1. IT 戰(zhàn)略抡锈、政策、標準和程序?qū)τ诮M織的意義乔外，及其基本要素

2.? IT 治理框架(體系)

3.? 制定床三、實施和維護 IT 戰(zhàn)略、政策杨幼、標準和程序的流程撇簿。如:信息資產(chǎn)的保護、業(yè)務(wù)持續(xù)

和災(zāi)難恢復(fù)差购、系統(tǒng)和基礎(chǔ)建設(shè)生命周期四瘫、IT 服務(wù)交付與支持

4.? 質(zhì)量管理戰(zhàn)略和政策

5.? 與 IT 使用私}管理相關(guān)的組織結(jié)構(gòu)、角色私!職責(zé)欲逃。

6.? 公認的國際 IT 標準和準則(指導(dǎo))找蜜。

7.? 制訂一長期戰(zhàn)略方向的企業(yè)所需的 IT 體系及其內(nèi)容

8.? 風(fēng)險管理方法和工具

9.? 控制框架(模型)的使用，如:CobiT, COSO, ISO 17799 等控制模型稳析。

10. 成熟度和流程改進模型(如:C1V1M, CobiT)的使用洗做。

11. 簽約戰(zhàn)略、程序和合同管理實務(wù)彰居。

12. IT 績效的監(jiān)督和報告實務(wù)

13. 有關(guān)的法律诚纸、規(guī)章等問題(如:保密法/隱私法、知識產(chǎn)權(quán)陈惰、公司治理的要求)

14. IT 人力資源管理

15. 資源投資和配置實務(wù)(如:投資的資產(chǎn)管理回報)

公司治理

倡導(dǎo)的公司道德文化咬清。世界經(jīng)合組織將公司治理定義:“公司內(nèi)不同群體之間責(zé)權(quán)利的分配

關(guān)系，如董事會奴潘、管理層、股東和其他利害相關(guān)者影钉，這些分配關(guān)系清楚地勾勒出公司決策的

規(guī)則和程序画髓。由此，制定公司目標和確定達成目標和監(jiān)控績效的方式平委∧蜗海”

公司治理框架中的一個很重要內(nèi)容是建立管理和報告業(yè)務(wù)風(fēng)險的規(guī)則。該規(guī)則要求公司在改

進和革新業(yè)務(wù)活動時有監(jiān)控風(fēng)險的內(nèi)部控制體系。同時肉微，公司治理框架又是保護股東利益的

董事會和執(zhí)行經(jīng)理層監(jiān)控和保證實務(wù)

IT 治理一般關(guān)注兩方面問題:IT 增加商業(yè)價值和 IT 風(fēng)險得到控制匾鸥。前者通過使 IT 戰(zhàn)略與業(yè)

務(wù)戰(zhàn)略保持一致來達到，后者通過組織內(nèi)的職責(zé)分工來達到碉纳。

IT 治理是董事會或最高管理層的責(zé)任勿负，是企業(yè)治理的重要組成部分。

IT 治理的關(guān)鍵因素就是要使 IT 與業(yè)務(wù)融合劳曹，以實現(xiàn)組織的業(yè)務(wù)價值奴愉。

關(guān)鍵的 IT 治理因素包括:

IT 戰(zhàn)略委員會

不僅要包括協(xié)助董事會承擔(dān) IT 治理責(zé)任方面提供戰(zhàn)略建議，而且要把目光聚集在 IT 價

值铁孵、風(fēng)險及績效上面锭硼。這是把 IT 治理機制集成到公司治理層面中去的一種機制。作為

隸屬于董事會的IT戰(zhàn)略委員會蜕劝，其主要職責(zé)就是要協(xié)助董事會監(jiān)管組織的IT相關(guān)事務(wù)檀头，

保證董事會在掌握充分的內(nèi)部、外部信息的基礎(chǔ)上岖沛，作出有效的 IT 治理決策暑始。

執(zhí)行機構(gòu)：指導(dǎo)委員會(Steering committees)

風(fēng)險管理

標準 IT 平衡記分卡

過程管理評價技術(shù)。該方法超越了傳統(tǒng)的財務(wù)評價方法烫止，在顧客滿意度蒋荚、內(nèi)部流程和創(chuàng)

