COBIT信息技术审计指南

1、COBITT信息技术术审计指南南(34个个控制目标标)计划和组织织（选择33/6/111）1 定义战战略性的信信息技术规规划（POO1）PO域控制的ITT过程：定义战略性性的IT规划满足的业务务需求：既要谋求信信息技术机机遇和ITT业务需求求的最佳平平衡，又要要确保其进进一步地完完成实现路线：在定期从事事的战略规规划编制过过程中，要要逐渐形成成长期的计计划，长期期的计划应应定期地转转化成设置置清晰并具具体到短期期目的的操操作计划需要考虑的的事项：企业的业务务发展战略略IT如何支支持业务目目标的明确确定义技术解决方方案和当前前基础设施施的详细清清单追踪技术市市场适时的可行行性研究和和现实性检检查

2、已有系统的的评估在风险、进进入市场的的时机、质质量方面，企企业所处的的位置需要高级管管理层出钱钱、支持和和必不可少少的检查信息规范 IT资源源P 效果 * 人员员S 效率 * 应用用保密 * 技术完整 * 设施可用 * 数据遵从可靠1.1 作作为机构长长期和短期期计划一部部分的ITT高级管理层层对开发和和实施履行行机构任务务和目标的的长期和短短期的计划划负责。在在这一方面面，高级管管理层应确保IT有有关事项以以及机遇被被适当地评评估，并将将结果反映映到机构的的长期和短短期计划之之中。ITT的长期、短期计划应被开开发，确保保IT的运用用同机构的的使命与业业务发展战战略相结合合。1.2 IIT 长

3、期期计划IT管理层层和业务过过程的所有有者要对有有规律地开开发支持机机构总体使使命和目的的实现的IIT长期计计划负责。计划编制制的方法应应包括寻求求来自受IIT战略计计划影响的的相关内外外部利害关关系人引入入的机制。相应地，管管理层应执执行一个长长期计划的的编制过程程，采用一一种结构化化的方法，并并建立一个个标准的计计划结构。1.3 IIT 长期期计划编制制方法与与结构对于长期计计划的编制制过程来讲讲，IT管理层层和业务过过程的所有有者应建立立并采用一一种结构化化的方法。这样可以以制定出高高质量的计计划，含盖盖什么、谁谁、怎样、什么时间间和为什么么等基本的的问题。IIT计划的的编制过程程应考虑

4、风风险评估的的结果，包包括业务、环境、技技术和人力力资源的风风险。计划划编制期间间，需要考考虑和充分分投入的方方面包括：机构的模模式及其变变化、地理理的分布、技术的发发展、成本本、法律法法规的要求求、第三方方或市场的的要求、规规划远景、业务过程程再造、员员工的安置置、自行开开发或者外外包、数据据、应用系系统和技术术体系结构构。已做出出选择的好好处应被明明确地确定定下来。IIT长期和和短期计划划应使绩效效指标和目目标合并在在一起。计计划本身还还应参考其其它的计划划，比如机机构的质量量计划和信信息风险管管理计划。1.4 IIT 长期期计划的变变更IT管理层层和业务过过程所有者者应确保及及时、准确确

5、地修改IIT长期计计划的过程程的到位，以以适应机构构长期计划划的变化和和IT环境的的变化。管管理层应建建立一个IIT长期和和短期计划划开发和维维护所需要要的政策。1.5 IIT 功能能的短期计计划编制IT管理层层和业务过过程的所有有者应确保保IT长期计计划有规律律地转换成成IT短期计计划。这样样的短期计计划应确保保适当的IIT功能资资源以与IIT长期计计划内容相相一致的基基础上来分分配。短期期计划应定定期地进行行再评估，并并被作为适适应正在变变化的业务务和IT环境所所必须的事事项而改进进。可行性性研究的及及时执行应应确保短期期计划的实实行是被充充分地启动动的。1.6 IIT 计划的的交流管理层

6、应确确保IT长期和和短期计划划同业务过过程所有者者以及跨越越机构的其其他相关部部门人员的的充分沟通通。1.7 IIT 计划划的监控和和评估管理层应建建立一个流流程，获取取和报告来来自业务过过程所有者者和用户有有关长期和和短期计划划的质量及及有效性的的反馈。获获取的反馈馈应予以评评估，并在在将来的IIT计划编编制中加以以考虑。1.8 现现有系统的的评估在开发或变变更战略规规划或长期期计划、IIT计划之之前，ITT管理层应应按照业务务自动化的的程度、功功能性、稳稳定性、复复杂性、成成本、优势势和劣势，评评估现有信信息系统，以以确定现有有系统支持持机构业务务需求的程程度。对高级和详详细的控制制目标进

7、行行审计：获得了解：访谈：首席执行官官（CEOO）首席运营官官（COOO）首席财务官官（CFOO）首席信息官官（CIOO）IT计划/指导委员员会成员IT高级管管理层和人人力服务职职员获得：与计划编制制过程想关关联的政策策和程序高级管理层层的指导角角色和责任任机构的目标标和长短期期的计划IT的目标标和长短期期的计划状况的报告告和计划/指导委员员会的会议议纪要评估控制：考虑是否：IT或者业业务的企业业政策和程程序选择了了一种结构构化的计划划编制方法法方法到位，以以便明确地地表达并能能够修改计计划，起码码它们要包包括： 机构的的使命和目目的 支持机机构使命和和目的的IIT初始 IT初初始的机遇遇 I

8、T初初始的可行行性的研究究 IT初初始的风险险评估 当前和和未来ITT的最佳投投资 反映企企业使命和和目的变化化的IT初始的的再造 数据应应用、技术术和机构可可选择战略略的评估机构的变化化、技术的的发展、规规章的要求求、业务过过程的再造造、员工的的安置、自自己开发和和外包，等等等被考虑虑，并在计计划编制过过程中充分分地从事长短期的IIT计划存存在，是当当前的，充充分针对全全部企业、它的使命命和关键的的业务职能能部门IT项目由由IT计划编编制方法中中确定的适适当文档所所支持确保IT目目标和长短短期计划持持续地满足足机构目标标和长短期期计划的检检查点存在在由过程所有有者和高级级管理层评评价和结束束

