I治理與管理實務

第二章IT治理與管理A.IT治理A1.公司治理指所有者、經(jīng)營者和監(jiān)督者之間通過公司權(quán)力機關(guān)（股東大會）、經(jīng)營決策與執(zhí)行機關(guān)（董事會、經(jīng)理）、監(jiān)督機關(guān)（監(jiān)事會）而形成權(quán)責明確、相互制約、協(xié)調(diào)運轉(zhuǎn)和科學決策的聯(lián)系，并依法律、法規(guī)、規(guī)章和公司章程等規(guī)定予以制度化的統(tǒng)一機制；公司治理強調(diào)企業(yè)中權(quán)力、角色的合理分配和對股東的平等對待；信息披露與透明；董事會的職責；為企業(yè)提供合理的戰(zhàn)略指南；董事會對管理層進行有效的監(jiān)督，董事會必須向企業(yè)和股東負責。公司治理框架中一個很重要內(nèi)容就是要建立內(nèi)部控制體系管理和報告業(yè)務風險。A2.IT治理IT治理是一個綜合術(shù)語，它包括信息系統(tǒng)、技術(shù)和通訊，業(yè)務、法律相關(guān)事務，所有利益相關(guān)方、董事會、高級管理層、流程所有人、IT供應商、用戶和審計師。治理有助于確保IT和企業(yè)目標保持一致。有效的公司治理注重個人和團隊在特定領(lǐng)域中最有效的專門技能和經(jīng)驗。長期以來，僅作為組織戰(zhàn)略促進因素的信息技術(shù)，現(xiàn)在被看作是整體戰(zhàn)略的一部分。CEO、COO、CFO、CIO和CTO在IT與企業(yè)目標間能達成戰(zhàn)略一致是關(guān)鍵成功因素。通過經(jīng)濟、有效地使用安全、可靠的信息和應用技術(shù)，IT治理能有助于實現(xiàn)這個關(guān)鍵成功因素。信息技術(shù)對企業(yè)的成功是如此重要，因此，不能把其職責放給IT管理人員或IT專家，而必須得到整個高級管理層的關(guān)注。IT治理的定義ITGI：IT治理是董事會和最高管理層的職責，是企業(yè)治理的重要組成部分。IT治理由領(lǐng)導、組織結(jié)構(gòu)以及相關(guān)流程組成，這些流程能保證組織的IT有效支持及促進組織戰(zhàn)略目標的實現(xiàn)。IT治理一般關(guān)注兩方面的問題：IT增加商業(yè)價值和IT風險得到控制。前者通過使IT戰(zhàn)略與業(yè)務保持一致來達到，后者通過向企業(yè)分配責任來驅(qū)動。艇IT興治理的關(guān)鍵縣因素是夜IT器與業(yè)務保持削一致，以實怪現(xiàn)業(yè)務價值蝦。瀉IT是治理的主要糠流程有：氏IT畫資源管理、逼績效測評和溉合規(guī)管理術(shù)值IT村治理回答下剖述問題然趁辮在爆IT怨戰(zhàn)略決策中恩哪些利益相林關(guān)者有發(fā)言套權(quán)？捆誰決定演IT香投資及其優(yōu)蟻先級順序？條應當建立哪眼些脂IT女委員會，由長什么人組成洲？其職責是雅什么？向誰澆報告？濃C恢IO戰(zhàn)的角色和職宇責有哪些？栗努默洪如何控制扒IT駝使其滿足業(yè)盤務需求？槍等當如何評價牢IT鳳職能的績效盲？該界泊IT辨治理的目標墨漂孫指導備IT駛工作，確保榮IT何績效滿足毯IT批目標、符合漠企業(yè)目標要擇求，實現(xiàn)預唯期利潤打遇幫助企業(yè)開擴拓商機，實矮現(xiàn)利益最大區(qū)化稻聰襲充分利用姻IT條資源色著百適當控制年IT留相關(guān)風險跡懇IT馳治理與公塑司治理呆邪準公司治理主燃要關(guān)注利益砍相關(guān)者權(quán)益炸和管理，包勢括一系列責資任和條例，邁由最高管理思層（董事會出）和執(zhí)行管碎理層實施；腳椒深公司治理目轉(zhuǎn)的是提供戰(zhàn)殺略方向，保眾證目標能夠季實現(xiàn)，風險威適當管理，稈企業(yè)資源合敬理使用；親能IT允治理是公司役治理的重要程組成部分，綿是董葡事會或最高鼓管理層的責野任；毯刊IT哲治理由領(lǐng)導剩、組織結(jié)構(gòu)烤以及相關(guān)流添程組成，這偉些流程能保鞠證組織的I爐T能有效支歌持及促進組瓜織戰(zhàn)略目標技的實現(xiàn)，同迷時控制風險污、降低成本洋、提高績效遠。憑苦公司治理可敏以驅(qū)動和調(diào)茅整么IT豐治理，同時像，樹IT退能夠為公司北治理提供關(guān)振鍵的輸入琴，形成戰(zhàn)略菊計劃的一個位重要組成粗部分鑒沃公司治理和潛IT稱治理都是花“奴他律效”蹦機制，是如嫩何糧“供管好管理者但”琴的機制，其倡目標也是一癢致的：達到地業(yè)務持續(xù)運寄營，并增加標組織的長期明獲利機會。廉黑駁垃寧鑰塘德賭碰暑思森流掘桐申講疲脖繁在醋摘刮才術(shù)題笨應煎奪大許并塔故牧伍別瞞包援騾鼓伴挎手死照胸肆伙跨搏橋沸夜鍛膝斬打傻免膠來吸哭爪漠桐犯慣界尤雨類泳爛IT治理與歸IT管理袖IT霧管理是公司禿的信息及信印息系統(tǒng)的運泳營，確定疑IT增目標以及實嶺現(xiàn)此目標所彩采取的行動溜而玩IT舌治理是指最看高管理層翠（董事會）霸利用它來而監(jiān)督管理層舌在IT戰(zhàn)嫁略上的過程漏、結(jié)構(gòu)和聯(lián)粱系，以確保脖這種運營處踏于正確的軌哈道之上。簡育言之，是謠“喪對管理的管魂理啞”桑棗IT推管理就是在路既定的屈IT仰治理模式下小，管理層為騎實現(xiàn)公司的累目標而采取點的行動洗缺乏良好鳥IT豆治理模式的吸公司，即使陪有乖“替很好屯”蝕的廊IT漂管理偷體系（而這體實際上是不印可能的），仔就像一座地燕基不牢固的界大廈甜同樣，沒有潮公司陽IT潮管理體系的凳暢通，單純嫩的治理模式裳也只能是一贏個美好聰?shù)乃{圖，而蘆缺乏實際的鹽內(nèi)容該IT沖治理的層次屢遮員秘在企業(yè)戰(zhàn)略蛛層上養(yǎng)濁屋?IT執(zhí)治理要與公籃司治理結(jié)構(gòu)戒、企業(yè)戰(zhàn)略書規(guī)劃進行集宗成，使I塑T治理作為稀公司治理的絮一部分；遙聲?寇在治理結(jié)構(gòu)勸上體現(xiàn)朽IT嶼的位置與作區(qū)用，使怠IT旺議題要進入盜董事會（或兼者是監(jiān)事會塌、最高管理臟當局）下的疊戰(zhàn)略委員會叛、審計委員繪會、安全委晶員會；辜毀?答董事會要確娘保船IT帳的執(zhí)行與監(jiān)陳管分開，監(jiān)濫管機制要獨辦立并持續(xù)運振行、溝通與堅反饋機制要租持續(xù)有效槍；誘漫?IT興治理要求向泊董事會和最卷高管理層分珍配職責，并變要求其完成街一系列活動撕。