没有合适的资源?快使用搜索试试~ 我知道了~
信息系统审计指南[COBIT中文版].doc
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 50 浏览量
2021-12-15
11:40:03
上传
评论
收藏 379KB DOC 举报
温馨提示
试读
64页
信息系统审计指南[COBIT中文版].doc
资源推荐
资源详情
资源评论
.
COBIT信息技术审计指南<34个控制目标>
计划和组织〔选择3/6/11
1 定义战略性的信息技术规划〔PO1PO域
控制的IT过程:
定义战略性的IT规划
满足的业务需求:
既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成
实现路线:
在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期
地转化成设置清晰并具体到短期目的的操作计划
需要考虑的事项:
企业的业务发展战略
IT如何支持业务目标的明确定义
技术解决方案和当前基础设施的详细清单
追踪技术市场
适时的可行性研究和现实性检查
已有系统的评估
在风险、进入市场的时机、质量方面,企业所处的位置
需要高级管理层出钱、支持和必不可少的检查
信息规范 IT资源
P 效果 * 人员
S 效率 * 应用
保密 * 技术
完整 * 设施
可用 * 数据
遵从
可靠
1.1 作为机构长期和短期计划一部分的IT
高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这
一方面,高级管理层应
确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划
之中。IT的长期、短期
计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。
1.2 IT 长期计划
IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现
的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关
内外部利害关系人引入的机制。相应地,管理层应执行一个长期计划的编制过程,
采用一种结构化的方法,并建立一个标准的计划结构。
1.3 IT 长期计划编制——方法与结构
对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种
结构化的方法。这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间
和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果,包括业务、
环境、技术和人力资源的风险。计划编制期间,需要考虑和充分投入的方面包括:
机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第
.
.
三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外
包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。
IT长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的
计划,比如机构的质量计划和信息风险管理计划。
1.4 IT 长期计划的变更
IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位,
以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期
计划开发和维护所需要的政策。
1.5 IT 功能的短期计划编制
IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。
这样的短期计划应确保适当的IT功能资源以与IT长期计划内容相一致的基础上
来分配。短期计划应定期地进行再评估,并被作为适应正在变化的业务和IT环境
所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分
地启动的。
1.6 IT 计划的交流
管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部
门人员的充分沟通。
1.7 IT 计划的监控和评估
管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期
计划的质量及有效性的反馈。获取的反馈应予以评估,并在将来的IT计划编制中
加以考虑。
1.8 现有系统的评估
在开发或变更战略规划或长期计划、IT计划之前,IT管理层应按照业务自动化的
程度、功能性、稳定性、复杂性、成本、优势和劣势,评估现有信息系统,以确
定现有系统支持机构业务需求的程度。
对高级和详细的控制目标进行审计:
获得了解:
访谈:
首席执行官〔CEO
首席运营官〔COO
首席财务官〔CFO
首席信息官〔CIO
IT计划/指导委员会成员
IT高级管理层和人力服务职员
获得:
与计划编制过程想关联的政策和程序
高级管理层的指导角色和责任
机构的目标和长短期的计划
IT的目标和长短期的计划
状况的报告和计划/指导委员会的会议纪要
评估控制:
考虑是否:
IT或者业务的企业政策和程序选择了一种结构化的计划编制方法
方法到位,以便明确地表达并能够修改计划,起码它们要包括:
.
.
• 机构的使命和目的
• 支持机构使命和目的的IT初始
• IT初始的机遇
• IT初始的可行性的研究
• IT初始的风险评估
• 当前和未来IT的最佳投资
• 反映企业使命和目的变化的IT初始的再造
• 数据应用、技术和机构可选择战略的评估
机构的变化、技术的发展、规章的要求、业务过程的再造、员工的安置、自己
开发和外包,等等被考虑,并在计划编制过程中充分地从事
长短期的IT计划存在,是当前的,充分针对全部企业、它的使命和关键的业务职能
部门
IT项目由IT计划编制方法中确定的适当文档所支持
确保IT目标和长短期计划持续地满足机构目标和长短期计划的检查点存在
由过程所有者和高级管理层评价和结束的IT计划发生
根据业务自动化程度、功能性、稳定性、复杂性、成本、优势和弱点,IT计划评
估现有的信息系统
对信息系统及其支持的基础设施的长期计划编制的缺乏,导致系统不能支持企业
的目标和业务的过程,或者不能提供适当的完整、安全和控制
评定遵从性:
测试:
来自反映计划编制过程的IT计划编制/指导委员会的会议纪要
计划编制方法的可交付使用物的存在,作为预先的规定
相关IT的初始被包括在IT长短期的计划当中〔也就是硬件的变化、容量计划编
制、信息体系结构、新系统开发或获取、灾难恢复计划编制、新处理平台的安
装,等等
IT初始支持长短期计划,并要考虑调查、培训、人员安置、设施、硬件和软件的
需求
IT初始的技术含义已经被确定
最优化当前和将来IT投资的考虑已经给出
IT长短期计划与机构的长短期计划和组织的需求保持一致
计划已经发生改变,以反映正在变化的条件
IT长期计划定期转化成短期计划
存在实现计划的任务
证实没有满足业务目标的风险:
执行:
依照类似的机构或者适当的国际标准/公认的行业最好实践的战略IT计划的基准
确保IT初始反映机构的使命和目的的IT计划的详细评价
决定是否机构之内已经知道的虚弱区域正在被确认为计划当中IT解决方案的一
部分而加以改进的IT计划的详细评价
确定:
满足机构使命和目的的IT失败
与长期计划相匹配的短期计划的IT失败
满足短期计划的IT项目的失败
.
