COBIT信息技術審計指南

計劃與組織（選擇3/6/11）

1定義戰(zhàn)略性的信息技術規(guī)劃（PODP0域

操縱的IT過程：

定義戰(zhàn)略性的1T規(guī)劃

滿足的業(yè)務需求：

既要謀求信息技術機遇與IT業(yè)務需求的最佳平衡，又要確保其進一步地完成

實現路線：

在定期從事的戰(zhàn)略規(guī)劃編制過程中，要逐步形成長期的計劃，長期的計劃應定期

地轉化成設置清晰并具體到短期目的的操作計劃

需要考慮的事項：

企業(yè)的業(yè)務進展戰(zhàn)略

TT如何支持業(yè)務目標的明確定義

技術解決方案與當前基礎設施的全面清單

追蹤技術市場

適時的可行性研究與現實性檢查

己有系統(tǒng)的評估

在風險、進入市場的時機、質量方面，企業(yè)所處的位置

需要高級管理層出錢、支持與必不可少的檢查

信息規(guī)范IT資源

P效果*人員

S效率*應用

保密*技術

完整*設施

可用*數據

遵從

可靠

1.1作為機構長期與短期計劃一部分的IT

高級管理層對開發(fā)與實施履行機構任務與目標的長期與短期的計劃負責。在這一

方面，高級管理層應

確保rrrr關事項與機遇被適當地評估，并將結果反映到機構的長期與短期計劃之

中。IT的長期、短期

計劃應被開發(fā)，確保r7的運用同機構的使命與業(yè)務進展戰(zhàn)略相結合。

L2IT長期計劃

1T管理層與業(yè)務過程的所有者要對有規(guī)律地開發(fā)支持機構總體使命與目的實現

的TT長期計劃負責。計劃編制的方法應包含尋求來自受TT戰(zhàn)略計劃影響的有關內

外部利害關系人引入的機制。相應地，管理層應執(zhí)行一個長期計劃的編制過程，

使用一種結構化的方法，并建立一個標準的計劃結構。

1.3IT長期計劃編制一一方法與結構

關于長期計劃的編制過程來講，IT管理層與業(yè)務過程的所有者應建立并使用一種

結構化的方法。這樣能夠制定出高質量的計戈上含蓋什么、誰、如何、什么時間

與為什么等基本的問題。IT計劃的編制過程應考慮風險評估的結果，包含業(yè)務、

環(huán)境、技術與人力資源的風險。計劃編制期間，需要考慮與充分投入的方面包含:

機構的模式及其變化、地理的分布、技術的進展、成本、法律法規(guī)的要求、第三

方或者市場的要求、規(guī)劃遠景、業(yè)務過程再造、員工的安置、自行開發(fā)或者者外

包、數據、應用系統(tǒng)與技術體系結構。已做出選擇的好處應被明確地確定下來。

IT長期與短期計劃應使績效指標與目標合并在一起。計劃本身還應參考其它的計

劃，比如機構的質量計劃與信息風險管理計劃。

1.41T長期計劃的變更

TT管理層與業(yè)務過程所有者應確保及時、準確地修改TT長期計劃的過程的到位，

以習慣機構長期計劃的變化與IT環(huán)境的變化。管理層應建立一個IT長期與短期計

劃開發(fā)與保護所需要的政策.

1.5IT功能的短期計劃編制

IT管理層與業(yè)務過程的所有者應確保IT長期計劃有規(guī)律地轉換成IT短期計劃。這

樣的短期計劃應確保適當的IT功能資源以與IT長期計劃內容相一致的基礎上來

分配。短期計劃應定期地進行再評估，并被作為習慣正在變化的業(yè)務與IT環(huán)境所

務必的事項而改進?？尚行匝芯康募皶r執(zhí)行應確俁短期計劃的實行是被充分地后

動的。

1.6IT計劃的交流

管理層應確保IT長期與短期計劃同業(yè)務過程所有者與跨越機構的其他有關部門

人員的充分溝通。

1.7IT計劃的監(jiān)控與評估

管理層應建立一個流程，獲取與報告來自業(yè)務過程所有者與用戶有關長期與短期

計劃的質量及有效性的反饋。獲取的反饋應予以評估，并在將來的IT計劃編制中

加以考慮。

1.8現有系統(tǒng)的評估

在開發(fā)或者變更戰(zhàn)略規(guī)劃或者長期計劃、IT計劃之前，IT管理層應按照業(yè)務自動

化的程度、功能性、穩(wěn)固性、復雜性、成本、優(yōu)勢與劣勢，評估現有信息系統(tǒng)，

以確定現有系統(tǒng)支持機構業(yè)務需求的程度。

對高級與全面的操縱目標進行審計：

獲得熟悉：

訪談：

首席執(zhí)行官（CEO）

首席運營官（C00）

首席財務官（CFO）

首席信息官（CIO）

IT計劃/指導委員會成員

IT高級管理層與人力服務職員

獲得：

與計劃編制過程想關聯的政策與程序

高級管理層的指導角色與責任

機構的目標與長短期的計劃

IT的目標與長短期的計劃

狀況的報告與計劃/指導委員會的會議紀要

評估操縱：

考慮是否：

IT或者者業(yè)務的企業(yè)政策與程序選擇了一種結構叱的計劃編制方法

方法到位，以便明確地表達并能夠修改計劃，起碼它們要包含：

?機構的使命與目的

?支持機構使命與目的的IT初始

?IT初始的機遇

?IT初始的可行性的研究

?1T初始的風險評估

?當前與未來IT的最佳投資

?反映企業(yè)使命與目的變化的IT初始的再造

?數據應用.技術與機構可選擇戰(zhàn)略的評估

機構的變化、技術的進展、規(guī)章的要求、業(yè)務過程的再造、員工的安置、自己開

發(fā)與外包，等等被考慮，并在計劃編制過程中充分地從事

長短期的IT計劃存在，是當前的，充分針對全部企業(yè)、它的使命與關鍵的業(yè)務職

能部門

TT項目由IT計劃編制方法中確定的適當文檔所支持

確保IT目標與長短期計劃持續(xù)地滿足機構目標與長短期計劃的檢查點存在

由過程所有者與高級管理層評價與結束的IT計劃發(fā)生

根據業(yè)務自動化程度、功能性、穩(wěn)固性、復雜性、成本、優(yōu)勢與弱點，IT計劃評

估現■的信息系統(tǒng)

對信息系統(tǒng)及其支持的基礎設施的長期計劃編制的缺乏，導致系統(tǒng)不能支持企業(yè)

