CISA笔记第二章.docx
《CISA笔记第二章.docx》由会员分享,可在线阅读,更多相关《CISA笔记第二章.docx(21页珍藏版)》请在冰豆网上搜索。
CISA笔记第二章
第二章IT治理
1.公司治理
整个组织层面的文化、决策和实务都必须通过公司治理来培养,公司治理被治理层定义为:
为所有股东创造和呈现价值的企业道德行为,公司治理为制定公司目标、确定实现目标和监督绩效的方式提供了框架。
2.董事会和高级管理层的监督和保证实务
IT治理是一个综合术语,它包括信息系统、技术和通讯、业务、法律相关事务,所有利益相关方、董事会、高级管理层、流程所有人、IT供应商、用户和审计师。
IT治理有助于确保IT和企业的目标保持一致。
以实现业务的价值。
Ø公司治理
应采用公认的最佳实践,并通过特定控制来保证其实施。
通过这些实践来贯彻组织方针,指导特定活动使用组织资源。
对活动的结果要进行测评和报告,为控制的维护和持续改进提供依据。
ØIT治理采用最佳实践来确保组织信息及相关技术支持业务目标和价值交付,确保资源得到合理使用、风险得到适当管理、绩效得到测评。
IT治理在根本上关注两方面问题:
IT向业务交付价值和IT风险得到管理。
前者由IT与业务的战略一致驱动,后者通过向企业分配责任来驱动。
2.1.IT治理的最佳实践
IT治理整合最佳实践并使之制度化,确保企业IT支持业务目标,IT治理的目的是指导IT工作,确保IT绩效满足IT目标符合企业目标的要求,并实现预期的收益。
2.1.1.审计在IT治理中的角色P58
IT治理包含了确定企业内如何应用IT的一系列问题,审计有助于确保组织满足所实施的IT治理的要求。
IT治理报告涉及组织最高层次,并可能是跨区域,跨职能、跨部门的,IS审计师应当确认已明确以下内容:
Ø工作范围:
包括清晰定义所涵盖的职能领域和事务;
Ø采用的报告路线:
使查出的IT治理问题能报告给组织最高层;
ØIS审计师对信息的访问权限,包括对组织内部和第三方服务提供商。
按照IS审计师的既定角色,需要评价与IT治理的相关内容:
ØIS职能与组织使命、愿景、价值、目标和战略的一致性;
Ø法律、环境、信息质量、委托、安全和隐私方面的要求;
Ø组织的环境控制;
ØIS环境的固有风险。
2.2.IT战略委员会
2.3.标准IT平衡记分卡
一种绩效评价体系,平衡计分卡已经发展为集团战略管理的工具,在集团战略规划与执行管理方面发挥非常重要的作用.根据解释,平衡计分卡主要是通过图、卡、表来实现战略的规划.
平衡计分卡是从财务、客户、内部运营、学习与成长四个角度,将组织的战略落实为可操作的衡量指标和目标值的一种新型绩效管理体系。
设计平衡计分卡的目的就是要建立“实现战略制导”的绩效管理系统,从而保证企业战略得到有效的执行。
2.4.信息安全治理
2.4.1.信息安全治理概述
信息安全治理成果:
Ø战略一致:
是信息安全与业务战略保持一致以支持组织目标,为达到战略一致,应当实现:
✓制定完全由企业需求驱动的安全要求,为必须完成的事项及其衡量标准提供指导;
✓结合考虑组织文化、治理模式、技术和组织结构等因素,制定符合企业流程的安全方案;
✓是信息安全投资与企业战略、既定的威胁、脆弱性和风险特征保持一致。
Ø风险管理:
管理和实施适当的措施以降低风险并减少对信息资源的潜在影响至可接受水平,为实现风险管理,应当考虑以下内容:
✓从整体上了解组织的威胁、脆弱性和风险特征;
✓了解危及法律、法规、运营符合性和影响上虞的风险及潜在后果
✓注意基于潜在后果的风险管理的优先次序;
✓在了解剩余风险的潜在后果基础上确定可接受风险水平。
