(完整版)信息系统审计指南(COBIT中文版)
cobit-2019 治理和管理目标中文
COBIT-2019治理和管理目标中文COBIT,全称Control Objectives for Information and Related Technologies,中文意为“信息及相关技术的控制目标”,是一个由信息系统审计与控制协会(ISACA)制定的国际标准框架,旨在帮助企业实现有效的信息技术治理和管理。
COBIT框架提供了一套综合的治理和管理目标,涵盖了组织内部的商业需求、IT资源和技术。
在2019年发布的新版COBIT框架中,更新了许多原有的治理和管理目标,并对现代企业面临的挑战和机遇做出了充分的考虑。
COBIT-2019的核心理念是通过定义一套可操作的框架,帮助企业建立、维护和优化IT治理和管理的能力,从而实现业务目标。
本文将针对COBIT-2019框架中的治理和管理目标进行详细解读和分析,探讨其在现代企业中的应用和意义。
一、治理目标1. 治理目标的概念和原则COBIT-2019框架中的治理目标主要包括了企业治理、治理框架和治理决策。
其中,企业治理旨在确保企业长期可持续发展,治理框架旨在实现治理的有效实施,治理决策则关注在业务和技术层面上的决策过程。
这些治理目标的核心原则包括透明性、责任性、公正性和合规性,通过遵循这些原则,企业可以建立起健全的治理体系,保证企业的持续发展和稳定运行。
2. 治理目标的重要性和适用范围在当今日益复杂和多变的商业环境下,企业对于治理的需求愈发迫切。
有效的治理可以保障企业资源的合理利用,降低风险和成本,提升竞争力和市场价值。
COBIT-2019框架中的治理目标适用于各类规模和性质的企业,不仅可以帮助大型企业建立健全的治理架构,也可以为中小型企业提供简明实用的治理指南。
3. 治理目标的实施方法和工具COBIT-2019框架为企业提供了一整套治理实施的方法和工具,包括了治理目标的识别和规划、组织结构的建立和分工、治理流程的设计和优化等方面。
企业可以根据自身的需求和情况,制定适合自己的治理实施计划,运用COBIT提供的工具和方法,提升治理水平和效果。
信息系统审计指南
COBIT信息技术审计指南(34个控制目标)计划和组织(选择3/6/11)1 定义战略性的信息技术规划(PO1)PO域控制的IT过程:定义战略性的IT规划满足的业务需求:既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成实现路线:在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项:企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面,企业所处的位置需要高级管理层出钱、支持和必不可少的检查信息规范 IT资源P 效果 * 人员S 效率 * 应用保密 * 技术完整 * 设施可用 * 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。
在这一方面,高级管理层应确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。
IT的长期、短期计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。
1.2 IT 长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。
计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。
相应地,管理层应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构。
1.3 IT 长期计划编制——方法与结构对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。
这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。
IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。
计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。
IT审计与控制模型COBIT(同济大学 刘仲英教授)共61页文档
• Li•nBeussoinfeBssus&inSeesrsvice Components • AgTeencchineisc,aCl uRsetofemreenrcs,ePMarotdneelr(sTRM)
•Service Component Interfaces, Interoperability
• TeScehrnvoilocgeiCeso, RmepcoomnemnetnRdaetifoenrsence Model (SRM)
Dat•aSe&rvIincfeoDrmomataioinns,RSeefrevreicnecTe yMpoesdel (DRM) • Bu•Bsiunseisnse-fsosc&useSderDvaictae SCtoanmdpaordnieznattison • Cross-Agency Information Exchanges
Audit Work Team
$ Manager: Responsible for the audit and quality control.
$ Senior/team leader: Responsible for the work papers.
$ Staff: Responsible for the performance of the audit.
Information Systems Audit and Control Foundation
IT Governance Institute
1. IT Audit Overview 2. COBIT Overview 3. COBIT Architecture 4. Control Objectives 5. Management Guidelines 6. Audit Guidelines
COBIT5.0实施指南中文版
COBIT5 Implementation 实施
目录 Байду номын сангаас
一、关于我们 .................................................................................................................................. 4 二、引言 ......................................................................................................................................... 5 目标和指南适用范围 ................................................................................................................ 6 三、GEIT 定位 ................................................................................................................................. 8 了解背景 .................................................................................................................................. 8 什么是 GEIT? ....................................................
