IT审计要点课件.ppt

《IT审计要点课件.ppt》由会员分享，可在线阅读，更多相关《IT审计要点课件.ppt（56页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、前提前提COBIT框架所基于的前提是框架所基于的前提是IT需要为企业达成其目标提供所需要的信息。需要为企业达成其目标提供所需要的信息。i资源和流程 信息业务流程业务目标提供提供给给达成达成COBIT COBIT 框架专注于业务对信息的需求并组织框架专注于业务对信息的需求并组织ITIT资源，以此来帮助资源，以此来帮助ITIT与业务保持一致。与业务保持一致。COBITCOBIT为实施为实施ITIT治理提供了一个框架及指南。治理提供了一个框架及指南。1COBIT:原则原则COBIT框架的原则是将管理层对框架的原则是将管理层对IT的期望与的期望与IT职责联系在一起。其目标是协助职责联系在一起。其目标是

2、协助IT治理在提供治理在提供IT价值的价值的同时管理同时管理IT风险。风险。业务战略信息标准IT资源IT流程2COBIT框架框架作为一个作为一个IT的控制和治理框架，的控制和治理框架，COBIT关注于以下两个关键点：关注于以下两个关键点：提供所需要的信息以支持业务目标和需求根据IT流程所管理的IT相关资源及应用对信息进行处理流程活动域IT流程流程有效性效率保密性完整性可用性合规性可靠性IT资源资源应用信息基础架构人员IT流程流程业务需求业务需求控制方法控制方法考虑事项考虑事项 .信息标准信息标准3组织会考虑并使用多种组织会考虑并使用多种IT模型、标准，以及最佳实践，此外需要对它们进行认真理解，

3、以考模型、标准，以及最佳实践，此外需要对它们进行认真理解，以考虑如何将其与虑如何将其与COBIT进行无缝连接。进行无缝连接。COBITISO 9000ISO 17799ITILCOSO做什么做什么怎么做怎么做COBIT及其他及其他IT管理框架管理框架覆盖范围覆盖范围4绩效绩效:业务目标业务目标合规性：合规性：Basel II,Sarbanes-Oxley Act,etc.企业治理企业治理IT治理治理ISO 9001:2000ISO 17799ISO 20000最佳实践标准最佳实践标准质量保证步骤质量保证步骤流程和步骤流程和步骤驱动驱动 COBITCOSO安全原则安全原则ITIL 平衡计分卡平衡

4、计分卡COBIT适用于何处？适用于何处？5业务目标和治理目标业务目标和治理目标效率应用信息基础架构人提供和支持提供和支持监控和评估监控和评估获取和实施获取和实施信息信息IT资源资源C O B I T框架框架有效性保密性完整性可用性合规性DS1 服务级别定义及管理DS2 第三方服务管理DS3 性能和能力管理DS4 连续服务保障DS5 系统安全保障DS6 成本识别及分配DS7 用户教育及培训.DS8 服务台和突发事件管理DS9 配置管理DS10 问题管理DS11 数据管理DS12 物理环境管理DS13操作管理ME1 监控与评价IT性能ME2 监控与评价内部控制ME3 确保与法律的符合性ME4 提供

5、IT治理PO1 制定IT战略计划PO2 确定信息架构.PO3 确定技术方向.PO4 定义IT流程、组织和关系.PO5 IT投资管理.PO6 沟通管理目标和方向PO7 IT人力资源管理PO8 质量管理PO9 IT风险评估和管理.PO10 项目管理AI1 识别解决方案.AI2 获取与维护应用软件AI3 获取与维护技术架构AI4 运营与使用能力保障AI5 获取IT资源AI6 变更管理AI7 变更及方案的部署和授权计划和组织计划和组织可靠性COBIT框架框架6COBIT 模型模型:IT 域域 计划与组织计划与组织(PO)目标:指明战略和战术识别如何使IT为业务目标的达成作出最大的贡献计划、沟通和管理战

