【正文】 監(jiān)督高級管理層應執(zhí)行適當?shù)腎T職能的監(jiān)督實踐，以保證角色和責任被完全地行使，評估所有的個人是否有足夠的權力和資源完成他們的角色和職責，并要全面地評價關鍵的績效指標。典型地，系統(tǒng)所有者可以將日常管理委派給系統(tǒng)的交付/操作小組，將安全職責委派給安全管理員。他們的角色和責任應清楚地定義。如果需要，系統(tǒng)細節(jié)層次上的附加安全管理責任也應被分配，以應對相關的安全問題。 邏輯和物理安全的責任管理層應為信息安全經理正式地分配確保機構信息資產物理和邏輯安全的責任，并負責向高級管理層報告。 質量保證的責任管理層應為IT職能部門的成員分配質量保證職能履行的責任，并確保適當?shù)馁|量保證、系統(tǒng)、控制和存在于IT職能質量保證小組中的專家們的交流。每個人都應認識到他們在內部控制和安全方面具有一定的責任。角色的設置應考慮適當?shù)穆氊煼蛛x。 角色和責任管理層應確保機構中所有人員都具有并理解他們在相關信息系統(tǒng)中的角色和責任。 IT 職能的機構設置在整個機構機構設置IT職能過程中，高級管理層應確保其權力、關鍵時刻以及與用戶部門的獨立性到必要的程度，以便在執(zhí)行時能夠保證有效的IT解決方案和充分的進展，并要建立與頂級管理層的伙伴關系，以便在確定和解決IT問題時，能夠幫助他們增強意識、理解和技能。委員會的會員應包括來自高級管理層、用戶管理層和IT職能方面的代表。 技術標準以技術基礎設施計劃為基礎，IT管理層應定義技術規(guī)范以培養(yǎng)標準化的意識。 技術基礎設施的不確定事件技術基礎設施計劃應在偶然事件方面（即基礎設施的冗余、恢復、充足性和發(fā)展能力）進行系統(tǒng)地評估。這樣的計劃應圍繞諸如系統(tǒng)體系結構、技術方向和移植策略等方面。對于區(qū)域范圍廣闊的企業(yè)，應建立支持不同安全等級的標準，以適應正在發(fā)展的電子商務、移動計算和遠程辦公環(huán)境的需要。 安全等級對于上述確定的每一個“不需要保護”級別以上的數(shù)據(jù)分類，管理層應定義、執(zhí)行和維護這些安全等級。 企業(yè)數(shù)據(jù)字典和數(shù)據(jù)語法規(guī)則IT的職能應確保包含機構數(shù)據(jù)語法規(guī)則的企業(yè)數(shù)據(jù)字典的建立以及持續(xù)的更新。相應地，圍繞企業(yè)的數(shù)據(jù)模型和相關的信息系統(tǒng)，IT的職能應是建立并有規(guī)律地更新信息體系結構模型。 現(xiàn)有系統(tǒng)的評估在開發(fā)或變更戰(zhàn)略規(guī)劃或長期計劃、IT計劃之前，IT管理層應按照業(yè)務自動化的程度、功能性、穩(wěn)定性、復雜性、成本、優(yōu)勢和劣勢，評估現(xiàn)有信息系統(tǒng)，以確定現(xiàn)有系統(tǒng)支持機構業(yè)務需求的程度。 IT 計劃的監(jiān)控和評估管理層應建立一個流程，獲取和報告來自業(yè)務過程所有者和用戶有關長期和短期計劃的質量及有效性的反饋?？尚行匝芯康募皶r執(zhí)行應確保短期計劃的實行是被充分地啟動的。這樣的短期計劃應確保適當?shù)腎T功能資源以與IT長期計劃內容相一致的基礎上來分配。管理層應建立一個IT長期和短期計劃開發(fā)和維護所需要的政策。計劃本身還應參考其它的計劃，比如機構的質量計劃和信息風險管理計劃。已做出選擇的好處應被明確地確定下來。IT計劃的編制過程應考慮風險評估的結果，包括業(yè)務、環(huán)境、技術和人力資源的風險。 IT 長期計劃編制——方法與結構對于長期計劃的編制過程來講，IT管理層和業(yè)務過程的所有者應建立并采用一種結構化的方法。計劃編制的方法應包括尋求來自受IT戰(zhàn)略計劃影響的相關內外部利害關系人引入的機制。IT的長期、短期計劃應被開發(fā)，確保IT的運用同機構的使命與業(yè)務發(fā)展戰(zhàn)略相結合。