IT治理與管理實務(wù)

1、 HYPERLINK 第二章 IIT治理理與管理理A. ITT治理 A1. 公司司治理 指指所有者者、經(jīng)營營者和監(jiān)監(jiān)督者之之間通過過公司權(quán)權(quán)力機(jī)關(guān)關(guān)（股東東大會）、經(jīng)經(jīng)營決策策與執(zhí)行行機(jī)關(guān)（董董事會、經(jīng)經(jīng)理）、監(jiān)監(jiān)督機(jī)關(guān)關(guān)（監(jiān)事事會）而而形成權(quán)權(quán)責(zé)明確確、相互互制約、協(xié)協(xié)調(diào)運轉(zhuǎn)轉(zhuǎn)和科學(xué)學(xué)決策的的聯(lián)系，并并依法律律、法規(guī)規(guī)、規(guī)章章和公司司章程等等規(guī)定予予以制度度化的統(tǒng)統(tǒng)一機(jī)制制； 公司治理強(qiáng)強(qiáng)調(diào)企業(yè)業(yè)中權(quán)力力、角色色的合理理分配和和對股東東的平等等對待；信息披披露與透透明；董董事會的的職責(zé)；為企業(yè)業(yè)提供合合理的戰(zhàn)戰(zhàn)略指南南；董事事會對管管理層進(jìn)進(jìn)行有效效的監(jiān)督督，董事事會必須須向企業(yè)業(yè)和股東東負(fù)

2、責(zé)。 公司治理框框架中一一個很重重要內(nèi)容容就是要要建立內(nèi)內(nèi)部控制制體系管管理和報報告業(yè)務(wù)務(wù)風(fēng)險。A2.ITT治理 IIT治理理是一個個綜合術(shù)術(shù)語，它它包括信信息系統(tǒng)統(tǒng)、技術(shù)術(shù)和通訊訊，業(yè)務(wù)務(wù)、法律律相關(guān)事事務(wù)，所所有利益益相關(guān)方方、董事事會、高高級管理理層、流流程所有有人、IIT供應(yīng)應(yīng)商、用用戶和審審計師。治治理有助助于確保保IT和和企業(yè)目目標(biāo)保持持一致。 有效的公司司治理注注重個人人和團(tuán)隊隊在特定定領(lǐng)域中中最有效效的專門門技能和和經(jīng)驗。長長期以來來，僅作作為組織織戰(zhàn)略促促進(jìn)因素素的信息息技術(shù)，現(xiàn)現(xiàn)在被看看作是整整體戰(zhàn)略略的一部部分。CCEO、CCOO、CCFO、CCIO和和CTOO在ITT與

3、企業(yè)業(yè)目標(biāo)間間能達(dá)成成戰(zhàn)略一一致是關(guān)關(guān)鍵成功功因素。通通過經(jīng)濟(jì)濟(jì)、有效效地使 用安全全、可靠靠的信息息和應(yīng)用用技術(shù)，IIT治理理能有助助于實現(xiàn)現(xiàn)這個關(guān)關(guān)鍵成功功因素。信信息技術(shù)術(shù)對企業(yè)業(yè)的成功功是如此此重要，因因此，不不能把其其職責(zé)放放給ITT管理人人員或IIT專家家，而必必須得到到整個高高級管理理層的關(guān)關(guān)注。 IT治理的的定義 ITGII：IT治理理是董事事會和最最高管理理層的職職責(zé)，是是企業(yè)治治理的重重要組成成部分。IIT治理理由領(lǐng)導(dǎo)導(dǎo)、組織織結(jié)構(gòu)以以及相關(guān)關(guān)流程組組成，這這些流程程能保證證組織的的IT有有效支持持及促進(jìn)進(jìn)組織戰(zhàn)戰(zhàn)略目標(biāo)標(biāo)的實現(xiàn)現(xiàn)。 IT治理理一般關(guān)關(guān)注兩方方面的問問題：I

4、IT增加加商業(yè)價價值和IIT風(fēng)險險得到控控制。前前者通過過使ITT戰(zhàn)略與與業(yè)務(wù)保保持一致致來達(dá)到到，后者者通過向向企業(yè)分分配責(zé)任任來驅(qū)動動。 IT治理理的關(guān)鍵鍵因素是是IT與業(yè)業(yè)務(wù)保持持一致，以以實現(xiàn)業(yè)業(yè)務(wù)價值值。 IT治理理的主要要流程有有：ITT資源管管理、績績效測評評和合規(guī)規(guī)管理 IT治理理回答下下述問題題 在在IT戰(zhàn)略略決策中中哪些利利益相關(guān)關(guān)者有發(fā)發(fā)言權(quán)？ 誰決定ITT投資及及其優(yōu)先先級順序序？應(yīng)當(dāng)建立哪哪些ITT委員會會，由什什么人組組成？其其職責(zé)是是什么？向誰報報告？ CCIO的的角色和和職責(zé)有有哪些？ 如如何控制制IT使其其滿足業(yè)業(yè)務(wù)需求求？ 如如何評價價IT職能能的績效效？

5、IT治理理的目標(biāo)標(biāo) 指指導(dǎo)ITT工作，確確保ITT績效滿滿足ITT目標(biāo)、符符合企業(yè)業(yè)目標(biāo)要要求，實實現(xiàn)預(yù)期期利潤 幫幫助企業(yè)業(yè)開拓商商機(jī)，實實現(xiàn)利益益最大化化 充充分利用用IT資源源 適適當(dāng)控制制IT相關(guān)關(guān)風(fēng)險 IT治治理與公公司治理理 公公司治理理主要關(guān)關(guān)注利益益相關(guān)者者權(quán)益和和管理，包包括一系系列責(zé)任任和條例例，由最最高管理理層（董董事會）和和執(zhí)行管管理層實實施； 公公司治理理目的是是提供戰(zhàn)戰(zhàn)略方向向，保證證目標(biāo)能能夠?qū)崿F(xiàn)現(xiàn)，風(fēng)險險適當(dāng)管管理，企企業(yè)資源源合理使使用； IIT治理理是公司司治理的的重要組組成部分分，是董董事會或或最高管管理層的的責(zé)任； IIT治理理由領(lǐng)導(dǎo)導(dǎo)、組織織結(jié)構(gòu)以以及

6、相關(guān)關(guān)流程組組成，這這些流程程能保證證組織的的IT能能有效支支持及促促進(jìn)組織織戰(zhàn)略目目標(biāo)的實實現(xiàn)，同同時控制制風(fēng)險、降降低成本本、提高高績效。 公司治治理可以以驅(qū)動和和調(diào)整IIT 治治理，同同時，IIT 能能夠為公公司治理理提供關(guān)關(guān)鍵的輸輸入，形形成戰(zhàn)略略計劃的的一個重重要組成成部分 公司治理理和ITT 治理理都是“他律”機(jī)制，是是如何“管好管管理者”的機(jī)制制，其目目標(biāo)也是是一致的的：達(dá)到到業(yè)務(wù)持持續(xù)運營營，并增增加組織織的長期期獲利機(jī)機(jī)會。 IT治治理與IIT管理理 IT 管理理是公司司的信息息及信息息系統(tǒng)的的運營，確確定ITT 目標(biāo)標(biāo)以及實實現(xiàn)此目目標(biāo)所采采取的行行動而IT 治治理是指指最

7、高管管理層（董董事會）利利用它來來監(jiān)督管管理層在在IT 戰(zhàn)略上上的過程程、結(jié)構(gòu)構(gòu)和聯(lián)系系，以確確保這種種運營處處于正確確的軌道道之上。簡簡言之，是是“對管理理的管理理” IT 管理理就是在在既定的的IT 治理模模式下，管管理層為為實現(xiàn)公公司的目目標(biāo)而采采取的行行動缺乏良好IIT 治治理模式式的公司司，即使使有“很好”的IT 管理體系系（而這這實際上上是不可可能的），就就像一座座地基不不牢固的的大廈 同樣，沒有有公司IIT 管管理體系系的暢通通，單純純的治理理模式也也只能是是一個美美好的藍(lán)藍(lán)圖，而而缺乏實實際的內(nèi)內(nèi)容IT治理的的層次 在在企業(yè)戰(zhàn)戰(zhàn)略層上上 ITT治理要要與公司司治理結(jié)結(jié)構(gòu)、企企業(yè)

