IT治理、IT審計與COBIT課件

信息系統(tǒng)審計(ITA)是以企業(yè)或政府等組織的信息系統(tǒng)為審計對象，通過現(xiàn)代的審計理論和IT管理理論，從信息資產(chǎn)的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的有效性和效率性等方面出發(fā)，對其是否能夠有效可靠的達(dá)到組織的戰(zhàn)略目標(biāo)進(jìn)行全面的監(jiān)測和評估，并為改善和健全組織對信息系統(tǒng)的控制提出詳細(xì)的建議。IT審計對象是信息系統(tǒng)，審計內(nèi)容是計算機(jī)資源管理、硬件、軟件獲取、系統(tǒng)軟件、數(shù)據(jù)庫、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)開發(fā)、系統(tǒng)維護(hù)、操作、安全等審計1IT審計介紹信息系統(tǒng)審計(ITA)是以企業(yè)或政府等組織的信息系統(tǒng)為審計對AssetSecurity（資產(chǎn)安全性）Effectivity（系統(tǒng)有效性）Efficiency（系統(tǒng)效率性）DataIntegrity（數(shù)據(jù)完整性）2IT審計目標(biāo)2IT審計目標(biāo)信息系統(tǒng)調(diào)查信息系統(tǒng)內(nèi)部控制測試信息系統(tǒng)初步評價信息系統(tǒng)實質(zhì)性測試信息系統(tǒng)綜合評價3IT審計流程信息系統(tǒng)調(diào)查3IT審計流程4調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評審內(nèi)部控制可信賴嗎？控制測試信息系統(tǒng)控制測試結(jié)果的評價內(nèi)部控制可信賴嗎？測試和評價補(bǔ)償控制實質(zhì)性測試全面評價編制審計報告退出審計提出管理建議審計結(jié)束否否內(nèi)部控制的詳細(xì)審查與評價計算機(jī)信息系統(tǒng)審計流程4調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評審內(nèi)部控制可信賴嗎？控制測試信息系統(tǒng)調(diào)查是對被審計單位信息系統(tǒng)的管理體制、總體架構(gòu)、規(guī)劃設(shè)計、管理水平等進(jìn)行全面、深入地了解，是進(jìn)行信息系統(tǒng)審計的基礎(chǔ)。了解管理體制，從總體上把握被審計單位信息系統(tǒng)管理的基本情況。了解總體架構(gòu)，完成對被審計單位有什么類型的信息系統(tǒng)，每個系統(tǒng)有多少子系統(tǒng)，信息系統(tǒng)分布在哪些部門，信息系統(tǒng)之間有什么關(guān)系的調(diào)查。了解規(guī)劃管理，對信息系統(tǒng)建設(shè)、使用、管理情況的調(diào)查。5信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是對被審計單位信息系統(tǒng)的管理體制、總體架構(gòu)、規(guī)劃IT內(nèi)部控制的類型：根據(jù)控制的范圍，信息系統(tǒng)內(nèi)部控制分為一般控制應(yīng)用控制6IT內(nèi)部控制IT內(nèi)部控制的類型：根據(jù)控制的范圍，信息系統(tǒng)內(nèi)部控制分為6I是指對整個計算機(jī)信息系統(tǒng)及環(huán)境要素實施的，對系統(tǒng)所有的應(yīng)用或功能模塊具有普遍影響的控制措施。劃分成五類控制：組織控制：為實現(xiàn)組織的目標(biāo)而進(jìn)行的組織結(jié)構(gòu)設(shè)計、權(quán)責(zé)安排和制度設(shè)計。包括職責(zé)分離、授權(quán)、監(jiān)督、人事管理等系統(tǒng)開發(fā)與維護(hù)控制：包括需求定義、開發(fā)規(guī)劃、系統(tǒng)設(shè)計、編程實現(xiàn)、測試、運(yùn)行維護(hù)、文檔管理等控制DIB中國領(lǐng)先內(nèi)部控制和風(fēng)險管理解決方案提供商7一般控制是指對整個計算機(jī)信息系統(tǒng)及環(huán)境要素實施的，對系統(tǒng)所有的應(yīng)用或安全控制：保持良好的運(yùn)行環(huán)境，包括訪問接觸、環(huán)境安全、防病毒、安全保密、安全教育等控制硬件及系統(tǒng)軟件控制（1）硬件控制（2）軟件控制5、操作控制信息系統(tǒng)的使用操作應(yīng)有一套完整的管理制度，包括上機(jī)守則與操作規(guī)程、上級日志記錄、保密制度和操作工作計劃等。