信息系统审计指南(COBIT中文版)
COBIT信息技术审计指南(34个控制目标)计划和组织(选择3/6/11)1 定义战略性的信息技术规划(PO1)PO域控制的IT过程:定义战略性的IT规划满足的业务需求:既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成实现路线:在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项:企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面,企业所处的位置需要高级管理层出钱、支持和必不可少的检查信息规范 IT资源P 效果 * 人员S 效率 * 应用保密 * 技术完整 * 设施可用 * 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。
在这一方面,高级管理层应确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。
IT的长期、短期计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。
1.2 IT 长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。
计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。
相应地,管理层应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构。
1.3 IT 长期计划编制——方法与结构对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。
这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。
IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。
计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。
信息系统运行审计操作手册
信息系统运行审计操作手册一、前言随着信息技术的快速发展,信息系统在企业和组织中的应用日益广泛,其运行的稳定性、安全性和有效性对于业务的正常开展至关重要。
信息系统运行审计作为一种重要的监督和评估手段,能够帮助企业和组织发现信息系统运行中存在的问题和风险,保障信息系统的可靠运行。
本操作手册旨在为审计人员提供一套全面、系统的信息系统运行审计方法和流程,帮助其有效地开展审计工作。
二、审计目标和范围(一)审计目标1、评估信息系统的运行状况,包括系统的稳定性、可靠性、性能和可用性。
2、检查信息系统的内部控制措施是否有效,以保障系统的安全性和数据的完整性、准确性。
3、发现信息系统运行中存在的问题和风险,并提出改进建议,以提高系统的运行效率和效益。
(二)审计范围1、涵盖企业或组织内部使用的各类信息系统,包括业务应用系统、操作系统、数据库管理系统、网络系统等。
2、涉及信息系统的硬件设备、软件程序、数据资源、人员操作等方面。
三、审计准备(一)组建审计团队审计团队应包括具有信息技术知识和审计经验的人员,必要时可邀请外部专家参与。
(二)收集相关资料1、信息系统的规划、设计、开发和实施文档。
2、系统的操作手册、维护记录、故障报告等运行文档。
3、相关的法律法规、行业标准和企业内部规章制度。
(三)确定审计重点根据企业或组织的业务特点、信息系统的重要性和以往的审计情况,确定本次审计的重点领域和关键环节。
(四)制定审计计划明确审计的目标、范围、程序、时间安排和人员分工等。
四、审计流程(一)系统评估1、对信息系统的硬件设备进行检查,包括服务器、存储设备、网络设备等,评估其性能和稳定性。
2、审查软件系统,包括操作系统、应用程序、数据库管理系统等,检查其版本更新、补丁安装和授权使用情况。
(二)内部控制审查1、访问控制检查用户账号的创建、修改和删除是否经过授权,用户权限的分配是否合理。
测试用户身份验证机制的有效性,如密码强度、验证码等。
COBIT标准(信息技术审计标准)
COBIT标准(2008-05-19 21:31:20)标签:杂谈目录• 什么是COBIT• COBIT的主要组件• COBIT对企业的作用• COBIT的优点• COBIT标准的应用原则什么是COBITCOBIT(Control Objectives for Information and related Technology):即信息系统和技术控制目标。
成立于1969年的美国信息系统审计与控制协会(ISACA),于1996推出了用于“IT审计”的知识体系COBIT。
“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。
相应地,“注册信息系统审计师”(CISA)日益成为世界各国发展信息化过程中,争相发展的新兴职业和领域。
作为IT治理的核心模型, COBIT包含34个信息技术过程控制,并归集为四个控制域:IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)以及信息系统运行性能监控(Monitoring)。
COBIT目前已成为国际上公认的IT管理与控制标准。
COBIT目前已成为国际上公认的IT管理与控制框架,已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效地利用信息资源,有效地管理与信息相关的风险。
