（计算机应用技术专业论文）信息系统管理和控制目标体系cobit研究及应用.pdf

浙门人学f i ! ；! i j 学位论义 摘要 p 9 3 2 7 8 ( 随着汁算机技术和通讯技术的迅速发展，人们与计算机信息系统的联系越 一刁i 歪黪，信息系统的安全、可靠与有效就显得非常重要。对信息系统的建设和 实施进行严格的管理刷控制，可以有效防止在信息系统生命周期的任何一个阶 段出现的问题。本文作者从事电子政务系统建没工作多年，深刻感受到政府信 息化作为整个国民经济和社会信息化的基础，对电子政务系统的建设和实施进 行管理和控制是政府信息化成功的保证。c o b t t 是国际上最先进、最权威的安 全与信息技术管理和控制的标准，c o b i t 控制目标体系是一个完整的信息系统 管理和控制的理论模型。因此，通过将c o b i t 应用到电例【务系统的建设和实 施环境，可以确保电子政务系统的安全、可靠和有效。、：r 本文首先指出了缺乏信息系统管理和控制的弊端以及国内外信息系绍管理 和控制的现状。作者在分析信息系统的管理和控制概念的基础上，提出了信息 系统的管理和控制需要遵循一个公认的标准，这个标准就是c o b i t 。然后详细 论述c o b i t 控制目标体系，其中包括分析c o b i t 的控制原理，解释i t 资源、 业务需求和i t 处理过程以及三者间的循环关系，阐述c o b i t 控制目标的原理， 介绍c o b i t 的高级控制目标和详细控制目标以及c o b i t 的六个组成部分，总 结c o b i t 的优缺点，提出如何在国内信息化建设中有效运用c o b i t 。在前面 分析的基础上，作者详细论述c o b i t 在国内电子政务系统建设中的皮用，首先 根据c o b i t 的规划与组织、获取与实施、服务与支持、监控四个域潮赢级控制 目标、详细控制目标，结合国内电子政务建设的现状，提出电子致务系统的管 理控制和运行控制目标，然后削析电子政务安全管理目题，提出安垒管理控制 目标，其后详细分析财政信息系统中的国库集中支村予系统的应用拯制目标， 最后介绍了在电子政务系统中实施控制目标后的效果。 关觚c o b i t , 电子政务，政府信息化，信息系统管理玲控制目桥 浙江大学硕j ：学位论文 a b s t r a c t a st h er a p i dd e v e l o p m e n to fc o m p u t e ra n dc o m m u n i c a t j o nt e c h n o l o g y ， a s p e o p l e b e c o m em o r ec o n n e c t e d c o m p u t e r i n f o r m a t i o n s y s t e m ，t h e s e c u r i t y r e l i a b i l i t va n de f f e c t i v e n e s so fi n f o r m a t i o ns y s t e m si sm o r e c r i t i c a l b vs t r i c t m a n a g e m e n t a n dc o n t r o lt ot h e d e v e l o p m e n t a n d i m p l e m e n t a t i o no fi n f o r m a t i o ns y s t e m s ，m o s to ft h ep r o b l e d lo fa n ys t a g e o fi n f o r m a t i o ns y s t e m s 1i f ec y c l em a yb ea v o i de f f e c t i v e l y h a y i n gw o r k e d f o rd e v e l o p m e n to fe - g o v e r n m e n ti n f o r m a t i o ns y s t e m sf o rm a n yy e a r s ，t h e a n t h o ro ft h i sp a p e rf e e l sd e e p l yt h a tg o v e r n m e n ti n f o r m a t i o n i z a t i o ni s t h e p r e c o n d i t i o n o fa 1 1 s o c i e t y i n f o m a t i o n i z a t i o n e g o v e r n m e n t i n f o r m a t i o n s y s t e m s m u s tb e m a n a g e da n dc o n t r o l l e dp r o p e r l y s ot h a t g o v e r n m e n t i n f o r m a t i o n i z a t i o nw i l ls u c c e e d s f i n a l l y c o b i th a s b e e n d e v e l o