CISA-IT审计实务培训3-COBIT专题

Feb,2008,金融企业IT审计实务培训3.基于COBIT的IT审计方法,杨洋（yycisa）,杨洋，yycisa,Feb,2008,主讲人简介,杨洋管理学博士（信息管理与信息安全方向，同济大学）会计学学士、硕士（东北财经大学）高级程序员（1998），CISA（2002）,SCJP，IBM电子商务咨询师，IBMWSADDeveloper目前为同济大学电信学院博士后，主要研究领域：基于移动计算的安全接入关键技术,杨洋，yycisa,Feb,2008,1.Cobit的产生与发展2.核心目标与思想3.与其他相关体系的关系4.应用范围和适用群体5.内容与结构,一、COBIT概述,杨洋，yycisa,Feb,2008,1.Cobit的产生与发展,COBIT(ControlObjectivesforInformationandRelatedTechnology)是由信息系统审计和控制基金会ISACF（InformationSystemsAuditandControlFoundation）最早于1996年制定的IT治理模型。早期第1、2版以控制目标和审计指南为主。2000年推出第3版，重点突出了“管理指南”。2006年推出第4版，精简了控制目标，并完善了管理指南2007年推出第4.1版，将审计指南改为“签证指南”，并提出ValueIT等理念，与IT治理联系更紧密。,杨洋，yycisa,Feb,2008,2.核心目标与思想,COBIT的制订宗旨是跨越业务控制（businesscontrol）和IT控制之间的鸿沟，从而建立一个面向业务目标的IT控制框架。COBIT是IT治理的模型COBIT是基于过程的模型,杨洋，yycisa,Feb,2008,2.核心目标与思想,杨洋，yycisa,Feb,2008,2.核心目标与思想,杨洋，yycisa,Feb,2008,2.核心目标与思想,什么原因会导致问题？技术漏洞业务流程漏洞管理控制漏洞怎样才能避免问题的发生？从对技术、业务、管理控制等角度进行统一的全方位防范把所有人调动起来！COBIT就是这样一个能够把所有IT与非IT部门结合起来协调开展IT治理活动的模型框架！,杨洋，yycisa,Feb,2008,3.与其他相关体系的关系,与IT审计的关系COBIT包含而不限于IT审计的模块（AuditGuidline），但并非是针对IT审计的专门论述与BS7799、ITIL的关系侧重不同。COBIT主要侧重于处理企业治理中不同方面的需求，使信息管理、控制目标、IT审计等围绕信息系统管理控制的工作能够在一个统一的平台上协调开展。详见本课程后续章节讨论,杨洋，yycisa,Feb,2008,4.应用范围和适用群体,管理人员“是否应该进行IT投资？”、“如何进行IT投资”“IT投资是否得到了期望的回报？”“业务需求是否得到了IT的支持和满足？”用户（业务过程所有者）“IT的安全和服务是否和怎样得到足够的保证？”“信息系统是否和怎样有效的运行？”IT审计师“怎样对具体企业制定审计计划？”“对具体IT过程要审计哪些项目？”“怎样使将审计过程与用户日常系统控制统一协调？”,杨洋，yycisa,Feb,2008,5.内容与结构,第三版结构,杨洋，yycisa,Feb,2008,5.内容与结构,杨洋，yycisa,Feb,2008,5.内容与结构,第四版（4.1）结构变化：整合：执行概要、框架、控制目标、管理指南变更：审计指南签证指南新增：IT治理实施指南（ValueIT）保留：ToolKit,杨洋，yycisa,Feb,2008,1.域与过程的划分2.整体控制目标一览3.管理指南的工具和意义4.内容选读,二、控制目标与管理指南导读,杨洋，yycisa,Feb,2008,1.域与过程的划分,4个域，34个过程，215个具体控制目标：计划域组织（PO）：10个过程获取与实现（AI）：17个过程交付与支持（DS）：13个过程监控与评价（ME）：4个过程,杨洋，yycisa,Feb,2008,1.域与过程的划分,杨洋，yycisa,Feb,2008,2.整体控制过程一览,P01定义IT战略计划P02定义IT信息架构P03确定技术导向P04定义IT过程/组织和关系P05IT投资管理P06传递管理目标和方向P07IT人力资源管理P08质量管理P09IT风险评估及管理P10项目管理,杨洋，yycisa,Feb,2008,2.