信息的系統(tǒng)審計(jì)指南COBIT中文版

實(shí)用標(biāo)準(zhǔn)文案實(shí)用標(biāo)準(zhǔn)文案精彩文檔精彩文檔實(shí)用標(biāo)準(zhǔn)文案精彩文檔COBIT信息技術(shù)審計(jì)指南(34個(gè)控制目標(biāo))計(jì)劃和組織（選擇3/6/11）1定義戰(zhàn)略性的信息技術(shù)規(guī)劃（PO1）PO域控制的IT過程：定義戰(zhàn)略性的IT規(guī)劃滿足的業(yè)務(wù)需求：既要謀求信息技術(shù)機(jī)遇和IT業(yè)務(wù)需求的最佳平衡，又要確保其進(jìn)一步地完成實(shí)現(xiàn)路線：在定期從事的戰(zhàn)略規(guī)劃編制過程中，要逐漸形成長期的計(jì)劃，長期的計(jì)劃應(yīng)定期地轉(zhuǎn)化成設(shè)置清晰并具體到短期目的的操作計(jì)劃需要考慮的事項(xiàng)：企業(yè)的業(yè)務(wù)發(fā)展戰(zhàn)略IT如何支持業(yè)務(wù)目標(biāo)的明確定義技術(shù)解決方案和當(dāng)前基礎(chǔ)設(shè)施的詳細(xì)清單追蹤技術(shù)市場適時(shí)的可行性研究和現(xiàn)實(shí)性檢查已有系統(tǒng)的評估在風(fēng)險(xiǎn)、進(jìn)入市場的時(shí)機(jī)、質(zhì)量方面，企業(yè)所處的位置需要高級管理層出錢、支持和必不可少的檢查信息規(guī)范IT資源P效果*人員S效率*應(yīng)用保密*技術(shù)完整*設(shè)施可用*數(shù)據(jù)遵從可靠1.1作為機(jī)構(gòu)長期和短期計(jì)劃一部分的IT高級管理層對開發(fā)和實(shí)施履行機(jī)構(gòu)任務(wù)和目標(biāo)的長期和短期的計(jì)劃負(fù)責(zé)。在這一方面，高級管理層應(yīng)確保IT有關(guān)事項(xiàng)以及機(jī)遇被適當(dāng)?shù)卦u估，并將結(jié)果反映到機(jī)構(gòu)的長期和短期計(jì)劃之中。IT的長期、短期計(jì)劃應(yīng)被開發(fā)，確保IT的運(yùn)用同機(jī)構(gòu)的使命與業(yè)務(wù)發(fā)展戰(zhàn)略相結(jié)合。1.2IT長期計(jì)劃IT管理層和業(yè)務(wù)過程的所有者要對有規(guī)律地開發(fā)支持機(jī)構(gòu)總體使命和目的實(shí)現(xiàn)的IT長期計(jì)劃負(fù)責(zé)。計(jì)劃編制的方法應(yīng)包括尋求來自受IT戰(zhàn)略計(jì)劃影響的相關(guān)內(nèi)外部利害關(guān)系人引入的機(jī)制。相應(yīng)地，管理層應(yīng)執(zhí)行一個(gè)長期計(jì)劃的編制過程，采用一種結(jié)構(gòu)化的方法，并建立一個(gè)標(biāo)準(zhǔn)的計(jì)劃結(jié)構(gòu)。1.3IT長期計(jì)劃編制——方法與結(jié)構(gòu)對于長期計(jì)劃的編制過程來講，IT管理層和業(yè)務(wù)過程的所有者應(yīng)建立并采用一種結(jié)構(gòu)化的方法。這樣可以制定出高質(zhì)量的計(jì)劃，含蓋什么、誰、怎樣、什么時(shí)間和為什么等基本的問題。IT計(jì)劃的編制過程應(yīng)考慮風(fēng)險(xiǎn)評估的結(jié)果，包括業(yè)務(wù)、環(huán)境、技術(shù)和人力資源的風(fēng)險(xiǎn)。計(jì)劃編制期間，需要考慮和充分投入的方面包括：機(jī)構(gòu)的模式及其變化、地理的分布、技術(shù)的發(fā)展、成本、法律法規(guī)的要求、第三方或市場的要求、規(guī)劃遠(yuǎn)景、業(yè)務(wù)過程再造、員工的安置、自行開發(fā)或者外包、數(shù)據(jù)、應(yīng)用系統(tǒng)和技術(shù)體系結(jié)構(gòu)。已做出選擇的好處應(yīng)被明確地確定下來。IT長期和短期計(jì)劃應(yīng)使績效指標(biāo)和目標(biāo)合并在一起。計(jì)劃本身還應(yīng)參考其它的計(jì)劃，比如機(jī)構(gòu)的質(zhì)量計(jì)劃和信息風(fēng)險(xiǎn)管理計(jì)劃。1.4IT長期計(jì)劃的變更IT管理層和業(yè)務(wù)過程所有者應(yīng)確保及時(shí)、準(zhǔn)確地修改IT長期計(jì)劃的過程的到位，以適應(yīng)機(jī)構(gòu)長期計(jì)劃的變化和IT環(huán)境的變化。管理層應(yīng)建立一個(gè)IT長期和短期計(jì)劃開發(fā)和維護(hù)所需要的政策。1.5IT功能的短期計(jì)劃編制IT管理層和業(yè)務(wù)過程的所有者應(yīng)確保IT長期計(jì)劃有規(guī)律地轉(zhuǎn)換成IT短期計(jì)劃。這樣的短期計(jì)劃應(yīng)確保適當(dāng)?shù)腎T功能資源以與IT長期計(jì)劃內(nèi)容相一致的基礎(chǔ)上來分配。短期計(jì)劃應(yīng)定期地進(jìn)行再評估，并被作為適應(yīng)正在變化的業(yè)務(wù)和IT環(huán)境所必須的事項(xiàng)而改進(jìn)。可行性研究的及時(shí)執(zhí)行應(yīng)確保短期計(jì)劃的實(shí)行是被充分地啟動(dòng)的。1.6IT計(jì)劃的交流管理層應(yīng)確保IT長期和短期計(jì)劃同業(yè)務(wù)過程所有者以及跨越機(jī)構(gòu)的其他相關(guān)部門人員的充分溝通。1.7IT計(jì)劃的監(jiān)控和評估管理層應(yīng)建立一個(gè)流程，獲取和報(bào)告來自業(yè)務(wù)過程所有者和用戶有關(guān)長期和短期計(jì)劃的質(zhì)量及有效性的反饋。獲取的反饋應(yīng)予以評估，并在將來的IT計(jì)劃編制中加以考慮。1.8現(xiàn)有系統(tǒng)的評估在開發(fā)或變更戰(zhàn)略規(guī)劃或長期計(jì)劃、IT計(jì)劃之前，IT管理層應(yīng)按照業(yè)務(wù)自動(dòng)化的程度、功能性、穩(wěn)定性、復(fù)雜性、成本、優(yōu)勢和劣勢，評估現(xiàn)有信息系統(tǒng)，以確定現(xiàn)有系統(tǒng)支持機(jī)構(gòu)業(yè)務(wù)需求的程度。對高級和詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：獲得了解：訪談：首席執(zhí)行官（CEO）首席運(yùn)營官（COO）首席財(cái)務(wù)官（CFO）首席信息官（CIO）IT計(jì)劃/指導(dǎo)委員會(huì)成員IT高級管理層和人力服務(wù)職員獲得：與計(jì)劃編制過程想關(guān)聯(lián)的政策和程序高級管理層的指導(dǎo)角色和責(zé)任機(jī)構(gòu)的目標(biāo)和長短期的計(jì)劃IT的目標(biāo)和長短期的計(jì)劃狀況的報(bào)告和計(jì)劃/指導(dǎo)委員會(huì)的會(huì)議紀(jì)要評估控制：考慮是否：IT或者業(yè)務(wù)的企業(yè)政策和程序選擇了一種結(jié)構(gòu)化的計(jì)劃編制方法方法到位，以便明確地表達(dá)并能夠修改計(jì)劃，起碼它們要包括：機(jī)構(gòu)的使命和目的支持機(jī)構(gòu)使命和目的的IT初始IT初始的機(jī)遇IT初始的可行性的研究IT初始的風(fēng)險(xiǎn)評估當(dāng)前和未來IT的最佳投資反映企業(yè)使命和目的變化的IT初始的再造數(shù)據(jù)應(yīng)用、技術(shù)和機(jī)構(gòu)可選擇戰(zhàn)略的評估機(jī)構(gòu)的變化、技術(shù)的發(fā)展、規(guī)章的要求、業(yè)務(wù)過程的再造、員工的安置、自己開發(fā)和外包，等等被考慮，并在計(jì)劃編制過程中充分地從事長短期的IT計(jì)劃存在，是當(dāng)前的，充分針對全部企業(yè)、它的使命和關(guān)鍵的業(yè)務(wù)職能部門IT項(xiàng)目由IT計(jì)劃編制方法中確定的適當(dāng)文檔所支持確保IT目標(biāo)和長短期計(jì)劃持續(xù)地滿足機(jī)構(gòu)目標(biāo)和長短期計(jì)劃的檢查點(diǎn)存在由過程所有者和高級管理層評價(jià)和結(jié)束的IT計(jì)劃發(fā)生根據(jù)業(yè)務(wù)自動(dòng)化程度、功能性、穩(wěn)定性、復(fù)雜性、成本、優(yōu)勢和弱點(diǎn)，IT計(jì)劃評估現(xiàn)有的信息系統(tǒng)對信息系統(tǒng)及其支持的基礎(chǔ)設(shè)施的長期計(jì)劃編制的缺乏，導(dǎo)致系統(tǒng)不能支持企業(yè)的目標(biāo)和業(yè)務(wù)的過程，或者不能提供適當(dāng)?shù)耐暾踩涂刂圃u定遵從性：測試：來自反映計(jì)劃編制過程的IT計(jì)劃編制/指導(dǎo)委員會(huì)的會(huì)議紀(jì)要計(jì)劃編制方法的可交付使用物的存在，作為預(yù)先的規(guī)定相關(guān)IT的初始被包括在IT長短期的計(jì)劃當(dāng)中（也就是硬件的變化、容量計(jì)劃編制、信息體系結(jié)構(gòu)、新系統(tǒng)開發(fā)或獲取、災(zāi)難恢復(fù)計(jì)劃編制、新處理平臺的安裝，等等）IT初始支持長短期計(jì)劃，并要考慮調(diào)查、培訓(xùn)、人員安置、設(shè)施、硬件和軟件的需求IT初始的技術(shù)含義已經(jīng)被確定最優(yōu)化當(dāng)前和將來IT投資的考慮已經(jīng)給出IT長短期計(jì)劃與機(jī)構(gòu)的長短期計(jì)劃和組織的需求保持一致計(jì)劃已經(jīng)發(fā)生改變，以反映正在變化的條件IT長期計(jì)劃定期轉(zhuǎn)化成短期計(jì)劃存在實(shí)現(xiàn)計(jì)劃的任務(wù)證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的戰(zhàn)略IT計(jì)劃的基準(zhǔn)確保IT初始反映機(jī)構(gòu)的使命和目的的IT計(jì)劃的詳細(xì)評價(jià)決定是否機(jī)構(gòu)之內(nèi)已經(jīng)知道的虛弱區(qū)域正在被確認(rèn)為計(jì)劃當(dāng)中IT解決方案的一部分而加以改進(jìn)的IT計(jì)劃的詳細(xì)評價(jià)確定：滿足機(jī)構(gòu)使命和目的的IT失敗與長期計(jì)劃相匹配的短期計(jì)劃的IT失敗滿足短期計(jì)劃的IT項(xiàng)目的失敗滿足成本和時(shí)間準(zhǔn)則的IT失敗錯(cuò)過的業(yè)務(wù)機(jī)遇錯(cuò)過的IT機(jī)遇2定義信息體系結(jié)構(gòu)（PO2）控制的IT過程：定義信息體系結(jié)構(gòu)滿足的業(yè)務(wù)需求：優(yōu)化信息系統(tǒng)的機(jī)構(gòu)實(shí)現(xiàn)路線：創(chuàng)建并維護(hù)一個(gè)業(yè)務(wù)信息模型，確保定義適當(dāng)?shù)南到y(tǒng)，以優(yōu)化信息的使用需要考慮的事項(xiàng)：自動(dòng)化的數(shù)據(jù)存貯和字典數(shù)據(jù)語法規(guī)則數(shù)據(jù)所有權(quán)和關(guān)鍵性/安全性程度分類表述業(yè)務(wù)的信息模型企業(yè)信息體系結(jié)構(gòu)標(biāo)準(zhǔn)信息信息規(guī)范IT資源P效果人員S效率*應(yīng)用S保密技術(shù)S完整設(shè)施可用*數(shù)據(jù)遵從可靠2.1信息體系結(jié)構(gòu)模型信息應(yīng)與需求保持一致，并應(yīng)以某種格式和期限進(jìn)行識別、獲取和交流，而這些格式和期限能使人們及時(shí)、有效地履行他們的職責(zé)。相應(yīng)地，圍繞企業(yè)的數(shù)據(jù)模型和相關(guān)的信息系統(tǒng)，IT的職能應(yīng)是建立并有規(guī)律地更新信息體系結(jié)構(gòu)模型。信息體系結(jié)構(gòu)模型應(yīng)與IT長期計(jì)劃保持一致。2.2企業(yè)數(shù)據(jù)字典和數(shù)據(jù)語法規(guī)則IT的職能應(yīng)確保包含機(jī)構(gòu)數(shù)據(jù)語法規(guī)則的企業(yè)數(shù)據(jù)字典的建立以及持續(xù)的更新。2.3數(shù)據(jù)分類方案在按信息類別（如安全類）進(jìn)行分類的數(shù)據(jù)放置以及所有權(quán)分配方面，應(yīng)建立一個(gè)總體的分類框架，應(yīng)適當(dāng)定義各類別的訪問規(guī)則。2.4安全等級對于上述確定的每一個(gè)“不需要保護(hù)”級別以上的數(shù)據(jù)分類，管理層應(yīng)定義、執(zhí)行和維護(hù)這些安全等級。對于每一個(gè)分類來講，這些安全等級應(yīng)描述適當(dāng)?shù)模ㄗ钚〉模┮惶装踩涂刂瞥叨?，?yīng)定期進(jìn)行再評估并做相應(yīng)的修改。對于區(qū)域范圍廣闊的企業(yè)，應(yīng)建立支持不同安全等級的標(biāo)準(zhǔn)，以適應(yīng)正在發(fā)展的電子商務(wù)、移動(dòng)計(jì)算和遠(yuǎn)程辦公環(huán)境的需要。