一、課程簡述
信息技術(shù)這個詞大家再熟悉不過了，就是我們通常所說的IT。麻省理工數(shù)字商務(wù)中心主任Erik Brynjolfsson在《第二次機器革命》中提出，數(shù)字化是今天的一切，是未來的唯一開端。他提出人類其實只經(jīng)歷過兩次技術(shù)革命，即機器革命與數(shù)字革命，也只有這兩次轉(zhuǎn)變，是任何人和組織都無法逃避的共同趨勢。為順應(yīng)數(shù)字化轉(zhuǎn)型時代變革，ISACA（國際信息系統(tǒng)審計協(xié)會，COBIT、CISA、CRISC、CISM 和CGEIT等知名國際認證和框架的研究組織）提出了I&T的概念，即信息和技術(shù)（Information & Technology）。
從數(shù)字化轉(zhuǎn)型來看，信息和技術(shù)(I&T)對企業(yè)的支持、可持續(xù)發(fā)展和成長起著至關(guān)重要的作用。在此之前，很多組織的治理委員會（董事會）和高級管理層可能一直授權(quán)、忽視或規(guī)避信息和技術(shù)相關(guān)決策。如今，在大多數(shù)行業(yè)和領(lǐng)域中，這種做法顯得極不明智。數(shù)字化企業(yè)的生存和發(fā)展越來越依賴于信息和技術(shù)。
鑒于信息和技術(shù)在企業(yè)風險管理和價值創(chuàng)造中所起的核心作用，過去三十年來，企業(yè)信息和技術(shù)治理(EGIT)日益受到廣泛的關(guān)注。企業(yè)信息和技術(shù)治理是企業(yè)治理不可或缺的一部分。它由董事會執(zhí)行，董事會將負責監(jiān)督組織中的流程、結(jié)構(gòu)和關(guān)系機制的定義和實施，促使業(yè)務(wù)和IT人員各盡其責，支持業(yè)務(wù)/IT的協(xié)調(diào)一致，以及從信息和技術(shù)促成的業(yè)務(wù)投資中創(chuàng)造業(yè)務(wù)價值。

二、培訓目標
通過此次課程培訓，可使不同崗位的學習者獲得如下收益：
從信息化治理管控角度，幫助企業(yè)掌握如何體系化建設(shè)和完善IT治理和管理體系，包括：

• IT治理體系
• 信息安全管理體系
• 信息科技風險管理體系
• 業(yè)務(wù)連續(xù)性管理體系
• 數(shù)據(jù)管理體系
• IT架構(gòu)管理
• 信息系統(tǒng)開發(fā)、測試與維護管理體系
• IT服務(wù)管理體系
• IT項目管理體系
• IT預(yù)算和成本管理體系
• IT績效管理體系
• IT外包管理體系
• IT需求管理體系
• IT質(zhì)量管理體系
• IT合規(guī)管理體系

從信息系統(tǒng)審計角度，掌握審計職能的管理；掌握IT審計過程及方法；了解IT治理與管理的區(qū)別；理解IT治理框架構(gòu)成；掌握審計IT治理結(jié)構(gòu)與實施方法；掌握對IT基礎(chǔ)設(shè)施及IT服務(wù)管理的審計方法；深入理解并掌握對信息安全的審計；理解并掌握對業(yè)務(wù)連續(xù)性計劃的審計；使學員能夠在實際IT治理與審計工作中有思路、有方法。

三、培訓對象
COBIT®2019是國際公認的I&T治理和管理框架，與ISACA其他產(chǎn)品一起，被全球188個國家和地區(qū)的企業(yè)管理者所接受。以下角色將在本課程中受益：
 

董事會	首席數(shù)字官	項目管理辦公室	服務(wù)經(jīng)理
執(zhí)行委員會	I&T 治理委員會	指導委員會	信息安全經(jīng)理
首席執(zhí)行官	架構(gòu)委員會	項目經(jīng)理	業(yè)務(wù)連續(xù)性經(jīng)理
首席風險官	企業(yè)風險委員會	數(shù)據(jù)管理部門	隱私官
首席信息官	首席信息安全官	架構(gòu)總監(jiān)	合規(guī)官
首席技術(shù)官	業(yè)務(wù)流程所有者	開發(fā)總監(jiān)	審計

