(完整版)信息系统审计指南(COBIT中文版)

1、COBITCOBIT 言息技术审计指南（3434 个控制目标）计划和组织（选择 3/6/113/6/11 ）1 1 定义战略性的信息技术规划（PO1PO1 POPO 域 控制的 ITIT 过程：定义战略性的 ITIT 规划 满足的业务需求：既要谋求信息技术机遇和 ITIT 业务需求的最佳平衡， 又要确保其进一步地完成 实现路线：在定期从事的战略规划编制过程中， 要逐渐形成长期的计划， 长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划 需要考虑的事项：企业的业务发展战略ITIT 如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单 追踪技术市场适时的可行性研究和现实性检查已有

2、系统的评估 在风险、进入市场的时机、质量方面，企业所处的位置 需要高级管理层出钱、支持和必不可少的检查 信息规范 ITIT 资源 P P 效果 * * 人员 S S 效率 * * 应用 保密 * * 技术 完整 * * 设施 可用* * 数据 遵从 可靠1.11.1 作为机构长期和短期计划一部分的 ITIT 高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。 在这一 方面，高级管理层应确保 ITIT 有关事项以及机遇被适当地评估， 并将结果反映到机构的长期和短期计划 之中。ITIT 的长期、短期计划应被开发，确保 ITIT 的运用同机构的使命与业务发展战略相结合。1.21.2 I

3、TIT 长期计划I IT T管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现 的 ITIT 长期计划负责。计划编制的方法应包括寻求来自受 ITIT 战略计划影响的相关内 外部利害关系人引入的机制。相应地，管理层应执行一个长期计划的编制过程，采用一种结构化的方法，并建立一个标准的计划结构 1.31.3 ITIT 长期计划编制方法与结构 对于长期计划的编制过程来讲， ITIT 管理层和业务过程的所有者应建立并采用一种 结构化的方法。这样可以制定出高质量的计划，含盖什么、谁、怎样、什么时间 和为什么等基本的问题。 ITIT 计划的编制过程应考虑风险评估的结果，包括业务、 环境、技术

4、和人力资源的风险。 计划编制期间， 需要考虑和充分投入的方面包括： 机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三 方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、 数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。 ITIT 长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计 划，比如机构的质量计划和信息风险管理计划。1.41.4 ITIT 长期计划的变更ITIT 管理层和业务过程所有者应确保及时、准确地修改 ITIT 长期计划的过程的到位， 以适应机构长期计划的变化和 ITIT 环境的变化。管理层应建立一个 I

5、TIT 长期和短期计 划开发和维护所需要的政策。1.51.5 ITIT 功能的短期计划编制ITIT 管理层和业务过程的所有者应确保 ITIT 长期计划有规律地转换成ITIT 短期计划。这 样的短期计划应确保适当的 ITIT 功能资源以与 I IT T长期计划内容相一致的基础上来 分配。短期计划应定期地进行再评估，并被作为适应正在变化的业务和 ITIT 环境所 必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启 动的。1.61.6 ITIT 计划的交流管理层应确保 ITIT 长期和短期计划同业务过程所有者以及跨越机构的其他相关部 门人员的充分沟通。1.71.7 ITIT 计划

6、的监控和评估管理层应建立一个流程，获取和报告来自业务过程所有者和用户有关长期和短期 计划的质量及有效性的反馈。获取的反馈应予以评估，并在将来的 ITIT 计划编制中 加以考虑。1.81.8 现有系统的评估在开发或变更战略规划或长期计划、ITIT 计划之前，ITIT 管理层应按照业务自动化的 程度、功能性、稳定性、复杂性、成本、优势和劣势，评估现有信息系统，以确 定现有系统支持机构业务需求的程度。对高级和详细的控制目标进行审计：获得了解： 访谈： 首席执行官（ CEOCEO）首席运营官（ COOCOO）首席财务官（ CFOCFO）首席信息官（ CIOCIO）ITIT 计划 / / 指导委员会成员

7、ITIT 高级管理层和人力服务职员获得： 与计划编制过程想关联的政策和程序 高级管理层的指导角色和责任 机构的目标和长短期的计划ITIT 的目标和长短期的计划状况的报告和计划 / / 指导委员会的会议纪要评估控制：考虑是否：ITIT 或者业务的企业政策和程序选择了一种结构化的计划编制方法方法到位，以便明确地表达并能够修改计划，起码它们要包括：? ? 机构的使命和目的? ?支持机构使命和目的的 ITIT 初始? ? ITIT 初始的机遇? ? ITIT 初始的可行性的研究? ? ITIT 初始的风险评估? ?当前和未来 ITIT 的最佳投资? ?反映企业使命和目的变化的 ITIT 初始的再造?

8、? 数据应用、技术和机构可选择战略的评估机构的变化、技术的发展、规章的要求、业务过程的再造、员工的安置、自己开 发和外包，等等被考虑，并在计划编制过程中充分地从事长短期的 ITIT 计划存在，是当前的，充分针对全部企业、它的使命和关键的业务职 能部门ITIT 项目由 ITIT 计划编制方法中确定的适当文档所支持确保 ITIT 目标和长短期计划持续地满足机构目标和长短期计划的检查点存在由过程所有者和高级管理层评价和结束的 ITIT 计划发生根据业务自动化程度、功能性、稳定性、复杂性、成本、优势和弱点，ITIT 计划评估现有的信息系统 对信息系统及其支持的基础设施的长期计划编制的缺乏， 导致系统不

