CISA重要知识第二章-IT治理重要知识点

第二章IT治理★必须的知识点1.IT战略、政策、标准和程序对于组织的意义，及其基本要素2.IT治理框架(体系)3.制定、实施和维护IT战略、政策、标准和程序的流程。如:信息资产的保护、业务持续和灾难恢复、系统和基础建设生命周期、IT服务交付与支持4.质量管理战略和政策5.与IT使用私}管理相关的组织结构、角色私!职责。6.公认的国际IT标准和准则(指导)。7.制订一长期战略方向的企业所需的IT体系及其内容8.风险管理方法和工具9.控制框架(模型)的使用，如:CobiT,COSO,ISO17799等控制模型。10.成熟度和流程改进模型(如:C1V1M,CobiT)的使用。11.签约战略、程序和合同管理实务。12.IT绩效的监督和报告实务13.有关的法律、规章等问题(如:保密法/隐私法、知识产权、公司治理的要求)14.IT人力资源管理15.资源投资和配置实务(如:投资的资产管理回报)★可能的考试重点公司治理与IT治理（概念）IT治理中董事会和执行经理层的作用（责任、关键成功因素）IT治理昀佳实务（结构与关系）IT治理中审计的的作用（确保IT的运用符合组织目标）IT战略：IT战略委员会（职责、作用、组成）、IT平衡记分卡信息安全治理企业架构（结构化方式反映组织的IT资产）业务流程驱动的企业架构FEA参考模型风险管理（原第七章内容，重点）采购实务IS模块交付（内包、外包、混合采购）采购战略外包实务和战略（优缺点、风险）服务水平协议（SLA）全球化战略和实务第三方审计报告能力与发展服务改进和用户满意度行业标准/基准信息系统组织结构供货商和外包商管理体系运营和维护（原运维）应用开发和维护/系统开发和维护职责分离（重点）组织结构中不同人员的职责★需要了解和熟悉IT治理审计查询理解★★★★★★★信息系统安全管理的成果信息系统安全管理的不同层次★知识点摘要公司治理倡导的公司道德文化。世界经合组织将公司治理定义:“公司内不同群体之间责权利的分配关系，如董事会、管理层、股东和其他利害相关者，这些分配关系清楚地勾勒出公司决策的规则和程序。由此，制定公司目标和确定达成目标和监控绩效的方式。”公司治理框架中的一个很重要内容是建立管理和报告业务风险的规则。该规则要求公司在改进和革新业务活动时有监控风险的内部控制体系。同时，公司治理框架又是保护股东利益的董事会和执行经理层监控和保证实务IT治理一般关注两方面问题:IT增加商业价值和IT风险得到控制。前者通过使IT战略与业务战略保持一致来达到，后者通过组织内的职责分工来达到。IT治理是董事会或昀高管理层的责任，是企业治理的重要组成部分。IT治理的关键因素就是要使IT与业务融合，以实现组织的业务价值。关键的IT治理因素包括:IT战略委员会不仅要包括协助董事会承担IT治理责任方面提供战略建议，而且要把目光聚集在IT价值、风险及绩效上面。这是把IT治理机制集成到公司治理层面中去的一种机制。作为隶属于董事会的IT战略委员会，其主要职责就是要协助董事会监管组织的IT相关事务，保证董事会在掌握充分的内部、外部信息的基础上，作出有效的IT治理决策。执行机构：指导委员会(Steeringcommittees)风险管理标准IT平衡记分卡过程管理评价技术。该方法超越了传统的财务评价方法，在顾客满意度、内部流程和创新能力等方。。三个层面：使命、战略、措施IT平衡记分卡是协助IT战略委员会和昀高管理层，保持IT与组织业务高度一致的昀有效的办法之一。IT平衡记分卡的主要目的就是要为管理层建立一套工具，以便于:管理层向董事会汇报IT运营状况;在重要的利益相关者之间对IT战略目标达到一致;证明IT的价值及有效性;在组织中沟通IT的绩效、风险、能力。IT治理是各种关系和流程的架构，用来指导和控制组织达成增值目标，同时还要保证IT及其流程的风险与收益的平衡。IT治理的目的是指导IT工作，确保IT绩效满足IT目标符合企业目标和预期利润的实现。