8一般控制安全控制：保持良好的運(yùn)行環(huán)境，包括訪問接觸、環(huán)境安全、防病毒應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制。分成三類控制輸入控制：保證只有經(jīng)過授權(quán)批準(zhǔn)的業(yè)務(wù)才能輸入計算機(jī)信息系統(tǒng)；保證經(jīng)批準(zhǔn)的數(shù)據(jù)沒有丟失、遺漏和篡改；保證被計算機(jī)拒絕的錯誤數(shù)據(jù)能改正后重新提交。包括數(shù)據(jù)采集、數(shù)據(jù)輸入控制9應(yīng)用控制應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整處理控制：對信息系統(tǒng)進(jìn)行的內(nèi)部數(shù)據(jù)處理活動的控制措施，這些控制措施往往被寫入計算機(jī)程序，包括數(shù)據(jù)有效性檢測、錯誤糾正控制。輸出控制：主要是保證交付給用戶的數(shù)據(jù)是符合格式要求的、可交付的，并以一致和安全的方式遞交給用戶，包括輸出錯誤處理、輸出報告管理、報告接收確認(rèn)10應(yīng)用控制處理控制：對信息系統(tǒng)進(jìn)行的內(nèi)部數(shù)據(jù)處理活動的控制措施，這些控11IT治理提出的背景11IT治理提出的背景公司治理就是為所有股東創(chuàng)造和呈現(xiàn)價值的企業(yè)道德行為公司治理包括組織中管理層、董事會、股東和其他利益相關(guān)法之間的一系列關(guān)系，它為制定公司目標(biāo)、確定實現(xiàn)目標(biāo)和監(jiān)督績效的方式提供了框架。12IT治理公司治理就是為所有股東創(chuàng)造和呈現(xiàn)價值的企業(yè)道德行為12IT治13IT治理13IT治理IT治理是一個綜合術(shù)語，它包括信息系統(tǒng)，技術(shù)和通訊，業(yè)務(wù)，法律相關(guān)事務(wù)，所有利益相關(guān)方，董事會，高級管理層，流程所有人，IT供應(yīng)商，用戶和審計師。IT治理有助于確保IT和企業(yè)目標(biāo)保持一致。IT治理是組織中的一種制度安排，目的是為了提高IT績效、降低IT風(fēng)險，有效地利用資源。IT治理采用最佳實踐來確保組織信息及相關(guān)技術(shù)支持其業(yè)務(wù)目標(biāo)和價值交付，確保資源得到合理使用，風(fēng)險得到適當(dāng)管理、績效得到測評。14IT治理IT治理是一個綜合術(shù)語，它包括信息系統(tǒng)，技術(shù)和通訊，業(yè)務(wù)，法IT治理在根本上關(guān)注以下兩方面的問題：IT向業(yè)務(wù)交付價值：由IT和業(yè)務(wù)的戰(zhàn)略一致驅(qū)動IT風(fēng)險得到管理：通過向企業(yè)分配責(zé)任來驅(qū)動15IT治理IT治理在根本上關(guān)注以下兩方面的問題：15IT治理ControlObjectivesforInformationandrelatedTechnologyCOBIT是一個在國際上得到公認(rèn)的、先進(jìn)的和權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)，它在業(yè)務(wù)風(fēng)險、控制需要和技術(shù)問題之間架起了一座橋梁，它可以輔助管理層進(jìn)行IT治理，指導(dǎo)組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險。面向業(yè)務(wù)是COBIT的主題，它不僅是為用戶和審計師而設(shè)計，而且更重要的是它可以作為管理者及業(yè)務(wù)過程的所有者的綜合指南。COBIT真正關(guān)注的問題是，企業(yè)是否具備適當(dāng)?shù)目刂屏?，以確保符合相關(guān)的管理規(guī)定。