COBIT 資訊及相關技術的管理、控制與稽核

Slides:



Advertisements
Similar presentations
早自修課推動班級家長說故事及 經驗分享活動。 寒假親師生戶外參訪 ~ 原鄉文化、田園野趣學 習之旅 ~ 造訪鍾理和紀 念館、文學步道。親師生戶外參訪.
Advertisements

第十章 資訊安全管理 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
報告書名:父母會傷人 班級:二技幼四甲 姓名:吳婉如 學號:1A2I0034 指導老師:高家斌
台北市立聯合醫院南軟門診部 皮膚科醫師簡介 溫素瑩醫師 學經歷: 中山醫學院醫學系畢業 台北醫學大學醫學資訊研究所碩士
第二节 信息技术及其影响.
第三組做的報告 . 組長:紀美朱 組員:謝寶岳 羅芳婷 李依芳 李銘賢 還有內容.
第3章 企业信息化的方针和战略规划.
眼屈光学 第三章 临床视觉光学.
第一章 会计信息系统 第一节 计算机会计概述.
教育的理想和教育家成长 成都.
方案設計與評估.
媽,我們真的不一樣 青少年期與中年期 老師: 趙品淳老師 組員: 胡珮玟4A1I0006 馬菀謙4A1I0040
第一章 管理的真谛.
重庆工商大学.
“Internet+” Business Innovation
用“自言自语法”提高学生 英语口头表达能力 李奉栖.
防制學生藥物濫用 高雄市教育局校外分會 林永興教官.
信息安全标准、法律法规及等级保护 温州市继续教育院 -信息安全继续教育培训 陆军波 /
班級:二幼三甲 姓名:郭小瑄 、 詹淑評 學號:1A2I0029 、1A2I0025
课程改革:培养学 生的独立人格 ——中学校长《课程改革 与校长担当》论坛的讲话 郭振有
私立學校 內部控制與稽核概述 教育部 技職司 劉火欽.
信息安全保障基本知识 培训机构名称 讲师名字.
绪 论  珍惜大学生活 开拓新的境界.
指導老師:陳韻如 姓名:吳宜珊 學號:4A0I0911 班級:幼保二乙
新竹縣政府警察局新埔分局偵查隊 姚乃文 何怡慧 富光國中
惠生在设计、采购、施工等环节特点与优势 1.
运营管理(Operations Management)
欢 迎 您 ! 荣县电大 毕忠权.
102學年度預算編製說明會 主辦單位:會計室 102/02/22.
南京审计学院国际审计学院 刘世林 教授主讲 2011年10月
傳統童玩遊戲創新 組別:第八組 班級:幼保二甲 組員: 4A0I0005柯舒涵 4A0I0011謝孟真
第九章 国际电子商务法 本章内容:电子商务主体及其权利义务; 两个《示范法》主要内容;电子商务合同;相关知识产权保护。
性別平等教育輔導團 到校服務 臺南市立崇明國民中學 總務主任 顏銘志.
第7章 廉洁行政与行政监督 主讲:张等菊.
2009年 初夏 某天 我 一個人 一輛車 計劃 沒有計劃 只想 漫無目的 到處亂晃 感覺夏天的散漫.
舌尖上的邵阳 Business And.
10.2 网络安全的基本概念  网络安全的重要性 计算机网络的广泛应用对社会经济、科学研究、文化的发展产生了重大的影响,同时也不可避免地会带来了一些新的社会、道德、政治与法律问题。Internet技术的发展促进了电子商务技术的成熟与广泛的应用。目前,大量的商业信息与大笔资金正在通过计算机网络在世界各地流通,这已经对世界经济的发展产生了重要和积极的影响。政府上网工程的实施,使得各级政府与各个部门之间越来越多地利用网络进行信息交互,实现办公自动化。所有这一切都说明:网络的应用正在改变着人们的工作方