末在企業(yè)戰(zhàn)術(shù)遣面上盞疊?流雖然坑IT窄治理集中章在董事會德最高管理層納，但由于狡IT疲治理的復雜押性和專業(yè)性慨，治理層必讀須依賴企業(yè)渡在戰(zhàn)術(shù)層面推上提供必要票的控制框架謹來保證治理萍職責的落實伯；怒鬧?弄為了保證蛛IT很與業(yè)務目標嶺一致，充分介利用有限的輩IT醋資源，提高水績效，降低奔風險與控制家成本，按照萍國際普遍接屠受的企業(yè)內(nèi)運部控制標準秧，在戰(zhàn)術(shù)層哲面建立有效緣的IT控制溫框架并監(jiān)督劉實施。驅(qū)妨–咸COBI乏T、ITI歲L、ISO竄17799長抄爪–脅需求識唐別、數(shù)據(jù)標間準化、遵項目管理深…被哄…央夢IT目治理域控粱一些著名的勁機構(gòu)召(Gart帽ner推、述CSC雷、鳥AICPA艇/CICA南、熔CIO柿Magaz撐ine殃）通過調(diào)查緩認為最受I牧T管理層關(guān)帽注的問題，拖已經(jīng)從技術(shù)多領(lǐng)域逐漸轉(zhuǎn)鞭向管理相關(guān)翠領(lǐng)域；餡義這些問題可軌以歸結(jié)為五褲個查IT斥治理域：戰(zhàn)圍略一致、價糞值交付、風袖險管理、資氏源管理和績稱效考評，其啄中有兩個核亞心，一是I加T要向業(yè)務憂交付價值，押二是降低風燙險。前者由豈IT與業(yè)務諒的戰(zhàn)略一致世驅(qū)動，后者緊由企業(yè)內(nèi)部攀建立的責任拋分工驅(qū)動；屑捐性這兩者都需呢要獲得足夠風的資源并進摟行績效考評并，以保證獲同得預期的結(jié)究果；脾眾這五個域都爹受利益相關(guān)剩者價值驅(qū)動戚，其中價值襲交付、降低癢風險是結(jié)果斜，戰(zhàn)略一致決績效考評是裁驅(qū)動力，I肚T資源管理賞為治理提供摟支持。奧五個骨IT皮治理域：披身?馳戰(zhàn)略一致洗-隊強調(diào)緣IT豐與業(yè)務保持怠一致，提供鼓協(xié)調(diào)的解決陷方案。畝?碼價值交付暮-果確保宣IT跟實現(xiàn)了預期鎮(zhèn)戰(zhàn)略收益，鉗集中關(guān)注成征本的優(yōu)化，罰提供IT蜘的固有價值妖。切?熟風險管理縫-屢將風險管理怨職責嵌入組切織中，包括績IT京資產(chǎn)的保護怨、災難恢復寫和業(yè)務連續(xù)峽性。抽?走資源管理程-襯對酷IT蠶資源（應用旋系統(tǒng)、信息癢、基礎設施賺和人員）的院優(yōu)化投資并攤適當管理，勝關(guān)鍵問題在迫于知識和基暴礎設施的優(yōu)戚化。事?昌績效考評呢-王追蹤并監(jiān)控不戰(zhàn)略實施、仙資愛源使用、流反程績效、服梁務交付以及宇諸如平衡記宮分卡的使用尖等，監(jiān)督I婦T服務質(zhì)量餐。沒有績效忘測量就無法災對以上四個冤域進行有效買管理。草I勞T弦治理的關(guān)鍵硬因素腥騎IT宇治理的關(guān)鍵性因素就是要怒使溫IT鐮與業(yè)務融合般，以實現(xiàn)組孩織的業(yè)務價屬值。通過I糞T治理框架挎和最佳實踐次的應用，在常組織內(nèi)促成黃目標實現(xiàn)。匪IT治理框圈架和最佳實錢踐是由一系妄列組織結(jié)構(gòu)駛、流程及相贏關(guān)機制組成豐。煎姑關(guān)鍵的裳IT北治理因素包絡括：紀IT第戰(zhàn)略委員會啦、風險管理溫和標準IT籮平衡記分卡筐。宮審計師在評IT角治理中的職抓責蹄心審計是組織軟成功實施減IT剩治理的一個冰重要角色，階對于向高級浙管理層提供揮建議，幫助雨改尺善IT治理健質(zhì)量和效果尊而言，審計渾處在最佳的刃位置；森通過引入審秩計師獨立的小、中立的觀食點，可以對腹IT趴治理績進行曬持續(xù)有效的書監(jiān)督、分析遠、評估，以萌指導與改進仆與IT治理及相關(guān)的IT材過程；草IS茂審計師的要療對愛IT攤治理的各個語方面進行評宿估蟻?IS豎職能與組織睜使命、愿景匪、價值、目桐標和戰(zhàn)略的習一致性箏概?夠法律、環(huán)境糞、信息質(zhì)量廟、委托、安舉全和隱私方胞面的要求問逆?腐組織的控制簽環(huán)境導穿?IS凳環(huán)境的固有村風險刊驕指A3.I筆T勢戰(zhàn)略委員會益民肯是董事會實潮施其宜IT桃治理目標的粘重要機制，螺一般隸屬于冒董事會，由姓董事會成員找及非董事會吳成員組成，漠它券主要職責是洪協(xié)助董事會費治理和監(jiān)督棗企業(yè)的IT討相關(guān)事務;梳霉I伸T版戰(zhàn)略委員會猶應當保證在胖組織中以結(jié)外構(gòu)化的方式貢來實施IT鳥治理，而鍬且董事會可家以獲得足夠勇的信息來實磁現(xiàn)IT治理簡的最終目標冰。煩抱組織在執(zhí)行宮經(jīng)理層設置柱IT相指導委員會避來處理關(guān)系倦到整個組織道的IT事務始，感比如：追蹤臂IT投資、行設定項目優(yōu)卡先級、分配椒I撇T資源等。但邪剖指導委員會繞職責分析表掛是找CISA社應當掌握的撿知識前窩薯A4.I昏T陸平衡記分卡責（草BSC衫）挖占票績效測壁評是企業(yè)管帶理中的重要觸因素，沒有壘績效測評就牽無法對業(yè)務歡進行有效管哲理，但隨著譯企業(yè)創(chuàng)造價憶值的方式由慚有噸形資產(chǎn)逐漸呢轉(zhuǎn)向無形資喉產(chǎn)，對無形畫資產(chǎn)的衡量喉，不能采用尊傳統(tǒng)的針對象有形資產(chǎn)的帝財務數(shù)據(jù)方合式；澇撓平衡記分卡場是目前企業(yè)晝管理中較惱流行的績效惜測量工具，胳它可以把閱企業(yè)戰(zhàn)略轉(zhuǎn)妥化為實際的盛行為，從而彎實現(xiàn)企業(yè)目分標；斑刪這種績效測泊評系統(tǒng)超出搏了傳統(tǒng)的財屈務記帳方式痰，它不霉僅衡量財務里數(shù)據(jù)，還要珠對業(yè)務過程廁與基于知識很的資產(chǎn)黃等方面進行糊測評，在顧精客滿意度、握內(nèi)部流程和江創(chuàng)新能力等絮方面進行了復補充，組成答了財務、客漂戶、過程和沈?qū)W習四個視塵角。桶禽標準六IT崇平衡記分卡乓是駱CISA犬應當掌握的口內(nèi)容。考織平衡記分卡烤的四個視角筆：息葉?塵財務視角鍛—喇為使啊股東滿意，郊我們需要達混到什么樣的煉財務目標？蔑刪?耳客戶視角料—喇為實現(xiàn)財務肺目標，我們旦需要服務什穩(wěn)么樣的客戶導？饞肚?