收藏
下载资源

{管理信息化BI商务智能}信息系统审计指南COBIT中文版)DOC142页

上传人:蜀歌 文档编号:157670542 上传时间:2020-12-26 格式:PDF 页数:244 大小:990.65KB
返回 下载 相关 举报
{管理信息化BI商务智能}信息系统审计指南COBIT中文版)DOC142页_第1页
第1页 / 共244页
{管理信息化BI商务智能}信息系统审计指南COBIT中文版)DOC142页_第2页
第2页 / 共244页
{管理信息化BI商务智能}信息系统审计指南COBIT中文版)DOC142页_第3页
第3页 / 共244页
{管理信息化BI商务智能}信息系统审计指南COBIT中文版)DOC142页_第4页
第4页 / 共244页
{管理信息化BI商务智能}信息系统审计指南COBIT中文版)DOC142页_第5页
第5页 / 共244页
点击查看更多>>
资源描述

《{管理信息化BI商务智能}信息系统审计指南COBIT中文版)DOC142页》由会员分享,可在线阅读,更多相关《{管理信息化BI商务智能}信息系统审计指南COBIT中文版)DOC142页(244页珍藏版)》请在金锄头文库上搜索。

1、管理信息化 BI 商务智能 信息系统审计指南 COBIT 中文版)DOC142 页 管理信息化 BI 商务智能 信息系统审计指南 COBIT 中文版)DOC142 页 采用一种结构化的方法,并建立一个标准的计划结构。 1.3IT 长期计划编制方法与结构 对于长期计划的编制过程来讲, IT 管理层和业务过程的所有者应建立并采用一种 结构化的方法。这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间 和为什么等基本的问题。IT 计划的编制过程应考虑风险评估的结果,包括业务、 环境、技术和人力资源的风险。计划编制期间,需要考虑和充分投入的方面包括 : 机构的模式及其变化、地理的分布、技术的发展、

2、成本、法律法规的要求、第三 方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、 数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。IT 长 期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划, 比如机构的质量计划和信息风险管理计划。 1.4IT 长期计划的变更 IT 管理层和业务过程所有者应确保及时、 准确地修改 IT 长期计划的过程的到位, 以适应机构长期计划的变化和 IT 环境的变化。管理层应建立一个 IT 长期和短期 计划开发和维护所需要的政策。 1.5IT 功能的短期计划编制 IT 管理层和业务过程的所有者应确保 IT 长期计划有规

3、律地转换成 IT 短期计划。 这样的短期计划应确保适当的 IT 功能资源以与 IT 长期计划内容相一致的基础 上来分配。短期计划应定期地进行再评估,并被作为适应正在变化的业务和 IT 环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充 分地启动的。 1.6IT 计划的交流 管理层应确保 IT 长期和短期计划同业务过程所有者以及跨越机构的其他相关部 门人员的充分沟通。 1.7IT 计划的监控和评估 管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期 计划的质量及有效性的反馈。获取的反馈应予以评估,并在将来的 IT 计划编制 中加以考虑。 1.8 现有系统的

4、评估 在开发或变更战略规划或长期计划、IT 计划之前,IT 管理层应按照业务自动化 的程度、功能性、稳定性、复杂性、成本、优势和劣势,评估现有信息系统,以 确定现有系统支持机构业务需求的程度。 对高级和详细的控制目标进行审计:对高级和详细的控制目标进行审计: 获得了解: 访谈: 首席执行官(CEO) 首席运营官(COO) 首席财务官(CFO) 首席信息官(CIO) IT 计划/指导委员会成员 IT 高级管理层和人力服务职员 获得: 与计划编制过程想关联的政策和程序 高级管理层的指导角色和责任 机构的目标和长短期的计划 IT 的目标和长短期的计划 状况的报告和计划/指导委员会的会议纪要 评估控制

5、:评估控制: 考虑是否: IT 或者业务的企业政策和程序选择了一种结构化的计划编制方法 方法到位,以便明确地表达并能够修改计划,起码它们要包括: 机构的使命和目的 支持机构使命和目的的 IT 初始 IT 初始的机遇 IT 初始的可行性的研究 IT 初始的风险评估 当前和未来 IT 的最佳投资 反映企业使命和目的变化的 IT 初始的再造 数据应用、技术和机构可选择战略的评估 机构的变化、技术的发展、规章的要求、业务过程的再造、员工的安置、自己开 发和外包,等等被考虑,并在计划编制过程中充分地从事 长短期的 IT 计划存在,是当前的,充分针对全部企业、它的使命和关键的业务 职能部门 IT 项目由

