IT治理與管理實務

1、第二章IT治理與管理A. IT治理A1.公司治理指所有者、經(jīng)營者和監(jiān)督者之間通過公司權(quán)力機關(guān)（股東大會） 、經(jīng)營決策與執(zhí)行機關(guān)（董事會、經(jīng)理）、監(jiān)督機關(guān)（監(jiān)事會）而形成權(quán)責明確、相互制約、協(xié)調(diào)運轉(zhuǎn)和科學決策的聯(lián)系，并依法律、法規(guī)、規(guī)章和公司章程等規(guī)定予以制度化的統(tǒng)一機制；公司治理強調(diào)企業(yè)中權(quán)力、角色的合理分配和對股東的平等對待；信息披露與透明；董事會的職責； 為企業(yè)提供合理的戰(zhàn)略指南；董事會對管理層進行有效的監(jiān)督，董事會必須向企業(yè)和股東負責。公司治理框架中一個很重要內(nèi)容就是要建立內(nèi)部控制體系管理和報告業(yè)務風險。A2.IT治理IT 治理是一個綜合術(shù)語，它包括信息系統(tǒng)、技術(shù)和通訊，業(yè)務、法律相關(guān)事

2、務，所有利益相關(guān)方、董事會、高級管理層、流程所有人、IT供應商、用戶和審計師。治理有助于確保IT和企業(yè)目標保持一致。有效的公司治理注重個人和團隊在特定領域中最有效的專門技能和經(jīng)驗。長期以來，僅作為組織戰(zhàn)略促進因素的信息技術(shù)，現(xiàn)在被看作是整體戰(zhàn)略的一部分。CEO COO CFO CIO和CTO在IT與企業(yè)目標間能達成戰(zhàn)略一致是關(guān)鍵成功因素。通過經(jīng)濟、有效地使用安全、可靠的信息和應用技術(shù)，IT治理能有助于實現(xiàn)這個關(guān)鍵成功因素。信息技術(shù)對企業(yè)的成功是如此重要，因此，不能把其職責放給IT管理人員或IT專家，而必須得到整個高級管理層的關(guān)注。IT治理的定義ITGI : IT治理是董事會和最高管理層的職責，

3、是企業(yè)治理的重要組成部分。 IT治理由領導、組織結(jié) 構(gòu)以及相關(guān)流程組成，這些流程能保證組織的IT有效支持及促進組織戰(zhàn)略目標的實現(xiàn)。IT治理一般關(guān)注兩方面的問題：IT增加商業(yè)價值和IT風險得到控制。前者通過使IT戰(zhàn)略與業(yè)務保持一致來達到，后者通過向企業(yè)分配責任來驅(qū)動。IT治理的關(guān)鍵因素是IT與業(yè)務保持一致，以實現(xiàn)業(yè)務價值。IT治理的主要流程有：IT資源管理、績效測評和合規(guī)管理IT治理回答下述問題在IT戰(zhàn)略決策中哪些利益相關(guān)者有發(fā)言權(quán)？誰決定IT投資及其優(yōu)先級順序？應當建立哪些IT委員會，由什么人組成？其職責是什么？向誰報告？CIO 的角色和職責有哪些？如何控制IT使其滿足業(yè)務需求？如何評價IT職

4、能的績效？IT治理的目標指導IT工作，確保IT績效滿足IT目標、符合企業(yè)目標要求，實現(xiàn)預期利潤 幫助企業(yè)開拓商機，實現(xiàn)利益最大化充分利用IT資源適當控制IT相關(guān)風險IT治理與公司治理公司治理主要關(guān)注利益相關(guān)者權(quán)益和管理，包括一系列責任和條例，由最高管理層（董事會）和執(zhí)行 管理層實施；公司治理目的是提供戰(zhàn)略方向，保證目標能夠?qū)崿F(xiàn)，風險適當管理，企業(yè)資源合理使用；IT 治理是公司治理的重要組成部分，是董事會或最高管理層的責任；IT 治理由領導、組織結(jié)構(gòu)以及相關(guān)流程組成，這些流程能保證組織的IT能有效支持及促進組織戰(zhàn)略目標的實現(xiàn)，同時控制風險、降低成本、提高績效。公司治理可以驅(qū)動和調(diào)整IT治理，同時

5、，IT能夠為公司治理提供關(guān)鍵的輸入，形成戰(zhàn)略計劃的一個重要組成部分公司治理和IT治理都是“他律”機制，是如何“管好管理者”的機制，其目標也是一致的：達到業(yè)務 持續(xù)運營，并增加組織的長期獲利機會。IT治理與IT管理IT管理是公司的信息及信息系統(tǒng)的運營，確定 IT目標以及實現(xiàn)此目標所采取的行動而IT治理是指最高管理層（董事會）利用它來監(jiān)督管理層在IT戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián)系，以確保這種運營處于正確的軌道之上。簡言之，是“對管理的管理”IT管理就是在既定的IT治理模式下，管理層為實現(xiàn)公司的目標而采取的行動缺乏良好IT治理模式的公司，即使有“很好”的IT管理體系（而這實際上是不可能的），就像一座地基不

