信息系统审计的指南(COBIT中文版)
信息系统审计指南
信息系统审计指南信息系统审计是对组织的信息系统进行全面评估和检查的过程,旨在确保系统的安全性、可靠性和合规性。
它不仅仅关注技术方面,还包括审查相关政策和程序,以及评估组织在信息系统管理方面的整体表现。
本文将介绍信息系统审计的基本原则和步骤,帮助读者理解并开展有效的信息系统审计。
一、审计目标和范围在进行信息系统审计之前,首先需要明确审计的目标和范围。
审计目标可以是发现和解决安全漏洞、保障数据隐私、提高系统性能等。
审计范围可以包括系统架构、网络安全、数据管理、访问控制等方面。
明确目标和范围有助于审计人员有针对性地收集和评估相关信息。
二、确定审计方法和工具信息系统审计需要使用一系列方法和工具来收集和处理审计数据。
常用的审计方法包括问卷调查、文件和记录审查、系统抽样、技术测试等。
审计人员还可以借助专业的审计工具,如数据分析软件、网络嗅探器、安全性评估工具等。
选择合适的方法和工具能够提高审计效率和准确性。
三、收集审计证据审计依据事实和数据进行,因此收集审计证据非常重要。
审计人员可以通过访谈相关人员、观察业务流程、检查文件和记录、分析系统日志等方式获取证据。
确保收集的证据具有可靠性和完整性,以支持后续的评估和结论。
四、评估合规性和安全性在收集到足够的审计证据后,需要对信息系统的合规性和安全性进行评估。
合规性评估包括审查是否符合相关法律法规和行业标准,如个人信息保护法、ISO 27001等。
安全性评估则包括对系统的漏洞、脆弱性和风险进行分析和评估。
评估结果应该结合具体情况,提出合理的建议和改进建议。
五、编写审计报告审计报告是审计的最终输出,它对审计过程、评估结果和建议进行总结和归档。
报告应该具备清晰、准确、完整的特点,能够让读者理解审计的基本情况和重要发现。
报告结构要合理,可以包括简介、目标和范围、方法和工具、评估结果、建议和改进建议等部分。
同时,报告应该按照机构的要求进行格式和样式的规范。
六、跟进和监督改进信息系统审计并非一次性的任务,而是需要定期进行,以确保系统的持续改进和合规性。
cobit-2019 治理和管理目标中文
COBIT-2019治理和管理目标中文COBIT,全称Control Objectives for Information and Related Technologies,中文意为“信息及相关技术的控制目标”,是一个由信息系统审计与控制协会(ISACA)制定的国际标准框架,旨在帮助企业实现有效的信息技术治理和管理。
COBIT框架提供了一套综合的治理和管理目标,涵盖了组织内部的商业需求、IT资源和技术。
在2019年发布的新版COBIT框架中,更新了许多原有的治理和管理目标,并对现代企业面临的挑战和机遇做出了充分的考虑。
COBIT-2019的核心理念是通过定义一套可操作的框架,帮助企业建立、维护和优化IT治理和管理的能力,从而实现业务目标。
本文将针对COBIT-2019框架中的治理和管理目标进行详细解读和分析,探讨其在现代企业中的应用和意义。
一、治理目标1. 治理目标的概念和原则COBIT-2019框架中的治理目标主要包括了企业治理、治理框架和治理决策。
其中,企业治理旨在确保企业长期可持续发展,治理框架旨在实现治理的有效实施,治理决策则关注在业务和技术层面上的决策过程。
这些治理目标的核心原则包括透明性、责任性、公正性和合规性,通过遵循这些原则,企业可以建立起健全的治理体系,保证企业的持续发展和稳定运行。
2. 治理目标的重要性和适用范围在当今日益复杂和多变的商业环境下,企业对于治理的需求愈发迫切。
有效的治理可以保障企业资源的合理利用,降低风险和成本,提升竞争力和市场价值。
COBIT-2019框架中的治理目标适用于各类规模和性质的企业,不仅可以帮助大型企业建立健全的治理架构,也可以为中小型企业提供简明实用的治理指南。
3. 治理目标的实施方法和工具COBIT-2019框架为企业提供了一整套治理实施的方法和工具,包括了治理目标的识别和规划、组织结构的建立和分工、治理流程的设计和优化等方面。
企业可以根据自身的需求和情况,制定适合自己的治理实施计划,运用COBIT提供的工具和方法,提升治理水平和效果。
信息系统审计指南
COBIT信息技术审计指南(34个控制目标)计划和组织(选择3/6/11)1 定义战略性的信息技术规划(PO1)PO域控制的IT过程:定义战略性的IT规划满足的业务需求:既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成实现路线:在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项:企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面,企业所处的位置需要高级管理层出钱、支持和必不可少的检查信息规范 IT资源P 效果 * 人员S 效率 * 应用保密 * 技术完整 * 设施可用 * 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。