COBIT信息技術審計指南(34個控制目標)計劃和組織（選擇3/6/11）1 定義戰(zhàn)略性的信息技術規(guī)劃（PO1）PO域控制的IT過程：定義戰(zhàn)略性的IT規(guī)劃滿足的業(yè)務需求：既要謀求信息技術機遇和IT業(yè)務需求的最佳平衡，又要確保其進一步地完成實現(xiàn)路線：在定期從事的戰(zhàn)略規(guī)劃編制過程中，要逐漸形成長期的計劃，長期的計劃應定期地轉化成設置清晰并具體到短期目的的操作計劃需要考慮的事項：企業(yè)的業(yè)務發(fā)展戰(zhàn)略IT如何支持業(yè)務目標的明確定義技術解決方案和當前基礎設施的詳細清單追蹤技術市場適時的可行性研究和現(xiàn)實性檢查已有系統(tǒng)的評估在風險、進入市場的時機、質量方面，企業(yè)所處的位置需要高級管理層出錢、支持和必不可少的檢查信息規(guī)范 IT資源P 效果 * 人員S 效率 * 應用保密 * 技術完整 * 設施可用 * 數(shù)據(jù)遵從可靠 作為機構長期和短期計劃一部分的IT高級管理層對開發(fā)和實施履行機構任務和目標的長期和短期的計劃負責。在這一方面，高級管理層應確保IT有關事項以及機遇被適當?shù)卦u估，并將結果反映到機構的長期和短期計劃之中。 IT 長期計劃IT管理層和業(yè)務過程的所有者要對有規(guī)律地開發(fā)支持機構總體使命和目的實現(xiàn)的IT長期計劃負責。相應地，管理層應執(zhí)行一個長期計劃的編制過程，采用一種結構化的方法，并建立一個標準的計劃結構。這樣可以制定出高質量的計劃，含蓋什么、誰、怎樣、什么時間和為什么等基本的問題。計劃編制期間，需要考慮和充分投入的方面包括：機構的模式及其變化、地理的分布、技術的發(fā)展、成本、法律法規(guī)的要求、第三方或市場的要求、規(guī)劃遠景、業(yè)務過程再造、員工的安置、自行開發(fā)或者外包、數(shù)據(jù)、應用系統(tǒng)和技術體系結構。IT長期和短期計劃應使績效指標和目標合并在一起。 IT 長期計劃的變更IT管理層和業(yè)務過程所有者應確保及時、準確地修改IT長期計劃的過程的到位，以適應機構長期計劃的變化和IT環(huán)境的變化。 IT 功能的短期計劃編制IT管理層和業(yè)務過程的所有者應確保IT長期計劃有規(guī)律地轉換成IT短期計劃。短期計劃應定期地進行再評估，并被作為適應正在變化的業(yè)務和IT環(huán)境所必須的事項而改進。 IT 計劃的交流管理層應確保IT長期和短期計劃同業(yè)務過程所有者以及跨越機構的其他相關部門人員的充分溝通。獲取的反饋應予以評估，并在將來的IT計劃編制中加以考慮。對高級和詳細的控制目標進行審計：獲得了解：訪談：首席執(zhí)行官（CEO）首席運營官（COO）首席財務官（CFO）首席信息官（CIO）IT計劃/指導委員會成員IT高級管理層和人力服務職員獲得：與計劃編制過程想關聯(lián)的政策和程序高級管理層的指導角色和責任機構的目標和長短期的計劃IT的目標和長短期的計劃狀況的報告和計劃/指導委員會的會議紀要評估控制：考慮是否：IT或者業(yè)務的企業(yè)政策和程序選擇了一種結構化的計劃編制方法方法到位，以便明確地表達并能夠修改計劃，起碼它們要包括：? 機構的使命和目的? 支持機構使命和目的的IT初始? IT初始的機遇? IT初始的可行性的研究? IT初始的風險評估? 當前和未來IT的最佳投資? 反映企業(yè)使命和目的變化的IT初始的再造? 