資訊科技監管

维基百科,自由的百科全书
跳转至: 导航搜索

資訊科技監管是企業監管的其中一環, 主要監管資訊科技系統及其表現, 以及風險管理,並防範資訊科技風險。資訊科技監管讓涉及資訊科技系統的人員及使用者 (例如董事會) 均有參與的機會。

資訊科技監管主要目的是確保資訊科技相關的投資具企業價值,以及減少資訊科技相關的風險。 這可以透過定下明確的企業管理架構角式和責任來達到目的。資訊科技決定權是資訊科技監管重要的範疇,因此明確規定企業的決定權是資訊科技成功的重要一環。

在美國Enron事件後, 社會上開始注重審計和監管的工作。薩班斯-奥克斯利法案中強調審計和控制的重要性。由於資訊系統亦涉及重要的數據,這亦促進了資訊科技審核及資訊科技監管。在薩班斯-奥克斯利法案第404節中亦影響了資訊科技部門對資訊科技策略的決定權,增加了對資源系統日常運作的監管控制及變更管理

不過,資訊科技監管亦有受到一些批評,例如過嚴格的監管會影響資訊科技發展項目的進展,增加審計和開發的成本,影響軟件成本效益。

機制[编辑]

資訊科技監管常見機制包括

  • 資訊建設文庫(ITIL): 一套公開、用於規範技術服務管理的架構
  • CobiT: 一個國際開放型的資訊科技目標控制及控制慣例標準
  • ISO/IEC 27001
  • 資訊系統安全管理模式 ISM3
  • AS8015-2005 澳洲企業監管 - 資訊科技及通訊

參見[编辑]

外部連結[编辑]