6、牢固的大廈同樣，沒有公司IT管理體系的暢通，單純的治理模式也只能是一個美好的藍圖，而缺乏實際的內(nèi)容IT治理的層次在企業(yè)戰(zhàn)略層上?IT治理要與公司治理結(jié)構(gòu)、企業(yè)戰(zhàn)略規(guī)劃進行集成，使 IT治理作為公司治理的一部分；?在治理結(jié)構(gòu)上體現(xiàn)IT的位置與作用，使IT議題要進入董事會（或者是監(jiān)事會、最高管理當局） 下的戰(zhàn)略委員會、審計委員會、安全委員會；?董事會要確保IT的執(zhí)行與監(jiān)管分開，監(jiān)管機制要獨立并持續(xù)運行、溝通與反饋機制要持續(xù)有效；?IT治理要求向董事會和最高管理層分配職責，并要求其完成一系列活動。在企業(yè)戰(zhàn)術(shù)面上?雖然IT治理集中在董事會最高管理層，但由于 在戰(zhàn)術(shù)層面上提供必要的控制框架來保證治理職責

7、的落實；?為了保證IT與業(yè)務目標一致，充分利用有限的 國際普遍接受的企業(yè)內(nèi)部控制標準，在戰(zhàn)術(shù)層面建立有效的ITIT治理的復雜性和專業(yè)性，治理層必須依賴企業(yè)資源，提高績效，降低風險與控制成本，按照 IT控制框架并監(jiān)督實施。-COBIT、ITIL、ISO17799-需求識別、數(shù)據(jù)標準化、項目管理IT治理域一些著名的機構(gòu)（Gartner、CSC AICPA/CICA、CIO Magazine ）通過調(diào)查認為最受 IT管理層關(guān)注的 問題，已經(jīng)從技術(shù)領域逐漸轉(zhuǎn)向管理相關(guān)領域；這些問題可以歸結(jié)為五個IT治理域：戰(zhàn)略一致、價值交付、風險管理、資源管理和績效考評，其中有兩個核心，一是IT要向業(yè)務交付價值，二是

8、降低風險。前者由 IT與業(yè)務的戰(zhàn)略一致驅(qū)動，后者由企 業(yè)內(nèi)部建立的責任分工驅(qū)動；這兩者都需要獲得足夠的資源并進行績效考評，以保證獲得預期的結(jié)果；這五個域都受利益相關(guān)者價值驅(qū)動，其中價值交付、降低風險是結(jié)果，戰(zhàn)略一致績效考評是驅(qū)動力，IT資源管理為治理提供支持。五個IT治理域:?戰(zhàn)略一致-強調(diào)IT與業(yè)務保持一致，提供協(xié)調(diào)的解決方案。?價值交付-確保IT實現(xiàn)了預期戰(zhàn)略收益，集中關(guān)注成本的優(yōu)化，提供 IT的固有價值。?風險管理-將風險管理職責嵌入組織中，包括 IT資產(chǎn)的保護、災難恢復和業(yè)務連續(xù)性。?資源管理-對IT資源（應用系統(tǒng)、信息、基礎設施和人員）的優(yōu)化投資并適當管理，關(guān)鍵問題在于 知識和基礎設

9、施的優(yōu)化。?績效考評-追蹤并監(jiān)控戰(zhàn)略實施、資源使用、流程績效、服務交付以及諸如平衡記分卡的使用等， 監(jiān)督IT服務質(zhì)量。沒有績效測量就無法對以上四個域進行有效管理。IT治理的關(guān)鍵因素IT治理的關(guān)鍵因素就是要使 IT與業(yè)務融合，以實現(xiàn)組織的業(yè)務價值。通過IT治理框架和最佳實踐的應用，在組織內(nèi)促成目標實現(xiàn)。IT治理框架和最佳實踐是由一系列組織結(jié)構(gòu)、流程及相關(guān)機制組成。關(guān)鍵的IT治理因素包括：IT戰(zhàn)略委員會、風險管理和標準IT平衡記分卡。審計師在IT治理中的職責審計是組織成功實施IT治理的一個重要角色，對于向高級管理層提供建議，幫助改善IT治理質(zhì)量和效果而言，審計處在最佳的位置；通過引入審計師獨立的、

10、中立的觀點，可以對 IT治理績進行持續(xù)有效的監(jiān)督、分析、評估，以指導 與改進與IT治理相關(guān)的IT過程；IS審計師的要對IT治理的各個方面進行評估?IS職能與組織使命、愿景、價值、目標和戰(zhàn)略的一致性?法律、環(huán)境、信息質(zhì)量、委托、安全和隱私方面的要求?組織的控制環(huán)境?IS環(huán)境的固有風險A3.IT戰(zhàn)略委員會是董事會實施其IT治理目標的重要機制，一般隸屬于董事會，由董事會成員及非董事會成員組成，它主要職責是協(xié)助董事會治理和監(jiān)督企業(yè)的IT相關(guān)事務；IT 戰(zhàn)略委員會應當保證在組織中以結(jié)構(gòu)化的方式來實施IT治理，而且董事會可以獲得足夠的信息來實現(xiàn)IT治理的最終目標。組織在執(zhí)行經(jīng)理層設置IT指導委員會來處理關(guān)

11、系到整個組織的IT事務，比如：追蹤IT投資、設定項目優(yōu)先級、分配IT資源等。指導委員會職責分析表是CISA應當掌握的知識A4.IT平衡記分卡（BSC績效測評是企業(yè)管理中的重要因素，沒有績效測評就無法對業(yè)務進行有效管理，但隨著企業(yè)創(chuàng)造價值的方式由有形資產(chǎn)逐漸轉(zhuǎn)向無形資產(chǎn)，對無形資產(chǎn)的衡量，不能采用傳統(tǒng)的針對有形資產(chǎn)的財務數(shù)據(jù)方式；平衡記分卡是目前企業(yè)管理中較流行的績效測量工具，它可以把企業(yè)戰(zhàn)略轉(zhuǎn)化為實際的行為，從而實現(xiàn)企業(yè)目標；這種績效測評系統(tǒng)超出了傳統(tǒng)的財務記帳方式，它不僅衡量財務數(shù)據(jù)，還要對業(yè)務過程與基于知識的 資產(chǎn)等方面進行測評，在顧客滿意度、內(nèi)部流程和創(chuàng)新能力等方面進行了補充，組成了財務

