提供原则和检验的承诺.doc

CNS － PAGE 72－ CNS － PAGE 73－ 中國國家標準 CNS 總號 類號 控制目標 ICS:35.040.00 － PAGE 1－ 經濟部標準檢驗局印行 公布日期 修訂日期 年 月 日 年 月 日 印行年月 年 月 本標準非經本局同意不得翻印 A4 ( 210×297 ) COBIT Governance, Control and Audit for Information and Related Technology 目錄 總覽 2 資訊及相關技術的管理、控制與稽核(COBIT)架構 5 架構原則 11 COBIT之歷史背景 16 PO組織與規劃 18 AI建置與取得 54 DS交付與支援 76 M監控 119 附錄I：資訊科技管理指導原則 133 附錄II：資訊及相關技術之的管理與、控制與稽核（COBIT）計畫解說 137 英中名詞對照表 139 總覽（Executive Overview） 企業營運和成功首推有效的管理資訊及相關資訊技術。在現今國際化的市場，資訊藉由網路的傳佈而無時間、空間、速度的限制，其重要性來自： 越來越依賴資訊系統及其提供之資訊。 各種弱點及外在的威脅日益增加，如網路威脅和資訊設備安全。 現今及未來的資訊設備規模和設備投資成本日益擴大。 科技的快速成長影響了企業營運的方式，創造機會和降低成本。 對許多企業而言，資訊和技術為組織最重要的資產。另外，在今日極度競爭和快速變遷的市場，管理階層對資訊傳送的功能要求已增加：管理要求更好的品質、功能和容易操作，更少的傳輸時間，更佳的服務品質－而所有的需求可以更低的成本達成。 有許多企業認可技術能產生的潛在利益，然而，成功的企業能了解並管理新科技伴隨而來的風險。 資訊技術和其操作環境的多項變更突顯了對資訊相關技術風險管理的需求。重要的業務程序維持依賴於電子資訊和資訊技術系統，另外，法規也對資訊控管的標準愈來愈嚴格。這些，因層出不窮的資訊系統災害和電子詐欺而顯得更加重要。現今資訊相關技術風險管理已被視為企業管理的一項重點。 在企業管理，資訊技術管理愈來愈突顯，且被定義為一種關係和程序的結構，用以指導和控制企業達成企業目標，平衡資訊技術和其程序的風險與效益。資訊技術管理為成功企業管理的一部分，因其能加強相關企業程序的效能及效率。資訊技術管理提供了一個連結資訊技術程序、資訊技術資源及企業策略和目標的架構。再者，資訊技術管理整合及涵蓋了良好（或最佳）的規劃及組織、取得及建置、交付及支援、監控等制度，以確保企業資訊和相關技術能維持企業目標。資訊技術管理因此讓企業能充分利用其資訊，以獲得最大利益、利用機會及獲得競爭優勢。 資訊管理 一種關係和程序的結構，用以指導和控制企業達成企業目標，平衡資訊技術和其程序的風險與效益。 企業應符合對資訊品質、信賴度和安全的需求。管理階層應善用可用資源，包括資料、應用系統、技術、設備和人員。管理階層應了解其組織之資訊系統，決定該提供的安全及控管。 資訊及相關技術之管理與控制（COBIT）第三版，將資訊技術控管與營運目標緊密聯結，提供了一個涵蓋階段及作業程序的實際架構，及對細部工作的可行性和邏輯性的結構。COBIT所謂之「最佳運作模式」指專業表現－他們可讓資訊投資最佳化及提供何處可能出錯之判斷標準。 管理階層應建立符合營運目標的內部控制機制或架構，以確保單一之控管細部工作能包含資訊需求及資訊技術資源。資訊技術資源會在資訊技術控管架構（COBIT Framework）中就營運活動的有效性、效率、機密性、完整性、可用性、遵循、可靠性等品質衡量標準與以討論。控管，包括政策、組織架構、作業及程序，為管理階層的責任。管理階層應確保系統之管理人員、使用者、設計者、研發者、技術維護者、操作者均能符合足夠的成效。資訊技術控管目的定義為：於特定資訊技術活動中建立控管程序，以達成預期結果或目的。 企業導向為COBIT的主題. COBIT不僅只設計為使用者及稽核所用，亦為一份供管理階層及業務程序主管使用的詳盡準則。漸漸地，企業營運牽涉到全面授權給業務程序主管，使其負責所有方面的企業程序，包括提供適當的控管程序。 資訊技術控管架構（COBIT Framework）如同是提供給業務程序主管如何盡其職責的工具，此架構的前提是： 為確保提供資訊達到企業營運的目標，資訊技術資源應藉由一組作業程序控管。 資訊技術控管架構分為四階段：規劃與組織、取得與建置、交付予支援、監控，依其作業程序可再細分為三十四項高層控管目標。此架構涵蓋了所有的必須資訊和技術。藉由此三十四項高層控管目標，業務程序主管可確保慘用適當的資訊技術環境控管機制。 資訊技術控管架構中亦提供了資訊技術管理原則。資訊技術控管架構可由三方面予以分析：資訊技術作業、資訊技術資源及