COBIT: 國際資訊安全審計規範簡介

來源:互聯網
上載者:User
 
 

COBIT的全名是Control Objectives for Information and related Technology,是一個由美國負責資訊技術安全 與控制參考架構的組織ISACA(Information Systems Audit and Control Association)在1996年所公布的業界標準,目前已經更新至第三版,是國際上公認的最先進、最權威的安全與資訊技術管理和控制的標準。COBIT歸納了世界上18項相關的來源,形成了一套專供企業經營者、使用者、IT專家、MIS審計員與安控人員來強化和評估IT管理和控制的規範。

COBIT架構的主要目的是為提供業界提供關於IT控制的一個清楚的政策和發展的良好的典範,這個架構共有34個IT的程式,分成四個領域:PO(Planning & Organization)、AI(Acquisition & Implementation)、DS(Delivery and Support)、和Monitoring,所有的程式中包含了302個控制目標,全都提供了最佳的施行指導。

以下是分類介紹:

1. 管理指導方針(Management Guidelines):包括了成熟度等級模型(Maturity Models)來協助決定每一個控制階段和期待的水準是否符合產業的規範;關鍵成功因素法(Critical Success Factors)用來辨認IT程式中達成控制最重要的活動;關鍵目標指標法(Key Goal Indicators)來定義績效的目標水準;而關鍵效能指標法(Key Performance Indicators)則用來測量IT控制的程式是否能達到目標。這些指導方針都是為了要確保企業能成功及有效地整合企業商務程序與資訊系統。

2. 管理者摘要(Executive Summary):健全的企業決策在於即時、恰當和簡要的資訊,這裡提供了讓分秒必爭的資深管理階層瞭解COBIT關鍵概念和原則的綜述及讓他們更深入瞭解COBIT細節的四個領域及34個相關IT程式的概要架構。

3. 架構(Framework):一個成功的組織是建構在一個資料和知識的堅固架構上,所以在這個部分詳細描述了COBIT的34個IT高層次的控制目標,並且指出了企業對資訊標準的要求(效果、效率、隱私性、真確性、可用性、承諾、可靠性)和IT資源(人力、應用、技術、能力和資料)上的需求是如何緊密的融入各個控制目標中。

4. 審計指導方針(Audit Guidelines):為了要達成所期待的目標,必須要持續和確實地審計所有的程式。這裡建議了關於34個IT高層次的控制目標的審計步驟,來協助資訊系統的審計員來檢驗IT的程式是否符合302的個別的控制目標,以提供管理上的保證和改進的建議服務。

5. 控制目標(Control Objectives):在科技不斷變化的環境中能維持贏利的關鍵在於如何維持良好的控制。COBIT的控制目標為IT控制提供了一個用來明晰策略和良好的實施指導的關鍵方針,包括了用來達成所期待目的或結果的302個別控制目標的詳細說明。

6. 應用工具集(Implementation Tool Set):包括了管理意識(Management Awareness)、 IT控制的診斷(IT Control Diagnostics)、應用指導(Implementation Guide)、常見問題集(FAQs)、應用COBIT組織的個案研究(Case Studies)及介紹COBIT的相關教材(Slide resentations)。這些新的工具組主要是設計讓COBIT的應用更為容易、讓組織能快速地且成功地從教材中學到如何在工作環境應用COBIT、並且讓領導層思考COBIT對企業目標的重要性。 以上是COBIT初步的概念,下面再進一步介紹其四大領域和34IT的程式:

一、PO(Planning & Organization)

1. 定義一個策略性的IT計劃

2. 定義資訊的架構

3. 決定採用技術的方向

4. 定義IT組織及其關係

5. 管理對IT的投資

6. 管理目標和方向的溝通

7. 管理人力資源

8. 確保遵循外部的條件

9. 資產風險

10. 專案管理

11. 品質管理

二、AI(Acquisition & Implementation)

1. 辨識解決方案

2. 應用軟體的取得與維護

3. 技術架構的取得與維護

4. IT程式的發展與維護

5. 系統的安裝與確認

6. 變革管理

三、DS(Delivery and Support)

1. 定義服務的層次

2. 第三者提供服務的管理

3. 效果和能力的管理

4. 持續服務的確保

5. 系統安全的確保

6. 成本的確認和分攤

7. 使用者的教育和訓練

8. 對IT客戶的協助和建議

9. 型態設定的管理

10. 問題和意外事件的管理

11. 資料的管理

12. 相關設施的管理

13. 運營管理

四、M(Monitoring)

1. 流程監測

2. 內部控制適當性的評估

3. 自主性保證的獲得

4. 自主性審計的提供

COBIT可應用在所有的公司資訊系統,包括了個人電腦、小型電腦、大型主機和分布式運算環境,它建立在一個IT資源必須被一套自然分類的程式所管理的想法上,而這想法是為了要能提供組織要達成目標的適當且可靠的資訊。目前 ISACA組織,針對 COBIT資訊控制的專業,提供專業的認證,經認證的專家在歐美各國已協助執行電腦安全控制審計的曆史已有十多年;針對網路安全的挑戰,強化了許多控制管理的要項。目前我國已有十餘名經考試與認證通過的國際電腦審計師(CISA: Certified Information Systems Auditor);美國電子簽章法案,對電子憑證服務單位的資訊安全控制,甚至要求具有CISA資格的人員執行獨立性審計,以確認其安全管理的有效性,足見CISA的市場前景。

阿里云产品大规模降价
  • 最高幅度達59%,平均降幅23%
  • 核心產品降價
  • 多地區降價
undefined. /
透過 Discord 與我們聯繫
  • 安全、匿名的群聊,不受干擾
  • 隨時了解活動、活動、新產品等訊息
  • 支持您的所有問題
undefined. /
免費試用
  • 開啟從ECS到大數據的免費試用之旅
  • 只需三步 輕鬆上雲
  • 免費試用ECS t5 1C1G
undefined. /

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.