集团企业IT治理内容工具与实例教程分析.pptVIP

实现IT治理的工具/方法 信息系统审计的诞生 1 在美国、日本、英国、加拿大等发达国家，信息系统审计已经发展到相当程度，信息系统审计的理念也已深入人心。 从国外ISA发展历史来看，它是与企业信息化的过程紧密联系的，是企业信息化的必然要求。 1954 60年代 70年代 80年代 90年代 信息的收集、处理、传递和存储都是由人来完成 计算机出现之前 对计算机有初步认识 计算机应用蔓延 信息系统在企业普及 集成信息系统，MRP，MRPII 应用在财务，库存，统计方面 会计电算化出现 计算机欺诈舞弊事件出现 财务数据的采集是由整个信息系统实时完成 信息系统网络化， 大型化 电子数据处理审计 1969年，电子数据处理审计师协会（EDPAA）在美国洛杉矾成立 完全手工审计 手工审计 + 纸质文档审计 开始重视对信息系统的审计 信息系统审计师成为职业 1994年，EDPAA更名为信息系统审计与控制协会（ISACA） 信息系统成为企业重要资产 如何确保网络平台上的信息系统的安全、可靠和有效变得越来越重要。 信息系统审计的诞生 1 信息系统审计 信息系统/技术 信息技术作为企业发展的“银弹”，投资额度不断加大，投资失败的风险日渐成了企业难以承受之重 信息系统成为企业运作，甚至是赖以生存的基础，其安全、稳定和可靠性需要得以保障 审计 审计面临的环境发生变化，信息系统是很多被审单位内部管理与控制的关键工具，审计的内容和重点发生变化。 ISA审计成为控制审计风险的必然要求 （假电子数据真审？） “逐步开展对关系国计民生的重大行业、部门的联网审计和信息系统审计，全面提高计算机应用水平” + 引自：《审计署2006至2010年审计工作发展规划》 信息系统审计是我国审计发展的新路径 1 信息化时代，我国的信息系统审计具备极大的需求和迫切性： 信息系统审计被列入“金审工程”二期的试点范围（2007.5，审计署信息系统审计研讨会） 信息系统审计成为审计署2008年度重大研究课题之一。 审计署信息系统审计培训开班（2008.5.28） 审计署提出要基本形成符合中国国情的信息系统审计的理论和方法。 （中国审计报） 部分审计机关将2008年作为信息系统审计的探索之年。（中国审计报） 相关部门正在积极酝酿并研究制定信息系统审计准则和指南 但是“我们的信息系统审计仍处于探索阶段”（石爱中语） COSO框架 COSO—ERM框架和1992年的COSO报告一样，也主要在“控制活动”和“信息沟通”中对IT控制做出相关规定。 但是因为时隔12年，信息技术已经有翻天覆地的变化，所以该框架在技术上对IT控制（包括一般控制和应用控制）作了更为广泛、科学的描述。 　控制活动，指为确保风险管理策略有效执行而制定的制度和程序，包括核准、授权、验证、调整、复核、定期盘点、记录核对、职能分工、资产保全、绩效考核等。 ? 信息沟通，指产生服务于规划、执行、监督等管理活动的信息并适时向使用者提供的过程。 COBIT ITIL 服务支持流程 事故管理 问题管理 变更管理 版本管理 配置管理 服务提供流程 可用性管理 能力管理 财务管理 连续性管理 服务水平管理 ITIL流程间的关联 ISO27001标准 ISO27001标准不是一个技术性的信息安全操作手册，而一个通用的信息安全管理指南。它提出 了11个安全要素，39个控制目标和133种控制措施。ISO17799中的11个要素分别是： ◆ 安全策略（Security policy）； ◆ 信息安全组织（Organization of information security）； ◆ 资产管理（Asset management）； ◆ 人力资源安全 （Human resource security）； ◆ 物理和环境安全（Physical and environmental security）； ◆ 通信和操作管理（Communication and operation management）； ◆ 访问控制（Access control）； ◆ 信息系统获取、开发和维护（Information systems acquisition, development and maintenance）； ◆ 信息安全事件管理（Information security incide