6、IT 计划编制方法中确定的适当文档所支持 确保 IT 目标和长短期计划持续地满足机构目标和长短期计划的检查点存在 由过程所有者和高级管理层评价和结束的 IT 计划发生 根据业务自动化程度、功能性、稳定性、复杂性、成本、优势和弱点,IT 计划评 估现有的信息系统 对信息系统及其支持的基础设施的长期计划编制的缺乏,导致系统不能支持企业 的目标和业务的过程,或者不能提供适当的完整、安全和控制 评定遵从性:评定遵从性: 测试: 来自反映计划编制过程的 IT 计划编制/指导委员会的会议纪要 计划编制方法的可交付使用物的存在,作为预先的规定 相关 IT 的初始被包括在 IT 长短期的计划当中(也就是硬件的

7、变化、容量计划编 制、信息体系结构、新系统开发或获取、灾难恢复计划编制、新处理平台的安装, 等等) IT 初始支持长短期计划,并要考虑调查、培训、人员安置、设施、硬件和软件的 需求 IT 初始的技术含义已经被确定 最优化当前和将来 IT 投资的考虑已经给出 IT 长短期计划与机构的长短期计划和组织的需求保持一致 计划已经发生改变,以反映正在变化的条件 IT 长期计划定期转化成短期计划 存在实现计划的任务 证实没有满足业务目标的风险:证实没有满足业务目标的风险: 执行: 依照类似的机构或者适当的国际标准/公认的行业最好实践的战略 IT 计划的基 准 确保 IT 初始反映机构的使命和目的的 IT

8、计划的详细评价 决定是否机构之内已经知道的虚弱区域正在被确认为计划当中 IT 解决方案的一 部分而加以改进的 IT 计划的详细评价 确定: 满足机构使命和目的的 IT 失败 与长期计划相匹配的短期计划的 IT 失败 满足短期计划的 IT 项目的失败 满足成本和时间准则的 IT 失败 错过的业务机遇 错过的 IT 机遇 2 定义信息体系结构(PO2)2 定义信息体系结构(PO2) 控制的 IT 过程: 定义信息体系结构 满足的业务需求: 优化信息系统的机构 实现路线: 创建并维护一个业务信息模型,确保定义适当的系统,以优化信息的使用 需要考虑的事项: 自动化的数据存贮和字典 数据语法规则 数据所

9、有权和关键性/安全性程度分类 表述业务的信息模型 企业信息体系结构标准信息 信息规范 IT 资源 P 效果人员 S 效率*应用 S 保密技术 S 完整设施 可用*数据 遵从 可靠 2.1 信息体系结构模型 信息应与需求保持一致,并应以某种格式和期限进行识别、获取和交流,而这些 格式和期限能使人们及时、有效地履行他们的职责。相应地,围绕企业的数据模 型和相关的信息系统,IT 的职能应是建立并有规律地更新信息体系结构模型。信 息体系结构模型应与 IT 长期计划保持一致。 2.2 企业数据字典和数据语法规则 IT 的职能应确保包含机构数据语法规则的企业数据字典的建立以及持续的更新。 2.3 数据分类

10、方案 在按信息类别(如安全类)进行分类的数据放置以及所有权分配方面,应建立一 个总体的分类框架,应适当定义各类别的访问规则。 2.4 安全等级 对于上述确定的每一个“不需要保护”级别以上的数据分类,管理层应定义、执 行和维护这些安全等级。对于每一个分类来讲,这些安全等级应描述适当的(最 小的)一套安全和控制尺度,应定期进行再评估并做相应的修改。对于区域范围 广阔的企业,应建立支持不同安全等级的标准,以适应正在发展的电子商务、移 动计算和远程办公环境的需要。 对高级和详细的控制目标进行审计:对高级和详细的控制目标进行审计: 获得了解: 访谈: 首席信息官(CIO) IT 计划/指导委员会成员 I

11、T 高级管理层 安全官 获得: 与信息体系结构相关的政策和程序 信息体系结构模型 支持信息体系结构模型的文档,包括企业数据模型 企业数据字典 数据所有者政策 高级管理层指导的角色和责任 IT 的目标和长短期计划 状况报告和计划编制/指导委员会会议纪要 评估控制:评估控制: 考虑是否: IT 政策和程序选择了数据字典的开发和维护 用于修改信息体系结构模型的过程是以长短期计划为基础的,考虑了相关成本和 风险,并且该模型变化之前,要确保高级管理层同意 有一个过程用来保持数据字典和数据语法规则处于最新状态 有一个媒介用来分发数据字典,确保开发区域的可达性并立即反映变化 IT 政策和过程要选择数据的分类

