資訊科技監管
此條目沒有列出任何參考或來源。 (2020年8月2日) |
資訊科技監管是企業監管的其中一環,主要監管資訊科技系統及其表現,以及風險管理,並防範資訊科技風險。資訊科技監管讓涉及資訊科技系統的人員及用戶(例如董事會)均有參與的機會。
資訊科技監管主要目的是確保資訊科技相關的投資具企業價值,以及減少資訊科技相關的風險。 這可以透過定下明確的企業管理架構角式和責任來達到目的。資訊科技決定權是資訊科技監管重要的範疇,因此明確規定企業的決定權是資訊科技成功的重要一環。
在美國Enron事件後,社會上開始注重審計和監管的工作。薩班斯-奧克斯利法案中強調審計和控制的重要性。由於資訊系統亦涉及重要的數據,這亦促進了資訊科技審核及資訊科技監管。在薩班斯-奧克斯利法案第404節中亦影響了資訊科技部門對資訊科技策略的決定權,增加了對資源系統日常運作的監管控制及變更管理。
不過,資訊科技監管亦有受到一些批評,例如過嚴格的監管會影響資訊科技發展項目的進展,增加審計和開發的成本,影響軟件成本效益。
機制
資訊科技監管常見機制包括
- 資訊建設文庫(ITIL):一套公開、用於規範技術服務管理的架構
- CobiT:一個國際開放型的資訊科技目標控制及控制慣例標準
- ISO/IEC 27001
- 資訊系統安全管理模式 ISM3
- AS8015-2005 澳洲企業監管 - 資訊科技及通訊