的目標與業(yè)務的過程，或者者不能提供適當的完整、安全與操縱

評定遵從性：

測試：

來自反映計劃編制過程的IT計劃編制/指導委員會的會議紀要

計劃編制方法的可交付使用物的存在，作為預先的規(guī)定

有關IT的初始被包含在IT長短期的計劃當中（也就是硬件的變化、容量計劃編制、

信息體系結構、新系統(tǒng)開發(fā)或者獲取、災難恢復計劃編制、新處理平臺的安裝，

守守/X

IT初始支持長短期計劃，并要考慮調查、培訓、人員安置、設施、硬件與軟件的

需求

1T初始的技術含義已經被確定

最優(yōu)化當前與將來IT投資的考慮已經給出

IT長短期計劃與機構的長短期計劃與組織的需求保持一致

計劃已經發(fā)生改變，以反映正在變化的條件

1T長期計劃定期轉化成短期計劃

存在實現計劃的任務

證實沒有滿足業(yè)務目標的風險：

執(zhí)行：

依照類似的機構或者者適當的國際標準/公認的行業(yè)最好實踐的戰(zhàn)略IT計劃的基

準

確保IT初始反映機構的使命與目的的IT計劃的全面評價

決定是否機構之內已經明白的虛弱區(qū)域正在被確認為計劃當中IT解決方案的一

部分而加以改進的IT計劃的全面評價

確定：

滿足機構使命與目的的IT失敗

與長期計劃相匹配的短期計劃的IT失敗

滿足短期計劃的IT項目的失敗

滿足成本與時間準則的IT失敗

錯過的業(yè)務機遇

錯過的IT機遇

2定義信息體系結構（P02）

操縱的IT過程：

定義信息體系結構

滿足的業(yè)務需求：

優(yōu)化信息系統(tǒng)的機構

實現路線：

創(chuàng)建并保護一個業(yè)務信息模型，確保定義適當的系統(tǒng)，以優(yōu)化信息的使用

需要考慮的事項：

自動化的數據存貯與字典

數據語法規(guī)則

數據所有權與關鍵性/安全性程度分類

表述業(yè)務的信息模型

企業(yè)信息體系結構標準信息

信息規(guī)范IT資源

效

人員

p果

應

效

用

s率*

術

保

技

s密

施

完

設

S整

據

數

用

可*

從

遵

第

nJ

2.1信息體系結構模型

信息應與需求保持一致，并應以某種格式與期限進行識別、獲取與交流，而這些

格式與期限能使人們及時、有效地履行他們的職責。相應地，圍繞企業(yè)的數據模

型與有關的信息系統(tǒng)，TT的職能應是建立并有規(guī)律地更新信息體系結構模型。信

息體系結構模型應與F?長期計劃保持一致。

2.2企業(yè)數據字典與數據語法規(guī)則

IT的職能應確保包含機構數據語法規(guī)則的企業(yè)數據字典的建立與持續(xù)的更新。

2.3數據分類方案

在按信息類別（如安全類）進行分類的數據放置與所有權分配方面，應建立一個

總體的分類框架，應適當定義各類別的訪問規(guī)則。

2.4安全等級

關于上述確定的每一個“不需要保護”級別以上的數據分類，管理層應定義、執(zhí)

行與保護這些安全等級。關于每一個分類來講，這些安全等級應描述適當的（最

小的）一套安全與操縱尺度，應定期進行再評估并做相應的修改。關于區(qū)域范圍

廣闊的企業(yè)，應建立支持不一致安全等級的標準，以習慣正在進展的電子商務、

移動計算與遠程辦公環(huán)境的需要。

對高級與全面的操縱目標進行審計：

獲得熟悉：

訪談：

首席信息官（CIO）

IT計劃/指導委員會成員

IT高級管理層

安全官

獲得：

與信息體系結構有關的政策與程序

信息體系結構模型

支持信息體系結構模型的文檔，包含企業(yè)數據模型

企業(yè)數據字典

數據所有者政策

高級管理層指導的角色與責任

IT的目標與長短期計劃

狀況報告與計劃編制/指導委員會會議紀要

評估操縱：

考慮是否：

IT政策與程序選擇了數據字典的開發(fā)與保護

用于修改信息體系結構模型的過程是以長短期計劃為基礎的，考慮了有美成本與

風險，同時該模型變化之前，要確保高級管理層同意

有一個過程用來保持數據字典與數據語法規(guī)則處于最新狀態(tài)

有一個媒介用來分發(fā)數據字典，確保開發(fā)區(qū)域的可達性并立即反映變化

IT政策與過程要選擇數據的分類，包含安全種類與數據所有者，數據分類的訪問

規(guī)則要被清晰與適當地定義

要為那些不包含數據分類標識符的數據資產定義缺省的分類標準

IT政策與程序要選擇下列內容：

?需要數據所有者（在數據所有者政策上定義）的授權過程要到位，以便批準該

數據的所有訪問與數據的安全屬性

?每一個數據分類的安全等級要被定義

?訪問等級被定義，同時關于數據分類來說是適當的

?訪問敏感數據需要清晰的訪問級別，數據的提供要以“需要明白”為基礎

評定遵從性：

測試:

信息體系結構模型上的變化，確定這些變化反映了IT長短期計劃及其所確定的成

本與風險

評估數據字典的任何修改與數據字典上變化的影響，確保它們被有效地溝通

各類運作的應用系統(tǒng)與開發(fā)項目，以確定數據字典被用作數據定義

足夠的數據字典文檔，以確定這些文檔為每一個數據項定義了數據的屬性與安全

等級

數據分類、安全等級、訪問等級與缺省的適當性

每一個數據分類都要清晰地定義：

?誰能夠訪問

?誰對決定適當的訪問級別負責

?所需訪問的明確批準

?訪問的特定需求（也就是非披露或者者保密性協議）

證實沒有滿足業(yè)務目標的風險：

執(zhí)行：

依照類似機構或者適者國際標準/公認的行業(yè)最好實踐的信息體系結構模型的基

準

針對關鍵元素的完整性，數據字典的全面評價

對定義為敏感數據的安全等級的全面評價，以校驗訪問的適當授權被獲得，被許

可的訪問與定義在TT政策與程序中的一致

確定：

信息體系結構模型與企業(yè)數據模型，企業(yè)數據字典、有關信息系統(tǒng)與IT長短期計

劃中的矛盾

過時的企業(yè)數據字典項與由于數據字典變化的不靈的溝通喪失了時效性的數據

語法規(guī)則？？？

所有者不清晰與/或者沒有適當定義的數據項

沒有被適當定義的數據分類

與“需要才能明白”的原則不一致的數據安全等級

3決定技術方向（P03）

操縱的IT過程：

決定技術方向

滿足的業(yè)務需求：

利用目前可用的與正在出現的技術，推動業(yè)務戰(zhàn)略的實施并使業(yè)務戰(zhàn)略成為可能

實現路線：

建立并保護技術基礎設施計劃，該計劃，根據產品、服務與交付機制，建立并管

理技術能夠提供的清晰與現實的預期

需要考慮的事項：

當前基礎設施的容量

通過可靠的來源，監(jiān)測技術進展

引導概念的檢驗

風險、約束與機遇

獲取的計劃

移植戰(zhàn)略與路線

與供應商的關系

獨立的技術再評估

硬件與軟件的性能/價格比的變化

信息規(guī)范1T資源

效

果

p人員

用

應

效

S率

術

技

密

保*

施

設

整

完*

據

用

可

數

從

遵

靠

可

3.1技術基礎設施計劃編制

1T的職能部門應建立并有規(guī)律地更新與1T長期與短期計劃保持一致的技術基礎

設施計劃。這樣的計劃應圍繞諸如系統(tǒng)體系結構、技術方向與移植策略等方面。

3.2監(jiān)測未來的趨勢與法規(guī)

