【正文】 從業(yè)務的變革出發(fā)而不是從技術的變革出發(fā)，有利于充分利用組織的現有資源來滿足關鍵需求，從而避免建設的信息系統無法有效地支持組織的決策 。 ? IT治理使得最高管理層和執(zhí)行經理的一系列活動成為可能。 信息安全管理的十個方面 ? 安全方針； ? 安全組織； ? 資產分類與控制； ? 人員安全； ? 物理與環(huán)境安全； ? 計算機與網絡管理； ? 系統訪問控制； ? 系統開發(fā)與維護； ? 業(yè)務持續(xù)管理； ? 合規(guī)性。 IS審計的作用 ? 鑒證作用。 IS 審計對象 審計對象 變革管理 數據中心運維 信息安全 網絡管理 基礎設施 數據庫管理 硬件管理 績效與容量 問題管理 災難回復與業(yè)務持續(xù) 軟件管理 通信 技術支持服務 系統開發(fā) IS審計的過程 ? 、系統、環(huán)境等 ? ? ? ? IT治理與 IS審計的關系 ? 獨立的 IS審計是公司治理與 IT治理制度的重要環(huán)節(jié)之一。 ISO17799 ? ISO17799（根據 BS7799第一部分制定）作為確定控制范圍的參考標桿，在一般情況下，這些控制是使用信息系統所必須的。 IT治理的目標 ? IT治理 —— 與業(yè)務目標一致 ? IT治理 —— 有效利用信息資源 ? IT治理 —— 風險管理 IT治理的目標將幫助管理層建立以組織戰(zhàn)略為導向 , 以外界環(huán)境為依據 , 以業(yè)務與 IT整合為中心的觀念，正確定位 IT部門在整個組織中的作用。該標準體系已在世界一百多個國家的重要組織與企業(yè)中運用，指導這些組織有效利用信息資源，有效地管理與信息相關的風險。 建立 IT治理機制 ? 治理結構 ? 試行建立 IT治理委員會 ? 明確規(guī)定 IT管理過程的責任 對信息系統進行獨立審計 ? 信息系統的管理、規(guī)劃與組織 ? 信息系統技術基礎設施與操作實務 ? 資產的保護 ? 災難恢復與業(yè)務持續(xù)計劃 ? 應用系統開發(fā)、獲得、實施與維護 ? 業(yè)務流程評價與風險管理 IS審計行業(yè)管理機制 ? 行業(yè)內部自律機制： ? 外部約束： 法律規(guī)范。 公司治理和 IT治理 ? 公司治理，驅動和調整 IT治理。 ? 業(yè)務與 IT融合。體現在兩個方面 ：（ 1） 是指信息系統審計可以促進