CISA课程第二章：IT治理与管理.pptx

CISA课程第二章：IT治理与管理GooAnn目标确保CISA考生能够理解并为以下事项提供保证：企业具有实现目标和支持企业战略的必要的IT领导力、组织结构和流程。所占比重,CISA培训-第二章,谷安天下版权所有严禁传播,2,1,GooAnn,学习任务,T2.1评价IT治理结构的有效性以确定IT决策、方向和绩效是否能够支持组织的战略和目标；T2.2评价IT组织结构和人力资源管理以确定它们是否能够支持组织的战略和目标；T2.3评价IT战略，包括IT方向和战略制定、批准、实施及维护的IT流程，是否与组织战略和目标保持一致；T2.4评价组织IT政策、标准、规程和流程的制定、批准、实施及维护，确保支持IT战略并满足法律、法规的要求；T2.5评价质量管理系统的充分性以确定它是否以成本效益的方式支持组织的战略和目标；,CISA培训-第二章,谷安天下版权所有严禁传播,3,2,GooAnn,学习任务,CISA培训-第二章,谷安天下版权所有严禁传播,4,T2.6评价IT管理和控制监控（如：连续的监控，质量保证）是否符合组织的策略、标准、程序；T2.7评价IT资源投资、使用、分配实践（包括优先级标准），是否与组织的战略和目标保持一致；T2.8评价IT合同战略、政策及合同管理实务，确保支持组织战略和目标；T2.9评价风险管理实务，确保组织IT相关风险得到适当管理；T2.10评价监督和保证实务，确保董事会与高级管理层能充分、及时地获得IT绩效信息；T2.11评价组织业务持续性计划以确保IT中断期间关键业务持续运作的能力。,3,GooAnn,知识点,KS2.1IT治理、管理、安全和控制框架，以及相关标准、指南和实践；KS2.2组织IT战略、策略、标准和程序对组织的意义及各自的基本内容；KS2.3组织架构、角色和关于IT的职责；KS2.4IT战略、策略、标准和程序的开发、实施和维护流程；KS2.5组织的技术方向和IT架构以及它们对组织长期战略方向的意义KS2.6影响组织的相关法律、法规和行业标准KS2.7质量管理系统的知识KS2.8成熟度模型使用的知识KS2.9过程优化模型的知识KS2.10IT资源投资和分配实务，包括优先级标准（例如：项目组合管理、价值管理、项目管理）,CISA培训-第二章,谷安天下版权所有严禁传播,5,4,GooAnn,知识点,KS2.11IT供应商选择、合同管理、关系管理和包含第三方外包关系的绩效监控流程；KS2.12企业风险管理的知识；KS2.13IT绩效监控和报告的相关知识（例如：平衡计分卡、关键绩效指标KPIs）；KS2.14用于启动业务连续性计划的人力资源管理实践方面的知识。KS2.15与业务连续性计划相关的业务影响分析（BIA）的知识。KS2.16业务连续性计划开发与维护和演练方法标准与程序的知识。,CISA培训-第二章,谷安天下版权所有严禁传播,6,5,IT治理主线：什么是IT治理？为什么要搞IT治理？IT治理和IT管理的区别？IT治理关注的领域是什么？和IT治理相关的控制标准与指南有哪些？IT治理包含的内容有哪些？IT治理实务等。IT管理实务主线：IT人力资源管理，IT采购实务，IT变更管理，IT财务管理实务，IT质量管理，信息安全管理，IT绩效优化，业务连续性计划（BCP)和灾难恢复计划（DRP)等。,第二章知识点主线,6,课程讲解内容,1,IT治理的一些概念,2,IT管理实务介绍,【公司治理】，1999年出版的公司治理的基本原则一书所下的定义为：为确定组织目标和确保目标实现的绩效监控所提供的治理结构。具体来说，是指公司所有者(股东)对公司经营者的一种监督与制衡机制，即通过一种制度安排，来合理地界定和配置所有者与经营者之间的权利与责任关系。公司治理的目标是保证股东利益的最大化，防止经营者行为与所有者利益的背离。,什么是公司治理？,GooAnn,1.1IT治理的由来,IT在社会各个领域的应用不断深化，日益深刻地影响和改变着人类的生活方式、工作方式和社会经济发展；IT对企业的战略思想、管理理念、运行方式、组织结构等各个方面产生革命性变革；IT成为企业完善业务与积累财富的主要驱动力，成为企业获得成功的关键因素；IT还会发挥更大的作用,CISA培训-第二章,谷安天下版权所有严禁传播,IT给我们带了什么？