COBIT信息技术审计指南

COBIT信息技术审计指南(34个控制目标)计划和组织（选择3/6/11）1 定义战略性性的信息技术术规划（POO1）PO域控制的IT过程程：定义战略性的IIT规划满足的业务需求求：既要谋求信息技技术机遇和IIT业务需求求的最佳平衡衡，又要确保保其进一步地地完成实现路线：在定期从事的战战略规划编制制过程中，要要逐渐形成长长期的计划，长长期的计划应应定期地转化化成设置清晰晰并具体到短短期目的的操操作计划需要考虑的事项项：企业的业务发展展战略IT如何支持业业务目标的明明确定义技术解决方案和和当前基础设设施的详细清清单追踪技术市场适时的可行性研研究和现实性性检查已有系统的评估估在风险、进入市市场的时机、质质量方面，企企业所处的位位置需要高级管理层层出钱、支持持和必不可少少的检查信息规范 ITT资源P 效果 * 人员S 效率 * 应用保密 * 技术术完整 * 设施施可用 * 数据据遵从可靠1.1 作为机机构长期和短短期计划一部部分的IT高级管理层对开开发和实施履履行机构任务务和目标的长长期和短期的的计划负责在在这一方面，高高级管理层应应确保IT有关事事项以及机遇遇被适当地评评估，并将结结果反映到机机构的长期和和短期计划之之中。

IT的长期、短短期计划应被开发，确确保IT的运用同同机构的使命命与业务发展展战略相结合合1.2 IT 长期计划IT管理层和业业务过程的所所有者要对有有规律地开发发支持机构总总体使命和目目的实现的IIT长期计划划负责计划划编制的方法法应包括寻求求来自受ITT战略计划影影响的相关内内外部利害关关系人引入的的机制相应应地，管理层层应执行一个个长期计划的的编制过程，采采用一种结构构化的方法，并并建立一个标标准的计划结结构1.3 IT 长期计划编编制——方法与结结构对于长期计划的的编制过程来来讲，IT管理层和和业务过程的的所有者应建建立并采用一一种结构化的的方法这样样可以制定出出高质量的计计划，含盖什什么、谁、怎怎样、什么时时间和为什么么等基本的问问题IT计划的编编制过程应考考虑风险评估估的结果，包包括业务、环环境、技术和和人力资源的的风险计划划编制期间，需需要考虑和充充分投入的方方面包括：机机构的模式及及其变化、地地理的分布、技技术的发展、成成本、法律法法规的要求、第第三方或市场场的要求、规规划远景、业业务过程再造造、员工的安安置、自行开开发或者外包包、数据、应应用系统和技技术体系结构构已做出选选择的好处应应被明确地确确定下来。

IIT长期和短短期计划应使使绩效指标和和目标合并在在一起计划划本身还应参参考其它的计计划，比如机机构的质量计计划和信息风风险管理计划划1.4 IT 长期计划的的变更IT管理层和业业务过程所有有者应确保及及时、准确地地修改IT长期计划划的过程的到到位，以适应应机构长期计计划的变化和和IT环境的变变化管理层层应建立一个个IT长期和短短期计划开发发和维护所需需要的政策1.5 IT 功能的短期期计划编制IT管理层和业业务过程的所所有者应确保保IT长期计划划有规律地转转换成IT短期计划划这样的短短期计划应确确保适当的IIT功能资源源以与IT长期计划划内容相一致致的基础上来来分配短期期计划应定期期地进行再评评估，并被作作为适应正在在变化的业务务和IT环境所必必须的事项而而改进可行行性研究的及及时执行应确确保短期计划划的实行是被被充分地启动动的1.6 IT 计划的交流流管理层应确保IIT长期和短短期计划同业业务过程所有有者以及跨越越机构的其他他相关部门人人员的充分沟沟通1.7 IT 计划的监控控和评估管理层应建立一一个流程，获获取和报告来来自业务过程程所有者和用用户有关长期期和短期计划划的质量及有有效性的反馈馈。