6、略目标的实现实施组织和技术架构范围:IT与业务在战略上是否一致?企业对资源的利用是否合理?是否所有的员工都理解IT目标?是否所有的风险都被理解并管理?IT系统质量是否满足业务需求?IT 和业务和业务7让我们来看一下COBIT流程模型,它由4个IT域共34个IT流程组成。PO1 制定IT战略计划PO2 确定信息架构PO3 确定技术导向PO4 定义IT流程、组织和关系PO5 IT投资管理PO6 沟通管理目标和方向PO7 IT人力资源管理PO8 质量管理PO9 IT风险评估和管理PO10 项目管理计划与组织计划与组织COBIT 模型模型:IT 域域(续续)计划与组织提供与支持获取与实施监控与评价IT

7、 流程8COBIT 模型模型:IT 域域(续续)获取与实施获取与实施(AI)目标:识别、制定或获取、实施并整合IT方案现有系统的变更与维护范围:新项目提供的解决方案是否满足业务需求提供?新项目是否能在预算范围内及时提供?新项目实施后是否能正常工作?变更是否能够不影响当前的业务运营?新项目组织?9COBIT模型模型:IT域域(续续)计划与组织提供与支持获取与实施监控与评价IT 流程AI1 识别自动解决方案AI2 获取与维护应用软件AI3 获取与维护技术架构AI4 保障运营与使用AI5 获取IT资源AI6 变更管理AI7 变更及方案的部署和授权获取与实施获取与实施10COBIT模型模型:IT域域(

8、续续)提供与支持提供与支持(DS)目标:所请求服务的实际提供结果,包括服务提供过程安全、连续性、数据和运营设施管理对用户的服务支持范围:IT服务提供是否与业务优先级相匹配?IT成本是否最优?员工是否能安全有效的使用IT系统?是否能保障机密性、完整性和可用性?IT服务业务优先级11COBIT模型模型:IT域域(续续)DS1 服务级别定义与管理DS2 第三方服务管理DS3 性能和能力管理DS4 连续服务保障DS5 系统安全保障DS6 成本识别与分配DS7 用户教育与培训DS8 服务台和突发事件管理DS9 配置管理DS10 问题管理DS11 数据管理DS12 物理环境管理DS13 运营管理提供与支持

9、提供与支持计划与组织提供与支持获取与实施监控与评价IT 流程12COBIT模型模型:IT域域(续续)监控与评价监控与评价(ME)目标:性能管理监控内部控制调整一致治理范围:IT性能是否被衡量，从而使问题在造成影响前被监测出来?管理是否能保证内部控制的有效和高效?IT性能是否与业务目标相关联?风险、控制、一致性和绩效是否被衡量并报告?IT性能13ME1 监控与评价IT性能ME2 监控与评价内部控制ME3 确保与法律的符合性ME4 提供IT治理监控与评价监控与评价COBIT 模型模型:IT域域(续续)计划与组织提供与支持获取与实施监控与评价IT 流程14IT治理路线图治理路线图15最佳实践关注目标

10、IT与业务目标IT核心竞争力业务与技术发展衡量性能衡量结果活动关键成功因素谁怎么做V=IT价值传递 A=IT战略匹配 R=风险管理 P=性能衡量IT治理工具治理工具16COBIT COBIT 架架构构1234PO 计划与组织计划与组织AI 获取和实施获取和实施DS 提供与支持提供与支持ME 监控与评价监控与评价4个域个域17计划与划与组织制定IT战略计划PO1确定信息架构PO2确定技术导向PO3定义IT流程、组织和关系PO4IT投资管理PO5沟通管理目标和方向PO6IT人力资源管理PO7质量管理PO8IT风险评估和管理PO9项目管理PO10PO18PO1 PO1 制定制定ITIT战略略计划划I

