IT治理與管理實務(wù)

1、第二章IT治理與管理A. IT治理A1.公司治理指所有者、經(jīng)營者和監(jiān)督者之間通過公司權(quán)力機關(guān)（股東大會） 、經(jīng)營決策與執(zhí)行機關(guān)（董事會、經(jīng)理）、監(jiān)督機關(guān)（監(jiān)事會）而形成權(quán)責(zé)明確、相互制約、協(xié)調(diào)運轉(zhuǎn)和科學(xué)決策的聯(lián)系，并依法律、法規(guī)、規(guī)章和公司章程等規(guī)定予以制度化的統(tǒng)一機制；公司治理強調(diào)企業(yè)中權(quán)力、角色的合理分配和對股東的平等對待；信息披露與透明；董事會的職責(zé)； 為企業(yè)提供合理的戰(zhàn)略指南；董事會對管理層進行有效的監(jiān)督，董事會必須向企業(yè)和股東負(fù)責(zé)。公司治理框架中一個很重要內(nèi)容就是要建立內(nèi)部控制體系管理和報告業(yè)務(wù)風(fēng)險。A2.IT治理IT 治理是一個綜合術(shù)語，它包括信息系統(tǒng)、技術(shù)和通訊，業(yè)務(wù)、法律相關(guān)事

2、務(wù)，所有利益相關(guān)方、董事會、高級管理層、流程所有人、IT供應(yīng)商、用戶和審計師。治理有助于確保IT和企業(yè)目標(biāo)保持一致。有效的公司治理注重個人和團隊在特定領(lǐng)域中最有效的專門技能和經(jīng)驗。長期以來，僅作為組織戰(zhàn)略促進因素的信息技術(shù)，現(xiàn)在被看作是整體戰(zhàn)略的一部分。CEO COO CFO CIO和CTO在IT與企業(yè)目標(biāo)間能達(dá)成戰(zhàn)略一致是關(guān)鍵成功因素。通過經(jīng)濟、有效地使用安全、可靠的信息和應(yīng)用技術(shù)，IT治理能有助于實現(xiàn)這個關(guān)鍵成功因素。信息技術(shù)對企業(yè)的成功是如此重要，因此，不能把其職責(zé)放給IT管理人員或IT專家，而必須得到整個高級管理層的關(guān)注。IT治理的定義ITGI : IT治理是董事會和最高管理層的職責(zé)，

3、是企業(yè)治理的重要組成部分。 IT治理由領(lǐng)導(dǎo)、組織結(jié) 構(gòu)以及相關(guān)流程組成，這些流程能保證組織的IT有效支持及促進組織戰(zhàn)略目標(biāo)的實現(xiàn)。IT治理一般關(guān)注兩方面的問題：IT增加商業(yè)價值和IT風(fēng)險得到控制。前者通過使IT戰(zhàn)略與業(yè)務(wù)保持一致來達(dá)到，后者通過向企業(yè)分配責(zé)任來驅(qū)動。IT治理的關(guān)鍵因素是IT與業(yè)務(wù)保持一致，以實現(xiàn)業(yè)務(wù)價值。IT治理的主要流程有：IT資源管理、績效測評和合規(guī)管理IT治理回答下述問題在IT戰(zhàn)略決策中哪些利益相關(guān)者有發(fā)言權(quán)？誰決定IT投資及其優(yōu)先級順序？應(yīng)當(dāng)建立哪些IT委員會，由什么人組成？其職責(zé)是什么？向誰報告？CIO 的角色和職責(zé)有哪些？如何控制IT使其滿足業(yè)務(wù)需求？如何評價IT職

4、能的績效？IT治理的目標(biāo)指導(dǎo)IT工作，確保IT績效滿足IT目標(biāo)、符合企業(yè)目標(biāo)要求，實現(xiàn)預(yù)期利潤 幫助企業(yè)開拓商機，實現(xiàn)利益最大化充分利用IT資源適當(dāng)控制IT相關(guān)風(fēng)險IT治理與公司治理公司治理主要關(guān)注利益相關(guān)者權(quán)益和管理，包括一系列責(zé)任和條例，由最高管理層（董事會）和執(zhí)行 管理層實施；公司治理目的是提供戰(zhàn)略方向，保證目標(biāo)能夠?qū)崿F(xiàn)，風(fēng)險適當(dāng)管理，企業(yè)資源合理使用；IT 治理是公司治理的重要組成部分，是董事會或最高管理層的責(zé)任；IT 治理由領(lǐng)導(dǎo)、組織結(jié)構(gòu)以及相關(guān)流程組成，這些流程能保證組織的IT能有效支持及促進組織戰(zhàn)略目標(biāo)的實現(xiàn)，同時控制風(fēng)險、降低成本、提高績效。公司治理可以驅(qū)動和調(diào)整IT治理，同時

5、，IT能夠為公司治理提供關(guān)鍵的輸入，形成戰(zhàn)略計劃的一個重要組成部分公司治理和IT治理都是“他律”機制，是如何“管好管理者”的機制，其目標(biāo)也是一致的：達(dá)到業(yè)務(wù) 持續(xù)運營，并增加組織的長期獲利機會。IT治理與IT管理IT管理是公司的信息及信息系統(tǒng)的運營，確定 IT目標(biāo)以及實現(xiàn)此目標(biāo)所采取的行動而IT治理是指最高管理層（董事會）利用它來監(jiān)督管理層在IT戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián)系，以確保這種運營處于正確的軌道之上。簡言之，是“對管理的管理”IT管理就是在既定的IT治理模式下，管理層為實現(xiàn)公司的目標(biāo)而采取的行動缺乏良好IT治理模式的公司，即使有“很好”的IT管理體系（而這實際上是不可能的），就像一座地基不

6、牢固的大廈同樣，沒有公司IT管理體系的暢通，單純的治理模式也只能是一個美好的藍(lán)圖，而缺乏實際的內(nèi)容IT治理的層次在企業(yè)戰(zhàn)略層上?IT治理要與公司治理結(jié)構(gòu)、企業(yè)戰(zhàn)略規(guī)劃進行集成，使 IT治理作為公司治理的一部分；?在治理結(jié)構(gòu)上體現(xiàn)IT的位置與作用，使IT議題要進入董事會（或者是監(jiān)事會、最高管理當(dāng)局） 下的戰(zhàn)略委員會、審計委員會、安全委員會；?董事會要確保IT的執(zhí)行與監(jiān)管分開，監(jiān)管機制要獨立并持續(xù)運行、溝通與反饋機制要持續(xù)有效；?IT治理要求向董事會和最高管理層分配職責(zé)，并要求其完成一系列活動。在企業(yè)戰(zhàn)術(shù)面上?雖然IT治理集中在董事會最高管理層，但由于 在戰(zhàn)術(shù)層面上提供必要的控制框架來保證治理職責(zé)