整体控制过程一览,AI1识别自动化解决方案AI2获取并维护应用软件AI3获取并维护技术基础设施AI4保障运营和使用AI5获取IT资源AI6变革管理AI7安装/授权解决方案和变更,杨洋，yycisa,Feb,2008,2.整体控制过程一览,DS1定义和管理服务水平DS2管理第三方服务DS3性能管理和容量管理DS4确保服务的连续性DS5确保系统安全DS6确定并分配成本DS7教育和培训用户DS8服务台和紧急事件管理DS9配置管理DS10问题管理DS11数据管理DS12物理环境管理DS13运营管理,杨洋，yycisa,Feb,2008,2.整体控制过程一览,ME1监控和评价IT绩效ME2监控和评价内部控制ME3确保与法律的符合性ME4提供IT治理,杨洋，yycisa,Feb,2008,3.管理指南的工具和意义,关键成功因素（CSF）：管理者“应该作什么？”在每一个过程中最重要的因素或控制活动可以作为IT投资的指导,杨洋，yycisa,Feb,2008,3.管理指南的工具和意义,关键目标指标（KGI）IT过程“执行后的结果应该作到怎样”若想实现业务目标，该过程执行后必须达到哪些指标?,杨洋，yycisa,Feb,2008,3.管理指南的工具和意义,关键绩效指标或关键性能指标（KPI）：怎样判断IT过程当前的状态是否良好当前过程是否需要调整？,杨洋，yycisa,Feb,2008,3.管理指南的工具和意义,成熟度模型（CMM）：为每一个过程定义了六种成熟度级别管理者可以评价本组织在该过程控制上所处的级别，然后通过与同行业标竿企业相比较，判断自身所处的先进程度、竞争优势和改进方向。,杨洋，yycisa,Feb,2008,3.管理指南的工具和意义,杨洋，yycisa,Feb,2008,4.内容选读与讨论,参考材料：COBIT4.1文档,杨洋，yycisa,Feb,2008,1.内容结构2.内容选读与讨论3.案例分析,三、审计与签证指南导读,杨洋，yycisa,Feb,2008,1.内容结构,第3版审计指南结构：高层控制目标（控制过程，共34个）理解内控：面询观察控制评估：检查，判断是否符合性测试：测试实质性测试：执行确认,杨洋，yycisa,Feb,2008,1.内容结构,第4版签证指南结构：详细控制目标（共215个）价值驱动：风险驱动：控制设计测试：控制输出测试：,杨洋，yycisa,Feb,2008,2.内容选读与讨论,参考材料：COBIT4.1文档,杨洋，yycisa,Feb,2008,3.案例分析,案例1：澳大利亚审计署对社会福利信息系统IT管理的审计（基于COBIT标准）案例2：某大型国有企业基于COBIT的IT内审体系,杨洋，yycisa,Feb,2008,实施工具集的内容和作用为企业引入COBIT的一般步骤IT控制诊断表对COBIT常见问题的解答COBIT实施的成功案例,四、实施工具集简介,杨洋，yycisa,Feb,2008,1.IT治理概述2.目标、要素与模型3.IT治理与IT审计,五、特别内容IT治理,杨洋，yycisa,Feb,2008,1.IT治理概述,什么是治理（Governance）？政治学含义,杨洋，yycisa,Feb,2008,1.IT治理概述,公司治理公司治理核心协调目标充分激励公司治理内容财务治理IT治理,杨洋，yycisa,Feb,2008,1.IT治理概述,公司治理：董事会和其他人员为公司具有创建和表达财富有道德行为的机制不同人员(董事会,经理,股东,其它利益相关方(银行,供应商)的责任和权力的分发,监控目标的工具,杨洋，yycisa,Feb,2008,1.IT治理概述,IT治理IT治理由高层管理机构负责，由领导、组织结构和过程构成，其目的在于确保IT能够支撑和扩展组织的战略和目标应该具备的素质（ISACA）IT治理就是一个权责框架。,杨洋，yycisa,Feb,2008,1.IT治理概述,IT治理与IT管理战略层vs战术层所有者vs管理者使用者与对象不同与业务目标关系不同手段和工具不同,杨洋，yycisa,Feb,2008,2.目标、要素与模型,IT治理的目标要解决什么问题？战略协调：如何促使IT专业人员主动按照企业目标去发展IT？投资决策：如何确保IT投资的收益最大？绩效评价：怎样让IT部门不再成为别人眼中的“烧钱部门”？风险管理：如何避免企业因IT而失败？价值管理：如何确保IT对企业确实有用？,杨洋，yycisa,Feb,2008,2.目标、要素与模型,杨洋，yycisa,Feb,2008,2.目标、要素与模型,核心问题：怎样让IT部门与企业高层“一条心”！