信息系統(tǒng)審計(jì)指引COBIT-中文版

1、COBITW息技術(shù)審計(jì)指南（34個(gè)控制目標(biāo)）計(jì)劃和組織（選擇3/6/11）1定義戰(zhàn)略性的信息技術(shù)規(guī)劃（PO1p（M控制的IT過(guò)程：定義戰(zhàn)略性的IT規(guī)劃滿足的業(yè)務(wù)需求：既要謀求信息技術(shù)機(jī)遇和IT業(yè)務(wù)需求的最佳平衡，又要確保其進(jìn)一步地完成實(shí)現(xiàn)路線：在定期從事的戰(zhàn)略規(guī)劃編制過(guò)程中，要逐漸形成長(zhǎng)期的計(jì)劃，長(zhǎng)期的計(jì)劃應(yīng)定期地轉(zhuǎn)化成設(shè)置清晰并具體到短期目的的操作計(jì)劃需要考慮的事項(xiàng)：企業(yè)的業(yè)務(wù)發(fā)展戰(zhàn)略IT如何支持業(yè)務(wù)目標(biāo)的明確定義技術(shù)解決方案和當(dāng)前基礎(chǔ)設(shè)施的詳細(xì)清單追蹤技術(shù)市場(chǎng)適時(shí)的可行性研究和現(xiàn)實(shí)性檢查已有系統(tǒng)的評(píng)估在風(fēng)險(xiǎn)、進(jìn)入市場(chǎng)的時(shí)機(jī)、質(zhì)量方面，企業(yè)所處的位置需要高級(jí)管理層出錢、支持和必不可少的檢查信

2、息規(guī)范IT資源P效果*人員S效率*應(yīng)用保密*技術(shù)完整*設(shè)施可用*數(shù)據(jù)遵從可靠1.1 作為機(jī)構(gòu)長(zhǎng)期和短期計(jì)劃一部分的IT高級(jí)管理層對(duì)開(kāi)發(fā)和實(shí)施履行機(jī)構(gòu)任務(wù)和目標(biāo)的長(zhǎng)期和短期的計(jì)劃負(fù)責(zé)。在這一方面，高級(jí)管理層應(yīng)確保IT有關(guān)事項(xiàng)以及機(jī)遇被適當(dāng)?shù)卦u(píng)估，并將結(jié)果反映到機(jī)構(gòu)的長(zhǎng)期和短期計(jì)劃之中。IT的長(zhǎng)期、短期計(jì)劃應(yīng)被開(kāi)發(fā)，確保IT的運(yùn)用同機(jī)構(gòu)的使命與業(yè)務(wù)發(fā)展戰(zhàn)略相結(jié)合。1.2 IT長(zhǎng)期計(jì)劃IT管理層和業(yè)務(wù)過(guò)程的所有者要對(duì)有規(guī)律地開(kāi)發(fā)支持機(jī)構(gòu)總體使命和目的實(shí)現(xiàn)的IT長(zhǎng)期計(jì)劃負(fù)責(zé)。計(jì)劃編制的方法應(yīng)包括尋求來(lái)自受IT戰(zhàn)略計(jì)劃影響的相關(guān)內(nèi)外部利害關(guān)系人引入的機(jī)制。相應(yīng)地，管理層應(yīng)執(zhí)行一個(gè)長(zhǎng)期計(jì)劃的編制過(guò)程，采用

3、一種結(jié)構(gòu)化的方法，并建立一個(gè)標(biāo)準(zhǔn)的計(jì)劃結(jié)構(gòu)1.3 IT長(zhǎng)期計(jì)劃編制一一方法與結(jié)構(gòu)對(duì)于長(zhǎng)期計(jì)劃的編制過(guò)程來(lái)講，IT管理層和業(yè)務(wù)過(guò)程的所有者應(yīng)建立并采用一種結(jié)構(gòu)化的方法。這樣可以制定出高質(zhì)量的計(jì)劃，含蓋什么、誰(shuí)、怎樣、什么時(shí)間和為什么等基本的問(wèn)題。IT計(jì)劃的編制過(guò)程應(yīng)考慮風(fēng)險(xiǎn)評(píng)估的結(jié)果，包括業(yè)務(wù)、環(huán)境、技術(shù)和人力資源的風(fēng)險(xiǎn)。計(jì)劃編制期間，需要考慮和充分投入的方面包括：機(jī)構(gòu)的模式及其變化、地理的分布、技術(shù)的發(fā)展、成本、法律法規(guī)的要求、第三方或市場(chǎng)的要求、規(guī)劃遠(yuǎn)景、業(yè)務(wù)過(guò)程再造、員工的安置、自行開(kāi)發(fā)或者外包、數(shù)據(jù)、應(yīng)用系統(tǒng)和技術(shù)體系結(jié)構(gòu)。已做出選擇的好處應(yīng)被明確地確定下來(lái)。IT長(zhǎng)期和短期計(jì)劃應(yīng)使績(jī)效指

4、標(biāo)和目標(biāo)合并在一起。計(jì)劃本身還應(yīng)參考其它的計(jì)劃，比如機(jī)構(gòu)的質(zhì)量計(jì)劃和信息風(fēng)險(xiǎn)管理計(jì)劃。1.4 IT長(zhǎng)期計(jì)劃的變更IT管理層和業(yè)務(wù)過(guò)程所有者應(yīng)確保及時(shí)、準(zhǔn)確地修改IT長(zhǎng)期計(jì)劃的過(guò)程的到位，以適應(yīng)機(jī)構(gòu)長(zhǎng)期計(jì)劃的變化和IT環(huán)境的變化。管理層應(yīng)建立一個(gè)IT長(zhǎng)期和短期計(jì)劃開(kāi)發(fā)和維護(hù)所需要的政策。1.5 IT功能的短期計(jì)劃編制IT管理層和業(yè)務(wù)過(guò)程的所有者應(yīng)確保IT長(zhǎng)期計(jì)劃有規(guī)律地轉(zhuǎn)換成IT短期計(jì)劃。這樣的短期計(jì)劃應(yīng)確保適當(dāng)?shù)腎T功能資源以與IT長(zhǎng)期計(jì)劃內(nèi)容相一致的基礎(chǔ)上來(lái)分配。短期計(jì)劃應(yīng)定期地進(jìn)行再評(píng)估，并被作為適應(yīng)正在變化的業(yè)務(wù)和IT環(huán)境所必須的事項(xiàng)而改進(jìn)?？尚行匝芯康募皶r(shí)執(zhí)行應(yīng)確保短期計(jì)劃的實(shí)行是被充