 
四、培訓時間
培訓時長： 3天，每天6小時。

五、課程大綱

日程	培訓模塊	培訓大綱
第一天	PART 1.COBIT框架核心概念	控制、風險與審計的關(guān)系 典型銀行業(yè)“三道防線”架構(gòu) 組織IT治理的一般場景 Cobit 2019的40個核心模型 大型組織企業(yè)框架管理 關(guān)于IT架構(gòu)
	PART 2.COBIT橋梁課程概覽	框架介紹企業(yè) I&T 治理 將COBIT作為 I&T 框架 COBIT 2019框架的目標受眾 COBIT的格式和產(chǎn)品架構(gòu) COBIT 2019與COBIT5主要區(qū)別 COBIT與其它標準
	PART 3.COBIT 2019	治理“體系”原則 治理“框架”原則 治理和管理目標 治理體系的組件 焦點區(qū)域 設(shè)計因素 目標級聯(lián) COBIT核心模型概述 治理和管理目標 績效管理的定義和原則 績效管理概述 能力和成熟度 流程的績效管理 治理體系組件的管理 設(shè)計因素的影響 設(shè)計一個量身定制的體系 實施指南的目的和范圍 實施的生命周期 設(shè)計指南和實施指南的關(guān)系
	PART 4.評估、指導和監(jiān)控	確保治理框架的設(shè)置和維護 確保實現(xiàn)效益 確保風險優(yōu)化 確保資源優(yōu)化 確保利益相關(guān)方參與
第二天	PART 5.調(diào)整、規(guī)劃和組織	妥當管理的I&T管理框架 妥當管理的戰(zhàn)略 妥當管理的企業(yè)架構(gòu) 妥當管理的創(chuàng)新 妥當管理的組合 妥當管理的預(yù)算和成本 妥當管理的人力資源 妥當管理的關(guān)系 妥當管理的服務(wù)協(xié)議 妥當管理的供應(yīng)商 妥當管理的質(zhì)量 妥當管理的風險 妥當管理的安全 妥當管理的數(shù)據(jù)
	PART 6.風險管理體系案例分析	信息科技風險現(xiàn)狀分析 信息科技風險根本原因 監(jiān)管要求及監(jiān)管評級 風險管理的最佳實踐 科技風險管理發(fā)展趨勢 科技風險管理體系 風險目錄與風險庫 風險偏好與風險容忍度
第三天	PART 7.內(nèi)部構(gòu)建、外部采購和實施	妥當管理的計劃 妥當管理的需求定義 妥當管理的解決方案識別和構(gòu)建 妥當管理的可用性和容量 妥當管理的組織變更 妥當管理的IT變更 妥當管理的IT變更接受和交接 妥當管理的知識 妥當管理的資產(chǎn) 妥當管理的配置 妥當管理的項目
	PART 8.案例分析：信息安全管理體系	ISO27001 網(wǎng)絡(luò)安全法介紹 等級保護2.0介紹 信息安全管理體系基本概念 信息安全風險評估基礎(chǔ)知識 信息安全管理體系介紹（ISMS） 信息安全管理體系實施過程
	PART 9.交付、服務(wù)和支持	妥當管理的運營 妥當管理的服務(wù)請求和事故 妥當管理的問題 妥當管理的連續(xù)性 妥當管理的安全服務(wù) 妥當管理的業(yè)務(wù)流程控制
	PART 10.案例分析：業(yè)務(wù)連續(xù)性管理體系	為什么要實施業(yè)務(wù)連續(xù)性管理 監(jiān)管要求及國際標準解讀 業(yè)務(wù)連續(xù)性管理方法論 組織架構(gòu)設(shè)計與制度體系建設(shè) 業(yè)務(wù)影響分析 風險評估 業(yè)務(wù)連續(xù)性計劃編制 預(yù)案演練與持續(xù)改進 業(yè)務(wù)連續(xù)性管理體系建設(shè)
	PART 11.監(jiān)控、評價和評估	妥當管理的績效和一致性監(jiān)控 妥當管理的內(nèi)部控制系統(tǒng) 妥當管理的外部要求合規(guī)性 妥當管理的鑒證
	PART 12.案例分析:IT審計實務(wù)	行業(yè)IT審計的一般方法 金融行業(yè)的IT風險全面審計 大型企業(yè)網(wǎng)絡(luò)安全法及敏感數(shù)據(jù)保護審計 政府行業(yè)的IT合規(guī)審計
	PART 13.總結(jié)	COBIT 2019課程總結(jié)
總結(jié)與考試