案例探讨：某银行移动业务基础设施投资决策,杨洋，yycisa,Feb,2008,2.目标、要素与模型,IT治理的要素决策权：投资、架构、需求、决策者：CEO、IT部门、业务部门、各要素之间的冲突与协调,杨洋，yycisa,Feb,2008,2.目标、要素与模型,IT治理的模型：“集权式”“寡头式”“联邦式”,杨洋，yycisa,Feb,2008,2.目标、要素与模型,各模型特点与适用范围案例讨论,杨洋，yycisa,Feb,2008,3.IT治理与IT审计,IT审计在IT治理中的角色：为高级管理层提供领先的实务建议帮助改善IT治理初始实施的质量和效果审计帮助符合IT治理在组织里初始实施,杨洋，yycisa,Feb,2008,3.IT治理与IT审计,IT治理对IT审计（内审）的意义评价IT战略正确性评价未来全局性风险发现重要成本改进,杨洋，yycisa,Feb,2008,1.ITIL/ITSM概述2.ITIL与COBIT3.从ITIL到ISO20000,六、特别内容ITIL与ISO20000,杨洋，yycisa,Feb,2008,1.ITIL概述,IT应用生命周期图,杨洋，yycisa,Feb,2008,ITIL的发展历程,杨洋，yycisa,Feb,2008,ITIL的整体架构,杨洋，yycisa,Feb,2008,各功能模块简介,IT服务管理实施规划（PlanningtoImplementServiceManagement）为客户如何确立远景目标，如何分析现状、确定合理目标并进行差距分析和如何实施活动的优先级，以及如何对实施的流程进行评审，提供了全面指导,杨洋，yycisa,Feb,2008,ICT基础架构管理(ICTInfrastructureManagement)确保提供一个稳定可靠的IT基础架构，以支持业务运营,杨洋，yycisa,Feb,2008,应用管理(ApplicationManagement)协调IT服务管理与应用系统的开发、测试和部署的关系，使它们一致的服务于客户的业务运营,杨洋，yycisa,Feb,2008,安全服务体系结构,安全管理(SecurityManagement)保护IT基础架构，对其采取合适的保护措施，使其免受未经授权的使用,杨洋，yycisa,Feb,2008,业务视角(BusinessPerspective)帮助业务管理者深入了解ICT基础架构支持业务流程的能力与IT服务管理在提供端到端IT服务过程中的作用，其涵盖了业务管理系统、外包管理、持续改进及信息和通讯技术等方面，来实现商业利益,杨洋，yycisa,Feb,2008,服务管理(ServiceManagement)ITIL的核心内容，共分为10个管理流程及1项管理职能，被划分为两组：服务提供和服务支持,杨洋，yycisa,Feb,2008,ITIL的特点,公共框架最佳实践事实上的国际标准基于流程管理的思想质量管理方法和标准已经形成了一个完整的产业,杨洋，yycisa,Feb,2008,ITSM的原理,杨洋，yycisa,Feb,2008,ITSM,服务提供流程服务级别管理IT服务财务管理IT服务持续性管理可用性管理能力管理服务支持流程事故管理问题管理配置管理变更管理发布管理管理职能服务台,服务支持,服务提供,杨洋，yycisa,Feb,2008,服务提供流程,杨洋，yycisa,Feb,2008,服务支持流程,杨洋，yycisa,Feb,2008,ITSM各流程和职能间的关系,杨洋，yycisa,Feb,2008,IT与业务的整合,杨洋，yycisa,Feb,2008,服务级别管理(ServiceLevelManagement)目标确保组织所需的IT服务质量按服务级别协议规定的质量提供，同时在成本范围内得以维持并持续提高主要任务记录服务级别需求(SLR)通过建立或更新服务质量计划(SQP)、与第三方服务商签订外包合同和运营级别协议(OLA)来确保按服务级别协议规定的质量提供签署服务级别协议(SLA)监控提供的服务水平提高服务质量建立和维护服务目录,杨洋，yycisa,Feb,2008,IT服务财务管理(FinancialManagementforITServices)目标帮助IT部门在提供服务的同时加强成本效益核算，以合理利用IT资源、提高效益。