它幫助企業(yè)確定他們是否正在做他們表示要做的事，以及他們是否可以證明這一點16COBIT是什么？ControlObjectivesforInformaCOBIT第一版由信息系統(tǒng)審計與控制基金會（ISACF）于1996年發(fā)布。COBIT第二版于1998年出版，修訂了高層控制目標(biāo)與詳細(xì)控制目標(biāo)，增加了實施工具集（ImplementationToolSet）信息系統(tǒng)審計與控制協(xié)會（ISACA）及其相關(guān)的基金會在1998年創(chuàng)立IT治理研究院(ITGI)，由ITGI制定并發(fā)布了COBIT第三版，加入了管理指南，以及擴(kuò)展和加強(qiáng)了對IT治理的關(guān)注；COBIT基于ISACF的建立的IT控制目標(biāo)，參照了其他控制框架、行業(yè)標(biāo)準(zhǔn)；ITGI于2005年底發(fā)布了COBIT第四版，這一版對IT某些過程進(jìn)行了調(diào)整，強(qiáng)調(diào)了IT控制與IT治理五個領(lǐng)域的對應(yīng)關(guān)系。17COBIT發(fā)展歷程COBIT第一版由信息系統(tǒng)審計與控制基金會（ISACF）于1早期第1、2版以控制目標(biāo)和審計指南為主。2000年推出第3版，重點突出了“管理指南”。2006年推出第4版，精簡了控制目標(biāo)，并完善了管理指南2007年推出第4.1版，將審計指南改為“簽證指南”，并提出ValueIT等理念，與IT治理聯(lián)系更緊密。18COBIT發(fā)展歷程早期第1、2版以控制目標(biāo)和審計指南為主。18COBIT發(fā)展COBIT中定義的IT資源如下。(1)數(shù)據(jù)：是最廣泛意義上的對象(如外部和內(nèi)部的)、結(jié)構(gòu)化及非結(jié)構(gòu)化的、圖形、聲音等。(2)應(yīng)用系統(tǒng)：手工的以及計算機(jī)程序的總和。(3)技術(shù)：包括硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等。(4)設(shè)備：包括所擁有的支持信息系統(tǒng)的所有資源。(5)人員：包括員工技能、意識，以及計劃、組織、獲取、交付、支持和監(jiān)控信息系統(tǒng)及服務(wù)的能力。19IT資源COBIT中定義的IT資源如下。19IT資源COBIT定義了7方面的信息標(biāo)準(zhǔn)：效果性（Effectiveness）：信息系統(tǒng)提供對業(yè)務(wù)處理來說“有效”的信息效率性（Efficiency）：“有效率”地使用資源，提供信息保密性（Confidentiality）：保護(hù)敏感信息，避免泄漏信息一致性（Integrity）：保證信息的“真實可信”，即信息準(zhǔn)確、完整，并且從業(yè)務(wù)價值和業(yè)務(wù)需要的角度來說是正確有效的可用性（Availablity）：當(dāng)業(yè)務(wù)需要時，信息可隨時獲得可靠性（Reliability）：為管理層維持組織運(yùn)轉(zhuǎn)和履行所賦予職責(zé)提供適當(dāng)?shù)男畔⒑弦?guī)性（Compliance）：符合相關(guān)法律、規(guī)定、合同對業(yè)務(wù)過程的規(guī)定20IT準(zhǔn)則COBIT定義了7方面的信息標(biāo)準(zhǔn)：20IT準(zhǔn)則活動：企業(yè)的信息系統(tǒng)是由一個個功能組成的，它們對應(yīng)于企業(yè)經(jīng)營領(lǐng)域的一個個活動。過程：這些活動可以按照彼此之間關(guān)系的緊密程度或者目標(biāo)的一致程度歸結(jié)為一些過程，例如，定義IT戰(zhàn)略規(guī)劃、定義信息體系結(jié)構(gòu)、管理IT投資、風(fēng)險評估，等等。域：過程之間的自然組合形成企業(yè)的域，與企業(yè)結(jié)構(gòu)的職責(zé)域相對應(yīng)。