奴過程視角偏—畏為黃了提高客戶瘦和逼利益相關(guān)者裹的滿意度，全我們需要建往立什么樣的征內(nèi)部業(yè)務過切程？廳?嗎學習視角承—取為了達成目有標，組織應桶當如何學習腥與創(chuàng)新？撲攔為了把平衡帥記分卡應用癥于渣IT充，還應使用仆一個三層構(gòu)健架來描述其到四個方面的積評價要素：員使命框?非成為首選的鹽信息系統(tǒng)供沖應商每暮?面經(jīng)濟、有效墨地交付黨IT情應用系統(tǒng)和方服務岔妨?嬸IT稍投資能獲得匹一個合理的買業(yè)務回報拐侍?戶抓住機遇應撞對未來挑戰(zhàn)芳戰(zhàn)略歷?建開發(fā)良好的專應用系統(tǒng)與務運營修秤?識建立用戶伙題伴關(guān)系和良悼好的客戶服場務隆驅(qū)?做提高服務水雪平，優(yōu)化價漆格砌結(jié)構(gòu)回講?就控制真IT旦費用姑杠?原為曲IT窮項目賦于業(yè)杯務價值絞壓?泡提供新的業(yè)前務能力屆堅?傷培訓和教育拌IT削職員，理追求卓鼠越鄰大?編為研究和開射發(fā)提供支持識措施碌?喉提供一套穩(wěn)籍定的指標（化如司KPI乎）來指導面粗向業(yè)務的眾IT際決策合辭樸勒津IT勁平衡記分卡襖實例昨挨?鍵是協(xié)調(diào)董事品會和管理層像實現(xiàn)姑IT幸與業(yè)務融合糧最有效的方后法；鉆?炸目標就是通命過建立一種扣面向董事會促的管理報告河工具，使利執(zhí)益相關(guān)者在切IT戰(zhàn)略目京標上達成一污致，以表明雕IT的有效稻性和增值性棍，同時便于江組織在IT同績效、風險狗和能力方面蘆進行溝通。兵使A5.刺信息安全治最理近握調(diào)信息可以定貴義為萬“漲具有特定意劣義和目標的扣數(shù)據(jù)撈”獎。信息在我史們當今的生笑活中發(fā)揮著肆越來越重要浙的作用，已錘成為所有溉組織業(yè)務活仰動中不可缺沒少的組成部臘分，越來越序多的公司已挨將信息作為閣其主營業(yè)務象，如Goo臣gle、e昂Bay、M切icros癥oft、網(wǎng)竭易等。游扶當今已很難召找到不接觸缺信息技術(shù)的藥企業(yè)，隨著材全球網(wǎng)絡互浴聯(lián)時代的到羨來，在企業(yè)邊突破其傳統(tǒng)禍邊界向虛擬社世界不斷擴舅展的背景下麗，信息安全失己成為壩重要的治理序問題而出現(xiàn)源在我們面前趣。磚錦信息犯罪和不惡意行為已澡成為越來越輩多的高級犯吧罪分子的選揉擇?？植婪执沧雍推渌麛惩龑ι鐣娜绥犚彩估^用IT技術(shù)湊來宣揚他們堅的觀點并傳宰播其恐怖行里為。校櫻信息安全治僚理具有特定好的價值驅(qū)動鐵：信息的完三整性、服務理的持續(xù)和信耽息資產(chǎn)的保暴護。厘剩IT少安全定位于沈安全技術(shù)，抗通常由址CIO洗級別的人推萬動；信息安杏全著眼于信創(chuàng)息所涉及的拼風險、收益匹和流程，必怨須由執(zhí)行管加理層和董事判會的支持，艱信息安全治廚理是董事會族和執(zhí)行經(jīng)理塑的職責。四信息安全治揉理能帶來的敘收益高賓?顫落實在向公寄眾或監(jiān)管部巡門提供不準譜確信息，在游保護隱浪私信息（如鏟泄露信用卡拔或其他敏感高客戶信息）喚中未保持應加有的謹慎等饅方面，組織遣及其管理者況應當承擔的許公民或法律增責任相?燒提供對蒜政策和染標準的符合騎性保證著現(xiàn)?砍通過降低風狐險至既定的損可接受水平銅，減少業(yè)務柱運營的不確敗定性，提高肅可預見性檔?麗為有限的安上全否資源的最優(yōu)割化遞分配提供結(jié)老構(gòu)和框架目爬?蜂為關(guān)鍵決策證不基于錯誤榴信息提供適洲當水平的保謠證歌殲?漁為風險管理慈、流程改善幅和事件快速箏響應的效果忘與效率提供田一個穩(wěn)定的冷基礎攜?呆明確重大業(yè)友務活動期間卷（如公司合是并及購并、怨業(yè)務流程恢蒜復、法律回鹿應等）的信即息保護責任桿蝕垂有效的信息宏安全治理可甜達到如下效挽果：底冠?伙戰(zhàn)略一致痕–拖萄使信息安全屢與業(yè)務戰(zhàn)略偉保持一致以孟支持組織目糟標。帆待?覺風險管理誕–稠柜管理和實施誕適當?shù)拇胧┤菀越档惋L險熱并減少對信宏息資源的潛胸在影響至可齊接受水平。霞忌?煌價值交付勸–牢筒優(yōu)化安全投彎資以支持業(yè)民務目標。鴿摟?災績效測評逆–奉埋衡量、監(jiān)督蠶和報告信息嘉安全流程，說以確保實現(xiàn)溜SMART粒目標（確質(zhì)定的、可度蠻量的、可實博現(xiàn)的、相關(guān)符的和符合時糟間要求的）袍。久?童資源管理愚–糞步有效利用信膨息安全知識農(nóng)與基礎設施冤。著盯?返流程整合弱–歷嗓關(guān)注組織安取全管理保證父流程的整合輛。寒閣業(yè)務流程保蔽證的最新概安念：押弊?輸整合是一個徐把所有相關(guān)軋保證因素綜淋合在一起考儲慮，來確保孫流程能環(huán)環(huán)憤相扣整體運遮營的概念。器脈板春要實現(xiàn)整合捧，應當考慮灶以下內(nèi)容：惕愈–對確定組織慌中的所有保雙證職能檢與其他保證桑職能建立正繁式的銜接關(guān)隱系妖協(xié)調(diào)所有保意證職能，錦實現(xiàn)更加完誼整的安全捏酸貢–蓄明確各保半證職能接合進部位的角色丙與職責平信息安全治咬理次是企業(yè)治理妻的一部分，賭企業(yè)治理為法安全活動提賠供戰(zhàn)略方針哥并確保其目芹標的實現(xiàn)，很企土業(yè)安歸全治理則確鼓保能適當?shù)貏P管理信息安秋全風險并合銷理使用企業(yè)君信息資源。靜辭笛為實現(xiàn)有效糟的信息安全堪治理，管理爹層必須制定目和維護一個頌框架，以指祥導建立和管酬理一個支持鞠業(yè)務鈴綠目標的全面堪的信息安全扎流程。碼每臭該治理框架箭一般由以下啦內(nèi)容組成：蒙藏背?雜在本質(zhì)上與藏業(yè)務目標相堵銜接的全面貝的安全戰(zhàn)略宿區(qū)領(lǐng)?醬對戰(zhàn)略、控稻制和法規(guī)進白行全面落實胃的政策碗族痛?蜜確保規(guī)程和武指南能與政尾策保持一致喬的一整套標草準游騾瞇?貿(mào)不存在利益哀沖突的一套否有效的安全荒組織架構(gòu)握燥拆?劃對符合性進蠅行監(jiān)督并能欲反饋其效果裕的制度化的盛監(jiān)督流程注組織必須在公治理層面為據(jù)領(lǐng)導者分配伴企業(yè)安全職愚責，而不是課由那贏些缺乏權(quán)力豈、責任和資喝源的其他人錫員來充當并哀強迫其執(zhí)行幫。各層級的蔥安全職責：叼抹雞董事會與最窄高管理層費晚樣薯?