• Bookmark

GEIT 框架的实际应用,第 2 部分: 计划解决方案

作者:Peter C. Tessin,CISA、CRISC、CISM、CGEIT

COBIT Focus | 2018 年 6 月 11 日 English

本文章是 6 篇系列文章的第二篇,主要介绍企业 IT 治理 (GEIT) 框架的实际应用。本文重点介绍如何针对 第 1 部分 确定的问题计划解决方案。第 1 部分确定的问题是,组织所依赖的控制由管理层确定和设计,但却未安排任何人员从企业的角度负责监督控制组合。控制组合缺乏监督的这一情况带来了企业可能无法满足监管合规要求的风险。本文将介绍如何设计 GEIT 解决方案来解决缺乏监督(可称之为治理)的问题;谁需要执行此任务;以及他们应取得怎样的工作成果或输出。

用执行治理实施的人员的话来说,内部审计 (IA) 团队发现的根本问题是缺乏适当的监督。这表明对利益相关方需求的理解程度不够;未能将这些需求对应到企业目标、IT 相关目标和动力目标;以及缺乏数据或指标,证明内部控制环境的设计和运行确实能够保证符合企业的合规性要求。

现在我们需要的是以治理为中心的正式设计和结构,使得利益相关方的要求与企业和 IT 目标协调一致。经过合理的调整后,利益相关方可确信他们已涵盖所有确定的要求(外部和内部),并且可以识别任何资源短板。通过建立此正式结构,将会提供目前缺乏的内部控制环境完整视角。需要提醒的是,在 COBIT 中,利益相关方主要指的是内部利益相关方,例如董事会和高级管理团队。
 

设计治理结构和分配资源的基本预期是,它必须为利益相关方创造和提供价值,同时确保符合所有要求。


资源是有限的,项目或优先事务的资源争夺始终存在。这意味着利益相关方需要根据目标指定资源分配。设计治理结构和分配资源的基本预期是,它必须为利益相关方创造和提供价值,同时确保符合所有要求。


设计 GEIT 结构

COBIT 5 将用作治理结构设计的框架。COBIT 5 展示了如何筹划治理结构,以及定义为其提供支持所需的角色。该设计流程首先需要充分理解利益相关方的要求。COBIT 5 包含了常见利益相关方要求的示例,如图 1 所示。


图 1 — COBIT 5 企业目标与治理和管理问题的对应关系

图 1
资料来源:ISACA, COBIT 5,美国 2012 年。经许可转印。


第一项任务是确定有哪些与企业相关的要求,以及优先满足哪些要求。为简化这一过程,我们将焦点放在一项特定需求上。这一特定问题将通过治理结构设计进行追踪。

在了解审计结果和制定治理实施工作中的任务时,使用 COBIT 5 框架中如图 1 所示的“COBIT 5 企业目标与治理和管理问题的对应关系”将会很有帮助。IT 促成的投资如果缺乏透明度,可能导致缺乏监督的结果。这张目标与问题对应表可协助确定需要努力实现的企业目标。回顾图 1,有一项利益相关方需求似乎比较合适:“整个 IT 投入和投资是否透明?”在表中,此需求对应于企业目标 5“财务透明度”。

企业目标将会对应到一项 IT 相关目标,然后定义适当的资源来支持该目标的实现。企业目标将会对应到图 2 中的 IT 相关目标,在 COBIT 5 框架中可以找到这些目标。在此图中,财务透明度对应于 IT 相关目标 06“IT 成本、效益和风险的透明度”。


图 2 — COBIT 5 企业目标与 IT 相关目标的对应关系

图 2
资料来源:ISACA, COBIT 5, 美国 2012 年。经许可转印。


需要进行的最后一项对应是确定将运用哪些资源来支持 IT 相关目标。图 3 提供了 IT 相关目标与流程的对应关系,这是 GEIT 结构中资源的主要决定因素。


图 3 — COBIT 5 IT 相关目标与流程的对应关系

图 3
资料来源:ISACA, COBIT 5, 美国 2012 年。经许可转印。


图 3 中,IT 相关目标 06 主要由流程参考模型中的 8 个不同流程提供支持。我们从流程 APO13 管理安全开始,因为本案例研究中的组织去年曾在此方面进行了重大投资。APO13 主要关注信息安全管理体系 (ISMS)。


