没有合适的资源?快使用搜索试试~ 我知道了~
首页COBIT 审计指南 中文版(非常棒)
ISACA的绝对精华-Cobit(CISA背后的故事) Cobit-Control Objectives for Information and related Technology 信息及相关技术的控制目标 Cobit系列是ISACA真正的核心。 ISACA是谁?发CISA证书的机构。 窃以为,Cobit远比ISO/IEC 17799要牛,17799成为国际标准是因为使用了快速通道,至今其实仍然存在很多争议。别的不说,在称谓国际标准时,美国等是投的反对票。对各种国际/国内标准,看了很多,也研究了很久,其实包括17799/13335等等标准我这很早就有中文版了,由于工作原因不能外传,遗憾。 当年,我其实是先看到Cobit,再接触ISACA的和CISA的,这可能同大部分考CISA的兄弟们走的路不一样。 私下里探讨,我一直很反对安全就是CIA(机密性、完整性和可用性),其实IA的领域远远已超出了CIA的界限,而且CIA也不甚准确。 Cobit从信息安全、审计等早已扩展到IT Governance的境界,立点不可谓不高。而且也非常具有实践性和可操作性。 Cobit共包括以下书籍: Executive Summary:执行总结 Framework:框架 Management Guidelines:管理指南 Detailed Control Objectives:详细控制目标 Audit Guidelines:审计指南 Implementation Tool Set:实施工具集 其中Audit Guideline审计指南仅限于会员下载。
资源详情
资源评论
资源推荐
信息技术审计指南
2002 年 10 月
计划和组织
1 定义战略性的信息技术规划(PO1)
控制的IT过程:
定义战略性的IT规划
满足的业务需求:
既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成
实现路线:
在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并
具体到短期目的的操作计划
需要考虑的事项:
企业的业务发展战略
IT如何支持业务目标的明确定义
技术解决方案和当前基础设施的详细清单
追踪技术市场
适时的可行性研究和现实性检查
已有系统的评估
在风险、进入市场的时机、质量方面,企业所处的位置
需要高级管理层出钱、支持和必不可少的检查
信息规范 IT资源
P 效果 * 人员
S 效率 * 应用
保密 * 技术
完整 * 设施
可用 * 数据
遵从
可靠
1.1 作为机构长期和短期计划一部分的 IT
高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面,高级管理层应
确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。IT的长期、短期
计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。
1.2 IT 长期计划
IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。计
划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。相应地,管理层
应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构。
1.3 IT 长期计划编制——方法与结构
对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样
可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程
应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。计划编制期间,需要考虑和充分投
入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市
场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结
构。已做出选择的好处应被明确地确定下来。IT长期和短期计划应使绩效指标和目标合并在一起。计划
本身还应参考其它的计划,比如机构的质量计划和信息风险管理计划。
1.4 IT 长期计划的变更
IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位,以适应机构长期计划
的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。
1.5 IT 功能的短期计划编制
IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这样的短期计划应确保
适当的IT功能资源以与IT长期计划内容相一致的基础上来分配。短期计划应定期地进行再评估,并被作
为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是
被充分地启动的。
1.6 IT 计划的交流
