1、 HYPERLINK 第二章 IIT治理理與管理理A. ITT治理 A1. 公司司治理 指指所有者者、經營營者和監監督者之之間通過過公司權權力機關關（股東東大會）、經經營決策策與執行行機關（董董事會、經經理）、監監督機關關（監事事會）而而形成權權責明確確、相互互制約、協協調運轉轉和科學學決策的的聯系，并并依法律律、法規規、規章章和公司司章程等等規定予予以制度度化的統統一機制制； 公司治理強強調企業業中權力力、角色色的合理理分配和和對股東東的平等等對待；信息披披露與透透明；董董事會的的職責；為企業業提供合合理的戰戰略指南南；董事事會對管管理層進進行有效效的監督督，董事事會必須須向企業業和股東東負

2、責。 公司治理框框架中一一個很重重要內容容就是要要建立內內部控制制體系管管理和報報告業務務風險。A2.ITT治理 IIT治理理是一個個綜合術術語，它它包括信信息系統統、技術術和通訊訊，業務務、法律律相關事事務，所所有利益益相關方方、董事事會、高高級管理理層、流流程所有有人、IIT供應應商、用用戶和審審計師。治治理有助助于確保保IT和和企業目目標保持持一致。 有效的公司司治理注注重個人人和團隊隊在特定定領域中中最有效效的專門門技能和和經驗。長長期以來來，僅作作為組織織戰略促促進因素素的信息息技術，現現在被看看作是整整體戰略略的一部部分。CCEO、CCOO、CCFO、CCIO和和CTOO在ITT與

3、企業業目標間間能達成成戰略一一致是關關鍵成功功因素。通通過經濟濟、有效效地使 用安全全、可靠靠的信息息和應用用技術，IIT治理理能有助助于實現現這個關關鍵成功功因素。信信息技術術對企業業的成功功是如此此重要，因因此，不不能把其其職責放放給ITT管理人人員或IIT專家家，而必必須得到到整個高高級管理理層的關關注。 IT治理的的定義 ITGII：IT治理理是董事事會和最最高管理理層的職職責，是是企業治治理的重重要組成成部分。IIT治理理由領導導、組織織結構以以及相關關流程組組成，這這些流程程能保證證組織的的IT有有效支持持及促進進組織戰戰略目標標的實現現。 IT治理理一般關關注兩方方面的問問題：I

4、IT增加加商業價價值和IIT風險險得到控控制。前前者通過過使ITT戰略與與業務保保持一致致來達到到，后者者通過向向企業分分配責任任來驅動動。 IT治理理的關鍵鍵因素是是IT與業業務保持持一致，以以實現業業務價值值。 IT治理理的主要要流程有有：ITT資源管管理、績績效測評評和合規規管理 IT治理理回答下下述問題題 在在IT戰略略決策中中哪些利利益相關關者有發發言權？ 誰決定ITT投資及及其優先先級順序序？應當建立哪哪些ITT委員會會，由什什么人組組成？其其職責是是什么？向誰報報告？ CCIO的的角色和和職責有有哪些？ 如如何控制制IT使其其滿足業業務需求求？ 如如何評價價IT職能能的績效效？

5、IT治理理的目標標 指指導ITT工作，確確保ITT績效滿滿足ITT目標、符符合企業業目標要要求，實實現預期期利潤 幫幫助企業業開拓商商機，實實現利益益最大化化 充充分利用用IT資源源 適適當控制制IT相關關風險 IT治治理與公公司治理理 公公司治理理主要關關注利益益相關者者權益和和管理，包包括一系系列責任任和條例例，由最最高管理理層（董董事會）和和執行管管理層實實施； 公公司治理理目的是是提供戰戰略方向向，保證證目標能能夠實現現，風險險適當管管理，企企業資源源合理使使用； IIT治理理是公司司治理的的重要組組成部分分，是董董事會或或最高管管理層的的責任； IIT治理理由領導導、組織織結構以以及

6、相關關流程組組成，這這些流程程能保證證組織的的IT能能有效支支持及促促進組織織戰略目目標的實實現，同同時控制制風險、降降低成本本、提高高績效。 公司治治理可以以驅動和和調整IIT 治治理，同同時，IIT 能能夠為公公司治理理提供關關鍵的輸輸入，形形成戰略略計劃的的一個重重要組成成部分 公司治理理和ITT 治理理都是“他律”機制，是是如何“管好管管理者”的機制制，其目目標也是是一致的的：達到到業務持持續運營營，并增增加組織織的長期期獲利機機會。 IT治治理與IIT管理理 IT 管理理是公司司的信息息及信息息系統的的運營，確確定ITT 目標標以及實實現此目目標所采采取的行行動而IT 治治理是指指最

7、高管管理層（董董事會）利利用它來來監督管管理層在在IT 戰略上上的過程程、結構構和聯系系，以確確保這種種運營處處于正確確的軌道道之上。簡簡言之，是是“對管理理的管理理” IT 管理理就是在在既定的的IT 治理模模式下，管管理層為為實現公公司的目目標而采采取的行行動缺乏良好IIT 治治理模式式的公司司，即使使有“很好”的IT 管理體系系（而這這實際上上是不可可能的），就就像一座座地基不不牢固的的大廈 同樣，沒有有公司IIT 管管理體系系的暢通通，單純純的治理理模式也也只能是是一個美美好的藍藍圖，而而缺乏實實際的內內容IT治理的的層次 在在企業戰戰略層上上 ITT治理要要與公司司治理結結構、企企業

