2019-2020年信息系統(tǒng)審計指引COBIT-中文版

1、COBITW息技術(shù)審計指南（34個控制目標）計劃和組織（選擇3/6/11）1定義戰(zhàn)略性的信息技術(shù)規(guī)劃（PO1p（M控制的IT過程：定義戰(zhàn)略性的IT規(guī)劃滿足的業(yè)務(wù)需求：既要謀求信息技術(shù)機遇和IT業(yè)務(wù)需求的最佳平衡，又要確保其進一步地完成實現(xiàn)路線：在定期從事的戰(zhàn)略規(guī)劃編制過程中，要逐漸形成長期的計劃，長期的計劃應(yīng)定期地轉(zhuǎn)化成設(shè)置清晰并具體到短期目的的操作計劃需要考慮的事項：企業(yè)的業(yè)務(wù)發(fā)展戰(zhàn)略IT如何支持業(yè)務(wù)目標的明確定義技術(shù)解決方案和當(dāng)前基礎(chǔ)設(shè)施的詳細清單追蹤技術(shù)市場適時的可行性研究和現(xiàn)實性檢查已有系統(tǒng)的評估在風(fēng)險、進入市場的時機、質(zhì)量方面，企業(yè)所處的位置需要高級管理層出錢、支持和必不可少的檢查信

2、息規(guī)范IT資源P效果*人員S效率*應(yīng)用保密*技術(shù)完整*設(shè)施可用*數(shù)據(jù)遵從可靠1.1 作為機構(gòu)長期和短期計劃一部分的IT高級管理層對開發(fā)和實施履行機構(gòu)任務(wù)和目標的長期和短期的計劃負責(zé)。在這一方面，高級管理層應(yīng)確保IT有關(guān)事項以及機遇被適當(dāng)?shù)卦u估，并將結(jié)果反映到機構(gòu)的長期和短期計劃之中。IT的長期、短期計劃應(yīng)被開發(fā)，確保IT的運用同機構(gòu)的使命與業(yè)務(wù)發(fā)展戰(zhàn)略相結(jié)合。1.2 IT長期計劃IT管理層和業(yè)務(wù)過程的所有者要對有規(guī)律地開發(fā)支持機構(gòu)總體使命和目的實現(xiàn)的IT長期計劃負責(zé)。計劃編制的方法應(yīng)包括尋求來自受IT戰(zhàn)略計劃影響的相關(guān)內(nèi)外部利害關(guān)系人引入的機制。相應(yīng)地，管理層應(yīng)執(zhí)行一個長期計劃的編制過程,采用

3、一種結(jié)構(gòu)化的方法，并建立一個標準的計劃結(jié)構(gòu)。1.3 IT長期計劃編制一一方法與結(jié)構(gòu)對于長期計劃的編制過程來講，IT管理層和業(yè)務(wù)過程的所有者應(yīng)建立并采用一種結(jié)構(gòu)化的方法。這樣可以制定出高質(zhì)量的計劃，含蓋什么、誰、怎樣、什么時間和為什么等基本的問題。IT計劃的編制過程應(yīng)考慮風(fēng)險評估的結(jié)果，包括業(yè)務(wù)、環(huán)境、技術(shù)和人力資源的風(fēng)險。計劃編制期間，需要考慮和充分投入的方面包括：機構(gòu)的模式及其變化、地理的分布、技術(shù)的發(fā)展、成本、法律法規(guī)的要求、第三方或市場的要求、規(guī)劃遠景、業(yè)務(wù)過程再造、員工的安置、自行開發(fā)或者外包、數(shù)據(jù)、應(yīng)用系統(tǒng)和技術(shù)體系結(jié)構(gòu)。已做出選擇的好處應(yīng)被明確地確定下來。IT長期和短期計劃應(yīng)使績效

4、指標和目標合并在一起。計劃本身還應(yīng)參考其它的計劃，比如機構(gòu)的質(zhì)量計劃和信息風(fēng)險管理計劃。1.4 IT長期計劃的變更IT管理層和業(yè)務(wù)過程所有者應(yīng)確保及時、準確地修改IT長期計劃的過程的到位，以適應(yīng)機構(gòu)長期計劃的變化和IT環(huán)境的變化。管理層應(yīng)建立一個IT長期和短期計劃開發(fā)和維護所需要的政策。1.5 IT功能的短期計劃編制IT管理層和業(yè)務(wù)過程的所有者應(yīng)確保IT長期計劃有規(guī)律地轉(zhuǎn)換成IT短期計劃。這樣的短期計劃應(yīng)確保適當(dāng)?shù)腎T功能資源以與IT長期計劃內(nèi)容相一致的基礎(chǔ)上來分配。短期計劃應(yīng)定期地進行再評估，并被作為適應(yīng)正在變化的業(yè)務(wù)和IT環(huán)境所必須的事項而改進?？尚行匝芯康募皶r執(zhí)行應(yīng)確保短期計劃的實行是被