IT的職能部門應能夠確保對未來趨勢與法規(guī)環(huán)境的持續(xù)監(jiān)測，以便這些因素能夠

在技術基礎設施計劃的開發(fā)與保護期間被考慮在內。

3.3技術基礎設施的不確定事件

技術基礎設施計劃應在偶然事件方面（即基礎設施的冗余、恢復、充足性與進展

能力）進行系統(tǒng)地評估。

3.4硬件與軟件獲取計劃

IT管理層應確保制定硬件與軟件的獲取計劃，并要反映在所確定的技術基礎設施

計劃的需求中。

3.5技術標準

以技術基礎設施計劃為基礎，IT管理層應定義技術規(guī)范以培養(yǎng)標準化的意識。

對高級與全面的操縱目標進行審計：

獲得熟悉：

訪談：

首席執(zhí)行官（CEO）

首席運營官（C00）

首席財務官（CFO）

首席信息官（CIO）

IT計劃/指導委員會成員

IT高級管理層

獲得：

與技術基礎設施計劃編制與監(jiān)控相聯系的政策與程序

高級管理層指導角色與責任

機構目標與長短期計劃

IT目標與長短期計劃

IT硬件與軟件獲取計劃

技術基礎設施計劃

技術標準

狀況報告與計劃編制/指導委員會會議紀要

評估操縱：

考慮是否：

為確認被提議的變化首先被檢查以評估有關聯的成本與風險，為確認高級管理層

的批準先于計劃的變化被獲得，有一個制造并有規(guī)律地更新的技術基礎設施計劃

的過程

技術基礎設施計劃與F?長短期計劃相比較

有一個過程來評估機構的當前技術狀態(tài)，確保圍繞諸如系統(tǒng)體系結構、技術方向

與移植戰(zhàn)略等方面

IT政策與程序確保選擇了評估與監(jiān)控當前與將來的技術趨勢與規(guī)章條件的要求，

同時在技術基礎設施

計劃的開發(fā)與保護期間被考慮

技術獲取的后勤與環(huán)境影響要被計劃

IT政策與程序確保選擇了系統(tǒng)地評估技術計劃意外的需求（也就是基礎設施的冗

余、恢復力、足夠性與進展能力）

IT管理層評估正在出現的技術，并將適當的技術合并到當前的IT基礎設施之中

關于硬件與軟件的獲取計劃來講，它是遵從技術基礎設施計劃中所確定的要求并

被適當地批準的實踐在技術基礎設施計劃中所描述的技術構成的技術標準是到

位的

評定遵從性：

測試：

1T管理層懂得并使用技術基礎設施計劃

技術基礎設施計劃上的變化，以確定有關的成本與風險，這些變化要反映在TT

長短期計劃的變化中

IT管理層要懂得監(jiān)控與評估正在出現技術的過程，并要將適當的技術合并到當前

的IT基礎設施之中

IT管理層要懂得系統(tǒng)評估技術計劃意外的過程（也就是說，基礎設施的冗余、恢

復力、充足性與進展能力）

為了充分地習慣目前的己安裝的硬件/軟件與在當前被批準的增加的新的硬件/

軟件，TT職能部門現有的物理環(huán)境

硬件與軟件獲取計劃遵從IT長短期計劃，并要反映技術基礎設施計劃中所確認的

需求

技術基礎設施計劃選擇利用當前與將來的技術

技術標準被遵循，并作為開發(fā)過程的一部分而被合成一體

被同意的訪問與IT政策與程序中所定義的安全等級相一致，到位的訪問要通過適

當的授權

證實沒有滿足業(yè)務目標的風險：

執(zhí)行：

依照類似的機構或者者適當的國際標準/公認的行業(yè)最好實踐的技術基礎設施計

劃編制的基準

針對關鍵元素的完整性，數據字典的全面評價

為敏感數據而定義的安全等級的全面評價

確定：

信息系統(tǒng)與IT長短期計劃有關的信息體系結構模型與企業(yè)數據模型、企業(yè)數據字

典的矛盾

金業(yè)數據字典條款與數據語法規(guī)則的過時

沒有在技術基礎設施計劃中選擇的以外方面

沒能反映技術基礎設施計劃需求的IT硬件與軟件的獲取計劃

與技術標準不一致的技術基礎設施計劃或者IT硬件與軟件獲取計劃

數據字典中丟失的關鍵元素

沒有按照同樣標準分類或者者沒有安全等級的敏感數據

4定義信息技術的機構及關系（P04）

操縱的IT過程：

定義IT的機構及關系

滿足的業(yè)務需求：

提供正確的IT服務

實現路線：

定義一個數量上相配、具有角色與職責所要求技能的機構，與業(yè)務部門溝通、聯

合在一起，促進戰(zhàn)略的實現，并規(guī)定有效的方向與適當的操縱

需要考慮的事項：

董事會層面上的IT職責

管理層關于IT的指導與監(jiān)督

IT與業(yè)務的結合

關鍵決策過程中IT的參與

機構的靈活性

清晰的角色與職責

平衡授權與監(jiān)督

工作崗位的描述

人員級別與關鍵的人員

在安全、質量與內部操縱功能方面的機構配置

職責的分離

信息規(guī)范IT資源

P效果*人員

S效率應用

保密技術

完整設施

可用數據

遵從

可靠

4.11T計劃或者指導委員會

機構的高級管理層應指定一個計劃或者者指導委員會，來檢查IT的職能及其活

動。委員會的會員應包含來自高級管理層、用戶管理層與IT職能方面的代表。委

員會應實行例會制度，并向高級管理層報告。

4.2IT職能的機構設置

在整個機構機構設置廠職能過程中，高級管理層應確保其權力、關鍵時刻與與用

戶部門的獨立性到必要的程度，以便在執(zhí)行時能夠保證有效的IT解決方案與充分

的進展，并要建立與頂級管理層的伙伴關系，以便在確定與解決IT問題時，能夠

幫助他們增強意識、懂得與技能。

4.3機構績效的評價

應設置一個框架來評價機構的機構，以不斷地滿足目標與變化的環(huán)境。

4.4角色與責任

管理層應確保機構中所有人員都具有并懂得他們在有關信息系統(tǒng)中的角色與責

任。所有的人員應具有足夠的權力來行使分派給他們的角色與責任。角色的設置

應考慮適當的職責分離。沒有那個人能夠操縱一個交易或者事件的所有關鍵環(huán)