7、的落實；?為了保證IT與業(yè)務(wù)目標(biāo)一致，充分利用有限的 國際普遍接受的企業(yè)內(nèi)部控制標(biāo)準(zhǔn)，在戰(zhàn)術(shù)層面建立有效的ITIT治理的復(fù)雜性和專業(yè)性，治理層必須依賴企業(yè)資源，提高績效，降低風(fēng)險與控制成本，按照 IT控制框架并監(jiān)督實施。-COBIT、ITIL、ISO17799-需求識別、數(shù)據(jù)標(biāo)準(zhǔn)化、項目管理IT治理域一些著名的機構(gòu)（Gartner、CSC AICPA/CICA、CIO Magazine ）通過調(diào)查認(rèn)為最受 IT管理層關(guān)注的 問題，已經(jīng)從技術(shù)領(lǐng)域逐漸轉(zhuǎn)向管理相關(guān)領(lǐng)域；這些問題可以歸結(jié)為五個IT治理域：戰(zhàn)略一致、價值交付、風(fēng)險管理、資源管理和績效考評，其中有兩個核心，一是IT要向業(yè)務(wù)交付價值，二是

8、降低風(fēng)險。前者由 IT與業(yè)務(wù)的戰(zhàn)略一致驅(qū)動，后者由企 業(yè)內(nèi)部建立的責(zé)任分工驅(qū)動；這兩者都需要獲得足夠的資源并進行績效考評，以保證獲得預(yù)期的結(jié)果；這五個域都受利益相關(guān)者價值驅(qū)動，其中價值交付、降低風(fēng)險是結(jié)果，戰(zhàn)略一致績效考評是驅(qū)動力，IT資源管理為治理提供支持。五個IT治理域:?戰(zhàn)略一致-強調(diào)IT與業(yè)務(wù)保持一致，提供協(xié)調(diào)的解決方案。?價值交付-確保IT實現(xiàn)了預(yù)期戰(zhàn)略收益，集中關(guān)注成本的優(yōu)化，提供 IT的固有價值。?風(fēng)險管理-將風(fēng)險管理職責(zé)嵌入組織中，包括 IT資產(chǎn)的保護、災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性。?資源管理-對IT資源（應(yīng)用系統(tǒng)、信息、基礎(chǔ)設(shè)施和人員）的優(yōu)化投資并適當(dāng)管理，關(guān)鍵問題在于 知識和基礎(chǔ)設(shè)

9、施的優(yōu)化。?績效考評-追蹤并監(jiān)控戰(zhàn)略實施、資源使用、流程績效、服務(wù)交付以及諸如平衡記分卡的使用等， 監(jiān)督IT服務(wù)質(zhì)量。沒有績效測量就無法對以上四個域進行有效管理。IT治理的關(guān)鍵因素IT治理的關(guān)鍵因素就是要使 IT與業(yè)務(wù)融合，以實現(xiàn)組織的業(yè)務(wù)價值。通過IT治理框架和最佳實踐的應(yīng)用，在組織內(nèi)促成目標(biāo)實現(xiàn)。IT治理框架和最佳實踐是由一系列組織結(jié)構(gòu)、流程及相關(guān)機制組成。關(guān)鍵的IT治理因素包括：IT戰(zhàn)略委員會、風(fēng)險管理和標(biāo)準(zhǔn)IT平衡記分卡。審計師在IT治理中的職責(zé)審計是組織成功實施IT治理的一個重要角色，對于向高級管理層提供建議，幫助改善IT治理質(zhì)量和效果而言，審計處在最佳的位置；通過引入審計師獨立的、

10、中立的觀點，可以對 IT治理績進行持續(xù)有效的監(jiān)督、分析、評估，以指導(dǎo) 與改進與IT治理相關(guān)的IT過程；IS審計師的要對IT治理的各個方面進行評估?IS職能與組織使命、愿景、價值、目標(biāo)和戰(zhàn)略的一致性?法律、環(huán)境、信息質(zhì)量、委托、安全和隱私方面的要求?組織的控制環(huán)境?IS環(huán)境的固有風(fēng)險A3.IT戰(zhàn)略委員會是董事會實施其IT治理目標(biāo)的重要機制，一般隸屬于董事會，由董事會成員及非董事會成員組成，它主要職責(zé)是協(xié)助董事會治理和監(jiān)督企業(yè)的IT相關(guān)事務(wù)；IT 戰(zhàn)略委員會應(yīng)當(dāng)保證在組織中以結(jié)構(gòu)化的方式來實施IT治理，而且董事會可以獲得足夠的信息來實現(xiàn)IT治理的最終目標(biāo)。組織在執(zhí)行經(jīng)理層設(shè)置IT指導(dǎo)委員會來處理關(guān)

11、系到整個組織的IT事務(wù)，比如：追蹤IT投資、設(shè)定項目優(yōu)先級、分配IT資源等。指導(dǎo)委員會職責(zé)分析表是CISA應(yīng)當(dāng)掌握的知識A4.IT平衡記分卡（BSC績效測評是企業(yè)管理中的重要因素，沒有績效測評就無法對業(yè)務(wù)進行有效管理，但隨著企業(yè)創(chuàng)造價值的方式由有形資產(chǎn)逐漸轉(zhuǎn)向無形資產(chǎn)，對無形資產(chǎn)的衡量，不能采用傳統(tǒng)的針對有形資產(chǎn)的財務(wù)數(shù)據(jù)方式；平衡記分卡是目前企業(yè)管理中較流行的績效測量工具，它可以把企業(yè)戰(zhàn)略轉(zhuǎn)化為實際的行為，從而實現(xiàn)企業(yè)目標(biāo)；這種績效測評系統(tǒng)超出了傳統(tǒng)的財務(wù)記帳方式，它不僅衡量財務(wù)數(shù)據(jù)，還要對業(yè)務(wù)過程與基于知識的 資產(chǎn)等方面進行測評，在顧客滿意度、內(nèi)部流程和創(chuàng)新能力等方面進行了補充，組成了財務(wù)

