信息系统审计指南.pdf

COBIT信息技术审计指南 (34 个控制目标 ) 计划和组织（选择 3/6/11 ） 1 定义战略性的信息技术规划（ PO1）PO域 控制的 IT 过程： 定义战略性的 IT 规划 满足的业务需求： 既要谋求信息技术机遇和 IT 业务需求的最佳平衡，又要确保其进一步地完成 实现路线： 在定期从事的战略规划编制过程中， 要逐渐形成长期的计划， 长期的计划应定期 地转化成设置清晰并具体到短期目的的操作计划 需要考虑的事项： 企业的业务发展战略 IT 如何支持业务目标的明确定义 技术解决方案和当前基础设施的详细清单 追踪技术市场 适时的可行性研究和现实性检查 已有系统的评估 在风险、进入市场的时机、质量方面，企业所处的位置 需要高级管理层出钱、支持和必不可少的检查 信息规范 IT 资源 P 效果 * 人员 S 效率 * 应用 保密 * 技术 完整 * 设施 可用 * 数据 遵从 可靠 1.1 作为机构长期和短期计划一部分的 IT 高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。 在这一 方面，高级管理层应 确保 IT 有关事项以及机遇被适当地评估， 并将结果反映到机构的长期和短期计划 之中。 IT 的长期、短期 计划应被开发，确保 IT 的运用同机构的使命与业务发展战略相结合。 1.2 IT 长期计划 IT 管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现 的IT 长期计划负责。计划编制的方法应包括寻求来自受 IT 战略计划影响的相关内 外部利害关系人引入的机制。相应地，管理层应执行一个长期计划的编制过程， 采用一种结构化的方法，并建立一个标准的计划结构。 1.3 IT 长期计划编制——方法与结构 对于长期计划的编制过程来讲， IT 管理层和业务过程的所有者应建立并采用一种 结构化的方法。这样可以制定出高质量的计划，含盖什么、谁、怎样、什么时间 和为什么等基本的问题。 IT 计划的编制过程应考虑风险评估的结果，包括业务、 环境、技术和人力资源的风险。 计划编制期间， 需要考虑和充分投入的方面包括： 机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三 方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、 数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。 IT 长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计 划，比如机构的质量计划和信息风险管理计划。 1.4 IT 长期计划的变更 IT 管理层和业务过程所有者应确保及时、准确地修改 IT 长期计划的过程的到位， 以适应机构长期计划的变化和 IT 环境的变化。管理层应建立一个 IT 长期和短期计 划开发和维护所需要的政策。 1.5 IT 功能的短期计划编制 IT 管理层和业务过程的所有者应确保 IT 长期计划有规律地转换成 IT 短期计划。这 样的短期计划应确保适当的 IT 功能资源以与 IT 长期计划内容相一致的基础上来 分配。短期计划应定期地进行再评估， 并被作为适应正在变化的业务和 IT 环境所 必须的事项而改进。 可行性研究的及时执行应确保短期计划的实行是被充分地启 动的。 1.6 IT 计划的交流 管理层应确保 IT 长期和短期计划同业务过程所有者以及跨越机构的其他相关部 门人员的充分沟通。 1.7 IT 计划的监控和评估 管理层应建立一个流程， 获取和报告来自业务过程所有者和用户有关长期和短期 计划的质量及有效性的反馈。 获取的反馈应予以评估， 并在将来的 IT 计划编制中 加以考虑。 1.8 现有系统的评估 在开发或变更战略规划或长期计划、