對高級和詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：獲得了解：訪談：首席信息官（CIO）IT計(jì)劃/指導(dǎo)委員會(huì)成員IT高級管理層安全官獲得：與信息體系結(jié)構(gòu)相關(guān)的政策和程序信息體系結(jié)構(gòu)模型支持信息體系結(jié)構(gòu)模型的文檔，包括企業(yè)數(shù)據(jù)模型企業(yè)數(shù)據(jù)字典數(shù)據(jù)所有者政策高級管理層指導(dǎo)的角色和責(zé)任IT的目標(biāo)和長短期計(jì)劃狀況報(bào)告和計(jì)劃編制/指導(dǎo)委員會(huì)會(huì)議紀(jì)要評估控制：考慮是否：IT政策和程序選擇了數(shù)據(jù)字典的開發(fā)和維護(hù)用于修改信息體系結(jié)構(gòu)模型的過程是以長短期計(jì)劃為基礎(chǔ)的，考慮了相關(guān)成本和風(fēng)險(xiǎn)，并且該模型變化之前，要確保高級管理層同意有一個(gè)過程用來保持?jǐn)?shù)據(jù)字典和數(shù)據(jù)語法規(guī)則處于最新狀態(tài)有一個(gè)媒介用來分發(fā)數(shù)據(jù)字典，確保開發(fā)區(qū)域的可達(dá)性并立即反映變化IT政策和過程要選擇數(shù)據(jù)的分類，包括安全種類和數(shù)據(jù)所有者，數(shù)據(jù)分類的訪問規(guī)則要被清晰和適當(dāng)?shù)囟x要為那些不包含數(shù)據(jù)分類標(biāo)識符的數(shù)據(jù)資產(chǎn)定義缺省的分類標(biāo)準(zhǔn)IT政策和程序要選擇以下內(nèi)容：需要數(shù)據(jù)所有者（在數(shù)據(jù)所有者政策上定義）的授權(quán)過程要到位，以便批準(zhǔn)該數(shù)據(jù)的所有訪問以及數(shù)據(jù)的安全屬性每一個(gè)數(shù)據(jù)分類的安全等級要被定義訪問等級被定義，并且對于數(shù)據(jù)分類來說是適當(dāng)?shù)脑L問敏感數(shù)據(jù)需要清楚的訪問級別，數(shù)據(jù)的提供要以“需要知道”為基礎(chǔ)評定遵從性：測試：信息體系結(jié)構(gòu)模型上的變化，確定這些變化反映了IT長短期計(jì)劃及其所確定的成本和風(fēng)險(xiǎn)評估數(shù)據(jù)字典的任何修改以及數(shù)據(jù)字典上變化的影響，確保它們被有效地溝通各種運(yùn)作的應(yīng)用系統(tǒng)和開發(fā)項(xiàng)目，以確定數(shù)據(jù)字典被用作數(shù)據(jù)定義足夠的數(shù)據(jù)字典文檔，以確定這些文檔為每一個(gè)數(shù)據(jù)項(xiàng)定義了數(shù)據(jù)的屬性和安全等級數(shù)據(jù)分類、安全等級、訪問等級和缺省的適當(dāng)性每一個(gè)數(shù)據(jù)分類都要清晰地定義：誰可以訪問誰對決定適當(dāng)?shù)脑L問級別負(fù)責(zé)所需訪問的明確批準(zhǔn)訪問的特定需求（也就是非披露或者保密性協(xié)議）證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似機(jī)構(gòu)或適者國際標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的信息體系結(jié)構(gòu)模型的基準(zhǔn)針對關(guān)鍵元素的完整性，數(shù)據(jù)字典的詳細(xì)評價(jià)對定義為敏感數(shù)據(jù)的安全等級的詳細(xì)評價(jià)，以校驗(yàn)訪問的適當(dāng)授權(quán)被獲得，被許可的訪問與定義在IT政策和程序中的一致確定：信息體系結(jié)構(gòu)模型和企業(yè)數(shù)據(jù)模型、企業(yè)數(shù)據(jù)字典、相關(guān)信息系統(tǒng)以及IT長短期計(jì)劃中的矛盾過時(shí)的企業(yè)數(shù)據(jù)字典項(xiàng)和由于數(shù)據(jù)字典變化的不良的溝通喪失了時(shí)效性的數(shù)據(jù)語法規(guī)則？？？所有者不清楚和/或沒有適當(dāng)定義的數(shù)據(jù)項(xiàng)沒有被適當(dāng)定義的數(shù)據(jù)分類與“需要才能知道”的原則不一致的數(shù)據(jù)安全等級3決定技術(shù)方向（PO3）控制的IT過程：決定技術(shù)方向滿足的業(yè)務(wù)需求：利用目前可用的和正在出現(xiàn)的技術(shù)，推動(dòng)業(yè)務(wù)戰(zhàn)略的實(shí)施并使業(yè)務(wù)戰(zhàn)略成為可能實(shí)現(xiàn)路線：建立并維護(hù)技術(shù)基礎(chǔ)設(shè)施計(jì)劃，該計(jì)劃，依據(jù)產(chǎn)品、服務(wù)和交付機(jī)制，建立并管理技術(shù)能夠提供的清晰和現(xiàn)實(shí)的預(yù)期需要考慮的事項(xiàng)：當(dāng)前基礎(chǔ)設(shè)施的容量通過可靠的來源，監(jiān)測技術(shù)發(fā)展引導(dǎo)概念的檢驗(yàn)風(fēng)險(xiǎn)、約束和機(jī)遇獲取的計(jì)劃移植戰(zhàn)略和路線與供應(yīng)商的關(guān)系獨(dú)立的技術(shù)再評估硬件和軟件的性能/價(jià)格比的變化信息規(guī)范IT資源P效果人員S效率應(yīng)用保密*技術(shù)完整*設(shè)施可用數(shù)據(jù)遵從可靠3.1技術(shù)基礎(chǔ)設(shè)施計(jì)劃編制IT的職能部門應(yīng)建立并有規(guī)律地更新與IT長期和短期計(jì)劃保持一致的技術(shù)基礎(chǔ)設(shè)施計(jì)劃。這樣的計(jì)劃應(yīng)圍繞諸如系統(tǒng)體系結(jié)構(gòu)、技術(shù)方向和移植策略等方面。3.2監(jiān)測未來的趨勢和法規(guī)IT的職能部門應(yīng)能夠確保對未來趨勢和法規(guī)環(huán)境的持續(xù)監(jiān)測，以便這些因素能夠在技術(shù)基礎(chǔ)設(shè)施計(jì)劃的開發(fā)和維護(hù)期間被考慮在內(nèi)。3.3技術(shù)基礎(chǔ)設(shè)施的不確定事件技術(shù)基礎(chǔ)設(shè)施計(jì)劃應(yīng)在偶然事件方面（即基礎(chǔ)設(shè)施的冗余、恢復(fù)、充足性和發(fā)展能力）進(jìn)行系統(tǒng)地評估。3.4硬件和軟件獲取計(jì)劃IT管理層應(yīng)確保制定硬件和軟件的獲取計(jì)劃，并要反映在所確定的技術(shù)基礎(chǔ)設(shè)施計(jì)劃的需求中。3.5技術(shù)標(biāo)準(zhǔn)以技術(shù)基礎(chǔ)設(shè)施計(jì)劃為基礎(chǔ)，IT管理層應(yīng)定義技術(shù)規(guī)范以培養(yǎng)標(biāo)準(zhǔn)化的意識。對高級和詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：獲得了解：訪談：首席執(zhí)行官（CEO）首席運(yùn)營官（COO）首席財(cái)務(wù)官（CFO）首席信息官（CIO）IT計(jì)劃/指導(dǎo)委員會(huì)成員IT高級管理層獲得：與技術(shù)基礎(chǔ)設(shè)施計(jì)劃編制和監(jiān)控相聯(lián)系的政策和程序高級管理層指導(dǎo)角色和責(zé)任機(jī)構(gòu)目標(biāo)和長短期計(jì)劃IT目標(biāo)和長短期計(jì)劃IT硬件和軟件獲取計(jì)劃技術(shù)基礎(chǔ)設(shè)施計(jì)劃技術(shù)標(biāo)準(zhǔn)狀況報(bào)告和計(jì)劃編制/指導(dǎo)委員會(huì)會(huì)議紀(jì)要評估控制：考慮是否：為確認(rèn)被提議的變化首先被檢查以評估相關(guān)聯(lián)的成本和風(fēng)險(xiǎn)，為確認(rèn)高級管理層的批準(zhǔn)先于計(jì)劃的變化被獲得，有一個(gè)創(chuàng)造并有規(guī)律地更新的技術(shù)基礎(chǔ)設(shè)施計(jì)劃的過程技術(shù)基礎(chǔ)設(shè)施計(jì)劃與IT長短期計(jì)劃相比較有一個(gè)過程來評估機(jī)構(gòu)的當(dāng)前技術(shù)狀態(tài)，確保環(huán)繞諸如系統(tǒng)體系結(jié)構(gòu)、技術(shù)方向和移植戰(zhàn)略等方面IT政策和程序確保選擇了評估和監(jiān)控當(dāng)前和將來的技術(shù)趨勢和規(guī)章條件的要求，并且在技術(shù)基礎(chǔ)設(shè)施計(jì)劃的開發(fā)和維護(hù)期間被考慮技術(shù)獲取的后勤和環(huán)境影響要被計(jì)劃IT政策和程序確保選擇了系統(tǒng)地評估技術(shù)計(jì)劃意外的需求（也就是基礎(chǔ)設(shè)施的冗余、恢復(fù)力、足夠性和發(fā)展能力）IT管理層評估正在出現(xiàn)的技術(shù)，并將適當(dāng)?shù)募夹g(shù)合并到當(dāng)前的IT基礎(chǔ)設(shè)施之中對于硬件和軟件的獲取計(jì)劃來講，它是遵從技術(shù)基礎(chǔ)設(shè)施計(jì)劃中所確定的要求并被適當(dāng)?shù)嘏鷾?zhǔn)的實(shí)踐在技術(shù)基礎(chǔ)設(shè)施計(jì)劃中所描述的技術(shù)組成的技術(shù)標(biāo)準(zhǔn)是到位的評定遵從性：測試：IT管理層理解并使用技術(shù)基礎(chǔ)設(shè)施計(jì)劃技術(shù)基礎(chǔ)設(shè)施計(jì)劃上的變化，以確定相關(guān)的成本和風(fēng)險(xiǎn)，這些變化要反映在IT長短期計(jì)劃的變化中IT管理層要理解監(jiān)控和評估正在出現(xiàn)技術(shù)的過程，并要將適當(dāng)?shù)募夹g(shù)合并到當(dāng)前的IT基礎(chǔ)設(shè)施之中IT管理層要理解系統(tǒng)評估技術(shù)計(jì)劃意外的過程（也就是說，基礎(chǔ)設(shè)施的冗余、恢復(fù)力、充足性和發(fā)展能力）為了充分地適應(yīng)目前的已安裝的硬件/軟件以及在當(dāng)前被批準(zhǔn)的增加的新的硬件/軟件，IT職能部門現(xiàn)有的物理環(huán)境硬件和軟件獲取計(jì)劃遵從IT長短期計(jì)劃，并要反映技術(shù)基礎(chǔ)設(shè)施計(jì)劃中所確認(rèn)的需求技術(shù)基礎(chǔ)設(shè)施計(jì)劃選擇利用當(dāng)前和將來的技術(shù)技術(shù)標(biāo)準(zhǔn)被遵循，并作為開發(fā)過程的一部分而被合成一體被允許的訪問與IT政策和程序中所定義的安全等級相一致，到位的訪問要經(jīng)過適當(dāng)?shù)氖跈?quán)證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的技術(shù)基礎(chǔ)設(shè)施計(jì)劃編制的基準(zhǔn)針對關(guān)鍵元素的完整性，數(shù)據(jù)字典的詳細(xì)評價(jià)為敏感數(shù)據(jù)而定義的安全等級的詳細(xì)評價(jià)確定：信息系統(tǒng)和IT長短期計(jì)劃相關(guān)的信息體系結(jié)構(gòu)模型和企業(yè)數(shù)據(jù)模型、企業(yè)數(shù)據(jù)字典的矛盾企業(yè)數(shù)據(jù)字典條款和數(shù)據(jù)語法規(guī)則的過時(shí)沒有在技術(shù)基礎(chǔ)設(shè)施計(jì)劃中選擇的以外方面沒能反映技術(shù)基礎(chǔ)設(shè)施計(jì)劃需求的IT硬件和軟件的獲取計(jì)劃與技術(shù)標(biāo)準(zhǔn)不一致的技術(shù)基礎(chǔ)設(shè)施計(jì)劃或IT硬件和軟件獲取計(jì)劃數(shù)據(jù)字典中丟失的關(guān)鍵元素沒有按照同樣標(biāo)準(zhǔn)分類或者沒有安全等級的敏感數(shù)據(jù)4定義信息技術(shù)的機(jī)構(gòu)及關(guān)系（PO4）控制的IT過程：定義IT的機(jī)構(gòu)及關(guān)系滿足的業(yè)務(wù)需求：提供正確的IT服務(wù)實(shí)現(xiàn)路線：定義一個(gè)數(shù)量上相配、具有角色和職責(zé)所要求技能的機(jī)構(gòu)，與業(yè)務(wù)部門溝通、聯(lián)合在一起，促進(jìn)戰(zhàn)略的實(shí)現(xiàn)，并規(guī)定有效的方向和適當(dāng)?shù)目刂菩枰紤]的事項(xiàng)：董事會(huì)層面上的IT職責(zé)管理層對于IT的指導(dǎo)和監(jiān)督IT與業(yè)務(wù)的結(jié)合關(guān)鍵決策過程中IT的參與機(jī)構(gòu)的靈活性清晰的角色和職責(zé)平衡授權(quán)與監(jiān)督工作崗位的描述人員級別和關(guān)鍵的人員在安全、質(zhì)量和內(nèi)部控制功能方面的機(jī)構(gòu)配置職責(zé)的分離信息規(guī)范IT資源P效果*人員S效率應(yīng)用保密技術(shù)完整設(shè)施可用數(shù)據(jù)遵從可靠4.1IT計(jì)劃或指導(dǎo)委員會(huì)機(jī)構(gòu)的高級管理層應(yīng)指定一個(gè)計(jì)劃或者指導(dǎo)委員會(huì)，來檢查IT的職能及其活動(dòng)。