本文节选自《信息化绩效评价:框架、实施与案例分析》,孙强、郝晓玲
4.9能不能举一个COBIT中过程的例子?
COBIT包括了技术相关的控制目标和方法,它们来自于41个国际公认的安全、审计和控制参考,是对一些问题的新的思考途径,而不是IT控制和审计程序的集合,这就导致COBIT不像BS7799或ITIL那样易于理解或实施。这里特以变更管理流程为例来介绍,之所以以变更管理为例,是因为分布式计算和互联网的广泛应用所产生的一个结果就是在计算活动中失去了对安全性的控制,也就是说,如下:
控制IT过程:
变更管理
以满足下列业务需求:
把破坏,非授权的改动和错误发生的可能性减少到最小
实现方法:
建立一套管理系统来分析,实施和跟踪所有针对现有的IT基础设施的变更请求和变更过程
同时考虑:
l 变更确定
l 分类,优先和紧急程序
l 影响评估
l 变更授权
l 发布管理
l 软件分配
l 自动工具的使用
l 配置管理
l 重新设计业务处理流程
AI 6 变更管理(以下为详细控制目标)
6.1 变更请求初始化和控制
IT 管理部门为保证所有变更可控,要做到:标准化系统的维护工作,以及符合规范的管理和程序。变更要进行分类,区分优先级,同时要有特殊的程序来处理紧急情况。变更请求人员应始终明了其请求所处的状态。
6.2 影响评估
用结构化的方式来评估,所有变更请求对操作系统及其功能上产生的影响。
6.3 变更控制
IT 管理部门应该保证变更管理,软件控制和分发都可以用一个综合配置管理系统来合为一体。用于监控应用系统变更的系统能够自动地记录和跟踪大型的,复杂的信息系统的变化。
6.4 紧急情况下的变更
当变更绕过了技术操作和以前管理评估正常的程序去执行操作时,IT 管理部门应该确立紧急情况下变更发生的参数和程序来控制这些变更。紧急情况的变更应该通过以前的IT 管理部门记录和授权实施。
6.5 文档和程序
变更程序应该确保不论什么时候实施系统变更,相关的文档和程序要相应地更新。
6.6 授权维护
IT 管理部门应该确保维护人员有详细具体的任务,同时要正确地监控他们的工作。另外,他们的访问权力应该被控制以避免对系统进行未授权访问的风险。
6.7 软件发布策略
IT 管理部门应该通过正常的程序来管理软件的发布,以保证正常完成,包装,回归测试,移交等。
6.8 软件的分发
应该建立具体的内部控制措施,来确保合适的软件单元完整地分发到了正确的地方,同时,使用合适的方法来获得审计踪迹。
这里我们再以紧急情况的变更管理为例介绍其控制措施如下:
AI6 变更管理
AI6.4 紧急情况的变更管理
当紧急情况发生时,正常的技术、操作和实施前的管理评估已不能正常进行,IT 管理部门应该判定紧急情况是否发生及实施控制程序来管理这些变更。紧急情况的变更实施应该通过IT 管理部门记录和正式授权。
IT 控制实务
(1)管理层应该定义紧急情况的特征和应对流程,以便识别、对外宣布和及时响应。
(2)所有的变更管理应记录,如果此前没做,事后及时补救。
(3)所有的变更管理应进行测试,如果此前没做,事后及时补救。
(4)所有的变更管理在实施之前,应由系统所有人和管理层正式授权和管理。
(5)记录变更前后的情形,变更日志要记录并保留以被日后检查。
通过实施变更管理控制实务将:
l 确保只有突然发生意外情况时才启动紧急情况管理流程。
l 确保不损坏机密性、完整性、可用性、可靠性及正确性的情况下实施紧急情况的变更。
欢迎您与作者探讨您的观点和看法,联系电话:010-51657848
电子邮件:GOV#ITGov.org.cn(请将#替换为@) 。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved