信息系统审计指南COBIT-中文版

1、. COBIT信息技术审计指南(34个控制目标)方案和组织选择3/6/111 定义战略性的信息技术规划PO1PO域控制的IT过程：定义战略性的IT规划满足的业务需求：既要谋求信息技术机遇和IT业务需求的最正确平衡，又要确保其进一步地完成实现路线：在定期从事的战略规划编制过程中，要逐渐形成长期的方案，长期的方案应定期地转化成设置清晰并具体到短期目的的操作方案需要考虑的事项：企业的业务开展战略IT如何支持业务目标的明确定义技术解决方案和当前根底设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面，企业所处的位置需要高级管理层出钱、支持和必不可少的检查

2、信息规 IT资源P 效果 * 人员S 效率 * 应用 * 技术完整 * 设施可用 * 数据遵从可靠1.1 作为机构长期和短期方案一局部的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的方案负责。在这一方面，高级管理层应确保IT有关事项以及机遇被适当地评估，并将结果反映到机构的长期和短期方案之中。IT的长期、短期方案应被开发，确保IT的运用同机构的使命与业务开展战略相结合。1.2 IT 长期方案IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期方案负责。方案编制的方法应包括寻求来自受IT战略方案影响的相关外部利害关系人引入的机制。相应地，管理层应执行一个长

3、期方案的编制过程，采用一种构造化的方法，并建立一个标准的方案构造。1.3 IT 长期方案编制方法与构造对于长期方案的编制过程来讲，IT管理层和业务过程的所有者应建立并采用一种构造化的方法。这样可以制定出高质量的方案，含盖什么、谁、怎样、什么时间和为什么等根本的问题。IT方案的编制过程应考虑风险评估的结果，包括业务、环境、技术和人力资源的风险。方案编制期间，需要考虑和充分投入的方面包括：机构的模式及其变化、地理的分布、技术的开展、本钱、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系构造。已做出选择的好处应被明确地确定下来。IT长

4、期和短期方案应使绩效指标和目标合并在一起。方案本身还应参考其它的方案，比方机构的质量方案和信息风险管理方案。1.4 IT 长期方案的变更IT管理层和业务过程所有者应确保及时、准确地修改IT长期方案的过程的到位，以适应机构长期方案的变化和IT环境的变化。管理层应建立一个IT长期和短期方案开发和维护所需要的政策。1.5 IT 功能的短期方案编制IT管理层和业务过程的所有者应确保IT长期方案有规律地转换成IT短期方案。这样的短期方案应确保适当的IT功能资源以与IT长期方案容相一致的根底上来分配。短期方案应定期地进展再评估，并被作为适应正在变化的业务和IT环境所必须的事项而改良。可行性研究的及时执行应

5、确保短期方案的实行是被充分地启动的。1.6 IT 方案的交流管理层应确保IT长期和短期方案同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。1.7 IT 方案的监控和评估管理层应建立一个流程，获取和报告来自业务过程所有者和用户有关长期和短期方案的质量及有效性的反响。获取的反响应予以评估，并在将来的IT方案编制中加以考虑。1.8 现有系统的评估在开发或变更战略规划或长期方案、IT方案之前，IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、本钱、优势和劣势，评估现有信息系统，以确定现有系统支持机构业务需求的程度。对高级和详细的控制目标进展审计：获得了解：访谈：首席执行官CEO首席运

6、营官COO首席财务官CFO首席信息官CIOIT方案/指导委员会成员IT高级管理层和人力效劳职员获得：与方案编制过程想关联的政策和程序高级管理层的指导角色和责任机构的目标和长短期的方案IT的目标和长短期的方案状况的报告和方案/指导委员会的会议纪要评估控制：考虑是否：IT或者业务的企业政策和程序选择了一种构造化的方案编制方法方法到位，以便明确地表达并能够修改方案，起码它们要包括： 机构的使命和目的 支持机构使命和目的的IT初始 IT初始的机遇 IT初始的可行性的研究 IT初始的风险评估 当前和未来IT的最正确投资 反映企业使命和目的变化的IT初始的再造 数据应用、技术和机构可选择战略的评估机构的变

7、化、技术的开展、规章的要求、业务过程的再造、员工的安置、自己开发和外包，等等被考虑，并在方案编制过程中充分地从事长短期的IT方案存在，是当前的，充分针对全部企业、它的使命和关键的业务职能部门IT工程由IT方案编制方法中确定的适当文档所支持确保IT目标和长短期方案持续地满足机构目标和长短期方案的检查点存在由过程所有者和高级管理层评价和完毕的IT方案发生根据业务自动化程度、功能性、稳定性、复杂性、本钱、优势和弱点，IT方案评估现有的信息系统对信息系统及其支持的根底设施的长期方案编制的缺乏，导致系统不能支持企业的目标和业务的过程，或者不能提供适当的完整、平安和控制评定遵从性：测试：来自反映方案编制过

8、程的IT方案编制/指导委员会的会议纪要方案编制方法的可交付使用物的存在，作为预先的规定相关IT的初始被包括在IT长短期的方案当中也就是硬件的变化、容量方案编制、信息体系构造、新系统开发或获取、灾难恢复方案编制、新处理平台的安装，等等IT初始支持长短期方案，并要考虑调查、培训、人员安置、设施、硬件和软件的需求IT初始的技术含义已经被确定最优化当前和将来IT投资的考虑已经给出IT长短期方案与机构的长短期方案和组织的需求保持一致方案已经发生改变，以反映正在变化的条件IT长期方案定期转化成短期方案存在实现方案的任务证实没有满足业务目标的风险：执行：依照类似的机构或者适当的国际标准/公认的行业最好实践的

