COBIT2019 中級認證考試

考試形式

COBIT2019 Design & Implementation 考試：考測試考生對COBIT 2019關鍵概念，《 COBIT 2019設計指南》和《 COBIT 2019實施指南》的理解程度，以及考生在模擬實踐業務場景中應用這些概念的程度，他們如何分析治理相關問題并提出基于COBIT 2019的解決方案。在線監考，閉卷180分鐘60道單選題，答對60％（36/60) 通過。

請注意，只有先取得COBIT 2019 Foundation認證，才有資格參加COBIT2019 Design & Implementation 考試。

考試大綱

1 COBIT 2019 BASIC CONCEPTS 8% COBIT 2019 基本概念

2 DESIGN FACTORS FOR A GOVERNANCE SYSTEM 15% 治理體系的設計因素

3 IMPACT OF DESIGN FACTORS 3% 設計因素的影響

4 THE GOVERNANCE SYSTEM DESIGN WORKFLOW  32%  治理體系設計工作流

5 IMPLEMENTING AND OPTIMIZING I&T GOVERNANCE OVERVIEW 7%  IT治理實施與優化

6 GOVERNANCE IMPLEMENTATION LIFECYCLE 32% 治理實施生命周期

7 KEY TOPICS DECISION MATRIX 3% 關鍵主題決策矩陣

聯絡報名

歡迎立即聯系SITC相關培訓負責人垂詢培訓課程相關事宜。

聯系人：高源

聯系電話：021-22502736

電子郵箱：gaoy@sitc.net.cn

全國統一熱線：4008808369

值班手機/微信號：18116032158

講師一：Mr. Mike Zhang

SITC高級講師 

1、10年從業經驗，2002年被上海信息化培訓中心聘為高級講師。

2、國內較少同時擁有COBIT Foundation、CISA、CISSP、ITIL Foundation、BS7799LA、CCNP等國際IT高端注冊的專家之一，為多家企業提供過IT治理、信息安全、IT服務管理方面的咨詢、規劃和實施服務，幫助多家企業通過了BS7799注冊，擅長IT治理和信息安全，他將COBIT、ITIL、BS7799、COSO等國際標準揉合在一起，為您提供一個全面的IT治理理念和可實施的框架。 

3、講課特點思維嚴密，邏輯性強，知識面廣，在講課中能幫助學員快速掌握基本概念和重要模型，學員在反饋表上的平均評分高達4.95分。 

相關實踐活動和主要成就                    

曾領導過多個銀行金融行業信息安全、IT治理項目。

參與過數個大型數據中心建設與管理。

長期從事企業整體信息安全管理體系建設和管理，具有豐富的信息系統審計的經驗。

長期執教上海信息化培訓中心公開課和團體培訓服務，受到學員一致好評。

專業和獲得的國際注冊

B.Sc.

COBIT Foundation Certificated

CISSP

CISA

ITIL Foundation Certificated

BS7799 LA

PMP

CCNP

講師二：Mr. Jack Yang

SITC高級講師

1、13年從業經驗， 2002年被上海信息化培訓中心聘為高級講師。

2、曾在澳大利亞某大型IT公司工作3年，有豐富的 IT治理及服務管理實施和教學經驗，

是國內較少同時擁有COBIT Foundation、ITIL Foundation、ITIL Manager、PMP證書的專家之一，在系統集成、金融、電信、高科技等多個行業擁有豐富的IT管理咨詢及實施經驗，曾成功的為30多家知名企業提供過IT治理和IT服務管理培訓課程，在培訓中能有效幫助客戶理解COBIT概念并輔助客戶把COBIT應用到各自不同的實際環境中去。

3、講課風格儒雅親和、輕松生動，極具啟發性，良好的傾聽能力以及為客戶提供的堅實可靠的建議使他在上海信息化培訓中心的培訓中表現優異，學員滿意率高達98%。

相關實踐活動和主要成就    

為多家企業提供過IT治理和IT服務管理整體解決方案。

豐富的IT管理項目經驗，多次為大型企業提供過IT管理咨詢服務。

長期執教上海信息化培訓中心公開課和團體培訓服務，受到學員一致好評。

專業和獲得的國際注冊

B.Sc.