8、戰略略規劃進進行集成成，使IIT治理理作為公公司治理理的一部部分； 在治治理結構構上體現現IT的位位置與作作用，使使IT議題題要進入入董事會會（或者者是監事事會、最最高管理理當局）下下的戰略略委員會會、審計計委員會會、安全全委員會會； 董事事會要確確保ITT的執行行與監管管分開，監監管機制制要獨立立并持續續運行、溝溝通與反反饋機制制要持續續有效； ITT治理要要求向董董事會和和最高管管理層分分配職責責，并要要求其完完成一系系列活動動。 在企業戰術術面上 雖然然IT治理理集中在在董事會會最高管管理層，但但由于IIT治理理的復雜雜性和專專業性，治治理層必必須依賴賴企業在在戰術層層面上提提供必要要的

9、控制制框架來來保證治治理職責責的落實實； 為了了保證IIT與業業務目標標一致，充充分利用用有限的的IT資源源，提高高績效，降降低風險險與控制制成本，按按照國際際普遍接接受的企企業內部部控制標標準，在在戰術層層面建立立有效的的IT控控制框架架并監督督實施。 COOBITT、ITTIL、IISO1177999 需需求識別別、數據據標準化化、項目目管理 IT治理域域 一些著名的的機構(Garrtneer、CSCC、AICCPA/CICCA、CIOO Maagazzinee ）通通過調查查認為最最受ITT管理層層關注的的問題，已已經從技技術領域域逐漸轉轉向管理理相關領領域； 這些問問題可以以歸結為為五

10、個IIT治理理域：戰戰略一致致、價值值交付、風風險管理理、資源源管理和和績效考考評，其其中有兩兩個核心心，一是是IT要要向業務務交付價價值，二二是降低低風險。前前者由IIT與業業務的戰戰略一致致驅動，后后者由企企業內部部建立的的責任分分工驅動動； 這兩者者都需要要獲得足足夠的資資源并進進行績效效考評，以以保證獲獲得預期期的結果果； 這五個域域都受利利益相關關者價值值驅動，其其中價值值交付、降降低風險險是結果果，戰略略一致績績效考評評是驅動動力，IIT資源源管理為為治理提提供支持持。 五個IT治治理域： 戰略一致致- 強調調IT與業業務保持持一致，提提供協調調的解決決方案。 價值交付付- 確保保

11、IT實現現了預期期戰略收收益，集集中關注注成本的的優化，提提供ITT的固有有價值。 風險管理理- 將風風險管理理職責嵌嵌入組織織中，包包括ITT資產的的保護、災災難恢復復和業務務連續性性。 資源管管理- 對IT資源源（應用用系統、信信息、基基礎設施施和人員員）的優優化投資資并適當當管理，關關鍵問題題在于知知識和基基礎設施施的優化化。 績效考評評- 追蹤蹤并監控控戰略實實施、資資源使用用、流程程績效、服服務交付付以及諸諸如平衡衡記分卡卡的使用用等，監監督ITT服務質質量。沒沒有績效效測量就就無法對對以上四四個域進進行有效效管理。 IT治理的的關鍵因因素 IT治理的的關鍵因因素就是是要使IIT與業

12、業務融合合，以實實現組織織的業務務價值。通通過ITT治理框框架和最最佳實踐踐的應用用，在組組織內促促成目標標實現。IIT治理理框架和和最佳實實踐是由由一系列列組織結結構、流流程及相相關機制制組成。 關鍵的IIT治理理因素包包括：IIT戰略略委員會會、風險險管理和和標準IIT平衡衡記分卡卡。 審計師在IIT治理理中的職職責 審計是組織織成功實實施ITT治理的的一個重重要角色色，對于于向高級級管理層層提供建建議，幫幫助改善善IT治治理質量量和效果果而言，審審計處在在最佳的的位置； 通過引入審審計師獨獨立的、中中立的觀觀點，可可以對IIT治理理績進行行持續有有效的監監督、分分析、評評估，以以指導與與

13、改進與與IT治治理相關關的ITT過程； IS審計師師的要對對IT治理理的各個個方面進進行評估估IS職能能與組織織使命、愿愿景、價價值、目目標和戰戰略的一一致性 法律律、環境境、信息息質量、委委托、安安全和隱隱私方面面的要求求 組織織的控制制環境 ISS環境的的固有風風險 A3.IT戰戰略委員員會 是是董事會會實施其其IT治理理目標的的重要機機制，一一般隸屬屬于董事事會，由由董事會會成員及及非董事事會成員員組成，它它主要職職責是協協助董事事會治理理和監督督企業的的IT相相關事務務; IIT戰略略委員會會應當保保證在組組織中以以結構化化的方式式來實施施IT治治理，而而且董事事會可以以獲得足足夠的信

14、信息來實實現ITT治理的的最終目目標。 組組織在執執行經理理層設置置IT指導導委員會會來處理理關系到到整個組組織的IIT事務務，比如如：追蹤蹤IT投投資、設設定項目目優先級級、分配配IT資資源等。 指指導委員員會職責責分析表表是CIISA應應當掌握握的知識識 A4.IT平平衡記分分卡（BBSC） 績績效測評評是企業業管理中中的重要要因素，沒沒有績效效測評就就無法對對業務進進行有效效管理，但但隨著企企業創造造價值的的方式由由有形資資產逐漸漸轉向無無形資產產，對無無形資產產的衡量量，不能能采用傳傳統的針針對有形形資產的的財務數數據方式式； 平平衡記分分卡是目目前企業業管理中中較流行行的績效效測量工

15、工具，它它可以把把企業戰戰略轉化化為實際際的行為為，從而而實現企企業目標標； 這這種績效效測評系系統超出出了傳統統的財務務記帳方方式，它它不僅衡衡量財務務數據，還還要對業業務過程程與基于于知識的的資產等等方面進進行測評評，在顧顧客滿意意度、內內部流程程和創新新能力等等方面進進行了補補充，組組成了財財務、客客戶、過過程和學學習四個個視角。 標標準ITT平衡記記分卡是是CISSA應當當掌握的的內容。 平衡記分卡卡的四個個視角： 財務務視角為使股東東滿意，我我們需要要達到什什么樣的的財務目目標？ 客戶戶視角為實現現財務目目標，我我們需要要服務什什么樣的的客戶？ 過程程視角為了提高高客戶和和利益相相關

