第7章 IT治理概述-信息安全管理与风险评估(第2版)-赵刚-清华大学出版社

信息安全管理与风险评估
简单叙述“IT治理”的基本概念。 简单叙述你对“IT治理与IT管理”的理解。 查阅资料，归纳IT治理支持手段。 什么是“ITIL”？其包括哪些“管理流程”？ 简单叙述“COBIT 5.0的5个原则和7个驱动
因素”。
7.2 IT治理支持手段
IT治理标准主要有：COBIT、PRINCE2、ITIL、ISO/IEC 27001以及COSO发布的内部控制框架等。 COBIT提供控制和审计； PRINCE2提供结构化项目管理方法； ITIL提供整个过程的服务管理； ISO/IEC 27001提供安全管理。 CISR强调决策权的分配； IT-CMM可以判定企业信息化级别。
信息安全管理与风险评估
7.2 IT治理支持手段
4. COBIT模型：
COBIT5原则
信息安全管理与风险评估
7.2 IT治理支持手段
5．标准间的相互关系： COBIT、ITIL、ISO/IEC 27001和 PRINCE2在管理IT上各有优势， 如COBIT重点在于IT控制和IT度量评价； ITIL重点在于IT过程管理，强调IT支持和IT交付：ISO/IEC 27001重点在于IT安全控制； PRINCE2重点在于项目管理，强调项目的可控性，明确项 目管理中人员角色的具体职责，同时实现项目管理质量的 不断改进。
信息安全管理与风险评估
信息安全管理与风险评估
7.1 IT治理
IT治理是组织根据自身文化和信息化水平构建适 合组织发展的架构并实施的一种管理过程，是平衡IT资 源和组织利益相关者之间IT决策权力归属与责任分配的 一种管理模式，旨在规避IT风险和增加IT收益风险评估
信息安全管理与风险评估
7.2 IT治理支持手段
4. COBIT 模 型 ： COBIT(Control Objectives for Information and related Technology)是目前国际上通用的 信息系统审计的标准，由ISACA（The Information System Audit and Control Association，美国信息系统审计与控制 协会）在1996年公布。 2012年4月，ISACA官方正式发布COBIT5.0。COBIT5.0提 出了能使组织在一套包含7个驱动因素整体方法下、建立 有效治理和管理框架的5个原则，以优化信息和技术的投 资及使用以满足相关者的利益。
信息安全管理与风险评估
7.2 IT治理支持手段
1．内部控制理论与ERMF
ERMF框架
信息安全管理与风险评估
7.2 IT治理支持手段
2．PRINCE2，结构化的项目管理方法，其过程模型由8个管理 过程组成。
3 ． ITIL ： 信 息 技 术 基 础 架 构 库 (Information Technology Infrastructure Library, ITIL)由英国政府部门CCTA(Central Computing and Telecommunications Agency)在20世纪80 年代末制订，现由英国商务部OGC(Office of Government Commerce)负责管理，主要适用于IT服务管理(ITSM)。