另外，IT应该帮助企业开拓商机，实现利益昀大化。IT资源应得到充分的利用，IT相关风险也应该得到适当控制。审计在I丁治理中的作用在组织内成功实施IT治理的过程中，审计扮演的是一个至关重要的角色。审计人员向高级主管提供建议和领导实务，以帮助他们提高IT治理的质量和效果。作为监控符合性的一个角色，审计帮助确认组织内实施的IT治理符合其初衷。IT治理的报告包括了对组织高级管理人员、跨事业、跨职能和跨部门的审计。IS审计师在制订审计计划应当考虑到组织的实际状况和员工素质。IS审计师依其角色的定义，应该评定IT治理相关的如下内容:.IS功能符合组织的使命、理念、价值、目标和战略.IS功能满足业务(效率和效果)的绩效目标.法规、环境、信息质量、信托和安全的要求.组织的控制环境.IS环境的固有风险信息安全治理利用IT信息安全应当是IT治理中的一个重要的有机组成部分，在这一点上的疏忽将削弱组织机遇来完善业务流程的能力。包括：信息的完整性、服务的持续和信息资产的保护IT治理中越来越关注的领域就是企业架构，所谓企业架构就是通过一种结构化的方式来反映组织的IT资产，并有效管理对IT投资。企业架构系统而又完整地定义了组织的当前(基准)环境和期望(目标)环境的蓝图。对于信息系统的更新以及开发新系统而言，建立EA是必不可少技术驱动的企业架构是为了澄清现代组织面临的复杂技术选择问题，为组织在做以下决策时业务流程驱动的企业架构是为了更好地理解组织业务的核心流程及支持流程，了解这两类流程的组成部分及相关支持技术，对现有流程中的不合理部分进行重新设计或改造，从而达到优化流程、降低成本、提高绩效的目的。企业架构和FEA文件主要用来维护和描述技术的符合性，(持续)表述和评估IS部门正在管理的技术。IT治理中涉及IS部门管理的方面包括更新战略技术所使用的选择流程和方法。信息安全治理的成果2008新P14战略结盟strategicalignment信息系统安全策略和业务战略一致，支持组织的目标好的IT治理可以延伸组织的战略和目标风险管理riskmanagement管理和执行适当的措施降低风险，使其对信息资源的影响降到到一个可接受的水平价值传递valuedelivery优化安全投资，支持组织目标资源管理resourcemanagement有效和高效管理信息安全知识和设施NOTE:Informationsecuritygovernance,whenproperlyimplemented,shouldprovidefourbasicoutcomes:strategicalignment,valuedelivery,riskmanagementandperformancemeasurement.Strategicalignmentprovidesinputforsecurityrequirementsdrivenbyenterpriserequirements.Valuedeliveryprovidesastandardsetofsecuritypractices,i.e.,baselinesecurityfollowingbestpracticesorinstitutionalizedandcommoditizedsolutions.Riskmanagementprovidesanunderstandingofriskexposure.563.下列哪项ＩＴ管理昀佳实践改进了战略方针a.供应商和合作者风险管理b.有基于客户，产品，市场和流程的知识库c.有能够提供创建和分享业务信息的组织结构d.领导层在业务需求和技术部门之间的协调答案：ｄ注释：领导层在业务需求和技术部门之间的协调是改进ＩＴ战略方针的昀佳实践。供应商和合作者风险管理是风险管理的昀佳实践。提供基于客户，产品，市场和流程的知识库是ＩＴ价值交付的昀佳实践。信息系统战略战略规划从信息系统角度看，战略规划是组织为了利用信息技术来完善其业务流程而确定的发展方向及长期的计划。应当确保这些计划与组织的总体目标保持一致。