16、者的的滿意度度，我們們需要建建立什么么樣的內內部業務務過程？ 學習習視角為了達達成目標標，組織織應當如如何學習習與創新新？ 為了把平衡衡記分卡卡應用于于IT，還還應使用用一個三三層構架架來描述述其四個個方面的的評價要要素： 使命 成為首首選的信信息系統統供應商商 經濟、有有效地交交付ITT應用系系統和服服務 IT投投資能獲獲得一個個合理的的業務回回報 抓住機機遇應對對未來挑挑戰 戰略 開發良良好的應應用系統統與運營營 建立用用戶伙伴伴關系和和良好的的客戶服服務 提高服服務水平平，優化化價格結結構 控制ITT費用 為IT項目目賦于業業務價值值 提供新新的業務務能力 培訓和和教育IIT職員員，追求

17、求卓越 為研究究和開發發提供支支持 措施 提供一一套穩定定的指標標（如KKPI ）來指指導面向向業務的的IT決策策 ITT平衡記記分卡實實例 是協調董董事會和和管理層層實現IIT與業業務融合合最有效效的方法法； 目標標就是通通過建立立一種面面向董事事會的管管理報告告工具，使使利益相相關者在在IT戰戰略目標標上達成成一致，以以表明IIT的有有效性和和增值性性，同時時便于組組織在IIT績效效、風險險和能力力方面進進行溝通通。 A5. 信信息安全全治理 信息可可以定義義為“具有特特定意義義和目標標的數據據”。信息息在我們們當今的的生活中中發揮著著越來越越重要的的作用，已已成為所所有組織織業務活活動中

18、不不可缺少少的組成成部分，越越來越多多的公司司已將信信息作為為其主營營業務，如如Goooglee、eBBay、MMicrrosooft、網網易等。 當今已已很難找找到不接接觸信息息技術的的企業，隨隨著全球球網絡互互聯時代代的到來來，在企企業突破破其傳統統邊界向向虛擬世世界不斷斷擴展的的背景下下，信息息安全己己成為重重要的治治理問題題而出現現在我們們面前。 信息犯犯罪和惡惡意行為為已成為為越來越越多的高高級犯罪罪分子的的選擇?？挚植婪肿幼雍推渌麛硨ι缟鐣娜巳艘彩褂糜肐T技技術來宣宣揚他們們的觀點點并傳播播其恐怖怖行為。 信息安安全治理理具有特特定的價價值驅動動：信息息的完整整性、服服務的持持

19、續和信信息資產產的保護護。 IT安安全定位位于安全全技術，通通常由CCIO級級別的人人推動；信息安安全著眼眼于信息息所涉及及的風險險、收益益和流程程，必須須由執行行管理層層和董事事會的支支持，信信息安全全治理是是董事會會和執行行經理的的職責。 信息安全治治理能帶帶來的收收益 落實在在向公眾眾或監管管部門提提供不準準確信息息，在保保護隱私私信息（如如泄露信信用卡或或其他敏敏感客戶戶信息）中中未保持持應有的的謹慎等等方面，組組織及其其管理者者應當承承擔的公公民或法法律責任任 提供對對政策和和標準的的符合性性保證 通過降降低風險險至既定定的可接接受水平平，減少少業務運運營的不不確定性性，提高高可預見

20、見性 為有限限的安全全資源的的最優化化分配提提供結構構和框架架 為關鍵鍵決策不不基于錯錯誤信息息提供適適當水平平的保證證 為風險險管理、流流程改善善和事件件快速響響應的效效果與效效率提供供一個穩穩定的基基礎 明確重重大業務務活動期期間（如如公司合合并及購購并、業業務流程程恢復、法法律回應應等）的的信息保保護責任任 有效的信信息安全全治理可可達到如如下效果果： 戰略一一致 使信息息安全與與業務戰戰略保持持一致以以支持組組織目標標。 風險管管理 管理和和實施適適當的措措施以降降低風險險并減少少對信息息資源的的潛在影影響至可可接受水水平。 價值交交付 優化安安全投資資以支持持業務目目標。 績效測測評

21、 衡量、監監督和報報告信息息安全流流程，以以確保實實現SMMARTT 目標標（確定定的、可可度量的的、可實實現的、相相關的和和符合時時間要求求的）。 資源管管理 有效利利用信息息安全知知識與基基礎設施施。 流程整合合 關注組組織安全全管理保保證流程程的整合合。 業務流程保保證的最最新概念念： 整合是是一個把把所有相相關保證證因素綜綜合在一一起考慮慮，來確確保流程程能環環環相扣整整體運營營的概念念。 要實現現整合，應應當考慮慮以下內內容： 確定組組織中的的所有保保證職能能 與其他保證證職能建建立正式式的銜接接關系 協調所有保保證職能能，實現現更加完完整的安安全 明確確各保證證職能接接合部位位的角

22、色色與職責責 信息安全治治理是企企業治理理的一部部分，企企業治理理為安全全活動提提供戰略略方針并并確保其其目標的的實現，企企 業安安全治理理則確保保能適當當地管理理信息安安全風險險并合理理使用企企業信息息資源。 為為實現有有效的信信息安全全治理，管管理層必必須制定定和維護護一個框框架，以以指導建建立和管管理一個個支持業業務 目標的的全面的的信息安安全流程程。 該該治理框框架一般般由以下下內容組組成： 在在本質上上與業務務目標相相銜接的的全面的的安全戰戰略 對對戰略、控控制和法法規進行行全面落落實的政政策 確確保規程程和指南南能與政政策保持持一致的的一整套套標準 不不存在利利益沖突突的一套套有效