p e d a s a g e n e r a l l ya p p l i c a b l e a n d a c c e p t e d s t a n d a r df o r g o o d i n f o r m a t i o n s y s t e m sm a n a g e m e n t a n dc o n t r o lp r a c t i c e s t h e r e f o r e ，b y a p p l i c a t i o no fc o b i ti nd e v e l o p m e n ta n di m p l e m e n t a t i o no fe g o v e r n m e n t i n f o r m a t i o ns y s t e m s ，w ea s s u r ee f f e c t i v e n e s s ， r e l i a b i l i t ya n ds e c u r i t y o fe - g o v e r n m e n ti n f o r m a t i o ns y s t e m s f i r s t ，t h ep a p e rp o i n t so u tt h em a l p r a c t i c eo ft h el a c ko fm a n a g e m e n t a n dc o n t r o lo fi n f o r m a t i o ns y s t e m sa n dt h er e l a t e dw o r ka b o u tm a n a g e m e n t a n dc o n t r o lo fi n f o r m a t i o n s y s t e m s b a s e do na n a l y s i so fc o n c e p to f m a n a g e m e n ta n dc o n t r o lo fi n f o r m a t i o ns y s t e m s 。t h ea u t h o ra s s e r t st h a t c o b i ti st h es t a n d a r do fm a n a g e m e n ta n dc o n t r o lo fi n f o r 霸a t i o ns y s t e m s t h e nt h ea u t h o ra n a l y s e st h ec o n t r o lp r i n c i p i e so fc o b i t 、a n di n t r o d u c e s i tr e s o u r c e s ，b u s i n e s so b j e c t i v e s ，i tp r o c e s s e sa n dt h e i rr e l a t i o n ，a n d a n a l y s e st h ec o n t r o lo b j e c t i v e s p r i n c i p l e so fc o b i t a n di n t r o d u c e sh i g h 1 e v e lc o n t r o lo b j e c t i y e sa n dd e t a i l e dc o n t r o lo b j e c t i v e sa n dc o b i tf a m i l y o fp r o d u c t s ，a n ds u m m a r i z e st h ec o b i t se x c e l l e n c ea n di t s1 i m i t a t i o n 。 a n dp r o v i d e sh o wt oa p p l yt h ec o b i ti no u rc o u n t r y si n f o r m a t i o n i z a t i o n e f f e c t i v e l y t h e nt h ea u t h o rd i s c u s s e sd e e p l yt h ea p p l i c a t i o no fc o b i t i ne - g o v e r n m e n ti n f o r m a t i o ns y s t e m a c c o r d i n gt ot h ef o u rd 1 黼i n 8a n d h i g h l e v e lc o n t r o lo b j e c t i v e s ，i n t e g r a t i n gp r a c t i c a le - g o v e r n m e n t e n v i r o n m e n t ， m a n a g e m e n tc o n t r o lo b j e c t i v e sa n do p e r a t i o nc o n t r o lo b j e c t i v e so fe g o v e r n m e n t i n f o r m