接續上一章,Governance and Management of Enterprise IT (GEIT)的目的是確保IT與企業目標保持一致,於實施後提供價值交付和風險管理反饋,流程有IT資源管理、績效衡量、合規性管理、治理、管理
圖片來源:https://www.isaca.org/resources/news-and-trends/industry-news/2016/creating-value-with-an-enterprise-it-governance-implementation-model-using-cobit-5
制定 Standards, Policy, Procedures, Guidelines 來確保 C.I.A,訂出的辦法要合乎法令規範
治理管理: Standards(公認外部標準), Policy(管理層的指導方向)
營運: Procedures(實現Policy的步驟), Guidelines(公司準則)
Policy -> Procedures
IT戰略委員會: 董事會及專家組成,著重於未來議題的戰略目標
IT治理委員會: 公司高層,著重於執行面,審查長期及短期計畫
CISO: 推動資訊安全方案,可能由副主官兼任
可以採用PMP的 Responsibility assignment matrix(RACI)劃分權責
當責者(Accountable) 一件事只能有一個人
負責者(Responsible)
事先諮詢者(Consulted)
事後被告知者(Informed)
Name | Mark | John | kyo |
---|---|---|---|
PlanA | AR | C | I |
PlanB | C | A | R |
PlanC | C | I | A |
圖片來源:https://www.managertoday.com.tw/glossary/view/209
Job | RD | SEC | DBA | USER
-- | -- | -- | --
RD | N | X | X | X
SEC| X | N | X | O
DBA | X | X | N | X
USER | X | O | X | N
Audit trails 審計軌跡 : 提供流程圖,幫助追溯交易流程
Reconciliation 對帳: 確保兩組記錄是一致的過程
Exception report 查異常的報告
Transaction logs 查日誌紀錄
Supervisory review 監督審查,稽核單位加強監督
Independent review 獨立審查,確保獨立和客觀的審查,彌補在執行程序的過程中出現錯誤