新能力等方。馆蠕。三個層面：使命期升、戰(zhàn)略、措施

IT 平衡記分卡是協(xié)助 IT 戰(zhàn)略委員會和最高管理層互躬，保持 IT 與組織業(yè)務(wù)高度一致的最

有效的辦法之一播赁。IT 平衡記分卡的主要目的就是要為管理層建立一套工具，以便于:管

理層向董事會匯報 IT 運營狀況;在重要的利益相關(guān)者之間對 IT 戰(zhàn)略目標達到一致;證明

IT 的價值及有效性;在組織中溝通 IT 的績效吼渡、風(fēng)險容为、能力。

IT 治理是各種關(guān)系和流程的架構(gòu)寺酪，用來指導(dǎo)和控制組織達成增值目標坎背，同時還要保證 IT 及

其流程的風(fēng)險與收益的平衡。

IT 治理的目的是指導(dǎo) IT 工作寄雀，確保 IT 績效滿足 IT 目標符合企業(yè)目標和預(yù)期利潤的實現(xiàn)得滤。

另外，IT 應(yīng)該幫助企業(yè)開拓商機盒犹，實現(xiàn)利益最大化懂更。IT 資源應(yīng)得到充分的利用眨业，IT 相關(guān)風(fēng)

險也應(yīng)該得到適當控制。

在 審計在 I? 丁治理中的作用

在組織內(nèi)成功實施 IT 治理的過程中沮协，審計扮演的是一個至關(guān)重要的角色龄捡。審計人員向高級

主管提供建議和領(lǐng)導(dǎo)實務(wù)，以幫助他們提高 IT 治理的質(zhì)量和效果慷暂。作為監(jiān)控符合性的一個

角色聘殖，審計幫助確認組織內(nèi)實施的 IT 治理符合其初衷。

IT 治理的報告包括了對組織高級管理人員呜呐、跨事業(yè)就斤、跨職能和跨部門的審計。

IS 審計師在制訂審計計劃應(yīng)當考慮到組織的實際狀況和員工素質(zhì)蘑辑。

IS 審計師依其角色的定義洋机，應(yīng)該評定 IT 治理相關(guān)的如下內(nèi)容:

.IS 功能符合組織的使命、理念洋魂、價值绷旗、目標和戰(zhàn)略

.IS 功能滿足業(yè)務(wù)(效率和效果)的績效目標

.法規(guī)、環(huán)境副砍、信息質(zhì)量衔肢、信托和安全的要求

.組織的控制環(huán)境

.IS 環(huán)境的固有風(fēng)險

信息安全治理

利用 IT 信息安全應(yīng)當是 IT 治理中的一個重要的有機組成部分，在這一點上的疏忽將削弱組

織機遇來完善業(yè)務(wù)流程的能力豁翎。

包括：信息的完整性角骤、服務(wù)的持續(xù)和信息資產(chǎn)的保護

IT 治理中越來越關(guān)注的領(lǐng)域就是企業(yè)架構(gòu)，所謂企業(yè)架構(gòu)就是通過一種結(jié)構(gòu)化的方式來反

映組織的 IT 資產(chǎn)心剥，并有效管理對 IT 投資邦尊。企業(yè)架構(gòu)系統(tǒng)而又完整地定義了組織的當前(基

準)環(huán)境和期望(目標)環(huán)境的藍圖。對于信息系統(tǒng)的更新以及開發(fā)新系統(tǒng)而言优烧，建立 EA 是必

不可少

技術(shù)驅(qū)動的企業(yè)架構(gòu)是為了澄清現(xiàn)代組織面臨的復(fù)雜技術(shù)選擇問題蝉揍，為組織在做以下決策時

業(yè)務(wù)流程驅(qū)動的企業(yè)架構(gòu)是為了更好地理解組織業(yè)務(wù)的核心流程及支持流程，了解這兩類流

程的組成部分及相關(guān)支持技術(shù)畦娄，對現(xiàn)有流程中的不合理部分進行重新設(shè)計或改造又沾，從而達到

優(yōu)化流程、降低成本熙卡、提高績效的目的杖刷。

企業(yè)架構(gòu)和 FEA 文件主要用來維護和描述技術(shù)的符合性，(持續(xù))表述和評估 IS 部門正在管

理的技術(shù)驳癌。IT 治理中涉及 IS 部門管理的方面包括更新戰(zhàn)略技術(shù)所使用的選擇流程和方法滑燃。

信息安全治理的成果 2008 新 P14

戰(zhàn)略結(jié)盟 strategic alignment 信息系統(tǒng)安全策略和業(yè)務(wù)戰(zhàn)略一致，支持組織的目標 好的

IT 治理可以延伸組織的戰(zhàn)略和目標

風(fēng)險管理 risk management 管理和執(zhí)行適當?shù)拇胧┙档惋L(fēng)險喂柒，使其對信息資源的影響降到

到一個可接受的水平

價值傳遞 value delivery 優(yōu)化安全投資不瓶，支持組織目標

資源管理 resource management 有效和高效管理信息安全知識和設(shè)施

信息系統(tǒng)戰(zhàn)略

戰(zhàn)略規(guī)劃 從信息系統(tǒng)角度看，戰(zhàn)略規(guī)劃是組織為了利用信息技術(shù)來完善其業(yè)務(wù)流程而確定