5、分地啟動(dòng)的。1.6 IT計(jì)劃的交流管理層應(yīng)確保IT長(zhǎng)期和短期計(jì)劃同業(yè)務(wù)過(guò)程所有者以及跨越機(jī)構(gòu)的其他相關(guān)部門(mén)人員的充分溝通。1.7 IT計(jì)劃的監(jiān)控和評(píng)估管理層應(yīng)建立一個(gè)流程，獲取和報(bào)告來(lái)自業(yè)務(wù)過(guò)程所有者和用戶有關(guān)長(zhǎng)期和短期計(jì)劃的質(zhì)量及有效性的反饋。獲取的反饋應(yīng)予以評(píng)估，并在將來(lái)的IT計(jì)劃編制中加以考慮。1.8 現(xiàn)有系統(tǒng)的評(píng)估在開(kāi)發(fā)或變更戰(zhàn)略規(guī)劃或長(zhǎng)期計(jì)劃、IT計(jì)劃之前，IT管理層應(yīng)按照業(yè)務(wù)自動(dòng)化的程度、功能性、穩(wěn)定性、復(fù)雜性、成本、優(yōu)勢(shì)和劣勢(shì)，評(píng)估現(xiàn)有信息系統(tǒng)，以確定現(xiàn)有系統(tǒng)支持機(jī)構(gòu)業(yè)務(wù)需求的程度。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：獲得了解：訪談:首席執(zhí)行官（CE。首席運(yùn)營(yíng)官（CO。首席財(cái)務(wù)官（C

6、FO首席信息官（CIO）IT計(jì)劃/指導(dǎo)委員會(huì)成員IT高級(jí)管理層和人力服務(wù)職員獲得：與計(jì)劃編制過(guò)程想關(guān)聯(lián)的政策和程序高級(jí)管理層的指導(dǎo)角色和責(zé)任機(jī)構(gòu)的目標(biāo)和長(zhǎng)短期的計(jì)劃IT的目標(biāo)和長(zhǎng)短期的計(jì)劃狀況的報(bào)告和計(jì)劃/指導(dǎo)委員會(huì)的會(huì)議紀(jì)要評(píng)估控制：考慮是否：IT或者業(yè)務(wù)的企業(yè)政策和程序選擇了一種結(jié)構(gòu)化的計(jì)劃編制方法方法到位，以便明確地表達(dá)并能夠修改計(jì)劃，起碼它們要包括：?機(jī)構(gòu)的使命和目的?支持機(jī)構(gòu)使命和目的的IT初始?IT初始的機(jī)遇?IT初始的可行性的研究?IT初始的風(fēng)險(xiǎn)評(píng)估?當(dāng)前和未來(lái)IT的最佳投資?反映企業(yè)使命和目的變化的IT初始的再造?數(shù)據(jù)應(yīng)用、技術(shù)和機(jī)構(gòu)可選擇戰(zhàn)略的評(píng)估機(jī)構(gòu)的變化、技術(shù)的發(fā)展、規(guī)章

7、的要求、業(yè)務(wù)過(guò)程的再造、員工的安置、自己開(kāi)發(fā)和外包，等等被考慮，并在計(jì)劃編制過(guò)程中充分地從事長(zhǎng)短期的IT計(jì)劃存在，是當(dāng)前的，充分針對(duì)全部企業(yè)、它的使命和關(guān)鍵的業(yè)務(wù)職能部門(mén)IT項(xiàng)目由IT計(jì)劃編制方法中確定的適當(dāng)文檔所支持確保IT目標(biāo)和長(zhǎng)短期計(jì)劃持續(xù)地滿足機(jī)構(gòu)目標(biāo)和長(zhǎng)短期計(jì)劃的檢查點(diǎn)存在由過(guò)程所有者和高級(jí)管理層評(píng)價(jià)和結(jié)束的IT計(jì)劃發(fā)生根據(jù)業(yè)務(wù)自動(dòng)化程度、功能性、穩(wěn)定性、復(fù)雜性、成本、優(yōu)勢(shì)和弱點(diǎn)，IT計(jì)劃評(píng)估現(xiàn)有的信息系統(tǒng)對(duì)信息系統(tǒng)及其支持的基礎(chǔ)設(shè)施的長(zhǎng)期計(jì)劃編制的缺乏，導(dǎo)致系統(tǒng)不能支持企業(yè)的目標(biāo)和業(yè)務(wù)的過(guò)程，或者不能提供適當(dāng)?shù)耐暾踩涂刂圃u(píng)定遵從性：測(cè)試：來(lái)自反映計(jì)劃編制過(guò)程的IT計(jì)劃編制/指

8、導(dǎo)委員會(huì)的會(huì)議紀(jì)要計(jì)劃編制方法的可交付使用物的存在，作為預(yù)先的規(guī)定相關(guān)IT的初始被包括在IT長(zhǎng)短期的計(jì)劃當(dāng)中（也就是硬件的變化、容量計(jì)劃編制、信息體系結(jié)構(gòu)、新系統(tǒng)開(kāi)發(fā)或獲取、災(zāi)難恢復(fù)計(jì)劃編制、新處理平臺(tái)的安裝，等等）IT初始支持長(zhǎng)短期計(jì)劃，并要考慮調(diào)查、培訓(xùn)、人員安置、設(shè)施、硬件和軟件的需求IT初始的技術(shù)含義已經(jīng)被確定最優(yōu)化當(dāng)前和將來(lái)IT投資的考慮已經(jīng)給出IT長(zhǎng)短期計(jì)劃與機(jī)構(gòu)的長(zhǎng)短期計(jì)劃和組織的需求保持一致計(jì)劃已經(jīng)發(fā)生改變，以反映正在變化的條件IT長(zhǎng)期計(jì)劃定期轉(zhuǎn)化成短期計(jì)劃存在實(shí)現(xiàn)計(jì)劃的任務(wù)證實(shí)沒(méi)有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰?guó)際標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的戰(zhàn)略IT計(jì)劃的基