9、能支持企业 的目标和业务的过程，或者不能提供适当的完整、安全和控制评定遵从性：测试：来自反映计划编制过程的 ITIT 计划编制/ /指导委员会的会议纪要计划编制方法的可交付使用物的存在，作为预先的规定相关 ITIT 的初始被包括在 ITIT 长短期的计划当中 （也就是硬件的变化、容量计划编制、 信息体系结构、新系统开发或获取、灾难恢复计划编制、新处理平台的安装，等 等）ITIT 初始支持长短期计划，并要考虑调查、培训、人员安置、设施、硬件和软件的需求ITIT 初始的技术含义已经被确定最优化当前和将来 ITIT 投资的考虑已经给出ITIT 长短期计划与机构的长短期计划和组织的需求保持一致计划已经

10、发生改变，以反映正在变化的条件ITIT 长期计划定期转化成短期计划存在实现计划的任务 证实没有满足业务目标的风险： 执行：依照类似的机构或者适当的国际标准/ /公认的行业最好实践的战略ITIT 计划的基准 确保 ITIT 初始反映机构的使命和目的的 ITIT 计划的详细评价决定是否机构之内已经知道的虚弱区域正在被确认为计划当中ITIT 解决方案的一部分而加以改进的 ITIT 计划的详细评价 确定：满足机构使命和目的的 ITIT 失败与长期计划相匹配的短期计划的 I IT T 失败 满足短期计划的 I IT T 项目的失败满足成本和时间准则的 ITIT 失败 错过的业务机遇错过的 ITIT 机遇

11、 2 2 定义信息体系结构（ PO2PO2）控制的 ITIT 过程：定义信息体系结构满足的业务需求：优化信息系统的机构实现路线：创建并维护一个业务信息模型，确保定义适当的系统，以优化信息的使用需要考虑的事项：自动化的数据存贮和字典数据语法规则数据所有权和关键性 / / 安全性程度分类表述业务的信息模型 企业信息体系结构标准信息 信息规范 ITIT 资源P P 效果 人员S S 效率 * * 应用S S 保密 技术S S 完整 设施可用 * * 数据 遵从 可靠信息体系结构模型信息应与需求保持一致， 并应以某种格式和期限进行识别、 获取和交流， 而这些 格式和期限能使人们及时、 有效地履行他们的

12、职责。 相应地， 围绕企业的数据模 型和相关的信息系统， ITIT 的职能应是建立并有规律地更新信息体系结构模型。 信 息体系结构模型应与 ITIT 长期计划保持一致。企业数据字典和数据语法规则I IT T的职能应确保包含机构数据语法规则的企业数据字典的建立以及持续的更新。数据分类方案在按信息类别（如安全类）进行分类的数据放置以及所有权分配方面， 应建立一 个总体的分类框架，应适当定义各类别的访问规则。安全等级 对于上述确定的每一个“不需要保护”级别以上的数据分类，管理层应定义、执 行和维护这些安全等级。 对于每一个分类来讲， 这些安全等级应描述适当的 （最 小的）一套安全和控制尺度， 应定期

13、进行再评估并做相应的修改。 对于区域范围 广阔的企业， 应建立支持不同安全等级的标准， 以适应正在发展的电子商务、 移 动计算和远程办公环境的需要。对高级和详细的控制目标进行审计：获得了解：访谈：首席信息官（ CIOCIO）ITIT 计划/ /指导委员会成员ITIT 高级管理层安全官获得： 与信息体系结构相关的政策和程序 信息体系结构模型支持信息体系结构模型的文档，包括企业数据模型企业数据字典 数据所有者政策高级管理层指导的角色和责任ITIT 的目标和长短期计划状况报告和计划编制 / / 指导委员会会议纪要评估控制：考虑是否：ITIT 政策和程序选择了数据字典的开发和维护用于修改信息体系结构模

14、型的过程是以长短期计划为基础的，考虑了相关成本和 风险，并且该模型变化之前，要确保高级管理层同意有一个过程用来保持数据字典和数据语法规则处于最新状态 有一个媒介用来分发数据字典，确保开发区域的可达性并立即反映变化ITIT 政策和过程要选择数据的分类，包括安全种类和数据所有者，数据分类的访问 规则要被清晰和适当地定义 要为那些不包含数据分类标识符的数据资产定义缺省的分类标准ITIT 政策和程序要选择以下内容：? ? 需要数据所有者 （在数据所有者政策上定义） 的授权过程要到位， 以便批准该 数据的所有访问以及数据的安全属性? ? 每一个数据分类的安全等级要被定义? ? 访问等级被定义，并且对于数

15、据分类来说是适当的? ? 访问敏感数据需要清楚的访问级别，数据的提供要以“需要知道”为基础评定遵从性：测试：信息体系结构模型上的变化，确定这些变化反映了 ITIT 长短期计划及其所确定的成 本和风险 评估数据字典的任何修改以及数据字典上变化的影响，确保它们被有效地沟通 各种运作的应用系统和开发项目，以确定数据字典被用作数据定义 足够的数据字典文档， 以确定这些文档为每一个数据项定义了数据的属性和安全 等级数据分类、安全等级、访问等级和缺省的适当性 每一个数据分类都要清晰地定义：? ? 谁可以访问? ? 谁对决定适当的访问级别负责? ? 所需访问的明确批准? ? 访问的特定需求（也就是非披露或者

16、保密性协议）证实没有满足业务目标的风险：执行：依照类似机构或适者国际标准 / / 公认的行业最好实践的信息体系结构模型的基准 针对关键元素的完整性，数据字典的详细评价 对定义为敏感数据的安全等级的详细评价，以校验访问的适当授权被获得， 被许可的访问与定义在 ITIT 政策和程序中的一致 确定：信息体系结构模型和企业数据模型、企业数据字典、相关信息系统以及 ITIT 长短期 计划中的矛盾 过时的企业数据字典项和由于数据字典变化的不良的沟通丧失了时效性的数据 语法规则？所有者不清楚和 / / 或没有适当定义的数据项 没有被适当定义的数据分类 与“需要才能知道”的原则不一致的数据安全等级3 3 决定

