēng)險(xiǎn)管理的實(shí)施并為業(yè)務(wù)提供價(jià)值，該框架應(yīng)包括：總體規(guī)劃、資源分配、交付物定義、用戶批準(zhǔn)、階段性交付方法、質(zhì)量保證、正式測(cè)試計(jì)劃、測(cè)試及實(shí)施后評(píng)審。該方法減少了非預(yù)期的費(fèi)用支出和項(xiàng)目取消的風(fēng)險(xiǎn)，改善了業(yè)務(wù)部門和最終用戶的交流和參與，確保項(xiàng)目交付物的價(jià)值和質(zhì)量，同時(shí)也使IT投資項(xiàng)目的回報(bào)最大化。29獲取與實(shí)施定義軟件解決方

16、案AI1獲取與維護(hù)應(yīng)用軟件AI2獲取與維護(hù)技術(shù)架構(gòu)AI3保障運(yùn)營(yíng)與使用AI4獲取IT資源AI5變更管理AI6變更及方案的部署和授權(quán)AI7AI30AI1 定義軟件解決方案為了有效并高效地滿足業(yè)務(wù)需求，在獲取或開(kāi)發(fā)新應(yīng)用或新功能之前，需要對(duì)新的應(yīng)用或者新的需求功能進(jìn)行分析。該流程包括需求定義、備選資源的考慮、技術(shù)和經(jīng)濟(jì)可行性評(píng)估、風(fēng)險(xiǎn)分析和成本收益分析，最后作出“生產(chǎn)”或“購(gòu)買”決定。所有這些步驟都是為了確保組織在達(dá)到業(yè)務(wù)目標(biāo)的同時(shí)，使獲取和實(shí)施解決方案的費(fèi)用最小。31AI2 獲取與維護(hù)應(yīng)用軟件應(yīng)用必須在與業(yè)務(wù)需求一致的情況下可用。該流程包括應(yīng)用設(shè)計(jì)、應(yīng)用控制和安全要求的相關(guān)內(nèi)容，以及根據(jù)標(biāo)準(zhǔn)進(jìn)行

17、開(kāi)發(fā)和配置。合理地使用自動(dòng)化應(yīng)用系統(tǒng)使組織有能力支持業(yè)務(wù)的正常運(yùn)營(yíng)。32AI3 獲取與維護(hù)技術(shù)架構(gòu)組織應(yīng)建立對(duì)技術(shù)架構(gòu)進(jìn)行獲取、實(shí)施和升級(jí)的流程。這就需要一種方法來(lái)獲取、維護(hù)和保護(hù)技術(shù)架構(gòu)與定義的技術(shù)策略、測(cè)試環(huán)境相一致。它確保能夠?yàn)闃I(yè)務(wù)應(yīng)用提供持續(xù)的技術(shù)支持。33AI4 保障運(yùn)營(yíng)與使用新系統(tǒng)的相關(guān)知識(shí)必須可用。該流程要求為客戶和IT人員制定文件和手冊(cè)，并提供培訓(xùn)，以確保應(yīng)用和基礎(chǔ)設(shè)施的正確使用和運(yùn)營(yíng)。34AI5 獲取IT資源為獲取包括人員、硬件、軟件和服務(wù)在內(nèi)的IT資源，需要定義并執(zhí)行采購(gòu)、供應(yīng)商選擇、合同管理以及實(shí)施本身，確保組織獲取所需的IT資源及時(shí)并最具成本效益。35AI6 變更管理所

18、有變更，包括生產(chǎn)環(huán)境中設(shè)施和應(yīng)用的應(yīng)急維護(hù)及打補(bǔ)丁，必須以受控的方式管理。在實(shí)施變更及根據(jù)預(yù)期結(jié)果回顧變更之前，必須對(duì)變更（包括程序、流程、系統(tǒng)和服務(wù)參數(shù)）進(jìn)行記錄、評(píng)估和授權(quán)，以降低對(duì)存在對(duì)生產(chǎn)環(huán)境穩(wěn)定性、完整性的負(fù)面影響的風(fēng)險(xiǎn)。36AI7 變更及方案的部署和授權(quán) 要確保新系統(tǒng)開(kāi)發(fā)完成后可運(yùn)營(yíng)，需要使用相關(guān)的測(cè)試數(shù)據(jù)在專門的測(cè)試環(huán)境中進(jìn)行測(cè)試、定義上線和移植指令、計(jì)劃發(fā)布、運(yùn)行以及實(shí)施后回顧，確保運(yùn)營(yíng)系統(tǒng)與期望及預(yù)期結(jié)果相一致。37Deliver And Support 提供與支持服務(wù)級(jí)別定義及管理DS1第三方服務(wù)管理DS2性能和能力管理DS3連續(xù)服務(wù)保障DS4系統(tǒng)安全保障DS5成本識(shí)別及分

