1、TASK SEMENTS1.評估 IT 治理結(jié)構(gòu)的有效性，來確保適當?shù)膶T 決策、判斷、方向以及性能的控制，以實現(xiàn)對企業(yè)和目標的支持。2.3.評估 IT 組織結(jié)構(gòu)和 HR 管理，確保其支持組織的和目標評估 IT 開發(fā)、審批、部署、目標的和程序，確保其支持組織的和4.評估企業(yè)的 IT 策略、準則、指南和流程的開發(fā)、審批、部署和，確保其支持IT 戰(zhàn)，以及符合的要求5.6.7.8.9.評估管理實踐，確保其與企業(yè)的IT、策略、準則和流程相符合評估 IT 資源投資、使用、分派實踐，以與企業(yè)的和目標相符合評估 IT 合同和策略，以及合同管理，確保其支持組織的和目標評估風(fēng)險管理實踐，確保適當管理企業(yè)IT

2、相關(guān)的風(fēng)險和保證實踐，確保管理層及時充分的獲取IT 性能的信息。評估Knowledge sements1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.IT、策略、準則、流程的目的，以及基本元素IT 治理框架開發(fā)、部署、IT、策略、準則、流程的過程質(zhì)量管理和策略組織架構(gòu)、角色和責任 普遍接受的IT 標準和指南企業(yè)IT 架構(gòu)，風(fēng)險管理方法和工具控制框架的使用成熟度和流程模型的使用合同、程序以及合同管理和IT 性能的實踐（平衡積分卡、KPIs）相關(guān)的法律和IT HR 管理IT 資源投資以及分派實踐（投資組合，ROI）Corporateernance1.公司治理是公司管理層使用

3、的一系列責任和實踐，用于提供實現(xiàn)目標，管理風(fēng)險，合理使用企業(yè)資源。方向，確保2.3.publicernance：公司治理試圖在利用先有機會提高股東利益和讓公司在符合務(wù)前提實現(xiàn)運行之間達成一個平衡點。和社會義ITernance1.2.3.IT 治理的關(guān)鍵是實現(xiàn)業(yè)務(wù)和IT 之間的alignment，以實現(xiàn)bussiness valueIT 治理關(guān)注兩件事：IT delives value for bussiness ；IT risk are managed；董事會和管理層的和保證實踐傳統(tǒng)的董事會層面對IT 的涉及，主要是將IT 的決定權(quán)下方到ISIT 治理是董事層的管理工具，治理更關(guān)注的是傳導(dǎo)價值

4、、測量性能、而不是管理風(fēng)險，確保合規(guī)，這時IT control 的內(nèi)容。IT 治理是董事會和管理層的職責。IT 治理的目的是指導(dǎo)IT，確保IT 性能能夠滿足業(yè)務(wù)發(fā)展的需要，以實現(xiàn)價值。IT 治理框架：IT resource management Performance measurement Compliance management IT 治理關(guān)注領(lǐng)域1.2.3.4.5.6.Strtegic alignment： 將IT 與Value delivery： Risk management Resource managementPerformance measurement起來(一)1.2. (

5、二) 1.IT 治理的最佳實踐IT 治理中的審計角色審計提供首要的實踐，幫助審計能幫助實現(xiàn)合規(guī)性IT 審計師應(yīng)該確保提高IT治理的質(zhì)量和效力工作范圍，包含明確定義的功能區(qū)域和涉及的事物Reporting lineIS 審計師對內(nèi)外部各種信息的IT strategy Committee IT權(quán)限就以下事項向董事會提供愿景和建議：從業(yè)務(wù)角度開發(fā)ITIT 和業(yè)務(wù)決定的alignment性IT 目標的實現(xiàn)適當?shù)腎T 資源的可用性，來滿足優(yōu)化IT 成本風(fēng)險、匯報以及IT 投資的競爭性大的IT 項目的過程IT 對業(yè)務(wù)的共享目標(三)IT 風(fēng)險的曝露IT 風(fēng)險的contaent 控制IT的管理董事會對IT

6、的驅(qū)動IT strategy Committee IT執(zhí)行層面IT 平衡計分卡(四)1.IT BSCBSC 是一個過程管理評估技術(shù)，可用于IT 治理過程中評估IT 功能和過程。BSC了一般的財務(wù)評估，增加了客戶滿意度、內(nèi)部運行過創(chuàng)新能力.2.為采用IT BSC，三層的結(jié)構(gòu)來解決四個目的Mis任務(wù)Stetegies Measures(五)1.治理治理作為 IT 治理的一部分，關(guān)注的是：信息的信息資產(chǎn)的保護。,服務(wù)連續(xù)性和2.信息和數(shù)據(jù)無論如何處理、傳遞、廢棄等都必須得到保護，4.5.治理是董事會層面的職責由于信息是企業(yè)的重要資產(chǎn)，分重要。安全治理的產(chǎn)出Strategic alignment：將著

7、合規(guī)性要求，所以對的治理十6.與業(yè)務(wù)整合以實現(xiàn)企業(yè)目標安全需求由企業(yè)需求推動安全解決方案適合企業(yè) 安全方面的投資符合企業(yè)7.8.Risk management Value deliveryPerformance measurement Resource managementProsegration治理必須能夠支持業(yè)務(wù)，能夠為公司創(chuàng)造價值治理框架包括有效的全面的與業(yè)務(wù)相關(guān)的安全策略安全準則、指南、流程有效的 制度化的組織架構(gòu)程序3.IT 安全解決的是IT 技術(shù)的安全性，需要由CIO 層進行推動。需要由管理層來推動。關(guān)注的是信息的隱私以及本身，解決的是風(fēng)險的全局層面。(六)的角色和職責1.EA 包