Ø价值交付:
优化安全投资以支持业务目标。
Ø绩效衡量:
Ø资源管理:
有效利用信息安全知识与基础设施
Ø流程整合:
关注组织安全管理保证流程的整合。
有效的信息安全治理
Ø董事会与最高管理层的角色与职责
信息安全治理需要战略指导和推动力,需要为人、资源和为信息安全管理分配职责,也包括董事会确定其目标是否已实现的方式。
Ø董事会/高级管理层
批准政策、适当的监督和衡量指标、报告和趋势分析来实现。
Ø执行管理层
实施有效的安全治理和制定组织战略安全目标。
Ø指导委员会
为确保涵盖受安全事件影响的所有利益相关方,许多组织采用有受影响部门派出的高级代表组成知道委员会。
Ø首席信息安全官CISO
3.信息系统战略
3.1.战略规划
从IS角度看,战略规划是组织为了利用信息技术来改善业务流程而确定的长期发展方向。
3.2.指导委员会
高级管理层应当组建一个计划或指导委员会来监督IS职能及其活动,高层的信息技术指导委员会是确保IS部门与公司目标协调一致的重要因素。
该指导委员会的主要职能是:
Ø审查IS部门的长期和短期计划以确保其符合公司目标;
Ø在董事会批准的权限内,审查和批准重要的硬件和软件获取;
Ø批准并监督重要项目\is计划及预算进度,设定优先级,批准标准何流程并监督所有的IS绩效。
Ø审查和批准所有IS活动的承包策略,包括内保或外包职能
Ø审查资源的充分性以及时间、人力和设备资源的分配情况
Ø在集中与分散管理之中做出决策并分配职责
Ø对制定和实施,企业级信息安全管理程序提供支持
Ø向董事会报告IS活动
4.政策和程序
政策和程序反映了管理层对信息系统的控制方面的指导方针。
4.1.政策
政策是高层次的文件,代表了组织的企业文化和高级管理层与业务流程所有人的战略思考。
根据公司政策采用自上而下的方法来制定底层政策是好的选择,确保了各级政策的一致性,然而有些组织选择自下而上的方法,因为这些政策都是基于风险评估的结果而制定和实施的,但容易造成政策间的不一致。
信息安全政策应表明管理层的承诺并陈述组织管理信息安全的方式,政策文件应当包括:
Ø信息安全的定义、整体目标和范围,安全作为信息共享的促进机制的重要性;
Ø陈述管理层意图,支持信息安全和业务战略和目标保持一致;
Ø设定控制及控制目标的框架,包括风险评估和风险管理的组成内容;
Ø简要说明安全政策、原理、标准以及重要符合性要求:
✓对法律法规及合同要求的符合性
✓安全教育、培训和意识需求
✓业务连续性管理
✓未被信息安全政策的后果
Ø明确信息安全管理人员的总体及具体职责,包括报告信息安全事件;
Ø政策所参考的文件
4.2.程序
程序是为实施政策而制定的制度化的详细步骤,必须根据上层政策来制定并体现政策的精神和意图
5.风险管理
风险管理是组织用于识别信息资源的脆弱性及威胁,制定相应对策,以实现组织业务目标的过程。
任何风险,都应当基于信息资源对组织的价值,将其降低至可接受水平。
风险管理包括识别、分析、评估、处置、监督和沟通IT流程的风险影响。
一旦确定了风险偏好与分先承受能力,就可以指定风险管理策略并分配职责。
根据风险类型及其对业务的影响程度,董事会和管理层可以选择一下措施来应对风险:
Ø避免风险
Ø降低风险
Ø转移风险
Ø接受风险
5.1.制定风险管理程序
确定风险管理程序的目的:
第一步是确定组织建立风险管理程序的目的,可能是降低保险费用,或者是减少相关系统的损害。
为风险管理计划分配职责:
第二步是为制定和实施组织的风险管理程序向个人或团队分配职责。
5.2.风险管理过程
风险管理过程第一步是对那些由于具有脆弱性而受到威胁,需要保护的信息资产进行识别并分类。