COBIT Foundation Certificated

ITIL Foundation Certificated

ITIL Manager Certificated

PMP

ISEB Certified Professional Trainer

講師三：Mr. Gilbert Yi

SITC高級講師 

1、來自臺灣，15年從業經驗，知識淵博，經驗豐富，SITC高級講師。

2、曾任臺灣某知名集團CIO一職，在其帶領下該集團下屬科技公司成為國內華東區第一家通過ISO20000注冊的企業，2007年加入某國際知名審計師事務所，并擔任高層管理職務。是國內較少同時擁有COBIT Foundation、CISA、ITIL Manager、PMP、SAS(V6)、CSE/MCDBA/CLP等國際IT高端注冊的專家之一，在IT治理、信息安全審計、IT服務管理和信息安全構架方面具有豐富經驗，為多家企業提供過咨詢、規劃和實施服務。

3、講課特點風趣幽默、互動性強，教學形式多樣，善于傾聽，擅于引導學員如何將所學內容和自己當前工作結合起來，不僅講授知識，同時幫助學員在輕松愉快的學習中建立專業的思維模式。

相關實踐活動和主要成就                 

曾在化工、紡織等行業領導過多個信息安全及IT治理項目。

曾領導臺灣某知名集團下屬子公司成為國內華東區第一家通過ISO20000注冊的企業。

豐富的信息系統審計經驗，多次指導大型企業的信息審計項目。

是SITC最受學員歡迎的金牌講師之一。

專業和獲得的國際注冊

COBIT Foundation Certificated

CIA

CISA

CFM

ITIL Manager

SAS Certified Professional( V6)

PMP

MCSE/MCDBA/CLP

聯絡報名

歡迎立即聯系SITC相關培訓負責人垂詢培訓課程相關事宜。

聯系人：高源

聯系電話：021-22502736

電子郵箱：gaoy@sitc.net.cn

全國統一熱線：4008808369

值班手機/微信號：18116032158

COBIT常見問答

什么是COBIT?

COBIT（Control Objectives for Information and related Technology）是由美國信息系統審計與控制學會ISACA（Information Systems Audit and Control Association）在1996年公布的一個控制框架，目前已更新至第5版，即COBIT5，主要目的是研究、發展、宣傳權威的、最新的國際化的公認信息技術控制目標以供企業經理、IT專業人員和審計專業人員日常使用。整個體系綜合了ITIL、COSO和ISO27001等國際標準，是目前國際上公認的、最全面、最權威的IT治理、審計、安全與控制框架。尤其是美國SOX法案《薩班斯—奧克斯利法案》對上市公司內部控制監管的嚴格要求，也增加了它的使用范圍。 本框架從PO（Plan & Organise）、AI（Acquire & Implement）、DS（Deliver & Support）、和ME（Monitor & Evaluate）四個領域、分37個IT流程。COBIT5對于云計算、大數據同樣有非常強的現實指導意義。

COBIT 5相對于COBIT4.1有哪些大的改進？ 

COBIT5集成了更多的框架和標準的應,COBIT5合并了COBIT4.1和VAL IT及RISK IT框架并做了更新，與ITIL, TOGAF, PRINCE2等國際最佳實踐和標準兼容。 

COBIT5新提出5大IT治理原則，更易于理解和應用于企業的環境，提供更有效的指導支持價值交付。利用了ISO/IEC 38500標準關于IT治理的六項原則來強化實現價值交付。

COBIT5更多關注IT治理實施的7大促成因素(七大促成因素)。

COBIT5更新和修訂了企業的目標和級聯的IT目標，在利益相關方價值交付的基礎上，將治理目標和價值創造，從三個維度利益實現、資源優化、風險優化，進行分解；并將治理目標按照平衡計分卡從財務、客戶、內部、學習和成長四個視角與企業目標和IT目標進行關聯，提供了一組自身定義的企業通用目標；COBIT5依據企業目標驅動IT相關目標提供已修訂目標級，然后支持關鍵流程。

區分了治理和管理的職能和控制流程，明確定義了治理和管理的職能和控制目標，劃分為兩個主域，治理域包含五個治理流程，在每個流程中都定義了評價、指導、監督(EDM)實踐，管理域包含四個符合計劃、建立、運行、監測(PBRM)的職能COBIT5模型覆蓋了企業端到端的活動，如業務和IT功能域。

COBIT5的RACI圖更明晰，采用與COBIT4.1、Val IT 和Risk IT類似的方法描述角色和職責，COBIT5提供了一個比COBIT4.1更為完整、明確和清晰的通用業務和IT參與者的范圍，從而在規劃和實施流程時能更好地定義角色參與者的職責或參與的程度。

COBIT5控制流程描述更清晰，提供了更全面和完全覆蓋反映普遍企業IT使用特性的做法。它使運用IT的利益相關者的參與、責任和職責更明確和透明。COBIT5 整合和更新了所有先前的內容到一個新模型使用戶在實施改進時更易于理解和使用這些資料。 

COBIT5更新了流程成熟度模型 ，不再使用COBIT4.1T基于CMM能力成熟度模型方法，而是借鑒了ISO/IEC 15504成熟度模型重新對成熟度級別進行了定義?；贗SO/IEC 15504建立新的流程能力評估方法。 