a t i o n s y s t e m s i s p r o p o s e d a f t e rt h a t ，s e c u r i t y m a n a g e m e n tp r o b l e m i sd e s c r i b e da n d s e c u r i t ym a n a g e m e n t c o n t r o l o b j e c t i y e si sp r o p o s e d t h e nt h ea p p l i c a t i o nc o n t r o lo b j e c t i v e si nf i s c a l i n f o r m a t i o n s y s t e m i s p r o p o s e d a t l a s tt h eg o o d e f f e c t o f a p p l y i n g c o n t r o lo b j e c t i v e si n e g o v e r n m e n ti n f o r m a t i o ns y s t e m si sd e s c r i b e d k e y w o r d s ：c o b i t ，e - g o v e r n m e n t ，m a n a g e m e n ta n dc o n t r o lo fi n f o r m a t i o n s y s t e m s ，c o n t r o lo b j e c t i v e s 。 浙江人学坝i 擘位论史 1 1 引言 第一章绪论 随着社会信息化程度的不断提高，我们正逐步向信息化社会迈进。信息将 是维持社会的重要基础性资源，信息系统广泛深入地渗透到社会的各个领域， 成为政治、经济、军事、文化乃至社会一切领域的基础，其结果导致了整个社 会对信息系统的极大的依赖性。一方面，信息系统变革着经济、生活、文化等 诸多方面的结构和运行模式，改变着人们的思维方式，人类社会正享受着信息 化给与的方便和效益；而另一方面，由于信息系统的负面效应及控制不当，导 致信息化过程、信息系统及其业务应用产生风险，即当信息系统发生故障、停 止运行或发生错误而丧失其有效功能时，该领域的业务活动就失去了支撑和保 障，甚至还要影响到社会生活等其他许多方面。实践表明，信息化是有风险的， 信息系统规模越大，功能越复杂，风险也就越大。8 0 年代美国企业信息系统的 失败率达5 0 以上；9 0 年代美国电子政务信息系统的完全成功率仅2 8 。 那么，如何控制信息化过程各个环节的分险，管理好信息与信息资源? 如 何保护好信息与信息系统平台，确保赖以生存的信息系统的安全、可靠与有效? 如何发挥信息系统的最大正面效应，让全社会都充分享受到信息化变革带来的 利益? 这些问题越来越受到国际国内政府部门、企业与社会各界人士的广泛关 注，特别是美国、日本等先进国家很早就开展了信息系统的管理和控制，建立 了信息系统管理和控制的标准。事实表明，通过管理和控制，能有效化解信息 系统的分险，是信息化的基础，是健全地进入信息化社会的可靠保证。 c o b i t ( c o n t r o lo b j e c t i v e sf o ri n f o r m m i o na n dr e l a t e dt e c h n o l o g y ) 是美国 信息系统审计和控制协会i s a c a ( i n f o r m a t i o ns y s t e m sa u d i ta n dc o n t r o l a s s o c i a t i o n ) 基于其原有的控制目标体系( c o n t r o lo b j e c t i v e s ) ，结合并改进现有 的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系，在1 9 9 6 年公布，目前已经更新至第三版，是国际上最先进、最权威的安全与信息技术 管理和控制的标准。c o b i t 控制目标体系是一个较完整的信息系统管理和控制 的参考模型，它将政府和企业的信息化归纳为3 4 个i t 处理过程，并逐个提出 指导意见。通过将c o b i t 应用到信息系统的开发和实施环境，可以为管理人员、 开发人员和审计人员来强化和评估信息系统的管理和控制提供依据。 1 2 国内外信息系统管理与控制现状 2 0 世纪9 0 年代丌始随着信息系统的发展，系统越来越复杂化、大型化及 阀络化，各种各样的信息系统成为各种业务处理的核心，加上互联网的h 现， 删络向世界范围扩充。且联网的爆炸性发展对社会影响的。度和深度足以往任 何一次产、i k 革命所尤法l l t 以的。互联网使信息资源的作用得到允分发挥，但也 产，上r 众多不安全因素。互联网成为电子商务、电j 二政务等的运作甲台，但也 变成了计算机犯罪的场所。有人利用网络的连锁倍增效应制造混乱，危害国家 经济安全。而在国家之间、地区之间、竞争对手之间也可通过互联网攻击对方 的信息系统及窃取机密，人量事实证明信息系统的安全、有效和可靠是事关因 家安全的重要j u 题。因此，如何确保网络平台上信息系统的安全、可靠和有效 变得越柬越重要。