IT治理及其辅助手段研究报告.pptx

IT治理及其辅助手段研究情况汇报 孙强 赛迪培训中心 赛迪顾问股份有限公司 汇报内容 IT治理的四个辅助手段 IT治理的现实性和必要性 建议 汇报内容 IT治理的四个辅助手段 IT治理的现实性和必要性 建议 当前信息化建设热点问题 IT与业务的融合 信息系统工程监理的发展 信息中心的转制与走向 IT治理、公司治理及企业管理的关系 信息主管CIO的治理结构 IS审计对IT投资有效的监督和控制作用 规范、标准化的IT服务管理流程的重要性 IT治理 是IT、经济学及管理学业界中一个新的概念，用于描述企业或政府是否采用有效的机制，使得IT的应用能够完成组织赋予它的使命，同时平衡信息技术与过程的风险、确保实现组织的战略目标。 IT治理的使命 保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。 IT治理的辅助手段 IT项目管理 IS（信息系统）审计、咨询、监理 信息安全管理 IT服务管理 IT项目管理 IT项目具有投资大、周期长、高风险、科技含量高、所涉及领域宽的特点，项目管理水平是关系IT项目成功的关键成功因素之一。 IT项目管理认证和培训可全面提升IT项目建设管理人员规划、组织与管理方面的能力。 IS审计 IS审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程，以完成组织的战略目标，同时最经济的使用资源。 这一定义既包括信息系统的外部审计的鉴证目标——即对被审计单位的信息系统保护资产安全及数据完整的鉴证，又包含内部审计的管理目标——即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。 IS 审计对象 审计对象 变革管理 数据中心运维 信息安全 网络管理 基础设施 数据库管理 硬件管理 绩效与容量 问题管理 灾难回复与业务持续 软件管理 通信 技术支持服务 系统开发 IS审计的过程 1.理解客户业务、系统、环境等 2.识别并评估风险 3.检查是否存在足够的控制来补偿这些风险 4.对控制进行测试和评价 5.提出审计结论和报告 IT治理与IS审计的关系 独立的IS审计是公司治理与IT治理制度的重要环节之一。目的是确定、解除被审计单位的受托责任和加强对被审计单位的管理与控制。所以IS审计是实现IT治理的手段之一。 IS审计的作用 鉴证作用。是指通过审计，合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性。 促进作用。体现在两个方面：（1）是指信息系统审计可以促进被审计单位更有效地融入到社会经济生活中，审计报告可以增强大家对其信息的信任程度；（2）是指审计可以促进被审计单位改进内部控制，加强管理，提高信息系统实现组织目标的效率、效果。 IS审计的业务范围 立足于组织的战略目标，为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。业务范围包括：对信息系统的战略规划与组织的审计；技术基础平台建设的审计；应用系统建设审计；信息系统管理和运营审计；风险管理与应用控制审计；信息系统是否符合国家或国际标准的审计以及网誉审计、电子签名审计等。 IS审计的目的 合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源，其关注的核心是资产保护与信息系统的效率、效果。 重点是对信息系统的运营审计，向公众出具审计报告，鉴证信息系统能否保护企业资产安全，其产生、传递的信息是否完整，整个系统是否有效地实现组织目标并有效率的利用组织资源。 IS审计的服务对象 是所有的信息使用者。 包括被审计单位的股东、合作伙伴、政府机构和一般社会公众。 IS审计的方法 信息系统审计审计的方法主要是搜集证据的方法。 包括检查、观察、分析性复合、查询及函证等方法，并利用统计技术、计算机技术完成证据的搜集与评价。 IS审计与监理的关系 作用不同（监理：控制和协调） 范围不同（监理：实施阶段） 目的不同（监理：进度、质量、投资） 方法不同（监理：项目管理） 对象不同（监理：业主和承建单位） 信息安全管理 三分技术 七分管理 信息安全管理保护信息不受广泛威胁地损害，确保业务的持续性，将商业损失降至最小，使投资收益最大并创造新的战略机遇。 ISO17799 ISO17799（根据BS7799第一部分