在这一方面,高级管理层应确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。
IT的长期、短期计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。
1.2 IT 长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。
计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。
相应地,管理层应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构。
1.3 IT 长期计划编制——方法与结构对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。
这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。
IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。
计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。
IT审计及COBIT体系
1.IT审计介绍 2.IT治理介绍 3.COBIT概念 4.COBIT体系框架 5.Q&A
12
13
公司治理就是为所有股东创造和呈现价值的企业道 德行为
公司治理包括组织中管理层、董事会、股东和其他 利益相关法之间的一系列关系,它为制定公司目标、 确定实现目标和监督绩效的方式提供了框架。
14
信息系统调查是对被审计单位信息系统的管理体制、 总体架构、规划设计、管理水平等进行全面、深入地 了解,是进行信息系统审计的基础。
了解管理体制,从总体上把握被审计单位信息系统管 理的基本情况。
了解总体架构,完成对被审计单位有什么类型的信息 系统,每个系统有多少子系统,信息系统分布在哪些 部门,信息系统之间有什么关系的调查。
3
信息系统调查 信息系统内部控制测试 信息系统初步评价 信息系统实质性测试 信息系统综合评价
4
调查阶段
信息系统内部控制初步评审
否 内部控制可信赖吗?
内部控制的详细审查与评价
控制测试
信息系统控制测试结果的评价
内部控制可信赖吗?
否
退出审计
提出管理建议
测试和评价补偿控制
实质性测试
全面评价
编制审计报告
审计结束 计算机信息系统审计流程5
提出ValueIT等理念,与IT治理联系更紧密。
22
COBIT中定义的IT资源如下。 (1)数据:是最广泛意义上的对象(如外部和内部的)、
结构化及非结构化的、 图形、声音等。 (2)应用系统:手工的以及计算机程序的总和。 (3)技术:包括硬件、操作系统、数据库管理系统、
网络、多媒体等。 (4)设备:包括所拥有的支持信息系统的所有资源。 (5)人员:包括员工技能、意识,以及计划、组织、
COBIT5.0实施指南中文版
COBIT5 Implementation 实施
目录 Байду номын сангаас
一、关于我们 .................................................................................................................................. 4 二、引言 ......................................................................................................................................... 5 目标和指南适用范围 ................................................................................................................ 6 三、GEIT 定位 ................................................................................................................................. 8 了解背景 .................................................................................................................................. 8 什么是 GEIT? ....................................................