国际l 唯一的信息系统审计和控制协会i s a c a 已在世界e1 0 0 多个困家和地区设立1 6 0 多个分会，制定和颁布了c o b l t ，来指导和规范信息 系统的管理和控制。信息化成为政府和企业的中枢，在美国、同本及欧洲的先 进国家，几乎所有的政府和企业的管理者都认识到了信息系统管理和控制的必 要性。人们也越来越清楚意识到有效管理和控制信息及信息相关技术是进入信 息化社会的可靠保障，在发达国家，信息系统的管理和控制已得到了普及。 当前，我国信息化事业已发展到一个新的阶段。各级政府正在推进“电子 政务”，并认真落实“以信息化带动】业化”的战略，这一战略已经取得了可喜 的成果。当前，在加入w t o 后的中国经济环境中，信息的重要性已被广为认 同，信息系统也已逐步渗透到企业和政府组织中，信息系统丌始从传统的后台 支持转变为新业务丌展的直接驱动力，信息系统也同益成为企业的直接利润中 心。组织( 包括政府和企业) 对信息系统的依赖程度在不断增加，更有一些组 织甚至若没有信息系统将不复存在，但对于很多组织，由于信息和信息技术意 味着最蘑要的资产，这导致信息系统本身已经或潜在成为一个巨大的威胁，随 信息系统而来的风险、利益和机会使得信息系统的管理和控制成为企业和政府 管理中很关键的一个方面。企业管理层需要确保信息系统与企业战略一致而且 企业战略也很好地利用了信息技术的优势，政府需要发展电子政务来促动、实 现政府职能的转变。因此，随着对信息系统依赖性的增加，信息系统的管理和 控制对：f 组织的成功是至关重要的，政府和企业的管理层对信息化的风险有了 定的认识，但是由于管理层普遍地缺乏信息系统的管理和控制的意识，导致 国内信息系统的管理和控制尚处于起步阶段。 1 3 缺乏信息系统管理和控制的弊端 由于普遍地缺乏信息系统的管理和控制，在信息化推进的过程中，至今不 一j 程度上存在一些问题，主要表现在以下几个方面： 各自为政 缺乏统一、全局的i t 战略规划，由于没有统筹规划，目标不明确，标准 浙江人学坝i 学位论义 不统一，些地方处在混乱无序的状态，形成了很多在权力保护下的信息孤岛， 缺乏共享的、网络化的信息资源。例如日前幽内已建成的众多c a 中心，除了 在采用x 5 0 9 证书标h e 上一致外，其它的共同标准规范很少，中国各c a 中心 发放的证书基本不能相互兼容，一些证书甚至不能与国际权威的c a 认证接轨。 对于企、世而苦，面对业务重组、裁员、外包、充分授权、扁平化组织和分布式 处理等如此复杂多变的商业环境，在i t 战略规划修订时，如何精确保证i t 战 略规划和企业战略目标的一致，普遍缺少科学方法论的指导。 信息化建设领导者错位，i t 应用方案和组织业务需求之间 逻辑错位。 过去的信息化工程是技术专家或技术厂商主导下进行的，而不是经济专家 或管理专家主导，技术专家或技术厂商从技术的视角去关注信息技术和设备的 先进性等，较少聚焦在i t 战略和组织战略目标的互动上，较少考虑信息技术 如何形成核心竞争力，如何避免风险，如何创造新的业务和市场，和管理层沟 通缺少通用的语言( 非i t 专业术语) ，因而不可避免地和组织的业务环境、业 务目的脱节，而随着设备更新的加快，许多早期的工程只剩下一推摆设，管理 层看不到在i t 上的投资回报，这又导致信息技术得不到应有的重视，形成恶 性循环。目前，总结经验和教训，各方普遍认识到中国的信息化建设问题从总 体上来说不是技术问题。以热火朝天的e r p 为例，e r p 的实旃不仅仅是软件 的事，更重要的是一场管理革命。从这个意义上讲，e r p 只是一张皮，深层次 的是企业内部变革，所以管理变革若以e r p 为助推器，则e r p 的实施将水到 渠成；若以e r p 项目为导火线，试图在企业内部发动管理变革，则往往会面临 重重障碍而搁浅，最终不了了之，甚至还可能导致企业被拖垮。 决策的技术经济论证不足。 信息化建设项目具有投资大、风险大的特点。事实告诉我们，系统规模越 大、与管理联系越密切、集成度越高的系统，风险也越大，失败概率越高，其 中最明显的例子就是e r p ，信息化建设项目的高风险和高失败率就要求企业在 信息化建设决策之前，要进行充分的技术经济论证，综合论证项目技术上的先 进性和可行性，财务上的实施可能性，经济上的合理性和有效性。因此，加快 信息化建设，必须以规划为指导，加强统筹协调，突出发展重点，务必注重实 效。由于我国信息化建设项目开展时间不长，缺乏项目决策论证经验，同时， 信息化建设项目除直接效益外还产生大量外部效益，对外部效益的量化也是一 个难点。 因此，许多企业和政府在进行信息化建设时缺乏科学的定性、定量相结台 浙江人学倾f 学位论文 的技术经济论证。另搬分析，2 0 0 3 年，中央政府预计对电子政务建设的投资规 模将超过3 5 0 亿元，如此巨大的投资，一旦d 于技术经济论证不足而导致决策 失误的话，将给国家造成多么巨大的损失。 信息资源的不能合理应用。 信息资源的丌发和利用是国家信息化建设的核一心任务，是国家信息化取得 实效的关键。信息资源的丌发和利用是衡量国家信息化水平的个重要标志， 将信息资源开发和利用放在核心地位是我国推进信息化的一大特点。