软考-信息系统治理(三)
.jpg)
好的IT治理实践需要在组织全部范围内推行。
管理层次大致可分为三层:
最高管理层:最高管理层的主要职责包括: 证实IT战略与业务战略是否一致:证实通过明确的期望和衡量手段交付IT价值;指导IT战略、平衡支持组织当前和未来发展的投资;指导信息和数据资源的分配。
执行管理层:执行管理层的主要职责包括:制定IT的目标,分析新技术的机遇和风险;建设关键过程与核心竞争力;分配责任、定义规程、衡量业绩;管理团险和获得可靠保证等。
业务与服务执行层:业务及服务执行层的主要职责包括:信息和数据眼务的提供和支持,IT基础设施的建设和维护;IT需求的提出和响应。
3.1.2 IT治理体系
IT治理用于描述组织在信息化建设和数字化转型过程中是否采用有效的机制使得信息技术开发利用能够完成组织赋予它的使命。IT治理的核心是关注IT定位和信息化建设与数字化转型的责权利划分,如图3-1所示。IT治理体系的具体构成包括IT定位:IT应用的期望行为与业务目标一致:IT治理架构: 业务和IT在治理委员会中的构成、组织IT与各分支机构的IT权责边界等,IT治理内容:投资、风险、绩效、标准和规范等;IT治理流程:统筹、评估、指导、监怒,IT治理效果(内外评价)等
1.IT治理核心内容
IT治理本质上关心:1)实现IT的业务价值;2)风险的规避。
前者是通过IT与业务战略匹配来实现的,后者通过在组织内部建立相关职责来实现。两者都需要相关资源的支持并对其绩效进行有效度量。
IT治理的核心内容包括六个方面:组织职资、战路匹配、资源管理、价竹交付、风险管理和绩效管理
(1)T治理通用要求(1分选择题)
GB/T34960.1《信息技术服务治理第1部分: 通用要求》规定了IT治理的模型和框架、实施IT治理的原则,以及开展IT顶层设计管理体系和资源的治理要求。该标准可用于:
1)建立组织的IT治理体系,并实施自我评价;
2)开展信息技术审计;
3)研发、选择和评价IT治理相关的软件或解决方案;
4)第三方对组织的IT治理能力讲行评价。
各级各类信息化主管部门可根据法律法规部门规章的要求,使用该标准对所管辖各类组织的IT治理提出要求,并进行评估、指导和监督。 该标准定义的IT治理模型包含治理的内外部要求、治理主体、治理方法,以及信息技术及其应用的等理体系
IT治理实施指南
GB/T 34960.2《信息技术服务治理第2部分: 实施指南》提出了IT治理通用要求的实施指南,分析了实施IT治理的环境因素,规定了I治理的实施框架、实施环境和实施过程,并明确顶层设计治理、管理体系治理和资源治理的实施要求。该标准适用于:
1)建立组织的T治理实施框架,明确实施方法和过程;
2)组织内部开展IT治理的实施;
3)IT治理相关软件或解决方案实施落地的指导;
4)第三方开展IT治理评价的指导。
COBT中治理目标被列入评估、指导和监控 (EDM) 领域,在这个领地,治理机构将证估战略方案,指导高级经理层执行所选的战略方案并监督战略的实施。
管理目标分为四个领域:
1)调整、规划和组织APO) 针对T的整体组织、战略和支持活动;
2)内部构建、外部采购和实施(BAD)针对IT解决方案的定义采购和实施以及它们到业务流程的整合;
3)交付、服务和支寺(DSS) 针对IT服务的运营交付和支持,包括安全;
4)监控、评价和评估(MEA) 针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。
治理目标与治理流程有关,而管理目标与管理流程有关。治理流程通常由董事会和执行管理层负责,而管理流程则在高级和中级管理层的职责范围内。
IT审计重要性是指IT审计风险(固有风险、控制风险、检查风险) 对组织影响的严重程度,如: 财务损失、业务中断失夫客户信任、经济制裁等。
组织的IT目标主要包括:
1)组织的IT战略应与业务战略保持一致;
2)保护信息资产的安全及数据的完整、可靠、有效;
3)提高信息系统的安全性、可靠性及有效性;
4)合理保证信息系统及其运用符合有关法律、法规及标准等的要求。 (1分选择题)
总体审计风除是指针对单个控制目标所产生的各类审计风险总和。