COBIT的主要组件COBIT有6个组件:- Executive Summary- Management Guidelines- Framework- Control Objectives- Implemenation Toolset- Audit GuidelinesCOBIT对企业的作用COBIT型是企业战略目标和信息技术战略目标的桥梁,使得信息技术目标和企业战略目标之间实现互动。
信息系统审计方法与操作指引
信息系统审计方法与操作指引信息系统审计是对一个组织内部的信息系统进行评估和检查,以确保其安全性、有效性和合规性。
信息系统审计方法和操作指引是指对信息系统审计工作进行规范和指导的文件,旨在确保审计过程的完整性、准确性和可靠性。
下面将详细介绍信息系统审计方法与操作指引。
一、信息系统审计方法1.风险评估:对组织的信息系统风险进行评估,包括对系统中可能出现的各种安全风险和潜在威胁进行识别和分析。
通过风险评估,可以确定审计的重点和范围,以及制定相应的防范措施。
2.审计计划:制定详细的审计计划,明确审计目标、方法和流程,确定审计人员的职责和权限,并制定相应的工作时间表。
审计计划需要根据组织的具体情况进行调整,包括审计对象的规模、复杂性、风险等因素。
3.数据收集与分析:收集和分析与审计对象相关的数据和信息。
可以使用各种手段收集数据,包括文件审查、访谈、观察和测试等。
通过对数据的分析,可以了解组织信息系统的运作情况,发现问题和潜在的风险。
4.系统评估:对信息系统的各个方面进行评估,包括系统的安全性、完整性、可用性和合规性等。
可以使用各种评估方法和工具,如安全审计工具、性能测试工具、代码审查工具等,对系统进行检查和评价。
5.问题识别与整改:在审计过程中发现问题和潜在的风险后,需要提出相应的改进建议和措施,帮助组织改进信息系统管理和运作。
同时,还需要跟踪和监督问题的整改进展情况,确保问题得到解决。
6.审计报告:在完成审计工作后,需要编写审计报告,对审计过程和结果进行总结和归档。
审计报告应包括对信息系统的评估结果、问题和风险的描述、改进建议和措施等内容,以及必要的附件和证据。
二、信息系统审计操作指引1.审计流程:明确信息系统审计的流程和步骤,包括审计计划的制定、数据的收集与分析、系统的评估和问题的整改等。
同时,还需要规定各个步骤的职责和时限,确保审计工作的有序进行。
2.审计工作的要求:明确审计工作的要求和标准,包括审计人员的资质和素质、审计方法和工具的选择、数据的保护和保密、问题的识别和整改等。
COBIT信息技术审计指南
COBIT信息技术审计指南COBIT(Control Objectives for Information and Related Technologies)是一种国际上广泛接受的信息技术(IT)治理和管理框架。
COBIT提供了一个可用于审计的综合的IT服务管理工具,可帮助企业实现其目标,并确保IT系统的有效性和合规性。
COBIT信息技术审计指南是基于COBIT框架的一个重要组成部分,为审计人员提供了一个全面的指南,以评估和审计企业的IT系统。
该指南涵盖了审计过程的所有关键方面,以帮助审计人员有效地管理和执行审计计划,确保IT系统的安全性、完整性和可靠性。
1.IT治理和管理目标:提供了IT治理和管理的目标,以确保IT系统与业务目标的一致性。
2.测量目标:定义了评估IT服务管理过程和实施COBIT框架的效果的指标和目标。
3.实施指南:提供了一系列实施COBIT框架的最佳实践和指导方针。
4.控制目标:定义了需要在IT环境中实施的控制措施,以确保IT系统的安全和有效性。
5.成熟度模型:提供了一个评估IT服务管理过程成熟度的框架,以帮助企业确定改进的重点和优先级。
6.过程参考模型:定义了IT服务管理过程的详细步骤和流程。
7.成功因素:定义了实施和管理COBIT框架的关键成功因素,以确保系统的可持续发展和改进。
8.监控和评估框架:提供了一套用于监控和评估IT系统的指标和工具,以确保其持续符合业务需求和要求。
COBIT信息技术审计指南可帮助审计人员了解企业的IT系统,识别主要风险和安全漏洞,并提供相应的控制和改进建议。
通过审计过程,企业可以评估其IT系统的风险和弱点,并采取适当的措施加以改进。
同时,COBIT框架提供的指导方针和最佳实践可以帮助企业建立一个安全、稳定和高效的IT环境。
总而言之,COBIT信息技术审计指南是一套可靠和全面的工具,用于评估企业的IT系统,并提供控制和改进建议。
它为企业提供了一个基于最佳实践和指导方针的框架,以管理和优化其IT服务管理过程。
基于CobiT的信息系统内部控制及审计
基于CobiT的信息系统内部控制及审计随着计算机技术和网络技术的迅猛发展,企业高度依赖于信息系统来加强管理、提高效率,改进服务。
会计电算化、电子商务(EC)、管理信息系统(MIS)、企业资源计划(ERP)的逐步实施与普及应用,使企业面临着前所未有的信息风险,信息系统的安全、可靠、效率也日益重要。
基于信息系统的重要性及IT挑战,产生了对信息系统进行控制和审计的需求,即信息系统内部控制和信息系统审计。
面对信息系统审计具有的专业性、技术性和复杂性,信息系统审计与控制协会(ISACA)的IT治理学会(ITGI)制定出了专门适用于信息系统控制和审计的标准-——CobiT,即信息及相关技术控制目标.这样以CobiT为基础进行信息系统控制和审计成为了可能.一、信息系统内部控制、审计的理论框架企业IT控制是企业内部控制的控制环境要素在受到IT广泛应用的影响之下而逐渐形成并发展的。
IT控制所关注的对象是企业IT资产的整个运维状况,它与整个企业的内部控制应该是子集与全集的关系。
COSO通常作为企业的整体内部控制框架,CobiT则是通用的IT控制框架。
COSO框架已广为人知,在此主要介绍CobiT理论框架。
1、CobiT简介CobiT---信息及相关技术控制目标,它是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第四版。
