IT审计要点课件

0前提COBIT框架所基于的前提是IT需要为企业达成其目标提供所需要的信息。i资源和流程信息业务流程业务目标提供给达成COBIT框架专注于业务对信息的需求并组织IT资源，以此来帮助IT与业务保持一致。COBIT为实施IT治理提供了一个框架及指南。1COBIT:原则COBIT框架的原则是将管理层对IT的期望与IT职责联系在一起。其目标是协助IT治理在提供IT价值的同时管理IT风险。业务战略信息标准IT资源IT流程2COBIT框架作为一个IT的控制和治理框架，COBIT关注于以下两个关键点：提供所需要的信息以支持业务目标和需求根据IT流程所管理的IT相关资源及应用对信息进行处理流程活动域IT流程有效性效率保密性完整性可用性合规性可靠性IT资源应用信息基础架构人员IT流程业务需求控制方法考虑事项………………………………..……..信息标准3组织会考虑并使用多种IT模型、标准，以及最佳实践，此外需要对它们进行认真理解，以考虑如何将其与COBIT进行无缝连接。COBITISO9000ISO17799ITILCOSO做什么怎么做COBIT及其他IT管理框架覆盖范围4绩效:业务目标合规性：BaselII,Sarbanes-OxleyAct,etc.企业治理IT治理ISO9001:2000ISO

17799ISO20000最佳实践标准质量保证步骤流程和步骤驱动COBITCOSO安全原则ITIL

平衡计分卡COBIT适用于何处？5业务目标和治理目标效率应用信息基础架构人提供和支持监控和评估获取和实施信息IT资源COBIT框架有效性保密性完整性可用性合规性DS1 服务级别定义及管理DS2 第三方服务管理DS3 性能和能力管理DS4 连续服务保障DS5 系统安全保障DS6 成本识别及分配DS7 用户教育及培训.DS8 服务台和突发事件管理DS9 配置管理DS10 问题管理DS11 数据管理DS12 物理环境管理DS13操作管理ME1 监控与评价IT性能ME2 监控与评价内部控制ME3 确保与法律的符合性ME4 提供IT治理PO1 制定IT战略计划PO2 确定信息架构.PO3 确定技术方向.PO4 定义IT流程、组织和关系.PO5 IT投资管理.PO6 沟通管理目标和方向PO7 IT人力资源管理PO8 质量管理PO9 IT风险评估和管理.PO10 项目管理AI1 识别解决方案.AI2 获取与维护应用软件AI3 获取与维护技术架构AI4 运营与使用能力保障AI5 获取IT资源AI6 变更管理AI7 变更及方案的部署和授权计划和组织可靠性COBIT框架6COBIT模型:

IT域计划与组织(PO)目标:指明战略和战术识别如何使IT为业务目标的达成作出最大的贡献计划、沟通和管理战略目标的实现实施组织和技术架构范围:IT与业务在战略上是否一致?企业对资源的利用是否合理?是否所有的员工都理解IT目标?是否所有的风险都被理解并管理?IT系统质量是否满足业务需求?IT和业务7让我们来看一下COBIT流程模型,它由4个IT域共34个IT流程组成。

PO1制定IT战略计划PO2确定信息架构PO3确定技术导向PO4定义IT流程、组织和关系PO5IT投资管理PO6

沟通管理目标和方向PO7IT人力资源管理PO8质量管理PO9IT风险评估和管理PO10项目管理计划与组织COBIT模型:

IT域(续)计划与组织提供与支持获取与实施监控与评价IT流程8COBIT模型:

IT域(续)获取与实施(AI)目标:识别、制定或获取、实施并整合IT方案现有系统的变更与维护范围:新项目提供的解决方案是否满足业务需求提供?新项目是否能在预算范围内及时提供?新项目实施后是否能正常工作?变更是否能够不影响当前的业务运营?新项目组织?9COBIT模型:

IT域(续)计划与组织提供与支持获取与实施监控与评价IT流程AI1识别自动解决方案AI2获取与维护应用软件AI3获取与维护技术架构AI4保障运营与使用AI5获取IT资源AI6变更管理AI7变更及方案的部署和授权获取与实施10COBIT模型:

