CISA 信息系统审计知识点 [第二章. IT治理和管理 ]

第二章.  IT治理和管理

1.  IT治理、管理、安全和控制框架及标准、指南和实践

IT治理是董事会和执行管理层的职责。

IT治理的关键因素：保持与业务的战略一致，引导业务价值的实现。

IT治理关注的问题：IT向业务交付价值；IT风险得到管理。

IT治理的五个关键域：

2.  IT战略及IT组织架构、角色和职责

注：IT指导委员会主要职责是：对重要的IT项目进行审查，而不应当涉及日常运营。审查IT部 门的短期计划（几个月）和长期计划（1-2年），而战略计划（3-5年）则由IT战略委员会起草，董事会审批。

职责分离是预防和阻止欺诈及恶意行为的重要方式。补偿控制是为了降低职责不能恰当分离所带来的既有或潜在控制风险的内部控制。职责分离 的目标是通过识别补偿性控制来降低或消除业务风险。

补偿性控制：

l    审计轨迹（AuditTrail）：可追踪交易流，能确定谁发起交易、发起时间、数据类型、字段、更新了哪些文件等。

l    核对（Reconciliation）：增加了系统处理正确性及数据平衡的可信度水平。

l    例外报告（Exception Reporting）：需要确保例外情况能及时得到解决。

l    交易日志（TransactionLog）：为所有已处理的交易保留一份记录。

l    监督性审核（SupervisoryReview）：可通过现场观察、访谈或远程执行。

l    独立性审核（IndependentReview）：是对错误或故意违反既定流程的补偿控制，可帮助检测错误或违规情况。

IT政策 自顶向下：确保了各级政策的一致性自底向上：更具成本效益，基于风险评估的结果，但容易造成政策间的不一致和相互抵触

信息安全政策必须在控制水平和生产效率之间进行平衡，也即，控制成本绝不能超过控制所带来的预期收益。

可接受使用政策（AUP，AcceptableUse Policy）

说明公司的IT资源如何使用的有效的指南或规则。说明了允许用户使用IT系统做什么，不 能做什么，违反规则时应受到何种处罚。

3.  质量管理体系与成熟度模型

信息安全治理成熟度模型

能力等级                       特点

4.  IT资源投资与分配实务

价值IT框架的三个领域：

l    价值治理（VG，Value Government）

l    投资搭配管理（PM，）

l    投资管理（IM，InvestmentManagement）

5.  人力资源管理

交叉培训：培训一个以上的人员从事一项特定作业或程序。

优点                                                                            缺点

降低了对某一个员工的依赖程度，并可作为继任

计划的一部分，保证持续运营。

员工知晓系统全部内容，可能会带来风险和问

题。

强制休假：减少了进行不正当行为或违法行为的机会。

离职：分自愿和非自愿离职

l    删除和撤销帐号和口令，防止逻辑访问

l    收回所有钥匙、ID卡和证件，防止物理访问

l    归还公司财产

l    其他事项

6.  IT供应商选择、合同管理、外包管理及第三方监督

IS职能的类型：

l    现场：现场工作

l    离场/近岸：同一地理区域的不同地点远程工作

l    离岸：不同的地理区域远程工作

IS职能的交付方式：

l    内包

l    外包

l    混合

IT外包目标：利用供应商的核心竞争优势，实现持续有效的业务流程和服务改善。注意，组 织的核心业务不能外包。

实施外包的原因：

l    组织需要专注于自身的核心业务

l    迫于外包工作的边际利润的压力

l    节约成本的要求

l    组织架构灵活性的要求

外包的优缺点、风险及相关控制

优点                                                     缺点及业务风险                                   风险控制