它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。
该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。
CobiT将IT过程、IT资源及信息准则与企业的策略与目标联系起来,形成一个三维的体系结构(图1)。
其中,信息准则维集中反映了企业使用IT的战略目标,包括信息技术应用的有效性、效率性、保密性、完整性、可用性、符合性、可靠性等7方面.IT资源维描述了I T治理过程的主要对象,有人员、基础设施、信息、应用系统等4类。
信息系统安全审计指南
信息系统安全审计指南1. 引言信息系统在现代社会中起着重要的作用,然而,网络攻击和数据泄露等安全威胁也随之而来。
为了确保信息系统的安全性和可靠性,信息系统安全审计变得至关重要。
本文将提供一份信息系统安全审计指南,帮助企业和组织实施有效的安全审计措施。
2. 信息系统安全审计的背景随着信息系统的日益普及和应用范围的不断扩大,各种类型的威胁也越来越多。
恶意软件、黑客攻击、数据泄露等问题对信息系统的安全构成了严重威胁。
信息系统安全审计可以通过检查和评估安全策略、控制措施以及安全实践的有效性,帮助组织提高信息系统的保护水平,减少潜在风险。
3. 信息系统安全审计的目标信息系统安全审计的目标是确保信息系统的完整性、可用性和保密性。
具体而言,信息系统安全审计应注重以下几个方面:- 评估信息系统的安全策略和控制措施的有效性;- 检查网络和系统资源的安全配置;- 确保关键数据的保护和备份措施;- 检测和预防潜在的恶意攻击和网络威胁;- 审计用户权限管理和访问控制。
4. 信息系统安全审计的步骤(1)规划阶段:- 确定审计的目标和范围;- 制定审计计划和时间表;- 确定审计所需的资源和人员。
(2)数据收集阶段:- 收集和分析相关文档和记录,如安全策略、安全控制和流程等; - 检查和分析系统日志和审计记录;- 进行系统漏洞评估和安全扫描。
(3)安全控制评估阶段:- 检查系统和网络配置,确保安全控制措施的有效实施;- 评估密码策略和访问控制机制;- 确认系统和网络的防火墙和入侵检测系统的有效性。
(4)风险评估阶段:- 识别潜在的安全风险和威胁;- 评估安全事件和事故的影响;- 制定风险管理和应对措施。
(5)报告编写阶段:- 将审计的结果和推荐措施记录在审计报告中;- 提供具体的建议和改进措施;- 向相关方沟通报告并解释审计结果。
5. 信息系统安全审计的挑战与解决方案信息系统安全审计面临着多项挑战,如技术复杂性、变动性环境和人为疏忽等。
(完整版)信息系统审计指南(COBIT中文版)
COBIT信息技术审计指南(34个控制目标)计划和组织(选择3/6/11)1 定义战略性的信息技术规划(PO1)PO域控制的IT过程:定义战略性的IT规划满足的业务需求:既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成实现路线:在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项:企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面,企业所处的位置需要高级管理层出钱、支持和必不可少的检查信息规范 IT资源P 效果 * 人员S 效率 * 应用保密 * 技术完整 * 设施可用 * 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。
在这一方面,高级管理层应确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。
IT的长期、短期计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。
1.2 IT 长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。
计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。
相应地,管理层应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构。
1.3 IT 长期计划编制——方法与结构对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。
这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。
IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。
计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。
COBIT定义及理解(精)
COBIT 定义及理解COBIT经过几十年的发展,西方发达国家总结了信息化建设的经验,将“企业治理”的概念引入到信息化领域,提出了“IT 治理”的概念,对信息化建设的管理提升到了一个新的高度。
信息化建设过程实质上就是一个对 IT 进行治理的过程,在这个背景下, ISACA 提出了 COBIT 。
COBIT 是什么?COBIT 是 Controlled Objectives for Information and Related Technology的缩写,即信息及相关技术的控制目标。
COBIT 是 ISACA(信息系统审计和控制联合会制订的面向过程的信息系统审计和评价的标准。
对信息化建设成果的评价,按照系统属性可以划分为若干方面,如:对最终成果评价、对建设过程评价、对系统架构评价等。
COBIT 是一个基于 IT 治理概念的、面向 IT 建设过程的 IT 治理实现指南和审计标准。
