Share on:


GEIT 框架的实际应用,第 5 部分: 确认结果

作者:Peter C. Tessin,CISA、CRISC、CISM、CGEIT

COBIT Focus | 2018 年 10 月 2 日 English

对任何长期计划而言,识别问题、制定缓解计划、定义适当的工作成果,并执行这些成果和计划之后,计划也就进入最后一个重要阶段。这也是本系列文章的主旨所在。在最后一个部分,“APO13 管理安全”流程已得到充分实施,并做好了按常规业务形式运行的准备。在此项目阶段,相关人员往往已经开始庆祝,认为工作已圆满完成,可以继续下一项计划了。但事实上,项目此时还不完整。即便尽最大的努力,也总会有偏离计划的时候。因此,本文将讨论最后一步:根据流程目标和指标的达成情况来验证流程是否有效运行。

有关流程目标和指标,可参考《COBIT 5:启用流程》中各个流程介绍的开头部分。虽然没有列出具体数字,但每个流程都显示了相应的指标。图 1 显示了“APO13 管理安全”流程的流程目标和指标。


图 1 — APO13 流程目标和指标

流程目的

相关指标

1. 实施了考虑并有效解决企业信息安全要求的系统。

  • 明确定义的关键安全角色的数量
  • 安全相关事故的数量

2. 在整个企业范围内制定、接受并传达了安全计划。

  • 整个企业范围内的利益相关方对安全计划的满意度
  • 偏离计划的安全解决方案数量
  • 偏离企业架构的安全解决方案数量

3. 在整个企业范围内始终实施和运行信息安全解决方案。

  • 经确认符合安全计划的服务数量
  • 由于未遵守安全计划而导致的安全事故数量


每项目标都有多个相关的指标,具体说明可以进行证明的人工产物。确认指的是分别生成这些人工产物,然后将实际结果与预期设计进行比较。通过检测每个流程目标是否存在及其运作有效性来确认结果。执行确认工作的人员应包括项目管理办公室,还可能包括具备相应资格和工作经验的内部审计人员。


流程目标的确认

每个流程都有一系列目标和相关指标,用于确定和衡量流程是否得到实施以及绩效如何。通过在最初设计流程时纳入这些指标,可以更好地实现或推动流程的绩效衡量。如果治理结构的设计人员或架构师把这些目标和指标纳入设计,将有助于后续的绩效衡量,使其更容易遵循,并且得到更有意义的结果。绩效衡量将由流程所有者和内部审计部门共同执行。内部衡量获取的结果可用于优化流程改进和支持关于内部控制有效性的管理主张。

  1. 确认实施了考虑并有效解决企业信息安全要求的系统
    • 指标— 明确定义的关键安全角色的数量
      在项目早期制定了 RACI(执行人、责任人、被咨询人以及被通知人)表,并将每项实践描述的角色纳入组织结构中,或至少确认已存在这些角色。这是确定并确认已存在适当且有效的安全角色的第一步。信息安全管理系统 (ISMS) 政策还应规定,安全人员应具备资质并持续学习知识。
      获取组织架构图,其中列出了安全角色和当前担任这些角色的员工姓名。向人力资源 (HR) 部门索取证明,证实每个角色都符合知识要求,至少达到了可接受的技术技能水平。每个角色的培训计划将被视为更高级别的能力,在评估时将予以加分。
    • 指标— 安全相关事故的数量
      一旦有最新的服务事故日志,随即要求服务经理提供相应的副本。确保及时记录事故、充分描述问题、详细说明相关控制并附上解决方案。每个事故必须有一个负责人,由其提供资源和责任事故的状态。
  2. 确认在整个企业范围内制定、接受并传达了安全计划。
    • 指标— 整个企业范围内的利益相关方对安全计划的满意度
      事故解决流程应包含客户满意度功能。此外,应定期在仪表盘上报告事故解决方案的统计信息,以供所有利益相关方了解情况。
      客户满意度概念和报告应由首席信息安全官 (CISO) 审核和批准。定期报告通常由服务经理提供。获取最近的投票或调查示例,这些信息可表明事故解决满意度的衡量结果。
    • 指标— 偏离计划的安全解决方案数量
      适当的安全解决方案也有可能偏离安全计划,发生这种情况时,必须有足够的文档来提供合理的业务案例和理由。不能频繁发生偏差,而且必须由相关方、CISO、首席信息官 (CIO) 或其他企业高管或其代表进行审查和批准。
      索要所有计划偏差实例并确认已得到适当的审核和批准。计划偏差可由批准方、服务经理或信息安全经理提供。
    • 指标— 偏离企业架构的安全解决方案数量
      与计划偏差一样,只能有少量的架构偏差。必须仔细考虑导致架构偏差的任何情况,因为企业架构中的连锁效应可能会带来意外后果,导致风险显著增加。
      索要所有架构偏差实例并确认得到适当的审核和批准。架构偏差可由批准方、服务经理或信息安全经理提供。
  3. 确认在整个企业范围内一致地实施和运行了信息安全解决方案。
    • 指标— 经确认符合安全计划的服务数量
      在服务实施过程中应充分记录与安全计划的一致性。企业的软件交付生命周期 (SDLC) 为此证据提供了机制和文档记录标准。此外,服务的主要利益相关方将维护有关安全计划一致性的最新文档。
      向内部审计部门、流程所有者、服务经理和信息安全经理索取服务证据。服务目录或清单应充分描述安全计划一致性。
    • 指标— 由于未遵守安全计划而导致的安全事故数量
      事故管理系统将运用根本原因分析 (RCA) 进行事故调查并确定解决方案。事故原因必须说明不合规是否是促成因素之一。
      索取近期出现的任何 RCA 表明不合规的事故记录。信息安全经理可以提供事故日志。

必须对流程目标的完成情况进行整体评估。必须将收集的所有证据作为一个整体来提出全面的观点。


总结

本系列的下一部分将讨论收集运营实践的证据,并运用结果来衡量治理系统的绩效,以及确定潜在的改进领域。.


Peter C. Tessin,CISA、CRISC、CISM、CGEIT

Tessin 是 Discover Financial Services 的一位高级经理。他负责领导商业技术 (BT) 风险部门内的治理小组。在此职位,他主要负责确保政策、标准和程序与企业目标保持一致。他既是负责监管考试管理的内部方,也是企业风险管理部门的内部联络人。在担任此职位之前,Tessin 是 ISACA 的一位技术研究经理,期间,他担任 COBIT 5 的项目经理,领导开发了其他 COBIT 5 相关的出版物、白皮书和文章。Tessin 还曾在 ISACA 网站 COBIT Online, 的设计工作中担任核心角色,该网站提供了方便的途径访问 COBIT 5 产品系列,并且包含协助使用 COBIT 的交互式数字工具。在加入 ISACA 之前,Tessin 是一家内部审计事务所的高级经理,领导客户参与工作,并负责 IT 和财务审计团队。之前,Tessin 还曾担任多个行业职位,包括会计师、应用开发程序员、会计系统顾问和培训师、业务分析师、项目经理和审计师。他在原籍国美国之外的许多国家/地区有过丰富的工作经验,包括澳大利亚、加拿大、法国、德国、意大利、约旦、墨西哥和英国。