更有吹效葛的信息安全鍬治理只有通這過董事會及踩最高管理層漲參與批準政深策、適當?shù)纳n監(jiān)督和衡量你指標、報告己和趨勢分析亭來實現(xiàn)。質(zhì)圖執(zhí)行管理層疏漲然財釣?棕制定有效的惑信息安全戰(zhàn)樣略、實施有廳效的安全治允理指導委員跑會酬晃驕辜?互為確保安全鵲程序與業(yè)務象目標的一致忍性提供持續(xù)息的基礎，也賄是實現(xiàn)向有誠益于形成最產(chǎn)佳安全文化帆的行為改變洽的手段。終望首席信息安側(cè)全官跟艦西炊舍?括不管是專職胃的艱CISO看還是由禿CIO狹、景CTO旨等角色來兼僅任，組織應觀當在高級管澡理層設置首繡席信息安全慎官。威否A6.央企業(yè)架構(gòu)奮（胖EA絲－育Enter僻prise敗Ar傍chite節(jié)cture頌）昏衡牲所謂企業(yè)架胡構(gòu)就是通過屬一種結(jié)構(gòu)化熱的方式來反砌映組織的I腎T資產(chǎn)，并公有效管理對擾IT投資。回駕迫企業(yè)消架構(gòu)學系統(tǒng)而又完吧整地定義了蛾組織的當前有（基準）環(huán)非境和期望（纏目標）環(huán)境乳的藍圖。只真對于信息系移統(tǒng)的更新以恢及開發(fā)新系笑統(tǒng)而言，建調(diào)立婆EA鋼是必不可少籃的前提。嘉E據(jù)A澇從邏輯或業(yè)源務（如職能爺、業(yè)務職責泛、信息流和痛系統(tǒng)環(huán)境）遭以及技術(shù)（們?nèi)畿浖?、硬駕件、通信）扮兩方面來定或義晶的，并且包免括從基準環(huán)銀境轉(zhuǎn)換到目善標環(huán)境的順濟序規(guī)劃。罰剩?略技術(shù)驅(qū)動的營企業(yè)架構(gòu)是叢為了澄清現(xiàn)雷代組織面臨聞的復雜技術(shù)道選擇問題；尸踩委?位業(yè)務流程驅(qū)想動的企業(yè)架籮構(gòu)是為了更旋好地理解組徑織業(yè)務的核牽心流程及支請持流程。姻業(yè)務流程驅(qū)座動的企業(yè)架展構(gòu)的作用吸赤孔更好地理解籌組織業(yè)務的差核心流程及野支持流程及激相關(guān)支持技樂術(shù)，對現(xiàn)有翅流程中的不鍋合理部分進貞行重新設計費或改造，從鹿而達到優(yōu)化勢流程、降低禽成本、提高寬績效的目的暑。磚與各種業(yè)務流夸程模型：政俊熊?蛛增強型電信扎運營圖摩(eTOM蹦尚－氏Enhan窯cedT桑eleco紛m父榆水Op咸erati卵onsM已ap)袍廣?彎供應鏈運營丟指引模型紅(SCOR雕炒－互Suppl放yCha稈inOp龍erati球ons調(diào)乓Refer墨ence)揪登幻?IBM細的保險應用摩架構(gòu)顧IAA兼模型（口Insur矛ance校Appli渠catio薪n握A疊Arch糾itect里ure各）番辮?辱美國聯(lián)邦政者府業(yè)務構(gòu)架浙模型乳FEA—F恩edera留lEnt最erpri登se莊劇Arch朵itect陣ure姑B.信息粉系統(tǒng)戰(zhàn)略肯B1.戰(zhàn)略看規(guī)劃散姐從信息系統(tǒng)屑角度看，戰(zhàn)孩略規(guī)劃是組捆織為了利用抄信息技術(shù)來蜓完善其業(yè)務狂流踩程而確定的需發(fā)展方向及赤長期的計劃包。遞鞏在制定戰(zhàn)略養(yǎng)規(guī)劃過程中彎，最高管理秤層的職責包徑括確定成本儲有效的IT滋方案以解決屬該組織面臨避的困巾難，并提出臣識別和獲取或所需資源的蚊行動方案。紹旱膊有效的隔IT苗戰(zhàn)略規(guī)劃要筆考慮組織對頭IT拋及呢IT社能力的需求監(jiān)。先朗IS筋審計師應十藍分注意吹I售T赤戰(zhàn)略規(guī)劃的鈴重要性，并多充分考慮其箱管理控制流助程，確保I飯T戰(zhàn)略規(guī)劃躺與整體業(yè)務睬戰(zhàn)略保持一滔致。賊停洞B2.浮指導委員會株由越高級管理層戲應當組建一秋個計劃或指肚導委員會，街監(jiān)督其信息弱系統(tǒng)的職能進和業(yè)務活動縱，這是確保禿信息贊系予統(tǒng)部門與公歲司宗旨和目嗎標協(xié)調(diào)的一織種淺機制。旱敵最好是從董號事會中挑選帶一位理解信座息技術(shù)與風戚險管理的成嘩員來負責信粗息技術(shù)，并謹擔任該委員疑會的嫁主榨席。委畫員會應當包澇括來自高級達管理層、用竊戶部門和信盟息系統(tǒng)部門餐的人員。倉漲委員會的職隨責應當在正巷式章程中指廢定。委員會熔成員應當了遵解信息系統(tǒng)浙部門的政策繁、程序和流尿程。濱每個得成員應當在慣其負責的領(lǐng)毯域內(nèi)有權(quán)做養(yǎng)出決定。期豆委員會應當乓定期開會，抗并向高級管時理層匯報。哀信息系統(tǒng)指擊導委員會的瞎正式會議記株錄應當記載臂委員棒會的活敵動和決議。獲商指導委員會抖的主要職責埋：秧帆助審查融IS吧部門的長期范和短囑期計劃以確繼保其符合公帳司目標害駐只在董事會吊批準的權(quán)限雖內(nèi)，審查和勉批準重要的燃硬件和軟件版獲取于末漸批準并監(jiān)督泉重要項目、脈IS窮計劃及柿預算進汽度，設定優(yōu)犬先級，批準斥標準和流程誼并監(jiān)督所有木的IS績效幼仙磨審查和批律準所有紫IS窄活動的承包笨策略，包括夜內(nèi)包或外包手以及全球離找岸職能洲萍審查資源暴的充分性以經(jīng)及時間、人婆力和設備資鵝源的分配情呼況吵棗在集中與分則散管理之中久做出決策并剪分配職責痕拋毅對制定和狼實施企業(yè)級閱信息安全管險理程序提供誤支持復漂齊向董事會蒼報告驚IS腔活動襪雕C.政策和僻規(guī)程旅著C1.登政策役隨趁政策是高層直次的文件，顧政策代表了壟企蒸業(yè)文化和高袍級管理層和督經(jīng)營過程所礦有者的戰(zhàn)略它思考。特孟與組織的總陜體性目標和嬸方向有關(guān)的恒政策的制訂件、開發(fā)、記也錄、推廣和華控制的責編任應當由管客理層承擔，睡通過制定政摔策來為組織廊創(chuàng)造一種積緒極的控制環(huán)散境。蠢從根據(jù)公司總垂體政策采用勾自頂向下的毀方法來開發(fā)肚部門政策是笨較好的覆選擇，因為修它確保了各栽級政策的一惡致性。碧榮自底向上的槳方法更加靈?；顚嵱?，但譯容易造成政菊策間的不一鑼致和相互矛般盾。戶墊管理層應當酷定期審查所頃有政策。政它策也需要不炸斷更新，反曾映新的技術(shù)匯和經(jīng)營過程機的重大變化詢，利用信息打返技術(shù)提復高生產(chǎn)效率驟和獲取競爭公效益。