在信息化 建设中，我们普遍存在着信息处理环境建设滞后于物理环境建设，许多单位的 数据库混乱状况与其先进的计算机环境和网络环境极不相称，使信息化建设无 法取得实效，造成极大浪费。以电子政务为例，美国电子政务提出的口号是让 人们点击3 次鼠标就能办完事。而我国一个电子政务系统往往有金融、税务、 海关、财政、工商、社保等几十个甚至是上百个系统，而且一般互不相通，要 跨部门办一个申报审批的事情，几乎是不可能的。 利益冲突和信息的不透明。 由于任何组织的任务环境要考虑和关系到的利益非常广泛，在任何一个i t 战略决策中，都会不可避免发生利益相关者之间的利益冲突。所以，即使管理 层要努力承担责任，组织任何时候的任何决策都会招致某个或多个群体的不满。 一些管理层在做出i t 战略决策之前，没有仔细考虑每一个方案会影响到哪些 重要的利益相关者，更有甚者把信息化当作一种政治资本在做。那些开始看起 来能为组织带来最大利益的最佳方案，也许会为组织带来最严重的后果。因此 管理者必须懂得信息系统给组织所带来的各种影响。相关领导需要仔细地考虑， 当引进信息系统并产生效益的同时，还可能给组织带来什么新的问题? 信息系 统是否能够给组织的各级领导的工作带来影响? 组织的工作流程是否需要变 化? 会不会引起新的人员结余或短缺? 信息的不透明表现在诸多方面，如某些厂商利用信息不对称，极力鼓吹客 户要采购先进的技术和设备，致使这些客户的信息系统甚至比发达国家的同行 还要先进，但取得的效果却差很多。 i t 安全管理和风险管理缺位。 目前大多数组织的最高管理层都已树立不同程度的安全和风险意识，但对 信息资产所面临问题的严重性认识不足，突出表现为重视安全技术，轻视安全 管理，没有形成合理的信息安全方针来指导组织的信息安全管理工作，在安全 规划、风险管理、应急计划、安全教育培训、安全系统的评估等多方面总是出 浙江人学坝i 学位论文 现了问题4 去慰补救的办法，足一种就习f 论! j ；、静态的管理，不是建立在安全 管理基础上的动态的全局管理方法。可以说，就应用系统而占，国内几乎所有 企业的信息系统都存在隐患。 非技术性的障碍。 i t 技术的快速发展使得许多人产生了一种错误的思维定势：如果采用了最 新的技术，就能够取得信息系统的成功。换言之，如果信息系统建设不成功， 多半是因为没有采用最新的技术。但是，我们不断地看到这样的案例：一些企 业尽管不断地试图采用最新开发技术，然而它们的信息系统仍然没有逃脱失败 的命运。 很多人在推崇信息技术的同时忘记了一个基本的前提：信息技术仅仅是一 种工具。虽然信息技术对于信息系统的开发效率产生重要的影响，但工具本身 却不是信息系统成败的根本原因。通常在信息系统开发时，开发商采用的往往 是比较成熟的技术，因为这些成熟技术的有效性是已经被实践所证明了的。但 是，采用成熟的技术并不能保证信息系统开发的成功。这说明，一些非技术性 的问题往往是导致组织信息化不成功的根源。这些问题我们统称为信息化的非 技术性的障碍，目i i 口- i - 分缺乏理论上的研究。一般认为是国内的管理水平低， 或员工的观念跟不上。但是，这仅仅是一些表面现象，缺乏深入全面的研究。 而这些问题并未引起一些管理人员重视，他们认为对非技术性问题的探讨是空 谈，只有掌握某种开发技术才能有真正的应用前景。这种错误的认识导致了许 多单位和部门的信息系统的失败，而这些失败又常常被崭新的计算机设备和许 多忙碌而不产生价值的工作所掩盖，像冰山潜藏在水面下一样无人知晓。 重硬件购买，轻软件和咨询服务。 l 1 前，我国信息化建设缺少专业分工，基本是自建、自用、自我服务，不 愿花钱买专业化咨询、专业化软件开发、专业化服务，从而造成信息化建设效 率低下。而发达国家的大型应用系统不但花钱买这三项专业化的建设服务，而 且还买运营服务。相关统计显示：我国在信息化投入中，软硬比例失调，软件 加服务的投入与硬件投入的比例为- - ) k 开，其中集成与安装的比例约8 1 0 ； 软件丌发的投入约l o 一1 2 ；8 0 的资金是用于硬件购买。而据权威统计，发 达国家信息化投入一般为七三开，7 0 用于软件和服务，购买硬件为3 0 。 1 4 论文的研究内容和创新意义 本文在绪论中指出了缺乏信息系统管理和控制的弊端以及国内外信息系统 管理和控制的现状。第二章开始分别对信息系统的管理和控制进行分析，包括 管耻干控制的日标、解决的问题，在此壁础上，作者提出了信息系统的管理和 控制需要遵循一个公认的标准，这个标准就是c o b i t 。在第三章详细论述了 c o b l t 控制目标体系，详细分析了c o b i t 的控制原理，解释了i t 资源、业务 需求和l t 处理过程以及三者阳j 的循环关系，分析了c o b i t 控制目标的原理， 介绍了c o b j t 的高级控制目标和详细控制目标以及c o b i t 的六个组成部分， 最后，作者总结了c o b i t 的优点，提出如何在国内信息化建设中有效运用 c o b i t 。在自口三章分析的基础上，作者在第四章详细论述c o b i t 在国内电子政 务系统建设中的应用，首先根据c o b i t 的规划与组织、获取与实施、服务与支 持、监控四个域和高级控制目标、详细控制目标，结合国内电子政务建设的现 状，提出了电子政务系统的管理控制和运行控制目标，然后剖析了电子政务安 全管理问题，提出了安全管理控制目标，详细分析了财政信息系统中的国库集 中支付子系统的应用控制目标，最后介绍了在电子政务系统中实施控制目标后 的效果。