第二章.  IT治理和管理

1.  IT治理、管理、安全和控制框架及标准、指南和实践

IT治理是董事会和执行管理层的职责。

IT治理的关键因素:保持与业务的战略一致,引导业务价值的实现。

IT治理关注的问题:IT向业务交付价值;IT风险得到管理。

IT治理的五个关键域:

2.  IT战略及IT组织架构、角色和职责

注:IT指导委员会主要职责是:对重要的IT项目进行审查,而不应当涉及日常运营。审查IT部 门的短期计划(几个月)和长期计划(1-2年),而战略计划(3-5年)则由IT战略委员会起草,董事会审批。

职责分离是预防和阻止欺诈及恶意行为的重要方式。补偿控制是为了降低职责不能恰当分离所带来的既有或潜在控制风险的内部控制。职责分离 的目标是通过识别补偿性控制来降低或消除业务风险。

补偿性控制:

l    审计轨迹(AuditTrail):可追踪交易流,能确定谁发起交易、发起时间、数据类型、字段、更新了哪些文件等。

l    核对(Reconciliation):增加了系统处理正确性及数据平衡的可信度水平。

l    例外报告(Exception Reporting):需要确保例外情况能及时得到解决。

l    交易日志(TransactionLog):为所有已处理的交易保留一份记录。

l    监督性审核(SupervisoryReview):可通过现场观察、访谈或远程执行。

l    独立性审核(IndependentReview):是对错误或故意违反既定流程的补偿控制,可帮助检测错误或违规情况。

IT政策 自顶向下:确保了各级政策的一致性自底向上:更具成本效益,基于风险评估的结果,但容易造成政策间的不一致和相互抵触

信息安全政策必须在控制水平和生产效率之间进行平衡,也即,控制成本绝不能超过控制所带来的预期收益。

可接受使用政策(AUPAcceptableUse Policy

说明公司的IT资源如何使用的有效的指南或规则。说明了允许用户使用IT系统做什么,不 能做什么,违反规则时应受到何种处罚。

3.  质量管理体系与成熟度模型

信息安全治理成熟度模型

能力等级                       特点

4.  IT资源投资与分配实务

价值IT框架的三个领域:

l    价值治理(VG,Value Government)

l    投资搭配管理(PM,)

l    投资管理(IM,InvestmentManagement)

5.  人力资源管理

交叉培训:培训一个以上的人员从事一项特定作业或程序。

优点                                                                            缺点

降低了对某一个员工的依赖程度,并可作为继任

计划的一部分,保证持续运营。

员工知晓系统全部内容,可能会带来风险和问

题。

强制休假:减少了进行不正当行为或违法行为的机会。

离职:分自愿和非自愿离职

l    删除和撤销帐号和口令,防止逻辑访问

l    收回所有钥匙、ID卡和证件,防止物理访问

l    归还公司财产

l    其他事项

6.  IT供应商选择、合同管理、外包管理及第三方监督

IS职能的类型:

l    现场:现场工作

l    离场/近岸:同一地理区域的不同地点远程工作

l    离岸:不同的地理区域远程工作

IS职能的交付方式:

l    内包

l    外包

l    混合

IT外包目标:利用供应商的核心竞争优势,实现持续有效的业务流程和服务改善。注意,组 织的核心业务不能外包。

实施外包的原因:

l    组织需要专注于自身的核心业务

l    迫于外包工作的边际利润的压力

l    节约成本的要求

l    组织架构灵活性的要求

外包的优缺点、风险及相关控制

优点                                                     缺点及业务风险                                   风险控制

l      外包商通过重用,具有规模

经济效应

l      外包商能投入更多时间,提 高效率

l      外包商具有更多的问题处理 经验和技术

l      合同协议的约束可保证质量

l      外包商很少有项目失控和项 目延期的情况

l      成本可能会超过预期

l      丧失内部人员获得经验的机 会

l      丧失对外包项目的控制

l      外包商可能会出现业务故障

l      缺乏对法律法规的遵循

l      外包商缺乏对客户的忠诚度

l      项目失败可能会危及双方声 誉

l      制定可衡量的、伙伴式利

益共享目标和回报机制

l      使用多个外包商,进行竞 争

l      定期对项目进行审查

l      组建跨职能的项目管理团 队

l      适当考虑可合理预见的多

种偶然因素

服务水平协议(SLAService LevelAgreement

规定了供应商服务及支持事项应达到的水平,对质量目标及双方未来的合作非常重要。

接受外包的基本原则:虽然将服务交付转移,但其责任仍属于组织内的管理层,必须确保对风险的适当管理和供应商持续的价值交付。

云计算服务模式

服务模式

考虑因素

基础架构即服务(IaaS)

如果云服务商的服务中断,如何将影响降到最低?