9、战略IT方案的基准确保IT初始反映机构的使命和目的的IT方案的详细评价决定是否机构之已经知道的虚弱区域正在被确认为方案当中IT解决方案的一局部而加以改良的IT方案的详细评价确定：满足机构使命和目的的IT失败与长期方案相匹配的短期方案的IT失败满足短期方案的IT工程的失败满足本钱和时间准则的IT失败错过的业务机遇错过的IT机遇2 定义信息体系构造PO2控制的IT过程：定义信息体系构造满足的业务需求：优化信息系统的机构实现路线：创立并维护一个业务信息模型，确义适当的系统，以优化信息的使用需要考虑的事项：自动化的数据存贮和字典数据语法规则数据所有权和关键性/平安性程度分类表述业务的信息模型企业信息体

10、系构造标准信息信息规 IT资源P 效果人员S 效率 * 应用S 技术S 完整设施可用 * 数据遵从可靠2.1 信息体系构造模型信息应与需求保持一致，并应以*种格式和期限进展识别、获取和交流，而这些格式和期限能使人们及时、有效地履行他们的职责。相应地，围绕企业的数据模型和相关的信息系统，IT的职能应是建立并有规律地更新信息体系构造模型。信息体系构造模型应与IT长期方案保持一致。2.2 企业数据字典和数据语法规则IT的职能应确保包含机构数据语法规则的企业数据字典的建立以及持续的更新。2.3 数据分类方案在按信息类别如平安类进展分类的数据放置以及所有权分配方面，应建立一个总体的分类框架，应适当定义各

11、类别的访问规则。2.4 平安等级对于上述确定的每一个不需要保护级别以上的数据分类，管理层应定义、执行和维护这些平安等级。对于每一个分类来讲，这些平安等级应描述适当的最小的一套平安和控制尺度，应定期进展再评估并做相应的修改。对于区域围广阔的企业，应建立支持不同平安等级的标准，以适应正在开展的电子商务、移动计算和远程办公环境的需要。对高级和详细的控制目标进展审计：获得了解：访谈：首席信息官CIOIT方案/指导委员会成员IT高级管理层平安官获得：与信息体系构造相关的政策和程序信息体系构造模型支持信息体系构造模型的文档，包括企业数据模型企业数据字典数据所有者政策高级管理层指导的角色和责任IT的目标和长

12、短期方案状况报告和方案编制/指导委员会会议纪要评估控制：考虑是否：IT政策和程序选择了数据字典的开发和维护用于修改信息体系构造模型的过程是以长短期方案为根底的，考虑了相关本钱和风险，并且该模型变化之前，要确保高级管理层同意有一个过程用来保持数据字典和数据语法规则处于最新状态有一个媒介用来分发数据字典，确保开发区域的可达性并立即反映变化IT政策和过程要选择数据的分类，包括平安种类和数据所有者，数据分类的访问规则要被清晰和适当地定义要为那些不包含数据分类标识符的数据资产定义缺省的分类标准IT政策和程序要选择以下容： 需要数据所有者在数据所有者政策上定义的授权过程要到位，以便批准该数据的所有访问以及

13、数据的平安属性 每一个数据分类的平安等级要被定义 访问等级被定义，并且对于数据分类来说是适当的 访问敏感数据需要清楚的访问级别，数据的提供要以需要知道为根底评定遵从性：测试：信息体系构造模型上的变化，确定这些变化反映了IT长短期方案及其所确定的本钱和风险评估数据字典的任何修改以及数据字典上变化的影响，确保它们被有效地沟通各种运作的应用系统和开发工程，以确定数据字典被用作数据定义足够的数据字典文档，以确定这些文档为每一个数据项定义了数据的属性和平安等级数据分类、平安等级、访问等级和缺省的适当性每一个数据分类都要清晰地定义： 谁可以访问 谁对决定适当的访问级别负责 所需访问的明确批准 访问的特定需

14、求也就是非披露或者性协议证实没有满足业务目标的风险：执行：依照类似机构或适者国际标准/公认的行业最好实践的信息体系构造模型的基准针对关键元素的完整性，数据字典的详细评价对定义为敏感数据的平安等级的详细评价，以校验访问的适当授权被获得，被许可的访问与定义在IT政策和程序中的一致确定：信息体系构造模型和企业数据模型、企业数据字典、相关信息系统以及IT长短期方案中的矛盾过时的企业数据字典项和由于数据字典变化的不良的沟通丧失了时效性的数据语法规则？所有者不清楚和/或没有适当定义的数据项没有被适当定义的数据分类与需要才能知道的原则不一致的数据平安等级3 决定技术方向PO3控制的IT过程：决定技术方向满足

15、的业务需求：利用目前可用的和正在出现的技术，推动业务战略的实施并使业务战略成为可能实现路线：建立并维护技术根底设施方案，该方案，依据产品、效劳和交付机制，建立并管理技术能够提供的清晰和现实的预期需要考虑的事项：当前根底设施的容量通过可靠的来源，监测技术开展引导概念的检验风险、约束和机遇获取的方案移植战略和路线与供给商的关系独立的技术再评估硬件和软件的性能/价格比的变化信息规 IT资源P 效果人员S 效率应用 * 技术完整 * 设施可用数据遵从可靠3.1 技术根底设施方案编制IT的职能部门应建立并有规律地更新与IT长期和短期方案保持一致的技术根底设施方案。这样的方案应围绕诸如系统体系构造、技术方

16、向和移植策略等方面。3.2 监测未来的趋势和法规IT的职能部门应能够确保对未来趋势和法规环境的持续监测，以便这些因素能够在技术根底设施方案的开发和维护期间被考虑在。3.3 技术根底设施的不确定事件技术根底设施方案应在偶然事件方面即根底设施的冗余、恢复、充足性和开展能力进展系统地评估。3.4 硬件和软件获取方案IT管理层应确保制定硬件和软件的获取方案，并要反映在所确定的技术根底设施方案的需求中。3.5 技术标准以技术根底设施方案为根底，IT管理层应定义技术规以培养标准化的意识。对高级和详细的控制目标进展审计：获得了解：访谈：首席执行官CEO首席运营官COO首席财务官CFO首席信息官CIOIT方案