9、的IT计划发发生根据业务自自动化程度度、功能性性、稳定性性、复杂性性、成本、优势和弱弱点，ITT计划评估估现有的信信息系统对信息系统统及其支持持的基础设设施的长期期计划编制制的缺乏，导导致系统不不能支持企企业的目标标和业务的的过程，或或者不能提提供适当的的完整、安安全和控制制评定遵从性性：测试：来自反映计计划编制过过程的ITT计划编制制/指导委员员会的会议议纪要计划编制方方法的可交交付使用物物的存在，作作为预先的的规定相关IT的的初始被包包括在ITT长短期的的计划当中中（也就是是硬件的变变化、容量量计划编制制、信息体体系结构、新系统开开发或获取取、灾难恢恢复计划编编制、新处处理平台的的安装，等

10、等等）IT初始支支持长短期期计划，并并要考虑调调查、培训训、人员安安置、设施施、硬件和和软件的需需求IT初始的的技术含义义已经被确确定最优化当前前和将来IIT投资的的考虑已经经给出IT长短期期计划与机机构的长短短期计划和和组织的需需求保持一一致计划已经发发生改变，以以反映正在在变化的条条件IT长期计计划定期转转化成短期期计划存在实现计计划的任务务证实没有满满足业务目目标的风险险：执行：依照类似的的机构或者者适当的国国际标准/公认的行行业最好实实践的战略略IT计划的的基准确保IT初初始反映机机构的使命命和目的的的IT计划的的详细评价价决定是否机机构之内已已经知道的的虚弱区域域正在被确确认为计划划

11、当中ITT解决方案案的一部分分而加以改改进的ITT计划的详详细评价确定：满足机构使使命和目的的的IT失败与长期计划划相匹配的的短期计划划的IT失败满足短期计计划的ITT项目的失失败满足成本和和时间准则则的IT失败错过的业务务机遇错过的ITT机遇2 定义信信息体系结结构（POO2）控制的ITT过程：定义信息体体系结构满足的业务务需求：优化信息系系统的机构构实现路线：创建并维护护一个业务务信息模型型，确保定定义适当的的系统，以以优化信息息的使用需要考虑的的事项：自动化的数数据存贮和和字典数据语法规规则数据所有权权和关键性性/安全性程程度分类表述业务的的信息模型型企业信息体体系结构标标准信息信息规范

12、 IT资源源P 效果 人员S 效率 * 应用用S 保密 技术S 完整 设施可用 * 数据遵从可靠2.1 信信息体系结结构模型信息应与需需求保持一一致，并应应以某种格格式和期限限进行识别别、获取和和交流，而而这些格式式和期限能能使人们及及时、有效效地履行他他们的职责责。相应地地，围绕企企业的数据据模型和相相关的信息息系统，IIT的职能能应是建立立并有规律律地更新信信息体系结结构模型。信息体系系结构模型型应与ITT长期计划划保持一致致。2.2 企企业数据字字典和数据据语法规则则IT的职能能应确保包包含机构数数据语法规规则的企业业数据字典典的建立以以及持续的的更新。2.3 数数据分类方方案在按信息类

13、类别（如安安全类）进进行分类的的数据放置置以及所有有权分配方方面，应建建立一个总总体的分类类框架，应应适当定义义各类别的的访问规则则。2.4 安安全等级对于上述确确定的每一一个“不需要保保护”级别以上上的数据分分类，管理理层应定义义、执行和和维护这些些安全等级级。对于每每一个分类类来讲，这这些安全等等级应描述述适当的（最最小的）一一套安全和和控制尺度度，应定期期进行再评评估并做相相应的修改改。对于区区域范围广广阔的企业业，应建立立支持不同同安全等级级的标准，以以适应正在在发展的电电子商务、移动计算算和远程办办公环境的的需要。对高级和详详细的控制制目标进行行审计：获得了解：访谈：首席信息官官（C

14、IOO）IT计划/指导委员员会成员IT高级管管理层安全官获得：与信息体系系结构相关关的政策和和程序信息体系结结构模型支持信息体体系结构模模型的文档档，包括企企业数据模模型企业数据字字典数据所有者者政策高级管理层层指导的角角色和责任任IT的目标标和长短期期计划状况报告和和计划编制制/指导委员员会会议纪纪要评估控制：考虑是否：IT政策和和程序选择择了数据字字典的开发发和维护用于修改信信息体系结结构模型的的过程是以以长短期计计划为基础础的，考虑虑了相关成成本和风险险，并且该该模型变化化之前，要要确保高级级管理层同同意有一个过程程用来保持持数据字典典和数据语语法规则处处于最新状状态有一个媒介介用来分发

15、发数据字典典，确保开开发区域的的可达性并并立即反映映变化IT政策和和过程要选选择数据的的分类，包包括安全种种类和数据据所有者，数数据分类的的访问规则则要被清晰晰和适当地地定义要为那些不不包含数据据分类标识识符的数据据资产定义义缺省的分分类标准IT政策和和程序要选选择以下内内容： 需要数数据所有者者（在数据据所有者政政策上定义义）的授权权过程要到到位，以便便批准该数数据的所有有访问以及及数据的安安全属性 每一个个数据分类类的安全等等级要被定定义 访问等等级被定义义，并且对对于数据分分类来说是是适当的 访问敏敏感数据需需要清楚的的访问级别别，数据的的提供要以以“需要知道道”为基础评定遵从性性：测试