9、準(zhǔn)確保IT初始反映機(jī)構(gòu)的使命和目的的IT計(jì)劃的詳細(xì)評(píng)價(jià)決定是否機(jī)構(gòu)之內(nèi)已經(jīng)知道的虛弱區(qū)域正在被確認(rèn)為計(jì)劃當(dāng)中IT解決方案的一部分而加以改進(jìn)的IT計(jì)劃的詳細(xì)評(píng)價(jià)確定：滿足機(jī)構(gòu)使命和目的的IT失敗與長(zhǎng)期計(jì)劃相匹配的短期計(jì)劃的IT失敗滿足短期計(jì)劃的IT項(xiàng)目的失敗滿足成本和時(shí)間準(zhǔn)則的IT失敗錯(cuò)過(guò)的業(yè)務(wù)機(jī)遇錯(cuò)過(guò)的IT機(jī)遇2定義信息體系結(jié)構(gòu)（PO2控制的IT過(guò)程：定義信息體系結(jié)構(gòu)滿足的業(yè)務(wù)需求：優(yōu)化信息系統(tǒng)的機(jī)構(gòu)實(shí)現(xiàn)路線：創(chuàng)建并維護(hù)一個(gè)業(yè)務(wù)信息模型，確保定義適當(dāng)?shù)南到y(tǒng)，以優(yōu)化信息的使用需要考慮的事項(xiàng)：自動(dòng)化的數(shù)據(jù)存貯和字典數(shù)據(jù)語(yǔ)法規(guī)則數(shù)據(jù)所有權(quán)和關(guān)鍵性/安全性程度分類表述業(yè)務(wù)的信息模型企業(yè)信息體系結(jié)構(gòu)標(biāo)準(zhǔn)

10、信息信息規(guī)范IT資源P效果人員S效率*應(yīng)用S保密技術(shù)S完整設(shè)施可用*數(shù)據(jù)遵從可靠2.1 信息體系結(jié)構(gòu)模型信息應(yīng)與需求保持一致，并應(yīng)以某種格式和期限進(jìn)行識(shí)別、獲取和交流，而這些格式和期限能使人們及時(shí)、有效地履行他們的職責(zé)。相應(yīng)地，圍繞企業(yè)的數(shù)據(jù)模型和相關(guān)的信息系統(tǒng)，IT的職能應(yīng)是建立并有規(guī)律地更新信息體系結(jié)構(gòu)模型。信息體系結(jié)構(gòu)模型應(yīng)與IT長(zhǎng)期計(jì)劃保持一致。2.2 企業(yè)數(shù)據(jù)字典和數(shù)據(jù)語(yǔ)法規(guī)則IT的職能應(yīng)確保包含機(jī)構(gòu)數(shù)據(jù)語(yǔ)法規(guī)則的企業(yè)數(shù)據(jù)字典的建立以及持續(xù)的更新。2.3 數(shù)據(jù)分類方案在按信息類別（如安全類）進(jìn)行分類的數(shù)據(jù)放置以及所有權(quán)分配方面，應(yīng)建立一個(gè)總體的分類框架，應(yīng)適當(dāng)定義各類別的訪問(wèn)規(guī)則。2

11、.4 安全等級(jí)對(duì)于上述確定的每一個(gè)“不需要保護(hù)”級(jí)別以上的數(shù)據(jù)分類，管理層應(yīng)定義、執(zhí)行和維護(hù)這些安全等級(jí)。對(duì)于每一個(gè)分類來(lái)講，這些安全等級(jí)應(yīng)描述適當(dāng)?shù)模ㄗ钚〉模┮惶装踩涂刂瞥叨?，?yīng)定期進(jìn)行再評(píng)估并做相應(yīng)的修改。對(duì)于區(qū)域范圍廣闊的企業(yè)，應(yīng)建立支持不同安全等級(jí)的標(biāo)準(zhǔn)，以適應(yīng)正在發(fā)展的電子商務(wù)、移動(dòng)計(jì)算和遠(yuǎn)程辦公環(huán)境的需要。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：獲得了解：訪談：首席信息官（CIO）IT計(jì)劃/指導(dǎo)委員會(huì)成員IT高級(jí)管理層安全官獲得：與信息體系結(jié)構(gòu)相關(guān)的政策和程序信息體系結(jié)構(gòu)模型支持信息體系結(jié)構(gòu)模型的文檔，包括企業(yè)數(shù)據(jù)模型企業(yè)數(shù)據(jù)字典數(shù)據(jù)所有者政策高級(jí)管理層指導(dǎo)的角色和責(zé)任IT的目標(biāo)和長(zhǎng)短期

12、計(jì)劃狀況報(bào)告和計(jì)劃編制/指導(dǎo)委員會(huì)會(huì)議紀(jì)要評(píng)估控制：考慮是否：IT政策和程序選擇了數(shù)據(jù)字典的開(kāi)發(fā)和維護(hù)用于修改信息體系結(jié)構(gòu)模型的過(guò)程是以長(zhǎng)短期計(jì)劃為基礎(chǔ)的，考慮了相關(guān)成本和風(fēng)險(xiǎn)，并且該模型變化之前，要確保高級(jí)管理層同意有一個(gè)過(guò)程用來(lái)保持?jǐn)?shù)據(jù)字典和數(shù)據(jù)語(yǔ)法規(guī)則處于最新?tīng)顟B(tài)有一個(gè)媒介用來(lái)分發(fā)數(shù)據(jù)字典，確保開(kāi)發(fā)區(qū)域的可達(dá)性并立即反映變化IT政策和過(guò)程要選擇數(shù)據(jù)的分類，包括安全種類和數(shù)據(jù)所有者，數(shù)據(jù)分類的訪問(wèn)規(guī)則要被清晰和適當(dāng)?shù)囟x要為那些不包含數(shù)據(jù)分類標(biāo)識(shí)符的數(shù)據(jù)資產(chǎn)定義缺省的分類標(biāo)準(zhǔn)IT政策和程序要選擇以下內(nèi)容：?需要數(shù)據(jù)所有者（在數(shù)據(jù)所有者政策上定義）的授權(quán)過(guò)程要到位，以便批準(zhǔn)該數(shù)據(jù)的所有訪問(wèn)以

