[Day 22] 从GEIT建立政策及组织结构

接续上一章，Governance and Management of Enterprise IT (GEIT)的目的是确保IT与企业目标保持一致，於实施後提供价值交付和风险管理反馈，流程有IT资源管理、绩效衡量、合规性管理、治理、管理

图片来源:https://www.isaca.org/resources/news-and-trends/industry-news/2016/creating-value-with-an-enterprise-it-governance-implementation-model-using-cobit-5

从GEIT建立政策

制定 Standards, Policy, Procedures, Guidelines 来确保 C.I.A，订出的办法要合乎法令规范
治理管理: Standards(公认外部标准), Policy(管理层的指导方向)
营运: Procedures(实现Policy的步骤), Guidelines(公司准则)
Policy -> Procedures

稽核的时候须注意:

• IT目标是否与企业战略目标一治
• IT治理是否有效 (有没有达到KPI)
• IT资源被合理使用 (买合乎需求的设备、聘目标所需的人才)
• IT资源的风险有被合理控制 (合法合规)

从GEIT建立组织结构及角色权限

IT战略委员会: 董事会及专家组成，着重於未来议题的战略目标
IT治理委员会: 公司高层，着重於执行面，审查长期及短期计画
CISO: 推动资讯安全方案，可能由副主官兼任

可以采用PMP的 Responsibility assignment matrix(RACI)划分权责
当责者（Accountable） 一件事只能有一个人
负责者（Responsible）
事先谘询者（Consulted）
事後被告知者（Informed）

图片来源:https://www.managertoday.com.tw/glossary/view/209

• 职责分离矩阵 Segregation of duties control matrix

补偿性控制

Audit trails 审计轨迹 : 提供流程图，帮助追溯交易流程
Reconciliation 对帐: 确保两组记录是一致的过程
Exception report 查异常的报告
Transaction logs 查日志纪录
Supervisory review 监督审查，稽核单位加强监督
Independent review 独立审查，确保独立和客观的审查，弥补在执行程序的过程中出现错误

稽核的时候须注意:

• 未施行职责分离时的补偿措施 (DBA功能权限由其他职务代理)
• 查核日志
• 是否有过多的紧急事件
• 过度依赖特定员工