ISACA 成立于 1969年,是国际上最富盛名的信息控制理论研究及研究资料的出版机构,是一个专门从事 IT 治理相关技术研究、教育的国际组织。
它在全球拥有100多个会员国,主要任务定位于协调世界范围内建立 IT 控制惯例,并与其他国际组织如财务、会计、审计及 IT 专业建立了战略联盟,使自己在 IT 治理方面达到世界最高水平。
ISACA 于 1996年发表了 COBIT 的第一版, 1998年修订后发表第二版。
最新的版本是 COBIT 新面孔 -- COBIT 4.0揭秘[日期:2007-02-25] 来源:ITGov 作者:王东红白杨 [字体:大中小 ]随着萨班斯法案的出台,及增强企业本身 IT 内部控制的需要, COBIT 已为大家所熟知,作为全球公认的 IT 治理框架 ,其得到了各个国家各个行业的广泛应用。
2005年三月,欧洲共同体 (EC委员会选择了 COBIT ,来保证信息的安全以及对其农业资金支付代理的控制。
Cobit审计指南+
信息技术审计指南2002年10月计划和组织1 定义战略性的信息技术规划(PO1)控制的IT过程:定义战略性的IT规划满足的业务需求:既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成实现路线:在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项:企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面,企业所处的位置需要高级管理层出钱、支持和必不可少的检查信息规范 IT资源P 效果 * 人员S 效率 * 应用保密 * 技术完整 * 设施可用 * 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。
在这一方面,高级管理层应确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。
IT的长期、短期计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。
1.2 IT长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。
计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。
相应地,管理层应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构。
1.3 IT长期计划编制——方法与结构对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。
这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。
IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。
计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。
COBIT 5.0中文版-谷安天下翻译-仅供参考
9.1 引言................................................................................................................................................. 34 9.2 考虑企业环境 ................................................................................................................................. 35 9.3 创造合适的环境 ............................................................................................................................. 36 9.4 识别难点与触发事件 ..................................................................................................................... 37 9.5 启动变革 ......................................................................................................................................... 38 9.6 一种生命周期方法 ......................................................................................................................... 39 9.7 入门:制作业务案例 ..................................................................................................................... 40
IT治理IT审计与COBIT
29
COBIT 模型: IT 域 (续)
获取与实施 (AI)目标:识别、制定或获取、实施并整合IT方案现有系统的变更与维护范围:新项目提供的解决方案是否满足业务需求提供?新项目是否能在预算范围内及时提供?新项目实施后是否能正常工作?变更是否能够不影响当前的业务运营?
