CISAIT审计实务培训COBIT专题PPT课件

《CISAIT审计实务培训COBIT专题PPT课件》由会员分享，可在线阅读，更多相关《CISAIT审计实务培训COBIT专题PPT课件（83页珍藏版）》请在装配图网上搜索。

1、Feb, 2008金融企业金融企业IT审计实务培训审计实务培训3. 基于基于COBIT的的IT审计方法审计方法杨洋（）第1页/共83页Feb, 2008主讲人简介杨洋杨洋 管理学博士（信息管理与信息安全方向，同济大学） 会计学学士、硕士（东北财经大学） 高级程序员（1998），CISA（2002）, SCJP，IBM电子商务咨询师，IBM WSAD Developer 目前为同济大学电信学院博士后，主要研究领域：基于移动计算的安全接入关键技术第2页/共83页Feb, 20081. Cobit的产生与发展2. 核心目标与思想3. 与其他相关体系的关系4. 应用范围和适用群体5. 内容与结构一、

2、COBIT概述第3页/共83页Feb, 20081. Cobit1. Cobit的产生与发展 COBIT(Control Objectives for Information and Related Technology) 是由信息系统审计和控制基金会ISACF（Information Systems Audit and Control Foundation）最早于1996年制定的IT治理模型。 早期第1、2版以控制目标和审计指南为主。 2000年推出第3版，重点突出了“管理指南”。 2006年推出第4版，精简了控制目标，并完善了管理指南 2007年推出第版，将审计指南改为“签证指南”，并提出

3、ValueIT等理念，与IT治理联系更紧密。第4页/共83页Feb, 20082. 2. 核心目标与思想 COBIT的制订宗旨是跨越业务控制（business control）和IT控制之间的鸿沟，从而建立一个面向业务目标的IT控制框架。 COBIT是IT治理的模型 COBIT是基于过程的模型第5页/共83页Feb, 20082. 2. 核心目标与思想第6页/共83页Feb, 20082. 2. 核心目标与思想第7页/共83页Feb, 20082. 2. 核心目标与思想 什么原因会导致问题？ 技术漏洞 业务流程漏洞 管理控制漏洞 怎样才能避免问题的发生？ 从对技术、业务、管理控制等角度进行统一

4、的全方位防范 把所有人调动起来！ COBIT就是这样一个能够把所有IT与非IT部门结合起来协调开展IT治理活动的模型框架！第8页/共83页Feb, 20083. 3. 与其他相关体系的关系 与IT审计的关系 COBIT包含而不限于IT审计的模块（Audit Guidline），但并非是针对IT审计的专门论述 与BS7799、ITIL的关系 侧重不同。COBIT主要侧重于处理企业治理中不同方面的需求，使信息管理、控制目标、IT审计等围绕信息系统管理控制的工作能够在一个统一的平台上协调开展。 详见本课程后续章节讨论第9页/共83页Feb, 20084. 4. 应用范围和适用群体 管理人员 “是否应

5、该进行IT投资？”、“如何进行IT投资” “IT投资是否得到了期望的回报？” “业务需求是否得到了IT的支持和满足？” 用户（业务过程所有者） “IT的安全和服务是否和怎样得到足够的保证？” “信息系统是否和怎样有效的运行？” IT审计师 “怎样对具体企业制定审计计划？” “对具体IT过程要审计哪些项目？” “怎样使将审计过程与用户日常系统控制统一协调？”第10页/共83页Feb, 20085. 5. 内容与结构第三版结构第11页/共83页Feb, 20085. 5. 内容与结构第12页/共83页Feb, 20085. 5. 内容与结构 第四版（）结构变化： 整合：执行概要、框架、控制目标、管

6、理指南 变更：审计指南签证指南 新增：IT治理实施指南（Value IT） 保留：ToolKit第13页/共83页Feb, 20081. 域与过程的划分2. 整体控制目标一览3. 管理指南的工具和意义4. 内容选读二、 控制目标与管理指南导读第14页/共83页Feb, 20081. 域与过程的划分 4个域，34个过程，215个具体控制目标： 计划域组织（PO）：10个过程 获取与实现（AI）：17个过程 交付与支持（DS）：13个过程 监控与评价（ME）：4个过程第15页/共83页Feb, 20081. 域与过程的划分第16页/共83页Feb, 20082. 整体控制过程一览 P01 定义IT