的發(fā)展方向及長期的計劃灾杰。應(yīng)當確保這些計劃與組織的總體目標保持一致蚊丐。

指導(dǎo)委員會

高級管理層應(yīng)當組建一個計劃或指導(dǎo)委員會，監(jiān)督其信息系統(tǒng)的職能和業(yè)務(wù)活動艳吠。處

于組織高層的信息技術(shù)指導(dǎo)委員會是確保信息系統(tǒng)部門與公司宗旨和目標協(xié)調(diào)的一種機制麦备。

委員會應(yīng)當包括來自高級管理層、用戶部門和信息系統(tǒng)部門的人員昭娩。每個成員應(yīng)當在其負責(zé)

的領(lǐng)域內(nèi)有權(quán)做出決定凛篙。主要職責(zé)是對信息系統(tǒng)項目進行審查，一般不涉及日常運營栏渺。

政策和程序

為了使政策能夠被有效地執(zhí)行呛梆，制定的政策必須清晰和準確。與組織的總體性目標和方向有

關(guān)的政策的制訂磕诊、開發(fā)填物、記錄、推廣和控制的責(zé)任應(yīng)當由管理層承擔(dān)霎终，通過制定政策來為組

織創(chuàng)造一種積極的控制環(huán)境滞磺。

根據(jù)公司總體政策采用自頂向下的方法來開發(fā)部門政策是較好的選擇，因為它確保了各級政

策的一致性莱褒。不過击困，有些組織選擇先制定較低層次的政策，這樣做的目的是為了節(jié)約成本广凸，

因為通常這些政策都是基于風(fēng)險評估的結(jié)果而建立和實施的阅茶。公司的高層政策是對已有的運

營政策的綜合，這種方法叫做自底向上的方法炮障。這種方法可能更實用目派，但是容易造成政策的

不一致和相互矛盾。

管理層應(yīng)當定期審查所有政策胁赢。政策也需要不斷更新企蹭，反映新的技術(shù)和經(jīng)營過程的重大變化，

利用信息技術(shù)提高生產(chǎn)效率和獲取競爭效益智末。

信息系統(tǒng)審計師要理解政策并對政策進行符合性審查是審計工作中的重要環(huán)節(jié)

信息安全政策

構(gòu)建技術(shù)烈組織的安全架構(gòu)的第一步谅摄。政策常常根據(jù)組織需要的工具和步驟的不同階段來設(shè)

定。

安全政策必須要在控制水平和生產(chǎn)效率之間保持平衡系馆。換言之送漠，控制成本不能超過控制所帶

來的受益。組織文化在設(shè)計和實施安全政策方面起到了重要的作用由蘑。安全政策必須經(jīng)過高級

管理層批準闽寡，并以書面的形式與所有員工和相關(guān)的服務(wù)提供商溝通代兵。

程序

程序是詳細的文件，根據(jù)組織的政策而制定并體現(xiàn)其精髓爷狈。程序必須清晰和準確植影，使接受者

易于準確地理解。程序記載了業(yè)務(wù)流程及其內(nèi)在控制涎永，程序一般由中層管理人員制定思币，是政

策框架下的具體化措施。

一般來說羡微，程序比相關(guān)政策更加易于變化谷饿，它們必須反映業(yè)務(wù)重點和環(huán)境的不斷變化。因此妈倔，

經(jīng)常審查和更新程序?qū)τ诒３制湎嚓P(guān)性博投、可用性是很重要的。審計師審查程序是為了識別启涯、

評價并進一步測試業(yè)務(wù)流程中的控制贬堵，評估在程序中所建立的控制是否達到了必要的控制目

標，并使業(yè)務(wù)流程高效和務(wù)實结洼。當運營實務(wù)與書面程序不一致黎做、或書面程序根本不存在時，

管理層和審計師很難識別控制和確保其在持續(xù)起作用松忍。

受程序控制的人員了解程序是最重要的蒸殿。保存、分發(fā)和管理 IT 程序的配置方法和自動化機

制是關(guān)注重點鸣峭。

風(fēng)險管理

風(fēng)險管理是確定組織在實現(xiàn)其業(yè)務(wù)目標的過程中所使用的信息資源的脆弱性和面臨的相關(guān)

威脅的過程宏所，如果存在風(fēng)險，就需要確定針對風(fēng)險采取控制措施摊溶，在基于組織信息資源價值

的前提下（ 成本效益考慮 ）爬骤，將風(fēng)險降低到組織可接受的水平。

風(fēng)險管理包括識別莫换、分析霞玄、評估、處理拉岁、監(jiān)控和溝通 1T 過程的風(fēng)險影響坷剧。有了明確的風(fēng)險

喜好和風(fēng)險承受能力，就可以設(shè)計風(fēng)險管理戰(zhàn)略和進行責(zé)任分工喊暖。根據(jù)風(fēng)險類型和對業(yè)務(wù)的