16、：信息体系结结构模型上上的变化，确确定这些变变化反映了了IT长短期期计划及其其所确定的的成本和风风险评估数据字字典的任何何修改以及及数据字典典上变化的的影响，确确保它们被被有效地沟沟通各种运作的的应用系统统和开发项项目，以确确定数据字字典被用作作数据定义义足够的数据据字典文档档，以确定定这些文档档为每一个个数据项定定义了数据据的属性和和安全等级级数据分类、安全等级级、访问等等级和缺省省的适当性性每一个数据据分类都要要清晰地定定义： 谁可以以访问 谁对决决定适当的的访问级别别负责 所需访访问的明确确批准 访问的的特定需求求（也就是是非披露或或者保密性性协议）证实没有满满足业务目目标的风险险：执行

17、：依照类似机机构或适者者国际标准准/公认的行行业最好实实践的信息息体系结构构模型的基基准针对关键元元素的完整整性，数据据字典的详详细评价对定义为敏敏感数据的的安全等级级的详细评评价，以校校验访问的的适当授权权被获得，被被许可的访访问与定义义在IT政策和和程序中的的一致确定：信息体系结结构模型和和企业数据据模型、企企业数据字字典、相关关信息系统统以及ITT长短期计计划中的矛矛盾过时的企业业数据字典典项和由于于数据字典典变化的不不良的沟通通丧失了时时效性的数数据语法规规则？所有者不清清楚和/或没有适适当定义的的数据项没有被适当当定义的数数据分类与“需要才才能知道”的原则不不一致的数数据安全等等级3

18、 决定技技术方向（PO3）控制的ITT过程：决定技术方方向满足的业务务需求：利用目前可可用的和正正在出现的的技术，推推动业务战战略的实施施并使业务务战略成为为可能实现路线：建立并维护护技术基础础设施计划划，该计划划，依据产产品、服务务和交付机机制，建立立并管理技技术能够提提供的清晰晰和现实的的预期需要考虑的的事项：当前基础设设施的容量量通过可靠的的来源，监监测技术发发展引导概念的的检验风险、约束束和机遇获取的计划划移植战略和和路线与供应商的的关系独立的技术术再评估硬件和软件件的性能/价格比的的变化信息规范 IT资源源P 效果 人员S 效率 应用保密 * 技术完整 * 设施可用 数据据遵从可靠3

19、.1 技技术基础设设施计划编编制IT的职能能部门应建建立并有规规律地更新新与IT长期和和短期计划划保持一致致的技术基基础设施计计划。这样样的计划应应围绕诸如如系统体系系结构、技技术方向和和移植策略略等方面。3.2 监监测未来的的趋势和法法规IT的职能能部门应能能够确保对对未来趋势势和法规环环境的持续续监测，以以便这些因因素能够在在技术基础础设施计划划的开发和和维护期间间被考虑在在内。3.3 技技术基础设设施的不确确定事件技术基础设设施计划应应在偶然事事件方面（即即基础设施施的冗余、恢复、充充足性和发发展能力）进进行系统地地评估。3.4 硬硬件和软件件获取计划划IT管理层层应确保制制定硬件和和软

20、件的获获取计划，并并要反映在在所确定的的技术基础础设施计划划的需求中中。3.5 技技术标准以技术基础础设施计划划为基础，IT管理层应定义技术规范以培养标准化的意识。对高级和详详细的控制制目标进行行审计：获得了解：访谈：首席执行官官（CEOO）首席运营官官（COOO）首席财务官官（CFOO）首席信息官官（CIOO）IT计划/指导委员员会成员IT高级管管理层获得：与技术基础础设施计划划编制和监监控相联系系的政策和和程序高级管理层层指导角色色和责任机构目标和和长短期计计划IT目标和和长短期计计划IT硬件和和软件获取取计划技术基础设设施计划技术标准状况报告和和计划编制制/指导委员员会会议纪纪要评估控制

21、：考虑是否：为确认被提提议的变化化首先被检检查以评估估相关联的的成本和风风险，为确确认高级管管理层的批批准先于计计划的变化化被获得，有有一个创造造并有规律律地更新的的技术基础础设施计划划的过程技术基础设设施计划与与IT长短期期计划相比比较有一个过程程来评估机机构的当前前技术状态态，确保环环绕诸如系系统体系结结构、技术术方向和移移植战略等等方面IT政策和和程序确保保选择了评评估和监控控当前和将将来的技术术趋势和规规章条件的的要求，并并且在技术术基础设施施计划的开发发和维护期期间被考虑虑技术获取的的后勤和环环境影响要要被计划IT政策和和程序确保保选择了系系统地评估估技术计划划意外的需需求（也就就是

22、基础设设施的冗余余、恢复力力、足够性性和发展能能力）IT管理层层评估正在在出现的技技术，并将将适当的技技术合并到到当前的IIT基础设设施之中对于硬件和和软件的获获取计划来来讲，它是是遵从技术术基础设施施计划中所所确定的要要求并被适适当地批准准的实践在在技术基础础设施计划划中所描述述的技术组组成的技术术标准是到到位的评定遵从性性：测试：IT管理层层理解并使使用技术基基础设施计计划技术基础设设施计划上上的变化，以以确定相关关的成本和和风险，这这些变化要要反映在IIT长短期期计划的变变化中IT管理层层要理解监监控和评估估正在出现现技术的过过程，并要要将适当的的技术合并并到当前的的IT基础设设施之中I

23、T管理层层要理解系系统评估技技术计划意意外的过程程（也就是是说，基础础设施的冗冗余、恢复复力、充足足性和发展展能力）为了充分地地适应目前前的已安装装的硬件/软件以及及在当前被被批准的增增加的新的的硬件/软件，ITT职能部门门现有的物物理环境硬件和软件件获取计划划遵从ITT长短期计计划，并要要反映技术术基础设施施计划中所所确认的需需求技术基础设设施计划选选择利用当当前和将来来的技术技术标准被被遵循，并并作为开发发过程的一一部分而被被合成一体体被允许的访访问与ITT政策和程程序中所定定义的安全全等级相一一致，到位位的访问要要经过适当当的授权证实没有满满足业务目目标的风险险：执行：依照类似的的机构或