IT域(续)提供与支持(DS)目标:所请求服务的实际提供结果,包括服务提供过程安全、连续性、数据和运营设施管理对用户的服务支持范围:IT服务提供是否与业务优先级相匹配?IT成本是否最优?员工是否能安全有效的使用IT系统?是否能保障机密性、完整性和可用性?IT服务业务优先级11COBIT模型:

IT域(续)DS1服务级别定义与管理DS2第三方服务管理DS3性能和能力管理DS4连续服务保障DS5系统安全保障DS6成本识别与分配DS7用户教育与培训DS8服务台和突发事件管理DS9配置管理DS10问题管理DS11数据管理DS12物理环境管理DS13运营管理提供与支持计划与组织提供与支持获取与实施监控与评价IT流程12COBIT模型:

IT域(续)监控与评价(ME)目标:性能管理监控内部控制调整一致治理范围:IT性能是否被衡量，从而使问题在造成影响前被监测出来?管理是否能保证内部控制的有效和高效?IT性能是否与业务目标相关联?风险、控制、一致性和绩效是否被衡量并报告?IT性能13ME1监控与评价IT性能ME2监控与评价内部控制ME3确保与法律的符合性ME4提供IT治理监控与评价COBIT模型:

IT域(续)计划与组织提供与支持获取与实施监控与评价IT流程14IT治理路线图15最佳实践关注目标IT与业务目标IT核心竞争力业务与技术发展衡量性能衡量结果活动关键成功因素谁怎么做V=IT价值传递A=IT战略匹配

R=风险管理

P=性能衡量IT治理工具16COBIT架构1234PO计划与组织AI获取和实施DS提供与支持ME监控与评价4个域17

计划与组织制定IT战略计划PO1确定信息架构PO2确定技术导向PO3定义IT流程、组织和关系PO4IT投资管理PO5沟通管理目标和方向PO6IT人力资源管理PO7质量管理PO8IT风险评估和管理PO9项目管理PO10PO18

PO1制定IT战略计划IT战略计划用于管理并指导所有的IT资源与业务战略及优先级一致，IT职能部门和业务利益相关者负责保证通过项目和服务投资组合实现价值最大化。战略计划有助于主要利益相关者理解IT优势和限制、评估当前性能、识别能力和人力资源需求，并说明所需要的投资水平。业务战略和优先级反映于投资组合中并在IT战术计划中执行,描述了同时符合业务和IT需求的总体目标、行动计划和任务。19

PO2确定信息架构信息系统职能部门负责建立并定期更新业务信息模式和定义合适的系统以使信息利用最优化。它包括根据组织的数据语法规则、数据分类规则和安全等级定义相应的数据字典。该流程通过确保提供可靠、安全的信息以提高管理决策质量，同时它能够合理地匹配系统资源与业务战略。该IT流程增强了数据完整性和安全性保障，并加强了对应用和实体的信息共享的控制及有效性。20

PO3确定技术导向信息服务职能部门负责确定支持业务的技术导向。这要求建立一个技术架构计划和架构委员会，用于确立与管理明确的并可实现的技术期望，这种技术期望可以从产品、服务和交付机制三个方面来考虑。技术架构计划应包括系统架构、技术导向、获取计划、标准、转移策略以及意外，并需要定期更新。这能够保证对竞争环境的变化及时作出响应，形成信息系统人员及投资的规模经济，并改善应用和平台的交互性。21PO4定义IT流程、组织和关系IT组织的建立必须考虑人员、技能、职能、问责性、职权、角色及职责、监管的需求。应将组织嵌入IT流程框架中，以确保透明度和控制，该框架也包含组织高层和业务管理。战略委员会负责关注IT整体概况，由业务部门和IT人员构成的一个或多个指导委员会负责根据业务需求确定IT资源优先级。应为所有的职能部门建立流程、管理策略和步骤，尤其需要关注控制、质量保障、风险管理、信息安全、数据和系统所有权，以及职责分离。为了保证能够及时支持业务需求，IT应包括在相关的决策流程中。22PO5IT投资管理应建立并维护一个管理IT投资项目的框架，这个框架包括成本、收益、预算优先级、正式的预算流程以及预算管理。利益相关者要结合IT战略和战术计划识别和控制总成本和收益，并根据需要采取合适的行动。这个流程关注IT与业务利益相关者之间的关系，使IT资源使用有效且高效，并提供整体拥有成本的透明度以及相应的权责，实现商业利益和IT投资的投资回报率。23PO6沟通管理目标和方向管理者应制定企业的IT控制框架并定义、沟通策略。应实施持续的沟通来传达管理者批准并支持的使命、服务目标、策略和步骤等。沟通可以支持IT目标的实现，并确保员工熟悉并理解业务和IT风险、目标以及方向。该流程应保证与相关的法律法规一致。24PO7IT人力资源管理为业务进行IT服务的创建和交付需要人员的保障。为实现上述目标，应制定并遵循相关的流程，包括招聘、培训、绩效评估、晋升和离职。这个流程很重要，因为人是重要的资产，企业治理和内部环境控制在很大程度上依赖于人员的激励和能力。25PO8ManageQuality