影響程度惫企，管理層和董事會可以選擇:

.避免風(fēng)險，如選擇不從事風(fēng)險巨大的業(yè)務(wù)或活動

.降低風(fēng)險陵叽，如制訂并實施保護 IT 體系的控制

.轉(zhuǎn)移風(fēng)險狞尔，如丛版，與合作伙伴分擔(dān)風(fēng)險或?qū)L(fēng)險轉(zhuǎn)移給保險公司

.接受風(fēng)險，如偏序，正視風(fēng)險的存在并控制其發(fā)生

.消除風(fēng)險硼婿，如盡其可能轉(zhuǎn)移風(fēng)險源

風(fēng)險能夠被轉(zhuǎn)移、降低禽车、接受或避免。

如果控制的成本超過了安全收益(這也稱為控制過度)刊殉，組織就可以選擇接受風(fēng)險而不是榨加

成本來保護系統(tǒng)殉摔。

建立風(fēng)險管理程序 risk management program 2008 新

第一步、確定風(fēng)險管理程序的目標记焊，確定成本和效益逸月，CEO 或董事會制定基調(diào)

第二步、給不同的人或團隊分配建立遍膜、實施風(fēng)險管理程序的職責(zé)

建立風(fēng)險管理程序必須考慮整個 IT 環(huán)境

風(fēng)險管理過程

.風(fēng)險管理的第一步要對那些具有脆弱性碗硬，易受威脅，需要保護的信息資源或資產(chǎn)進行識別

與分類瓢颅。分類的目的是為進一步的調(diào)查進行優(yōu)先級排序恩尾，以確定適當?shù)谋Ｗo級別(基于資產(chǎn)

的價值的簡單分類);二是為了確保安全保護標準模型得以實施(根據(jù)危險程度和敏感程度分

類)。

.風(fēng)險管理的第二步是評價與信息資源相關(guān)的威脅和脆弱性挽懦，及其發(fā)生的可能性翰意。脆弱性是

信息資源的固有特性。

.一旦各種風(fēng)險要素被一一確定之后信柿，把它們結(jié)合起來考慮就可以形成對風(fēng)險的總體評價冀偶。

結(jié)合這些風(fēng)險要素的通用方法是對每一個威脅計算其對資產(chǎn)脆弱性的影響，把這些影響累計

起來就形成了對總體風(fēng)險的度量渔嚷。

一旦風(fēng)險被確定进鸠，就可以評價組織中的現(xiàn)有控制或設(shè)計新的控制措施將風(fēng)險降低到一個可接

受的水平。這些控制通常是作為風(fēng)險對策來部署形病，可能是行動客年、設(shè)備、程序或技術(shù)窒朋。

實施控制后剩下的搀罢、沒有被有效控制的風(fēng)險就叫做剩余風(fēng)險。管理層可以把剩余風(fēng)險作為衡

量某一區(qū)域是否需要進一步采取控制以降低風(fēng)險的度量指標侥猩。組織的可接受風(fēng)險水平應(yīng)當由

管理層決定榔至。成本考慮

IT 風(fēng)險管理需要在多種層面上進行綜合分析，在各個層面(運行層面/項目層面戰(zhàn)略層面)識

別欺劳、評估和管理 IT 風(fēng)險是組織中不同的個人與集體所要承擔(dān)的職責(zé)唧取，但這些職責(zé)又不能完

成隔裂開來考慮铅鲤，因為某一層面的風(fēng)險可能會影響其他層面的風(fēng)險。運營層面枫弟、項目層面邢享、

戰(zhàn)略層面

進行風(fēng)險管理時，各種復(fù)雜方法與軟件包的使用不能取代業(yè)務(wù)常識與職業(yè)審慎在風(fēng)險管理時

的重要作用淡诗。

風(fēng)險分析方法

定性

定性風(fēng)險分析方法使用文字或文字分級來描述風(fēng)險的影響和發(fā)生可能性骇塘。財務(wù)、管理

半定量

半定量風(fēng)險分析方法采用描述性的風(fēng)險分級與數(shù)字分級相結(jié)合的方法韩容。無法使用定量

定量款违，

定量風(fēng)險分析方法使用數(shù)值描述風(fēng)險的可能性和影響，使用的數(shù)據(jù)來自不同方面群凶。概率

與期望值(Probability And Expectancy)插爹、年預(yù)期損失方法(ALE, Annual Loss Expectancy

Method)