制略腹信息系統(tǒng)審鈔計師要理解鳳政策并對政刺策進行符合句性審查是審敬計工作中的應重要環(huán)節(jié)懂酸信息安全政鄙策碗養(yǎng)憶安全政策用行來與用戶、樣管埋理層和技術(shù)駛?cè)藛T溝通相忌關(guān)叨安全標準，倡指導整個組迫織來確定所亮需保護的內(nèi)妖容、相應謹?shù)谋Ｗo職責老以及保護工售作應遵循的省策略。電信息安全政聾策文件低災嫩?疤信息安全的怖定義、整體猴目標和范圍衣任鬼?訪陳述管理層刻意圖、支持朽信息安全與閑業(yè)務戰(zhàn)略和乓目標保持一隸致券型扔?鬧設定控制及化控制目標的羽框架，包括河風險評估和尼風險管理槳關(guān)滋?拐說明安全政殃策、原理、喜標準及以下扇重要的符合趴性要求設充婦引當–著對法律輩、法規(guī)及合合同要求的符寧合性鎮(zhèn)松投–用安全教群育、培訓和敵意識需求撕測孤本–還業(yè)務持譽續(xù)性管理股奶捷–涌違背信辦息安全政策母的后果元冬?拆明確信息安閃全管理人員精的總體及具差體職責，凍包括事件報斤告拋摧熱?衛(wèi)政策所參考琴的文件、標炕準和規(guī)程杠妨死對信息安全礎政策的審查報失群管理層傳應當定期或慨在發(fā)生重大隨變化時對信拿息安全政策訊進行審查，狠以確保其適介當性、充分正性和有效性腿。應當為信確息安全政策片指定所有人聾，來批準安限全政策的制損定、審查和更評估等管理饑職緩責。游弱IS精審計師在檢否查政策時需滿要評價以下鷹內(nèi)容：燕貨疤?臨政策的制定痰依據(jù)，一般止情況下是基蹤于風險管理泡過程雞魂削?霜政策的適當沃性身細武?韻政策的內(nèi)容猴會盾?拖政策的例外禍情況，特別率注意政策的伯不適用領(lǐng)域列及原因，如啟：可能與您遺留系統(tǒng)不辨相容的口令互政策濱尾?榆政策批準流飄程紐鵲焰?皺政策實施流狗程破羅痕?鐮政策的實施挽效果各為控?擺意識與培訓省殃球?東定期審查與伴更新流程宮震C2.蹤程序馳載掠程序是詳細弦的文件，根紐據(jù)組織的政玉策而制定并虜體現(xiàn)其精髓毅。捉程序必須清應晰和準確，孝使接受者易吸于準確地理創(chuàng)解。罰漿程序記載了仔業(yè)務流程及步其內(nèi)在控制返，程序一般去由中層管理籌人員制定，雅是政策框架期下的具體化給措施。象炊程序比相幕關(guān)政策更加哲易于變化，咳它們必須反低映業(yè)務重點駝和環(huán)境的不但斷變化。恥積獨立的審查炭對于確保政抗策和程風序被正確地蔬理解和執(zhí)行廁是必要悟的犧D(zhuǎn).風險管哨理定義導答風險管理是尊確定組織在噴實現(xiàn)其業(yè)務糾目標的過程企中所使用的今信息資源的欠脆弱性和面懇臨的相關(guān)威資脅的過程典底有效的風險燃管理始于清報楚地理解組姥織的風險喜頃好。醬私耀風險管理包睡括識別、分董析、評估、拒處置、監(jiān)違督和溝通俯IT刺流程的風險趁影響。一旦善確定了風險駕喜好與風險作承受能力，脖就可以制定妨風險管理策技略并分配職林責。泥是根據(jù)風險類飄型及其對業(yè)笛務的影響程漸度欲，可以選擇騰以下措施來生應對風險：晴愁社知?況避免風險：耳在可能的情猴況下，盡量古選擇不從事鴿導致風險的輩特定活動或縱流程（通烈過消除風險項源來消除風床險）塑抱水?傾降低風險：樣通過制定、順實施并監(jiān)督闊適當?shù)目刂评鋪斫档惋L險抖發(fā)生的可能呈性及其影響所表渡作?倡轉(zhuǎn)移風險：透與業(yè)務伙伴屑分擔風險或代通過保險、成合同約定及續(xù)其他方式來仙轉(zhuǎn)移風險劃慈眉?棟接受風險：束正視風險的臂存在并對風懶險進行監(jiān)控撇箱臟D1.殊開發(fā)風險管涉理程序服躲面第一步：確盾定風險管理煙程序的目的躍狠年?糕確定組織建根立風險管理匹程序的投目的，可能救是降低保險發(fā)費用，或者呈是掌減少相關(guān)系毀統(tǒng)的損害。南拼晌?狀在實施風險腔管理計劃之螺前確定其意別圖，組織可放以確定關(guān)鍵撈績效指標并歪評價其結(jié)果寫。害兆撓?組一般情況下肆，由執(zhí)行管過理人員和董余事會來設定湊風險管理程膚序的基本要蘆求。差蔬第二步：為鎖風險管理計湊劃分配職責歲豆伐?縱為制定和實音施組織的風醫(yī)險管理程序恰向個人或團跳隊分配職責粗?？鍞[?乘當風險管理站計劃的主要亮職責由團隊郊負紗責時，其成賣功因素是把俘風險管理與閣組織內(nèi)各個端層級進行整邁合。爪貿(mào)?局運營管理人貌員和董事會岸成員都應當藏協(xié)恨助風險管理遷委員會識別交風險、設計代適練當?shù)娘L險控貪制并介入戰(zhàn)勤略的制定。耗迫D2.風險害管理過程完屠幾個重要概根念挪老脈膠IT渠資產(chǎn)：軟件景、硬件、信曠息、人員、攀服務、文檔沃矮黎獅脆弱性：是醉信息資產(chǎn)固寺有特征，可勉以被威脅利涉用而造成僅倍竹雨損害；內(nèi)控吊缺陷也可以必認為是一種選脆弱性斗甘豐威脅：對信遞息資源造成君損害的任何辮潛在情況或抖事件，威脅口的發(fā)生是由敬于資源存在吧脆弱性到鋒搏影響：威脅直發(fā)生后造成便的結(jié)果，能瓦導致資產(chǎn)展損失幾個概要念間的關(guān)系掘：脆弱性導哥致威脅發(fā)生積，威脅的發(fā)起生造成影響網(wǎng)，從而帶來耗IT資產(chǎn)的搖損失輕淋祥夸剩余風險：怪實垮施控制后剩畫下的、沒有毀被有效控制惹的央風險士管磁掃可接受風險托水平：由管劇理層確定的據(jù)、可以接受建的剩余風險群水平，超過腸這個水平的魚風險需要實易施更強的控脅制，而在這役個水平之下藥的剩余風險檔也應該評價無是否采用了哄過多控制，撫要考慮是否部降低控制水施平以節(jié)約成輩本。獵夸IT歇風險管理在址多種層面上蹈進行綜合分愚析如窯愿運行層面澡—逃應當關(guān)注能梅夠危害羞IT箱系統(tǒng)及其基憲礎設施有效凈性的風險；惕繞過系統(tǒng)安顯全措施的風繪險，造成重要要資源（如儲：系統(tǒng)、數(shù)后據(jù)、通喊訊、人員、曲場所等）損闊失或不可用骨的風險，違姓反法律、法撓規(guī)的風險。笑像曉項目層面躁—漲管理層應當煙理解并管理礎項目的復室雜性，關(guān)注魯項目目標不穿能達到時所門帶來的后續(xù)淹風險。企酒戰(zhàn)略層面駱—技應當關(guān)注輸IT亂能力如何與訓業(yè)務戰(zhàn)略保地護一致，如絕何保持對競睬爭對手的優(yōu)稼勢，如何應然對新技術(shù)的富發(fā)展帶來的擺威脅等。棗境風險分析方悔法煉舌物定性方法疤慈樣?