7、战略计划 P02 定义IT信息架构 P03 确定技术导向 P04 定义IT过程/组织和关系 P05 IT投资管理 P06 传递管理目标和方向 P07 IT人力资源管理 P08 质量管理 P09 IT风险评估及管理 P10 项目管理第17页/共83页Feb, 20082. 整体控制过程一览 AI1 识别自动化解决方案 AI2 获取并维护应用软件 AI3 获取并维护技术基础设施 AI4 保障运营和使用 AI5 获取IT资源 AI6 变革管理 AI7 安装/授权解决方案和变更第18页/共83页Feb, 20082. 整体控制过程一览 DS1 定义和管理服务水平 DS2 管理第三方服务 DS3 性能管

8、理和容量管理 DS4 确保服务的连续性 DS5 确保系统安全DS6 确定并分配成本 DS7 教育和培训用户DS8 服务台和紧急事件管理 DS9 配置管理 DS10 问题管理 DS11 数据管理 DS12 物理环境管理 DS13 运营管理第19页/共83页Feb, 20082. 整体控制过程一览 ME1 监控和评价IT绩效 ME2 监控和评价内部控制 ME3 确保与法律的符合性 ME4 提供IT治理第20页/共83页Feb, 20083. 管理指南的工具和意义 关键成功因素（CSF）： 管理者“应该作什么？” 在每一个过程中最重要的因素或控制活动 可以作为IT投资的指导第21页/共83页Feb,

9、 20083. 管理指南的工具和意义 关键目标指标（KGI） IT过程“执行后的结果应该作到怎样” 若想实现业务目标，该过程执行后必须达到哪些指标?第22页/共83页Feb, 20083. 管理指南的工具和意义 关键绩效指标或关键性能指标（KPI）： 怎样判断IT过程当前的状态是否良好 当前过程是否需要调整？第23页/共83页Feb, 20083. 管理指南的工具和意义 成熟度模型（CMM）： 为每一个过程定义了六种成熟度级别 管理者可以评价本组织在该过程控制上所处的级别，然后通过与同行业标竿企业相比较，判断自身所处的先进程度、竞争优势和改进方向。第24页/共83页Feb, 20083. 管理

10、指南的工具和意义第25页/共83页Feb, 20084. 内容选读与讨论 参考材料： COBIT 4.1 文档第26页/共83页Feb, 20081. 内容结构2. 内容选读与讨论3. 案例分析三、 审计与签证指南导读第27页/共83页Feb, 20081. 内容结构 第3版审计指南结构：高层控制目标（控制过程，共3434个）理解内控：面询观察 控制评估：检查，判断是否符合性测试：测试实质性测试：执行确认第28页/共83页Feb, 20081. 内容结构 第4版签证指南结构：详细控制目标（共215215个）价值驱动： 风险驱动：控制设计测试：控制输出测试：第29页/共83页Feb, 20082

11、. 内容选读与讨论 参考材料： COBIT 4.1 文档第30页/共83页Feb, 20083. 案例分析 案例1： 澳大利亚审计署对社会福利信息系统IT管理的审计（基于COBIT标准） 案例2： 某大型国有企业基于COBIT的IT内审体系第31页/共83页Feb, 2008 实施工具集的内容和作用 为企业引入COBIT的一般步骤 IT控制诊断表 对COBIT常见问题的解答 COBIT实施的成功案例四、 实施工具集简介第32页/共83页Feb, 20081. IT治理概述2. 目标、要素与模型3. IT治理与IT审计五、 特别内容IT治理第33页/共83页Feb, 20081. IT1. IT

