【文章內(nèi)容簡介】 貢獻度的框架 業(yè)務(wù)參考模型—功能驅(qū)動的框架，描述由政府、獨立機構(gòu)所執(zhí)行的功能 服務(wù)組件參考模型—對支持業(yè)務(wù)和績效目標的服務(wù)組件進行分類的功能性框架 技術(shù)參考模型—描述技術(shù)如何支持服務(wù)組件的交付、替換和構(gòu)建的框架 數(shù)據(jù)參考模型—用在開發(fā)過程中，描述支持程序和業(yè)務(wù)生產(chǎn)線的數(shù)據(jù)信息* 對XX的控制是最有效——找屬于預(yù)防性控制* 強制休假——防止舞弊，發(fā)現(xiàn)問題加強控制* 信息系統(tǒng)職能的交付方式包括： 內(nèi)包——由組織內(nèi)員工實施 外包——全部由供應(yīng)商實施（把公司無增值功能的事務(wù)轉(zhuǎn)移出去） 混合方式——由組織員工和供應(yīng)商混合實施* 信息系統(tǒng)職能實施方式： 現(xiàn)場——員工直接在信息系統(tǒng)現(xiàn)場工作 離場（近岸）——員工在同一地理區(qū)域內(nèi)的不同地點遠程工作 離岸——員工在不同的地理區(qū)域遠程工作* 外包方式應(yīng)該注意：數(shù)據(jù)的所有者、知識產(chǎn)權(quán)問題以及對外包方的審計權(quán)問題* 全球化外包需要注意事項： 法律、法規(guī)和稅務(wù)方面的事務(wù)——不同國家和地區(qū)對IT系統(tǒng)的相關(guān)規(guī)定 持續(xù)運行——可能無法提供測試BCP和DRP 網(wǎng)絡(luò)通訊事務(wù) 跨國界和跨文化的事務(wù)* 云計算服務(wù)交付模型： SaaS（軟件交付）、 PaaS（平臺交付）、 laaS（架構(gòu)交付）* laaS（架構(gòu)交付）需要關(guān)注：服務(wù)中斷* PaaS（平臺交付）需要關(guān)注：隱私性，數(shù)據(jù)所有權(quán)* SaaS（軟件交付）需要關(guān)注：軟件應(yīng)用所處位置* 云計算注意的問題：服務(wù)商宕機、機密性如何保證、安全問題的法律責(zé)任、數(shù)據(jù)所有權(quán)* 私有云的安全性最好，但不容易擴展* 敏感數(shù)據(jù)的使用者需要關(guān)心數(shù)據(jù)安全性問題* 云治理要考慮使用云計算時主要考慮和IT的戰(zhàn)略方向* 采購實務(wù)中第三方服務(wù)的變更管理：變更服務(wù)條款，包括對現(xiàn)有的信息安全政策、規(guī)程和控制的維護及改善，應(yīng)考慮業(yè)務(wù)關(guān)系的關(guān)鍵性及其涉及流程進行管理，并重新評估風(fēng)險。* 建立IT用戶計費機制可以提高應(yīng)用水平，監(jiān)督信息系統(tǒng)費用和可用資源* 軟件開發(fā)，公司對內(nèi)部使用軟件的成本資本化（作為固定資產(chǎn)成本攤銷）* 績效優(yōu)化：是在無須對信息技術(shù)基礎(chǔ)設(shè)施追加額外投資的情況下，將信息系統(tǒng)的生產(chǎn)力盡可能提高到最高水平* 管理指南的重要內(nèi)容： 關(guān)鍵成功要素（CSF）、 關(guān)鍵目標指標（KGI）、 關(guān)鍵績效指標（KPI）、 成熟度模型* 信息系統(tǒng)部門組織結(jié)構(gòu)職務(wù)： 最終用戶服務(wù)臺：與業(yè)務(wù)部門溝通的界面 運行部門計算機操作員：在主機環(huán)境的控制臺上執(zhí)行任務(wù) 技術(shù)支持部門的系統(tǒng)程序員：在主機環(huán)境中對操作系統(tǒng)進行修改IT部門DBA業(yè)務(wù)部門最終用戶OS管理員網(wǎng)絡(luò)管理員生產(chǎn)現(xiàn)場操作人員QA開發(fā)部門應(yīng)用程序員分析員系統(tǒng)程序員* 職責(zé)分離（要理解） 安全管理員不可以是系統(tǒng)管理員 選項中業(yè)務(wù)案例最重要* 發(fā)現(xiàn)沒有職責(zé)分離，找補償性控制* 選擇項中不選：多加人、停止工作、自動化檢查系統(tǒng)* 審計師發(fā)現(xiàn)問題——找證據(jù) 審計師確認問題——報告適當(dāng)?shù)墓芾韺? 