PROCESS DESCRIPTIONPO6 Communicate

MÔ TẢ QUÁ TRÌNHPO6 Giao tiếp quản lý nhằm mục đích và hướngQuản lý phát triển một doanh nghiệp thông tin công nghệ kiểm soát khuôn khổ và xác định và giao tiếp chính sách. Một chương trình liên tục giao tiếp được thực hiện để nói lên nhiệm vụ, mục tiêu của dịch vụ, chính sách và thủ tục, vv, được chấp thuận và được hỗ trợ bằng cách quản lý. Thông tin liên lạc hỗ trợ đạt được các mục tiêu công nghệ thông tin và đảm bảo nâng cao nhận thức và sự hiểu biết về kinh doanh và thông tin công nghệ rủi ro, mục tiêu và chỉ đạo. Quá trình đảm bảo tuân thủ pháp luật có liên quan và các quy định.Kiểm soát quá trình giao tiếp quản lý thông tin công nghệ nhằm mục đích và hướng đáp ứng yêu cầu kinh doanh cho công nghệ thông tin cung cấp thông tin chính xác và kịp thời về dịch vụ công nghệ thông tin hiện tại và tương lai và rủi ro liên quan và trách nhiệm bằng cách tập trung vào việc cung cấp chính xác, dễ hiểu và được chấp thuận chính sách, thủ tục, hướng dẫn và tài liệu khác để các bên liên quan, nhúng trong một khung thông tin công nghệ kiểm soát được thực hiện bằng• Xác định một khuôn khổ kiểm soát công nghệ thông tin• Phát triển và lăn ra thông tin công nghệ chính sách• Thực thi lệnh chính sách công nghệ thông tinvà được đo bằng• Số lượng kinh doanh sự gián đoạn do gián đoạn dịch vụ công nghệ thông tin• Phần trăm của các bên liên quan hiểu khuôn khổ kiểm soát doanh nghiệp thông tin công nghệ• Phần trăm của các bên liên quan phòng không phù hợp với chính sáchHiệu quảHiệu quảBảo mậtTính toàn vẹnTính khả dụngTuân thủĐộ tin cậyP SNgườiThông tinỨng dụngCơ sở hạ tầngCHIẾN LƯỢCLIÊN KẾTHIỆU SUẤTĐO LƯỜNGGIÁ TRỊGIAO HÀNGRỦI ROQUẢN LÝTÀI NGUYÊNQUẢN LÝCNTT QUẢN TRỊTrung học chínhLập kế hoạch và tổ chứcMỤC TIÊU CCONTROLPO6 Giao tiếp quản lý nhằm mục đích và hướngPO6.1 công nghệ thông tin chính sách và kiểm soát môi trườngXác định các yếu tố của một môi trường điều khiển cho nó, liên kết với các doanh nghiệp quản lý triết lý và hoạt động phong cách.Những yếu tố này nên bao gồm những kỳ vọng/yêu cầu liên quan đến phân phối giá trị từ đầu tư công nghệ thông tin, sự ngon miệng cho rủi ro, toàn vẹn, giá trị đạo Đức, nhân viên thẩm quyền, trách nhiệm và trách nhiệm. Kiểm soát môi trường phải được dựa trên một nền văn hóa mà hỗ trợ giá trị giao hàng trong khi quản lý rủi ro đáng kể, khuyến khích sư qua hợp tác và làm việc theo nhóm, khuyến khích việc tuân thủ và quá trình liên tục cải tiến, và xử lý quá trình độ lệch (bao gồm cả thất bại) cũng.PO6.2 doanh nghiệp công nghệ thông tin rủi ro và kiểm soát khuôn khổPhát triển và duy trì một khuôn khổ mà xác định phương pháp tiếp cận tổng thể của doanh nghiệp thông tin công nghệ rủi ro và kiểm soát và đó gắn với thông tin công nghệ chính sách và kiểm soát môi trường và khuôn khổ rủi ro và kiểm soát của doanh nghiệp.PO6.3 công nghệ thông tin quản lý chính sáchPhát triển và duy trì một tập hợp các chính sách để hỗ trợ chiến lược công nghệ thông tin. Các chính sách này nên bao gồm mục đích chính sách; vai trò và trách nhiệm; thuû tuïc; phương pháp phù hợp; và tham chiếu đến thủ tục, tiêu chuẩn và hướng dẫn. Mức độ liên quan của họ nên được xác nhận và chấp nhận thường xuyên.Chính sách PO6.4, tiêu chuẩn và quy trình triển khaiLăn ra và thi hành chính sách công