资产包括:
Ø信息和数据
Ø硬件
Ø软件
Ø服务
Ø文档
Ø人员
第二步是评估信息资源相关的威胁和脆弱性,及其发生的可能性。
威胁种类有:
Ø错误
Ø恶意损坏
Ø欺诈
Ø盗窃
Ø设备或软件故障
威胁的发生是由于脆弱性,脆弱性是信息资源的特征,可以被威胁利用并造成损坏,脆弱性包括:
Ø用户知识匮乏
Ø安全职能缺失
Ø使用弱口令
Ø未经测试的技术
Ø补交保护的通讯传输
发生任何威胁后造成的结果称为影响,它能导致损失,损失例子有:
Ø直接货币损失
Ø违反法律法规
Ø商誉或声誉损失
Ø危机员工或顾客
Ø损害信用
Ø丧失业务机会
Ø降低运营效率及业绩
Ø业务活动的中断
一旦确定风险因素,综合考虑这些风险因素就形成了对风险的总体评价。
对各类风险因素进行综合的常用方法是计算每一类威胁对脆弱性的影响,汇总得出整体风险值。
风险确定后,就可以评价现有控制或设计新控制来降低脆弱性至可接受水平。
这些控制就好是安全措施,可以是某项活动、设备、规程、技术等。
在评价控制强度时应当考虑的控制要素包括:
预防性、检查性、纠正性。
是手动还是自动化,是正式还是临时的。
实施控制之后所保持的风险水平称为剩余风险,用于管理层找出更多控制领域以进一步降低
5.3.风险分析方法
5.3.1.定性分析方法P83
定性的风险分析方法是用文字或文字分级来描述风险的影响及发生可能性,是最简单、常用的分析方法,通常是用检查表及主观的风险分级,如高、中、低。
这种方法缺少严密性,通常用在财务会计及管理方面。
5.3.2.半定量的分析方法
半定量的风险分析方法采用文字分级与量化分级相结合的方式,常常用在不能使用定量分析方法或为了降低定性分析方法的主观因素时。
5.3.3.定量分析方法
定量分析方法使用数值来描述风险发生的可能性及其影响,分析中所用数据有多种不同的来源,如历史数据、过去的经验值、行业数据、统计理论、测试和实验值等。
通常在业务影响分析BIA过程中使用定量风险分析方法,主要问题时如何量化信息资产。
Ø概率与期望值
如果有足够的历史数据来分析其趋势或模式,就可以在一定范围内预测风暴发生的概率。
如果事件发生概率用P表示,0≤P≤1,与事件相关受影响的资产用V表示,那么损失值为V*P(资产*事件发生的可能性)
Ø年预期损失方法
ALE方法采用量化的方式简化了对资产价值V与事件概率P的赋值。
6.IS管理实务
IS管理实务反映的是为各种IS相关管理活动所涉及的政策与程序的实施情况。
6.1.人力资源管理
人力资源管理涉及到人员的招聘、选用、培训和晋升、业绩考评、员工纪律、继任计划等组织政策与程序。
6.1.1.聘用
聘用常用控制:
Ø背景调查
Ø保密协议
Ø员工保证保护公司财产不被盗窃、滥用和忽视
Ø利用冲突协议
Ø职业行为道德
Ø竞业禁止协议
控制风险包括:
Ø员工可能不适合聘用的职位
Ø未对员工进行背景调查
Ø临时员工及第三方人员可能引入未受控制的风险
Ø缺乏保密意识可能导致对整体安全环境的损害
6.1.2.员工手册
员工手册在聘用时发给新员工,适当解释以下内容:
Ø安全政策和规程
Ø准许及禁止的行为
Ø组织价值和道德规范
Ø公司期望
Ø休假政策
Ø加班规定
Ø兼职规定
Ø业绩考评
Ø应急规程
Ø过度缺勤纪律处分
Ø违反保密或安全规定
Ø不遵守政策
6.1.3.晋升政策
6.1.4.培训
6.1.5.日程安排和工时报告
6.1.6.员工绩效评价
6.1.7.强制休假
强制休假确保每年至少一次有常规人员之外的其他人来代行职责,这种做法减少了进行不正当或违法行为的机会,只要不存在员工相互串通掩盖问题,在强制休假期间就有可能发生欺诈行为。