.
满足成本和时间准则的IT失败
错过的业务机遇
错过的IT机遇
2 定义信息体系结构〔PO2
控制的IT过程:
定义信息体系结构
满足的业务需求:
优化信息系统的机构
实现路线:
创建并维护一个业务信息模型,确XX义适当的系统,以优化信息的使用
需要考虑的事项:
自动化的数据存贮和字典
数据语法规则
数据所有权和关键性/安全性程度分类
表述业务的信息模型
企业信息体系结构标准信息
信息规范 IT资源
P 效果人员
S 效率 * 应用
S 保密技术
S 完整设施
可用 * 数据
遵从
可靠
2.1 信息体系结构模型
信息应与需求保持一致,并应以某种格式和期限进行识别、获取和交流,而这些
格式和期限能使人们及时、有效地履行他们的职责。相应地,围绕企业的数据模
型和相关的信息系统,IT的职能应是建立并有规律地更新信息体系结构模型。信
息体系结构模型应与IT长期计划保持一致。
2.2 企业数据字典和数据语法规则
IT的职能应确保包含机构数据语法规则的企业数据字典的建立以及持续的更新。
2.3 数据分类方案
在按信息类别〔如安全类进行分类的数据放置以及所有权分配方面,应建立一个
总体的分类框架,应适当定义各类别的访问规则。
2.4 安全等级
对于上述确定的每一个"不需要保护"级别以上的数据分类,管理层应定义、执行
和维护这些安全等级。对于每一个分类来讲,这些安全等级应描述适当的〔最小
的一套安全和控制尺度,应定期进行再评估并做相应的修改。对于区域范围广阔
的企业,应建立支持不同安全等级的标准,以适应正在发展的电子商务、移动计
算和远程办公环境的需要。
对高级和详细的控制目标进行审计:
获得了解:
访谈:
首席信息官〔CIO
.
.
IT计划/指导委员会成员
IT高级管理层
安全官
获得:
与信息体系结构相关的政策和程序
信息体系结构模型
支持信息体系结构模型的文档,包括企业数据模型
企业数据字典
数据所有者政策
高级管理层指导的角色和责任
IT的目标和长短期计划
状况报告和计划编制/指导委员会会议纪要
评估控制:
考虑是否:
IT政策和程序选择了数据字典的开发和维护
用于修改信息体系结构模型的过程是以长短期计划为基础的,考虑了相关成本和
风险,并且该模型变化之前,要确保高级管理层同意
有一个过程用来保持数据字典和数据语法规则处于最新状态
有一个媒介用来分发数据字典,确保开发区域的可达性并立即反映变化
IT政策和过程要选择数据的分类,包括安全种类和数据所有者,数据分类的访问规
则要被清晰和适当地定义
要为那些不包含数据分类标识符的数据资产定义缺省的分类标准
IT政策和程序要选择以下内容:
• 需要数据所有者〔在数据所有者政策上定义的授权过程要到位,以便批准该数
据的所有访问以及数据的安全属性
• 每一个数据分类的安全等级要被定义
• 访问等级被定义,并且对于数据分类来说是适当的
• 访问敏感数据需要清楚的访问级别,数据的提供要以"需要知道"为基础
评定遵从性:
测试:
信息体系结构模型上的变化,确定这些变化反映了IT长短期计划及其所确定的成
本和风险
评估数据字典的任何修改以及数据字典上变化的影响,确保它们被有效地沟通
各种运作的应用系统和开发项目,以确定数据字典被用作数据定义
足够的数据字典文档,以确定这些文档为每一个数据项定义了数据的属性和安全
等级
数据分类、安全等级、访问等级和缺省的适当性
每一个数据分类都要清晰地定义:
• 谁可以访问
• 谁对决定适当的访问级别负责
• 所需访问的明确批准
• 访问的特定需求〔也就是非披露或者保密性协议
证实没有满足业务目标的风险:
执行:
.
剩余63页未读,继续阅读
资源评论
yunxidzh
- 粉丝: 60
- 资源: 30万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- Tableau实训一-教育网站指标评估
- 基于Python爬虫+词云图+情感分析对某东上完美日记的用户评论分析(数据集+代码).rar
- 古诗105-听琴听琴听琴听琴听琴听琴听琴听琴听琴听琴听琴听琴听琴听琴听琴听琴听琴
- 一个普通的SpringCloud样例
- PSE-PCN考试题库该题库答案为真实选项,另外选项为额外插入,非原题选项
- 数据挖掘实战-基于KMeans算法对超市客户进行聚类分群(数据集+代码).rar
- css网页设计.pdf
- 数据分析案例-顾客购物数据可视化分析(数据集+代码).rar
- 19613fc3f7378acf2787f12bbf7a34a1.JPG
- mmexport1718846385059.jpg
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功