12、治理概述 什么是治理（Governance）？ 政治学含义所有者管理者执行者业 务治理管理管理管理第34页/共83页Feb, 20081. IT1. IT治理概述 公司治理 公司治理核心 协调目标 充分激励 公司治理内容 财务治理 IT治理 第35页/共83页Feb, 20081. IT1. IT治理概述公司治理： 董事会和其他人员为公司具有创建和表达财富有道德行为的机制 不同人员(董事会,经理,股东,其它利益相关方(银行,供应商)的责任和权力的分发,监控目标的工具第36页/共83页Feb, 20081. IT1. IT治理概述 IT治理 IT治理由高层管理机构负责，由领导、组织结构和过程构成

13、，其目的在于确保IT能够支撑和扩展组织的战略和目标应该具备的素质（ISACA） IT治理就是一个权责框架。第37页/共83页Feb, 20081. IT1. IT治理概述 IT治理与IT管理 战略层 vs 战术层 所有者 vs 管理者 使用者与对象不同 与业务目标关系不同 手段和工具不同第38页/共83页Feb, 20082. 2. 目标、要素与模型 IT治理的目标要解决什么问题？ 战略协调：如何促使IT专业人员主动按照企业目标去发展IT？ 投资决策：如何确保IT投资的收益最大？ 绩效评价：怎样让IT部门不再成为别人眼中的“烧钱部门”？ 风险管理：如何避免企业因IT而失败？ 价值管理：如何确保

14、IT对企业确实有用？第39页/共83页Feb, 20082. 2. 目标、要素与模型第40页/共83页Feb, 20082. 2. 目标、要素与模型 核心问题： 怎样让IT部门与企业高层“一条心”！ 案例探讨： 某银行移动业务基础设施投资决策第41页/共83页Feb, 20082. 2. 目标、要素与模型 IT治理的要素 决策权：投资、架构、需求、 决策者：CEO、IT部门、业务部门、 各要素之间的冲突与协调第42页/共83页Feb, 20082. 2. 目标、要素与模型 IT治理的模型： “集权式” “寡头式” “联邦式”第43页/共83页Feb, 20082. 2. 目标、要素与模型 各模

15、型特点与适用范围 案例讨论第44页/共83页Feb, 20083. IT3. IT治理与ITIT审计IT审计在IT治理中的角色： 为高级管理层提供领先的实务建议帮助改善IT治理初始实施的质量和效果 审计帮助符合IT治理在组织里初始实施第45页/共83页Feb, 20083. IT3. IT治理与ITIT审计 IT治理对IT审计（内审）的意义 评价IT战略正确性 评价未来全局性风险 发现重要成本改进第46页/共83页Feb, 20081. ITIL/ITSM概述2. ITIL与COBIT3. 从ITIL到ISO20000六、 特别内容ITIL与ISO20000第47页/共83页Feb, 2008

16、1. ITIL概述IT应用生命周期图 第48页/共83页Feb, 2008ITIL的发展历程第49页/共83页Feb, 2008ITIL的整体架构第50页/共83页Feb, 2008各功能模块简介IT服务管理实施规划（Planning to Implement Service Management） 为客户如何确立远景目标，如何分析现状、确定合理目标并进行差距分析和如何实施活动的优先级，以及如何对实施的流程进行评审，提供了全面指导第51页/共83页Feb, 2008ICT基础架构管理(ICT Infrastructure Management) 确保提供一个稳定可靠的IT基础架构，以支持业务运

17、营第52页/共83页Feb, 2008 应用管理(Application Management) 协调IT服务管理与应用系统的开发、测试和部署的关系，使它们一致的服务于客户的业务运营第53页/共83页Feb, 2008安全服务体系结构 安全管理(Security Management) 保护IT基础架构，对其采取合适的保护措施，使其免受未经授权的使用第54页/共83页Feb, 2008 业务视角(Business Perspective) 帮助业务管理者深入了解ICT基础架构支持业务流程的能力与IT服务管理在提供端到端IT服务过程中的作用，其涵盖了业务管理系统、外包管理、持续改进及信息和通讯技