17、技术方向（ PO3PO3）控制的 ITIT 过程：决定技术方向 满足的业务需求：利用目前可用的和正在出现的技术，推动业务战略的实施并使业务战略成为可能 实现路线：建立并维护技术基础设施计划，该计划，依据产品、服务和交付机制，建立并管 理技术能够提供的清晰和现实的预期 需要考虑的事项： 当前基础设施的容量 通过可靠的来源，监测技术发展 引导概念的检验 风险、约束和机遇 获取的计划 移植战略和路线 与供应商的关系 独立的技术再评估 硬件和软件的性能 / / 价格比的变化 信息规范 ITIT 资源 P P 效果 人员S S 效率 应用 保密 * * 技术 完整 * * 设施 可用 数据 遵从 可靠

18、3.13.1技术基础设施计划编制ITIT 的职能部门应建立并有规律地更新与 ITIT 长期和短期计划保持一致的技术基础 设施计划。这样的计划应围绕诸如系统体系结构、技术方向和移植策略等方面。监测未来的趋势和法规ITIT 的职能部门应能够确保对未来趋势和法规环境的持续监测， 以便这些因素能够 在技术基础设施计划的开发和维护期间被考虑在内。技术基础设施的不确定事件技术基础设施计划应在偶然事件方面 （即基础设施的冗余、 恢复、充足性和发展 能力）进行系统地评估。硬件和软件获取计划ITIT 管理层应确保制定硬件和软件的获取计划， 并要反映在所确定的技术基础设施 计划的需求中。3.53.5 技术标准 以

19、技术基础设施计划为基础， ITIT 管理层应定义技术规范以培养标准化的意识。对高级和详细的控制目标进行审计：获得了解：访谈：首席执行官（ CEOCEO）首席运营官（ COOCOO）首席财务官（ CFOCFO）首席信息官（ CIOCIO） ITIT 计划 / / 指导委员会成员 ITIT 高级管理层获得： 与技术基础设施计划编制和监控相联系的政策和程序 高级管理层指导角色和责任机构目标和长短期计划ITIT 目标和长短期计划ITIT 硬件和软件获取计划 技术基础设施计划 技术标准 状况报告和计划编制 / / 指导委员会会议纪要评估控制：考虑是否：为确认被提议的变化首先被检查以评估相关联的成本和风险

20、， 为确认高级管理层 的批准先于计划的变化被获得， 有一个创造并有规律地更新的技术基础设施计划 的过程 技术基础设施计划与 ITIT 长短期计划相比较 有一个过程来评估机构的当前技术状态， 确保环绕诸如系统体系结构、 技术方向 和移植战略等方面ITIT 政策和程序确保选择了评估和监控当前和将来的技术趋势和规章条件的要求， 并且在技术基础设施计划的开发和维护期间被考虑 技术获取的后勤和环境影响要被计划ITIT 政策和程序确保选择了系统地评估技术计划意外的需求 （也就是基础设施的冗 余、恢复力、足够性和发展能力）ITIT 管理层评估正在出现的技术，并将适当的技术合并到当前的ITIT 基础设施之中对

21、于硬件和软件的获取计划来讲，它是遵从技术基础设施计划中所确定的要求并 被适当地批准的实践在技术基础设施计划中所描述的技术组成的技术标准是到 位的评定遵从性：测试：ITIT 管理层理解并使用技术基础设施计划 技术基础设施计划上的变化，以确定相关的成本和风险，这些变化要反映在 ITIT 长短期计划的变化中ITIT 管理层要理解监控和评估正在出现技术的过程， 并要将适当的技术合并到当前 的 ITIT 基础设施之中ITIT 管理层要理解系统评估技术计划意外的过程（也就是说，基础设施的冗余、恢 复力、充足性和发展能力）为了充分地适应目前的已安装的硬件 / / 软件以及在当前被批准的增加的新的硬件/ /软

22、件，ITIT 职能部门现有的物理环境硬件和软件获取计划遵从 ITIT 长短期计划， 并要反映技术基础设施计划中所确认的 需求技术基础设施计划选择利用当前和将来的技术 技术标准被遵循，并作为开发过程的一部分而被合成一体 被允许的访问与 ITIT 政策和程序中所定义的安全等级相一致，到位的访问要经过适 当的授权证实没有满足业务目标的风险：执行： 依照类似的机构或者适当的国际标准 / /公认的行业最好实践的技术基础设施计划 编制的基准针对关键元素的完整性，数据字典的详细评价 为敏感数据而定义的安全等级的详细评价确定：信息系统和 ITIT 长短期计划相关的信息体系结构模型和企业数据模型、企业数据字 典

23、的矛盾 企业数据字典条款和数据语法规则的过时 没有在技术基础设施计划中选择的以外方面 没能反映技术基础设施计划需求的 ITIT 硬件和软件的获取计划 与技术标准不一致的技术基础设施计划或 ITIT 硬件和软件获取计划 数据字典中丢失的关键元素 没有按照同样标准分类或者没有安全等级的敏感数据4 4 定义信息技术的机构及关系（ PO4PO4） 控制的 ITIT 过程：定义 ITIT 的机构及关系满足的业务需求：提供正确的 ITIT 服务实现路线：定义一个数量上相配、 具有角色和职责所要求技能的机构， 与业务部门沟通、 联 合在一起，促进战略的实现，并规定有效的方向和适当的控制需要考虑的事项：董事会