12、、客戶、過程 和學(xué)習(xí)四個視角。標(biāo)準(zhǔn)IT平衡記分卡是 CISA應(yīng)當(dāng)掌握的內(nèi)容。平衡記分卡的四個視角：?財務(wù)視角一為使股東滿意，我們需要達(dá)到什么樣的財務(wù)目標(biāo)？?客戶視角一為實現(xiàn)財務(wù)目標(biāo)，我們需要服務(wù)什么樣的客戶？?過程視角一為了提高客戶和利益相關(guān)者的滿意度，我們需要建立什么樣的內(nèi)部業(yè)務(wù)過程？?學(xué)習(xí)視角一為了達(dá)成目標(biāo)，組織應(yīng)當(dāng)如何學(xué)習(xí)與創(chuàng)新？為了把平衡記分卡應(yīng)用于IT,還應(yīng)使用一個三層構(gòu)架來描述其四個方面的評價要素：使命?成為首選的信息系統(tǒng)供應(yīng)商?經(jīng)濟、有效地交付IT應(yīng)用系統(tǒng)和服務(wù)?IT投資能獲得一個合理的業(yè)務(wù)回報?抓住機遇應(yīng)對未來挑戰(zhàn)戰(zhàn)略?開發(fā)良好的應(yīng)用系統(tǒng)與運營?建立用戶伙伴關(guān)系和良好的客戶服務(wù)

13、?提高服務(wù)水平，優(yōu)化價格結(jié)構(gòu)?控制IT費用?為IT項目賦于業(yè)務(wù)價值?提供新的業(yè)務(wù)能力?培訓(xùn)和教育IT職員，追求卓越?為研究和開發(fā)提供支持措施?提供一套穩(wěn)定的指標(biāo)（如 KPI ）來指導(dǎo)面向業(yè)務(wù)的IT決策IT平衡記分卡實例?是協(xié)調(diào)董事會和管理層實現(xiàn) IT與業(yè)務(wù)融合最有效的方法；?目標(biāo)就是通過建立一種面向董事會的管理報告工具，使利益相關(guān)者在IT戰(zhàn)略目標(biāo)上達(dá)成一致，以表明IT的有效性和增值性，同時便于組織在IT績效、風(fēng)險和能力方面進行溝通。A5.信息安全治理信息可以定義為“具有特定意義和目標(biāo)的數(shù)據(jù)”。信息在我們當(dāng)今的生活中發(fā)揮著越來越重要的作用，已成為所有組織業(yè)務(wù)活動中不可缺少的組成部分，越來越多的公

14、司已將信息作為其主營業(yè)務(wù)，如Google、eBay、Microsoft、網(wǎng)易等。當(dāng)今已很難找到不接觸信息技術(shù)的企業(yè)，隨著全球網(wǎng)絡(luò)互聯(lián)時代的到來，在企業(yè)突破其傳統(tǒng)邊界向虛擬 世界不斷擴展的背景下，信息安全己成為重要的治理問題而出現(xiàn)在我們面前。信息犯罪和惡意行為已成為越來越多的高級犯罪分子的選擇?？植婪肿雍推渌麛硨ι鐣娜艘彩褂肐T技術(shù)來宣揚他們的觀點并傳播其恐怖行為。信息安全治理具有特定的價值驅(qū)動：信息的完整性、服務(wù)的持續(xù)和信息資產(chǎn)的保護。IT安全定位于安全技術(shù)，通常由CIO級別的人推動；信息安全著眼于信息所涉及的風(fēng)險、收益和流程，必須由執(zhí)行管理層和董事會的支持，信息安全治理是董事會和執(zhí)行經(jīng)理的

15、職責(zé)。信息安全治理能帶來的收益?落實在向公眾或監(jiān)管部門提供不準(zhǔn)確信息，在保護隱私信息（如泄露信用卡或其他敏感客戶信息） 中未保持應(yīng)有的謹(jǐn)慎等方面，組織及其管理者應(yīng)當(dāng)承擔(dān)的公民或法律責(zé)任?提供對政策和標(biāo)準(zhǔn)的符合性保證?通過降低風(fēng)險至既定的可接受水平，減少業(yè)務(wù)運營的不確定性，提高可預(yù)見性?為有限的安全資源的最優(yōu)化分配提供結(jié)構(gòu)和框架?為關(guān)鍵決策不基于錯誤信息提供適當(dāng)水平的保證?為風(fēng)險管理、流程改善和事件快速響應(yīng)的效果與效率提供一個穩(wěn)定的基礎(chǔ)?明確重大業(yè)務(wù)活動期間（如公司合并及購并、業(yè)務(wù)流程恢復(fù)、法律回應(yīng)等）的信息保護責(zé)任有效的信息安全治理可達(dá)到如下效果:?戰(zhàn)略一致- 使信息安全與業(yè)務(wù)戰(zhàn)略保持一致以支

16、持組織目標(biāo)。?風(fēng)險管理-管理和實施適當(dāng)?shù)拇胧┮越档惋L(fēng)險并減少對信息資源的潛在影響至可接受水平。?價值交付- 優(yōu)化安全投資以支持業(yè)務(wù)目標(biāo)。?績效測評-衡量、監(jiān)督和報告信息安全流程，以確保實現(xiàn)SMART目標(biāo)（確定的、可度量的、可實現(xiàn)的、相關(guān)的和符合時間要求的）。?資源管理-有效利用信息安全知識與基礎(chǔ)設(shè)施。?流程整合-關(guān)注組織安全管理保證流程的整合。業(yè)務(wù)流程保證的最新概念：?整合是一個把所有相關(guān)保證因素綜合在一起考慮，來確保流程能環(huán)環(huán)相扣整體運營的概念。 要實現(xiàn)整合，應(yīng)當(dāng)考慮以下內(nèi)容：確定組織中的所有保證職能與其他保證職能建立正式的銜接關(guān)系協(xié)調(diào)所有保證職能，實現(xiàn)更加完整的安全-明確各保證職能接合部位

17、的角色與職責(zé)信息安全治理是企業(yè)治理的一部分，企業(yè)治理為安全活動提供戰(zhàn)略方針并確保其目標(biāo)的實現(xiàn)，企 業(yè)安全治理則確保能適當(dāng)?shù)毓芾硇畔踩L(fēng)險并合理使用企業(yè)信息資源。為實現(xiàn)有效的信息安全治理，管理層必須制定和維護一個框架，以指導(dǎo)建立和管理一個支持業(yè)務(wù) 目標(biāo)的全面的信息安全流程。該治理框架一般由以下內(nèi)容組成：?對戰(zhàn)略、控制和法規(guī)進行全面落實的政策?確保規(guī)程和指南能與政策保持一致的一整套標(biāo)準(zhǔn)?不存在利益沖突的一套有效的安全組織架構(gòu)?對符合性進行監(jiān)督并能反饋其效果的制度化的監(jiān)督流程組織必須在治理層面為領(lǐng)導(dǎo)者分配企業(yè)安全職責(zé)，而不是由那些缺乏權(quán)力、責(zé)任和資源的其他人員來 充當(dāng)并強迫其執(zhí)行。各層級的安全職責(zé)