不可預(yù)知的災(zāi)難事件也會發(fā)生 C 要謹慎的估計最壞事件發(fā)生的可能性。

信息系統(tǒng)管理實務(wù) ：人事管理请梢、采購實務(wù)赠尾、變更管理、財務(wù)管理毅弧、質(zhì)量管理气嫁、安全管理、

績效優(yōu)化够坐。

然而杉编，在信息化社會中，信息系統(tǒng)在許多方面己經(jīng)與業(yè)務(wù)融為一體咆霜，對組織而言邓馒，信息系統(tǒng)

變得越來越重要。信息系統(tǒng)審計師必須認識到一個管理良好的信息系統(tǒng)部門對于實現(xiàn)組織的

目標是不可或缺的因素蛾坯。

人事管理

人事管理涉及員工的聘用光酣、晉升、保留和終止政策和程序的制定與執(zhí)行脉课。這些管理活動與信

息系統(tǒng)的職能密切相關(guān)救军，其有效性將會影響到員工的行為表現(xiàn)和對信息系統(tǒng)職責(zé)的履行。

臨時雇員和第三方雇員可能引入不可控風(fēng)險

缺乏對保密要求的了解可能導(dǎo)致對總體安全環(huán)境的損害

交叉培訓(xùn)是指培訓(xùn)一個以上的人員從事一項特定作業(yè)或程序，這樣做的好處是降低了對某個

員工的依賴程度，并可以作為接替計劃的一部分澈蟆，它可以在員工缺勤情況下提供備用人員炸站，

保持業(yè)務(wù)持續(xù)性城瞎。但同一個人了解系統(tǒng)所有部分后的風(fēng)險不小。

通過強制休假(Required Vacations)確保每年至少一次由日常履行某個工作職責(zé)之外的人代行

該職責(zé)杉武。這樣做減少了進行不正當或違法行為的機會伐蒂。使日常履行某個工作職責(zé)之外的人代

行該職責(zé)司致，也可以發(fā)現(xiàn)潛在的不合規(guī)行為拆吆。

解雇政策應(yīng)當為組織的計算機資產(chǎn)和數(shù)據(jù)提供充分的保護。

務(wù) 采購實務(wù) sourcing practice

組織應(yīng)該評估 IS 職能以確定最適當?shù)膶崿F(xiàn) IS 職能的方式脂矫，可以考慮下列問題:

IS 是組織的核心部門嗎?

該部門有達成目標和目的所特有的知識枣耀、方法和員工，而這些都是難以替代的資源庭再。

這些 IS 職能能否外包給其他組織捞奕，而成本、質(zhì)量和風(fēng)險均有更佳的體現(xiàn)?

組織是否擁有管理第三方拄轻、或遠程缝彬、跨國執(zhí)行 IS 和業(yè)務(wù)職能的經(jīng)驗?

完成上述采購戰(zhàn)略，IS 指導(dǎo)委員會檢查并批準該戰(zhàn)略哺眯。

外包實務(wù)是組織根據(jù)協(xié)議，將部分或全部信息系統(tǒng)部門的職能轉(zhuǎn)交給外部實體扒俯。大多數(shù)信息

系統(tǒng)部門則利用提供商的各種各樣的信息資源奶卓，因此，需要制定外包流程來有效地管理這些

協(xié)議撼玄。

不同的組織有不同的 IT 外包目標夺姑。需要管理層重新考察其依賴的控制架構(gòu)是否能控制外包

所帶來的風(fēng)險。

因為服務(wù)提供商一般對于時間與成本非常敏感掌猛，因此很少發(fā)生項目失控盏浙、時間延期的情況。

合同條款適當考慮到合理的偶然/例外事件荔茬。保護本機構(gòu)自有數(shù)據(jù)的完整废膘、保密和有效，同

時清晰地建立數(shù)據(jù)所有者關(guān)系慕蔚。

外包實務(wù)要求管理層能夠積極管理外包關(guān)系和外包的服務(wù)丐黄。IS 審計人員定期檢查合同和服

務(wù)情況以確定沒有出現(xiàn)新問題。

IS 審計人員還可以檢查承包方成文的流程和他們的質(zhì)量計劃(包括 CMM孔飒、工 SO 等標準)的

執(zhí)行情況灌闺。這些質(zhì)量計劃要求定期的審計以確定流程達到了質(zhì)量標準。

外包不僅僅是一個成本決策的問題坏瞄，它是一種對管理具有重大控制影響的戰(zhàn)略決策桂对。服務(wù)提

供商在企業(yè)文化和人力資源方面與組織的兼容性是管理層不應(yīng)忽略的一個重要事項。

應(yīng)當把服務(wù)水平協(xié)議 SLA 看作是一種控制手段鸠匀。當外包服務(wù)提供商來自境外時蕉斜，還需考慮

跨國界的法律問題。

IS 審計師可以要求外包服務(wù)提供商定期提供第三方審計報告，對服務(wù)提供商實施的控制進

行鑒證蛛勉，這些控制應(yīng)涉及數(shù)據(jù)的機密性鹿寻、可用性和完整性的各方面。

行業(yè)標準/基準為組織確定在相似的信息處理環(huán)境下提供的服務(wù)水平提供了一個參考依據(jù)和

對照比較的標準诽凌。供應(yīng)商的服務(wù)必須符合其客戶信賴的標準毡熏。

變更管理

項目實施的整個過程都應(yīng)該獲得用戶的反饋，包括確認業(yè)務(wù)需求侣诵，對新的或變更后的功能進

行培訓(xùn)和測試等痢法。

財務(wù)管理實務(wù)