24、者者适当的国国际标准/公认的行行业最好实实践的技术术基础设施施计划编制制的基准针对关键元元素的完整整性，数据据字典的详详细评价为敏感数据据而定义的的安全等级级的详细评评价确定：信息系统和和IT长短期期计划相关关的信息体体系结构模模型和企业业数据模型型、企业数数据字典的的矛盾企业数据字字典条款和和数据语法法规则的过过时没有在技术术基础设施施计划中选选择的以外外方面没能反映技技术基础设设施计划需需求的ITT硬件和软软件的获取取计划与技术标准准不一致的的技术基础础设施计划划或IT硬件和和软件获取取计划数据字典中中丢失的关关键元素没有按照同同样标准分分类或者没没有安全等等级的敏感感数据4 定义信信息技

25、术的的机构及关关系（POO4）控制的ITT过程：定义IT的的机构及关关系满足的业务务需求：提供正确的的IT服务实现路线：定义一个数数量上相配配、具有角角色和职责责所要求技技能的机构构，与业务务部门沟通通、联合在在一起，促促进战略的的实现，并并规定有效效的方向和和适当的控控制需要考虑的的事项：董事会层面面上的ITT职责管理层对于于IT的指导导和监督IT与业务务的结合关键决策过过程中ITT的参与机构的灵活活性清晰的角色色和职责平衡授权与与监督工作岗位的的描述人员级别和和关键的人人员在安全、质质量和内部部控制功能能方面的机机构配置职责的分离离信息规范 IT资源源P 效果 * 人员员S 效率 应用保密

26、 技术术完整 设施施可用 数据据遵从可靠4.1 IIT 计划划或指导委委员会机构的高级级管理层应应指定一个个计划或者者指导委员员会，来检检查IT的职能能及其活动动。委员会会的会员应应包括来自自高级管理理层、用户户管理层和和IT职能方方面的代表表。委员会会应实行例例会制度，并并向高级管管理层报告告。4.2 IIT 职能能的机构设设置在整个机构构机构设置置IT职能过过程中，高高级管理层层应确保其其权力、关关键时刻以以及与用户户部门的独独立性到必必要的程度度，以便在在执行时能能够保证有有效的ITT解决方案案和充分的的进展，并并要建立与与顶级管理理层的伙伴伴关系，以以便在确定定和解决IIT问题时时，能

27、够帮帮助他们增增强意识、理解和技技能。4.3 机机构绩效的的评价应设置一个个框架来评评价机构的的机构，以以不断地满满足目标和和变化的环环境。4.4 角角色和责任任管理层应确确保机构中中所有人员员都具有并并理解他们们在相关信信息系统中中的角色和和责任。所所有的人员员应具有足足够的权力力来行使分分派给他们们的角色和和责任。角角色的设置置应考虑适适当的职责责分离。没没有那个人人能够控制制一个交易易或事件的的所有关键键环节。每每个人都应应认识到他他们在内部部控制和安安全方面具具有一定的的责任。因因此，应机机构并承担担起有规律律的一些活活动，以增增强这方面面的意识和和纪律。4.5 质质量保证的的责任管理

28、层应为为IT职能部部门的成员员分配质量量保证职能能履行的责责任，并确确保适当的的质量保证证、系统、控制和存存在于ITT职能质量量保证小组组中的专家家们的交流流。IT职能内内机构的布布置以及质质量保证小小组的职责责和规模应应满足机构构的需求。4.6 逻逻辑和物理理安全的责责任管理层应为为信息安全全经理正式式地分配确确保机构信信息资产物物理和逻辑辑安全的责责任，并负负责向高级级管理层报报告。最起起码，安全全管理职责责应建立在在整个机构构范围的层层次上，以以便能够处处理一个机机构内的全全部安全问问题。如果果需要，系系统细节层层次上的附附加安全管管理责任也也应被分配配，以应对对相关的安安全问题。4.7

29、 所所有者和管管理者管理层应正正式建立一一个指定数数据所有者者和管理者者的结构。他们的角角色和责任任应清楚地地定义。4.8 数数据和系统统的所有者者管理层应确确保所有信信息资产（数数据和系统统）都已指指定了所有有者，他们们对信息资资产的分类类和访问权权限具有决决策的权利利。典型地地，系统所所有者可以以将日常管管理委派给给系统的交交付/操作小组组，将安全全职责委派派给安全管管理员。然然而，所有有者仍然要要保留对适适当安全尺尺度维护的的责任。4.9 监监督高级管理层层应执行适适当的ITT职能的监监督实践，以以保证角色色和责任被被完全地行行使，评估估所有的个个人是否有有足够的权权力和资源源完成他们们

30、的角色和和职责，并并要全面地地评价关键键的绩效指指标。4.10 职责分离离高级管理层层应实施角角色和职责责的分离，避避免单独的的个人扰乱乱某个关键键的过程。管理层还还应确定每每个人仅执执行其工作作和职位规规定的各自自的职责。尤其是下下列职责之之间责任分分离的应维维护。信息系统使使用数据录入计算机操作作网络管理系统管理系统开发和和维护变更管理安全管理安全审计4.11 IT 人人员配备员工需求评评估应有规规律地执行行，以保证证履行ITT职能所需需足够数量量能胜任的的IT员工。员工需求求应至少每每年评估一一次，或根根据业务、运作及IIT环境的的主要变化化而执行。评估结果果应尽快执执行，以确确保现在和