5、充分地啟動的。1.6 IT計劃的交流管理層應(yīng)確保IT長期和短期計劃同業(yè)務(wù)過程所有者以及跨越機構(gòu)的其他相關(guān)部門人員的充分溝通。1.7 IT計劃的監(jiān)控和評估管理層應(yīng)建立一個流程，獲取和報告來自業(yè)務(wù)過程所有者和用戶有關(guān)長期和短期計劃的質(zhì)量及有效性的反饋。獲取的反饋應(yīng)予以評估，并在將來的IT計劃編制中加以考慮。1.8 現(xiàn)有系統(tǒng)的評估在開發(fā)或變更戰(zhàn)略規(guī)劃或長期計劃、IT計劃之前，IT管理層應(yīng)按照業(yè)務(wù)自動化的程度、功能性、穩(wěn)定性、復(fù)雜性、成本、優(yōu)勢和劣勢，評估現(xiàn)有信息系統(tǒng)，以確定現(xiàn)有系統(tǒng)支持機構(gòu)業(yè)務(wù)需求的程度。對高級和詳細的控制目標進行審計：獲得了解:訪談：首席執(zhí)行官（CEO首席運營官（CO。首席財務(wù)官（

6、CFO首席信息官（CIO）IT計劃/指導(dǎo)委員會成員IT高級管理層和人力服務(wù)職員獲得：與計劃編制過程想關(guān)聯(lián)的政策和程序高級管理層的指導(dǎo)角色和責(zé)任機構(gòu)的目標和長短期的計劃IT的目標和長短期的計劃狀況的報告和計劃/指導(dǎo)委員會的會議紀要評估控制：考慮是否：IT或者業(yè)務(wù)的企業(yè)政策和程序選擇了一種結(jié)構(gòu)化的計劃編制方法方法到位，以便明確地表達并能夠修改計劃，起碼它們要包括：?機構(gòu)的使命和目的?支持機構(gòu)使命和目的的IT初始?IT初始的機遇?IT初始的可行性的研究?IT初始的風(fēng)險評估?當(dāng)前和未來IT的最佳投資?反映企業(yè)使命和目的變化的IT初始的再造?數(shù)據(jù)應(yīng)用、技術(shù)和機構(gòu)可選擇戰(zhàn)略的評估機構(gòu)的變化、技術(shù)的發(fā)展、規(guī)

7、章的要求、業(yè)務(wù)過程的再造、員工的安置、自己開發(fā)和外包，等等被考慮，并在計劃編制過程中充分地從事長短期的IT計劃存在，是當(dāng)前的，充分針對全部企業(yè)、它的使命和關(guān)鍵的業(yè)務(wù)職能部門IT項目由IT計劃編制方法中確定的適當(dāng)文檔所支持確保IT目標和長短期計劃持續(xù)地滿足機構(gòu)目標和長短期計劃的檢查點存在由過程所有者和高級管理層評價和結(jié)束的IT計劃發(fā)生根據(jù)業(yè)務(wù)自動化程度、功能性、穩(wěn)定性、復(fù)雜性、成本、優(yōu)勢和弱點，IT計劃評估現(xiàn)有的信息系統(tǒng)對信息系統(tǒng)及其支持的基礎(chǔ)設(shè)施的長期計劃編制的缺乏，導(dǎo)致系統(tǒng)不能支持企業(yè)的目標和業(yè)務(wù)的過程，或者不能提供適當(dāng)?shù)耐暾?、安全和控制評定遵從性：測試：來自反映計劃編制過程的IT計劃編制/

8、指導(dǎo)委員會的會議紀要計劃編制方法的可交付使用物的存在，作為預(yù)先的規(guī)定相關(guān)IT的初始被包括在IT長短期的計劃當(dāng)中（也就是硬件的變化、容量計劃編制、信息體系結(jié)構(gòu)、新系統(tǒng)開發(fā)或獲取、災(zāi)難恢復(fù)計劃編制、新處理平臺的安裝，等等）IT初始支持長短期計劃，并要考慮調(diào)查、培訓(xùn)、人員安置、設(shè)施、硬件和軟件的需求IT初始的技術(shù)含義已經(jīng)被確定最優(yōu)化當(dāng)前和將來IT投資的考慮已經(jīng)給出IT長短期計劃與機構(gòu)的長短期計劃和組織的需求保持一致計劃已經(jīng)發(fā)生改變，以反映正在變化的條件IT長期計劃定期轉(zhuǎn)化成短期計劃存在實現(xiàn)計劃的任務(wù)證實沒有滿足業(yè)務(wù)目標的風(fēng)險：執(zhí)行：依照類似的機構(gòu)或者適當(dāng)?shù)膰H標準/公認的行業(yè)最好實踐的戰(zhàn)略IT計劃的

9、基準確保IT初始反映機構(gòu)的使命和目的的IT計劃的詳細評價決定是否機構(gòu)之內(nèi)已經(jīng)知道的虛弱區(qū)域正在被確認為計劃當(dāng)中IT解決方案的一部分而加以改進的IT計劃的詳細評價確定：滿足機構(gòu)使命和目的的IT失敗與長期計劃相匹配的短期計劃的IT失敗滿足短期計劃的IT項目的失敗滿足成本和時間準則的IT失敗錯過的業(yè)務(wù)機遇錯過的IT機遇2定義信息體系結(jié)構(gòu)（PO2控制的IT過程：定義信息體系結(jié)構(gòu)滿足的業(yè)務(wù)需求：優(yōu)化信息系統(tǒng)的機構(gòu)實現(xiàn)路線：創(chuàng)建并維護一個業(yè)務(wù)信息模型，確保定義適當(dāng)?shù)南到y(tǒng)，以優(yōu)化信息的使用需要考慮的事項：自動化的數(shù)據(jù)存貯和字典數(shù)據(jù)語法規(guī)則數(shù)據(jù)所有權(quán)和關(guān)鍵性/安全性程度分類表述業(yè)務(wù)的信息模型企業(yè)信息體系結(jié)構(gòu)標