24、层面上的 ITIT 职责 管理层对于 ITIT 的指导和监督ITIT 与业务的结合关键决策过程中 ITIT 的参与 机构的灵活性 清晰的角色和职责 平衡授权与监督 工作岗位的描述 人员级别和关键的人员 在安全、质量和内部控制功能方面的机构配置 职责的分离信息规范 ITIT 资源 P P 效果 * * 人员 S S 效率 应用 保密 技术 完整 设施 可用 数据 遵从 可靠4.14.1 ITIT 计划或指导委员会机构的高级管理层应指定一个计划或者指导委员会，来检查 ITIT 的职能及其活动。委员会的会员应包括来自高级管理层、 用户管理层和 ITIT 职能方面的代表。 委员会 应实行例会制度，并向

25、高级管理层报告。4.24.2 ITIT 职能的机构设置在整个机构机构设置 ITIT 职能过程中，高级管理层应确保其权力、关键时刻以及与 用户部门的独立性到必要的程度，以便在执行时能够保证有效的 ITIT 解决方案和充 分的进展，并要建立与顶级管理层的伙伴关系，以便在确定和解决 ITIT 问题时，能 够帮助他们增强意识、理解和技能。机构绩效的评价 应设置一个框架来评价机构的机构，以不断地满足目标和变化的环境。角色和责任 管理层应确保机构中所有人员都具有并理解他们在相关信息系统中的角色和责 任。所有的人员应具有足够的权力来行使分派给他们的角色和责任。 角色的设置 应考虑适当的职责分离。没有那个人能

26、够控制一个交易或事件的所有关键环节。每个人都应认识到他们在内部控制和安全方面具有一定的责任。因此，应机构并 承担起有规律的一些活动，以增强这方面的意识和纪律。质量保证的责任管理层应为 ITIT 职能部门的成员分配质量保证职能履行的责任， 并确保适当的质量 保证、系统、控制和存在于 ITIT 职能质量保证小组中的专家们的交流。ITIT 职能内机 构的布置以及质量保证小组的职责和规模应满足机构的需求。逻辑和物理安全的责任管理层应为信息安全经理正式地分配确保机构信息资产物理和逻辑安全的责任， 并负责向高级管理层报告。 最起码，安全管理职责应建立在整个机构范围的层次 上，以便能够处理一个机构内的全部安

27、全问题。 如果需要， 系统细节层次上的附 加安全管理责任也应被分配，以应对相关的安全问题。所有者和管理者管理层应正式建立一个指定数据所有者和管理者的结构。他们的角色和责任应清 楚地定义。数据和系统的所有者管理层应确保所有信息资产（数据和系统）都已指定了所有者，他们对信息资产 的分类和访问权限具有决策的权利。 典型地，系统所有者可以将日常管理委派给 系统的交付 / /操作小组，将安全职责委派给安全管理员。然而，所有者仍然要保 留对适当安全尺度维护的责任。监督高级管理层应执行适当的 ITIT 职能的监督实践， 以保证角色和责任被完全地行使，评估所有的个人是否有足够的权力和资源完成他们的角色和职责，

28、 并要全面地评 价关键的绩效指标。4.104.10 职责分离高级管理层应实施角色和职责的分离，避免单独的个人扰乱某个关键的过程。 管 理层还应确定每个人仅执行其工作和职位规定的各自的职责。 尤其是下列职责之 间责任分离的应维护。信息系统使用 数据录入 计算机操作 网络管理 系统管理 系统开发和维护 变更管理 安全管理 安全审计4.114.11 ITIT 人员配备员工需求评估应有规律地执行， 以保证履行 ITIT 职能所需足够数量能胜任的 ITIT 员 工。员工需求应至少每年评估一次， 或根据业务、运作及 ITIT 环境的主要变化而执 行。评估结果应尽快执行，以确保现在和将来员工的充足。ITIT

29、 员工工作和职位的描述管理层应确保建立 ITIT 员工的职位描述，并有规律地被更新。这些职位描述应清楚 地描绘权力和责任两方面， 包括相关职位要求的技能和经验的详细说明， 并要适 合在绩效评估中使用。关键的 ITIT 人员ITIT 管理层应详细说明和识别关键的 ITIT 人员。与员工签约的政策和程序为了 ITIT 职能部门控制咨询和其它签约个人的活动， 确保机构的信息资产处于保护 之中，管理层应详细说明和执行相关的政策和程序。关系ITIT 管理层应采取必要的行动，在 ITIT 职能部门和其它各种有利害关系的内外部 ITIT 职能部门（即用户、供应商、安全官员、风险管理者）之间，建立并维持一个最

30、 佳的协调、交流、联络的结构。对高级和详细的控制目标进行审计：获得了解：访谈： 首席执行官（ CEOCEO） 首席运营官（ COOCOO）首席财务官（ CFOCFO） 首席信息官（ CIOCIO） 质量保证官 安全官ITIT 计划/ /指导委员会成员、人力资源和高级管理层获得： 高级管理层计划 / /指导角色和责任 机构目标和长短期计划ITIT 目标和长短期计划 展示 ITIT 职能部门与及其它职能部门关系的机构机构图 与 ITIT 机构和关系相关联的政策和程序 与质量保证相关联的政策和程序 用来决定 ITIT 人员需求的政策和程序ITIT 职能部门的机构机构图 ITIT 职能部门的角色和责任

31、 ITIT 关键位置（工作）的描述 状况报告和计划 / /指导委员会会议纪要评估控制：考虑是否： 来自高级管理层的政策声明和沟通确保 ITIT 职能部门的独立和权威ITIT 计划/ /指导委员会的成员和职能部门已经被定义，责任已经被确定ITIT 计划/ /指导委员会的章程使委员会的目的与机构的目标和长短期计划以及ITIT 的目标和长短期计划联盟 增强确定和解决信息管理问题的意识、理解和技能的过程到位 政策选择了满足正在变化着的目标和环境的机构机构的评估和修改的要求 决定 ITIT 职能部门效果和承诺的过程和绩效指标存在 高级管理层要确保角色和责任被执行 勾画机构内所有个人有关信息系统内部控制和