获取的反反馈应予以评评估，并在将将来的IT计划编制制中加以考虑虑1.8 现有系系统的评估在开发或变更战战略规划或长长期计划、IIT计划之前前，IT管理层应应按照业务自自动化的程度度、功能性、稳稳定性、复杂杂性、成本、优优势和劣势，评评估现有信息息系统，以确确定现有系统统支持机构业业务需求的程程度对高级和详细的的控制目标进进行审计：获得了解：访谈：首席执行官（CCEO）首席运营官（CCOO）首席财务官（CCFO）首席信息官（CCIO）IT计划/指导导委员会成员员IT高级管理层层和人力服务务职员获得：与计划编制过程程想关联的政政策和程序高级管理层的指指导角色和责责任机构的目标和长长短期的计划划IT的目标和长长短期的计划划状况的报告和计计划/指导委员会会的会议纪要要评估控制：考虑是否：IT或者业务的的企业政策和和程序选择了了一种结构化化的计划编制制方法方法到位，以便便明确地表达达并能够修改改计划，起码码它们要包括括：• 机构的使命命和目的• 支持机构使使命和目的的的IT初始• IT初始的的机遇• IT初始的的可行性的研研究• IT初始的的风险评估• 当前和未来来IT的最佳投投资• 反映企业使使命和目的变变化的IT初始的再再造• 数据应用、技技术和机构可可选择战略的的评估机构的变化、技技术的发展、规规章的要求、业业务过程的再再造、员工的的安置、自己己开发和外包包，等等被考考虑，并在计计划编制过程程中充分地从从事长短期的IT计计划存在，是是当前的，充充分针对全部部企业、它的的使命和关键键的业务职能能部门IT项目由ITT计划编制方方法中确定的的适当文档所所支持确保IT目标和和长短期计划划持续地满足足机构目标和和长短期计划划的检查点存存在由过程所有者和和高级管理层层评价和结束束的IT计划发生生根据业务自动化化程度、功能能性、稳定性性、复杂性、成成本、优势和和弱点，ITT计划评估现现有的信息系系统对信息系统及其其支持的基础础设施的长期期计划编制的的缺乏，导致致系统不能支支持企业的目目标和业务的的过程，或者者不能提供适适当的完整、安安全和控制评定遵从性：测试：来自反映计划编编制过程的IIT计划编制制/指导委员会会的会议纪要要计划编制方法的的可交付使用用物的存在，作作为预先的规规定相关IT的初始始被包括在IIT长短期的的计划当中（也也就是硬件的的变化、容量量计划编制、信信息体系结构构、新系统开开发或获取、灾灾难恢复计划划编制、新处处理平台的安安装，等等）IT初始支持长长短期计划，并并要考虑调查查、培训、人人员安置、设设施、硬件和和软件的需求求IT初始的技术术含义已经被被确定最优化当前和将将来IT投资的考考虑已经给出出IT长短期计划划与机构的长长短期计划和和组织的需求求保持一致计划已经发生改改变，以反映映正在变化的的条件IT长期计划定定期转化成短短期计划存在实现计划的的任务证实没有满足业业务目标的风风险：执行：依照类似的机构构或者适当的的国际标准//公认的行业业最好实践的的战略IT计划的基基准确保IT初始反反映机构的使使命和目的的的IT计划的详详细评价决定是否机构之之内已经知道道的虚弱区域域正在被确认认为计划当中中IT解决方案案的一部分而而加以改进的的IT计划的详详细评价确定：满足机构使命和和目的的ITT失败与长期计划相匹匹配的短期计计划的IT失败满足短期计划的的IT项目的失失败满足成本和时间间准则的ITT失败错过的业务机遇遇错过的IT机遇遇2 定义信息体体系结构（PPO2）控制的IT过程程：定义信息体系结结构满足的业务需求求：优化信息系统的的机构实现路线：创建并维护一个个业务信息模模型，确保定定义适当的系系统，以优化化信息的使用用需要考虑的事项项：自动化的数据存存贮和字典数据语法规则数据所有权和关关键性/安全性程度度分类表述业务的信息息模型企业信息体系结结构标准信息息信息规范 ITT资源P 效果 人员员S 效率 * 应用S 保密 技术术S 完整 设施施可用 * 数据据遵从可靠2.1 信息体体系结构模型型信息应与需求保保持一致，并并应以某种格格式和期限进进行识别、获获取和交流，而而这些格式和和期限能使人人们及时、有有效地履行他他们的职责。

相相应地，围绕绕企业的数据据模型和相关关的信息系统统，IT的职能应应是建立并有有规律地更新新信息体系结结构模型信信息体系结构构模型应与IIT长期计划划保持一致2.2 企业数数据字典和数数据语法规则则IT的职能应确确保包含机构构数据语法规规则的企业数数据字典的建建立以及持续续的更新2.3 数据分分类方案在按信息类别（如如安全类）进进行分类的数数据放置以及及所有权分配配方面，应建建立一个总体体的分类框架架，应适当定定义各类别的的访问规则2.4 安全等等级对于上述确定的的每一个“不需要保护护”级别以上的的数据分类，管管理层应定义义、执行和维维护这些安全全等级对于于每一个分类类来讲，这些些安全等级应应描述适当的的（最小的）一一套安全和控控制尺度，应应定期进行再再评估并做相相应的修改对对于区域范围围广阔的企业业，应建立支支持不同安全全等级的标准准，以适应正正在发展的电电子商务、移移动计算和远远程办公环境境的需要对高级和详细的的控制目标进进行审计：获得了解：访谈：首席信息官（CCIO）IT计划/指导导委员会成员员IT高级管理层层安全官获得：与信息体系结构构相关的政策策和程序信息体系结构模模型支持信息体系结结构模型的文文档，包括企企业数据模型型企业数据字典数据所有者政策策高级管理层指导导的角色和责责任IT的目标和长长短期计划状况报告和计划划编制/指导委员会会会议纪要评估控制：考虑是否：IT政策和程序序选择了数据据字典的开发发和维护用于修改信息体体系结构模型型的过程是以以长短期计划划为基础的，考考虑了相关成成本和风险，并并且该模型变变化之前，要要确保高级管管理层同意有一个过程用来来保持数据字字典和数据语语法规则处于于最新状态有一个媒介用来来分发数据字字典，确保开开发区域的可可达性并立即即反映变化IT政策和过程程要选择数据据的分类，包包括安全种类类和数据所有有者，数据分分类的访问规规则要被清晰晰和适当地定定义要为那些不包含含数据分类标标识符的数据据资产定义缺缺省的分类标标准IT政策和程序序要选择以下下内容：• 需要数据所所有者（在数数据所有者政政策上定义）的的授权过程要要到位，以便便批准该数据据的所有访问问以及数据的的安全属性• 每一个数据据分类的安全全等级要被定定义• 访问等级被被定义，并且且对于数据分分类来说是适适当的• 访问敏感数数据需要清楚楚的访问级别别，数据的提提供要以“需要知道”为基础评定遵从性：测试：信息体系结构模模型上的变化化，确定这些些变化反映了了IT长短期计计划及其所确确定的成本和和风险评估数据字典的的任何修改以以及数据字典典上变化的影影响，确保它它们被有效地地沟通各种运作的应用用系统和开发发项目，以确确定数据字典典被用作数据据定义足够的数据字典典文档，以确确定这些文档档为每一个数数据项定义了了数据的属性性和安全等级级数据分类、安全全等级、访问问等级和缺省省的适当性每一个数据分类类都要清晰地地定义：• 谁可以访问问• 谁对决定适适当的访问级级别负责• 所需访问的的明确批准• 访问的特定定需求（也就就是非披露或或者保密性协协议）证实没有满足业业务目标的风风险：执行：依照类似机构或或适者国际标标准/公认的行业业最好实践的的信息体系结结构模型的基基准针对关键元素的的完整性，数数据字典的详详细评价对定义为敏感数数据的安全等等级的详细评评价，以校验验访问的适当当授权被获得得，被许可的的访问与定义义在IT政策和程程序中的一致致确定：信息体系结构模模型和企业数数据模型、企企业数据字典典、相关信息息系统以及IIT长短期计计划中的矛盾盾过时的企业数据据字典项和由由于数据字典典变化的不良良的沟通丧失失了时效性的的数据语法规规则？？？所有者不清楚和和/或没有适当当定义的数据据项没有被适当定义义的数据分类类与“需要才能知知道”的原则不一一致的数据安安全等级3 决定技术方方向（PO33）控制的IT过程程：决定技术方向满足的业务需求求：利用目前可用的的和正在出现现的技术，推推动业务战略略的实施并使使业务战略成成为可能实现路线：建立并维护技术术基础设施计计划，该计划划，依据产品品、服务和交交付机制，建建立并管理技技术能够提供供的清晰和现现实的预期需要考虑的事项项：当前基础设施的的容量通过可靠的来源源，监测技术术发展引导概念的检验验风险、约束和机机遇获取的计划移植战略和路线线与供应商的关系系独立的技术再评评估硬件和软件的性性能/价格比的变变化信息规范 ITT资源P 效果 人员员S 效率 应用用保密 * 技术术完整 * 设施施可用 数据遵从可靠3.1 技术基基础设施计划划编制IT的职能部门门应建立并有有规律地更新新与IT长期和短短期计划保持持一致的技术术基础设施计计划。