第五章对本文作了简要总结。 c o b i t 的控制目标主要是针对信息系统的管理控制和运行控制，c o b i t 提 出的控制目标可以应用到所有的信息系统，因此，它的控制目标对我国电子政 务系统来说大部分是适用的，但国内电子政务系统的建设和实施有其业务特殊 性，必须结合电子政务的具体环境和国内的实际情况，加以修改、补充和完善。 作者全面分析了c o b l t 的控制目标，解决了c o b i t 在国内信息系统管理和控 制中的应用问题，并在多年从事政府信息化工作的基础上，摈弃了c o b i t 中一 些不实用和罗嗦的内容，吸收c o b l t 的精华部分，提出了符合中国国情的电 子政务信息系统控制目标体系，并增加了一些c o b i t 中未涉及而作者认为非常 重要的内容。这个控制目标体系对电子政务系统的建设和实旌，具有较强的实 用性，并且对国内其他方面的信息系统的建设也有较强的通用性和借鉴作用。 6 浙江j 、学坝 | 学位论文 第二章信息系统管理和控制 2 。1 信息系统管理定义 信息系统管理是信息技术领域中一个相当新的概念，国际信息系统审计与 控制协会( i s a c a ) 定义如t 2 1 ：信息系统管理是一个由关系和过程所构成的体 制，用于指导和控制组织，通过平衡信息技术与过程的风险、增加价值来确保 实现组织的目标。信息系统管理主要包括以下特点： 信息系统管理必须与组织战略目标一致，i t 对于组织非常关键，也是战略 规划的组成，影响战略竞争。 信息系统管理其它管理主体一样，是管理执行人员和利益相关者的责任。 信息系统管理保护利益相关者的权益，使风险透明化，指导和控制i t 投资、 机遇、利益、风险。 信息系统管理包括管理层、组织结构、过程，以确保i t 维持和拓展组织战 略目标。 应该合理利用组织的信息资源，有效地集成与协调。 确保i t 及时按照目标交付，有合适的功能和期望的收益，是一个一致性和 价值传递的基本构建模块，有明确的期望值和衡量手段。 引导i t 战略平衡系统的投资，支持组织，变革组织，或者创建一个信息基 础架构，保证业务增长，并在一个新的领域竞争。 对于核心i t 资源做出合理的决策，进入新的市场，驱动竞争策略，创造总 的收入增长，改善外部满意度，维系外部关系。 2 2 信息系统控制分析 所谓控制是一个可以预防、检测和纠正非法事件的系统的总称 3 】。控制的 定义中有三个重要的方面值得说明。首先控制是一个系统，也就是说控制包含 一系列的相关组成部分，它们共同工作以达到一个共同的目标。所以在理解控 制的概念时，应把控制看成一个系统而不是一个特征。例如，我们都知道采用 密码的控制技术，但密码本身并不是一个控制，密码只有应用在具有密码管理 功能( 如保护密码的发布和选择的安全，修改密码的有效性，保证密码的存储 安全，跟踪密码的非法使用等) 的信息系统中时才成为一个控制。如果信息系 统出现非法侵入，那么密码将成为无效的控制，简单地说，密码控制这个词代 表一组相关的事物，它们一起工作以确保只有授权的用户才能使用计算机资源。 所以当我们评估个控制的时候，应从系统的高度来考虑它的可靠程度。 浙江，：学坝 1 学位论支 其次控制的焦点是非法事件，输入信息系统的数据出现异常( 如未授权、 不准确、不完整、无效或低效) 或信息系统在处理输入的数据也出现上述异常 时都会导致非法事件的产生，发生非法事件以后，信息系统就进入一个我们认 为不可接受的状态。 再次，控制用来预防、检测和纠正非法事件，例如在下面三种例子中需要 使用控制的这些功能来处理非法事件。 预防控制：在文档中列出对文档的处理要求以防止使用者处理文档时发生 错误操作。注意此时预防控制只有在对文档的处理要求足够清楚和使用者 充分了解它的情况下才能起作用，所以，使用者和对文档的处理要求是构 成控制的组成部分，对文档的处理要求本身并不是控制。 检测控制：信息系统的输入程序检测出通过终端输入的错误的信息。检测 控制也是一个系统，因为输入程序的各个部分互相配合来检测存在的错误。 纠正控制：例如程序使用一段特殊的代码来纠正从网络接收到的数据中出 现的误码。纠正控制也是一个系统，程序中的各个不同部分与同纠正错误 的代码共同工作来改正数据中的错误。 控制的主要目的是减少系统内部发生非法事件时带来的损失，控制通过两 种方法来减少非法事件导致的损失，首先，预防功能减少非法事件发生的概率， 例如上述例子中，源文档中的文档处理要求减少了文档的处理人员错误操作的 可能性。其次，检测和纠正功能减少非法事件带来的损失。例如，当一名工作 人员输入错误的内容时，输入检测程序可以检测出错误的内容并中止进一步的 处理，于是减少了错误的内容进入系统以后造成的损失。 信息系统的控制分为一般控制和应用控制，其中一般控制又包括管理控制 和运行控制，如图】所示。 图1 信息系统的控制体系 管理控制：信息系统的管理控制对于实现资产安全，数据完整，系统的有 效性和系统的高效性具有重要的意义。信息系统的管理控制涉及整个信息 系统的决策，开发以及日常的使用和维护。