COBIT包括了技术相关的控制目标和方法，它们来自于41个国际公认的安全、审计和控制参考，是对一些问题的新的思考途径，而不是IT控制和审计程序的集合，这就导致COBIT不像BS7799或ITIL那样易于理解或实施。这里特以变更管理流程为例来介绍，之所以以变更管理为例，是因为分布式计算和互联网的广泛应用所产生的一个结果就是在计算活动中失去了对安全性的控制，也就是说，如下：

变更管理

把破坏，非授权的改动和错误发生的可能性减少到最小

建立一套管理系统来分析，实施和跟踪所有针对现有的IT基础设施的变更请求和变更过程

l         变更确定

l         分类，优先和紧急程序

l         影响评估

l         变更授权

l         发布管理

l         软件分配

l         自动工具的使用

l         配置管理

l         重新设计业务处理流程

IT 管理部门为保证所有变更可控，要做到：标准化系统的维护工作，以及符合规范的管理和程序。变更要进行分类，区分优先级，同时要有特殊的程序来处理紧急情况。变更请求人员应始终明了其请求所处的状态。

用结构化的方式来评估，所有变更请求对操作系统及其功能上产生的影响。

IT 管理部门应该保证变更管理，软件控制和分发都可以用一个综合配置管理系统来合为一体。用于监控应用系统变更的系统能够自动地记录和跟踪大型的，复杂的信息系统的变化。

当变更绕过了技术操作和以前管理评估正常的程序去执行操作时，IT 管理部门应该确立紧急情况下变更发生的参数和程序来控制这些变更。紧急情况的变更应该通过以前的IT 管理部门记录和授权实施。 

变更程序应该确保不论什么时候实施系统变更，相关的文档和程序要相应地更新。

IT 管理部门应该确保维护人员有详细具体的任务，同时要正确地监控他们的工作。另外，他们的访问权力应该被控制以避免对系统进行未授权访问的风险。

IT 管理部门应该通过正常的程序来管理软件的发布，以保证正常完成，包装，回归测试，移交等。

应该建立具体的内部控制措施，来确保合适的软件单元完整地分发到了正确的地方，同时，使用合适的方法来获得审计踪迹。 

 

这里我们再以紧急情况的变更管理为例介绍其控制措施如下：

当紧急情况发生时，正常的技术、操作和实施前的管理评估已不能正常进行，IT 管理部门应该判定紧急情况是否发生及实施控制程序来管理这些变更。紧急情况的变更实施应该通过IT 管理部门记录和正式授权。  

（1）管理层应该定义紧急情况的特征和应对流程，以便识别、对外宣布和及时响应。

（2）所有的变更管理应记录，如果此前没做，事后及时补救。

（3）所有的变更管理应进行测试，如果此前没做，事后及时补救。

（4）所有的变更管理在实施之前，应由系统所有人和管理层正式授权和管理。

（5）记录变更前后的情形，变更日志要记录并保留以被日后检查。

通过实施变更管理控制实务将：

l         确保只有突然发生意外情况时才启动紧急情况管理流程。

l         确保不损坏机密性、完整性、可用性、可靠性及正确性的情况下实施紧急情况的变更。

 

 

IT治理框架

信息化/电子政务运维管理

G3研究课题