2.2.4  IT治理工具

国际标准化组织2008年提出了第一个IT治理国际标准ISO/IEC 38500，在其描述制定该标准的目标时指出：这份标准魄目的是提供一个原则的框架，让指挥者用于评估、指挥及观察IT在企业中的使用状况。标准的框架模型如图2-2所示。

当前，国际上在IT治理中使用较为普遍的模型有COBIT、ITIL/IS020000、IS017799/27001、PRINCE2、ITSM等。其中，COBIT是目前国际上公认为较先进、权威的安全与信息技术管理和控制的标准，已在100多个国家的近万个企业中获得运用。COBIT，即信息系统及相关技术的控制目标( Control Objectives for Information and related Technology)，是由美国信息系统审计与控制协会( ISACA)和IT治理委员会于1992年创建的，2005年发布了4.0版本，2007年又更新至4.1版本。COBIT4.1从内部控制、治理理念出发，构建关于信息系

统投资、建设、评估、风险控制的体系框架，从规范、标准、知识体系、方法论、模型和组织的高度，全面重新审视IT治理，超越了传统的产品与服务的概念。COBIT4.1覆盖整个信息系统的全生命周期，将IT过程，IT资源与企业的策略及目标联系起来，形成一个三维立体框架结构，如图2-3所示。其中，业务需求(Business Requirements)维度集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性；IT资源(IT  Resources)维度主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象；IT技术流程(IT Process)维度则是在业务需求的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。