17、/指导委员会成员IT高级管理层获得：与技术根底设施方案编制和监控相联系的政策和程序高级管理层指导角色和责任机构目标和长短期方案IT目标和长短期方案IT硬件和软件获取方案技术根底设施方案技术标准状况报告和方案编制/指导委员会会议纪要评估控制：考虑是否：为确认被提议的变化首先被检查以评估相关联的本钱和风险，为确认高级管理层的批准先于方案的变化被获得，有一个创造并有规律地更新的技术根底设施方案的过程技术根底设施方案与IT长短期方案相比拟有一个过程来评估机构的当前技术状态，确保环绕诸如系统体系构造、技术方向和移植战略等方面IT政策和程序确保选择了评估和监控当前和将来的技术趋势和规章条件的要求，并且在技

18、术根底设施方案的开发和维护期间被考虑技术获取的后勤和环境影响要被方案IT政策和程序确保选择了系统地评估技术方案意外的需求也就是根底设施的冗余、恢复力、足够性和开展能力IT管理层评估正在出现的技术，并将适当的技术合并到当前的IT根底设施之中对于硬件和软件的获取方案来讲，它是遵从技术根底设施方案中所确定的要求并被适当地批准的实践在技术根底设施方案中所描述的技术组成的技术标准是到位的评定遵从性：测试：IT管理层理解并使用技术根底设施方案技术根底设施方案上的变化，以确定相关的本钱和风险，这些变化要反映在IT长短期方案的变化中IT管理层要理解监控和评估正在出现技术的过程，并要将适当的技术合并到当前的IT

19、根底设施之中IT管理层要理解系统评估技术方案意外的过程也就是说，根底设施的冗余、恢复力、充足性和开展能力为了充分地适应目前的已安装的硬件/软件以及在当前被批准的增加的新的硬件/软件，IT职能部门现有的物理环境硬件和软件获取方案遵从IT长短期方案，并要反映技术根底设施方案中所确认的需求技术根底设施方案选择利用当前和将来的技术技术标准被遵循，并作为开发过程的一局部而被合成一体被允许的访问与IT政策和程序中所定义的平安等级相一致，到位的访问要经过适当的授权证实没有满足业务目标的风险：执行：依照类似的机构或者适当的国际标准/公认的行业最好实践的技术根底设施方案编制的基准针对关键元素的完整性，数据字典的

20、详细评价为敏感数据而定义的平安等级的详细评价确定：信息系统和IT长短期方案相关的信息体系构造模型和企业数据模型、企业数据字典的矛盾企业数据字典条款和数据语法规则的过时没有在技术根底设施方案中选择的以外方面没能反映技术根底设施方案需求的IT硬件和软件的获取方案与技术标准不一致的技术根底设施方案或IT硬件和软件获取方案数据字典中丧失的关键元素没有按照同样标准分类或者没有平安等级的敏感数据4 定义信息技术的机构及关系PO4控制的IT过程：定义IT的机构及关系满足的业务需求：提供正确的IT效劳实现路线：定义一个数量上相配、具有角色和职责所要求技能的机构，与业务部门沟通、联合在一起，促进战略的实现，并规

21、定有效的方向和适当的控制需要考虑的事项：董事会层面上的IT职责管理层对于IT的指导和监视IT与业务的结合关键决策过程中IT的参与机构的灵活性清晰的角色和职责平衡授权与监视工作岗位的描述人员级别和关键的人员在平安、质量和部控制功能方面的机构配置职责的别离信息规 IT资源P 效果 * 人员S 效率应用技术完整设施可用数据遵从可靠4.1 IT 方案或指导委员会机构的高级管理层应指定一个方案或者指导委员会，来检查IT的职能及其活动。委员会的会员应包括来自高级管理层、用户管理层和IT职能方面的代表。委员会应实行例会制度，并向高级管理层报告。4.2 IT 职能的机构设置在整个机构机构设置IT职能过程中，高

22、级管理层应确保其权力、关键时刻以及与用户部门的独立性到必要的程度，以便在执行时能够保证有效的IT解决方案和充分的进展，并要建立与顶级管理层的伙伴关系，以便在确定和解决IT问题时，能够帮助他们增强意识、理解和技能。4.3 机构绩效的评价应设置一个框架来评价机构的机构，以不断地满足目标和变化的环境。4.4 角色和责任管理层应确保机构中所有人员都具有并理解他们在相关信息系统中的角色和责任。所有的人员应具有足够的权力来行使分派给他们的角色和责任。角色的设置应考虑适当的职责别离。没有那个人能够控制一个交易或事件的所有关键环节。每个人都应认识到他们在部控制和平安方面具有一定的责任。因此，应机构并承当起有规

23、律的一些活动，以增强这方面的意识和纪律。4.5 质量保证的责任管理层应为IT职能部门的成员分配质量保证职能履行的责任，并确保适当的质量保证、系统、控制和存在于IT职能质量保证小组中的专家们的交流。IT职能机构的布置以及质量保证小组的职责和规模应满足机构的需求。4.6 逻辑和物理平安的责任管理层应为信息平安经理正式地分配确保机构信息资产物理和逻辑平安的责任，并负责向高级管理层报告。最起码，平安管理职责应建立在整个机构围的层次上，以便能够处理一个机构的全部平安问题。如果需要，系统细节层次上的附加平安管理责任也应被分配，以应对相关的平安问题。4.7 所有者和管理者管理层应正式建立一个指定数据所有者和