12、、客戶、過程 和學習四個視角。標準IT平衡記分卡是 CISA應當掌握的內(nèi)容。平衡記分卡的四個視角：?財務視角一為使股東滿意，我們需要達到什么樣的財務目標？?客戶視角一為實現(xiàn)財務目標，我們需要服務什么樣的客戶？?過程視角一為了提高客戶和利益相關(guān)者的滿意度，我們需要建立什么樣的內(nèi)部業(yè)務過程？?學習視角一為了達成目標，組織應當如何學習與創(chuàng)新？為了把平衡記分卡應用于IT,還應使用一個三層構(gòu)架來描述其四個方面的評價要素：使命?成為首選的信息系統(tǒng)供應商?經(jīng)濟、有效地交付IT應用系統(tǒng)和服務?IT投資能獲得一個合理的業(yè)務回報?抓住機遇應對未來挑戰(zhàn)戰(zhàn)略?開發(fā)良好的應用系統(tǒng)與運營?建立用戶伙伴關(guān)系和良好的客戶服務

13、?提高服務水平，優(yōu)化價格結(jié)構(gòu)?控制IT費用?為IT項目賦于業(yè)務價值?提供新的業(yè)務能力?培訓和教育IT職員，追求卓越?為研究和開發(fā)提供支持措施?提供一套穩(wěn)定的指標（如 KPI ）來指導面向業(yè)務的IT決策IT平衡記分卡實例?是協(xié)調(diào)董事會和管理層實現(xiàn) IT與業(yè)務融合最有效的方法；?目標就是通過建立一種面向董事會的管理報告工具，使利益相關(guān)者在IT戰(zhàn)略目標上達成一致，以表明IT的有效性和增值性，同時便于組織在IT績效、風險和能力方面進行溝通。A5.信息安全治理信息可以定義為“具有特定意義和目標的數(shù)據(jù)”。信息在我們當今的生活中發(fā)揮著越來越重要的作用，已成為所有組織業(yè)務活動中不可缺少的組成部分，越來越多的公

14、司已將信息作為其主營業(yè)務，如Google、eBay、Microsoft、網(wǎng)易等。當今已很難找到不接觸信息技術(shù)的企業(yè)，隨著全球網(wǎng)絡互聯(lián)時代的到來，在企業(yè)突破其傳統(tǒng)邊界向虛擬 世界不斷擴展的背景下，信息安全己成為重要的治理問題而出現(xiàn)在我們面前。信息犯罪和惡意行為已成為越來越多的高級犯罪分子的選擇?？植婪肿雍推渌麛硨ι鐣娜艘彩褂肐T技術(shù)來宣揚他們的觀點并傳播其恐怖行為。信息安全治理具有特定的價值驅(qū)動：信息的完整性、服務的持續(xù)和信息資產(chǎn)的保護。IT安全定位于安全技術(shù)，通常由CIO級別的人推動；信息安全著眼于信息所涉及的風險、收益和流程，必須由執(zhí)行管理層和董事會的支持，信息安全治理是董事會和執(zhí)行經(jīng)理的

15、職責。信息安全治理能帶來的收益?落實在向公眾或監(jiān)管部門提供不準確信息，在保護隱私信息（如泄露信用卡或其他敏感客戶信息） 中未保持應有的謹慎等方面，組織及其管理者應當承擔的公民或法律責任?提供對政策和標準的符合性保證?通過降低風險至既定的可接受水平，減少業(yè)務運營的不確定性，提高可預見性?為有限的安全資源的最優(yōu)化分配提供結(jié)構(gòu)和框架?為關(guān)鍵決策不基于錯誤信息提供適當水平的保證?為風險管理、流程改善和事件快速響應的效果與效率提供一個穩(wěn)定的基礎?明確重大業(yè)務活動期間（如公司合并及購并、業(yè)務流程恢復、法律回應等）的信息保護責任有效的信息安全治理可達到如下效果:?戰(zhàn)略一致- 使信息安全與業(yè)務戰(zhàn)略保持一致以支

16、持組織目標。?風險管理-管理和實施適當?shù)拇胧┮越档惋L險并減少對信息資源的潛在影響至可接受水平。?價值交付- 優(yōu)化安全投資以支持業(yè)務目標。?績效測評-衡量、監(jiān)督和報告信息安全流程，以確保實現(xiàn)SMART目標（確定的、可度量的、可實現(xiàn)的、相關(guān)的和符合時間要求的）。?資源管理-有效利用信息安全知識與基礎設施。?流程整合-關(guān)注組織安全管理保證流程的整合。業(yè)務流程保證的最新概念：?整合是一個把所有相關(guān)保證因素綜合在一起考慮，來確保流程能環(huán)環(huán)相扣整體運營的概念。 要實現(xiàn)整合，應當考慮以下內(nèi)容：確定組織中的所有保證職能與其他保證職能建立正式的銜接關(guān)系協(xié)調(diào)所有保證職能，實現(xiàn)更加完整的安全-明確各保證職能接合部位