23、的的安全組組織架構構 對對符合性性進行監監督并能能反饋其其效果的的制度化化的監督督流程 組織必須在在治理層層面為領領導者分分配企業業安全職職責，而而不是由由那些缺缺乏權力力、責任任和資源源的其他他人員來來充當并并強迫其其執行。各各層級的的安全職職責： 董事會會與最高高管理層層 有效的信息息安全治治理只有有通過董董事會及及最高管管理層參參與批準準政策、適適當的監監督和衡衡量指標標、報告告和趨勢勢分析來來實現。 執行管管理層 制定有有效的信信息安全全戰略、實實施有效效的安全全治理指指導委員員會 為確保保安全程程序與業業務目標標的一致致性提供供持續的的基礎，也也是實現現向有益益于形成成最佳安安全文化

24、化的行為為改變的的手段。 首席信信息安全全官 不管是是專職的的CISSO還是是由CIIO、CTOO等角色色來兼任任，組織織應當在在高級管管理層設設置首席席信息安安全官。 A6.企企業架構構（EAEntterpprisse AArchhiteectuure） 所所謂企業業架構就就是通過過一種結結構化的的方式來來反映組組織的IIT資產產，并有有效管理理對ITT投資。 企企業架構構系統而而又完整整地定義義了組織織的當前前（基準準）環境境和期望望（目標標）環境境的藍圖圖。 對對于信息息系統的的更新以以及開發發新系統統而言，建建立EAA 是必必不可少少的前提提。 EEA從邏邏輯或業業務（如如職能、業業務

25、職責責、信息息流和系系統環境境）以及及技術（如如軟件、硬硬件、通通信）兩兩方面來來定義的的，并且且包括從從基準環環境轉換換到目標標環境的的順序規規劃。 技術術驅動的的企業架架構是為為了澄清清現代組組織面臨臨的復雜雜技術選選擇問題題； 業務務流程驅驅動的企企業架構構是為了了更好地地理解組組織業務務的核心心流程及及支持流流程。 業務流程驅驅動的企企業架構構的作用用 更更好地理理解組織織業務的的核心流流程及支支持流程程及相關關支持技技術，對對現有流流程中的的不合理理部分進進行重新新設計或或改造，從從而達到到優化流流程、降降低成本本、提高高績效的的目的。 各各種業務務流程模模型： 增強強型電信信運營圖

26、圖(eTTOM Enhhancced Tellecoom OOperratiionss Maap) 供應應鏈運營營指引模模型(SSCORR Suppplyy Chhainn Opperaatioons Reffereencee) IBBM的保保險應用用架構IIAA模模型（IInsuurannce Apppliccatiion A Arrchiiteccturre ） 美國國聯邦政政府業務務構架模模型FEEAFFedeerall Ennterrpriise Arrchiiteccturre B. 信息息系統戰戰略 B1.戰略略規劃 從信息息系統角角度看，戰戰略規劃劃是組織織為了利利用信息息技術來

27、來完善其其業務流流程而確確定的發發展方向向及長期期的計劃劃。 在制定定戰略規規劃過程程中，最最高管理理層的職職責包括括確定成成本有效效的ITT方案以以解決該該組織面面臨的困困難，并并提出識識別和獲獲取所需需資源的的行動方方案。 有效的的IT戰略略規劃要要考慮組組織對IIT及IT能力力的需求求。 IS審審計師應應十分注注意IT戰略規規劃的重重要性，并并充分考考慮其管管理控制制流程，確確保ITT戰略規規劃與整整體業務務戰略保保持一致致。 B2. 指導導委員會會 高高級管理理層應當當組建一一個計劃劃或指導導委員會會，監督督其信息息系統的的職能和和業務活活動，這這是確保保信息 系統部部門與公公司宗旨旨

28、和目標標協調的的一種機機制。 最最好是從從董事會會中挑選選一位理理解信息息技術與與風險管管理的成成員來負負責信息息技術，并并擔任該該委員會會的 主主席。委委員會應應當包括括來自高高級管理理層、用用戶部門門和信息息系統部部門的人人員。 委委員會的的職責應應當在正正式章程程中指定定。委員員會成員員應當了了解信息息系統部部門的政政策、程程序和流流程。 每每個成員員應當在在其負責責的領域域內有權權做出決決定。 委委員會應應當定期期開會，并并向高級級管理層層匯報。信信息系統統指導委委員會的的正式會會議記錄錄應當記記載委員員 會會的活動動和決議議。 指導委員會會的主要要職責： 審查IIS部門門的長期期和短

29、期期計劃以以確保其其符合公公司目標標 在董事事會批準準的權限限內，審審查和批批準重要要的硬件件和軟件件獲取 批準并并監督重重要項目目、ISS計劃及及預算進進度，設設定優先先級，批批準標準準和流程程并監督督所有的的IS績績效 審查和和批準所所有ISS活動的的承包策策略，包包括內包包或外包包以及全全球離岸岸職能 審查資資源的充充分性以以及時間間、人力力和設備備資源的的分配情情況 在集中與分分散管理理之中做做出決策策并分配配職責 對制定定和實施施企業級級信息安安全管理理程序提提供支持持 向董事事會報告告IS活動動 C.政策和和規程 C1. 政策策 政策策是高層層次的文文件，政政策代表表了企業業文化和

30、和高級管管理層和和經營過過程所有有者的戰戰略思考考。 與組組織的總總體性目目標和方方向有關關的政策策的制訂訂、開發發、記錄錄、推廣廣和控制制的責任任應當由由管理層層承擔，通通過制定定政策來來為組織織創造一一種積極極的控制制環境。 根據據公司總總體政策策采用自自頂向下下的方法法來開發發部門政政策是較較好的選選擇，因因為它確確保了各各級政策策的一致致性。 自底向向上的方方法更加加靈活實實用，但但容易造造成政策策間的不不一致和和相互矛矛盾。 管理層層應當定定期審查查所有政政策。政政策也需需要不斷斷更新，反反映新的的技術和和經營過過程的重重大變化化，利用用信息 技術提提高生產產效率和和獲取競競爭效益益

