iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 21
0
Security

資訊系統安全稽核與 CISA 的簡單應用系列 第 21

[Day 21] 企業IT治理與管理 (Governance and Management of Enterprise IT)

  • 分享至 

  • xImage
  •  

前言

IT治理過程通常從為企業的IT設定目標開始,然後創建一個連續的循環衡量績效,以目標為基準並向前邁進或適當改變方向。
https://ithelp.ithome.com.tw/upload/images/20191006/20077752Y76dGT60hP.jpg
圖片來源:IT Governance Services


IT治理

  • 管理策略
  • 政策程序
  • 法令法規
  • 成熟度管理

IT管理

  • 資源管理
  • 供應商管理
  • 績效管理
  • 品質管理

COBIT

信息及相關技術控制目標(Control Objectives for Information & related Technology)
企業IT治理通過其IT投資為企業創造最大的增值,同時降低風險和優化資源。

ITIL

信息技術基礎架構庫(Information Technology Infrastructure Library
使IT服務可以在其整個生命週期中進行管理

https://ithelp.ithome.com.tw/upload/images/20191006/20077752UAJ09G4j17.png
圖片來源:http://effectiveitsm.com/

What’s the Difference Between ITIL and COBIT?

延伸閱讀

Information Security Architecture: Gap Assessment and Prioritization
https://www.isaca.org/resources/isaca-journal/issues/2018/volume-2/information-security-architecture-gap-assessment-and-prioritization

自上向下的企業安全體系結構方法可用於構建業務驅動的安全體系
https://ithelp.ithome.com.tw/upload/images/20210129/200777523QZxoQ9klU.jpg

  • Architecture Framework and Gap Assessment
  • Maturity Assessment
  • Risk Management
  • Architecture Controls Prioritization
  • Conclusion
    • 將安全控制與業務風險方案映射
    • 如果控件不到位,則確定信息安全風險評分
    • 確定相關控制的業務風險評分
    • 使用公式計算總體風險評分:總體風險評分=業務風險評分x信息安全風險評分
    • 根據總體風險評分對項目進行優先排序

邦友文章[IT營運心法]
https://ithelp.ithome.com.tw/users/20000375/ironman/267


上一篇
[Day 20] 稽核報告 (Report)
下一篇
[Day 22] 從GEIT建立政策及組織結構
系列文
資訊系統安全稽核與 CISA 的簡單應用30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2019-10-17 04:35:00

可怕的COBIT

Eugene iT邦研究生 5 級 ‧ 2019-10-17 08:52:39 檢舉

還沒研究裡面是寫什麼~

COBIT框架很大,ITIL只是其中一部分。但是光ITIL就可以寫好幾天,尤其他又依服務類別細分成好幾類

我要留言

立即登入留言