委員會(huì)的會(huì)員應(yīng)包括來自高級管理層、用戶管理層和IT職能方面的代表。委員會(huì)應(yīng)實(shí)行例會(huì)制度，并向高級管理層報(bào)告。4.2IT職能的機(jī)構(gòu)設(shè)置在整個(gè)機(jī)構(gòu)機(jī)構(gòu)設(shè)置IT職能過程中，高級管理層應(yīng)確保其權(quán)力、關(guān)鍵時(shí)刻以及與用戶部門的獨(dú)立性到必要的程度，以便在執(zhí)行時(shí)能夠保證有效的IT解決方案和充分的進(jìn)展，并要建立與頂級管理層的伙伴關(guān)系，以便在確定和解決IT問題時(shí)，能夠幫助他們增強(qiáng)意識、理解和技能。4.3機(jī)構(gòu)績效的評價(jià)應(yīng)設(shè)置一個(gè)框架來評價(jià)機(jī)構(gòu)的機(jī)構(gòu)，以不斷地滿足目標(biāo)和變化的環(huán)境。4.4角色和責(zé)任管理層應(yīng)確保機(jī)構(gòu)中所有人員都具有并理解他們在相關(guān)信息系統(tǒng)中的角色和責(zé)任。所有的人員應(yīng)具有足夠的權(quán)力來行使分派給他們的角色和責(zé)任。角色的設(shè)置應(yīng)考慮適當(dāng)?shù)穆氊?zé)分離。沒有那個(gè)人能夠控制一個(gè)交易或事件的所有關(guān)鍵環(huán)節(jié)。每個(gè)人都應(yīng)認(rèn)識到他們在內(nèi)部控制和安全方面具有一定的責(zé)任。因此，應(yīng)機(jī)構(gòu)并承擔(dān)起有規(guī)律的一些活動(dòng)，以增強(qiáng)這方面的意識和紀(jì)律。4.5質(zhì)量保證的責(zé)任管理層應(yīng)為IT職能部門的成員分配質(zhì)量保證職能履行的責(zé)任，并確保適當(dāng)?shù)馁|(zhì)量保證、系統(tǒng)、控制和存在于IT職能質(zhì)量保證小組中的專家們的交流。IT職能內(nèi)機(jī)構(gòu)的布置以及質(zhì)量保證小組的職責(zé)和規(guī)模應(yīng)滿足機(jī)構(gòu)的需求。4.6邏輯和物理安全的責(zé)任管理層應(yīng)為信息安全經(jīng)理正式地分配確保機(jī)構(gòu)信息資產(chǎn)物理和邏輯安全的責(zé)任，并負(fù)責(zé)向高級管理層報(bào)告。最起碼，安全管理職責(zé)應(yīng)建立在整個(gè)機(jī)構(gòu)范圍的層次上，以便能夠處理一個(gè)機(jī)構(gòu)內(nèi)的全部安全問題。如果需要，系統(tǒng)細(xì)節(jié)層次上的附加安全管理責(zé)任也應(yīng)被分配，以應(yīng)對相關(guān)的安全問題。4.7所有者和管理者管理層應(yīng)正式建立一個(gè)指定數(shù)據(jù)所有者和管理者的結(jié)構(gòu)。他們的角色和責(zé)任應(yīng)清楚地定義。4.8數(shù)據(jù)和系統(tǒng)的所有者管理層應(yīng)確保所有信息資產(chǎn)（數(shù)據(jù)和系統(tǒng)）都已指定了所有者，他們對信息資產(chǎn)的分類和訪問權(quán)限具有決策的權(quán)利。典型地，系統(tǒng)所有者可以將日常管理委派給系統(tǒng)的交付/操作小組，將安全職責(zé)委派給安全管理員。然而，所有者仍然要保留對適當(dāng)安全尺度維護(hù)的責(zé)任。4.9監(jiān)督高級管理層應(yīng)執(zhí)行適當(dāng)?shù)腎T職能的監(jiān)督實(shí)踐，以保證角色和責(zé)任被完全地行使，評估所有的個(gè)人是否有足夠的權(quán)力和資源完成他們的角色和職責(zé)，并要全面地評價(jià)關(guān)鍵的績效指標(biāo)。4.10職責(zé)分離高級管理層應(yīng)實(shí)施角色和職責(zé)的分離，避免單獨(dú)的個(gè)人擾亂某個(gè)關(guān)鍵的過程。管理層還應(yīng)確定每個(gè)人僅執(zhí)行其工作和職位規(guī)定的各自的職責(zé)。尤其是下列職責(zé)之間責(zé)任分離的應(yīng)維護(hù)。信息系統(tǒng)使用數(shù)據(jù)錄入計(jì)算機(jī)操作網(wǎng)絡(luò)管理系統(tǒng)管理系統(tǒng)開發(fā)和維護(hù)變更管理安全管理安全審計(jì)4.11IT人員配備員工需求評估應(yīng)有規(guī)律地執(zhí)行，以保證履行IT職能所需足夠數(shù)量能勝任的IT員工。員工需求應(yīng)至少每年評估一次，或根據(jù)業(yè)務(wù)、運(yùn)作及IT環(huán)境的主要變化而執(zhí)行。評估結(jié)果應(yīng)盡快執(zhí)行，以確?，F(xiàn)在和將來員工的充足。4.12IT員工工作和職位的描述管理層應(yīng)確保建立IT員工的職位描述，并有規(guī)律地被更新。這些職位描述應(yīng)清楚地描繪權(quán)力和責(zé)任兩方面，包括相關(guān)職位要求的技能和經(jīng)驗(yàn)的詳細(xì)說明，并要適合在績效評估中使用。4.13關(guān)鍵的IT人員IT管理層應(yīng)詳細(xì)說明和識別關(guān)鍵的IT人員。4.14與員工簽約的政策和程序?yàn)榱薎T職能部門控制咨詢和其它簽約個(gè)人的活動(dòng)，確保機(jī)構(gòu)的信息資產(chǎn)處于保護(hù)之中，管理層應(yīng)詳細(xì)說明和執(zhí)行相關(guān)的政策和程序。4.15關(guān)系IT管理層應(yīng)采取必要的行動(dòng)，在IT職能部門和其它各種有利害關(guān)系的內(nèi)外部IT職能部門（即用戶、供應(yīng)商、安全官員、風(fēng)險(xiǎn)管理者）之間，建立并維持一個(gè)最佳的協(xié)調(diào)、交流、聯(lián)絡(luò)的結(jié)構(gòu)。對高級和詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：獲得了解：訪談：首席執(zhí)行官（CEO）首席運(yùn)營官（COO）首席財(cái)務(wù)官（CFO）首席信息官（CIO）質(zhì)量保證官安全官IT計(jì)劃/指導(dǎo)委員會(huì)成員、人力資源和高級管理層獲得：高級管理層計(jì)劃/指導(dǎo)角色和責(zé)任機(jī)構(gòu)目標(biāo)和長短期計(jì)劃IT目標(biāo)和長短期計(jì)劃展示IT職能部門與及其它職能部門關(guān)系的機(jī)構(gòu)機(jī)構(gòu)圖與IT機(jī)構(gòu)和關(guān)系相關(guān)聯(lián)的政策和程序與質(zhì)量保證相關(guān)聯(lián)的政策和程序用來決定IT人員需求的政策和程序IT職能部門的機(jī)構(gòu)機(jī)構(gòu)圖IT職能部門的角色和責(zé)任IT關(guān)鍵位置（工作）的描述狀況報(bào)告和計(jì)劃/指導(dǎo)委員會(huì)會(huì)議紀(jì)要評估控制：考慮是否：來自高級管理層的政策聲明和溝通確保IT職能部門的獨(dú)立和權(quán)威IT計(jì)劃/指導(dǎo)委員會(huì)的成員和職能部門已經(jīng)被定義，責(zé)任已經(jīng)被確定IT計(jì)劃/指導(dǎo)委員會(huì)的章程使委員會(huì)的目的與機(jī)構(gòu)的目標(biāo)和長短期計(jì)劃以及IT的目標(biāo)和長短期計(jì)劃聯(lián)盟增強(qiáng)確定和解決信息管理問題的意識、理解和技能的過程到位政策選擇了滿足正在變化著的目標(biāo)和環(huán)境的機(jī)構(gòu)機(jī)構(gòu)的評估和修改的要求決定IT職能部門效果和承諾的過程和績效指標(biāo)存在高級管理層要確保角色和責(zé)任被執(zhí)行勾畫機(jī)構(gòu)內(nèi)所有個(gè)人有關(guān)信息系統(tǒng)內(nèi)部控制和安全的角色和責(zé)任的政策存在增加內(nèi)部控制和安全意識以及紀(jì)律的有規(guī)律的活動(dòng)存在質(zhì)量保證的職能部門和政策存在質(zhì)量保證職能部門要充分地獨(dú)立于系統(tǒng)開發(fā)人員，并要有執(zhí)行其責(zé)任的適當(dāng)人員和專門技術(shù)確定時(shí)間資源并確保質(zhì)量保證測試的完成以及系統(tǒng)或者系統(tǒng)變化被執(zhí)行前的審批的質(zhì)量保證之內(nèi)的過程要到位為了安全官的內(nèi)部控制和安全（邏輯和物理兩者）政策和程序的明確表達(dá)，管理層應(yīng)正式地分配機(jī)構(gòu)范圍內(nèi)的責(zé)任安全官的職位的角色和責(zé)任的了解被充分地理解，并被證明與機(jī)構(gòu)的信息安全政策一致機(jī)構(gòu)的安全政策清晰地定義每一個(gè)信息資產(chǎn)的所有者（如，用戶、管理層和安全管理員）被要求執(zhí)行的信息安全的責(zé)任含蓋數(shù)據(jù)和系統(tǒng)所有者所有主要數(shù)據(jù)源和系統(tǒng)的政策和程序存在有規(guī)律地評價(jià)并維護(hù)數(shù)據(jù)和系統(tǒng)所有者變化的程序存在描述監(jiān)督實(shí)踐，確保角色和責(zé)任被適當(dāng)?shù)匦惺梗⑶宜械娜藛T有足夠的權(quán)威和資源執(zhí)行其角色和責(zé)任的政策和程序存在下列一對職責(zé)要分離：系統(tǒng)開發(fā)和維護(hù)系統(tǒng)開發(fā)和運(yùn)行系統(tǒng)開發(fā)/維護(hù)和信息安全運(yùn)行和數(shù)據(jù)控制運(yùn)行和用戶運(yùn)行和信息安全I(xiàn)T的人員安置和能力被維護(hù)，以確保其具有提供有效技術(shù)解決方案的能力IT職位（工作）描述的評估和再評估的政策和程序存在對于關(guān)鍵的過程，包括系統(tǒng)開發(fā)生命周期活動(dòng)（需求、設(shè)計(jì)、開發(fā)、測試）、信息安全、獲取和容量的計(jì)劃編制，適當(dāng)?shù)慕巧拓?zé)任存在在實(shí)現(xiàn)機(jī)構(gòu)的目標(biāo)方面，使用適當(dāng)和有效的關(guān)鍵績效指標(biāo)和/或關(guān)鍵成功因素測量IT職能部門的結(jié)果控制咨詢者和其它契約人員活動(dòng)的IT政策和程序存在，從而確保機(jī)構(gòu)的資產(chǎn)的保護(hù)適用于已簽約IT服務(wù)的適當(dāng)性的過程，并要與機(jī)構(gòu)的獲取政策一致調(diào)整、溝通和歸檔IT職能部門高級職員會(huì)內(nèi)外部興趣的過程存在評定遵從性：測試：IT計(jì)劃/指導(dǎo)委員會(huì)檢查IT職能部門及其活動(dòng)以及解決行動(dòng)條款I(lǐng)T職能部門報(bào)告層次的適當(dāng)性在機(jī)構(gòu)關(guān)于為頂級管理層提供合作伙伴關(guān)系方面，IT職能部門的位置的有效性高級IT管理層了解用來監(jiān)控、測量和報(bào)告IT職能部門績效的過程用來評估績效的關(guān)鍵指標(biāo)當(dāng)實(shí)際結(jié)果不能滿足目標(biāo)水平，依照目標(biāo)水平，決定所采取的校正行動(dòng)的分析實(shí)際結(jié)果的過程為了來自期望的績效水平的任何重大差異，由管理層所采取的行動(dòng)用戶/所有者管理層評估IT職能部門提供滿足用戶/所有者需求的信息技術(shù)解決方案的反應(yīng)速度和能力IT管理層知道其角色和責(zé)任涉及IT項(xiàng)目計(jì)劃的測試和審批的質(zhì)量保證安全人員評價(jià)核心操作系統(tǒng)和應(yīng)用系統(tǒng)到位或正在開發(fā)的評估信息安全（邏輯和物理兩者）的安全職能部門報(bào)告或文檔的適當(dāng)性信息安全政策和程序的充分了解和一致應(yīng)用出席信息安全和內(nèi)部控制培訓(xùn)的人員對于所有的信息資產(chǎn)，數(shù)據(jù)和系統(tǒng)所有權(quán)被定義數(shù)據(jù)和系統(tǒng)所有者審批數(shù)據(jù)和系統(tǒng)制造的變化所有的數(shù)據(jù)和系統(tǒng)具有一個(gè)所有者或者管理人，他們負(fù)責(zé)控制數(shù)據(jù)和系統(tǒng)的水平所有數(shù)據(jù)和系統(tǒng)資產(chǎn)的訪問由資產(chǎn)的所有者審批與職位（工作）相聯(lián)系的權(quán)利和監(jiān)督的直線要與在職者的義務(wù)相稱職位（工作）描述清楚地描繪權(quán)利和責(zé)任兩者職位（工作）描述清楚地描述所需的業(yè)務(wù)、相關(guān)的和技術(shù)的資格職位（工作）已經(jīng)被精確地溝通，并由個(gè)人所理解IT職能部門的職位（工作）描述包含已經(jīng)溝通給個(gè)人的關(guān)鍵績效指標(biāo)IT職員的義務(wù)和責(zé)任要對應(yīng)于已經(jīng)公布的職位（工作）描述和機(jī)構(gòu)的機(jī)構(gòu)圖兩者關(guān)鍵職位的職位（工作）描述到位，包括機(jī)構(gòu)關(guān)于信息系統(tǒng)、內(nèi)部控制和安全的訓(xùn)