31、。 信息系系統審計計師要理理解政策策并對政政策進行行符合性性審查是是審計工工作中的的重要環環節 信息安安全政策策 安安全政策策用來與與用戶、管管理層和和技術人人員溝通通相關安安全標準準，指導導整個組組織來確確定所需需保護的的內容、相相應 的的保護職職責以及及保護工工作應遵遵循的策策略。 信息安全政政策文件件 信信息安全全的定義義、整體體目標和和范圍 陳陳述管理理層意圖圖、支持持信息安安全與業業務戰略略和目標標保持一一致 設設定控制制及控制制目標的的框架，包包括風險險評估和和風險管管理 說說明安全全政策、原原理、標標準及以以下重要要的符合合性要求求 對對法律、法法規及合合同要求求的符合合性 安安

32、全教育育、培訓訓和意識識需求 業業務持續續性管理理 違違背信息息安全政政策的后后果 明明確信息息安全管管理人員員的總體體及具體體職責，包括事件報告 政政策所參參考的文文件、標標準和規規程 對信息安安全政策策的審查查 管理層層應當定定期或在在發生重重大變化化時對信信息安全全政策進進行審查查，以確確保其適適當性、充充分性和和有效性性。應當當為信息息安全政政策指定定所有人人，來批批準安全全政策的的制定、審審查和評評估等管管理職責責。 IS審審計師在在檢查政政策時需需要評價價以下內內容： 政政策的制制定依據據，一般般情況下下是基于于風險管管理過程程 政政策的適適當性 政政策的內內容 政政策的例例外情況

33、況，特別別注意政政策的不不適用領領域及原原因，如如：可能能與遺留留系統不不相容的的口令政政策 政政策批準準流程 政政策實施施流程 政政策的實實施效果果 意意識與培培訓 定定期審查查與更新新流程 C2.程程序 程序序是詳細細的文件件，根據據組織的的政策而而制定并并體現其其精髓。程序必須清晰和準確，使接受者易于準確地理解。 程序序記載了了業務流流程及其其內在控控制，程程序一般般由中層層管理人人員制定定，是政政策框架架下的具具體化措措施。 程程序比相相關政策策更加易易于變化化，它們們必須反反映業務務重點和和環境的的不斷變變化。 獨立立的審查查對于確確保政策策和程序序被正確確地理解解和執行行是必要要的

34、 D.風險管管理 定義 風險險管理是是確定組組織在實實現其業業務目標標的過程程中所使使用的信信息資源源的脆弱弱性和面面臨的相相關威脅脅的過程程 有效效的風險險管理始始于清楚楚地理解解組織的的風險喜喜好。 風險險管理包包括識別別、分析析、評估估、處置置、監督督和溝通通IT 流程的的風險影影響。一一旦確定定了風險險喜好與與風險承承受能力力，就可可以制定定風險管管理策略略并分配配職責。 根據據風險類類型及其其對業務務的影響響程度，可可以選擇擇以下措措施來應應對風險險： 避免風風險：在在可能的的情況下下，盡量量選擇不不從事導導致風險險的特定定活動或或流程（通通過消除除風險源源來消除除風險） 降低風風險

35、：通通過制定定、實施施并監督督適當的的控制來來降低風風險發生生的可能能性及其其影響 轉移風風險：與與業務伙伙伴分擔擔風險或或通過保保險、合合同約定定及其他他方式來來轉移風風險 接受風風險：正正視風險險的存在在并對風風險進行行監控 D1.開發風風險管理理程序 第一步步：確定定風險管管理程序序的目的的 確定定組織建建立風險險管理程程序的目目的，可可能是降降低保險險費用，或或者是減減少相關關系統的的損害。 在實實施風險險管理計計劃之前前確定其其意圖，組組織可以以確定關關鍵績效效指標并并評價其其結果。 一般般情況下下，由執執行管理理人員和和董事會會來設定定風險管管理程序序的基本本要求。 第第二步：為風

36、險險管理計計劃分配配職責 為制制定和實實施組織織的風險險管理程程序向個個人或團團隊分配配職責。 當當風險管管理計劃劃的主要要職責由由團隊負負責時，其其成功因因素是把把風險管管理與組組織內各各個層級級進行整整合。 運營營管理人人員和董董事會成成員都應應當協助助風險管管理委員員會識別別風險、設設計適當當的風險險控制并并介入戰戰略的制制定。 D2.風險險管理過過程幾個重要要概念 IIT資產產：軟件件、硬件件、信息息、人員員、服務務、文檔檔 脆脆弱性：是信息息資產固固有特征征，可以以被威脅脅利用而而造成 損損害；內內控缺陷陷也可以以認為是是一種脆脆弱性 威威脅：對對信息資資源造成成損害的的任何潛潛在情

37、況況或事件件，威脅脅的發生生是由于于資源存存在脆弱弱性 影影響：威威脅發生生后造成成的結果果，能導導致資產產損失幾幾個概念念間的關關系：脆脆弱性導導致威脅脅發生，威威脅的發發生造成成影響，從從而帶來來IT資資產的損損失 剩剩余風險險：實施施控制后后剩下的的、沒有有被有效效控制的的風險 可可接受風風險水平平：由管管理層確確定的、可可以接受受的剩余余風險水水平，超超過這個個水平的的風險需需要實施施更強的的控制，而而在這個個水平之之下的剩剩余風險險也應該該評價是是否采用用了過多多控制，要要考慮是是否降低低控制水水平以節節約成本本。 IT風風險管理理在多種種層面上上進行綜綜合分析析 運行行層面應當關關

