CISA 信息系统审计知识点 [第二章. IT治理和管理 ]

第二IT治理和管理

 

 

1.  IT治理、管理、安全和控制框架及标准、指南和实践

 

 

IT治理董事执行管理的职责。

IT治理的关键因素:保持业务的一致引导务价值的现。

IT治理关注的问题:IT向业务付价值IT险得管理。

 

 

IT治理的五个关键域:


2.  IT战略及IT组织架构、角色和

 

 



注:IT指导委员会主要职责是:对重要的IT项目进行审查,而不应当涉及日常运营。审查IT部 门的短期计划(几个月)和长期计划(1-2年),而战略计划(3-5年)则由IT战略委员会起草,董事会审批。

 

 

职责分离是预防和阻止欺诈及恶意行为的重要方式。补偿控制是为了降低职责不能恰当分离所带来的既有或潜在控制风险的内部控制。职责分离 的目标是通过识别补偿性控制来降低或消除业务风险。

 

 

补偿控制:

l    审计轨AuditTrail可追交易,能定谁起交易发起时据类、字段、更新哪些文等。


 

 

l    核对(Reconciliation增加了统处理确性及平衡的可度水平。

l    例外报告(Exception Reporting需要确例外情能及时得解决。

l    交易日志(TransactionLog:为所已处理交易留一份记

l    监督性审SupervisoryReview通过现、访谈或程执行。

l    独立性审(IndependentReview是对错或故违反既定程的补可帮助检测错误违规情

 

 

IT政策 自顶向下级政策一致性自底向上效益,于风险估的结容易造成策间的一致和互抵触

 

 

安全策必须控制水和生产率之间能超过制所带来收益。

 

 

可接使用政策(AUPAcceptableUse Policy

的IT资源如使用有效的南或规了允许户使用IT统做么,不 能做什么违反规时应受何种处

 

 

 

3.  质量管理体系成熟度模型

 

 

安全治理成熟度模型

 

能力等级                       特点



 

 

4.  IT资源投资与分配实务

 

 

价值IT框架的三个领域:

l    价值治理(VGValue Government

l    投资搭配理(PM,)

l    投资管理(IM,InvestmentManagement

 

 

 

5.  人力资源管理

 

 

培训:培训个以上人员从一项特作业程序。

 

优点                                                                            缺点

 


营。


和问

题。


 

 

 

休假:减少进行不行为违法行的机

 

 

:分自愿和非自愿离职

l    删除和撤帐号和逻辑访问

l    收回所有匙、ID卡证件,止物理访

l    归还公司

l    其他事项

 

6.  IT供应商选择、合同管理、外包管理及第三方监督

 

 

IS职能的类型:

l    现场:现工作

l    离场/近岸同一地同地点程工作

l    离岸:不的地理域远程

 

 

IS职能的交付方式:

l    内包

l    外包

l    混合

 

 

IT外包目标利用应商的心竞争现持有效的业流程和务改组 织的核心业务不能外


 

 

 

外包的原因:

l    组织需要注于自的核心

l    迫于外包作的边

l    节约成本要求

l    组织架构活性的

 

 

的优缺点、风险及相关控制

 

优点                                                     缺点及险                                   风险控制

 


l      外规模

效应

l      外,提 高

l      外处理 经

l      合质量

l      外和项 目情况


l      成

l      丧的机 会

l      丧控制

l      外故障

l      缺遵循

l      外诚度

l      项方声 誉


l      制、伙式利

益共享回报机制

l      使竞 争

l      定

l      组团 队

l      适


水平协议(SLAService LevelAgreement

了供商服务支持事应达到水平,目标及双未来的作非常要。

 

 

外包的基本原则然将服交付转但其仍属于织内的理层须确保对风险的适管理和的价值付。

 

 

云计服务模式

 

模式

考虑因素

IaaS

 

 

务(PaaS

任 数

 

务(SaaS

里?

 

 

云计算部模式

 

模式

考虑因素

活性


一起

检索

风险

 

 

 

 

7.  企业风险管理

 

 

管理流程的三个域



管理的步骤:

(1)    识别资产对需要护的信资源或产进行

(2)    评估与信资源相的威胁脆弱性以及可

(3)    量化潜在威胁的率和对务的影

(4)    评价现有制,或计新的制来降风险至水平。

 

 

脆弱、威胁、风险及控制之间的关系

的风险分析

•     公式:

–    资产价值(AV×暴露EF=损失期SLE

–    单一损失SLE×年发生ARO=度损失期ALE) 定性风险分析

操作方法可以多种样,包括小讨论(例如  Delph方法、检查列表Checklist、问卷

Questionnaire、人员访Interview、调查(Survey)等

 

 

与定性风险分析的缺点

 

分析

定性分析

l      计算更复杂管理能够解是么计出来吗?

l      没有可利用自动工具这个程完需要

l      需要作量基性的作,收集环境关的

l      没有相的标供应解释评估程和果的式 各不相同

l     

l      /价值

l      使目标

l      释其 评相同

8.  IT绩效监督和报告

 

 

IT平衡记分卡(ITBSCITBalanceScoreCard

是建管理层董事会报告途,就IT目标在关利益相方之间成一致,证实IT的效果价值,IT绩效、险和能

 

 

IT平衡记分卡的四个关键要素:

 


连续性计划的关键技术指标

l    恢复时间标(RecoveryTimeObjectivesRTO系统的不用性严影响到构之前所允许耗的最时间。

l    恢复点目Recovery PointObjectivesRPO数据须被恢复便继续行处理点。也就是所许的最数据损



的重要性分析

 

重要分类

描述

 

 

的(Critical

l     

l     

l     

 

的(Vital

l      时间

l      统(1-5

 

的(Sensitive

l      人手

l      上)

Nonsensitive

l      影响


 

 

BCP计划的开发

和管层的参BCP成功重要因识别关键源的基。三部门须在开发BCP计划参与来:

l    服务支持门:检灾难信,宣告

l    业务运行门:评可能遭的影响

l    信息处理门:执恢复

 

 

BCP计划的测试

l    纸上演练相关者参与讨论务中断果及应对在预备演练

l    预备性演:模拟难发生在局部机构)演所涉及的BCP资源

l    全面演练完全关业务运,实施面演练

posted @ 2016-06-21 12:48  Slashout  阅读(2113)  评论(0编辑  收藏  举报