文档介绍:-
. z.
COBIT信息技术审计指南(34个控制目标)
方案和组织〔选择3/6/11〕
1 定义战略性的信息技术规划〔PO1〕PO域
控制的IT过程:
定义战略性的IT规风险评估
• 当前和未来IT的最正确投资
• 反映企业使命和目的变化的IT初始的再造
• 数据应用、技术和机构可选择战略的评估
机构的变化、技术的开展、规章的要求、业务过程的再造、员工的安置、自己开发和外包,等等被考虑,并在方案编制过程中充分地从事
长短期的IT方案存在,是当前的,充分针对全部企业、它的使命和关键的业务职能部门
IT工程由IT方案编制方法中确定的适当文档所支持
确保IT目标和长短期方案持续地满足机构目标和长短期方案的检查点存在
由过程所有者和高级管理层评价和完毕的IT方案发生
根据业务自动化程度、功能性、稳定性、复杂性、本钱、优势和弱点,IT方案评估现有的信息系统
对信息系统及其支持的根底设施的长期方案编制的缺乏,导致系统不能支持企业的目标和业务的过程,或者不能提供适当的完整、平安和控制
评定遵从性:
测试:
来自反映方案编制过程的IT方案编制/指导委员会的会议纪要
方案编制方法的可交付使用物的存在,作为预先的规定
相关IT的初始被包括在IT长短期的方案当中〔也就是硬件的变化、容量方案编制、信息体系构造、新系统开发或获取、灾难恢复方案编制、新处理平台的安装,等等〕
IT初始支持长短期方案,并要考虑调查、培训、人员安置、设施、硬件和软件的需求
IT初始的技术含义已经被确定
最优化当前和将来IT投资的考虑已经给出
IT长短期方案与机构的长短期方案和组织的需求保持一致
方案已经发生改变,以反映正在变化的条件
IT长期方案定期转化成短期方案
存在实现方案的任务
证实没有满足业务目标的风险:
执行:
-
. z.
依照类似的机构或者适当的国际标准/公认的行业最好实践的战略IT方案的基准
确保IT初始反映机构的使命和目的的IT方案的详细评价
决定是否机构之已经知道的虚弱区域正在被确认为方案当中IT解决方案的一局部而加以改进的IT方案的详细评价
确定:
满足机构使命和目的的IT失败
与长期方案相匹配的短期方案的IT失败
满足短期方案的IT工程的失败
满足本钱和时间准则的IT失败
错过的业务机遇
错过的IT机遇
2 定义信息体系构造〔PO2〕
控制的IT过程:
定义信息体系构造
满足的业务需求:
优化信息系统的机构
实现路线:
创立并维护一个业务信息模型,确义适当的系统,以优化信息的使用
需要考虑的事项:
自动化的数据存贮和字典
数据语法规则
数据所有权和关键性/平安性程度分类
表述业务的信息模型
企业信息体系构造标准信息
信息规 IT资源
P 效果人员
S 效率 * 应用
S 技术
S 完整设施
可用 * 数据
遵从
可靠
信息体系构造模型
信息应与需求保持一致,并应以*种格式和期限进展识别、获取和交流,而这些格式和期限能使人们及时、有效地履行他们的职责。相应地,围绕企业的数据模型和相关的信息系统,IT的职能应是建立并有规律地更新信息体系构造模型。信息体系构造模型应与IT长期方案保持一致。
企业数据字典和数据语法规则
IT的职能应确保包含机构数据语法规则的企业数据字典的建立以及持续的更新。
数据分类方案
在按信息类别〔如平安类〕进展分类的数据放置以及所有权分配方面,应建立一个总体的分类框架,应适当定义各类别的访问规则。
平安等级
对于上述确定的每一个"不需要保护〞级别以上的数据分类,管理层应定义、执行和维护这些平安等级。对于每一个分类来讲,这些平安等级应描述适当的〔最小的〕一套平安和控制尺度,应定期进展再评估并做相应的修改。对于区域围广阔的企业,应建立支持不同平安等级的标准,以适应正在开展的电子商务、移动计算和远程办公环境的需要。
-
. z.
对高级和详细的控制目标进展审计:
获得了解:
访谈:
首席信息官〔CIO〕
IT方案/指导委员会成员
IT高级管理层
平安官
获得:
与信息体系构造相关的政策和程序
信息体系构造模型
支持信息体系构造模型的文档,包括企业数据模型
企业数据字典
数据所有者政策
高级管理层指导的角色和责任
IT的目标和长短期方案
状况报告和方案编制/指导委员会会议纪要
评估控制:
考虑是否:
IT政策和程序选择了数据字典的开发和维护
用于修改信息体系构造模型