nghệ thông tin cho tất cả nhân viên có liên quan, do đó, họ được xây dựng vào và là một phần không thể tách rời của doanh nghiệp hoạt động.PO6.5 truyền thông công nghệ thông tin mục tiêu và hướngTruyền đạt nhận thức và sự hiểu biết về kinh doanh và thông tin công nghệ mục tiêu và hướng cho thích hợp các bên liên quan và các người dùng trong suốt các doanh nghiệp.PMANAGEMENT HƯỚNG DẪNPO1 chiến lược và chiến thuật thông tin công nghệ kế hoạch,Danh mục dự án và dịch vụ CNTTPO9 Rủi ro liên quan đến CNTT quản lý hướng dẫnME2 báo cáo về hiệu quả của thông tin công nghệ điều khiểnDoanh nghiệp thông tin công nghệ kiểm soát khuôn khổ tất cảChính sách nó tất cảIActivitieshoạt động rocessThiết lập và duy trì một môi trường kiểm soát công nghệ thông tin và khuôn khổ. TÔI C TÔI A/R TÔI C C C CPhát triển và duy trì thông tin công nghệ chính sách. TÔI TÔI TÔI A/R C C C R CGiao tiếp thông tin công nghệ kiểm soát khuôn khổ và thông tin công nghệ mục tiêu và chỉ đạo. TÔI TÔI TÔI A/R R CMột biểu đồ đua xác định ai là chịu trách nhiệm, Accountable, Consulted và/hoặc thông báo.ĐUA biểu đồ chức năngGIÁM ĐỐC ĐIỀU HÀNHGIÁM ĐỐC TÀI CHÍNHKinh doanhCIOChủ doanh nghiệp quá trìnhHoạt động đầuKiến trúc sư trưởngĐầu phát triểnĐầu công nghệ thông tin quản trịMĂNG XÔNG PMOTuân thủ, kiểm toán,Rủi ro và an ninhMục tiêu và số liệu• Đảm bảo tính minh bạch và sự hiểu biết vềNÓ chi phí, lợi ích, mức độ chiến lược, chính sách và dịch vụ.• * Bảo đảm rằng giao dịch tự động kinh doanh và trao đổi thông tin có thể được tin cậy.• * Bảo đảm rằng thông tin quan trọng và bí mật được giữ lại từ những người không nên có quyền truy cập vào nó.• Đảm bảo kinh doanh tối thiểu tác động trong trường hợp một gián đoạn dịch vụ công nghệ thông tin hoặc thay đổi.• * Bảo đảm sử dụng đúng đắn và hiệu suất của các ứng dụng và giải pháp công nghệ.• * Bảo đảm rằng dịch vụ công nghệ thông tin và cơ sở hạ tầng có thể đúng cách chống lại và phục hồi từ thất bại do lỗi, gửi tấn công hoặc thảm họa.• Phát triển một khuôn khổ kiểm soát công nghệ thông tin phổ biến và toàn diện.• Phát triển một tập hợp phổ biến và toàn diện của thông tin công nghệ chính sách.• Giao tiếp chiến lược công nghệ thông tin, chính sách và kiểm soát khuôn khổ.Tổ chức• Xác định một khuôn khổ kiểm soát công nghệ thông tin• Phát triển và lăn ra thông tin công nghệ chính sách• Thực thi lệnh chính sách công nghệ thông tin• Xác định và duy trì liên lạc một kế hoạch• Số trường hợp nơi thông tin bí mật đã bị xâm• Số lượng kinh doanh sự gián đoạn do gián đoạn dịch vụ công nghệ thông tin• Các mức độ của sự hiểu biết về mức độ chi phí, lợi ích, chiến lược, chính sách và dịch vụ công nghệ thông tin• Phần trăm của các bên liên quan hiểu chính sách công nghệ thông tin• Phần trăm của các bên liên quan hiểu khuôn khổ kiểm soát doanh nghiệp thông tin công nghệ• Phần trăm của các bên liên quan được noncompliant với chính sách• Các tần số của chính sách xem xét/Cập Nhật• Kịp thời và tần số của giao tiếp với người dùng• Các tần số của doanh nghiệp thông tin công nghệ kiểm soát khuôn khổ đánh giá/Cập NhậtMÔ HÌNH KỲ HẠN THANH TOÁNPO6 Giao tiếp quản lý nhằm mục đích và hướngQuản lý của quá trình giao tiếp quản lý nhằm mục đích và hướng đó đáp ứng yêu cầu kinh doanh cho công nghệ thông tin cung cấp thông tin chính xác và kịp