30
COBIT模型: IT域 (续)
20
IT准则
活动:企业的信息系统是由一个个功能组成的,它们对应于企业经营领域的一个个活动。过程:这些活动可以按照彼此之间关系的紧密程度或者目标的一致程度归结为一些过程,例如,定义IT战略规划、定义信息体系结构、管理IT投资、风险评估,等等。域:过程之间的自然组合形成企业的域,与模型: IT域 (续)
提供与支持 (DS)目标:所请求服务的实际提供结果, 包括服务提供过程安全、连续性、数据和运营设施管理对用户的服务支持范围:IT服务提供是否与业务优先级相匹配?IT成本是否最优?员工是否能安全有效的使用IT系统?是否能保障机密性、完整性和可用性?
32
COBIT模型: IT域 (续)
计划与组织 (PO)目标:指明战略和战术识别如何使IT为业务目标的达成作出最大的贡献计划、沟通和管理战略目标的实现实施组织和技术架构范围:IT与业务在战略上是否一致?企业对资源的利用是否合理?是否所有的员工都理解IT目标?是否所有的风险都被理解并管理?IT系统质量是否满足业务需求?
28
COBIT 模型: IT 域 (续)
16
COBIT是什么?
COBIT第一版由信息系统审计与控制基金会(ISACF)于1996年发布。COBIT第二版于1998年出版,修订了高层控制目标与详细控制目标,增加了实施工具集(Implementation Tool Set)信息系统审计与控制协会(ISACA)及其相关的基金会在1998年创立 IT治理研究院(ITGI),由ITGI制定并发布了COBIT第三版,加入了管理指南,以及扩展和加强了对IT治理的关注;COBIT基于ISACF的建立的IT控制目标,参照了其他控制框架、行业标准;ITGI于2005年底发布了COBIT第四版,这一版对IT某些过程进行了调整,强调了IT控制与IT治理五个领域的对应关系。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
COBIT信息技术审计指南(34个控制目标)计划和组织(选择3/6/11)1 定义战略性的信息技术规划(PO1)PO域控制的IT过程:定义战略性的IT规划满足的业务需求:既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成实现路线:在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项:企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面,企业所处的位置需要高级管理层出钱、支持和必不可少的检查信息规范 IT资源P 效果 * 人员S 效率 * 应用保密 * 技术完整 * 设施可用 * 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。
在这一方面,高级管理层应确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。
IT的长期、短期计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。
1.2 IT 长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。
计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。
相应地,管理层应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构。
1.3 IT 长期计划编制——方法与结构对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。
这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。
IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。
计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。
已做出选择的好处应被明确地确定下来。
IT 长期和短期计划应使绩效指标和目标合并在一起。