信息系统审计指南(COBIT中文版)
COBIT信息技术审计指南(34个控制目标)计划和组织(选择3/6/11)1 定义战略性的信息技术规划(PO1)PO域控制的IT过程:定义战略性的IT规划满足的业务需求:既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成实现路线:在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项:企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面,企业所处的位置需要高级管理层出钱、支持和必不可少的检查信息规范 IT资源P 效果 * 人员S 效率 * 应用保密 * 技术完整 * 设施可用 * 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。
在这一方面,高级管理层应确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。
IT的长期、短期计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。
1.2 IT 长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。
计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。
相应地,管理层应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构。
1.3 IT 长期计划编制——方法与结构对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。
这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。
IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。
计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。
COBIT标准(信息技术审计标准)
COBIT标准(2008-05-19 21:31:20)标签:杂谈目录• 什么是COBIT• COBIT的主要组件• COBIT对企业的作用• COBIT的优点• COBIT标准的应用原则什么是COBITCOBIT(Control Objectives for Information and related Technology):即信息系统和技术控制目标。
成立于1969年的美国信息系统审计与控制协会(ISACA),于1996推出了用于“IT审计”的知识体系COBIT。
“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。
相应地,“注册信息系统审计师”(CISA)日益成为世界各国发展信息化过程中,争相发展的新兴职业和领域。
作为IT治理的核心模型, COBIT包含34个信息技术过程控制,并归集为四个控制域:IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)以及信息系统运行性能监控(Monitoring)。
COBIT目前已成为国际上公认的IT管理与控制标准。
COBIT目前已成为国际上公认的IT管理与控制框架,已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效地利用信息资源,有效地管理与信息相关的风险。
COBIT的主要组件COBIT有6个组件:- Executive Summary- Management Guidelines- Framework- Control Objectives- Implemenation Toolset- Audit GuidelinesCOBIT对企业的作用COBIT型是企业战略目标和信息技术战略目标的桥梁,使得信息技术目标和企业战略目标之间实现互动。
(完整版)信息系统审计指南(COBIT中文版)
COBIT信息技术审计指南(34个控制目标)计划和组织(选择3/6/11)1 定义战略性的信息技术规划(PO1)PO域控制的IT过程:定义战略性的IT规划满足的业务需求:既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成实现路线:在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项:企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面,企业所处的位置需要高级管理层出钱、支持和必不可少的检查信息规范 IT资源P 效果 * 人员S 效率 * 应用保密 * 技术完整 * 设施可用 * 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。
在这一方面,高级管理层应确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。
IT的长期、短期计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。
1.2 IT 长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。
计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。
相应地,管理层应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构。