 董事會衡量IT績效的指標有哪些？

? 最高管理層（董事會）通過下述指標衡量業績：

? 定義和檢查IT商業價值評估手段并加以管理，

? 證實目標已經達到，

? 衡量組織績效，

? 減少不確定性。

IT治理使得最高管理層（董事會）和執行經理針對IT的指導、監控和評估等一系列活動成為可能。這些活動主要包括：

?IT的業務目標；

?新技術的機遇和風險；

?關鍵過程與核心競爭力；

?指導信息技術的管理職能和對組織的影響；

?分配責任、定義規程、衡量業績；

?管理風險和獲得可靠保證等。 

企業通過實施COBIT框架可獲得的受益，或解決的問題有哪些?

解決企業內部因各種IT運作的缺陷導致出現的諸如

缺乏指導方針和過程規定

缺乏規劃及績效度量標準

不理想的系統設計和開發

缺乏足夠的信息安全措施等棘手問題

建立清晰的責任制度

實現企業戰略與IT戰略的互動

形成持續改進的良性循環機制。

什么人會選擇學習和應用COBIT？ 

三個主要目標用戶的綜合使用：

管理者、IT部門和審計師——確保所使用的結構、表達和語言能夠為管理層的股東們、參與者和專業人員提供更容易的理解和應用。

CIO、IT審計師、IT管理者、IT質量專家、IT開發人員、IT服務提供商的從事者和管理者，

大中型企業中信息化管理部門的中高層領導，主要負責信息化戰略、策略、內控流程、規章制度的設計與監督，以保證信息化工作的順利進行。

也有來自軟件企業、咨詢公司某一領域的資深專家，同時了解信息化管理、風險管理和合規性方面的復合型人才。

COBIT和ITIL有什么區別？

COBIT基于已有的許多架構，如SEI能力成熟度模型CMM對軟件企業成熟度5級的劃分，以及1509000等標準，COBIT在總結這些標準的基礎上重點關注企業需要什么，而不是企業需要如何做，它不包括具體的實施指南和具體實施步驟，它是一個控制架構(Control Framework)而非具體過程架構(Process Framework)。 COBIT從戰略、戰術、運營層面給出了對IT的評測、量度和審計方法，它的“目標聽眾”是信息系統審計人員，企業高級管理人員以及高級IT管理人員，如CIO。

ITIL基于企業的最佳實踐 (Best Practice)，英國政府收集和分析各種組織解決服務管理問題方面的信息，找出那些對本部門和對英國政府其它部門有益的做法，最后形成了ITIL。它列出了各個服務管理流程“最佳”的目標、活動、輸入和輸出以及各個流程之間的關系，但沒定義范圍廣泛的控制架構。它關注方法和實施過程。由于它關注IT服務管理(ITSM)，它的視野相對COBIT來說狹窄，它主要關注IT的戰術和運營層面。但它對IT服務的提供和支持定義了更為詳細和更易理解的過程集。它的“目標聽眾”是IT人員和服務管理人員。

盡管兩個標準有著許多的不同之處，但在COBIT和ITIL背后卻有著非常一致的指導原則。信息系統審計人員通常綜合使用COBIT和ITIL的自評估方法，去評估企業IT服務管理環境。COBIT為每一個過程提供了關鍵目標指示(KGIs)、關鍵績效指標(KPIS)、關鍵成功要素(CSFS)，與ITIL過程相結合可以建立ITIL過程管理的基準。在實際應用中，某些企業綜合兩個標準提出了更易理解的適用于本企業環境的IT治理和運行架構。

COBIT和ISO/IEC17799/ISO27001有什么區別？

ISO/IEC17799/ISO27001強調信息安全管理體系的有效性、經濟性、全面性、普遍性和開放性，目的是為希望達到一定管理效果的組織提供一種高質量、高實用性的參照。其最大特點就是廣泛但不深入，而且僅作參考之用。

與ISO/IEC17799不同，COBIT完全基于IT，其IT準則反映了企業的戰略目標，IT資源包括人、系統、數據等相關資源，IT管理則是在IT準則指導下對IT資源進行規劃處理。COBIT在P0、AI、DS、M四個方面確定了34個處理過程以及318個詳細控制目標。此外對每個過程還有評審工具。

OBIT與PRINCE2有什么區別?