節(jié)。每個人都應認識到他們在內部操縱與安全方面具有一定的責任。因此，應機

構并承擔起有規(guī)律的一些活動，以增強這方面的意識與紀律。

4.5質量保證的責任

管理層應為IT職能部門的成員分配質量保證職能履行的責任，并確保適當的質量

保證、系統(tǒng)、操縱與存在于IT職能質量保證小組中的專家們的交流。IT職能內機

構的布置與質量保證小組的職責與規(guī)模應滿足機溝的需求。

4.6邏輯與物理安全的責任

管理層應為信息安全經理正式地分配確保機構信息資產物理與邏輯安全的責任，

并負責向高級管理層報告。最起碼，安全管理職責應建立在整個機構范圍的層次

上，以便能夠處理一個機構內的全部安全問題。假如需要，系統(tǒng)細節(jié)層次上的附

加安全管理責任也應被分配，以應對有關的安全問題。

4.7所有者與管理者

管理層應正式建立一個指定數據所有者與管理者的結構。他們的角色與責任應清

晰地定義。

4.8數據與系統(tǒng)的所有者

管理層應確保所有信息資產（數據與系統(tǒng)）都已指定了所有者，他們對信息資產

的分類與訪問權限具有決策的權利。典型地，系統(tǒng)所有者能夠將日常管理委派給

系統(tǒng)的交付/操作小組，將安全職責委派給安全管理員。然而，所有者仍然要保

留對適當安全尺度保護的責任。

4.9監(jiān)督

高級管理層應執(zhí)行適當的IT職能的監(jiān)督實踐，以保證角色與責任被完全地行使，

評估所有的個人是否有足夠的權力與資源完成他們的角色與職責，并要全面地評

價關鍵的績效指標。

4.10職責分離

高級管理層應實施角色與職責的分離，避免單獨的個人擾亂某個關鍵的過程。管

理層還應確定每個人僅執(zhí)行其工作與職位規(guī)定的各自的職責。特別是下列職責之

間責任分離的應保護。

信息系統(tǒng)使用

數據錄入

計算機操作

網絡管理

系統(tǒng)管理

系統(tǒng)開發(fā)與保護

變更管理

安全管理

安全審計

4.111T人員配備

員工需求評估應有規(guī)律地執(zhí)行，以保證履行IT職能所需足夠數量能勝任的rr員

工。員工需求應至少每年評估一次，或者根據業(yè)務、運作及IT環(huán)境的要緊變化而

執(zhí)行。評估結果應盡快執(zhí)行，以確?，F在與將來員工的充足。

4.12IT員工工作與職位的描述

管理層應確保建立IT員工的職位描述，并有規(guī)律地被更新。這些職位描述應清晰

地描繪權力與責任兩方面，包含有關職位要求的技能與經驗的全面說明，并要適

合在績效評估中使用。

4.13關鍵的IT人員

1T管理層應全面說明與識別關鍵的1T人員。

4.14與員工簽約的政策與程序

為了IT職能部門操縱咨詢與其它簽約個人的活動，確保機構的信息資產處于保護

之中，管理層應全面說明與執(zhí)行有關的政策與程序。

4.15關系

IT管理層應采取必要的行動，在IT職能部門與其它各類有利害關系的內外部IT

職能部門（即用戶、供應商、安全官員、風險管理者）之間，建立并維持一個最

佳的協調、交流、聯絡的結構。

對高級與全面的操縱目標進行審計：

獲得熟悉：

訪談：

首席執(zhí)行官（CEO）

首席運營官（0）0）

首席財務官（CFO）

首席信息官（CIO）

質量保證官

安全官

IT計劃/指導委員會成員、人力資源與高級管理層

獲得：

高級管理層計劃/指導角色與責任

機構目標與長短期計劃

IT目標與長短期計劃

展示TT職能部門與及其它職能部門關系的機構機溝圖

與IT機構與關系有關聯的政策與程序

與質量保證有關聯的政策與程序

用來決定IT人員需求的政策與程序

IT職能部門的機構機構圖

IT職能部門的角色與責任

IT關鍵位置（工作）的描述

狀況報告與計戈V指導委員會會議紀要

評估操縱：

考慮是否：

來自高級管理層的政策聲明與溝通確保IT職能部門的獨立與權威

IT計劃/指導委員會的成員與職能部門已經被定義，責任已經被確定

IT計戈V指導委員會的章程使委員會的目的與機構的目標與長短期計劃與IT的目

標與長短期計劃聯盟

增強確定與解決信息管理問題的意識、懂得與技能的過程到位

政策選擇了滿足正在變化著的目標與環(huán)境的機構機構的評估與修改的要求

決定IT職能部門效果與承諾的過程與績效指標存在

高級管理層要確保角色與責任被執(zhí)行

勾畫機構內所有個人有關信息系統(tǒng)內部操縱與安全的角色與責任的政策存在

增加內部操縱與安全意識與紀律的有規(guī)律的活動存在

質量保證的職能部門與政策存在

質量保證職能部門要充分地獨立于系統(tǒng)開發(fā)人員，并要有執(zhí)行其責任的適當人員

與專門技術

確定時間資源并確保質量保證測試的完成與系統(tǒng)或者者系統(tǒng)變化被執(zhí)行前的審

批的質量保證之內的過程要到位

為了安全官的內部操縱與安全（邏輯與物理兩者）政策與程序的明確表達，管理

層應正式地分配機構范圍內的責任

安全官的職位的角色與責任的熟悉被充分地懂得，并被證明與機構的信息安全政

策一致機構的安全政策清晰地定義每一個信息資產的所有者（如，用戶、管理層

與安全管理員）被要求執(zhí)行的信息安全的責任

含蓋數據與系統(tǒng)所有者所有要緊數據源與系統(tǒng)的政策與程序存在

有規(guī)律地評價并保護數據與系統(tǒng)所有者變化的程序存在

描述監(jiān)督實踐，確保角色與責任被適當地行使，同時所有的人員有足夠的權威與

資源執(zhí)行其角色與責任的政策與程序存在

下列一對職責要分離：

?系統(tǒng)開發(fā)與保護

?系統(tǒng)開發(fā)與運行

?系統(tǒng)開發(fā)/保護與信息安全

?運行與數據操縱

?運行與用戶

?運行與信息安全

IT的人員安置與能力被保護，以確保其具有提供有效技術解決方案的能力

IT職位（工作）描述的評估與再評估的政策與程序存在

關于關鍵的過程，包含系統(tǒng)開發(fā)生命周期活動（需求、設計、開發(fā)、測試）、信

息安全、獲取與容量的計劃編制，適當的角色與責任存在

在實現機構的目標方面，使用適當與有效的關鍵績效指標與/或者關鍵成功因素

測量IT職能部門的結果

操縱咨詢者與其它契約人員活動的IT政策與程序存在，從而確保機構的資產的保

護

適用于已簽約IT服務的適當性的過程，并要與機溝的獲取政策一致

調整、溝通與歸檔1T職能部門高級職員會內外部興趣的過程存在

評定遵從性：

測試：

IT計劃/指導委員會檢查TT職能部門及其活動與解決行動條款

IT職能部門報告層次的適當性

在機構關于為頂級管理層提供合作伙伴關系方面，IT職能部門的位置的有效性

高級IT管理層熟悉用來監(jiān)控、測量與報告IT職能部門績效的過程

用來評估績效的關鍵指標

當實際結果不能滿足目標水平，依照目標水平，決定所采取的校正行動的分析實

際結果的過程

為了來自期望的績效水平的任何重大差異，由管理層所采取的行動

用戶/所有者管理層評估IT職能部門提供滿足用戶/所有者需求的信息技術解決

方案的反應速度與能力

IT管理層明白其角色與責任

涉及IT項目計劃的測試與審批的質量保證

安全人員評價核心操作系統(tǒng)與應用系統(tǒng)

到位或者正在開發(fā)的評估信息安全（邏輯與物理兩者）的安全職能部門報告或者

文檔的適當性

信息安全政策與程序的充分熟悉與一致應用

出席信息安全與內部操縱培訓的人員

關于所有的信息資產，數據與系統(tǒng)所有權被定義

數據與系統(tǒng)所有者審批數據與系統(tǒng)制造的變化

所有的數據與系統(tǒng)具有一個所有者或者者管理人，他們負責操縱數據與系統(tǒng)的水

平

所有數據與系統(tǒng)資產的訪問由資產的所有者審批

與職位（工作）相聯系的權利與監(jiān)督的直線要與在職者的義務相稱

職位（工作）描述清晰地描繪權利與責任兩者

職位（工作）描述清晰地描述所需的業(yè)務、有關的與技術的資格

職位（工作）已經被精確地溝通，并由個人所懂得

IT職能部門的職位（工作）描述包含已經溝通給個人的關鍵績效指標

IT職員的義務與責任要對應于己經公布的職位（工作）描述與機構的機構圖兩者

關鍵職位的職位（工作）描述到位，包含機構關于信息系統(tǒng)、內部操縱與安全的

訓令

職位（工作）描述的精確性要與這些職位在職者的當前責任相比較

遵從IT職能部門內有意的職責分離與職責限制的種類與范圍

IT人員安置的維持能力

作為責任、權利與績效標準的適當性與透明度的基礎，職位（工作）描述的適當

性

合同管理的責任分配給了適當的人員

合同的術語與正常的機構合同的標準相一致，標準契約術語與條件已經由法律的

律師評價與評估，它們的同意意見要獲得

合同包含適當的有關遵從性的條款：法人的安全與內部操縱政策、信息技術標準

過程與/或者結構規(guī)定成功關系所務必的有效果與有效率的協調

證實沒有滿足業(yè)務目標的風險：

執(zhí)行：

依照類似的機構或者者適當的國際標準/公認的行業(yè)最好實踐的機構與關系的基

準

決定由無效的IT計劃/指導委員會所引起的機構方面影響的全面評價

在處理信息系統(tǒng)問題與執(zhí)行技術解決方案方面，測量IT職能部門進步的全面評價

評估機構的機構、人員與個人能力、分配的角色與責任、數據與系統(tǒng)所有權、監(jiān)

督、職責分離等的全面評價

決定在滿足機構需求的有效性方面的質量保證職能部門的全面評價

決定在提供機構范圍內信息安全（邏輯與物理兩者）與信息安全意識培訓有效性

方面的安全職能的詳

細評價

確定這些合同已經由交易雙方適當地執(zhí)行同時遵從機構的標準合同術語的合同

實例的全面評價

確定：

由于IT計劃/指導委員會無效監(jiān)督所引起的IT職能及其活動的弱點

導致IT職能無效果或者無效率的機構機構的縫隙、重疊，等等

不適當的機構機構、缺少的職能、小充足的人員、能力小足、小適當的角色與責

任、數據與系統(tǒng)所有權的混亂、監(jiān)督的問題、缺乏職責分離，等等

確實滿足質量保證要求的正在開發(fā)、修改或者者執(zhí)行的系統(tǒng)

確實滿足安全（或者者是邏輯的，或者者是物理的，或者者是兩者兼顧）需求的

正在開發(fā)、修改或者者執(zhí)行的系統(tǒng)