18、：董事會與最高管理層?有效的信息安全治理只有通過董事會及最高管理層參與批準(zhǔn)政策、適當(dāng)?shù)谋O(jiān)督和衡量指標(biāo)、報告 和趨勢分析來實現(xiàn)。執(zhí)行管理層?制定有效的信息安全戰(zhàn)略、實施有效的安全治理指導(dǎo)委員會?為確保安全程序與業(yè)務(wù)目標(biāo)的一致性提供持續(xù)的基礎(chǔ)，也是實現(xiàn)向有益于形成最佳安全文化的行為改變的手段。首席信息安全官?不管是專職的CISO還是由CIO、CTOf角色來兼任，組織應(yīng)當(dāng)在高級管理層設(shè)置首席信息安全官。A6.企業(yè)架構(gòu)（EA- Enterprise Architecture）所謂企業(yè)架構(gòu)就是通過一種結(jié)構(gòu)化的方式來反映組織的IT資產(chǎn)，并有效管理對IT投資。企業(yè)架構(gòu)系統(tǒng)而又完整地定義了組織的當(dāng)前（基準(zhǔn)）環(huán)

19、境和期望（目標(biāo)）環(huán)境的藍(lán)圖。對于信息系統(tǒng)的更新以及開發(fā)新系統(tǒng)而言，建立EA是必不可少的前提。EA 從邏輯或業(yè)務(wù)（如職能、業(yè)務(wù)職責(zé)、信息流和系統(tǒng)環(huán)境）以及技術(shù)（如軟件、硬件、通信）兩方面來定義的，并且包括從基準(zhǔn)環(huán)境轉(zhuǎn)換到目標(biāo)環(huán)境的順序規(guī)劃。?技術(shù)驅(qū)動的企業(yè)架構(gòu)是為了澄清現(xiàn)代組織面臨的復(fù)雜技術(shù)選擇問題；?業(yè)務(wù)流程驅(qū)動的企業(yè)架構(gòu)是為了更好地理解組織業(yè)務(wù)的核心流程及支持流程。業(yè)務(wù)流程驅(qū)動的企業(yè)架構(gòu)的作用更好地理解組織業(yè)務(wù)的核心流程及支持流程及相關(guān)支持技術(shù)，對現(xiàn)有流程中的不合理部分進行重新設(shè)計或改造，從而達(dá)到優(yōu)化流程、降低成本、提高績效的目的。各種業(yè)務(wù)流程模型：?增強型電彳t運營圖(eTOM - Enh

20、anced TelecomOperations Map)?供應(yīng)鏈運營指引模型 (SCOR Supply Chain Operations Reference)?IBM 的保險應(yīng)用架構(gòu) IAA 模型(Insurance Application A Architecture)?美國聯(lián)邦政府業(yè)務(wù)構(gòu)架模型FEA Federal Enterprise ArchitectureB.信息系統(tǒng)戰(zhàn)略B1.戰(zhàn)略規(guī)劃從信息系統(tǒng)角度看，戰(zhàn)略規(guī)劃是組織為了利用信息技術(shù)來完善其業(yè)務(wù)流程而確定的發(fā)展方向及長期的計劃。在制定戰(zhàn)略規(guī)劃過程中，最高管理層的職責(zé)包括確定成本有效的IT方案以解決該組織面臨的困難，并提出識別和獲取所需

21、資源的行動方案。有效的IT戰(zhàn)略規(guī)劃要考慮組織對IT及IT能力的需求。IS審計師應(yīng)十分注意IT戰(zhàn)略規(guī)劃的重要性，并充分考慮其管理控制流程，確保IT戰(zhàn)略規(guī)劃與整體業(yè)務(wù)戰(zhàn)略保持一致。B2.指導(dǎo)委員會高級管理層應(yīng)當(dāng)組建一個計劃或指導(dǎo)委員會，監(jiān)督其信息系統(tǒng)的職能和業(yè)務(wù)活動，這是確保信息 系統(tǒng)部門與公司宗旨和目標(biāo)協(xié)調(diào)的一種機制。最好是從董事會中挑選一位理解信息技術(shù)與風(fēng)險管理的成員來負(fù)責(zé)信息技術(shù)，并擔(dān)任該委員會的主席。委員會應(yīng)當(dāng)包括來自高級管理層、用戶部門和信息系統(tǒng)部門的人員。委員會的職責(zé)應(yīng)當(dāng)在正式章程中指定。委員會成員應(yīng)當(dāng)了解信息系統(tǒng)部門的政策、程序和流程。每個成員應(yīng)當(dāng)在其負(fù)責(zé)的領(lǐng)域內(nèi)有權(quán)做出決定。委員會

22、應(yīng)當(dāng)定期開會，并向高級管理層匯報。信息系統(tǒng)指導(dǎo)委員會的正式會議記錄應(yīng)當(dāng)記載委員會的活動和決議。指導(dǎo)委員會的主要職責(zé)：審查IS部門的長期和短期計劃以確保其符合公司目標(biāo)在董事會批準(zhǔn)的權(quán)限內(nèi)，審查和批準(zhǔn)重要的硬件和軟件獲取批準(zhǔn)并監(jiān)督重要項目、IS計劃及預(yù)算進度，設(shè)定優(yōu)先級，批準(zhǔn)標(biāo)準(zhǔn)和流程并監(jiān)督所有的IS績效審查和批準(zhǔn)所有IS活動的承包策略，包括內(nèi)包或外包以及全球離岸職能審查資源的充分性以及時間、人力和設(shè)備資源的分配情況在集中與分散管理之中做出決策并分配職責(zé)對制定和實施企業(yè)級信息安全管理程序提供支持向董事會報告IS活動C.政策和規(guī)程C1.政策政策是高層次的文件，政策代表了企業(yè)文化和高級管理層和經(jīng)營過程