17、的角色與職責信息安全治理是企業(yè)治理的一部分，企業(yè)治理為安全活動提供戰(zhàn)略方針并確保其目標的實現(xiàn)，企 業(yè)安全治理則確保能適當?shù)毓芾硇畔踩L險并合理使用企業(yè)信息資源。為實現(xiàn)有效的信息安全治理，管理層必須制定和維護一個框架，以指導建立和管理一個支持業(yè)務 目標的全面的信息安全流程。該治理框架一般由以下內(nèi)容組成：?對戰(zhàn)略、控制和法規(guī)進行全面落實的政策?確保規(guī)程和指南能與政策保持一致的一整套標準?不存在利益沖突的一套有效的安全組織架構(gòu)?對符合性進行監(jiān)督并能反饋其效果的制度化的監(jiān)督流程組織必須在治理層面為領導者分配企業(yè)安全職責，而不是由那些缺乏權(quán)力、責任和資源的其他人員來 充當并強迫其執(zhí)行。各層級的安全職責

18、：董事會與最高管理層?有效的信息安全治理只有通過董事會及最高管理層參與批準政策、適當?shù)谋O(jiān)督和衡量指標、報告 和趨勢分析來實現(xiàn)。執(zhí)行管理層?制定有效的信息安全戰(zhàn)略、實施有效的安全治理指導委員會?為確保安全程序與業(yè)務目標的一致性提供持續(xù)的基礎，也是實現(xiàn)向有益于形成最佳安全文化的行為改變的手段。首席信息安全官?不管是專職的CISO還是由CIO、CTOf角色來兼任，組織應當在高級管理層設置首席信息安全官。A6.企業(yè)架構(gòu)（EA- Enterprise Architecture）所謂企業(yè)架構(gòu)就是通過一種結(jié)構(gòu)化的方式來反映組織的IT資產(chǎn)，并有效管理對IT投資。企業(yè)架構(gòu)系統(tǒng)而又完整地定義了組織的當前（基準）環(huán)

19、境和期望（目標）環(huán)境的藍圖。對于信息系統(tǒng)的更新以及開發(fā)新系統(tǒng)而言，建立EA是必不可少的前提。EA 從邏輯或業(yè)務（如職能、業(yè)務職責、信息流和系統(tǒng)環(huán)境）以及技術(shù)（如軟件、硬件、通信）兩方面來定義的，并且包括從基準環(huán)境轉(zhuǎn)換到目標環(huán)境的順序規(guī)劃。?技術(shù)驅(qū)動的企業(yè)架構(gòu)是為了澄清現(xiàn)代組織面臨的復雜技術(shù)選擇問題；?業(yè)務流程驅(qū)動的企業(yè)架構(gòu)是為了更好地理解組織業(yè)務的核心流程及支持流程。業(yè)務流程驅(qū)動的企業(yè)架構(gòu)的作用更好地理解組織業(yè)務的核心流程及支持流程及相關(guān)支持技術(shù)，對現(xiàn)有流程中的不合理部分進行重新設計或改造，從而達到優(yōu)化流程、降低成本、提高績效的目的。各種業(yè)務流程模型：?增強型電彳t運營圖(eTOM - Enh

20、anced TelecomOperations Map)?供應鏈運營指引模型 (SCOR Supply Chain Operations Reference)?IBM 的保險應用架構(gòu) IAA 模型(Insurance Application A Architecture)?美國聯(lián)邦政府業(yè)務構(gòu)架模型FEA Federal Enterprise ArchitectureB.信息系統(tǒng)戰(zhàn)略B1.戰(zhàn)略規(guī)劃從信息系統(tǒng)角度看，戰(zhàn)略規(guī)劃是組織為了利用信息技術(shù)來完善其業(yè)務流程而確定的發(fā)展方向及長期的計劃。在制定戰(zhàn)略規(guī)劃過程中，最高管理層的職責包括確定成本有效的IT方案以解決該組織面臨的困難，并提出識別和獲取所需

21、資源的行動方案。有效的IT戰(zhàn)略規(guī)劃要考慮組織對IT及IT能力的需求。IS審計師應十分注意IT戰(zhàn)略規(guī)劃的重要性，并充分考慮其管理控制流程，確保IT戰(zhàn)略規(guī)劃與整體業(yè)務戰(zhàn)略保持一致。B2.指導委員會高級管理層應當組建一個計劃或指導委員會，監(jiān)督其信息系統(tǒng)的職能和業(yè)務活動，這是確保信息 系統(tǒng)部門與公司宗旨和目標協(xié)調(diào)的一種機制。最好是從董事會中挑選一位理解信息技術(shù)與風險管理的成員來負責信息技術(shù)，并擔任該委員會的主席。委員會應當包括來自高級管理層、用戶部門和信息系統(tǒng)部門的人員。委員會的職責應當在正式章程中指定。委員會成員應當了解信息系統(tǒng)部門的政策、程序和流程。每個成員應當在其負責的領域內(nèi)有權(quán)做出決定。委員會

22、應當定期開會，并向高級管理層匯報。信息系統(tǒng)指導委員會的正式會議記錄應當記載委員會的活動和決議。指導委員會的主要職責：審查IS部門的長期和短期計劃以確保其符合公司目標在董事會批準的權(quán)限內(nèi)，審查和批準重要的硬件和軟件獲取批準并監(jiān)督重要項目、IS計劃及預算進度，設定優(yōu)先級，批準標準和流程并監(jiān)督所有的IS績效審查和批準所有IS活動的承包策略，包括內(nèi)包或外包以及全球離岸職能審查資源的充分性以及時間、人力和設備資源的分配情況在集中與分散管理之中做出決策并分配職責對制定和實施企業(yè)級信息安全管理程序提供支持向董事會報告IS活動C.政策和規(guī)程C1.政策政策是高層次的文件，政策代表了企業(yè)文化和高級管理層和經(jīng)營過程

