信息系统审计指南(COBIT 中文版).doc

1、COBIT信息技术审计指南(34个控制目标) 计划和组织（选择3/6/11） 1 定义战略性的信息技术规划（PO1）PO域 控制的IT过程： 定义战略性的IT规划 满足的业务需求： 既要谋求信息技术机遇和IT业务需求的最佳平衡，又要确保其进一步地完成 实现路线： 在定期从事的战略规划编制过程中，要逐渐形成长期的计划，长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划 需要考虑的事项： 企业的业务发展战略 IT如何支持业务目标的明确定义 技术解决方案和当前基础设施的详细清单 追踪技术市场 适时的可行性研究和现实性检查 已有系统的评估 在风险

2、进入市场的时机、质量方面，企业所处的位置 需要高级管理层出钱、支持和必不可少的检查 信息规范 IT资源 P 效果 * 人员 S 效率 * 应用 保密 * 技术 完整 * 设施 可用 * 数据 遵从 可靠 1.1 作为机构长期和短期计划一部分的IT 高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面，高级管理层应 确保IT有关事项以及机遇被适当地评估，并将结果反映到机构的长期和短期计划之中。IT的长期、短期 计划应被开发，确保IT的运用同机构的使命与业务发展战略相结合。 1.2 IT 长期计划 IT管理层和业务过程的所有者要对有

3、规律地开发支持机构总体使命和目的实现的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。相应地，管理层应执行一个长期计划的编制过程，采用一种结构化的方法，并建立一个标准的计划结构。 1.3 IT 长期计划编制——方法与结构 对于长期计划的编制过程来讲，IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划，含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果，包括业务、环境、技术和人力资源的风险。计划编制期间，需要考虑和充分投入的方面包括：机构的模式及其变化、地理的分布、技

4、术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。IT长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划，比如机构的质量计划和信息风险管理计划。 1.4 IT 长期计划的变更 IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位，以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。 1.5 IT 功能的短期计划编制 IT管理层和业务过程的所有者应确保IT长期计划有规律地转

5、换成IT短期计划。这样的短期计划应确保适当的IT功能资源以与IT长期计划内容相一致的基础上来分配。短期计划应定期地进行再评估，并被作为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。 1.6 IT 计划的交流 管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。 1.7 IT 计划的监控和评估 管理层应建立一个流程，获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。获取的反馈应予以评估，并在将来的IT计划编制中加以考虑。 1.8 现有系统的评估 在开发或

6、变更战略规划或长期计划、IT计划之前，IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势，评估现有信息系统，以确定现有系统支持机构业务需求的程度。 对高级和详细的控制目标进行审计： 获得了解： 访谈： 首席执行官（CEO） 首席运营官（COO） 首席财务官（CFO） 首席信息官（CIO） IT计划/指导委员会成员 IT高级管理层和人力服务职员 获得： 与计划编制过程想关联的政策和程序 高级管理层的指导角色和责任 机构的目标和长短期的计划 IT的目标和长短期的计划 状况的报告和计划/指导委员会的会议纪要 评估控制： 考

7、虑是否： IT或者业务的企业政策和程序选择了一种结构化的计划编制方法 方法到位，以便明确地表达并能够修改计划，起码它们要包括： • 机构的使命和目的 • 支持机构使命和目的的IT初始 • IT初始的机遇 • IT初始的可行性的研究 • IT初始的风险评估 • 当前和未来IT的最佳投资 • 反映企业使命和目的变化的IT初始的再造 • 数据应用、技术和机构可选择战略的评估 机构的变化、技术的发展、规章的要求、业务过程的再造、员工的安置、自己开发和外包，等等被考虑，并在计划编制过程中充分地从事 长短期的IT计划存在，是当前的，充分针对全部企业、它的使命和关键的业务职能部门

8、IT项目由IT计划编制方法中确定的适当文档所支持 确保IT目标和长短期计划持续地满足机构目标和长短期计划的检查点存在 由过程所有者和高级管理层评价和结束的IT计划发生 根据业务自动化程度、功能性、稳定性、复杂性、成本、优势和弱点，IT计划评估现有的信息系统 对信息系统及其支持的基础设施的长期计划编制的缺乏，导致系统不能支持企业的目标和业务的过程，或者不能提供适当的完整、安全和控制 评定遵从性： 测试： 来自反映计划编制过程的IT计划编制/指导委员会的会议纪要 计划编制方法的可交付使用物的存在，作为预先的规定 相关IT的初始被包括在IT长短期的计划当中（也就是硬件的变化