10、準信息信息規(guī)范IT資源P效果人員S效率*應(yīng)用S保密技術(shù)S完整設(shè)施可用*數(shù)據(jù)遵從可靠2.1 信息體系結(jié)構(gòu)模型信息應(yīng)與需求保持一致，并應(yīng)以某種格式和期限進行識別、獲取和交流，而這些格式和期限能使人們及時、有效地履行他們的職責(zé)。相應(yīng)地，圍繞企業(yè)的數(shù)據(jù)模型和相關(guān)的信息系統(tǒng)，IT的職能應(yīng)是建立并有規(guī)律地更新信息體系結(jié)構(gòu)模型。信息體系結(jié)構(gòu)模型應(yīng)與IT長期計劃保持一致。2.2 企業(yè)數(shù)據(jù)字典和數(shù)據(jù)語法規(guī)則IT的職能應(yīng)確保包含機構(gòu)數(shù)據(jù)語法規(guī)則的企業(yè)數(shù)據(jù)字典的建立以及持續(xù)的更新。2.3 數(shù)據(jù)分類方案在按信息類別（如安全類）進行分類的數(shù)據(jù)放置以及所有權(quán)分配方面，應(yīng)建立一個總體的分類框架，應(yīng)適當(dāng)定義各類別的訪問規(guī)則。

11、2.4 安全等級對于上述確定的每一個“不需要保護”級別以上的數(shù)據(jù)分類，管理層應(yīng)定義、執(zhí)行和維護這些安全等級。對于每一個分類來講，這些安全等級應(yīng)描述適當(dāng)?shù)模ㄗ钚〉模┮惶装踩涂刂瞥叨龋瑧?yīng)定期進行再評估并做相應(yīng)的修改。對于區(qū)域范圍廣闊的企業(yè)，應(yīng)建立支持不同安全等級的標準，以適應(yīng)正在發(fā)展的電子商務(wù)、移動計算和遠程辦公環(huán)境的需要。對高級和詳細的控制目標進行審計：獲得了解：訪談：首席信息官（CIO）IT計劃/指導(dǎo)委員會成員IT高級管理層安全官獲得：與信息體系結(jié)構(gòu)相關(guān)的政策和程序信息體系結(jié)構(gòu)模型支持信息體系結(jié)構(gòu)模型的文檔，包括企業(yè)數(shù)據(jù)模型企業(yè)數(shù)據(jù)字典數(shù)據(jù)所有者政策高級管理層指導(dǎo)的角色和責(zé)任IT的目標和長短

12、期計劃狀況報告和計劃編制/指導(dǎo)委員會會議紀要評估控制：考慮是否：IT政策和程序選擇了數(shù)據(jù)字典的開發(fā)和維護用于修改信息體系結(jié)構(gòu)模型的過程是以長短期計劃為基礎(chǔ)的，考慮了相關(guān)成本和風(fēng)險，并且該模型變化之前，要確保高級管理層同意有一個過程用來保持數(shù)據(jù)字典和數(shù)據(jù)語法規(guī)則處于最新狀態(tài)有一個媒介用來分發(fā)數(shù)據(jù)字典，確保開發(fā)區(qū)域的可達性并立即反映變化IT政策和過程要選擇數(shù)據(jù)的分類，包括安全種類和數(shù)據(jù)所有者，數(shù)據(jù)分類的訪問規(guī)則要被清晰和適當(dāng)?shù)囟x要為那些不包含數(shù)據(jù)分類標識符的數(shù)據(jù)資產(chǎn)定義缺省的分類標準IT政策和程序要選擇以下內(nèi)容：?需要數(shù)據(jù)所有者（在數(shù)據(jù)所有者政策上定義）的授權(quán)過程要到位，以便批準該數(shù)據(jù)的所有訪問

13、以及數(shù)據(jù)的安全屬性?每一個數(shù)據(jù)分類的安全等級要被定義?訪問等級被定義，并且對于數(shù)據(jù)分類來說是適當(dāng)?shù)?訪問敏感數(shù)據(jù)需要清楚的訪問級別，數(shù)據(jù)的提供要以“需要知道”為基礎(chǔ)評定遵從性：測試：信息體系結(jié)構(gòu)模型上的變化，確定這些變化反映了IT長短期計劃及其所確定的成本和風(fēng)險評估數(shù)據(jù)字典的任何修改以及數(shù)據(jù)字典上變化的影響，確保它們被有效地溝通各種運作的應(yīng)用系統(tǒng)和開發(fā)項目，以確定數(shù)據(jù)字典被用作數(shù)據(jù)定義足夠的數(shù)據(jù)字典文檔，以確定這些文檔為每一個數(shù)據(jù)項定義了數(shù)據(jù)的屬性和安全等級數(shù)據(jù)分類、安全等級、訪問等級和缺省的適當(dāng)性每一個數(shù)據(jù)分類都要清晰地定義：?誰可以訪問?誰對決定適當(dāng)?shù)脑L問級別負責(zé)?所需訪問的明確批準?訪問