thời về dịch vụ công nghệ thông tin hiện tại và tương lai và liên quan đến rủi ro và trách nhiệm là:0 phòng không tồn tại khiQuản lý không có thiết lập một môi trường kiểm soát công nghệ thông tin tích cực. Có là không có sự công nhận về sự cần thiết để thiết lập một tập hợp các chính sách, kế hoạch và thủ tục, và tuân thủ quy trình.1 ban đầu/quảng cáo Hoc khiQuản lý là phản ứng tại địa chỉ các yêu cầu của môi trường kiểm soát thông tin. Chính sách, thủ tục và tiêu chuẩn được phát triển và truyền đạt trên một cơ sở phi thể thức như lái xe của vấn đề. Các quá trình phát triển, thông tin liên lạc và tuân thủ là không chính thức và không phù hợp.2 Repeatable nhưng Intuitive khiNhu cầu và yêu cầu của môi trường kiểm soát thông tin hiệu quả ngầm hiểu bằng cách quản lý, nhưng thực hành phần lớn không chính thức. Sự cần thiết cho chính sách kiểm soát, kế hoạch và thủ tục được truyền đạt bằng cách quản lý, nhưng phát triển là trái để theo ý của cá nhân quản lý và kinh doanh khu vực. Chất lượng được biết đến như một triết lý mong muốn phải được tuân theo, nhưng thực hành là trái để theo ý của cá nhân quản lý. Đào tạo được thực hiện trên cơ sở cá nhân, như yêu cầu.3 xác định khiMột thông tin hoàn toàn kiểm soát chất lượng quản lý môi trường và đang phát triển, tài liệu và truyền đạt bằng cách quản lý và bao gồm một khuôn khổ cho chính sách, kế hoạch và thủ tục. Quá trình phát triển chính sách cấu trúc, duy trì và được biết đến cho nhân viên, và các chính sách hiện tại, các kế hoạch và thủ tục được hợp lý âm thanh và bao gồm các vấn đề quan trọng. Quản lý địa chỉ tầm quan trọng của thông tin công nghệ an ninh nâng cao nhận thức và bắt đầu chương trình nâng cao nhận thức. Đào tạo chính quy có sẵn để hỗ trợ môi trường kiểm soát thông tin nhưng không được áp dụng một cach nghiêm tuc. Trong khi không có một khuôn khổ phát triển tổng thể cho chính sách kiểm soát và thủ tục, có là không phù hợp giám sát phù hợp với các chính sách và thủ tục. Có là một khuôn khổ phát triển tổng thể. Kỹ thuật cho việc thúc đẩy an ninh nâng cao nhận thức đã được tiêu chuẩn hóa và formalised.4 quản lý và Measurable khiQuản lý chấp nhận trách nhiệm về giao tiếp nội bộ điều khiển trách nhiệm chính sách và các đại biểu và phân bổ các nguồn lực đủ để duy trì môi trường phù hợp với thay đổi đáng kể. Một môi trường kiểm soát thông tin tích cực và chủ động, trong đó có một cam kết chất lượng và thông tin công nghệ an ninh nhận thức, được thành lập. Một bộ hoàn chỉnh các chính sách, kế hoạch và thủ tục được phát triển, duy trì và truyền đạt và là một hỗn hợp của thực hành tốt nội bộ. Một khuôn khổ cho buổi giới thiệu và sau đó tuân thủ kiểm tra được thành lập.5 tối ưu hóa khiMôi trường kiểm soát thông tin được liên kết với các khuôn khổ quản lý chiến lược và tầm nhìn và thường xuyên được nhận xét nhất, Cập Nhật và liên tục cải thiện. Các chuyên gia nội bộ và bên ngoài được chỉ định để đảm bảo rằng ngành công nghiệp thực hành tốt được áp dụng đối với kiểm soát hướng dẫn và thông tin liên lạc kỹ thuật. Giám sát, tự đánh giá và tuân thủ kiểm tra được phổ biến trong tổ chức. Công nghệ được sử dụng để duy trì chính sách và nhận thức về kiến thức căn cứ và tối ưu hóa giao tiếp, bằng cách sử dụng tự động hóa văn phòng và các công cụ đào tạo dựa trên máy tính.