IT 用戶的記費機制(Chargeback，組織中采用的針對 IT 服務(wù)的內(nèi)部收費方式)

這種收取方式是信息系統(tǒng)部門和用戶部門的共同責(zé)任杜顺，它可以作為信息系統(tǒng)部門和用戶的一

種工具财搁，來衡量信息處理設(shè)施所提供服務(wù)的效果和效率。

信息系統(tǒng)預(yù)算應(yīng)當與 IT 的短期計劃及長期計劃結(jié)合起來考慮躬络。

質(zhì)量管理

質(zhì)量管理是信息系統(tǒng)基于部門的流程得到有效控制尖奔、評價和改善的手段。

堅持并遵守已制定的流程要求及相關(guān)流程管理技術(shù)是衡量信息系統(tǒng)組織的效果和效率的關(guān)

鍵穷当。

質(zhì)量管理體系是文件化的體系提茁，它基于一系列文件、手冊和記錄馁菜。突出標準是 IS09001 質(zhì)量

管理體系茴扁。

信息系統(tǒng)審計師應(yīng)當關(guān)注業(yè)務(wù)職能和流程是否正式成文（ 最新的文檔 ）并被遵照執(zhí)行，是否

產(chǎn)生了預(yù)期結(jié)果汪疮。因為開發(fā)和實施流程管理技術(shù)會產(chǎn)生成本峭火，信息系統(tǒng)審計師最關(guān)心的是明

確定義并正式成文的、與 IT 相關(guān)的關(guān)鍵的業(yè)務(wù)流程智嚷。為此卖丸，信息系統(tǒng)審計師可以建議實施

一個流程完善程序，排定所需采取的行動的順序盏道，制定實現(xiàn)所需的行動計劃坯苹，投入實施該計

劃所需的資源。

該標準要求保留一系列必備的質(zhì)量記錄摇天，用以表明系統(tǒng)的存在性和功效粹湃，并且在內(nèi)部和外部

審計時需要接受審查

信息安全管理

信息安全管理在確保組織所控制的信息和信息處理資源受到適當?shù)谋Ｗo方面起著重要作用，

它領(lǐng)導(dǎo)和促進整個組.織范圍內(nèi)的 IT 安全程序的實施泉坐，信息安全管理主要包括了安全方針策

略的制定为鳄、組織與人員的安全管理、訪問控制腕让、支持綱_織關(guān)鍵業(yè)務(wù)流程的業(yè)務(wù)持續(xù)計劃和

災(zāi)難恢復(fù)計劃等內(nèi)容孤钦。制定合理的信息安全管理程序的一個重要前提就是要應(yīng)用風(fēng)險管理原

則來評估 IT 資源的風(fēng)險歧斟，并將這些風(fēng)險降低到管理層可以接受的水平，井監(jiān)視剩余的風(fēng)險偏形。

需要了解各個環(huán)節(jié)人員的主要職責(zé)静袖、存在風(fēng)險和控制要點

每個員工都應(yīng)有一份組織結(jié)構(gòu)圖，它提供了清晰的部門層次和授權(quán)俊扭。另外队橙，工作描述為信息

系統(tǒng)部門員工提供了其任務(wù)和職責(zé)清晰的指引。信息系統(tǒng)審計師應(yīng)當在被審計方的現(xiàn)場觀察

和確定工作描述和結(jié)構(gòu)是否充分萨惑。必須審查的職位：系統(tǒng)開發(fā)經(jīng)理(System Development

Management>捐康、幫助臺(Help Desk>、最終用戶(End User)—負責(zé)與業(yè)務(wù)應(yīng)用系統(tǒng)有關(guān)的具體

操作庸蔼、數(shù)據(jù)管理員—負責(zé)數(shù)據(jù)資產(chǎn)管理和大型 IT 環(huán)境下的數(shù)據(jù)結(jié)構(gòu)設(shè)計

需要由專門的人員管理供貨商 vendor 和外包商解总，

體系運營和維護

運營經(jīng)理(Operations Manager)負責(zé)計算機操作人員的管理，包括準確有效地運行信息處理設(shè)