不能滿足機構的合同要求的合同

IT職能部門與各類各樣其它有興趣的IT職能部門的內外之間的無效協調與溝通

5管理信息技術投資（P05）

操縱的IT過程：

管理IT投資

滿足的業(yè)務需求：

保證資金并操縱財務資源的支出

實現路線：

由業(yè)務決定的定期投資與運作預算的建立與審批

需要考慮的事項：

資金的選擇

清晰的預算所有者

實際支出的操縱

成本的合理性與所有者總成本的意識

收益的合理性與收益實現的責任制

技術與應用軟件的生命周期

要與企業(yè)的業(yè)務戰(zhàn)略相結合

效果的評估

資產管理

信息規(guī)范IT資源

效

人員

p果*

用

應

疫

P率*

術

密

保

*技

施

整

設

完*

用

據

可

數

從

遵

S可靠

5.1年度IT運營預算

高級管理層應執(zhí)行贏編制過程，按照機構的長期與短期計劃與IT的長期與短期

計劃，保證年度IT運作預算的建立與批準。應調查資金的選擇。

5.2成本與收益的監(jiān)控

管理層應建立成本監(jiān)測的過程，將實際支出與預算進行比較。此外，由IT活動衍

生出來的可能存在的收益應被確定與報告。關于費用監(jiān)測來講，實際數據的來源

應以機構的會計系統(tǒng)為基礎，該系統(tǒng)應例行公事地紀錄、處理并報告與IT職能部

門的活動有關的成本。關于收益的監(jiān)測來講，高層次的績效指標應被全面地說明,

有規(guī)率地進行報告并對其適當性進行評價。

5.3成本與收益的合理性

管理操縱應設置到位，以保證IT職能部門交付服務的成本是合理的并符合行業(yè)標

準。由IT活動衍生出來的收益也應做同樣應的分析。

對高級與全面的操縱目標進行審計：

獲得熟悉：

訪談：

首席財務官（CFO）

首席信息官（CIO）

IT計劃/指導委員會成員

IT高級管理層

獲得：

與預算與成本核算相聯系的機構的政策、方法與程序

與預算與成本核算相聯系的IT政策與程序

當前與最近的往常年度IT職能部門的年度運作預算

機構目標與長短期計劃

IT目標與長短期計劃

高級管理層計戈V指導的角色與責任

與差異監(jiān)控與操縱相連接的差異報告及其它溝通

狀況報告與計劃/指導委員會會議紀要

評估操縱：

考慮是否：

IT預算的過程與機構的過程一-致

確保與機構的預算、機構的長短期計劃、IT長短期計劃相一致的年度IT運作預算

的準備與適當審批的

政策與程序的到位

預算過程要與在準備階段起作用的TT職能部門的要緊單位的管理層分享

有規(guī)律地監(jiān)控實際成本，并將其與計劃的成本相比較的政策與程序要到位，實際

的成本是以機構的成

本會計系統(tǒng)為基礎的

保證IT職能部門的服務交付具有合理的成本并遵守行業(yè)成本的政策與程序到位

評定遵從性：

測試：

在證明IT年度運作計劃是合理的方面，IT預算的支持是適當的

IT支出的種類是全面的、適當的并進行了適當的分類

日常記錄、處理與報告與IT職能部門活動相聯系的成本的系統(tǒng)是適當的

成本監(jiān)控過程充分地比較實際的預算

由受影響的用戶組的管理層、IT職能部門與機構的高級管理層所進行的成本/效

益分析被充分地評價

用來監(jiān)控成本的工具是有效的并適當地使用

證實沒有滿足業(yè)務目標的風險：

執(zhí)行：

依照類似的機構或者者適當的國際標準/公認的行業(yè)最好實踐的預算與成本的基

準

最近的過去與當前的年度預算，及與之相對的結果、差異與所采取的校正行動的

全面評價

確定：

沒有按照機構的預算與長短期計劃、IT長短期計劃懂得IT預算

沒有被捕捉到的1T職能部門的實際成本

6溝通管理的目標與方向（P06）

操縱的IT過程：

溝通管理的目標與方向

滿足的業(yè)務需求：

確保用戶知曉并懂得這些目標

實現路線：

建立政策并與用戶團體進行交流；此外，需要建立標準，以便將戰(zhàn)略性選擇轉化

為實際及便于使用的

用戶規(guī)則

需要考慮的事項：

清晰統(tǒng)一的使命

連接業(yè)務目標的技術方針

行為/道德規(guī)范的法規(guī)

