COBIT 資訊及相關技術的管理、控制與稽核 報告人：徐敏玲 致遠會計師事務所 90年12月

大綱 COBIT來源簡介 COBIT 架構及內容簡介

COBIT來源簡介 1992年：ISACF (Information System Audit and Control Foundation)發起，參閱全球不同國家、政府、標準組織訂定之26份文件後，植基於其中之18份文件，分於歐洲(Free University of Amsterdam)、美國(California Polytechnic University)與澳洲(University of New South Wales)研擬COBIT，同時籌組COBIT指導委員會(Steering Committee)。 1996年：COBIT指導委員會公佈COBIT第一版。 1998年：COBIT指導委員會公佈COBIT第二版，將第一版之32個高階控制目標(High Level Control Objectives)擴充成34個。 2000年：COBIT指導委員會公佈COBIT第三版。

COBIT架構

COBIT架構 COBIT架構原則 企業控制模組(Business Control Model)：COSO Report(Committee of Sponsoring Organization of Treadway Commission) IT控制模組：例如ISO/IEC 17799。

您需要什麼？ 企業需求 您得到什麼？ 資訊技術資源 資訊處理程序 現有資訊是否符合？

Data Events Information Facilities People Technology Application Systems Events Business Objectives Business Opportunities External Requirements Regulations Risks Information Effectiveness Efficiency Confidentiality Integrity Availability Compliance Reliability Technology Facilities Message Input Service Output People

資 訊 品 質 準 則 可 信 賴 性 安 全 性 優 質 性 資 料 硬 體 設 備 科 技 階段 (Domains) 應 用 系 統 資 訊 技 術 作 業 人 員 作業程序 (Processes) 資 訊 技 術 資 源 細步工作 (Activities/Tasks)

COBIT四大階段 規劃與組織 取得與建置 交付與支援 監督

營運活動 COBIT 資訊 監控 規劃與組織 資訊技術資源 交付與支援 取得與建置 1.有效性 2.效率 5.可用性 3.機密 6.遵行 PO1 擬定資訊策略性計畫 PO2 制定資訊架構 PO3 決定技術方向 PO4 訂定資訊技術的組織與關係 PO5 管理資訊技術投資 PO6 溝通管理目的與方向 PO7 人力資源管理 PO8 確定符合外部要求 PO9 風險評估 PO10專案管理 PO11品質管理 COBIT M1 監督處理程序 M2 評估內部控制的適當性 M3 取得獨立保證 M4 提供獨立性稽核 資訊 1.有效性 2.效率 3.機密 4.完整性 5.可用性 6.遵行 7.可靠性 監控 規劃與組織 資訊技術資源 1.資料 2.應用系統 3.科技 4.硬體設備 5.人員 交付與支援 DS1 制定服務水準 DS2 委外廠商的服務管理 DS3 績效與容量的管理 DS4 保證持續性的服務 DS5 確保系統安全 DS6 費用確認和歸屬 DS7 教育與訓練使用者 DS8 協助與建議資訊技術客戶 DS9 設備管理 DS10問題與異常事件之管理 DS11資料管理 DS12硬體設備管理 DS13操作管理 取得與建置 AI1 尋找自動化的解決方案 AI2 取得及維護應用軟體 AI3 取得與維護技術架構 AI4 開發及維護程序 AI5 安裝及認可系統 AI6 變更管理

規劃與組織 取得與建置 交付與支援 監控 資訊品 質準則 資訊 資訊 階段 技術 資源 P 有 效 性 效 率 機 密 性 完 整 性 有 效 性 效 率   機 密 性 完 整 性 可 用 性 遵 循 可 靠 性 規劃與組織 取得與建置 資訊品 質準則 交付與支援 資訊 階段 資訊 技術 資源 監控 ˇ 人 員 應用系統 科 技 硬體設備 資 料

規劃與組織 PO1. 訂定資訊策略性計畫 PO2. 制定資訊架構 PO3. 決定技術方向 PO4. 訂定資訊技術的組織與關係

規劃與組織 有效性 效率 機密性 完整性 可用性 遵循 可靠性 人員 應用系統 科技 硬體設備 資料 PO1 P V PO2 S PO3

PO1. 訂定資訊策略性計畫 資訊技術是組織長期與短期計劃的一部份 長期資訊計劃 長期資訊規劃-方法與結構 長期資訊計劃變更 資訊部門短期規劃 資訊計劃的溝通協調 資訊計劃的監控及評估 現行系統的評估