这样的的计划应围绕绕诸如系统体体系结构、技技术方向和移移植策略等方方面3.2 监测未未来的趋势和和法规IT的职能部门门应能够确保保对未来趋势势和法规环境境的持续监测测，以便这些些因素能够在在技术基础设设施计划的开开发和维护期期间被考虑在在内3.3 技术基基础设施的不不确定事件技术基础设施计计划应在偶然然事件方面（即即基础设施的的冗余、恢复复、充足性和和发展能力）进进行系统地评评估3.4 硬件和和软件获取计计划IT管理层应确确保制定硬件件和软件的获获取计划，并并要反映在所所确定的技术术基础设施计计划的需求中中3.5 技术标标准以技术基础设施施计划为基础础，IT管理层应应定义技术规规范以培养标标准化的意识识对高级和详细的的控制目标进进行审计：获得了解：访谈：首席执行官（CCEO）首席运营官（CCOO）首席财务官（CCFO）首席信息官（CCIO）IT计划/指导导委员会成员员IT高级管理层层获得：与技术基础设施施计划编制和和监控相联系系的政策和程程序高级管理层指导导角色和责任任机构目标和长短短期计划IT目标和长短短期计划IT硬件和软件件获取计划技术基础设施计计划技术标准状况报告和计划划编制/指导委员会会会议纪要评估控制：考虑是否：为确认被提议的的变化首先被被检查以评估估相关联的成成本和风险，为为确认高级管管理层的批准准先于计划的的变化被获得得，有一个创创造并有规律律地更新的技技术基础设施施计划的过程程技术基础设施计计划与IT长短期计计划相比较有一个过程来评评估机构的当当前技术状态态，确保环绕绕诸如系统体体系结构、技技术方向和移移植战略等方方面IT政策和程序序确保选择了了评估和监控控当前和将来来的技术趋势势和规章条件件的要求，并并且在技术基基础设施计划的开发和维维护期间被考考虑技术获取的后勤勤和环境影响响要被计划IT政策和程序序确保选择了了系统地评估估技术计划意意外的需求（也也就是基础设设施的冗余、恢恢复力、足够够性和发展能能力）IT管理层评估估正在出现的的技术，并将将适当的技术术合并到当前前的IT基础设施施之中对于硬件和软件件的获取计划划来讲，它是是遵从技术基基础设施计划划中所确定的的要求并被适适当地批准的的实践在技术术基础设施计计划中所描述述的技术组成成的技术标准准是到位的评定遵从性：测试：IT管理层理解解并使用技术术基础设施计计划技术基础设施计计划上的变化化，以确定相相关的成本和和风险，这些些变化要反映映在IT长短期计计划的变化中中IT管理层要理理解监控和评评估正在出现现技术的过程程，并要将适适当的技术合合并到当前的的IT基础设施施之中IT管理层要理理解系统评估估技术计划意意外的过程（也也就是说，基基础设施的冗冗余、恢复力力、充足性和和发展能力）为了充分地适应应目前的已安安装的硬件//软件以及在在当前被批准准的增加的新新的硬件/软件，IT职能部门门现有的物理理环境硬件和软件获取取计划遵从IIT长短期计计划，并要反反映技术基础础设施计划中中所确认的需需求技术基础设施计计划选择利用用当前和将来来的技术技术标准被遵循循，并作为开开发过程的一一部分而被合合成一体被允许的访问与与IT政策和程程序中所定义义的安全等级级相一致，到到位的访问要要经过适当的的授权证实没有满足业业务目标的风风险：执行：依照类似的机构构或者适当的的国际标准//公认的行业业最好实践的的技术基础设设施计划编制制的基准针对关键元素的的完整性，数数据字典的详详细评价为敏感数据而定定义的安全等等级的详细评评价确定：信息系统和ITT长短期计划划相关的信息息体系结构模模型和企业数数据模型、企企业数据字典典的矛盾企业数据字典条条款和数据语语法规则的过过时没有在技术基础础设施计划中中选择的以外外方面没能反映技术基基础设施计划划需求的ITT硬件和软件件的获取计划划与技术标准不一一致的技术基基础设施计划划或IT硬件和软软件获取计划划数据字典中丢失失的关键元素素没有按照同样标标准分类或者者没有安全等等级的敏感数数据4 定义信息技技术的机构及及关系（POO4）控制的IT过程程：定义IT的机构构及关系满足的业务需求求：提供正确的ITT服务实现路线：定义一个数量上上相配、具有有角色和职责责所要求技能能的机构，与与业务部门沟沟通、联合在在一起，促进进战略的实现现，并规定有有效的方向和和适当的控制制需要考虑的事项项：董事会层面上的的IT职责管理层对于ITT的指导和监监督IT与业务的结结合关键决策过程中中IT的参与机构的灵活性清晰的角色和职职责平衡授权与监督督工作岗位的描述述人员级别和关键键的人员在安全、质量和和内部控制功功能方面的机机构配置职责的分离信息规范 ITT资源P 效果 * 人员S 效率 应用用保密 技术完整 设施可用 数据遵从可靠4.1 IT 计划或指导导委员会机构的高级管理理层应指定一一个计划或者者指导委员会会，来检查IIT的职能及及其活动。