14、的特定需求（也就是非披露或者保密性協(xié)議）證實沒有滿足業(yè)務(wù)目標的風(fēng)險：執(zhí)行：依照類似機構(gòu)或適者國際標準/公認的行業(yè)最好實踐的信息體系結(jié)構(gòu)模型的基準針對關(guān)鍵元素的完整性，數(shù)據(jù)字典的詳細評價對定義為敏感數(shù)據(jù)的安全等級的詳細評價，以校驗訪問的適當(dāng)授權(quán)被獲得，被許可的訪問與定義在IT政策和程序中的一致確定：信息體系結(jié)構(gòu)模型和企業(yè)數(shù)據(jù)模型、企業(yè)數(shù)據(jù)字典、相關(guān)信息系統(tǒng)以及IT長短期計劃中的矛盾過時的企業(yè)數(shù)據(jù)字典項和由于數(shù)據(jù)字典變化的不良的溝通喪失了時效性的數(shù)據(jù)語法規(guī)則？所有者不清楚和/或沒有適當(dāng)定義的數(shù)據(jù)項沒有被適當(dāng)定義的數(shù)據(jù)分類與“需要才能知道”的原則不一致的數(shù)據(jù)安全等級3決定技術(shù)方向（PO3控制的IT過

15、程：決定技術(shù)方向滿足的業(yè)務(wù)需求：利用目前可用的和正在出現(xiàn)的技術(shù)，推動業(yè)務(wù)戰(zhàn)略的實施并使業(yè)務(wù)戰(zhàn)略成為可能實現(xiàn)路線：建立并維護技術(shù)基礎(chǔ)設(shè)施計劃，該計劃，依據(jù)產(chǎn)品、服務(wù)和交付機制，建立并管理技術(shù)能夠提供的清晰和現(xiàn)實的預(yù)期需要考慮的事項：當(dāng)前基礎(chǔ)設(shè)施的容量通過可靠的來源，監(jiān)測技術(shù)發(fā)展引導(dǎo)概念的檢驗風(fēng)險、約束和機遇獲取的計劃移植戰(zhàn)略和路線與供應(yīng)商的關(guān)系獨立的技術(shù)再評估硬件和軟件的性能/價格比的變化信息規(guī)范IT資源P效果人員S效率應(yīng)用保密*技術(shù)完整*設(shè)施可用數(shù)據(jù)遵從可靠3.1 技術(shù)基礎(chǔ)設(shè)施計劃編制IT的職能部門應(yīng)建立并有規(guī)律地更新與IT長期和短期計劃保持一致的技術(shù)基礎(chǔ)設(shè)施計劃。這樣的計劃應(yīng)圍繞諸如系統(tǒng)體系

16、結(jié)構(gòu)、技術(shù)方向和移植策略等方面。3.2 監(jiān)測未來的趨勢和法規(guī)IT的職能部門應(yīng)能夠確保對未來趨勢和法規(guī)環(huán)境的持續(xù)監(jiān)測，以便這些因素能夠在技術(shù)基礎(chǔ)設(shè)施計劃的開發(fā)和維護期間被考慮在內(nèi)。3.3 技術(shù)基礎(chǔ)設(shè)施的不確定事件技術(shù)基礎(chǔ)設(shè)施計劃應(yīng)在偶然事件方面（即基礎(chǔ)設(shè)施的冗余、恢復(fù)、充足性和發(fā)展能力）進行系統(tǒng)地評估。3.4 硬件和軟件獲取計劃IT管理層應(yīng)確保制定硬件和軟件的獲取計劃，并要反映在所確定的技術(shù)基礎(chǔ)設(shè)施計劃的需求中。3.5 技術(shù)標準以技術(shù)基礎(chǔ)設(shè)施計劃為基礎(chǔ)，IT管理層應(yīng)定義技術(shù)規(guī)范以培養(yǎng)標準化的意識。對高級和詳細的控制目標進行審計：獲得了解：訪談：首席執(zhí)行官（CEO首席運營官（CO。首席財務(wù)官（CF

17、O首席信息官（CIO）IT計劃/指導(dǎo)委員會成員IT高級管理層獲得：與技術(shù)基礎(chǔ)設(shè)施計劃編制和監(jiān)控相聯(lián)系的政策和程序高級管理層指導(dǎo)角色和責(zé)任機構(gòu)目標和長短期計劃IT目標和長短期計劃IT硬件和軟件獲取計劃技術(shù)基礎(chǔ)設(shè)施計劃技術(shù)標準狀況報告和計劃編制/指導(dǎo)委員會會議紀要評估控制：考慮是否：為確認被提議的變化首先被檢查以評估相關(guān)聯(lián)的成本和風(fēng)險，為確認高級管理層的批準先于計劃的變化被獲得，有一個創(chuàng)造并有規(guī)律地更新的技術(shù)基礎(chǔ)設(shè)施計劃的過程技術(shù)基礎(chǔ)設(shè)施計劃與IT長短期計劃相比較有一個過程來評估機構(gòu)的當(dāng)前技術(shù)狀態(tài)，確保環(huán)繞諸如系統(tǒng)體系結(jié)構(gòu)、技術(shù)方向和移植戰(zhàn)略等方面IT政策和程序確保選擇了評估和監(jiān)控當(dāng)前和將來的技術(shù)