1.3 IT 长期计划编制——方法与结构对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。
这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。
IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。
计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
COBIT信息技术审计指南(34个控制目标)计划和组织(选择3/6/11)1 定义战略性的信息技术规划(PO1)PO域控制的IT过程:定义战略性的IT规划满足的业务需求:既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成实现路线:在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项:企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面,企业所处的位置需要高级管理层出钱、支持和必不可少的检查信息规范IT资源P 效果* 人员S 效率* 应用保密* 技术完整* 设施可用* 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。
在这一方面,高级管理层应确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。
IT的长期、短期计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。
1.2 IT 长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。
计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。
相应地,管理层应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构。
1.3 IT 长期计划编制——方法与结构对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。
这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。
IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。
计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。
已做出选择的好处应被明确地确定下来。
IT 长期和短期计划应使绩效指标和目标合并在一起。
计划本身还应参考其它的计划,比如机构的质量计划和信息风险管理计划。
1.4 IT 长期计划的变更IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位,以适应机构长期计划的变化和IT环境的变化。
管理层应建立一个IT长期和短期计划开发和维护所需要的政策。
1.5 IT 功能的短期计划编制IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。
这样的短期计划应确保适当的IT功能资源以与IT长期计划内容相一致的基础上来分配。
短期计划应定期地进行再评估,并被作为适应正在变化的业务和IT环境所必须的事项而改进。
可行性研究的及时执行应确保短期计划的实行是被充分地启动的。
1.6 IT 计划的交流管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。
1.7 IT 计划的监控和评估管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。
获取的反馈应予以评估,并在将来的IT计划编制中加以考虑。
1.8 现有系统的评估在开发或变更战略规划或长期计划、IT计划之前,IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势,评估现有信息系统,以确定现有系统支持机构业务需求的程度。
对高级和详细的控制目标进行审计:获得了解:访谈:首席执行官(CEO)首席运营官(COO)首席财务官(CFO)首席信息官(CIO)IT计划/指导委员会成员IT高级管理层和人力服务职员获得:与计划编制过程想关联的政策和程序高级管理层的指导角色和责任机构的目标和长短期的计划IT的目标和长短期的计划状况的报告和计划/指导委员会的会议纪要评估控制:考虑是否:IT或者业务的企业政策和程序选择了一种结构化的计划编制方法方法到位,以便明确地表达并能够修改计划,起码它们要包括:• 机构的使命和目的• 支持机构使命和目的的IT初始• IT初始的机遇• IT初始的可行性的研究• IT初始的风险评估• 当前和未来IT的最佳投资• 反映企业使命和目的变化的IT初始的再造• 