23、所有者的戰(zhàn)略思考。與組織的總體性目標和方向有關(guān)的政策的制訂、開發(fā)、記錄、推廣和控制的責任應當由管理層承擔，通過制定政策來為組織創(chuàng)造一種積極的控制環(huán)境。根據(jù)公司總體政策采用自頂向下的方法來開發(fā)部門政策是較好的選擇，因為它確保了各級政策的一致性。自底向上的方法更加靈活實用，但容易造成政策間的不一致和相互矛盾。管理層應當定期審查所有政策。政策也需要不斷更新，反映新的技術(shù)和經(jīng)營過程的重大變化，利用信息 技術(shù)提高生產(chǎn)效率和獲取競爭效益。信息系統(tǒng)審計師要理解政策并對政策進行符合性審查是審計工作中的重要環(huán)節(jié)信息安全政策安全政策用來與用戶、管理層和技術(shù)人員溝通相關(guān)安全標準，指導整個組織來確定所需保護的內(nèi)容、

24、相應的保護職責以及保護工作應遵循的策略。信息安全政策文件?信息安全的定義、整體目標和范圍?陳述管理層意圖、支持信息安全與業(yè)務戰(zhàn)略和目標保持一致?設定控制及控制目標的框架，包括風險評估和風險管理?說明安全政策、原理、標準及以下重要的符合性要求對法律、法規(guī)及合同要求的符合性安全教育、培訓和意識需求業(yè)務持續(xù)性管理違背信息安全政策的后果?明確信息安全管理人員的總體及具體職責，包括事件報告?政策所參考的文件、標準和規(guī)程對信息安全政策的審查管理層應當定期或在發(fā)生重大變化時對信息安全政策進行審查，以確保其適當性、充分性和有效性。應當為信息安全政策指定所有人，來批準安全政策的制定、審查和評估等管理職責。IS審

25、計師在檢查政策時需要評價以下內(nèi)容：?政策的制定依據(jù)，一般情況下是基于風險管理過程?政策的適當性?政策的內(nèi)容?政策的例外情況，特別注意政策的不適用領域及原因，如：可能與遺留系統(tǒng)不相容的口令政策?政策批準流程?政策實施流程?政策的實施效果?意識與培訓?定期審查與更新流程C2.程序程序是詳細的文件，根據(jù)組織的政策而制定并體現(xiàn)其精髓。程序必須清晰和準確，使接受者易于準確地理解。程序記載了業(yè)務流程及其內(nèi)在控制，程序一般由中層管理人員制定，是政策框架下的具體化措施。程序比相關(guān)政策更加易于變化，它們必須反映業(yè)務重點和環(huán)境的不斷變化。獨立的審查對于確保政策和程序被正確地理解和執(zhí)行是必要的D.風險管理定義風險管

26、理是確定組織在實現(xiàn)其業(yè)務目標的過程中所使用的信息資源的脆弱性和面臨的相關(guān)威脅的過程有效的風險管理始于清楚地理解組織的風險喜好。風險管理包括識別、分析、評估、處置、監(jiān)督和溝通 IT流程的風險影響。一旦確定了風險喜好與風險 承受能力，就可以制定風險管理策略并分配職責。根據(jù)風險類型及其對業(yè)務的影響程度，可以選擇以下措施來應對風險：?避免風險：在可能的情況下，盡量選擇不從事導致風險的特定活動或流程（通過消除風險源來消除風險）?降低風險：通過制定、實施并監(jiān)督適當?shù)目刂苼斫档惋L險發(fā)生的可能性及其影響?轉(zhuǎn)移風險：與業(yè)務伙伴分擔風險或通過保險、合同約定及其他方式來轉(zhuǎn)移風險 ?接受風險：正視風險的存在并對風險進

27、行監(jiān)控D1.開發(fā)風險管理程序第一步：確定風險管理程序的目的?確定組織建立風險管理程序的目的，可能是降低保險費用，或者是減少相關(guān)系統(tǒng)的損害。?在實施風險管理計劃之前確定其意圖，組織可以確定關(guān)鍵績效指標并評價其結(jié)果。?一般情況下，由執(zhí)行管理人員和董事會來設定風險管理程序的基本要求。第二步：為風險管理計劃分配職責?為制定和實施組織的風險管理程序向個人或團隊分配職責。?當風險管理計劃的主要職責由團隊負責時，其成功因素是把風險管理與組織內(nèi)各個層級進行整合。?運營管理人員和董事會成員都應當協(xié)助風險管理委員會識別風險、設計適當?shù)娘L險控制并介入 戰(zhàn)略的制定。D2.風險管理過程幾個重要概念IT 資產(chǎn)：軟件、硬件

28、、信息、人員、服務、文檔脆弱性：是信息資產(chǎn)固有特征，可以被威脅利用而造成損害；內(nèi)控缺陷也可以認為是一種脆弱性威脅：對信息資源造成損害的任何潛在情況或事件，威脅的發(fā)生是由于資源存在脆弱性影響：威脅發(fā)生后造成的結(jié)果，能導致資產(chǎn)損失幾個概念間的關(guān)系：脆弱性導致威脅發(fā)生，威脅的發(fā) 生造成影響，從而帶來IT資產(chǎn)的損失剩余風險：實施控制后剩下的、沒有被有效控制的風險可接受風險水平：由管理層確定的、可以接受的剩余風險水平，超過這個水平的風險需要實施更強的 控制，而在這個水平之下的剩余風險也應該評價是否采用了過多控制，要考慮是否降低控制水平以節(jié)約成 本。IT風險管理在多種層面上進行綜合分析運行層面一應當關(guān)注能

