国际信息安全审计规范简介.docVIP

国际信息安全审计规范简介 COBIT的全名是Control Objectives for Information and related Technology，是一个由美国负责信息技术安全 与控制参考架构的组织ISACA（Information Systems Audit and Control Association）在1996年所公布的业界标准，目前已经更新至第三版，是国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。COBIT归纳了世界上18项相关的来源，形成了一套专供企业经营者、使用者、IT专家、MIS审计员与安控人员来强化和评估IT管理和控制的规范。 COBIT架构的主要目的是为提供业界提供关于IT控制的一个清楚的政策和发展的良好的典范，这个架构共有34个IT的程序，分成四个领域：PO（Planning Organization）、AI（Acquisition Implementation）、DS（Delivery and Support）、和Monitoring，所有的程序中包含了302个控制目标，全都提供了最佳的施行指导。 以下是分类介绍： 1. 管理指导方针（Management Guidelines）：包括了成熟度模型（Maturity Models）来帮助决定每一个控制阶段和期待的水准是否符合产业的规范；关键成功因素法（Critical Success Factors）用来辨认IT程序中达成控制最重要的活动；关键目标指标法（Key Goal Indicators）来定义绩效的目标水准；而关键性能指标法（Key Performance Indicators）则用来测量IT控制的程序是否能达到目标。这些指导方针都是为了要确保企业能成功及有效地整合企业业务流程与信息系统。 2. 管理者摘要（Executive Summary）：健全的企业决策在于实时、恰当和简要的信息，这里提供了让分秒必争的资深管理阶层了解COBIT关键概念和原则的综述及让他们更深入了解COBIT细节的四个领域及34个相关IT程序的概要架构。 3. 架构（Framework）：一个成功的组织是建构在一个数据和知识的坚固架构上，所以在这个部分详细描述了COBIT的34个IT高层次的控制目标，并且指出了企业对信息标准的要求（效果、效率、隐私性、真确性、可用性、承诺、可靠性）和IT资源（人力、应用、技术、能力和数据）上的需求是如何紧密的融入各个控制目标中。 4. 审计指导方针（Audit Guidelines）：为了要达成所期待的目标，必须要持续和确实地审计所有的程序。这里建议了关于34个IT高层次的控制目标的审计步骤，来协助信息系统的审计员来检验IT的程序是否符合302的个别的控制目标，以提供管理上的保证和改进的建议服务。 5. 控制目标（Control Objectives）：在科技不断变化的环境中能维持赢利的关键在于如何维持良好的控制。COBIT的控制目标为IT控制提供了一个用来明晰策略和良好的实施指导的关键方针，包括了用来达成所期待目的或结果的302个别控制目标的详细说明。 6. 应用工具集（Implementation Tool Set）：包括了管理意识（Management Awareness）、 IT控制的诊断（IT Control Diagnostics）、应用指导（Implementation Guide）、常见问题集（FAQs）、应用COBIT组织的个案研究（Case Studies）及介绍COBIT的相关教材（Slide resentations）。这些新的工具组主要是设计让COBIT的应用更为容易、让组织能快速地且成功地从教材中学到如何在工作环境应用COBIT、并且让领导层思考COBIT对企业目标的重要性。 以上是COBIT初步的概念，下面再进一步介绍其四大领域和34IT的程序： 一、PO（Planning Organization） 1. 定义一个策略性的IT计划 2. 定义信息的架构 3. 决定采用技术的方向 4. 定义IT组织及其关系 5. 管理对IT的投资 6. 管理目标和方向的沟通 7. 管理人力资源 8. 确保遵循外部的条件 9. 资产风险 10. 项目管理 11. 品质管理 二、AI（Acquisition Implementation） 1. 辨识解决方案 2. 应用软件的取得与维护 3. 技术架构的取得与维护 4. IT程序的发展与维护 5. 系统的安装与确认 6. 变革管理 三、DS（Delivery and Support） 1. 定义服务的层次 2. 第三者提供服务的管理 3. 效果和能力的管理 4. 持续服务的确保 5. 系统安全的确保