第三章、信息系统治理
1、IT治理基础(掌握)
IT治理起到重要的统筹、评估、指导、监督作用
1、IT治理的目标价值
主要目标:
- (1)与业务目标一致
- 保证信息技术开发利用跟上持续变化的业务目标
- (2)有效利用信息与数据资源
- (3)风险管理
2、IT治理的管理层次
IT治理要保证总体战略目标能够从上而下贯彻执行,治理层主要集中在最高管理层和管理执行层
管理层分为:
(1)最高管理层
- 证实IT战略与业务战略是否一致;
- 证实通过明确的期望和衡量手段交付IT价值;
- 指导IT战略、平衡支持组织当前和未来发展的投资;
- 指导信息和数据资源的分配。
(2)执行管理层
- 制定IT的目标;
- 分析新技术的机遇和风险;
- 建设关键过程与核心竞争力;
- 分配责任、定义规程、衡量业绩;
- 管理风险和获得可靠保证等。
(3)业务与服务执行层
- 信息和数据服务的提供和支持;
- IT基础设施的建设和维护;
- IT需求的提出和响应。
2、IT治理体系(了解)
IT治理体系的具体构成包括:
(1)IT定位
IT应用的期望行为与业务目标一致
(2)IT治理架构
业务和IT在治理委员会中的构成、组织IT与各分支机构的IT权责边界等
(3)IT治理内容
投资、风险、绩效、标准和规范等;
(4)IT治理流程
统筹、评估、指导、监督;
(5)IT治理效果
内外评价
1、IT治理关键决策
包括IT原则、IT架构、IT基础设施、业务应用需求、 IT投资和优先顺序
2、IT治理体系框架
包括IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和IT绩效目标
3、IT治理核心内容
IT治理本质上关心:
①实现IT的业务价值;②IT风险的规避
IT治理的核心内容包括六个方面:
组织职责、 战略匹配、 资源管理、 价值交付、 风险管理和绩效管理。
4、IT治理机制经验
建立IT治理机制的原则包括:
①简单
②透明
③适合
3、IT治理任务(了解)
五个方面:
全局统筹、价值导向、机制保障、创新发展、文化助推
4、IT治理方法与标准(掌握)
- 我国信息技术服务标准库中IT治理系列标准(ITSS)
- 信息和技术治理框架(COBIT)
- IT治理国际标准(ISO/IEC38500)
1、ITSS中IT服务治理
(1)IT治理通用要求
GB/T34960.1《信息技术服务治理第1部分:通用要求》规定了IT治理的模型和框架、实施IT治理的原则, 以及开展IT顶层设计、管理体系和资源的治理要求。
该标准可用于:
- ①建立组织的IT治理体系,并实施自我评价;
- ②开展信息技术审计;
- ③研发、选择和评价IT治理相关的软件或解决方案;
- ④第三方对组织的IT治理能力进行评价。
该标准定义的IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域
①顶层设计治理域
- 信息技术的战略,以及支撑战略的组织和架构
②管理体系治理域
- 管理体系治理域包含信息技术相关的质量管理、项目管理、投资管理、服务管理、业务连续性管理、信息安全管理、风险管理、供方管理、资产管理和其他管理;
③资源治理域
- 信息技术相关的基础设施、应用系统和数据
(2)IT治理实施指南
信息技术服务治理第2部分:实施指南:
该标准适用于:
- 建立组织的IT治理实施框架,明确实施方法和过程;
- 组织内部开展IT治理的实施;
- IT治理相关软件或解决方案实施落地的指导;
- 第三方开展IT治理评价的指导。
IT治理实施框架包括治理的实施环境、 实施过程和治理域。
2、信息和技术治理框架
治理流程由董事会和执行管理层负责
管理流程由高级和中级管理层负责
董事会和执行管理层负责:
- 评估、指导和监控领域
高级和中级管理层负责
- 调整、规划和组织(APO)领域
- 内部构建、外部采购和实施(BAI)
- 交付、服务和支持(DSS)
- 监控、 评价和评估(MEA)领域。
3、IT治理国际标准
ISO/IEC 38500,该规定治理机构通过评估、 指导和监督三个主要任务来治理IT。
5、IT审计基础(掌握)
作用:
- 监督
- 提高治理水平
- 促进目标的实现
重要性:
IT审计风险(固有风险、控制风险、检查风险)对组织影响的严重程度
1、IT审计定义(掌握)
2、IT审计目的(了解)
对组织是否实现IT目标进行审查和评价,充分识别与评估相关IT风险,提出评价意见及改进意见。
目标:
- ①组织的IT战略应与业务战略保持一致;
- ②保护信息资产的安全及数据的完整、可靠、有效;
- ③提高信息系统的安全性、可靠性及有效性;
- ④合理保证信息系统及其运用符合有关法律、法规及标准等的要求。
3、IT审计范围(掌握)
4、IT审计人员(了解)
根据GB/T34690.4《信息技术服务治理第4部分:审计导则》,对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面。
5、IT审计风险(掌握)
6、审计方法与技术(掌握)
1、IT审计依据与准则(掌握)
IT审计活动的开展需要结合相关法律法规、准则与标准
2、IT审计常用方法(掌握)
常用审计方法包括:访谈法、 调查法、 检查法、 观察法、 测试法和程序代码检查法
3、IT审计技术(掌握)
包括:风险评估技术、审计抽样技术、计算机辅助审计技术、大数据审计技术。
(1)风险评估技术
- 风险识别技术:包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等。
- 风险分析技术:是对风险影响和后果进行评价和估量,包括定性分析和定量分析。
- 风险评价技术:揭示影响成败的关键风险因素,包括单因素风险评价和总体风险评价。
- 风险应对技术:IT技术体系中为特定风险制定的应对技术方案,包括云计算、 冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等。
(2)审计抽样技术
(3)计算机辅助审计技术
以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术。 它并非电算化系统审计特有的一种方法,对手工系统的审计也可应用这些技术。包括多种工具和技术,如通用审计软件(GAS)、测试数据、实用工具软件、专家系统等。
(4)大数据审计技术
大数据审计技术包括大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术等。
4、IT审计证据(掌握)
5、IT审计底稿(掌握)
审计工作底稿是审计证据的载体。
分为:综合类工作底稿、业务类工作底稿、备查类工作底稿
7、审计流程(了解)
分为:审计准备、审计实施、审计终结、后续审计
8、审计内容(了解)
分为:
- (1)IT内部控制审计
- (2)IT专项审计