,GooAnn,IT治理的由来,CISA培训-第二章,谷安天下版权所有严禁传播,企业对IT系统的依赖性越来越强的同时，面临着不断增多的系统薄弱性和各种各样的威胁；在信息与信息系统上的投资规模与成本都在不断扩大，高投入带来了高风险；现代企业IT系统的停机可能会造成业务受到巨大损失、声誉下降、竞争优势丧失；IT技术的高速发展，对企业的技术引进与更新提出挑战，企业面临技术不完备，甚至过时，不能有效利用新技术.；,IT带来的问题：,IT治理概念的提出：,通过IT治理来控制IT的风险，确保IT为企业创造价值，支持企业的战略和实现企业目标,信息技术快速发展、应用越来越广泛,IT风险越来越多、越来越大,IT已逐渐超出纯技术范畴，IT与企业的业务战略、管理、运行以及风险等紧密结合在一起。,GooAnn,1.2IT治理的定义及几个重要概念IT治理的定义,德勤：IT治理是一个含义广泛的术语，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他一些问题。其主要任务是：使得IT与业务目标保持一致，推动业务发展，促使收益最大化，合理利用IT资源；IT相关风险得到适当管理。ISACA：IT治理是企业的一种制度安排，它通过为IT提供必要的领导力、组织结构和相关过程，来保证企业的IT能支持企业战略和实现企业目标。IT治理是董事会和执行管理层的职责，是企业治理的重要组成部分。,CISA培训-第二章,谷安天下版权所有严禁传播,12,IT治理是董事会和最高管理层的责任；IT治理的关键因素是保持与业务战略一致，引导业务价值的实现。IT治理在根本上关注两方面的问题：IT向业务交付价值和IT风险得到管理。前者由IT与业务战略一致推动，后者则通过向企业分配责任来推动。IT治理由领导力、组织结构以及相关流程组成，这些流程能保证组织的IT能有效支持及促进组织战略目标的实现，同时控制风险、降低成本、提高绩效。,IT治理重要的几个概念：,13,IT治理的范畴：,如何使公司信息化建设和信息化管理规范有序？如何使信息化建设和公司的发展战略保持一致、为公司创造价值？如何有效规避公司信息化带来的风险？公司高层在信息化建设和信息化管理中需承担什么职责、起到什么作用？,IT治理关注的5个领域：,14,IT的组织模式:组织是采取集权、分权还是混合的模式？IT投资:组织将投资于什么？投多少IT架构:IT架构是着重于稳定性还是灵活性?这两者各到什么程度?应用系统是向外买还是内部开发？是建立一个综合性的ERP系统还是多种系统？IT标准:组织需要将什么技术标准化，采用什么标准？IT资源:IT组织将利用什么类型的资源?这些资源的来源是什么？,IT治理决策中的一些具体体现：,15,GooAnn,1.3IT治理与IT管理的关系,IT管理是指公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动；而IT治理是指最高管理层（董事会）利用IT治理这种模式来监督管理IT战略上的实现过程，以确保这种实现过程、IT运营处于正确的轨道之上。,CISA培训-第二章,谷安天下版权所有严禁传播,管理大师彼得维尔指出：治理是决定由谁来进行决策，而管理则是制定和执行这些决策的过程。治理是回答哪些事情必须要做，管理是决定这些事情怎么做。IT治理决定了由谁来掌握企业在IT上的决策权。IT治理与IT管理最大的区别在于IT管理的目标是为了实现IT运营效率的最大化，主要解决的是效率问题，侧重于技术的应用。而IT治理的目标是为了实现IT决策利益的均衡，其解决的不只是效率问题，而更加关注利益问题，不只是技术的简单应用。IT治理是通过定义明确的角色和责任，对IT管理中的各方进行影响和监督。,16,XX银行IT治理模式案例,COBIT（ISACA开发，ControlObjectivesforInformationandrelatedTechnology信息及相关技术控制目标）,提供了一套框架来支持IT治理。ISO/IEC27001信息安全管理体系，27000系列标准是一套为组织实施和维护信息安全程序提供指南的最佳实践；ITIL(ITinfrastructurelibrary)，由英国商务部开发的，关于IT服务管理最佳实践的详细框架；ITbaselineprotectioncatalogsIT基线保护手册；ISM3(信息安全管理成熟度模型）是基于流程的安全ISM成熟度模型。