PROCESS DESCRIPTION
PO6 Communicate Management Aims and Direction
Management develops an enterprise information technology control framework and defines and communicates policies. An ongoing communication programme is implemented to articulate the mission, service objectives, policies and procedures, etc., approved and supported by management. The communication supports achievement of information technology objectives and ensures awareness and understanding of business and information technology risks, objectives and direction. The process ensures compliance with relevant laws and regulations.
Control over the information technology process of Communicate management aims and direction that satisfies the business requirement for information technology of supplying accurate and timely information on current and future information technology services and associated risks and responsibilities by focusing on providing accurate, understandable and approved policies, procedures, guidelines and other documentation to stakeholders, embedded in an information technology control framework is achieved by
• Defining an information technology control framework
• Developing and rolling out information technology policies
• Enforcing information technology policies
and is measured by
• Number of business disruptions due to information technology service disruption
• Percent of stakeholders who understand the enterprise information technology control framework
• Percent of stakeholders who are non-compliant with policy
Effectiveness
Efficiency
Confidentiality
Integrity
Availability
Compliance
Reliability
P S
People
Information
Applications
Infrastructure
STRATEGIC
ALIGNMENT
PERFORMANCE
MEASUREMENT
VALUE
DELIVERY
RISK
MANAGEMENT
RESOURCE
MANAGEMENT
IT GOVERNANCE
Primary Secondary
Plan and Organise
CCONTROL OBJECTIVES
PO6 Communicate Management Aims and Direction
PO6.1 information technology Policy and Control Environment
Define the elements of a control environment for IT, aligned with the enterprise’s management philosophy and operating style.
These elements should include expectations/requirements regarding delivery of value from information technology investments, appetite for risk, integrity, ethical values, staff competence, accountability and responsibility. The control environment should be based on a culture that supports value delivery whilst managing significant risks, encourages cross-divisional co-operation and teamwork, promotes compliance and continuous process improvement, and handles process deviations (including failure) well.
PO6.2 Enterprise information technology Risk and Control Framework
Develop and maintain a framework that defines the enterprise’s overall approach to information technology risk and control and that aligns with the information technology policy and control environment and the enterprise risk and control framework.
PO6.3 information technology Policies Management
Develop and maintain a set of policies to support information technology strategy. These policies should include policy intent; roles and responsibilities;exception process; compliance approach; and references to procedures, standards and guidelines. Their relevance should be confirmed and approved regularly.
PO6.4 Policy, Standard and Procedures Rollout
Roll out and enforce information technology policies to all relevant staff, so they are built into and are an integral part of enterprise operations.
PO6.5 Communication of information technology Objectives and Direction
Communicate awareness and understanding of business and information technology objectives and direction to appropriate stakeholders and users throughout the enterprise.