控制組負責(zé)收集、轉(zhuǎn)換和控制輸入，核對結(jié)果并向用戶分發(fā)結(jié)果* 質(zhì)量控制：負責(zé)執(zhí)行測試或?qū)彶椋则炞C并確保軟件不存在缺陷并滿足用戶預(yù)期，必須在程序被遷移到生產(chǎn)環(huán)境之前進行。* 質(zhì)量保證（QA）：幫助信息系統(tǒng)部門確保其人員遵守規(guī)定的質(zhì)量程序。發(fā)布、制定、維護質(zhì)量標準。* 不能對自己的工作做QA；用戶、開發(fā)人員不能做QA* 應(yīng)用程序員負責(zé)開發(fā)和維護應(yīng)用系統(tǒng)，只能在開發(fā)和測試環(huán)境中進行；* 在小型機構(gòu)中，網(wǎng)絡(luò)管理員可以負責(zé)局域網(wǎng)的安全管理，可以擁有系統(tǒng)程序員及最終用戶的職責(zé)，但不應(yīng)擁有應(yīng)用程序編程的職責(zé)；* 從信息系統(tǒng)的角度來看，戰(zhàn)略規(guī)劃是組織為了利用信息技術(shù)來改善業(yè)務(wù)流程而確定的長期發(fā)展方向。* 在制定業(yè)務(wù)戰(zhàn)略過程中缺乏IT的介入將導(dǎo)致IT戰(zhàn)略規(guī)劃不能與業(yè)務(wù)戰(zhàn)略保持一致的風(fēng)險* 戰(zhàn)略指導(dǎo)委員會的主要職責(zé)是對重要的信息系統(tǒng)項目進行審查，而不應(yīng)當(dāng)涉及日常運營。* IT指導(dǎo)委員會監(jiān)督重大項目的進度和資源分配* 項目管理委員會負責(zé)制定IT項目策略* 采用自頂向下的方法來制定低層政策，確保了各級政策的一致性* 采用自底向上的方法來制定低層政策，基于風(fēng)險評估的結(jié)果而制定的，可能更加實用，但容易造成政策間的不一致和相互抵觸。* 程序反映了業(yè)務(wù)流程及嵌入的控制。程序由流程所有人制定，是對政策的有效解釋* 風(fēng)險管理是組織用于識別信息資源的脆弱性及威脅，制定相應(yīng)的對策（安全措施或控制），以實現(xiàn)組織業(yè)務(wù)目標的過程。* 安全政策必須在控制水平與生產(chǎn)效率之間進行平衡，控制成本決不能超過控制所帶來的預(yù)期收益。* 信息安全政策指導(dǎo)整個組織來確定所需保護的內(nèi)容、相應(yīng)的保護職責(zé)以及保護工作應(yīng)遵循的策略。* 應(yīng)當(dāng)按照計劃周期或當(dāng)發(fā)生重大變化時對信息安全政策進行審查，以確保其適當(dāng)性、充分性和有效性。* 應(yīng)當(dāng)為信息安全政策指定所有人，來批準安全政策的制定、審查和評估等管理職責(zé)。* 信息系統(tǒng)職責(zé)分離的原則： 資產(chǎn)保管 授權(quán) 交易記錄* 任何風(fēng)險，都應(yīng)當(dāng)基于信息資源對組織的價值，將其降低至可接受水平。* 有效的風(fēng)險管理始于清楚的理解組織的風(fēng)險偏好。在IT環(huán)境下，風(fēng)險偏好推動所有的風(fēng)險管理工作，影響未來的技術(shù)投資，IT資產(chǎn)的保護程度及所需的保證水平。