13、及數(shù)據(jù)的安全屬性?每一個(gè)數(shù)據(jù)分類的安全等級(jí)要被定義?訪問(wèn)等級(jí)被定義，并且對(duì)于數(shù)據(jù)分類來(lái)說(shuō)是適當(dāng)?shù)?訪問(wèn)敏感數(shù)據(jù)需要清楚的訪問(wèn)級(jí)別，數(shù)據(jù)的提供要以“需要知道”為基礎(chǔ)評(píng)定遵從性：測(cè)試：信息體系結(jié)構(gòu)模型上的變化，確定這些變化反映了IT長(zhǎng)短期計(jì)劃及其所確定的成本和風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)字典的任何修改以及數(shù)據(jù)字典上變化的影響，確保它們被有效地溝通各種運(yùn)作的應(yīng)用系統(tǒng)和開(kāi)發(fā)項(xiàng)目，以確定數(shù)據(jù)字典被用作數(shù)據(jù)定義足夠的數(shù)據(jù)字典文檔，以確定這些文檔為每一個(gè)數(shù)據(jù)項(xiàng)定義了數(shù)據(jù)的屬性和安全等級(jí)數(shù)據(jù)分類、安全等級(jí)、訪問(wèn)等級(jí)和缺省的適當(dāng)性每一個(gè)數(shù)據(jù)分類都要清晰地定義：?誰(shuí)可以訪問(wèn)?誰(shuí)對(duì)決定適當(dāng)?shù)脑L問(wèn)級(jí)別負(fù)責(zé)?所需訪問(wèn)的明確批準(zhǔn)?訪問(wèn)的

14、特定需求（也就是非披露或者保密性協(xié)議）證實(shí)沒(méi)有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似機(jī)構(gòu)或適者國(guó)際標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的信息體系結(jié)構(gòu)模型的基準(zhǔn)針對(duì)關(guān)鍵元素的完整性，數(shù)據(jù)字典的詳細(xì)評(píng)價(jià)對(duì)定義為敏感數(shù)據(jù)的安全等級(jí)的詳細(xì)評(píng)價(jià)，以校驗(yàn)訪問(wèn)的適當(dāng)授權(quán)被獲得，被許可的訪問(wèn)與定義在IT政策和程序中的一致確定：信息體系結(jié)構(gòu)模型和企業(yè)數(shù)據(jù)模型、企業(yè)數(shù)據(jù)字典、相關(guān)信息系統(tǒng)以及IT長(zhǎng)短期計(jì)劃中的矛盾過(guò)時(shí)的企業(yè)數(shù)據(jù)字典項(xiàng)和由于數(shù)據(jù)字典變化的不良的溝通喪失了時(shí)效性的數(shù)據(jù)語(yǔ)法規(guī)則？所有者不清楚和/或沒(méi)有適當(dāng)定義的數(shù)據(jù)項(xiàng)沒(méi)有被適當(dāng)定義的數(shù)據(jù)分類與“需要才能知道”的原則不一致的數(shù)據(jù)安全等級(jí)3決定技術(shù)方向（PO3控制的IT過(guò)程

15、：決定技術(shù)方向滿足的業(yè)務(wù)需求：利用目前可用的和正在出現(xiàn)的技術(shù)，推動(dòng)業(yè)務(wù)戰(zhàn)略的實(shí)施并使業(yè)務(wù)戰(zhàn)略成為可能實(shí)現(xiàn)路線：建立并維護(hù)技術(shù)基礎(chǔ)設(shè)施計(jì)劃，該計(jì)劃，依據(jù)產(chǎn)品、服務(wù)和交付機(jī)制，建立并管理技術(shù)能夠提供的清晰和現(xiàn)實(shí)的預(yù)期需要考慮的事項(xiàng)：當(dāng)前基礎(chǔ)設(shè)施的容量通過(guò)可靠的來(lái)源，監(jiān)測(cè)技術(shù)發(fā)展引導(dǎo)概念的檢驗(yàn)風(fēng)險(xiǎn)、約束和機(jī)遇獲取的計(jì)劃移植戰(zhàn)略和路線與供應(yīng)商的關(guān)系獨(dú)立的技術(shù)再評(píng)估硬件和軟件的性能/價(jià)格比的變化信息規(guī)范IT資源P效果人員S效率應(yīng)用保密*技術(shù)完整*設(shè)施可用數(shù)據(jù)遵從可靠3.1 技術(shù)基礎(chǔ)設(shè)施計(jì)劃編制IT的職能部門(mén)應(yīng)建立并有規(guī)律地更新與IT長(zhǎng)期和短期計(jì)劃保持一致的技術(shù)基礎(chǔ)設(shè)施計(jì)劃。這樣的計(jì)劃應(yīng)圍繞諸如系統(tǒng)體系結(jié)

16、構(gòu)、技術(shù)方向和移植策略等方面。3.2 監(jiān)測(cè)未來(lái)的趨勢(shì)和法規(guī)IT的職能部門(mén)應(yīng)能夠確保對(duì)未來(lái)趨勢(shì)和法規(guī)環(huán)境的持續(xù)監(jiān)測(cè)，以便這些因素能夠在技術(shù)基礎(chǔ)設(shè)施計(jì)劃的開(kāi)發(fā)和維護(hù)期間被考慮在內(nèi)。3.3 技術(shù)基礎(chǔ)設(shè)施的不確定事件技術(shù)基礎(chǔ)設(shè)施計(jì)劃應(yīng)在偶然事件方面（即基礎(chǔ)設(shè)施的冗余、恢復(fù)、充足性和發(fā)展能力）進(jìn)行系統(tǒng)地評(píng)估。3.4 硬件和軟件獲取計(jì)劃IT管理層應(yīng)確保制定硬件和軟件的獲取計(jì)劃，并要反映在所確定的技術(shù)基礎(chǔ)設(shè)施計(jì)劃的需求中。3.5 技術(shù)標(biāo)準(zhǔn)以技術(shù)基礎(chǔ)設(shè)施計(jì)劃為基礎(chǔ)，IT管理層應(yīng)定義技術(shù)規(guī)范以培養(yǎng)標(biāo)準(zhǔn)化的意識(shí)。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：獲得了解：訪談：首席執(zhí)行官（CE。首席運(yùn)營(yíng)官（CO。首席財(cái)務(wù)官（CFO