8、括將企業(yè)的IT 資產(chǎn)以一種結(jié)構(gòu)化的方式文檔化，便于理解，管理和計劃IT 投資。EA 通常包含一個current s e 和一個優(yōu)化的future s e 展示（road map）2.EA 現(xiàn)在的關(guān)注 IT 復(fù)雜度、現(xiàn)代企業(yè)復(fù)雜度的增加，以及 IT 與業(yè)務(wù)合以實現(xiàn)IT 投資實現(xiàn)真正回報。結(jié)3.4.5.Zaan 架構(gòu)是第一個EA，他認為建設(shè)IT 系統(tǒng)類似于建筑為了完成EA,組織可以從技術(shù)角度也可以從業(yè)務(wù)角度來解決。Technology-driven EA 試圖闡明現(xiàn)代企業(yè)的復(fù)雜的技術(shù)選擇，Bussiness-driven EA 試圖從企業(yè)的增值和支持程序來理解組織。FEA企業(yè)架構(gòu) 有五個分層的參考

9、模型Performance reference m Bussiness reference mService component reference m Technical reference mData reference m信息系略1.2.計劃指導(dǎo)一般作為大的IS 項目檢查，而不涉及常規(guī)的操作。檢查長期和短期的IS 部門計劃，確保其符合公司目標檢查和審批大的軟硬件采購大的項目以及 IS 計劃和預(yù)算的現(xiàn)狀，建立優(yōu)先級，審批準則和批準和流程，以及整個IS 性能檢查和審批sourcing，包括內(nèi)包和外包，以及全球化檢查資源以及分派的準確性決策集中還是分布，以及職責的指派支持開發(fā)和部署企業(yè)范圍內(nèi)的

10、管理程序向董事會IS 活動。成熟度和過程模型IDEAL 模型指引企業(yè)計劃和部署一個有效的軟件過程1.2.3.程序。CMMI 能力成熟度模型整合是過程方法team software pros TSP 機制指引團隊和管理成，使用一個 four day launchpros，建立目標，定義團隊角色，評估風(fēng)險，產(chǎn)生一個項目計劃。在 launch后，TSP 提供一個詳細的過程來管理，測量，需要事先培訓(xùn)和團隊的活動，成員4.al software pro產(chǎn)品缺陷。s PSP。版主企業(yè)管理質(zhì)量，預(yù)計和計劃，減少(七)EA 企業(yè)架構(gòu) entrise architectureIT 投資和分派實踐ROI 不僅僅是

11、財務(wù)的回報，還是非財務(wù)的收益，包括：對運行的沖擊，任務(wù)性能和結(jié)果。1.2.3.value of IT IT 價值。Val IT 框架有面：valueernanceportfolio management investment managementIT portfolio management 的部署包括： 風(fēng)險 profile 分析，diversification ofprojects，infrastructure and technologies，與業(yè)務(wù)目標的連續(xù)性整合，持續(xù)提升4.IT portfolio 管理最大的優(yōu)點是在調(diào)整投資時候的靈活性，而BSC 同樣強調(diào)在任何的投資決策時使用vi

12、和，而對運行成本的愿景和控制不是目標。Policies and procedures1.policies 策略top down bottom up策略：要在生產(chǎn)率和控制方面達成平衡策略文檔2.3.4.5.6.acceptable use policyAUP對策略的檢查procedures 流程風(fēng)險管理IS 管理實踐(一) HR 管理 hiring 雇傭背景協(xié)議Employee bonding1.2.3.4.5.6.7.利益協(xié)議職業(yè)道德準則同業(yè)競爭協(xié)議employee handbook promotion policies training： cross trainingschedulling

13、and time reporting employee performance evaluations required vacations8.9.termination policies(二) Sourcing 承包IS 功能的交付包括：Insourced Outsourced Hybrid1.2.3.4.5.IS 指導(dǎo)SLAs應(yīng)該檢查和審批sourcing要定期審計合同和SLAs，服務(wù)供應(yīng)商應(yīng)該定期提供第審計外包的不能是企業(yè)的關(guān)鍵應(yīng)用。外包 party 處理的信息的最終責任在于組織本身。IS 組織結(jié)構(gòu)和責任(一) Sourcing 承包IS 角色和職責System development

14、manager Project managementService desk End userEnd-user support manager Data management1.Quality arance QA managerInformation security management Vendor and outsourcer management Infrastructure operations and ma IPFenance 除了運行外沒有人限進入Control group 控制組 責任是收集、轉(zhuǎn)換和控制輸入，以及輸出的平衡和分發(fā)Media management： Data en

15、try Systemadministration Security administrationQuality arance QA應(yīng)保持相對獨立Quality aranceQuality controlDatabase managementSystem文檔yst：在 SDLC 初始狀態(tài)介入，基于用戶需求設(shè)計系統(tǒng)，開發(fā)設(shè)計Security architectApplication development and maenanceInfrastructure development and maenance：系統(tǒng)軟件，包括 OS，要求有廣泛的權(quán)。Network management：LAN終端用戶職責不應(yīng)該有應(yīng)用編程職責，但是可以有系統(tǒng)編(二) IS 職責分離需要分離的職責包括： Custody of the assets Authorization1.2.Recording tranions若沒有條件實現(xiàn)職權(quán)分離，則需要實施補償性控制compensation controls(三) IS 職責分離控制交易資產(chǎn)保管對數(shù)據(jù)的權(quán)限表用戶權(quán)限tables補償性控制：1.2.3.4.5.6.Audit trails Reconciliation Except