委委员会的会员员应包括来自自高级管理层层、用户管理理层和IT职能方面面的代表委委员会应实行行例会制度，并并向高级管理理层报告4.2 IT 职能的机构构设置在整个机构机构构设置IT职能过程程中，高级管管理层应确保保其权力、关关键时刻以及及与用户部门门的独立性到到必要的程度度，以便在执执行时能够保保证有效的IIT解决方案案和充分的进进展，并要建建立与顶级管管理层的伙伴伴关系，以便便在确定和解解决IT问题时，能能够帮助他们们增强意识、理理解和技能4.3 机构绩绩效的评价应设置一个框架架来评价机构构的机构，以以不断地满足足目标和变化化的环境4.4 角色和和责任管理层应确保机机构中所有人人员都具有并并理解他们在在相关信息系系统中的角色色和责任所所有的人员应应具有足够的的权力来行使使分派给他们们的角色和责责任角色的的设置应考虑虑适当的职责责分离没有有那个人能够够控制一个交交易或事件的的所有关键环环节每个人人都应认识到到他们在内部部控制和安全全方面具有一一定的责任因因此，应机构构并承担起有有规律的一些些活动，以增增强这方面的的意识和纪律律4.5 质量保保证的责任管理层应为ITT职能部门的的成员分配质质量保证职能能履行的责任任，并确保适适当的质量保保证、系统、控控制和存在于于IT职能质量量保证小组中中的专家们的的交流。

ITT职能内机构构的布置以及及质量保证小小组的职责和和规模应满足足机构的需求求4.6 逻辑和和物理安全的的责任管理层应为信息息安全经理正正式地分配确确保机构信息息资产物理和和逻辑安全的的责任，并负负责向高级管管理层报告最最起码，安全全管理职责应应建立在整个个机构范围的的层次上，以以便能够处理理一个机构内内的全部安全全问题如果果需要，系统统细节层次上上的附加安全全管理责任也也应被分配，以以应对相关的的安全问题4.7 所有者者和管理者管理层应正式建建立一个指定定数据所有者者和管理者的的结构他们们的角色和责责任应清楚地地定义4.8 数据和和系统的所有有者管理层应确保所所有信息资产产（数据和系系统）都已指指定了所有者者，他们对信信息资产的分分类和访问权权限具有决策策的权利典典型地，系统统所有者可以以将日常管理理委派给系统统的交付/操作小组，将将安全职责委委派给安全管管理员然而而，所有者仍仍然要保留对对适当安全尺尺度维护的责责任4.9 监督高级管理层应执执行适当的IIT职能的监监督实践，以以保证角色和和责任被完全全地行使，评评估所有的个个人是否有足足够的权力和和资源完成他他们的角色和和职责，并要要全面地评价价关键的绩效效指标。

4.10 职责责分离高级管理层应实实施角色和职职责的分离，避避免单独的个个人扰乱某个个关键的过程程管理层还还应确定每个个人仅执行其其工作和职位位规定的各自自的职责尤尤其是下列职职责之间责任任分离的应维维护信息系统使用数据录入计算机操作网络管理系统管理系统开发和维护护变更管理安全管理安全审计4.11 ITT 人员配备备员工需求评估应应有规律地执执行，以保证证履行IT职能所需需足够数量能能胜任的ITT员工员工工需求应至少少每年评估一一次，或根据据业务、运作作及IT环境的主主要变化而执执行评估结结果应尽快执执行，以确保保现在和将来来员工的充足足4.12 ITT 员工工作作和职位的描描述管理层应确保建建立IT员工的职职位描述，并并有规律地被被更新这些些职位描述应应清楚地描绘绘权力和责任任两方面，包包括相关职位位要求的技能能和经验的详详细说明，并并要适合在绩绩效评估中使使用4.13 关键键的IT 人员IT管理层应详详细说明和识识别关键的IIT人员4.14 与员员工签约的政政策和程序为了IT职能部部门控制咨询询和其它签约约个人的活动动，确保机构构的信息资产产处于保护之之中，管理层层应详细说明明和执行相关关的政策和程程序。