8、戰(zhàn)略略規(guī)劃進(jìn)進(jìn)行集成成，使IIT治理理作為公公司治理理的一部部分； 在治治理結(jié)構(gòu)構(gòu)上體現(xiàn)現(xiàn)IT的位位置與作作用，使使IT議題題要進(jìn)入入董事會會（或者者是監(jiān)事事會、最最高管理理當(dāng)局）下下的戰(zhàn)略略委員會會、審計計委員會會、安全全委員會會； 董事事會要確確保ITT的執(zhí)行行與監(jiān)管管分開，監(jiān)監(jiān)管機(jī)制制要獨立立并持續(xù)續(xù)運行、溝溝通與反反饋機(jī)制制要持續(xù)續(xù)有效； ITT治理要要求向董董事會和和最高管管理層分分配職責(zé)責(zé)，并要要求其完完成一系系列活動動。 在企業(yè)戰(zhàn)術(shù)術(shù)面上 雖然然IT治理理集中在在董事會會最高管管理層，但但由于IIT治理理的復(fù)雜雜性和專專業(yè)性，治治理層必必須依賴賴企業(yè)在在戰(zhàn)術(shù)層層面上提提供必要要的

9、控制制框架來來保證治治理職責(zé)責(zé)的落實實； 為了了保證IIT與業(yè)業(yè)務(wù)目標(biāo)標(biāo)一致，充充分利用用有限的的IT資源源，提高高績效，降降低風(fēng)險險與控制制成本，按按照國際際普遍接接受的企企業(yè)內(nèi)部部控制標(biāo)標(biāo)準(zhǔn)，在在戰(zhàn)術(shù)層層面建立立有效的的IT控控制框架架并監(jiān)督督實施。 COOBITT、ITTIL、IISO1177999 需需求識別別、數(shù)據(jù)據(jù)標(biāo)準(zhǔn)化化、項目目管理 IT治理域域 一些著名的的機(jī)構(gòu)(Garrtneer、CSCC、AICCPA/CICCA、CIOO Maagazzinee ）通通過調(diào)查查認(rèn)為最最受ITT管理層層關(guān)注的的問題，已已經(jīng)從技技術(shù)領(lǐng)域域逐漸轉(zhuǎn)轉(zhuǎn)向管理理相關(guān)領(lǐng)領(lǐng)域； 這些問問題可以以歸結(jié)為為五

10、個IIT治理理域：戰(zhàn)戰(zhàn)略一致致、價值值交付、風(fēng)風(fēng)險管理理、資源源管理和和績效考考評，其其中有兩兩個核心心，一是是IT要要向業(yè)務(wù)務(wù)交付價價值，二二是降低低風(fēng)險。前前者由IIT與業(yè)業(yè)務(wù)的戰(zhàn)戰(zhàn)略一致致驅(qū)動，后后者由企企業(yè)內(nèi)部部建立的的責(zé)任分分工驅(qū)動動； 這兩者者都需要要獲得足足夠的資資源并進(jìn)進(jìn)行績效效考評，以以保證獲獲得預(yù)期期的結(jié)果果； 這五個域域都受利利益相關(guān)關(guān)者價值值驅(qū)動，其其中價值值交付、降降低風(fēng)險險是結(jié)果果，戰(zhàn)略略一致績績效考評評是驅(qū)動動力，IIT資源源管理為為治理提提供支持持。 五個IT治治理域： 戰(zhàn)略一致致- 強(qiáng)調(diào)調(diào)IT與業(yè)業(yè)務(wù)保持持一致，提提供協(xié)調(diào)調(diào)的解決決方案。 價值交付付- 確保保

11、IT實現(xiàn)現(xiàn)了預(yù)期期戰(zhàn)略收收益，集集中關(guān)注注成本的的優(yōu)化，提提供ITT的固有有價值。 風(fēng)險管理理- 將風(fēng)風(fēng)險管理理職責(zé)嵌嵌入組織織中，包包括ITT資產(chǎn)的的保護(hù)、災(zāi)災(zāi)難恢復(fù)復(fù)和業(yè)務(wù)務(wù)連續(xù)性性。 資源管管理- 對IT資源源（應(yīng)用用系統(tǒng)、信信息、基基礎(chǔ)設(shè)施施和人員員）的優(yōu)優(yōu)化投資資并適當(dāng)當(dāng)管理，關(guān)關(guān)鍵問題題在于知知識和基基礎(chǔ)設(shè)施施的優(yōu)化化。 績效考評評- 追蹤蹤并監(jiān)控控戰(zhàn)略實實施、資資源使用用、流程程績效、服服務(wù)交付付以及諸諸如平衡衡記分卡卡的使用用等，監(jiān)監(jiān)督ITT服務(wù)質(zhì)質(zhì)量。沒沒有績效效測量就就無法對對以上四四個域進(jìn)進(jìn)行有效效管理。 IT治理的的關(guān)鍵因因素 IT治理的的關(guān)鍵因因素就是是要使IIT與業(yè)

12、業(yè)務(wù)融合合，以實實現(xiàn)組織織的業(yè)務(wù)務(wù)價值。通通過ITT治理框框架和最最佳實踐踐的應(yīng)用用，在組組織內(nèi)促促成目標(biāo)標(biāo)實現(xiàn)。IIT治理理框架和和最佳實實踐是由由一系列列組織結(jié)結(jié)構(gòu)、流流程及相相關(guān)機(jī)制制組成。 關(guān)鍵的IIT治理理因素包包括：IIT戰(zhàn)略略委員會會、風(fēng)險險管理和和標(biāo)準(zhǔn)IIT平衡衡記分卡卡。 審計師在IIT治理理中的職職責(zé) 審計是組織織成功實實施ITT治理的的一個重重要角色色，對于于向高級級管理層層提供建建議，幫幫助改善善IT治治理質(zhì)量量和效果果而言，審審計處在在最佳的的位置； 通過引入審審計師獨獨立的、中中立的觀觀點，可可以對IIT治理理績進(jìn)行行持續(xù)有有效的監(jiān)監(jiān)督、分分析、評評估，以以指導(dǎo)與與

13、改進(jìn)與與IT治治理相關(guān)關(guān)的ITT過程； IS審計師師的要對對IT治理理的各個個方面進(jìn)進(jìn)行評估估IS職能能與組織織使命、愿愿景、價價值、目目標(biāo)和戰(zhàn)戰(zhàn)略的一一致性 法律律、環(huán)境境、信息息質(zhì)量、委委托、安安全和隱隱私方面面的要求求 組織織的控制制環(huán)境 ISS環(huán)境的的固有風(fēng)風(fēng)險 A3.IT戰(zhàn)戰(zhàn)略委員員會 是是董事會會實施其其IT治理理目標(biāo)的的重要機(jī)機(jī)制，一一般隸屬屬于董事事會，由由董事會會成員及及非董事事會成員員組成，它它主要職職責(zé)是協(xié)協(xié)助董事事會治理理和監(jiān)督督企業(yè)的的IT相相關(guān)事務(wù)務(wù); IIT戰(zhàn)略略委員會會應(yīng)當(dāng)保保證在組組織中以以結(jié)構(gòu)化化的方式式來實施施IT治治理，而而且董事事會可以以獲得足足夠的信

14、信息來實實現(xiàn)ITT治理的的最終目目標(biāo)。 組組織在執(zhí)執(zhí)行經(jīng)理理層設(shè)置置IT指導(dǎo)導(dǎo)委員會會來處理理關(guān)系到到整個組組織的IIT事務(wù)務(wù)，比如如：追蹤蹤IT投投資、設(shè)設(shè)定項目目優(yōu)先級級、分配配IT資資源等。 指指導(dǎo)委員員會職責(zé)責(zé)分析表表是CIISA應(yīng)應(yīng)當(dāng)掌握握的知識識 A4.IT平平衡記分分卡（BBSC） 績績效測評評是企業(yè)業(yè)管理中中的重要要因素，沒沒有績效效測評就就無法對對業(yè)務(wù)進(jìn)進(jìn)行有效效管理，但但隨著企企業(yè)創(chuàng)造造價值的的方式由由有形資資產(chǎn)逐漸漸轉(zhuǎn)向無無形資產(chǎn)產(chǎn)，對無無形資產(chǎn)產(chǎn)的衡量量，不能能采用傳傳統(tǒng)的針針對有形形資產(chǎn)的的財務(wù)數(shù)數(shù)據(jù)方式式； 平平衡記分分卡是目目前企業(yè)業(yè)管理中中較流行行的績效效測量工

15、工具，它它可以把把企業(yè)戰(zhàn)戰(zhàn)略轉(zhuǎn)化化為實際際的行為為，從而而實現(xiàn)企企業(yè)目標(biāo)標(biāo)； 這這種績效效測評系系統(tǒng)超出出了傳統(tǒng)統(tǒng)的財務(wù)務(wù)記帳方方式，它它不僅衡衡量財務(wù)務(wù)數(shù)據(jù)，還還要對業(yè)業(yè)務(wù)過程程與基于于知識的的資產(chǎn)等等方面進(jìn)進(jìn)行測評評，在顧顧客滿意意度、內(nèi)內(nèi)部流程程和創(chuàng)新新能力等等方面進(jìn)進(jìn)行了補(bǔ)補(bǔ)充，組組成了財財務(wù)、客客戶、過過程和學(xué)學(xué)習(xí)四個個視角。 標(biāo)標(biāo)準(zhǔn)ITT平衡記記分卡是是CISSA應(yīng)當(dāng)當(dāng)掌握的的內(nèi)容。 平衡記分卡卡的四個個視角： 財務(wù)務(wù)視角為使股東東滿意，我我們需要要達(dá)到什什么樣的的財務(wù)目目標(biāo)？ 客戶戶視角為實現(xiàn)現(xiàn)財務(wù)目目標(biāo)，我我們需要要服務(wù)什什么樣的的客戶？ 過程程視角為了提高高客戶和和利益相相關(guān)