AS8015-2005是澳大利亚标准，用于信息的公司治理以及通信技术。ISO/IEC38500；,1.4和IT治理相关的标准、指南和实践,17,COBIT(ControlObjectivesforInformationandrelatedTechnology信息及相关技术控制目标）,提供了一套框架来支持IT治理。COBIT是一个在国际上得到公认的、先进的和权威的安全与信息技术管理和控制标准，它在业务风险、控制需要和技术问题之间架起了一座桥梁。面向业务是COBIT的主题，它不仅是为用户和审计师而设计，而且更重要的是它可以作为管理者及业务过程所有者的综合指南。COBIT标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。COBIT从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制目标、审计方针和对IT处理过程进行评估的方法。COBIT是由国际组织ISACA(信息系统审计与控制协会)制定的，ISACA总部设在美国，在100多个国家设有160个分会，现有会员超过4万人。ISACA主要负责制订信息系统审计准则、实务指南等专业规范来指导信息系统审计师的工作，ISACA每年为通过考试为从业人员颁发CISA证书，CISA资格在世界各国被广泛认可。,1.4和IT治理相关的标准、指南和实践,18,COBIT介绍,19,COBIT介绍,20,COBIT介绍,21,COBIT介绍,22,ISO/IEC27001信息安全管理体系，27000系列标准是一套为组织实施和维护信息安全程序提供指南的最佳实践；,1.4和IT治理相关的标准、指南和实践,23,ITIL(ITinfrastructurelibrary)，由英国商务部开发的，关于IT服务管理最佳实践的详细框架；ITIL即IT基础架构库(InformationTechnologyInfrastructureLibrary,ITIL，信息技术基础架构库)由英国政府部门CCTA(CentralComputingandTelecommunicationsAgency)在20世纪80年代末制订，现由英国商务部OGC(OfficeofGovernmentCommerce)负责管理，主要适用于IT服务管理（ITSM）。ITIL为企业的IT服务管理实践提供了一个客观、严谨、可量化的标准和规范。2001年，英国标准协会（BSI）正式发布了以ITIL为基础的IT服务管理英国国家标准BS15000。2005年12月15日，BSI的IT服务管理标准BS15000正式发布成为ISO国际标准：ISO20000。BS15000/ISO20000关注IT系统的运维，追求的是IT服务质量。正确应用ITIL能够增加信息系统正常运行的时间、迅速解决运维问题、加强系统的安全性，从而提高IT部门的服务质量。虽然BS15000/ISO20000仅侧重IT服务与支持方面，但是作为一个国际上认可的IT服务质量标准，它对如何提高IT运营质量有着详尽的规范和实施细则。,1.4和IT治理相关的标准、指南和实践,24,ITIL对企业的价值,ITIL/ITSM是一套公开的、基于业界最佳实践制定，用于规范IT服务管理的流程和方法论。ITIL（ITInfrastructureLibrary）以流程为导向，以客户为中心，通过整合IT服务与企业业务，提高了企业IT服务提供与运营管理的水平。1989年最初由英国商务部OGC(OfficeofGovernmentCommerce)组织开发、出版十大流程（1.0版本）。2001年，整合、增加为6个模块，构成了ITIL2.0版本。现在已推出ITIL3.0版本。目前已经成为一套事实上标准，全球有至少20,000多家在各自行业领先的组织都依据ITIL的框架来提升IT服务的效率及改善IT部门内部的以及IT部门与业务部门沟通。