4.15 关系系IT管理层应采采取必要的行行动，在ITT职能部门和和其它各种有有利害关系的的内外部ITT职能部门（即即用户、供应应商、安全官官员、风险管管理者）之间间，建立并维维持一个最佳佳的协调、交交流、联络的的结构对高级和详细的的控制目标进进行审计：获得了解：访谈：首席执行官（CCEO）首席运营官（CCOO）首席财务官（CCFO）首席信息官（CCIO）质量保证官安全官IT计划/指导导委员会成员员、人力资源源和高级管理理层获得：高级管理层计划划/指导角色和和责任机构目标和长短短期计划IT目标和长短短期计划展示IT职能部部门与及其它它职能部门关关系的机构机机构图与IT机构和关关系相关联的的政策和程序序与质量保证相关关联的政策和和程序用来决定IT人人员需求的政政策和程序IT职能部门的的机构机构图图IT职能部门的的角色和责任任IT关键位置（工工作）的描述述状况报告和计划划/指导委员会会会议纪要评估控制：考虑是否：来自高级管理层层的政策声明明和沟通确保保IT职能部门门的独立和权权威IT计划/指导导委员会的成成员和职能部部门已经被定定义，责任已已经被确定IT计划/指导导委员会的章章程使委员会会的目的与机机构的目标和和长短期计划划以及IT的目标和和长短期计划划联盟增强确定和解决决信息管理问问题的意识、理理解和技能的的过程到位政策选择了满足足正在变化着着的目标和环环境的机构机机构的评估和和修改的要求求决定IT职能部部门效果和承承诺的过程和和绩效指标存存在高级管理层要确确保角色和责责任被执行勾画机构内所有有个人有关信信息系统内部部控制和安全全的角色和责责任的政策存存在增加内部控制和和安全意识以以及纪律的有有规律的活动动存在质量保证的职能能部门和政策策存在质量保证职能部部门要充分地地独立于系统统开发人员，并并要有执行其其责任的适当当人员和专门门技术确定时间资源并并确保质量保保证测试的完完成以及系统统或者系统变变化被执行前前的审批的质质量保证之内内的过程要到到位为了安全官的内内部控制和安安全（逻辑和和物理两者）政政策和程序的的明确表达，管管理层应正式式地分配机构构范围内的责责任安全官的职位的的角色和责任任的了解被充充分地理解，并并被证明与机机构的信息安安全政策一致致机构的安全全政策清晰地地定义每一个个信息资产的的所有者（如如，用户、管管理层和安全全管理员）被被要求执行的的信息安全的的责任含盖数据和系统统所有者所有有主要数据源源和系统的政政策和程序存存在有规律地评价并并维护数据和和系统所有者者变化的程序序存在描述监督实践，确确保角色和责责任被适当地地行使，并且且所有的人员员有足够的权权威和资源执执行其角色和和责任的政策策和程序存在在下列一对职责要要分离：• 系统开发和和维护• 系统开发和和运行• 系统开发//维护和信息息安全• 运行和数据据控制• 运行和用户户• 运行和信息息安全IT的人员安置置和能力被维维护，以确保保其具有提供供有效技术解解决方案的能能力IT职位（工作作）描述的评评估和再评估估的政策和程程序存在对于关键的过程程，包括系统统开发生命周周期活动（需需求、设计、开开发、测试）、信信息安全、获获取和容量的的计划编制，适适当的角色和和责任存在在实现机构的目目标方面，使使用适当和有有效的关键绩绩效指标和//或关键成功功因素测量IIT职能部门门的结果控制咨询者和其其它契约人员员活动的ITT政策和程序序存在，从而而确保机构的的资产的保护护适用于已签约IIT服务的适适当性的过程程，并要与机机构的获取政政策一致调整、沟通和归归档IT职能部门门高级职员会会内外部兴趣趣的过程存在在评定遵从性：测试：IT计划/指导导委员会检查查IT职能部门门及其活动以以及解决行动动条款IT职能部门报报告层次的适适当性在机构关于为顶顶级管理层提提供合作伙伴伴关系方面，IT职能部门的位置的有效性高级IT管理层层了解用来监监控、测量和和报告IT职能部门门绩效的过程程用来评估绩效的的关键指标当实际结果不能能满足目标水水平，依照目目标水平，决决定所采取的的校正行动的的分析实际结结果的过程为了来自期望的的绩效水平的的任何重大差差异，由管理理层所采取的的行动用户/所有者管管理层评估IIT职能部门门提供满足用用户/所有者需求求的信息技术术解决方案的的反应速度和和能力IT管理层知道道其角色和责责任涉及IT项目计计划的测试和和审批的质量量保证安全人员评价核核心操作系统统和应用系统统到位或正在开发发的评估信息息安全（逻辑辑和物理两者者）的安全职职能部门报告告或文档的适适当性信息安全政策和和程序的充分分了解和一致致应用出席信息安全和和内部控制培培训的人员对于所有的信息息资产，数据据和系统所有有权被定义数据和系统所有有者审批数据据和系统制造造的变化所有的数据和系系统具有一个个所有者或者者管理人，他他们负责控制制数据和系统统的水平所有数据和系统统资产的访问问由资产的所所有者审批与职位（工作）相相联系的权利利和监督的直直线要与在职职者的义务相相称职位（工作）描描述清楚地描描绘权利和责责任两者职位（工作）描描述清楚地描描述所需的业业务、相关的的和技术的资资格职位（工作）已已经被精确地地沟通，并由由个人所理解解IT职能部门的的职位（工作作）描述包含含已经沟通给给个人的关键键绩效指标IT职员的义务务和责任要对对应于已经公公布的职位（工工作）描述和和机构的机构构图两者关键职位的职位位（工作）描描述到位，包包括机构关于于信息系统、内内部控制和安安全的训令职位（工作）描描述的精确性性要与这些职职位在职者的的当前责任相相比较遵从IT职能部部门内有意的的职责分离以以及职责限制制的种类和范范围IT人员安置的的维持能力作为责任、权利利和绩效标准准的适当性和和透明度的基基础，职位（工工作）描述的的适当性合同管理的责任任分配给了适适当的人员合同的术语与正正常的机构合合同的标准相相一致，标准准契约术语和和条件已经由由法律的律师师评价和评估估，它们的同同意意见要获获得合同包含适当的的有关遵从性性的条款：法法人的安全和和内部控制政政策、信息技技术标准过程和/或结构构规定成功关关系所必须的的有效果和有有效率的协调调证实没有满足业业务目标的风风险：执行：依照类似的机构构或者适当的的国际标准//公认的行业业最好实践的的机构和关系系的基准决定由无效的IIT计划/指导委员会会所引起的机机构方面影响响的详细评价价在处理信息系统统问题和执行行技术解决方方案方面，测测量IT职能部门门进步的详细细评价评估机构的机构构、人员和个个人能力、分分配的角色和和责任、数据据和系统所有有权、监督、职职责分离等的的详细评价决定在满足机构构需求的有效效性方面的质质量保证职能能部门的详细细评价决定在提供机构构范围内信息息安全（逻辑辑和物理两者者）和信息安安全意识培训训有效性方面面的安全职能能的详细评价确定这些合同已已经由交易双双方适当地执执行并且遵从从机构的标准准合同术语的的合同实例的的详细评价确定：由于IT计划//指导委员会会无效监督所所引起的ITT职能及其活活动的弱点导致IT职能无无效果或无效效率的机构机机构的缝隙、重重叠，等等不适当的机构机机构、缺少的的职能、不充充足的人员、能能力不足、不不适当的角色色和责任、数数据和系统所所有权的混乱乱、监督的问问题、缺乏职职责分离，等等等确实满足质量保保证要求的正正在开发、修修改或者执行行的系统确实满足安全（或或者是逻辑的的，或者是物物理的，或者者是两者兼顾顾）需求的正正在开发、修修改或者执行行的系统不能满足机构的的合同要求的的合同IT职能部门和和各种各样其其它有兴趣的的IT职能部门门的内外之间间的无效协调调和沟通5 管理信息技技术投资（PPO5）控制的IT过程程：管理IT投资满足的业务需求求：保证资金并控制制财务资源的的支出实现路线：由业务决定的定定期投资和运运作预算的建建立和审批需要考虑的事项项：资金的选择清晰的预算所有有者实际支出的控制制成本的合理性和和所有者总成成本的意识收益的合理性和和收益实现的的责任制技术和应用软件件的生命周期期要与企业的业务务战略相结合合效果的评估资产管理信息规范 ITT资源P 效果 * 人员P 效率 * 应用保密 * 技术术完整 * 设施施可用 数据遵从S 可靠5.1 年度IIT 运营预预算高级管理层应执执行预算编制制过程，按照照机构的长期期和短期计划划以及IT的长期和和短期计划，保保证年度ITT运作预算的的建立和批准准。