数据应用、技术和机构可选择战略的评估机构的变化、技术的发展、规章的要求、业务过程的再造、员工的安置、自己开发和外包,等等被考虑,并在计划编制过程中充分地从事长短期的IT计划存在,是当前的,充分针对全部企业、它的使命和关键的业务职能部门IT项目由IT计划编制方法中确定的适当文档所支持确保IT目标和长短期计划持续地满足机构目标和长短期计划的检查点存在由过程所有者和高级管理层评价和结束的IT计划发生根据业务自动化程度、功能性、稳定性、复杂性、成本、优势和弱点,IT计划评估现有的信息系统对信息系统及其支持的基础设施的长期计划编制的缺乏,导致系统不能支持企业的目标和业务的过程,或者不能提供适当的完整、安全和控制评定遵从性:测试:来自反映计划编制过程的IT计划编制/指导委员会的会议纪要计划编制方法的可交付使用物的存在,作为预先的规定相关IT的初始被包括在IT长短期的计划当中(也就是硬件的变化、容量计划编制、信息体系结构、新系统开发或获取、灾难恢复计划编制、新处理平台的安装,等等)IT初始支持长短期计划,并要考虑调查、培训、人员安置、设施、硬件和软件的需求IT初始的技术含义已经被确定最优化当前和将来IT投资的考虑已经给出IT长短期计划与机构的长短期计划和组织的需求保持一致计划已经发生改变,以反映正在变化的条件IT长期计划定期转化成短期计划存在实现计划的任务证实没有满足业务目标的风险:执行:依照类似的机构或者适当的国际标准/公认的行业最好实践的战略IT计划的基准确保IT初始反映机构的使命和目的的IT计划的详细评价决定是否机构之内已经知道的虚弱区域正在被确认为计划当中IT解决方案的一部分而加以改进的IT计划的详细评价确定:满足机构使命和目的的IT失败与长期计划相匹配的短期计划的IT失败满足短期计划的IT项目的失败满足成本和时间准则的IT失败错过的业务机遇错过的IT机遇2 定义信息体系结构(PO2)控制的IT过程:定义信息体系结构满足的业务需求:优化信息系统的机构实现路线:创建并维护一个业务信息模型,确保定义适当的系统,以优化信息的使用需要考虑的事项:自动化的数据存贮和字典数据语法规则数据所有权和关键性/安全性程度分类表述业务的信息模型企业信息体系结构标准信息信息规范IT资源P 效果人员S 效率* 应用S 保密技术S 完整设施可用* 数据遵从可靠2.1 信息体系结构模型信息应与需求保持一致,并应以某种格式和期限进行识别、获取和交流,而这些格式和期限能使人们及时、有效地履行他们的职责。
相应地,围绕企业的数据模型和相关的信息系统,IT的职能应是建立并有规律地更新信息体系结构模型。
信息体系结构模型应与IT长期计划保持一致。
2.2 企业数据字典和数据语法规则IT的职能应确保包含机构数据语法规则的企业数据字典的建立以及持续的更新。
2.3 数据分类方案在按信息类别(如安全类)进行分类的数据放置以及所有权分配方面,应建立一个总体的分类框架,应适当定义各类别的访问规则。
2.4 安全等级对于上述确定的每一个“不需要保护”级别以上的数据分类,管理层应定义、执行和维护这些安全等级。
对于每一个分类来讲,这些安全等级应描述适当的(最小的)一套安全和控制尺度,应定期进行再评估并做相应的修改。
对于区域范围广阔的企业,应建立支持不同安全等级的标准,以适应正在发展的电子商务、移动计算和远程办公环境的需要。
对高级和详细的控制目标进行审计:获得了解:访谈:首席信息官(CIO)IT计划/指导委员会成员IT高级管理层安全官获得:与信息体系结构相关的政策和程序信息体系结构模型支持信息体系结构模型的文档,包括企业数据模型企业数据字典数据所有者政策高级管理层指导的角色和责任IT的目标和长短期计划状况报告和计划编制/指导委员会会议纪要评估控制:考虑是否:IT政策和程序选择了数据字典的开发和维护用于修改信息体系结构模型的过程是以长短期计划为基础的,考虑了相关成本和风险,并且该模型变化之前,要确保高级管理层同意有一个过程用来保持数据字典和数据语法规则处于最新状态有一个媒介用来分发数据字典,确保开发区域的可达性并立即反映变化IT政策和过程要选择数据的分类,包括安全种类和数据所有者,数据分类的访问规则要被清晰和适当地定义要为那些不包含数据分类标识符的数据资产定义缺省的分类标准IT政策和程序要选择以下内容:• 需要数据所有者(在数据所有者政策上定义)的授权过程要到位,以便批准该数据的所有访问以及数据的安全属性• 每一个数据分类的安全等级要被定义• 访问等级被定义,并且对于数据分类来说是适当的• 访问敏感数据需要清楚的访问级别,数据的提供要以“需要知道”为基础评定遵从性:测试:信息体系结构模型上的变化,确定这些变化反映了IT长短期计划及其所确定的成本和风险评估数据字典的任何修改以及数据字典上变化的影响,确保它们被有效地沟通各种运作的应用系统和开发项目,以确定数据字典被用作数据定义足够的数据字典文档,以确定这些文档为每一个数据项定义了数据的属性和安全等级数据分类、安全等级、访问等级和缺省的适当性每一个数据分类都要清晰地定义:• 谁可以访问• 谁对决定适当的访问级别负责• 所需访问的明确批准• 访问的特定需求(也就是非披露或者保密性协议)证实没有满足业务目标的风险:执行:依照类似机构或适者国际标准/公认的行业最好实践的信息体系结构模型的基准针对关键元素的完整性,数据字典的详细评价对定义为敏感数据的安全等级的详细评价,以校验访问的适当授权被获得,被许可的访问与定义在IT政策和程序中的一致确定:信息体系结构模型和企业数据模型、企业数据字典、相关信息系统以及IT长短期计划中的矛盾过时的企业数据字典项和由于数据字典变化的不良的沟通丧失了时效性的数据语法规则???所有者不清楚和/或没有适当定义的数据项没有被适当定义的数据分类与“需要才能知道”的原则不一致的数据安全等级3 决定技术方向(PO3)控制的IT过程:决定技术方向满足的业务需求:利用目前可用的和正在出现的技术,推动业务战略的实施并使业务战略成为可能实现路线:建立并维护技术基础设施计划,该计划,依据产品、服务和交付机制,建立并管理技术能够提供的清晰和现实的预期需要考虑的事项:当前基础设施的容量通过可靠的来源,监测技术发展引导概念的检验风险、约束和机遇获取的计划移植战略和路线与供应商的关系独立的技术再评估硬件和软件的性能/价格比的变化信息规范IT资源P 效果人员S 效率应用保密* 技术完整* 设施可用数据遵从可靠3.1 技术基础设施计划编制IT的职能部门应建立并有规律地更新与IT长期和短期计划保持一致的技术基础设施计划。