31、和将来员工工的充足。4.12 IT 员员工工作和和职位的描描述管理层应确确保建立IIT员工的的职位描述述，并有规规律地被更更新。这些些职位描述述应清楚地地描绘权力力和责任两两方面，包包括相关职职位要求的的技能和经经验的详细细说明，并并要适合在在绩效评估估中使用。4.13 关键的ITT 人员IT管理层层应详细说说明和识别别关键的IIT人员。4.14 与员工签签约的政策策和程序为了IT职职能部门控控制咨询和和其它签约约个人的活活动，确保保机构的信信息资产处处于保护之之中，管理理层应详细细说明和执执行相关的的政策和程程序。4.15 关系IT管理层层应采取必必要的行动动，在ITT职能部门门和其它各各种

32、有利害害关系的内内外部ITT职能部门门（即用户户、供应商商、安全官官员、风险险管理者）之之间，建立立并维持一一个最佳的的协调、交交流、联络络的结构。对高级和详详细的控制制目标进行行审计：获得了解：访谈：首席执行官官（CEOO）首席运营官官（COOO）首席财务官官（CFOO）首席信息官官（CIOO）质量保证官官安全官IT计划/指导委员员会成员、人力资源源和高级管管理层获得：高级管理层层计划/指导角色色和责任机构目标和和长短期计计划IT目标和和长短期计计划展示IT职职能部门与与及其它职职能部门关关系的机构构机构图与IT机构构和关系相相关联的政政策和程序序与质量保证证相关联的的政策和程程序用来决定I

33、IT人员需需求的政策策和程序IT职能部部门的机构构机构图IT职能部部门的角色色和责任IT关键位位置（工作作）的描述述状况报告和和计划/指导委员员会会议纪纪要评估控制：考虑是否：来自高级管管理层的政政策声明和和沟通确保保IT职能部部门的独立立和权威IT计划/指导委员员会的成员员和职能部部门已经被被定义，责责任已经被被确定IT计划/指导委员员会的章程程使委员会会的目的与与机构的目目标和长短短期计划以以及IT的目标标和长短期期计划联盟盟增强确定和和解决信息息管理问题题的意识、理解和技技能的过程程到位政策选择了了满足正在在变化着的的目标和环环境的机构构机构的评评估和修改改的要求决定IT职职能部门效效果

34、和承诺诺的过程和和绩效指标标存在高级管理层层要确保角角色和责任任被执行勾画机构内内所有个人人有关信息息系统内部部控制和安安全的角色色和责任的的政策存在在增加内部控控制和安全全意识以及及纪律的有有规律的活活动存在质量保证的的职能部门门和政策存存在质量保证职职能部门要要充分地独独立于系统统开发人员员，并要有有执行其责责任的适当当人员和专专门技术确定时间资资源并确保保质量保证证测试的完完成以及系系统或者系系统变化被被执行前的的审批的质质量保证之之内的过程程要到位为了安全官官的内部控控制和安全全（逻辑和和物理两者者）政策和和程序的明明确表达，管管理层应正正式地分配配机构范围围内的责任任安全官的职职位的

35、角色色和责任的的了解被充充分地理解解，并被证证明与机构构的信息安安全政策一一致机构的的安全政策策清晰地定定义每一个个信息资产产的所有者者（如，用用户、管理理层和安全全管理员）被被要求执行行的信息安安全的责任任含盖数据和和系统所有有者所有主主要数据源源和系统的的政策和程程序存在有规律地评评价并维护护数据和系系统所有者者变化的程程序存在描述监督实实践，确保保角色和责责任被适当当地行使，并并且所有的的人员有足足够的权威威和资源执执行其角色色和责任的的政策和程程序存在下列一对职职责要分离离： 系统开开发和维护护 系统开开发和运行行 系统开开发/维护和信信息安全 运行和和数据控制制 运行和和用户 运行和

36、和信息安全全IT的人员员安置和能能力被维护护，以确保保其具有提提供有效技技术解决方方案的能力力IT职位（工工作）描述述的评估和和再评估的的政策和程程序存在对于关键的的过程，包包括系统开开发生命周周期活动（需需求、设计计、开发、测试）、信息安全全、获取和和容量的计计划编制，适适当的角色色和责任存存在在实现机构构的目标方方面，使用用适当和有有效的关键键绩效指标标和/或关键成成功因素测测量IT职能部部门的结果果控制咨询者者和其它契契约人员活活动的ITT政策和程程序存在，从从而确保机机构的资产产的保护适用于已签签约IT服务的的适当性的的过程，并并要与机构构的获取政政策一致调整、沟通通和归档IIT职能部

37、部门高级职职员会内外外部兴趣的的过程存在在评定遵从性性：测试：IT计划/指导委员员会检查IIT职能部部门及其活活动以及解解决行动条条款IT职能部部门报告层层次的适当当性在机构关于于为顶级管管理层提供供合作伙伴伴关系方面面，IT职能部部门的位置置的有效性性高级IT管管理层了解解用来监控控、测量和和报告ITT职能部门门绩效的过过程用来评估绩绩效的关键键指标当实际结果果不能满足足目标水平平，依照目目标水平，决决定所采取取的校正行行动的分析析实际结果果的过程为了来自期期望的绩效效水平的任任何重大差差异，由管管理层所采采取的行动动用户/所有有者管理层层评估ITT职能部门门提供满足足用户/所有者需需求的信

38、息息技术解决决方案的反反应速度和和能力IT管理层层知道其角角色和责任任涉及IT项项目计划的的测试和审审批的质量量保证安全人员评评价核心操操作系统和和应用系统统到位或正在在开发的评评估信息安安全（逻辑辑和物理两两者）的安安全职能部部门报告或或文档的适适当性信息安全政政策和程序序的充分了了解和一致致应用出席信息安安全和内部部控制培训训的人员对于所有的的信息资产产，数据和和系统所有有权被定义义数据和系统统所有者审审批数据和和系统制造造的变化所有的数据据和系统具具有一个所所有者或者者管理人，他他们负责控控制数据和和系统的水水平所有数据和和系统资产产的访问由由资产的所所有者审批批与职位（工工作）相联联系