32、安全的角色和责任的政策存在 增加内部控制和安全意识以及纪律的有规律的活动存在 质量保证的职能部门和政策存在 质量保证职能部门要充分地独立于系统开发人员， 并要有执行其责任的适当人员 和专门技术 确定时间资源并确保质量保证测试的完成以及系统或者系统变化被执行前的审 批的质量保证之内的过程要到位 为了安全官的内部控制和安全 （逻辑和物理两者） 政策和程序的明确表达， 管理 层应正式地分配机构范围内的责任 安全官的职位的角色和责任的了解被充分地理解，并被证明与机构的信息安全政 策一致机构的安全政策清晰地定义每一个信息资产的所有者 （如， 用户、管理层 和安全管理员）被要求执行的信息安全的责任 含盖数

33、据和系统所有者所有主要数据源和系统的政策和程序存在 有规律地评价并维护数据和系统所有者变化的程序存在描述监督实践， 确保角色和责任被适当地行使， 并且所有的人员有足够的权威和 资源执行其角色和责任的政策和程序存在下列一对职责要分离：? ? 系统开发和维护? ? 系统开发和运行? ? 系统开发 / / 维护和信息安全? ? 运行和数据控制? ? 运行和用户? ? 运行和信息安全ITIT 的人员安置和能力被维护，以确保其具有提供有效技术解决方案的能力ITIT 职位（工作）描述的评估和再评估的政策和程序存在 对于关键的过程，包括系统开发生命周期活动（需求、设计、开发、测试）、信 息安全、获取和容量的

34、计划编制，适当的角色和责任存在 在实现机构的目标方面，使用适当和有效的关键绩效指标和 / / 或关键成功因素测 量 ITIT 职能部门的结果控制咨询者和其它契约人员活动的 ITIT 政策和程序存在， 从而确保机构的资产的保 护适用于已签约 ITIT 服务的适当性的过程， 并要与机构的获取政策一致调整、 沟通和归档I IT T职能部门高级职员会内外部兴趣的过程存在 评定遵从性 ： 测试：ITIT 计划/ /指导委员会检查 ITIT 职能部门及其活动以及解决行动条款ITIT 职能部门报告层次的适当性在机构关于为顶级管理层提供合作伙伴关系方面，ITIT 职能部门的位置的有效性 高级 ITIT 管理层

35、了解用来监控、测量和报告 ITIT 职能部门绩效的过程 用来评估绩效的关键指标当实际结果不能满足目标水平， 依照目标水平， 决定所采取的校正行动的分析实 际结果的过程为了来自期望的绩效水平的任何重大差异，由管理层所采取的行动用户/ /所有者管理层评估 ITIT 职能部门提供满足用户/ /所有者需求的信息技术解决 方案的反应速度和能力ITIT 管理层知道其角色和责任涉及 ITIT 项目计划的测试和审批的质量保证 安全人员评价核心操作系统和应用系统 到位或正在开发的评估信息安全 （逻辑和物理两者） 的安全职能部门报告或文档 的适当性信息安全政策和程序的充分了解和一致应用 出席信息安全和内部控制培训

36、的人员 对于所有的信息资产， 数据和系统所有权被定义 数据和系统所有者审批数据和系统制造的变化 所有的数据和系统具有一个所有者或者管理人， 他们负责控制数据和系统的水平 所有数据和系统资产的访问由资产的所有者审批与职位（工作）相联系的权利和监督的直线要与在职者的义务相称职位（工作）描述清楚地描绘权利和责任两者 职位（工作）描述清楚地描述所需的业务、相关的和技术的资格 职位（工作）已经被精确地沟通，并由个人所理解ITIT 职能部门的职位（工作）描述包含已经沟通给个人的关键绩效指标ITIT 职员的义务和责任要对应于已经公布的职位 （工作）描述和机构的机构图两者 关键职位的职位（工作）描述到位，包括

37、机构关于信息系统、内部控制和安全的 训令职位（工作）描述的精确性要与这些职位在职者的当前责任相比较遵从 ITIT 职能部门内有意的职责分离以及职责限制的种类和范围ITIT 人员安置的维持能力 作为责任、权利和绩效标准的适当性和透明度的基础，职位（工作）描述的适当 性合同管理的责任分配给了适当的人员 合同的术语与正常的机构合同的标准相一致， 标准契约术语和条件已经由法律的 律师评价和评估，它们的同意意见要获得合同包含适当的有关遵从性的条款： 法人的安全和内部控制政策、信息技术标准 过程和 / / 或结构规定成功关系所必须的有效果和有效率的协调证实没有满足业务目标的风险：执行： 依照类似的机构或者

38、适当的国际标准 / / 公认的行业最好实践的机构和关系的基准 决定由无效的I IT T计划/ /指导委员会所引起的机构方面影响的详细评价在处理信息系统问题和执行技术解决方案方面， 测量 ITIT 职能部门进步的详细评价 评估机构的机构、人员和个人能力、分配的角色和责任、数据和系统所有权、监 督、职责分离等的详细评价 决定在满足机构需求的有效性方面的质量保证职能部门的详细评价 决定在提供机构范围内信息安全 （逻辑和物理两者） 和信息安全意识培训有效性 方面的安全职能的详细评价 确定这些合同已经由交易双方适当地执行并且遵从机构的标准合同术语的合同 实例的详细评价确定：由于I IT T计划/ /指导