29、夠危害IT系統(tǒng)及其基礎設施有效性的風險；繞過系統(tǒng)安全措施的風險，造成重要資源（如：系統(tǒng)、數(shù)據(jù)、通訊、人員、場所等）損失或不可用的風險，違反法律、法規(guī)的風險。項目層面一管理層應當理解并管理項目的復雜性，關(guān)注項目目標不能達到時所帶來的后續(xù)風險。戰(zhàn)略層面一應當關(guān)注IT能力如何與業(yè)務戰(zhàn)略保護一致，如何保持對競爭對手的優(yōu)勢，如何應對新技術(shù) 的發(fā)展帶來的威脅等。風險分析方法定性方法?定性的風險管理方法是最簡單并且最常見的方法，它們一般基于問卷式的檢查列表（Checklist）和主觀式的風險定級。分級類型定性分級程度相對較粗的分級低、中、高詳細分級可忽略、低、中、高、非常高更詳細的分級（低）0、1、2、10

30、（高）定量方法?概率與期望值- 一旦設置了事件發(fā)生的概率(P, 0 WP 1 ),如果存在一個價值為 V的資產(chǎn)(有可能受到相關(guān) 事件影響)，那么期望損失就是 VxP(資產(chǎn)價值乘以事件發(fā)生的可能性)?年預期損失方法ALE = V X EF X ARO-例如：假定某公司投資500,000美元建了一個網(wǎng)絡運營中心，其最大的威脅是火災，一旦火災發(fā)生，網(wǎng)絡運營中心的估計損失程度是 45 %。根據(jù)消防部門推斷，該網(wǎng)絡運營中心所在的地區(qū)每5年會發(fā)生一次火災，于是我們得出了 ARO為0.20的結(jié)果。基于以上數(shù)據(jù)，該公司網(wǎng)絡運營中心的ALE將是： 500000X0.45X0.2 = 45,000管理人員和IS審

31、計師應當考慮以下因素：應當對整個組織中所有 IT職能實施風險管理風險管理是高級管理層的職責優(yōu)先采用量化的風險管理方法量化風險管理的難點在于：評估風險值(概率) 、對主觀性和定性方法的依賴量化風險管理提供更加客 觀(可追蹤)的假定所使用方法或軟件的復雜或精巧程度不能取代業(yè)務常識或職業(yè)勤奮應當特別注意并充分考慮那些影響非常高的事件，即使其發(fā)生的概率非常低。E.信息系統(tǒng)管理實務E1.人力資源管理人力資源管理涉及到人員的招聘、選用、培訓和晉升，業(yè)績考評，員工紀律，繼任計劃等組織政策與規(guī) 程。由于這些活動與IS職能密切相關(guān)，其效果將影響員工表現(xiàn)及IS職責的履行。主要內(nèi)容有：聘用員工手冊晉升政策 培訓日程

32、和工時報告 員工業(yè)績評價 強制休假 解聘政策E2.資源配備實務組織為獲得IT功能支持業(yè)務，采購與配備資源方式有：?內(nèi)包型(Insourced) IT功能全部由組織中的員工實現(xiàn)；?外包型(Outsourced) IT功能全部由外商服務供應商提供；?混和型(Hybrid) -IT功能由組織中的員工及外部服務商共同提供。信息系統(tǒng)功能可以在全球范圍內(nèi)實現(xiàn)，以利用時區(qū)和勞動力價格方面的優(yōu)勢，主要方式有：?本地型(Onsite)一員工工作在組織辦公場所中的信息系統(tǒng)部門內(nèi)；?外地型(Offsite) 一員工工作在同一個地理區(qū)域內(nèi)的遠程站點；?離岸型(Offshore)一員工工作在不同地理區(qū)域內(nèi)的遠程站點；決

33、策資源配置方式的依據(jù)是否為組織的核心職能？是否有滿足目標所需的不可替代的特有知識、流程和員工？外包給其他組織或地方的價格是否相同或更低？質(zhì)量是否相同或更高？是否未增加風險?組織是否擁有管理第三方及使用遠程或離岸方式執(zhí)行IS或業(yè)務職能的經(jīng)驗？外包實務外包實務就是某個組織根據(jù)協(xié)議，將部分或全部信息系統(tǒng)部門的職能轉(zhuǎn)交給外部實體。外包是為了獲取和利用服務提供商的核心競爭能力，達成持續(xù)、有意義的對經(jīng)營過程和服務的改進并降低IT成本。第三方可以提供的服務包括：?數(shù)據(jù)錄入?在組織內(nèi)部員工不具備所需技能、具備所需技能的員工正在執(zhí)行其他更緊迫的任務或是為了完 成某項一次性任務而不想招聘新員工時，由第三方來設計和