令職位（工作）描述的精確性要與這些職位在職者的當(dāng)前責(zé)任相比較遵從IT職能部門內(nèi)有意的職責(zé)分離以及職責(zé)限制的種類和范圍IT人員安置的維持能力作為責(zé)任、權(quán)利和績效標(biāo)準(zhǔn)的適當(dāng)性和透明度的基礎(chǔ)，職位（工作）描述的適當(dāng)性合同管理的責(zé)任分配給了適當(dāng)?shù)娜藛T合同的術(shù)語與正常的機(jī)構(gòu)合同的標(biāo)準(zhǔn)相一致，標(biāo)準(zhǔn)契約術(shù)語和條件已經(jīng)由法律的律師評價(jià)和評估，它們的同意意見要獲得合同包含適當(dāng)?shù)挠嘘P(guān)遵從性的條款：法人的安全和內(nèi)部控制政策、信息技術(shù)標(biāo)準(zhǔn)過程和/或結(jié)構(gòu)規(guī)定成功關(guān)系所必須的有效果和有效率的協(xié)調(diào)證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的機(jī)構(gòu)和關(guān)系的基準(zhǔn)決定由無效的IT計(jì)劃/指導(dǎo)委員會(huì)所引起的機(jī)構(gòu)方面影響的詳細(xì)評價(jià)在處理信息系統(tǒng)問題和執(zhí)行技術(shù)解決方案方面，測量IT職能部門進(jìn)步的詳細(xì)評價(jià)評估機(jī)構(gòu)的機(jī)構(gòu)、人員和個(gè)人能力、分配的角色和責(zé)任、數(shù)據(jù)和系統(tǒng)所有權(quán)、監(jiān)督、職責(zé)分離等的詳細(xì)評價(jià)決定在滿足機(jī)構(gòu)需求的有效性方面的質(zhì)量保證職能部門的詳細(xì)評價(jià)決定在提供機(jī)構(gòu)范圍內(nèi)信息安全（邏輯和物理兩者）和信息安全意識培訓(xùn)有效性方面的安全職能的詳細(xì)評價(jià)確定這些合同已經(jīng)由交易雙方適當(dāng)?shù)貓?zhí)行并且遵從機(jī)構(gòu)的標(biāo)準(zhǔn)合同術(shù)語的合同實(shí)例的詳細(xì)評價(jià)確定：由于IT計(jì)劃/指導(dǎo)委員會(huì)無效監(jiān)督所引起的IT職能及其活動(dòng)的弱點(diǎn)導(dǎo)致IT職能無效果或無效率的機(jī)構(gòu)機(jī)構(gòu)的縫隙、重疊，等等不適當(dāng)?shù)臋C(jī)構(gòu)機(jī)構(gòu)、缺少的職能、不充足的人員、能力不足、不適當(dāng)?shù)慕巧拓?zé)任、數(shù)據(jù)和系統(tǒng)所有權(quán)的混亂、監(jiān)督的問題、缺乏職責(zé)分離，等等確實(shí)滿足質(zhì)量保證要求的正在開發(fā)、修改或者執(zhí)行的系統(tǒng)確實(shí)滿足安全（或者是邏輯的，或者是物理的，或者是兩者兼顧）需求的正在開發(fā)、修改或者執(zhí)行的系統(tǒng)不能滿足機(jī)構(gòu)的合同要求的合同IT職能部門和各種各樣其它有興趣的IT職能部門的內(nèi)外之間的無效協(xié)調(diào)和溝通5管理信息技術(shù)投資（PO5）控制的IT過程：管理IT投資滿足的業(yè)務(wù)需求：保證資金并控制財(cái)務(wù)資源的支出實(shí)現(xiàn)路線：由業(yè)務(wù)決定的定期投資和運(yùn)作預(yù)算的建立和審批需要考慮的事項(xiàng)：資金的選擇清晰的預(yù)算所有者實(shí)際支出的控制成本的合理性和所有者總成本的意識收益的合理性和收益實(shí)現(xiàn)的責(zé)任制技術(shù)和應(yīng)用軟件的生命周期要與企業(yè)的業(yè)務(wù)戰(zhàn)略相結(jié)合效果的評估資產(chǎn)管理信息規(guī)范IT資源P效果*人員P效率*應(yīng)用保密*技術(shù)完整*設(shè)施可用數(shù)據(jù)遵從S可靠5.1年度IT運(yùn)營預(yù)算高級管理層應(yīng)執(zhí)行預(yù)算編制過程，按照機(jī)構(gòu)的長期和短期計(jì)劃以及IT的長期和短期計(jì)劃，保證年度IT運(yùn)作預(yù)算的建立和批準(zhǔn)。應(yīng)調(diào)查資金的選擇。5.2成本和收益的監(jiān)控管理層應(yīng)建立成本監(jiān)測的過程，將實(shí)際支出與預(yù)算進(jìn)行比較。此外，由IT活動(dòng)衍生出來的可能存在的收益應(yīng)被確定和報(bào)告。對于費(fèi)用監(jiān)測來講，實(shí)際數(shù)據(jù)的來源應(yīng)以機(jī)構(gòu)的會(huì)計(jì)系統(tǒng)為基礎(chǔ)，該系統(tǒng)應(yīng)例行公事地紀(jì)錄、處理并報(bào)告與IT職能部門的活動(dòng)相關(guān)的成本。對于收益的監(jiān)測來講，高層次的績效指標(biāo)應(yīng)被詳細(xì)地說明，有規(guī)率地進(jìn)行報(bào)告并對其適當(dāng)性進(jìn)行評價(jià)。5.3成本和收益的合理性管理控制應(yīng)設(shè)置到位，以保證IT職能部門交付服務(wù)的成本是合理的并符合行業(yè)標(biāo)準(zhǔn)。由IT活動(dòng)衍生出來的收益也應(yīng)做同樣應(yīng)的分析。對高級和詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：獲得了解：訪談：首席財(cái)務(wù)官（CFO）首席信息官（CIO）IT計(jì)劃/指導(dǎo)委員會(huì)成員IT高級管理層獲得：與預(yù)算和成本核算相聯(lián)系的機(jī)構(gòu)的政策、方法和程序與預(yù)算和成本核算相聯(lián)系的IT政策和程序當(dāng)前和最近的以前年度IT職能部門的年度運(yùn)作預(yù)算機(jī)構(gòu)目標(biāo)和長短期計(jì)劃IT目標(biāo)和長短期計(jì)劃高級管理層計(jì)劃/指導(dǎo)的角色和責(zé)任與差異監(jiān)控和控制相連接的差異報(bào)告及其它溝通狀況報(bào)告和計(jì)劃/指導(dǎo)委員會(huì)會(huì)議紀(jì)要評估控制：考慮是否：IT預(yù)算的過程與機(jī)構(gòu)的過程一致確保與機(jī)構(gòu)的預(yù)算、機(jī)構(gòu)的長短期計(jì)劃、IT長短期計(jì)劃相一致的年度IT運(yùn)作預(yù)算的準(zhǔn)備和適當(dāng)審批的政策和程序的到位預(yù)算過程要與在準(zhǔn)備階段起作用的IT職能部門的主要單位的管理層分享有規(guī)律地監(jiān)控實(shí)際成本，并將其與計(jì)劃的成本相比較的政策和程序要到位，實(shí)際的成本是以機(jī)構(gòu)的成本會(huì)計(jì)系統(tǒng)為基礎(chǔ)的保證IT職能部門的服務(wù)交付具有合理的成本并遵守行業(yè)成本的政策和程序到位評定遵從性：測試：在證明IT年度運(yùn)作計(jì)劃是合理的方面，IT預(yù)算的支持是適當(dāng)?shù)腎T支出的種類是全面的、適當(dāng)?shù)牟⑦M(jìn)行了適當(dāng)?shù)姆诸惾粘Ｓ涗洝⑻幚砗蛨?bào)告與IT職能部門活動(dòng)相聯(lián)系的成本的系統(tǒng)是適當(dāng)?shù)某杀颈O(jiān)控過程充分地比較實(shí)際的預(yù)算由受影響的用戶組的管理層、IT職能部門以及機(jī)構(gòu)的高級管理層所進(jìn)行的成本/效益分析被充分地評價(jià)用來監(jiān)控成本的工具是有效的并適當(dāng)?shù)厥褂米C實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的預(yù)算和成本的基準(zhǔn)最近的過去和當(dāng)前的年度預(yù)算，及與之相對的結(jié)果、差異和所采取的校正行動(dòng)的詳細(xì)評價(jià)確定：沒有按照機(jī)構(gòu)的預(yù)算和長短期計(jì)劃、IT長短期計(jì)劃懂得IT預(yù)算沒有被捕捉到的IT職能部門的實(shí)際成本6溝通管理的目標(biāo)和方向（PO6）控制的IT過程：溝通管理的目標(biāo)和方向滿足的業(yè)務(wù)需求：確保用戶知曉并理解這些目標(biāo)實(shí)現(xiàn)路線：建立政策并與用戶團(tuán)體進(jìn)行交流；此外，需要建立標(biāo)準(zhǔn)，以便將戰(zhàn)略性選擇轉(zhuǎn)化為實(shí)際及便于使用的用戶規(guī)則需要考慮的事項(xiàng)：清晰統(tǒng)一的使命連接業(yè)務(wù)目標(biāo)的技術(shù)方針行為/道德規(guī)范的法規(guī)質(zhì)量承諾安全和內(nèi)部控制政策安全和內(nèi)部控制實(shí)踐實(shí)例引導(dǎo)持續(xù)的溝通程序提供指導(dǎo)和遵從性檢查信息規(guī)范IT資源P效果*人員效率應(yīng)用保密技術(shù)完整設(shè)施可用數(shù)據(jù)S遵從可靠6.1積極的信息控制環(huán)境為了給正確的行為提供指導(dǎo)，消除不道德行為的誘惑并嚴(yán)肅紀(jì)律，管理層應(yīng)建立一個(gè)全機(jī)構(gòu)范圍內(nèi)培育積極控制環(huán)境的框架和認(rèn)知程序。這些框架和程序應(yīng)專注于員工的誠信、倫理價(jià)值和能力以及管理哲學(xué)、操作風(fēng)格和義務(wù)。針對IT的各方面，包括安全和業(yè)務(wù)持續(xù)性計(jì)劃，要給予具體的考慮。6.2管理層在政策方面的責(zé)任對于覆蓋總體目標(biāo)和方針的政策而言，管理層應(yīng)對政策的闡明、開發(fā)、聲明、公布和控制承擔(dān)全部責(zé)任。政策適當(dāng)性的評價(jià)應(yīng)有規(guī)率地進(jìn)行。撰寫的政策及其程序的復(fù)雜性應(yīng)總是與機(jī)構(gòu)的規(guī)模和管理風(fēng)格相一致。6.3機(jī)構(gòu)政策的溝通管理層應(yīng)確保機(jī)構(gòu)政策在機(jī)構(gòu)內(nèi)的所有層次上被清晰地溝通、理解并被接受。溝通過程應(yīng)由一套使用靈活多變溝通手段的有效計(jì)劃所支持。6.4政策執(zhí)行資源為了政策的執(zhí)行，為了確保政策的遵循，管理層應(yīng)對適當(dāng)?shù)馁Y源做出計(jì)劃，以使它們構(gòu)筑到并成為運(yùn)作的一個(gè)完整組成部分。管理層還應(yīng)監(jiān)控政策執(zhí)行的及時(shí)性。6.5政策的維護(hù)政策應(yīng)被有規(guī)率地調(diào)整，以適應(yīng)變化的條件。政策起碼應(yīng)按年或者根據(jù)運(yùn)行或業(yè)務(wù)環(huán)境的重大變化而進(jìn)行重新評估，評估它們的充分性和適當(dāng)性，并做必要的修改。對于定期的評價(jià)以及標(biāo)準(zhǔn)、政策、方針和程序的審批，管理層應(yīng)提供一個(gè)框架和過程。6.6遵從政策、程序和標(biāo)準(zhǔn)管理層應(yīng)確保合適的程序設(shè)置到位，以判定每個(gè)人是否理解了執(zhí)行的政策和程序，以及這些程序和政策是否被遵循。倫理道德、安全和內(nèi)部控制標(biāo)準(zhǔn)的遵從程序應(yīng)由最高管理層來建立，并由實(shí)例來促進(jìn)其貫徹執(zhí)行。6.7質(zhì)量義務(wù)管理層應(yīng)定義、形成文件并維護(hù)與企業(yè)價(jià)值觀和政策相一致的質(zhì)量價(jià)值觀、政策和目標(biāo)，這些質(zhì)量價(jià)值觀、政策和目標(biāo)應(yīng)被IT職能部門的所有層次所理解、執(zhí)行和維持。6.8安全和內(nèi)部控制框架政策管理層應(yīng)對開發(fā)并維護(hù)框架的政策付全部責(zé)任，這個(gè)框架設(shè)立機(jī)構(gòu)的總體安全和內(nèi)部控制的方法，以建立并改善IT資源的保護(hù)和IT系統(tǒng)的完整。政策應(yīng)服從總體業(yè)務(wù)目標(biāo)，目標(biāo)是：通過預(yù)防性措施、及時(shí)辨識不規(guī)范行為、限制損失和及時(shí)恢復(fù)，使風(fēng)險(xiǎn)最小化。這種措施應(yīng)以成本/收益分析為基礎(chǔ)，并應(yīng)區(qū)分優(yōu)先順序。另外，管理層應(yīng)確保這些高層次的安全和內(nèi)部控制政策詳細(xì)說明了目的和目標(biāo)、管理結(jié)構(gòu)、機(jī)構(gòu)內(nèi)的適用范圍、在所有層次上執(zhí)行的責(zé)任的定義和分配以及對違背安全和內(nèi)部控制政策行為的處罰的定義。應(yīng)詳細(xì)說明框架定期再評估的標(biāo)準(zhǔn)，以對正在變化著的機(jī)構(gòu)、環(huán)境和技術(shù)需求做出支持響應(yīng)。6.9知識產(chǎn)權(quán)管理層應(yīng)規(guī)定并執(zhí)行有關(guān)自行開發(fā)和簽約開發(fā)軟件的知識產(chǎn)權(quán)方面的書面政策。6.10特定問題政策措施應(yīng)設(shè)置到位，確保細(xì)節(jié)問題政策的建立，以便在從事特殊的活動(dòng)、應(yīng)用、系統(tǒng)或技術(shù)時(shí)，歸檔管理決策。