16、者的的滿意度度，我們們需要建建立什么么樣的內(nèi)內(nèi)部業(yè)務(wù)務(wù)過程？ 學(xué)習(xí)習(xí)視角為了達(dá)達(dá)成目標(biāo)標(biāo)，組織織應(yīng)當(dāng)如如何學(xué)習(xí)習(xí)與創(chuàng)新新？ 為了把平衡衡記分卡卡應(yīng)用于于IT，還還應(yīng)使用用一個三三層構(gòu)架架來描述述其四個個方面的的評價要要素： 使命 成為首首選的信信息系統(tǒng)統(tǒng)供應(yīng)商商 經(jīng)濟(jì)、有有效地交交付ITT應(yīng)用系系統(tǒng)和服服務(wù) IT投投資能獲獲得一個個合理的的業(yè)務(wù)回回報 抓住機(jī)機(jī)遇應(yīng)對對未來挑挑戰(zhàn) 戰(zhàn)略 開發(fā)良良好的應(yīng)應(yīng)用系統(tǒng)統(tǒng)與運營營 建立用用戶伙伴伴關(guān)系和和良好的的客戶服服務(wù) 提高服服務(wù)水平平，優(yōu)化化價格結(jié)結(jié)構(gòu) 控制ITT費用 為IT項目目賦于業(yè)業(yè)務(wù)價值值 提供新新的業(yè)務(wù)務(wù)能力 培訓(xùn)和和教育IIT職員員，追求

17、求卓越 為研究究和開發(fā)發(fā)提供支支持 措施 提供一一套穩(wěn)定定的指標(biāo)標(biāo)（如KKPI ）來指指導(dǎo)面向向業(yè)務(wù)的的IT決策策 ITT平衡記記分卡實實例 是協(xié)調(diào)董董事會和和管理層層實現(xiàn)IIT與業(yè)業(yè)務(wù)融合合最有效效的方法法； 目標(biāo)標(biāo)就是通通過建立立一種面面向董事事會的管管理報告告工具，使使利益相相關(guān)者在在IT戰(zhàn)戰(zhàn)略目標(biāo)標(biāo)上達(dá)成成一致，以以表明IIT的有有效性和和增值性性，同時時便于組組織在IIT績效效、風(fēng)險險和能力力方面進(jìn)進(jìn)行溝通通。 A5. 信信息安全全治理 信息可可以定義義為“具有特特定意義義和目標(biāo)標(biāo)的數(shù)據(jù)據(jù)”。信息息在我們們當(dāng)今的的生活中中發(fā)揮著著越來越越重要的的作用，已已成為所所有組織織業(yè)務(wù)活活動中

18、不不可缺少少的組成成部分，越越來越多多的公司司已將信信息作為為其主營營業(yè)務(wù)，如如Goooglee、eBBay、MMicrrosooft、網(wǎng)網(wǎng)易等。 當(dāng)今已已很難找找到不接接觸信息息技術(shù)的的企業(yè)，隨隨著全球球網(wǎng)絡(luò)互互聯(lián)時代代的到來來，在企企業(yè)突破破其傳統(tǒng)統(tǒng)邊界向向虛擬世世界不斷斷擴(kuò)展的的背景下下，信息息安全己己成為重重要的治治理問題題而出現(xiàn)現(xiàn)在我們們面前。 信息犯犯罪和惡惡意行為為已成為為越來越越多的高高級犯罪罪分子的的選擇?？挚植婪肿幼雍推渌麛硨ι缟鐣娜巳艘彩褂糜肐T技技術(shù)來宣宣揚他們們的觀點點并傳播播其恐怖怖行為。 信息安安全治理理具有特特定的價價值驅(qū)動動：信息息的完整整性、服服務(wù)的持持

19、續(xù)和信信息資產(chǎn)產(chǎn)的保護(hù)護(hù)。 IT安安全定位位于安全全技術(shù)，通通常由CCIO級級別的人人推動；信息安安全著眼眼于信息息所涉及及的風(fēng)險險、收益益和流程程，必須須由執(zhí)行行管理層層和董事事會的支支持，信信息安全全治理是是董事會會和執(zhí)行行經(jīng)理的的職責(zé)。 信息安全治治理能帶帶來的收收益 落實在在向公眾眾或監(jiān)管管部門提提供不準(zhǔn)準(zhǔn)確信息息，在保保護(hù)隱私私信息（如如泄露信信用卡或或其他敏敏感客戶戶信息）中中未保持持應(yīng)有的的謹(jǐn)慎等等方面，組組織及其其管理者者應(yīng)當(dāng)承承擔(dān)的公公民或法法律責(zé)任任 提供對對政策和和標(biāo)準(zhǔn)的的符合性性保證 通過降降低風(fēng)險險至既定定的可接接受水平平，減少少業(yè)務(wù)運運營的不不確定性性，提高高可預(yù)見

20、見性 為有限限的安全全資源的的最優(yōu)化化分配提提供結(jié)構(gòu)構(gòu)和框架架 為關(guān)鍵鍵決策不不基于錯錯誤信息息提供適適當(dāng)水平平的保證證 為風(fēng)險險管理、流流程改善善和事件件快速響響應(yīng)的效效果與效效率提供供一個穩(wěn)穩(wěn)定的基基礎(chǔ) 明確重重大業(yè)務(wù)務(wù)活動期期間（如如公司合合并及購購并、業(yè)業(yè)務(wù)流程程恢復(fù)、法法律回應(yīng)應(yīng)等）的的信息保保護(hù)責(zé)任任 有效的信信息安全全治理可可達(dá)到如如下效果果： 戰(zhàn)略一一致 使信息息安全與與業(yè)務(wù)戰(zhàn)戰(zhàn)略保持持一致以以支持組組織目標(biāo)標(biāo)。 風(fēng)險管管理 管理和和實施適適當(dāng)?shù)拇氪胧┮越到档惋L(fēng)險險并減少少對信息息資源的的潛在影影響至可可接受水水平。 價值交交付 優(yōu)化安安全投資資以支持持業(yè)務(wù)目目標(biāo)。 績效測測評

21、 衡量、監(jiān)監(jiān)督和報報告信息息安全流流程，以以確保實實現(xiàn)SMMARTT 目標(biāo)標(biāo)（確定定的、可可度量的的、可實實現(xiàn)的、相相關(guān)的和和符合時時間要求求的）。 資源管管理 有效利利用信息息安全知知識與基基礎(chǔ)設(shè)施施。 流程整合合 關(guān)注組組織安全全管理保保證流程程的整合合。 業(yè)務(wù)流程保保證的最最新概念念： 整合是是一個把把所有相相關(guān)保證證因素綜綜合在一一起考慮慮，來確確保流程程能環(huán)環(huán)環(huán)相扣整整體運營營的概念念。 要實現(xiàn)現(xiàn)整合，應(yīng)應(yīng)當(dāng)考慮慮以下內(nèi)內(nèi)容： 確定組組織中的的所有保保證職能能 與其他保證證職能建建立正式式的銜接接關(guān)系 協(xié)調(diào)所有保保證職能能，實現(xiàn)現(xiàn)更加完完整的安安全 明確確各保證證職能接接合部位位的角

22、色色與職責(zé)責(zé) 信息安全治治理是企企業(yè)治理理的一部部分，企企業(yè)治理理為安全全活動提提供戰(zhàn)略略方針并并確保其其目標(biāo)的的實現(xiàn)，企企 業(yè)安安全治理理則確保保能適當(dāng)當(dāng)?shù)毓芾砝硇畔舶踩L(fēng)險險并合理理使用企企業(yè)信息息資源。 為為實現(xiàn)有有效的信信息安全全治理，管管理層必必須制定定和維護(hù)護(hù)一個框框架，以以指導(dǎo)建建立和管管理一個個支持業(yè)業(yè)務(wù) 目標(biāo)的的全面的的信息安安全流程程。 該該治理框框架一般般由以下下內(nèi)容組組成： 在在本質(zhì)上上與業(yè)務(wù)務(wù)目標(biāo)相相銜接的的全面的的安全戰(zhàn)戰(zhàn)略 對對戰(zhàn)略、控控制和法法規(guī)進(jìn)行行全面落落實的政政策 確確保規(guī)程程和指南南能與政政策保持持一致的的一整套套標(biāo)準(zhǔn) 不不存在利利益沖突突的一套套有效