11、TIT战略计划用于管理并指导所有的战略计划用于管理并指导所有的ITIT资源与业务战略及优先级一致，资源与业务战略及优先级一致，ITIT职能部门和业务利益职能部门和业务利益相关者负责保证通过项目和服务投资组合实现价值最大化。战略计划有助于主要利益相关者相关者负责保证通过项目和服务投资组合实现价值最大化。战略计划有助于主要利益相关者理解理解ITIT优势和限制、评估当前性能、识别能力和人力资源需求，并说明所需要的投资水平。优势和限制、评估当前性能、识别能力和人力资源需求，并说明所需要的投资水平。业务战略和优先级反映于投资组合中并在业务战略和优先级反映于投资组合中并在ITIT战术计划中执行战术计划中执

12、行,描述了同时符合业务和描述了同时符合业务和ITIT需求的需求的总体目标、行动计划和任务。总体目标、行动计划和任务。19PO2 PO2 确定信息架确定信息架构构 信息系统职能部门负责建立并定期更新业务信息模式和定义合适的系统以使信息利用最优化信息系统职能部门负责建立并定期更新业务信息模式和定义合适的系统以使信息利用最优化。它包括根据组织的数据语法规则、数据分类规则和安全等级定义相应的数据字典。该流程。它包括根据组织的数据语法规则、数据分类规则和安全等级定义相应的数据字典。该流程通过确保提供可靠、安全的信息以提高管理决策质量，同时它能够合理地匹配系统资源与业通过确保提供可靠、安全的信息以提高管理

13、决策质量，同时它能够合理地匹配系统资源与业务战略。该务战略。该ITIT流程增强了数据完整性和安全性保障，并加强了对应用和实体的信息共享的控流程增强了数据完整性和安全性保障，并加强了对应用和实体的信息共享的控制及有效性。制及有效性。20PO3 PO3 确定技确定技术导向向 信息服务职能部门负责确定支持业务的技术导向。这要求建立一个技术架构计划和架构委信息服务职能部门负责确定支持业务的技术导向。这要求建立一个技术架构计划和架构委 员会，用于确立与管理明确的并可实现的技术期望，这种技术期望可以从产品、服务和交付员会，用于确立与管理明确的并可实现的技术期望，这种技术期望可以从产品、服务和交付机制三个方

14、面来考虑。技术架构计划应包括系统架构、技术导向、获取计划、标准、转移策机制三个方面来考虑。技术架构计划应包括系统架构、技术导向、获取计划、标准、转移策略以及意外，并需要定期更新。这能够保证对竞争环境的变化及时作出响应，形成信息系统略以及意外，并需要定期更新。这能够保证对竞争环境的变化及时作出响应，形成信息系统人员及投资的规模经济，并改善应用和平台的交互性。人员及投资的规模经济，并改善应用和平台的交互性。21PO4PO4定定义ITIT流程、流程、组织和和关关系系ITIT组织的建立必须考虑人员、技能、职能、问责性、职权、角色及职责、监管的需求。应将组织的建立必须考虑人员、技能、职能、问责性、职权、

15、角色及职责、监管的需求。应将组织嵌入组织嵌入ITIT流程框架中，以确保透明度和控制，该框架也包含组织高层和业务管理。战略委流程框架中，以确保透明度和控制，该框架也包含组织高层和业务管理。战略委员会负责关注员会负责关注ITIT整体概况，由业务部门和整体概况，由业务部门和ITIT人员构成的一个或多个指导委员会负责根据业务人员构成的一个或多个指导委员会负责根据业务需求确定需求确定ITIT资源优先级。应为所有的职能部门建立流程、管理策略和步骤，尤其需要关注控资源优先级。应为所有的职能部门建立流程、管理策略和步骤，尤其需要关注控制、质量保障、风险管理、信息安全、数据和系统所有权，以及职责分离。为了保证能

