信息系统审计指南COBIT中文版.docx
《信息系统审计指南COBIT中文版.docx》由会员分享,可在线阅读,更多相关《信息系统审计指南COBIT中文版.docx(238页珍藏版)》请在冰点文库上搜索。
信息系统审计指南COBIT中文版
信息技术审计指南
2002年10月
计划和组织
1定义战略性的信息技术规划(PO1)
控制的IT过程:
定义战略性的IT规划
满足的业务需求:
既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成
实现路线:
在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并
具体到短期目的的操作计划
需要考虑的事项:
企业的业务发展战略
IT如何支持业务目标的明确定义
技术解决方案和当前基础设施的详细清单
追踪技术市场
适时的可行性研究和现实性检查
已有系统的评估
在风险、进入市场的时机、质量方面,企业所处的位置
需要高级管理层出钱、支持和必不可少的检查
信息规范IT资源
P效果*人员
S效率*应用
保密*技术
完整*设施
可用*数据
遵从
可靠
1.1作为机构长期和短期计划一部分的IT
高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。
在这一方面,高级管理层应
确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。
IT的长期、短期
计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。
1.2IT长期计划
IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。
计
划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。
相应地,管理层
应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构。
1.3IT长期计划编制——方法与结构
对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。
这样
可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。
IT计划的编制过程
应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。
计划编制期间,需要考虑和充分投
入的方面包括:
机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市
场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结
构。
已做出选择的好处应被明确地确定下来。
IT长期和短期计划应使绩效指标和目标合并在一起。
计划
本身还应参考其它的计划,比如机构的质量计划和信息风险管理计划。
1.4IT长期计划的变更
IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位,以适应机构长期计划
的变化和IT环境的变化。
管理层应建立一个IT长期和短期计划开发和维护所需要的政策。
1.5IT功能的短期计划编制
IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。
这样的短期计划应确保
适当的IT功能资源以与IT长期计划内容相一致的基础上来分配。
短期计划应定期地进行再评估,并被作
为适应正在变化的业务和IT环境所必须的事项而改进。
可行性研究的及时执行应确保短期计划的实行是
被充分地启动的。
1.6IT计划的交流
管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。
1.7IT计划的监控和评估
管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性
的反馈。
获取的反馈应予以评估,并在将来的IT计划编制中加以考虑。
1.8现有系统的评估
在开发或变更战略规划或长期计划、IT计划之前,IT管理层应按照业务自动化的程度、功能性、稳定
性、复杂性、成本、优势和劣势,评估现有信息系统,以确定现有系统支持机构业务需求的程度。
对高级和详细的控制目标进行审计:
获得了解:
访谈:
首席执行官(CEO)
首席运营官(COO)
首席财务官(CFO)
