信息系统审计指南(COBIT 中文版)(完整资料).doc

【最新整理，下载后即可编辑】

COBIT信息技术审计指南(34个控制目标)

计划和组织（选择3/6/11）

1 定义战略性的信息技术规划（PO1）PO域

控制的IT过程：

定义战略性的IT规划

满足的业务需求：

既要谋求信息技术机遇和IT业务需求的最佳平衡，又要确保其进一步地完成

实现路线：

在定期从事的战略规划编制过程中，要逐渐形成长期的计划，长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划

需要考虑的事项：

企业的业务发展战略

IT如何支持业务目标的明确定义

技术解决方案和当前基础设施的详细清单

追踪技术市场

适时的可行性研究和现实性检查

已有系统的评估

在风险、进入市场的时机、质量方面，企业所处的位置

需要高级管理层出钱、支持和必不可少的检查

信息规范IT资源

P 效果* 人员

S 效率* 应用

保密* 技术

完整* 设施

可用* 数据

遵从

可靠

1.1 作为机构长期和短期计划一部分的IT

高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面，高级管理层应

确保IT有关事项以及机遇被适当地评估，并将结果反映到机构的长期和短期计划之中。IT的长期、短期

计划应被开发，确保IT的运用同机构的使命与业务发展战略相结合。

1.2 IT 长期计划

IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。相应地，管理层应执行一个长期计划的编制过程，采用一种结构化的方法，并建立一个标准的计划结构。

1.3 IT 长期计划编制——方法与结构

对于长期计划的编制过程来讲，IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划，含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果，包括业务、环境、技术和人力资源的风险。计划编制期间，需要考虑和充分投入的方面包括：机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。IT长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划，比如机构的质量计划和信息风险管理计划。

1.4 IT 长期计划的变更

IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位，以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。

1.5 IT 功能的短期计划编制

IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这样的短期计划应确保适当的IT功能资源以与IT 长期计划内容相一致的基础上来分配。短期计划应定期地进行再评估，并被作为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。

1.6 IT 计划的交流

管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。

1.7 IT 计划的监控和评估

管理层应建立一个流程，获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。获取的反馈应予以评估，并在将来的IT计划编制中加以考虑。

1.8 现有系统的评估

在开发或变更战略规划或长期计划、IT计划之前，IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势，评估现有信息系统，以确定现有系统支持机构业务需求的程度。

对高级和详细的控制目标进行审计：

获得了解：

访谈：

首席执行官（CEO）

首席运营官（COO）

首席财务官（CFO）

首席信息官（CIO）

IT计划/指导委员会成员

IT高级管理层和人力服务职员

获得：

与计划编制过程想关联的政策和程序

高级管理层的指导角色和责任

机构的目标和长短期的计划

IT的目标和长短期的计划

状况的报告和计划/指导委员会的会议纪要

评估控制：

考虑是否：

IT或者业务的企业政策和程序选择了一种结构化的计划编制方法

方法到位，以便明确地表达并能够修改计划，起码它们要包括：• 机构的使命和目的

• 支持机构使命和目的的IT初始

• IT初始的机遇

• IT初始的可行性的研究

• IT初始的风险评估

• 当前和未来IT的最佳投资

• 反映企业使命和目的变化的IT初始的再造

• 数据应用、技术和机构可选择战略的评估

机构的变化、技术的发展、规章的要求、业务过程的再造、员工

的安置、自己开发和外包，等等被考虑，并在计划编制过程中充分地从事

长短期的IT计划存在，是当前的，充分针对全部企业、它的使命和关键的业务职能部门

IT项目由IT计划编制方法中确定的适当文档所支持

确保IT目标和长短期计划持续地满足机构目标和长短期计划的检查点存在

由过程所有者和高级管理层评价和结束的IT计划发生

根据业务自动化程度、功能性、稳定性、复杂性、成本、优势和弱点，IT计划评估现有的信息系统

对信息系统及其支持的基础设施的长期计划编制的缺乏，导致系统不能支持企业的目标和业务的过程，或者不能提供适当的完整、安全和控制

评定遵从性：

测试：

来自反映计划编制过程的IT计划编制/指导委员会的会议纪要

计划编制方法的可交付使用物的存在，作为预先的规定

相关IT的初始被包括在IT长短期的计划当中（也就是硬件的变化、容量计划编制、信息体系结构、新系统开发或获取、灾难恢复计划编制、新处理平台的安装，等等）

IT初始支持长短期计划，并要考虑调查、培训、人员安置、设施、硬件和软件的需求

IT初始的技术含义已经被确定

最优化当前和将来IT投资的考虑已经给出

IT长短期计划与机构的长短期计划和组织的需求保持一致

计划已经发生改变，以反映正在变化的条件

IT长期计划定期转化成短期计划

存在实现计划的任务