24、管理者的构造。他们的角色和责任应清楚地定义。4.8 数据和系统的所有者管理层应确保所有信息资产数据和系统都已指定了所有者，他们对信息资产的分类和访问权限具有决策的权利。典型地，系统所有者可以将日常管理委派给系统的交付/操作小组，将平安职责委派给平安管理员。然而，所有者仍然要保存对适当平安尺度维护的责任。4.9 监视高级管理层应执行适当的IT职能的监视实践，以保证角色和责任被完全地行使，评估所有的个人是否有足够的权力和资源完成他们的角色和职责，并要全面地评价关键的绩效指标。4.10 职责别离高级管理层应实施角色和职责的别离，防止单独的个人扰乱*个关键的过程。管理层还应确定每个人仅执行其工作和职位

25、规定的各自的职责。尤其是以下职责之间责任别离的应维护。信息系统使用数据录入计算机操作网络管理系统管理系统开发和维护变更管理平安管理平安审计4.11 IT 人员配备员工需求评估应有规律地执行，以保证履行IT职能所需足够数量能胜任的IT员工。员工需求应至少每年评估一次，或根据业务、运作及IT环境的主要变化而执行。评估结果应尽快执行，以确保现在和将来员工的充足。4.12 IT 员工工作和职位的描述管理层应确保建立IT员工的职位描述，并有规律地被更新。这些职位描述应清楚地描绘权力和责任两方面，包括相关职位要求的技能和经历的详细说明，并要适合在绩效评估中使用。4.13 关键的IT 人员IT管理层应详细说

26、明和识别关键的IT人员。4.14 与员工签约的政策和程序为了IT职能部门控制咨询和其它签约个人的活动，确保机构的信息资产处于保护之中，管理层应详细说明和执行相关的政策和程序。4.15 关系IT管理层应采取必要的行动，在IT职能部门和其它各种有利害关系的外部IT职能部门即用户、供给商、平安官员、风险管理者之间，建立并维持一个最正确的协调、交流、联络的构造。对高级和详细的控制目标进展审计：获得了解：访谈：首席执行官CEO首席运营官COO首席财务官CFO首席信息官CIO质量保证官平安官IT方案/指导委员会成员、人力资源和高级管理层获得：高级管理层方案/指导角色和责任机构目标和长短期方案IT目标和长短

27、期方案展示IT职能部门与及其它职能部门关系的机构机构图与IT机构和关系相关联的政策和程序与质量保证相关联的政策和程序用来决定IT人员需求的政策和程序IT职能部门的机构机构图IT职能部门的角色和责任IT关键位置工作的描述状况报告和方案/指导委员会会议纪要评估控制：考虑是否：来自高级管理层的政策声明和沟通确保IT职能部门的独立和权威IT方案/指导委员会的成员和职能部门已经被定义，责任已经被确定IT方案/指导委员会的章程使委员会的目的与机构的目标和长短期方案以及IT的目标和长短期方案联盟增强确定和解决信息管理问题的意识、理解和技能的过程到位政策选择了满足正在变化着的目标和环境的机构机构的评估和修改的

28、要求决定IT职能部门效果和承诺的过程和绩效指标存在高级管理层要确保角色和责任被执行勾画机构所有个人有关信息系统部控制和平安的角色和责任的政策存在增加部控制和平安意识以及纪律的有规律的活动存在质量保证的职能部门和政策存在质量保证职能部门要充分地独立于系统开发人员，并要有执行其责任的适当人员和专门技术确定时间资源并确保质量保证测试的完成以及系统或者系统变化被执行前的审批的质量保证之的过程要到位为了平安官的部控制和平安逻辑和物理两者政策和程序的明确表达，管理层应正式地分配机构围的责任平安官的职位的角色和责任的了解被充分地理解，并被证明与机构的信息平安政策一致机构的平安政策清晰地定义每一个信息资产的所

29、有者如，用户、管理层和平安管理员被要求执行的信息平安的责任含盖数据和系统所有者所有主要数据源和系统的政策和程序存在有规律地评价并维护数据和系统所有者变化的程序存在描述监视实践，确保角色和责任被适当地行使，并且所有的人员有足够的权威和资源执行其角色和责任的政策和程序存在以下一对职责要别离： 系统开发和维护 系统开发和运行 系统开发/维护和信息平安 运行和数据控制 运行和用户 运行和信息平安IT的人员安置和能力被维护，以确保其具有提供有效技术解决方案的能力IT职位工作描述的评估和再评估的政策和程序存在对于关键的过程，包括系统开发生命周期活动需求、设计、开发、测试、信息平安、获取和容量的方案编制，适

30、当的角色和责任存在在实现机构的目标方面，使用适当和有效的关键绩效指标和/或关键成功因素测量IT职能部门的结果控制咨询者和其它契约人员活动的IT政策和程序存在，从而确保机构的资产的保护适用于已签约IT效劳的适当性的过程，并要与机构的获取政策一致调整、沟通和归档IT职能部门高级职员会外部兴趣的过程存在评定遵从性：测试：IT方案/指导委员会检查IT职能部门及其活动以及解决行动条款IT职能部门报告层次的适当性在机构关于为顶级管理层提供合作伙伴关系方面，IT职能部门的位置的有效性高级IT管理层了解用来监控、测量和报告IT职能部门绩效的过程用来评估绩效的关键指标当实际结果不能满足目标水平，依照目标水平，决

31、定所采取的校正行动的分析实际结果的过程为了来自期望的绩效水平的任何重大差异，由管理层所采取的行动用户/所有者管理层评估IT职能部门提供满足用户/所有者需求的信息技术解决方案的反响速度和能力IT管理层知道其角色和责任涉及IT工程方案的测试和审批的质量保证平安人员评价核心操作系统和应用系统到位或正在开发的评估信息平安逻辑和物理两者的平安职能部门报告或文档的适当性信息平安政策和程序的充分了解和一致应用出席信息平安和部控制培训的人员对于所有的信息资产，数据和系统所有权被定义数据和系统所有者审批数据和系统制造的变化所有的数据和系统具有一个所有者或者管理人，他们负责控制数据和系统的水平所有数据和系统资产的