16、够及制、质量保障、风险管理、信息安全、数据和系统所有权，以及职责分离。为了保证能够及时支持业务需求，时支持业务需求，ITIT应包括在相关的决策流程中。应包括在相关的决策流程中。22PO5 ITPO5 IT投投资管理管理应建立并维护一个管理应建立并维护一个管理ITIT投资项目的框架，这个框架包括成本、收益、预算优先级、正式的投资项目的框架，这个框架包括成本、收益、预算优先级、正式的预算流程以及预算管理。利益相关者要结合预算流程以及预算管理。利益相关者要结合ITIT战略和战术计划识别和控制总成本和收益，并战略和战术计划识别和控制总成本和收益，并根据需要采取合适的行动。这个流程关注根据需要采取合适的

17、行动。这个流程关注ITIT与业务利益相关者之间的关系，使与业务利益相关者之间的关系，使ITIT资源使用有资源使用有效且高效，并提供整体拥有成本的透明度以及相应的权责，实现商业利益和效且高效，并提供整体拥有成本的透明度以及相应的权责，实现商业利益和ITIT投资的投资回投资的投资回报率。报率。23PO6 PO6 沟沟通管理目通管理目标和方向和方向管理者应制定企业的管理者应制定企业的ITIT控制框架并定义、沟通策略。应实施持续的沟通来传达管理者批准并控制框架并定义、沟通策略。应实施持续的沟通来传达管理者批准并支持的使命、服务目标、策略和步骤等。沟通可以支持支持的使命、服务目标、策略和步骤等。沟通可以

18、支持ITIT目标的实现，并确保员工熟悉并理目标的实现，并确保员工熟悉并理解业务和解业务和ITIT风险、目标以及方向。该流程应保证与相关的法律法规一致。风险、目标以及方向。该流程应保证与相关的法律法规一致。24PO7 ITPO7 IT人力人力资源管理源管理为业务进行为业务进行ITIT服务的创建和交付需要人员的保障。为实现上述目标，应制定并遵循相关的流服务的创建和交付需要人员的保障。为实现上述目标，应制定并遵循相关的流程，包括招聘、培训、绩效评估、晋升和离职。这个流程很重要，因为人是重要的资产，企程，包括招聘、培训、绩效评估、晋升和离职。这个流程很重要，因为人是重要的资产，企业治理和内部环境控制在

19、很大程度上依赖于人员的激励和能力。业治理和内部环境控制在很大程度上依赖于人员的激励和能力。25PO8 Manage QualityPO8 PO8 质量管理量管理 应建立并维护质量管理体系（应建立并维护质量管理体系（QMSQMS），），QMSQMS包括流程和标准的开发和获取。质量管理是通过包括流程和标准的开发和获取。质量管理是通过提供明确的质量需求、步骤和策略来策划、实施和维护提供明确的质量需求、步骤和策略来策划、实施和维护QMSQMS进而实现保障。质量需求应以量进而实现保障。质量需求应以量化的和可达到的指标存在和沟通。通过持续的监控、分析和纠正偏差来实现持续改进，并将化的和可达到的指标存在和沟

20、通。通过持续的监控、分析和纠正偏差来实现持续改进，并将结果报告给利益相关者。质量管理本质上是保证结果报告给利益相关者。质量管理本质上是保证ITIT为业务提供价值、持续改进，并为利益相为业务提供价值、持续改进，并为利益相关者实现透明化。关者实现透明化。26PO9 ITPO9 IT风险评估和管理估和管理应创建并维护风险管理框架，该框架描述了一个通用并约定的应创建并维护风险管理框架，该框架描述了一个通用并约定的ITIT风险等级、缓释策略和剩余风险等级、缓释策略和剩余风险。应识别、分析并评估意外事故对组织目标的潜在影响，采用风险缓释策略来最小化剩风险。应识别、分析并评估意外事故对组织目标的潜在影响，采