,ITIL能对企业解决信息化发展中遇到的问题提供帮助,ITIL核心服务支持、服务提供,ITCustomerRelationshipManagement,发布管理,变更管理,配置管理,服务水平管理,事件（故障）管理,问题管理,服务提供ServiceDelivery,服务支持ServiceSupport,ServiceDesk服务台,容量（能力）管理,IT服务连续性管理,可用性管理,安全管理,IT服务财务管理,ITIL和业务的关系,IT-Services,问题,发布,配置,变更,事故,IT持续,容量,可用性,服务,服务提供,服务支持,管理层关注,战略层面,运维层面正确地做事,战术层面做正确的事,业务,服务台,财务,GooAnn,IT治理实践：,IT战略委员会平衡记分卡IT战略规划IT架构信息安全治理,CISA培训-第二章,谷安天下版权所有严禁传播,28,GooAnn,1.5IT战略委员会,IT战略委员会是业界最佳实践，他协助董事会实施其IT治理职责，不仅提供IT战略建议，而且关注IT价值、IT风险和IT绩效。这也是把IT治理整合到公司治理中的一种机制。IT战略委员会是董事会实施其IT治理目标的重要机制，一般由董事会成员及非董事会成员组成，它主要职责是协助董事会治理和监督企业的IT相关事务。通常，组织在执行层设立指导委员会来处理整个组织层面的IT事务。应当深入理解IT战略委员会和IT指导委员会的职责。,CISA培训-第二章,谷安天下版权所有严禁传播,29,GooAnn,1.6IT平衡记分卡（BSC）平衡记分卡,绩效测量是企业管理中的重要因素，没有绩效测量就无法对业务进行有效管理，但随着企业创造价值的方式由有形资产逐渐转向无形资产，对无形资产的衡量，不能采用传统的针对有形资产的财务数据方式；平衡记分卡是目前企业管理中较流行的绩效测量工具，它可以把企业战略转化为实际的行为，从而实现企业目标；这种绩效测量系统超出了传统的财务记帐方式，它不仅测量财务数据，还要对业务过程与基于知识的资产等方面进行测量。,CISA培训-第二章,谷安天下版权所有严禁传播,31,GooAnn,1.6IT平衡记分卡平衡记分卡的四个视角：,财务视角为使股东满意，我们需要达到什么样的财务目标？客户视角为实现财务目标，我们需要服务什么样的客户？过程视角为了提高客户和利益相关者的满意度，我们需要建立什么样的内部业务过程？学习视角为了达成目标，组织应当如何学习与创新？,CISA培训-第二章,谷安天下版权所有严禁传播,32,GooAnn,1.6IT平衡记分卡,CISA培训-第二章,谷安天下版权所有严禁传播,33,GooAnn,1.7信息安全治理,由于信息安全治理具有特定的价值驱动：信息的机密性、完整性和可用性，持续服务和信息资产保护等，使得信息安全治理成为一个重点关注领域。为实现对信息资源的充分保护，必须将该事项提升到与其他关键治理职能平级的董事会层面。信息安全的复杂性、相关性、危险性及其治理都要求在组织最高层予以考虑并提供支持。信息安全治理是董事会和最高管理层的职责，必须是公司治理的有机组成部分。信息安全治理由领导关系、组织结构和保护信息的流程组成。,CISA培训-第二章,谷安天下版权所有严禁传播,28,CISA培训-第二章,谷安天下版权所有严禁传播,GooAnn,1.7信息安全治理,有效信息安全治理的基本成果应包括战略一致、风险管理、和价值交付，这些成果通过以下措施来实现：绩效测评（PerformanceMeasurement）衡量、监督和报告信息安全流程，以确保实现SMART目标（确定的、可度量的、可实现的、相关的和符合时间要求的）。为衡量绩效应当完成以下事项：制定并批准一套符合战略目标的、明确的、有意义的指标体系测评过程能有助于识别流程缺陷并提供反馈以解决问题由外部评估人员和审计师提供的独立保证资源管理（ResourceManagement）有效利用信息安全知识与基础设施。为实现资源管理，应当考虑以下内容：确保已经掌握可用的知识记录安全程序和实务制定安全架构以有效建立和使用基础资源流程整合（ProcessIntegration）关注组织安全管理保证流程的整合。安全活动有时会被不同的报告结构条块分割，使其难于甚至不可能成为一个整体。流程整合的目标旨在改善整体安全及其运营效率。,CISA培训-第二章,谷安天下版权所有严禁传播,GooAnn,信息安全治理是公司治理的一部分，公司治理为安全活动提供战略方针并确保其目标的实现，信息安全治理则确保能适当地管理信息安全风险并合理使用企业信息资源。为实现有效的信息安全治理，管理层必须制定和维护一个框架，以指导建立和管理一个支持业务目标的全面的信息安全流程。