32、访问由资产的所有者审批与职位工作相联系的权利和监视的直线要与在职者的义务相称职位工作描述清楚地描绘权利和责任两者职位工作描述清楚地描述所需的业务、相关的和技术的资格职位工作已经被准确地沟通，并由个人所理解IT职能部门的职位工作描述包含已经沟通给个人的关键绩效指标IT职员的义务和责任要对应于已经公布的职位工作描述和机构的机构图两者关键职位的职位工作描述到位，包括机构关于信息系统、部控制和平安的训令职位工作描述的准确性要与这些职位在职者的当前责任相比拟遵从IT职能部门有意的职责别离以及职责限制的种类和围IT人员安置的维持能力作为责任、权利和绩效标准的适当性和透明度的根底，职位工作描述的适当性合同管

33、理的责任分配给了适当的人员合同的术语与正常的机构合同的标准相一致，标准契约术语和条件已经由法律的律师评价和评估，它们的同意意见要获得合同包含适当的有关遵从性的条款：法人的平安和部控制政策、信息技术标准过程和/或构造规定成功关系所必须的有效果和有效率的协调证实没有满足业务目标的风险：执行：依照类似的机构或者适当的国际标准/公认的行业最好实践的机构和关系的基准决定由无效的IT方案/指导委员会所引起的机构方面影响的详细评价在处理信息系统问题和执行技术解决方案方面，测量IT职能部门进步的详细评价评估机构的机构、人员和个人能力、分配的角色和责任、数据和系统所有权、监视、职责别离等的详细评价决定在满足机构

34、需求的有效性方面的质量保证职能部门的详细评价决定在提供机构围信息平安逻辑和物理两者和信息平安意识培训有效性方面的平安职能的详细评价确定这些合同已经由交易双方适当地执行并且遵从机构的标准合同术语的合同实例的详细评价确定：由于IT方案/指导委员会无效监视所引起的IT职能及其活动的弱点导致IT职能无效果或无效率的机构机构的缝隙、重叠，等等不适当的机构机构、缺少的职能、不充足的人员、能力缺乏、不适当的角色和责任、数据和系统所有权的混乱、监视的问题、缺乏职责别离，等等确实满足质量保证要求的正在开发、修改或者执行的系统确实满足平安或者是逻辑的，或者是物理的，或者是两者兼顾需求的正在开发、修改或者执行的系统

35、不能满足机构的合同要求的合同IT职能部门和各种各样其它有兴趣的IT职能部门的外之间的无效协调和沟通5 管理信息技术投资PO5控制的IT过程：管理IT投资满足的业务需求：保证资金并控制财务资源的支出实现路线：由业务决定的定期投资和运作预算的建立和审批需要考虑的事项：资金的选择清晰的预算所有者实际支出的控制本钱的合理性和所有者总本钱的意识收益的合理性和收益实现的责任制技术和应用软件的生命周期要与企业的业务战略相结合效果的评估资产管理信息规 IT资源P 效果 * 人员P 效率 * 应用 * 技术完整 * 设施可用数据遵从S 可靠5.1 年度IT 运营预算高级管理层应执行预算编制过程，按照机构的长期和

36、短期方案以及IT的长期和短期方案，保证年度IT运作预算的建立和批准。应调查资金的选择。5.2 本钱和收益的监控管理层应建立本钱监测的过程，将实际支出与预算进展比拟。此外，由IT活动衍生出来的可能存在的收益应被确定和报告。对于费用监测来讲，实际数据的来源应以机构的会计系统为根底，该系统应例行公事地纪录、处理并报告与IT职能部门的活动相关的本钱。对于收益的监测来讲，高层次的绩效指标应被详细地说明，有规率地进展报告并对其适当性进展评价。5.3 本钱和收益的合理性管理控制应设置到位，以保证IT职能部门交付效劳的本钱是合理的并符合行业标准。由IT活动衍生出来的收益也应做同样应的分析。对高级和详细的控制目

37、标进展审计：获得了解：访谈：首席财务官CFO首席信息官CIOIT方案/指导委员会成员IT高级管理层获得：与预算和本钱核算相联系的机构的政策、方法和程序与预算和本钱核算相联系的IT政策和程序当前和最近的以前年度IT职能部门的年度运作预算机构目标和长短期方案IT目标和长短期方案高级管理层方案/指导的角色和责任与差异监控和控制相连接的差异报告及其它沟通状况报告和方案/指导委员会会议纪要评估控制：考虑是否：IT预算的过程与机构的过程一致确保与机构的预算、机构的长短期方案、IT长短期方案相一致的年度IT运作预算的准备和适当审批的政策和程序的到位预算过程要与在准备阶段起作用的IT职能部门的主要单位的管理层

38、分享有规律地监控实际本钱，并将其与方案的本钱相比拟的政策和程序要到位，实际的本钱是以机构的成本会计系统为根底的保证IT职能部门的效劳交付具有合理的本钱并遵守行业本钱的政策和程序到位评定遵从性：测试：在证明IT年度运作方案是合理的方面，IT预算的支持是适当的IT支出的种类是全面的、适当的并进展了适当的分类日常记录、处理和报告与IT职能部门活动相联系的本钱的系统是适当的本钱监控过程充分地比拟实际的预算由受影响的用户组的管理层、IT职能部门以及机构的高级管理层所进展的本钱/效益分析被充分地评价用来监控本钱的工具是有效的并适当地使用证实没有满足业务目标的风险：执行：依照类似的机构或者适当的国际标准/公