PMANAGEMENT GUIDELINES
PO1 Strategic and tactical information technology plans,
IT project and service portfolios
PO9 IT-related risk management guidelines
ME2 Report on effectiveness of information technology controls
Enterprise information technology control framework ALL
IT policies ALL
IActivities
rocess Activities
Establish and maintain an information technology control environment and framework. I C I A/R I C C C C
Develop and maintain information technology policies. I I I A/R C C C R C
Communicate the information technology control framework and information technology objectives and direction. I I I A/R R C
A RACI chart identifies who is Responsible, Accountable, Consulted and/or Informed.
RACI Chart Functions
CEO
CFO
Business Executive
CIO
Business Process Owner
Head Operations
Chief Architect
Head Development
Head information technology Administration
PMO
Compliance, Audit,
Risk and Security

Goals and Metrics

• Ensure transparency and understanding of
IT costs, benefits, strategy, policies and service levels.
• Ensure that automated business transactions and information exchanges can be trusted.
• Ensure that critical and confidential information is withheld from those who should not have access to it.
• Ensure minimum business impact in the event of an information technology service disruption or change.
• Ensure proper use and performance of the applications and technology solutions.
• Ensure that information technology services and infrastructure can properly resist and recover from failure due to error, delivered attack or disaster.
• Develop a common and comprehensive information technology control framework.
• Develop a common and comprehensive set of information technology policies.
• Communicate the information technology strategy, policies and control framework.
Organise
• Defining an information technology control framework
• Developing and rolling out information technology policies
• Enforcing information technology policies
• Defining and maintaining a communications plan
• Number of instances where confidential information was compromised
• Number of business disruptions due to information technology service disruption
• Level of understanding of information technology costs, benefits, strategy, policies and service levels
• Percent of stakeholders who understand information technology policy
• Percent of stakeholders who understand the enterprise information technology control framework
• Percent of stakeholders who are noncompliant with policy
• Frequency of policy review/update
• Timeliness and frequency of communication to users
• Frequency of enterprise information technology control framework review/update
MATURITY MODEL

PO6 Communicate Management Aims and Direction
Management of the process of Communicate management aims and direction that satisfies the business requirement for information technology of supplying accurate and timely information on current and future information technology services and associated risks and responsibilities is:
0 Non-existent when
Management has not established a positive information technology control environment. There is no recognition of the need to establish a set of policies, plans and procedures, and compliance processes.
1 Initial/Ad Hoc when
Management is reactive in addressing the requirements of the information control environment. Policies, procedures and standards are developed and communicated on an ad hoc basis as driven by issues. The development, communication and compliance processes are informal and inconsistent.
2 Repeatable but Intuitive when
The needs and requirements of an effective information control environment are implicitly understood by management, but practices are largely informal. The need for control policies, plans and procedures is communicated by management, but development is left to the discretion of individual managers and business areas. Quality is recognised as a desirable philosophy to be followed, but practices are left to the discretion of individual managers. Training is carried out on an individual, as-required basis.
3 Defined when
A complete information control and quality management environment is developed, documented and communicated by management and includes a framework for policies, plans and procedures. The policy development process is structured, maintained and known to staff, and the existing policies, plans and procedures are reasonably sound and cover key issues. Management addresses the importance of information technology security awareness and initiates awareness programmes. Formal training is available to support the information control environment but is not rigorously applied. Whilst there is an overall development framework for control policies and procedures, there is inconsistent monitoring of compliance with these policies and procedures. There is an overall development framework. Techniques for promoting security awareness have been standardised and formalised.
4 Managed and Measurable when
Management accepts responsibility for communicating internal control policies and delegates responsibility and allocates sufficient resources to maintain the environment in line with significant changes. A positive, proactive information control environment, including a commitment to quality and information technology security awareness, is established. A complete set of policies, plans and procedures is developed, maintained and communicated and is a composite of internal good practices. A framework for rollout and subsequent compliance checks is established.
5 Optimised when
The information control environment is aligned with the strategic management framework and vision and is frequently reviewed, updated and continuously improved. Internal and external experts are assigned to ensure that industry good practices are being adopted with respect to control guidance and communication techniques. Monitoring, self-assessment and compliance checking are pervasive within the organisation. Technology is used to maintain policy and awareness knowledge bases and to optimise communication, using office automation and computer-based training tools.