* 風(fēng)險管理包括識別、分析、評估、處置和溝通IT流程的風(fēng)險影響* 風(fēng)險的對應(yīng)措施：避免風(fēng)險、降低風(fēng)險、轉(zhuǎn)移風(fēng)險、接受風(fēng)險* 為制定風(fēng)險管理程序，必須： 確定風(fēng)險管理程序的目的 為風(fēng)險管理計劃分配職責(zé)* 風(fēng)險管理過程 第一步是對信息資產(chǎn)或資源進行標識并分類； 第二步是評估與信息資產(chǎn)相關(guān)的威脅和脆弱性，及其發(fā)生的可能性；* 威脅的發(fā)生是由于信息資產(chǎn)存在脆弱性，脆弱性是信息資源的特性，可以被威脅利用并造成損害* 發(fā)生任何威脅所造成的結(jié)果稱為影響，它能導(dǎo)致這種或那種損失* 信息系統(tǒng)管理實務(wù)反映的是為各種信息系統(tǒng)相關(guān)管理活動所設(shè)計的政策與程序的實施情況* CIA要求：機密性、完整性和可用性* 服務(wù)臺應(yīng)建立正式流程來分別記錄已報告、已解決和升級的問題，并對問題和疑難進行分析，以幫助監(jiān)督用戶和改善信息處理設(shè)施（IPF）的服務(wù)* 在計算機運行中，管理控制可以劃分為物理安全控制、數(shù)據(jù)安全控制和處理控制三個類別* 控制組負責(zé)收集、轉(zhuǎn)換和控制輸入，核對結(jié)果并向用戶分發(fā)輸出結(jié)果* 數(shù)據(jù)錄入人員由控制組管理，因此數(shù)據(jù)錄入不一定是最終用戶* 安全管理應(yīng)首先得到管理層的支持，管理層必須了解并評估安全風(fēng)險，制定書面政策清晰地說明應(yīng)遵循的標準和規(guī)程，并強制執(zhí)行* 為保證充分的職責(zé)分離，安全管理員應(yīng)當(dāng)是全職員工，可以直接向基礎(chǔ)設(shè)施主管報告* 質(zhì)量保證人員通常執(zhí)行兩種不同任務(wù)： 質(zhì)量保證（QA）—幫助信息系統(tǒng)部門確保其人員遵守規(guī)定的質(zhì)量程序 質(zhì)量控制（QC）—負責(zé)執(zhí)行測試或?qū)彶?，以驗證并確保軟件不存在缺陷并滿足用戶預(yù)期。* 質(zhì)量控制（QC）可以在系統(tǒng)開發(fā)的各個階段進行，但必須在程序被遷移到生產(chǎn)環(huán)境之前進行* 在任何情況下都不應(yīng)當(dāng)讓個人對自己所負責(zé)的工作執(zhí)行質(zhì)量審查* 針對數(shù)據(jù)庫管理員（DBA）的嚴格控制： 職責(zé)分離 DBA活動需要得到管理層批準 由主管對訪問日志和相關(guān)活動進行審查 對數(shù)據(jù)庫工具的使用事實檢查性控制* 必須確保應(yīng)用程序員不能修改生產(chǎn)環(huán)境中的程序和應(yīng)用數(shù)據(jù)，他們應(yīng)當(dāng)只能在測試環(huán)境下工作，由另外的團隊把程序和應(yīng)用變更遷移到生產(chǎn)環(huán)境中。* 在小型機構(gòu)中，網(wǎng)絡(luò)管理員可以負責(zé)局域網(wǎng)的安全管理，擁有系統(tǒng)程序員及最終用戶的職責(zé)，但不應(yīng)當(dāng)擁有應(yīng)用程序員編程的職責(zé)* 應(yīng)當(dāng)分離的職責(zé)包括：資產(chǎn)保管、授權(quán)、交易記錄* 職責(zé)分離的目標是：通過識別補償性控制來降低或消除業(yè)務(wù)風(fēng)險* 訪問控制決策應(yīng)基于組織政策和兩個普遍接受的實踐標準： 職責(zé)分離 最小授權(quán)原則* 用戶部門應(yīng)提交授權(quán)單；信息系統(tǒng)部門根據(jù)授權(quán)單維護用戶授權(quán)表* 審計痕跡的主要目的是建立交付處理的業(yè)務(wù)交易的職責(zé)（可追溯責(zé)任）。