论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 1 篇帖子 ] 
作者 内容
 文章标题 : 2016新版CISA#每日知识点-020
帖子发表于 : 2016-02-01 10:22 
离线
超级用户

注册: 2015-10-10 12:51
最近: 2016-02-18 16:37
拥有: 229.00 安全币

奖励: 0 安全币
在线: 2509 点
帖子: 367
附件:
123.png
123.png [ 249.09 KiB | 被浏览 1188 次 ]

IT治理
公司治理
指所有者、经营者和监督者之间通过公司权力机关(股东大会)、经营决策与执行机关(董事会、经理)、监督机关(监事会)而形成权责明确、相互制约、协调运转和科学决策的联系,并依法律、法规、规章和公司章程等规定予以制度化的统一机制;
公司治理强调企业中权力、角色的合理分配和对股东的平等对待;信息披露与透明;董事会的职责;为企业提供合理的战略指南;董事会对管理层进行有效的监督,董事会必须向企业和股东负责。
公司治理框架中一个很重要内容就是要建立内部控制体系管理和报告业务风险。

IT治理

IT治理是一个综合术语,它包括信息系统、技术和通讯,业务、法律相关事务,所有利益相关方、董事会、高级管理层、流程所有人、IT供应商、用户和审计师。治理有助于确保IT和企业目标保持一致。
有效的公司治理注重个人和团队在特定领域中最有效的专门技能和经验。长期以来,仅作为组织战略促进因素的信息技术,现在被看作是整体战略的一部分。CEO、COO、CFO、CIO和CTO在IT与企业目标间能达成战略一致是关键成功因素。通过经济、有效地使 用安全、可靠的信息和应用技术,IT治理能有助于实现这个关键成功因素。信息技术对企业的成功是如此重要,因此,不能把其职责放给IT管理人员或IT专家,而必须得到整个高级管理层的关注。
ITGI:IT治理是董事会和最高管理层的职责,是企业治理的重要组成部分。IT治理由领导、组织结构以及相关流程组成,这些流程能保证组织的IT有效支持及促进组织战略目标的实现。
IT治理一般关注两方面的问题:IT增加商业价值和IT风险得到控制。前者通过使IT战略与业务保持一致来达到,后者通过向企业分配责任来驱动。
IT治理的关键因素是IT与业务保持一致,以实现业务价值。
IT治理的主要流程有:IT资源管理、绩效测评和合规管理
IT治理回答下述问题

在IT战略决策中哪些利益相关者有发言权?
谁决定IT投资及其优先级顺序?
应当建立哪些IT委员会,由什么人组成?其职责是什么?向谁报告?
CIO的角色和职责有哪些?
如何控制IT使其满足业务需求?
如何评价IT职能的绩效?
IT治理的目标

指导IT工作,确保IT绩效满足IT目标、符合企业目标要求,实现预期利润
帮助企业开拓商机,实现利益最大化
充分利用IT资源
适当控制IT相关风险
IT治理与公司治理

公司治理主要关注利益相关者权益和管理,包括一系列责任和条例,由最高管理层(董事会)和执行管理层实施;
公司治理目的是提供战略方向,保证目标能够实现,风险适当管理,企业资源合理使用;
IT治理是公司治理的重要组成部分,是董事会或最高管理层的责任;
IT治理由领导、组织结构以及相关流程组成,这些流程能保证组织的IT能有效支持及促进组织战略目标的实现,同时控制风险、降低成本、提高绩效。
公司治理可以驱动和调整IT 治理,同时,IT 能够为公司治理提供关键的输入,形成战略计划的一个重要组成部分
公司治理和IT 治理都是“他律”机制,是如何“管好管理者”的机制,其目标也是一致的:达到业务持续运营,并增加组织的长期获利机会。 IT治理与IT管理
IT 管理是公司的信息及信息系统的运营,确定IT 目标以及实现此目标所采取的行动
而IT 治理是指最高管理层(董事会)利用它来监督管理层在IT 战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。简言之,是“对管理的管理”
IT 管理就是在既定的IT 治理模式下,管理层为实现公司的目标而采取的行动
缺乏良好IT 治理模式的公司,即使有“很好”的IT 管理体系(而这实际上是不可能的),就像一座地基不牢固的大厦
同样,没有公司IT 管理体系的畅通,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容
IT治理的层次-在企业战略层上