PO8质量管理应建立并维护质量管理体系（QMS），QMS包括流程和标准的开发和获取。质量管理是通过提供明确的质量需求、步骤和策略来策划、实施和维护QMS进而实现保障。质量需求应以量化的和可达到的指标存在和沟通。通过持续的监控、分析和纠正偏差来实现持续改进，并将结果报告给利益相关者。质量管理本质上是保证IT为业务提供价值、持续改进，并为利益相关者实现透明化。26PO9IT风险评估和管理应创建并维护风险管理框架，该框架描述了一个通用并约定的IT风险等级、缓释策略和剩余风险。应识别、分析并评估意外事故对组织目标的潜在影响，采用风险缓释策略来最小化剩余风险使将其降低到可接受的水平。风险评估结果应被利益相关者理解，并采用财务术语来表达，以使利益相关者能够对风险进行调控至可接受的水平。27

PO10项目管理为了协调项目并合理安排项目优先级，需要建立项目群和项目管理框架对所有IT项目进行管理。为确保项目风险管理的实施并为业务提供价值，该框架应包括：总体规划、资源分配、交付物定义、用户批准、阶段性交付方法、质量保证、正式测试计划、测试及实施后评审。该方法减少了非预期的费用支出和项目取消的风险，改善了业务部门和最终用户的交流和参与，确保项目交付物的价值和质量，同时也使IT投资项目的回报最大化。28

获取与实施定义软件解决方案AI1获取与维护应用软件AI2获取与维护技术架构AI3保障运营与使用AI4获取IT资源AI5变更管理AI6变更及方案的部署和授权AI7AI29AI1定义软件解决方案为了有效并高效地满足业务需求，在获取或开发新应用或新功能之前，需要对新的应用或者新的需求功能进行分析。该流程包括需求定义、备选资源的考虑、技术和经济可行性评估、风险分析和成本收益分析，最后作出“生产”或“购买”决定。所有这些步骤都是为了确保组织在达到业务目标的同时，使获取和实施解决方案的费用最小。30AI2获取与维护应用软件应用必须在与业务需求一致的情况下可用。该流程包括应用设计、应用控制和安全要求的相关内容，以及根据标准进行开发和配置。合理地使用自动化应用系统使组织有能力支持业务的正常运营。31

AI3获取与维护技术架构组织应建立对技术架构进行获取、实施和升级的流程。这就需要一种方法来获取、维护和保护技术架构与定义的技术策略、测试环境相一致。它确保能够为业务应用提供持续的技术支持。32

AI4保障运营与使用新系统的相关知识必须可用。该流程要求为客户和IT人员制定文件和手册，并提供培训，以确保应用和基础设施的正确使用和运营。33AI5获取IT资源为获取包括人员、硬件、软件和服务在内的IT资源，需要定义并执行采购、供应商选择、合同管理以及实施本身，确保组织获取所需的IT资源及时并最具成本效益。34