班級:夜師資一甲 指導老師:蘇國榮老師 姓名:929201林佑蓉 石依縈 李玉玫 桂秀媛
市司法局党委党组织书记 党务工作者和党员培训班 市委组织部组织处 张 海
1.1信号与系统.
ISO 9001條文簡介 ( 2000年版) ISO9001訓練教材之二 顧問師 林弘炤.
第9课 北美大陆上的新体制 导入新课 新课教学 课堂小结 知识结构 巩固练习
企業會計資訊系統發展現況與電腦審計實務分享
企业目标, 风险与内部控制 - 通过风险管理实现企业目标
The Issue of Information Security Management 資安管理專題
品質管理系統 華南品規課 鴻准精密模具有限公司 2018/12/6.
Xiangping JIA Professor at College of Economics and Management,
ITIL,IT服务管理的最佳实践 ITIL的基本概念与主要内容 ITIL与现有IT服务管理模型的关系 最佳实践的种类、内涵与本质
第 一章 資訊安全導論 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
現金及內部控制 Cash and Internal Control
企業導入客戶關係管理(CRM) 執行計劃與效益分析(BSC)
飯店業的介紹.
資訊安全概論 Introduction to Information Security
資工系 各領域介紹 系上活動.
第二节 纤维性修复 概念:由于组织、细胞损伤过重或有感 染等,不能用完全再生方式加以修复; 而以增生的纤维母细胞和毛细血管组成
交通大學 運輸科技與管理學系 博士班二年級 朱佑旌
中国农业科学院博士后学术论坛 博士后基金申请的经验及体会 中国农业科学院生物技术研究所 秦 华 博士
Enterprise Resource Planning System 企業資源規劃系統
本章內容 組織的基本概念 什麼是組織理論 企業組織的系統觀 組織的績效 組織管理的趨勢 Chapter 1
Common Security Problems in Business and Standards
2009年 初夏 某天 我 一個人 一輛車 計劃 沒有計劃 只想 漫無目的 到處亂晃 感覺夏天的散漫 按鍵換頁--輕音樂欣賞.
資訊安全概論 樹德科技大學 資訊工程系 林峻立 助理教授.
审计学 2008年暑期双专班 第三讲 审计的方法 谢少敏.
软件开发理念 法会通知 点灯邀请与通知函 请柬与生日祝福 该年度犯太岁生肖信众与点灯通知 添油香与点灯拜斗纪录 与信众保持良好的互动关系…
所得稅法第14條、第126條修正條文 薪資所得計算方式二擇一 定額減除 特定費用減除 維持現行薪資所得特別扣除額20萬元減除方式
長期照護機構如何應用資訊工具協助管理 主講:周中和.
決策與管理決策 資訊管理系 王淑卿.
Simulink National Tsing Hua University
摘要簡報 作品名稱:魔鬼記憶問答 作者:台中市西屯區永安國民小學 葉政德老師、王素珍老師.
Presentation transcript:

COBIT 資訊及相關技術的管理、控制與稽核 報告人:徐敏玲 致遠會計師事務所 90年12月

大綱 COBIT來源簡介 COBIT 架構及內容簡介

COBIT來源簡介 1992年:ISACF (Information System Audit and Control Foundation)發起,參閱全球不同國家、政府、標準組織訂定之26份文件後,植基於其中之18份文件,分於歐洲(Free University of Amsterdam)、美國(California Polytechnic University)與澳洲(University of New South Wales)研擬COBIT,同時籌組COBIT指導委員會(Steering Committee)。 1996年:COBIT指導委員會公佈COBIT第一版。 1998年:COBIT指導委員會公佈COBIT第二版,將第一版之32個高階控制目標(High Level Control Objectives)擴充成34個。 2000年:COBIT指導委員會公佈COBIT第三版。

COBIT架構

COBIT架構 COBIT架構原則 企業控制模組(Business Control Model):COSO Report(Committee of Sponsoring Organization of Treadway Commission) IT控制模組:例如ISO/IEC 17799。

您需要什麼? 企業需求 您得到什麼? 資訊技術資源 資訊處理程序 現有資訊是否符合?

Data Events Information Facilities People Technology Application Systems Events Business Objectives Business Opportunities External Requirements Regulations Risks Information Effectiveness Efficiency Confidentiality Integrity Availability Compliance Reliability Technology Facilities Message Input Service Output People

資 訊 品 質 準 則 可 信 賴 性 安 全 性 優 質 性 資 料 硬 體 設 備 科 技 階段 (Domains) 應 用 系 統 資 訊 技 術 作 業 人 員 作業程序 (Processes) 資 訊 技 術 資 源 細步工作 (Activities/Tasks)

COBIT四大階段 規劃與組織 取得與建置 交付與支援 監督

營運活動 COBIT 資訊 監控 規劃與組織 資訊技術資源 交付與支援 取得與建置 1.有效性 2.效率 5.可用性 3.機密 6.遵行 PO1 擬定資訊策略性計畫 PO2 制定資訊架構 PO3 決定技術方向 PO4 訂定資訊技術的組織與關係 PO5 管理資訊技術投資 PO6 溝通管理目的與方向 PO7 人力資源管理 PO8 確定符合外部要求 PO9 風險評估 PO10專案管理 PO11品質管理 COBIT M1 監督處理程序 M2 評估內部控制的適當性 M3 取得獨立保證 M4 提供獨立性稽核 資訊 1.有效性 2.效率 3.機密 4.完整性 5.可用性 6.遵行 7.可靠性 監控 規劃與組織 資訊技術資源 1.資料 2.應用系統 3.科技 4.硬體設備 5.人員 交付與支援 DS1 制定服務水準 DS2 委外廠商的服務管理 DS3 績效與容量的管理 DS4 保證持續性的服務 DS5 確保系統安全 DS6 費用確認和歸屬 DS7 教育與訓練使用者 DS8 協助與建議資訊技術客戶 DS9 設備管理 DS10問題與異常事件之管理 DS11資料管理 DS12硬體設備管理 DS13操作管理 取得與建置 AI1 尋找自動化的解決方案 AI2 取得及維護應用軟體 AI3 取得與維護技術架構 AI4 開發及維護程序 AI5 安裝及認可系統 AI6 變更管理

規劃與組織 取得與建置 交付與支援 監控 資訊品 質準則 資訊 資訊 階段 技術 資源 P 有 效 性 效 率 機 密 性 完 整 性 有 效 性 效 率   機 密 性 完 整 性 可 用 性 遵 循 可 靠 性 規劃與組織 取得與建置 資訊品 質準則 交付與支援 資訊 階段 資訊 技術 資源 監控 ˇ 人 員 應用系統 科 技 硬體設備 資 料

規劃與組織 PO1. 訂定資訊策略性計畫 PO2. 制定資訊架構 PO3. 決定技術方向 PO4. 訂定資訊技術的組織與關係

規劃與組織 有效性 效率 機密性 完整性 可用性 遵循 可靠性 人員 應用系統 科技 硬體設備 資料 PO1 P V PO2 S PO3

PO1. 訂定資訊策略性計畫 資訊技術是組織長期與短期計劃的一部份 長期資訊計劃 長期資訊規劃-方法與結構 長期資訊計劃變更 資訊部門短期規劃 資訊計劃的溝通協調 資訊計劃的監控及評估 現行系統的評估

PO2.制定資訊架構 資訊架構模組 公司制定資訊辭典及資料語法規則 資料分類條件 存取安全層級

PO3.決定技術方向 技術基礎規劃 監控未來趨勢與法規 技術基礎的備援計劃 軟硬體取得計劃 技術標準

PO4.訂定資訊技術的組織與關係 資訊部門規劃/指導委員會 資訊部門之組織配置 組織的成績檢視 角色和責任 品質保證的責任 邏輯和實體安全的責任 所有權和監察人 資料和系統所有權 監督 責職劃分 資訊部門人員 資訊部門人員的工作和職位說明 主要關鍵資訊部門人員 人員得約聘政策及程序 關係

PO5.管理資訊技術投資 資訊部沒年度營運預算 成本與效益監控 成本與效益形成

PO6.溝通管理目的與方向 積極的資訊控制環境 政策中管理階層的責任 組織的溝通政策 政策執行資源 政策維護 遵循政策、程序與標準 品質保證 安全與內部控制架構政策 智慧財產權 特殊政策 資訊安全意識的溝通