39、委员会无效监督所引起的I IT T职能及其活动的弱点导致 ITIT 职能无效果或无效率的机构机构的缝隙、重叠，等等 不适当的机构机构、缺少的职能、不充足的人员、能力不足、不适当的角色和责 任、数据和系统所有权的混乱、监督的问题、缺乏职责分离，等等 确实满足质量保证要求的正在开发、修改或者执行的系统确实满足安全（或者是逻辑的，或者是物理的，或者是两者兼顾）需求的正在开 发、修改或者执行的系统不能满足机构的合同要求的合同ITIT 职能部门和各种各样其它有兴趣的 ITIT 职能部门的内外之间的无效协调和沟通5 5 管理信息技术投资（ PO5PO5）控制的 ITIT 过程：管理 ITIT 投资满足的业

40、务需求： 保证资金并控制财务资源的支出实现路线：由业务决定的定期投资和运作预算的建立和审批需要考虑的事项：资金的选择清晰的预算所有者 实际支出的控制 成本的合理性和所有者总成本的意识 收益的合理性和收益实现的责任制 技术和应用软件的生命周期 要与企业的业务战略相结合效果的评估资产管理信息规范 ITIT 资源P P 效果 * * 人员P P 效率 * * 应用保密 * * 技术完整 * * 设施可用 数据遵从S S 可靠5.15.1 年度 ITIT 运营预算高级管理层应执行预算编制过程，按照机构的长期和短期计划以及ITIT 的长期和短 期计划，保证年度 ITIT 运作预算的建立和批准。应调查资金

41、的选择。5.25.2 成本和收益的监控管理层应建立成本监测的过程，将实际支出与预算进行比较。此外，由 ITIT 活动衍 生出来的可能存在的收益应被确定和报告。 对于费用监测来讲， 实际数据的来源 应以机构的会计系统为基础，该系统应例行公事地纪录、处理并报告与 ITIT 职能部 门的活动相关的成本。对于收益的监测来讲， 高层次的绩效指标应被详细地说明， 有规率地进行报告并对其适当性进行评价。5.35.3 成本和收益的合理性 管理控制应设置到位，以保证 ITIT 职能部门交付服务的成本是合理的并符合行业标 准。由 ITIT 活动衍生出来的收益也应做同样应的分析。对高级和详细的控制目标进行审计：获得

42、了解：访谈：首席财务官（ CFOCFO） 首席信息官（ CIOCIO）ITIT 计划/ /指导委员会成员ITIT 高级管理层获得： 与预算和成本核算相联系的机构的政策、方法和程序 与预算和成本核算相联系的I IT T政策和程序 当前和最近的以前年度 ITIT 职能部门的年度运作预算 机构目标和长短期计划ITIT 目标和长短期计划高级管理层计划 / /指导的角色和责任 与差异监控和控制相连接的差异报告及其它沟通状况报告和计划 / /指导委员会会议纪要评估控制：考虑是否：ITIT 预算的过程与机构的过程一致确保与机构的预算、机构的长短期计划、ITIT 长短期计划相一致的年度 ITIT 运作预算 的

43、准备和适当审批的政策和程序的到位预算过程要与在准备阶段起作用的 ITIT 职能部门的主要单位的管理层分享 有规律地监控实际成本， 并将其与计划的成本相比较的政策和程序要到位， 实际 的成本是以机构的成本会计系统为基础的 保证 ITIT 职能部门的服务交付具有合理的成本并遵守行业成本的政策和程序到位评定遵从性：测试：在证明 ITIT 年度运作计划是合理的方面，ITIT 预算的支持是适当的ITIT 支出的种类是全面的、适当的并进行了适当的分类日常记录、 处理和报告与 ITIT 职能部门活动相联系的成本的系统是适当的 成本监控过程充分地比较实际的预算由受影响的用户组的管理层、ITIT 职能部门以及机

44、构的高级管理层所进行的成本 / /效益分析被充分地评价 用来监控成本的工具是有效的并适当地使用证实没有满足业务目标的风险：执行：依照类似的机构或者适当的国际标准 / / 公认的行业最好实践的预算和成本的基准 最近的过去和当前的年度预算， 及与之相对的结果、差异和所采取的校正行动的 详细评价 确定：没有按照机构的预算和长短期计划、ITIT 长短期计划懂得 ITIT 预算 没有被捕捉到的 ITIT 职能部门的实际成本6 6 沟通管理的目标和方向（ PO6PO6）控制的 ITIT 过程：沟通管理的目标和方向 满足的业务需求： 确保用户知晓并理解这些目标 实现路线：建立政策并与用户团体进行交流； 此外

45、，需要建立标准， 以便将战略性选择转化 为实际及便于使用的用户规则 需要考虑的事项： 清晰统一的使命 连接业务目标的技术方针 行为/ / 道德规范的法规 质量承诺 安全和内部控制政策 安全和内部控制实践 实例引导 持续的沟通程序 提供指导和遵从性检查信息规范 ITIT 资源 P P 效果 * * 人员 效率 应用 保密 技术 完整 设施 可用 数据S S 遵从可靠 6.16.1 积极的信息控制环境 为了给正确的行为提供指导， 消除不道德行为的诱惑并严肃纪律， 管理层应建立 一个全机构范围内培育积极控制环境的框架和认知程序。 这些框架和程序应专注 于员工的诚信、伦理价值和能力以及管理哲学、 操作