AI6变更管理所有变更，包括生产环境中设施和应用的应急维护及打补丁，必须以受控的方式管理。在实施变更及根据预期结果回顾变更之前，必须对变更（包括程序、流程、系统和服务参数）进行记录、评估和授权，以降低对存在对生产环境稳定性、完整性的负面影响的风险。35

AI7变更及方案的部署和授权要确保新系统开发完成后可运营，需要使用相关的测试数据在专门的测试环境中进行测试、定义上线和移植指令、计划发布、运行以及实施后回顾，确保运营系统与期望及预期结果相一致。36DeliverAndSupport

提供与支持服务级别定义及管理DS1第三方服务管理DS2性能和能力管理DS3连续服务保障DS4系统安全保障DS5成本识别及分配DS6用户教育及培训DS7服务台和突发事件管理DS8配置管理DS9问题管理DS10DS数据管理DS11物理环境管理DS12运营管理DS1337

DS1服务级别定义及管理IT管理者和业务客户之间关于所需服务的有效沟通是能够通过书面的定义和IT服务及服务水平的协议来约束的。此流程也包括对所达到的服务水平进行监控并及时向利益相关者报告。此流程也能够保证IT服务可以满足相关业务需求。38

DS2第三方服务管理为了保证由第三方提供的服务符合业务需求，组织需要建立有效的第三者管理流程。这个流程包括在第三方协议中清楚地定义角色、职责和期望，同时还包括保证有效性和一致性定期检查和监控。有效的管理第三方服务能够使与不履行职责的供应商相关的业务风险降到最低。39

DS3性能及能力管理为了管理IT资源的性能和能力，组织需要建立一个流程周期性地检查现有的IT资源的性能和能力。此流程包括基于工作量、存储和应急需求对未来需求的预测。此流程保证了支持业务需求的信息资源持续可用。40DS4连续服务保证为了提供连续的IT服务，组织需要开发、维护和测试IT连续性计划，异地备份存储，并定期进行连续性计划培训。一个有效的连续的服务流程能够减少主要IT服务中断的可能性和对关键业务和处理的影响。41

DS5系统安全保证为了维护信息的完整性和保护IT资产，组织需要建立一个完全管理流程。这个流程包括建立和维护IT安全角色和职责、策略、标准和步骤。安全管理也包括进行安全监控、定期测试，以及对已明确的安全缺陷或事件采取纠正措施。有效的安全管理通过最小化安全弱点和安全事件对业务影响以保护所有IT资产。42

DS6识别分配成本为业务部门公平和公正地分配IT成本，需要精确地计算IT成本并且和业务用户达成一致。此流程包括建立和运营一个系统，该系统可用来向用户获取、分配和报告IT成本。一个公平的分配系统能够帮助业务部门就IT服务的使用做出更为明智的决定。43DS7用户教育及培训在IT系统中，有效的教育必须明确各个用户组（包括IT系统内部用户）各自的培训需求。除了明确需求之外，此流程还包括定义和执行有效的培训战略，检查培训结果。一个有效的培训计划将提高技术的使用效率，减少用户的错误，增加生产率和关键控制的负荷，例如用户的安全措施。44

DS8服务台及突发事件管理及时有效地响应IT用户的请求和提出的问题需要一个设计合理和执行良好的服务台和突发事件管理流程。此流程包括设定服务台的功能，用来登记、逐步升级事件、分析引起事件的根本原因，并解决问题。业务的收益包括通过快速的响应用户请求提高效率；另外，业务可以通过有效的报告找到问题的根源，例如缺乏用户培训。45

DS9配置管理确保硬件和软件配置的完整性需要建立和维护一个准确的和完整的配置库，此流程包括收集初始的配置信息、建立基线、校验和审计配置信息、必要的时候更新配置库。有效的配置管理促进更高的系统利用率，将使用中的问题减小到最小，并以更快地速度解决问题。46DS10问题管理有效的问题管理需要对问题进行识别和分类，并且分析根源和解决问题。问题管理流程包括识别改进建议、维护问题记录、检查纠正措施的状态。一个有效的问题管理流程可以提高服务水平、减少成本，并提高用户满意度。47DS11数据管理有效的数据管理需要识别数据需求。数据管理流程也应