[科普中国]-信息技术监管

信息技术监管是企业监管的其中一环，主要监管信息技术系统及其表现， 以及风险管理，并防范信息技术风险。信息技术监管让涉及信息技术系统的人员及用户 (例如董事会) 均有参与的机会。信息技术监管主要目的是确保信息技术相关的投资具企业价值，以及减少信息技术相关的风险。 这可以透过定下明确的企业管理框架角式和责任来达到目的。信息技术决定权是信息技术监管重要的范畴，因此明确规定企业的决定权是信息技术成功的重要一环。

简介信息技术监管是企业监管中的重要内容，主要监管信息技术以及对风险进行管理。信息技术监管常见机制包括：信息建设文库(ITIL)： 一套公开、用于规范技术服务管理的架构；CobiT: 一个国际开放型的信息技术目标控制及控制惯例标准；ISO/IEC 27001信息系统安全管理模式ISM3；以及AS8015-2005 澳洲企业监管 - 信息技术及通信。

在美国Enron事件后, 社会上开始注重审计和监管的工作。萨班斯-奥克斯利法案中强调审计和控制的重要性。由于信息系统亦涉及重要的数据，这亦促进了信息技术审核及信息技术监管。在萨班斯-奥克斯利法案第404节中亦影响了信息技术部门对信息技术策略的决定权，增加了对资源系统日常运作的监管控制及变更管理。

不过，信息技术监管亦有受到一些批评，例如过严格的监管会影响信息技术发展项目的进展，增加审计和开发的成本，影响软件成本效益。

要求一是建立政策和规程。要求各市场机构建立保障系统处理能力、可用性、安全性、完整性的政策和规程，其中必须包括建立合理处理能力测试、定期系统测试和复检、业务连续性和灾难恢复规划、系统生命周期中的有关标准。

二是保障系统的合规性。各市场机构要建立、维护并实施书面工作准则与工作规程，以确保系统遵守适用的法规、规章制度以及有关的规范文件的要求。

三是事件处理。当系统出现问题时，要采取妥善措施处理事件，包括采取纠正措施、报告监管机构、向成员及市场参与者传播信息等。

四是通报系统重大变更。要求各市场机构至少提前向监管机构通报系统重大变更，以保证监管机构的工作人员能够有效监控有关的技术开发。若有紧急情况，或先前通报的信息有重大错误，市场机构需要通过口头或书面的形式告知监管机构，并在小时之内提交书面材料。

五是系统复审。要求各市场机构至少每年做一次系统复审，确认与相关规定相符。复审的内容包括系统的风险评估，内部控制的设计和有效性评估，逻辑及物理的安全控制、开发流程、信息技术管理、与行业标准的一致性等。此外，要求每三年至少进行一次生产系统的网络、防火墙、开发、测试等环节的渗透测试。在复审过程中，要求复审人员具有一定的独立性。要求机构在每年的系统复审完成后的一段时间内向监管机构提交有关的报告。

六是业务持续性及灾难恢复测试。要求至少每年做一次多方参与的业务持续性、灾难恢复的测试，包括备份系统、相关人员、功能测试和性能测试，并要求与其他机构配合进行更大范围或全行业的测试1。

监管机制信息技术基础架构库（Information Technology Infrastructure Library，一般情况下使用其缩写ITIL，也译为“资讯技术基础建设馆”）是用来管理信息技术的架构设计，研发和操作的一整套概念和思想。主要精神为和谐推动及持续改善，将服务对象视为客户，强调End-to-End的服务。

ITIL最初是借由一套书籍发布。这套书籍的每一本都涵盖一个信息技术的领域。ITIL这个名称和IT Infrastructure Library都是英国政府商务办公室 (OGC)的注册商标。借由为不同的IT组织量身定制一些复杂的清单，任务，流程，ITIL为许多重要的IT时间准则给出了详尽的解释。

COBIT（全称为：Control Objectives for Information & related Technology），中文译为：信息及相关技术控制目标。它是一系列关于IT管理最佳实践（框架）的集合，并由美国信息系统审计与控制协会（ISACA）和IT治理委员会于1992年创建。COBIT为管理人员、审计人员和IT用户提供了一套通用的测量、显示和处理的方法以及最佳的实践，帮助其通过在公司中使用信息技术和适当的IT治理与控制，使公司的利益最大化。

信息技术审核（information technology audit, ITA）或信息系统审核（information system audit, ISA）是指检查或验查信息系统设施的控制。信息技术审核是检查和评核机构内的信息系统的日常运作和惯例。评审会得出数据来检核该系统是会匹配机构的要求，包括安全性、数据完整性、运作效率等。这些评核程序有时会跟财务审计和企业内部审计（Internal audit）有所关系之处。

信息技术审核在过去曾被称为自动数据处理审核、电脑审核或电子数据处理审核。信息技术审核与财务审计并不相同。两者虽然有些相似之处，但其目的和程序并不相同。财务审计主要目的是评核机构是否匹配会计守则，而信息技术审核主要目的是评核系统安全协议或系统效力，评核企业保护信息技术资产和分配给认可的一方的能力。信息技术审核可以归为以下数个问题：

机构的电脑系统是否有效地、每时每刻地提供企业所需？

信息系统是否只向相关和认可人士披露有关信息？

信息系统是否能够快速地提供准确、可靠的信息？

信息技术审核员主要针对决定信息财产的风险，并进行控制和评估以减低相关风险。

本词条内容贡献者为:

王沛 - 副教授、副研究员 - 中国科学院工程热物理研究所