- 1、本文档共60页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
公听会-B2.ppt
COBIT資訊及相關技術的管理、控制與稽核 報告人:徐敏玲 致遠會計師事務所 90年12月 大綱 COBIT來源簡介 COBIT 架構及內容簡介 COBIT來源簡介 1992年:ISACF (Information System Audit and Control Foundation)發起,參閱全球不同國家、政府、標準組織訂定之26份文件後,植基於其中之18份文件,分於歐洲(Free University of Amsterdam)、美國(California Polytechnic University)與澳洲(University of New South Wales)研擬COBIT,同時籌組COBIT指導委員會(Steering Committee)。 1996年:COBIT指導委員會公佈COBIT第一版。 1998年:COBIT指導委員會公佈COBIT第二版,將第一版之32個高階控制目標(High Level Control Objectives)擴充成34個。 2000年:COBIT指導委員會公佈COBIT第三版。 COBIT架構 COBIT架構 COBIT架構原則 企業控制模組(Business Control Model):COSO Report(Committee of Sponsoring Organization of Treadway Commission) IT控制模組:例如ISO/IEC 17799。 COBIT四大階段 規劃與組織 取得與建置 交付與支援 監督 規劃與組織 PO1. 訂定資訊策略性計畫 PO2. 制定資訊架構 PO3. 決定技術方向 PO4. 訂定資訊技術的組織與關係 PO5. 管理資訊技術投資 PO6. 溝通管理目的與方向 PO7. 人力資源管理 PO8. 確定符合外部要求 PO9. 風險評估 PO10.專案管理 PO11.品質管理 規劃與組織 PO1. 訂定資訊策略性計畫 資訊技術是組織長期與短期計劃的一部份 長期資訊計劃 長期資訊規劃-方法與結構 長期資訊計劃變更 資訊部門短期規劃 資訊計劃的溝通協調 資訊計劃的監控及評估 現行系統的評估 PO2.制定資訊架構 資訊架構模組 公司制定資訊辭典及資料語法規則 資料分類條件 存取安全層級 PO3.決定技術方向 技術基礎規劃 監控未來趨勢與法規 技術基礎的備援計劃 軟硬體取得計劃 技術標準 PO4.訂定資訊技術的組織與關係 資訊部門規劃/指導委員會 資訊部門之組織配置 組織的成績檢視 角色和責任 品質保證的責任 邏輯和實體安全的責任 所有權和監察人 資料和系統所有權 監督 責職劃分 資訊部門人員 資訊部門人員的工作和職位說明 主要關鍵資訊部門人員 人員得約聘政策及程序 關係 PO5.管理資訊技術投資 資訊部沒年度營運預算 成本與效益監控 成本與效益形成 PO6.溝通管理目的與方向 積極的資訊控制環境 政策中管理階層的責任 組織的溝通政策 政策執行資源 政策維護 遵循政策、程序與標準 品質保證 安全與內部控制架構政策 智慧財產權 特殊政策 資訊安全意識的溝通 PO7.人力資源管理 人員徵募與晉升制度 人員資格限制 角色與責任 人員教育訓練 輪調訓練或員工互相支援 人員清查程序 員工績效考核 轉調及終止合約 PO8.確保符合外部要求 外部要求覆核 符合外部要求的方法及程序 符合安全設施及人性化環境 隱私權、智慧財產權及資料流程 電子商務 符合保險合約 PO9.風險評估 營運風險評估 風險評估方法 偵測風險 風險測量 風險因應計劃 風險承擔 防護裝置的選擇 風險評估委員會 PO10.專案管理 專案管理架構 使用者部門參與專案策劃 專案小組成員及職責 專案定義 專案核准 專案階段核准 專案主計劃 系統品管檢核計劃 規劃檢核方法 正式的專案風險管理 測試計劃 訓練計劃 上線後覆核計劃 PO11.品質管理 一般品質管理 品質審核方法 品質審核計劃 品質審核檢查與資訊部門之標準及程序一致 系統開發生命週期循環方法 主要技術變動後的系統開發生命週期循環方法 系統開發生命週期循環方法的更新 協調與溝通 資訊技術硬體架構的採購與維護 PO11.品質管理(續) 委外導入人員之聯繫 程序書面標準 程序測試標準 系統測試標準 平行/先導測試 系統測試書面記錄 品質審核評估與研發標準一致 資訊技術目標達成的品質審核檢驗 品質衡量 品質審核檢視報告 取得與建置 AI1.尋找自動化的解決方案 AI2.取得及維護應用軟體 AI3.取得與維護技術架構 AI4.開發及維護程序 AI5.安裝及認可系統 AI6.變更管理 取得與建置 AI1.尋找自動化的解決方案 定義資訊需求 制定替代方案 制定獲得策略 第三者服務提供之需求
文档评论(0)