12、,包括安全种类和数据所有者,数据分类的访问 规则要被清晰和适当地定义 要为那些不包含数据分类标识符的数据资产定义缺省的分类标准 IT 政策和程序要选择以下内容: 需要数据所有者(在数据所有者政策上定义)的授权过程要到位,以便批准该 数据的所有访问以及数据的安全属性 每一个数据分类的安全等级要被定义 访问等级被定义,并且对于数据分类来说是适当的 访问敏感数据需要清楚的访问级别,数据的提供要以“需要知道”为基础 评定遵从性:评定遵从性: 测试: 信息体系结构模型上的变化,确定这些变化反映了 IT 长短期计划及其所确定的 成本和风险 评估数据字典的任何修改以及数据字典上变化的影响,确保它们被有效地沟

13、通 各种运作的应用系统和开发项目,以确定数据字典被用作数据定义 足够的数据字典文档,以确定这些文档为每一个数据项定义了数据的属性和安全 等级 数据分类、安全等级、访问等级和缺省的适当性 每一个数据分类都要清晰地定义: 谁可以访问 谁对决定适当的访问级别负责 所需访问的明确批准 访问的特定需求(也就是非披露或者保密性协议) 证实没有满足业务目标的风险:证实没有满足业务目标的风险: 执行: 依照类似机构或适者国际标准/公认的行业最好实践的信息体系结构模型的基准 针对关键元素的完整性,数据字典的详细评价 对定义为敏感数据的安全等级的详细评价,以校验访问的适当授权被获得,被许 可的访问与定义在 IT

14、政策和程序中的一致 确定: 信息体系结构模型和企业数据模型、企业数据字典、相关信息系统以及 IT 长短 期计划中的矛盾 过时的企业数据字典项和由于数据字典变化的不良的沟通丧失了时效性的数据 语法规则? 所有者不清楚和/或没有适当定义的数据项 没有被适当定义的数据分类 与“需要才能知道”的原则不一致的数据安全等级 3 决定技术方向(PO3)3 决定技术方向(PO3) 控制的 IT 过程: 决定技术方向 满足的业务需求: 利用目前可用的和正在出现的技术,推动业务战略的实施并使业务战略成为可能 实现路线: 建立并维护技术基础设施计划,该计划,依据产品、服务和交付机制,建立并管 理技术能够提供的清晰和

15、现实的预期 需要考虑的事项: 当前基础设施的容量 通过可靠的来源,监测技术发展 引导概念的检验 风险、约束和机遇 获取的计划 移植战略和路线 与供应商的关系 独立的技术再评估 硬件和软件的性能/价格比的变化 信息规范 IT 资源 P 效果人员 S 效率应用 保密*技术 完整*设施 可用数据 遵从 可靠 3.1 技术基础设施计划编制 IT 的职能部门应建立并有规律地更新与 IT 长期和短期计划保持一致的技术基础 设施计划。这样的计划应围绕诸如系统体系结构、技术方向和移植策略等方面。 3.2 监测未来的趋势和法规 IT 的职能部门应能够确保对未来趋势和法规环境的持续监测, 以便这些因素能够 在技术

16、基础设施计划的开发和维护期间被考虑在内。 3.3 技术基础设施的不确定事件 技术基础设施计划应在偶然事件方面(即基础设施的冗余、恢复、充足性和发展 能力)进行系统地评估。 3.4 硬件和软件获取计划 IT 管理层应确保制定硬件和软件的获取计划, 并要反映在所确定的技术基础设施 计划的需求中。 3.5 技术标准 以技术基础设施计划为基础,IT 管理层应定义技术规范以培养标准化的意识。 对高级和详细的控制目标进行审计:对高级和详细的控制目标进行审计: 获得了解: 访谈: 首席执行官(CEO) 首席运营官(COO) 首席财务官(CFO) 首席信息官(CIO) IT 计划/指导委员会成员 IT 高级管理层 获得: 与技术基础设施计划编制和监控相联系的政策和程序 高级管理层指导角色和责任 机构目标和长短期计划 IT 目标和长短期计划 IT 硬件和软件获取计划 技术基础设施计划 技术标准 状况报告和计划编制/指导委员会会议纪要 评估控制:评估控制: 考虑是否: 为确认被提议的变化首先被检查以评估相关联的成本和风险,为确认高级管理层 的批准先于计划的变化被获得,有一个创造

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 经营企划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号