工作轮换为减少欺诈或恶意行为的风险提供了额外的控制,因为同一个员工不长期执行同一个任务,这也为由常规职责之外的其他人来代行职责并发现可能的违规行为提供了机会。
6.1.8.解聘政策
6.2.采购实务
采购实务是组织获取支持所需IS职能的方式,组织可以通过集中方式在内部实施全部IS职能,也可以在全球范围对所有职能进行外包。
IS职能的交付方式:
内包:
全部由组织内员工实施
外包:
全部由供应商实施
混合方式
IS职能可以在全球范围内实施:
现场:
员工直接在IS部门现场工作
离场:
也称为近岸,员工在同一地理区域内的不同地点远程工作
离岸:
员工在不同的地理区域远程工作
6.2.1.外包实务和战略
外包实务是组织根据合同协议,将部分或全部IS职能转交给外部组织来执行。
6.2.2.全球战略与实务
6.2.3.外包及第三方审计报告
6.2.4.外包治理
治理应当提前计划并作为优化服务成本的一部分建立在合同中,治理流程应当根据需要及外包关系的变化而调整,以适应服务需求及交付的变化和技术革新。
6.2.5.能力及成长计划
IT能力及成长计划对企业至关重要,他必须反映业务的长、短期计划,并且必须结合预算流程来考虑。
6.2.6.管理第三方服务交付
所有使用第三方服务的组织都应当有一个服务交付管理系统,按照第三方服务交付协议来实施和维护适当的信息安全水平及服务交付。
Ø服务交付
第三方服务交付协议中安全控制、服务定义和交付水平应当由第三方来实施、运营和维护。
第三方组织的服务交付内容应当包括既定的安全部署、服务定义及服务管理等方面。
Ø监督和检查第三方服务
应当对第三方所提供服务、报告和记录定期进行监督和检查,并定期实施审计。
Ø第三方服务的变更管理
6.2.7.服务改善及用户满意度
SLA:
Service-LevelAgreement的缩写,意思是服务等级协议。
服务等级协议是关于网络服务供应商和客户间的一份合同,其中定义了服务类型、服务质量和客户付款等术语。
SLA为外包商执行IS职能设定了基准,另外,组织可以在合同中设定预期的服务改善、相关的处罚及奖励,服务改善内容包括:
Ø减少帮助台的呼叫次数
Ø减少系统错误数量
Ø改善系统可用性
服务改善应当经过用户同意,IT目标应当是改善用户满意度并实现业务目标,应当通过用户访谈和调查来监督用户满意度。
6.2.8.行业标准和基准
6.3.组织变更管理
确保IS部门充分理解用户期望,以便在变更实施中不会遭到用户拒绝或忽视。
6.4.财务管理实务
6.4.1.IS预算
IS管理层必须编制预算
6.5.质量管理
质量管理是控制、衡量和改善IS部门流程的一种方法,IS部门制定并维护书面流程是有效管理信息资源的证据,ISO9001:
2000。
IS审计师关注IS部门是否存在管理以下职能的最新流程文件:
Ø计算机操作
Ø服务管理
Ø系统软件采购、实施和维护
Ø硬件采购和维护
Ø应用软件采购或开发维护
Ø管理报告
Ø物理、逻辑安全
Ø短期长期计划
Ø工时报告
ØHR管理
6.6.信息安全管理
6.7.绩效优化
6.8.IS组织结构和职责
6.8.1.IS角色和职责
每个员工都应有一份组织结构图,它提供了清晰的部门结构和职权,工作描述为IS部门员工的角色和职责提供了清晰的指导。
IS审计师应当在被审计人的工作现场进行观察以确认工作描述和结构是否充分,通常应当审查一下IS职能:
Ø系统开发经理:
负责管理实施新系统和维护现有系统的程序员及分析员。
Ø服务台:
Ø最终用户:
负责操作相关的业务应用服务
Ø最终用户支持经理:
负责联络IS部门和最终用户
Ø数据管理员:
负责大型IT环境下的数据结构、管理公司数据资产
Ø质量保证经理:
负责协调和推动所有信息技术领域的质量活动
Ø信息安全管理员:
需要与IS部门进行分离并有CISO直接领导的职能。
6.8.2.供应商和外包商管理
6.8.3.基础设施运行和维护
6.8.4.介质管理
介质管理员负责记录、发放、接受和保管存在介质上的所有程序及数据文件。
6.8.5.数据录入
6.8.6.系统管理
6.8.7.安全管理
6.8.8.质量保证
质量保证员通常执行两种不同任务:
质量保证QA:
帮助IS部门确保其人员遵守规定的质量程序
质量控制QC:
负责执行测试和审查,以验证并确保软件不存在缺陷并满足用户预期,它可以在应用系统开发的各个阶段进行,但必须在程序被迁移到生产环境之前进行。
6.8.9.数据库管理
6.8.10.系统分析员
系统分析员是基于用户需求来涉及系统的专家,通常在系统开发生命周期SDLC的发起阶段介入,他们解释用户需求,编制需求和功能说明书,高层设计等文档。
6.8.11.安全架构师
安全架构师评估安全技术,涉及网络拓扑、访问控制、身份管理和其他安全系统相关的安全内容,制定安全政策和安全要求。
6.8.12.应用开发和维护
应用程序员负责开发和维护应用系统,包括开发新代码、变更现有设置或配置应用系统。
管理成必须确保他们不能修改生产环境中的程序和数据,职能在测试环境下工作,应当将其工作成果交个另外一个团队,来把程序和应用变更迁移到生产环境中。
6.8.13.基础设施开发和维护
基础设施人员负责维护包括操作系统在内的系统软件,该职能可能需要无限制访问整个系统的权限,IS管理人员必须严密监控其活动,保留相关活动计算机日志并保护其不受改变。
应当只允许技术设施人员访问其负责维护的特定软件系统库,对域管理用户和超级用户的使用应当严格加以控制和监督。
6.8.14.网络管理
网络管理员负责管理基础设施中的关键组成部分、局域网的安全管理,可以拥有系统程序员及最终用户的职责,但不应当有应用程序编程的职责。
6.9.IS内的职责分离
职责分离可以避免由于某一个人负责多个关键职位而造成不能再日常业务活动中及时发现其错误或滥用行为的可能性,职责分离是阻止和预防欺诈恶意行为的重要方式。
应分离的职责包括:
Ø资产保管
Ø授权
Ø交易记录
如果职责分离不充分,可能导致:
Ø资产的滥用
Ø错误的财务报告
Ø不准确的财务记录
Ø无法检测到对资金的不当使用或数据的修改
Ø无法检测到对数据和程序的非授权或错误更改及修改
P103
6.10.职责分离控制
加强职责分离可以采用一些控制机制。
6.10.1.交易授权
交易授权是用户部门的职责,授权是指对部门中人员授予一定程度的职责水平。
管理层和审计应当定期进行检查,以发现非授权交易记录。
6.10.2.资产保管
组织必须确定并适当分配资产保管责任。
数据所有人通常指定为特定的用户部门,其职责应当书面说明。
数据所有人负责确定能充分保证安全所需的授权水平,而管理组通常负责实施和加强安全体系。
6.10.3.数据访问
对数据访问的控制是通过在用户场所和IPF综合采用物理层、系统层及应用层安全措施组成的。
必须保护物理环境,以防止非授权人员访问与中央处理单元连接的各种物理设备。
系统层和应用层安全则可以预防非授权人员访问企业数据。
访问控制职责决策应基于组织政策、职责分离、最小授权原则。
授权单
用户部门管理人员必须向IS部门提交正式的授权单,明确员工的访问权限。
所有员工应当通过正式的申请和批准才被授予特定系统的访问权限,应当保留签字授权单,应将申请表和签字单进行核对,应定期审查访问权限以确保它们与用户工作职责是匹配的。