18、术等方面，来实现商业利益 第55页/共83页Feb, 2008 服务管理 (Service Management) ITIL的核心内容，共分为10个管理流程及1项管理职能，被划分为两组：服务提供和服务支持第56页/共83页Feb, 2008ITIL的特点 公共框架 最佳实践 事实上的国际标准 基于流程管理的思想 质量管理方法和标准 已经形成了一个完整的产业第57页/共83页Feb, 2008ITSM的原理第58页/共83页Feb, 2008ITSM 服务提供流程 服务级别管理 IT服务财务管理 IT服务持续性管理 可用性管理 能力管理 服务支持流程 事故管理 问题管理 配置管理 变更管理 发布

19、管理 管理职能 服务台服务支持服务支持服务提供服务提供第59页/共83页Feb, 2008 服务提供流程第60页/共83页Feb, 2008 服务支持流程第61页/共83页Feb, 2008 ITSM各流程和职能间的关系第62页/共83页Feb, 2008 IT与业务的整合 第63页/共83页Feb, 2008 服务级别管理(Service Level Management) 目标确保组织所需的IT服务质量按服务级别协议规定的质量提供，同时在成本范围内得以维持并持续提高 主要任务 记录服务级别需求(SLR) 通过建立或更新服务质量计划(SQP)、与第三方服务 商签订外包合同和运营级别协议(OL

20、A)来确保按服务级别协议规定的质量提供 签署服务级别协议(SLA) 监控提供的服务水平 提高服务质量 建立和维护服务目录 第64页/共83页Feb, 2008 IT服务财务管理(Financial Management for IT Services) 目标帮助IT部门在提供服务的同时加强成本效益核算，以合理利用IT资源、提高效益。 主要任务 预算编制 会计核算 成本再分配 第65页/共83页Feb, 2008 能力管理(Capacity Management) 包括以下三个子流程： 业务能力管理 服务能力管理 资源能力管理 目标确保以合理的成本及时地提供有效的IT服务以满足组织当前及将来的业

21、务需求 主要任务 定义、规划及管理业务需求 提供用于服务的资源 监控资源的性能，如果必要，须进行调整 规划和实施提升能力计划 编制和维护能力计划 第66页/共83页Feb, 2008 IT服务持续性管理(IT Service Continuity Management) 目标在灾难发生的情况下，确保服务运营所需的IT技术和服务实施能够在要求和约定的时间内恢复 主要任务 根据整个业务持续管理确定IT持续性计划的需求与战略 确定IT服务的持续性计划 管理持续性过程(培训、测试、评审、变更管理和持续提高过程) 紧急情况下业务持续管理与恢复 第67页/共83页Feb, 2008 可用性管理(Avail

22、ability Management) 目标确保IT服务的设计符合业务所需的可用性级别 主要任务 可用性需求分析 确定可用性预期目标 确定测量方法 编制可用性计划 确定实际的可用性计划 IT服务可用性的改进 第68页/共83页Feb, 2008 服务台（Service Desk） 目标为用户提供单一的联系点；为实现业务目标提供高质量的支持服务；降低提供和使用IT服务的总体成本；提高了用户的满意度；协助发现商业机会；优化了支持服务的投资和管理；为业务、流程和技术的全面变革提供支持。 主要任务 接受客户请求（可以通过电话、电子邮件和传真等）记录并跟踪事故和客户意见及时通知客户其请求的当前状况和最新

23、进展 根据服务级别协议，初步评估客户请求，尽力解决它们或将其安排给有关人员解决 根据服务级别协议的要求，监督规章制度的执行情况并在必要时对其进行修改对客户请求从提出直至终止和验证的整个过程进行管理在需要短期内调整服务级别时及时与客户沟通 协调二线支持人员和第三方支持小组 提供管理方面的信息和建议以改进服务品质 根据用户的反馈发现IT服务运作中产生的问题发现客户培训和教育方面的需求 终止事故并与客户一道确认事故的解决情况。 第69页/共83页Feb, 2008具有中央控制的混合式服务台第70页/共83页Feb, 2008 事故管理(Incident Management) 目标在尽可能小地影响组

