【正文】 l 定義 風(fēng)險(xiǎn)管理是確定組織在實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的過(guò)程中所使用的信息資源的脆弱性和面臨的相關(guān)威脅的過(guò)程 有效的風(fēng)險(xiǎn)管理始于清楚地理解組織的風(fēng)險(xiǎn)喜好。程序必須清晰和準(zhǔn)確，使接受者易于準(zhǔn)確地理解。 信息系統(tǒng)審計(jì)師要理解政策并對(duì)政策進(jìn)行符合性審查是審計(jì)工作中的重要環(huán)節(jié) 信息安全政策 安全政策用來(lái)與用戶、管理層和技術(shù)人員溝通相關(guān)安全標(biāo)準(zhǔn)，指導(dǎo)整個(gè)組織來(lái)確定所需保護(hù)的內(nèi)容、相應(yīng) 的保護(hù)職責(zé)以及保護(hù)工作應(yīng)遵循的策略。 根據(jù)公司總體政策采用自頂向下的方法來(lái)開(kāi)發(fā)部門(mén)政策是較好的選擇，因?yàn)樗_保了各級(jí)政策的一致性。 委員會(huì)應(yīng)當(dāng)定期開(kāi)會(huì)，并向高級(jí)管理層匯報(bào)。委員會(huì)應(yīng)當(dāng)包括來(lái)自高級(jí)管理層、用戶部門(mén)和信息系統(tǒng)部門(mén)的人員。 有效的IT戰(zhàn)略規(guī)劃要考慮組織對(duì)IT及IT能力的需求。 ?技術(shù)驅(qū)動(dòng)的企業(yè)架構(gòu)是為了澄清現(xiàn)代組織面臨的復(fù)雜技術(shù)選擇問(wèn)題； ?業(yè)務(wù)流程驅(qū)動(dòng)的企業(yè)架構(gòu)是為了更好地理解組織業(yè)務(wù)的核心流程及支持流程。 （EA－Enterprise Architecture） 所謂企業(yè)架構(gòu)就是通過(guò)一種結(jié)構(gòu)化的方式來(lái)反映組織的IT資產(chǎn)，并有效管理對(duì)IT投資。 該治理框架一般由以下內(nèi)容組成： ?在本質(zhì)上與業(yè)務(wù)目標(biāo)相銜接的全面的安全戰(zhàn)略 ?對(duì)戰(zhàn)略、控制和法規(guī)進(jìn)行全面落實(shí)的政策 ?確保規(guī)程和指南能與政策保持一致的一整套標(biāo)準(zhǔn) ?不存在利益沖突的一套有效的安全組織架構(gòu) ?對(duì)符合性進(jìn)行監(jiān)督并能反饋其效果的制度化的監(jiān)督流程 組織必須在治理層面為領(lǐng)導(dǎo)者分配企業(yè)安全職責(zé)，而不是由那些缺乏權(quán)力、責(zé)任和資源的其他人員來(lái)充當(dāng)并強(qiáng)迫其執(zhí)行。 ?流程整合– 關(guān)注組織安全管理保證流程的整合。 ?風(fēng)險(xiǎn)管理– 管理和實(shí)施適當(dāng)?shù)拇胧┮越档惋L(fēng)險(xiǎn)并減少對(duì)信息資源的潛在影響至可接受水平。 信息安全治理具有特定的價(jià)值驅(qū)動(dòng)：信息的完整性、服務(wù)的持續(xù)和信息資產(chǎn)的保護(hù)。信息在我們當(dāng)今的生活中發(fā)揮著越來(lái)越重要的作用，已成為所有組織業(yè)務(wù)活動(dòng)中不可缺少的組成部分，越來(lái)越多的公司已將信息作為其主營(yíng)業(yè)務(wù)，如Google、eBay、Microsoft、網(wǎng)易等。戰(zhàn)略 ?開(kāi)發(fā)良好的應(yīng)用系統(tǒng)與運(yùn)營(yíng) ?建立用戶伙伴關(guān)系和良好的客戶服務(wù) ?提高服務(wù)水平，優(yōu)化價(jià)格結(jié)構(gòu) ?控制IT費(fèi)用 ?為IT項(xiàng)目賦于業(yè)務(wù)價(jià)值 ?提供新的業(yè)務(wù)能力 ?培訓(xùn)和教育IT職員，追求卓越 ?為研究和開(kāi)發(fā)提供支持 216。 