21活動、過程、域活動：企業(yè)的信息系統(tǒng)是由一個個功能組成的，它們對應(yīng)于企業(yè)經(jīng)營22活動、過程、域22活動、過程、域23COBIT框架模型23COBIT框架模型24成熟度模型24成熟度模型25COBIT組織方式25COBIT組織方式26業(yè)務(wù)目標(biāo)和治理目標(biāo)效率應(yīng)用信息基礎(chǔ)架構(gòu)人提供和支持監(jiān)控和評估獲取和實施信息IT資源COBIT框架有效性保密性完整性可用性合規(guī)性DS1 服務(wù)級別定義及管理DS2 第三方服務(wù)管理DS3 性能和能力管理DS4 連續(xù)服務(wù)保障DS5 系統(tǒng)安全保障DS6 成本識別及分配DS7 用戶教育及培訓(xùn).DS8 服務(wù)臺和突發(fā)事件管理DS9 配置管理DS10 問題管理DS11 數(shù)據(jù)管理DS12 物理環(huán)境管理DS13操作管理ME1 監(jiān)控與評價IT性能ME2 監(jiān)控與評價內(nèi)部控制ME3 確保與法律的符合性ME4 提供IT治理PO1 制定IT戰(zhàn)略計劃PO2 確定信息架構(gòu).PO3 確定技術(shù)方向.PO4 定義IT流程、組織和關(guān)系.PO5 IT投資管理.PO6 溝通管理目標(biāo)和方向PO7 IT人力資源管理PO8 質(zhì)量管理PO9 IT風(fēng)險評估和管理.PO10 項目管理AI1 識別解決方案.AI2 獲取與維護(hù)應(yīng)用軟件AI3 獲取與維護(hù)技術(shù)架構(gòu)AI4 運(yùn)營與使用能力保障AI5 獲取IT資源AI6 變更管理AI7 變更及方案的部署和授權(quán)計劃和組織可靠性COBIT框架26業(yè)務(wù)目標(biāo)和治理目標(biāo)效率應(yīng)用提供和支持監(jiān)控和評估獲取和實施27COBIT模型:IT域計劃與組織(PO)目標(biāo):指明戰(zhàn)略和戰(zhàn)術(shù)識別如何使IT為業(yè)務(wù)目標(biāo)的達(dá)成作出最大的貢獻(xiàn)計劃、溝通和管理戰(zhàn)略目標(biāo)的實現(xiàn)實施組織和技術(shù)架構(gòu)范圍:IT與業(yè)務(wù)在戰(zhàn)略上是否一致?企業(yè)對資源的利用是否合理?是否所有的員工都理解IT目標(biāo)?是否所有的風(fēng)險都被理解并管理?IT系統(tǒng)質(zhì)量是否滿足業(yè)務(wù)需求?IT和業(yè)務(wù)27COBIT模型:IT域計劃與組織(PO28讓我們來看一下COBIT流程模型,它由4個IT域共34個IT流程組成。

PO1制定IT戰(zhàn)略計劃PO2確定信息架構(gòu)PO3確定技術(shù)導(dǎo)向PO4定義IT流程、組織和關(guān)系PO5IT投資管理PO6

溝通管理目標(biāo)和方向PO7IT人力資源管理PO8質(zhì)量管理PO9IT風(fēng)險評估和管理PO10項目管理計劃與組織COBIT模型:IT域(續(xù))計劃與組織提供與支持獲取與實施監(jiān)控與評價IT流程28讓我們來看一下COBIT流程模型,它由4個IT域共3429COBIT模型:IT域(續(xù))獲取與實施(AI)目標(biāo):識別、制定或獲取、實施并整合IT方案現(xiàn)有系統(tǒng)的變更與維護(hù)范圍:新項目提供的解決方案是否滿足業(yè)務(wù)需求提供?新項目是否能在預(yù)算范圍內(nèi)及時提供?新項目實施后是否能正常工作?變更是否能夠不影響當(dāng)前的業(yè)務(wù)運(yùn)營?新項目組織?29COBIT模型:IT域(續(xù))獲取與實施30COBIT模型:IT域(續(xù))計劃與組織提供與支持獲取與實施監(jiān)控與評價IT流程AI1識別自動解決方案AI2獲取與維護(hù)應(yīng)用軟件AI3獲取與維護(hù)技術(shù)架構(gòu)AI4保障運(yùn)營與使用AI5獲取IT資源AI6變更管理AI7變更及方案的部署和授權(quán)獲取與實施30COBIT模型:IT域(續(xù))計劃提供獲取監(jiān)控IT流31COBIT模型:IT域(續(xù))提供與支持(DS)目標(biāo):所請求服務(wù)的實際提供結(jié)果,包括服務(wù)提供過程安全、連續(xù)性、數(shù)據(jù)和運(yùn)營設(shè)施管理對用戶的服務(wù)支持范圍:IT服務(wù)提供是否與業(yè)務(wù)優(yōu)先級相匹配?IT成本是否最優(yōu)?員工是否能安全有效的使用IT系統(tǒng)?