Prince2為包括IT項目在內的項目管理提供了通用的管理方法，內置了在項目管理實踐中己證明成功的最佳實踐 (best practice)，通過為所有參與者提供的通用語言，便于被廣泛理解和接受。PRINCE鼓勵對項目責任正式的確認(誰具體負責什么)，強調項目交付什么(what)、為何交付(why)、交付時間(when)、為誰交付(whom)。

PRINCE能帶給項目：

• 可控的組織良好的開端、過程、結尾

• 在決策關鍵點 (decision point) 時重新審視項目計劃和業務狀況

• 自動管理和控制對計劃的任何偏離

• 股東和高級管理者只是在恰當的時機介入項目

• 在項目組、項目管理層、組織的其他人員間搭建暢通的交流通道

COBIT從戰略、戰術、技術等層面給出了如何有效管理IT項目。在P010中專門給出了項目管理的方法論，詳細定義了13個具體控制目標：項目管理架構;用戶方參與項目啟動;項目團隊身份及其職責;項目定義;項目批準;項目階段批準;項目主要計劃;系統質量保證計劃;保證方法計劃;正式的項目風險管理;測試計劃;培訓計劃;實施后的評審計劃。除給出項目管理具體控制目標外，COBIT還給出了與項目管理相關的關鍵成功要素(Critical Success Factors)，其定義了最重要的面向項目管理的實施指南，以達到對IT項目過程內外部的控制;關鍵目標指標(Key Goal Indicators)，定義了一些尺度，便于在項目關鍵點(或里程碑)，告訴管理者某個IT項目管理過程是否實現了其業務需求;關鍵性能指標(Key Performance Indicators)，定義的是IT項目管理過程在促使項目目標達成時履行得有多好的尺度。

從兩者的比較我們可以看出，COBIT重點在于對13個“控制目標”的管理上，PRINCE2典型的在于對7大“流程”的管理上。雖然二者從不同的角度出發認識IT項目管理，但二者有許多共同之處。COBIT的項目中主要計劃，系統質量保證計劃，保證方法計劃，測試計劃，培訓計劃，實施后的評審計劃等控制目標映射到PRINCE2的計劃(PL)流程;項目管理架構等映射到PRINCE2的指導項目Directing a Project (DP) 流程;PRINCE2的開始項目Starting up a Project (SU)和啟動項目Initiating a Project (IP) 流程對應著COBIT的用戶方參與項目啟動，項目團隊身份及其職責，項目定義;項目批準，項目階段批準，正式的項目風險管理則較好的被其它幾個PRINCE2流程所包含。當然，在COBIT管理指南中我們不能明確看出對PRINCE2中結束項目Closing a Project (CP) 流程相關的控制目標，但COBIT的其他控制目標以及審計指南等隱含包括了該流程的控制。

PRINCE2從流程的角度對項目管理中各個活動進行管理，比較便于項目管理的具體實施，而COBIT從控制目標的角度闡述項目管理“應該怎樣，應該達到什么目標”，這樣便于企業控制和評審項目管理整體過程的執行情況。同時COBIT給出了項目管理成熟度模型，便于組織自評估或第三方評估企業項目管理的成熟度，從而不斷改進項目管理的執行過程。

當然PRINCE2和COBIT的視野并不僅僅限于對具體項目的管理。它們不僅包括項目級的管理，而且涵蓋了在組織范圍對項目的管理，目的在于企業級的項目管理(Enterprise Project Management，EPM)或者稱為項目治理(Project Governance)。從企業長期發展戰略的高度來規劃項目管理。

同時，對于每個過程和控制目標，PRINCE與COBIT僅僅指明了“該做什么”，至于“如何做”，二者都沒有提供具體實現技術和工具，你可以根據實際需要使用任何對你有幫助的任何工具，如甘特圖，關鍵路徑、project軟件、風險控制軟件等。PRINCE2提供的8個過程與COBIT提供的13個控制目標也僅僅作為參考過程和控制目標，企業在具體實施時，必須依據項目的規模和需要對這些過程和控制目標進行適當的剪裁。

COBIT、ITIL、PRINCE2這么多標準如何選擇？

為了實現IT治理戰略的目標，我們需要做到對IT組織結構和角色、量度、過程、技術、控制以及人員等方面進行管理。

COBIT、ITIL、ISO/IEC17799和PRINCE2在管理IT上述各方面各有優勢，具體體現為：

• COBIT重點在于IT控制和IT度量

• ITIL重點在于IT過程管理，強調IT支持和IT交付

• ISO/IEC17799重點在于IT安全控制

• PRINCE2重點在于項目管理，強調項目的可控性，明確項目管理中人員、角色的具體職責，同時實現項目管理質量的不斷改進。

聯絡報名

歡迎立即聯系SITC相關培訓負責人垂詢培訓課程相關事宜。

聯系人：高源

聯系電話：021-22502736

電子郵箱：gaoy@sitc.net.cn

全國統一熱線：4008808369

值班手機/微信號：18116032158