IT治理要与公司治理结构、企业战略规划进行集成,使IT治理作为公司治理的一部分;
在治理结构上体现IT的位置与作用,使IT议题要进入董事会(或者是监事会、最高管理当局)下的战略委员会、审计委员会、安全委员会;
董事会要确保IT的执行与监管分开,监管机制要独立并持续运行、沟通与反馈机制要持续有效;
IT治理要求向董事会和最高管理层分配职责,并要求其完成一系列活动。
IT治理的层次-在企业战术面上

虽然IT治理集中在董事会最高管理层,但由于IT治理的复杂性和专业性,治理层必须依赖企业在战术层面上提供必要的控制框架来保证治理职责的落实;
为了保证IT与业务目标一致,充分利用有限的IT资源,提高绩效,降低风险与控制成本,按照国际普遍接受的企业内部控制标准,在战术层面建立有效的IT控制框架并监督实施。
– COBIT、ITIL、ISO17799
– 需求识别、数据标准化、项目管理… …
IT治理域

一些著名的机构(Gartner、CSC、AICPA/CICA、CIO Magazine )通过调查认为最受IT管理层关注的问题,已经从技术领域逐渐转向管理相关领域;
这些问题可以归结为五个IT治理域:战略一致、价值交付、风险管理、资源管理和绩效考评,其中有两个核心,一是IT要向业务交付价值,二是降低风险。前者由IT与业务的战略一致驱动,后者由企业内部建立的责任分工驱动;
这两者都需要获得足够的资源并进行绩效考评,以保证获得预期的结果;
这五个域都受利益相关者价值驱动,其中价值交付、降低风险是结果,战略一致绩效考评是驱动力,IT资源管理为治理提供支持。
五个IT治理域:

战略一致- 强调IT与业务保持一致,提供协调的解决方案。
价值交付- 确保IT实现了预期战略收益,集中关注成本的优化,提供IT的固有价值。
风险管理- 将风险管理职责嵌入组织中,包括IT资产的保护、灾难恢复和业务连续性。
资源管理- 对IT资源(应用系统、信息、基础设施和人员)的优化投资并适当管理,关键问题在于知识和基础设施的优化。
绩效考评- 追踪并监控战略实施、资源使用、流程绩效、服务交付以及诸如平衡记分卡的使用等,监督IT服务质量。没有绩效测量就无法对以上四个域进行有效管理。
IT治理的关键因素

IT治理的关键因素就是要使IT与业务融合,以实现组织的业务价值。通过IT治理框架和最佳实践的应用,在组织内促成目标实现。IT治理框架和最佳实践是由一系列组织结构、流程及相关机制组成。
关键的IT治理因素包括:IT战略委员会、风险管理和标准IT平衡记分卡。
审计师在IT治理中的职责

审计是组织成功实施IT治理的一个重要角色,对于向高级管理层提供建议,帮助改善IT治理质量和效果而言,审计处在最佳的位置;
通过引入审计师独立的、中立的观点,可以对IT治理绩进行持续有效的监督、分析、评估,以指导与改进与IT治理相关的IT过程;
IS审计师的要对IT治理的各个方面进行评估
IS职能与组织使命、愿景、价值、目标和战略的一致性
法律、环境、信息质量、委托、安全和隐私方面的要求
组织的控制环境
IS环境的固有风险

汇哲信安近期课程时间安排:

【CISA认证培训】上海2016年03月23-27日北京2016年3月26-30日 深圳03月20-24日

【CISSP认证培训】北京03月19-23日 上海9日考前辅导 03月26-30日

【CISP认证培训】北京03月18-26日(最后一天考试)

上海03月11-19日(最后一天考试)

【ITIL V3Foundation认证培训】北京 03月05-06日 上海 04月16-17日


如需了解课程详情,请联系汇哲嘟嘟:

联系方式:

手机:15510402773 微信:spisecbj Q Q:3307039147 网址:www.spisecbj.com


附件:
123.png
123.png [ 249.09 KiB | 被浏览 1188 次 ]
回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 1 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012