21、用风险缓释策略来最小化剩余风险使将其降低到可接受的水平。风险评估结果应被利益相关者理解，并采用财务术语来余风险使将其降低到可接受的水平。风险评估结果应被利益相关者理解，并采用财务术语来表达，以使利益相关者能够对风险进行调控至可接受的水平。表达，以使利益相关者能够对风险进行调控至可接受的水平。27PO10 PO10 项目管理目管理为了协调项目并合理安排项目优先级，需要建立项目群和项目管理框架对所有为了协调项目并合理安排项目优先级，需要建立项目群和项目管理框架对所有ITIT项目进行管项目进行管理。为确保项目风险管理的实施并为业务提供价值，该框架应包括：总体规划、资源分配、理。为确保项目风险管理的实

22、施并为业务提供价值，该框架应包括：总体规划、资源分配、交付物定义、用户批准、阶段性交付方法、质量保证、正式测试计划、测试及实施后评审。交付物定义、用户批准、阶段性交付方法、质量保证、正式测试计划、测试及实施后评审。该方法减少了非预期的费用支出和项目取消的风险，改善了业务部门和最终用户的交流和参该方法减少了非预期的费用支出和项目取消的风险，改善了业务部门和最终用户的交流和参与，确保项目交付物的价值和质量，同时也使与，确保项目交付物的价值和质量，同时也使ITIT投资项目的回报最大化。投资项目的回报最大化。28获取取与与实施施定义软件解决方案AI1获取与维护应用软件AI2获取与维护技术架构AI3保障

23、运营与使用AI4获取IT资源AI5变更管理AI6变更及方案的部署和授权AI7AI29AI1 AI1 定定义软件解件解决决方案方案为了有效并高效地满足业务需求，在获取或开发新应用或新功能之前，需要对新的应用或者为了有效并高效地满足业务需求，在获取或开发新应用或新功能之前，需要对新的应用或者新的需求功能进行分析。该流程包括需求定义、备选资源的考虑、技术和经济可行性评估、新的需求功能进行分析。该流程包括需求定义、备选资源的考虑、技术和经济可行性评估、风险分析和成本收益分析，最后作出风险分析和成本收益分析，最后作出“生产生产”或或“购买购买”决定。所有这些步骤都是为了确保决定。所有这些步骤都是为了确保

24、组织在达到业务目标的同时，使获取和实施解决方案的费用最小。组织在达到业务目标的同时，使获取和实施解决方案的费用最小。30AI2 AI2 获取取与与维护应用用软件件应用必须在与业务需求一致的情况下可用。该流程包括应用设计、应用控制和安全要求的应用必须在与业务需求一致的情况下可用。该流程包括应用设计、应用控制和安全要求的相关内容，以及根据标准进行开发和配置。合理地使用自动化应用系统使组织有能力支持相关内容，以及根据标准进行开发和配置。合理地使用自动化应用系统使组织有能力支持业务的正常运营。业务的正常运营。31AI3 AI3 获取取与与维护技技术架架构构组织应建立对技术架构进行获取、实施和升级的流程

25、。这就需要一种方法来获取、维护和组织应建立对技术架构进行获取、实施和升级的流程。这就需要一种方法来获取、维护和保护技术架构与定义的技术策略、测试环境相一致。它确保能够为业务应用提供持续的技保护技术架构与定义的技术策略、测试环境相一致。它确保能够为业务应用提供持续的技术支持。术支持。32AI4 AI4 保障保障运运营与与使用使用新系统的相关知识必须可用。该流程要求为客户和新系统的相关知识必须可用。该流程要求为客户和ITIT人员制定文件和手册，并提供培训，以人员制定文件和手册，并提供培训，以确保应用和基础设施的正确使用和运营。确保应用和基础设施的正确使用和运营。33AI5 AI5 获取取ITIT资

26、源源为获取包括人员、硬件、软件和服务在内的为获取包括人员、硬件、软件和服务在内的ITIT资源，需要定义并执行采购、供应商选择、合资源，需要定义并执行采购、供应商选择、合同管理以及实施本身，确保组织获取所需的同管理以及实施本身，确保组织获取所需的ITIT资源及时并最具成本效益。资源及时并最具成本效益。34AI6 AI6 变更管理更管理所有变更，包括生产环境中设施和应用的应急维护及打补丁，必须以受控的方式管理。在实所有变更，包括生产环境中设施和应用的应急维护及打补丁，必须以受控的方式管理。在实施变更及根据预期结果回顾变更之前，必须对变更（包括程序、流程、系统和服务参数）进施变更及根据预期结果回顾变