平台即服务(PaaS)

可用性、机密性

发生安全违规事件时的隐私和法律责任 数据所有权

软件即服务(SaaS)

应用程序在哪里?

应用程序归谁所有?

云计算部署模式

部署模式

考虑因素

私有云

不具备公共云的扩展性和灵活性

社区云

数据可能会与竞争对手的数据存储在一起

公共云

数据可能存储在未知位置,可能无法轻松检索

混合云

综合上述各种风险

7.  企业风险管理

风险管理流程的三个域

风险管理的步骤:

(1)    识别资产,对需要保护的信息资源或资产进行识别和分级。

(2)    评估与信息资源相关的威胁和脆弱性,以及可能性。

(3)    量化潜在的威胁的概率和对业务的影响。

(4)    评价现有控制,或设计新的控制来降低风险至可接受水平。

脆弱性、威胁、风险及控制之间的关系

定量的风险分析

•     公式:

–    资产价值(AV)×暴露因子(EF)=单一损失期望(SLE)

–    单一损失期望(SLE)×年发生比率(ARO)=年度损失期望(ALE) 定性的风险分析

操作方法可以多种多样,包括小组讨论(例如  Delphi 方法)、检查列表(Checklist)、问卷

(Questionnaire)、人员访谈(Interview)、调查(Survey)等

定量与定性风险分析的缺点

定量分析

定性分析

l      计算更加复杂。管理层能够理解是怎么计算出来的吗?

l      没有可供利用的自动化工具,这个过程完全需要手动完成

l      需要作大量基础性的工作,以收集与环境相关的详细信息

l      没有相应的标准。每个供应商解释其评估过程和结果的方式 各不相同

l      评估方法及结果相对主观

l      无法为成本/收益分析建立货币价值

l      使用主观衡量很难跟踪风险管理目标

l      没有相应的标准。每个供应商解释其 评估过程和结果的方式各不相同

8.  IT绩效监督和报告

IT平衡记分卡(ITBSCITBalanceScoreCard

目标是建立管理层向董事会的报告途径,就IT战略目标在关键利益相关方之间达成一致,证实IT的效果与价值,沟通IT绩效、风险和能力。

IT平衡记分卡的四个关键要素:

业务连续性计划的关键技术指标

l    恢复时间目标(RecoveryTimeObjectives,RTO):在系统的不可用性严重影响到机构之前所允许消耗的最长时间。

l    恢复点目标(Recovery PointObjectives,RPO):数据必须被恢复以便继续进行处理的点。也就是所允许的最大数据损失量。

系统的重要性分析

重要性分类

描述

关键的(Critical)

l      除非同样的系统替代,否则这些功能不再起作用

l      职能系统方式,不能人工方式替代

l      停机成本很高,必须立即恢复(几小时到一天)

重要的(Vital)

l      停机后可以由人工代替,但只能维持一段时间

l      可以忍受在一定的时间范围内恢复系统(1-5天)

敏感的(Sensitive)

l      可以由人工代替,但流程较困难,需要额外人手

l      允许在较长时间内恢复系统(一周以上)

不敏感的(Nonsensitive)

l      停机对流程没什么影响

BCP计划的开发

用户和管理层的参与是BCP计划成功的重要因素,是识别关键资源的基础。三个部门必须在开发BCP计划时参与进来:

l    服务支持部门:检测灾难信号,宣告灾难

l    业务运行部门:评估可能遭受的影响

l    信息处理部门:执行恢复

BCP计划的测试

l    纸上演练:所有相关者都参与,讨论服务中断后的后果及应对策略,在预备性演练之前

l    预备性演练:模拟灾难发生,在局部范围(比如分支机构)演练所涉及的BCP资源

l    全面演练:完全关闭业务运行,实施全面演练

CISA 信息系统审计知识点 [第二章. IT治理和管理 ]的更多相关文章

  1. CISA 信息系统审计知识点 [第一章. 信息系统审计过程 ]

    对有志成为审计师或者IT管理者de朋友, 第一章. 信息系统审计过程 1. IS 审计和保障标准.指南.工具.职业道德规范 信息技术保证框架(ITAF,Information Technology A ...

