資訊科技監管

資訊科技監管是企業監管的其中一環,主要監管資訊科技系統及其表現,以及風險管理,並防範資訊科技風險。資訊科技監管讓涉及資訊科技系統的人員及使用者(例如董事會)均有參與的機會。

資訊科技監管主要目的是確保資訊科技相關的投資具企業價值,以及減少資訊科技相關的風險。 這可以透過定下明確的企業管理架構角式和責任來達到目的。資訊科技決定權是資訊科技監管重要的範疇,因此明確規定企業的決定權是資訊科技成功的重要一環。

在美國Enron事件後,社會上開始注重審計和監管的工作。薩班斯-奥克斯利法案中強調審計和控制的重要性。由於資訊系統亦涉及重要的數據,這亦促進了資訊科技審核及資訊科技監管。在薩班斯-奥克斯利法案第404節中亦影響了資訊科技部門對資訊科技策略的決定權,增加了對資源系統日常運作的監管控制及變更管理

不過,資訊科技監管亦有受到一些批評,例如過嚴格的監管會影響資訊科技發展項目的進展,增加審計和開發的成本,影響軟件成本效益。

機制

编辑

資訊科技監管常見機制包括

  • 資訊建設文庫(ITIL):一套公開、用於規範技術服務管理的架構
  • CobiT:一個國際開放型的資訊科技目標控制及控制慣例標準
  • ISO/IEC 27001
  • 資訊系統安全管理模式 ISM3
  • AS8015-2005 澳洲企業監管 - 資訊科技及通訊

參見

编辑

外部連結

编辑