word.信息技术审计指南(34个控制目标)计划和组织(选择3/6/11)1定义战略性的信息技术规划(1)域控制的过程:定义战略性的规划满足的业务需求:既要谋求信息技术机遇和业务需求的最佳平衡,又要确保其进一步地完成实现路线:在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项:企业的业务发展战略如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面,企业所处的位置word.需要高级管理层出钱、支持和必不可少的检查信息规范资源P效果*人员S效率*应用保密*技术完整*设施可用*数据遵从可靠1.1作为机构长期和短期计划一部分的高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面,高级管理层应确保有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。的长期、短期计划应被开发,确保的运用同机构的使命与业务发展战略相结合。1.2长期计划管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的长期计划负责。计划编制的方法应包括寻求来自受战略计划影响的相关内外部利害关系人引入的机制。相应地,管理层应执行一个长期计划的编制过程,采用一种结构化的方word.法,并建立一个标准的计划结构。1.3长期计划编制——方法与结构对于长期计划的编制过程来讲,管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划,比如机构的质量计划和信息风险管理计划。1.4长期计划的变更管理层和业务过程所有者应确保及时、准确地修改长期计划的过程的到位,以适应机构长期计划的变化和环境的变化。管理层应建立一个长期和短期计划开发和维护所需要的政策。1.5功能的短期计划编制管理层和业务过程的所有者应确保长期计划有规律地转换成短期计划。这样的短期计划应确保适当的功能资源以与长期计划内容相一致的基础上来分配。短期计划应定期地进行再评估,并被word.作为适应正在变化的业务和环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。1.6计划的交流管理层应确保长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。1.7计划的监控和评估管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。获取的反馈应予以评估,并在将来的计划编制中加以考虑。1.8现有系统的评估在开发或变更战略规划或长期计划、计划之前,管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势,评估现有信息系统,以确定现有系统支持机构业务需求的程度。对高级和详细的控制目标进行审计:获得了解:访谈:首席执行官()首席运营官()首席财务官()word.首席信息官()计划/指导委员会成员高级管理层和人力服务职员获得:与计划编制过程想关联的政策和程序高级管理层的指导角色和责任机构的目标和长短期的计划的目标和长短期的计划状况的报告和计划/指导委员会的会议纪要评估控制:考虑是否:或者业务的企业政策和程序选择了一种结构化的计划编制方法方法到位,以便明确地表达并能够修改计划,起码它们要包括:•机构的使命和目的•支持机构使命和目的的初始•初始的机遇•初始的可行性的研究•初始的风险评估•当前和未来的最佳投资•反映企业使命和目的变化的初始的再造•数据应用、技术和机构可选择战略的评估word.机构的变化、技术的发展、规章的要求、业务过程的再造、员工的安置、自己开发和外包,等等被考虑,并在计划编制过程中充分地从事长短期的计划存在,是当前的,充分针对全部企业、它的使命和关键的业务职能部门项目由计划编制方法中确定的适当文档所支持确保目标和长短期计划持续地满足机构目标和长短期计划的检查点存在由过程所有者和高级管理层评价和结束的计划发生根据业务自动化程度、功能性、稳定性、复杂性、成本、优势和弱点,计划评估现有的信息系统对信息系统及其支持的基础设施的长期计划编制的缺乏,导致系统不能支持企业的目标和业务的过程,或者不能提供适当的完整、安全和控制评定遵从性:测试:来自反映计划编制过程的计划编制/指导委员会的会议纪要计划编制方法的可交付使用物的存在,作为预先的规定相关的初始被包括在长短期的计划当中(也就是硬件的变化、容量计划编制、信息体系结构、新系统开发或获取、灾难恢复计划编制、新处理平台的安装,等等)word.初始支持长短期计划,并要考虑调查、培训、人员安置、设施、硬件和软件的需求初始的技术含义已经被确定最优化当前和将来投资的考虑已经给出长短期计划与机构的长短期计划和组织的需求保持一致计划已经发生改变,以反映正在变化的条件长期计划定期转化成短期计划存在实现计划的任务证实没有满足业务目标的风险:执行:依照类似的机构或者适当的国际标准/公认的行业最好实践的战略计划的基准确保初始反映机构的使命和目的的计划的详细评价决定是否机构之内已经知道的虚弱区域正在被确认为计划当中解决方案的一部分而加以改进的计划的详细评价确定:满足机构使命和目的的失败与长期计划相匹配的短期计划的失败满足短期计划的项目的失败满足成本和时间准则的失败错过的业务机遇word.错过的机遇2定义信息体系结构(2)控制的过程:定义信息体系结构满足的业务需求:优化信息系统的机构实现路线:创建并维护一个业务信息模型,确保定义适当的系统,以优化信息的使用需要考虑的事项:自动化的数据存贮和字典数据语法规则数据所有权和关键性/安全性程度分类表述业务的信息模型企业信息体系结构标准信息信息规范资源P效果人员S效率*应用S保密技术S完整设施word.