39、的权利利和监督的的直线要与与在职者的的义务相称称职位（工作作）描述清清楚地描绘绘权利和责责任两者职位（工作作）描述清清楚地描述述所需的业业务、相关关的和技术术的资格职位（工作作）已经被被精确地沟沟通，并由由个人所理理解IT职能部部门的职位位（工作）描描述包含已已经沟通给给个人的关关键绩效指指标IT职员的的义务和责责任要对应应于已经公公布的职位位（工作）描描述和机构构的机构图图两者关键职位的的职位（工工作）描述述到位，包包括机构关关于信息系系统、内部部控制和安安全的训令令职位（工作作）描述的的精确性要要与这些职职位在职者者的当前责责任相比较较遵从IT职职能部门内内有意的职职责分离以以及职责限限制

40、的种类类和范围IT人员安安置的维持持能力作为责任、权利和绩绩效标准的的适当性和和透明度的的基础，职职位（工作作）描述的的适当性合同管理的的责任分配配给了适当当的人员合同的术语语与正常的的机构合同同的标准相相一致，标标准契约术术语和条件件已经由法法律的律师师评价和评评估，它们们的同意意意见要获得得合同包含适适当的有关关遵从性的的条款：法法人的安全全和内部控控制政策、信息技术术标准过程和/或或结构规定定成功关系系所必须的的有效果和和有效率的的协调证实没有满满足业务目目标的风险险：执行：依照类似的的机构或者者适当的国国际标准/公认的行行业最好实实践的机构构和关系的的基准决定由无效效的IT计划/指导委

41、员员会所引起起的机构方方面影响的的详细评价价在处理信息息系统问题题和执行技技术解决方方案方面，测测量IT职能部部门进步的的详细评价价评估机构的的机构、人人员和个人人能力、分分配的角色色和责任、数据和系系统所有权权、监督、职责分离离等的详细细评价决定在满足足机构需求求的有效性性方面的质质量保证职职能部门的的详细评价价决定在提供供机构范围围内信息安安全（逻辑辑和物理两两者）和信信息安全意意识培训有有效性方面面的安全职职能的详细评价确定这些合合同已经由由交易双方方适当地执执行并且遵遵从机构的的标准合同同术语的合合同实例的的详细评价价确定：由于IT计计划/指导委员员会无效监监督所引起起的IT职能及及其

42、活动的的弱点导致IT职职能无效果果或无效率率的机构机机构的缝隙隙、重叠，等等等不适当的机机构机构、缺少的职职能、不充充足的人员员、能力不不足、不适适当的角色色和责任、数据和系系统所有权权的混乱、监督的问问题、缺乏乏职责分离离，等等确实满足质质量保证要要求的正在在开发、修修改或者执执行的系统统确实满足安安全（或者者是逻辑的的，或者是是物理的，或或者是两者者兼顾）需需求的正在在开发、修修改或者执执行的系统统不能满足机机构的合同同要求的合合同IT职能部部门和各种种各样其它它有兴趣的的IT职能部部门的内外外之间的无无效协调和和沟通5 管理信信息技术投投资（POO5）控制的ITT过程：管理IT投投资满足

43、的业务务需求：保证资金并并控制财务务资源的支支出实现路线：由业务决定定的定期投投资和运作作预算的建建立和审批批需要考虑的的事项：资金的选择择清晰的预算算所有者实际支出的的控制成本的合理理性和所有有者总成本本的意识收益的合理理性和收益益实现的责责任制技术和应用用软件的生生命周期要与企业的的业务战略略相结合效果的评估估资产管理信息规范 IT资源源P 效果 * 人员员P 效率 * 应用用保密 * 技术完整 * 设施可用 数据据遵从S 可靠5.1 年年度IT 运营预算算高级管理层层应执行预预算编制过过程，按照照机构的长长期和短期期计划以及及IT的长期期和短期计计划，保证证年度ITT运作预算算的建立和和

44、批准。应应调查资金金的选择。5.2 成成本和收益益的监控管理层应建建立成本监监测的过程程，将实际际支出与预预算进行比比较。此外外，由ITT活动衍生生出来的可可能存在的的收益应被被确定和报报告。对于于费用监测测来讲，实实际数据的的来源应以以机构的会会计系统为为基础，该该系统应例例行公事地地纪录、处处理并报告告与IT职能部部门的活动动相关的成成本。对于于收益的监监测来讲，高高层次的绩绩效指标应应被详细地地说明，有有规率地进进行报告并并对其适当当性进行评评价。5.3 成成本和收益益的合理性性管理控制应应设置到位位，以保证证IT职能部部门交付服服务的成本本是合理的的并符合行行业标准。由IT活动衍衍生出

45、来的的收益也应应做同样应应的分析。对高级和详详细的控制制目标进行行审计：获得了解：访谈：首席财务官官（CFOO）首席信息官官（CIOO）IT计划/指导委员员会成员IT高级管管理层获得：与预算和成成本核算相相联系的机机构的政策策、方法和和程序与预算和成成本核算相相联系的IIT政策和和程序当前和最近近的以前年年度IT职能部部门的年度度运作预算算机构目标和和长短期计计划IT目标和和长短期计计划高级管理层层计划/指导的角角色和责任任与差异监控控和控制相相连接的差差异报告及及其它沟通通状况报告和和计划/指导委员员会会议纪纪要评估控制：考虑是否：IT预算的的过程与机机构的过程程一致确保与机构构的预算、机构