23、所有者的戰(zhàn)略思考。與組織的總體性目標(biāo)和方向有關(guān)的政策的制訂、開發(fā)、記錄、推廣和控制的責(zé)任應(yīng)當(dāng)由管理層承擔(dān)，通過制定政策來為組織創(chuàng)造一種積極的控制環(huán)境。根據(jù)公司總體政策采用自頂向下的方法來開發(fā)部門政策是較好的選擇，因為它確保了各級政策的一致性。自底向上的方法更加靈活實用，但容易造成政策間的不一致和相互矛盾。管理層應(yīng)當(dāng)定期審查所有政策。政策也需要不斷更新，反映新的技術(shù)和經(jīng)營過程的重大變化，利用信息 技術(shù)提高生產(chǎn)效率和獲取競爭效益。信息系統(tǒng)審計師要理解政策并對政策進行符合性審查是審計工作中的重要環(huán)節(jié)信息安全政策安全政策用來與用戶、管理層和技術(shù)人員溝通相關(guān)安全標(biāo)準(zhǔn)，指導(dǎo)整個組織來確定所需保護的內(nèi)容、

24、相應(yīng)的保護職責(zé)以及保護工作應(yīng)遵循的策略。信息安全政策文件?信息安全的定義、整體目標(biāo)和范圍?陳述管理層意圖、支持信息安全與業(yè)務(wù)戰(zhàn)略和目標(biāo)保持一致?設(shè)定控制及控制目標(biāo)的框架，包括風(fēng)險評估和風(fēng)險管理?說明安全政策、原理、標(biāo)準(zhǔn)及以下重要的符合性要求對法律、法規(guī)及合同要求的符合性安全教育、培訓(xùn)和意識需求業(yè)務(wù)持續(xù)性管理違背信息安全政策的后果?明確信息安全管理人員的總體及具體職責(zé)，包括事件報告?政策所參考的文件、標(biāo)準(zhǔn)和規(guī)程對信息安全政策的審查管理層應(yīng)當(dāng)定期或在發(fā)生重大變化時對信息安全政策進行審查，以確保其適當(dāng)性、充分性和有效性。應(yīng)當(dāng)為信息安全政策指定所有人，來批準(zhǔn)安全政策的制定、審查和評估等管理職責(zé)。IS審

25、計師在檢查政策時需要評價以下內(nèi)容：?政策的制定依據(jù)，一般情況下是基于風(fēng)險管理過程?政策的適當(dāng)性?政策的內(nèi)容?政策的例外情況，特別注意政策的不適用領(lǐng)域及原因，如：可能與遺留系統(tǒng)不相容的口令政策?政策批準(zhǔn)流程?政策實施流程?政策的實施效果?意識與培訓(xùn)?定期審查與更新流程C2.程序程序是詳細(xì)的文件，根據(jù)組織的政策而制定并體現(xiàn)其精髓。程序必須清晰和準(zhǔn)確，使接受者易于準(zhǔn)確地理解。程序記載了業(yè)務(wù)流程及其內(nèi)在控制，程序一般由中層管理人員制定，是政策框架下的具體化措施。程序比相關(guān)政策更加易于變化，它們必須反映業(yè)務(wù)重點和環(huán)境的不斷變化。獨立的審查對于確保政策和程序被正確地理解和執(zhí)行是必要的D.風(fēng)險管理定義風(fēng)險管

26、理是確定組織在實現(xiàn)其業(yè)務(wù)目標(biāo)的過程中所使用的信息資源的脆弱性和面臨的相關(guān)威脅的過程有效的風(fēng)險管理始于清楚地理解組織的風(fēng)險喜好。風(fēng)險管理包括識別、分析、評估、處置、監(jiān)督和溝通 IT流程的風(fēng)險影響。一旦確定了風(fēng)險喜好與風(fēng)險 承受能力，就可以制定風(fēng)險管理策略并分配職責(zé)。根據(jù)風(fēng)險類型及其對業(yè)務(wù)的影響程度，可以選擇以下措施來應(yīng)對風(fēng)險：?避免風(fēng)險：在可能的情況下，盡量選擇不從事導(dǎo)致風(fēng)險的特定活動或流程（通過消除風(fēng)險源來消除風(fēng)險）?降低風(fēng)險：通過制定、實施并監(jiān)督適當(dāng)?shù)目刂苼斫档惋L(fēng)險發(fā)生的可能性及其影響?轉(zhuǎn)移風(fēng)險：與業(yè)務(wù)伙伴分擔(dān)風(fēng)險或通過保險、合同約定及其他方式來轉(zhuǎn)移風(fēng)險 ?接受風(fēng)險：正視風(fēng)險的存在并對風(fēng)險進

27、行監(jiān)控D1.開發(fā)風(fēng)險管理程序第一步：確定風(fēng)險管理程序的目的?確定組織建立風(fēng)險管理程序的目的，可能是降低保險費用，或者是減少相關(guān)系統(tǒng)的損害。?在實施風(fēng)險管理計劃之前確定其意圖，組織可以確定關(guān)鍵績效指標(biāo)并評價其結(jié)果。?一般情況下，由執(zhí)行管理人員和董事會來設(shè)定風(fēng)險管理程序的基本要求。第二步：為風(fēng)險管理計劃分配職責(zé)?為制定和實施組織的風(fēng)險管理程序向個人或團隊分配職責(zé)。?當(dāng)風(fēng)險管理計劃的主要職責(zé)由團隊負(fù)責(zé)時，其成功因素是把風(fēng)險管理與組織內(nèi)各個層級進行整合。?運營管理人員和董事會成員都應(yīng)當(dāng)協(xié)助風(fēng)險管理委員會識別風(fēng)險、設(shè)計適當(dāng)?shù)娘L(fēng)險控制并介入 戰(zhàn)略的制定。D2.風(fēng)險管理過程幾個重要概念I(lǐng)T 資產(chǎn)：軟件、硬件

28、、信息、人員、服務(wù)、文檔脆弱性：是信息資產(chǎn)固有特征，可以被威脅利用而造成損害；內(nèi)控缺陷也可以認(rèn)為是一種脆弱性威脅：對信息資源造成損害的任何潛在情況或事件，威脅的發(fā)生是由于資源存在脆弱性影響：威脅發(fā)生后造成的結(jié)果，能導(dǎo)致資產(chǎn)損失幾個概念間的關(guān)系：脆弱性導(dǎo)致威脅發(fā)生，威脅的發(fā) 生造成影響，從而帶來IT資產(chǎn)的損失剩余風(fēng)險：實施控制后剩下的、沒有被有效控制的風(fēng)險可接受風(fēng)險水平：由管理層確定的、可以接受的剩余風(fēng)險水平，超過這個水平的風(fēng)險需要實施更強的 控制，而在這個水平之下的剩余風(fēng)險也應(yīng)該評價是否采用了過多控制，要考慮是否降低控制水平以節(jié)約成 本。IT風(fēng)險管理在多種層面上進行綜合分析運行層面一應(yīng)當(dāng)關(guān)注能