PO2.制定資訊架構 資訊架構模組 公司制定資訊辭典及資料語法規則 資料分類條件 存取安全層級

PO3.決定技術方向 技術基礎規劃 監控未來趨勢與法規 技術基礎的備援計劃 軟硬體取得計劃 技術標準

PO4.訂定資訊技術的組織與關係 資訊部門規劃/指導委員會 資訊部門之組織配置 組織的成績檢視 角色和責任 品質保證的責任 邏輯和實體安全的責任 所有權和監察人 資料和系統所有權 監督 責職劃分 資訊部門人員 資訊部門人員的工作和職位說明 主要關鍵資訊部門人員 人員得約聘政策及程序 關係

PO5.管理資訊技術投資 資訊部沒年度營運預算 成本與效益監控 成本與效益形成

PO6.溝通管理目的與方向 積極的資訊控制環境 政策中管理階層的責任 組織的溝通政策 政策執行資源 政策維護 遵循政策、程序與標準 品質保證 安全與內部控制架構政策 智慧財產權 特殊政策 資訊安全意識的溝通

PO7.人力資源管理 人員徵募與晉升制度 人員資格限制 角色與責任 人員教育訓練 輪調訓練或員工互相支援 人員清查程序 員工績效考核 轉調及終止合約

PO8.確保符合外部要求 外部要求覆核 符合外部要求的方法及程序 符合安全設施及人性化環境 隱私權、智慧財產權及資料流程 電子商務 符合保險合約

PO9.風險評估 營運風險評估 風險評估方法 偵測風險 風險測量 風險因應計劃 風險承擔 防護裝置的選擇 風險評估委員會

PO10.專案管理 專案管理架構 使用者部門參與專案策劃 專案小組成員及職責 專案定義 專案核准 專案階段核准 專案主計劃 系統品管檢核計劃 規劃檢核方法 正式的專案風險管理 測試計劃 訓練計劃 上線後覆核計劃

PO11.品質管理 一般品質管理 品質審核方法 品質審核計劃 品質審核檢查與資訊部門之標準及程序一致 系統開發生命週期循環方法 主要技術變動後的系統開發生命週期循環方法 系統開發生命週期循環方法的更新 協調與溝通 資訊技術硬體架構的採購與維護

PO11.品質管理(續) 委外導入人員之聯繫 程序書面標準 程序測試標準 系統測試標準 平行/先導測試 系統測試書面記錄 品質審核評估與研發標準一致 資訊技術目標達成的品質審核檢驗 品質衡量 品質審核檢視報告

取得與建置 AI1.尋找自動化的解決方案 AI2.取得及維護應用軟體 AI3.取得與維護技術架構 AI4.開發及維護程序

取得與建置 有效性 效率 機密性 完整性 可用性 遵循 可靠性 人員 應用系統 科技 硬體設備 資料 AI1 P S V AI2 AI3

AI1.尋找自動化的解決方案 定義資訊需求 制定替代方案 制定獲得策略 第三者服務提供之需求 技術可行性分析 經濟可行性分析 資訊架構 風險分析報告 存取安全成本效益分析報告 設計稽核軌跡

AI1.尋找自動化的解決方案(續) 工作對個人之適合性 選擇系統軟體 採購控制 軟體產品取得 外購軟體之維護 應用程式委外開發 設備驗收 技術驗收

AI2.取得及維護應用軟體 設計方法 現行系統的主要變更 設計內容之核准 制定系統檔案需求規格與其書面文件 程式規格 收集設計資料來源 制定系統輸入規格及其書面文件 制定系統介面規格 人機界面系統 制定系統處理需求規格及其書面文件

AI2.取得及維護應用軟體(續) 制定系統輸出需求規格及其書面文件 可控制點 可供做主要設計之因素 完整的資訊技術應用於程式軟體之驗證 應用系統測試 使用者參考及支援之手冊 重新評估系統設計

AI3.取得與維護技術架構 評估新的軟硬體 硬體的保養維護 系統軟體存取安全 系統軟體安裝 系統軟體維護 系統公用軟體的使用和監控

AI4.開發及維護程序 操作需求和服務水準 使用者操作程序手冊 操作手冊 訓練教材

AI5.安裝及認可系統 訓練 應用系統執行之程式大小 實施計劃 系統轉換 資料轉換 測試策略與計劃 變更系統的測試 平行/先導測試選取條件及進行 最後驗收測試 存取安全測試及認可 操作測試 晉升至正式運轉 評估使用者需求會議 管理當局覆核診斷上線後系統

