COBIT 和 ITIL 間的差異

最近電腦稽核協會正式推出Cobit 5中文版上市,這繼2003年以來,我們台灣再一次取得ISACA的授權翻譯最近版本Cobit 5,提供國內政府單位及企業組織資訊與安全管理需求的使用,我這裡綜合國外論壇對Cobit 與ITIL間的差異,彙整如下:

CobiT 是定義資訊目標,而 ITIL 是提供如何達成這個目標的作業階層程序。

CobiT(The Control Objectives for Information and related Technology) 是定義控制目標,應該被用來適當管理資訊科技與確保它們有對應到營運需求,而不只是安全的要求而己。

ITIL 是為資訊服務管理最佳實踐的實際作業標準,它提供許多目標,一般活動皆需要去達成,輸入與產出值是為每一項作業要求去達到所指定的目標,本質上,Cobit著重在『要達成什麼目標?』,而ITIL是著重『在如何達成它?』

不過,部份專家認為COBIT 結合管理系統與治理 架構提供了一個完全整合作業模型,它已經遠遠超過ITIL的範圍,若認為ITIL提供”HOW”是不正確的,ITIL是一個高階架構,已大部份被COBIT5所取代。

而另外一派卻不做這樣的註解,他們認為COBIT 5相較於COBIT 4.1已經沒有控制目標(Control Objectives),只是延用COBIT這個名稱,它目前是企業資訊治理與管理的框架,不再將焦點放在IT上。

 COBIT 5 包含7個治理促成因素 Enabler (是治理,不是資訊治理):

1 – 原則、政策與架構(Principles, Policies & Framework )
2 – 流程(Processes)
3 – 組織結構(Organizational Structures)
4 – 文化、倫理與行為(Culture, Ethics & Behavior)
5 – 資訊(Information)
6 – 服務、基礎架構與應用(Service, Applications and Infrastructure -> IT 等於一項促成因素)
7 – 人員、技能與專長(People, Skills & Competencies)

cobit_enablers1

正如你所見, COBIT 5 不是只著重在IT 上,但被考量做為治理促成因素之一,視為一項資源,特別強調在於人員被放在兩個促成因素((#3 and #7)中。

COBIT 5的主要目標是去改善組織從端到端角度的企業資訊治理(GEIT) ,而不是為了取得只針對完整範圍的某一小部份標準的驗證(如資訊安全-Information Security、資訊服務管理-IT Service Management、資訊治理-IT Governance、風險管理-Risk Management…..),自從COBIT含蓋資訊與科技端到端,去思考要進行COBIT的驗證是很瘋狂的事,因為,它就是範圍太大且複雜,然而,COBIT經常被用來設計、執行、監督和績效管理。

 

關於 David Chuang

David Chuang
CFE舞弊稽核師、資料分析與電腦稽核專家 現 任: 台北商業技術學院會計資訊系兼任講師 - 電腦審計 兆益數位股份有限公司 總經理 中華民國電腦稽核協會理事專業發展委員會主任委員 台灣舞弊防治與鑑識協會理事暨會員發展與服務委員會主任委員