9、容量计划编制、信息体系结构、新系统开发或获取、灾难恢复计划编制、新处理平台的安装，等等） IT初始支持长短期计划，并要考虑调查、培训、人员安置、设施、硬件和软件的需求 IT初始的技术含义已经被确定 最优化当前和将来IT投资的考虑已经给出 IT长短期计划与机构的长短期计划和组织的需求保持一致 计划已经发生改变，以反映正在变化的条件 IT长期计划定期转化成短期计划 存在实现计划的任务 证实没有满足业务目标的风险： 执行： 依照类似的机构或者适当的国际标准/公认的行业最好实践的战略IT计划的基准 确保IT初始反映机构的使命和目的的IT计划的详细评价 决定是否机构之内

10、已经知道的虚弱区域正在被确认为计划当中IT解决方案的一部分而加以改进的IT计划的详细评价 确定： 满足机构使命和目的的IT失败 与长期计划相匹配的短期计划的IT失败 满足短期计划的IT项目的失败 满足成本和时间准则的IT失败 错过的业务机遇 错过的IT机遇 2 定义信息体系结构（PO2） 控制的IT过程： 定义信息体系结构 满足的业务需求： 优化信息系统的机构 实现路线： 创建并维护一个业务信息模型，确保定义适当的系统，以优化信息的使用 需要考虑的事项： 自动化的数据存贮和字典 数据语法规则 数据所有权和关键性/安全性程度分类 表述业务

11、的信息模型 企业信息体系结构标准信息 信息规范 IT资源 P 效果 人员 S 效率 * 应用 S 保密 技术 S 完整 设施 可用 * 数据 遵从 可靠 2.1 信息体系结构模型 信息应与需求保持一致，并应以某种格式和期限进行识别、获取和交流，而这些格式和期限能使人们及时、有效地履行他们的职责。相应地，围绕企业的数据模型和相关的信息系统，IT的职能应是建立并有规律地更新信息体系结构模型。信息体系结构模型应与IT长期计划保持一致。 2.2 企业数据字典和数据语法规则 IT的职能应确保包含机构数据语法规则的企业数据字典的建立以及持续的更新。 2.3 数据分类

12、方案 在按信息类别（如安全类）进行分类的数据放置以及所有权分配方面，应建立一个总体的分类框架，应适当定义各类别的访问规则。 2.4 安全等级 对于上述确定的每一个“不需要保护”级别以上的数据分类，管理层应定义、执行和维护这些安全等级。对于每一个分类来讲，这些安全等级应描述适当的（最小的）一套安全和控制尺度，应定期进行再评估并做相应的修改。对于区域范围广阔的企业，应建立支持不同安全等级的标准，以适应正在发展的电子商务、移动计算和远程办公环境的需要。 对高级和详细的控制目标进行审计： 获得了解： 访谈： 首席信息官（CIO） IT计划/指导委员会成员 IT高级管理

13、层 安全官 获得： 与信息体系结构相关的政策和程序 信息体系结构模型 支持信息体系结构模型的文档，包括企业数据模型 企业数据字典 数据所有者政策 高级管理层指导的角色和责任 IT的目标和长短期计划 状况报告和计划编制/指导委员会会议纪要 评估控制： 考虑是否： IT政策和程序选择了数据字典的开发和维护 用于修改信息体系结构模型的过程是以长短期计划为基础的，考虑了相关成本和风险，并且该模型变化之前，要确保高级管理层同意 有一个过程用来保持数据字典和数据语法规则处于最新状态 有一个媒介用来分发数据字典，确保开发区域的可达性并立即反映变化 IT政策和过程

14、要选择数据的分类，包括安全种类和数据所有者，数据分类的访问规则要被清晰和适当地定义 要为那些不包含数据分类标识符的数据资产定义缺省的分类标准 IT政策和程序要选择以下内容： • 需要数据所有者（在数据所有者政策上定义）的授权过程要到位，以便批准该数据的所有访问以及数据的安全属性 • 每一个数据分类的安全等级要被定义 • 访问等级被定义，并且对于数据分类来说是适当的 • 访问敏感数据需要清楚的访问级别，数据的提供要以“需要知道”为基础 评定遵从性： 测试： 信息体系结构模型上的变化，确定这些变化反映了IT长短期计划及其所确定的成本和风险 评估数据字典的任何修改以及数据