34、開發(fā)新系統(tǒng)?對現(xiàn)有系統(tǒng)進行維護，以騰出內(nèi)部員工開發(fā)新系統(tǒng)?把遺留系統(tǒng)向新平臺轉(zhuǎn)換，如通過某個專業(yè)公司把舊應用系統(tǒng)轉(zhuǎn)換到WEBF臺?幫助臺或電話中心的運營?日常運營外包的風險成本超過預期值喪失內(nèi)部人員獲得經(jīng)驗機會喪失對IS的內(nèi)部控制供應商出現(xiàn)業(yè)務故障有限的產(chǎn)品訪問權(quán)限難以改變外包商的工作安排缺乏對法規(guī)要求的遵循性未滿足合同條款外包人員缺乏對客戶的忠誠工作安排令客戶及員工不滿服務成本不具有競爭性供應商IT系統(tǒng)的陳舊過時未實現(xiàn)預期收益項目失敗危及雙方的聲譽持久、昂貴的訴訟信息或流程丟失及泄漏風險外包的優(yōu)點實現(xiàn)規(guī)模經(jīng)濟效益投入更多的時間提高效率有處理問題的經(jīng)驗和技術(shù)采用合同協(xié)議約束外包編制出更好的說明

35、書很少出現(xiàn)項目失控和延期控制風險的措施制定可衡量的、伙伴式利益共享目標和回報機制使用多個供應商或保留一部分業(yè)務作為激勵機制定期對競爭趨勢進行審查實施短期合同組建跨職能合同管理團隊在合同中適當考慮可合理預見的多數(shù)偶然因素全球化戰(zhàn)略要注意的問題法律、法規(guī)和稅收問題-在不同的國家或地區(qū)運營 IS職能，組織可能由于不了解情況而引入新的風險持續(xù)運營-業(yè)務持續(xù)和災難恢復計劃可能不充分并且未經(jīng)測試人員-可能未考慮到所需的人力資源政策調(diào)整通訊問題-遠程或離岸的網(wǎng)絡控制及訪問面臨更加頻繁的故障及大量的安全風險跨國界及跨文化問題-管理多時區(qū)、多語言、多文化的人員及流程可能出現(xiàn)難以預料的問題第三方審計報告第一種方法

36、是要求供應商定期提交第三方審計報告，這些報告涵蓋了與數(shù)據(jù)機密性、完整性、可用性相 關(guān)的問題。IS審計師與被審計人應當同時接受所選定的第三方審計師，并且必須事先同意。對一些特定行業(yè),第三方審計可能屬于法定的監(jiān)督和控制。?例如：美國注冊會計師協(xié)會（ AICPA ）制定的SAS70及英國、加拿大的類似法規(guī)都通過法律來 要求特定行業(yè)出具第三方審計報告。?SAS70的制定目的是指導審計師報告服務機構(gòu)的內(nèi)部控制相關(guān)問題，所報告內(nèi)容可作為用戶組織財務報告中信息系統(tǒng)章節(jié)的一部分。SAS70也為外部審計師對使用服務機構(gòu)的實體實施財務報告審計提供指南。第二種方法是允許組織內(nèi)的審計師對供應商進行定期審計。由于每次審

37、計都花費供應商較多的時間和 資源，供應商可能會不接受這種方法。外包治理外包是允許組織把服務交付轉(zhuǎn)由第三方提供的機制。接受外包的基本原則是：雖然將服務交付轉(zhuǎn)移， 但其責任仍屬于組織內(nèi)管理層，他們必須確保對風險的適當管理及供應商持續(xù)的價值交付。決策制定流程 的透明性及所有權(quán)必須保留在組織內(nèi)部。決定外包是一項戰(zhàn)略，而不只是一個采購決策。采用外包的組織通過識別并保留其核心業(yè)務而將非核 心業(yè)務外包來有效地重新配置組織的價值鏈。外包治理能支持建立并保持競爭和市場優(yōu)勢，有效地應對競爭和市場環(huán)境的變化。外包治理是一系列責任、角色、目標、銜接和控制機制，用來預測變化及管理第三方服務的引入、維 護、績效、成本和控

38、制。管理第三方服務交付服務交付?第三方服務交付協(xié)議中的安全控制、服務定義和交付水平應當由第三方來實施、運營和維護。?第三方組織的服務交付內(nèi)容應當包括既定的安全部署、服務定義及服務管理等方面。?組織應當確保第三方組織維持充分的服務能力，同時制定可行的計劃以確保在發(fā)生主要服務故障 或災難時能維持既定的服務水平。監(jiān)督和檢查第三方服務?監(jiān)督服務性能水平，檢查對協(xié)議的遵循性?檢查第三方提交的服務報告，按照協(xié)議要求定期舉行會議?提交信息安全事件的相關(guān)信息?針對安全事件、問題等檢查第三方審計軌跡和記錄?解決已識別的問題并予以管理第三方服務的變更管理?考慮業(yè)務系統(tǒng)的關(guān)鍵性及其流程進行管理，并重新評估風險。服務

39、改善及用戶滿意度SLA 為外包商執(zhí)行IS職能設定了基準，另外， 組織可以在合同中設定預期的服務改善、相關(guān)的處罰 及獎勵。服務改善的內(nèi)容包括：?減少幫助臺的呼叫次數(shù)?減少系統(tǒng)錯誤的數(shù)量?改善系統(tǒng)可用性服務改善應當經(jīng)過用戶同意，IT目標應當是改善用戶滿意度并實現(xiàn)業(yè)務目標。應當通過用戶訪談和 調(diào)查來監(jiān)督用戶滿意度。行業(yè)標準和基準行業(yè)標準和基準為確定相同的信息處理設施環(huán)境所能提供的績效水平提供了一種方式?？梢詮墓痰钠渌脩?、行業(yè)出版物和專業(yè)協(xié)會獲得這些標準或基準表，例如ISO9000和軟件工程協(xié)會的 CMM外包組織必須遵循其客戶所依賴的一系列良好設計的標準。E3.組織的變更管理變更管理是對組織中