質量承諾

安全與內部操縱政策

安全與內部操縱實踐

實例引導

持續(xù)的溝通程序

提供指導與遵從性檢查

信息規(guī)范IT資源

P效果*人員

效率應用

保密技術

完整設施

可用數據

S遵從

可靠

6.1積極的信息操縱環(huán)境

為了給正確的行為提供指導，消除不道德行為的誘惑并嚴肅紀律，管理層應建立

一個全機構范圍內培養(yǎng)積極操縱環(huán)境的框架與認知程序。這些框架與程序應專注

于員工的誠信、倫理價值與能力與管理哲學、操作風格與義務。針對TT的各方面,

包含安全與業(yè)務持續(xù)性計劃，要給予具體的考慮。

6.2管理層在政策方面的責任

關于覆蓋總體目標與方針的政策而言，管理層應對政策的闡明、開發(fā)、聲明、公

布與操縱承擔全部責任。政策適當性的評價應有規(guī)率地進行。撰寫的政策及其程

序的復雜性應總是與機構的規(guī)模與管理風格相一致。

6.3機構政策的溝通

管理層應確保機構政策在機構內的所有層次上被清晰地溝通、懂得并被同意。溝

通過程應由一套使用靈活多變溝通手段的有效計劃所支持。

6.4政策執(zhí)行資源

為了政策的執(zhí)行，為了確保政策的遵循，管理層應對適當的資源做出計劃，以使

它們構筑到并成為運作的一個完整構成部分。管理層還應監(jiān)控政策執(zhí)行的及時

性。

6.5政策的保護

政策應被有規(guī)率地調整，以習慣變化的條件。政策起碼應按年或者者根據運行或

者業(yè)務環(huán)境的重大變化而進行重新評估，評估它們的充分性與適當性，并做必要

的修改。關于定期的評價與標準、政策、方針與程序的審批，管理層應提供一個

框架與過程。

6.6遵從政策、程序與標準

管理層應確保合適的程序設置到位，以判定每個人是否懂得了執(zhí)行的政策與程

序，與這些程序與政策是否被遵循。倫理道德、安全與內部操縱標準的遵從程序

應由最高管理層來建立，并由實例來促進其貫徹執(zhí)行。

6.7質量義務

管理層應定義、形成文件并保護與企業(yè)價值觀與政策相一致的質量價值觀、攻策

與目標，這些質量價值觀、政策與目標應被IT職能部門的所有層次所懂得、執(zhí)行

與維持。

6.8安全與內部操縱框架政策

管理層應對開發(fā)并保護框架的政策付全部責任，這個框架設立機構的總體安全與

內部操縱的方法，以建立并改善IT資源的保護與IT系統(tǒng)的完整。政策應服從總體

業(yè)務目標，目標是：通過預防性措施、及時辨識不規(guī)范行為、限制缺失與及時恢

復，使風險最小化。這種措施應以成木/收益分析為基礎，并應區(qū)分優(yōu)先順序。

另外，管理層應確保這些高層次的安全與內部操縱政策全面說明了目的與目標、

管理結構、機構內的適用范圍、在所有層次上執(zhí)行的責任的定義與分配與對違背

安全與內部操縱政策行為的處罰的定義。應全面說明框架定期再評估的標準，以

對正在變化著的機構、環(huán)境與技術需求做出支持響應。

6.9知識產權

管理層/規(guī)定并執(zhí)行有關自行開發(fā)與簽約開發(fā)軟件的知識產權方面的書面政策。

6.10特定問題政策

措施應設置到位，確保細節(jié)問題政策的建立，以便在從事特殊的活動、應用、系

統(tǒng)或者技術時，歸檔管理決策。

6.11IT安全意識的溝通

應通過一個1T安全意識教程，將IT安全政策溝通給每一個IT用戶，并保證XT1T

安全重要性的完整懂得。

這個教程應傳達這樣一種信息，那就是IT安全將使它的機構、它的所有雇員受益,

每個人對此都負有責任。IT安全意識教程應代表管理層的觀點并被他們所支持。

對高級與全面的操縱目標進行審計：

獲得熟悉：

訪談：

首席執(zhí)行官（CEO）

首席運營官（C00）

首席財務官（CFO）

首席信息官（CTO）

安全官

IT高級管理層

IT計劃/指導委員會成員

獲得：

與管理層的積極操縱框架、認知程序、安全與內部操縱框架、IT質量程序有關的

政策與程序

高級管理層的指導角色與責任

機構的目標與長短期計劃

IT的目標與長短期計劃

狀況報告與計劃/指導委員會會議紀要

溝通程序

評估操縱：

考慮是否：

機構的政策與程序制造了一個框架與程序，給予信息技術以特別的關注，培養(yǎng)一

個積極的操縱環(huán)境，并選擇如下的方面：

?完整

?倫理價值

?行為規(guī)范

?安全與內部操縱

?人員的能力

?管理哲學與運作風格

?由董事會的董事或者相同人物提供的問責制、注意與方向

由例子說明頂級管理層促進積極的操縱環(huán)境

管理層已經同意了明確敘述、開發(fā)、歸檔、公布、操縱并有規(guī)律地評價治理總目

標與方向的政策的責任

提供有關于管理層的積極的操縱環(huán)境的正在進行的溝通與培訓的正式的認知程

序存在

確保適當的與足夠的資源被分配，以便與時的方式執(zhí)行機構的政策的機構政策與

程序存在

確保個人懂得被執(zhí)行的政策與程序，政策與程序被追隨的適當的程序到位

IT政策與程序定義、歸檔并維持一個正式的治理系統(tǒng)與服務質量的哲學政策與目