15、字典上变化的影响，确保它们被有效地沟通 各种运作的应用系统和开发项目，以确定数据字典被用作数据定义 足够的数据字典文档，以确定这些文档为每一个数据项定义了数据的属性和安全等级 数据分类、安全等级、访问等级和缺省的适当性 每一个数据分类都要清晰地定义： • 谁可以访问 • 谁对决定适当的访问级别负责 • 所需访问的明确批准 • 访问的特定需求（也就是非披露或者保密性协议） 证实没有满足业务目标的风险： 执行： 依照类似机构或适者国际标准/公认的行业最好实践的信息体系结构模型的基准 针对关键元素的完整性，数据字典的详细评价 对定义为敏感数据的安全等级的详细评价，以

16、校验访问的适当授权被获得，被许可的访问与定义在IT政策和程序中的一致 确定： 信息体系结构模型和企业数据模型、企业数据字典、相关信息系统以及IT长短期计划中的矛盾 过时的企业数据字典项和由于数据字典变化的不良的沟通丧失了时效性的数据语法规则？？？ 所有者不清楚和/或没有适当定义的数据项 没有被适当定义的数据分类 与“需要才能知道”的原则不一致的数据安全等级 3 决定技术方向（PO3） 控制的IT过程： 决定技术方向 满足的业务需求： 利用目前可用的和正在出现的技术，推动业务战略的实施并使业务战略成为可能 实现路线： 建立并维护技术基础设施计划，该计

17、划，依据产品、服务和交付机制，建立并管理技术能够提供的清晰和现实的预期 需要考虑的事项： 当前基础设施的容量 通过可靠的来源，监测技术发展 引导概念的检验 风险、约束和机遇 获取的计划 移植战略和路线 与供应商的关系 独立的技术再评估 硬件和软件的性能/价格比的变化 信息规范 IT资源 P 效果 人员 S 效率 应用 保密 * 技术 完整 * 设施 可用 数据 遵从 可靠 3.1 技术基础设施计划编制 IT的职能部门应建立并有规律地更新与IT长期和短期计划保持一致的技术基础设施计划。这样的计划应围绕诸如系统体系结构、技术方向和移植策略等方面。

18、 3.2 监测未来的趋势和法规 IT的职能部门应能够确保对未来趋势和法规环境的持续监测，以便这些因素能够在技术基础设施计划的开发和维护期间被考虑在内。 3.3 技术基础设施的不确定事件 技术基础设施计划应在偶然事件方面（即基础设施的冗余、恢复、充足性和发展能力）进行系统地评估。 3.4 硬件和软件获取计划 IT管理层应确保制定硬件和软件的获取计划，并要反映在所确定的技术基础设施计划的需求中。 3.5 技术标准 以技术基础设施计划为基础，IT管理层应定义技术规范以培养标准化的意识。 对高级和详细的控制目标进行审计： 获得了解： 访谈： 首席执行官（

19、CEO） 首席运营官（COO） 首席财务官（CFO） 首席信息官（CIO） IT计划/指导委员会成员 IT高级管理层 获得： 与技术基础设施计划编制和监控相联系的政策和程序 高级管理层指导角色和责任 机构目标和长短期计划 IT目标和长短期计划 IT硬件和软件获取计划 技术基础设施计划 技术标准 状况报告和计划编制/指导委员会会议纪要 评估控制： 考虑是否： 为确认被提议的变化首先被检查以评估相关联的成本和风险，为确认高级管理层的批准先于计划的变化被获得，有一个创造并有规律地更新的技术基础设施计划的过程 技术基础设施计划与IT长短期计划相比较 有

20、一个过程来评估机构的当前技术状态，确保环绕诸如系统体系结构、技术方向和移植战略等方面 IT政策和程序确保选择了评估和监控当前和将来的技术趋势和规章条件的要求，并且在技术基础设施 计划的开发和维护期间被考虑 技术获取的后勤和环境影响要被计划 IT政策和程序确保选择了系统地评估技术计划意外的需求（也就是基础设施的冗余、恢复力、足够性和发展能力） IT管理层评估正在出现的技术，并将适当的技术合并到当前的IT基础设施之中 对于硬件和软件的获取计划来讲，它是遵从技术基础设施计划中所确定的要求并被适当地批准的实践在技术基础设施计划中所描述的技术组成的技术标准是到位的 评定遵从性：