40、IT的變更進行管理，它通過制定明確的并正式成文的流程，識別并實施對組織 有益的IT架構(gòu)和應用系統(tǒng)方面的技術(shù)改進。信息部門一方面可以利用技術(shù)的變化與更新來優(yōu)化業(yè)務流程，另一方面在組織高級管理層的支持下，通過正式的變更管理程序來實施IT本身的可持續(xù)發(fā)展。E4.財務管理實務在成本密集的計算機環(huán)境中，良好的財務管理是非常重要的。建立IT用戶的記費機制（chargeback ）可以提高應用水平、監(jiān)督信息系統(tǒng)費用和可用資源。信息系統(tǒng)預算應當與IT的短期計劃及長期計劃結(jié)合起來考慮E5.質(zhì)量管理質(zhì)量管理是信息系統(tǒng)基于部門的流程得到有效控制、評價和改善的手段。流程是由一系列任務組成，如果這些任務被正確地執(zhí)行，就

41、可以產(chǎn)生預期的結(jié)果。信息系統(tǒng)審計師應當關(guān)注業(yè)務職能和流程是否按標準（例如ISO9001 : 2000、ISO9126、CMM?）正式成文并被遵照執(zhí)行，是否產(chǎn)生了預期結(jié)果。信息系統(tǒng)審計師關(guān)注信息系統(tǒng)組織中是否存在以下流程文檔:計算機操作服務管理系統(tǒng)軟件采購、實施和維護硬件采購和維護應用軟件采購或開發(fā)及維護管理報告物理和邏輯安全短期和長期計劃工時報告人力資源（HR）管理E6.信息安全管理（ISO17799）信息安全管理在確保組織所控制的信息和信息處理資源受到適當?shù)谋Ｗo方面起著重要作用，它領導和促進整個組織范圍內(nèi)的IT安全程序的實施.信息安全管理主要包括了安全方針策略的制定、組織與人員的安全管理、訪

42、問控制、支持組織關(guān)鍵業(yè)務流程的業(yè)務持續(xù)計劃和災難恢復計劃等內(nèi)容。信息安全管理的更多內(nèi)容見第5章“信息資產(chǎn)的保護”。E7.績效優(yōu)化績效優(yōu)化是指在無須對信息技術(shù)基礎設施追加額外投資的情況下，將信息系統(tǒng)的生產(chǎn)力提高 到可能達到的最高水平?？冃?yōu)化是由績效指標推動的過程，這些指標是基于組織業(yè)務活動和流程的復雜性、戰(zhàn)略性 的IT解決方案以及公司實施 IT的主要戰(zhàn)略目標來確定的?？冃е笜说闹饕δ埽汉饬慨a(chǎn)品和服務、管理產(chǎn)品和服務、確保責任制、制定預算決策、優(yōu)化績效?績效優(yōu)化的工具 COBIT管理指南它是為了滿足IT經(jīng)理進行績效評價的需求而設計的，它為 IT的34個主要流程定義了關(guān)鍵成功要素、關(guān)鍵目標指標、

43、關(guān)鍵績效指標和成熟度模型。管理指南的重要內(nèi)容：關(guān)鍵成功要素（CSF ）管理指南要回答的問題：關(guān)鍵目標指標（KGI ）成本與效益我們究竟應該走多遠，成本與利潤比例是否合適？關(guān)鍵績效指標（KPI ）成熟度模型績效評價對于好的績效的度量指標是什么？IT控制環(huán)境什么是重要點？關(guān)鍵成功要素是什么?意識不能達到我們的目標的風險是什么？基準測量他人在做什么？我們應該怎樣測量和比較？F.信息系統(tǒng)組織結(jié)構(gòu)和責任信息系統(tǒng)部門的組織結(jié)構(gòu)(略)F1.信息系統(tǒng)的任務和職責對信息系統(tǒng)各種職能進行審查技術(shù)支持?技術(shù)支持經(jīng)理(Technique Support Manager)?系統(tǒng)管理員(System Administra

44、tor )?網(wǎng)絡管理員(Network Managers )?系統(tǒng)程序員(Systems Programmers)運行部門(Operations )?運行經(jīng)理(Operations Manager)?計算機操作員(Computer Operator)?控制組(Control Group )?資料庫管理員(Librarian )?數(shù)據(jù)錄入(Data Entry )應用系統(tǒng)開發(fā)(Application Development )?系統(tǒng)開發(fā)經(jīng)理(System Development Manager)?系統(tǒng)分析員(Systems Analysts )?應用系統(tǒng)程序員(Applications Prog

45、rammers)安全與質(zhì)量(Security and Quality)?安全架構(gòu)師(Security Architect )?安全管理員(Security Administrator )?質(zhì)量保證(Quality Assurance )數(shù)據(jù)管理(Data Administration )?數(shù)據(jù)經(jīng)理(Data Manager)?數(shù)據(jù)庫管理員(Database Administrator )客戶服務(Customer Services)?最終用戶支持經(jīng)理(End-user Support Manager)?幫助臺(Help Desk)?最終用戶(End User )F2.信息系統(tǒng)中的職責分離職責分離可以避免因為某一個人負責多個關(guān)鍵的職位而造成不能在日常的業(yè)務活動中及時地 發(fā)現(xiàn)其錯誤的情況。職責分離是威懾和預防欺詐或惡意行為的一種手段。應當分離的職責包括：資產(chǎn)保管、授權(quán)批準、交易記錄審計師必須獲得足夠的信息以了解各種工作職位、責