是否能保障機(jī)密性、完整性和可用性?IT服務(wù)業(yè)務(wù)優(yōu)先級31COBIT模型:IT域(續(xù))提供與支持(D32COBIT模型:IT域(續(xù))DS1服務(wù)級別定義與管理DS2第三方服務(wù)管理DS3性能和能力管理DS4連續(xù)服務(wù)保障DS5系統(tǒng)安全保障DS6成本識別與分配DS7用戶教育與培訓(xùn)DS8服務(wù)臺和突發(fā)事件管理DS9配置管理DS10問題管理DS11數(shù)據(jù)管理DS12物理環(huán)境管理DS13運(yùn)營管理提供與支持計劃與組織提供與支持獲取與實施監(jiān)控與評價IT流程32COBIT模型:IT域(續(xù))提供與支持計劃提供獲取監(jiān)33COBIT模型:IT域(續(xù))監(jiān)控與評價(ME)目標(biāo):性能管理監(jiān)控內(nèi)部控制調(diào)整一致治理范圍:IT性能是否被衡量，從而使問題在造成影響前被監(jiān)測出來?管理是否能保證內(nèi)部控制的有效和高效?IT性能是否與業(yè)務(wù)目標(biāo)相關(guān)聯(lián)?風(fēng)險、控制、一致性和績效是否被衡量并報告?IT性能33COBIT模型:IT域(續(xù))監(jiān)控與評價(M34ME1監(jiān)控與評價IT性能ME2監(jiān)控與評價內(nèi)部控制ME3確保與法律的符合性ME4提供IT治理監(jiān)控與評價COBIT模型:IT域(續(xù))計劃與組織提供與支持獲取與實施監(jiān)控與評價IT流程34監(jiān)控與評價COBIT模型:IT域(續(xù))計劃提供與支信息系統(tǒng)審計(ITA)是以企業(yè)或政府等組織的信息系統(tǒng)為審計對象，通過現(xiàn)代的審計理論和IT管理理論，從信息資產(chǎn)的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的有效性和效率性等方面出發(fā)，對其是否能夠有效可靠的達(dá)到組織的戰(zhàn)略目標(biāo)進(jìn)行全面的監(jiān)測和評估，并為改善和健全組織對信息系統(tǒng)的控制提出詳細(xì)的建議。IT審計對象是信息系統(tǒng)，審計內(nèi)容是計算機(jī)資源管理、硬件、軟件獲取、系統(tǒng)軟件、數(shù)據(jù)庫、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)開發(fā)、系統(tǒng)維護(hù)、操作、安全等審計35IT審計介紹信息系統(tǒng)審計(ITA)是以企業(yè)或政府等組織的信息系統(tǒng)為審計對AssetSecurity（資產(chǎn)安全性）Effectivity（系統(tǒng)有效性）Efficiency（系統(tǒng)效率性）DataIntegrity（數(shù)據(jù)完整性）36IT審計目標(biāo)2IT審計目標(biāo)信息系統(tǒng)調(diào)查信息系統(tǒng)內(nèi)部控制測試信息系統(tǒng)初步評價信息系統(tǒng)實質(zhì)性測試信息系統(tǒng)綜合評價37IT審計流程信息系統(tǒng)調(diào)查3IT審計流程38調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評審內(nèi)部控制可信賴嗎？控制測試信息系統(tǒng)控制測試結(jié)果的評價內(nèi)部控制可信賴嗎？測試和評價補(bǔ)償控制實質(zhì)性測試全面評價編制審計報告退出審計提出管理建議審計結(jié)束否否內(nèi)部控制的詳細(xì)審查與評價計算機(jī)信息系統(tǒng)審計流程4調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評審內(nèi)部控制可信賴嗎？控制測試信息系統(tǒng)調(diào)查是對被審計單位信息系統(tǒng)的管理體制、總體架構(gòu)、規(guī)劃設(shè)計、管理水平等進(jìn)行全面、深入地了解，是進(jìn)行信息系統(tǒng)審計的基礎(chǔ)。了解管理體制，從總體上把握被審計單位信息系統(tǒng)管理的基本情況。了解總體架構(gòu)，完成對被審計單位有什么類型的信息系統(tǒng)，每個系統(tǒng)有多少子系統(tǒng)，信息系統(tǒng)分布在哪些部門，信息系統(tǒng)之間有什么關(guān)系的調(diào)查。