21、测试： IT管理层理解并使用技术基础设施计划 技术基础设施计划上的变化，以确定相关的成本和风险，这些变化要反映在IT长短期计划的变化中 IT管理层要理解监控和评估正在出现技术的过程，并要将适当的技术合并到当前的IT基础设施之中 IT管理层要理解系统评估技术计划意外的过程（也就是说，基础设施的冗余、恢复力、充足性和发展能力） 为了充分地适应目前的已安装的硬件/软件以及在当前被批准的增加的新的硬件/软件，IT职能部门现有的物理环境 硬件和软件获取计划遵从IT长短期计划，并要反映技术基础设施计划中所确认的需求 技术基础设施计划选择利用当前和将来的技术 技术标准被遵循，并作为开发过程的

22、一部分而被合成一体 被允许的访问与IT政策和程序中所定义的安全等级相一致，到位的访问要经过适当的授权 证实没有满足业务目标的风险： 执行： 依照类似的机构或者适当的国际标准/公认的行业最好实践的技术基础设施计划编制的基准 针对关键元素的完整性，数据字典的详细评价 为敏感数据而定义的安全等级的详细评价 确定： 信息系统和IT长短期计划相关的信息体系结构模型和企业数据模型、企业数据字典的矛盾 企业数据字典条款和数据语法规则的过时 没有在技术基础设施计划中选择的以外方面 没能反映技术基础设施计划需求的IT硬件和软件的获取计划 与技术标准不一致的技术基础设施计划或I

23、T硬件和软件获取计划 数据字典中丢失的关键元素 没有按照同样标准分类或者没有安全等级的敏感数据 4 定义信息技术的机构及关系（PO4） 控制的IT过程： 定义IT的机构及关系 满足的业务需求： 提供正确的IT服务 实现路线： 定义一个数量上相配、具有角色和职责所要求技能的机构，与业务部门沟通、联合在一起，促进战略的实现，并规定有效的方向和适当的控制 需要考虑的事项： 董事会层面上的IT职责 管理层对于IT的指导和监督 IT与业务的结合 关键决策过程中IT的参与 机构的灵活性 清晰的角色和职责 平衡授权与监督 工作岗位的描述 人员级别和关

24、键的人员 在安全、质量和内部控制功能方面的机构配置 职责的分离 信息规范 IT资源 P 效果 * 人员 S 效率 应用 保密 技术 完整 设施 可用 数据 遵从 可靠 4.1 IT 计划或指导委员会 机构的高级管理层应指定一个计划或者指导委员会，来检查IT的职能及其活动。委员会的会员应包括来自高级管理层、用户管理层和IT职能方面的代表。委员会应实行例会制度，并向高级管理层报告。 4.2 IT 职能的机构设置 在整个机构机构设置IT职能过程中，高级管理层应确保其权力、关键时刻以及与用户部门的独立性到必要的程度，以便在执行时能够保证有效的IT解决方案和充分的

25、进展，并要建立与顶级管理层的伙伴关系，以便在确定和解决IT问题时，能够帮助他们增强意识、理解和技能。 4.3 机构绩效的评价 应设置一个框架来评价机构的机构，以不断地满足目标和变化的环境。 4.4 角色和责任 管理层应确保机构中所有人员都具有并理解他们在相关信息系统中的角色和责任。所有的人员应具有足够的权力来行使分派给他们的角色和责任。角色的设置应考虑适当的职责分离。没有那个人能够控制一个交易或事件的所有关键环节。每个人都应认识到他们在内部控制和安全方面具有一定的责任。因此，应机构并承担起有规律的一些活动，以增强这方面的意识和纪律。 4.5 质量保证的责任 管理层应为I

26、T职能部门的成员分配质量保证职能履行的责任，并确保适当的质量保证、系统、控制和存在于IT职能质量保证小组中的专家们的交流。IT职能内机构的布置以及质量保证小组的职责和规模应满足机构的需求。 4.6 逻辑和物理安全的责任 管理层应为信息安全经理正式地分配确保机构信息资产物理和逻辑安全的责任，并负责向高级管理层报告。最起码，安全管理职责应建立在整个机构范围的层次上，以便能够处理一个机构内的全部安全问题。如果需要，系统细节层次上的附加安全管理责任也应被分配，以应对相关的安全问题。 4.7 所有者和管理者 管理层应正式建立一个指定数据所有者和管理者的结构。他们的角色和责任应清楚地定义。

