【文章內容簡介】 貢獻度的框架 業(yè)務參考模型—功能驅動的框架，描述由政府、獨立機構所執(zhí)行的功能 服務組件參考模型—對支持業(yè)務和績效目標的服務組件進行分類的功能性框架 技術參考模型—描述技術如何支持服務組件的交付、替換和構建的框架 數據參考模型—用在開發(fā)過程中，描述支持程序和業(yè)務生產線的數據信息* 對XX的控制是最有效——找屬于預防性控制* 強制休假——防止舞弊，發(fā)現問題加強控制* 信息系統(tǒng)職能的交付方式包括： 內包——由組織內員工實施 外包——全部由供應商實施（把公司無增值功能的事務轉移出去） 混合方式——由組織員工和供應商混合實施* 信息系統(tǒng)職能實施方式： 現場——員工直接在信息系統(tǒng)現場工作 離場（近岸）——員工在同一地理區(qū)域內的不同地點遠程工作 離岸——員工在不同的地理區(qū)域遠程工作* 外包方式應該注意：數據的所有者、知識產權問題以及對外包方的審計權問題* 全球化外包需要注意事項： 法律、法規(guī)和稅務方面的事務——不同國家和地區(qū)對IT系統(tǒng)的相關規(guī)定 持續(xù)運行——可能無法提供測試BCP和DRP 網絡通訊事務 跨國界和跨文化的事務* 云計算服務交付模型： SaaS（軟件交付）、 PaaS（平臺交付）、 laaS（架構交付）* laaS（架構交付）需要關注：服務中斷* PaaS（平臺交付）需要關注：隱私性，數據所有權* SaaS（軟件交付）需要關注：軟件應用所處位置* 云計算注意的問題：服務商宕機、機密性如何保證、安全問題的法律責任、數據所有權* 私有云的安全性最好，但不容易擴展* 敏感數據的使用者需要關心數據安全性問題* 云治理要考慮使用云計算時主要考慮和IT的戰(zhàn)略方向* 采購實務中第三方服務的變更管理：變更服務條款，包括對現有的信息安全政策、規(guī)程和控制的維護及改善，應考慮業(yè)務關系的關鍵性及其涉及流程進行管理，并重新評估風險。* 建立IT用戶計費機制可以提高應用水平，監(jiān)督信息系統(tǒng)費用和可用資源* 軟件開發(fā)，公司對內部使用軟件的成本資本化（作為固定資產成本攤銷）* 績效優(yōu)化：是在無須對信息技術基礎設施追加額外投資的情況下，將信息系統(tǒng)的生產力盡可能提高到最高水平* 管理指南的重要內容： 關鍵成功要素（CSF）、 關鍵目標指標（KGI）、 關鍵績效指標（KPI）、 成熟度模型* 信息系統(tǒng)部門組織結構職務： 最終用戶服務臺：與業(yè)務部門溝通的界面 運行部門計算機操作員：在主機環(huán)境的控制臺上執(zhí)行任務 技術支持部門的系統(tǒng)程序員：在主機環(huán)境中對操作系統(tǒng)進行修改IT部門DBA業(yè)務部門最終用戶OS管理員網絡管理員生產現場操作人員QA開發(fā)部門應用程序員分析員系統(tǒng)程序員* 職責分離（要理解） 安全管理員不可以是系統(tǒng)管理員 選項中業(yè)務案例最重要* 發(fā)現沒有職責分離，找補償性控制* 選擇項中不選：多加人、停止工作、自動化檢查系統(tǒng)* 審計師發(fā)現問題——找證據 審計師確認問題——報告適當的管理層* 控制組負責收集、轉換和控制輸入，核對結果并向用戶分發(fā)結果* 質量控制：負責執(zhí)行測試或審查，以驗證并確保軟件不存在缺陷并滿足用戶預期，必須在程序被遷移到生產環(huán)境之前進行。* 質量保證（QA）：幫助信息系統(tǒng)部門確保其人員遵守規(guī)定的質量程序。