箭定性的風險砍管理方法是份最簡單并且亭最常見的方馳法，它們一賊般基于問卷下式的檢查列慧表(Che怪cklis戚t)和主觀榆式的風險定程級?；臐岢碇T分暖級類型命在攪三敏定性綁分級程度斤癢杜相對較粗貴的分級青望瘦么潤低、中腿、高打晌滲詳細分級略著灘疤壘貌?？珊雎浴⒌蛠?、中、高、膨非常高文僵行更詳細的辯分級團棄穗朋捕誓（低）0、翠1、2、燕……刪、10真塌塌猛穗絮落刪烈到（高）粥南定量方法翅籮?薪概率與期望想值逝獻稻–胳一旦設鼻置了事件發(fā)遠生的概率（跳P，0桃≤箭P籍≤煌1），如繭果存在一個曠價值為V的仗資產(chǎn)（有可深能受到相關(guān)就事件影響）覆，那么期望幣損失就是V爸xP（裝資產(chǎn)價值乘摸以事件發(fā)生棕的可能性）壯該?拒年預期損失睛方法續(xù)黑坑紙揚策ALE盒=V查×E腎F×A脅RO芹尼–斧例如：斬假迫定某公司投呈資500,煩000美冒元建了一個莫網(wǎng)絡運營中那心，其最大桑的威脅是火畢災，一旦火扛災發(fā)生，網(wǎng)狀絡運營中心無的估計損失稈程度是45效％。根據(jù)浮消防部門推僵斷，該網(wǎng)絡秩運營中心所激在的地區(qū)每云5年會發(fā)責生一次毅火災，于是棗我們得出了精ARO為0圖.20的薯結(jié)果。基于鑒以上數(shù)據(jù)，脆該公司網(wǎng)絡株運營中心的踏ALE將卷是：罰滿50饑0000X霉0.45X棄0.2＝費45,00潛0銷耐管理人員和稅IS肢審計師應當樓考慮以下因續(xù)素：口卸我應當對整劈個組織中所安有按IT密職能實施風哥險管理悉塑與風險管理是透高級管理層權(quán)的職責易購倍優(yōu)先采用量舊化的風險管株理方法旁致價量化風險管怒理的難點在黎于：評估風攀險值（概率綁）、對主觀擴性和定性方拆法的依賴量劑化風險管理氏提供更加客周觀（可追蹤應）的假定傭疑尊所使用方法肝或軟件的復椅雜或精巧程模度不能取代騙業(yè)務常識或修職業(yè)勤奮幅罵麗應當特別注少意并充分考奇慮那些影響護非常高的事晚件，即使其錄發(fā)生的概率創(chuàng)非常低。堆E.信息系刷統(tǒng)管理實務野晝E豐1.人力吳資源管理幫悲人力資源管短理涉及到人喘員的招聘、象選用、培訓分和晉升，業(yè)勝績考評，員筑工紀律，繼活任計劃等組異織政策與規(guī)竭程。初由于這些活籃動與IS職留能密切相關(guān)拘，其效果將細影響員工表講現(xiàn)及IS職能責的履行。定主要內(nèi)容有州：掀藍聘用仙沒勾員工手冊就沈舊晉升政策像愿愚培訓濃連駝驢日程和工時崗報告換譯盆員工業(yè)績評慨價套摟耳強制休假盡抖稅解聘政策支照射E2.磨資源配備紹實務豬幫劣組織為獲得夾IT編功能支持業(yè)癢務披,欄采購與配備校資源方式有荒:遠鉤?秘內(nèi)包型導(Inso繪urced鎮(zhèn))狀—IT予功能全部由嬸組織中的員職工實現(xiàn)；嬌閱伏?巧外包型旱(Outs喂ource摧d)—I減T煎功能全部由成外商服務供判應商提供；劈胡忽?輛混和型霜(Hybr掌id)—驟IT鴉功能由組織籍中的員工及蔑外部服務商紛共同提供。活容信息系統(tǒng)功塌能可以在全悼球范圍內(nèi)實銅現(xiàn)，以利用牧時區(qū)和勞動膽力價格方面渠的優(yōu)勢，主可要方式有：檢倉禽?致本地型艷(Onsi按te)—殺員工工作在殿組織辦公場性所中的信息看系統(tǒng)部門內(nèi)御；潮稍?玉外地型屬(Offs質(zhì)ite)—摧員工工作在狀同一個地理業(yè)區(qū)域內(nèi)的遠煌程站點；奸敗?脅離岸型店(Offs拒hore)迎—逮員工工作在匆不同地理蔽區(qū)域內(nèi)的遠撫程站點；提猾航?jīng)Q策資源配沫置方式的依服據(jù)烏冠即是否為組斥織的核心職侵能？舒濕量是否有滿倒足目標所需勇的礦不可替代的置特有知識、昏流程和員工嚴？悄飽外包給其嫁他組織或地拘方的價格是意否相同或更簡低？質(zhì)量是寨否相同或更燒高？是否未差增加風險？臣陶勉組織是否嚼擁有管理第息三方及使用杜遠程或離岸爭方式執(zhí)行I勾S或業(yè)務職踏能的經(jīng)驗？腦勇叨外包實務涉防禍外包實務就中是某個組織番根據(jù)協(xié)議，惱將部分或全承部信息系狡統(tǒng)部門的職薯能轉(zhuǎn)交給外賣部實體。姓釀外包是為了張獲取和利用獅服務提供商待的核心競爭奶能力，達成眉持續(xù)、有意窗義的對何經(jīng)營過程和絞服務的改進視,并降低I燙T成本。火選第三方可以廁提供的服務厘包括：屬乏壟?利數(shù)據(jù)錄入休狐歌矩?恒在組織內(nèi)部贈員工不具備柿所需技能、疲具備所需技鄙能的員工正追在執(zhí)行其他國更緊迫的任咸務或是為了始完成某項一繼次性任務而決不想招聘新?lián)p員工時，由婆第三方來設尖計和開發(fā)新趟系統(tǒng)侮樸?兆對現(xiàn)有系統(tǒng)叔進行維護，仰以騰出內(nèi)部上員工開發(fā)新簡系統(tǒng)左飲崇?則把遺留系統(tǒng)泡向新平臺轉(zhuǎn)落換，如通過朗某個專業(yè)公罰司辣把舊應用系全統(tǒng)轉(zhuǎn)換到W胞EB平臺仍授?盟幫助臺或電宵話中心的運培營傅雄今?蛛日常運營舌墊耽掌外包的風險椒化歪并趨列虧鍋鉤外包的優(yōu)膚點奸館杠成本超過預娘期值你身雞蘇斥割睛逆?zhèn)驅(qū)崿F(xiàn)規(guī)模經(jīng)爺濟效益掉增致喪失內(nèi)部煤人員獲得經(jīng)斬驗機會膏呢鄉(xiāng)皮喪老陡投入更多的千時間提高效僻率媽扁把喪失對業(yè)IS結(jié)的內(nèi)部控制題稼判獎屆晨磨堅勵有處理問題咬的經(jīng)驗和技膜術(shù)永修熊供應商出閣現(xiàn)業(yè)務故障致溜歲捕它枯時期歸作采用合同協(xié)霜議約束外包內(nèi)編障制出更好的坡說明書悉揮有限的產(chǎn)敬品訪問權(quán)限便密鞭毒朝柜階閑牙難以改變外掘包商的工作乘安排獻擋圓集晶水很少出現(xiàn)項葵目失控和延企期夏腰錯缺乏對法言規(guī)要求的遵柄循性刃繩弊閥娃瀉匠森控制風險的旱措施朱濁攔未滿足合沃同條款消丹狼響缸間模腹搭浪外包人員缺恰乏對客戶的閉忠誠舟致催電制定可衡量甲的、鞭伙伴式利益只共享目標和果回報機制嫌乒工作安排令律客戶及員工甜不滿埋德總禿凳使用多個供奔應商或保留攤一防服蛾務成本不具剩有競爭性段配半閘馳托恥逆部分業(yè)務作笨為激勵機制烏祝寨供應商巴IT更系統(tǒng)的陳舊花過時略甜域趕漆定期對競爭域趨勢進行審膀查持兔款律姥未實現(xiàn)預期言收益互甚佩釋都葉四實施短期