27、更之前，必须对变更（包括程序、流程、系统和服务参数）进行记录、评估和授权，以降低对存在对生产环境稳定性、完整性的负面影响的风险。行记录、评估和授权，以降低对存在对生产环境稳定性、完整性的负面影响的风险。35AI7 AI7 变更及方案的部署和授更及方案的部署和授权 要确保新系统开发完成后可运营，需要使用相关的测试数据在专门的测试环境中进行测试、要确保新系统开发完成后可运营，需要使用相关的测试数据在专门的测试环境中进行测试、定义上线和移植指令、计划发布、运行以及实施后回顾，确保运营系统与期望及预期结果相定义上线和移植指令、计划发布、运行以及实施后回顾，确保运营系统与期望及预期结果相一致。一致。36

28、Deliver And Support 提供提供与与支持支持服务级别定义及管理DS1第三方服务管理DS2性能和能力管理DS3连续服务保障DS4系统安全保障DS5成本识别及分配DS6用户教育及培训DS7服务台和突发事件管理DS8配置管理DS9问题管理DS10DS数据管理DS11物理环境管理DS12运营管理DS1337DS1DS1服服务级别定定义及管理及管理ITIT管理者和业务客户之间关于所需服务的有效沟通是能够通过书面的定义和管理者和业务客户之间关于所需服务的有效沟通是能够通过书面的定义和ITIT服务及服务及服务水平的协议来约束的。此流程也包括对所达到的服务水平进行监控并及时向利益服务水平的协议

29、来约束的。此流程也包括对所达到的服务水平进行监控并及时向利益相关者报告。此流程也能够保证相关者报告。此流程也能够保证ITIT服务可以满足相关业务需求。服务可以满足相关业务需求。38DS2第三方服第三方服务管理管理为了保证由第三方提供的服务符合业务需求，组织需要建立有效的第三者管理流程。为了保证由第三方提供的服务符合业务需求，组织需要建立有效的第三者管理流程。这个流程包括在第三方协议中清楚地定义角色、职责和期望，同时还包括保证有效性这个流程包括在第三方协议中清楚地定义角色、职责和期望，同时还包括保证有效性和一致性定期检查和监控。有效的管理第三方服务能够使与不履行职责的供应商相关和一致性定期检查和

30、监控。有效的管理第三方服务能够使与不履行职责的供应商相关的业务风险降到最低。的业务风险降到最低。39DS3DS3性能及能力管理性能及能力管理为了管理为了管理ITIT资源的性能和能力，组织需要建立一个流程周期性地检查现有的资源的性能和能力，组织需要建立一个流程周期性地检查现有的ITIT资源的资源的性能和能力。此流程包括基于工作量、存储和应急需求对未来需求的预测。此流程保性能和能力。此流程包括基于工作量、存储和应急需求对未来需求的预测。此流程保证了支持业务需求的信息资源持续可用。证了支持业务需求的信息资源持续可用。40DS4DS4连续服服务保保证为了提供连续的为了提供连续的ITIT服务，组织需要开

31、发、维护和测试服务，组织需要开发、维护和测试ITIT连续性计划，异地备份存储，连续性计划，异地备份存储，并定期进行连续性计划培训。一个有效的连续的服务流程能够减少主要并定期进行连续性计划培训。一个有效的连续的服务流程能够减少主要ITIT服务中断的服务中断的可能性和对关键业务和处理的影响。可能性和对关键业务和处理的影响。41DS5DS5系系统安全保安全保证为了维护信息的完整性和保护为了维护信息的完整性和保护ITIT资产，组织需要建立一个完全管理流程。这个流程包资产，组织需要建立一个完全管理流程。这个流程包括建立和维护括建立和维护ITIT安全角色和职责、策略、标准和步骤。安全管理也包括进行安全监控