24、织及用户业务的情况下使IT系统尽快恢复到服务级别协议所定义的服务级别，以确保最好的服务质量和可用性级别。 主要任务 及时识别并跟踪发生的事故 对事故进行分类并提供初步支持 对事故进行调查与分析识别引发事故的潜在原因 解决事故并恢复服务 跟踪和监督所有事故的解决过程，并随时进行沟通 第71页/共83页Feb, 2008 问题管理(Problem Management) 目标寻找发生问题的根本原因，根据优先级定义首先解决关键性问题，并防止与这些事故相关的事故再次发生，增加支持人员解决问题的能力。 主要任务 识别和记录问题 对问题归类，主要关注影响业务的问题 调查问题的根本原因 解决问题 终止问题

25、第72页/共83页Feb, 2008 配置管理(Configuration Management) 三个重要名词 CI（Configuration Item） IT环境内使用的所有组件，包括软件、硬件、程序、文件等 CMDB（Configuration Management Database） 储存CI所有的相关数据，以及CI与CI之间的关系 DSL（Definitive Software Library） 存放和保管所有已批准的最终版本的软件配置第73页/共83页Feb, 2008 目标配置管理有多层目标： 计量组织和服务中所使用的所有IT资产和配置项的价值 核实有关IT基础架构的配置记录的

26、正确性并纠正发现的错误 提供准确的配置信息和相关文档以支持其它服务管理流程（事故管理、问题管理、变更管理和发布管理） 主要任务 识别相关信息的需求 (健全的配置管理的目的、范围、目标、策略和程序) 与配置项所有者一起识别和标识配置项，有效的文档、版本及相互关系 在中心配置管理数据库中记录配置项 建立程序和文档标准以确保只有被授权及可辨别的配置项被记录和可追溯的历史记录是有效的 确保数据的永久状态(配置状况报告) 对CDMB中记录的配置项进行审验第74页/共83页Feb, 2008 变更管理(Change Management) 目标确保在变更实施的过程中使用标准的方法和步骤，从而以最快的速度实

27、施变更，将由变更所导致的业务中断的影响减少到最低。 主要任务 记录和筛选变更请求(Request for Change) 对RFC进行分类并划分优先级 评价RFC对基础架构和其他服务的影响，及非IT流程与不实施RFC的影响 实施RFC所需要的资源 获得实施RFC的正式批准 变更进度安排 实施RFC 评审RFC的实施 第75页/共83页Feb, 2008 发布管理(Release Management) 目标确保只有正确的、被授权的和经过测试的系统组件（软件、硬件及相关文档）才能被正确、按时安装。 主要任务 制定发布计划 设计发布测试及执行测试的程序以鉴定是否合格 制定首次运行计划 通知并培训可

28、能的客户 结束发布 实施前后对组件进行审计 安装及分发 第76页/共83页Feb, 2008ITIL与ITSM的关系 先有ITSM，后有ITIL 因为有了ITIL，ITSM得以发展 ITIL不是ITSM的全部第77页/共83页Feb, 20082. ITIL与COBIT 二者视角不同，但内容范围互相覆盖 ITIL是COBIT中IT服务部分的重要补充 参阅材料：第78页/共83页Feb, 20083. 从ITIL到ISO20000 ITIL - BS15000（BSI） BS15000 - ISO20000 2005年5月快速表决 2005年12月正式发布第79页/共83页Feb, 20083.

29、 从ITIL到ISO20000 二者基本内容相同，但服务流程定义存在一定差异： 业务关系管理（Business Management） 供货商管理（Supplier Management 服务报告（Service Reporting） ITIL标准制订更为灵活，已及时升级至版本第80页/共83页Feb, 20083. 从ITIL到ISO20000 第一部分：管理规范（ISO 20000-1 ） 界定了一个组织向客户提供质量合格、管理良好的服务的有关要求 管理体系要求 服务管理的策划和推行 新的或变更的服务策划和推行 服务提供过程 关系过程 决议过程 控制和发布过程第81页/共83页Feb, 20083. 从ITIL到ISO20000 第二部分：实践指南（ISO 20000-2 ） 行为准则 最佳实践范例第82页/共83页Feb, 2008杨洋，感谢您的观看！第83页/共83页