了解規(guī)劃管理，對信息系統(tǒng)建設(shè)、使用、管理情況的調(diào)查。39信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是對被審計單位信息系統(tǒng)的管理體制、總體架構(gòu)、規(guī)劃IT內(nèi)部控制的類型：根據(jù)控制的范圍，信息系統(tǒng)內(nèi)部控制分為一般控制應(yīng)用控制40IT內(nèi)部控制IT內(nèi)部控制的類型：根據(jù)控制的范圍，信息系統(tǒng)內(nèi)部控制分為6I是指對整個計算機(jī)信息系統(tǒng)及環(huán)境要素實施的，對系統(tǒng)所有的應(yīng)用或功能模塊具有普遍影響的控制措施。劃分成五類控制：組織控制：為實現(xiàn)組織的目標(biāo)而進(jìn)行的組織結(jié)構(gòu)設(shè)計、權(quán)責(zé)安排和制度設(shè)計。包括職責(zé)分離、授權(quán)、監(jiān)督、人事管理等系統(tǒng)開發(fā)與維護(hù)控制：包括需求定義、開發(fā)規(guī)劃、系統(tǒng)設(shè)計、編程實現(xiàn)、測試、運(yùn)行維護(hù)、文檔管理等控制DIB中國領(lǐng)先內(nèi)部控制和風(fēng)險管理解決方案提供商41一般控制是指對整個計算機(jī)信息系統(tǒng)及環(huán)境要素實施的，對系統(tǒng)所有的應(yīng)用或安全控制：保持良好的運(yùn)行環(huán)境，包括訪問接觸、環(huán)境安全、防病毒、安全保密、安全教育等控制硬件及系統(tǒng)軟件控制（1）硬件控制（2）軟件控制5、操作控制信息系統(tǒng)的使用操作應(yīng)有一套完整的管理制度，包括上機(jī)守則與操作規(guī)程、上級日志記錄、保密制度和操作工作計劃等。42一般控制安全控制：保持良好的運(yùn)行環(huán)境，包括訪問接觸、環(huán)境安全、防病毒應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制。分成三類控制輸入控制：保證只有經(jīng)過授權(quán)批準(zhǔn)的業(yè)務(wù)才能輸入計算機(jī)信息系統(tǒng)；保證經(jīng)批準(zhǔn)的數(shù)據(jù)沒有丟失、遺漏和篡改；保證被計算機(jī)拒絕的錯誤數(shù)據(jù)能改正后重新提交。包括數(shù)據(jù)采集、數(shù)據(jù)輸入控制43應(yīng)用控制應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整處理控制：對信息系統(tǒng)進(jìn)行的內(nèi)部數(shù)據(jù)處理活動的控制措施，這些控制措施往往被寫入計算機(jī)程序，包括數(shù)據(jù)有效性檢測、錯誤糾正控制。輸出控制：主要是保證交付給用戶的數(shù)據(jù)是符合格式要求的、可交付的，并以一致和安全的方式遞交給用戶，包括輸出錯誤處理、輸出報告管理、報告接收確認(rèn)44應(yīng)用控制處理控制：對信息系統(tǒng)進(jìn)行的內(nèi)部數(shù)據(jù)處理活動的控制措施，這些控45IT治理提出的背景11IT治理提出的背景公司治理就是為所有股東創(chuàng)造和呈現(xiàn)價值的企業(yè)道德行為公司治理包括組織中管理層、董事會、股東和其他利益相關(guān)法之間的一系列關(guān)系，它為制定公司目標(biāo)、確定實現(xiàn)目標(biāo)和監(jiān)督績效的方式提供了框架。46IT治理公司治理就是為所有股東創(chuàng)造和呈現(xiàn)價值的企業(yè)道德行為12IT治47IT治理13IT治理IT治理是一個綜合術(shù)語，它包括信息系統(tǒng)，技術(shù)和通訊，業(yè)務(wù)，法律相關(guān)事務(wù)，所有利益相關(guān)方，董事會，高級管理層，流程所有人，IT供應(yīng)商，用戶和審計師。IT治理有助于確保IT和企業(yè)目標(biāo)保持一致。IT治理是組織中的一種制度安排，目的是為了提高IT績效、降低IT風(fēng)險，有效地利用資源。IT治理采用最佳實踐來確保組織信息及相關(guān)技術(shù)支持其業(yè)務(wù)目標(biāo)和價值交付，確保資源得到合理使用，風(fēng)險得到適當(dāng)管理、績效得到測評。