46、的长长短期计划划、IT长短期期计划相一一致的年度度IT运作预预算的准备备和适当审审批的政策和程序序的到位预算过程要要与在准备备阶段起作作用的ITT职能部门门的主要单单位的管理理层分享有规律地监监控实际成成本，并将将其与计划划的成本相相比较的政政策和程序序要到位，实实际的成本本是以机构构的成本会计系统统为基础的的保证IT职职能部门的的服务交付付具有合理理的成本并并遵守行业业成本的政政策和程序序到位评定遵从性性：测试：在证明ITT年度运作作计划是合合理的方面面，IT预算的的支持是适适当的IT支出的的种类是全全面的、适适当的并进进行了适当当的分类日常记录、处理和报报告与ITT职能部门门活动相联联系的

47、成本本的系统是是适当的成本监控过过程充分地地比较实际际的预算由受影响的的用户组的的管理层、IT职能部部门以及机机构的高级级管理层所所进行的成成本/效益分析析被充分地地评价用来监控成成本的工具具是有效的的并适当地地使用证实没有满满足业务目目标的风险险：执行：依照类似的的机构或者者适当的国国际标准/公认的行行业最好实实践的预算算和成本的的基准最近的过去去和当前的的年度预算算，及与之之相对的结结果、差异异和所采取取的校正行行动的详细细评价确定：没有按照机机构的预算算和长短期期计划、IIT长短期期计划懂得得IT预算没有被捕捉捉到的ITT职能部门门的实际成成本6 沟通管管理的目标标和方向（PO6）控制的

48、ITT过程：沟通管理的的目标和方方向满足的业务务需求：确保用户知知晓并理解解这些目标标实现路线：建立政策并并与用户团团体进行交交流；此外外，需要建建立标准，以以便将战略略性选择转转化为实际际及便于使使用的用户规则需要考虑的的事项：清晰统一的的使命连接业务目目标的技术术方针行为/道德德规范的法法规质量承诺安全和内部部控制政策策安全和内部部控制实践践实例引导持续的沟通通程序提供指导和和遵从性检检查信息规范 IT资源源P 效果 * 人员员效率 应用用保密 技术术完整 设施施可用 数据据S 遵从可靠6.1 积积极的信息息控制环境境为了给正确确的行为提提供指导，消消除不道德德行为的诱诱惑并严肃肃纪律，管

49、管理层应建建立一个全全机构范围围内培育积积极控制环环境的框架架和认知程程序。这些些框架和程程序应专注注于员工的的诚信、伦伦理价值和和能力以及及管理哲学学、操作风风格和义务务。针对IIT的各方方面，包括括安全和业业务持续性性计划，要要给予具体体的考虑。6.2 管管理层在政政策方面的的责任对于覆盖总总体目标和和方针的政政策而言，管管理层应对对政策的阐阐明、开发发、声明、公布和控控制承担全全部责任。政策适当当性的评价价应有规率率地进行。撰写的政政策及其程程序的复杂杂性应总是是与机构的的规模和管管理风格相相一致。6.3 机机构政策的的沟通管理层应确确保机构政政策在机构构内的所有有层次上被被清晰地沟沟通

50、、理解解并被接受受。沟通过过程应由一一套使用灵灵活多变沟沟通手段的的有效计划划所支持。6.4 政政策执行资资源为了政策的的执行，为为了确保政政策的遵循循，管理层层应对适当当的资源做做出计划，以以使它们构构筑到并成成为运作的的一个完整整组成部分分。管理层层还应监控控政策执行行的及时性性。6.5 政政策的维护护政策应被有有规率地调调整，以适适应变化的的条件。政政策起码应应按年或者者根据运行行或业务环环境的重大大变化而进进行重新评评估，评估估它们的充充分性和适适当性，并并做必要的的修改。对对于定期的的评价以及及标准、政政策、方针针和程序的的审批，管管理层应提提供一个框框架和过程程。6.6 遵遵从政策

51、、程序和标标准管理层应确确保合适的的程序设置置到位，以以判定每个个人是否理理解了执行行的政策和和程序，以以及这些程程序和政策策是否被遵遵循。伦理理道德、安安全和内部部控制标准准的遵从程程序应由最最高管理层层来建立，并并由实例来来促进其贯贯彻执行。6.7 质质量义务管理层应定定义、形成成文件并维维护与企业业价值观和和政策相一一致的质量量价值观、政策和目目标，这些些质量价值值观、政策策和目标应应被IT职能部部门的所有有层次所理理解、执行行和维持。6.8 安安全和内部部控制框架架政策管理层应对对开发并维维护框架的的政策付全全部责任，这这个框架设设立机构的的总体安全全和内部控控制的方法法，以建立立并改

52、善IIT资源的的保护和IIT系统的的完整。政政策应服从从总体业务务目标，目目标是：通通过预防性性措施、及及时辨识不不规范行为为、限制损损失和及时时恢复，使使风险最小小化。这种种措施应以以成本/收益分析析为基础，并并应区分优优先顺序。另外，管管理层应确确保这些高高层次的安安全和内部部控制政策策详细说明明了目的和和目标、管管理结构、机构内的的适用范围围、在所有有层次上执执行的责任任的定义和和分配以及及对违背安安全和内部部控制政策策行为的处处罚的定义义。应详细细说明框架架定期再评评估的标准准，以对正正在变化着着的机构、环境和技技术需求做做出支持响响应。6.9 知知识产权管理层应规规定并执行行有关自行

53、行开发和签签约开发软软件的知识识产权方面面的书面政政策。6.10 特定问题题政策措施应设置置到位，确确保细节问问题政策的的建立，以以便在从事事特殊的活活动、应用用、系统或或技术时，归归档管理决决策。6.11 IT 安安全意识的的沟通应通过一个个IT安全意意识教程，将将IT安全政政策沟通给给每一个IIT用户，并并保证对IIT安全重重要性的完完整理解。这个教程应应传达这样样一种信息息，那就是是IT安全将将使它的机机构、它的的所有雇员员受益，每每个人对此此都负有责责任。ITT安全意识识教程应代代表管理层层的观点并并被他们所所支持。对高级和详详细的控制制目标进行行审计：获得了解：访谈：首席执行官官（C