定义角色

有关流程 APO13 的详细信息,请参见《COBIT 5:启用流程》。流程划分为多项实践。多数情况下将在此级别执行实际工作。每项实践将说明需要哪些资源(输入),如何操作(描述和活动),以及将产生什么成果(输出)。

第一个关注点是了解哪些角色将参与企业内这一流程的实践。每个流程都有一份相关的执行人、责任人、被咨询人以及被通知人 (RACI) 表,其中按实践分别描述了执行人、责任人、被咨询人以及被通知人。确定角色的主要焦点在于责任人和执行人。

APO013 流程的 RACI 表显示,首席信息安全官 (CISO) 是每项实践的责任方。请注意,只能将一个角色指定为责任人。这将确保一致的方向和制定一致的绩效指标,这在后续阶段将非常重要。APO13 中的 3 项实践分别由 2 个角色承担了相应的责任,即首席信息官 (CIO) 和信息安全经理(IS 经理)。


应取得怎样的最终成果

定义每个角色将取得的计划工作成果。

流程 APO13 管理安全包含 3 项相关的实践。包括:

  • APO13.01 建立和维护 ISMS
  • APO13.02 确定和管理信息安全风险处置计划
  • APO13.03 监督和审查 ISMS

需要为每项实践定义工作成果,以了解总体资源要求。COBIT 5:启用流程提供了这些实践所产生的一般输出(图 4)。


图 4 — 管理实践和相关输出

实践

输出

APO13.01

ISMS 政策、ISMS 范围声明

APO13.02

信息安全风险处置计划、信息安全业务案例

APO13.03

ISMS 审计报告、关于改进 ISMS 的建议

资料来源:ISACA, 《COBIT 5:启用流程》,美国,2012 年。经许可转印。


应进一步描述每项工作成果,以方便识别和创建工作成果(图 5)。有关流程参考模型中创建的工作成果描述,可以参考《COBIT 流评估模型 (PAM):使用 COBIT 5》录 B.2“一级输出工作成果”中的图 19。图 5 显示了 APO13 的工作成果。


图 5 — 输出工作成果

工作成果

描述

ISMS 政策

将成为 ISMS 一部分的政策、标准或操作实践

ISMS 范围声明

ISMS 战略和计划文档或 ISMS 计划大纲的一部分

信息安全风险处置计划

基于风险概况的 ISMS 风险评估流程的一部分

信息安全业务案例

仅当信息安全项目或计划需要时提供

ISMS 审计报告

内部审计报告或月度信息安全报告的一部分,这些报告还将集成到安全事故响应和报告系统中

关于改进 ISMS 的建议

常规 ISMS 监控和报告的一部分。评估师会寻找或要求提供此内容。

资料来源:ISACA,《COBIT 流程评估模型 (PAM):使用 COBIT 5》,美国,2013 年。经许可转印。


项目计划 — 后续内容

本系列的下一篇文章将讨论适度使用模板创建项目计划,并展示解决问题需要的工作和时间。


Peter C. Tessin,CISA、CRISC、CISM、CGEIT

Tessin 是 Discover Financial Services 的一位高级经理。他负责领导商业技术 (BT) 风险部门内的治理小组。在此职位,他主要负责确保政策、标准和程序与企业目标保持一致。他既是负责监管考试管理的内部方,也是企业风险管理部门的内部联络人。在担任此职位之前,Tessin 是 ISACA ® 的一位技术研究经理,期间,他担任 COBIT 5 的项目经理,领导开发了其他 COBIT 5 相关的出版物、白皮书和文章。Tessin 还曾在 ISACA 网站 COBIT Online 的设计工作中担任核心角色,该网站提供了方便的途径访问 COBIT 5 产品系列,并且包含协助使用 COBIT 的交互式数字工具。在加入 ISACA 之前,Tessin 是一家内部审计事务所的高级经理,领导客户参与工作,并负责 IT 和财务审计团队。之前,Tessin 还曾担任多个行业职位,包括会计师、应用开发程序员、会计系统顾问和培训师、业务分析师、项目经理和审计师。他在原籍国美国之外的许多国家/地区有过丰富的工作经验,包括澳大利亚、加拿大、法国、德国、意大利、约旦、墨西哥和英国。