23、的的安全組組織架構(gòu)構(gòu) 對對符合性性進(jìn)行監(jiān)監(jiān)督并能能反饋其其效果的的制度化化的監(jiān)督督流程 組織必須在在治理層層面為領(lǐng)領(lǐng)導(dǎo)者分分配企業(yè)業(yè)安全職職責(zé)，而而不是由由那些缺缺乏權(quán)力力、責(zé)任任和資源源的其他他人員來來充當(dāng)并并強(qiáng)迫其其執(zhí)行。各各層級的的安全職職責(zé)： 董事會會與最高高管理層層 有效的信息息安全治治理只有有通過董董事會及及最高管管理層參參與批準(zhǔn)準(zhǔn)政策、適適當(dāng)?shù)谋O(jiān)監(jiān)督和衡衡量指標(biāo)標(biāo)、報告告和趨勢勢分析來來實現(xiàn)。 執(zhí)行管管理層 制定有有效的信信息安全全戰(zhàn)略、實實施有效效的安全全治理指指導(dǎo)委員員會 為確保保安全程程序與業(yè)業(yè)務(wù)目標(biāo)標(biāo)的一致致性提供供持續(xù)的的基礎(chǔ)，也也是實現(xiàn)現(xiàn)向有益益于形成成最佳安安全文化

24、化的行為為改變的的手段。 首席信信息安全全官 不管是是專職的的CISSO還是是由CIIO、CTOO等角色色來兼任任，組織織應(yīng)當(dāng)在在高級管管理層設(shè)設(shè)置首席席信息安安全官。 A6.企企業(yè)架構(gòu)構(gòu)（EAEntterpprisse AArchhiteectuure） 所所謂企業(yè)業(yè)架構(gòu)就就是通過過一種結(jié)結(jié)構(gòu)化的的方式來來反映組組織的IIT資產(chǎn)產(chǎn)，并有有效管理理對ITT投資。 企企業(yè)架構(gòu)構(gòu)系統(tǒng)而而又完整整地定義義了組織織的當(dāng)前前（基準(zhǔn)準(zhǔn)）環(huán)境境和期望望（目標(biāo)標(biāo)）環(huán)境境的藍(lán)圖圖。 對對于信息息系統(tǒng)的的更新以以及開發(fā)發(fā)新系統(tǒng)統(tǒng)而言，建建立EAA 是必必不可少少的前提提。 EEA從邏邏輯或業(yè)業(yè)務(wù)（如如職能、業(yè)業(yè)務(wù)

25、職責(zé)責(zé)、信息息流和系系統(tǒng)環(huán)境境）以及及技術(shù)（如如軟件、硬硬件、通通信）兩兩方面來來定義的的，并且且包括從從基準(zhǔn)環(huán)環(huán)境轉(zhuǎn)換換到目標(biāo)標(biāo)環(huán)境的的順序規(guī)規(guī)劃。 技術(shù)術(shù)驅(qū)動的的企業(yè)架架構(gòu)是為為了澄清清現(xiàn)代組組織面臨臨的復(fù)雜雜技術(shù)選選擇問題題； 業(yè)務(wù)務(wù)流程驅(qū)驅(qū)動的企企業(yè)架構(gòu)構(gòu)是為了了更好地地理解組組織業(yè)務(wù)務(wù)的核心心流程及及支持流流程。 業(yè)務(wù)流程驅(qū)驅(qū)動的企企業(yè)架構(gòu)構(gòu)的作用用 更更好地理理解組織織業(yè)務(wù)的的核心流流程及支支持流程程及相關(guān)關(guān)支持技技術(shù)，對對現(xiàn)有流流程中的的不合理理部分進(jìn)進(jìn)行重新新設(shè)計或或改造，從從而達(dá)到到優(yōu)化流流程、降降低成本本、提高高績效的的目的。 各各種業(yè)務(wù)務(wù)流程模模型： 增強(qiáng)強(qiáng)型電信信運營圖

26、圖(eTTOM Enhhancced Tellecoom OOperratiionss Maap) 供應(yīng)應(yīng)鏈運營營指引模模型(SSCORR Suppplyy Chhainn Opperaatioons Reffereencee) IBBM的保保險應(yīng)用用架構(gòu)IIAA模模型（IInsuurannce Apppliccatiion A Arrchiiteccturre ） 美國國聯(lián)邦政政府業(yè)務(wù)務(wù)構(gòu)架模模型FEEAFFedeerall Ennterrpriise Arrchiiteccturre B. 信息息系統(tǒng)戰(zhàn)戰(zhàn)略 B1.戰(zhàn)略略規(guī)劃 從信息息系統(tǒng)角角度看，戰(zhàn)戰(zhàn)略規(guī)劃劃是組織織為了利利用信息息技術(shù)來

27、來完善其其業(yè)務(wù)流流程而確確定的發(fā)發(fā)展方向向及長期期的計劃劃。 在制定定戰(zhàn)略規(guī)規(guī)劃過程程中，最最高管理理層的職職責(zé)包括括確定成成本有效效的ITT方案以以解決該該組織面面臨的困困難，并并提出識識別和獲獲取所需需資源的的行動方方案。 有效的的IT戰(zhàn)略略規(guī)劃要要考慮組組織對IIT及IT能力力的需求求。 IS審審計師應(yīng)應(yīng)十分注注意IT戰(zhàn)略規(guī)規(guī)劃的重重要性，并并充分考考慮其管管理控制制流程，確確保ITT戰(zhàn)略規(guī)規(guī)劃與整整體業(yè)務(wù)務(wù)戰(zhàn)略保保持一致致。 B2. 指導(dǎo)導(dǎo)委員會會 高高級管理理層應(yīng)當(dāng)當(dāng)組建一一個計劃劃或指導(dǎo)導(dǎo)委員會會，監(jiān)督督其信息息系統(tǒng)的的職能和和業(yè)務(wù)活活動，這這是確保保信息 系統(tǒng)部部門與公公司宗旨旨

28、和目標(biāo)標(biāo)協(xié)調(diào)的的一種機(jī)機(jī)制。 最最好是從從董事會會中挑選選一位理理解信息息技術(shù)與與風(fēng)險管管理的成成員來負(fù)負(fù)責(zé)信息息技術(shù)，并并擔(dān)任該該委員會會的 主主席。委委員會應(yīng)應(yīng)當(dāng)包括括來自高高級管理理層、用用戶部門門和信息息系統(tǒng)部部門的人人員。 委委員會的的職責(zé)應(yīng)應(yīng)當(dāng)在正正式章程程中指定定。委員員會成員員應(yīng)當(dāng)了了解信息息系統(tǒng)部部門的政政策、程程序和流流程。 每每個成員員應(yīng)當(dāng)在在其負(fù)責(zé)責(zé)的領(lǐng)域域內(nèi)有權(quán)權(quán)做出決決定。 委委員會應(yīng)應(yīng)當(dāng)定期期開會，并并向高級級管理層層匯報。信信息系統(tǒng)統(tǒng)指導(dǎo)委委員會的的正式會會議記錄錄應(yīng)當(dāng)記記載委員員 會會的活動動和決議議。 指導(dǎo)委員會會的主要要職責(zé)： 審查IIS部門門的長期期和短

29、期期計劃以以確保其其符合公公司目標(biāo)標(biāo) 在董事事會批準(zhǔn)準(zhǔn)的權(quán)限限內(nèi)，審審查和批批準(zhǔn)重要要的硬件件和軟件件獲取 批準(zhǔn)并并監(jiān)督重重要項目目、ISS計劃及及預(yù)算進(jìn)進(jìn)度，設(shè)設(shè)定優(yōu)先先級，批批準(zhǔn)標(biāo)準(zhǔn)準(zhǔn)和流程程并監(jiān)督督所有的的IS績績效 審查和和批準(zhǔn)所所有ISS活動的的承包策策略，包包括內(nèi)包包或外包包以及全全球離岸岸職能 審查資資源的充充分性以以及時間間、人力力和設(shè)備備資源的的分配情情況 在集中與分分散管理理之中做做出決策策并分配配職責(zé) 對制定定和實施施企業(yè)級級信息安安全管理理程序提提供支持持 向董事事會報告告IS活動動 C.政策和和規(guī)程 C1. 政策策 政策策是高層層次的文文件，政政策代表表了企業(yè)業(yè)文化和