54、EOO）首席运营官官（COOO）首席财务官官（CFOO）首席信息官官（CIOO）安全官IT高级管管理层IT计划/指导委员员会成员获得：与管理层的的积极控制制框架、认认知程序、安全和内内部控制框框架、ITT质量程序序相关的政政策和程序序高级管理层层的指导角角色和责任任机构的目标标和长短期期计划IT的目标标和长短期期计划状况报告和和计划/指导委员员会会议纪纪要沟通程序评估控制：考虑是否：机构的政策策和程序创创造了一个个框架和程程序，给予予信息技术术以特别的的关注，培培育一个积积极的控制制环境，并并选择如下下的方面： 完整 伦理价价值 行为规规范 安全和和内部控制制 人员的的能力 管理哲哲学和运作作

55、风格 由董事事会的董事事或相同人人物提供的的问责制、注意和方方向由例子说明明顶级管理理层促进积积极的控制制环境管理层已经经接受了明明确叙述、开发、归归档、发布布、控制并并有规律地地评价治理理总目标和和方向的政政策的责任任提供相关于于管理层的的积极的控控制环境的的正在进行行的沟通和和培训的正正式的认知知程序存在在确保适当的的和足够的的资源被分分配，以便便以及时的的方式执行行机构的政政策的机构构政策和程程序存在确保个人理理解被执行行的政策和和程序，政政策和程序序被追随的的适当的程程序到位IT政策和和程序定义义、归档并并维持一个个正式的治治理系统和和服务质量量的哲学政政策和目标标，其产生生要与机构构

56、的哲学、政策和目目标相一致致IT管理层层确保质量量哲学、政政策和目标标被理解、执行并在在IT职能部部门的所有有层次上执执行选择了定期期评价和重重新批准的的关键标准准、方向、相关于信信息技术的的政策和程程序需求的的程序存在在高级管理层层已经接受受了为总体体的安全和和内部控制制方法开发发一个框架架的全部责责任安全和内部部控制框架架归档了详详细的安全全和内部控控制政策、目的和目目标、管理理结构机构构之内的范范围、责任任的分配以以及遵从安安全与内部部控制政策策失败相关关的处罚和和惩戒的定定义正式的安全全和内部控控制政策确确定机构的的内部控制制过程，包包括诸如下下述控制组组件： 控制环环境 风险评评估

57、控制活活动 信息和和沟通 监控归档选择特特殊活动、应用、系系统或技术术的管理决决策的发行行的特定政政策存在评定遵从性性：测试：在培育积极极的控制方方面管理层层的努力，包包括诸如这这些关键的的方面：诚诚实、伦理理价值、行行为规范、安全和内部控制制、人员的的能力、管管理哲学和和操作风格格、问责制制、所提供供的关注和和方向雇员已经收收到了行为为规范并理理解它选择机构的的内部控制制环境的政政策的管理理层的沟通通正在发生生管理层明确确叙述、开开发、归档档、发布和和控制的包包含内部控控制环境的的政策的资资源承诺正正在发生标准、方向向、政策和和程序的持持续适当性性及其适应应变化条件件能力的管管理层的有有规律

58、地评评价管理层的监监控努力正正在确保适适当的和足足够的资源源被分配以以便以及时时的方式执执行机构的的政策管理层关于于其内部控控制环境的的相关标准准、方向、政策和程程序的强制制努力正确确保贯穿机机构的遵从从性质量哲学、政策和目目标正决定定遵从性，并并与机构的的法人和IIT职能哲哲学以及政政策和程序序相一致挑选的的IIT管理、开发和运运行人员正正在决定质质量哲学，相相关的政策策、程序和和目标被理理解，并被被IT职能部门内所有有层次所遵遵循质量测量过过程正在确确保机构目目标的满足足挑选的的管管理成员在在他们的评评价责任之之下被包括括并理解安安全和内部部控制活动动的内容（也也就是说，例例外报告、调和、

59、比比较，等等等）个人的角色色、责任和和权利在机机构的所有有层次上被被清楚地沟沟通和理解解挑选的的部部门评估日日常监控安安全和内部部控制活动动的程序（也也就是说，例例外报告、调和、比比较，等等等），为管理层提提供反馈的的过程正在在发生挑选的的系系统归档确确定，按照照机构的政政策和程序序，系统特特定的管理理决策已经经被归档和和批准挑选的的系系统归档确确定，选择择特定活动动、应用系系统或技术术的管理决决策已经由由高级管理理层签署证实没有满满足业务目目标的风险险：执行：依照类似的的机构或者者适当的国国际标准/公认的行行业最好实实践的管理理的信息控控制框架和和认知程序序的基准与项目相关关的、以成成本/效

60、益分析析为基础决决定项目优优先顺序和和审批的、被批准的的安全和内内部控制实实例的详细评价价确定：开始怀疑管管理层在贯贯穿机构范范围内培育育积极的内内部控制环环境承诺的的虚弱的控控制框架选择机构的的内部控制制环境，有有效地沟通通其政策的的管理失败败被分配用来来明确叙述述、开发、归档、发发布和控制制的包含内内部控制环环境的政策策的资源的的缺乏不是最近的的标准、方方向、政策策和程序确保标准、方向、政政策和程序序贯穿机构构之内遵守守的不充分分的管理遵遵从监控IT职能部部门在其质质量或其有有效定义、归档、维维持并沟通通质量哲学学、政策和和目标能力力承诺方面面的不足在机构的和和/或IT职能部部门的安全全和