信息技術服務標準(ITTS)定義了IT服務的核心要素由:人員、過程、技術和資源組成,並對這些IT服務的組成要素進行標準化。
人員(正確選人)、過程(正確做事)、技術(高效做事)、資源(保障做事)
一般公認信息系統審計準則。包括職業準則、ISACA公告和職業道德規範。職業準則可歸類爲:審計規章、獨立性、職業道德及規範、專業能力、規劃、審計工作的執行、報告、期後審計。ISACA公告是信息系統審計與控制協會羽信息系統審計一般椎則所做的說明。ISACA職業道德及規範提供針對協會會員或信息系統審計認證(Certified Information System Auditor,CISA)持有者有關職業上及個人的指導規範。
作爲IT治理的核心模型, COBIT包含34個信息技術過程控制,並歸集爲四個控制域:IT規劃和組織(Planning and Organization)、系統獲得和實施(Acquisition and Implementation)、交付與支持(Delivery and Support)以及信息系統運行性能監控(Monitoring)。 COBIT目前已成爲國際上公認的IT管理與控制標準。
附加:
信息系統審計的依據
信息系統審計師須瞭解規劃、執行及完成審計工作的步驟與技術,並儘量遵守國際信息系統審計與控制協會的一般公認信息系統審計準則、控制目標和其他法律與規定。
(1) -般公認信息系統審計準則。包括職業準則、ISACA公告和職業道德規範。職業準則可歸類爲:審計規章、獨立性、職業道德及規範、專業能力、規劃、審計工作的執行、報告、期後審計。ISACA公告是信息系統審計與控制協會對信息系統審計一般準則所做的說明。ISACA職業道德及規範提供針對協會會員或信息系統審計認證(Certified Information System Auditor,CISA)持有者有關職業上及個人的指導規範。
(2)信息系統的控制目標。信息系統審計與控制協會在1 996年公佈的COBIT被國際上公認是最先進、昂權威的安全與信息技術管理和控制的標準,目前已經更新至第3版。它在商業風險、控制霈要和技術問題之間架起了一座橋樑,以滿足管理的多方面需要。面向業務是COBIT的主題。它不僅設計用於用戶和審計師,而且更重要的是可用於全面指導管理者與業務過程的所有者。商業實踐中越來越多地包含了對業務過程所有者的全面授權,因此他們承擔着業務過程所有方面的全部責任。特別地,這其中包含着要提供足夠的控制。COBIT框架爲業務過程所有者提供了一個工具,以方便他們承擔責任。其框架包括四大部分:架構、控制目標、審計指南及執行概要。COBIT架構着重各項處理的高層次控制,控制目標則着重於各項IT處理或對該架構所包括的34項IT處理的特定詳細控制目標,每一項IT處理都有5~25個詳細控制目標,控制目標使整體架構和詳細控制目標密切對應,相互一致。詳細控制目標有18種主要來源,涵蓋現行的及法定有關IT的國際性準則與規定。這包括對各項IT工作所建置的控制程序擬達到的預期結果或目標的敘述,以提供全球所有的產業有關IT控制的明確方針及實際最佳的應用。
(3)其他法律及規定。每個組織不論規模大小或屬於何種產業,都需要遵守政府或外部對與電腦系統運作、控制,及電腦、程序、信息的使用情況等有關的規定或要求,對於一向受嚴格管制的行業,尤其要注愨遵守。以國際性銀行爲例,若因不良備份及復原程序而無法提供適當的服務水準,其公司及員工將受嚴重處罰。此外,由於對EDP及信息系統的依賴性加重,許多國家極力建立更多有關信息系統審計的規定。這些規定內容是關於建置、組織、責任與財務及業務操作審計功能的關聯性。有關的管理階層人員必須考慮與組織目標、計劃及與信息服務部門/職能/工作的責任及工作等有關的外部規定或要求。