19、配DS6用戶教育及培訓(xùn)DS7服務(wù)臺(tái)和突發(fā)事件管理DS8配置管理DS9問(wèn)題管理DS10DS數(shù)據(jù)管理DS11物理環(huán)境管理DS12運(yùn)營(yíng)管理DS1338DS1服務(wù)級(jí)別定義及管理IT管理者和業(yè)務(wù)客戶之間關(guān)于所需服務(wù)的有效溝通是能夠通過(guò)書(shū)面的定義和IT服務(wù)及服務(wù)水平的協(xié)議來(lái)約束的。此流程也包括對(duì)所達(dá)到的服務(wù)水平進(jìn)行監(jiān)控并及時(shí)向利益相關(guān)者報(bào)告。此流程也能夠保證IT服務(wù)可以滿足相關(guān)業(yè)務(wù)需求。39DS2第三方服務(wù)管理為了保證由第三方提供的服務(wù)符合業(yè)務(wù)需求，組織需要建立有效的第三者管理流程。這個(gè)流程包括在第三方協(xié)議中清楚地定義角色、職責(zé)和期望，同時(shí)還包括保證有效性和一致性定期檢查和監(jiān)控。有效的管理第三方服務(wù)能夠使

20、與不履行職責(zé)的供應(yīng)商相關(guān)的業(yè)務(wù)風(fēng)險(xiǎn)降到最低。40DS3性能及能力管理為了管理IT資源的性能和能力，組織需要建立一個(gè)流程周期性地檢查現(xiàn)有的IT資源的性能和能力。此流程包括基于工作量、存儲(chǔ)和應(yīng)急需求對(duì)未來(lái)需求的預(yù)測(cè)。此流程保證了支持業(yè)務(wù)需求的信息資源持續(xù)可用。41DS4連續(xù)服務(wù)保證為了提供連續(xù)的IT服務(wù)，組織需要開(kāi)發(fā)、維護(hù)和測(cè)試IT連續(xù)性計(jì)劃，異地備份存儲(chǔ)，并定期進(jìn)行連續(xù)性計(jì)劃培訓(xùn)。一個(gè)有效的連續(xù)的服務(wù)流程能夠減少主要IT服務(wù)中斷的可能性和對(duì)關(guān)鍵業(yè)務(wù)和處理的影響。42DS5系統(tǒng)安全保證為了維護(hù)信息的完整性和保護(hù)IT資產(chǎn)，組織需要建立一個(gè)完全管理流程。這個(gè)流程包括建立和維護(hù)IT安全角色和職責(zé)、策略、

21、標(biāo)準(zhǔn)和步驟。安全管理也包括進(jìn)行安全監(jiān)控、定期測(cè)試，以及對(duì)已明確的安全缺陷或事件采取糾正措施。有效的安全管理通過(guò)最小化安全弱點(diǎn)和安全事件對(duì)業(yè)務(wù)影響以保護(hù)所有IT資產(chǎn)。43DS6識(shí)別分配成本為業(yè)務(wù)部門公平和公正地分配IT成本，需要精確地計(jì)算IT成本并且和業(yè)務(wù)用戶達(dá)成一致。此流程包括建立和運(yùn)營(yíng)一個(gè)系統(tǒng)，該系統(tǒng)可用來(lái)向用戶獲取、分配和報(bào)告IT成本。一個(gè)公平的分配系統(tǒng)能夠幫助業(yè)務(wù)部門就IT服務(wù)的使用做出更為明智的決定。44DS7用戶教育及培訓(xùn)在IT系統(tǒng)中，有效的教育必須明確各個(gè)用戶組（包括IT系統(tǒng)內(nèi)部用戶）各自的培訓(xùn)需求。除了明確需求之外，此流程還包括定義和執(zhí)行有效的培訓(xùn)戰(zhàn)略，檢查培訓(xùn)結(jié)果。一個(gè)有效的培

22、訓(xùn)計(jì)劃將提高技術(shù)的使用效率，減少用戶的錯(cuò)誤，增加生產(chǎn)率和關(guān)鍵控制的負(fù)荷，例如用戶的安全措施。45DS8服務(wù)臺(tái)及突發(fā)事件管理及時(shí)有效地響應(yīng)IT用戶的請(qǐng)求和提出的問(wèn)題需要一個(gè)設(shè)計(jì)合理和執(zhí)行良好的服務(wù)臺(tái)和突發(fā)事件管理流程。此流程包括設(shè)定服務(wù)臺(tái)的功能，用來(lái)登記、逐步升級(jí)事件、分析引起事件的根本原因，并解決問(wèn)題。業(yè)務(wù)的收益包括通過(guò)快速的響應(yīng)用戶請(qǐng)求提高效率；另外，業(yè)務(wù)可以通過(guò)有效的報(bào)告找到問(wèn)題的根源，例如缺乏用戶培訓(xùn)。46DS9配置管理確保硬件和軟件配置的完整性需要建立和維護(hù)一個(gè)準(zhǔn)確的和完整的配置庫(kù)，此流程包括收集初始的配置信息、建立基線、校驗(yàn)和審計(jì)配置信息、必要的時(shí)候更新配置庫(kù)。有效的配置管理促進(jìn)更高的系統(tǒng)利用率，將使用中的問(wèn)題減小到最小，并以更快地速度解決問(wèn)題。47DS10問(wèn)題管理有效的問(wèn)題管理需要對(duì)問(wèn)題進(jìn)行識(shí)別和分類，并且分析根源和解決問(wèn)題。問(wèn)題管理流程包括識(shí)別改進(jìn)建議、維護(hù)問(wèn)題記錄、檢查糾正措施的狀態(tài)。一個(gè)有效的問(wèn)題管理流程可以提高服務(wù)水平、減少成本，并提高用戶滿意度。48DS11數(shù)據(jù)管理