發(fā)布、制定、維護質量標準。* 不能對自己的工作做QA；用戶、開發(fā)人員不能做QA* 應用程序員負責開發(fā)和維護應用系統(tǒng)，只能在開發(fā)和測試環(huán)境中進行；* 在小型機構中，網絡管理員可以負責局域網的安全管理，可以擁有系統(tǒng)程序員及最終用戶的職責，但不應擁有應用程序編程的職責；* 從信息系統(tǒng)的角度來看，戰(zhàn)略規(guī)劃是組織為了利用信息技術來改善業(yè)務流程而確定的長期發(fā)展方向。* 在制定業(yè)務戰(zhàn)略過程中缺乏IT的介入將導致IT戰(zhàn)略規(guī)劃不能與業(yè)務戰(zhàn)略保持一致的風險* 戰(zhàn)略指導委員會的主要職責是對重要的信息系統(tǒng)項目進行審查，而不應當涉及日常運營。* IT指導委員會監(jiān)督重大項目的進度和資源分配* 項目管理委員會負責制定IT項目策略* 采用自頂向下的方法來制定低層政策，確保了各級政策的一致性* 采用自底向上的方法來制定低層政策，基于風險評估的結果而制定的，可能更加實用，但容易造成政策間的不一致和相互抵觸。* 程序反映了業(yè)務流程及嵌入的控制。程序由流程所有人制定，是對政策的有效解釋* 風險管理是組織用于識別信息資源的脆弱性及威脅，制定相應的對策（安全措施或控制），以實現組織業(yè)務目標的過程。* 安全政策必須在控制水平與生產效率之間進行平衡，控制成本決不能超過控制所帶來的預期收益。* 信息安全政策指導整個組織來確定所需保護的內容、相應的保護職責以及保護工作應遵循的策略。* 應當按照計劃周期或當發(fā)生重大變化時對信息安全政策進行審查，以確保其適當性、充分性和有效性。* 應當為信息安全政策指定所有人，來批準安全政策的制定、審查和評估等管理職責。* 信息系統(tǒng)職責分離的原則： 資產保管 授權 交易記錄* 任何風險，都應當基于信息資源對組織的價值，將其降低至可接受水平。* 有效的風險管理始于清楚的理解組織的風險偏好。在IT環(huán)境下，風險偏好推動所有的風險管理工作，影響未來的技術投資，IT資產的保護程度及所需的保證水平。* 風險管理包括識別、分析、評估、處置和溝通IT流程的風險影響* 風險的對應措施：避免風險、降低風險、轉移風險、接受風險* 為制定風險管理程序，必須： 確定風險管理程序的目的 為風險管理計劃分配職責* 風險管理過程 第一步是對信息資產或資源進行標識并分類； 第二步是評估與信息資產相關的威脅和脆弱性，及其發(fā)生的可能性；* 威脅的發(fā)生是由于信息資產存在脆弱性，脆弱性是信息資源的特性，可以被威脅利用并造成損害* 發(fā)生任何威脅所造成的結果稱為影響，它能導致這種或那種損失* 信息系統(tǒng)管理實務反映的是為各種信息系統(tǒng)相關管理活動所設計的政策與程序的實施情況* CIA要求：機密性、完整性和可用性* 服務臺應建立正式流程來分別記錄已報告、已解決和升級的問題，并對問題和疑難進行分析，以幫助監(jiān)督用戶和改善信息處理設施（IPF）的服務* 在計算機運行中，管理控制可以劃分為物理安全控制、數據安全控制和處理控制三個類別* 控制組負責收集、轉換和控制輸入，核對結果并向用戶分發(fā)輸出結果* 數據錄入人員由控制組管理，因此數據錄入不一定是最終用戶* 安全管理應首先得到管理層的支持，管理層必須了解并評估安全風險，制定書面政策清晰地說明應遵循的標準和規(guī)程，并強制執(zhí)行* 為保證充分的職責分離，安全管理員應當是全職員工，可以直接向基礎設施主管報告* 質量保證人員通常執(zhí)行兩種不同任務： 質量保證（QA）—幫助信息系統(tǒng)部門確保其人員遵守規(guī)定的質量程序 質量控制（QC）—負責執(zhí)行測試或審查，以驗證并確保軟件不存在缺陷并滿足用戶預期。