17、首席信息官（CIO）IT計(jì)劃/指導(dǎo)委員會(huì)成員IT高級(jí)管理層獲得：與技術(shù)基礎(chǔ)設(shè)施計(jì)劃編制和監(jiān)控相聯(lián)系的政策和程序高級(jí)管理層指導(dǎo)角色和責(zé)任機(jī)構(gòu)目標(biāo)和長(zhǎng)短期計(jì)劃IT目標(biāo)和長(zhǎng)短期計(jì)劃IT硬件和軟件獲取計(jì)劃技術(shù)基礎(chǔ)設(shè)施計(jì)劃技術(shù)標(biāo)準(zhǔn)狀況報(bào)告和計(jì)劃編制/指導(dǎo)委員會(huì)會(huì)議紀(jì)要評(píng)估控制：考慮是否：為確認(rèn)被提議的變化首先被檢查以評(píng)估相關(guān)聯(lián)的成本和風(fēng)險(xiǎn)，為確認(rèn)高級(jí)管理層的批準(zhǔn)先于計(jì)劃的變化被獲得，有一個(gè)創(chuàng)造并有規(guī)律地更新的技術(shù)基礎(chǔ)設(shè)施計(jì)劃的過(guò)程技術(shù)基礎(chǔ)設(shè)施計(jì)劃與IT長(zhǎng)短期計(jì)劃相比較有一個(gè)過(guò)程來(lái)評(píng)估機(jī)構(gòu)的當(dāng)前技術(shù)狀態(tài)，確保環(huán)繞諸如系統(tǒng)體系結(jié)構(gòu)、技術(shù)方向和移植戰(zhàn)略等方面IT政策和程序確保選擇了評(píng)估和監(jiān)控當(dāng)前和將來(lái)的技術(shù)趨

18、勢(shì)和規(guī)章條件的要求，并且在技術(shù)基礎(chǔ)設(shè)施計(jì)劃的開(kāi)發(fā)和維護(hù)期間被考慮技術(shù)獲取的后勤和環(huán)境影響要被計(jì)劃IT政策和程序確保選擇了系統(tǒng)地評(píng)估技術(shù)計(jì)劃意外的需求（也就是基礎(chǔ)設(shè)施的冗余、恢復(fù)力、足夠性和發(fā)展能力）IT管理層評(píng)估正在出現(xiàn)的技術(shù)，并將適當(dāng)?shù)募夹g(shù)合并到當(dāng)前的IT基礎(chǔ)設(shè)施之中對(duì)于硬件和軟件的獲取計(jì)劃來(lái)講，它是遵從技術(shù)基礎(chǔ)設(shè)施計(jì)劃中所確定的要求并被適當(dāng)?shù)嘏鷾?zhǔn)的實(shí)踐在技術(shù)基礎(chǔ)設(shè)施計(jì)劃中所描述的技術(shù)組成的技術(shù)標(biāo)準(zhǔn)是到位的評(píng)定遵從性：測(cè)試：IT管理層理解并使用技術(shù)基礎(chǔ)設(shè)施計(jì)劃技術(shù)基礎(chǔ)設(shè)施計(jì)劃上的變化，以確定相關(guān)的成本和風(fēng)險(xiǎn)，這些變化要反映在IT長(zhǎng)短期計(jì)劃的變化中IT管理層要理解監(jiān)控和評(píng)估正在出現(xiàn)技術(shù)的過(guò)程，

19、并要將適當(dāng)?shù)募夹g(shù)合并到當(dāng)前的IT基礎(chǔ)設(shè)施之中IT管理層要理解系統(tǒng)評(píng)估技術(shù)計(jì)劃意外的過(guò)程（也就是說(shuō)，基礎(chǔ)設(shè)施的冗余、恢復(fù)力、充足性和發(fā)展能力）為了充分地適應(yīng)目前的已安裝的硬件/軟件以及在當(dāng)前被批準(zhǔn)的增加的新的硬件/軟件，IT職能部門(mén)現(xiàn)有的物理環(huán)境硬件和軟件獲取計(jì)劃遵從IT長(zhǎng)短期計(jì)劃，并要反映技術(shù)基礎(chǔ)設(shè)施計(jì)劃中所確認(rèn)的需求技術(shù)基礎(chǔ)設(shè)施計(jì)劃選擇利用當(dāng)前和將來(lái)的技術(shù)技術(shù)標(biāo)準(zhǔn)被遵循，并作為開(kāi)發(fā)過(guò)程的一部分而被合成一體被允許的訪問(wèn)與IT政策和程序中所定義的安全等級(jí)相一致，到位的訪問(wèn)要經(jīng)過(guò)適當(dāng)?shù)氖跈?quán)證實(shí)沒(méi)有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰?guó)際標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的技術(shù)基礎(chǔ)設(shè)施計(jì)劃編制的

20、基準(zhǔn)針對(duì)關(guān)鍵元素的完整性，數(shù)據(jù)字典的詳細(xì)評(píng)價(jià)為敏感數(shù)據(jù)而定義的安全等級(jí)的詳細(xì)評(píng)價(jià)確定：信息系統(tǒng)和IT長(zhǎng)短期計(jì)劃相關(guān)的信息體系結(jié)構(gòu)模型和企業(yè)數(shù)據(jù)模型、企業(yè)數(shù)據(jù)享典的矛盾企業(yè)數(shù)據(jù)字典條款和數(shù)據(jù)語(yǔ)法規(guī)則的過(guò)時(shí)沒(méi)有在技術(shù)基礎(chǔ)設(shè)施計(jì)劃中選擇的以外方面沒(méi)能反映技術(shù)基礎(chǔ)設(shè)施計(jì)劃需求的IT硬件和軟件的獲取計(jì)劃與技術(shù)標(biāo)準(zhǔn)不一致的技術(shù)基礎(chǔ)設(shè)施計(jì)劃或IT硬件和軟件獲取計(jì)劃數(shù)據(jù)字典中丟失的關(guān)鍵元素沒(méi)有按照同樣標(biāo)準(zhǔn)分類或者沒(méi)有安全等級(jí)的敏感數(shù)據(jù)4定義信息技術(shù)的機(jī)構(gòu)及關(guān)系（PO4控制的IT過(guò)程：定義IT的機(jī)構(gòu)及關(guān)系滿足的業(yè)務(wù)需求：提供正確的IT服務(wù)實(shí)現(xiàn)路線：定義一個(gè)數(shù)量上相配、具有角色和職責(zé)所要求技能的機(jī)構(gòu)，與業(yè)務(wù)部門(mén)溝

