3-COBIT专题.ppt

金融企业IT审计实务培训 —— 3. 基于COBIT的IT审计方法 杨洋 （yycisa@263.net） 主讲人简介 杨洋 管理学博士（信息管理与信息安全方向，同济大学） 会计学学士、硕士（东北财经大学） 高级程序员（1998），CISA（2002）, SCJP，IBM电子商务咨询师，IBM WSAD Developer 目前为同济大学电信学院博士后，主要研究领域：基于移动计算的安全接入关键技术 一、 COBIT概述 1. Cobit的产生与发展 2. 核心目标与思想 3. 与其他相关体系的关系 4. 应用范围和适用群体 5. 内容与结构 1. Cobit的产生与发展 COBIT(Control Objectives for Information and Related Technology) 是由信息系统审计和控制基金会ISACF（Information Systems Audit and Control Foundation）最早于1996年制定的IT治理模型。 早期第1、2版以控制目标和审计指南为主。 2000年推出第3版，重点突出了“管理指南”。 2006年推出第4版，精简了控制目标，并完善了管理指南 2007年推出第4.1版，将审计指南改为“签证指南”，并提出ValueIT等理念，与IT治理联系更紧密。 2. 核心目标与思想 COBIT的制订宗旨是跨越业务控制（business control）和IT控制之间的鸿沟，从而建立一个面向业务目标的IT控制框架。 COBIT是IT治理的模型 COBIT是基于过程的模型 2. 核心目标与思想 2. 核心目标与思想 2. 核心目标与思想 什么原因会导致问题？ 技术漏洞 业务流程漏洞 管理控制漏洞 怎样才能避免问题的发生？ 从对技术、业务、管理控制等角度进行统一的全方位防范 把所有人调动起来！ COBIT就是这样一个能够把所有IT与非IT部门结合起来协调开展IT治理活动的模型框架！ 3. 与其他相关体系的关系 与IT审计的关系 COBIT包含而不限于IT审计的模块（Audit Guidline），但并非是针对IT审计的专门论述 与BS7799、ITIL的关系 侧重不同。COBIT主要侧重于处理企业治理中不同方面的需求，使信息管理、控制目标、IT审计等围绕信息系统管理控制的工作能够在一个统一的平台上协调开展。 详见本课程后续章节讨论 4. 应用范围和适用群体 管理人员 “是否应该进行IT投资？”、“如何进行IT投资” “IT投资是否得到了期望的回报？” “业务需求是否得到了IT的支持和满足？” 用户（业务过程所有者） “IT的安全和服务是否和怎样得到足够的保证？” “信息系统是否和怎样有效的运行？” IT审计师 “怎样对具体企业制定审计计划？” “对具体IT过程要审计哪些项目？” “怎样使将审计过程与用户日常系统控制统一协调？” 5. 内容与结构 5. 内容与结构 5. 内容与结构 第四版（4.1）结构变化： 整合：执行概要、框架、控制目标、管理指南 变更：审计指南?签证指南 新增：IT治理实施指南（Value IT） 保留：ToolKit 二、 控制目标与管理指南导读 1. 域与过程的划分 2. 整体控制目标一览 3. 管理指南的工具和意义 4. 内容选读 1. 域与过程的划分 4个域，34个过程，215个具体控制目标： 计划域组织（PO）：10个过程 获取与实现（AI） ：17个过程 交付与支持（DS）：13个过程 监控与评价（ME）：4个过程 1. 域与过程的划分 2. 整体控制过程一览 P01 定义IT战略计划 P02 定义IT信息架构 P03 确定技术导向 P04 定义IT过程/组织和关系 P05 IT投资管理 P06 传递管理目标和方向 P07 IT人力资源管理 P08 质量管理 P09 IT风险评估及管理 P10 项目管理 2. 整体控制过程一览 AI1 识别自动化解决方案 AI2 获取并维护应用软件 AI3 获取并维护技术基础设施 AI4 保障运营和使用 AI5 获取IT资源 AI6 变革管理 AI7 安装/授权解决方案和变更 2. 整体控制过程一览 DS1 定义和管理服务水平 DS2 管理第三方服务 DS3 性能管理和容量管理 DS4 确保服务的连续性 DS5 确保系统安全 DS6 确定并分配成本 DS7 教育和培训用户 DS8 服务台和紧急事件管理 DS9 配置管理 DS10 问题管理 DS11 数据管理 DS12 物理环境管理 DS13 运营管理 2. 整体控制过程一览 ME1 监控和评价IT绩效 ME2 监控和评价内部控制 ME3 确保与法律的符合性 ME4 提供IT治理 3. 管理指南的工具和意义 关键成功因素（CSF）