6.11IT安全意識的溝通應(yīng)通過一個(gè)IT安全意識教程，將IT安全政策溝通給每一個(gè)IT用戶，并保證對IT安全重要性的完整理解。這個(gè)教程應(yīng)傳達(dá)這樣一種信息，那就是IT安全將使它的機(jī)構(gòu)、它的所有雇員受益，每個(gè)人對此都負(fù)有責(zé)任。IT安全意識教程應(yīng)代表管理層的觀點(diǎn)并被他們所支持。對高級和詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：獲得了解：訪談：首席執(zhí)行官（CEO）首席運(yùn)營官（COO）首席財(cái)務(wù)官（CFO）首席信息官（CIO）安全官IT高級管理層IT計(jì)劃/指導(dǎo)委員會(huì)成員獲得：與管理層的積極控制框架、認(rèn)知程序、安全和內(nèi)部控制框架、IT質(zhì)量程序相關(guān)的政策和程序高級管理層的指導(dǎo)角色和責(zé)任機(jī)構(gòu)的目標(biāo)和長短期計(jì)劃IT的目標(biāo)和長短期計(jì)劃狀況報(bào)告和計(jì)劃/指導(dǎo)委員會(huì)會(huì)議紀(jì)要溝通程序評估控制：考慮是否：機(jī)構(gòu)的政策和程序創(chuàng)造了一個(gè)框架和程序，給予信息技術(shù)以特別的關(guān)注，培育一個(gè)積極的控制環(huán)境，并選擇如下的方面：完整倫理價(jià)值行為規(guī)范安全和內(nèi)部控制人員的能力管理哲學(xué)和運(yùn)作風(fēng)格由董事會(huì)的董事或相同人物提供的問責(zé)制、注意和方向由例子說明頂級管理層促進(jìn)積極的控制環(huán)境管理層已經(jīng)接受了明確敘述、開發(fā)、歸檔、發(fā)布、控制并有規(guī)律地評價(jià)治理總目標(biāo)和方向的政策的責(zé)任提供相關(guān)于管理層的積極的控制環(huán)境的正在進(jìn)行的溝通和培訓(xùn)的正式的認(rèn)知程序存在確保適當(dāng)?shù)暮妥銐虻馁Y源被分配，以便以及時(shí)的方式執(zhí)行機(jī)構(gòu)的政策的機(jī)構(gòu)政策和程序存在確保個(gè)人理解被執(zhí)行的政策和程序，政策和程序被追隨的適當(dāng)?shù)某绦虻轿籌T政策和程序定義、歸檔并維持一個(gè)正式的治理系統(tǒng)和服務(wù)質(zhì)量的哲學(xué)政策和目標(biāo)，其產(chǎn)生要與機(jī)構(gòu)的哲學(xué)、政策和目標(biāo)相一致IT管理層確保質(zhì)量哲學(xué)、政策和目標(biāo)被理解、執(zhí)行并在IT職能部門的所有層次上執(zhí)行選擇了定期評價(jià)和重新批準(zhǔn)的關(guān)鍵標(biāo)準(zhǔn)、方向、相關(guān)于信息技術(shù)的政策和程序需求的程序存在高級管理層已經(jīng)接受了為總體的安全和內(nèi)部控制方法開發(fā)一個(gè)框架的全部責(zé)任安全和內(nèi)部控制框架歸檔了詳細(xì)的安全和內(nèi)部控制政策、目的和目標(biāo)、管理結(jié)構(gòu)機(jī)構(gòu)之內(nèi)的范圍、責(zé)任的分配以及遵從安全與內(nèi)部控制政策失敗相關(guān)的處罰和懲戒的定義正式的安全和內(nèi)部控制政策確定機(jī)構(gòu)的內(nèi)部控制過程，包括諸如下述控制組件：控制環(huán)境風(fēng)險(xiǎn)評估控制活動(dòng)信息和溝通監(jiān)控歸檔選擇特殊活動(dòng)、應(yīng)用、系統(tǒng)或技術(shù)的管理決策的發(fā)行的特定政策存在評定遵從性：測試：在培育積極的控制方面管理層的努力，包括諸如這些關(guān)鍵的方面：誠實(shí)、倫理價(jià)值、行為規(guī)范、安全和內(nèi)部控制、人員的能力、管理哲學(xué)和操作風(fēng)格、問責(zé)制、所提供的關(guān)注和方向雇員已經(jīng)收到了行為規(guī)范并理解它選擇機(jī)構(gòu)的內(nèi)部控制環(huán)境的政策的管理層的溝通正在發(fā)生管理層明確敘述、開發(fā)、歸檔、發(fā)布和控制的包含內(nèi)部控制環(huán)境的政策的資源承諾正在發(fā)生標(biāo)準(zhǔn)、方向、政策和程序的持續(xù)適當(dāng)性及其適應(yīng)變化條件能力的管理層的有規(guī)律地評價(jià)管理層的監(jiān)控努力正在確保適當(dāng)?shù)暮妥銐虻馁Y源被分配以便以及時(shí)的方式執(zhí)行機(jī)構(gòu)的政策管理層關(guān)于其內(nèi)部控制環(huán)境的相關(guān)標(biāo)準(zhǔn)、方向、政策和程序的強(qiáng)制努力正確保貫穿機(jī)構(gòu)的遵從性質(zhì)量哲學(xué)、政策和目標(biāo)正決定遵從性，并與機(jī)構(gòu)的法人和IT職能哲學(xué)以及政策和程序相一致挑選的的IT管理、開發(fā)和運(yùn)行人員正在決定質(zhì)量哲學(xué)，相關(guān)的政策、程序和目標(biāo)被理解，并被IT職能部門內(nèi)所有層次所遵循質(zhì)量測量過程正在確保機(jī)構(gòu)目標(biāo)的滿足挑選的的管理成員在他們的評價(jià)責(zé)任之下被包括并理解安全和內(nèi)部控制活動(dòng)的內(nèi)容（也就是說，例外報(bào)告、調(diào)和、比較，等等）個(gè)人的角色、責(zé)任和權(quán)利在機(jī)構(gòu)的所有層次上被清楚地溝通和理解挑選的的部門評估日常監(jiān)控安全和內(nèi)部控制活動(dòng)的程序（也就是說，例外報(bào)告、調(diào)和、比較，等等），為管理層提供反饋的過程正在發(fā)生挑選的的系統(tǒng)歸檔確定，按照機(jī)構(gòu)的政策和程序，系統(tǒng)特定的管理決策已經(jīng)被歸檔和批準(zhǔn)挑選的的系統(tǒng)歸檔確定，選擇特定活動(dòng)、應(yīng)用系統(tǒng)或技術(shù)的管理決策已經(jīng)由高級管理層簽署證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的管理的信息控制框架和認(rèn)知程序的基準(zhǔn)與項(xiàng)目相關(guān)的、以成本/效益分析為基礎(chǔ)決定項(xiàng)目優(yōu)先順序和審批的、被批準(zhǔn)的安全和內(nèi)部控制實(shí)例的詳細(xì)評價(jià)確定：開始懷疑管理層在貫穿機(jī)構(gòu)范圍內(nèi)培育積極的內(nèi)部控制環(huán)境承諾的虛弱的控制框架選擇機(jī)構(gòu)的內(nèi)部控制環(huán)境，有效地溝通其政策的管理失敗被分配用來明確敘述、開發(fā)、歸檔、發(fā)布和控制的包含內(nèi)部控制環(huán)境的政策的資源的缺乏不是最近的標(biāo)準(zhǔn)、方向、政策和程序確保標(biāo)準(zhǔn)、方向、政策和程序貫穿機(jī)構(gòu)之內(nèi)遵守的不充分的管理遵從監(jiān)控IT職能部門在其質(zhì)量或其有效定義、歸檔、維持并溝通質(zhì)量哲學(xué)、政策和目標(biāo)能力承諾方面的不足在機(jī)構(gòu)的和/或IT職能部門的安全和內(nèi)部控制框架方面的弱點(diǎn)缺少所需要的選擇特定活動(dòng)、應(yīng)用或技術(shù)的特定問題的政策7管理人力資源（PO7）控制的IT過程：管理人力資源滿足的業(yè)務(wù)需求：獲取和維持一個(gè)被激發(fā)和有能力的工作隊(duì)伍，最大化個(gè)人對IT過程的貢獻(xiàn)實(shí)現(xiàn)路線：在員工的招募、訓(xùn)練、檢查、報(bào)酬、培訓(xùn)、評價(jià)、職位升降和解雇中，體現(xiàn)健全、公正和透明的人事管理實(shí)踐需要考慮的事項(xiàng)：招募和升職培訓(xùn)和任職要求意識的建立交叉培訓(xùn)和輪崗雇用、檢查和解雇程序目標(biāo)和可測量績效的評估技術(shù)和市場變化的響應(yīng)內(nèi)部和外部資源的適當(dāng)平衡關(guān)鍵職位的繼任計(jì)劃信息規(guī)范IT資源P效果*人員P效率應(yīng)用保密技術(shù)完整設(shè)施可用數(shù)據(jù)遵從可靠7.1人員招募和升職在人員的招募和升職實(shí)踐中，管理層應(yīng)執(zhí)行并有規(guī)律地評估所要求的過程，以確保人員的招募和升職實(shí)踐依據(jù)以的標(biāo)準(zhǔn)為基礎(chǔ)，并考慮了教育背景、經(jīng)驗(yàn)和責(zé)任。這些過程應(yīng)符合整個(gè)機(jī)構(gòu)在這些方面的政策和程序，比如雇用、方向、培訓(xùn)、評估、商討、晉升、報(bào)酬和訓(xùn)練等程序。管理層應(yīng)確保知識和技能需求被不斷地評估，并且要保證機(jī)構(gòu)能夠獲得一個(gè)達(dá)到機(jī)構(gòu)目標(biāo)所需要的相匹配技能的工作隊(duì)伍。7.2人員的任職資格IT管理層應(yīng)有規(guī)律地查驗(yàn)執(zhí)行具體任務(wù)的職員，看看他們在適當(dāng)?shù)慕逃?、培?xùn)和（或）經(jīng)歷的方面，是否具有所需要的資格。管理層應(yīng)鼓勵(lì)它的職員獲得專業(yè)機(jī)構(gòu)的認(rèn)證資格。7.3角色和責(zé)任管理層應(yīng)清晰地說明職員的角色和責(zé)任，包括遵守管理政策和程序、道德規(guī)范和職業(yè)慣例的規(guī)定的要求。雇傭的期限和條件應(yīng)強(qiáng)調(diào)雇員對于信息安全和內(nèi)部控制的責(zé)任。7.4人員培訓(xùn)管理層應(yīng)確保雇員得到雇用方向和在職的培訓(xùn)，以維持他們的知識、技能、能力和安全意識到所需的有效完成工作的水平。引導(dǎo)有效地提高員工的技術(shù)和管理技能水平的教育和培訓(xùn)程序應(yīng)被有規(guī)律地檢查。7.5交叉培訓(xùn)或人員后備管理層應(yīng)提供充足的交叉培訓(xùn)或確認(rèn)的關(guān)鍵人員的備份，以防不測。管理層應(yīng)對所有關(guān)鍵的職能和崗位建立持續(xù)性計(jì)劃，應(yīng)要求敏感崗位的人員休息一段連續(xù)的足夠長度的假期，以鍛煉機(jī)構(gòu)應(yīng)付關(guān)鍵人員的效效、預(yù)防和探測欺詐行為的能力。7.6人員的調(diào)查程序IT管理層應(yīng)確保他們的員工在被雇用、調(diào)離或升職之前，根據(jù)他們所在崗位的敏感性，進(jìn)行安全調(diào)查程序。一個(gè)沒有接受過這樣安全調(diào)查的新雇員，不應(yīng)安排在敏感的崗位，直到他接受了安全調(diào)查。7.7雇員工作績效的評估管理層應(yīng)執(zhí)行一個(gè)雇員績效評估流程，借助有效的獎(jiǎng)勵(lì)機(jī)制，加強(qiáng)員工對于個(gè)人的業(yè)績與機(jī)構(gòu)的成功之間的關(guān)系的認(rèn)識。評估應(yīng)依據(jù)已經(jīng)建立的標(biāo)準(zhǔn)和具體的工作職責(zé)有規(guī)律地執(zhí)行。無論何時(shí)，只要是適當(dāng)?shù)?，雇員應(yīng)得到業(yè)績方面的忠告或指導(dǎo)。7.8工作的變更和終止對于工作的變化和終止，管理層應(yīng)采取適當(dāng)和及時(shí)的行動(dòng)，以便內(nèi)部控制和安全不被這樣的事件削弱。