48IT治理IT治理是一個綜合術(shù)語，它包括信息系統(tǒng)，技術(shù)和通訊，業(yè)務(wù)，法IT治理在根本上關(guān)注以下兩方面的問題：IT向業(yè)務(wù)交付價值：由IT和業(yè)務(wù)的戰(zhàn)略一致驅(qū)動IT風(fēng)險得到管理：通過向企業(yè)分配責(zé)任來驅(qū)動49IT治理IT治理在根本上關(guān)注以下兩方面的問題：15IT治理ControlObjectivesforInformationandrelatedTechnologyCOBIT是一個在國際上得到公認(rèn)的、先進(jìn)的和權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)，它在業(yè)務(wù)風(fēng)險、控制需要和技術(shù)問題之間架起了一座橋梁，它可以輔助管理層進(jìn)行IT治理，指導(dǎo)組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險。面向業(yè)務(wù)是COBIT的主題，它不僅是為用戶和審計師而設(shè)計，而且更重要的是它可以作為管理者及業(yè)務(wù)過程的所有者的綜合指南。COBIT真正關(guān)注的問題是，企業(yè)是否具備適當(dāng)?shù)目刂屏?，以確保符合相關(guān)的管理規(guī)定。它幫助企業(yè)確定他們是否正在做他們表示要做的事，以及他們是否可以證明這一點50COBIT是什么？ControlObjectivesforInformaCOBIT第一版由信息系統(tǒng)審計與控制基金會（ISACF）于1996年發(fā)布。COBIT第二版于1998年出版，修訂了高層控制目標(biāo)與詳細(xì)控制目標(biāo)，增加了實施工具集（ImplementationToolSet）信息系統(tǒng)審計與控制協(xié)會（ISACA）及其相關(guān)的基金會在1998年創(chuàng)立IT治理研究院(ITGI)，由ITGI制定并發(fā)布了COBIT第三版，加入了管理指南，以及擴(kuò)展和加強(qiáng)了對IT治理的關(guān)注；COBIT基于ISACF的建立的IT控制目標(biāo)，參照了其他控制框架、行業(yè)標(biāo)準(zhǔn)；ITGI于2005年底發(fā)布了COBIT第四版，這一版對IT某些過程進(jìn)行了調(diào)整，強(qiáng)調(diào)了IT控制與IT治理五個領(lǐng)域的對應(yīng)關(guān)系。51COBIT發(fā)展歷程COBIT第一版由信息系統(tǒng)審計與控制基金會（ISACF）于1早期第1、2版以控制目標(biāo)和審計指南為主。2000年推出第3版，重點突出了“管理指南”。2006年推出第4版，精簡了控制目標(biāo)，并完善了管理指南2007年推出第4.1版，將審計指南改為“簽證指南”，并提出ValueIT等理念，與IT治理聯(lián)系更緊密。52COBIT發(fā)展歷程早期第1、2版以控制目標(biāo)和審計指南為主。18COBIT發(fā)展COBIT中定義的IT資源如下。(1)數(shù)據(jù)：是最廣泛意義上的對象(如外部和內(nèi)部的)、結(jié)構(gòu)化及非結(jié)構(gòu)化的、圖形、聲音等。(2)應(yīng)用系統(tǒng)：手工的以及計算機(jī)程序的總和。(3)技術(shù)：包括硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等。(4)設(shè)備：包括所擁有的支持信息系統(tǒng)的所有資源。(5)人員：包括員工技能、意識，以及計劃、組織、獲取、交付、支持和監(jiān)控信息系統(tǒng)及服務(wù)的能力。53IT資源COBIT中定義的IT資源如下。