可用*数据遵从可靠2.1信息体系结构模型信息应与需求保持一致,并应以某种格式和期限进行识别、获取和交流,而这些格式和期限能使人们及时、有效地履行他们的职责。相应地,围绕企业的数据模型和相关的信息系统,的职能应是建立并有规律地更新信息体系结构模型。信息体系结构模型应与长期计划保持一致。2.2企业数据字典和数据语法规则的职能应确保包含机构数据语法规则的企业数据字典的建立以及持续的更新。2.3数据分类方案在按信息类别(如安全类)进行分类的数据放置以及所有权分配方面,应建立一个总体的分类框架,应适当定义各类别的访问规则。2.4安全等级对于上述确定的每一个“不需要保护”级别以上的数据分类,管理层应定义、执行和维护这些安全等级。对于每一个分类来讲,这些安全等级应描述适当的(最小的)一套安全和控制尺度,应word.定期进行再评估并做相应的修改。对于区域范围广阔的企业,应建立支持不同安全等级的标准,以适应正在发展的电子商务、移动计算和远程办公环境的需要。对高级和详细的控制目标进行审计:获得了解:访谈:首席信息官()计划/指导委员会成员高级管理层安全官获得:与信息体系结构相关的政策和程序信息体系结构模型支持信息体系结构模型的文档,包括企业数据模型企业数据字典数据所有者政策高级管理层指导的角色和责任的目标和长短期计划状况报告和计划编制/指导委员会会议纪要评估控制:word.考虑是否:政策和程序选择了数据字典的开发和维护用于修改信息体系结构模型的过程是以长短期计划为基础的,考虑了相关成本和风险,并且该模型变化之前,要确保高级管理层同意有一个过程用来保持数据字典和数据语法规则处于最新状态有一个媒介用来分发数据字典,确保开发区域的可达性并立即反映变化政策和过程要选择数据的分类,包括安全种类和数据所有者,数据分类的访问规则要被清晰和适当地定义要为那些不包含数据分类标识符的数据资产定义缺省的分类标准政策和程序要选择以下内容:•需要数据所有者(在数据所有者政策上定义)的授权过程要到位,以便批准该数据的所有访问以及数据的安全属性•每一个数据分类的安全等级要被定义•访问等级被定义,并且对于数据分类来说是适当的•访问敏感数据需要清楚的访问级别,数据的提供要以“需要知道”为基础评定遵从性:测试:word.信息体系结构模型上的变化,确定这些变化反映了长短期计划及其所确定的成本和风险评估数据字典的任何修改以及数据字典上变化的影响,确保它们被有效地沟通各种运作的应用系统和开发项目,以确定数据字典被用作数据定义足够的数据字典文档,以确定这些文档为每一个数据项定义了数据的属性和安全等级数据分类、安全等级、访问等级和缺省的适当性每一个数据分类都要清晰地定义:•谁可以访问•谁对决定适当的访问级别负责•所需访问的明确批准•访问的特定需求(也就是非披露或者保密性协议)证实没有满足业务目标的风险:执行:依照类似机构或适者国际标准/公认的行业最好实践的信息体系结构模型的基准针对关键元素的完整性,数据字典的详细评价对定义为敏感数据的安全等级的详细评价,以校验访问的适当授权被获得,被许可的访问与定义在政策和程序中的一致word.确定:信息体系结构模型和企业数据模型、企业数据字典、相关信息系统以及长短期计划中的矛盾过时的企业数据字典项和由于数据字典变化的不良的沟通丧失了时效性的数据语法规则???所有者不清楚和/或没有适当定义的数据项没有被适当定义的数据分类与“需要才能知道”的原则不一致的数据安全等级3决定技术方向(3)控制的过程:决定技术方向满足的业务需求:利用目前可用的和正在出现的技术,推动业务战略的实施并使业务战略成为可能实现路线:建立并维护技术基础设施计划,该计划,依据产品、服务和交付机制,建立并管理技术能够提供的清晰和现实的预期需要考虑的事项:当前基础设施的容量word.通过可靠的来源,监测技术发展引导概念的检验风险、约束和机遇获取的计划移植战略和路线与供应商的关系独立的技术再评估硬件和软件的性能/价格比的变化信息规范资源P效果人员S效率应用保密*技术完整*设施可用数据遵从可靠3.1技术基础设施计划编制的职能部门应建立并有规律地更新与长期和短期计划保持一致的技术基础设施计划。这样的计划应围绕诸如系统体系结构、技术方向和移植策略等方面。3.2监测未来的趋势和法规word.的职能部门应能够确保对未来趋势和法规环境的持续监测,以便这些因素能够在技术基础设施计划的开发和维护期间被考虑在内。3.3技术基础设施的不确定事件技术基础设施计划应在偶然事件方面(即基础设施的冗余、恢复、充足性和发展能力)进行系统地评估。3.4硬件和软件获取计划管理层应确保制定硬件和软件的获取计划,并要反映在所确定的技术基础设施计划的需求中。3.5技术标准以技术基础设施计划为基础,管理层应定义技术规范以培养标准化的意识。对高级和详细的控制目标进行审计:获得了解:访谈:首席执行官()首席运营官()首席财务官()首席信息官()word.计划/指导委员会成员高级管理层获得:与技术基础设施计划编制和监控相联系的政策和程序高级管理层指导角色和责任机构目标和长短期计划目标和长短期计划硬件和软件获取计划技术基础设施计划技术标准状况报告和计划编制/指导委员会会议纪要评估控制:考虑是否:为确认被提议的变化首先被检查以评估相关联的成本和风险,为确认高级管理层的批准先于计划的变化被获得,有一个创造并有规律地更新的技术基础设施计划的过程技术基础设施计划与长短期计划相比较有一个过程来评估机构的当前技术状态,确保环绕诸如系统体系结构、技术方向和移植战略等方面政策和程序确保选择了评估和监控当前和将来的技术趋势和规章条件的要求,并且在技术基础设施word.计划的开发和维护期间被考虑技术获取的后勤和环境影响要被计划政策和程