對高級和詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：獲得了解：訪談：人力資源官和挑選的人員安全官挑選的安全人員IT經(jīng)理IT人力資源官挑選的IT管理層挑選的IT人員挑選的與IT職能敏感位置相關(guān)的人員獲得：與人力資源管理相關(guān)的政策和程序職位描述、績效評估形式、培訓(xùn)和發(fā)展形式選擇職位的人員文件和人員評估控制：考慮是否：使用標(biāo)準(zhǔn)招募和選擇人員，以填補(bǔ)公開的職位人員職位所需資格的說明書考慮適用的專業(yè)部門的相關(guān)需求管理層和雇員接受工作能力過程培訓(xùn)程序要與機(jī)構(gòu)的已歸檔的關(guān)于教育和包含安全問題的總體認(rèn)識的最小需求相一致管理層應(yīng)承擔(dān)個(gè)人培訓(xùn)和職業(yè)發(fā)展的義務(wù)技術(shù)和管理技能的縫隙被確定，針對這些縫隙，采取適當(dāng)?shù)男袆?dòng)對于關(guān)鍵的工作職能，正在進(jìn)行的交叉培訓(xùn)以及人員的備份發(fā)生強(qiáng)制的不間斷的假期政策發(fā)生機(jī)構(gòu)的安全檢查過程是適當(dāng)?shù)囊砸惶讟?biāo)準(zhǔn)的職位能力文件為基礎(chǔ)，進(jìn)行雇員的評估，評估以定期的方式舉行工作變化和終止過程確保機(jī)構(gòu)資源的保護(hù)人力資源管理政策和程序與適用的法律和規(guī)章一致評定遵從性：測試：招募和/或晉升行動(dòng)、選擇標(biāo)準(zhǔn)反映職位需求的目標(biāo)和關(guān)聯(lián)對于他們的工作職責(zé)或者責(zé)任區(qū)域來講，人員具有運(yùn)作的足夠的知識職位（工作）描述存在，被評價(jià)并被保持是最新的個(gè)人文件包含雇員的機(jī)構(gòu)全部教育和總體認(rèn)識程序的了解的承認(rèn)書對于分配關(guān)鍵職能的適當(dāng)?shù)娜藛T，正在進(jìn)行的培訓(xùn)和教育發(fā)生IT人員已經(jīng)收到安全程序和技術(shù)方面的適當(dāng)培訓(xùn)IT管理層和職員知道并理解機(jī)構(gòu)的政策和程序安全檢查調(diào)查的程序與治理隱私的適用法律相一致業(yè)務(wù)目標(biāo)的知識按照人分配給關(guān)鍵的IT職能，包括內(nèi)部控制哲學(xué)、信息系統(tǒng)安全和控制概念證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的人力資源管理活動(dòng)的基準(zhǔn)IT人力資源管理活動(dòng)的詳細(xì)評價(jià)確定：來自潛在/實(shí)際的工作候選人的缺陷/委屈的原因招募、調(diào)任、晉升和終止行動(dòng)中與下述相比的差異：沒有跟隨政策和程序行動(dòng)沒有由適當(dāng)?shù)墓芾韺铀炇鹦袆?dòng)沒有以工作說明書和人員資格為基礎(chǔ)人員：資格不適當(dāng)培訓(xùn)和發(fā)展的機(jī)遇與能力的縫隙聯(lián)系的不緊缺少工作績效的評估，或者不能支持所占據(jù)的職位和/或正被執(zhí)行的任務(wù)與雇傭相關(guān)聯(lián)的安全調(diào)查沒能跟進(jìn)定期的安全調(diào)查沒能執(zhí)行不充分的培訓(xùn)程序和職員發(fā)展活動(dòng)不充分的交叉培訓(xùn)和關(guān)鍵人員的備份沒有簽字的安全政策承認(rèn)書分配給培訓(xùn)和職員發(fā)展的不適當(dāng)?shù)念A(yù)算和時(shí)間職員執(zhí)行關(guān)鍵的職能，沒有指明假期和渡假天的人員時(shí)間報(bào)告確保遵從外部要求（PO8）控制的IT過程：確保遵從外部要求滿足的業(yè)務(wù)需求：履行法律的、法規(guī)的、契約的義務(wù)實(shí)現(xiàn)路線：識別和分析影響IT的外部要求，并采取適當(dāng)?shù)拇胧┳駨乃鼈冃枰紤]的事項(xiàng)：法律、規(guī)章和合同追蹤法律和法規(guī)的發(fā)展對遵從性有規(guī)律的監(jiān)測安全和人類環(huán)境改造學(xué)隱私知識產(chǎn)權(quán)信息規(guī)范IT資源P效果*人員效率*應(yīng)用保密技術(shù)完整設(shè)施可用*數(shù)據(jù)P遵從S可靠8.1外部要求的評價(jià)機(jī)構(gòu)應(yīng)建立并維護(hù)外部要求檢查以及協(xié)調(diào)這些活動(dòng)的程序，通過持續(xù)的調(diào)查確定機(jī)構(gòu)可適用的外部要求。有關(guān)IT實(shí)踐和控制的法律、政府和其它外部部門的要求應(yīng)當(dāng)被檢查。管理層也應(yīng)評估任何有關(guān)機(jī)構(gòu)總體信息要求的外部關(guān)系的影響，包括IT策略需要遵從或支持任何相關(guān)的第三方需求范圍的決定。8.2遵守外部要求的實(shí)務(wù)和程序機(jī)構(gòu)的實(shí)務(wù)應(yīng)確保適當(dāng)?shù)募m正行為及時(shí)地被采取，以保證符合外部的要求。另外，應(yīng)建立并維護(hù)確保持續(xù)不斷遵從的適當(dāng)程序。對此，如果需要，管理層應(yīng)尋求法律意見。8.3防護(hù)和人類環(huán)境改造要求的遵從管理層應(yīng)確保遵從IT用戶和員工工作環(huán)境的防護(hù)及人類環(huán)境改造的標(biāo)準(zhǔn)。8.4隱私、知識產(chǎn)權(quán)和數(shù)據(jù)流管理層應(yīng)確保遵從隱私、知識產(chǎn)權(quán)、過境數(shù)據(jù)流和密文規(guī)則適用于機(jī)構(gòu)的IT實(shí)踐。8.5電子商務(wù)在貿(mào)易雙方之間的通訊處理以及交易信息安全和數(shù)據(jù)存儲的標(biāo)準(zhǔn)方面，管理層應(yīng)確保簽訂正式的合同，建立貿(mào)易伙伴間的協(xié)議。如果是因特網(wǎng)上的貿(mào)易，管理層應(yīng)加強(qiáng)適當(dāng)?shù)目刂?，確保遵守當(dāng)?shù)胤珊蛧H上廣泛承認(rèn)的慣例。實(shí)用標(biāo)準(zhǔn)文案實(shí)用標(biāo)準(zhǔn)文案?精彩文檔?精彩文檔實(shí)用標(biāo)準(zhǔn)文案?精彩文檔8.6遵守保險(xiǎn)合同管理層應(yīng)確保保險(xiǎn)合同的要求被完全辨認(rèn)并不斷地被滿足。對高級和詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：獲得了解：訪談：法律律師人力資源官IT職能部門的高級管理層獲得：有關(guān)政府和/或外部要求（也就是說，法律、立法、指南、規(guī)章和標(biāo)準(zhǔn)）相關(guān)于外部關(guān)系和外部要求評價(jià)、保護(hù)和健康（包括工作環(huán)境改造學(xué)）遵從問題、隱私問題、信息系統(tǒng)安全要求、密碼數(shù)據(jù)傳輸?shù)确矫妗獓鴥?nèi)和國際國內(nèi)或國際與電子商務(wù)使用相關(guān)的“會(huì)計(jì)標(biāo)準(zhǔn)/聲明”與電子商務(wù)使用有關(guān)的征稅規(guī)定關(guān)于以下的標(biāo)準(zhǔn)、政策和程序：外部要求評價(jià)保護(hù)和健康（包括工作環(huán)境改造學(xué)）隱私安全數(shù)據(jù)被輸入、處理、存儲、輸出和傳輸?shù)拿舾械燃夒娮由虅?wù)保險(xiǎn)如果適用的話，與所有電子貿(mào)易伙伴以及電子數(shù)據(jù)互換（EDI）賣主簽定的所有合同的拷貝件與保險(xiǎn)合同相關(guān)的所有IT職能的拷貝件法律律師有關(guān)保險(xiǎn)合同“uberrimaefodei”（以極度好的信念）需求的建議（Uberrimaefodei要求當(dāng)事人各方彼此之間最大限度地披露所有風(fēng)險(xiǎn)的事實(shí)材料。假如這種感覺的良好信念沒有展示出來，那么合同對于受傷害方無效的，不愉快一方不能執(zhí)行合同。）來自外部審計(jì)師、第三方服務(wù)提供者和政府中介的審計(jì)報(bào)告評估控制：考慮是否：下列政策和程序到位：確保與外部需求評價(jià)相關(guān)的適當(dāng)?shù)男Ｕ袆?dòng)以及時(shí)的方式被采取，并且程序到位以確保持續(xù)的遵從協(xié)調(diào)外部需求評價(jià)，確保校正行動(dòng)以及時(shí)的方式采取，保證遵從外部需求選擇適當(dāng)?shù)木S護(hù)、保護(hù)和健康的目標(biāo)確保適當(dāng)?shù)谋Ｗo(hù)和健康培訓(xùn)和教育提供給所有的雇員監(jiān)控適用的保護(hù)和健康法律和規(guī)章的遵從性提供隱私方面足夠數(shù)量的方向/重點(diǎn)，以便所有的法律要求都落在其范圍之內(nèi)通知保險(xiǎn)公司IT環(huán)境變化的所有材料確保遵從保險(xiǎn)合同的要求當(dāng)新的/修改的保險(xiǎn)合同加入時(shí)，確保更新材料安全程序與所有的法律要求一致，并被充分地選擇，包括：口令保護(hù)和限制訪問軟件授權(quán)過程終端安全措施數(shù)據(jù)加密措施防火墻控制病毒保護(hù)違背報(bào)告的及時(shí)跟進(jìn)評定遵從性：測試：外部要求評價(jià)是：當(dāng)前、全部和全面的關(guān)于法律、政府和規(guī)章問題導(dǎo)致迅速的校正行動(dòng)實(shí)用標(biāo)準(zhǔn)文案實(shí)用標(biāo)準(zhǔn)文案精彩文檔精彩文檔實(shí)用標(biāo)準(zhǔn)文案精彩文檔保護(hù)和健康評價(jià)在IT職能部門之內(nèi)采取，確保遵從外部要求不能遵從保護(hù)和健康標(biāo)準(zhǔn)的問題區(qū)域被校正IT遵從已歸檔的隱私和安全政策和程序跨越國界傳輸?shù)臄?shù)據(jù)不能侵犯輸出國的法律現(xiàn)有的帶有電子商務(wù)貿(mào)易合作伙伴的合同充分地選擇機(jī)構(gòu)政策和程序中詳細(xì)說明的要求現(xiàn)有的保險(xiǎn)合同充分地選擇機(jī)構(gòu)政策和程序中詳細(xì)說明的要求在那里受規(guī)章制度限制的強(qiáng)制的所使用的加密類型（例如密鑰的長度），正在使用的加密遵守規(guī)章在那里規(guī)章或內(nèi)部程序要求某項(xiàng)數(shù)據(jù)項(xiàng)被高度地保護(hù)和/或加密（例如，銀行的PIN號、稅款文件號、口令、軍事情報(bào)），這樣的保護(hù)/加密正在提供給這樣的數(shù)據(jù)由機(jī)構(gòu)所布置的實(shí)際EDI的過程，確保遵從機(jī)構(gòu)的政策和程序，遵從個(gè)人的電子商務(wù)貿(mào)易伙伴合同（如果適用的話，還包括EDI賣主合同）證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的外部需求遵從性、EDI活動(dòng)和保險(xiǎn)合同要求的基準(zhǔn)確保校正行動(dòng)已經(jīng)被采取或者正在被執(zhí)行的外部要求評價(jià)文件的詳細(xì)評價(jià)安全報(bào)告的詳細(xì)評價(jià)，以便評估是否敏感/隱私信息（是否同樣地由要么內(nèi)部程序，要么外部規(guī)章定義）正在被給予適當(dāng)?shù)陌踩兔孛鼙Ｗo(hù)確定：不能由機(jī)構(gòu)遵循的外部要求在響應(yīng)外部要求評價(jià)方面，重大的未解決/未更正的行動(dòng)在工作環(huán)境中不能被選擇的保護(hù)和健康（包括工作環(huán)境改造學(xué)）的風(fēng)險(xiǎn)與數(shù)據(jù)流和/或位于國境外的數(shù)據(jù)流相關(guān)的秘密和安全弱點(diǎn)電子商務(wù)的故障與貿(mào)易伙伴相關(guān)于通信過程、交易信息、安全和/或數(shù)據(jù)存儲的合同中的弱點(diǎn)在貿(mào)易伙伴信任關(guān)系方面的弱點(diǎn)保險(xiǎn)覆蓋的弱點(diǎn)/失誤不遵從保險(xiǎn)合同條款9評估風(fēng)險(xiǎn)（PO9）控制的IT過程：評估風(fēng)險(xiǎn)滿足的業(yè)務(wù)需求：通過降低復(fù)雜性、提高目的性以及確定重要的決定因素，實(shí)現(xiàn)IT目標(biāo)并應(yīng)對威脅，進(jìn)而支持管理決策實(shí)現(xiàn)路線：機(jī)構(gòu)自身積極致力于風(fēng)險(xiǎn)識別和影響分析，包括多學(xué)科功能和費(fèi)用效率測試，來減輕風(fēng)險(xiǎn)需要考慮的事項(xiàng)：風(fēng)險(xiǎn)管理主體和義務(wù)不同種類的IT風(fēng)險(xiǎn)（技術(shù)、安全、持續(xù)性、法規(guī)等）定義并溝通風(fēng)險(xiǎn)的容忍程度根本原因分析和風(fēng)險(xiǎn)頭腦風(fēng)暴會(huì)議定量和（或）定性的風(fēng)險(xiǎn)測量風(fēng)險(xiǎn)評估方法風(fēng)險(xiǎn)行動(dòng)計(jì)劃及時(shí)的再評估信息規(guī)范IT資源P效果*人員S效率*應(yīng)用P保密*技術(shù)P完整*設(shè)施P可用*數(shù)據(jù)S遵從S可靠9.1業(yè)務(wù)風(fēng)險(xiǎn)評估管理層應(yīng)建立一個(gè)系統(tǒng)的風(fēng)險(xiǎn)評估框架。這樣的一個(gè)框架應(yīng)將相關(guān)信息風(fēng)險(xiǎn)有規(guī)律的評估與實(shí)現(xiàn)業(yè)務(wù)目標(biāo)緊密結(jié)合，以此為基礎(chǔ)，決定風(fēng)險(xiǎn)應(yīng)怎樣才能被管理到一個(gè)可接受的水平。對于新的項(xiàng)目，也包括修復(fù)性的項(xiàng)目，風(fēng)險(xiǎn)評估的過程應(yīng)在全局和系統(tǒng)細(xì)節(jié)兩個(gè)層次上進(jìn)行，并保證交叉學(xué)科人員的參與。管理層應(yīng)確保風(fēng)險(xiǎn)再評估的執(zhí)行，并且風(fēng)險(xiǎn)評估的參考信息應(yīng)根據(jù)審計(jì)、檢查和確定事件的結(jié)果進(jìn)行更新。9.2風(fēng)險(xiǎn)評估的途徑管理層應(yīng)建立一個(gè)通用的風(fēng)險(xiǎn)評估途徑，定義它的范圍和邊界、所采用的風(fēng)險(xiǎn)評估的方法、責(zé)任和需要的技能。管理層應(yīng)領(lǐng)導(dǎo)風(fēng)險(xiǎn)減緩解決方案的確定，并要涉及系統(tǒng)弱點(diǎn)的辨認(rèn)。安全專家應(yīng)領(lǐng)導(dǎo)對威脅的辯認(rèn)，IT專家應(yīng)負(fù)責(zé)控制的選擇，結(jié)構(gòu)化的方法和熟練的風(fēng)險(xiǎn)評估師是風(fēng)險(xiǎn)評估的質(zhì)量保證。