* 質量控制（QC）可以在系統(tǒng)開發(fā)的各個階段進行，但必須在程序被遷移到生產環(huán)境之前進行* 在任何情況下都不應當讓個人對自己所負責的工作執(zhí)行質量審查* 針對數據庫管理員（DBA）的嚴格控制： 職責分離 DBA活動需要得到管理層批準 由主管對訪問日志和相關活動進行審查 對數據庫工具的使用事實檢查性控制* 必須確保應用程序員不能修改生產環(huán)境中的程序和應用數據，他們應當只能在測試環(huán)境下工作，由另外的團隊把程序和應用變更遷移到生產環(huán)境中。* 在小型機構中，網絡管理員可以負責局域網的安全管理，擁有系統(tǒng)程序員及最終用戶的職責，但不應當擁有應用程序員編程的職責* 應當分離的職責包括：資產保管、授權、交易記錄* 職責分離的目標是：通過識別補償性控制來降低或消除業(yè)務風險* 訪問控制決策應基于組織政策和兩個普遍接受的實踐標準： 職責分離 最小授權原則* 用戶部門應提交授權單；信息系統(tǒng)部門根據授權單維護用戶授權表* 審計痕跡的主要目的是建立交付處理的業(yè)務交易的職責（可追溯責任）。* 針對職責分離的補償性控制： 審計軌跡—在缺乏職責分離時，詳細的審計軌跡將是可接受的補償性控制 核對—核對是用戶的最終責任，還可以增加控制組使用控制總計和平衡表對應用系統(tǒng)執(zhí)行部分核對功能 例外報告—應當由主管層處理并且需要留下證據 交易日志—可以時電子也可以手工 監(jiān)督性審核—可以通過現場觀察、訪談或遠程執(zhí)行 獨立性審核—執(zhí)行獨立審核是對錯誤或故意違反既定流程的補償性控制，在職責不能恰當分離的小型組織中尤其重要* 審計過程中應該審計的文檔： IT戰(zhàn)略、規(guī)劃和預算 安全政策文檔 組織圖或職能圖 工作說明 指導委員會報告 系統(tǒng)開發(fā)和程序變更流程 操作流程 人力資源手冊 質量保證程序* 信息系統(tǒng)審計師應當驗證管理層在合同過程中的參與程度，確保按適當的周期對合同遵循性進行審查。* 制定IT服務外包決策應考慮的問題：服務質量、持續(xù)服務保證、控制程序、競爭優(yōu)勢和技術知識* 外包實允許組織把服務交付轉由第三方提供的機制。* 外包的基本原則是：雖然將服務交付轉移，但其職責仍屬于組織內管理層，他們必須確保對風險的適當管理及供應商持續(xù)的價值交付。* 外包應注意：數據所有權，知識產權，審計權（或獨立的第三方審計報告）* IT目標應當是改善用戶滿意度并實現業(yè)務目標。應當通過用戶訪談和調查來監(jiān)督用戶滿意度* 質量管理是控制、衡量和改善IS部門流程的一種方法* 信息系統(tǒng)部門制定并維護的書面流程是有效管理信息資源的證據，堅持遵守流程及相關流程管理技術是信息系統(tǒng)部門有效運營的關鍵因素。