32、、安全角色和职责、策略、标准和步骤。安全管理也包括进行安全监控、定期测试，以及对已明确的安全缺陷或事件采取纠正措施。有效的安全管理通过最小定期测试，以及对已明确的安全缺陷或事件采取纠正措施。有效的安全管理通过最小化安全弱点和安全事件对业务影响以保护所有化安全弱点和安全事件对业务影响以保护所有ITIT资产。资产。42DS6DS6识别分配成本分配成本为业务部门公平和公正地分配为业务部门公平和公正地分配ITIT成本，需要精确地计算成本，需要精确地计算ITIT成本并且和业务用户达成一成本并且和业务用户达成一致。此流程包括建立和运营一个系统，该系统可用来向用户获取、分配和报告致。此流程包括建立和运营一个

33、系统，该系统可用来向用户获取、分配和报告ITIT成本。成本。一个公平的分配系统能够帮助业务部门就一个公平的分配系统能够帮助业务部门就ITIT服务的使用做出更为明智的决定。服务的使用做出更为明智的决定。43DS7DS7用用户教教育及培育及培训在在ITIT系统中，有效的教育必须明确各个用户组（包括系统中，有效的教育必须明确各个用户组（包括ITIT系统内部用户）各自的培训需系统内部用户）各自的培训需求。除了明确需求之外，此流程还包括定义和执行有效的培训战略，检查培训结果。求。除了明确需求之外，此流程还包括定义和执行有效的培训战略，检查培训结果。一个有效的培训计划将提高技术的使用效率，减少用户的错误，

34、增加生产率和关键控一个有效的培训计划将提高技术的使用效率，减少用户的错误，增加生产率和关键控制的负荷，例如用户的安全措施。制的负荷，例如用户的安全措施。44DS8DS8服服务台及突台及突发事件管理事件管理及时有效地响应及时有效地响应ITIT用户的请求和提出的问题需要一个设计合理和执行良好的服务台和用户的请求和提出的问题需要一个设计合理和执行良好的服务台和突发事件管理流程。此流程包括设定服务台的功能，用来登记、逐步升级事件、分析突发事件管理流程。此流程包括设定服务台的功能，用来登记、逐步升级事件、分析引起事件的根本原因，并解决问题。业务的收益包括通过快速的响应用户请求提高效引起事件的根本原因，并

35、解决问题。业务的收益包括通过快速的响应用户请求提高效率；另外，业务可以通过有效的报告找到问题的根源，例如缺乏用户培训。率；另外，业务可以通过有效的报告找到问题的根源，例如缺乏用户培训。45DS9DS9配置管理配置管理确保硬件和软件配置的完整性需要建立和维护一个准确的和完整的配置库，此流程包确保硬件和软件配置的完整性需要建立和维护一个准确的和完整的配置库，此流程包括收集初始的配置信息、建立基线、校验和审计配置信息、必要的时候更新配置库。括收集初始的配置信息、建立基线、校验和审计配置信息、必要的时候更新配置库。有效的配置管理促进更高的系统利用率，将使用中的问题减小到最小，并以更快地速有效的配置管理

36、促进更高的系统利用率，将使用中的问题减小到最小，并以更快地速度解决问题。度解决问题。46DS10DS10问题管理管理有效的问题管理需要对问题进行识别和分类，并且分析根源和解决问题。问题管理流有效的问题管理需要对问题进行识别和分类，并且分析根源和解决问题。问题管理流程包括识别改进建议、维护问题记录、检查纠正措施的状态。一个有效的问题管理流程包括识别改进建议、维护问题记录、检查纠正措施的状态。一个有效的问题管理流程可以提高服务水平、减少成本，并提高用户满意度。程可以提高服务水平、减少成本，并提高用户满意度。47DS11DS11数数据管理据管理有效的数据管理需要识别数据需求。数据管理流程也应该包括建