该治理框架一般由以下内容组成：,在本质上与业务目标相衔接的全面的安全战略对战略、控制和法规进行全面落实的政策确保程序和指南能与政策保持一致的一整套标准不存在利益冲突的一套有效的安全组织架构对符合性进行监督并能反馈其效果的制度化的监督流程,1.7信息安全治理,谷安天下版权所有严禁传播,GooAnn,董事会（BoardofDirector）有效的信息安全治理只有通过董事会及最高管理层参与批准政策、适当的监督和衡量指标、报告和趋势分析来实现。高级管理层（SeniorManagement）实施有效的安全治理和制定组织的战略安全目标是一项复杂而艰巨的任务，与其他主要工作一样，它必须由执行管理层领导并持续支持才能成功。指导委员会（SteeringCommittee）为确保能涵盖受安全事项影响的所有利益相关方，许多组织采用由受影响部门派出的高级代表组成的指导委员会。这有助于在优先权与折衷平衡间达成一致，同时也作为有效的沟通渠道，为确保安全程序与业务目标的一致提供持续的基础，也是实现向有益于形成最佳安全文化的行为改变的手段。首席信息安全官（ChiefInformationSecurityOfficer）所有组织都应当设置首席信息安全官（CISO），可能是CIO、CTO、CFO，在设置了信息安全官或信息安全主管的组织中甚至是CEO。随着组织意识到对信息的依赖和日益增加的威胁，谨慎的管理层已逐渐将信息安全官提升至高级管理层位置.,CISA培训-第二章,1.7信息安全治理董事会与最高管理层的角色与职责,CISA培训-第二章,谷安天下版权所有严禁传播,GooAnn,1.7信息安全治理安全治理成果与管理职责的关系,管理层级董事会,战略一致需要显著的一致性,风险管理确定风险承受能力,监督风险管理政策确保对法规的符合性,价值交付需要安全活动成本报告,绩效测评需要安全效果报,告,资源管理监督知识管理和资源使用政策,流程保证监督保证流程整合政策,执行管理层,制定安全与业务,目标的整合流程,确保在所有活动,角色与职责监督法规符合性,需要安全工作的,中明确了风险管理业务模式研究,需要监督和衡量,安全活动,确保知识获取流,程及其有效衡量,监督所有保证职,能及其整合计划,指导委员会,对安全战略和整,提供协助,识别新出现的风,规性问题,对服务于业务职,出建议,对安全工作是否,安全实务并识别合分性进行检查并提进行检查并提出建,议,对知识获取与宣,合工作进行检查并险，推行业务单元能的安全工作的充满足业务目标要求传流程进行检查,识别关键业务流,程及其保证人,指导保证整合工,作,CISO/信息安全,管理层,制定安全战略、,作、确保与业务流,一致,确保已执行风险,监督安全程序和工和业务影响评估,制定风险减缓策,程所有人持续保持略,推行对法规的符合性政策,监督安全资源的,使用及其效果,制定并实施监督,和监督安全工作,制定知识获取与,衡量其效果和效率,的指标,与其他保证人员,及衡量方法，指导宣传方法，并制定建立关联,确保识别并落实,各保证工作的重叠,及空缺部位,审计人员,评估并报告一致,性程度,评估并报告企业,风险管理实务及其结果,评估并报告效率,评估并报告衡量,评估并报告效率,方式及所用指标的或资源管理效果,评估并报告由不,同领域管理人员所执行的保证流程的,效果注意：“安全治理成果及管理职责的关系”不会在CISA考试中专门考核，但却是CISA考生应当知道的内容。,IT战略规划是组织为了利用信息技术来改善业务流程而确定的长期的IT开发和应用的发展方向、目标与计划。最高管理层的职责包括：确定成本有效的IT方案以解决问题并抓住组织所面临的机遇；制定识别和获取所需资源的行动方案。,GooAnn,1.8IT战略规划,CISA培训-第二章,谷安天下版权所有严禁传播,39,GooAnn,1.8IT战略规划,谷安天下版权所有严禁传播,IT审计师在审计IT治理时应：特别注意IT战略规划的重要性，充分评估其管理控制流程；查看IT战略规划是否与整体业务战略保持一致。关注CIO或IT高级管理层是如何介入整体业务战略的制定过程中的.在制定业务战略过程中缺乏IT的介入将导致IT战略规划不能与业务战略保持一致的风险。,40,GooAnn,1.9EA（企业架构）,【企业架构（EnterprisArchitecture:EA）】是从企业全局的角度审视与信息化相关的业务、信息、技术和应用间的相互作用关系以及这种关系对企业业务流程和功能的影响。企业架构有别于IT架构，他们之间是包涵与被包涵的关系，在企业中企业架构是整个企业的主体，包涵企业的业务架构、技术架构、IT架构等各个方面，而IT架构只是企业架构中组成的非常重要的一部分。