38、注能夠夠危害IIT系統統及其基基礎設施施有效性性的風險險；繞過過系統安安全措施施的風險險，造成成重要資資源（如如：系統統、數據據、通訊訊、人員員、場所所等）損損失或不不可用的的風險，違違反法律律、法規規的風險險。 項目目層面管理層層應當理理解并管管理項目目的復雜雜性，關關注項目目目標不不能達到到時所帶帶來的后后續風險險。 戰略略層面應當關關注ITT能力如如何與業業務戰略略保護一一致，如如何保持持對競爭爭對手的的優勢，如如何應對對新技術術的發展展帶來的的威脅等等。 風險分析析方法 定性方方法 定性性的風險險管理方方法是最最簡單并并且最常常見的方方法，它它們一般般基于問問卷式的的檢查列列表(CCh

39、ecckliist)和主觀觀式的風風險定級級。 分分級類型型 定性性分級程程度 相對較較粗的分分級 低、中中、高 詳細分分級 可忽忽略、低低、中、高高、非常常高 更詳細細的分級級 （低低）0、11、2、10 （高高） 定量方法法 概率與與期望值值 一一旦設置置了事件件發生的的概率（PP，0 P 1 ），如如果存在在一個價價值為VV的資產產（有可可能受到到相關事事件影響響），那那么期望望損失就就是VxxP （資產產價值乘乘以事件件發生的的可能性性） 年預期期損失方方法 AALE = VV EEF ARRO 例如如： 假假定某公公司投資資5000,0000 美美元建了了一個網網絡運營營中心，其其最

40、大的的威脅是是火災，一一旦火災災發生，網網絡運營營中心的的估計損損失程度度是455 。根根據消防防部門推推斷，該該網絡運運營中心心所在的的地區每每5 年年會發生生一次火火災，于于是我們們得出了了AROO為0.20 的結果果?；谟谝陨蠑禂祿撛摴揪W網絡運營營中心的的ALEE 將是是： 55000000XX0.445X00.2 455,0000 管理人人員和IIS審計計師應當當考慮以以下因素素： 應當當對整個個組織中中所有IIT職能能實施風風險管理理 風險險管理是是高級管管理層的的職責 優先先采用量量化的風風險管理理方法 量化風風險管理理的難點點在于：評估風風險值（概概率）、對對主觀性性和定

41、性性方法的的依賴量量化風險險管理提提供更加加客觀（可可追蹤）的的假定 所使用用方法或或軟件的的復雜或或精巧程程度不能能取代業業務常識識或職業業勤奮 應當特特別注意意并充分分考慮那那些影響響非常高高的事件件，即使使其發生生的概率率非常低低。 E.信息系系統管理理實務 E1. 人人力資源源管理 人力資源源管理涉涉及到人人員的招招聘、選選用、培培訓和晉晉升，業業績考評評，員工工紀律，繼繼任計劃劃等組織織政策與與規程。由于這些活動與IS職能密切相關，其效果將影響員工表現及IS職責的履行。主要內容有： 聘用 員工手手冊 晉升政政策 培訓 日程程和工時時報告 員工業業績評價價 強制休休假 解聘政政策 E2

42、.資源配配備實務務 組織為為獲得IIT功能能支持業業務,采購與與配備資資源方式式有: 內內包型(Inssourrcedd)IIT功能能全部由由組織中中的員工工實現； 外包包型(OOutssourrcedd) IT功功能全部部由外商商服務供供應商提提供； 混和和型(HHybrrid) IIT功能能由組織織中的員員工及外外部服務務商共同同提供。 信息系系統功能能可以在在全球范范圍內實實現，以以利用時時區和勞勞動力價價格方面面的優勢勢，主要要方式有有： 本地地型(OOnsiite)員工工工作在在組織辦辦公場所所中的信信息系統統部門內內； 外地地型(OOffssitee)員員工工作作在同一一個地理理區

43、域內內的遠程程站點； 離岸岸型(OOffsshorre)員工工工作在不不同地理理區域內內的遠程程站點； 決策資源源配置方方式的依依據 是否為為組織的的核心職職能？ 是否有有滿足目目標所需需的不可可替代的的特有知知識、流流程和員員工？ 外包給給其他組組織或地地方的價價格是否否相同或或更低？質量是是否相同同或更高高？是否否未增加加風險？ 組織是是否擁有有管理第第三方及及使用遠遠程或離離岸方式式執行IIS或業業務職能能的經驗驗？ 外包實實務 外包實實務就是是某個組組織根據據協議，將將部分或或全部信信息系統統部門的的職能轉轉交給外外部實體體。 外包是是為了獲獲取和利利用服務務提供商商的核心心競爭能能力

44、，達達成持續續、有意意義的對對經營過過程和服服務的改改進,并并降低IIT成本本。 第三方方可以提提供的服服務包括括： 數據據錄入 在組組織內部部員工不不具備所所需技能能、具備備所需技技能的員員工正在在執行其其他更緊緊迫的任任務或是是為了完完成某項項一次性性任務而而不想招招聘新員員工時，由由第三方方來設計計和開發發新系統統 對現現有系統統進行維維護，以以騰出內內部員工工開發新新系統 把遺遺留系統統向新平平臺轉換換，如通通過某個個專業公公司把舊舊應用系系統轉換換到WEEB平臺臺 幫助助臺或電電話中心心的運營營 日日常運營營 外外包的風風險 外外包的優優點 成成本超過過預期值值 實現現規模經經濟效益

