ISO20000与CobiT的关系

CobiT（control objectives for infonnation and related tecbnology）即信息及相关技术控制目标，目前已成为国际上公认的IT治理与控制标准，由美国IT治理研究院（ITGI）开发与推广，从1994年推出第一版到现在己陆续发布四个版本。

 

CobiT的设计初衷就是通过对IT资源的管理和控制，确保IT的目标符合业务需求。CobiT 4.1中定义了7个业务需求、20个业务目标、28个IT目标、34个IT过程、100多个控制管理目标，还定义了专业的度量方法和能力成熟度评估模型。

 

CobiT将100多个控制目标和34 个过程分为四个控制域：计划和组织（plan and organize）、获取和实施（acquire and implement）、交付和支持（deliver and support）、监控和评估（monitor and evaluate）。这四个控制域的相互关系与PDCA 有些类似，但不完全一样。

 

与ISO20000关注方法和实施过程不同的是，CobiT更加关注企业整体战略。从使用者来说，CobiT是IT审计者、董事会/高管层、 IT管理层的管理利器，而ISO20000则主要由IT人员或服务管理人员用来改善IT服务。尽管两者有着诸多的不同，但是目标却是一致的，实施上也并不矛盾。事实上因为SOX法案的要求，国外很多企业都采取整合方法应用这两个管理体系。lTGI和OGC还共同研究并发布了两者对应关系和如何整合应用方法，并且双方在各自体系升级时都会考虑与对方体系的对应关系。

 

具体而言， CobiT可以用在最高层次的IT治理，基于IT过程模型提供一个完整的控制框架，而ISO20000（ITIL）则提供更加细化、更加具体的实施流程，并且所有的流程都可对应到CobiT的框架当中去。CobiT为每一个过程提供的各种绩效指标，与ISO20000过程相结合可以建立过程管理的基准。