37、立有效的管理步骤来有效的数据管理需要识别数据需求。数据管理流程也应该包括建立有效的管理步骤来管理介质库、数据的备份和恢复，以及介质的恰当处理。有效的数据管理可以帮助确管理介质库、数据的备份和恢复，以及介质的恰当处理。有效的数据管理可以帮助确保业务数据的质量、高效性和有效性。保业务数据的质量、高效性和有效性。48DS12DS12物理物理环境管理境管理为了保护计算机设备和人员需要设计良好且管理完善的物理设施。物理环境管理流程为了保护计算机设备和人员需要设计良好且管理完善的物理设施。物理环境管理流程包括定义物理场所的要求，选择合适的设施，设计监控环境因素的有效步骤，管理物包括定义物理场所的要求，选择

38、合适的设施，设计监控环境因素的有效步骤，管理物理访问。有效的物理环境管理流程将降低业务中断对计算机设备和人员的损害。理访问。有效的物理环境管理流程将降低业务中断对计算机设备和人员的损害。49DS13DS13运运营管理管理完整、准确的数据处理需要有效的数据处理管理和硬件的维护。此流程包括定义运营完整、准确的数据处理需要有效的数据处理管理和硬件的维护。此流程包括定义运营策略和步骤，以此对安排好的处理过程进行有效管理，对敏感输出信息进行保护，并策略和步骤，以此对安排好的处理过程进行有效管理，对敏感输出信息进行保护，并监控基础设施，对硬件进行预防性维护。有效的运营管理能够帮助维护数据的完整性，监控基础

39、设施，对硬件进行预防性维护。有效的运营管理能够帮助维护数据的完整性，减少业务进度推迟的发生，降低减少业务进度推迟的发生，降低ITIT运营成本。运营成本。50Monitor and Evaluate 监控控与与评价价监控与评价IT性能ME1监控与评价内部控制ME2确保与法律的符合性ME3提供IT治理ME4ME51ME1ME1监控控与与评价价ITIT性能性能有效的有效的ITIT绩效管理需要一个监控流程。此流程包括定义相关绩效指标、对绩效进行系绩效管理需要一个监控流程。此流程包括定义相关绩效指标、对绩效进行系统及时地报告，以及对异常情况采取行动。为了确保所有活动被正确地执行，监控活统及时地报告，以及

40、对异常情况采取行动。为了确保所有活动被正确地执行，监控活动非常必要。动非常必要。52ME2ME2监控控与与评价价内内部控制部控制由于由于ITIT需要一个完善的监控流程，在组织中需要建立一个有效的内部控制流程。此流需要一个完善的监控流程，在组织中需要建立一个有效的内部控制流程。此流程包括违规情况的监控和报告，以及自我评估和第三方审核结果。内部控制监控的关程包括违规情况的监控和报告，以及自我评估和第三方审核结果。内部控制监控的关键收益是确保内部控制能够有效且高效地运行，并且符合相关法律法规要求。键收益是确保内部控制能够有效且高效地运行，并且符合相关法律法规要求。53ME3ME3确保确保与与法律的符

41、合性法律的符合性为了对符合性进行有效的监控，需要建立一个回顾流程，以确保符合相关法律法规要为了对符合性进行有效的监控，需要建立一个回顾流程，以确保符合相关法律法规要求。此流程包括识别符合性需求，对反馈进行优化和评估，获得合规保障，并将求。此流程包括识别符合性需求，对反馈进行优化和评估，获得合规保障，并将ITIT合合规报告与业务进行整合。规报告与业务进行整合。54ME4ME4提供提供ITIT治理治理建立有效的治理框架要包括定义组织架构、流程、领导层、角色和职责，以确保企业建立有效的治理框架要包括定义组织架构、流程、领导层、角色和职责，以确保企业ITIT投资与企业战略目标保持一致，并按照要求提供投资与企业战略目标保持一致，并按照要求提供ITIT服务。服务。55