21、通、聯(lián)合在一起，促進(jìn)戰(zhàn)略的實(shí)現(xiàn)，并規(guī)定有效的方向和適當(dāng)?shù)目刂菩枰紤]的事項(xiàng)：董事會(huì)層面上的IT職責(zé)管理層對(duì)于IT的指導(dǎo)和監(jiān)督IT與業(yè)務(wù)的結(jié)合關(guān)鍵決策過(guò)程中IT的參與機(jī)構(gòu)的靈活性清晰的角色和職責(zé)平衡授權(quán)與監(jiān)督工作崗位的描述人員級(jí)別和關(guān)鍵的人員在安全、質(zhì)量和內(nèi)部控制功能方面的機(jī)構(gòu)配置職責(zé)的分離信息規(guī)范IT資源P效果*人員S效率應(yīng)用保密技術(shù)完整設(shè)施可用數(shù)據(jù)遵從可靠IT的職能及其活動(dòng)4.1 IT計(jì)劃或指導(dǎo)委員會(huì)機(jī)構(gòu)的高級(jí)管理層應(yīng)指定一個(gè)計(jì)劃或者指導(dǎo)委員會(huì)，來(lái)檢查委員會(huì)的會(huì)員應(yīng)包括來(lái)自高級(jí)管理層、用戶管理層和IT職能方面的代表。委員會(huì)應(yīng)實(shí)行例會(huì)制度，并向高級(jí)管理層報(bào)告。4.2 IT職能的機(jī)構(gòu)設(shè)置在整個(gè)機(jī)

22、構(gòu)機(jī)構(gòu)設(shè)置IT職能過(guò)程中，高級(jí)管理層應(yīng)確保其權(quán)力、關(guān)鍵時(shí)刻以及與用戶部門(mén)的獨(dú)立性到必要的程度，以便在執(zhí)行時(shí)能夠保證有效的IT解決方案和充分的進(jìn)展，并要建立與頂級(jí)管理層的伙伴關(guān)系，以便在確定和解決IT問(wèn)題時(shí)，能夠幫助他們?cè)鰪?qiáng)意識(shí)、理解和技能。4.3 機(jī)構(gòu)績(jī)效的評(píng)價(jià)應(yīng)設(shè)置一個(gè)框架來(lái)評(píng)價(jià)機(jī)構(gòu)的機(jī)構(gòu)，以不斷地滿足目標(biāo)和變化的環(huán)境。4.4 角色和責(zé)任管理層應(yīng)確保機(jī)構(gòu)中所有人員都具有并理解他們?cè)谙嚓P(guān)信息系統(tǒng)中的角色和責(zé)任。所有的人員應(yīng)具有足夠的權(quán)力來(lái)行使分派給他們的角色和責(zé)任。角色的設(shè)置應(yīng)考慮適當(dāng)?shù)穆氊?zé)分離。沒(méi)有那個(gè)人能夠控制一個(gè)交易或事件的所有關(guān)鍵環(huán)節(jié)。每個(gè)人都應(yīng)認(rèn)識(shí)到他們?cè)趦?nèi)部控制和安全方面具有一定的

23、責(zé)任。因此，應(yīng)機(jī)構(gòu)并承擔(dān)起有規(guī)律的一些活動(dòng)，以增強(qiáng)這方面的意識(shí)和紀(jì)律。4.5 質(zhì)量保證的責(zé)任管理層應(yīng)為IT職能部門(mén)的成員分配質(zhì)量保證職能履行的責(zé)任，并確保適當(dāng)?shù)馁|(zhì)量保證、系統(tǒng)、控制和存在于IT職能質(zhì)量保證小組中的專家們的交流。IT職能內(nèi)機(jī)構(gòu)的布置以及質(zhì)量保證小組的職責(zé)和規(guī)模應(yīng)滿足機(jī)構(gòu)的需求。4.6 邏輯和物理安全的責(zé)任管理層應(yīng)為信息安全經(jīng)理正式地分配確保機(jī)構(gòu)信息資產(chǎn)物理和邏輯安全的責(zé)任，并負(fù)責(zé)向高級(jí)管理層報(bào)告。最起碼，安全管理職責(zé)應(yīng)建立在整個(gè)機(jī)構(gòu)范圍的層次上，以便能夠處理一個(gè)機(jī)構(gòu)內(nèi)的全部安全問(wèn)題。如果需要，系統(tǒng)細(xì)節(jié)層次上的附加安全管理責(zé)任也應(yīng)被分配，以應(yīng)對(duì)相關(guān)的安全問(wèn)題。4.7 所有者和管理者

24、管理層應(yīng)正式建立一個(gè)指定數(shù)據(jù)所有者和管理者的結(jié)構(gòu)。他們的角色和責(zé)任應(yīng)清楚地定義。4.8 數(shù)據(jù)和系統(tǒng)的所有者管理層應(yīng)確保所有信息資產(chǎn)（數(shù)據(jù)和系統(tǒng)）都已指定了所有者，他們對(duì)信息資產(chǎn)的分類和訪問(wèn)權(quán)限具有決策的權(quán)利。典型地，系統(tǒng)所有者可以將日常管理委派給系統(tǒng)的交付/操作小組，將安全職責(zé)委派給安全管理員。然而，所有者仍然要保留對(duì)適當(dāng)安全尺度維護(hù)的責(zé)任。4.9 監(jiān)督高級(jí)管理層應(yīng)執(zhí)行適當(dāng)?shù)腎T職能的監(jiān)督實(shí)踐，以保證角色和責(zé)任被完全地行使，評(píng)估所有的個(gè)人是否有足夠的權(quán)力和資源完成他們的角色和職責(zé)，并要全面地評(píng)價(jià)關(guān)鍵的績(jī)效指標(biāo)。4.10 職責(zé)分離高級(jí)管理層應(yīng)實(shí)施角色和職責(zé)的分離，避免單獨(dú)的個(gè)人擾亂某個(gè)關(guān)鍵的過(guò)程