PO7.人力資源管理 人員徵募與晉升制度 人員資格限制 角色與責任 人員教育訓練 輪調訓練或員工互相支援 人員清查程序 員工績效考核 轉調及終止合約

PO8.確保符合外部要求 外部要求覆核 符合外部要求的方法及程序 符合安全設施及人性化環境 隱私權、智慧財產權及資料流程 電子商務 符合保險合約

PO9.風險評估 營運風險評估 風險評估方法 偵測風險 風險測量 風險因應計劃 風險承擔 防護裝置的選擇 風險評估委員會

PO10.專案管理 專案管理架構 使用者部門參與專案策劃 專案小組成員及職責 專案定義 專案核准 專案階段核准 專案主計劃 系統品管檢核計劃 規劃檢核方法 正式的專案風險管理 測試計劃 訓練計劃 上線後覆核計劃

PO11.品質管理 一般品質管理 品質審核方法 品質審核計劃 品質審核檢查與資訊部門之標準及程序一致 系統開發生命週期循環方法 主要技術變動後的系統開發生命週期循環方法 系統開發生命週期循環方法的更新 協調與溝通 資訊技術硬體架構的採購與維護

PO11.品質管理(續) 委外導入人員之聯繫 程序書面標準 程序測試標準 系統測試標準 平行/先導測試 系統測試書面記錄 品質審核評估與研發標準一致 資訊技術目標達成的品質審核檢驗 品質衡量 品質審核檢視報告

取得與建置 AI1.尋找自動化的解決方案 AI2.取得及維護應用軟體 AI3.取得與維護技術架構 AI4.開發及維護程序

取得與建置 有效性 效率 機密性 完整性 可用性 遵循 可靠性 人員 應用系統 科技 硬體設備 資料 AI1 P S V AI2 AI3

AI1.尋找自動化的解決方案 定義資訊需求 制定替代方案 制定獲得策略 第三者服務提供之需求 技術可行性分析 經濟可行性分析 資訊架構 風險分析報告 存取安全成本效益分析報告 設計稽核軌跡

AI1.尋找自動化的解決方案(續) 工作對個人之適合性 選擇系統軟體 採購控制 軟體產品取得 外購軟體之維護 應用程式委外開發 設備驗收 技術驗收

AI2.取得及維護應用軟體 設計方法 現行系統的主要變更 設計內容之核准 制定系統檔案需求規格與其書面文件 程式規格 收集設計資料來源 制定系統輸入規格及其書面文件 制定系統介面規格 人機界面系統 制定系統處理需求規格及其書面文件

AI2.取得及維護應用軟體(續) 制定系統輸出需求規格及其書面文件 可控制點 可供做主要設計之因素 完整的資訊技術應用於程式軟體之驗證 應用系統測試 使用者參考及支援之手冊 重新評估系統設計

AI3.取得與維護技術架構 評估新的軟硬體 硬體的保養維護 系統軟體存取安全 系統軟體安裝 系統軟體維護 系統公用軟體的使用和監控

AI4.開發及維護程序 操作需求和服務水準 使用者操作程序手冊 操作手冊 訓練教材

AI5.安裝及認可系統 訓練 應用系統執行之程式大小 實施計劃 系統轉換 資料轉換 測試策略與計劃 變更系統的測試 平行/先導測試選取條件及進行 最後驗收測試 存取安全測試及認可 操作測試 晉升至正式運轉 評估使用者需求會議 管理當局覆核診斷上線後系統

AI6.變更管理 提出及控管變更需求 影響評估 變更的控制 緊急變更 書面文件與程序 維護授權使用程序 軟體公佈使用之政策 分發軟體

交付與支援 DS1. 制定服務水準 DS2. 委外廠商的服務管理 DS3. 績效與容量的管理 DS4. 保證持續性的服務

交付與支援 有效性 效率 機密性 完整性 可用性 遵循 可靠性 人員 應用系統 科技 硬體設備 資料 DS1 P S V DS2 DS3

DS1.制定服務水準 服務水準協定的架構 服務層級協議的方向 作業程序 監控及報告 檢討服務水準與合約 計費項目 服務改進計劃

DS2.委外廠商服務的管理 委外廠商的界面 業主的各種關係 委外廠商的合約 委外廠商的資格取得 外包合約 不間斷的服務 安全關係 監控

DS3.績效與容量的管理 可用性及績效要求 可用性計畫 監控與報告 模擬工具 前置作業管理 預估系統負載 資源容量管理 資源可用性 資源安排

DS4.保證持續性的服務 資訊技術持續性架構之計劃 資訊持續運作計劃之策略與原理 資訊持續運作計劃之內容 最低的資訊技術緊急應變需求 維護資訊技術緊急應變之計劃 測試資訊技術持續運作之計劃 資訊技術持續運作計劃之訓練 資訊技術持續運作計劃之分配 使用者部門替代步驟之支援程序 重要的資訊技術資源 備援場所與硬體設備 異地備份保管 總結程序