27、 4.8 数据和系统的所有者 管理层应确保所有信息资产（数据和系统）都已指定了所有者，他们对信息资产的分类和访问权限具有决策的权利。典型地，系统所有者可以将日常管理委派给系统的交付/操作小组，将安全职责委派给安全管理员。然而，所有者仍然要保留对适当安全尺度维护的责任。 4.9 监督 高级管理层应执行适当的IT职能的监督实践，以保证角色和责任被完全地行使，评估所有的个人是否有足够的权力和资源完成他们的角色和职责，并要全面地评价关键的绩效指标。 4.10 职责分离 高级管理层应实施角色和职责的分离，避免单独的个人扰乱某个关键的过程。管理层还应确定每个人仅执行其工作和职位规定

28、的各自的职责。尤其是下列职责之间责任分离的应维护。 信息系统使用 数据录入 计算机操作 网络管理 系统管理 系统开发和维护 变更管理 安全管理 安全审计 4.11 IT 人员配备 员工需求评估应有规律地执行，以保证履行IT职能所需足够数量能胜任的IT员工。员工需求应至少每年评估一次，或根据业务、运作及IT环境的主要变化而执行。评估结果应尽快执行，以确保现在和将来员工的充足。 4.12 IT 员工工作和职位的描述 管理层应确保建立IT员工的职位描述，并有规律地被更新。这些职位描述应清楚地描绘权力和责任两方面，包括相关职位要求的技能和经验的详细说明，并要适合在绩效

29、评估中使用。 4.13 关键的IT 人员 IT管理层应详细说明和识别关键的IT人员。 4.14 与员工签约的政策和程序 为了IT职能部门控制咨询和其它签约个人的活动，确保机构的信息资产处于保护之中，管理层应详细说明和执行相关的政策和程序。 4.15 关系 IT管理层应采取必要的行动，在IT职能部门和其它各种有利害关系的内外部IT职能部门（即用户、供应商、安全官员、风险管理者）之间，建立并维持一个最佳的协调、交流、联络的结构。 对高级和详细的控制目标进行审计： 获得了解： 访谈： 首席执行官（CEO） 首席运营官（COO） 首席财务官（CFO）

30、首席信息官（CIO） 质量保证官 安全官 IT计划/指导委员会成员、人力资源和高级管理层 获得： 高级管理层计划/指导角色和责任 机构目标和长短期计划 IT目标和长短期计划 展示IT职能部门与及其它职能部门关系的机构机构图 与IT机构和关系相关联的政策和程序 与质量保证相关联的政策和程序 用来决定IT人员需求的政策和程序 IT职能部门的机构机构图 IT职能部门的角色和责任 IT关键位置（工作）的描述 状况报告和计划/指导委员会会议纪要 评估控制： 考虑是否： 来自高级管理层的政策声明和沟通确保IT职能部门的独立和权威 IT计划/指导委员会的成员

31、和职能部门已经被定义，责任已经被确定 IT计划/指导委员会的章程使委员会的目的与机构的目标和长短期计划以及IT的目标和长短期计划联盟 增强确定和解决信息管理问题的意识、理解和技能的过程到位 政策选择了满足正在变化着的目标和环境的机构机构的评估和修改的要求 决定IT职能部门效果和承诺的过程和绩效指标存在 高级管理层要确保角色和责任被执行 勾画机构内所有个人有关信息系统内部控制和安全的角色和责任的政策存在 增加内部控制和安全意识以及纪律的有规律的活动存在 质量保证的职能部门和政策存在 质量保证职能部门要充分地独立于系统开发人员，并要有执行其责任的适当人员和专门技术 确定时间资源

32、并确保质量保证测试的完成以及系统或者系统变化被执行前的审批的质量保证之内的过程要到位 为了安全官的内部控制和安全（逻辑和物理两者）政策和程序的明确表达，管理层应正式地分配机构范围内的责任 安全官的职位的角色和责任的了解被充分地理解，并被证明与机构的信息安全政策一致机构的安全政策清晰地定义每一个信息资产的所有者（如，用户、管理层和安全管理员）被要求执行的信息安全的责任 含盖数据和系统所有者所有主要数据源和系统的政策和程序存在 有规律地评价并维护数据和系统所有者变化的程序存在 描述监督实践，确保角色和责任被适当地行使，并且所有的人员有足够的权威和资源执行其角色和责任的政策和程序存在 下