业务架构可以用来分析商业模式，规划战略，建立组织模型及业务流程模型。有了业务架构之后，再建立常见的信息系统架构（应用和数据架构）和基础设施架构（系统软硬件及网络架构），以保证IT架构与业务架构的对齐，建立随需应变的敏捷型企业。,CISA培训-第二章,谷安天下版权所有严禁传播,41,42,43,44,如何进行IT治理？,ISACA：IT治理是企业的一种制度安排，它通过为IT提供必要的领导力、组织结构和相关过程，来保证企业的IT能支持企业战略和实现企业目标。,课程讲解内容,1,IT治理的一些概念,2,IT管理实务介绍,IT管理实务：,IT政策和程序风险管理IT人力资源管理信息技术部门组织结构和职责采购实务(外包管理)质量管理信息安全管理绩效管理,2.1IT政策和程序（IT制度体系）,48,GooAnn,（1）政策,政策是高层次的文件，政策代表了企业文化和高级管理层、经营过程所有者的战略思考。政策阐明管理层的承诺，提出组织管理信息的一般方法，并由管理层批准，应当采用适当的方法将政策传达给每一个员工。方针应当简明、扼要，便于理解。与组织的总体性目标和方向有关的政策的制订、开发、记录、推广和控制的责任应当由管理层承担，通过制定政策来为组织创造一种积极的控制环境。,谷安天下版权所有严禁传播,49,GooAnn,（1）政策,管理层应当定期审查所有政策。政策也需要不断更新，反映新的技术和经营过程的重大变化，利用信息技术提高生产效率和获取竞争效益。信息系统审计师要理解政策并对政策进行符合性审查，这是审计工作的重要环节。,CISA培训-第二章,谷安天下版权所有严禁传播,50,GooAnn,（1）政策,IT审计师在检查政策时需要评价以下内容：,政策的制定依据，政策的适当性政策的内容政策的例外情况，特别注意政策的不适用领域及原因，如：可能与遗留系统不相容的口令政策。政策批准流程政策实施流程,CISA培训-第二章,谷安天下版权所有严禁传播,51,GooAnn,（2）程序,程序是详细的文件，根据组织的政策而制定并体现其精髓。程序记载了业务流程及其内在控制，程序一般由中层管理人员制定，是政策框架下的具体化措施。程序必须清晰和准确，使接受者易于准确地理解。程序比相关政策更加易于变化，它们必须反映业务重点和环境的不断变化。对程序而言，最重要的一个方面是受规程控制的人员熟悉规程内容。从本质上讲，如果使用规程的人不了解其内容，该规程是无效的。,CISA培训-第二章,谷安天下版权所有严禁传播,52,GooAnn,2.2风险管理,风险管理是组织用于识别信息资源的脆弱性及威胁，制定相应的对策（安全措施或控制），以实现组织业务目标的过程。任何风险，都应当基于信息资源对组织的价值，将其降低至可接受水平（如剩余风险）。有效的风险管理始于清楚地理解组织的风险喜好。在IT环境下，风险喜好推动所有的风险管理工作，影响未来的技术投资，IT资产的保护程度及所需的保证水平。一旦确定了风险喜好与风险承受能力，就可以制定风险管理策略并分配职责。风险管理包括识别、分析、评估、处置、监督和沟通IT流程的风险影响。,CISA培训-第二章,谷安天下版权所有严禁传播,53,GooAnn,2.2风险管理过程,CISA培训-第二章,谷安天下版权所有严禁传播,54,GooAnn,2.2风险管理,根据风险类型及其对业务的影响程度，董事会和管理层可以选择以下措施来应对风险：,避免风险（Avoid）在可能的情况下，尽量选择不从事导致风险的特定活动或流程（通过消除风险源来消除风险）降低风险（Mitigate）通过制定、实施并监督适当的控制来降低风险发生的可能性及其影响转移风险（Transfer）与业务伙伴分担风险或通过保险、合同约定及其他方式来转移风险接受风险（Accept）正视风险的存在并对风险进行监控,CISA培训-第二章,谷安天下版权所有严禁传播,55,GooAnn,2.2风险管理过程管理人员和IT审计师在风险管理应当考虑以下因素：,应当在公司的所有IT职能域内实施风险管理；风险管理是高层管理人员的职责；尽量使用量化风险管理方法。量化风险管理方法面临的挑战来自两方面，一是估计风险（概率）的确定，二是对主观性的、定性的风险管理方法的依赖。量化风险管理可以提供更客观（可追踪）的假设。