l      外包商通过重用，具有规模

经济效应

l      外包商能投入更多时间，提 高效率

l      外包商具有更多的问题处理 经验和技术

l      合同协议的约束可保证质量

l      外包商很少有项目失控和项 目延期的情况

l      成本可能会超过预期

l      丧失内部人员获得经验的机 会

l      丧失对外包项目的控制

l      外包商可能会出现业务故障

l      缺乏对法律法规的遵循

l      外包商缺乏对客户的忠诚度

l      项目失败可能会危及双方声 誉

l      制定可衡量的、伙伴式利

益共享目标和回报机制

l      使用多个外包商，进行竞 争

l      定期对项目进行审查

l      组建跨职能的项目管理团 队

l      适当考虑可合理预见的多

种偶然因素

服务水平协议（SLA，Service LevelAgreement）

规定了供应商服务及支持事项应达到的水平，对质量目标及双方未来的合作非常重要。

接受外包的基本原则：虽然将服务交付转移，但其责任仍属于组织内的管理层，必须确保对风险的适当管理和供应商持续的价值交付。

云计算服务模式

服务模式	考虑因素
基础架构即服务（IaaS）	如果云服务商的服务中断，如何将影响降到最低？
平台即服务（PaaS）	可用性、机密性 发生安全违规事件时的隐私和法律责任 数据所有权
软件即服务（SaaS）	应用程序在哪里？ 应用程序归谁所有？

云计算部署模式

部署模式	考虑因素
私有云	不具备公共云的扩展性和灵活性

社区云	数据可能会与竞争对手的数据存储在一起
公共云	数据可能存储在未知位置，可能无法轻松检索
混合云	综合上述各种风险

7.  企业风险管理

风险管理流程的三个域

风险管理的步骤：

(1)    识别资产，对需要保护的信息资源或资产进行识别和分级。

(2)    评估与信息资源相关的威胁和脆弱性，以及可能性。

(3)    量化潜在的威胁的概率和对业务的影响。

(4)    评价现有控制，或设计新的控制来降低风险至可接受水平。

脆弱性、威胁、风险及控制之间的关系

定量的风险分析

•     公式：

–    资产价值（AV）×暴露因子（EF）=单一损失期望（SLE）

–    单一损失期望（SLE）×年发生比率（ARO）=年度损失期望（ALE） 定性的风险分析

操作方法可以多种多样，包括小组讨论（例如  Delphi 方法）、检查列表（Checklist）、问卷

（Questionnaire）、人员访谈（Interview）、调查（Survey）等

定量与定性风险分析的缺点

定量分析	定性分析
l      计算更加复杂。管理层能够理解是怎么计算出来的吗？ l      没有可供利用的自动化工具，这个过程完全需要手动完成 l      需要作大量基础性的工作，以收集与环境相关的详细信息 l      没有相应的标准。每个供应商解释其评估过程和结果的方式 各不相同	l      评估方法及结果相对主观 l      无法为成本/收益分析建立货币价值 l      使用主观衡量很难跟踪风险管理目标 l      没有相应的标准。每个供应商解释其 评估过程和结果的方式各不相同

8.  IT绩效监督和报告

IT平衡记分卡（ITBSC，ITBalanceScoreCard）

目标是建立管理层向董事会的报告途径，就IT战略目标在关键利益相关方之间达成一致，证实IT的效果与价值，沟通IT绩效、风险和能力。

IT平衡记分卡的四个关键要素：

业务连续性计划的关键技术指标

l    恢复时间目标（RecoveryTimeObjectives，RTO）：在系统的不可用性严重影响到机构之前所允许消耗的最长时间。

l    恢复点目标（Recovery PointObjectives，RPO）：数据必须被恢复以便继续进行处理的点。也就是所允许的最大数据损失量。

系统的重要性分析

重要性分类	描述
关键的（Critical）	l      除非同样的系统替代，否则这些功能不再起作用 l      职能系统方式，不能人工方式替代 l      停机成本很高，必须立即恢复（几小时到一天）
重要的（Vital）	l      停机后可以由人工代替，但只能维持一段时间 l      可以忍受在一定的时间范围内恢复系统（1-5天）
敏感的（Sensitive）	l      可以由人工代替，但流程较困难，需要额外人手 l      允许在较长时间内恢复系统（一周以上）
不敏感的（Nonsensitive）	l      停机对流程没什么影响

BCP计划的开发

用户和管理层的参与是BCP计划成功的重要因素，是识别关键资源的基础。三个部门必须在开发BCP计划时参与进来：

l    服务支持部门：检测灾难信号，宣告灾难

l    业务运行部门：评估可能遭受的影响

l    信息处理部门：执行恢复

BCP计划的测试

l    纸上演练：所有相关者都参与，讨论服务中断后的后果及应对策略，在预备性演练之前

l    预备性演练：模拟灾难发生，在局部范围（比如分支机构）演练所涉及的BCP资源

l    全面演练：完全关闭业务运行，实施全面演练