主要包括高层管理控制，系统 开发管理控制，程序编码管理控制，数据资源管理控制，安全管理控制， 浙江入学坳j j 学位论文 质量保证的管理控制。 运行控制：运行控制负责系统硬件和软件的日常运行，保证应用系统能完 成工作目标。运行控制主要包括计算机操作控制，通信网络控制，数据准 备和输入控制，生产控制，系统数据的管理控制，文档和程序的管理控制， 员工培训和技术支持的控制，性能监视的控制，外部采购的控制。 应用控制：应用控制保证各个应用系统达到保护资产安全，数据完整，系 统有效和系统高效的目标。应用控制有三个基本的特征，首先应用控制的 对象是硬件和软件，其次应用控制应用于数据和数据的处理，第三应用控 制倾向于保护资产的安全和数据的完整性。应用控制包括边界控制，输入 控制，通信控制，处理控制，数据库控制和输出控制。 2 3 信息系统管理和控制目标 信息系统管理和控制有以下三个目标【1 】： 与业务目标一致：信息系统管理和控制要从组织目标和信息化战略中抽取 信息需求和功能需求，形成总体的信息系统管理和控制框架和系统整体模 型，为进步系统设计和实施奠定基础，保证信息技术跟上持续变化的业 务目标。 有效利用信息资源：目前信息化工程超期、i t 外部的需求没有满足、i t 平 台不支持业务应用等问题较为突出，通过信息系统管理和控制可以对信息 资源进行有效管理，保证投资的回收，并支持决策。 风险管理：由于组织越来越依赖于信息技术和网络，新的风险不断涌现， 例如，新出现的技术没有管理，不符合现有法律和规章制度、没有识别对i t 服务的威胁等。信息系统管理和控制强调风险管理，通过制定信息资源的 保护级别，强调关键的信息技术资源，有效实施监控，事故处理。信息系 统管理和控制使组织适应外部环境变化，为组织内部实现对业务流程中资 源的有效利用，从而达到改善管理效率和水平的重要手段。 信息系统管理和控制的目标将帮助管理层建立以组织战略为导向，以外界 环境为依据，以业务与i t 整合为中心的观念，正确定位i t 职能部门在整个组 织中的作用，最终能够针对不同业务发展要求，整合信息资源，制定并执行推 动组织发展的i t 战略。 2 4 信息系统管理和控制解决哪些问题 在探讨信息系统管理和控制可以解决哪些问题之前，我们先就身边发生的 事件看一下信息系统管理和控制失灵的例子： 2 0 0 2 年7 月2 3 日，夹视晚新闻播报：7 月2 3 日，首都机场因电脑系统 9 浙江人学硕 j 学位论文 故障，6 0 0 0 多人滞留机场，1 5 0 多驾飞机延误，事故原因正在调查中；5 月2 9 r 上午8 时3 0 分左右，南京火车站电脑售票系统突然发生死机故障，整个车站 售票处于瘫痪状态，车站售票大厅内人满为患，众多旅客不得不改乘其它交通 工具离开南京。车站领导和计算机技术人员告诉记者是由于电脑升级换代，调 试时线路发生故障，才引发了此次系统瘫痪的。9 月5 曰广东省工行因系统故 障，全线停业一个半小时，有媒体特别指出，这是工行实施全国统一平台运作 后的首次故障。还有某银行在信息系统技术升级时，i t 人员只注重保证系统在 技术上的平滑过渡，而忽视了升级给客户带来的不便，导致客户流失，这也表 明当l t 发生改变时会对业务目标产生冲击，以上都是通过信息系统管理和控 制机制可以合理避免的事件。 因此，我们认为信息系统管理和控制对业务目标而言起着重要的战略意义， 信息系统管理和控制状况直接影响到组织实现目标的可能性，良好的信息系统 管理和控制有助于增强组织的灵活性和学习能力，降低管理风险，辨别发展机 遇。对于最高管理层而言，信息系统管理和控制可以解决以下几个方面问题： 发现信息技术本身的问题，例如i t 项目未能实现期望价值的概率；用户是 否满意i t 服务的质量；是否有足够的i t 资源、基础设旖、竞争力来满足 战略目标；信息技术平均操作失误的原因；i t 没有推动业务改善而是阻碍 业务的次数。 帮助管理者处理i t 问题，例如，i t 和组织战略目标的一致性程度怎么样； 怎样衡量i t 的交付价值：执行管理人员采取什么样的战略动机来管理i t ； 与组织的运营与成长管理相关的问题；组织是否清楚其业务目标与技术的 关系：领先、跟随者还是滞后者；组织对风险( 风险规避和风险承担) 是 否清楚；有没有最新的组织相关i t 风险的清单，采取哪些行动处理这些风 险。 自我评估信息系统管理和控制的效果，例如，是否经常向最高管理层定期 汇报i t 风险；i t 是否是最高管理层议程中的一个常用的术语，它是否以 结构化形式表达；最高管理层是否就业务目标与信息技术一致性进行阐明 和沟通；最高管理层对主要i t 投资是否有清楚的观点，包括风险和回报； 最高管理层是否定期得到主要i t 过程的报告；最高管理层在获取i t 目标 和限制i t 风险时是否得到独立的保证。 以杭州市税务系统数据集中为例，从2 0 0 2 年开始，采用集中数据处理模 式来体现管理模式的转变，目前数据集中处理模式改造已取得阶段性成果，可 问题随之而来，集中以后做什么? 集中以后风险也增加了，怎么办? 前一个问 题也就是说数据集中了，只是提供了一个进行深度业务创新的前提和可能，关 键还在于业务模式和信息系统管理和控制模式。对于后一个问题，则需要采取 更先进的安全管理机制，全面的信息系统管理与控制，包括可靠的灾难恢复和 业务持续规划。 