进行风险管理时，各种复杂方法与软件包的使用不能取代业务常识与职业审慎在风险管理时的重要作用。,CISA培训-第二章,谷安天下版权所有严禁传播,56,GooAnn,2.2风险分析方法,年预期损失方法ALE=VEFARO,例如：假定某公司投资500,000美元建了一个网络运营中心，其最大的威胁是火灾，一旦火灾发生，网络运营中心的估计损失程度是45。根据消防部门推断，该网络运营中心所在的地区每5年会发生一次火灾，于是我们得出了ARO为0.20的结果。基于以上数据，该公司网络运营中心的ALE将是45,000美元。,CISA培训-第二章,谷安天下版权所有严禁传播,57,GooAnn,2.3IT人力资源管理,人力资源管理涉及到人员的招聘、选用、培训和晋升，业绩考评，员工纪律，继任计划等组织政策与规程。由于这些活动与IS职能密切相关，其效果将影响员工表现及IS职责的履行。注意：IT审计师应当知道人力资源管理的相关问题，但由于其主观性及组织特定的主营业务，CISA考试中不会直接考核该内容。IT人力资源管理内容,日程和工时报告员工绩效评估强制休假解雇政策,聘用员工手册晋升政策培训,CISA培训-第二章,谷安天下版权所有严禁传播,58,GooAnn,2.4采购实务,采购实务是组织获取支持业务所需IS职能的方式，组织可以通过集中方式在内部实施全部IS职能（称为内包），也可以在全球范围对所有职能进行外包。IS职能的交付方式可包括：,内包全部由组织内员工实施外包全部由供应商实施混合方式由组织内员工及供应商混合实施，包括合资或采购人员,IS职能可以在全球范围内实施，以利用不同地区间的时差和相对低廉的工资水平等优势。包括：,现场员工直接在IS部门现场工作离场也称为近岸，员工在同一地理区域内的不同地点远程工作离岸员工在不同的地理区域远程工作,CISA培训-第二章,谷安天下版权所有严禁传播,59,GooAnn,2.4采购实务,此功能是组织的核心功能吗？这个功能的实现是否需要特定的知识、过程和人员？这个功能是否可以用同样的成本或更低的成本，在保证同样的质量或更高的质量，不增加风险的情况下，由他人提供实现？组织是否有管理第三方供应商的经验？是否能使用远程离岸站点来执行信息系统实现业务功能？,CISA培训-第二章,谷安天下版权所有严禁传播,在选择是否应该采取外包方式应该考虑以下几个方面：,60,GooAnn,2.4采购实务外包实务,外包实务就是某个组织根据协议，将部分或全部信息系统部门的职能转交给外部实体。外包是为了获取和利用服务提供商的核心竞争能力，达成持续、有意义的对经营过程和服务的改进,并降低IT成本。决定外包时的重要因素：合同中应详细定义需要外包的信息系统功能；合同中应描述所需达到的服务水平，及应当达到的最小衡量标准；了解服务提供商应当具有的知识、技能和质量水平；了解当前组织内部的IT服务成本信息，并与第三方的服务报价进行比较；管理层应评估组织是否能控制外包所带来的风险。,CISA培训-第二章,谷安天下版权所有严禁传播,61,2.4采购实务外包的风险,GooAnn减少外包风险措施,成本超过客户的预期丧失内部人员获得信息系统的经验丧失对信息系统的内部控制服务提供商出现业务故障有限的产品访问权限外包协议签订后就很难推翻或更改。遵循法律要求方面可能存在不足,建立可度量的、伙伴式利益共享的目标和回报机制；利用多个提供商或保留一部分业务作为激励手段；组建跨职能的合同管理团队；制定合同绩效测量系统；定期对价格的竞争性优势进行审查和对比；执行短期合同在合同中明确数据的所有权签署保密协议要求明确的安全水平衡量指标,CISA培训-第二章,谷安天下版权所有严禁传播,62,GooAnn,2.4采购实务全球化外包要注意的问题,法律、法规和税务方面的事务运行在不同国家或地区的IT系统可能会引入新的风险，而用户对此方面的风险所知有限；持续运行可能无法提供或测试业务连续性和灾难恢复功能；网络通讯事务对远程站点或离岸站点的网络控制和访问可能面对更高的费用和更多的安全暴露风险；跨国界和跨文化的事务管理多时区、多语言和多文化的人员时，可能会遭到更多的问题与挑战。,CISA培训-第二章,谷安天下版权所有严禁传播,63,CISA培训-第二章,谷安天下版权所有严禁传播,GooAnn,2.4采购实务,64,外包及第三方审计报告可以要求供应商定期提交第三方审计报告，这些报告涵盖了与数据机密性、完整性、可用性相关的问题。