* 針對職責(zé)分離的補償性控制： 審計軌跡—在缺乏職責(zé)分離時，詳細的審計軌跡將是可接受的補償性控制 核對—核對是用戶的最終責(zé)任，還可以增加控制組使用控制總計和平衡表對應(yīng)用系統(tǒng)執(zhí)行部分核對功能 例外報告—應(yīng)當(dāng)由主管層處理并且需要留下證據(jù) 交易日志—可以時電子也可以手工 監(jiān)督性審核—可以通過現(xiàn)場觀察、訪談或遠程執(zhí)行 獨立性審核—執(zhí)行獨立審核是對錯誤或故意違反既定流程的補償性控制，在職責(zé)不能恰當(dāng)分離的小型組織中尤其重要* 審計過程中應(yīng)該審計的文檔： IT戰(zhàn)略、規(guī)劃和預(yù)算 安全政策文檔 組織圖或職能圖 工作說明 指導(dǎo)委員會報告 系統(tǒng)開發(fā)和程序變更流程 操作流程 人力資源手冊 質(zhì)量保證程序* 信息系統(tǒng)審計師應(yīng)當(dāng)驗證管理層在合同過程中的參與程度，確保按適當(dāng)?shù)闹芷趯贤裱赃M行審查。* 制定IT服務(wù)外包決策應(yīng)考慮的問題：服務(wù)質(zhì)量、持續(xù)服務(wù)保證、控制程序、競爭優(yōu)勢和技術(shù)知識* 外包實允許組織把服務(wù)交付轉(zhuǎn)由第三方提供的機制。* 外包的基本原則是：雖然將服務(wù)交付轉(zhuǎn)移，但其職責(zé)仍屬于組織內(nèi)管理層，他們必須確保對風(fēng)險的適當(dāng)管理及供應(yīng)商持續(xù)的價值交付。* 外包應(yīng)注意：數(shù)據(jù)所有權(quán)，知識產(chǎn)權(quán)，審計權(quán)（或獨立的第三方審計報告）* IT目標應(yīng)當(dāng)是改善用戶滿意度并實現(xiàn)業(yè)務(wù)目標。應(yīng)當(dāng)通過用戶訪談和調(diào)查來監(jiān)督用戶滿意度* 質(zhì)量管理是控制、衡量和改善IS部門流程的一種方法* 信息系統(tǒng)部門制定并維護的書面流程是有效管理信息資源的證據(jù)，堅持遵守流程及相關(guān)流程管理技術(shù)是信息系統(tǒng)部門有效運營的關(guān)鍵因素。* 績效評價的主要階段有： 制定和更新績效指標 為績效指標建立責(zé)任制 收集和分析績效數(shù)據(jù) 報告和使用績效信息* 績效指標用途 衡量產(chǎn)品和服務(wù) 管理產(chǎn)品和服務(wù) 確保責(zé)任制 制定預(yù)算決策 優(yōu)化績效* 針對職責(zé)分離的補償性控制： 審計蹤跡、核對、例外報告、交易日志、監(jiān)督性審核、獨立性審核（在不能進行有效職責(zé)分離的小型組織尤其重要，可以幫助發(fā)現(xiàn)錯誤或違規(guī)行為）* 業(yè)務(wù)連續(xù)性計劃（BCP）——涉及組織內(nèi)絕大多數(shù)部門；災(zāi)難恢復(fù)計劃（DRP）——涉及IT及相關(guān)部門* BCP責(zé)任屬于高級管理層，高級管理層不能將責(zé)任分到下屬* 業(yè)務(wù)連續(xù)性計劃應(yīng)當(dāng)基于長期的IT計劃，并與組織總體業(yè)務(wù)連續(xù)性戰(zhàn)略一致* 業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復(fù)的目的是使組織在中斷事件后可以持續(xù)提供關(guān)鍵服務(wù)并從災(zāi)難中斷中恢復(fù)其活動；* 災(zāi)難恢復(fù)（DRP）與業(yè)務(wù)連續(xù)性計劃（BCP）是組織為避免關(guān)鍵業(yè)務(wù)功能因重大災(zāi)難而中斷，減少業(yè)務(wù)風(fēng)險而建立的一個控制過程；是業(yè)務(wù)流程，不是一個項目。