標，其產生要與機構的哲學、政策與目標相一致

IT管理層確保質量哲學、政策與目標被懂得、執(zhí)行并在IT職能部門的所有層次上

執(zhí)行

選擇了定期評價與重新批準的關鍵標準、方向、有關于信息技術的政策與程序需

求的程序存在

高級管理層已經同意了為總體的安全與內部操縱方法開發(fā)一個框架的全部責任

安全與內部操縱框架歸檔了全面的安全與內部操縱政策、目的與目標、管理結構

機構之內的范圍、責任的分配與遵從安全與內部操縱政策失敗有關的處罰與懲戒

的定義

正式的安全與內部操縱政策確定機構的內部操縱過程，包含諸如下述操縱組件：

?操縱環(huán)境

?風險評估

?操縱活動

?信息與溝通

?監(jiān)控

歸檔選擇特殊活動、應用、系統(tǒng)或者技術的管理決策的發(fā)行的特定政策存在

評定遵從性：

測試：

在培養(yǎng)積極的操縱方間管理層的努力，包含諸如這些關鍵的方面：誠實、倫理價

值、行為規(guī)范、安全

與內部操縱、人員的能力、管理哲學與操作風格、問責制、所提供的關注與方向

雇員已經收到了行為規(guī)范并懂得它

選擇機構的內部操縱環(huán)境的政策的管理層的溝通正在發(fā)生

管理層明確敘述、開發(fā)、歸檔、公布與操縱的包含內部操縱環(huán)境的政策的資源承

諾正在發(fā)生

標準、方向、政策與程序的持續(xù)適當性及其習慣變化條件能力的管理層的有規(guī)律

地評價

管理層的監(jiān)控努力正在確保適當的與足夠的資源被分配以便與時的方式執(zhí)行機

構的政策

管理層關于其內部操縱環(huán)境的有關標準、方向、政策與程序的強制努力正確保貫

穿機構的遵從性

質量哲學、政策與目標正決定遵從性，并與機構的法人與IT職能哲學與政策與程

序相一致

選擇的的IT管理、開發(fā)與運行人員正在決定質量哲學，有關的政策、程序與目標

被懂得，并被IT職能

部門內所有層次所遵循

質量測量過程正在確保機構目標的滿足

選擇的的管理成員在他們的評價責任之下被包含并懂得安全與內部操縱活動的

內容（也就是說，例外報告、調與、比較，等等）

個人的角色、責任與權利在機構的所有層次上被清晰地溝通與懂得

選擇的的部門評估日常監(jiān)控安全與內部操縱活動的程序（也就是說，例外報告、

調與、比較，等等），

為管理層提供反饋的過程正在發(fā)生

選擇的的系統(tǒng)歸檔確定，按照機構的政策與程序，系統(tǒng)特定的管理決策已經被歸

檔與批準

選擇的的系統(tǒng)歸檔確定，選擇特定活動、應用系統(tǒng)或者技術的管理決策已經由高

級管理層簽署

證實沒有滿足業(yè)務目標的風險：

執(zhí)行：

依照類似的機構或者者適當的國際標準/公認的行業(yè)最好實踐的管理的信息操縱

框架與認知程序的基準

與項目有關的、以成本/效益分析為基礎決定項目優(yōu)先順序與審批的、被批準的

安全與內部操縱實例

的全面評價

確定：

開始懷疑管理層在貫穿機構范圍內培養(yǎng)積極的內部操縱環(huán)境承諾的虛弱的操縱

框架

選擇機構的內部操縱環(huán)境，有效地溝通其政策的管理失敗

被分配用來明確敘述、開發(fā)、歸檔、公布與操縱的包含內部操縱環(huán)境的政策的資

源的缺乏

不是最近的標準、方向、政策與程序

確保標準、方向、政策與程序貫穿機構之內遵守的不充分的管理遵從監(jiān)控

1T職能部門在其質量或者其有效定義、歸檔、維持并溝通質量哲學、政策與目標

能力承諾方面的不足

在機構的與/或者IT職能部門的安全與內部操縱框架方面的弱點

缺少所需要的選擇特定活動、應用或者技術的特定問題的政策

7管理人力資源（P07）

操縱的IT過程：

管理人力資源

滿足的業(yè)務需求：

獲取與維持一個被激發(fā)與有能力的工作隊伍，最大化個人對IT過程的奉獻

實現路線：

在員工的招募、訓練、檢查、報酬、培訓、評價、職位升降與解雇中，表達健全、

公正與透明的人事管理實踐

需要考慮的事項：

招募與升職

培訓與任職要求

意識的建立

交叉培訓與輪崗

雇用、檢查與解雇程序

目標與可測量績效的評估

技術與市場變化的響應

內部與外部資源的適當平衡

關鍵職位的繼任計劃

信息規(guī)范IT資源

P效果*人員

P效率應用

保密技術

完整設施

可用數據

遵從

可靠

7.1人員招募與升職

在人員的招募與升職實踐中，管理層應執(zhí)行并有規(guī)律地評估所要求的過程，以確

保人員的招募與升職實踐根據以的標準為基礎，并考慮了教育背景、經驗與責任。

這些過程應符合整個機構在這些方面的政策與程序，比如雇用、方向、培訓、評

估、商討、晉升、報酬與訓練等程序。管理層應確保知識與技能需求被不斷地評

估，同時要保證機構能夠獲得一個到機構目標所需要的相匹配技能的工作隊

伍。

7.2人員的任職資格

TT管理層應有規(guī)律地查驗執(zhí)行具體任務的職員，看看他們在適當的教育、培訓與

（或者）經歷的方面，是否具有所需要的資格。管理層應鼓勵它的職員獲得專業(yè)