39、认的行业最好实践的预算和本钱的基准最近的过去和当前的年度预算，及与之相对的结果、差异和所采取的校正行动的详细评价确定：没有按照机构的预算和长短期方案、IT长短期方案懂得IT预算没有被捕捉到的IT职能部门的实际本钱6 沟通管理的目标和方向PO6控制的IT过程：沟通管理的目标和方向满足的业务需求：确保用户知晓并理解这些目标实现路线：建立政策并与用户团体进展交流；此外，需要建立标准，以便将战略性选择转化为实际及便于使用的用户规则需要考虑的事项：清晰统一的使命连接业务目标的技术方针行为/道德规的法规质量承诺平安和部控制政策平安和部控制实践实例引导持续的沟通程序提供指导和遵从性检查信息规 IT资源P 效

40、果 * 人员效率应用技术完整设施可用数据S 遵从可靠6.1 积极的信息控制环境为了给正确的行为提供指导，消除不道德行为的诱惑并严肃纪律，管理层应建立一个全机构围培育积极控制环境的框架和认知程序。这些框架和程序应专注于员工的诚信、伦理价值和能力以及管理哲学、操作风格和义务。针对IT的各方面，包括平安和业务持续性方案，要给予具体的考虑。6.2 管理层在政策方面的责任对于覆盖总体目标和方针的政策而言，管理层应对政策的说明、开发、声明、公布和控制承当全部责任。政策适当性的评价应有规率地进展。撰写的政策及其程序的复杂性应总是与机构的规模和管理风格相一致。6.3 机构政策的沟通管理层应确保机构政策在机构的

41、所有层次上被清晰地沟通、理解并被承受。沟通过程应由一套使用灵活多变沟通手段的有效方案所支持。6.4 政策执行资源为了政策的执行，为了确保政策的遵循，管理层应对适当的资源做出方案，以使它们构筑到并成为运作的一个完整组成局部。管理层还应监控政策执行的及时性。6.5 政策的维护政策应被有规率地调整，以适应变化的条件。政策起码应按年或者根据运行或业务环境的重大变化而进展重新评估，评估它们的充分性和适当性，并做必要的修改。对于定期的评价以及标准、政策、方针和程序的审批，管理层应提供一个框架和过程。6.6 遵从政策、程序和标准管理层应确保适宜的程序设置到位，以判定每个人是否理解了执行的政策和程序，以及这些

42、程序和政策是否被遵循。伦理道德、平安和部控制标准的遵从程序应由最高管理层来建立，并由实例来促进其贯彻执行。6.7 质量义务管理层应定义、形成文件并维护与企业价值观和政策相一致的质量价值观、政策和目标，这些质量价值观、政策和目标应被IT职能部门的所有层次所理解、执行和维持。6.8 平安和部控制框架政策管理层应对开发并维护框架的政策付全部责任，这个框架设立机构的总体平安和部控制的方法，以建立并改善IT资源的保护和IT系统的完整。政策应服从总体业务目标，目标是：通过预防性措施、及时辨识不规行为、限制损失和及时恢复，使风险最小化。这种措施应以本钱/收益分析为根底，并应区分优先顺序。另外，管理层应确保这

43、些高层次的平安和部控制政策详细说明了目的和目标、管理构造、机构的适用围、在所有层次上执行的责任的定义和分配以及对违背平安和部控制政策行为的处分的定义。应详细说明框架定期再评估的标准，以对正在变化着的机构、环境和技术需求做出支持响应。6.9 知识产权管理层应规定并执行有关自行开发和签约开发软件的知识产权方面的书面政策。6.10 特定问题政策措施应设置到位，确保细节问题政策的建立，以便在从事特殊的活动、应用、系统或技术时，归档管理决策。6.11 IT 平安意识的沟通应通过一个IT平安意识教程，将IT平安政策沟通给每一个IT用户，并保证对IT平安重要性的完整理解。这个教程应传达这样一种信息，那就是I

44、T平安将使它的机构、它的所有雇员受益，每个人对此都负有责任。IT平安意识教程应代表管理层的观点并被他们所支持。对高级和详细的控制目标进展审计：获得了解：访谈：首席执行官CEO首席运营官COO首席财务官CFO首席信息官CIO平安官IT高级管理层IT方案/指导委员会成员获得：与管理层的积极控制框架、认知程序、平安和部控制框架、IT质量程序相关的政策和程序高级管理层的指导角色和责任机构的目标和长短期方案IT的目标和长短期方案状况报告和方案/指导委员会会议纪要沟通程序评估控制：考虑是否：机构的政策和程序创造了一个框架和程序，给予信息技术以特别的关注，培育一个积极的控制环境，并选择如下的方面： 完整 伦

45、理价值 行为规 平安和部控制 人员的能力 管理哲学和运作风格 由董事会的董事或一样人物提供的问责制、注意和方向由例子说明顶级管理层促进积极的控制环境管理层已经承受了明确表达、开发、归档、发布、控制并有规律地评价治理总目标和方向的政策的责任提供相关于管理层的积极的控制环境的正在进展的沟通和培训的正式的认知程序存在确保适当的和足够的资源被分配，以便以及时的方式执行机构的政策的机构政策和程序存在确保个人理解被执行的政策和程序，政策和程序被追随的适当的程序到位IT政策和程序定义、归档并维持一个正式的治理系统和效劳质量的哲学政策和目标，其产生要与机构的哲学、政策和目标相一致IT管理层确保质量哲学、政策和