首席信息官(CIO)
IT计划/指导委员会成员
IT高级管理层和人力服务职员
获得:
与计划编制过程想关联的政策和程序
高级管理层的指导角色和责任
机构的目标和长短期的计划
IT的目标和长短期的计划
状况的报告和计划/指导委员会的会议纪要
评估控制:
考虑是否:
IT或者业务的企业政策和程序选择了一种结构化的计划编制方法
方法到位,以便明确地表达并能够修改计划,起码它们要包括:
•机构的使命和目的
•支持机构使命和目的的IT初始
•IT初始的机遇
•IT初始的可行性的研究
•IT初始的风险评估
•当前和未来IT的最佳投资
•反映企业使命和目的变化的IT初始的再造
•数据应用、技术和机构可选择战略的评估
机构的变化、技术的发展、规章的要求、业务过程的再造、员工的安置、自己开发和外包,等等被考
虑,并在计划编制过程中充分地从事
长短期的IT计划存在,是当前的,充分针对全部企业、它的使命和关键的业务职能部门
IT项目由IT计划编制方法中确定的适当文档所支持
确保IT目标和长短期计划持续地满足机构目标和长短期计划的检查点存在
由过程所有者和高级管理层评价和结束的IT计划发生
根据业务自动化程度、功能性、稳定性、复杂性、成本、优势和弱点,IT计划评估现有的信息系统
对信息系统及其支持的基础设施的长期计划编制的缺乏,导致系统不能支持企业的目标和业务的过
程,或者不能提供适当的完整、安全和控制
评定遵从性:
测试:
来自反映计划编制过程的IT计划编制/指导委员会的会议纪要
计划编制方法的可交付使用物的存在,作为预先的规定
相关IT的初始被包括在IT长短期的计划当中(也就是硬件的变化、容量计划编制、信息体系结构、新
系统开发或获取、灾难恢复计划编制、新处理平台的安装,等等)
IT初始支持长短期计划,并要考虑调查、培训、人员安置、设施、硬件和软件的需求
IT初始的技术含义已经被确定
最优化当前和将来IT投资的考虑已经给出
IT长短期计划与机构的长短期计划和组织的需求保持一致
计划已经发生改变,以反映正在变化的条件
IT长期计划定期转化成短期计划
存在实现计划的任务
证实没有满足业务目标的风险:
执行:
依照类似的机构或者适当的国际标准/公认的行业最好实践的战略IT计划的基准
确保IT初始反映机构的使命和目的的IT计划的详细评价
决定是否机构之内已经知道的虚弱区域正在被确认为计划当中IT解决方案的一部分而加以改进的IT
计划的详细评价
确定:
满足机构使命和目的的IT失败
与长期计划相匹配的短期计划的IT失败
满足短期计划的IT项目的失败
满足成本和时间准则的IT失败
错过的业务机遇
错过的IT机遇
2定义信息体系结构(PO2)
控制的IT过程:
定义信息体系结构
满足的业务需求:
优化信息系统的机构
实现路线:
创建并维护一个业务信息模型,确保定义适当的系统,以优化信息的使用
需要考虑的事项:
自动化的数据存贮和字典
数据语法规则
数据所有权和关键性/安全性程度分类
表述业务的信息模型
企业信息体系结构标准信息
信息规范IT资源
P效果人员
S效率*应用
S保密技术
S完整设施
可用*数据
遵从
可靠
2.1信息体系结构模型
信息应与需求保持一致,并应以某种格式和期限进行识别、获取和交流,而这些格式和期限能使人们
及时、有效地履行他们的职责。
相应地,围绕企业的数据模型和相关的信息系统,IT的职能应是建立并
有规律地更新信息体系结构模型。
信息体系结构模型应与IT长期计划保持一致。
2.2企业数据字典和数据语法规则
IT的职能应确保包含机构数据语法规则的企业数据字典的建立以及持续的更新。
2.3数据分类方案
在按信息类别(如安全类)进行分类的数据放置以及所有权分配方面,应建立一个总体的分类框架,
应适当定义各类别的访问规则。
2.4安全等级
对于上述确定的每一个“不需要保护”级别以上的数据分类,管理层应定义、执行和维护这些安全等
级。
对于每一个分类来讲,这些安全等级应描述适当的(最小的)一套安全和控制尺度,应定期进行再
评估并做相应的修改。
对于区域范围广阔的企业,应建立支持不同安全等级的标准,以适应正在发展的
电子商务、移动计算和远程办公环境的需要。
对高级和详细的控制目标进行审计:
获得了解:
访谈:
首席信息官(CIO)
IT计划/指导委员会成员
IT高级管理层
安全官
获得:
与信息体系结构相关的政策和程序
信息体系结构模型
支持信息体系结构模型的文档,包括企业数据模型
企业数据字典
数据所有者政策
高级管理层指导的角色和责任
IT的目标和长短期计划
状况报告和计划编制/指导委员会会议纪要
评估控制:
考虑是否:
IT政策和程序选择了数据字典的开发和维护