施(IPF)所需的所有員工(比如姐仅，計算機操作員花枫、資料庫管員、日程安排人員和數(shù)據(jù)控制人員)掏膏。

IPF 包括計算機劳翰、外設(shè)、磁性介質(zhì)及其存儲的數(shù)據(jù)壤追。IPF 是一項主要的資產(chǎn)投資。管理控制

可以被細分為物理安全控制供屉、數(shù)據(jù)安全控制和處理控制三類行冰。

▲ 資料庫管理員：資料庫管理員(Librarian)負責(zé)登記、發(fā)布伶丐、接收和保管 IPF 保存在計算機

磁帶和/或磁盤上的所有程序和數(shù)據(jù)文件悼做。根據(jù)組織的大小，資料庫管理員可以是某個全職

人員或某個數(shù)據(jù)控制組兼職成員哗魂。由于該職位非常關(guān)鍵

▲ 數(shù)據(jù)錄入(Data Entry)人員從事一項關(guān)鍵的信息處理活動肛走。數(shù)據(jù)被成批錄入或在線錄入。

部門經(jīng)理負責(zé)確保數(shù)據(jù)在錄入系統(tǒng)時是合法的录别、準確的和完整的朽色。

系統(tǒng)管理 系統(tǒng)管理員(Systems Administrator)

增加和配置新的工作站

設(shè)置用戶賬號

安裝系統(tǒng)級軟件

執(zhí)行預(yù)防/保護/修復(fù)病毒傳播的程序

分配海量存儲空間

安全管理員(Security Administration)

必須首先得到管理層的支持，管理層要明確承諾對信息安全管理的責(zé)任组题，并要理解和評價安

全風(fēng)險葫男，制定和強制執(zhí)行一套書面政策，清晰地說明應(yīng)當遵循的標準和程序崔列。在信息安全管

理體系中梢褐，安全管理員(Security Administrator)是一個重要的職位，其職責(zé)應(yīng)當在政策中明確

定義。為了提供充分的職責(zé)分工盈咳，該職位應(yīng)當是一個全日制職位耿眉，。鱼响。來預(yù)防對組織資產(chǎn)(包

括數(shù)據(jù)鸣剪、程序和設(shè)備)的非法訪問。向 IPF 主管直接報告热押。

定期審查和評估安全政策西傀，向管理層提出必要的修改意見

質(zhì)量保證(Quality Assurance 人員執(zhí)行

兩種不同的任務(wù):

.質(zhì)量保證(QA, Quality Assurance)。幫助信息系統(tǒng)部門確保其人員遵守了規(guī)定的質(zhì)量過程桶癣。

比如拥褂，QA 可以幫助確保組織制定程序和文檔符合標準和命名慣例。

.質(zhì)量控制(QC, Quality Control)牙寞。負責(zé)進行測試和審查饺鹃，驗證和確保軟件不存在缺陷并滿足

用戶的預(yù)期。它可以在應(yīng)用系統(tǒng)開發(fā)的各個階段進行 無論如何都不能讓個人對自己完成的

工作進行質(zhì)量檢查

數(shù)據(jù)庫管理員(DBA, Database Administrator)

是一個組織的數(shù)據(jù)保管員间雀，其職責(zé)主要是定義和維護公司數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)悔详。DBA 必

須理解該組織、用戶數(shù)據(jù)和數(shù)據(jù)關(guān)系(結(jié)構(gòu))要求惹挟，對保存在數(shù)據(jù)庫系統(tǒng)中的共享數(shù)據(jù)的安全

負有責(zé)任;DBA 負責(zé)公司數(shù)據(jù)庫的設(shè)計茄螃、定義和正確的維護;DBA 通常向 IPF 主管直接報告

其工作。實施數(shù)據(jù)庫定義控制连锯、訪問控制归苍、更新控制和并發(fā)控制。 DBA 擁有建立數(shù)據(jù)庫控

制的工具和繞過這些控制的能力运怖，DBA 也能訪問所有數(shù)據(jù)拼弃，包括生產(chǎn)數(shù)據(jù)。通常無法禁止

或完全預(yù)防 DBA 對生產(chǎn)數(shù)據(jù)的訪問摇展。DBA 活動需要得到管理層的審批吻氧。檢查性控制、職責(zé)

分工咏连。

系統(tǒng)分析員(Systems Analysts)

是基于用戶需求來設(shè)計系統(tǒng)的專家 程序規(guī)格說明書:

安全構(gòu)架師(Security Architects)

安全構(gòu)架師(Security Architects)評估安全技術(shù)盯孙、設(shè)計安全的網(wǎng)絡(luò)拓撲結(jié)構(gòu)、訪問控制祟滴、標識