29、夠危害IT系統(tǒng)及其基礎(chǔ)設(shè)施有效性的風(fēng)險；繞過系統(tǒng)安全措施的風(fēng)險，造成重要資源（如：系統(tǒng)、數(shù)據(jù)、通訊、人員、場所等）損失或不可用的風(fēng)險，違反法律、法規(guī)的風(fēng)險。項目層面一管理層應(yīng)當(dāng)理解并管理項目的復(fù)雜性，關(guān)注項目目標(biāo)不能達(dá)到時所帶來的后續(xù)風(fēng)險。戰(zhàn)略層面一應(yīng)當(dāng)關(guān)注IT能力如何與業(yè)務(wù)戰(zhàn)略保護一致，如何保持對競爭對手的優(yōu)勢，如何應(yīng)對新技術(shù) 的發(fā)展帶來的威脅等。風(fēng)險分析方法定性方法?定性的風(fēng)險管理方法是最簡單并且最常見的方法，它們一般基于問卷式的檢查列表（Checklist）和主觀式的風(fēng)險定級。分級類型定性分級程度相對較粗的分級低、中、高詳細(xì)分級可忽略、低、中、高、非常高更詳細(xì)的分級（低）0、1、2、10

30、（高）定量方法?概率與期望值- 一旦設(shè)置了事件發(fā)生的概率(P, 0 WP 1 ),如果存在一個價值為 V的資產(chǎn)(有可能受到相關(guān) 事件影響)，那么期望損失就是 VxP(資產(chǎn)價值乘以事件發(fā)生的可能性)?年預(yù)期損失方法ALE = V X EF X ARO-例如：假定某公司投資500,000美元建了一個網(wǎng)絡(luò)運營中心，其最大的威脅是火災(zāi)，一旦火災(zāi)發(fā)生，網(wǎng)絡(luò)運營中心的估計損失程度是 45 %。根據(jù)消防部門推斷，該網(wǎng)絡(luò)運營中心所在的地區(qū)每5年會發(fā)生一次火災(zāi)，于是我們得出了 ARO為0.20的結(jié)果。基于以上數(shù)據(jù)，該公司網(wǎng)絡(luò)運營中心的ALE將是： 500000X0.45X0.2 = 45,000管理人員和IS審

31、計師應(yīng)當(dāng)考慮以下因素：應(yīng)當(dāng)對整個組織中所有 IT職能實施風(fēng)險管理風(fēng)險管理是高級管理層的職責(zé)優(yōu)先采用量化的風(fēng)險管理方法量化風(fēng)險管理的難點在于：評估風(fēng)險值(概率) 、對主觀性和定性方法的依賴量化風(fēng)險管理提供更加客 觀(可追蹤)的假定所使用方法或軟件的復(fù)雜或精巧程度不能取代業(yè)務(wù)常識或職業(yè)勤奮應(yīng)當(dāng)特別注意并充分考慮那些影響非常高的事件，即使其發(fā)生的概率非常低。E.信息系統(tǒng)管理實務(wù)E1.人力資源管理人力資源管理涉及到人員的招聘、選用、培訓(xùn)和晉升，業(yè)績考評，員工紀(jì)律，繼任計劃等組織政策與規(guī) 程。由于這些活動與IS職能密切相關(guān)，其效果將影響員工表現(xiàn)及IS職責(zé)的履行。主要內(nèi)容有：聘用員工手冊晉升政策 培訓(xùn)日程

32、和工時報告 員工業(yè)績評價 強制休假 解聘政策E2.資源配備實務(wù)組織為獲得IT功能支持業(yè)務(wù)，采購與配備資源方式有：?內(nèi)包型(Insourced) IT功能全部由組織中的員工實現(xiàn)；?外包型(Outsourced) IT功能全部由外商服務(wù)供應(yīng)商提供；?混和型(Hybrid) -IT功能由組織中的員工及外部服務(wù)商共同提供。信息系統(tǒng)功能可以在全球范圍內(nèi)實現(xiàn)，以利用時區(qū)和勞動力價格方面的優(yōu)勢，主要方式有：?本地型(Onsite)一員工工作在組織辦公場所中的信息系統(tǒng)部門內(nèi)；?外地型(Offsite) 一員工工作在同一個地理區(qū)域內(nèi)的遠(yuǎn)程站點；?離岸型(Offshore)一員工工作在不同地理區(qū)域內(nèi)的遠(yuǎn)程站點；決

33、策資源配置方式的依據(jù)是否為組織的核心職能？是否有滿足目標(biāo)所需的不可替代的特有知識、流程和員工？外包給其他組織或地方的價格是否相同或更低？質(zhì)量是否相同或更高？是否未增加風(fēng)險?組織是否擁有管理第三方及使用遠(yuǎn)程或離岸方式執(zhí)行IS或業(yè)務(wù)職能的經(jīng)驗？外包實務(wù)外包實務(wù)就是某個組織根據(jù)協(xié)議，將部分或全部信息系統(tǒng)部門的職能轉(zhuǎn)交給外部實體。外包是為了獲取和利用服務(wù)提供商的核心競爭能力，達(dá)成持續(xù)、有意義的對經(jīng)營過程和服務(wù)的改進并降低IT成本。第三方可以提供的服務(wù)包括：?數(shù)據(jù)錄入?在組織內(nèi)部員工不具備所需技能、具備所需技能的員工正在執(zhí)行其他更緊迫的任務(wù)或是為了完 成某項一次性任務(wù)而不想招聘新員工時，由第三方來設(shè)計和