* BCP主要是組織高級管理層的責(zé)任，因為高級管理層對組織的資產(chǎn)和生存負有最高責(zé)任；高級管理層不能推托將責(zé)任委托給下級人員。* BCP計劃不是所有的業(yè)務(wù)流程都要恢復(fù)（只恢復(fù)關(guān)鍵流程），也不是所有的服務(wù)都需要恢復(fù)，關(guān)鍵的目標是滿足客戶的需求。* BCP維護的一個重要步驟：組織內(nèi)任何相關(guān)變化產(chǎn)生時都要進行BCP的更新和演練* 業(yè)務(wù)連續(xù)性計劃（BCP）是組織為避免業(yè)務(wù)功能/運作中斷，減少業(yè)務(wù)風(fēng)險而建立的一個控制流程，包括對支持組織關(guān)鍵業(yè)務(wù)的人力、物力需求和關(guān)鍵業(yè)務(wù)所需的最小級別服務(wù)水平的連續(xù)性保證。* 準備一個新的BCP的第一步師識別戰(zhàn)略性的業(yè)務(wù)流程，這些關(guān)鍵流程是業(yè)務(wù)持續(xù)增長和實現(xiàn)業(yè)務(wù)目標的保證* 風(fēng)險管理在BCP的準備階段被關(guān)注。* 無論發(fā)生何種中斷，關(guān)注的焦點永遠是關(guān)鍵業(yè)務(wù)流程的可用和持續(xù)運行* 如果信息系統(tǒng)的BCP與DRP需要單獨建立，必須與組織的總的BCP計劃保持一致。* 不存在單獨的DRP計劃，一定先有BCP才會有DRP。* 一個整合的BCP計劃必須確保： 每個部分都被涵蓋 承諾的資源被最有效的方式使用，并有充分證明通過它組織可以克服中斷生存下去* 災(zāi)難：把發(fā)生概率極小，但沖擊極大* 一個業(yè)務(wù)連續(xù)性計劃應(yīng)當(dāng)識別出當(dāng)發(fā)生災(zāi)難時，業(yè)務(wù)應(yīng)當(dāng)做什么* 保證恢復(fù)的成本永遠不要超過所獲得的利益* 流感大流行的到來具有很強的不確定性，對社會和經(jīng)濟的影響與威脅是確定的。* 流感大流行特點是系統(tǒng)、設(shè)備沒有問題，但是人沒有了。* 流感大流行的應(yīng)對規(guī)劃和傳統(tǒng)的業(yè)務(wù)連續(xù)性規(guī)劃不同，信息系統(tǒng)審計師應(yīng)評價組織對流感大流行的準備；流感大流行的影響由于范圍和持續(xù)時間不同難以確定。* 危機溝通范圍： 內(nèi)部：股東、員工 外部：新聞媒體、政府* 危機溝通中，除發(fā)言人外，組織中的任何其他人不管官居何職，都不得發(fā)布任何公共言論* BCP主要針對服務(wù)中斷* BCP是糾正性控制* 根據(jù)對業(yè)務(wù)危害程度的估計，對各種事件進行分類：可忽略事件、微小事件、重大事件、危險事件，在事件被解決前，任何對它的分類都是臨時性的* BCP過程分為： 創(chuàng)建業(yè)務(wù)連續(xù)性方針/政策 風(fēng)險分析RA BIA\運行分類及重要性分析 識別支持關(guān)鍵組織功能的信息系統(tǒng)流程 開發(fā)BCP策略 開發(fā)業(yè)務(wù)連續(xù)性計劃和DRP步驟 開發(fā)重建程序 培訓(xùn)與意識教育程序 計劃的演練與實施 監(jiān)測* BIA之后做策略供管理層選擇，管理層批準后，制定計劃* 執(zhí)行BIA的方法： 設(shè)計詳細的調(diào)查問卷，分發(fā)給重要業(yè)務(wù)人員和IT人員（用戶多，分布廣，問題標準化）