计划本身还应参考其它的计划,比如机构的质量计划和信息风险管理计划。
1.4 IT 长期计划的变更IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位,以适应机构长期计划的变化和IT环境的变化。
管理层应建立一个IT长期和短期计划开发和维护所需要的政策。
1.5 IT 功能的短期计划编制IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。
这样的短期计划应确保适当的IT功能资源以与IT长期计划内容相一致的基础上来分配。
短期计划应定期地进行再评估,并被作为适应正在变化的业务和IT环境所必须的事项而改进。
可行性研究的及时执行应确保短期计划的实行是被充分地启动的。
1.6 IT 计划的交流管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。
1.7 IT 计划的监控和评估管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。
获取的反馈应予以评估,并在将来的IT计划编制中加以考虑。
1.8 现有系统的评估在开发或变更战略规划或长期计划、IT计划之前,IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势,评估现有信息系统,以确定现有系统支持机构业务需求的程度。
对高级和详细的控制目标进行审计:获得了解:访谈:首席执行官(CEO)首席运营官(COO)首席财务官(CFO)首席信息官(CIO)IT计划/指导委员会成员IT高级管理层和人力服务职员获得:与计划编制过程想关联的政策和程序高级管理层的指导角色和责任机构的目标和长短期的计划IT的目标和长短期的计划状况的报告和计划/指导委员会的会议纪要评估控制:考虑是否:IT或者业务的企业政策和程序选择了一种结构化的计划编制方法方法到位,以便明确地表达并能够修改计划,起码它们要包括:• 机构的使命和目的• 支持机构使命和目的的IT初始• IT初始的机遇• IT初始的可行性的研究• IT初始的风险评估• 当前和未来IT的最佳投资• 反映企业使命和目的变化的IT初始的再造• 数据应用、技术和机构可选择战略的评估机构的变化、技术的发展、规章的要求、业务过程的再造、员工的安置、自己开发和外包,等等被考虑,并在计划编制过程中充分地从事长短期的IT计划存在,是当前的,充分针对全部企业、它的使命和关键的业务职能部门IT项目由IT计划编制方法中确定的适当文档所支持确保IT目标和长短期计划持续地满足机构目标和长短期计划的检查点存在由过程所有者和高级管理层评价和结束的IT计划发生根据业务自动化程度、功能性、稳定性、复杂性、成本、优势和弱点,IT计划评估现有的信息系统对信息系统及其支持的基础设施的长期计划编制的缺乏,导致系统不能支持企业的目标和业务的过程,或者不能提供适当的完整、安全和控制评定遵从性:测试:来自反映计划编制过程的IT计划编制/指导委员会的会议纪要计划编制方法的可交付使用物的存在,作为预先的规定相关IT的初始被包括在IT长短期的计划当中(也就是硬件的变化、容量计划编制、信息体系结构、新系统开发或获取、灾难恢复计划编制、新处理平台的安装,等等)IT初始支持长短期计划,并要考虑调查、培训、人员安置、设施、硬件和软件的需求IT初始的技术含义已经被确定最优化当前和将来IT投资的考虑已经给出IT长短期计划与机构的长短期计划和组织的需求保持一致计划已经发生改变,以反映正在变化的条件IT长期计划定期转化成短期计划存在实现计划的任务证实没有满足业务目标的风险:执行:依照类似的机构或者适当的国际标准/公认的行业最好实践的战略IT计划的基准确保IT初始反映机构的使命和目的的IT计划的详细评价决定是否机构之内已经知道的虚弱区域正在被确认为计划当中IT解决方案的一部分而加以改进的IT计划的详细评价确定:满足机构使命和目的的IT失败与长期计划相匹配的短期计划的IT失败满足短期计划的IT项目的失败满足成本和时间准则的IT失败错过的业务机遇错过的IT机遇2 定义信息体系结构(PO2)控制的IT过程:定义信息体系结构满足的业务需求:优化信息系统的机构实现路线:创建并维护一个业务信息模型,确保定义适当的系统,以优化信息的使用需要考虑的事项:自动化的数据存贮和字典数据语法规则数据所有权和关键性/安全性程度分类表述业务的信息模型企业信息体系结构标准信息信息规范 IT资源P 效果人员S 效率 * 应用S 保密技术S 完整设施可用 * 数据遵从可靠2.1 信息体系结构模型信息应与需求保持一致,并应以某种格式和期限进行识别、获取和交流,而这些格式和期限能使人们及时、有效地履行他们的职责。