应调查资资金的选择5.2 成本和和收益的监控控管理层应建立成成本监测的过过程，将实际际支出与预算算进行比较此此外，由ITT活动衍生出出来的可能存存在的收益应应被确定和报报告对于费费用监测来讲讲，实际数据据的来源应以以机构的会计计系统为基础础，该系统应应例行公事地地纪录、处理理并报告与IIT职能部门门的活动相关关的成本对对于收益的监监测来讲，高高层次的绩效效指标应被详详细地说明，有有规率地进行行报告并对其其适当性进行行评价5.3 成本和和收益的合理理性管理控制应设置置到位，以保保证IT职能部门门交付服务的的成本是合理理的并符合行行业标准由由IT活动衍生生出来的收益益也应做同样样应的分析对高级和详细的的控制目标进进行审计：获得了解：访谈：首席财务官（CCFO）首席信息官（CCIO）IT计划/指导导委员会成员员IT高级管理层层获得：与预算和成本核核算相联系的的机构的政策策、方法和程程序与预算和成本核核算相联系的的IT政策和程程序当前和最近的以以前年度ITT职能部门的的年度运作预预算机构目标和长短短期计划IT目标和长短短期计划高级管理层计划划/指导的角色色和责任与差异监控和控控制相连接的的差异报告及及其它沟通状况报告和计划划/指导委员会会会议纪要评估控制：考虑是否：IT预算的过程程与机构的过过程一致确保与机构的预预算、机构的的长短期计划划、IT长短期计计划相一致的的年度IT运作预算算的准备和适适当审批的政策和程序的到到位预算过程要与在在准备阶段起起作用的ITT职能部门的的主要单位的的管理层分享享有规律地监控实实际成本，并并将其与计划划的成本相比比较的政策和和程序要到位位，实际的成成本是以机构构的成本会计系统为基基础的保证IT职能部部门的服务交交付具有合理理的成本并遵遵守行业成本本的政策和程程序到位评定遵从性：测试：在证明IT年度度运作计划是是合理的方面面，IT预算的支支持是适当的的IT支出的种类类是全面的、适适当的并进行行了适当的分分类日常记录、处理理和报告与IIT职能部门门活动相联系系的成本的系系统是适当的的成本监控过程充充分地比较实实际的预算由受影响的用户户组的管理层层、IT职能部门门以及机构的的高级管理层层所进行的成成本/效益分析被被充分地评价价用来监控成本的的工具是有效效的并适当地地使用证实没有满足业业务目标的风风险：执行：依照类似的机构构或者适当的的国际标准//公认的行业业最好实践的的预算和成本本的基准最近的过去和当当前的年度预预算，及与之之相对的结果果、差异和所所采取的校正正行动的详细细评价确定：没有按照机构的的预算和长短短期计划、IIT长短期计计划懂得ITT预算没有被捕捉到的的IT职能部门门的实际成本本6 沟通管理的的目标和方向向（PO6）控制的IT过程程：沟通管理的目标标和方向满足的业务需求求：确保用户知晓并并理解这些目目标实现路线：建立政策并与用用户团体进行行交流；此外外，需要建立立标准，以便便将战略性选选择转化为实实际及便于使使用的用户规则需要考虑的事项项：清晰统一的使命命连接业务目标的的技术方针行为/道德规范范的法规质量承诺安全和内部控制制政策安全和内部控制制实践实例引导持续的沟通程序序提供指导和遵从从性检查信息规范 ITT资源P 效果 * 人员效率 应用保密 技术完整 设施可用 数据S 遵从可靠6.1 积极的的信息控制环环境为了给正确的行行为提供指导导，消除不道道德行为的诱诱惑并严肃纪纪律，管理层层应建立一个个全机构范围围内培育积极极控制环境的的框架和认知知程序。