19IT資源COBIT定義了7方面的信息標(biāo)準(zhǔn)：效果性（Effectiveness）：信息系統(tǒng)提供對業(yè)務(wù)處理來說“有效”的信息效率性（Efficiency）：“有效率”地使用資源，提供信息保密性（Confidentiality）：保護(hù)敏感信息，避免泄漏信息一致性（Integrity）：保證信息的“真實可信”，即信息準(zhǔn)確、完整，并且從業(yè)務(wù)價值和業(yè)務(wù)需要的角度來說是正確有效的可用性（Availablity）：當(dāng)業(yè)務(wù)需要時，信息可隨時獲得可靠性（Reliability）：為管理層維持組織運(yùn)轉(zhuǎn)和履行所賦予職責(zé)提供適當(dāng)?shù)男畔⒑弦?guī)性（Compliance）：符合相關(guān)法律、規(guī)定、合同對業(yè)務(wù)過程的規(guī)定54IT準(zhǔn)則COBIT定義了7方面的信息標(biāo)準(zhǔn)：20IT準(zhǔn)則活動：企業(yè)的信息系統(tǒng)是由一個個功能組成的，它們對應(yīng)于企業(yè)經(jīng)營領(lǐng)域的一個個活動。過程：這些活動可以按照彼此之間關(guān)系的緊密程度或者目標(biāo)的一致程度歸結(jié)為一些過程，例如，定義IT戰(zhàn)略規(guī)劃、定義信息體系結(jié)構(gòu)、管理IT投資、風(fēng)險評估，等等。域：過程之間的自然組合形成企業(yè)的域，與企業(yè)結(jié)構(gòu)的職責(zé)域相對應(yīng)。55活動、過程、域活動：企業(yè)的信息系統(tǒng)是由一個個功能組成的，它們對應(yīng)于企業(yè)經(jīng)營56活動、過程、域22活動、過程、域57COBIT框架模型23COBIT框架模型58成熟度模型24成熟度模型59COBIT組織方式25COBIT組織方式60業(yè)務(wù)目標(biāo)和治理目標(biāo)效率應(yīng)用信息基礎(chǔ)架構(gòu)人提供和支持監(jiān)控和評估獲取和實施信息IT資源COBIT框架有效性保密性完整性可用性合規(guī)性DS1 服務(wù)級別定義及管理DS2 第三方服務(wù)管理DS3 性能和能力管理DS4 連續(xù)服務(wù)保障DS5 系統(tǒng)安全保障DS6 成本識別及分配DS7 用戶教育及培訓(xùn).DS8 服務(wù)臺和突發(fā)事件管理DS9 配置管理DS10 問題管理DS11 數(shù)據(jù)管理DS12 物理環(huán)境管理DS13操作管理ME1 監(jiān)控與評價IT性能ME2 監(jiān)控與評價內(nèi)部控制ME3 確保與法律的符合性ME4 提供IT治理PO1 制定IT戰(zhàn)略計劃PO2 確定信息架構(gòu).PO3 確定技術(shù)方向.PO4 定義IT流程、組織和關(guān)系.PO5 IT投資管理.PO6 溝通管理目標(biāo)和方向PO7 IT人力資源管理PO8 質(zhì)量管理PO9 IT風(fēng)險評估和管理.PO10 項目管理AI1 識別解決方案.AI2 獲取與維護(hù)應(yīng)用軟件AI3 獲取與維護(hù)技術(shù)架構(gòu)AI4 運(yùn)營與使用能力保障AI5 獲取IT資源AI6 變更管理AI7 變更及方案的部署和授權(quán)計劃和組織可靠性COBIT框架26業(yè)務(wù)目標(biāo)和治理目標(biāo)效率應(yīng)用提供和支持監(jiān)控和評估獲取和實施61COBIT模型:IT域計劃與組織(PO)目標(biāo):指明戰(zhàn)略和戰(zhàn)術(shù)識別如何使IT為業(yè)務(wù)目標(biāo)的達(dá)成作出最大的貢獻(xiàn)計劃、溝通和管理戰(zhàn)略目標(biāo)的實現(xiàn)實施組織和技術(shù)架構(gòu)范圍:IT與業(yè)務(wù)在戰(zhàn)略上是否一致?企業(yè)對資源的利用是否合理?是否所有的員工都理解IT目標(biāo)?是否所有的風(fēng)險都被理解并管理?IT系統(tǒng)質(zhì)量是否滿足業(yè)務(wù)需求?IT和業(yè)務(wù)27COBIT模型:IT域計劃與組織(PO62讓我們來看一下COBIT流程模型,它由4個IT域共34個IT流程組成。

PO1制定IT戰(zhàn)略計劃PO2確定信息架構(gòu)PO3確定技術(shù)導(dǎo)向PO4定義IT流程、組織和關(guān)系PO5IT投資管理PO6

溝通管理目標(biāo)和方向PO7IT人力資源管理PO8質(zhì)量管理PO9IT風(fēng)險評估和管理PO10項目管理計劃與組織COBIT模型:IT域(續(xù))計劃與組織提供與支持獲取與實施監(jiān)控與評價I