管理和其他安全系統(tǒng)镀梭、還要建立安全策略(或安全政策)和安全需求。

(安全)政策踱启、需求和(網(wǎng)絡(luò))體系圖

應(yīng)用組成員(Applications Staff Members)

負責(zé)開發(fā)和維護應(yīng)用系統(tǒng)报账。管理層必須確保他們不能訪問生產(chǎn)程序研底，只能在測試環(huán)境

系統(tǒng)組成員(Infrastructure Staff Members)

負責(zé)維護包括操作系統(tǒng)在內(nèi)的系統(tǒng)軟件。該職能可能需要給予他們無限制地訪問整個系統(tǒng)的

權(quán)限透罢。信息系統(tǒng)管理人員必須密切監(jiān)督他們的活

網(wǎng)絡(luò)管理員(Network Administrators)

負責(zé)管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的關(guān)鍵組成部分(路由器榜晦、交換機、防火墻羽圃、網(wǎng)絡(luò)分段乾胶、運行管理、

遠程訪問朽寞，等等)识窿。不應(yīng)當賦予局域網(wǎng)管理員應(yīng)用系統(tǒng)編程的責(zé)任，但是可以使其承擔(dān)最終

用戶

職責(zé)分工? ★★

信息系統(tǒng)審計師必須獲得足夠的信息以了解各種工作職位脑融、責(zé)任和授權(quán)之間的關(guān)系喻频，從而評

估職責(zé)分工是否充分。職責(zé)分工可以避免因為某一個人負責(zé)多個關(guān)鍵的職位而造成不能在日

常的業(yè)務(wù)活動中及時地發(fā)現(xiàn)其錯誤的情況肘迎。職責(zé)分工是威懾和預(yù)防欺詐或惡意行為的一種手

段甥温。需要分開的職責(zé)包括:

.資產(chǎn)的管理

.授權(quán)和批準

.交易的記載

兼職情況下為避免潛在的風(fēng)險，就需要對這些崗位增加補償控制(Compensating Control)措

施妓布。補償控制是一種內(nèi)部控制姻蚓，當職責(zé)不能被適當?shù)胤珠_時，用于減少存在或潛在的控制弱

點的風(fēng)險匣沼。職責(zé)分工的目的是通過適當?shù)难a償控制減低或消除業(yè)務(wù)風(fēng)險狰挡。對于不同的組織，

也能確定風(fēng)險的影響和發(fā)生的可能性释涛。工作描述也指明了組織中職責(zé)分工的程度

可以兼職的：系統(tǒng)開發(fā)和維護加叁、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全

控制措施

數(shù)據(jù)有者有責(zé)任決定對數(shù)據(jù)的使用者授于什么級別的訪問授權(quán)，

對重要數(shù)據(jù)的訪問必須加以限制枢贿，所采取的控制措施必須能保護組織的所有信息資源殉农。為達

到這樣的目的刀脏，組織首先要對其信息資產(chǎn)進行分類局荚。組織應(yīng)當基于其安全策略和通用的實踐

標準(如:職責(zé)分工、最小授權(quán)原則)來決定其訪問控制的決策愈污。實施控制措施不能以中斷正常

的業(yè)務(wù)流程為代價

用戶授權(quán)表格又可稱為用戶訪問控制列表(Access Control List)

針對缺乏職責(zé)分工的補償控制 ★★★

審計蹤跡(Audit Trails)耀态。審計蹤跡是所有設(shè)計優(yōu)良的系統(tǒng)的基本組成部分，它通過提供追蹤

一項交易的詳細“地圖”來幫助信息系統(tǒng)部門暂雹、用戶部門和信息系統(tǒng)審計師跟蹤交易流的來

龍去脈首装，使得用戶部門和信息系統(tǒng)審計師能夠建立自起點到終點的實際交易的全過程。

核對(Reconciliation)杭跪。 控制總計(Control Totals)和平衡表(BalancingSheets)來完成

例外報告(Exception Reporting)仙逻。例外報告應(yīng)當由主管層來處理驰吓，并且需要證據(jù)，

交易日志(Transaction Logs)系奉。

監(jiān)督性審核(Supervisory Reviews)檬贰。監(jiān)督性審核可以通過現(xiàn)場觀察和問詢來進行。

獨立性審核(Independent Reviews)缺亮。獨立審核是為了對錯誤或故意違反操作程序的行為進行

補償控制翁涤。在不能進行有效職責(zé)分工的小型組織中尤其重要

計 審計 IT? 治理

被審核的各種文檔應(yīng)當被進一步進行評估，從而確定:

它們是否如實反映了管理層的思想萌踱，并得到了授權(quán)葵礼。

它們是否適用于當前狀況，并能得到及時最新并鸵。

確保在恰當?shù)闹芷趦?nèi)對合同遵循性進行審核