这些些框架和程序序应专注于员员工的诚信、伦伦理价值和能能力以及管理理哲学、操作作风格和义务务针对ITT的各方面，包包括安全和业业务持续性计计划，要给予予具体的考虑虑6.2 管理层层在政策方面面的责任对于覆盖总体目目标和方针的的政策而言，管管理层应对政政策的阐明、开开发、声明、公公布和控制承承担全部责任任政策适当当性的评价应应有规率地进进行撰写的的政策及其程程序的复杂性性应总是与机机构的规模和和管理风格相相一致6.3 机构政政策的沟通管理层应确保机机构政策在机机构内的所有有层次上被清清晰地沟通、理理解并被接受受沟通过程程应由一套使使用灵活多变变沟通手段的的有效计划所所支持6.4 政策执执行资源为了政策的执行行，为了确保保政策的遵循循，管理层应应对适当的资资源做出计划划，以使它们们构筑到并成成为运作的一一个完整组成成部分管理理层还应监控控政策执行的的及时性6.5 政策的的维护政策应被有规率率地调整，以以适应变化的的条件政策策起码应按年年或者根据运运行或业务环环境的重大变变化而进行重重新评估，评评估它们的充充分性和适当当性，并做必必要的修改对对于定期的评评价以及标准准、政策、方方针和程序的的审批，管理理层应提供一一个框架和过过程。

6.6 遵从政政策、程序和和标准管理层应确保合合适的程序设设置到位，以以判定每个人人是否理解了了执行的政策策和程序，以以及这些程序序和政策是否否被遵循伦伦理道德、安安全和内部控控制标准的遵遵从程序应由由最高管理层层来建立，并并由实例来促促进其贯彻执执行6.7 质量义义务管理层应定义、形形成文件并维维护与企业价价值观和政策策相一致的质质量价值观、政政策和目标，这这些质量价值值观、政策和和目标应被IIT职能部门门的所有层次次所理解、执执行和维持6.8 安全和和内部控制框框架政策管理层应对开发发并维护框架架的政策付全全部责任，这这个框架设立立机构的总体体安全和内部部控制的方法法，以建立并并改善IT资源的保保护和IT系统的完完整政策应应服从总体业业务目标，目目标是：通过过预防性措施施、及时辨识识不规范行为为、限制损失失和及时恢复复，使风险最最小化这种种措施应以成成本/收益分析为为基础，并应应区分优先顺顺序另外，管管理层应确保保这些高层次次的安全和内内部控制政策策详细说明了了目的和目标标、管理结构构、机构内的的适用范围、在在所有层次上上执行的责任任的定义和分分配以及对违违背安全和内内部控制政策策行为的处罚罚的定义。