合匯同劫腔光高項目失敗間危及雙方的眠聲譽焦混輕兇延組建跨職能槽合同管理團且隊趨辮蜻持久、昂貴脈的訴訟已識糖挽疲點品在合同中適然當考慮可合防理挑幅哄么信息或流程軋丟失及泄漏狀風險脂撐完銷駐亞浩沾預見的多數(shù)惕偶然因素追練墊全球化戰(zhàn)略鋪要注意的問須題泡政玉法律、法規(guī)削和稅收問題波–宇碑在不同的國兄家或地區(qū)運喊營IS職能麥，組織可能吩由于不了解豪情況而引入灌新的風險述觀持續(xù)運營偉–播波業(yè)務持續(xù)和蹲災難恢復計膝劃可能不充孔分并且未經(jīng)否測試捏斯人員后–棟沫可能未考慮墾到所需的起人力資源政促策調(diào)整洗匪幣通訊問題塘–奸俘遠程或離岸捏的網(wǎng)絡控制燥及訪問面臨選更加頻繁的示故障及大量壞的安全風險輝吳燒綁跨國界及跨籍文化問題銳–胖瞞管理多時區(qū)惰、多語言、溉多文化的人素員及流程可畏能出現(xiàn)難以錯預料的問題借描駐第三方審計殘報告仔復飼古第一種方法梁是要求供應質(zhì)商定期提交攝第三方審計捧報告，這些竄報告涵蓋了學與數(shù)據(jù)機密盛性、完整性脂、可用性相備關(guān)的問題。害損糊IS審悟計師與被審盾計人應當同撈時接受所選銀定的第三方丈審計師，并無且必須事先涂同意。對一銜些特定行業(yè)高，第三方審召計可能屬于仙法定的監(jiān)督壞和控制。柿移?遇例如：美國仁注冊會計師羽協(xié)會（零AICPA憐面）制定的宣SAS70循及英國、加夾拿大的類似養(yǎng)法規(guī)都通過刻法律來要求番特定行業(yè)出耗具第三方審極計報告。祝轉(zhuǎn)?S賀AS70沒的制定目的拼是指導審計余師報告服務挪機構(gòu)的內(nèi)部仇控制相關(guān)問場題，所報告猾內(nèi)容可作為撞用戶組織財能務報告中信泥息系統(tǒng)章節(jié)筑的一部分。委SAS70鐵也為外部審染計師對使用背服務機構(gòu)的逼實體實施財奉務報告圣愁審計提供代指南。候第二種方法虹是允許組織針內(nèi)的審計師完對供應商進花行定期審計稱。由于每次疤審計都花費超供應商較多雪的時間和資爹源，供應商屑可能會不接娘受這種方法我。外包治理發(fā)效外包是允許獻組織把服務構(gòu)交付轉(zhuǎn)由淋第三方提供譽的機制。接限受外包的基叔本原則是：揉雖然將服務謊交付轉(zhuǎn)移，裝但其責任仍沈?qū)儆诮M織內(nèi)唐管理層，他顧們必須確保吐對風險的猜適當管理及銅供應商持續(xù)尤的價值交付扯。決策制定歷流程的透明搭性及所有權(quán)確必須保留在涂組織內(nèi)部。突但掩決定外包思是一項戰(zhàn)略噴，而不只信是一個采購逃決策。采用妻外包的組織營通過識別并貧保留其核心羊業(yè)務而將非防核心業(yè)務外魂包來有效地窩重新配置組游織的價值鏈裕。嫩澤外包治理穗能支持建立舊并保持競爭爛和市場優(yōu)勢前，有效地應渡對競爭和市擔場環(huán)境的變賣化。偵尋外包治理是鍛一系列責任陶、角色、目之標、銜接和排控制機制，冶用來預測變盜化及管理第齒三方服務的酬引入、維跟護、績效、竄成本和控制越。襖管理第三方急服務交付齊良溜服務交付緒記茅?盾第三方服務弦交付協(xié)議中繪的安會全控制、服誼務定義和交補付水平應當?shù)居傻谌絹戆鑼嵤⑦\營椅和維護。聲秤?賣第三方組織親的服務交付忍內(nèi)容應當包忠括既定的安兄全濾部署、服務刷定義及服務搬管理等方面見。債胳?夢組織應當確慶保第三方組喜織維持充分懶的服務能力頂，同時制定邁可行的計劃慰以確保在發(fā)擊生主要服務蛋故障或災難鋤時能維持既葵定的服務奧水平。副麥監(jiān)督和檢查祖第三方服務銹世座?辟監(jiān)督服務性轉(zhuǎn)能水平，檢蔥查對協(xié)議的紙遵循性輩綁排?綁檢查第三方連提交否的服務報告丟，按照協(xié)議叢要求定期舉星行會議煮灶原閃?摔提交信息安缸全事件的相交關(guān)信息膽況間?最針對安全事傷件、問題等蓄檢查第三方臥審計軌跡和腎記錄妄跳嘗?掙解決已識別遲的問題并予除以管理第三魯方服務的變務更管理筒丸倡?剃考渠慮業(yè)務系統(tǒng)會的關(guān)鍵性及從其流程進行重管理，并重評新評估風險職。爺補戶翁服務改善及議用戶滿意度可命小宜SLA軌為外包商執(zhí)臥行堡IS論職能設定了衡基準，另外碧，組織可以葛在合同中設班定預期的服爆務改善、相監(jiān)關(guān)的處罰及不獎勵。服務防改善的內(nèi)容頓包括：把坦?阻減少幫助臺水的呼叫次數(shù)奴程氧?義減少還系統(tǒng)錯誤的犯數(shù)量短濤名?船改善系統(tǒng)可嗎用性步勞服務改善應際當經(jīng)過用戶拔同意，朝IT飼目標應當是縱改善用戶滿趴意緩度并實現(xiàn)業(yè)卵務目標。應賢當通過用戶嚴訪談和調(diào)查鏈來監(jiān)督用戶隆滿意度。召行業(yè)標準和圓基準童佛行業(yè)標準和訓基準為確定浴相同的信息湯處理設施林環(huán)境所能提桐供的績效水行平提供了一女種方式。可釘以從供應商績的其他用戶濃、行業(yè)出版謎物和專業(yè)協(xié)腫會獲得這些桐標準或基準殖表，例如I市SO900廈0和軟件工本程協(xié)會的C旋MM。外包勢組織必須遵厲循其客戶所鎮(zhèn)依賴的一系貍列良好設計秧的標準。管E3.組攀織的變更管給理擋變更管理是庸對組織中鄉(xiāng)IT招的變更進行立管理，它通款過制定明確庭的并正頌式成文的流副程，識別并大實施對組織池有益的IT億架構(gòu)和應用噴系統(tǒng)方面的怎技術(shù)改進。掙閣稻信息部門一僚方面可以利腸用技術(shù)的變呆化與更新來玉優(yōu)化業(yè)務流弟程，另一方刊面在組織高馬級管理層的攤支持下，通架過正式的變仗更管理程序徹來實施IT賤本身的可持吼續(xù)發(fā)展。苦E4.貿(mào)財務管理梢實務爸底在成本密集落的計算機環(huán)忍境中，良好訴的財務管理般是非常重要筐的。嘗蠢建立躬IT單用戶的記費淘機制（晃charg耕eback竄榜）可以提高看應用水平、盯監(jiān)督信息系撇統(tǒng)費用和可引用資源。廊凳信息系統(tǒng)播預算應當與獅IT妹的短期計劃陜及長期計劃節(jié)結(jié)合起來考封慮冤E5.質(zhì)搜量管理晚趣質(zhì)量曲管理是信息記系統(tǒng)基于部遠門的流程得躁到有效控制唇、評價和改本善的手段。爆捷扭流程是由一和系列任務組都成，如果這蔥些任務播被正確地執(zhí)保行，就可以躍產(chǎn)生預期的輸結(jié)果。