主要任务预算编制会计核算成本再分配,杨洋，yycisa,Feb,2008,能力管理(CapacityManagement)包括以下三个子流程：业务能力管理服务能力管理资源能力管理目标确保以合理的成本及时地提供有效的IT服务以满足组织当前及将来的业务需求主要任务定义、规划及管理业务需求提供用于服务的资源监控资源的性能，如果必要，须进行调整规划和实施提升能力计划编制和维护能力计划,杨洋，yycisa,Feb,2008,IT服务持续性管理(ITServiceContinuityManagement)目标在灾难发生的情况下，确保服务运营所需的IT技术和服务实施能够在要求和约定的时间内恢复主要任务根据整个业务持续管理确定IT持续性计划的需求与战略确定IT服务的持续性计划管理持续性过程(培训、测试、评审、变更管理和持续提高过程)紧急情况下业务持续管理与恢复,杨洋，yycisa,Feb,2008,可用性管理(AvailabilityManagement)目标确保IT服务的设计符合业务所需的可用性级别主要任务可用性需求分析确定可用性预期目标确定测量方法编制可用性计划确定实际的可用性计划IT服务可用性的改进,杨洋，yycisa,Feb,2008,服务台（ServiceDesk）目标为用户提供单一的联系点；为实现业务目标提供高质量的支持服务；降低提供和使用IT服务的总体成本；提高了用户的满意度；协助发现商业机会；优化了支持服务的投资和管理；为业务、流程和技术的全面变革提供支持。主要任务接受客户请求（可以通过电话、电子邮件和传真等）记录并跟踪事故和客户意见及时通知客户其请求的当前状况和最新进展根据服务级别协议，初步评估客户请求，尽力解决它们或将其安排给有关人员解决根据服务级别协议的要求，监督规章制度的执行情况并在必要时对其进行修改对客户请求从提出直至终止和验证的整个过程进行管理在需要短期内调整服务级别时及时与客户沟通协调二线支持人员和第三方支持小组提供管理方面的信息和建议以改进服务品质根据用户的反馈发现IT服务运作中产生的问题发现客户培训和教育方面的需求终止事故并与客户一道确认事故的解决情况。,杨洋，yycisa,Feb,2008,具有中央控制的混合式服务台,杨洋，yycisa,Feb,2008,事故管理(IncidentManagement)目标在尽可能小地影响组织及用户业务的情况下使IT系统尽快恢复到服务级别协议所定义的服务级别，以确保最好的服务质量和可用性级别。主要任务及时识别并跟踪发生的事故对事故进行分类并提供初步支持对事故进行调查与分析识别引发事故的潜在原因解决事故并恢复服务跟踪和监督所有事故的解决过程，并随时进行沟通,杨洋，yycisa,Feb,2008,问题管理(ProblemManagement)目标寻找发生问题的根本原因，根据优先级定义首先解决关键性问题，并防止与这些事故相关的事故再次发生，增加支持人员解决问题的能力。主要任务识别和记录问题对问题归类，主要关注影响业务的问题调查问题的根本原因解决问题终止问题,杨洋，yycisa,Feb,2008,配置管理(ConfigurationManagement)三个重要名词CI（ConfigurationItem）IT环境内使用的所有组件，包括软件、硬件、程序、文件等CMDB（ConfigurationManagementDatabase）储存CI所有的相关数据，以及CI与CI之间的关系DSL（DefinitiveSoftwareLibrary）存放和保管所有已批准的最终版本的软件配置,杨洋，yycisa,Feb,2008,目标配置管理有多层目标：计量组织和服务中所使用的所有IT资产和配置项的价值核实有关IT基础架构的配置记录的正确性并纠正发现的错误提供准确的配置信息和相关文档以支持其它服务管理流程（事故管理、问题管理、变更管理和发布管理）主要任务识别相关信息的需求(健全的配置管理的目的、范围、目标、策略和程序)与配置项所有者一起识别和标识配置项，有效的文档、版本及相互关系在中心配置管理数据库中记录配置项建立程序和文档标准以确保只有被授权及可辨别的配置项被记录和可追溯的历史记录是有效的确保数据的永久状态(配置状况报告)对CDMB中记录的配置项进行审验,杨洋，yycisa,Feb,2008,变更管理(ChangeManagement)目标确保在变更实施的过程中使用标准的方法和步骤，从而以最快的速度实施变更，将由变更所导致的业务中断的影响减少到最低。主要任务记录和筛选变更请求(RequestforChange)对RFC进行分类并划分优先级评价RFC对基础架构和其他服务的影响，及非IT流程与不实施RFC的影响实施RFC所需要的资源获得实施RFC的正式批准变更进度安排实施RFC