相应地,围绕企业的数据模型和相关的信息系统,IT的职能应是建立并有规律地更新信息体系结构模型。
信息体系结构模型应与IT长期计划保持一致。
2.2 企业数据字典和数据语法规则IT的职能应确保包含机构数据语法规则的企业数据字典的建立以及持续的更新。
2.3 数据分类方案在按信息类别(如安全类)进行分类的数据放置以及所有权分配方面,应建立一个总体的分类框架,应适当定义各类别的访问规则。
2.4 安全等级对于上述确定的每一个“不需要保护”级别以上的数据分类,管理层应定义、执行和维护这些安全等级。
对于每一个分类来讲,这些安全等级应描述适当的(最小的)一套安全和控制尺度,应定期进行再评估并做相应的修改。
对于区域范围广阔的企业,应建立支持不同安全等级的标准,以适应正在发展的电子商务、移动计算和远程办公环境的需要。
对高级和详细的控制目标进行审计:获得了解:访谈:首席信息官(CIO)IT计划/指导委员会成员IT高级管理层安全官获得:与信息体系结构相关的政策和程序信息体系结构模型支持信息体系结构模型的文档,包括企业数据模型企业数据字典数据所有者政策高级管理层指导的角色和责任IT的目标和长短期计划状况报告和计划编制/指导委员会会议纪要评估控制:考虑是否:IT政策和程序选择了数据字典的开发和维护用于修改信息体系结构模型的过程是以长短期计划为基础的,考虑了相关成本和风险,并且该模型变化之前,要确保高级管理层同意有一个过程用来保持数据字典和数据语法规则处于最新状态有一个媒介用来分发数据字典,确保开发区域的可达性并立即反映变化IT政策和过程要选择数据的分类,包括安全种类和数据所有者,数据分类的访问规则要被清晰和适当地定义要为那些不包含数据分类标识符的数据资产定义缺省的分类标准IT政策和程序要选择以下内容:• 需要数据所有者(在数据所有者政策上定义)的授权过程要到位,以便批准该数据的所有访问以及数据的安全属性• 每一个数据分类的安全等级要被定义• 访问等级被定义,并且对于数据分类来说是适当的• 访问敏感数据需要清楚的访问级别,数据的提供要以“需要知道”为基础评定遵从性:测试:信息体系结构模型上的变化,确定这些变化反映了IT长短期计划及其所确定的成本和风险评估数据字典的任何修改以及数据字典上变化的影响,确保它们被有效地沟通各种运作的应用系统和开发项目,以确定数据字典被用作数据定义足够的数据字典文档,以确定这些文档为每一个数据项定义了数据的属性和安全等级数据分类、安全等级、访问等级和缺省的适当性每一个数据分类都要清晰地定义:• 谁可以访问• 谁对决定适当的访问级别负责• 所需访问的明确批准• 访问的特定需求(也就是非披露或者保密性协议)证实没有满足业务目标的风险:执行:依照类似机构或适者国际标准/公认的行业最好实践的信息体系结构模型的基准针对关键元素的完整性,数据字典的详细评价对定义为敏感数据的安全等级的详细评价,以校验访问的适当授权被获得,被许可的访问与定义在IT政策和程序中的一致确定:信息体系结构模型和企业数据模型、企业数据字典、相关信息系统以及IT长短期计划中的矛盾过时的企业数据字典项和由于数据字典变化的不良的沟通丧失了时效性的数据语法规则所有者不清楚和/或没有适当定义的数据项没有被适当定义的数据分类与“需要才能知道”的原则不一致的数据安全等级3 决定技术方向(PO3)控制的IT过程:决定技术方向满足的业务需求:利用目前可用的和正在出现的技术,推动业务战略的实施并使业务战略成为可能实现路线:建立并维护技术基础设施计划,该计划,依据产品、服务和交付机制,建立并管理技术能够提供的清晰和现实的预期需要考虑的事项:当前基础设施的容量通过可靠的来源,监测技术发展引导概念的检验风险、约束和机遇获取的计划移植战略和路线与供应商的关系独立的技术再评估硬件和软件的性能/价格比的变化信息规范 IT资源P 效果人员S 效率应用保密 * 技术完整 * 设施可用数据遵从可靠3.1 技术基础设施计划编制IT的职能部门应建立并有规律地更新与IT长期和短期计划保持一致的技术基础设施计划。