18、趨勢和規(guī)章條件的要求，并且在技術(shù)基礎(chǔ)設(shè)施計劃的開發(fā)和維護期間被考慮技術(shù)獲取的后勤和環(huán)境影響要被計劃IT政策和程序確保選擇了系統(tǒng)地評估技術(shù)計劃意外的需求（也就是基礎(chǔ)設(shè)施的冗余、恢復(fù)力、足夠性和發(fā)展能力）IT管理層評估正在出現(xiàn)的技術(shù)，并將適當(dāng)?shù)募夹g(shù)合并到當(dāng)前的IT基礎(chǔ)設(shè)施之中對于硬件和軟件的獲取計劃來講，它是遵從技術(shù)基礎(chǔ)設(shè)施計劃中所確定的要求并被適當(dāng)?shù)嘏鷾实膶嵺`在技術(shù)基礎(chǔ)設(shè)施計劃中所描述的技術(shù)組成的技術(shù)標準是到位的評定遵從性：測試：IT管理層理解并使用技術(shù)基礎(chǔ)設(shè)施計劃技術(shù)基礎(chǔ)設(shè)施計劃上的變化，以確定相關(guān)的成本和風(fēng)險，這些變化要反映在IT長短期計劃的變化中IT管理層要理解監(jiān)控和評估正在出現(xiàn)技術(shù)的過程

19、，并要將適當(dāng)?shù)募夹g(shù)合并到當(dāng)前的IT基礎(chǔ)設(shè)施之中IT管理層要理解系統(tǒng)評估技術(shù)計劃意外的過程（也就是說，基礎(chǔ)設(shè)施的冗余、恢復(fù)力、充足性和發(fā)展能力）為了充分地適應(yīng)目前的已安裝的硬件/軟件以及在當(dāng)前被批準的增加的新的硬件/軟件，IT職能部門現(xiàn)有的物理環(huán)境硬件和軟件獲取計劃遵從IT長短期計劃，并要反映技術(shù)基礎(chǔ)設(shè)施計劃中所確認的需求技術(shù)基礎(chǔ)設(shè)施計劃選擇利用當(dāng)前和將來的技術(shù)技術(shù)標準被遵循，并作為開發(fā)過程的一部分而被合成一體被允許的訪問與IT政策和程序中所定義的安全等級相一致，到位的訪問要經(jīng)過適當(dāng)?shù)氖跈?quán)證實沒有滿足業(yè)務(wù)目標的風(fēng)險：執(zhí)行：依照類似的機構(gòu)或者適當(dāng)?shù)膰H標準/公認的行業(yè)最好實踐的技術(shù)基礎(chǔ)設(shè)施計劃編制

20、的基準針對關(guān)鍵元素的完整性，數(shù)據(jù)字典的詳細評價為敏感數(shù)據(jù)而定義的安全等級的詳細評價確定:信息系統(tǒng)和IT長短期計劃相關(guān)的信息體系結(jié)構(gòu)模型和企業(yè)數(shù)據(jù)模型、企業(yè)數(shù)據(jù)享典的矛盾企業(yè)數(shù)據(jù)字典條款和數(shù)據(jù)語法規(guī)則的過時沒有在技術(shù)基礎(chǔ)設(shè)施計劃中選擇的以外方面沒能反映技術(shù)基礎(chǔ)設(shè)施計劃需求的IT硬件和軟件的獲取計劃與技術(shù)標準不一致的技術(shù)基礎(chǔ)設(shè)施計劃或IT硬件和軟件獲取計劃數(shù)據(jù)字典中丟失的關(guān)鍵元素沒有按照同樣標準分類或者沒有安全等級的敏感數(shù)據(jù)4定義信息技術(shù)的機構(gòu)及關(guān)系（PO4控制的IT過程：定義IT的機構(gòu)及關(guān)系滿足的業(yè)務(wù)需求：提供正確的IT服務(wù)實現(xiàn)路線：定義一個數(shù)量上相配、具有角色和職責(zé)所要求技能的機構(gòu)，與業(yè)務(wù)部門

21、溝通、聯(lián)合在一起，促進戰(zhàn)略的實現(xiàn)，并規(guī)定有效的方向和適當(dāng)?shù)目刂菩枰紤]的事項：董事會層面上的IT職責(zé)管理層對于IT的指導(dǎo)和監(jiān)督IT與業(yè)務(wù)的結(jié)合關(guān)鍵決策過程中IT的參與機構(gòu)的靈活性清晰的角色和職責(zé)平衡授權(quán)與監(jiān)督工作崗位的描述人員級別和關(guān)鍵的人員在安全、質(zhì)量和內(nèi)部控制功能方面的機構(gòu)配置職責(zé)的分離信息規(guī)范IT資源P效果*人員S效率應(yīng)用保密技術(shù)完整設(shè)施可用數(shù)據(jù)遵從可靠4.1 IT計劃或指導(dǎo)委員會機構(gòu)的高級管理層應(yīng)指定一個計劃或者指導(dǎo)委員會，來檢查IT的職能及其活動。委員會的會員應(yīng)包括來自高級管理層、用戶管理層和IT職能方面的代表。委員會應(yīng)實行例會制度，并向高級管理層報告。4.2 IT職能的機構(gòu)設(shè)置在整

