文档介绍:庞大的下载资料库(整理. 版权归原作者所有)
如果您不是在 网站下载此资料的, 不要随意相信.
请访问 3722, 加入 必要时可将此文件解密成可编辑的 DOC 或 PPT 格式
第五章信息技术
E-1 控制框架
该部分大纲主要涉及的就是两个主要控制框架:COBIT 和 SAC(eSAC)
的含义
COBIT(Control Objectives for Information and related Technology)是目前
国际上通用的信息系统审计的标准,由信息系统审计与控制协会在 1996 年公布。这是
一个在国际上公认的、权威的安全与信息技术管理和控制的标准,目前已经更新至第三
版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需
要。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利
用信息资源,有效地管理与信息相关的风险。
COBIT 将 IT 过程,IT 资源及信息与企业的策略与目标联系起来,形成一个三维的
体系结构。其中,IT 准则维集中反映了企业的战略目标,主要从质量、成本、时间、
资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、
有效性;IT 资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资
源,这是 IT 治理过程的主要对象;IT 过程维则是在 IT 准则的指导下,对信息及相关
资源进行规划与处理,从信息技术的规划与组织、采集与实施、交付与支持、监控等四
个方面确定了 34 个信息技术处理过程,每个处理过程还包括更加详细的控制目标和审
计方针对 IT 处理过程进行评估。
COBIT 是一个非常有用的工具,也非常易于理解和实施,可以帮助在管理层、IT 与
审计之间交流的鸿沟上搭建桥梁,提供了彼此之间沟通的共同语言。几乎每个机构都可
以从 COBIT 中获益,来决定基于 IT 过程及他们所支持的商业功能的合理控制。当我们
知道这些商业功能是什么,其对企业的关键到什么程度时,就能对这些事件进行良好的
分类。所有的信息系统审计、控制及安全专业人员应该考虑采用 COBIT 原则。
COBIT 的优点
通过实施 COBIT,增加了管理层对控制的感知及支持。COBIT 帮助管理层懂得控制
如何影响商业功能。COBIT 提供的实施工具集包括优秀的案例资料(提供模板商业过程,
庞大的下载资料库(整理. 版权归原作者所有)
如果您不是在 网站下载此资料的, 不要随意相信.
请访问 3722, 加入 必要时可将此文件解密成可编辑的 DOC 或 PPT 格式
使得优秀范例能够迅速移植),帮助向管理层很好地表述 IT 管理概念。管理层在基于
最佳控制实践基础上做出正确决策的能力亦得到了提高.
COBIT 使 IT 管理工作简易并量化,减轻对复杂信息系统管理工作的难度,并且可
以应用在每天都在发生的各种新问题中。对于那些不具有广博 IT 知识的人来讲,是一
个认清信息技术的有价值的工具。它也使得信息系统审计师具有与 IT 专业人员相同的
专业广度,并且可以询问 IT 工程相关的问题.
COBIT 提供了一种国际通用的 IT 管理及问题解决方案,普遍适用于各种不同的商
业项目和审计,并且它既包容了当前的情况,也提供将来可能会使用到的指导方针。
COBIT 有助于提高信息系统审计师的影响力,依据 COBIT 出具的信息系统审计报告
更容易得到管理层的肯定。
COBIT 框架可以帮助决定过程责任,提高 11、治理水平。通过采用该框架作为对一
个责任矩阵分析的基础,可以做到基于角色的 IT 管理,定义过程措施,确保客户利益。
手写板图示 0501-01
SAC 需要了解的内容
国际内审研究院(IIA)在 1977 年第一次明确提出 SAC 的概念。当时 SAC 指的是系
统审计和控制(systems auditability and control)。由国际内审研究基金会在 1991
年和 1994 年进行较大更新后,SAC 是指系统鉴证与控制(system assurance and
control)。目前,SAC 已成为 IT 审计师在信息技术安全、控制与审计领域中的重要指
南。
手写板图示 0501-02
在新版本中,可审计性(auditability)一词已被鉴证(assurance)替代。这是因
为我们逐渐认识到治理(governance)和融合(alliance)的重要性,要在组织内