管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。
1.7 IT 计划的监控和评估
管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性
的反馈。获取的反馈应予以评估,并在将来的IT计划编制中加以考虑。
1.8 现有系统的评估
在开发或变更战略规划或长期计划、IT计划之前,IT管理层应按照业务自动化的程度、功能性、稳定
性、复杂性、成本、优势和劣势,评估现有信息系统,以确定现有系统支持机构业务需求的程度。
对高级和详细的控制目标进行审计:
获得了解:
访谈:
首席执行官(CEO)
首席运营官(COO)
首席财务官(CFO)
首席信息官(CIO)
IT计划/指导委员会成员
IT高级管理层和人力服务职员
获得:
与计划编制过程想关联的政策和程序
高级管理层的指导角色和责任
机构的目标和长短期的计划
IT的目标和长短期的计划
状况的报告和计划/指导委员会的会议纪要
评估控制:
考虑是否:
IT或者业务的企业政策和程序选择了一种结构化的计划编制方法
方法到位,以便明确地表达并能够修改计划,起码它们要包括:
• 机构的使命和目的
• 支持机构使命和目的的IT初始
• IT初始的机遇
• IT初始的可行性的研究
• IT初始的风险评估
• 当前和未来IT的最佳投资
• 反映企业使命和目的变化的IT初始的再造
• 数据应用、技术和机构可选择战略的评估
机构的变化、技术的发展、规章的要求、业务过程的再造、员工的安置、自己开发和外包,等等被考
虑,并在计划编制过程中充分地从事
长短期的IT计划存在,是当前的,充分针对全部企业、它的使命和关键的业务职能部门
IT项目由IT计划编制方法中确定的适当文档所支持
确保IT目标和长短期计划持续地满足机构目标和长短期计划的检查点存在
由过程所有者和高级管理层评价和结束的IT计划发生
根据业务自动化程度、功能性、稳定性、复杂性、成本、优势和弱点,IT计划评估现有的信息系统
对信息系统及其支持的基础设施的长期计划编制的缺乏,导致系统不能支持企业的目标和业务的过
程,或者不能提供适当的完整、安全和控制
评定遵从性:
测试:
来自反映计划编制过程的IT计划编制/指导委员会的会议纪要
计划编制方法的可交付使用物的存在,作为预先的规定
相关IT的初始被包括在IT长短期的计划当中(也就是硬件的变化、容量计划编制、信息体系结构、新
系统开发或获取、灾难恢复计划编制、新处理平台的安装,等等)
IT初始支持长短期计划,并要考虑调查、培训、人员安置、设施、硬件和软件的需求
IT初始的技术含义已经被确定
最优化当前和将来IT投资的考虑已经给出
IT长短期计划与机构的长短期计划和组织的需求保持一致
计划已经发生改变,以反映正在变化的条件
IT长期计划定期转化成短期计划
存在实现计划的任务
证实没有满足业务目标的风险:
执行:
依照类似的机构或者适当的国际标准/公认的行业最好实践的战略IT计划的基准
确保IT初始反映机构的使命和目的的IT计划的详细评价
决定是否机构之内已经知道的虚弱区域正在被确认为计划当中IT解决方案的一部分而加以改进的IT
计划的详细评价
确定:
满足机构使命和目的的IT失败
与长期计划相匹配的短期计划的IT失败
满足短期计划的IT项目的失败
满足成本和时间准则的IT失败
错过的业务机遇
错过的IT机遇
2 定义信息体系结构(PO2)
控制的IT过程:
定义信息体系结构
满足的业务需求:
优化信息系统的机构
实现路线:
创建并维护一个业务信息模型,确保定义适当的系统,以优化信息的使用
需要考虑的事项:
自动化的数据存贮和字典
数据语法规则
数据所有权和关键性/安全性程度分类
表述业务的信息模型
企业信息体系结构标准信息
信息规范 IT资源
P 效果 人员
S 效率 * 应用
S 保密 技术
S 完整 设施
可用 * 数据
遵从
可靠
2.1 信息体系结构模型
信息应与需求保持一致,并应以某种格式和期限进行识别、获取和交流,而这些格式和期限能使人们
及时、有效地履行他们的职责。相应地,围绕企业的数据模型和相关的信息系统,IT的职能应是建立并
有规律地更新信息体系结构模型。信息体系结构模型应与IT长期计划保持一致。
剩余133页未读,继续阅读
AshleeBelle
- 粉丝: 1
- 资源: 1
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- stc12c5a60s2 例程
- Android通过全局变量传递数据
- c++校园超市商品信息管理系统课程设计说明书(含源代码) (2).pdf
- 建筑供配电系统相关课件.pptx
- 企业管理规章制度及管理模式.doc
- vb打开摄像头.doc
- 云计算-可信计算中认证协议改进方案.pdf
- [详细完整版]单片机编程4.ppt
- c语言常用算法.pdf
- c++经典程序代码大全.pdf
- 单片机数字时钟资料.doc
- 11项目管理前沿1.0.pptx
- 基于ssm的“魅力”繁峙宣传网站的设计与实现论文.doc
- 智慧交通综合解决方案.pptx
- 建筑防潮设计-PowerPointPresentati.pptx
- SPC统计过程控制程序.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论6