信息系统审计指南COBIT中文版Word版.docx

1、信息系统审计指南COBIT中文版Word版COBIT信息技术审计指南(34个控制目标)计划和组织（选择3/6/11）1 定义战略性的信息技术规划（PO1）PO域控制的IT过程：定义战略性的IT规划满足的业务需求：既要谋求信息技术机遇和IT业务需求的最佳平衡，又要确保其进一步地完成实现路线：在定期从事的战略规划编制过程中，要逐渐形成长期的计划，长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项：企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面，企业所处的

2、位置需要高级管理层出钱、支持和必不可少的检查信息规范 IT资源P 效果 * 人员S 效率 * 应用保密 * 技术完整 * 设施可用 * 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面，高级管理层应确保IT有关事项以及机遇被适当地评估，并将结果反映到机构的长期和短期计划之中。IT的长期、短期计划应被开发，确保IT的运用同机构的使命与业务发展战略相结合。1.2 IT 长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关内

3、外部利害关系人引入的机制。相应地，管理层应执行一个长期计划的编制过程，采用一种结构化的方法，并建立一个标准的计划结构。1.3 IT 长期计划编制方法与结构对于长期计划的编制过程来讲，IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划，含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果，包括业务、环境、技术和人力资源的风险。计划编制期间，需要考虑和充分投入的方面包括：机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术

4、体系结构。已做出选择的好处应被明确地确定下来。IT长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划，比如机构的质量计划和信息风险管理计划。1.4 IT 长期计划的变更IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位，以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。1.5 IT 功能的短期计划编制IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这样的短期计划应确保适当的IT功能资源以与IT长期计划内容相一致的基础上来分配。短期计划应定期地进行再评估，并被作为适应正在变化的业

5、务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。1.6 IT 计划的交流管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。1.7 IT 计划的监控和评估管理层应建立一个流程，获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。获取的反馈应予以评估，并在将来的IT计划编制中加以考虑。1.8 现有系统的评估在开发或变更战略规划或长期计划、IT计划之前，IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势，评估现有信息系统，以确定现有系统支持机构业务需求的程度。对高级和详细的控

6、制目标进行审计：获得了解：访谈：首席执行官（CEO）首席运营官（COO）首席财务官（CFO）首席信息官（CIO）IT计划/指导委员会成员IT高级管理层和人力服务职员获得：与计划编制过程想关联的政策和程序高级管理层的指导角色和责任机构的目标和长短期的计划IT的目标和长短期的计划状况的报告和计划/指导委员会的会议纪要评估控制：考虑是否：IT或者业务的企业政策和程序选择了一种结构化的计划编制方法方法到位，以便明确地表达并能够修改计划，起码它们要包括： 机构的使命和目的 支持机构使命和目的的IT初始 IT初始的机遇 IT初始的可行性的研究 IT初始的风险评估 当前和未来IT的最佳投资 反映企业使命和目

7、的变化的IT初始的再造 数据应用、技术和机构可选择战略的评估机构的变化、技术的发展、规章的要求、业务过程的再造、员工的安置、自己开发和外包，等等被考虑，并在计划编制过程中充分地从事长短期的IT计划存在，是当前的，充分针对全部企业、它的使命和关键的业务职能部门IT项目由IT计划编制方法中确定的适当文档所支持确保IT目标和长短期计划持续地满足机构目标和长短期计划的检查点存在由过程所有者和高级管理层评价和结束的IT计划发生根据业务自动化程度、功能性、稳定性、复杂性、成本、优势和弱点，IT计划评估现有的信息系统对信息系统及其支持的基础设施的长期计划编制的缺乏，导致系统不能支持企业的目标和业务的过程，或

8、者不能提供适当的完整、安全和控制评定遵从性：测试：来自反映计划编制过程的IT计划编制/指导委员会的会议纪要计划编制方法的可交付使用物的存在，作为预先的规定相关IT的初始被包括在IT长短期的计划当中（也就是硬件的变化、容量计划编制、信息体系结构、新系统开发或获取、灾难恢复计划编制、新处理平台的安装，等等）IT初始支持长短期计划，并要考虑调查、培训、人员安置、设施、硬件和软件的需求IT初始的技术含义已经被确定最优化当前和将来IT投资的考虑已经给出IT长短期计划与机构的长短期计划和组织的需求保持一致计划已经发生改变，以反映正在变化的条件IT长期计划定期转化成短期计划存在实现计划的任务证实没有满足业务