46、目标被理解、执行并在IT职能部门的所有层次上执行选择了定期评价和重新批准的关键标准、方向、相关于信息技术的政策和程序需求的程序存在高级管理层已经承受了为总体的平安和部控制方法开发一个框架的全部责任平安和部控制框架归档了详细的平安和部控制政策、目的和目标、管理构造机构之的围、责任的分配以及遵从平安与部控制政策失败相关的处分和惩戒的定义正式的平安和部控制政策确定机构的部控制过程，包括诸如下述控制组件： 控制环境 风险评估 控制活动 信息和沟通 监控归档选择特殊活动、应用、系统或技术的管理决策的发行的特定政策存在评定遵从性：测试：在培育积极的控制方面管理层的努力，包括诸如这些关键的方面：老实、伦理价

47、值、行为规、平安和部控制、人员的能力、管理哲学和操作风格、问责制、所提供的关注和方向雇员已经收到了行为规并理解它选择机构的部控制环境的政策的管理层的沟通正在发生管理层明确表达、开发、归档、发布和控制的包含部控制环境的政策的资源承诺正在发生标准、方向、政策和程序的持续适当性及其适应变化条件能力的管理层的有规律地评价管理层的监控努力正在确保适当的和足够的资源被分配以便以及时的方式执行机构的政策管理层关于其部控制环境的相关标准、方向、政策和程序的强制努力正确保贯穿机构的遵从性质量哲学、政策和目标正决定遵从性，并与机构的法人和IT职能哲学以及政策和程序相一致挑选的的IT管理、开发和运行人员正在决定质量

48、哲学，相关的政策、程序和目标被理解，并被IT职能部门所有层次所遵循质量测量过程正在确保机构目标的满足挑选的的管理成员在他们的评价责任之下被包括并理解平安和部控制活动的容也就是说，例外报告、调和、比拟，等等个人的角色、责任和权利在机构的所有层次上被清楚地沟通和理解挑选的的部门评估日常监控平安和部控制活动的程序也就是说，例外报告、调和、比拟，等等，为管理层提供反响的过程正在发生挑选的的系统归档确定，按照机构的政策和程序，系统特定的管理决策已经被归档和批准挑选的的系统归档确定，选择特定活动、应用系统或技术的管理决策已经由高级管理层签署证实没有满足业务目标的风险：执行：依照类似的机构或者适当的国际标准

49、/公认的行业最好实践的管理的信息控制框架和认知程序的基准与工程相关的、以本钱/效益分析为根底决定工程优先顺序和审批的、被批准的平安和部控制实例的详细评价确定：开场疑心管理层在贯穿机构围培育积极的部控制环境承诺的虚弱的控制框架选择机构的部控制环境，有效地沟通其政策的管理失败被分配用来明确表达、开发、归档、发布和控制的包含部控制环境的政策的资源的缺乏不是最近的标准、方向、政策和程序确保标准、方向、政策和程序贯穿机构之遵守的不充分的管理遵从监控IT职能部门在其质量或其有效定义、归档、维持并沟通质量哲学、政策和目标能力承诺方面的缺乏在机构的和/或IT职能部门的平安和部控制框架方面的弱点缺少所需要的选择

50、特定活动、应用或技术的特定问题的政策7 管理人力资源PO7控制的IT过程：管理人力资源满足的业务需求：获取和维持一个被激发和有能力的工作队伍，最大化个人对IT过程的奉献实现路线：在员工的招募、训练、检查、报酬、培训、评价、职位升降和辞退中，表达健全、公正和透明的人事管理实践需要考虑的事项：招募和升职培训和任职要求意识的建立穿插培训和轮岗雇用、检查和辞退程序目标和可测量绩效的评估技术和市场变化的响应部和外部资源的适当平衡关键职位的继任方案信息规 IT资源P 效果 * 人员P 效率应用技术完整设施可用数据遵从可靠7.1 人员招募和升职在人员的招募和升职实践中，管理层应执行并有规律地评估所要求的过程

51、，以确保人员的招募和升职实践依据以的标准为根底，并考虑了教育背景、经历和责任。这些过程应符合整个机构在这些方面的政策和程序，比方雇用、方向、培训、评估、商讨、晋升、报酬和训练等程序。管理层应确保知识和技能需求被不断地评估，并且要保证机构能够获得一个到达机构目标所需要的相匹配技能的工作队伍。7.2 人员的任职资格IT管理层应有规律地查验执行具体任务的职员，看看他们在适当的教育、培训和或经历的方面，是否具有所需要的资格。管理层应鼓励它的职员获得专业机构的认证资格。7.3 角色和责任管理层应清晰地说明职员的角色和责任，包括遵守管理政策和程序、道德规和职业惯例的规定的要求。雇佣的期限和条件应强调雇员对

52、于信息平安和部控制的责任。7.4 人员培训管理层应确保雇员得到雇用方向和在职的培训，以维持他们的知识、技能、能力和平安意识到所需的有效完成工作的水平。引导有效地提高员工的技术和管理技能水平的教育和培训程序应被有规律地检查。7.5 穿插培训或人员后备管理层应提供充足的穿插培训或确认的关键人员的备份，以防不测。管理层应对所有关键的职能和岗位建立持续性方案，应要求敏感岗位的人员休息一段连续的足够长度的假期，以锻炼机构应付关键人员的效效、预防和探测欺诈行为的能力。7.6 人员的调查程序IT管理层应确保他们的员工在被雇用、调离或升职之前，根据他们所在岗位的敏感性，进展平安调查程序。一个没有承受过这样平安

53、调查的新雇员，不应安排在敏感的岗位，直到他承受了平安调查。7.7 雇员工作绩效的评估管理层应执行一个雇员绩效评估流程，借助有效的奖励机制，加强员工对于个人的业绩与机构的成功之间的关系的认识。评估应依据已经建立的标准和具体的工作职责有规律地执行。无论何时，只要是适当的，雇员应得到业绩方面的忠告或指导。7.8 工作的变更和终止对于工作的变化和终止，管理层应采取适当和及时的行动，以便部控制和平安不被这样的事件削弱。对高级和详细的控制目标进展审计：获得了解：访谈：人力资源官和挑选的人员平安官挑选的平安人员IT经理IT人力资源官挑选的IT管理层挑选的IT人员挑选的与IT职能敏感位置相关的人员获得：与人力