46、风格和义务。针对 ITIT 的各方 面，包括安全和业务持续性计划，要给予具体的考虑。管理层在政策方面的责任 对于覆盖总体目标和方针的政策而言，管理层应对政策的阐明、开发、声明、公 布和控制承担全部责任。政策适当性的评价应有规率地进行。 撰写的政策及其程 序的复杂性应总是与机构的规模和管理风格相一致。机构政策的沟通 管理层应确保机构政策在机构内的所有层次上被清晰地沟通、 理解并被接受。 沟 通过程应由一套使用灵活多变沟通手段的有效计划所支持。政策执行资源为了政策的执行， 为了确保政策的遵循， 管理层应对适当的资源做出计划， 以使 它们构筑到并成为运作的一个完整组成部分。管理层还应监控政策执行的及

47、时 性。6.56.5 政策的维护政策应被有规率地调整， 以适应变化的条件。 政策起码应按年或者根据运行或业 务环境的重大变化而进行重新评估， 评估它们的充分性和适当性， 并做必要的修 改。对于定期的评价以及标准、政策、方针和程序的审批，管理层应提供一个框 架和过程。6.66.6 遵从政策、程序和标准 管理层应确保合适的程序设置到位，以判定每个人是否理解了执行的政策和程 序，以及这些程序和政策是否被遵循。 伦理道德、 安全和内部控制标准的遵从程 序应由最高管理层来建立，并由实例来促进其贯彻执行。6.76.7 质量义务管理层应定义、形成文件并维护与企业价值观和政策相一致的质量价值观、 政策 和目标

48、，这些质量价值观、政策和目标应被 ITIT 职能部门的所有层次所理解、 执行 和维持。6.86.8 安全和内部控制框架政策 管理层应对开发并维护框架的政策付全部责任， 这个框架设立机构的总体安全和 内部控制的方法，以建立并改善 ITIT 资源的保护和 ITIT 系统的完整。政策应服从总体 业务目标，目标是：通过预防性措施、及时辨识不规范行为、限制损失和及时恢 复，使风险最小化。这种措施应以成本 / / 收益分析为基础，并应区分优先顺序。 另外，管理层应确保这些高层次的安全和内部控制政策详细说明了目的和目标、管理结构、 机构内的适用范围、 在所有层次上执行的责任的定义和分配以及对违 背安全和内部

49、控制政策行为的处罚的定义。应详细说明框架定期再评估的标准，以对正在变化着的机构、环境和技术需求做出支持响应。6.96.9 知识产权 管理层应规定并执行有关自行开发和签约开发软件的知识产权方面的书面政策。6.106.10 特定问题政策措施应设置到位，确保细节问题政策的建立，以便在从事特殊的活动、应用、系 统或技术时，归档管理决策。6.116.11 ITIT 安全意识的沟通应通过一个I IT T安全意识教程， 将I IT T安全政策沟通给每一个I IT T用户，并保证对 ITIT 安全重要性的完整理解。这个教程应传达这样一种信息，那就是 ITIT 安全将使它的机构、它的所有雇员受益, 每个人对此都

50、负有责任。ITIT 安全意识教程应代表管理层的观点并被他们所支持。对高级和详细的控制目标进行审计： 获得了解： 访谈：首席执行官（ CEOCEO） 首席运营官（ COOCOO） 首席财务官（ CFOCFO） 首席信息官（ CIOCIO） 安全官ITIT 高级管理层ITIT 计划/ /指导委员会成员 获得：与管理层的积极控制框架、认知程序、安全和内部控制框架、ITIT 质量程序相关的 政策和程序高级管理层的指导角色和责任 机构的目标和长短期计划ITIT 的目标和长短期计划状况报告和计划 / /指导委员会会议纪要沟通程序 评估控制： 考虑是否：机构的政策和程序创造了一个框架和程序，给予信息技术以特

51、别的关注， 培育一 个积极的控制环境，并选择如下的方面：? ? 完整? ? 伦理价值? ? 行为规范? ? 安全和内部控制? ? 人员的能力? ? 管理哲学和运作风格? ? 由董事会的董事或相同人物提供的问责制、注意和方向 由例子说明顶级管理层促进积极的控制环境 管理层已经接受了明确叙述、开发、归档、发布、控制并有规律地评价治理总目 标和方向的政策的责任 提供相关于管理层的积极的控制环境的正在进行的沟通和培训的正式的认知程 序存在确保适当的和足够的资源被分配，以便以及时的方式执行机构的政策的机构政策 和程序存在 确保个人理解被执行的政策和程序，政策和程序被追随的适当的程序到位 ITIT 政策和

52、程序定义、归档并维持一个正式的治理系统和服务质量的哲学政策和目 标，其产生要与机构的哲学、政策和目标相一致ITIT 管理层确保质量哲学、政策和目标被理解、执行并在 ITIT 职能部门的所有层次上 执行选择了定期评价和重新批准的关键标准、方向、相关于信息技术的政策和程序需 求的程序存在 高级管理层已经接受了为总体的安全和内部控制方法开发一个框架的全部责任 安全和内部控制框架归档了详细的安全和内部控制政策、 目的和目标、 管理结构 机构之内的范围、责任的分配以及遵从安全与内部控制政策失败相关的处罚和惩 戒的定义 正式的安全和内部控制政策确定机构的内部控制过程，包括诸如下述控制组件： ? ? 控制环

53、境? ? 风险评估? ? 控制活动? ? 信息和沟通? ? 监控 归档选择特殊活动、应用、系统或技术的管理决策的发行的特定政策存在评定遵从性：测试：在培育积极的控制方面管理层的努力， 包括诸如这些关键的方面：诚实、 伦理价 值、行为规范、安全 和内部控制、人员的能力、管理哲学和操作风格、问责制、所提供的关注和方向 雇员已经收到了行为规范并理解它 选择机构的内部控制环境的政策的管理层的沟通正在发生 管理层明确叙述、 开发、归档、 发布和控制的包含内部控制环境的政策的资源承 诺正在发生 标准、方向、政策和程序的持续适当性及其适应变化条件能力的管理层的有规律 地评价 管理层的监控努力正在确保适当的和