9、目标的风险：执行：依照类似的机构或者适当的国际标准/公认的行业最好实践的战略IT计划的基准确保IT初始反映机构的使命和目的的IT计划的详细评价决定是否机构之内已经知道的虚弱区域正在被确认为计划当中IT解决方案的一部分而加以改进的IT计划的详细评价确定：满足机构使命和目的的IT失败与长期计划相匹配的短期计划的IT失败满足短期计划的IT项目的失败满足成本和时间准则的IT失败错过的业务机遇错过的IT机遇2 定义信息体系结构（PO2）控制的IT过程：定义信息体系结构满足的业务需求：优化信息系统的机构实现路线：创建并维护一个业务信息模型，确保定义适当的系统，以优化信息的使用需要考虑的事项：自动化的数据存

10、贮和字典数据语法规则数据所有权和关键性/安全性程度分类表述业务的信息模型企业信息体系结构标准信息信息规范 IT资源P 效果 人员S 效率 * 应用S 保密 技术S 完整 设施可用 * 数据遵从可靠2.1 信息体系结构模型信息应与需求保持一致，并应以某种格式和期限进行识别、获取和交流，而这些格式和期限能使人们及时、有效地履行他们的职责。相应地，围绕企业的数据模型和相关的信息系统，IT的职能应是建立并有规律地更新信息体系结构模型。信息体系结构模型应与IT长期计划保持一致。2.2 企业数据字典和数据语法规则IT的职能应确保包含机构数据语法规则的企业数据字典的建立以及持续的更新。2.3 数据分类方案在

11、按信息类别（如安全类）进行分类的数据放置以及所有权分配方面，应建立一个总体的分类框架，应适当定义各类别的访问规则。2.4 安全等级对于上述确定的每一个“不需要保护”级别以上的数据分类，管理层应定义、执行和维护这些安全等级。对于每一个分类来讲，这些安全等级应描述适当的（最小的）一套安全和控制尺度，应定期进行再评估并做相应的修改。对于区域范围广阔的企业，应建立支持不同安全等级的标准，以适应正在发展的电子商务、移动计算和远程办公环境的需要。对高级和详细的控制目标进行审计：获得了解：访谈：首席信息官（CIO）IT计划/指导委员会成员IT高级管理层安全官获得：与信息体系结构相关的政策和程序信息体系结构模

12、型支持信息体系结构模型的文档，包括企业数据模型企业数据字典数据所有者政策高级管理层指导的角色和责任IT的目标和长短期计划状况报告和计划编制/指导委员会会议纪要评估控制：考虑是否：IT政策和程序选择了数据字典的开发和维护用于修改信息体系结构模型的过程是以长短期计划为基础的，考虑了相关成本和风险，并且该模型变化之前，要确保高级管理层同意有一个过程用来保持数据字典和数据语法规则处于最新状态有一个媒介用来分发数据字典，确保开发区域的可达性并立即反映变化IT政策和过程要选择数据的分类，包括安全种类和数据所有者，数据分类的访问规则要被清晰和适当地定义要为那些不包含数据分类标识符的数据资产定义缺省的分类标准

13、IT政策和程序要选择以下内容： 需要数据所有者（在数据所有者政策上定义）的授权过程要到位，以便批准该数据的所有访问以及数据的安全属性 每一个数据分类的安全等级要被定义 访问等级被定义，并且对于数据分类来说是适当的 访问敏感数据需要清楚的访问级别，数据的提供要以“需要知道”为基础评定遵从性：测试：信息体系结构模型上的变化，确定这些变化反映了IT长短期计划及其所确定的成本和风险评估数据字典的任何修改以及数据字典上变化的影响，确保它们被有效地沟通各种运作的应用系统和开发项目，以确定数据字典被用作数据定义足够的数据字典文档，以确定这些文档为每一个数据项定义了数据的属性和安全等级数据分类、安全等级、访问

14、等级和缺省的适当性每一个数据分类都要清晰地定义： 谁可以访问 谁对决定适当的访问级别负责 所需访问的明确批准 访问的特定需求（也就是非披露或者保密性协议）证实没有满足业务目标的风险：执行：依照类似机构或适者国际标准/公认的行业最好实践的信息体系结构模型的基准针对关键元素的完整性，数据字典的详细评价对定义为敏感数据的安全等级的详细评价，以校验访问的适当授权被获得，被许可的访问与定义在IT政策和程序中的一致确定：信息体系结构模型和企业数据模型、企业数据字典、相关信息系统以及IT长短期计划中的矛盾过时的企业数据字典项和由于数据字典变化的不良的沟通丧失了时效性的数据语法规则？所有者不清楚和/或没有适当