指導(dǎo)委員會(huì)職責(zé)分析表是CISA應(yīng)當(dāng)掌握的知識(shí) l （BSC） 績(jī)效測(cè)評(píng)是企業(yè)管理中的重要因素，沒(méi)有績(jī)效測(cè)評(píng)就無(wú)法對(duì)業(yè)務(wù)進(jìn)行有效管理，但隨著企業(yè)創(chuàng)造價(jià)值的方式由有形資產(chǎn)逐漸轉(zhuǎn)向無(wú)形資產(chǎn)，對(duì)無(wú)形資產(chǎn)的衡量，不能采用傳統(tǒng)的針對(duì)有形資產(chǎn)的財(cái)務(wù)數(shù)據(jù)方式； 平衡記分卡是目前企業(yè)管理中較流行的績(jī)效測(cè)量工具，它可以把企業(yè)戰(zhàn)略轉(zhuǎn)化為實(shí)際的行為，從而實(shí)現(xiàn)企業(yè)目標(biāo)； 這種績(jī)效測(cè)評(píng)系統(tǒng)超出了傳統(tǒng)的財(cái)務(wù)記帳方式，它不僅衡量財(cái)務(wù)數(shù)據(jù)，還要對(duì)業(yè)務(wù)過(guò)程與基于知識(shí)的資產(chǎn)等方面進(jìn)行測(cè)評(píng)，在顧客滿意度、內(nèi)部流程和創(chuàng)新能力等方面進(jìn)行了補(bǔ)充，組成了財(cái)務(wù)、客戶、過(guò)程和學(xué)習(xí)四個(gè)視角。關(guān)鍵的IT治理因素包括：IT戰(zhàn)略委員會(huì)、風(fēng)險(xiǎn)管理和標(biāo)準(zhǔn)IT平衡記分卡。 IT治理的關(guān)鍵因素 IT治理的關(guān)鍵因素就是要使IT與業(yè)務(wù)融合，以實(shí)現(xiàn)組織的業(yè)務(wù)價(jià)值。 ?風(fēng)險(xiǎn)管理 將風(fēng)險(xiǎn)管理職責(zé)嵌入組織中，包括IT資產(chǎn)的保護(hù)、災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性。前者由IT與業(yè)務(wù)的戰(zhàn)略一致驅(qū)動(dòng)，后者由企業(yè)內(nèi)部建立的責(zé)任分工驅(qū)動(dòng)； 這兩者都需要獲得足夠的資源并進(jìn)行績(jī)效考評(píng)，以保證獲得預(yù)期的結(jié)果； 216。 IT治理與IT管理 IT 管理是公司的信息及信息系統(tǒng)的運(yùn)營(yíng)，確定IT 目標(biāo)以及實(shí)現(xiàn)此目標(biāo)所采取的行動(dòng)而IT 治理是指最高管理層（董事會(huì)）利用它來(lái)監(jiān)督管理層在IT 戰(zhàn)略上的過(guò)程、結(jié)構(gòu)和聯(lián)系，以確保這種運(yùn)營(yíng)處于正確的軌道之上。 IT治理的關(guān)鍵因素是IT與業(yè)務(wù)保持一致，以實(shí)現(xiàn)業(yè)務(wù)價(jià)值。 IT治理的定義 ITGI：IT治理是董事會(huì)和最高管理層的職責(zé)，是企業(yè)治理的重要組成部分。長(zhǎng)期以來(lái)，僅作為組織戰(zhàn)略促進(jìn)因素的信息技術(shù)，現(xiàn)在被看作是整體戰(zhàn)略的一部分。 公司治理框架中一個(gè)很重要內(nèi)容就是要建立內(nèi)部控制體系管理和報(bào)告業(yè)務(wù)風(fēng)險(xiǎn)。 IT治理是一個(gè)綜合術(shù)語(yǔ)，它包括信息系統(tǒng)、技術(shù)和通訊，業(yè)務(wù)、法律相關(guān)事務(wù)，所有利益相關(guān)方、董事會(huì)、高級(jí)管理層、流程所有人、IT供應(yīng)商、用戶和審計(jì)師。CEO、COO、CFO、CIO和CTO在IT與企業(yè)目標(biāo)間能達(dá)成戰(zhàn)略一致是關(guān)鍵成功因素。IT治理由領(lǐng)導(dǎo)、組織結(jié)構(gòu)以及相關(guān)流程組成，這些流程能保證組織的IT有效支持及促進(jìn)組織戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。 IT治理的主要流程有：IT資源管理、績(jī)效測(cè)評(píng)和合規(guī)管理 lIT治理回答下述問(wèn)題 在IT戰(zhàn)略決策中哪些利益相關(guān)者有發(fā)言權(quán)？ 誰(shuí)決定IT投資及其優(yōu)先級(jí)順序？應(yīng)當(dāng)建立哪些IT委員會(huì)，由什么人組成？其職責(zé)是什么？向誰(shuí)報(bào)告？ CIO的角色和職責(zé)有哪些？ 如何控制IT使其滿足業(yè)務(wù)需求？ 如何評(píng)價(jià)IT職能的績(jī)效？ lIT治理的目標(biāo) 指導(dǎo)IT工作，確保IT績(jī)效滿足IT目標(biāo)、符合企業(yè)目標(biāo)要求，實(shí)現(xiàn)預(yù)期利潤(rùn) 幫助企業(yè)開(kāi)拓商機(jī)，實(shí)現(xiàn)利益最大化 充分利用IT資源 適當(dāng)控制IT相關(guān)風(fēng)險(xiǎn) l IT治理與公司治理 公司治理主要關(guān)注利益相關(guān)者權(quán)益和管理，包括一系列責(zé)任和條例，由最高管理層（董事會(huì)）和執(zhí)行管理層實(shí)施； 公司治理目的是提供戰(zhàn)略方向，保證目標(biāo)能夠?qū)崿F(xiàn)，風(fēng)險(xiǎn)適當(dāng)管理，企業(yè)資源合理使用； IT治理是公司治理的重要組成部分，是董事會(huì)或最高管理層的責(zé)任； IT治理由領(lǐng)導(dǎo)、組織結(jié)構(gòu)以及相關(guān)流程組成，這些流程能保證組織的IT能有效支持及促進(jìn)組織戰(zhàn)略目標(biāo)的實(shí)現(xiàn)，同時(shí)控制風(fēng)險(xiǎn)、降低成本、提高績(jī)效。簡(jiǎn)言之，是“對(duì)管理的管理” IT 管理就是在既定的IT 治理模式下，管理層為實(shí)現(xiàn)公司的目標(biāo)而采取的行動(dòng)缺乏良好IT 治理模式的公司，即使有“很好”的IT 管理體系（而這實(shí)際上是不可能的），就像一座地基不牢固的大廈 同樣，沒(méi)有公司IT 管理體系的暢通，單純的治理模式也只能是一個(gè)美好的藍(lán)圖，而缺乏實(shí)際的內(nèi)容IT治理的層次 在企業(yè)戰(zhàn)略層上 ?IT治理要與公司治理結(jié)構(gòu)、企業(yè)戰(zhàn)略規(guī)劃進(jìn)行集成，使IT治理作為公司治理的一部分； ?在治理結(jié)構(gòu)上體現(xiàn)IT的位置與作用，使IT議題要進(jìn)入董事會(huì)（或者是監(jiān)事會(huì)、最高管理當(dāng)局）下的戰(zhàn)略委員會(huì)、審計(jì)委員會(huì)、安全委員會(huì)； ?董事會(huì)要確保IT的執(zhí)行與監(jiān)管分開(kāi)，監(jiān)管機(jī)制要獨(dú)立并持續(xù)運(yùn)行、溝通與反饋機(jī)制要持續(xù)有效； ?IT治理要求向董事會(huì)和最高管理層分配職責(zé)，并要求其完成一系列活動(dòng)。這五個(gè)域都受利益相關(guān)者價(jià)值驅(qū)動(dòng)，其中價(jià)值交付、降低風(fēng)險(xiǎn)是結(jié)果，戰(zhàn)略一致績(jī)效考評(píng)是驅(qū)動(dòng)力，IT資源管理為治理提供支持。 ?資源管理 對(duì)IT資源（應(yīng)用系統(tǒng)、信息、基礎(chǔ)設(shè)施和人員）的優(yōu)化投資并適當(dāng)管理，關(guān)鍵問(wèn)題在于知識(shí)和基礎(chǔ)設(shè)施的優(yōu)化。通過(guò)IT治理框架和最佳實(shí)踐的應(yīng)用，在組織內(nèi)促成目標(biāo)實(shí)現(xiàn)。 審計(jì)師在IT治理中的職責(zé) 審計(jì)是組織成功實(shí)施IT治理的一個(gè)重要角色，對(duì)于向高級(jí)管理層提供建議，幫助改善IT治理質(zhì)量和效果而言，審計(jì)處在最佳的位置； 通過(guò)引入審計(jì)師獨(dú)立的、中立的觀點(diǎn)，可以對(duì)IT治理績(jī)進(jìn)行持續(xù)有效的監(jiān)督、分析、評(píng)估，以指導(dǎo)與改進(jìn)與IT治理相關(guān)的IT過(guò)程； IS審計(jì)師的要對(duì)IT治理的各個(gè)方面進(jìn)行評(píng)估?IS職能與組織使命、愿景、價(jià)值、目標(biāo)和戰(zhàn)略的一致性 ?法律、環(huán)境、信息質(zhì)量、委托、安全和隱私方面的要求 ?組織的控制環(huán)境 ?IS環(huán)境的固有風(fēng)險(xiǎn) l 是董事會(huì)實(shí)施其IT治理目標(biāo)的重要機(jī)制，一般隸屬于董事會(huì)，由董事會(huì)成員及非董事會(huì)成員組成，它主要職責(zé)是協(xié)助董事會(huì)治理和監(jiān)督企業(yè)的IT相關(guān)事務(wù)。 標(biāo)準(zhǔn)IT平衡記分卡是CISA應(yīng)當(dāng)掌握的內(nèi)容。措施 ?提供一套穩(wěn)定的指標(biāo)（如KPI ）來(lái)指導(dǎo)面向業(yè)務(wù)的IT決策 216。 當(dāng)今已很難找到不接觸信息技術(shù)的企業(yè)，隨著全球網(wǎng)絡(luò)互聯(lián)時(shí)代的到來(lái)，在企業(yè)突破其傳統(tǒng)邊界向虛擬世界不斷擴(kuò)展的背景下，信息安全己成為重要的治理問(wèn)題而出現(xiàn)在我們面前。 IT安全定位于安全技