2.2.4  IT治理工具

國際標準化組織2008年提出了第一個IT治理國際標準ISO/IEC 38500，在其描述制定該標準的目標時指出：這份標準魄目的是提供一個原則的框架，讓指揮者用于評估、指揮及觀察IT在企業中的使用狀況。標準的框架模型如圖2-2所示。

當前，國際上在IT治理中使用較為普遍的模型有COBIT、ITIL/IS020000、IS017799/27001、PRINCE2、ITSM等。其中，COBIT是目前國際上公認為較先進、權威的安全與信息技術管理和控制的標準，已在100多個國家的近萬個企業中獲得運用。COBIT，即信息系統及相關技術的控制目標( Control Objectives for Information and related Technology)，是由美國信息系統審計與控制協會( ISACA)和IT治理委員會于1992年創建的，2005年發布了4.0版本，2007年又更新至4.1版本。COBIT4.1從內部控制、治理理念出發，構建關于信息系

統投資、建設、評估、風險控制的體系框架，從規范、標準、知識體系、方法論、模型和組織的高度，全面重新審視IT治理，超越了傳統的產品與服務的概念。COBIT4.1覆蓋整個信息系統的全生命周期，將IT過程，IT資源與企業的策略及目標聯系起來，形成一個三維立體框架結構，如圖2-3所示。其中，業務需求(Business Requirements)維度集中反映了企業的戰略目標，主要從質量、成本、時間、資源利用率、系統效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性；IT資源(IT  Resources)維度主要包括以人、應用系統、技術、設施及數據在內的信息相關的資源，這是IT治理過程的主要對象；IT技術流程(IT Process)維度則是在業務需求的指導下，對信息及相關資源進行規劃與處理，從信息技術的規劃與組織、采集與實施、交付與支持、監控等四個方面確定了34個信息技術處理過程，每個處理過程還包括更加詳細的控制目標和審計方針對IT處理過程進行評估。