15、定义的数据项没有被适当定义的数据分类与“需要才能知道”的原则不一致的数据安全等级3 决定技术方向（PO3）控制的IT过程：决定技术方向满足的业务需求：利用目前可用的和正在出现的技术，推动业务战略的实施并使业务战略成为可能实现路线：建立并维护技术基础设施计划，该计划，依据产品、服务和交付机制，建立并管理技术能够提供的清晰和现实的预期需要考虑的事项：当前基础设施的容量通过可靠的来源，监测技术发展引导概念的检验风险、约束和机遇获取的计划移植战略和路线与供应商的关系独立的技术再评估硬件和软件的性能/价格比的变化信息规范 IT资源P 效果 人员S 效率 应用保密 * 技术完整 * 设施可用 数据遵从可靠

16、3.1 技术基础设施计划编制IT的职能部门应建立并有规律地更新与IT长期和短期计划保持一致的技术基础设施计划。这样的计划应围绕诸如系统体系结构、技术方向和移植策略等方面。3.2 监测未来的趋势和法规IT的职能部门应能够确保对未来趋势和法规环境的持续监测，以便这些因素能够在技术基础设施计划的开发和维护期间被考虑在内。3.3 技术基础设施的不确定事件技术基础设施计划应在偶然事件方面（即基础设施的冗余、恢复、充足性和发展能力）进行系统地评估。3.4 硬件和软件获取计划IT管理层应确保制定硬件和软件的获取计划，并要反映在所确定的技术基础设施计划的需求中。3.5 技术标准以技术基础设施计划为基础，IT管

17、理层应定义技术规范以培养标准化的意识。对高级和详细的控制目标进行审计：获得了解：访谈：首席执行官（CEO）首席运营官（COO）首席财务官（CFO）首席信息官（CIO）IT计划/指导委员会成员IT高级管理层获得：与技术基础设施计划编制和监控相联系的政策和程序高级管理层指导角色和责任机构目标和长短期计划IT目标和长短期计划IT硬件和软件获取计划技术基础设施计划技术标准状况报告和计划编制/指导委员会会议纪要评估控制：考虑是否：为确认被提议的变化首先被检查以评估相关联的成本和风险，为确认高级管理层的批准先于计划的变化被获得，有一个创造并有规律地更新的技术基础设施计划的过程技术基础设施计划与IT长短期计

18、划相比较有一个过程来评估机构的当前技术状态，确保环绕诸如系统体系结构、技术方向和移植战略等方面IT政策和程序确保选择了评估和监控当前和将来的技术趋势和规章条件的要求，并且在技术基础设施计划的开发和维护期间被考虑技术获取的后勤和环境影响要被计划IT政策和程序确保选择了系统地评估技术计划意外的需求（也就是基础设施的冗余、恢复力、足够性和发展能力）IT管理层评估正在出现的技术，并将适当的技术合并到当前的IT基础设施之中对于硬件和软件的获取计划来讲，它是遵从技术基础设施计划中所确定的要求并被适当地批准的实践在技术基础设施计划中所描述的技术组成的技术标准是到位的评定遵从性：测试：IT管理层理解并使用技术

19、基础设施计划技术基础设施计划上的变化，以确定相关的成本和风险，这些变化要反映在IT长短期计划的变化中IT管理层要理解监控和评估正在出现技术的过程，并要将适当的技术合并到当前的IT基础设施之中IT管理层要理解系统评估技术计划意外的过程（也就是说，基础设施的冗余、恢复力、充足性和发展能力）为了充分地适应目前的已安装的硬件/软件以及在当前被批准的增加的新的硬件/软件，IT职能部门现有的物理环境硬件和软件获取计划遵从IT长短期计划，并要反映技术基础设施计划中所确认的需求技术基础设施计划选择利用当前和将来的技术技术标准被遵循，并作为开发过程的一部分而被合成一体被允许的访问与IT政策和程序中所定义的安全等