45、益 喪失失內部人人員獲得得經驗機機會 投入更更多的時時間提高高效率 喪失失對ISS的內部部控制 有處理理問題的的經驗和和技術 供應應商出現現業務故故障 采用合合同協議議約束外外包編制制出更好好的說明明書 有限限的產品品訪問權權限 難以改變外外包商的的工作安安排 很很少出現現項目失失控和延延期 缺乏乏對法規規要求的的遵循性性 控制制風險的的措施 未滿滿足合同同條款 外包人員缺缺乏對客客戶的忠忠誠 制定可可衡量的的、伙伴伴式利益益共享目目標和回回報機制制 工作安安排令客客戶及員員工不滿滿 使用多多個供應應商或保保留一 服務成本不不具有競競爭性 部部分業務務作為激激勵機制制 供應商商IT系統統的陳舊

46、舊過時 定期對對競爭趨趨勢進行行審查 未實實現預期期收益 實實施短期期合同 項目目失敗危危及雙方方的聲譽譽 組建建跨職能能合同管管理團隊隊 持久、昂昂貴的訴訴訟 在合同同中適當當考慮可可合理 信息或或流程丟丟失及泄泄漏風險險 預見的的多數偶偶然因素素 全球化化戰略要要注意的的問題 法律、法法規和稅稅收問題題 在不同同的國家家或地區區運營IIS職能能，組織織可能由由于不了了解情況況而引入入新的風風險 持續運運營 業務持持續和災災難恢復復計劃可可能不充充分并且且未經測測試 人員 可能未未考慮到到所需的的人力資資源政策策調整 通訊問問題 遠程或或離岸的的網絡控控制及訪訪問面臨臨更加頻頻繁的故故障及大

47、大量的安安全風險險 跨國界界及跨文文化問題題 管理多多時區、多多語言、多多文化的的人員及及流程可可能出現現難以預預料的問問題 第三方審審計報告告 第一種種方法是是要求供供應商定定期提交交第三方方審計報報告，這這些報告告涵蓋了了與數據據機密性性、完整整性、可可用性相相關的問問題。 IIS審計計師與被被審計人人應當同同時接受受所選定定的第三三方審計計師，并并且必須須事先同同意。對對一些特特定行業業，第三三方審計計可能屬屬于法定定的監督督和控制制。 例如如：美國國注冊會會計師協協會（AAICPPA ）制制定的SSAS770及英英國、加加拿大的的類似法法規都通通過法律律來要求求特定行行業出具具第三方方

48、審計報報告。 SAAS700的制定定目的是是指導審審計師報報告服務務機構的的內部控控制相關關問題，所所報告內內容可作作為用戶戶組織財財務報告告中信息息系統章章節的一一部分。SSAS770也為為外部審審計師對對使用服服務機構構的實體體實施財財務報告告 審審計提供供指南。 第二種方法法是允許許組織內內的審計計師對供供應商進進行定期期審計。由由于每次次審計都都花費供供應商較較多的時時間和資資源，供供應商可可能會不不接受這這種方法法。 外包治理 外外包是允允許組織織把服務務交付轉轉由第三三方提供供的機制制。接受受外包的的基本原原則是：雖然將將服務交交付轉移移，但其其責任仍仍屬于組組織內管管理層，他他們

49、必須須確保對對風險的的適當管管理及供供應商持持續的價價值交付付。決策策制定流流程的透透明性及及所有權權必須保保留在組組織內部部。 決決定外包包是一項項戰略，而而不只是是一個采采購決策策。采用用外包的的組織通通過識別別并保留留其核心心業務而而將非核核心業務務外包來來有效地地重新配配置組織織的價值值鏈。 外外包治理理能支持持建立并并保持競競爭和市市場優勢勢，有效效地應對對競爭和和市場環環境的變變化。 外外包治理理是一系系列責任任、角色色、目標標、銜接接和控制制機制，用用來預測測變化及及管理第第三方服服務的引引入、維維護、績績效、成成本和控控制。 管理第三方方服務交交付 服服務交付付 第第三方服服務

50、交付付協議中中的安全全控制、服服務定義義和交付付水平應應當由第第三方來來實施、運運營和維維護。 第第三方組組織的服服務交付付內容應應當包括括既定的的安全部部署、服服務定義義及服務務管理等等方面。 組組織應當當確保第第三方組組織維持持充分的的服務能能力，同同時制定定可行的的計劃以以確保在在發生主主要服務務故障或或災難時時能維持持既定的的服務 水平。 監監督和檢檢查第三三方服務務 監監督服務務性能水水平，檢檢查對協協議的遵遵循性 檢檢查第三三方提交交的服務務報告，按按照協議議要求定定期舉行行會議 提交信信息安全全事件的的相關信信息 針針對安全全事件、問問題等檢檢查第三三方審計計軌跡和和記錄 解解決

51、已識識別的問問題并予予以管理理第三方方服務的的變更管管理 考考慮業務務系統的的關鍵性性及其流流程進行行管理，并并重新評評估風險險。 服服務改善善及用戶戶滿意度度 SLLA為外外包商執執行ISS職能設設定了基基準，另另外，組組織可以以在合同同中設定定預期的的服務改改善、相相關的處處罰及獎獎勵。服服務改善善的內容容包括： 減少少幫助臺臺的呼叫叫次數 減少少系統錯錯誤的數數量 改改善系統統可用性性 服務改善應應當經過過用戶同同意，IIT目標標應當是是改善用用戶滿意意度并實實現業務務目標。應應當通過過用戶訪訪談和調調查來監監督用戶戶滿意度度。 行業標準和和基準 行業標準和和基準為為確定相相同的信信息處

52、理理設施環環境所能能提供的的績效水水平提供供了一種種方式?？煽梢詮墓┕痰牡钠渌糜脩簟⑿行袠I出版版物和專專業協會會獲得這這些標準準或基準準表，例例如ISSO90000和和軟件工工程協會會的CMMM。外外包組織織必須遵遵循其客客戶所依依賴的一一系列良良好設計計的標準準。 E3. 組組織的變變更管理理 變更管理是是對組織織中ITT的變更更進行管管理，它它通過制制定明確確的并正正式成文文的流程程，識別別并實施施對組織織有益的的IT架架構和應應用系統統方面的的技術改改進。 信息部部門一方方面可以以利用技技術的變變化與更更新來優優化業務務流程，另另一方面面在組織織高級管管理層的的支持下下，通過過正式