应应详细说明框框架定期再评评估的标准，以以对正在变化化着的机构、环环境和技术需需求做出支持持响应6.9 知识产产权管理层应规定并并执行有关自自行开发和签签约开发软件件的知识产权权方面的书面面政策6.10 特定定问题政策措施应设置到位位，确保细节节问题政策的的建立，以便便在从事特殊殊的活动、应应用、系统或或技术时，归归档管理决策策6.11 ITT 安全意识识的沟通应通过一个ITT安全意识教教程，将ITT安全政策沟沟通给每一个个IT用户，并并保证对ITT安全重要性性的完整理解解这个教程应传达达这样一种信信息，那就是是IT安全将使使它的机构、它它的所有雇员员受益，每个个人对此都负负有责任IIT安全意识识教程应代表表管理层的观观点并被他们们所支持对高级和详细的的控制目标进进行审计：获得了解：访谈：首席执行官（CCEO）首席运营官（CCOO）首席财务官（CCFO）首席信息官（CCIO）安全官IT高级管理层层IT计划/指导导委员会成员员获得：与管理层的积极极控制框架、认认知程序、安安全和内部控控制框架、IIT质量程序序相关的政策策和程序高级管理层的指指导角色和责责任机构的目标和长长短期计划IT的目标和长长短期计划状况报告和计划划/指导委员会会会议纪要沟通程序评估控制：考虑是否：机构的政策和程程序创造了一一个框架和程程序，给予信信息技术以特特别的关注，培培育一个积极极的控制环境境，并选择如如下的方面：：• 完整• 伦理价值• 行为规范• 安全和内部部控制• 人员的能力力• 管理哲学和和运作风格• 由董事会的的董事或相同同人物提供的的问责制、注注意和方向由例子说明顶级级管理层促进进积极的控制制环境管理层已经接受受了明确叙述述、开发、归归档、发布、控控制并有规律律地评价治理理总目标和方方向的政策的的责任提供相关于管理理层的积极的的控制环境的的正在进行的的沟通和培训训的正式的认认知程序存在在确保适当的和足足够的资源被被分配，以便便以及时的方方式执行机构构的政策的机机构政策和程程序存在确保个人理解被被执行的政策策和程序，政政策和程序被被追随的适当当的程序到位位IT政策和程序序定义、归档档并维持一个个正式的治理理系统和服务务质量的哲学学政策和目标标，其产生要要与机构的哲哲学、政策和和目标相一致致IT管理层确保保质量哲学、政政策和目标被被理解、执行行并在IT职能部门门的所有层次次上执行选择了定期评价价和重新批准准的关键标准准、方向、相相关于信息技技术的政策和和程序需求的的程序存在高级管理层已经经接受了为总总体的安全和和内部控制方方法开发一个个框架的全部部责任安全和内部控制制框架归档了了详细的安全全和内部控制制政策、目的的和目标、管管理结构机构构之内的范围围、责任的分分配以及遵从从安全与内部部控制政策失失败相关的处处罚和惩戒的的定义正式的安全和内内部控制政策策确定机构的的内部控制过过程，包括诸诸如下述控制制组件：• 控制环境• 风险评估• 控制活动• 信息和沟通通• 监控归档选择特殊活活动、应用、系系统或技术的的管理决策的的发行的特定定政策存在评定遵从性：测试：在培育积极的控控制方面管理理层的努力，包包括诸如这些些关键的方面面：诚实、伦伦理价值、行行为规范、安安全和内部控制、人人员的能力、管管理哲学和操操作风格、问问责制、所提提供的关注和和方向雇员已经收到了了行为规范并并理解它选择机构的内部部控制环境的的政策的管理理层的沟通正正在发生管理层明确叙述述、开发、归归档、发布和和控制的包含含内部控制环环境的政策的的资源承诺正正在发生标准、方向、政政策和程序的的持续适当性性及其适应变变化条件能力力的管理层的的有规律地评评价管理层的监控努努力正在确保保适当的和足足够的资源被被分配以便以以及时的方式式执行机构的的政策管理层关于其内内部控制环境境的相关标准准、方向、政政策和程序的的强制努力正正确保贯穿机机构的遵从性性质量哲学、政策策和目标正决决定遵从性，并并与机构的法法人和IT职能哲学学以及政策和和程序相一致致挑选的的IT管管理、开发和和运行人员正正在决定质量量哲学，相关关的政策、程程序和目标被被理解，并被被IT职能部门内所有层次次所遵循质量测量过程正正在确保机构构目标的满足足挑选的的管理成成员在他们的的评价责任之之下被包括并并理解安全和和内部控制活活动的内容（也也就是说，例例外报告、调调和、比较，等等等）个人的角色、责责任和权利在在机构的所有有层次上被清清楚地沟通和和理解挑选的的部门评评估日常监控控安全和内部部控制活动的的程序（也就就是说，例外外报告、调和和、比较，等等等），为管理层提供反反馈的过程正正在发生挑选的的系统归归档确定，按按照机构的政政策和程序，系系统特定的管管理决策已经经被归档和批批准挑选的的系统归归档确定，选选择特定活动动、应用系统统或技术的管管理决策已经经由高级管理理层签署证实没有满足业业务目标的风风险：执行：依照类似的机构构或者适当的的国际标准//公认的行业业最好实践的的管理的信息息控制框架和和认知程序的的基准与项目相关的、以以成本/效益分析为为基础决定项项目优先顺序序和审批的、被被批准的安全全和内部控制制实例的详细评价确定：开始怀疑管理层层在贯穿机构构范围内培育育积极的内部部控制环境承承诺的虚弱的的控制框架选择机构的内部部控制环境，有有效地沟通其其政策的管理理失败被分配用来明确确叙述、开发发、归档、发发布和控制的的包含内部控控制环境的政政策的资源的的缺乏不是最近的标准准、方向、政政策和程序确保标准、方向向、政策和程程序贯穿机构构之内遵守的的不充分的管管理遵从监控控IT职能部门在在其质量或其其有效定义、归归档、维持并并沟通质量哲哲学、政策和和目标能力承承诺方面的不不足在机构的和/或或IT职能部门门的安全和内内部控制框架架方面的弱点点缺少所需要的选选择特定活动动、应用或技技术的特定问问题的政策7 管理人力资资源（PO77）控制的IT过程程：管理人力资源满足的业务需求求：获取和维持一个个被激发和有有能力的工作作队伍，最大大化个人对IIT过程的贡贡献实现路线：在员工的招募、训训练、检查、报报酬、培训、评评价、职位升升降和解雇中中，体现健全全、公正和透透明的人事管管理实践需要考虑的事项项：招募和升职培训和任职要求求意识的建立交叉培训和轮岗岗雇用、检查和解解雇程序目标和可测量绩绩效的评估技术和市场变化化的响应内部和外部资源源的适当平衡衡关键职位的继任任计划信息规范 ITT资源P 效果 * 人员P 效率 应用用保密 技术完整 设施可用 数据遵从可靠7.1 人员招招募和升职在人员的招募和和升职实践中中，管理层应应执行并有规规律地评估所所要求的过程程，以确保人人员的招募和和升职实践依依据以的标准准为基础，并并考虑了教育育背景、经验验和责任。

这这些过程应符符合整个机构构在这些方面面的政策和程程序，比如雇雇用、方向、培培训、评估、商商讨、晋升、报报酬和训练等等程序管理理层应确保知知识和技能需需求被不断地地评估，并且且要保证机构构能够获得一一个达到机构构目标所需要要的相匹配技技能的工作队队伍7.2 人员的的任职资格IT管理层应有有规律地查验验执行具体任任务的职员，看看看他们在适适当的教育、培培训和（或）经经历的方面，是是否具有所需需要的资格管管理层应鼓励励它的职员获获得专业机构构的认证资格格7.3 角色和和责任管理层应清晰地地说明职员的的角色和责任任，包括遵守守管理政策和和程序、道德德规范和职业业惯例的规定定的要求雇雇佣的期限和和条件应强调调雇员对于信信息安全和内内部控制的责责任7.4 人员培培训管理层应确保雇雇员得到雇用用方向和在职职的培训，以以维持他们的的知识、技能能、能力和安安全意识到所所需的有效完完成工作的水水平引导有有效地提高员员工的技术和和管理技能水水平的教育和和培训程序应应被有规律地地检查7.5 交叉培培训或人员后后备管理层应提供充充足的交叉培培训或确认的的关键人员的的备份，以防防不测管理理层应对所有有关键的职能能和岗位建立立持续性计划划，应要求敏敏感岗位的人人员休息一段段连续的足够够长度的假期期，以锻炼机机构应付关键键人员的效效效、预防和探探测欺诈行为为的能。