（高项）第三章 信息系统治理（考点精炼）

第三章  信息系统治理

1、IT 治理是描述组织采用有效的机制对信息技术和数据资源开发利用，平衡信息化发展和数 字化转型过程中的风险，确保实现组织的战略目标的过程。

●  主要目标包括与业务目标一致、有效利用信息与数据资源、风险管理。

●  管理层次大致可分为三层：最高管理层、执行管理层、业务与服务执行层。

●  体系框架包括： IT 战略目标、 IT 治理组织、IT 治理机制、IT 治理域、IT 治理标准和IT 绩  效目标。

●  IT治理的核心内容包括六个方面：组织职责、战略匹配、资源管理、价值交付、风险管理 和绩效管理。

●  IT治理活动的主要任务：全局统筹、价值导向、机制保障、创新发展、文化助推。

●  建立IT 治理机制的原则包括：简单、透明、适合。

●  IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域。

2、SO/IEC  FDIS  38500:2014提供了IT 良好治理的原则、定义和模式，为组织的治理机构的 成员提供了关于在其组织内有效、高效和可接受地使用信息技术(IT) 的指导原则。该标准包括责 任、战略、收购、性能、 一致性、人的行为六个方面。该标准规定治理机构应通过评估、指导和 监督三个主要任务来治理IT。

3、信息技术审计(IT 审 计 ) 是IT 治理不可或缺的评估和监督工具，重点承担着组织信息系统 发展的合规性检测以及信息技术风险的管控等职能。 IT 审计风险主要包括固有风险、控制风险、  检查风险和总体审计风险。

4、IT 审计常用方法包括：访谈法、调查法、检查法、观察法、测试法和程序代码检查法等。 5、审计证据的特性包括充分性、客观性、相关性、可靠性、合法性。

6、IT 风险评估技术包括风险识别技术、风险分析技术、风险评价技术和风险应对技术。

7、审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿。

8、审计流程的作用包括：有效地指导审计工作；有利于提高审计工作效率；有利于保证审计 项目质量；有利于规范审计工作。