22、個機構(gòu)機構(gòu)設(shè)置IT職能過程中，高級管理層應(yīng)確保其權(quán)力、關(guān)鍵時刻以及與用戶部門的獨立性到必要的程度，以便在執(zhí)行時能夠保證有效的IT解決方案和充分的進展，并要建立與頂級管理層的伙伴關(guān)系，以便在確定和解決IT問題時，能夠幫助他們增強意識、理解和技能。4.3 機構(gòu)績效的評價應(yīng)設(shè)置一個框架來評價機構(gòu)的機構(gòu)，以不斷地滿足目標和變化的環(huán)境。4.4 角色和責(zé)任管理層應(yīng)確保機構(gòu)中所有人員都具有并理解他們在相關(guān)信息系統(tǒng)中的角色和責(zé)任。所有的人員應(yīng)具有足夠的權(quán)力來行使分派給他們的角色和責(zé)任。角色的設(shè)置應(yīng)考慮適當(dāng)?shù)穆氊?zé)分離。沒有那個人能夠控制一個交易或事件的所有關(guān)鍵環(huán)節(jié)。每個人都應(yīng)認識到他們在內(nèi)部控制和安全方面具有一

23、定的責(zé)任。因此，應(yīng)機構(gòu)并承擔(dān)起有規(guī)律的一些活動，以增強這方面的意識和紀律。4.5 質(zhì)量保證的責(zé)任管理層應(yīng)為IT職能部門的成員分配質(zhì)量保證職能履行的責(zé)任，并確保適當(dāng)?shù)馁|(zhì)量保證、系統(tǒng)、控制和存在于IT職能質(zhì)量保證小組中的專家們的交流。IT職能內(nèi)機構(gòu)的布置以及質(zhì)量保證小組的職責(zé)和規(guī)模應(yīng)滿足機構(gòu)的需求。4.6 邏輯和物理安全的責(zé)任管理層應(yīng)為信息安全經(jīng)理正式地分配確保機構(gòu)信息資產(chǎn)物理和邏輯安全的責(zé)任，并負責(zé)向高級管理層報告。最起碼，安全管理職責(zé)應(yīng)建立在整個機構(gòu)范圍的層次上，以便能夠處理一個機構(gòu)內(nèi)的全部安全問題。如果需要，系統(tǒng)細節(jié)層次上的附加安全管理責(zé)任也應(yīng)被分配，以應(yīng)對相關(guān)的安全問題。4.7 所有者和管

24、理者管理層應(yīng)正式建立一個指定數(shù)據(jù)所有者和管理者的結(jié)構(gòu)。他們的角色和責(zé)任應(yīng)清楚地定義。4.8 數(shù)據(jù)和系統(tǒng)的所有者管理層應(yīng)確保所有信息資產(chǎn)（數(shù)據(jù)和系統(tǒng)）都已指定了所有者，他們對信息資產(chǎn)的分類和訪問權(quán)限具有決策的權(quán)利。典型地，系統(tǒng)所有者可以將日常管理委派給系統(tǒng)的交付/操作小組，將安全職責(zé)委派給安全管理員。然而，所有者仍然要保留對適當(dāng)安全尺度維護的責(zé)任。4.9 監(jiān)督高級管理層應(yīng)執(zhí)行適當(dāng)?shù)腎T職能的監(jiān)督實踐，以保證角色和責(zé)任被完全地行使，評估所有的個人是否有足夠的權(quán)力和資源完成他們的角色和職責(zé)，并要全面地評價關(guān)鍵的績效指標。4.10 職責(zé)分離高級管理層應(yīng)實施角色和職責(zé)的分離，避免單獨的個人擾亂某個關(guān)鍵的

25、過程。管理層還應(yīng)確定每個人僅執(zhí)行其工作和職位規(guī)定的各自的職責(zé)。尤其是下列職責(zé)之問責(zé)任分離的應(yīng)維護。信息系統(tǒng)使用數(shù)據(jù)錄入計算機操作網(wǎng)絡(luò)管理系統(tǒng)管理系統(tǒng)開發(fā)和維護變更管理安全管理安全審計4.11 IT人員配備員工需求評估應(yīng)有規(guī)律地執(zhí)行，以保證履行IT職能所需足夠數(shù)量能勝任的IT員工。員工需求應(yīng)至少每年評估一次，或根據(jù)業(yè)務(wù)、運作及IT環(huán)境的主要變化而執(zhí)行。評估結(jié)果應(yīng)盡快執(zhí)行，以確?，F(xiàn)在和將來員工的充足。4.12 IT員工工作和職位的描述管理層應(yīng)確保建立IT員工的職位描述，并有規(guī)律地被更新。這些職位描述應(yīng)清楚地描繪權(quán)力和責(zé)任兩方面，包括相關(guān)職位要求的技能和經(jīng)驗的詳細說明，并要適合在績效評估中使用。4.