9.3風(fēng)險(xiǎn)確認(rèn)風(fēng)險(xiǎn)評估途徑應(yīng)著重于風(fēng)險(xiǎn)的基本要素和他們之間因果關(guān)系的檢查上，風(fēng)險(xiǎn)的基本要素包括有形的和無形的資產(chǎn)、資產(chǎn)價(jià)值、威脅、弱點(diǎn)、保護(hù)裝置、威脅的結(jié)果和可能性。風(fēng)險(xiǎn)辨識的過程應(yīng)包括定性的，在適用的地方也要采用定量的風(fēng)險(xiǎn)排序方法，并應(yīng)以管理層頭腦風(fēng)暴、戰(zhàn)略計(jì)劃、過去的審計(jì)和其它的評估作為輸入。風(fēng)險(xiǎn)評估應(yīng)考慮業(yè)務(wù)、規(guī)章、法律、技術(shù)、貿(mào)易伙伴和人力資源風(fēng)險(xiǎn)。9.4風(fēng)險(xiǎn)測量風(fēng)險(xiǎn)評估途徑應(yīng)確保風(fēng)險(xiǎn)辨識信息的分析是由被檢查區(qū)域暴露出風(fēng)險(xiǎn)的定量和（或）定性的測量造成的，機(jī)構(gòu)的風(fēng)險(xiǎn)承受能力也應(yīng)被評估。9.5風(fēng)險(xiǎn)行動(dòng)計(jì)劃風(fēng)險(xiǎn)評估途徑應(yīng)規(guī)定一個(gè)風(fēng)險(xiǎn)行動(dòng)計(jì)劃，以確保成本/效益控制和安全措施在持續(xù)的基礎(chǔ)上減輕風(fēng)險(xiǎn)的暴露。風(fēng)險(xiǎn)行動(dòng)計(jì)劃應(yīng)按照風(fēng)險(xiǎn)的避免、減輕或承受能力等方面，確定風(fēng)險(xiǎn)策略。9.6風(fēng)險(xiǎn)接受根據(jù)風(fēng)險(xiǎn)辨認(rèn)和測量結(jié)果、機(jī)構(gòu)的政策、風(fēng)險(xiǎn)評估途徑的本身的不確定性和實(shí)施安全控制的成本效益，風(fēng)險(xiǎn)評估途徑應(yīng)確保剩余風(fēng)險(xiǎn)的正式的可接受能力。剩余的風(fēng)險(xiǎn)應(yīng)由適當(dāng)?shù)谋ｋU(xiǎn)項(xiàng)目、簽約協(xié)商的責(zé)任和自我保險(xiǎn)抵消。9.7安全裝置的選擇當(dāng)尋求一個(gè)合理、適當(dāng)和相稱的安全和控制系統(tǒng)時(shí)，具有最高的投資回報(bào)率（ROI）和能快速生效的控制應(yīng)被優(yōu)先考慮?？刂葡到y(tǒng)還應(yīng)平衡預(yù)防、探測、改正和恢復(fù)措施。而且，管理層還需要溝通控制設(shè)施的目的、管理沖突的設(shè)施和監(jiān)視所有控制設(shè)施的持續(xù)有效性。9.8風(fēng)險(xiǎn)評估義務(wù)在內(nèi)部控制的設(shè)計(jì)和實(shí)施IT戰(zhàn)略計(jì)劃的制定以及在監(jiān)督和評估機(jī)制中，管理層應(yīng)鼓勵(lì)風(fēng)險(xiǎn)評估作為一個(gè)提供信息的重要工具。對高級和詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：獲得了解：訪談：IT職能部門的高級管理層挑選的IT人員挑選的風(fēng)險(xiǎn)管理人員IT服務(wù)的關(guān)鍵用戶獲得：相關(guān)于風(fēng)險(xiǎn)評估的政策和程序業(yè)務(wù)風(fēng)險(xiǎn)評估文檔操作風(fēng)險(xiǎn)評估文檔IT風(fēng)險(xiǎn)評估文檔詳細(xì)資料，以此為基礎(chǔ)可以測量風(fēng)險(xiǎn)和風(fēng)險(xiǎn)的暴露挑選出來的風(fēng)險(xiǎn)評估人員的個(gè)人檔案覆蓋殘留風(fēng)險(xiǎn)的保險(xiǎn)政策專家意見的結(jié)果同等團(tuán)體評價(jià)來自風(fēng)險(xiǎn)管理數(shù)據(jù)庫的洞察力評估控制：考慮是否：系統(tǒng)的風(fēng)險(xiǎn)評估框架到位，將相關(guān)的信息風(fēng)險(xiǎn)合并到機(jī)構(gòu)目標(biāo)的實(shí)現(xiàn)上，并形成決定怎樣將風(fēng)險(xiǎn)管理到一個(gè)可接受水平的基礎(chǔ)風(fēng)險(xiǎn)評估的方法提供規(guī)定有規(guī)律地更新的風(fēng)險(xiǎn)評估，全球的和系統(tǒng)特定水平兩者決定所確認(rèn)的風(fēng)險(xiǎn)包括外部和內(nèi)部因素，并考慮了審計(jì)、檢查和確定事件結(jié)果的風(fēng)險(xiǎn)評估程序到位全機(jī)構(gòu)范圍內(nèi)的目標(biāo)被包含在風(fēng)險(xiǎn)確認(rèn)的過程中在系統(tǒng)處理活動(dòng)中監(jiān)控變化的程序決定以及時(shí)的方式調(diào)整系統(tǒng)的風(fēng)險(xiǎn)和暴露存在風(fēng)險(xiǎn)評估正在進(jìn)行的監(jiān)控和改善以及減輕控制的創(chuàng)造過程的程序風(fēng)險(xiǎn)評估文檔包括：風(fēng)險(xiǎn)評估方法的描述重大披露和相應(yīng)風(fēng)險(xiǎn)的確認(rèn)被選擇的風(fēng)險(xiǎn)及相應(yīng)的披露可能性、頻率和威脅分析技術(shù)包括在風(fēng)險(xiǎn)的確認(rèn)中風(fēng)險(xiǎn)評估人員的資格是足夠的識別和測量風(fēng)險(xiǎn)、威脅和披露的正式的定量和/或定性（或兩者結(jié)合）的方法存在計(jì)算和其它方法被用在風(fēng)險(xiǎn)、威脅和披露的測量中風(fēng)險(xiǎn)行動(dòng)計(jì)劃被用在執(zhí)行減輕風(fēng)險(xiǎn)、威脅和披露的適當(dāng)?shù)臏y量上殘余風(fēng)險(xiǎn)的接受，考慮：機(jī)構(gòu)的政策風(fēng)險(xiǎn)識別和測量合并在風(fēng)險(xiǎn)評估方法本身的不確定性實(shí)施保護(hù)和控制的成本和效益含蓋抵消殘余風(fēng)險(xiǎn)的保險(xiǎn)選擇最大化返回投資的控制測量的正式的定量和/或定性的方法存在檢測、預(yù)防、糾正及所使用恢復(fù)措施之間的平衡的存在溝通控制測量器目的的正式程序存在評定遵從性：測試：風(fēng)險(xiǎn)評估框架按照風(fēng)險(xiǎn)評估被有規(guī)律地更新以減少風(fēng)險(xiǎn)到一個(gè)可接受的水平風(fēng)險(xiǎn)評估文檔遵守風(fēng)險(xiǎn)評估框架，并且文檔要適當(dāng)?shù)販?zhǔn)備和維持IT管理層和人員要明白并參與到風(fēng)險(xiǎn)評估的過程中管理層理解與風(fēng)險(xiǎn)相關(guān)的因素和威脅的可能性有關(guān)人員理解并正式接受殘余風(fēng)險(xiǎn)發(fā)送給高級管理層的評價(jià)、所確認(rèn)風(fēng)險(xiǎn)的同意以及用在減少風(fēng)險(xiǎn)活動(dòng)監(jiān)控上的報(bào)告是及時(shí)的用于分析風(fēng)險(xiǎn)的方法導(dǎo)致風(fēng)險(xiǎn)暴露的定量或者定性（或兩者結(jié)合）測量由管理層所確認(rèn)的風(fēng)險(xiǎn)、威脅和暴露以及與風(fēng)險(xiǎn)相關(guān)的屬性被用來偵查特定威脅的每一個(gè)事件風(fēng)險(xiǎn)行動(dòng)計(jì)劃是最新的，并包含成本/效益的控制以及減輕風(fēng)險(xiǎn)暴露的安全措施從最高到最低的優(yōu)先權(quán)存在，對每一個(gè)風(fēng)險(xiǎn)來講，適當(dāng)?shù)捻憫?yīng)存在：計(jì)劃的預(yù)防性減輕控制第二級的偵查控制第三位的糾正控制風(fēng)險(xiǎn)及相對的控制的情節(jié)被歸檔、流通并與適當(dāng)?shù)娜藛T溝通有關(guān)可接受的殘余風(fēng)險(xiǎn)，足夠的保險(xiǎn)覆蓋存在，并依照不同的威脅情節(jié)加以考慮，包括：火災(zāi)、洪水、地震、龍卷風(fēng)、恐怖活動(dòng)、其它不可預(yù)防的自然災(zāi)害雇員信用責(zé)任的破裂業(yè)務(wù)中斷——收入的喪失，客戶的喪失，等等通常沒有被上述IT和業(yè)務(wù)風(fēng)險(xiǎn)/持續(xù)性計(jì)劃所含蓋的其它風(fēng)險(xiǎn)證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的風(fēng)險(xiǎn)評估框架的基準(zhǔn)用于識別、測量和減輕風(fēng)險(xiǎn)到殘余風(fēng)險(xiǎn)可接受水平的風(fēng)險(xiǎn)評估方法的詳細(xì)評價(jià)確定：沒有被識別的風(fēng)險(xiǎn)沒有被測量的風(fēng)險(xiǎn)沒有被選擇/管理到可接受水平的風(fēng)險(xiǎn)過時(shí)的風(fēng)險(xiǎn)評估和/或風(fēng)險(xiǎn)評估中過時(shí)的信息有缺陷的風(fēng)險(xiǎn)、威脅和暴露的定量和/或定性測量不能提供成本/效益控制和安全測量的風(fēng)險(xiǎn)行動(dòng)計(jì)劃殘余風(fēng)險(xiǎn)的正式接受的缺乏不適當(dāng)?shù)谋ｋU(xiǎn)覆蓋10管理項(xiàng)目（PO10）控制的IT過程：管理項(xiàng)目滿足的業(yè)務(wù)需求：確定優(yōu)先順序，按時(shí)交付并控制在預(yù)算內(nèi)實(shí)現(xiàn)路線：按照運(yùn)行計(jì)劃，對項(xiàng)目的確定和優(yōu)先順序進(jìn)行機(jī)構(gòu)；并對所承擔(dān)每個(gè)項(xiàng)目，采納和應(yīng)用健全的項(xiàng)目管理技術(shù)需要考慮的事項(xiàng)：項(xiàng)目的業(yè)務(wù)管理層發(fā)起人地位程序管理項(xiàng)目管理能力用戶參與任務(wù)細(xì)分、里程碑確定和階段審準(zhǔn)責(zé)認(rèn)的分配里程碑和可交付的嚴(yán)格追蹤費(fèi)用和人力預(yù)算，平衡內(nèi)部和外部資源質(zhì)量保證計(jì)劃和方法程序和項(xiàng)目風(fēng)險(xiǎn)評估從開發(fā)到運(yùn)行的過渡信息規(guī)范IT資源P效果*人員P效率*應(yīng)用保密*技術(shù)完整*設(shè)施可用數(shù)據(jù)遵從可靠10.1項(xiàng)目管理構(gòu)架管理層應(yīng)建立一個(gè)總體的項(xiàng)目管理框架，定義管理項(xiàng)目的范圍和邊界，以及所承擔(dān)項(xiàng)目中采納和應(yīng)用的項(xiàng)目管理方法。方法應(yīng)至少涵蓋責(zé)任的分配、任務(wù)的劃分、時(shí)間和資源的預(yù)算、里程碑、檢查點(diǎn)和審準(zhǔn)。10.2項(xiàng)目初始階段用戶部門的參與在開發(fā)、實(shí)施或修改項(xiàng)目的定義和授權(quán)方面，機(jī)構(gòu)的項(xiàng)目管理框架應(yīng)規(guī)定受影響的用戶部門管理層的參與。10.3項(xiàng)目組成員資格和責(zé)任機(jī)構(gòu)的項(xiàng)目管理框架應(yīng)明確項(xiàng)目人員設(shè)置的原則，并且確定項(xiàng)目組成員的責(zé)任和權(quán)力。10.4項(xiàng)目定義機(jī)構(gòu)的項(xiàng)目管理框架應(yīng)規(guī)定，在項(xiàng)目的工作開始之前，必須形成清晰的書面文件，定義每一個(gè)實(shí)施項(xiàng)目的特點(diǎn)和范圍。10.5項(xiàng)目審批機(jī)構(gòu)的項(xiàng)目管理框架應(yīng)確保，對于每一個(gè)被提議的項(xiàng)目，機(jī)構(gòu)的高級管理層審議了相關(guān)的可行性研究報(bào)告，以此作為是否進(jìn)行這個(gè)項(xiàng)目的決策依據(jù)。10.6項(xiàng)目階段審批機(jī)構(gòu)的項(xiàng)目管理框架應(yīng)對指派的用戶和IT職能部門經(jīng)理做出規(guī)定，以便他們在下一階段工作開始之前，審批項(xiàng)目周期的每一階段的工作完成情況。10.7項(xiàng)目主計(jì)劃管理層應(yīng)確保，對于每一個(gè)批準(zhǔn)的項(xiàng)目建立一個(gè)項(xiàng)目的主計(jì)劃，它對于維護(hù)在整個(gè)生命周期中對項(xiàng)目的控制是適當(dāng)?shù)?，它還包括一套監(jiān)測項(xiàng)目生命周期中時(shí)間和費(fèi)用的方法。項(xiàng)目計(jì)劃的內(nèi)容應(yīng)包括對于范圍、目標(biāo)、所需資源和責(zé)任的描述，并應(yīng)提供允許管理層測量進(jìn)度的信息。10.8系統(tǒng)質(zhì)量保證計(jì)劃管理層應(yīng)確保新的或修改過的系統(tǒng)的實(shí)施包括質(zhì)量計(jì)劃的準(zhǔn)備，它是項(xiàng)目主計(jì)劃的一部分，并且被所有有關(guān)當(dāng)事人審閱和同意。10.9保證方法的計(jì)劃編制在項(xiàng)目管理框架的計(jì)劃階段期間，保證任務(wù)應(yīng)被確定。保證任務(wù)應(yīng)支持新的或修改的系統(tǒng)的合格鑒定，并確保內(nèi)部控制和安全符合相關(guān)的要求。