33、列一对职责要分离： • 系统开发和维护 • 系统开发和运行 • 系统开发/维护和信息安全 • 运行和数据控制 • 运行和用户 • 运行和信息安全 IT的人员安置和能力被维护，以确保其具有提供有效技术解决方案的能力 IT职位（工作）描述的评估和再评估的政策和程序存在 对于关键的过程，包括系统开发生命周期活动（需求、设计、开发、测试）、信息安全、获取和容量的计划编制，适当的角色和责任存在 在实现机构的目标方面，使用适当和有效的关键绩效指标和/或关键成功因素测量IT职能部门的结果 控制咨询者和其它契约人员活动的IT政策和程序存在，从而确保机构的资产的保护 适用于已签约IT服务

34、的适当性的过程，并要与机构的获取政策一致 调整、沟通和归档IT职能部门高级职员会内外部兴趣的过程存在 评定遵从性： 测试： IT计划/指导委员会检查IT职能部门及其活动以及解决行动条款 IT职能部门报告层次的适当性 在机构关于为顶级管理层提供合作伙伴关系方面，IT职能部门的位置的有效性 高级IT管理层了解用来监控、测量和报告IT职能部门绩效的过程 用来评估绩效的关键指标 当实际结果不能满足目标水平，依照目标水平，决定所采取的校正行动的分析实际结果的过程 为了来自期望的绩效水平的任何重大差异，由管理层所采取的行动 用户/所有者管理层评估IT职能部门提供满足用户/所有

35、者需求的信息技术解决方案的反应速度和能力 IT管理层知道其角色和责任 涉及IT项目计划的测试和审批的质量保证 安全人员评价核心操作系统和应用系统 到位或正在开发的评估信息安全（逻辑和物理两者）的安全职能部门报告或文档的适当性 信息安全政策和程序的充分了解和一致应用 出席信息安全和内部控制培训的人员 对于所有的信息资产，数据和系统所有权被定义 数据和系统所有者审批数据和系统制造的变化 所有的数据和系统具有一个所有者或者管理人，他们负责控制数据和系统的水平 所有数据和系统资产的访问由资产的所有者审批 与职位（工作）相联系的权利和监督的直线要与在职者的义务相称 职位（工作）描

36、述清楚地描绘权利和责任两者 职位（工作）描述清楚地描述所需的业务、相关的和技术的资格 职位（工作）已经被精确地沟通，并由个人所理解 IT职能部门的职位（工作）描述包含已经沟通给个人的关键绩效指标 IT职员的义务和责任要对应于已经公布的职位（工作）描述和机构的机构图两者 关键职位的职位（工作）描述到位，包括机构关于信息系统、内部控制和安全的训令 职位（工作）描述的精确性要与这些职位在职者的当前责任相比较 遵从IT职能部门内有意的职责分离以及职责限制的种类和范围 IT人员安置的维持能力 作为责任、权利和绩效标准的适当性和透明度的基础，职位（工作）描述的适当性 合同管理的责任分配

37、给了适当的人员 合同的术语与正常的机构合同的标准相一致，标准契约术语和条件已经由法律的律师评价和评估，它们的同意意见要获得 合同包含适当的有关遵从性的条款：法人的安全和内部控制政策、信息技术标准 过程和/或结构规定成功关系所必须的有效果和有效率的协调 证实没有满足业务目标的风险： 执行： 依照类似的机构或者适当的国际标准/公认的行业最好实践的机构和关系的基准 决定由无效的IT计划/指导委员会所引起的机构方面影响的详细评价 在处理信息系统问题和执行技术解决方案方面，测量IT职能部门进步的详细评价 评估机构的机构、人员和个人能力、分配的角色和责任、数据和系统所有权、监督、

38、职责分离等的详细评价 决定在满足机构需求的有效性方面的质量保证职能部门的详细评价 决定在提供机构范围内信息安全（逻辑和物理两者）和信息安全意识培训有效性方面的安全职能的详 细评价 确定这些合同已经由交易双方适当地执行并且遵从机构的标准合同术语的合同实例的详细评价 确定： 由于IT计划/指导委员会无效监督所引起的IT职能及其活动的弱点 导致IT职能无效果或无效率的机构机构的缝隙、重叠，等等 不适当的机构机构、缺少的职能、不充足的人员、能力不足、不适当的角色和责任、数据和系统所有权的混乱、监督的问题、缺乏职责分离，等等 确实满足质量保证要求的正在开发、修改或者执行的系统 确