數(shù)據(jù)應用、技術和機構可選擇戰(zhàn)略的評估機構的變化、技術的發(fā)展、規(guī)章的要求、業(yè)務過程的再造、員工的安置、自己開發(fā)和外包，等等被考慮，并在計劃編制過程中充分地從事長短期的IT計劃存在，是當前的，充分針對全部企業(yè)、它的使命和關鍵的業(yè)務職能部門IT項目由IT計劃編制方法中確定的適當文檔所支持確保IT目標和長短期計劃持續(xù)地滿足機構目標和長短期計劃的檢查點存在由過程所有者和高級管理層評價和結束的IT計劃發(fā)生根據(jù)業(yè)務自動化程度、功能性、穩(wěn)定性、復雜性、成本、優(yōu)勢和弱點，IT計劃評估現(xiàn)有的信息系統(tǒng)對信息系統(tǒng)及其支持的基礎設施的長期計劃編制的缺乏，導致系統(tǒng)不能支持企業(yè)的目標和業(yè)務的過程，或者不能提供適當?shù)耐暾?、安全和控制評定遵從性：測試：來自反映計劃編制過程的IT計劃編制/指導委員會的會議紀要計劃編制方法的可交付使用物的存在，作為預先的規(guī)定相關IT的初始被包括在IT長短期的計劃當中（也就是硬件的變化、容量計劃編制、信息體系結構、新系統(tǒng)開發(fā)或獲取、災難恢復計劃編制、新處理平臺的安裝，等等）IT初始支持長短期計劃，并要考慮調查、培訓、人員安置、設施、硬件和軟件的需求IT初始的技術含義已經被確定最優(yōu)化當前和將來IT投資的考慮已經給出IT長短期計劃與機構的長短期計劃和組織的需求保持一致計劃已經發(fā)生改變，以反映正在變化的條件IT長期計劃定期轉化成短期計劃存在實現(xiàn)計劃的任務證實沒有滿足業(yè)務目標的風險：執(zhí)行：依照類似的機構或者適當?shù)膰H標準/公認的行業(yè)最好實踐的戰(zhàn)略IT計劃的基準確保IT初始反映機構的使命和目的的IT計劃的詳細評價決定是否機構之內已經知道的虛弱區(qū)域正在被確認為計劃當中IT解決方案的一部分而加以改進的IT計劃的詳細評價確定：滿足機構使命和目的的IT失敗與長期計劃相匹配的短期計劃的IT失敗滿足短期計劃的IT項目的失敗滿足成本和時間準則的IT失敗錯過的業(yè)務機遇錯過的IT機遇2 定義信息體系結構（PO2）控制的IT過程：定義信息體系結構滿足的業(yè)務需求：優(yōu)化信息系統(tǒng)的機構實現(xiàn)路線：創(chuàng)建并維護一個業(yè)務信息模型，確保定義適當?shù)南到y(tǒng)，以優(yōu)化信息的使用需要考慮的事項：自動化的數(shù)據(jù)存貯和字典數(shù)據(jù)語法規(guī)則數(shù)據(jù)所有權和關鍵性/安全性程度分類表述業(yè)務的信息模型企業(yè)信息體系結構標準信息信息規(guī)范 IT資源P 效果 人員S 效率 * 應用S 保密 技術S 完整 設施可用 * 數(shù)據(jù)遵從可靠 信息體系結構模型信息應與需求保持一致，并應以某種格式和期限進行識別、獲取和交流，而這些格式和期限能使人們及時、有效地履行他們的職責。信息體系結構模型應與IT長期計劃保持一致。 數(shù)據(jù)分類方案在按信息類別（如安全類）進行分類的數(shù)據(jù)放置以及所有權分配方面，應建立一個總體的分類框架，應適當定義各類別的訪問規(guī)則。對于每一個分類來講，這些安全等級應描述適當?shù)模ㄗ钚〉模┮惶装踩涂刂瞥叨?，應定期進行再評估并做相應的修改。對高級和詳細的控制目標進行審計：獲得了解：訪談：首席信息官（CIO）IT計劃/指導委員會成員IT高級管理層安全官獲得：與信息體系結構相關的政策和程序信息體系結構模型支持信息體系結構模型的文檔，包括企業(yè)數(shù)據(jù)模型企業(yè)數(shù)據(jù)字典數(shù)據(jù)所有者政策高級管理層指導的角色和責任IT的目標和長短期計劃狀況報告和計劃編制/指導委員會會議紀要評估控制：考慮是否：IT政策和程序選擇了數(shù)據(jù)字典的開發(fā)和維護用于修改信息體系結構模型的過程是以長短期計劃為基礎的，考慮了相關成本和風險，并且該模型變化之前，要確保高級管理層同意有一個過程用來保持數(shù)據(jù)字典和數(shù)據(jù)語法規(guī)則處于最新狀態(tài)有一個媒介用來分發(fā)數(shù)據(jù)字典，確保開發(fā)區(qū)域的可達性并立即反映變化IT政策和過程要選擇數(shù)據(jù)的分類，包括安全種類和數(shù)據(jù)所有者，數(shù)據(jù)分類的訪問規(guī)則要被清晰和適當?shù)囟x要為那些不包含數(shù)據(jù)分類標識符的數(shù)據(jù)資產定義缺省的分類標準IT政策和程序要選擇以下內容：? 