25、。管理層還應(yīng)確定每個(gè)人僅執(zhí)行其工作和職位規(guī)定的各自的職責(zé)。尤其是下列職責(zé)之問(wèn)責(zé)任分離的應(yīng)維護(hù)。信息系統(tǒng)使用數(shù)據(jù)錄入計(jì)算機(jī)操作網(wǎng)絡(luò)管理系統(tǒng)管理系統(tǒng)開(kāi)發(fā)和維護(hù)變更管理安全管理安全審計(jì)4.11 IT人員配備員工需求評(píng)估應(yīng)有規(guī)律地執(zhí)行，以保證履行IT職能所需足夠數(shù)量能勝任的IT員工。員工需求應(yīng)至少每年評(píng)估一次，或根據(jù)業(yè)務(wù)、運(yùn)作及IT環(huán)境的主要變化而執(zhí)行。評(píng)估結(jié)果應(yīng)盡快執(zhí)行，以確?，F(xiàn)在和將來(lái)員工的充足。4.12 IT員工工作和職位的描述管理層應(yīng)確保建立IT員工的職位描述，并有規(guī)律地被更新。這些職位描述應(yīng)清楚地描繪權(quán)力和責(zé)任兩方面，包括相關(guān)職位要求的技能和經(jīng)驗(yàn)的詳細(xì)說(shuō)明，并要適合在績(jī)效評(píng)估中使用。4.13

26、 關(guān)鍵的IT人員IT管理層應(yīng)詳細(xì)說(shuō)明和識(shí)別關(guān)鍵的IT人員。4.14 與員工簽約的政策和程序?yàn)榱薎T職能部門(mén)控制咨詢和其它簽約個(gè)人的活動(dòng)，確保機(jī)構(gòu)的信息資產(chǎn)處于保護(hù)之中，管理層應(yīng)詳細(xì)說(shuō)明和執(zhí)行相關(guān)的政策和程序。4.15 關(guān)系IT管理層應(yīng)采取必要的行動(dòng)，在IT職能部門(mén)和其它各種有利害關(guān)系的內(nèi)外部IT職能部門(mén)（即用戶、供應(yīng)商、安全官員、風(fēng)險(xiǎn)管理者）之間，建立并維持一個(gè)最佳的協(xié)調(diào)、交流、聯(lián)絡(luò)的結(jié)構(gòu)。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)行審計(jì):獲得了解：訪談：首席執(zhí)行官（CE。首席運(yùn)營(yíng)官（CO。首席財(cái)務(wù)官（CFO首席信息官（CIO）質(zhì)量保證官安全官IT計(jì)劃/指導(dǎo)委員會(huì)成員、人力資源和高級(jí)管理層獲得：高級(jí)管理層計(jì)劃/

27、指導(dǎo)角色和責(zé)任機(jī)構(gòu)目標(biāo)和長(zhǎng)短期計(jì)劃IT目標(biāo)和長(zhǎng)短期計(jì)劃展示IT職能部門(mén)與及其它職能部門(mén)關(guān)系的機(jī)構(gòu)機(jī)構(gòu)圖與IT機(jī)構(gòu)和關(guān)系相關(guān)聯(lián)的政策和程序與質(zhì)量保證相關(guān)聯(lián)的政策和程序用來(lái)決定IT人員需求的政策和程序IT職能部門(mén)的機(jī)構(gòu)機(jī)構(gòu)圖IT職能部門(mén)的角色和責(zé)任IT關(guān)鍵位置（工作）的描述狀況報(bào)告和計(jì)劃/指導(dǎo)委員會(huì)會(huì)議紀(jì)要評(píng)估控制：考慮是否：來(lái)自高級(jí)管理層的政策聲明和溝通確保IT職能部門(mén)的獨(dú)立和權(quán)威IT計(jì)劃/指導(dǎo)委員會(huì)的成員和職能部門(mén)已經(jīng)被定義，責(zé)任已經(jīng)被確定IT計(jì)劃/指導(dǎo)委員會(huì)的章程使委員會(huì)的目的與機(jī)構(gòu)的目標(biāo)和長(zhǎng)短期計(jì)劃以及IT的目標(biāo)和長(zhǎng)短期計(jì)劃聯(lián)盟增強(qiáng)確定和解決信息管理問(wèn)題的意識(shí)、理解和技能的過(guò)程到位政策選擇

28、了滿足正在變化著的目標(biāo)和環(huán)境的機(jī)構(gòu)機(jī)構(gòu)的評(píng)估和修改的要求決定IT職能部門(mén)效果和承諾的過(guò)程和績(jī)效指標(biāo)存在高級(jí)管理層要確保角色和責(zé)任被執(zhí)行勾回機(jī)構(gòu)內(nèi)所有個(gè)人有關(guān)信息系統(tǒng)內(nèi)部控制和安全的角色和責(zé)任的政策存在增加內(nèi)部控制和安全意識(shí)以及紀(jì)律的有規(guī)律的活動(dòng)存在質(zhì)量保證的職能部門(mén)和政策存在質(zhì)量保證職能部門(mén)要充分地獨(dú)立于系統(tǒng)開(kāi)發(fā)人員，并要有執(zhí)行其責(zé)任的適當(dāng)人員和專門(mén)技術(shù)確定時(shí)間資源并確保質(zhì)量保證測(cè)試的完成以及系統(tǒng)或者系統(tǒng)變化被執(zhí)行前的審批的質(zhì)量保證之內(nèi)的過(guò)程要到位為了安全官的內(nèi)部控制和安全（邏輯和物理兩者）政策和程序的明確表達(dá)，管理層應(yīng)正式地分配機(jī)構(gòu)范圍內(nèi)的責(zé)任安全官的職位的角色和責(zé)任的了解被充分地理解，并被

29、證明與機(jī)構(gòu)的信息安全政策一致機(jī)構(gòu)的安全政策清晰地定義每一個(gè)信息資產(chǎn)的所有者（如，用戶、管理層和安全管理員）被要求執(zhí)行的信息安全的責(zé)任含蓋數(shù)據(jù)和系統(tǒng)所有者所有主要數(shù)據(jù)源和系統(tǒng)的政策和程序存在有規(guī)律地評(píng)價(jià)并維護(hù)數(shù)據(jù)和系統(tǒng)所有者變化的程序存在描述監(jiān)督實(shí)踐，確保角色和責(zé)任被適當(dāng)?shù)匦惺?，并且所有的人員有足夠的權(quán)威和資源執(zhí)行其角色和責(zé)任的政策和程序存在下列一對(duì)職責(zé)要分離：?系統(tǒng)開(kāi)發(fā)和維護(hù)?系統(tǒng)開(kāi)發(fā)和運(yùn)行?系統(tǒng)開(kāi)發(fā)/維護(hù)和信息安全?運(yùn)行和數(shù)據(jù)控制?運(yùn)行和用戶?運(yùn)行和信息安全I(xiàn)T的人員安置和能力被維護(hù)，以確保其具有提供有效技術(shù)解決方案的能力IT職位（工作）描述的評(píng)估和再評(píng)估的政策和程序存在對(duì)于關(guān)鍵的過(guò)程，包括