34、開發(fā)新系統(tǒng)?對現(xiàn)有系統(tǒng)進行維護，以騰出內(nèi)部員工開發(fā)新系統(tǒng)?把遺留系統(tǒng)向新平臺轉(zhuǎn)換，如通過某個專業(yè)公司把舊應(yīng)用系統(tǒng)轉(zhuǎn)換到WEBF臺?幫助臺或電話中心的運營?日常運營外包的風(fēng)險成本超過預(yù)期值喪失內(nèi)部人員獲得經(jīng)驗機會喪失對IS的內(nèi)部控制供應(yīng)商出現(xiàn)業(yè)務(wù)故障有限的產(chǎn)品訪問權(quán)限難以改變外包商的工作安排缺乏對法規(guī)要求的遵循性未滿足合同條款外包人員缺乏對客戶的忠誠工作安排令客戶及員工不滿服務(wù)成本不具有競爭性供應(yīng)商IT系統(tǒng)的陳舊過時未實現(xiàn)預(yù)期收益項目失敗危及雙方的聲譽持久、昂貴的訴訟信息或流程丟失及泄漏風(fēng)險外包的優(yōu)點實現(xiàn)規(guī)模經(jīng)濟效益投入更多的時間提高效率有處理問題的經(jīng)驗和技術(shù)采用合同協(xié)議約束外包編制出更好的說明

35、書很少出現(xiàn)項目失控和延期控制風(fēng)險的措施制定可衡量的、伙伴式利益共享目標(biāo)和回報機制使用多個供應(yīng)商或保留一部分業(yè)務(wù)作為激勵機制定期對競爭趨勢進行審查實施短期合同組建跨職能合同管理團隊在合同中適當(dāng)考慮可合理預(yù)見的多數(shù)偶然因素全球化戰(zhàn)略要注意的問題法律、法規(guī)和稅收問題-在不同的國家或地區(qū)運營 IS職能，組織可能由于不了解情況而引入新的風(fēng)險持續(xù)運營-業(yè)務(wù)持續(xù)和災(zāi)難恢復(fù)計劃可能不充分并且未經(jīng)測試人員-可能未考慮到所需的人力資源政策調(diào)整通訊問題-遠(yuǎn)程或離岸的網(wǎng)絡(luò)控制及訪問面臨更加頻繁的故障及大量的安全風(fēng)險跨國界及跨文化問題-管理多時區(qū)、多語言、多文化的人員及流程可能出現(xiàn)難以預(yù)料的問題第三方審計報告第一種方法

36、是要求供應(yīng)商定期提交第三方審計報告，這些報告涵蓋了與數(shù)據(jù)機密性、完整性、可用性相 關(guān)的問題。IS審計師與被審計人應(yīng)當(dāng)同時接受所選定的第三方審計師，并且必須事先同意。對一些特定行業(yè),第三方審計可能屬于法定的監(jiān)督和控制。?例如：美國注冊會計師協(xié)會（ AICPA ）制定的SAS70及英國、加拿大的類似法規(guī)都通過法律來 要求特定行業(yè)出具第三方審計報告。?SAS70的制定目的是指導(dǎo)審計師報告服務(wù)機構(gòu)的內(nèi)部控制相關(guān)問題，所報告內(nèi)容可作為用戶組織財務(wù)報告中信息系統(tǒng)章節(jié)的一部分。SAS70也為外部審計師對使用服務(wù)機構(gòu)的實體實施財務(wù)報告審計提供指南。第二種方法是允許組織內(nèi)的審計師對供應(yīng)商進行定期審計。由于每次審

37、計都花費供應(yīng)商較多的時間和 資源，供應(yīng)商可能會不接受這種方法。外包治理外包是允許組織把服務(wù)交付轉(zhuǎn)由第三方提供的機制。接受外包的基本原則是：雖然將服務(wù)交付轉(zhuǎn)移， 但其責(zé)任仍屬于組織內(nèi)管理層，他們必須確保對風(fēng)險的適當(dāng)管理及供應(yīng)商持續(xù)的價值交付。決策制定流程 的透明性及所有權(quán)必須保留在組織內(nèi)部。決定外包是一項戰(zhàn)略，而不只是一個采購決策。采用外包的組織通過識別并保留其核心業(yè)務(wù)而將非核 心業(yè)務(wù)外包來有效地重新配置組織的價值鏈。外包治理能支持建立并保持競爭和市場優(yōu)勢，有效地應(yīng)對競爭和市場環(huán)境的變化。外包治理是一系列責(zé)任、角色、目標(biāo)、銜接和控制機制，用來預(yù)測變化及管理第三方服務(wù)的引入、維 護、績效、成本和控

38、制。管理第三方服務(wù)交付服務(wù)交付?第三方服務(wù)交付協(xié)議中的安全控制、服務(wù)定義和交付水平應(yīng)當(dāng)由第三方來實施、運營和維護。?第三方組織的服務(wù)交付內(nèi)容應(yīng)當(dāng)包括既定的安全部署、服務(wù)定義及服務(wù)管理等方面。?組織應(yīng)當(dāng)確保第三方組織維持充分的服務(wù)能力，同時制定可行的計劃以確保在發(fā)生主要服務(wù)故障 或災(zāi)難時能維持既定的服務(wù)水平。監(jiān)督和檢查第三方服務(wù)?監(jiān)督服務(wù)性能水平，檢查對協(xié)議的遵循性?檢查第三方提交的服務(wù)報告，按照協(xié)議要求定期舉行會議?提交信息安全事件的相關(guān)信息?針對安全事件、問題等檢查第三方審計軌跡和記錄?解決已識別的問題并予以管理第三方服務(wù)的變更管理?考慮業(yè)務(wù)系統(tǒng)的關(guān)鍵性及其流程進行管理，并重新評估風(fēng)險。服務(wù)

39、改善及用戶滿意度SLA 為外包商執(zhí)行IS職能設(shè)定了基準(zhǔn)，另外， 組織可以在合同中設(shè)定預(yù)期的服務(wù)改善、相關(guān)的處罰 及獎勵。服務(wù)改善的內(nèi)容包括：?減少幫助臺的呼叫次數(shù)?減少系統(tǒng)錯誤的數(shù)量?改善系統(tǒng)可用性服務(wù)改善應(yīng)當(dāng)經(jīng)過用戶同意，IT目標(biāo)應(yīng)當(dāng)是改善用戶滿意度并實現(xiàn)業(yè)務(wù)目標(biāo)。應(yīng)當(dāng)通過用戶訪談和 調(diào)查來監(jiān)督用戶滿意度。行業(yè)標(biāo)準(zhǔn)和基準(zhǔn)行業(yè)標(biāo)準(zhǔn)和基準(zhǔn)為確定相同的信息處理設(shè)施環(huán)境所能提供的績效水平提供了一種方式?？梢詮墓?yīng)商的其他用戶、行業(yè)出版物和專業(yè)協(xié)會獲得這些標(biāo)準(zhǔn)或基準(zhǔn)表，例如ISO9000和軟件工程協(xié)會的 CMM外包組織必須遵循其客戶所依賴的一系列良好設(shè)計的標(biāo)準(zhǔn)。E3.組織的變更管理變更管理是對組織中

