国际国内信息系统审计相关法规.pptVIP

国际标准---COBIT COBIT是一个家族，它不但包含了框架、过程控制目标、管理指南和实施COBIT的工具包，还包含了进行IT审计的审计标准。COBIT在结构上是比较完整的、全面的，兼顾了审计人员、管理人员和IT人员的需求。 COBIT的34个信息技术过程： 1规划与组织 3交付与支持 定义IT战略规划 定义信息体系结构 确定技术方向 定义IT组织与关系 管理IT投资 传达管理目标和方向 人力资源管理 确保与外部需求的一致性 风险评估 项目管理 质量管理 定义并管理服务水平 管理第三方的服务 管理性能与容量 确保服务的连续性 确保系统安全 确定并分配成本 教育并培训客户 配置管理 处理问题和突发事件 数据管理 设施管理 运营管理 2采集与实施 4监控 确定自动化的解决方案 获取并维护应用程序软件 获取并维护技术基础设施 程序开发与维护 系统安装与鉴定 变革管理 过程监控 评价内部控制的适当性 获取独立保证 提供独立的审计 COBIT体系框架 COBIT模型是企业战略目标和信息技术战略目标的桥梁，使得信息技术目标和企业战略目标之间实现互动。 该框架的意义在于：COBIT实现了企业目标与IT治理目标之间的桥梁作用。 管理指南定义了IT过程的成熟度模型，为管理者评估IT过程的状态提供了标准。同时也给出了一些重要的测度，这包括：关键成功因素，关键目标指标，关键绩效指标 国际标准---BS7799/ISO27001 BS7799是英国标准协会（British Standards Institute，BSI）于1995年2月制定的信息安全管理标准，分两个部分：BS 7799-1和BS 7799-2。 BS7799-1即“信息安全管理实施细则”，该标准提出了在企业内部启动、实施、保持和改进信息安全管理的指南和一般原则； BS7799－2是“信息安全管理体系规范”，规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。 国际标准---BS7799/ISO27001 ISO17799标准（即BS7799第一部分），是信息安全管理实施细则（Code of Practice for Information Security Management），其中包含11个要素，39个控制目标和133种控制措施。ISO17799中的11个要素分别是： ◆ 安全策略（Security policy）； ◆ 信息安全组织（Organization of information security）； ◆ 资产管理（Asset management）； ◆ 人力资源安全 （Human resource security）； ◆ 物理和环境安全（Physical and environmental security）； ◆ 通信和操作管理（Communication and operation management）； ◆ 访问控制（Access control）； ◆ 信息系统获取、开发和维护（Information systems acquisition, development and maintenance）； ◆ 信息安全事件管理（Information security incident management）； ◆ 业务连续性管理（Business continuity management）； ◆ 符合性（Compliance）。 ISO17799标准不是一个技术性的信息安全操作手册，而一个通用的信息安全管理指南。 ISO17799标准从政策、技术、管理和人员四方面对组织治理信息安全提供了科学指导和相关的实施细则，以此为参照，可以建立起有效的安全管理体系。 国际标准---ITIL/ISO20000 20世纪80年代中期，政府计算机和电信管理局（CCTA）（后来并入英国政府商务部（OGC））受英国政府的委托，研究如何管理和提高IT服务质量。CCTA组织开发出一套有效的IT管理实践方法用于提高“IT服务质量”，并出版了“IT管理最佳实践经验库”，即ITIL（Information Technology Infrastructure Library）。 2001年，英国标准协会（BSI）正式发布了以ITIL为基础的IT服务管理英国国家标准BS15000。BS15000是世界上第一个针对IT服务管理的国家标准。 2005年12月15日，BSI的IT服务管理标准BS15000正式发布成为ISO国际标准：ISO20000。IT服务管理领域第一个国际标准诞生了。ISO20