| ||||||||||||||||||||||||
|
您所在的位置:-> 认证咨询 -> ISO27001认证
五大治理规范 发布时间:2012.03.06 一、经济合作和发展组织,《信息系统指南》(1992) 《信息系统指南》用于协助企业构建信息系统框架。美国、OECD的其他23个成员国,十几个非OECD成员都批准了这一指南。该指南旨在提信息系统风险意识和措施,提供一个一般性的框架以信息系统度量方法、流程和实践的制定和实施,鼓励关心信息系统公共和私有部门间的合作,促人们对信息系统的信心,促人们应用和使用信息系统,方便和信息系统的开发。这个框架包括法律、行动准则、评估、管 理和用户实践,及公众教育或宣传。该指南目的是公众和私有部门的,通过此测量进展。 二、会计师联合会,《信息管理》(1998) 信息目标是“保护依靠信息 、信息系统和传送信息的人、通信设施的利益不因为信息完整性和可用性的故障而遭受损失”。组织在三条准 则时可认为达到信息目标数据和信息给知道该数据和信息的人();数据和信息保护不受未经的修改;信息系统在需要时可用和有用(可用性)。完整性和可用性之间的相对优先和重要性根据信息系统中的信息和使用 信息的商业环境而不同。 信息因的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动,也 可能来自或外部。信息安 全事故的发生可能是因为方面的因素、自然灾害、环境方面、人的因素、非法访问。另外, 业务依赖性(依靠第三方通信设施传送信息,外包业务等等)也可能潜在地导致管理控制的失效和监督不力。 三、国 际标准化组织,《ISO 17799标准》(新版是2005) ISO17799(根据BS 7799一部分制定)作为控制范围的单一参考点, 在大多数情况下,这些控制是使用业务信息系统所须的。该标准适应规模的组织。它把信息作为一种资产,像其他重要商业资 产一样,这种资产对组织有价值,因此需要恰当保护它。ISO 17799认为信息有下列特征,信息只被相应的用户 访问;完整性,保护信息和处理信息程序的准确性和完整性;可用性,用户在需要时能够访问信息和相关资产。信息保护 信息不受威胁的损毁,业务连续性,将商业损失降小,使投资收益大并抓住商业机遇。通过实施一套恰当 的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成。 四、信息系统审计和控制 协会,《信息和相关的控制目标》(CoBIT) CoBIT起源于IT需要传递组织为达到业务目标所需 的信息这个前提,今已有三个版本。除了鼓励以业务流程为,实行业务流程负责制外,CoBIT还考虑到组织对信用、质量和的需要,它提供了组织用于定义其对IT业务要求的几条信息准则 效率、效 果、可用性、完整性、1致性。CoBIT进 一步把IT分成4个领域(计划和组织,获取和实施,交付和支持,监控),共计34个IT业务流程。CoBIT为正在寻求控制实施实践 的管理者和IT实施人员提供了过300个详细的控制目标,以及建立在这些目标上的行动指南。COBIT框架通过联结业务风险、 控制需要和手段来帮助管理当局多样化的需求。它提供了通过一个范围和过程框架的惯例,以形成一个可控和逻辑结构的活动。 五、美国注册会计师协会(加拿大会计师协会),《SysTrust TM系统原理和准则 V20》(2001) SysTrust服务是一种服务,用于增管理者、客户和商业伙伴对支持业务或特 别活动的系统的信。SysTrust服务注册会计师承担的服务包括注册会计师从可用性、完整性和可维护性四个 基本方面评估和测试系统是否。 SysTrust定义在特定环境下及特定时期内,没有重大错误、故障地运行的系统为系统。系统界限由系统,但须包括基础设施、软件、人、程序和数据这几个关键部分。 SysTrust的框架可升,企业能够选择SysTrust标准的部分或来验证系统。对系统四个标准的判断组成对系统的判断。注册会计师也能单独判断某一标准如可用性或的状况。但是这种判断对特定标准的做出判断,不是对系统整体判断。
友情提示:
深圳市睿鼎以“企业为本位,创造和提升价值”。 将一如既往秉着细心、精心、用心的经营理念为宗旨,打好品牌战略、服务客户。 以一对一的专业咨询团队,解决您的验厂、认证烦恼! 诚邀上门洽谈合作事宜,共谋发展。 |
|
热 点 项 目 |