信息系统审计指南(COBIT-中文版)

本资料包含pdf文件1个，下载需要5积分

信息系统审计指南(COBIT-中文版)

1.1 作为机构长期和短期计划一部分的IT
高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面，高级管理层应确保IT有关事项以及机遇被适当地评估，并将结果反映到机构的长期和短期计划之中。IT的长期、短期计划应被开发，确保IT的运用同机构的使命与业务发展战略相结合。
1.2 IT 长期计划
IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。相应地，管理层应执行一个长期计划的编制过程，采用一种结构化的方法，并建立一个标准的计划结构。
1.3 IT 长期计划编制——方法与结构
对于长期计划的编制过程来讲，IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划，含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果，包括业务、环境、技术和人力资源的风险。计划编制期间，需要考虑和充分投入的方面包括：机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。IT长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划，比如机构的质量计划和信息风险管理计划。
1.4 IT 长期计划的变更
IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位，以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。
1.5 IT 功能的短期计划编制
IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这样的短期计划应确保适当的IT功能资源以与IT长期计划内容相一致的基础上来分配。短期计划应定期地进行再评估，并被作为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。