用于修改信息体系结构模型的过程是以长短期计划为基础的,考虑了相关成本和风险,并且该模型变
化之前,要确保高级管理层同意
有一个过程用来保持数据字典和数据语法规则处于最新状态
有一个媒介用来分发数据字典,确保开发区域的可达性并立即反映变化
IT政策和过程要选择数据的分类,包括安全种类和数据所有者,数据分类的访问规则要被清晰和适当
地定义
要为那些不包含数据分类标识符的数据资产定义缺省的分类标准
IT政策和程序要选择以下内容:
•需要数据所有者(在数据所有者政策上定义)的授权过程要到位,以便批准该数据的所有访问以及
数据的安全属性
•每一个数据分类的安全等级要被定义
•访问等级被定义,并且对于数据分类来说是适当的
•访问敏感数据需要清楚的访问级别,数据的提供要以“需要知道”为基础
评定遵从性:
测试:
信息体系结构模型上的变化,确定这些变化反映了IT长短期计划及其所确定的成本和风险
评估数据字典的任何修改以及数据字典上变化的影响,确保它们被有效地沟通
各种运作的应用系统和开发项目,以确定数据字典被用作数据定义
足够的数据字典文档,以确定这些文档为每一个数据项定义了数据的属性和安全等级
数据分类、安全等级、访问等级和缺省的适当性
每一个数据分类都要清晰地定义:
•谁可以访问
•谁对决定适当的访问级别负责
•所需访问的明确批准
•访问的特定需求(也就是非披露或者保密性协议)
证实没有满足业务目标的风险:
执行:
依照类似机构或适者国际标准/公认的行业最好实践的信息体系结构模型的基准
针对关键元素的完整性,数据字典的详细评价
对定义为敏感数据的安全等级的详细评价,以校验访问的适当授权被获得,被许可的访问与定义在IT
政策和程序中的一致
确定:
信息体系结构模型和企业数据模型、企业数据字典、相关信息系统以及IT长短期计划中的矛盾
过时的企业数据字典项和由于数据字典变化的不良的沟通丧失了时效性的数据语法规则
所有者不清楚和/或没有适当定义的数据项
没有被适当定义的数据分类
与“需要才能知道”的原则不一致的数据安全等级
3决定技术方向(PO3)
控制的IT过程:
决定技术方向
满足的业务需求:
利用目前可用的和正在出现的技术,推动业务战略的实施并使业务战略成为可能
实现路线:
建立并维护技术基础设施计划,该计划,依据产品、服务和交付机制,建立并管理技术能够提供的清
晰和现实的预期
需要考虑的事项:
当前基础设施的容量
通过可靠的来源,监测技术发展
引导概念的检验
风险、约束和机遇
获取的计划
移植战略和路线
与供应商的关系
独立的技术再评估
硬件和软件的性能/价格比的变化
信息规范IT资源
P效果人员
S效率应用
保密*技术
完整*设施
可用数据
遵从
可靠
3.1技术基础设施计划编制
IT的职能部门应建立并有规律地更新与IT长期和短期计划保持一致的技术基础设施计划。
这样的计划
应围绕诸如系统体系结构、技术方向和移植策略等方面。
3.2监测未来的趋势和法规
IT的职能部门应能够确保对未来趋势和法规环境的持续监测,以便这些因素能够在技术基础设施计划
的开发和维护期间被考虑在内。
3.3技术基础设施的不确定事件
技术基础设施计划应在偶然事件方面(即基础设施的冗余、恢复、充足性和发展能力)进行系统地评
估。
3.4硬件和软件获取计划
IT管理层应确保制定硬件和软件的获取计划,并要反映在所确定的技术基础设施计划的需求中。
3.5技术标准
以技术基础设施计划为基础,IT管理层应定义技术规范以培养标准化的意识。
对高级和详细的控制目标进行审计:
获得了解:
访谈:
首席执行官(CEO)
首席运营官(COO)
首席财务官(CFO)
首席信息官(CIO)
IT计划/指导委员会成员
IT高级管理层
获得:
与技术基础设施计划编制和监控相联系的政策和程序
高级管理层指导角色和责任
机构目标和长短期计划
IT目标和长短期计划
IT硬件和软件获取计划
技术基础设施计划
技术标准
状况报告和计划编制/指导委员会会议纪要
评估控制:
考虑是否:
为确认被提议的变化首先被检查以评估相关联的成本和风险,为确认高级管理层的批准先于计划的变
化被获得,有一个创造并有规律地更新的技术基础设施计划的过程
技术基础设施计划与IT长短期计划相比较
有一个过程来评估机构的当前技术状态,确保环绕诸如系统体系结构、技术方向和移植战略等方面
IT政策和程序确保选择了评估和监控当前和将来的技术趋势和规章条件的要求,并且在技术基础设施
计划的开发和维护期间被考虑
技术获取的后勤和环境影响要被计划
IT政策和程序确保选择了系统地评估技术计划意外的需求(也就是基础设施的冗余、恢复力、足够性
和发展能力)
IT管理层评估正在出现的技术,并将适当的技术合并到当前的IT基础设施之中