30、和高級管管理層和和經(jīng)營過過程所有有者的戰(zhàn)戰(zhàn)略思考考。 與組組織的總總體性目目標(biāo)和方方向有關(guān)關(guān)的政策策的制訂訂、開發(fā)發(fā)、記錄錄、推廣廣和控制制的責(zé)任任應(yīng)當(dāng)由由管理層層承擔(dān)，通通過制定定政策來來為組織織創(chuàng)造一一種積極極的控制制環(huán)境。 根據(jù)據(jù)公司總總體政策策采用自自頂向下下的方法法來開發(fā)發(fā)部門政政策是較較好的選選擇，因因為它確確保了各各級政策策的一致致性。 自底向向上的方方法更加加靈活實實用，但但容易造造成政策策間的不不一致和和相互矛矛盾。 管理層層應(yīng)當(dāng)定定期審查查所有政政策。政政策也需需要不斷斷更新，反反映新的的技術(shù)和和經(jīng)營過過程的重重大變化化，利用用信息 技術(shù)提提高生產(chǎn)產(chǎn)效率和和獲取競競爭效益益

31、。 信息系系統(tǒng)審計計師要理理解政策策并對政政策進(jìn)行行符合性性審查是是審計工工作中的的重要環(huán)環(huán)節(jié) 信息安安全政策策 安安全政策策用來與與用戶、管管理層和和技術(shù)人人員溝通通相關(guān)安安全標(biāo)準(zhǔn)準(zhǔn)，指導(dǎo)導(dǎo)整個組組織來確確定所需需保護(hù)的的內(nèi)容、相相應(yīng) 的的保護(hù)職職責(zé)以及及保護(hù)工工作應(yīng)遵遵循的策策略。 信息安全政政策文件件 信信息安全全的定義義、整體體目標(biāo)和和范圍 陳陳述管理理層意圖圖、支持持信息安安全與業(yè)業(yè)務(wù)戰(zhàn)略略和目標(biāo)標(biāo)保持一一致 設(shè)設(shè)定控制制及控制制目標(biāo)的的框架，包包括風(fēng)險險評估和和風(fēng)險管管理 說說明安全全政策、原原理、標(biāo)標(biāo)準(zhǔn)及以以下重要要的符合合性要求求 對對法律、法法規(guī)及合合同要求求的符合合性 安安

32、全教育育、培訓(xùn)訓(xùn)和意識識需求 業(yè)業(yè)務(wù)持續(xù)續(xù)性管理理 違違背信息息安全政政策的后后果 明明確信息息安全管管理人員員的總體體及具體體職責(zé)，包括事件報告 政政策所參參考的文文件、標(biāo)標(biāo)準(zhǔn)和規(guī)規(guī)程 對信息安安全政策策的審查查 管理層層應(yīng)當(dāng)定定期或在在發(fā)生重重大變化化時對信信息安全全政策進(jìn)進(jìn)行審查查，以確確保其適適當(dāng)性、充充分性和和有效性性。應(yīng)當(dāng)當(dāng)為信息息安全政政策指定定所有人人，來批批準(zhǔn)安全全政策的的制定、審審查和評評估等管管理職責(zé)責(zé)。 IS審審計師在在檢查政政策時需需要評價價以下內(nèi)內(nèi)容： 政政策的制制定依據(jù)據(jù)，一般般情況下下是基于于風(fēng)險管管理過程程 政政策的適適當(dāng)性 政政策的內(nèi)內(nèi)容 政政策的例例外情況

33、況，特別別注意政政策的不不適用領(lǐng)領(lǐng)域及原原因，如如：可能能與遺留留系統(tǒng)不不相容的的口令政政策 政政策批準(zhǔn)準(zhǔn)流程 政政策實施施流程 政政策的實實施效果果 意意識與培培訓(xùn) 定定期審查查與更新新流程 C2.程程序 程序序是詳細(xì)細(xì)的文件件，根據(jù)據(jù)組織的的政策而而制定并并體現(xiàn)其其精髓。程序必須清晰和準(zhǔn)確，使接受者易于準(zhǔn)確地理解。 程序序記載了了業(yè)務(wù)流流程及其其內(nèi)在控控制，程程序一般般由中層層管理人人員制定定，是政政策框架架下的具具體化措措施。 程程序比相相關(guān)政策策更加易易于變化化，它們們必須反反映業(yè)務(wù)務(wù)重點和和環(huán)境的的不斷變變化。 獨立立的審查查對于確確保政策策和程序序被正確確地理解解和執(zhí)行行是必要要的

34、 D.風(fēng)險管管理 定義 風(fēng)險險管理是是確定組組織在實實現(xiàn)其業(yè)業(yè)務(wù)目標(biāo)標(biāo)的過程程中所使使用的信信息資源源的脆弱弱性和面面臨的相相關(guān)威脅脅的過程程 有效效的風(fēng)險險管理始始于清楚楚地理解解組織的的風(fēng)險喜喜好。 風(fēng)險險管理包包括識別別、分析析、評估估、處置置、監(jiān)督督和溝通通IT 流程的的風(fēng)險影影響。一一旦確定定了風(fēng)險險喜好與與風(fēng)險承承受能力力，就可可以制定定風(fēng)險管管理策略略并分配配職責(zé)。 根據(jù)據(jù)風(fēng)險類類型及其其對業(yè)務(wù)務(wù)的影響響程度，可可以選擇擇以下措措施來應(yīng)應(yīng)對風(fēng)險險： 避免風(fēng)風(fēng)險：在在可能的的情況下下，盡量量選擇不不從事導(dǎo)導(dǎo)致風(fēng)險險的特定定活動或或流程（通通過消除除風(fēng)險源源來消除除風(fēng)險） 降低風(fēng)風(fēng)險

35、：通通過制定定、實施施并監(jiān)督督適當(dāng)?shù)牡目刂苼韥斫档惋L(fēng)風(fēng)險發(fā)生生的可能能性及其其影響 轉(zhuǎn)移風(fēng)風(fēng)險：與與業(yè)務(wù)伙伙伴分擔(dān)擔(dān)風(fēng)險或或通過保保險、合合同約定定及其他他方式來來轉(zhuǎn)移風(fēng)風(fēng)險 接受風(fēng)風(fēng)險：正正視風(fēng)險險的存在在并對風(fēng)風(fēng)險進(jìn)行行監(jiān)控 D1.開發(fā)風(fēng)風(fēng)險管理理程序 第一步步：確定定風(fēng)險管管理程序序的目的的 確定定組織建建立風(fēng)險險管理程程序的目目的，可可能是降降低保險險費用，或或者是減減少相關(guān)關(guān)系統(tǒng)的的損害。 在實實施風(fēng)險險管理計計劃之前前確定其其意圖，組組織可以以確定關(guān)關(guān)鍵績效效指標(biāo)并并評價其其結(jié)果。 一般般情況下下，由執(zhí)執(zhí)行管理理人員和和董事會會來設(shè)定定風(fēng)險管管理程序序的基本本要求。 第第二步：為風(fēng)

36、險險管理計計劃分配配職責(zé) 為制制定和實實施組織織的風(fēng)險險管理程程序向個個人或團(tuán)團(tuán)隊分配配職責(zé)。 當(dāng)當(dāng)風(fēng)險管管理計劃劃的主要要職責(zé)由由團(tuán)隊負(fù)負(fù)責(zé)時，其其成功因因素是把把風(fēng)險管管理與組組織內(nèi)各各個層級級進(jìn)行整整合。 運營營管理人人員和董董事會成成員都應(yīng)應(yīng)當(dāng)協(xié)助助風(fēng)險管管理委員員會識別別風(fēng)險、設(shè)設(shè)計適當(dāng)當(dāng)?shù)娘L(fēng)險險控制并并介入戰(zhàn)戰(zhàn)略的制制定。 D2.風(fēng)險險管理過過程幾個重要要概念 IIT資產(chǎn)產(chǎn)：軟件件、硬件件、信息息、人員員、服務(wù)務(wù)、文檔檔 脆脆弱性：是信息息資產(chǎn)固固有特征征，可以以被威脅脅利用而而造成 損損害；內(nèi)內(nèi)控缺陷陷也可以以認(rèn)為是是一種脆脆弱性 威威脅：對對信息資資源造成成損害的的任何潛潛在情

37、況況或事件件，威脅脅的發(fā)生生是由于于資源存存在脆弱弱性 影影響：威威脅發(fā)生生后造成成的結(jié)果果，能導(dǎo)導(dǎo)致資產(chǎn)產(chǎn)損失幾幾個概念念間的關(guān)關(guān)系：脆脆弱性導(dǎo)導(dǎo)致威脅脅發(fā)生，威威脅的發(fā)發(fā)生造成成影響，從從而帶來來IT資資產(chǎn)的損損失 剩剩余風(fēng)險險：實施施控制后后剩下的的、沒有有被有效效控制的的風(fēng)險 可可接受風(fēng)風(fēng)險水平平：由管管理層確確定的、可可以接受受的剩余余風(fēng)險水水平，超超過這個個水平的的風(fēng)險需需要實施施更強(qiáng)的的控制，而而在這個個水平之之下的剩剩余風(fēng)險險也應(yīng)該該評價是是否采用用了過多多控制，要要考慮是是否降低低控制水水平以節(jié)節(jié)約成本本。 IT風(fēng)風(fēng)險管理理在多種種層面上上進(jìn)行綜綜合分析析 運行行層面應(yīng)當(dāng)關(guān)關(guān)