用户授权表
IS部门应当使用授权单的数据来建立和维护用户授权表,明确谁有权更新、修改、删除和查看数据,应当采用控制日志记录所有用户的活动情况,管理层应定期对日志进行审查,并对所有例外事项进行调查。
6.10.4.对缺乏职责分离的补偿控制
小型组织IS部门可能仅有4-5个人,必须采取补偿控制来降低缺乏职责分离所带来的风险。
补偿控制包括:
审计轨迹:
IS审计师应当能确定谁发起交易,发起日期及时间,数据类型,涉及哪些字段,更新了哪些文件等。
核对:
核对是用户的最终责任,有些组织中可能有数据控制组使用控制总计和平衡表对应用系统执行部分核对功能,这种独立的验证增加了应用系统处理的正确性及数据平衡的可信度水平。
例外报告:
例外报告应当有主管层处理并且需要留下证据,例如:
在报告上签字、注明例外已恰当处理等。
管理层还应当确保例外能及时得到解决。
交易日志:
交易日志可以是手工活电子化的,手工日志的例子有提交处理之前的交易记录,电子交易日志为所有已处理的交易保留一份记录并通过计算机系统来维护。
监督性审核:
监督性审核可以通过现场观察、访谈或远程执行。
独立性审核:
执行独立性审核是对错误或故意违反既定流程的补偿控制。
在职责不能恰当分离的小型组织中这种审核尤其重要,可以帮助检测错误或违规情况。
6.11.审计IT治理结构及实施情况
IS审计师在审计IS职能时会关注很多情况,其中表明可能存在潜在问题的重要信号有:
Ø最终用户的态度不友好
Ø过多成本
Ø预算超支
Ø延期项目
Ø过高的员工离职率
Ø缺乏经验的员工
Ø频繁的软硬件故障
Ø用户请求的过度积压
Ø迟缓的计算机响应时间
Ø大量的终止或暂停的开发项目
Ø不受支持或XX的软硬件采购
Ø频繁的软硬件升级
Ø大量的例外报告
Ø未跟踪处理的例外报告
Ø缺乏动力
Ø缺乏持续性计划
Ø依赖一两个关键员工
Ø缺乏充分培训
6.11.1.审核文档
应当审核以下文档:
ØIT战略、规划和预算:
它们为IS环境的规划和管理控制与业务战略的一致提供证据
Ø安全政策文档:
提供了符合性标准,声明组织对所有安全风险的立场,指明谁对公司资产的安全保护负责,描述为提供充分保护锁应当采取的预防措施、针对违规人员采取的行动等
Ø组织图或职能图:
他们帮主IS审计师理解某个特定部门或组织的报告路线,描述了职责划分,并指出了组织内部职责分离的程度。
Ø工作说明:
描述了组织内所有职位的职责和职能,为组织提供了将类似工作按照不同的层次进行分组的能力,确保公平地按劳动分配报酬。
工作说明也指明了组织内职责分离的程度,可以帮助识别潜在的职冲突。
Ø指导委员会报告:
这些报告提供了新系统项目的书面信息,应当有高层管理人员审阅,并分发到组织内的各个业务单元。
Ø系统开发和程序变更流程:
他们为系统开发或程序变更提供了框架
Ø操作流程:
描述了运行人员的职责,
Ø人力资源手册:
为员工行为提供了组织所确定的原则和规定
Ø质量保证程序:
提供了IS部门应当遵循的框架和标准
对各类文档的审核应当进一步评估以确定:
Ø其制定是否根据管理层授权并符合管理层意图
Ø是否符合当前状况,是否得到及时更新
6.11.2.审核合同条款
计算机硬件、软件和IS服务合同有许多阶段:
包括:
Ø制定合同需求和服务水平
Ø合同竞标过程
Ø合同选择过程
Ø合同接受
Ø合同维护
Ø合同遵守
在抽查合同时,IS审计师应当评价下述条款和条件的充分性:
Ø服务水平
Ø审计权或第三方审计报告
Ø软件第三方托管
Ø未遵守条款的处罚
Ø对安全政策和规程的遵循性
Ø保护客户信息
Ø合同变更流程
Ø合同终止及相关处罚
升级会员 