指导委员会高级管理层应当组建一个计划或指导委员会，监督其信息系统的职能和业务活动。处于组织高层的信息技术指导委员会是确保信息系统部门与公司宗旨和目标协调的一种机制。委员会应当包括来自高级管理层、用户部门和信息系统部门的人员。每个成员应当在其负责的领域内有权做出决定。主要职责是对信息系统项目进行审查，一般不涉及日常运营。政策和程序为了使政策能够被有效地执行，制定的政策必须清晰和准确。与组织的总体性目标和方向有关的政策的制订、开发、记录、推广和控制的责任应当由管理层承担，通过制定政策来为组织创造一种积极的控制环境。根据公司总体政策采用自顶向下的方法来开发部门政策是较好的选择，因为它确保了各级政策的一致性。不过，有些组织选择先制定较低层次的政策，这样做的目的是为了节约成本，因为通常这些政策都是基于风险评估的结果而建立和实施的。公司的高层政策是对已有的运营政策的综合，这种方法叫做自底向上的方法。这种方法可能更实用，但是容易造成政策的不一致和相互矛盾。管理层应当定期审查所有政策。政策也需要不断更新，反映新的技术和经营过程的重大变化，利用信息技术提高生产效率和获取竞争效益。信息系统审计师要理解政策并对政策进行符合性审查是审计工作中的重要环节信息安全政策构建技术烈组织的安全架构的第一步。政策常常根据组织需要的工具和步骤的不同阶段来设定。安全政策必须要在控制水平和生产效率之间保持平衡。换言之，控制成本不能超过控制所带来的受益。组织文化在设计和实施安全政策方面起到了重要的作用。安全政策必须经过高级管理层批准，并以书面的形式与所有员工和相关的服务提供商沟通。程序程序是详细的文件，根据组织的政策而制定并体现其精髓。程序必须清晰和准确，使接受者易于准确地理解。程序记载了业务流程及其内在控制，程序一般由中层管理人员制定，是政策框架下的具体化措施。一般来说，程序比相关政策更加易于变化，它们必须反映业务重点和环境的不断变化。因此，经常审查和更新程序对于保持其相关性、可用性是很重要的。审计师审查程序是为了识别、评价并进一步测试业务流程中的控制，评估在程序中所建立的控制是否达到了必要的控制目标，并使业务流程高效和务实。当运营实务与书面程序不一致、或书面程序根本不存在时，管理层和审计师很难识别控制和确保其在持续起作用。受程序控制的人员了解程序是昀重要的。保存、分发和管理IT程序的配置方法和自动化机制是关注重点。风险管理风险管理是确定组织在实现其业务目标的过程中所使用的信息资源的脆弱性和面临的相关威胁的过程，如果存在风险，就需要确定针对风险采取控制措施，在基于组织信息资源价值的前提下（成本效益考虑），将风险降低到组织可接受的水平。风险管理包括识别、分析、评估、处理、监控和沟通1T过程的风险影响。有了明确的风险喜好和风险承受能力，就可以设计风险管理战略和进行责任分工。根据风险类型和对业务的影响程度，管理层和董事会可以选择:.避免风险，如选择不从事风险巨大的业务或活动.降低风险，如制订并实施保护IT体系的控制.转移风险，如，与合作伙伴分担风险或将风险转移给保险公司.接受风险，如，正视风险的存在并控制其发生.消除风险，如尽其可能转移风险源风险能够被转移、降低、接受或避免。如果控制的成本超过了安全收益(这也称为控制过度)，组织就可以选择接受风险而不是榨加成本来保护系统。建立风险管理程序riskmanagementprogram2008新第一步、确定风险管理程序的目标，确定成本和效益，CEO或董事会制定基调第二步、给不同的人或团队分配建立、实施风险管理程序的职责建立风险管理程序必须考虑整个IT环境风险管理过程.风险管理的第一步要对那些具有脆弱性，易受威胁，需要保护的信息资源或资产进行识别与分类。分类的目的是为进一步的调查进行优先级排序，以确定适当的保护级别(基于资产的价值的简单分类);二是为了确保安全保护标准模型得以实施(根据危险程度和敏感程度分类)。.风险管理的第二步是评价与信息资源相关的威胁和脆弱性，及其发生的可能性。脆弱性