54、足够的资源被分配以便以及时的方式执行 机构的政策管理层关于其内部控制环境的相关标准、方向、政策和程序的强制努力正确保贯 穿机构的遵从性质量哲学、政策和目标正决定遵从性，并与机构的法人和 ITIT 职能哲学以及政策和 程序相一致挑选的的 ITIT 管理、开发和运行人员正在决定质量哲学， 相关的政策、程序和目标 被理解，并被 ITIT 职能部门内所有层次所遵循 质量测量过程正在确保机构目标的满足 挑选的的管理成员在他们的评价责任之下被包括并理解安全和内部控制活动的 内容（也就是说，例外报告、调和、比较，等等）个人的角色、责任和权利在机构的所有层次上被清楚地沟通和理解挑选的的部门评估日常监控安全和内

55、部控制活动的程序 （也就是说，例外报告、 调和、比较，等等），为管理层提供反馈的过程正在发生挑选的的系统归档确定， 按照机构的政策和程序， 系统特定的管理决策已经被归 档和批准挑选的的系统归档确定， 选择特定活动、 应用系统或技术的管理决策已经由高级 管理层签署证实没有满足业务目标的风险：执行：依照类似的机构或者适当的国际标准 / / 公认的行业最好实践的管理的信息控制框 架和认知程序的基准与项目相关的、以成本 / /效益分析为基础决定项目优先顺序和审批的、被批准的 安全和内部控制实例的详细评价确定：开始怀疑管理层在贯穿机构范围内培育积极的内部控制环境承诺的虚弱的控制 框架选择机构的内部控制环

56、境，有效地沟通其政策的管理失败被分配用来明确叙述、 开发、归档、发布和控制的包含内部控制环境的政策的资 源的缺乏不是最近的标准、方向、政策和程序 确保标准、方向、政策和程序贯穿机构之内遵守的不充分的管理遵从监控ITIT 职能部门在其质量或其有效定义、归档、维持并沟通质量哲学、政策和目标能 力承诺方面的不足在机构的和/ /或I IT T职能部门的安全和内部控制框架方面的弱点 缺少所需要的选择特定活动、应用或技术的特定问题的政策7 7 管理人力资源（ PO7PO7） 控制的 ITIT 过程： 管理人力资源 满足的业务需求：获取和维持一个被激发和有能力的工作队伍，最大化个人对 ITIT 过程的贡献

57、实现路线：在员工的招募、 训练、检查、 报酬、培训、评价、职位升降和解雇中， 体现健全、 公正和透明的人事管理实践 需要考虑的事项：招募和升职 培训和任职要求 意识的建立 交叉培训和轮岗 雇用、检查和解雇程序 目标和可测量绩效的评估 技术和市场变化的响应内部和外部资源的适当平衡 关键职位的继任计划 信息规范 ITIT 资源 P P 效果 * * 人员 P P 效率 应用 保密 技术 完整 设施 可用 数据 遵从 可靠 7.17.1 人员招募和升职 在人员的招募和升职实践中， 管理层应执行并有规律地评估所要求的过程， 以确 保人员的招募和升职实践依据以的标准为基础，并考虑了教育背景、经验和责任。

58、这些过程应符合整个机构在这些方面的政策和程序，比如雇用、方向、培训、评 估、商讨、晋升、报酬和训练等程序。管理层应确保知识和技能需求被不断地评 估，并且要保证机构能够获得一个达到机构目标所需要的相匹配技能的工作队 伍。7.27.2 人员的任职资格ITIT 管理层应有规律地查验执行具体任务的职员， 看看他们在适当的教育、 培训和 （或）经历的方面， 是否具有所需要的资格。 管理层应鼓励它的职员获得专业机 构的认证资格。7.37.3 角色和责任管理层应清晰地说明职员的角色和责任， 包括遵守管理政策和程序、 道德规范和 职业惯例的规定的要求。 雇佣的期限和条件应强调雇员对于信息安全和内部控制 的责任

59、。7.47.4 人员培训 管理层应确保雇员得到雇用方向和在职的培训， 以维持他们的知识、 技能、能力 和安全意识到所需的有效完成工作的水平。 引导有效地提高员工的技术和管理技 能水平的教育和培训程序应被有规律地检查。7.57.5 交叉培训或人员后备 管理层应提供充足的交叉培训或确认的关键人员的备份， 以防不测。 管理层应对 所有关键的职能和岗位建立持续性计划， 应要求敏感岗位的人员休息一段连续的 足够长度的假期，以锻炼机构应付关键人员的效效、预防和探测欺诈行为的能力。7.67.6 人员的调查程序ITIT 管理层应确保他们的员工在被雇用、调离或升职之前，根据他们所在岗位的敏 感性，进行安全调查程

60、序。 一个没有接受过这样安全调查的新雇员， 不应安排在 敏感的岗位，直到他接受了安全调查。雇员工作绩效的评估管理层应执行一个雇员绩效评估流程， 借助有效的奖励机制， 加强员工对于个人 的业绩与机构的成功之间的关系的认识。 评估应依据已经建立的标准和具体的工 作职责有规律地执行。 无论何时，只要是适当的， 雇员应得到业绩方面的忠告或 指导。工作的变更和终止对于工作的变化和终止， 管理层应采取适当和及时的行动， 以便内部控制和安全 不被这样的事件削弱。对高级和详细的控制目标进行审计：获得了解：访谈： 人力资源官和挑选的人员安全官 挑选的安全人员ITIT 经理ITIT 人力资源官挑选的 ITIT 管