呈信息系統(tǒng)審泛計師應當關(guān)燒注業(yè)務職能故和流程是否溫按標準（例喊如ISO9督001：2如000、獸ISO91觸26、C片MM等）正檢式成文并被溜遵照執(zhí)行，怠是否產(chǎn)生了充預期結(jié)果。展具信息系統(tǒng)審謠計師關(guān)注信拌息系統(tǒng)組織詢中是否存在噸相以下曉流程文檔：怎圾蜜斑臣計算機操作歌傭船至鼓服務管理烤穴屋佩用系統(tǒng)軟件采民購、實施和翅維護玉宗暖嗎凍硬件采購和嘉維護皆所斤舌洞應用軟件采懸購或開發(fā)及壇維護孔鞠包桂衣管理報告坡子險倒飄物理和邏輯狀安全珠協(xié)爽核農(nóng)短期和長期尼計劃浸傻率惹爪工時報告則發(fā)誕猛懸笨斤人力資源（純HR抵）管理晉辭E6.信端息安全管理礦(ISO1匆7799)聾金哲信息安全管怨理在確保組啞織所控制的扭信息和信息綢處理資源受種到適當?shù)谋２o方面起著昂重要作用，緣丟它領(lǐng)導猶和促進整個稀組織范圍內(nèi)民的IT安全凡程序的實施巾.結(jié)拔信息安全管型理主要包括防了安全方針坊策略的制定捆、組織與人瑞員的安全管察理、訪問控敞制、支持組伸織關(guān)鍵業(yè)務鴨流程的業(yè)務城持續(xù)計劃和部災難恢復坐計劃等內(nèi)容司。殼午信息安全管桃理的更多內(nèi)很容見第李5片章扛“菜信息資產(chǎn)的常保護估”提。傲E7.績書效優(yōu)化創(chuàng)孝績效優(yōu)化是滲指在無須對悶信重息技術(shù)基礎輛設施追加額糞外投資的情配況下，將信康息系統(tǒng)的生粥產(chǎn)力提高抓杠到可能達選到的最高水棄平。引琴績效優(yōu)化是跟由績效指標臥推動的過程胡，這些指標番是基于組織援業(yè)務活動和摩流程的復雜顫性、戰(zhàn)略性端凳的IT解裳決方案以及澇公司實施I腐T的主要戰(zhàn)雪略目標來確稼定的。睜績效指標的旺主要功能：大衡量產(chǎn)品和刺服務、忠管理產(chǎn)品和害服務、確保衡責任制、制陽定預算決策迫、優(yōu)化績效炕齡?粱績效優(yōu)化的慧工具誕COBIT替管理指南－扒它是為了滿貓足獵IT扛經(jīng)際理進行績效腫評價的需求涉而設計的，鋪它為IT的條34個忽主府要流程定義要了關(guān)鍵成功迷要素、關(guān)鍵沃目標指標、錦關(guān)旁鍵巧績效指標和鏟成熟度模型京。陡管理指南的嫁重要內(nèi)容：儀省院蜂虜媽關(guān)鍵成功要貌素級(CSF扯)折詞膊固管理指南要蚊回答的問題貿(mào)：時朗也關(guān)鍵目標指綱標躺(KGI缺)錦濕使成本與效益甩我們究業(yè)竟應該走多平遠，成本與衛(wèi)利潤比例是沾否稻合適？啊掙關(guān)鍵績效指弱標典(家KPI)飼怨陷孟割成熟度模型庭訓拉咐絹績效評價嫌對另于好的績效付的度量指標盒是什么？擴們握胞廣視肌糟貌掀蝕豪奶廉峽竄煉俊室孫縫枝抽虹博邁同啞渣IT龍控制環(huán)境兩什么是重讓要點？關(guān)鍵議成功要素是鍛什么？急弊域眠宇勇碧肢止妥景蒜灰唯劉謎意識不炎能達到我們懂的目標的風塞險搶是什么？屬同娃殊莊等撐伐鮮環(huán)藏沒施撫蘆基準測量瞇他人在做伶什么？我們芒應該怎樣測猜量和比較？忌韻F.信息系所統(tǒng)組織結(jié)構(gòu)珠和責任旬信息系統(tǒng)部冷門的組織結(jié)神構(gòu)犬（略）忘F1.信息歪系統(tǒng)的任務程和職責亦對信息系統(tǒng)心各種職能進劍行審查技術(shù)圈支持偉皂旁儀?棕技術(shù)支持經(jīng)傾理慌(Tech茫nique準Supp艘ortM湊anage哲r)蠶?點系統(tǒng)管理員議（雷Syste竊mAdm則inist隸rator涌扁）名薄?擠網(wǎng)絡管理員遍（止Netwo器rkM條anage乏rs嶼）酸賭?斃系統(tǒng)程序員撤(Syst抵emsP界rogra繼mmers王)勇運行部門（聰Opera互tions危防）晝協(xié)?升運行經(jīng)理朱(Oper脂ation穴sMan冶ager)肺框?浸計算機操作積員栗(Comp郊uter謙Opera稱tor)打?瓜控制組寺枕（惹Contr賠olGr蟻oup羅）榨狐?感資料庫管理協(xié)員（碑Libra患rian貿(mào)）工鑼?態(tài)數(shù)據(jù)錄入殺塔（替Data對Entry薪施）惑漢應用系統(tǒng)開默發(fā)究（該Appli橋catio幅nDev晚elopm易ent責）帽半?赤系統(tǒng)開發(fā)經(jīng)窮理掉(Syst秀emDe創(chuàng)velop姿ment灌Manag責er)競?撲系統(tǒng)分析員秤（榮Syste悼msAn露alyst各s挑）矛朋?綠應用系統(tǒng)程專序員贈(蠅Appli百catio盡nsPr豈ogram儲mers)覺支安全與質(zhì)量騰(Secu誠rity仔andQ話ualit皂y)嚴?未安全架構(gòu)師屋是（紹Secur移ityA齒rchit徹ect飾）屋乒?寄安全管理員敬（亮Secur安ityA財dmini缺strat責or脆）珍掏?震質(zhì)量保證障愿（杏Quali陣tyAs黨suran碑ce寺）暴壟數(shù)據(jù)管理（予Data如Admin器istra間tion不）扎臣?哨妻數(shù)據(jù)經(jīng)理討(Data膜Mana第ger)襪?環(huán)數(shù)據(jù)庫管理粱員（布Datab而aseA舌dmini唱strat妻or鈔）群舌客戶服務誰(前Custo駕merS厲ervic康es)棗?奮最終用戶支注持經(jīng)理纖(End-所user慮Suppo蠶rtMa餅nager嘩)魂?喘幫助臺屬(Help論Desk注)美?瑞最終用戶出箱（翼EndU虜ser程）粉崇棵F2.置信息系統(tǒng)中援的職責分離堪輛惕職責分離可與以避免因為棒某一個人負原責多個關(guān)挖鍵的職位而駱造成不能在理日常的業(yè)務洽活動中及時搜地濱發(fā)現(xiàn)屋其錯誤的情帖況。饑克職責分離熊是威懾和預液防欺詐或垂惡意行為的虧一種手段。業(yè)蠶持應當分離的停職責包括：鍬資產(chǎn)保管、叉授權(quán)批準、砍交易記錄城晶審計師必須分獲得足夠的種信息以了解監(jiān)各種償工作職位、量責任和授權(quán)惕之間的關(guān)系蝴，從而評估阻職責分離是賀否充分。似職責分離矩悄陣疼（略）火對職責分離炎的控制來堅頃交易授權(quán)匹編日資產(chǎn)保管伯拿礦數(shù)據(jù)訪問控男制（物理層堆、系統(tǒng)層及燭應用層，職糞責分離和最