  2. Java 螺纹第三版 第一章Thread介绍、 第二章Thread创建和管理学习笔记

    第一章 Thread导论 为何要用Thread ? 非堵塞I/O      I/O多路技术      轮询(polling)      信号 警告(Alarm)和定时器(Timer) 独立的任务(Ta ...

  3. 第二章--MYSQL体系结构和管理

    体系结构 MySQL C/S模型 Server : mysqld Client : socket:仅本地连接使用 tcp/ip:应用连接使用(远程和本地) #TCP/IP方式(远程.本地) mysql ...

  4. 《零压力学Python》 之 第二章知识点归纳

    第二章(数字)知识点归纳 要生成非常大的数字,最简单的办法是使用幂运算符,它由两个星号( ** )组成. 如: 在Python中,整数是绝对精确的,这意味着不管它多大,加上1后都将得到一个新的值.你将 ...

  5. javascript高级程序设计第二章知识点提炼

    这是我整理的javascript高级程序设计第二章的脑图,内容也是非常浅显与简单.希望您看了我的博客能够给我一些意见或者建议.

  6. PMP备考指南之第二章:项目运作环境

    本文已同步至 GitHub/Gitee/公众号,感兴趣的同学帮忙点波关注~ 第二章:项目运作环境 1. 事业环境因素.组织过程资产 事业环境因素 Enterprise Environmental Fa ...

  7. Stealth视频教程学习笔记(第二章)

    Stealth视频教程学习笔记(第二章) 本文是对Unity官方视频教程Stealth的学习笔记.在此之前,本人整理了Stealth视频的英文字幕,并放到了优酷上.本文将分别对各个视频进行学习总结,提 ...

  8. 统计学习导论:基于R应用——第二章习题

    目前在看统计学习导论:基于R应用,觉得这本书非常适合入门,打算把课后习题全部做一遍,记录在此博客中. 第二章习题 1. (a) 当样本量n非常大,预测变量数p很小时,这样容易欠拟合,所以一个光滑度更高 ...

  9. 第二章排错的工具:调试器Windbg(上)

    感谢博主 http://book.51cto.com/art/200711/59731.htm <Windows用户态程序高效排错>第二章主要介绍用户态调试相关的知识和工具.本文主要讲了排 ...

随机推荐

  1. C#通过反射获取上层调用方法信息

    System.Diagnostics.StackFrame frame = ); System.Reflection.MethodBase method = frame.GetMethod(); st ...

  2. [ACM_模拟] The Willy Memorial Program (poj 1073 ,联通水管注水模拟)

    Description Willy the spider used to live in the chemistry laboratory of Dr. Petro. He used to wande ...

  3. servlet servlet请求与响应

    request 客户端浏览器发出的请求被封装成一个HttpServletRequest对象.所有的信息包括请求的地址,请求的参数,提交的数据,上传的文件,客户端的Ip地址甚至客户端操作系统都包含在Ht ...

  4. 将Eclipse代码导入到AndroidStudio的两种方式

    版权声明: 欢迎转载,但请保留文章原始出处 作者:GavinCT 出处:http://www.cnblogs.com/ct2011/p/4183553.html 说到使用AndroidStudio,除 ...

  5. [读书笔记]C#学习笔记六: C#3.0Lambda表达式及Linq解析

    前言 最早使用到Lambda表达式是因为一个需求:如果一个数组是:int[] s = new int[]{1,3,5,9,14,16,22};例如只想要这个数组中小于15的元素然后重新组装成一个数组或 ...

  6. Delphi的VCL组件库

    Visual Component Library的缩写(可视组件库)VCL是Visual Component Library的缩写,即可视组件库,它是Delphi,C++Builder等编程语言的基本 ...

  7. jsp、js分页功能的简单总结

    一.概述 首先,我们要明确为何需要分页技术,主要原因有以下: 1.分页可以提高客户体验度,适当地选择合适的数据条数,让页面显得更有条理,使得用户体验感良好,避免过多数据的冗余. 2.提高性能的需要.分 ...

  8. How Tomcat works — 六、tomcat处理请求

    tomcat已经启动完成了,那么是怎么处理请求的呢?怎么到了我们所写的servlet的呢? 目录 Http11ConnectionHandler Http11Processor CoyoteAdapt ...

  9. Leetcode-462 Minimum Moves to Equal Array Elements II

    #462.   Minimum Moves to Equal Array Elements II Given a non-empty integer array, find the minimum n ...

  10. lamper技能树