0 浙江大学硕j 一学位论文 信息系统管理和控制水平的好与差造成了i t 应用层次的差异。一些组织 有与其国际竞争对手样的系统、软件，甚至技术和设备强于对方，所以单从 技术的成熟性和先进性而言，国内整体应用水平不低，但是为什么就没有对方 做的好呢? 从信息系统管理和控制的角度审视，其实技术的竞争早已超越了有 与无的层面，进而甚至超越了抢夺技术最早占有权的层面，体现在业务和技术 管理能力上的对抗。事实上我国信息化目前所处的阶段缺乏的并不是先进的技 术与设备，而是信息系统管理和控制的理念和方法论。所以，有人说：“所有把 落败归咎于技术的人，都是在逃避一个事实：认识上的落后和管理上的无能”。 当然，我们的周围也不乏在较落后的技术和设备上，把已有的技术应用得非常 成功的范例。 2 5 信息系统管理和控制的标准 信息系统的管理和控制对组织的业务目标的实现是如此的重要，促使我们 考虑如何进行管理和控制，是否有一个公认标准的标准来指导。c o b i t 是信息 系统管理和控制的一个开放性标准，目前已成为国际上公认的最先进、最权威 的安全与信息技术管理和控制的标准。该标准辅助管理层进行有效的信息系统 管理和控制，目前已在世界一百多个国家的重要组织中运用，指导这些组织有 效利用信息资源，有效地管理与信息相关的风险。c o b i t 有不少成功案例，堪 萨斯州把c o b i t 标准作为虚拟政府策略的一部分，用它来保持较低的成本并为 它的客户和委托人提供一定的服务质量。戴尔公司把c o b i t 作为它的c s a ( c o n t r o l s e l f a s s e s s m e n t ) 策略的一部分，帮助公司保持它的高质量。下章我 们详细讨论c o b i t 控制目标体系。 浙江人学硕t 学位论文 第三章c o b i t 控制目标体系 3 1c o b l t 历史和背景 c o b i t 当前的最新版本是第三版本，第一个版本1 9 9 6 年由信息系统审计 和控制协会( i s a c a ) 颁布，第二个版本的颁布时间是1 9 9 8 年。c o b i t 的第 二个版本修正了高级和详细的控制目标，增加了实现工具集。c o b i t 的第三个 版本是以i t 管理事务所( i tg o v e r n a n c ei n s t i t u t e ) 为主要发布机构【1 】。 i t 管理事务所由信息系统审计和控制协会( i s a c a ) 和相关的基金会于1 9 9 8 年创办，旨在推动人们对i t 管理规则的理解和采纳。由于i t 管理事务所在c o b i t 的第三个版本中增加了管理规则以及它对i t 管理的不断的努力，i t 管理事务 所在c o b i t 第三版的发布过程中起着决定性的作用。 c o b i t 原本基于i s a c a 的控制目标而建立，后来通过吸收国际技术以及 各种专业和行业标准而得到完善。c o b i t 的控制目标主要针对政府或企业范围 内的信息系统的应用。c o b i t 试图在实现与具体i t 平台无关地情况下更加真 实地反映业务需求。 c o b i t 吸收了信息控制领域中已被接受的其他标准的内容，例如： 技术标准：i s 0 ，e d i f a c t 等。 执行规则( 欧洲委员会颁布) ：o e c d ，i s a c a 等。 信息系统质量标准：i t s e c 、t c s e c 、i s 0 9 0 0 0 、s p i c e 、t i c l ( i t 、c o m m o n c r i t e r i a 等。 内部控制和审计的专业标准：c o s o ，i f a c ，a i c p a ，c l c a ，i s a c a ，i i a ， p c i e ，g a o 等。 工业实践与需求：工业论坛的e s f1 4 ，政府支持平台的i b a g ，n i s t ，d t i 等。 新兴工业的具体需求：如银行业，电子商务，i t 制造业。 3 2c o b i t 的控制原理分析 c o b i t 控制目标体系从一个简单而实际的假设开始：为了提供政府或企业 达到其目标而需要的信息，i t 资源( i tr e s o u r c e s ) 需要由一组自然分类的i t 过程( i tp r o c e s s e s ) 管理。根据这个的假设，下面我们分析i t 资源、i t 处理 过程、业务需求的概念以及在c o b i t 控制目标中三者之间密不可分的联系。 c o b i t 控制目标体系可以看作是从i t 资源、i t 处理过程到业务需求三者间关 系所衍生出的循环，可用图2 来表示。 浙江久学坝i - 学位论文 l t 过程 i tp r o c e s s e s i t 资源 i tr e s o u r c e s 图2i t 资源、i t 处理过程和业务需求的循环 i t 资源( i t r e s o u r c e s ) 在c o b i t 中，i t 资源包括数据、应用系统、技术、设施、人力，这是i t 处理过程的主要对象。 数据( d a t a ) ：泛指外部和内部、结构化和非结构化的文字、图像、影像、 声音等。 应用系统( a p p l i