ISACA CGEIT（企业 IT 治理证书）的关键类别是：

1. 根据业务战略响应业务需求
2. 根据董事会指示响应治理要求
3. 确保最终用户对服务产品和服务水平的满意度
4. 优化信息使用
5. 打造 IT 敏捷性
6. 定义如何将业务功能和控制要求转化为有效且高效的自动化解决方案
7. 获取和维护集成和标准化的应用系统
8. 获取并维护集成的标准化 IT 基础架构
9. 获取和维护响应 IT 战略的 IT 技能
10. 确保第三方关系的相互满意
11. 确保将应用程序无缝集成到业务流程中
12. 确保对 IT 成本、收益、战略、政策和服务水平的透明度和理解
13. 确保应用程序和技术解决方案的正确使用和性能
14. 考虑并保护所有 IT 资产
15. 优化 IT 基础架构、资源和能力
16. 减少解决方案和服务交付缺陷和返工
17. 保护 IT 目标的实现
18. 明确风险对 IT 目标和资源的业务影响
19. 确保向不应访问的人隐瞒关键和机密信息
20. 确保自动化的业务交易和信息交换是可信的
21. 确保 IT 服务和基础架构能够适当地抵御因错误、蓄意攻击或灾难导致的故障并从故障中恢复
22. 确保在 IT 服务中断或变更时将业务影响降至最低
23. 确保 IT 服务按要求可用
24. 提高 IT 的成本效率及其对业务盈利能力的贡献
25. 按时按预算交付项目，满足质量标准
26. 维护信息和处理基础设施的完整性
27. 确保 IT 遵守法律、法规和合同
28. 确保 IT 展示具有成本效益的服务质量、持续改进和为未来变化做好准备

有趣的是，您会看到其中只有九个真正与 IT 安全有关，其中五个与弹性有关，因此 CIO 对风险的看法与 IT 安全专业人员的看法不同。

因此，实际上，所需的统计数据将参考：

保护资产 - 检测到对资产的攻击与成功的攻击 访问控制 - 违反访问控制、未能将用户纳入策略等 对自动化流程的信任 - 审计标志、控制失败 确保业务连续性 - 成功测试 BC/DR 计划 减少影响 -攻击后成本分析（成功与否） 合规性 - 审计/监管机构调查结果

• # 每年的事件数，按类型，正整数
• 处理（调查、清理、分析/审查/事后检验等）事件所需的时间/资源，以工时数计（每个事件应有自己的相应数据）
• 在取证、日志管理、事件响应流程/程序管理和事件处理程序培训方面跨元结构和信息结构的覆盖率（百分比）
• 按类别（信息/元结构）和子类别（例如每个应用程序、每个业务单元、每个数据中心等）衡量的取证质量、日志管理、事件响应流程/程序管理和事件处理程序培训由外部评估员（每年一次，以某种可以随时间变化的尺度来衡量，可能是 1 到 100 和等级，但不像 FISMA）