需要數(shù)據(jù)所有者（在數(shù)據(jù)所有者政策上定義）的授權過程要到位，以便批準該數(shù)據(jù)的所有訪問以及數(shù)據(jù)的安全屬性? 每一個數(shù)據(jù)分類的安全等級要被定義? 訪問等級被定義，并且對于數(shù)據(jù)分類來說是適當?shù)? 訪問敏感數(shù)據(jù)需要清楚的訪問級別，數(shù)據(jù)的提供要以“需要知道”為基礎評定遵從性：測試：信息體系結構模型上的變化，確定這些變化反映了IT長短期計劃及其所確定的成本和風險評估數(shù)據(jù)字典的任何修改以及數(shù)據(jù)字典上變化的影響，確保它們被有效地溝通各種運作的應用系統(tǒng)和開發(fā)項目，以確定數(shù)據(jù)字典被用作數(shù)據(jù)定義足夠的數(shù)據(jù)字典文檔，以確定這些文檔為每一個數(shù)據(jù)項定義了數(shù)據(jù)的屬性和安全等級數(shù)據(jù)分類、安全等級、訪問等級和缺省的適當性每一個數(shù)據(jù)分類都要清晰地定義：? 誰可以訪問? 誰對決定適當?shù)脑L問級別負責? 所需訪問的明確批準? 訪問的特定需求（也就是非披露或者保密性協(xié)議）證實沒有滿足業(yè)務目標的風險：執(zhí)行：依照類似機構或適者國際標準/公認的行業(yè)最好實踐的信息體系結構模型的基準針對關鍵元素的完整性，數(shù)據(jù)字典的詳細評價對定義為敏感數(shù)據(jù)的安全等級的詳細評價，以校驗訪問的適當授權被獲得，被許可的訪問與定義在IT政策和程序中的一致確定：信息體系結構模型和企業(yè)數(shù)據(jù)模型、企業(yè)數(shù)據(jù)字典、相關信息系統(tǒng)以及IT長短期計劃中的矛盾過時的企業(yè)數(shù)據(jù)字典項和由于數(shù)據(jù)字典變化的不良的溝通喪失了時效性的數(shù)據(jù)語法規(guī)則？？？所有者不清楚和/或沒有適當定義的數(shù)據(jù)項沒有被適當定義的數(shù)據(jù)分類與“需要才能知道”的原則不一致的數(shù)據(jù)安全等級3 決定技術方向（PO3）控制的IT過程：決定技術方向滿足的業(yè)務需求：利用目前可用的和正在出現(xiàn)的技術，推動業(yè)務戰(zhàn)略的實施并使業(yè)務戰(zhàn)略成為可能實現(xiàn)路線：建立并維護技術基礎設施計劃，該計劃，依據(jù)產品、服務和交付機制，建立并管理技術能夠提供的清晰和現(xiàn)實的預期需要考慮的事項：當前基礎設施的容量通過可靠的來源，監(jiān)測技術發(fā)展引導概念的檢驗風險、約束和機遇獲取的計劃移植戰(zhàn)略和路線與供應商的關系獨立的技術再評估硬件和軟件的性能/價格比的變化信息規(guī)范 IT資源P 效果 人員S 效率 應用保密 * 技術完整 * 設施可用 數(shù)據(jù)遵從可靠 技術基礎設施計劃編制IT的職能部門應建立并有規(guī)律地更新與IT長期和短期計劃保持一致的技術基礎設施計劃。 監(jiān)測未來的趨勢和法規(guī)IT的職能部門應能夠確保對未來趨勢和法規(guī)環(huán)境的持續(xù)監(jiān)測，以便這些因素能夠在技術基礎設施計劃的開發(fā)和維護期間被考慮在內。 硬件和軟件獲取計劃IT管理層應確保制定硬件和軟件的獲取計劃，并要反映在所確定的技術基礎設施計劃的需求中。對高級和詳細的控制目標進行審計：獲得了解：訪談：首席執(zhí)行官（CEO）首席運營官（COO）首席財務官（CFO）首席信息官（CIO）IT計劃/指導委員會成員