機構的認證資格。

7.3角色與責任

管理層應清麻地說明職員的角色與責任，包含遵守管理政策與程序、道德規(guī)范與

職業(yè)慣例的規(guī)定的要求。雇傭的期限與條件應強調雇員關于信息安全與內部操縱

的責任。

7.4人員培訓

管理層應確保雇員得到雇用方向與在職的培訓，以維持他們的知識、技能、能力

與安全意識到所需的有效完成工作的水平。引導有效地提高員工的技術與管理技

能水平的教育與培訓程序應被有規(guī)律地檢查。

7.5交叉培訓或者人員后備

管理層應提供充足的交叉培訓或者確認的關鍵人員的備份，以防不測。管理層應

對所有關鍵的職能與崗位建立持續(xù)性計劃，應要求敏感崗位的人員休息一段連續(xù)

的足夠長度的假期，以鍛煉機構應付關鍵人員的效效、預防與探測欺詐行為的能

力。

7.6人員的調查程序

IT管理層應確保他們的員工在被雇用、調離或者升職之前，根據他們所在崗位的

敏感性，進行安全調查程序。一個沒有同意過這樣安全調查的新雇員，不應安排

在敏感的崗位，直到他同意了安全調查。

7.7雇員工作績效的評估

管理層應執(zhí)行一個雇員績效評估流程，借助有效的獎勵機制，加強員工關于個人

的業(yè)績與機構的成功之間的關系的認識。評估應根據已經建立的標準與具體的工

作職責有規(guī)律地執(zhí)行。不管何時，只要是適當的，雇員應得到業(yè)績方面的忠告或

者指導。

7.8工作的變更與終止

關于工作的變化與終止，管理層應采取適當與及時的行動，以便內部操縱與安全

不被這樣的事件削弱。

對高級與全面的操縱目標進行審計：

獲得熟悉：

訪談：

人力資源官與選擇的人員

安全官

選擇的安全人員

IT經理

IT人力資源官

選擇的IT管理層

選擇的IT人員

選擇的與IT職能敏感位置有關的人員

獲得：

與人力資源管理有關的政策與程序

職位描述、績效評估形式、培訓與進展形式

選擇職位的人員文件與人員

評估操縱：

考慮是否：

使用標準招募與選擇人員，以填補公開的職位

人員職位所需資格的說明書考慮適用的專業(yè)部門的有關需求

管理層與雇員同意工作能力過程

培訓程序要與機構的已歸檔的關于教育與包含安全問題的總體認識的最小需求

相一致

管理層應承擔個人培訓與職業(yè)進展的義務

技術與管理技能的縫隙被確定，針對這些縫隙，采取適當的行動

關于關鍵的工作職能，正在進行的交叉培訓與人員的備份發(fā)生

強制的不間斷的假期政策發(fā)生

機構的安全檢查過程是適當的

以一套標準的職位能力文件為基礎，進行雇員的評估，評估以定期的方式舉行

工作變化與終止過程確保機構資源的保護

人力資源管理政策與程序與適用的法律與規(guī)章一致

評定遵從性：

測試：

招募與/或者晉升行動、選擇標準反映職位需求的目標與關聯

關于他們的工作職責或者者責任區(qū)域來講，人員具有運作的足夠的知識

職位（工作）描述存在，被評價并被保持是最新的

個人文件包含雇員的機構全部教育與總體認識程序的熟悉的承認書

關于分配關鍵職能的適當的人員，正在進行的培訓與教育發(fā)生

TT人員已經收到安全程序與技術方面的適當培訓

IT管理層與職員明白并懂得機構的政策與程序

安全檢查調查的程序與治理隱私的適用法律相一致

業(yè)務目標的知識按照人分配給關鍵的IT職能，包含內部操縱哲學、信息系統(tǒng)安全

與操縱概念

證實沒有滿足業(yè)務目標的風險：

執(zhí)行：

依照類似的機構或者者適當的國際標準/公認的行業(yè)最好實踐的人力資源管理活

動的基準

IT人力資源管理活動的全面評價

確定：

來自潛在/實際的工作候選人的缺陷/委屈的原因

招募、調任、晉升與終止行動中與下述相比的差異：

?沒有跟隨政策與程序

?行動沒有由適當的管理層所簽署

?行動沒有以工作說明書與人員資格為基礎人員：

?資格不適當

?培訓與進展的機遇與能力的縫隙聯系的不緊

?缺少工作績效的評估，或者者不能支持所占據的職位與/或者正被執(zhí)行的任務

?與雇傭有關聯的安全調查沒能跟進

?定期的安全調查沒能執(zhí)行

不充分的培訓程序與職員進展活動

不充分的交叉培訓與關鍵人員的備份

沒有簽字的安全政策承認書

分配給培訓與職員進展的不適當的預算與時間

職員執(zhí)行關鍵的職能，沒有指明假期與渡假天的人員時間報告

8確保遵從外部要求（P08）

操縱的IT過程：

確保遵從外部要求

滿足的業(yè)務需求：

履行法律的、法規(guī)的、契約的義務

實現路線：

識別與分析影響IT的外部要求，并采取適當的措施遵從它們

需要考慮的事項：

法律、規(guī)章與合同

追蹤法律與法規(guī)的進展

對遵從性有規(guī)律的監(jiān)測

安全與人類環(huán)境改造學

隱私

知識產權

信息規(guī)范

效

P果人員

*

效率應用

*

保密技術

完整設施

用數據

可*

遵

P從

可

S靠

價

求的評

外部要

8.1

定機

調查確

持續(xù)的

，通過

程序

動的

些活

調這

與協

檢查

要求

外部

保護

立并

應建

機構

求應

門的要

外部部

與其它

、政府

法律

縱的

與操

實踐

關IT

求。有

部要

的外

適用

構可

含