对于硬件和软件的获取计划来讲,它是遵从技术基础设施计划中所确定的要求并被适当地批准的实践
在技术基础设施计划中所描述的技术组成的技术标准是到位的
评定遵从性:
测试:
IT管理层理解并使用技术基础设施计划
技术基础设施计划上的变化,以确定相关的成本和风险,这些变化要反映在IT长短期计划的变化中
IT管理层要理解监控和评估正在出现技术的过程,并要将适当的技术合并到当前的IT基础设施之中
IT管理层要理解系统评估技术计划意外的过程(也就是说,基础设施的冗余、恢复力、充足性和发展
能力)
为了充分地适应目前的已安装的硬件/软件以及在当前被批准的增加的新的硬件/软件,IT职能部门现
有的物理环境
硬件和软件获取计划遵从IT长短期计划,并要反映技术基础设施计划中所确认的需求
技术基础设施计划选择利用当前和将来的技术
技术标准被遵循,并作为开发过程的一部分而被合成一体
被允许的访问与IT政策和程序中所定义的安全等级相一致,到位的访问要经过适当的授权
证实没有满足业务目标的风险:
执行:
依照类似的机构或者适当的国际标准/公认的行业最好实践的技术基础设施计划编制的基准
针对关键元素的完整性,数据字典的详细评价
为敏感数据而定义的安全等级的详细评价
确定:
信息系统和IT长短期计划相关的信息体系结构模型和企业数据模型、企业数据字典的矛盾
企业数据字典条款和数据语法规则的过时
没有在技术基础设施计划中选择的以外方面
没能反映技术基础设施计划需求的IT硬件和软件的获取计划
与技术标准不一致的技术基础设施计划或IT硬件和软件获取计划
数据字典中丢失的关键元素
没有按照同样标准分类或者没有安全等级的敏感数据
4定义信息技术的机构及关系(PO4)
控制的IT过程:
定义IT的机构及关系
满足的业务需求:
提供正确的IT服务
实现路线:
定义一个数量上相配、具有角色和职责所要求技能的机构,与业务部门沟通、联合在一起,促进战略
的实现,并规定有效的方向和适当的控制
需要考虑的事项:
董事会层面上的IT职责
管理层对于IT的指导和监督
IT与业务的结合
关键决策过程中IT的参与
机构的灵活性
清晰的角色和职责
平衡授权与监督
工作岗位的描述
人员级别和关键的人员
在安全、质量和内部控制功能方面的机构配置
职责的分离
信息规范IT资源
P效果*人员
S效率应用
保密技术
完整设施
可用数据
遵从
可靠
4.1IT计划或指导委员会
机构的高级管理层应指定一个计划或者指导委员会,来检查IT的职能及其活动。
委员会的会员应包括
来自高级管理层、用户管理层和IT职能方面的代表。
委员会应实行例会制度,并向高级管理层报告。
4.2IT职能的机构设置
在整个机构机构设置IT职能过程中,高级管理层应确保其权力、关键时刻以及与用户部门的独立性到
必要的程度,以便在执行时能够保证有效的IT解决方案和充分的进展,并要建立与顶级管理层的伙伴关
系,以便在确定和解决IT问题时,能够帮助他们增强意识、理解和技能。
4.3机构绩效的评价
应设置一个框架来评价机构的机构,以不断地满足目标和变化的环境。
4.4角色和责任
管理层应确保机构中所有人员都具有并理解他们在相关信息系统中的角色和责任。
所有的人员应具有
足够的权力来行使分派给他们的角色和责任。
角色的设置应考虑适当的职责分离。
没有那个人能够控制
一个交易或事件的所有关键环节。
每个人都应认识到他们在内部控制和安全方面具有一定的责任。
因此,
应机构并承担起有规律的一些活动,以增强这方面的意识和纪律。
4.5质量保证的责任
管理层应为IT职能部门的成员分配质量保证职能履行的责任,并确保适当的质量保证、系统、控制和
存在于IT职能质量保证小组中的专家们的交流。
IT职能内机构的布置以及质量保证小组的职责和规模应
满足机构的需求。
4.6逻辑和物理安全的责任
管理层应为信息安全经理正式地分配确保机构信息资产物理和逻辑安全的责任,并负责向高级管理层
报告。
最起码,安全管理职责应建立在整个机构范围的层次上,以便能够处理一个机构内的全部安全问
题。
如果需要,系统细节层次上的附加安全管理责任也应被分配,以应对相关的安全问题。
4.7所有者和管理者
管理层应正式建立一个指定数据所有者和管理者的结构。
他们的角色和责任应清楚地定义。
4.8数据和系统的所有者
管理层应确保所有信息资产(数据和系统)都已指定了所有者,他们对信息资产的分类和访问权限具
有决策的权利。
典型地,系统所有者可以将日常管理委派给系统的交付/操作小组,将安全职责委派给安
全管理员。
然而,所有者仍然要保留对适当安全尺度维护的责任。
4.9监督