54、资源管理相关的政策和程序职位描述、绩效评估形式、培训和开展形式选择职位的人员文件和人员评估控制：考虑是否：使用标准招募和选择人员，以填补公开的职位人员职位所需资格的说明书考虑适用的专业部门的相关需求管理层和雇员承受工作能力过程培训程序要与机构的已归档的关于教育和包含平安问题的总体认识的最小需求相一致管理层应承当个人培训和职业开展的义务技术和管理技能的缝隙被确定，针对这些缝隙，采取适当的行动对于关键的工作职能，正在进展的穿插培训以及人员的备份发生强制的不连续的假期政策发生机构的平安检查过程是适当的以一套标准的职位能力文件为根底，进展雇员的评估，评估以定期的方式举行工作变化和终止过程确保机构资源的

55、保护人力资源管理政策和程序与适用的法律和规章一致评定遵从性：测试：招募和/或晋升行动、选择标准反映职位需求的目标和关联对于他们的工作职责或者责任区域来讲，人员具有运作的足够的知识职位工作描述存在，被评价并被保持是最新的个人文件包含雇员的机构全部教育和总体认识程序的了解的成认书对于分配关键职能的适当的人员，正在进展的培训和教育发生IT人员已经收到平安程序和技术方面的适当培训IT管理层和职员知道并理解机构的政策和程序平安检查调查的程序与治理隐私的适用法律相一致业务目标的知识按照人分配给关键的IT职能，包括部控制哲学、信息系统平安和控制概念证实没有满足业务目标的风险：执行：依照类似的机构或者适当的国

56、际标准/公认的行业最好实践的人力资源管理活动的基准IT人力资源管理活动的详细评价确定：来自潜在/实际的工作候选人的缺陷/委屈的原因招募、调任、晋升和终止行动中与下述相比的差异： 没有跟随政策和程序 行动没有由适当的管理层所签署 行动没有以工作说明书和人员资格为根底人员： 资格不适当 培训和开展的机遇与能力的缝隙联系的不紧 缺少工作绩效的评估，或者不能支持所占据的职位和/或正被执行的任务 与雇佣相关联的平安调查没能跟进 定期的平安调查没能执行不充分的培训程序和职员开展活动不充分的穿插培训和关键人员的备份没有签字的平安政策成认书分配给培训和职员开展的不适当的预算和时间职员执行关键的职能，没有指明假

57、期和渡假天的人员时间报告8 确保遵从外部要求PO8控制的IT过程：确保遵从外部要求满足的业务需求：履行法律的、法规的、契约的义务实现路线：识别和分析影响IT的外部要求，并采取适当的措施遵从它们需要考虑的事项：法律、规章和合同追踪法律和法规的开展对遵从性有规律的监测平安和人类环境改造学隐私知识产权信息规 IT资源P 效果* 人员效率* 应用 技术完整 设施可用* 数据P 遵从S 可靠8.1 外部要求的评价机构应建立并维护外部要求检查以及协调这些活动的程序，通过持续的调查确定机构可适用的外部要求。有关IT实践和控制的法律、政府和其它外部部门的要求应当被检查。管理层也应评估任何有关机构总体信息要求的

58、外部关系的影响，包括IT策略需要遵从或支持任何相关的第三方需求围的决定。8.2 遵守外部要求的实务和程序机构的实务应确保适当的纠正行为及时地被采取，以保证符合外部的要求。另外，应建立并维护确保持续不断遵从的适当程序。对此，如果需要，管理层应寻求法律意见。8.3 防护和人类环境改造要求的遵从管理层应确保遵从IT用户和员工工作环境的防护及人类环境改造的标准。8.4 隐私、知识产权和数据流管理层应确保遵从隐私、知识产权、过境数据流和密文规则适用于机构的IT实践。8.5 电子商务在贸易双方之间的通讯处理以及交易信息平安和数据存储的标准方面，管理层应确保签订正式的合同，建立贸易伙伴间的协议。如果是因特网

59、上的贸易，管理层应加强适当的控制，确保遵守当地法律和国际上广泛成认的惯例。8.6 遵守保险合同管理层应确保保险合同的要求被完全识别并不断地被满足。对高级和详细的控制目标进展审计：获得了解：访谈：法律律师人力资源官IT职能部门的高级管理层获得：有关政府和/或外部要求也就是说，法律、立法、指南、规章和标准相关于外部关系和外部要求评价、保护和安康包括工作环境改造学遵从问题、隐私问题、信息系统平安要求、密码数据传输等方面国和国际国或国际与电子商务使用相关的会计标准/声明与电子商务使用有关的征税规定关于以下的标准、政策和程序： 外部要求评价 保护和安康包括工作环境改造学 隐私 平安 数据被输入、处理、存

60、储、输出和传输的敏感等级 电子商务 保险如果适用的话，与所有电子贸易伙伴以及电子数据互换EDI卖主签定的所有合同的拷贝件与保险合同相关的所有IT职能的拷贝件法律律师有关保险合同uberrimae fodei以极度好的信念需求的建议Uberrimae fodei要求当事人各方彼此之间最大限度地披露所有风险的事实材料。假设这种感觉的良好信念没有展示出来，则合同对于受伤害方无效的，不愉快一方不能执行合同。来自外部审计师、第三方效劳提供者和政府中介的审计报告评估控制：考虑是否：以下政策和程序到位： 确保与外部需求评价相关的适当的校正行动以及时的方式被采取，并且程序到位以确保持续的遵从 协调外部需求评价