40、IT的變更進行管理，它通過制定明確的并正式成文的流程，識別并實施對組織 有益的IT架構(gòu)和應(yīng)用系統(tǒng)方面的技術(shù)改進。信息部門一方面可以利用技術(shù)的變化與更新來優(yōu)化業(yè)務(wù)流程，另一方面在組織高級管理層的支持下，通過正式的變更管理程序來實施IT本身的可持續(xù)發(fā)展。E4.財務(wù)管理實務(wù)在成本密集的計算機環(huán)境中，良好的財務(wù)管理是非常重要的。建立IT用戶的記費機制（chargeback ）可以提高應(yīng)用水平、監(jiān)督信息系統(tǒng)費用和可用資源。信息系統(tǒng)預(yù)算應(yīng)當(dāng)與IT的短期計劃及長期計劃結(jié)合起來考慮E5.質(zhì)量管理質(zhì)量管理是信息系統(tǒng)基于部門的流程得到有效控制、評價和改善的手段。流程是由一系列任務(wù)組成，如果這些任務(wù)被正確地執(zhí)行，就

41、可以產(chǎn)生預(yù)期的結(jié)果。信息系統(tǒng)審計師應(yīng)當(dāng)關(guān)注業(yè)務(wù)職能和流程是否按標(biāo)準(zhǔn)（例如ISO9001 : 2000、ISO9126、CMM?）正式成文并被遵照執(zhí)行，是否產(chǎn)生了預(yù)期結(jié)果。信息系統(tǒng)審計師關(guān)注信息系統(tǒng)組織中是否存在以下流程文檔:計算機操作服務(wù)管理系統(tǒng)軟件采購、實施和維護硬件采購和維護應(yīng)用軟件采購或開發(fā)及維護管理報告物理和邏輯安全短期和長期計劃工時報告人力資源（HR）管理E6.信息安全管理（ISO17799）信息安全管理在確保組織所控制的信息和信息處理資源受到適當(dāng)?shù)谋Ｗo方面起著重要作用，它領(lǐng)導(dǎo)和促進整個組織范圍內(nèi)的IT安全程序的實施.信息安全管理主要包括了安全方針策略的制定、組織與人員的安全管理、訪

42、問控制、支持組織關(guān)鍵業(yè)務(wù)流程的業(yè)務(wù)持續(xù)計劃和災(zāi)難恢復(fù)計劃等內(nèi)容。信息安全管理的更多內(nèi)容見第5章“信息資產(chǎn)的保護”。E7.績效優(yōu)化績效優(yōu)化是指在無須對信息技術(shù)基礎(chǔ)設(shè)施追加額外投資的情況下，將信息系統(tǒng)的生產(chǎn)力提高 到可能達(dá)到的最高水平?？冃?yōu)化是由績效指標(biāo)推動的過程，這些指標(biāo)是基于組織業(yè)務(wù)活動和流程的復(fù)雜性、戰(zhàn)略性 的IT解決方案以及公司實施 IT的主要戰(zhàn)略目標(biāo)來確定的。績效指標(biāo)的主要功能：衡量產(chǎn)品和服務(wù)、管理產(chǎn)品和服務(wù)、確保責(zé)任制、制定預(yù)算決策、優(yōu)化績效?績效優(yōu)化的工具 COBIT管理指南它是為了滿足IT經(jīng)理進行績效評價的需求而設(shè)計的，它為 IT的34個主要流程定義了關(guān)鍵成功要素、關(guān)鍵目標(biāo)指標(biāo)、

43、關(guān)鍵績效指標(biāo)和成熟度模型。管理指南的重要內(nèi)容：關(guān)鍵成功要素（CSF ）管理指南要回答的問題：關(guān)鍵目標(biāo)指標(biāo)（KGI ）成本與效益我們究竟應(yīng)該走多遠(yuǎn)，成本與利潤比例是否合適？關(guān)鍵績效指標(biāo)（KPI ）成熟度模型績效評價對于好的績效的度量指標(biāo)是什么？IT控制環(huán)境什么是重要點？關(guān)鍵成功要素是什么?意識不能達(dá)到我們的目標(biāo)的風(fēng)險是什么？基準(zhǔn)測量他人在做什么？我們應(yīng)該怎樣測量和比較？F.信息系統(tǒng)組織結(jié)構(gòu)和責(zé)任信息系統(tǒng)部門的組織結(jié)構(gòu)(略)F1.信息系統(tǒng)的任務(wù)和職責(zé)對信息系統(tǒng)各種職能進行審查技術(shù)支持?技術(shù)支持經(jīng)理(Technique Support Manager)?系統(tǒng)管理員(System Administra

44、tor )?網(wǎng)絡(luò)管理員(Network Managers )?系統(tǒng)程序員(Systems Programmers)運行部門(Operations )?運行經(jīng)理(Operations Manager)?計算機操作員(Computer Operator)?控制組(Control Group )?資料庫管理員(Librarian )?數(shù)據(jù)錄入(Data Entry )應(yīng)用系統(tǒng)開發(fā)(Application Development )?系統(tǒng)開發(fā)經(jīng)理(System Development Manager)?系統(tǒng)分析員(Systems Analysts )?應(yīng)用系統(tǒng)程序員(Applications Prog

45、rammers)安全與質(zhì)量(Security and Quality)?安全架構(gòu)師(Security Architect )?安全管理員(Security Administrator )?質(zhì)量保證(Quality Assurance )數(shù)據(jù)管理(Data Administration )?數(shù)據(jù)經(jīng)理(Data Manager)?數(shù)據(jù)庫管理員(Database Administrator )客戶服務(wù)(Customer Services)?最終用戶支持經(jīng)理(End-user Support Manager)?幫助臺(Help Desk)?最終用戶(End User )F2.信息系統(tǒng)中的職責(zé)分離職責(zé)分離可以避免因為某一個人負(fù)責(zé)多個關(guān)鍵的職位而造成不能在日常的業(yè)務(wù)活動中及時地 發(fā)現(xiàn)其錯誤的情況。職責(zé)分離是威懾和預(yù)防欺詐或惡意行為的一種手段。應(yīng)當(dāng)分離的職責(zé)包括：資產(chǎn)保管、授權(quán)批準(zhǔn)、交易記錄審計師必須獲得足夠的信息以了解各種工作職位、責(zé)