或者允许组织内的审计师对供应商进行定期审计。外包治理外包治理是一系列责任、角色、目标、衔接和控制机制，用来预测变化及管理第三方服务的引入、维护、绩效、成本和控制。外包治理是组织和服务提供商必须采纳的一个动态过程，它为识别双方各利益相关人之间所需的信息、关系、控制和交易提供了一个普遍、一致及有效的方法。外包治理中的双方责任包括：通过持续审查、改进和双方获利来确保合同的有效期限明确规定对合同的治理安排管理双方关系以确保合同责任满足SLA和运营水平协议（OLA）的要求识别并管理所有利益相关人及其关系和预期为制定决策、问题升级、争议管理、需求管理和服务交付建立清晰的角色和职责按照所需优先级分配资源、费用和服务对绩效、成本、用户满意度和效果进行持续评价在所有利益相关人之间进行沟通,CISA培训-第二章,谷安天下版权所有严禁传播,GooAnn,2.4采购实务,65,管理第三方服务交付按照第三方服务交付协议来实施和维护适当的信息安全水平及服务交付。组织应当对协议的实施进行检查，监督对协议的遵循情况并管理变更以确保所交付的服务满足所有与第三方既定的要求。服务交付第三方组织的服务交付内容应当包括既定的安全部署、服务定义及服务管理等方面。在外包情况下，组织应当规划必须的转换（包括信息、数据中心设施及其他需要迁移的事项）并确保整个转换期间的安全维护。组织应当确保第三方组织维持充分的服务能力，同时制定可行的计划以确保在发生主要服务故障或灾难时能维持既定的服务水平。,CISA培训-第二章,谷安天下版权所有严禁传播,GooAnn,2.4采购实务,66,监督和检查第三方服务应当在组织与第三方之间确定服务管理关系与流程，以：监督服务性能水平，检查对协议的遵循性检查第三方提交的服务报告，按照协议要求定期举行会议提交信息安全事件的相关信息，并由第三方、协议中规定的组织或指南及规程中规定的组织来进行审查针对安全事件、运营问题、故障、差错跟踪和服务交付的相关争议，检查第三方审计轨迹和记录解决已识别的问题并予以管理第三方服务的变更管理变更服务条款，包括对现有的信息安全政策、规程和控制的维护及改善，应当考虑业务系统的关键性及其涉及流程进行管理，并重新评估风险。,CISA培训-第二章,谷安天下版权所有严禁传播,GooAnn,2.4采购实务,云计算,67,一种支持对可配置计算资源共享池（如网络、服务器、存储、应用和服务）执行方便如需网络访问的模型，它可以进行快速提供和发布，同时将管理工作或服务商交互保持在最低水平。另一种说明方式则是，将云环境下提供的服务类比为一种实用工具。如同企业为他们使用的电力、煤气和水付费一样，他们现在也可以选择根据使用的IT服务量进行付费。,我们可以将云模型看做由三种服务模型、四种部署模型和五个关键特征组成。每个模型的整体风险和优势都各有不同。在考虑各个类型的服务和部署模型时，企业一定要注意自身面临的风险情况，然后再加以选择。,CISA培训-第二章,谷安天下版权所有严禁传播,GooAnn,2.4采购实务,68,CISA培训-第二章,谷安天下版权所有严禁传播,GooAnn,2.4采购实务,69,CISA培训-第二章,谷安天下版权所有严禁传播,GooAnn,2.4采购实务,70,云治理在考虑云计算使用时，业务和IT的战略方向通常是云治理的重点。在处理云技术及其提供商的问题时，目标设定、政策和标准开发、定义角色和责任以及管理风险等典型治理活动均须得到特别考虑。需要对业务流程处理方式作出一些调整。数据处理、开发和信息检索等业务流程都是可能需要改变的方面。此外，信息的存储、存档和备份方式等流程细节额需要重新考虑。一个巨大的治理问题是，过去必须通过IT获得服务的业务部门人员现在可以绕过IT，从云直接接受服务。因此，通过信息安全政策解决云服务的使用问题就成了重中之重。应将管理与第三方关系的责任委派给特定的个人或服务管理团队。对于敏感信息，关键信息或由第三方访问、处理或管理的信息处理场所的各个安全方面，组织应该保持足够的全面控制并保证能够透彻了解这些信息。进行外包时，组织应意识到，外包方所处理信息的最终责任由组织承担。,CISA培训-第二章,谷安天下版权所有严禁传播,GooAnn,2.5组织变更管理,71,组织变更管理是一种管理行为，它通过识别并应用对组织有益的技术来改善架构和应用水平，变更管理涉及组织中受变更影响的所有层级。IS部门应通过与