10.10正式的項(xiàng)目風(fēng)險(xiǎn)管理管理層應(yīng)執(zhí)行一個(gè)正式的風(fēng)險(xiǎn)管理程序，排除或最小化每個(gè)單個(gè)項(xiàng)目相關(guān)的風(fēng)險(xiǎn)（就是對于那些潛在的引起有害變化的區(qū)域或者事件，進(jìn)行辨識和控制）。10.11測試計(jì)劃機(jī)構(gòu)的項(xiàng)目管理框架應(yīng)要求為每一個(gè)開發(fā)、執(zhí)行和修改的項(xiàng)目，建立一個(gè)測試計(jì)劃。10.12培訓(xùn)計(jì)劃對于每一個(gè)開發(fā)、執(zhí)行和修改項(xiàng)目，機(jī)構(gòu)的項(xiàng)目管理框架應(yīng)要求制定一個(gè)培訓(xùn)計(jì)劃。10.13實(shí)施后評價(jià)計(jì)劃作為項(xiàng)目組活動(dòng)的一部分，機(jī)構(gòu)的項(xiàng)目管理框架應(yīng)規(guī)定每一個(gè)新的或修改的信息系統(tǒng)的實(shí)施后檢查計(jì)劃的開發(fā)，以確認(rèn)項(xiàng)目是否產(chǎn)生預(yù)期的收益。對高級和詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：獲得了解：訪談：質(zhì)量經(jīng)理項(xiàng)目質(zhì)量經(jīng)理/協(xié)調(diào)者項(xiàng)目所有者/發(fā)起人項(xiàng)目組組長質(zhì)量保證協(xié)調(diào)者安全官IT計(jì)劃/指導(dǎo)委員會(huì)成員IT管理層獲得：相關(guān)與項(xiàng)目管理框架的政策和程序相關(guān)于項(xiàng)目管理方法的政策和程序相關(guān)于質(zhì)量保證計(jì)劃的政策和程序相關(guān)于質(zhì)量保證方法的政策和程序軟件項(xiàng)目主計(jì)劃（SPMP）軟件質(zhì)量保證計(jì)劃（SQAP）項(xiàng)目狀態(tài)報(bào)告狀態(tài)報(bào)告和計(jì)劃/指導(dǎo)委員會(huì)會(huì)議紀(jì)要項(xiàng)目質(zhì)量報(bào)告評估控制：考慮是否：項(xiàng)目管理框架：定義管理項(xiàng)目的范圍和邊界規(guī)定評價(jià)與已批準(zhǔn)運(yùn)作計(jì)劃一致性的項(xiàng)目請求，按照這一請求，將項(xiàng)目排出優(yōu)先順序定義被采用并被應(yīng)用到每一個(gè)所承擔(dān)項(xiàng)目的項(xiàng)目管理方法，包括：項(xiàng)目計(jì)劃編制人員安置責(zé)任和權(quán)利的分配任務(wù)的分解時(shí)間和資源的預(yù)算里程碑檢查點(diǎn)批準(zhǔn)是完整的和當(dāng)前的在開發(fā)、實(shí)施或者修改項(xiàng)目的定義和授權(quán)方面，規(guī)定由受影響的用戶部門（所有者/發(fā)起者）參與管理規(guī)定一個(gè)基礎(chǔ)，以此將職員人員分配到項(xiàng)目中定義項(xiàng)目組成員的責(zé)任和權(quán)利在項(xiàng)目設(shè)計(jì)開始之前，規(guī)定一個(gè)清晰的書面定義項(xiàng)目種類和范圍的聲明的創(chuàng)造規(guī)定一個(gè)初始的項(xiàng)目定義文檔，其包括項(xiàng)目清晰的種類和范圍聲明包括承擔(dān)項(xiàng)目的下列原因：被補(bǔ)救的問題或者被改進(jìn)的過程的陳述按照提高實(shí)現(xiàn)機(jī)構(gòu)目的的能力表達(dá)的項(xiàng)目需求的陳述在相關(guān)現(xiàn)有的系統(tǒng)中的不足的分析能夠增長經(jīng)濟(jì)或者操作效率的機(jī)遇項(xiàng)目滿意的內(nèi)部控制和安全的要求選擇方法，以此，被提議的項(xiàng)目的可行性研究被準(zhǔn)備、評價(jià)并由高級管理層所批準(zhǔn)，包括：項(xiàng)目的環(huán)境——硬件、軟件、電信項(xiàng)目的范圍——首先和接下來的實(shí)施中所包括的和排除在外的項(xiàng)目的限制——項(xiàng)目期間，我們必須要保留的，即使短期的改進(jìn)機(jī)遇似乎出現(xiàn)有項(xiàng)目的發(fā)起者或所有者/發(fā)起者實(shí)現(xiàn)的收益和成本描繪方式，以此，先于項(xiàng)目下一階段的進(jìn)行（也就是說，編程、系統(tǒng)測試、交易測試并行測試，等等），開發(fā)過程（也就是說，可行性研究準(zhǔn)備、需求的定義、系統(tǒng)的設(shè)計(jì)，等等）的每一個(gè)階段都被批準(zhǔn)需要每一個(gè)項(xiàng)目具有SPMP的開發(fā)，并指定方式，以此維持貫穿項(xiàng)目生命、項(xiàng)目時(shí)間幀（里程碑）和預(yù)算的控制遵守機(jī)構(gòu)的SPMP標(biāo)準(zhǔn)，假如不存在，要使用適當(dāng)?shù)臉?biāo)準(zhǔn)對于每一個(gè)項(xiàng)目，需要SQAP的開發(fā)，并要確保其與SPMP的集成，由所有的涉及方正式地評價(jià)和同意描繪方式，以此，正式的項(xiàng)目風(fēng)險(xiǎn)管理程序消除或者最小化相關(guān)于項(xiàng)目的風(fēng)險(xiǎn)為每一個(gè)開發(fā)、實(shí)施和修改項(xiàng)目，提供測試計(jì)劃的開發(fā)為每一個(gè)開發(fā)、實(shí)施和修改項(xiàng)目，提供足夠的培訓(xùn)所有者/發(fā)起者人員和IT人員的計(jì)劃開發(fā)貫穿每一個(gè)主要項(xiàng)目階段（也就是說，軟件購買、硬件購買、編程合同、網(wǎng)絡(luò)升級，等等），預(yù)算及與之相對應(yīng)的實(shí)際項(xiàng)目的里程碑和成本被監(jiān)控并報(bào)告給高級管理層項(xiàng)目的里程碑和成本超過預(yù)算的時(shí)間段和數(shù)量的部分由適當(dāng)?shù)臋C(jī)構(gòu)管理層批準(zhǔn)SQAP遵守機(jī)構(gòu)的SQAP標(biāo)準(zhǔn)，假如不存在，標(biāo)準(zhǔn)選擇上述的SQAP保證任務(wù)支持新的或修改的系統(tǒng)的鑒定資格，并確保內(nèi)部控制和安全特征滿足需求所有項(xiàng)目所有者/發(fā)起者都要輸入到SPMP和SQAP兩者之中，并且所有的都要同意最終的釋放物實(shí)施以后的過程是確保新的或者修改的信息系統(tǒng)釋放計(jì)劃好的收益的項(xiàng)目管理框架的完整的一部分評定遵從性：測試：項(xiàng)目管理方法和所有的需求被一致地追隨項(xiàng)目管理方法與所有涉及項(xiàng)目的適當(dāng)人員所溝通項(xiàng)目的種類和范圍的書面定義符合標(biāo)準(zhǔn)模板所有者/發(fā)起者包含在項(xiàng)目定義、授權(quán)及與所期望的包含的所有者/發(fā)起者相一致的種類和范圍由項(xiàng)目管理框架所規(guī)定分配人員給項(xiàng)目、項(xiàng)目組成員的責(zé)任和權(quán)利的定義被遵循清晰的、項(xiàng)目種類和范圍的書面定義的證據(jù)存在，該證據(jù)在項(xiàng)目設(shè)計(jì)開始之前定義相關(guān)的可行性研究已經(jīng)準(zhǔn)備并獲批準(zhǔn)對于開發(fā)項(xiàng)目的每一個(gè)階段，適當(dāng)?shù)乃姓?發(fā)起者和IT管理層的批準(zhǔn)被獲得作為SPMP所要求的那樣，項(xiàng)目的每一個(gè)階段正在被完成并適當(dāng)?shù)睾炇餝PMP和SQAP按照項(xiàng)目管理框架開發(fā)和審批SPMP和SQAP被詳細(xì)說明并足夠有效被確定的強(qiáng)制活動(dòng)/報(bào)告事實(shí)上已經(jīng)被執(zhí)行/產(chǎn)生（也就是說，“執(zhí)行指導(dǎo)委員會(huì)會(huì)議”、項(xiàng)目會(huì)議、或者類似在這些會(huì)議間隙舉行的會(huì)議，會(huì)議的紀(jì)要被獲得并分發(fā)給有關(guān)的當(dāng)事人，報(bào)告被準(zhǔn)備并分發(fā)給有關(guān)的當(dāng)事人）按照項(xiàng)目管理框架，測試計(jì)劃已經(jīng)被開發(fā)并批準(zhǔn)，并且是詳細(xì)的和足夠特效的在測試計(jì)劃中所確定的強(qiáng)制活動(dòng)/報(bào)告事實(shí)上已經(jīng)被執(zhí)行/產(chǎn)生用于項(xiàng)目的資格鑒定標(biāo)準(zhǔn)存在，并且：得自于目的和績效指標(biāo)得自于協(xié)商一致的定量需求確保內(nèi)部控制和安全需求被滿足與本質(zhì)的“什么”及與之對應(yīng)的武斷的“怎樣”相聯(lián)系定義一個(gè)正式的通過/失敗過程具有在有限的時(shí)間周期內(nèi)目標(biāo)示范的能力不能簡單地重述設(shè)計(jì)文檔的需求項(xiàng)目風(fēng)險(xiǎn)管理程序被用來識別和消除，或者起碼最小化與項(xiàng)目相聯(lián)系的風(fēng)險(xiǎn)測試計(jì)劃被遵循，書面的測試評價(jià)由所有者/發(fā)起人所創(chuàng)造，編程和質(zhì)量保證職能部門、簽署過程遵照預(yù)定的培訓(xùn)被影響的所有者/發(fā)起者和IT職能部門人員的書面計(jì)劃被準(zhǔn)備，允許充足的時(shí)間完成所要求的培訓(xùn)活動(dòng)，該計(jì)劃用于項(xiàng)目執(zhí)行后的評價(jià)計(jì)劃被遵從和為該項(xiàng)目所設(shè)計(jì)證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的項(xiàng)目管理框架的基準(zhǔn)下列詳細(xì)的評價(jià)：決定所有者/發(fā)起者參與程度以及定義、授權(quán)和執(zhí)行項(xiàng)目的總體過程適當(dāng)性的項(xiàng)目主計(jì)劃，包括：系統(tǒng)功能的定義可行性，項(xiàng)目給定的約束系統(tǒng)成本和收益的確定系統(tǒng)控制的適當(dāng)性在其它所有者/發(fā)起者系統(tǒng)方面的影響和集成所有者/發(fā)起者資源（人員和資金）的承諾項(xiàng)目參與者的責(zé)任和權(quán)利的定義可接受的標(biāo)準(zhǔn)既是合意的又是可實(shí)現(xiàn)的在批準(zhǔn)各種項(xiàng)目的階段，里程碑和檢查點(diǎn)的使用項(xiàng)目管理過程中，Gantt圖、問題日志、會(huì)議摘要等等的使用決定機(jī)構(gòu)的系統(tǒng)質(zhì)量保證計(jì)劃編制過程是否存在系統(tǒng)問題的質(zhì)量報(bào)告決定是否風(fēng)險(xiǎn)已經(jīng)被識別和消除或者起碼是最小化的正式的項(xiàng)目風(fēng)險(xiǎn)管理程序決定十分徹底地測試了整個(gè)系統(tǒng)開發(fā)、執(zhí)行或修改項(xiàng)目的測試計(jì)劃的執(zhí)行決定系統(tǒng)的使用中充分地準(zhǔn)備了所有者/發(fā)起者和IT人員的培訓(xùn)計(jì)劃的執(zhí)行決定是否已經(jīng)計(jì)劃的及與之對應(yīng)的已經(jīng)交付的項(xiàng)目的收益被探知的執(zhí)行后評價(jià)確定：項(xiàng)目：拙劣管理超過里程碑時(shí)間超越成本失控的項(xiàng)目沒有授權(quán)沒有技術(shù)可行性沒有成本合理性沒有實(shí)現(xiàn)計(jì)劃的收益沒有包含檢查點(diǎn)在檢查點(diǎn)沒有被批準(zhǔn)實(shí)施沒有被鑒定合格沒有滿足內(nèi)部控制和安全要求沒能消除或減輕風(fēng)險(xiǎn)沒有經(jīng)過徹底測試沒有發(fā)生，或者對正實(shí)施的系統(tǒng)的不充分的所需的培訓(xùn)實(shí)施后評價(jià)沒有發(fā)生11管理質(zhì)量（PO11）控制的IT過程：管理質(zhì)量滿足的業(yè)務(wù)需求：滿足IT用戶的需求實(shí)現(xiàn)路線：具有質(zhì)量管理標(biāo)準(zhǔn)以及規(guī)定清楚開發(fā)階段、清晰交付條件和明晰責(zé)任的系統(tǒng)的計(jì)劃編制、執(zhí)行和維護(hù)需要考慮的事項(xiàng)：質(zhì)量文化的建立質(zhì)量計(jì)劃質(zhì)量保證責(zé)任質(zhì)量控制實(shí)務(wù)系統(tǒng)開發(fā)生命周期方法程序和系統(tǒng)的測試及文檔質(zhì)量保證檢查和報(bào)告最終用戶和質(zhì)量保證人員的培訓(xùn)及參與質(zhì)量保證知識庫的開發(fā)按行業(yè)規(guī)范制定標(biāo)準(zhǔn)信息規(guī)范IT資源P效果*人員P效率*應(yīng)用保密*技術(shù)P完整*設(shè)施可用數(shù)據(jù)遵從S可靠11.1總體質(zhì)量計(jì)劃管理層應(yīng)基于機(jī)構(gòu)和IT的長期計(jì)劃，制定和有規(guī)律地維護(hù)總的質(zhì)量計(jì)劃