DS5.確保系統安全 管理安全方針 辨識、確認與存取 連線存取資料的安全 使用者帳戶管理 使用者帳戶的管理覆核 使用者對其帳戶的管理 安全管制 資料分類 中央辨識與存取權限管理 入侵與安全活動報告 意外事件處理

DS5.確保系統安全(續) 再鑑定 相對信任 授權處理 不可否認性 信任途徑 保護安全功能 密碼鑰匙管理 預防、檢測與修正惡意的軟體 建立防火牆並與大眾網路相連結 電子資產的保護

DS6.費用確認和歸屬 可計費的項目 成本計算程序 使用者帳務與計價程序

DS7.教育與訓練使用者 確認訓練的需求 訓練機構 安全原則及宣導訓練

DS8.協助與建議資訊技術客戶 問題處理中心 客戶問題的記錄 客戶問題的處理管道 問題解決的追蹤 趨勢分析與報告

DS9.設備管理 設備記錄 設備基準 狀態記錄 設備控制 未經授權的軟體 軟體儲存 設備管理程序 軟體的相關說明

DS10.問題與異常事件之管理 問題管理系統 問題呈報 問題追蹤及稽核軌跡 緊急與暫時的存取授權 緊急情況處理原則

DS11.資料管理 資料準備程序 原始文件授權程序 原始文件資料收集 原始文件錯誤處理 原始文件保存 資料輸入授權程序 資料之正確性、完全性與授權查核 資料輸入錯誤的處置 資料處理的完整性 資料處理驗證及編輯

DS11.資料管理(續) 資料處理錯誤的處置程序 資料輸出處置與保存 輸出分派 輸出資料之平衡與調整 輸出履核與錯誤處置 輸出報表的安全規定 傳送敏感性資訊之防護 敏感性資料的報廢防護 資料儲存管理 資料保留期及儲存條件

DS11.資料管理(續) 媒體館管理系統 媒體館管理責任 備份與回存 備份作業 備份儲存 歷史資料保存 敏感性資訊的保護 認證與一致性 電子交易之一致性 儲存資料的持續完整性

DS12.硬體設備管理(續) 實體安全 低調處理資訊技術場所標示 訪客陪同 資訊人員健康與安全 外在環境因素之安全防護 不斷電系統

DS13.操作管理(續) 處理作業程序指導說明 啟動程序及其它操作文件 工作排程 標準工作時程之差異 持續化處理 作業紀錄 防護措施特殊表格及輸出裝置 遠端作業

監控 M1.監督處理程序 M2.評估內部控制的適當性 M3.取得獨立保證 M4.提供獨立性稽核

監控 有效性 效率 機密性 完整性 可用性 遵循 可靠性 人員 應用系統 科技 硬體設備 資料 M1 P S V M2 M3 M4

M1.監督處理程序 收集監控資料 績效評估 客戶滿意度評估 管理報告

M2.評估內部控制的適當性 內部控制監控 內部控制之即時運作 內部控制等級報告 作業安全及內部控制保證

M3.取得獨立保證 針對資訊服務進行獨立性之存取安全及內部控制認證/鑑定 針對委外廠商服務提供者進行獨立性之存取安全及內部控制認證/鑑定 針對資訊服務進行獨立且有效評估 針對委外廠商服務提供者進行獨立且有效評估 獨立性之保證履行並遵行法律、法令規範及合約規定 獨立性之保證履行委外廠商服務提供者遵行法令、法令規範及合約規定 完整性獨立保證功能 主動參與稽核

M4.提供獨立性稽核 稽核契約 獨立性 專業道德及準則 技術能力 規劃 執行稽核工作 報告 後續追蹤的活動

Q & A?