COBIT(Control Objectives for Information and related Technology) 是目前國(guó)際上通用的信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)，由信息系統(tǒng)審計(jì)與控制協(xié)會(huì)在1996年公布。這是一個(gè)在國(guó)際上公認(rèn)的、權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)，目前已經(jīng)更新至5.0版。它在商業(yè)風(fēng)險(xiǎn)、控制需要和技術(shù)問(wèn)題之間架起了一座橋梁，以滿(mǎn)足管理的多方面需要。該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。

COBIT是ControlledObjectives for Information and Related Technology的縮寫(xiě)，即信息及相關(guān)技術(shù)的控制目標(biāo)。COBIT是 ISACA（信息系統(tǒng)審計(jì)和控制聯(lián)合會(huì)）制訂的面向過(guò)程的信息系統(tǒng)審計(jì)和評(píng)價(jià)的標(biāo)準(zhǔn)。對(duì)信息化建設(shè)成果的評(píng)價(jià)，按照系統(tǒng)屬性可以劃分為若干方面，如：對(duì)最終成果評(píng)價(jià)、對(duì)建設(shè)過(guò)程評(píng)價(jià)、對(duì)系統(tǒng)架構(gòu)評(píng)價(jià)等。COBIT是一個(gè)基于IT治理概念的、面向IT建設(shè)過(guò)程的IT治理實(shí)現(xiàn)指南和審計(jì)標(biāo)準(zhǔn)。

COBIT5為企業(yè)IT治理和管理提供的新一代指引，是以來(lái)自商務(wù)、IT、風(fēng)險(xiǎn)、安全和鑒證團(tuán)體的眾多企業(yè)和用戶(hù)對(duì) COBIT 超過(guò) 15 年的實(shí)際使用和應(yīng)用為依據(jù)而構(gòu)建的，COBIT 5提供一種全面的框架，以支持企業(yè)實(shí)現(xiàn)其企業(yè) IT 治理和管理的目標(biāo)。簡(jiǎn)而言之，就是幫助企業(yè)通過(guò)維持實(shí)現(xiàn)利益和優(yōu)化風(fēng)險(xiǎn)等級(jí)和資源利用之間的平衡，從而創(chuàng)造源自于 IT 的最佳價(jià)值。COBIT 5 能夠?yàn)檎麄€(gè)企業(yè)使 IT 在整體上得以治理和管理，并承擔(dān)整個(gè)端到端業(yè)務(wù)和 IT 功能區(qū)域的責(zé)任，同時(shí)兼顧內(nèi)外部利益相關(guān)者與IT 相關(guān)的利益。COBIT 5 通用和實(shí)用于各種規(guī)模的機(jī)構(gòu)，無(wú)論是商務(wù)、非營(yíng)利、或公共機(jī)構(gòu)。

技術(shù)資源：

數(shù)據(jù)（Data）——指最廣義（例如，表面的和內(nèi)在的）的對(duì)象，包括結(jié)構(gòu)化和非結(jié)構(gòu)化、圖表、聲音等等。

應(yīng)用系統(tǒng)（Application Systems）——人工程序和電腦程序的總和。

技術(shù)（Technology）——包括硬件、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等等。

設(shè)備（Facilities）——用來(lái)存放和支持信息系統(tǒng)的一切資源。

人員（People）——包括用來(lái)計(jì)劃、組織、獲取、傳送、支持和監(jiān)控信息系統(tǒng)和服務(wù)所需要的人員技能、意識(shí)和生產(chǎn)力。

控制目標(biāo)：

有效性（Effectiveness）——是指信息與商業(yè)過(guò)程相關(guān)，并以及時(shí)、準(zhǔn)確、一致和可行的方式傳送。

高效性（Efficiency）——關(guān)于如何最佳（最高產(chǎn)和最經(jīng)濟(jì)）利用資源來(lái)提供信息。

機(jī)密性（Confidentiality）——涉及對(duì)敏感信息的保護(hù)，以防止未經(jīng)授權(quán)的披露

完整性（Integrity）——涉及信息的精確性和完全性，以及與商業(yè)評(píng)價(jià)和期望相一致COBIT信息技術(shù)的控制目標(biāo)

可用性（Availability）——指在商業(yè)處理需求中，信息是可用的。還指對(duì)必要的資源和相關(guān)性能的維護(hù)。

符合性（Compliance）——遵守商業(yè)運(yùn)作過(guò)程中必須遵守的法律、法規(guī)和契約條款，如外部強(qiáng)制商業(yè)標(biāo)準(zhǔn)。

信息可靠性（Reliability of Information）——為管理者的日常經(jīng)營(yíng)管理以及履行財(cái)務(wù)報(bào)告責(zé)任提供適當(dāng)?shù)男畔ⅰ?/p>

COBIT將IT過(guò)程，IT資源與企業(yè)的策略與目標(biāo)（準(zhǔn)則）聯(lián)系起來(lái)，形成一個(gè)三維的體系結(jié)構(gòu)。

（1）IT準(zhǔn)則維集中反映了企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、成本、時(shí)間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來(lái)保證信息的安全性、可靠性、有效性；

（2）IT資源主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源，這是IT治理過(guò)程的主要對(duì)象；

（3）IT過(guò)程維則是在IT準(zhǔn)則的指導(dǎo)下，對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)I規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控等四個(gè)方面確定了34個(gè)信息技術(shù)處理過(guò)程，每個(gè)處理過(guò)程還包括更加詳細(xì)的控制目標(biāo)和審計(jì)方針對(duì)IT處理過(guò)程進(jìn)行評(píng)估。