高级管理层应执行适当的IT职能的监督实践,以保证角色和责任被完全地行使,评估所有的个人是否
有足够的权力和资源完成他们的角色和职责,并要全面地评价关键的绩效指标。
4.10职责分离
高级管理层应实施角色和职责的分离,避免单独的个人扰乱某个关键的过程。
管理层还应确定每个人
仅执行其工作和职位规定的各自的职责。
尤其是下列职责之间责任分离的应维护。
信息系统使用
数据录入
计算机操作
网络管理
系统管理
系统开发和维护
变更管理
安全管理
安全审计
4.11IT人员配备
员工需求评估应有规律地执行,以保证履行IT职能所需足够数量能胜任的IT员工。
员工需求应至少每
年评估一次,或根据业务、运作及IT环境的主要变化而执行。
评估结果应尽快执行,以确保现在和将来
员工的充足。
4.12IT员工工作和职位的描述
管理层应确保建立IT员工的职位描述,并有规律地被更新。
这些职位描述应清楚地描绘权力和责任两
方面,包括相关职位要求的技能和经验的详细说明,并要适合在绩效评估中使用。
4.13关键的IT人员
IT管理层应详细说明和识别关键的IT人员。
4.14与员工签约的政策和程序
为了IT职能部门控制咨询和其它签约个人的活动,确保机构的信息资产处于保护之中,管理层应详细
说明和执行相关的政策和程序。
4.15关系
IT管理层应采取必要的行动,在IT职能部门和其它各种有利害关系的内外部IT职能部门(即用户、供
应商、安全官员、风险管理者)之间,建立并维持一个最佳的协调、交流、联络的结构。
对高级和详细的控制目标进行审计:
获得了解:
访谈:
首席执行官(CEO)
首席运营官(COO)
首席财务官(CFO)
首席信息官(CIO)
质量保证官
安全官
IT计划/指导委员会成员、人力资源和高级管理层
获得:
高级管理层计划/指导角色和责任
机构目标和长短期计划
IT目标和长短期计划
展示IT职能部门与及其它职能部门关系的机构机构图
与IT机构和关系相关联的政策和程序
与质量保证相关联的政策和程序
用来决定IT人员需求的政策和程序
IT职能部门的机构机构图
IT职能部门的角色和责任
IT关键位置(工作)的描述
状况报告和计划/指导委员会会议纪要
评估控制:
考虑是否:
来自高级管理层的政策声明和沟通确保IT职能部门的独立和权威
IT计划/指导委员会的成员和职能部门已经被定义,责任已经被确定
IT计划/指导委员会的章程使委员会的目的与机构的目标和长短期计划以及IT的目标和长短期计划联
盟
增强确定和解决信息管理问题的意识、理解和技能的过程到位
政策选择了满足正在变化着的目标和环境的机构机构的评估和修改的要求
决定IT职能部门效果和承诺的过程和绩效指标存在
高级管理层要确保角色和责任被执行
勾画机构内所有个人有关信息系统内部控制和安全的角色和责任的政策存在
增加内部控制和安全意识以及纪律的有规律的活动存在
质量保证的职能部门和政策存在
质量保证职能部门要充分地独立于系统开发人员,并要有执行其责任的适当人员和专门技术
确定时间资源并确保质量保证测试的完成以及系统或者系统变化被执行前的审批的质量保证之内的
过程要到位
为了安全官的内部控制和安全(逻辑和物理两者)政策和程序的明确表达,管理层应正式地分配机构
范围内的责任
安全官的职位的角色和责任的了解被充分地理解,并被证明与机构的信息安全政策一致
机构的安全政策清晰地定义每一个信息资产的所有者(如,用户、管理层和安全管理员)被要求执行
的信息安全的责任
含盖数据和系统所有者所有主要数据源和系统的政策和程序存在
有规律地评价并维护数据和系统所有者变化的程序存在
描述监督实践,确保角色和责任被适当地行使,并且所有的人员有足够的权威和资源执行其角色和责
任的政策和程序存在
下列一对职责要分离:
•系统开发和维护
•系统开发和运行
•系统开发/维护和信息安全
•运行和数据控制
•运行和用户
•运行和信息安全
IT的人员安置和能力被维护,以确保其具有提供有效技术解决方案的能力
IT职位(工作)描述的评估和再评估的政策和程序存在
对于关键的过程,包括系统开发生命周期活动(需求、设计、开发、测试)、信息安全、获取和容量
的计划编制,适当的角色和责任存在
在实现机构的目标方面,使用适当和有效的关键绩效指标和/或关键成功因素测量IT职能部门的结果
控制咨询者和其它契约人员活动的IT政策和程序存在,从而确保机构的资产的保护
适用于已签约IT服务的适当性的过程,并要与机构的获取政策一致
调整、沟通和归档IT职能部门高级职员会内外部兴趣的过程存在
评定遵从性:
测试:
IT计划/指导委员会检查IT职能部门及其活动以及解决行动条款
IT职能部门报告层次的适当性
在机构关于为顶级管理层提供合作伙
升级会员 