39、实满足安全（或者是逻辑的，或者是物理的，或者是两者兼顾）需求的正在开发、修改或者执行的系统 不能满足机构的合同要求的合同 IT职能部门和各种各样其它有兴趣的IT职能部门的内外之间的无效协调和沟通 5 管理信息技术投资（PO5） 控制的IT过程： 管理IT投资 满足的业务需求： 保证资金并控制财务资源的支出 实现路线： 由业务决定的定期投资和运作预算的建立和审批 需要考虑的事项： 资金的选择 清晰的预算所有者 实际支出的控制 成本的合理性和所有者总成本的意识 收益的合理性和收益实现的责任制 技术和应用软件的生命周期 要与企业的业务战略相结合

40、 效果的评估 资产管理 信息规范 IT资源 P 效果 * 人员 P 效率 * 应用 保密 * 技术 完整 * 设施 可用 数据 遵从 S 可靠 5.1 年度IT 运营预算 高级管理层应执行预算编制过程，按照机构的长期和短期计划以及IT的长期和短期计划，保证年度IT运作预算的建立和批准。应调查资金的选择。 5.2 成本和收益的监控 管理层应建立成本监测的过程，将实际支出与预算进行比较。此外，由IT活动衍生出来的可能存在的收益应被确定和报告。对于费用监测来讲，实际数据的来源应以机构的会计系统为基础，该系统应例行公事地纪录、处理并报告与IT职能部门的活动相关的成

41、本。对于收益的监测来讲，高层次的绩效指标应被详细地说明，有规率地进行报告并对其适当性进行评价。 5.3 成本和收益的合理性 管理控制应设置到位，以保证IT职能部门交付服务的成本是合理的并符合行业标准。由IT活动衍生出来的收益也应做同样应的分析。 对高级和详细的控制目标进行审计： 获得了解： 访谈： 首席财务官（CFO） 首席信息官（CIO） IT计划/指导委员会成员 IT高级管理层 获得： 与预算和成本核算相联系的机构的政策、方法和程序 与预算和成本核算相联系的IT政策和程序 当前和最近的以前年度IT职能部门的年度运作预算 机构目标和长短期计划

42、 IT目标和长短期计划 高级管理层计划/指导的角色和责任 与差异监控和控制相连接的差异报告及其它沟通 状况报告和计划/指导委员会会议纪要 评估控制： 考虑是否： IT预算的过程与机构的过程一致 确保与机构的预算、机构的长短期计划、IT长短期计划相一致的年度IT运作预算的准备和适当审批的 政策和程序的到位 预算过程要与在准备阶段起作用的IT职能部门的主要单位的管理层分享 有规律地监控实际成本，并将其与计划的成本相比较的政策和程序要到位，实际的成本是以机构的成 本会计系统为基础的 保证IT职能部门的服务交付具有合理的成本并遵守行业成本的政策和程序到位 评定遵从

43、性： 测试： 在证明IT年度运作计划是合理的方面，IT预算的支持是适当的 IT支出的种类是全面的、适当的并进行了适当的分类 日常记录、处理和报告与IT职能部门活动相联系的成本的系统是适当的 成本监控过程充分地比较实际的预算 由受影响的用户组的管理层、IT职能部门以及机构的高级管理层所进行的成本/效益分析被充分地评价 用来监控成本的工具是有效的并适当地使用 证实没有满足业务目标的风险： 执行： 依照类似的机构或者适当的国际标准/公认的行业最好实践的预算和成本的基准 最近的过去和当前的年度预算，及与之相对的结果、差异和所采取的校正行动的详细评价 确定： 没

44、有按照机构的预算和长短期计划、IT长短期计划懂得IT预算 没有被捕捉到的IT职能部门的实际成本 6 沟通管理的目标和方向（PO6） 控制的IT过程： 沟通管理的目标和方向 满足的业务需求： 确保用户知晓并理解这些目标 实现路线： 建立政策并与用户团体进行交流；此外，需要建立标准，以便将战略性选择转化为实际及便于使用的 用户规则 需要考虑的事项： 清晰统一的使命 连接业务目标的技术方针 行为/道德规范的法规 质量承诺 安全和内部控制政策 安全和内部控制实践 实例引导 持续的沟通程序 提供指导和遵从性检查 信息规范 IT资源 P 效果