26、13 關(guān)鍵的IT人員IT管理層應(yīng)詳細說明和識別關(guān)鍵的IT人員。4.14 與員工簽約的政策和程序為了IT職能部門控制咨詢和其它簽約個人的活動，確保機構(gòu)的信息資產(chǎn)處于保護之中，管理層應(yīng)詳細說明和執(zhí)行相關(guān)的政策和程序。4.15 關(guān)系IT管理層應(yīng)采取必要的行動，在IT職能部門和其它各種有利害關(guān)系的內(nèi)外部IT職能部門（即用戶、供應(yīng)商、安全官員、風(fēng)險管理者）之間，建立并維持一個最佳的協(xié)調(diào)、交流、聯(lián)絡(luò)的結(jié)構(gòu)。對高級和詳細的控制目標進行審計:獲得了解：訪談：首席執(zhí)行官（CEO首席運營官（COO首席財務(wù)官（CFO首席信息官（CIO）質(zhì)量保證官安全官IT計劃/指導(dǎo)委員會成員、人力資源和高級管理層獲得：高級管理層計

27、劃/指導(dǎo)角色和責(zé)任機構(gòu)目標和長短期計劃IT目標和長短期計劃展示IT職能部門與及其它職能部門關(guān)系的機構(gòu)機構(gòu)圖與IT機構(gòu)和關(guān)系相關(guān)聯(lián)的政策和程序與質(zhì)量保證相關(guān)聯(lián)的政策和程序用來決定IT人員需求的政策和程序IT職能部門的機構(gòu)機構(gòu)圖IT職能部門的角色和責(zé)任IT關(guān)鍵位置（工作）的描述狀況報告和計劃/指導(dǎo)委員會會議紀要評估控制：考慮是否：來自高級管理層的政策聲明和溝通確保IT職能部門的獨立和權(quán)威IT計劃/指導(dǎo)委員會的成員和職能部門已經(jīng)被定義，責(zé)任已經(jīng)被確定IT計劃/指導(dǎo)委員會的章程使委員會的目的與機構(gòu)的目標和長短期計劃以及IT的目標和長短期計劃聯(lián)盟增強確定和解決信息管理問題的意識、理解和技能的過程到位政策

28、選擇了滿足正在變化著的目標和環(huán)境的機構(gòu)機構(gòu)的評估和修改的要求決定IT職能部門效果和承諾的過程和績效指標存在高級管理層要確保角色和責(zé)任被執(zhí)行勾回機構(gòu)內(nèi)所有個人有關(guān)信息系統(tǒng)內(nèi)部控制和安全的角色和責(zé)任的政策存在增加內(nèi)部控制和安全意識以及紀律的有規(guī)律的活動存在質(zhì)量保證的職能部門和政策存在質(zhì)量保證職能部門要充分地獨立于系統(tǒng)開發(fā)人員，并要有執(zhí)行其責(zé)任的適當(dāng)人員和專門技術(shù)確定時間資源并確保質(zhì)量保證測試的完成以及系統(tǒng)或者系統(tǒng)變化被執(zhí)行前的審批的質(zhì)量保證之內(nèi)的過程要到位為了安全官的內(nèi)部控制和安全（邏輯和物理兩者）政策和程序的明確表達，管理層應(yīng)正式地分配機構(gòu)范圍內(nèi)的責(zé)任安全官的職位的角色和責(zé)任的了解被充分地理解，

29、并被證明與機構(gòu)的信息安全政策一致機構(gòu)的安全政策清晰地定義每一個信息資產(chǎn)的所有者（如，用戶、管理層和安全管理員）被要求執(zhí)行的信息安全的責(zé)任含蓋數(shù)據(jù)和系統(tǒng)所有者所有主要數(shù)據(jù)源和系統(tǒng)的政策和程序存在有規(guī)律地評價并維護數(shù)據(jù)和系統(tǒng)所有者變化的程序存在描述監(jiān)督實踐，確保角色和責(zé)任被適當(dāng)?shù)匦惺?，并且所有的人員有足夠的權(quán)威和資源執(zhí)行其角色和責(zé)任的政策和程序存在下列一對職責(zé)要分離：?系統(tǒng)開發(fā)和維護?系統(tǒng)開發(fā)和運行?系統(tǒng)開發(fā)/維護和信息安全?運行和數(shù)據(jù)控制?運行和用戶?運行和信息安全IT的人員安置和能力被維護，以確保其具有提供有效技術(shù)解決方案的能力IT職位（工作）描述的評估和再評估的政策和程序存在對于關(guān)鍵的過程，

30、包括系統(tǒng)開發(fā)生命周期活動（需求、設(shè)計、開發(fā)、測試）、信息安全、獲取和容量的計劃編制，適當(dāng)?shù)慕巧拓?zé)任存在在實現(xiàn)機構(gòu)的目標方面，使用適當(dāng)和有效的關(guān)鍵績效指標和/或關(guān)鍵成功因素測量IT職能部門的結(jié)果控制咨詢者和其它契約人員活動的IT政策和程序存在，從而確保機構(gòu)的資產(chǎn)的保護適用于已簽約IT服務(wù)的適當(dāng)性的過程，并要與機構(gòu)的獲取政策一致調(diào)整、溝通和歸檔IT職能部門高級職員會內(nèi)外部興趣的過程存在評定遵從性：測試：IT計劃/指導(dǎo)委員會檢查IT職能部門及其活動以及解決行動條款I(lǐng)T職能部門報告層次的適當(dāng)性在機構(gòu)關(guān)于為頂級管理層提供合作伙伴關(guān)系方面，IT職能部門的位置的有效性高級IT管理層了解用來監(jiān)控、測量和報告