20、级相一致，到位的访问要经过适当的授权证实没有满足业务目标的风险：执行：依照类似的机构或者适当的国际标准/公认的行业最好实践的技术基础设施计划编制的基准针对关键元素的完整性，数据字典的详细评价为敏感数据而定义的安全等级的详细评价确定：信息系统和IT长短期计划相关的信息体系结构模型和企业数据模型、企业数据字典的矛盾企业数据字典条款和数据语法规则的过时没有在技术基础设施计划中选择的以外方面没能反映技术基础设施计划需求的IT硬件和软件的获取计划与技术标准不一致的技术基础设施计划或IT硬件和软件获取计划数据字典中丢失的关键元素没有按照同样标准分类或者没有安全等级的敏感数据4 定义信息技术的机构及关系（P

21、O4）控制的IT过程：定义IT的机构及关系满足的业务需求：提供正确的IT服务实现路线：定义一个数量上相配、具有角色和职责所要求技能的机构，与业务部门沟通、联合在一起，促进战略的实现，并规定有效的方向和适当的控制需要考虑的事项：董事会层面上的IT职责管理层对于IT的指导和监督IT与业务的结合关键决策过程中IT的参与机构的灵活性清晰的角色和职责平衡授权与监督工作岗位的描述人员级别和关键的人员在安全、质量和内部控制功能方面的机构配置职责的分离信息规范 IT资源P 效果 * 人员S 效率 应用保密 技术完整 设施可用 数据遵从可靠4.1 IT 计划或指导委员会机构的高级管理层应指定一个计划或者指导委员

22、会，来检查IT的职能及其活动。委员会的会员应包括来自高级管理层、用户管理层和IT职能方面的代表。委员会应实行例会制度，并向高级管理层报告。4.2 IT 职能的机构设置在整个机构机构设置IT职能过程中，高级管理层应确保其权力、关键时刻以及与用户部门的独立性到必要的程度，以便在执行时能够保证有效的IT解决方案和充分的进展，并要建立与顶级管理层的伙伴关系，以便在确定和解决IT问题时，能够帮助他们增强意识、理解和技能。4.3 机构绩效的评价应设置一个框架来评价机构的机构，以不断地满足目标和变化的环境。4.4 角色和责任管理层应确保机构中所有人员都具有并理解他们在相关信息系统中的角色和责任。所有的人员应

23、具有足够的权力来行使分派给他们的角色和责任。角色的设置应考虑适当的职责分离。没有那个人能够控制一个交易或事件的所有关键环节。每个人都应认识到他们在内部控制和安全方面具有一定的责任。因此，应机构并承担起有规律的一些活动，以增强这方面的意识和纪律。4.5 质量保证的责任管理层应为IT职能部门的成员分配质量保证职能履行的责任，并确保适当的质量保证、系统、控制和存在于IT职能质量保证小组中的专家们的交流。IT职能内机构的布置以及质量保证小组的职责和规模应满足机构的需求。4.6 逻辑和物理安全的责任管理层应为信息安全经理正式地分配确保机构信息资产物理和逻辑安全的责任，并负责向高级管理层报告。最起码，安全

24、管理职责应建立在整个机构范围的层次上，以便能够处理一个机构内的全部安全问题。如果需要，系统细节层次上的附加安全管理责任也应被分配，以应对相关的安全问题。4.7 所有者和管理者管理层应正式建立一个指定数据所有者和管理者的结构。他们的角色和责任应清楚地定义。4.8 数据和系统的所有者管理层应确保所有信息资产（数据和系统）都已指定了所有者，他们对信息资产的分类和访问权限具有决策的权利。典型地，系统所有者可以将日常管理委派给系统的交付/操作小组，将安全职责委派给安全管理员。然而，所有者仍然要保留对适当安全尺度维护的责任。4.9 监督高级管理层应执行适当的IT职能的监督实践，以保证角色和责任被完全地行使

25、，评估所有的个人是否有足够的权力和资源完成他们的角色和职责，并要全面地评价关键的绩效指标。4.10 职责分离高级管理层应实施角色和职责的分离，避免单独的个人扰乱某个关键的过程。管理层还应确定每个人仅执行其工作和职位规定的各自的职责。尤其是下列职责之间责任分离的应维护。信息系统使用数据录入计算机操作网络管理系统管理系统开发和维护变更管理安全管理安全审计4.11 IT 人员配备员工需求评估应有规律地执行，以保证履行IT职能所需足够数量能胜任的IT员工。员工需求应至少每年评估一次，或根据业务、运作及IT环境的主要变化而执行。评估结果应尽快执行，以确保现在和将来员工的充足。4.12 IT 员工工作和职