* 績效評價的主要階段有： 制定和更新績效指標 為績效指標建立責任制 收集和分析績效數據 報告和使用績效信息* 績效指標用途 衡量產品和服務 管理產品和服務 確保責任制 制定預算決策 優(yōu)化績效* 針對職責分離的補償性控制： 審計蹤跡、核對、例外報告、交易日志、監(jiān)督性審核、獨立性審核（在不能進行有效職責分離的小型組織尤其重要，可以幫助發(fā)現錯誤或違規(guī)行為）* 業(yè)務連續(xù)性計劃（BCP）——涉及組織內絕大多數部門；災難恢復計劃（DRP）——涉及IT及相關部門* BCP責任屬于高級管理層，高級管理層不能將責任分到下屬* 業(yè)務連續(xù)性計劃應當基于長期的IT計劃，并與組織總體業(yè)務連續(xù)性戰(zhàn)略一致* 業(yè)務連續(xù)性計劃和災難恢復的目的是使組織在中斷事件后可以持續(xù)提供關鍵服務并從災難中斷中恢復其活動；* 災難恢復（DRP）與業(yè)務連續(xù)性計劃（BCP）是組織為避免關鍵業(yè)務功能因重大災難而中斷，減少業(yè)務風險而建立的一個控制過程；是業(yè)務流程，不是一個項目。* BCP主要是組織高級管理層的責任，因為高級管理層對組織的資產和生存負有最高責任；高級管理層不能推托將責任委托給下級人員。* BCP計劃不是所有的業(yè)務流程都要恢復（只恢復關鍵流程），也不是所有的服務都需要恢復，關鍵的目標是滿足客戶的需求。* BCP維護的一個重要步驟：組織內任何相關變化產生時都要進行BCP的更新和演練* 業(yè)務連續(xù)性計劃（BCP）是組織為避免業(yè)務功能/運作中斷，減少業(yè)務風險而建立的一個控制流程，包括對支持組織關鍵業(yè)務的人力、物力需求和關鍵業(yè)務所需的最小級別服務水平的連續(xù)性保證。* 準備一個新的BCP的第一步師識別戰(zhàn)略性的業(yè)務流程，這些關鍵流程是業(yè)務持續(xù)增長和實現業(yè)務目標的保證* 風險管理在BCP的準備階段被關注。* 無論發(fā)生何種中斷，關注的焦點永遠是關鍵業(yè)務流程的可用和持續(xù)運行* 如果信息系統(tǒng)的BCP與DRP需要單獨建立，必須與組織的總的BCP計劃保持一致。* 不存在單獨的DRP計劃，一定先有BCP才會有DRP。* 一個整合的BCP計劃必須確保： 每個部分都被涵蓋 承諾的資源被最有效的方式使用，并有充分證明通過它組織可以克服中斷生存下去* 災難：把發(fā)生概率極小，但沖擊極大* 一個業(yè)務連續(xù)性計劃應當識別出當發(fā)生災難時，業(yè)務應當做什么* 保證恢復的成本永遠不要超過所獲得的利益* 流感大流行的到來具有很強的不確定性，對社會和經濟的影響與威脅是確定的。* 流感大流行特點是系統(tǒng)、設備沒有問題，但是人沒有了。* 流感大流行的應對規(guī)劃和傳統(tǒng)的業(yè)務連續(xù)性規(guī)劃不同，信息系統(tǒng)審計師應評價組織對流感大流行的準備；流感大流行的影響由于范圍和持續(xù)時間不同難以確定。* 危機溝通范圍： 內部：股東、員工 外部：新聞媒體、政府* 危機溝通中，除發(fā)言人外，組織中的任何其他人不管官居何職，都不得發(fā)布任何公共言論* BCP主要針對服務中斷* BCP是糾正性控制* 根據對業(yè)務危害程度的估計，對各種事件進行分類：可忽略事件、微小事件、重大事件、危險事件，在事件被解決前，任何對它的分類都是臨時性的* BCP過程分為： 創(chuàng)建業(yè)務連續(xù)性方針/政策 風險分析RA BIA\運行分類及重要性分析 識別支持關鍵組織功能的信息系統(tǒng)流程 開發(fā)BCP策略 開發(fā)業(yè)務連續(xù)性計劃和DRP步驟 開發(fā)重建程序 培訓與意識教育程序 計劃的演練與實施 監(jiān)測* BIA之后做策略供管理層選擇，管理層批準后，制定計劃* 執(zhí)行BIA的方法： 設計詳細的調查問卷，分發(fā)給重要業(yè)務人員和IT人員（用戶多，分布廣，問題標準化）