45、 人员 效率 应用 保密 技术 完整 设施 可用 数据 S 遵从 可靠 6.1 积极的信息控制环境 为了给正确的行为提供指导，消除不道德行为的诱惑并严肃纪律，管理层应建立一个全机构范围内培育积极控制环境的框架和认知程序。这些框架和程序应专注于员工的诚信、伦理价值和能力以及管理哲学、操作风格和义务。针对IT的各方面，包括安全和业务持续性计划，要给予具体的考虑。 6.2 管理层在政策方面的责任 对于覆盖总体目标和方针的政策而言，管理层应对政策的阐明、开发、声明、公布和控制承担全部责任。政策适当性的评价应有规率地进行。撰写的政策及其程序的复杂性应总是与机构的规模和管理风

46、格相一致。 6.3 机构政策的沟通 管理层应确保机构政策在机构内的所有层次上被清晰地沟通、理解并被接受。沟通过程应由一套使用灵活多变沟通手段的有效计划所支持。 6.4 政策执行资源 为了政策的执行，为了确保政策的遵循，管理层应对适当的资源做出计划，以使它们构筑到并成为运作的一个完整组成部分。管理层还应监控政策执行的及时性。 6.5 政策的维护 政策应被有规率地调整，以适应变化的条件。政策起码应按年或者根据运行或业务环境的重大变化而进行重新评估，评估它们的充分性和适当性，并做必要的修改。对于定期的评价以及标准、政策、方针和程序的审批，管理层应提供一个框架和过程。 6

47、6 遵从政策、程序和标准 管理层应确保合适的程序设置到位，以判定每个人是否理解了执行的政策和程序，以及这些程序和政策是否被遵循。伦理道德、安全和内部控制标准的遵从程序应由最高管理层来建立，并由实例来促进其贯彻执行。 6.7 质量义务 管理层应定义、形成文件并维护与企业价值观和政策相一致的质量价值观、政策和目标，这些质量价值观、政策和目标应被IT职能部门的所有层次所理解、执行和维持。 6.8 安全和内部控制框架政策 管理层应对开发并维护框架的政策付全部责任，这个框架设立机构的总体安全和内部控制的方法，以建立并改善IT资源的保护和IT系统的完整。政策应服从总体业务目标，目标是：

48、通过预防性措施、及时辨识不规范行为、限制损失和及时恢复，使风险最小化。这种措施应以成本/收益分析为基础，并应区分优先顺序。另外，管理层应确保这些高层次的安全和内部控制政策详细说明了目的和目标、管理结构、机构内的适用范围、在所有层次上执行的责任的定义和分配以及对违背安全和内部控制政策行为的处罚的定义。应详细说明框架定期再评估的标准，以对正在变化着的机构、环境和技术需求做出支持响应。 6.9 知识产权 管理层应规定并执行有关自行开发和签约开发软件的知识产权方面的书面政策。 6.10 特定问题政策 措施应设置到位，确保细节问题政策的建立，以便在从事特殊的活动、应用、系统或技术时，归档

49、管理决策。 6.11 IT 安全意识的沟通 应通过一个IT安全意识教程，将IT安全政策沟通给每一个IT用户，并保证对IT安全重要性的完整理解。 这个教程应传达这样一种信息，那就是IT安全将使它的机构、它的所有雇员受益，每个人对此都负有责任。IT安全意识教程应代表管理层的观点并被他们所支持。 对高级和详细的控制目标进行审计： 获得了解： 访谈： 首席执行官（CEO） 首席运营官（COO） 首席财务官（CFO） 首席信息官（CIO） 安全官 IT高级管理层 IT计划/指导委员会成员 获得： 与管理层的积极控制框架、认知程序、安全和内部控制框架、IT

50、质量程序相关的政策和程序 高级管理层的指导角色和责任 机构的目标和长短期计划 IT的目标和长短期计划 状况报告和计划/指导委员会会议纪要 沟通程序 评估控制： 考虑是否： 机构的政策和程序创造了一个框架和程序，给予信息技术以特别的关注，培育一个积极的控制环境，并选择如下的方面： • 完整 • 伦理价值 • 行为规范 • 安全和内部控制 • 人员的能力 • 管理哲学和运作风格 • 由董事会的董事或相同人物提供的问责制、注意和方向 由例子说明顶级管理层促进积极的控制环境 管理层已经接受了明确叙述、开发、归档、发布、控制并有规律地评价治理总目标和方向的政策的