iT邦幫忙

第 11 屆 iThome 鐵人賽

1
Security

資訊系統安全稽核與 CISA 的簡單應用系列 第 22

[Day 22] 從GEIT建立政策及組織結構

接續上一章,Governance and Management of Enterprise IT (GEIT)的目的是確保IT與企業目標保持一致,於實施後提供價值交付和風險管理反饋,流程有IT資源管理、績效衡量、合規性管理、治理、管理

https://ithelp.ithome.com.tw/upload/images/20210121/20077752qKmOfntke6.jpg
圖片來源:https://www.isaca.org/resources/news-and-trends/industry-news/2016/creating-value-with-an-enterprise-it-governance-implementation-model-using-cobit-5

從GEIT建立政策

制定 Standards, Policy, Procedures, Guidelines 來確保 C.I.A,訂出的辦法要合乎法令規範
治理管理: Standards(公認外部標準), Policy(管理層的指導方向)
營運: Procedures(實現Policy的步驟), Guidelines(公司準則)
Policy -> Procedures

稽核的時候須注意:

  • IT目標是否與企業戰略目標一治
  • IT治理是否有效 (有沒有達到KPI)
  • IT資源被合理使用 (買合乎需求的設備、聘目標所需的人才)
  • IT資源的風險有被合理控制 (合法合規)

從GEIT建立組織結構及角色權限

IT戰略委員會: 董事會及專家組成,著重於未來議題的戰略目標
IT治理委員會: 公司高層,著重於執行面,審查長期及短期計畫
CISO: 推動資訊安全方案,可能由副主官兼任

可以採用PMP的 Responsibility assignment matrix(RACI)劃分權責
當責者(Accountable) 一件事只能有一個人
負責者(Responsible)
事先諮詢者(Consulted)
事後被告知者(Informed)

Name Mark John kyo
PlanA AR C I
PlanB C A R
PlanC C I A

https://ithelp.ithome.com.tw/upload/images/20210121/20077752bAfxXgu341.jpg
圖片來源:https://www.managertoday.com.tw/glossary/view/209

  • 職責分離矩陣 Segregation of duties control matrix

Job | RD | SEC | DBA | USER
-- | -- | -- | --
RD | N | X | X | X
SEC| X | N | X | O
DBA | X | X | N | X
USER | X | O | X | N

補償性控制

Audit trails 審計軌跡 : 提供流程圖,幫助追溯交易流程
Reconciliation 對帳: 確保兩組記錄是一致的過程
Exception report 查異常的報告
Transaction logs 查日誌紀錄
Supervisory review 監督審查,稽核單位加強監督
Independent review 獨立審查,確保獨立和客觀的審查,彌補在執行程序的過程中出現錯誤

稽核的時候須注意:

  • 未施行職責分離時的補償措施 (DBA功能權限由其他職務代理)
  • 查核日誌
  • 是否有過多的緊急事件
  • 過度依賴特定員工

上一篇
[Day 21] 企業IT治理與管理 (Governance and Management of Enterprise IT)
下一篇
[Day 23] 從GEIT制定管理規範
系列文
資訊系統安全稽核與 CISA 的簡單應用30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言