亚洲欧洲国产欧美一区精品,激情五月亚洲色五月,最新精品国偷自产在线婷婷,欧美婷婷丁香五月天社区

　　COBIT的含義

　　COBIT(Control Objectives for Information and related Technology，信息及相關(guān)技術(shù)的控制目標(biāo))由ITGI(信息技術(shù)治理協(xié)會(huì))提出，其最新版的COBIT4.1產(chǎn)品家族分三個(gè)層次，分別為執(zhí)行管理層和董事會(huì)，業(yè)務(wù)和IT經(jīng)理層，治理、鑒證、控制和安全專家提供支持。可見，COBIT已從一個(gè)審計(jì)師的工具，演變?yōu)镮T治理框架，它在商業(yè)風(fēng)險(xiǎn)、控制需要和技術(shù)問題之間架起了一座橋梁，以滿足管理的多方面需要。

　　COBIT將IT過程，IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來，形成一個(gè)三維的體系結(jié)構(gòu)。

　　其中，信息準(zhǔn)則維集中反映了企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、成本、時(shí)間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性;IT資源維主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源，這是IT治理過程的主要對(duì)象;IT過程維則是在IT準(zhǔn)則的指導(dǎo)下，對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控等四個(gè)方面確定了34個(gè)信息技術(shù)處理過程，每個(gè)處理過程還包括更加詳細(xì)的控制目標(biāo)和審計(jì)方針對(duì)IT處理過程進(jìn)行評(píng)估。

　　COBIT是一個(gè)非常有用的工具，也非常易于理解和實(shí)施，可以幫助在管理層、IT與審計(jì)之間交流的鴻溝上搭建橋梁，提供了彼此之間溝通的共同語(yǔ)言。所有的信息系統(tǒng)審計(jì)、控制及安全專業(yè)人員應(yīng)該考慮采用COBIT原則。COBIT的優(yōu)點(diǎn)有：

　　通過實(shí)施COBIT，增加了管理層對(duì)控制的感知及支持。

　　COBIT使IT管理工作簡(jiǎn)易并量化。

　　COBIT提供了一種國(guó)際通用的IT管理及問題解決方案。

　　COBIT有助于提高信息系統(tǒng)審計(jì)師的影響力，依據(jù)COBIT出具的信息系統(tǒng)審計(jì)報(bào)告更容易得到管理層的肯定。

　　COBIT框架可以幫助決定過程責(zé)任，提高IT治理水平。通過采用該框架作為對(duì)一個(gè)責(zé)任矩陣分析的基礎(chǔ)，可以做到基于角色的IT管理，定義過程措施，確�？蛻衾�益。

　　SAC

　　SAC的概念在1977年由國(guó)際內(nèi)審研究院(the Institute of Internal Auditors-IIA)第一次明確提出，當(dāng)時(shí)SAC是指系統(tǒng)審計(jì)與控制(systems auditability and control)。1991年和1994由國(guó)際內(nèi)審研究基金會(huì)進(jìn)行較大更新后，SAC是指系統(tǒng)鑒證與控制(systems assurance and control)。SAC已成為IT審計(jì)師在信息技術(shù)安全、控制與審計(jì)領(lǐng)域中的重要指南。

　　在電子商務(wù)時(shí)代，隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，系統(tǒng)中的控制及相互依賴性已經(jīng)沒有組織與地理位置的限制，普遍存在于各種組織中。不管是什么規(guī)模的組織，都需要有一套控制指南來有效地管理信息系統(tǒng)和技術(shù)，并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時(shí)更新系統(tǒng)。信息系統(tǒng)審計(jì)師及IT安全從業(yè)人員必須知道威脅來自何處，如何管理這些威脅帶來的風(fēng)險(xiǎn)，而且也要知道如何與不同層次的管理人員共同討論安全問題。我們?cè)诳紤]信息與系統(tǒng)安全時(shí)，著重要回答以下關(guān)鍵問題：“如何管理IT風(fēng)險(xiǎn)?”“如何判斷安全與控制措施是否完備?”“誰可以為IT安全提供鑒證?”“鑒證可以說明什么?”等。這就是制訂SAC控制規(guī)范的主要原因。

　　SAC通過提供及時(shí)更新的信息，幫助我們理解、監(jiān)測(cè)、評(píng)估及降低技術(shù)風(fēng)險(xiǎn)。SAC檢查業(yè)務(wù)系統(tǒng)各個(gè)組成部分的風(fēng)險(xiǎn)，包括客戶、競(jìng)爭(zhēng)對(duì)手、監(jiān)管部門及合作伙伴。

　　新版本SAC的一個(gè)重要特征就是提出的eSAC控制模型。建立此模型有利于討論在電子商務(wù)環(huán)境中的目標(biāo)、風(fēng)險(xiǎn)及減輕威脅造成的風(fēng)險(xiǎn)的措施三者的關(guān)系。目前有許多不同的風(fēng)險(xiǎn)與控制模型，任何一種模型都有其特定的適用對(duì)象及范圍，組織必須進(jìn)行合理剪裁，以適合組織的實(shí)際情況。eSAC模型可以較好地反映快速變化的技術(shù)環(huán)境及電子商務(wù)模式所帶來的風(fēng)險(xiǎn)，并給出如何管理這些風(fēng)險(xiǎn)的建議。

　　模型中的左邊箭頭表示的是組織的任務(wù)，包括組織的價(jià)值取向、企業(yè)戰(zhàn)略、主要目標(biāo)等。右邊箭頭表示的是組織獲得所期望的回報(bào)，同時(shí)滿足組織形象與聲望的完善，及獲得進(jìn)一步提高績(jī)效的學(xué)習(xí)能力。

　　從目標(biāo)到結(jié)果需要建立合理的控制環(huán)境，包括系統(tǒng)運(yùn)營(yíng)的效果與效率(operating)，財(cái)務(wù)及管理的報(bào)告(reporting)，法律、法規(guī)的符合性(compliance)，對(duì)信息資產(chǎn)的保護(hù)(safeguarding)。

　　控制的效果要用與電子商務(wù)相關(guān)的各種控制屬性來描述，如可用性( availability)、實(shí)際能力(capability)、機(jī)能性(functionality)、可保護(hù)性(protectability)、責(zé)任性(accountability)，這些屬性都可被稱作業(yè)務(wù)鑒證目標(biāo)，為人們正確看待各種控制提供了更廣寬而準(zhǔn)確的框架。對(duì)任何業(yè)務(wù)的控制都可以通過這些控制屬性的組合來實(shí)現(xiàn)。例如：對(duì)隱私問題的控制可以通過可保護(hù)性和責(zé)任性的組合來實(shí)現(xiàn)。

　　要實(shí)現(xiàn)有效控制，需要利用各種資源，如人員( people)、技術(shù)(technology)、流程( processes)、投資(investment)、溝通(communication)。

　　影響內(nèi)部控制環(huán)境的外部因素主要有兩種，如多方向的箭頭表述了與外部實(shí)體(供應(yīng)商、合作伙伴、代理商)之間的交互作用及相互依賴性，單方向箭關(guān)表述了外部市場(chǎng)力量(如客戶、競(jìng)爭(zhēng)對(duì)手、監(jiān)管者、共同體、股東)和不斷變化的環(huán)境對(duì)內(nèi)部控制的影響。