38、注能夠夠危害IIT系統(tǒng)統(tǒng)及其基基礎(chǔ)設(shè)施施有效性性的風(fēng)險險；繞過過系統(tǒng)安安全措施施的風(fēng)險險，造成成重要資資源（如如：系統(tǒng)統(tǒng)、數(shù)據(jù)據(jù)、通訊訊、人員員、場所所等）損損失或不不可用的的風(fēng)險，違違反法律律、法規(guī)規(guī)的風(fēng)險險。 項目目層面管理層層應(yīng)當(dāng)理理解并管管理項目目的復(fù)雜雜性，關(guān)關(guān)注項目目目標(biāo)不不能達(dá)到到時所帶帶來的后后續(xù)風(fēng)險險。 戰(zhàn)略略層面應(yīng)當(dāng)關(guān)關(guān)注ITT能力如如何與業(yè)業(yè)務(wù)戰(zhàn)略略保護(hù)一一致，如如何保持持對競爭爭對手的的優(yōu)勢，如如何應(yīng)對對新技術(shù)術(shù)的發(fā)展展帶來的的威脅等等。 風(fēng)險分析析方法 定性方方法 定性性的風(fēng)險險管理方方法是最最簡單并并且最常常見的方方法，它它們一般般基于問問卷式的的檢查列列表(CCh

39、ecckliist)和主觀觀式的風(fēng)風(fēng)險定級級。 分分級類型型 定性性分級程程度 相對較較粗的分分級 低、中中、高 詳細(xì)分分級 可忽忽略、低低、中、高高、非常常高 更詳細(xì)細(xì)的分級級 （低低）0、11、2、10 （高高） 定量方法法 概率與與期望值值 一一旦設(shè)置置了事件件發(fā)生的的概率（PP，0 P 1 ），如如果存在在一個價價值為VV的資產(chǎn)產(chǎn)（有可可能受到到相關(guān)事事件影響響），那那么期望望損失就就是VxxP （資產(chǎn)產(chǎn)價值乘乘以事件件發(fā)生的的可能性性） 年預(yù)期期損失方方法 AALE = VV EEF ARRO 例如如： 假假定某公公司投資資5000,0000 美美元建了了一個網(wǎng)網(wǎng)絡(luò)運營營中心，其其最

40、大的的威脅是是火災(zāi)，一一旦火災(zāi)災(zāi)發(fā)生，網(wǎng)網(wǎng)絡(luò)運營營中心的的估計損損失程度度是455 。根根據(jù)消防防部門推推斷，該該網(wǎng)絡(luò)運運營中心心所在的的地區(qū)每每5 年年會發(fā)生生一次火火災(zāi)，于于是我們們得出了了AROO為0.20 的結(jié)果果?；谟谝陨蠑?shù)數(shù)據(jù)，該該公司網(wǎng)網(wǎng)絡(luò)運營營中心的的ALEE 將是是： 55000000XX0.445X00.2 455,0000 管理人人員和IIS審計計師應(yīng)當(dāng)當(dāng)考慮以以下因素素： 應(yīng)當(dāng)當(dāng)對整個個組織中中所有IIT職能能實施風(fēng)風(fēng)險管理理 風(fēng)險險管理是是高級管管理層的的職責(zé) 優(yōu)先先采用量量化的風(fēng)風(fēng)險管理理方法 量化風(fēng)風(fēng)險管理理的難點點在于：評估風(fēng)風(fēng)險值（概概率）、對對主觀性性和定

41、性性方法的的依賴量量化風(fēng)險險管理提提供更加加客觀（可可追蹤）的的假定 所使用用方法或或軟件的的復(fù)雜或或精巧程程度不能能取代業(yè)業(yè)務(wù)常識識或職業(yè)業(yè)勤奮 應(yīng)當(dāng)特特別注意意并充分分考慮那那些影響響非常高高的事件件，即使使其發(fā)生生的概率率非常低低。 E.信息系系統(tǒng)管理理實務(wù) E1. 人人力資源源管理 人力資源源管理涉涉及到人人員的招招聘、選選用、培培訓(xùn)和晉晉升，業(yè)業(yè)績考評評，員工工紀(jì)律，繼繼任計劃劃等組織織政策與與規(guī)程。由于這些活動與IS職能密切相關(guān)，其效果將影響員工表現(xiàn)及IS職責(zé)的履行。主要內(nèi)容有： 聘用 員工手手冊 晉升政政策 培訓(xùn) 日程程和工時時報告 員工業(yè)業(yè)績評價價 強(qiáng)制休休假 解聘政政策 E2

42、.資源配配備實務(wù)務(wù) 組織為為獲得IIT功能能支持業(yè)業(yè)務(wù),采購與與配備資資源方式式有: 內(nèi)內(nèi)包型(Inssourrcedd)IIT功能能全部由由組織中中的員工工實現(xiàn)； 外包包型(OOutssourrcedd) IT功功能全部部由外商商服務(wù)供供應(yīng)商提提供； 混和和型(HHybrrid) IIT功能能由組織織中的員員工及外外部服務(wù)務(wù)商共同同提供。 信息系系統(tǒng)功能能可以在在全球范范圍內(nèi)實實現(xiàn)，以以利用時時區(qū)和勞勞動力價價格方面面的優(yōu)勢勢，主要要方式有有： 本地地型(OOnsiite)員工工工作在在組織辦辦公場所所中的信信息系統(tǒng)統(tǒng)部門內(nèi)內(nèi)； 外地地型(OOffssitee)員員工工作作在同一一個地理理區(qū)

43、域內(nèi)內(nèi)的遠(yuǎn)程程站點； 離岸岸型(OOffsshorre)員工工工作在不不同地理理區(qū)域內(nèi)內(nèi)的遠(yuǎn)程程站點； 決策資源源配置方方式的依依據(jù) 是否為為組織的的核心職職能？ 是否有有滿足目目標(biāo)所需需的不可可替代的的特有知知識、流流程和員員工？ 外包給給其他組組織或地地方的價價格是否否相同或或更低？質(zhì)量是是否相同同或更高高？是否否未增加加風(fēng)險？ 組織是是否擁有有管理第第三方及及使用遠(yuǎn)遠(yuǎn)程或離離岸方式式執(zhí)行IIS或業(yè)業(yè)務(wù)職能能的經(jīng)驗驗？ 外包實實務(wù) 外包實實務(wù)就是是某個組組織根據(jù)據(jù)協(xié)議，將將部分或或全部信信息系統(tǒng)統(tǒng)部門的的職能轉(zhuǎn)轉(zhuǎn)交給外外部實體體。 外包是是為了獲獲取和利利用服務(wù)務(wù)提供商商的核心心競爭能能力

44、，達(dá)達(dá)成持續(xù)續(xù)、有意意義的對對經(jīng)營過過程和服服務(wù)的改改進(jìn),并并降低IIT成本本。 第三方方可以提提供的服服務(wù)包括括： 數(shù)據(jù)據(jù)錄入 在組組織內(nèi)部部員工不不具備所所需技能能、具備備所需技技能的員員工正在在執(zhí)行其其他更緊緊迫的任任務(wù)或是是為了完完成某項項一次性性任務(wù)而而不想招招聘新員員工時，由由第三方方來設(shè)計計和開發(fā)發(fā)新系統(tǒng)統(tǒng) 對現(xiàn)現(xiàn)有系統(tǒng)統(tǒng)進(jìn)行維維護(hù)，以以騰出內(nèi)內(nèi)部員工工開發(fā)新新系統(tǒng) 把遺遺留系統(tǒng)統(tǒng)向新平平臺轉(zhuǎn)換換，如通通過某個個專業(yè)公公司把舊舊應(yīng)用系系統(tǒng)轉(zhuǎn)換換到WEEB平臺臺 幫助助臺或電電話中心心的運營營 日日常運營營 外外包的風(fēng)風(fēng)險 外外包的優(yōu)優(yōu)點 成成本超過過預(yù)期值值 實現(xiàn)現(xiàn)規(guī)模經(jīng)經(jīng)濟(jì)效益