30、系統(tǒng)開(kāi)發(fā)生命周期活動(dòng)（需求、設(shè)計(jì)、開(kāi)發(fā)、測(cè)試）、信息安全、獲取和容量的計(jì)劃編制，適當(dāng)?shù)慕巧拓?zé)任存在在實(shí)現(xiàn)機(jī)構(gòu)的目標(biāo)方面，使用適當(dāng)和有效的關(guān)鍵績(jī)效指標(biāo)和/或關(guān)鍵成功因素測(cè)量IT職能部門(mén)的結(jié)果控制咨詢者和其它契約人員活動(dòng)的IT政策和程序存在，從而確保機(jī)構(gòu)的資產(chǎn)的保護(hù)適用于已簽約IT服務(wù)的適當(dāng)性的過(guò)程，并要與機(jī)構(gòu)的獲取政策一致調(diào)整、溝通和歸檔IT職能部門(mén)高級(jí)職員會(huì)內(nèi)外部興趣的過(guò)程存在評(píng)定遵從性：測(cè)試：IT計(jì)劃/指導(dǎo)委員會(huì)檢查IT職能部門(mén)及其活動(dòng)以及解決行動(dòng)條款I(lǐng)T職能部門(mén)報(bào)告層次的適當(dāng)性在機(jī)構(gòu)關(guān)于為頂級(jí)管理層提供合作伙伴關(guān)系方面，IT職能部門(mén)的位置的有效性高級(jí)IT管理層了解用來(lái)監(jiān)控、測(cè)量和報(bào)告IT

31、職能部門(mén)績(jī)效的過(guò)程用來(lái)評(píng)估績(jī)效的關(guān)鍵指標(biāo)當(dāng)實(shí)際結(jié)果不能滿足目標(biāo)水平，依照目標(biāo)水平，決定所采取的校正行動(dòng)的分析實(shí)際結(jié)果的過(guò)程為了來(lái)自期望的績(jī)效水平的任何重大差異，由管理層所采取的行動(dòng)用戶/所有者管理層評(píng)估IT職能部門(mén)提供滿足用戶/所有者需求的信息技術(shù)解決方案的反應(yīng)速度和能力IT管理層知道其角色和責(zé)任涉及IT項(xiàng)目計(jì)劃的測(cè)試和審批的質(zhì)量保證安全人員評(píng)價(jià)核心操作系統(tǒng)和應(yīng)用系統(tǒng)到位或正在開(kāi)發(fā)的評(píng)估信息安全（邏輯和物理兩者）的安全職能部門(mén)報(bào)告或文檔的適當(dāng)性信息安全政策和程序的充分了解和一致應(yīng)用出席信息安全和內(nèi)部控制培訓(xùn)的人員對(duì)于所有的信息資產(chǎn)，數(shù)據(jù)和系統(tǒng)所有權(quán)被定義數(shù)據(jù)和系統(tǒng)所有者審批數(shù)據(jù)和系統(tǒng)制造的變化

32、所有的數(shù)據(jù)和系統(tǒng)具有一個(gè)所有者或者管理人，他們負(fù)責(zé)控制數(shù)據(jù)和系統(tǒng)的水平所有數(shù)據(jù)和系統(tǒng)資產(chǎn)的訪問(wèn)由資產(chǎn)的所有者審批與職位（工作）相聯(lián)系的權(quán)利和監(jiān)督的直線要與在職者的義務(wù)相稱職位（工作）描述清楚地描繪權(quán)利和責(zé)任兩者職位（工作）描述清楚地描述所需的業(yè)務(wù)、相關(guān)的和技術(shù)的資格職位（工作）已經(jīng)被精確地溝通，并由個(gè)人所理解IT職能部門(mén)的職位（工作）描述包含已經(jīng)溝通給個(gè)人的關(guān)鍵績(jī)效指標(biāo)IT職員的義務(wù)和責(zé)任要對(duì)應(yīng)于已經(jīng)公布的職位（工作）描述和機(jī)構(gòu)的機(jī)構(gòu)圖兩者關(guān)鍵職位的職位（工作）描述到位，包括機(jī)構(gòu)關(guān)于信息系統(tǒng)、內(nèi)部控制和安全的訓(xùn)令職位（工作）描述的精確性要與這些職位在職者的當(dāng)前責(zé)任相比較遵從IT職能部門(mén)內(nèi)有意的

33、職責(zé)分離以及職責(zé)限制的種類和范圍IT人員安置的維持能力作為責(zé)任、權(quán)利和績(jī)效標(biāo)準(zhǔn)的適當(dāng)性和透明度的基礎(chǔ)，職位（工作）描述的適當(dāng)性合同管理的責(zé)任分配給了適當(dāng)?shù)娜藛T合同的術(shù)語(yǔ)與正常的機(jī)構(gòu)合同的標(biāo)準(zhǔn)相一致，標(biāo)準(zhǔn)契約術(shù)語(yǔ)和條件已經(jīng)由法律的律師評(píng)價(jià)和評(píng)估，它們的同意意見(jiàn)要獲得合同包含適當(dāng)?shù)挠嘘P(guān)遵從性的條款：法人的安全和內(nèi)部控制政策、信息技術(shù)標(biāo)準(zhǔn)過(guò)程和/或結(jié)構(gòu)規(guī)定成功關(guān)系所必須的有效果和有效率的協(xié)調(diào)證實(shí)沒(méi)有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰?guó)際標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的機(jī)構(gòu)和關(guān)系的基準(zhǔn)決定由無(wú)效的IT計(jì)劃/指導(dǎo)委員會(huì)所引起的機(jī)構(gòu)方面影響的詳細(xì)評(píng)價(jià)在處理信息系統(tǒng)問(wèn)題和執(zhí)行技術(shù)解決方案方面，測(cè)量IT職能部門(mén)進(jìn)步的詳細(xì)評(píng)價(jià)評(píng)估機(jī)構(gòu)的機(jī)構(gòu)、人員和個(gè)人能力、分配的角色和責(zé)任、數(shù)據(jù)和系統(tǒng)所有權(quán)、監(jiān)督、職責(zé)分離