接續上一章，Governance and Management of Enterprise IT (GEIT)的目的是確保IT與企業目標保持一致，於實施後提供價值交付和風險管理反饋，流程有IT資源管理、績效衡量、合規性管理、治理、管理

圖片來源:https://www.isaca.org/resources/news-and-trends/industry-news/2016/creating-value-with-an-enterprise-it-governance-implementation-model-using-cobit-5

從GEIT建立政策

制定 Standards, Policy, Procedures, Guidelines 來確保 C.I.A，訂出的辦法要合乎法令規範
治理管理: Standards(公認外部標準), Policy(管理層的指導方向)
營運: Procedures(實現Policy的步驟), Guidelines(公司準則)
Policy -> Procedures

稽核的時候須注意:

• IT目標是否與企業戰略目標一治
• IT治理是否有效 (有沒有達到KPI)
• IT資源被合理使用 (買合乎需求的設備、聘目標所需的人才)
• IT資源的風險有被合理控制 (合法合規)

從GEIT建立組織結構及角色權限

IT戰略委員會: 董事會及專家組成，著重於未來議題的戰略目標
IT治理委員會: 公司高層，著重於執行面，審查長期及短期計畫
CISO: 推動資訊安全方案，可能由副主官兼任

可以採用PMP的 Responsibility assignment matrix(RACI)劃分權責
當責者（Accountable） 一件事只能有一個人
負責者（Responsible）
事先諮詢者（Consulted）
事後被告知者（Informed）

圖片來源:https://www.managertoday.com.tw/glossary/view/209

• 職責分離矩陣 Segregation of duties control matrix

Job | RD | SEC | DBA | USER
-- | -- | -- | --
RD | N | X | X | X
SEC| X | N | X | O
DBA | X | X | N | X
USER | X | O | X | N

補償性控制

Audit trails 審計軌跡 : 提供流程圖，幫助追溯交易流程
Reconciliation 對帳: 確保兩組記錄是一致的過程
Exception report 查異常的報告
Transaction logs 查日誌紀錄
Supervisory review 監督審查，稽核單位加強監督
Independent review 獨立審查，確保獨立和客觀的審查，彌補在執行程序的過程中出現錯誤

稽核的時候須注意:

• 未施行職責分離時的補償措施 (DBA功能權限由其他職務代理)
• 查核日誌
• 是否有過多的緊急事件
• 過度依賴特定員工