31、IT職能部門績效的過程用來評估績效的關(guān)鍵指標當(dāng)實際結(jié)果不能滿足目標水平，依照目標水平，決定所采取的校正行動的分析實際結(jié)果的過程為了來自期望的績效水平的任何重大差異，由管理層所采取的行動用戶/所有者管理層評估IT職能部門提供滿足用戶/所有者需求的信息技術(shù)解決方案的反應(yīng)速度和能力IT管理層知道其角色和責(zé)任涉及IT項目計劃的測試和審批的質(zhì)量保證安全人員評價核心操作系統(tǒng)和應(yīng)用系統(tǒng)到位或正在開發(fā)的評估信息安全（邏輯和物理兩者）的安全職能部門報告或文檔的適當(dāng)性信息安全政策和程序的充分了解和一致應(yīng)用出席信息安全和內(nèi)部控制培訓(xùn)的人員對于所有的信息資產(chǎn)，數(shù)據(jù)和系統(tǒng)所有權(quán)被定義數(shù)據(jù)和系統(tǒng)所有者審批數(shù)據(jù)和系統(tǒng)制造的

32、變化所有的數(shù)據(jù)和系統(tǒng)具有一個所有者或者管理人，他們負責(zé)控制數(shù)據(jù)和系統(tǒng)的水平所有數(shù)據(jù)和系統(tǒng)資產(chǎn)的訪問由資產(chǎn)的所有者審批與職位（工作）相聯(lián)系的權(quán)利和監(jiān)督的直線要與在職者的義務(wù)相稱職位（工作）描述清楚地描繪權(quán)利和責(zé)任兩者職位（工作）描述清楚地描述所需的業(yè)務(wù)、相關(guān)的和技術(shù)的資格職位（工作）已經(jīng)被精確地溝通，并由個人所理解IT職能部門的職位（工作）描述包含已經(jīng)溝通給個人的關(guān)鍵績效指標IT職員的義務(wù)和責(zé)任要對應(yīng)于已經(jīng)公布的職位（工作）描述和機構(gòu)的機構(gòu)圖兩者關(guān)鍵職位的職位（工作）描述到位，包括機構(gòu)關(guān)于信息系統(tǒng)、內(nèi)部控制和安全的訓(xùn)令職位（工作）描述的精確性要與這些職位在職者的當(dāng)前責(zé)任相比較遵從IT職能部門內(nèi)有

33、意的職責(zé)分離以及職責(zé)限制的種類和范圍IT人員安置的維持能力作為責(zé)任、權(quán)利和績效標準的適當(dāng)性和透明度的基礎(chǔ)，職位（工作）描述的適當(dāng)性合同管理的責(zé)任分配給了適當(dāng)?shù)娜藛T合同的術(shù)語與正常的機構(gòu)合同的標準相一致，標準契約術(shù)語和條件已經(jīng)由法律的律師評價和評估，它們的同意意見要獲得合同包含適當(dāng)?shù)挠嘘P(guān)遵從性的條款：法人的安全和內(nèi)部控制政策、信息技術(shù)標準過程和/或結(jié)構(gòu)規(guī)定成功關(guān)系所必須的有效果和有效率的協(xié)調(diào)證實沒有滿足業(yè)務(wù)目標的風(fēng)險：執(zhí)行：依照類似的機構(gòu)或者適當(dāng)?shù)膰H標準/公認的行業(yè)最好實踐的機構(gòu)和關(guān)系的基準決定由無效的IT計劃/指導(dǎo)委員會所引起的機構(gòu)方面影響的詳細評價在處理信息系統(tǒng)問題和執(zhí)行技術(shù)解決方案方面，

34、測量IT職能部門進步的詳細評價評估機構(gòu)的機構(gòu)、人員和個人能力、分配的角色和責(zé)任、數(shù)據(jù)和系統(tǒng)所有權(quán)、監(jiān)督、職責(zé)分離等的詳細評價決定在滿足機構(gòu)需求的有效性方面的質(zhì)量保證職能部門的詳細評價決定在提供機構(gòu)范圍內(nèi)信息安全（邏輯和物理兩者）和信息安全意識培訓(xùn)有效性方面的安全職能的詳細評價確定這些合同已經(jīng)由交易雙方適當(dāng)?shù)貓?zhí)行并且遵從機構(gòu)的標準合同術(shù)語的合同實例的詳細評價確定：由于IT計劃/指導(dǎo)委員會無效監(jiān)督所引起的IT職能及其活動的弱點導(dǎo)致IT職能無效果或無效率的機構(gòu)機構(gòu)的縫隙、重疊，等等不適當(dāng)?shù)臋C構(gòu)機構(gòu)、缺少的職能、不充足的人員、能力不足、不適當(dāng)?shù)慕巧拓?zé)任、數(shù)據(jù)和系統(tǒng)所有權(quán)的混亂、監(jiān)督的問題、缺乏職責(zé)分離，等等確實滿足質(zhì)量保證要求的正在開發(fā)、修改或者執(zhí)行的系統(tǒng)確實滿足安全（或者是邏輯的，或者是物理的，或者是兩者兼顧）需求的正在開發(fā)、修改或者執(zhí)行的系統(tǒng)不能滿足機構(gòu)的合同要求的合同IT職