45、益 喪失失內(nèi)部人人員獲得得經(jīng)驗機(jī)機(jī)會 投入更更多的時時間提高高效率 喪失失對ISS的內(nèi)部部控制 有處理理問題的的經(jīng)驗和和技術(shù) 供應(yīng)應(yīng)商出現(xiàn)現(xiàn)業(yè)務(wù)故故障 采用合合同協(xié)議議約束外外包編制制出更好好的說明明書 有限限的產(chǎn)品品訪問權(quán)權(quán)限 難以改變外外包商的的工作安安排 很很少出現(xiàn)現(xiàn)項目失失控和延延期 缺乏乏對法規(guī)規(guī)要求的的遵循性性 控制制風(fēng)險的的措施 未滿滿足合同同條款 外包人員缺缺乏對客客戶的忠忠誠 制定可可衡量的的、伙伴伴式利益益共享目目標(biāo)和回回報機(jī)制制 工作安安排令客客戶及員員工不滿滿 使用多多個供應(yīng)應(yīng)商或保保留一 服務(wù)成本不不具有競競爭性 部部分業(yè)務(wù)務(wù)作為激激勵機(jī)制制 供應(yīng)商商IT系統(tǒng)統(tǒng)的陳舊

46、舊過時 定期對對競爭趨趨勢進(jìn)行行審查 未實實現(xiàn)預(yù)期期收益 實實施短期期合同 項目目失敗危危及雙方方的聲譽(yù)譽(yù) 組建建跨職能能合同管管理團(tuán)隊隊 持久、昂昂貴的訴訴訟 在合同同中適當(dāng)當(dāng)考慮可可合理 信息或或流程丟丟失及泄泄漏風(fēng)險險 預(yù)見的的多數(shù)偶偶然因素素 全球化化戰(zhàn)略要要注意的的問題 法律、法法規(guī)和稅稅收問題題 在不同同的國家家或地區(qū)區(qū)運營IIS職能能，組織織可能由由于不了了解情況況而引入入新的風(fēng)風(fēng)險 持續(xù)運運營 業(yè)務(wù)持持續(xù)和災(zāi)災(zāi)難恢復(fù)復(fù)計劃可可能不充充分并且且未經(jīng)測測試 人員 可能未未考慮到到所需的的人力資資源政策策調(diào)整 通訊問問題 遠(yuǎn)程或或離岸的的網(wǎng)絡(luò)控控制及訪訪問面臨臨更加頻頻繁的故故障及大

47、大量的安安全風(fēng)險險 跨國界界及跨文文化問題題 管理多多時區(qū)、多多語言、多多文化的的人員及及流程可可能出現(xiàn)現(xiàn)難以預(yù)預(yù)料的問問題 第三方審審計報告告 第一種種方法是是要求供供應(yīng)商定定期提交交第三方方審計報報告，這這些報告告涵蓋了了與數(shù)據(jù)據(jù)機(jī)密性性、完整整性、可可用性相相關(guān)的問問題。 IIS審計計師與被被審計人人應(yīng)當(dāng)同同時接受受所選定定的第三三方審計計師，并并且必須須事先同同意。對對一些特特定行業(yè)業(yè)，第三三方審計計可能屬屬于法定定的監(jiān)督督和控制制。 例如如：美國國注冊會會計師協(xié)協(xié)會（AAICPPA ）制制定的SSAS770及英英國、加加拿大的的類似法法規(guī)都通通過法律律來要求求特定行行業(yè)出具具第三方方

48、審計報報告。 SAAS700的制定定目的是是指導(dǎo)審審計師報報告服務(wù)務(wù)機(jī)構(gòu)的的內(nèi)部控控制相關(guān)關(guān)問題，所所報告內(nèi)內(nèi)容可作作為用戶戶組織財財務(wù)報告告中信息息系統(tǒng)章章節(jié)的一一部分。SSAS770也為為外部審審計師對對使用服服務(wù)機(jī)構(gòu)構(gòu)的實體體實施財財務(wù)報告告 審審計提供供指南。 第二種方法法是允許許組織內(nèi)內(nèi)的審計計師對供供應(yīng)商進(jìn)進(jìn)行定期期審計。由由于每次次審計都都花費供供應(yīng)商較較多的時時間和資資源，供供應(yīng)商可可能會不不接受這這種方法法。 外包治理 外外包是允允許組織織把服務(wù)務(wù)交付轉(zhuǎn)轉(zhuǎn)由第三三方提供供的機(jī)制制。接受受外包的的基本原原則是：雖然將將服務(wù)交交付轉(zhuǎn)移移，但其其責(zé)任仍仍屬于組組織內(nèi)管管理層，他他們

49、必須須確保對對風(fēng)險的的適當(dāng)管管理及供供應(yīng)商持持續(xù)的價價值交付付。決策策制定流流程的透透明性及及所有權(quán)權(quán)必須保保留在組組織內(nèi)部部。 決決定外包包是一項項戰(zhàn)略，而而不只是是一個采采購決策策。采用用外包的的組織通通過識別別并保留留其核心心業(yè)務(wù)而而將非核核心業(yè)務(wù)務(wù)外包來來有效地地重新配配置組織織的價值值鏈。 外外包治理理能支持持建立并并保持競競爭和市市場優(yōu)勢勢，有效效地應(yīng)對對競爭和和市場環(huán)環(huán)境的變變化。 外外包治理理是一系系列責(zé)任任、角色色、目標(biāo)標(biāo)、銜接接和控制制機(jī)制，用用來預(yù)測測變化及及管理第第三方服服務(wù)的引引入、維維護(hù)、績績效、成成本和控控制。 管理第三方方服務(wù)交交付 服服務(wù)交付付 第第三方服服務(wù)

50、交付付協(xié)議中中的安全全控制、服服務(wù)定義義和交付付水平應(yīng)應(yīng)當(dāng)由第第三方來來實施、運運營和維維護(hù)。 第第三方組組織的服服務(wù)交付付內(nèi)容應(yīng)應(yīng)當(dāng)包括括既定的的安全部部署、服服務(wù)定義義及服務(wù)務(wù)管理等等方面。 組組織應(yīng)當(dāng)當(dāng)確保第第三方組組織維持持充分的的服務(wù)能能力，同同時制定定可行的的計劃以以確保在在發(fā)生主主要服務(wù)務(wù)故障或或災(zāi)難時時能維持持既定的的服務(wù) 水平。 監(jiān)監(jiān)督和檢檢查第三三方服務(wù)務(wù) 監(jiān)監(jiān)督服務(wù)務(wù)性能水水平，檢檢查對協(xié)協(xié)議的遵遵循性 檢檢查第三三方提交交的服務(wù)務(wù)報告，按按照協(xié)議議要求定定期舉行行會議 提交信信息安全全事件的的相關(guān)信信息 針針對安全全事件、問問題等檢檢查第三三方審計計軌跡和和記錄 解解決

51、已識識別的問問題并予予以管理理第三方方服務(wù)的的變更管管理 考考慮業(yè)務(wù)務(wù)系統(tǒng)的的關(guān)鍵性性及其流流程進(jìn)行行管理，并并重新評評估風(fēng)險險。 服服務(wù)改善善及用戶戶滿意度度 SLLA為外外包商執(zhí)執(zhí)行ISS職能設(shè)設(shè)定了基基準(zhǔn)，另另外，組組織可以以在合同同中設(shè)定定預(yù)期的的服務(wù)改改善、相相關(guān)的處處罰及獎獎勵。服服務(wù)改善善的內(nèi)容容包括： 減少少幫助臺臺的呼叫叫次數(shù) 減少少系統(tǒng)錯錯誤的數(shù)數(shù)量 改改善系統(tǒng)統(tǒng)可用性性 服務(wù)改善應(yīng)應(yīng)當(dāng)經(jīng)過過用戶同同意，IIT目標(biāo)標(biāo)應(yīng)當(dāng)是是改善用用戶滿意意度并實實現(xiàn)業(yè)務(wù)務(wù)目標(biāo)。應(yīng)應(yīng)當(dāng)通過過用戶訪訪談和調(diào)調(diào)查來監(jiān)監(jiān)督用戶戶滿意度度。 行業(yè)標(biāo)準(zhǔn)和和基準(zhǔn) 行業(yè)標(biāo)準(zhǔn)和和基準(zhǔn)為為確定相相同的信信息處

52、理理設(shè)施環(huán)環(huán)境所能能提供的的績效水水平提供供了一種種方式?？煽梢詮墓┕?yīng)商的的其他用用戶、行行業(yè)出版版物和專專業(yè)協(xié)會會獲得這這些標(biāo)準(zhǔn)準(zhǔn)或基準(zhǔn)準(zhǔn)表，例例如ISSO90000和和軟件工工程協(xié)會會的CMMM。外外包組織織必須遵遵循其客客戶所依依賴的一一系列良良好設(shè)計計的標(biāo)準(zhǔn)準(zhǔn)。 E3. 組組織的變變更管理理 變更管理是是對組織織中ITT的變更更進(jìn)行管管理，它它通過制制定明確確的并正正式成文文的流程程，識別別并實施施對組織織有益的的IT架架構(gòu)和應(yīng)應(yīng)用系統(tǒng)統(tǒng)方面的的技術(shù)改改進(jìn)。 信息部部門一方方面可以以利用技技術(shù)的變變化與更更新來優(yōu)優(yōu)化業(yè)務(wù)務(wù)流程，另另一方面面在組織織高級管管理層的的支持下下，通過過正式