53、的的變更管管理程序序來實施施IT本本身的可可持續發發展。 E4. 財財務管理理實務 在在成本密密集的計計算機環環境中，良良好的財財務管理理是非常常重要的的。 建建立ITT用戶的的記費機機制（ccharrgebbackk ）可可以提高高應用水水平、監監督信息息系統費費用和可可用資源源。 信信息系統統預算應應當與IIT的短短期計劃劃及長期期計劃結結合起來來考慮 E5. 質質量管理理 質量量管理是是信息系系統基于于部門的的流程得得到有效效控制、評評價和改改善的手手段。 流流程是由由一系列列任務組組成，如如果這些些任務被被正確地地執行，就就可以產產生預期期的結果果。 信息系統審審計師應應當關注注業務職

54、職能和流流程是否否按標準準（例如如ISOO90001：220000、ISSO91126 、CMMM等）正正式成文文并被遵遵照執行行，是否否產生了了預期結結果。 信息系統審審計師關關注信息息系統組組織中是是否存在在 以下下流程文文檔： 計計算機操操作 服服務管理理 系系統軟件件采購、實實施和維維護 硬硬件采購購和維護護 應應用軟件件采購或或開發及及維護 管管理報告告 物物理和邏邏輯安全全 短短期和長長期計劃劃 工工時報告告 人力資資源（HHR）管管理 E6. 信信息安全全管理(ISOO177799) 信息安安全管理理在確保保組織所所控制的的信息和和信息處處理資源源受到適適當的保保護方面面起著重重

55、要作用用， 它它領導和和促進整整個組織織范圍內內的ITT安全程程序的實實施. 信息安安全管理理主要包包括了安安全方針針策略的的制定、組組織與人人員的安安全管理理、訪問問控制、支支持組織織關鍵業業務流程程的業務務持續計計劃和災災難恢復復計劃等等內容。 信息安安全管理理的更多多內容見見第5章“信息資資產的保保護”。 E7. 績績效優化化 績效優化化是指在在無須對對信息技技術基礎礎設施追追加額外外投資的的情況下下，將信信息系統統的生產產力提高高 到可可能達到到的最高高水平。 績效優化化是由績績效指標標推動的的過程，這這些指標標是基于于組織業業務活動動和流程程的復雜雜性、戰戰略性 的的IT解解決方案案

56、以及公公司實施施IT的的主要戰戰略目標標來確定定的。 績效指標的的主要功功能：衡衡量產品品和服務務、管理理產品和和服務、確確保責任任制、制制定預算算決策、優優化績效效 績效效優化的的工具CCOBIIT管理理指南它是為為了滿足足IT 經經理進行行績效評評價的需需求而設設計的，它它為ITT的344個 主主要流程程定義了了關鍵成成功要素素、關鍵鍵目標指指標、關關 鍵鍵績效指指標和成成熟度模模型。 管理指南的的重要內內容： 關關鍵成功功要素(CSFF ) 管管理指南南要回答答的問題題： 關鍵鍵目標指指標(KKGI ) 成本本與效益益我我們究竟竟應該走走多遠，成成本與利利潤比例例是否合合適？ 關鍵績效指

57、指標(KPII ) 成熟度模型型 績效效評價對于于好的績績效的度度量指標標是什么么？ IT控制制環境什么么是重要要點？關關鍵成功功要素是是什么？ 意意識不能達達到我們們的目標標的風險險是什么么？ 基基準測量量他他人在做做什么？我們應應該怎樣樣測量和和比較？ F.信息系系統組織織結構和和責任 信息系統部部門的組組織結構構（略）F1.信息息系統的的任務和和職責 對信息系統統各種職職能進行行審查技技術支持持 技技術支持持經理(Tecchniiquee Suuppoort Mannageer) 系系統管理理員（SSysttem Admminiistrratoor ） 網網絡管理理員（NNetwwork

58、k Maanaggerss ） 系系統程序序員(SSysttemss Prrogrrammmerss)運行行部門（Operations ） 運運行經理理(Opperaatioons Mannageer) 計計算機操操作員(Commputter Opeerattor) 控控制組 （Conntrool GGrouup ） 資資料庫管管理員（Librarian ） 數數據錄入入 （Datta EEntrry ） 應用系統開開發（Apppliccatiion Devveloopmeent ） 系統開開發經理理(Syysteem DDeveeloppmennt MManaagerr) 系統分分析員（Sy

59、stems Analysts ） 應用系系統程序序員(Apppliccatiionss Prrogrrammmerss) 安全與質量量(Seecurrityy annd QQuallityy) 安全架架構師 （Seccuriity Arcchittectt ） 安全管管理員（Security Administrator ） 質量保保證 （Quaalitty AAssuurannce ） 數據管理（Data Administration ） 數據據經理(Datta MManaagerr) 數據庫庫管理員員（Daatabbasee Addminnisttrattor ） 客戶服務(Cusstommer Serrvicces) 最終用用戶支持持經理(Endd-usser Suppporrt MManaagerr) 幫助臺臺(Heelp Dessk) 最終用用戶 （Endd Usser ） F2.信息系系統中的的職責分分離 職責分分離可以以避免因因為某一一個人負負責多個個關鍵的的職位而而造成不不能在日日常的業業務活動動中及時時地 發發現其錯錯誤的情情況。 職責分分離是威威懾和預預防欺詐詐或惡意意行為的的一種手手段。 應當分分離的職職責包括括：資產產保管、授授權批準準、交易易記錄 審計師師必須獲獲得足夠夠的信息息以了解解各種工工作職位位、責任任和授權權之間的的關系，從從