26、位的描述管理层应确保建立IT员工的职位描述，并有规律地被更新。这些职位描述应清楚地描绘权力和责任两方面，包括相关职位要求的技能和经验的详细说明，并要适合在绩效评估中使用。4.13 关键的IT 人员IT管理层应详细说明和识别关键的IT人员。4.14 与员工签约的政策和程序为了IT职能部门控制咨询和其它签约个人的活动，确保机构的信息资产处于保护之中，管理层应详细说明和执行相关的政策和程序。4.15 关系IT管理层应采取必要的行动，在IT职能部门和其它各种有利害关系的内外部IT职能部门（即用户、供应商、安全官员、风险管理者）之间，建立并维持一个最佳的协调、交流、联络的结构。对高级和详细的控制目标进行

27、审计：获得了解：访谈：首席执行官（CEO）首席运营官（COO）首席财务官（CFO）首席信息官（CIO）质量保证官安全官IT计划/指导委员会成员、人力资源和高级管理层获得：高级管理层计划/指导角色和责任机构目标和长短期计划IT目标和长短期计划展示IT职能部门与及其它职能部门关系的机构机构图与IT机构和关系相关联的政策和程序与质量保证相关联的政策和程序用来决定IT人员需求的政策和程序IT职能部门的机构机构图IT职能部门的角色和责任IT关键位置（工作）的描述状况报告和计划/指导委员会会议纪要评估控制：考虑是否：来自高级管理层的政策声明和沟通确保IT职能部门的独立和权威IT计划/指导委员会的成员和职能

28、部门已经被定义，责任已经被确定IT计划/指导委员会的章程使委员会的目的与机构的目标和长短期计划以及IT的目标和长短期计划联盟增强确定和解决信息管理问题的意识、理解和技能的过程到位政策选择了满足正在变化着的目标和环境的机构机构的评估和修改的要求决定IT职能部门效果和承诺的过程和绩效指标存在高级管理层要确保角色和责任被执行勾画机构内所有个人有关信息系统内部控制和安全的角色和责任的政策存在增加内部控制和安全意识以及纪律的有规律的活动存在质量保证的职能部门和政策存在质量保证职能部门要充分地独立于系统开发人员，并要有执行其责任的适当人员和专门技术确定时间资源并确保质量保证测试的完成以及系统或者系统变化被

29、执行前的审批的质量保证之内的过程要到位为了安全官的内部控制和安全（逻辑和物理两者）政策和程序的明确表达，管理层应正式地分配机构范围内的责任安全官的职位的角色和责任的了解被充分地理解，并被证明与机构的信息安全政策一致机构的安全政策清晰地定义每一个信息资产的所有者（如，用户、管理层和安全管理员）被要求执行的信息安全的责任含盖数据和系统所有者所有主要数据源和系统的政策和程序存在有规律地评价并维护数据和系统所有者变化的程序存在描述监督实践，确保角色和责任被适当地行使，并且所有的人员有足够的权威和资源执行其角色和责任的政策和程序存在下列一对职责要分离： 系统开发和维护 系统开发和运行 系统开发/维护和信

30、息安全 运行和数据控制 运行和用户 运行和信息安全IT的人员安置和能力被维护，以确保其具有提供有效技术解决方案的能力IT职位（工作）描述的评估和再评估的政策和程序存在对于关键的过程，包括系统开发生命周期活动（需求、设计、开发、测试）、信息安全、获取和容量的计划编制，适当的角色和责任存在在实现机构的目标方面，使用适当和有效的关键绩效指标和/或关键成功因素测量IT职能部门的结果控制咨询者和其它契约人员活动的IT政策和程序存在，从而确保机构的资产的保护适用于已签约IT服务的适当性的过程，并要与机构的获取政策一致调整、沟通和归档IT职能部门高级职员会内外部兴趣的过程存在评定遵从性：测试：IT计划/指导委员会检查IT职能部门及其活动以及解决行动条款IT职能部门报告层次的适当性在机构关于为顶级管理层提供合作伙伴关系方面，IT职能部门的位置的有效性高级IT管理层了解用来监控、测量和报告IT职能部门绩效的过程用来评估绩效的关键指标当实际结果不能满足目标水平，依照目标水平，决定所采取的校正行动的分析实际结果的过程为了来自期望的绩效水平的任何重大差异