53、的的變更管管理程序序來實施施IT本本身的可可持續(xù)發(fā)發(fā)展。 E4. 財財務(wù)管理理實務(wù) 在在成本密密集的計計算機(jī)環(huán)環(huán)境中，良良好的財財務(wù)管理理是非常常重要的的。 建建立ITT用戶的的記費機(jī)機(jī)制（ccharrgebbackk ）可可以提高高應(yīng)用水水平、監(jiān)監(jiān)督信息息系統(tǒng)費費用和可可用資源源。 信信息系統(tǒng)統(tǒng)預(yù)算應(yīng)應(yīng)當(dāng)與IIT的短短期計劃劃及長期期計劃結(jié)結(jié)合起來來考慮 E5. 質(zhì)質(zhì)量管理理 質(zhì)量量管理是是信息系系統(tǒng)基于于部門的的流程得得到有效效控制、評評價和改改善的手手段。 流流程是由由一系列列任務(wù)組組成，如如果這些些任務(wù)被被正確地地執(zhí)行，就就可以產(chǎn)產(chǎn)生預(yù)期期的結(jié)果果。 信息系統(tǒng)審審計師應(yīng)應(yīng)當(dāng)關(guān)注注業(yè)務(wù)職

54、職能和流流程是否否按標(biāo)準(zhǔn)準(zhǔn)（例如如ISOO90001：220000、ISSO91126 、CMMM等）正正式成文文并被遵遵照執(zhí)行行，是否否產(chǎn)生了了預(yù)期結(jié)結(jié)果。 信息系統(tǒng)審審計師關(guān)關(guān)注信息息系統(tǒng)組組織中是是否存在在 以下下流程文文檔： 計計算機(jī)操操作 服服務(wù)管理理 系系統(tǒng)軟件件采購、實實施和維維護(hù) 硬硬件采購購和維護(hù)護(hù) 應(yīng)應(yīng)用軟件件采購或或開發(fā)及及維護(hù) 管管理報告告 物物理和邏邏輯安全全 短短期和長長期計劃劃 工工時報告告 人力資資源（HHR）管管理 E6. 信信息安全全管理(ISOO177799) 信息安安全管理理在確保保組織所所控制的的信息和和信息處處理資源源受到適適當(dāng)?shù)谋１Ｗo(hù)方面面起著重重

55、要作用用， 它它領(lǐng)導(dǎo)和和促進(jìn)整整個組織織范圍內(nèi)內(nèi)的ITT安全程程序的實實施. 信息安安全管理理主要包包括了安安全方針針策略的的制定、組組織與人人員的安安全管理理、訪問問控制、支支持組織織關(guān)鍵業(yè)業(yè)務(wù)流程程的業(yè)務(wù)務(wù)持續(xù)計計劃和災(zāi)災(zāi)難恢復(fù)復(fù)計劃等等內(nèi)容。 信息安安全管理理的更多多內(nèi)容見見第5章“信息資資產(chǎn)的保保護(hù)”。 E7. 績績效優(yōu)化化 績效優(yōu)化化是指在在無須對對信息技技術(shù)基礎(chǔ)礎(chǔ)設(shè)施追追加額外外投資的的情況下下，將信信息系統(tǒng)統(tǒng)的生產(chǎn)產(chǎn)力提高高 到可可能達(dá)到到的最高高水平。 績效優(yōu)化化是由績績效指標(biāo)標(biāo)推動的的過程，這這些指標(biāo)標(biāo)是基于于組織業(yè)業(yè)務(wù)活動動和流程程的復(fù)雜雜性、戰(zhàn)戰(zhàn)略性 的的IT解解決方案案

56、以及公公司實施施IT的的主要戰(zhàn)戰(zhàn)略目標(biāo)標(biāo)來確定定的。 績效指標(biāo)的的主要功功能：衡衡量產(chǎn)品品和服務(wù)務(wù)、管理理產(chǎn)品和和服務(wù)、確確保責(zé)任任制、制制定預(yù)算算決策、優(yōu)優(yōu)化績效效 績效效優(yōu)化的的工具CCOBIIT管理理指南它是為為了滿足足IT 經(jīng)經(jīng)理進(jìn)行行績效評評價的需需求而設(shè)設(shè)計的，它它為ITT的344個 主主要流程程定義了了關(guān)鍵成成功要素素、關(guān)鍵鍵目標(biāo)指指標(biāo)、關(guān)關(guān) 鍵鍵績效指指標(biāo)和成成熟度模模型。 管理指南的的重要內(nèi)內(nèi)容： 關(guān)關(guān)鍵成功功要素(CSFF ) 管管理指南南要回答答的問題題： 關(guān)鍵鍵目標(biāo)指指標(biāo)(KKGI ) 成本本與效益益我我們究竟竟應(yīng)該走走多遠(yuǎn)，成成本與利利潤比例例是否合合適？ 關(guān)鍵績效指

57、指標(biāo)(KPII ) 成熟度模型型 績效效評價對于于好的績績效的度度量指標(biāo)標(biāo)是什么么？ IT控制制環(huán)境什么么是重要要點？關(guān)關(guān)鍵成功功要素是是什么？ 意意識不能達(dá)達(dá)到我們們的目標(biāo)標(biāo)的風(fēng)險險是什么么？ 基基準(zhǔn)測量量他他人在做做什么？我們應(yīng)應(yīng)該怎樣樣測量和和比較？ F.信息系系統(tǒng)組織織結(jié)構(gòu)和和責(zé)任 信息系統(tǒng)部部門的組組織結(jié)構(gòu)構(gòu)（略）F1.信息息系統(tǒng)的的任務(wù)和和職責(zé) 對信息系統(tǒng)統(tǒng)各種職職能進(jìn)行行審查技技術(shù)支持持 技技術(shù)支持持經(jīng)理(Tecchniiquee Suuppoort Mannageer) 系系統(tǒng)管理理員（SSysttem Admminiistrratoor ） 網(wǎng)網(wǎng)絡(luò)管理理員（NNetwwork

58、k Maanaggerss ） 系系統(tǒng)程序序員(SSysttemss Prrogrrammmerss)運行行部門（Operations ） 運運行經(jīng)理理(Opperaatioons Mannageer) 計計算機(jī)操操作員(Commputter Opeerattor) 控控制組 （Conntrool GGrouup ） 資資料庫管管理員（Librarian ） 數(shù)數(shù)據(jù)錄入入 （Datta EEntrry ） 應(yīng)用系統(tǒng)開開發(fā)（Apppliccatiion Devveloopmeent ） 系統(tǒng)開開發(fā)經(jīng)理理(Syysteem DDeveeloppmennt MManaagerr) 系統(tǒng)分分析員（Sy

59、stems Analysts ） 應(yīng)用系系統(tǒng)程序序員(Apppliccatiionss Prrogrrammmerss) 安全與質(zhì)量量(Seecurrityy annd QQuallityy) 安全架架構(gòu)師 （Seccuriity Arcchittectt ） 安全管管理員（Security Administrator ） 質(zhì)量保保證 （Quaalitty AAssuurannce ） 數(shù)據(jù)管理（Data Administration ） 數(shù)據(jù)據(jù)經(jīng)理(Datta MManaagerr) 數(shù)據(jù)庫庫管理員員（Daatabbasee Addminnisttrattor ） 客戶服務(wù)(Cusstommer Serrvicces) 最終用用戶支持持經(jīng)理(Endd-usser Suppporrt MManaagerr) 幫助臺臺(Heelp Dessk) 最終用用戶 （Endd Usser ） F2.信息系系統(tǒng)中的的職責(zé)分分離 職責(zé)分分離可以以避免因因為某一一個人負(fù)負(fù)責(zé)多個個關(guān)鍵的的職位而而造成不不能在日日常的業(yè)業(yè)務(wù)活動動中及時時地 發(fā)發(fā)現(xiàn)其錯錯誤的情情況。 職責(zé)分分離是威威懾和預(yù)預(yù)防欺詐詐或惡意意行為的的一種手手段。 應(yīng)當(dāng)分分離的職職責(zé)包括括：資產(chǎn)產(chǎn)保管、授授權(quán)批準(zhǔn)準(zhǔn)、交易易記錄 審計師師必須獲獲得足夠夠的信息息以了解解各種工工作職位位、責(zé)任任和授權(quán)權(quán)之間的的關(guān)系，從從