AI6.變更管理 提出及控管變更需求 影響評估 變更的控制 緊急變更 書面文件與程序 維護授權使用程序 軟體公佈使用之政策 分發軟體

交付與支援 DS1. 制定服務水準 DS2. 委外廠商的服務管理 DS3. 績效與容量的管理 DS4. 保證持續性的服務

交付與支援 有效性 效率 機密性 完整性 可用性 遵循 可靠性 人員 應用系統 科技 硬體設備 資料 DS1 P S V DS2 DS3

DS1.制定服務水準 服務水準協定的架構 服務層級協議的方向 作業程序 監控及報告 檢討服務水準與合約 計費項目 服務改進計劃

DS2.委外廠商服務的管理 委外廠商的界面 業主的各種關係 委外廠商的合約 委外廠商的資格取得 外包合約 不間斷的服務 安全關係 監控

DS3.績效與容量的管理 可用性及績效要求 可用性計畫 監控與報告 模擬工具 前置作業管理 預估系統負載 資源容量管理 資源可用性 資源安排

DS4.保證持續性的服務 資訊技術持續性架構之計劃 資訊持續運作計劃之策略與原理 資訊持續運作計劃之內容 最低的資訊技術緊急應變需求 維護資訊技術緊急應變之計劃 測試資訊技術持續運作之計劃 資訊技術持續運作計劃之訓練 資訊技術持續運作計劃之分配 使用者部門替代步驟之支援程序 重要的資訊技術資源 備援場所與硬體設備 異地備份保管 總結程序

DS5.確保系統安全 管理安全方針 辨識、確認與存取 連線存取資料的安全 使用者帳戶管理 使用者帳戶的管理覆核 使用者對其帳戶的管理 安全管制 資料分類 中央辨識與存取權限管理 入侵與安全活動報告 意外事件處理

DS5.確保系統安全(續) 再鑑定 相對信任 授權處理 不可否認性 信任途徑 保護安全功能 密碼鑰匙管理 預防、檢測與修正惡意的軟體 建立防火牆並與大眾網路相連結 電子資產的保護

DS6.費用確認和歸屬 可計費的項目 成本計算程序 使用者帳務與計價程序

DS7.教育與訓練使用者 確認訓練的需求 訓練機構 安全原則及宣導訓練

DS8.協助與建議資訊技術客戶 問題處理中心 客戶問題的記錄 客戶問題的處理管道 問題解決的追蹤 趨勢分析與報告

DS9.設備管理 設備記錄 設備基準 狀態記錄 設備控制 未經授權的軟體 軟體儲存 設備管理程序 軟體的相關說明

DS10.問題與異常事件之管理 問題管理系統 問題呈報 問題追蹤及稽核軌跡 緊急與暫時的存取授權 緊急情況處理原則

DS11.資料管理 資料準備程序 原始文件授權程序 原始文件資料收集 原始文件錯誤處理 原始文件保存 資料輸入授權程序 資料之正確性、完全性與授權查核 資料輸入錯誤的處置 資料處理的完整性 資料處理驗證及編輯

DS11.資料管理(續) 資料處理錯誤的處置程序 資料輸出處置與保存 輸出分派 輸出資料之平衡與調整 輸出履核與錯誤處置 輸出報表的安全規定 傳送敏感性資訊之防護 敏感性資料的報廢防護 資料儲存管理 資料保留期及儲存條件

DS11.資料管理(續) 媒體館管理系統 媒體館管理責任 備份與回存 備份作業 備份儲存 歷史資料保存 敏感性資訊的保護 認證與一致性 電子交易之一致性 儲存資料的持續完整性

DS12.硬體設備管理(續) 實體安全 低調處理資訊技術場所標示 訪客陪同 資訊人員健康與安全 外在環境因素之安全防護 不斷電系統

DS13.操作管理(續) 處理作業程序指導說明 啟動程序及其它操作文件 工作排程 標準工作時程之差異 持續化處理 作業紀錄 防護措施特殊表格及輸出裝置 遠端作業

監控 M1.監督處理程序 M2.評估內部控制的適當性 M3.取得獨立保證 M4.提供獨立性稽核

監控 有效性 效率 機密性 完整性 可用性 遵循 可靠性 人員 應用系統 科技 硬體設備 資料 M1 P S V M2 M3 M4

M1.監督處理程序 收集監控資料 績效評估 客戶滿意度評估 管理報告

M2.評估內部控制的適當性 內部控制監控 內部控制之即時運作 內部控制等級報告 作業安全及內部控制保證

M3.取得獨立保證 針對資訊服務進行獨立性之存取安全及內部控制認證/鑑定 針對委外廠商服務提供者進行獨立性之存取安全及內部控制認證/鑑定 針對資訊服務進行獨立且有效評估 針對委外廠商服務提供者進行獨立且有效評估 獨立性之保證履行並遵行法律、法令規範及合約規定 獨立性之保證履行委外廠商服務提供者遵行法令、法令規範及合約規定 完整性獨立保證功能 主動參與稽核

M4.提供獨立性稽核 稽核契約 獨立性 專業道德及準則 技術能力 規劃 執行稽核工作 報告 後續追蹤的活動

Q & A？