信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn).1信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn).1信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)課程目錄信息系統(tǒng)審計(jì)基礎(chǔ)通用計(jì)算機(jī)控制審計(jì)應(yīng)用系統(tǒng)控制審計(jì)計(jì)算機(jī)輔助審計(jì)技術(shù)介紹信息技術(shù)控制缺陷的評(píng)估對(duì)外包服務(wù)商內(nèi)部控制的考慮交流與回答2信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)課程目錄信息系統(tǒng)審計(jì)基礎(chǔ)2信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)審計(jì)基礎(chǔ)

3信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)審計(jì)基礎(chǔ)3信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)IT審計(jì)的定義為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)象的IT審計(jì)師，以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)，向IT審計(jì)對(duì)象的最高領(lǐng)導(dǎo)，提出問(wèn)題與建議的一連串的活動(dòng)。IT審計(jì)的要點(diǎn)：獨(dú)立性綜合性IT審計(jì)師資格IT審計(jì)報(bào)告促進(jìn)信息系統(tǒng)安全、可靠與有效4信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)IT審計(jì)的定義為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)IT審計(jì)vs.財(cái)務(wù)審計(jì)AssessEngagementQuality(Ch.27)PerformPost-EngagementActivitiesEngagementReporting(Ch.26)PrepareAuditSummaryMemorandum(Ch.24)ObtainManagementRepresentations(Ch.23)PerformSubsequentEventsReview(Ch.22)Conclude&ReportPerformFinancialStatementReview(Ch.21)OverallEvaluationofMisstatements&theScopeofourAudit(Ch.20)PerformTestsofOperatingEffectivenessofControls(Ch.17)PerformtheAuditPlanDeterminePlanningMateriality(Ch.11)PerformPreliminaryAnalyticalReview(Ch.10)UnderstandtheAccountingProcess(Ch.9)UnderstandingInternalControl(Ch.8)UnderstandtheEntityandItsEnvironment(Ch.7.)StrategicAuditPlanning(Ch.6)PerformPreliminaryPlanningEstablishTermsofEngagement(Ch.5)SelecttheEngagementTeam(Ch.4)Assess&RespondtoEngagementRisk(Ch.3)PerformPre-EngagementActivitiesPrepare,ReviewandControlWorkingPapers(Ch.25)AssessandManageRiskAuditQualityManagetheAuditEngagement(Ch.2)Planan

intermediatelevelofsubstantiveprocedures(Ch.15)Plantoobtainauditevidenceabouttheoperatingeffectivenessofcontrols,inthecurrentauditperiodortogetherwithourworkperformedintheprior2audits,&planabasiclevelofsub-stantiveprocedures(Ch.14&15)Plantoobtainauditevidenceabouttheoperatingeffectivenessofcontrols,inthecurrentauditperiod,&planamoderate

levelofsubstantiveprocedures(Ch.14&15)Plana

focused

levelofsubstantiveprocedures(Ch.15)DeveloptheAuditPlanSummarize&CommunicatetheAuditPlan(Ch16)PlantoRelyonOperatingEffectivenessofControls(Ch.13)SpecificIdentifiedRisk(Ch.12)YesNoYesNoYesNo3.01.70.72.0.PerformSubstantiveProcedures[SAP(Ch.18)&/orTestsofDetails(Ch.19)]NoSpecificIdentifiedRisk(Ch.12)AssessRiskatthePotential-ErrorLevel(Ch.12)Design&implementationofcontrolswasadequate(Ch.9)No5信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)IT審計(jì)vs.財(cái)務(wù)審計(jì)AssessEngagement內(nèi)部控制構(gòu)成要素（COSO）確保相關(guān)信息得到及時(shí)識(shí)別與傳達(dá)的程序來(lái)自高管的信息政策與程序培訓(xùn)道德準(zhǔn)則組織的控制意識(shí)。“高層論調(diào)”道德準(zhǔn)則成文的政策與程序文化評(píng)估對(duì)影響組織績(jī)效的內(nèi)外部因素的評(píng)估業(yè)務(wù)風(fēng)險(xiǎn)管理程序風(fēng)險(xiǎn)管理內(nèi)部審計(jì)風(fēng)險(xiǎn)評(píng)估確定內(nèi)部控制是否得到正確地設(shè)計(jì)、有效和因地制宜地執(zhí)行的程序管理分析披露委員會(huì)內(nèi)部審計(jì)確保風(fēng)險(xiǎn)管理措施得到及時(shí)執(zhí)行的政策與程序

授權(quán)審批普通程序和系統(tǒng)職責(zé)分隔客戶對(duì)帳信息技術(shù)控制6信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)內(nèi)部控制構(gòu)成要素（COSO）確保相關(guān)信息得到及時(shí)識(shí)別與傳達(dá)的IT穿插在企業(yè)內(nèi)部控制的各個(gè)環(huán)節(jié)控制環(huán)境IT控制環(huán)境是公司整體控制環(huán)境的重要組成部分在公司“老總”層面要聽(tīng)得到關(guān)于信息技術(shù)的聲音信息技術(shù)的控制職責(zé)和簽字權(quán)力必須明確信息技術(shù)的控制政策和規(guī)程必須成文風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)有專門的信息技術(shù)風(fēng)險(xiǎn)評(píng)估程序應(yīng)當(dāng)對(duì)信息技術(shù)內(nèi)控計(jì)劃的制定加以監(jiān)督信息技術(shù)風(fēng)險(xiǎn)包括安全、運(yùn)行、可用性等，都會(huì)影響財(cái)務(wù)報(bào)告的可靠性管理層必須意識(shí)到信息技術(shù)的風(fēng)險(xiǎn)與信息技術(shù)的控制息息相關(guān)信息與溝通部署用以支持溝通的架構(gòu)、標(biāo)準(zhǔn)和流程信息能夠準(zhǔn)確、及時(shí)地向上傳遞方便地獲取信息技術(shù)相關(guān)的政策、流程、職位描述和職責(zé)定義準(zhǔn)確地對(duì)財(cái)務(wù)數(shù)據(jù)和報(bào)告進(jìn)行整理和溝通監(jiān)督對(duì)信息技術(shù)內(nèi)控進(jìn)行持續(xù)監(jiān)督，確保其實(shí)質(zhì)有效實(shí)際并運(yùn)行對(duì)信息技術(shù)文檔的充分性進(jìn)行監(jiān)督信息技術(shù)內(nèi)審復(fù)核.對(duì)彌補(bǔ)和升級(jí)程序進(jìn)行監(jiān)控.持續(xù)的安全監(jiān)督7信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)IT穿插在企業(yè)內(nèi)部控制的各個(gè)環(huán)節(jié)控制環(huán)境風(fēng)險(xiǎn)評(píng)估信息與溝通監(jiān)了解企業(yè)內(nèi)部控制的程序

識(shí)別主要活動(dòng),程序和控制,以應(yīng)對(duì)內(nèi)控的各實(shí)體層次構(gòu)成要素。了解監(jiān)管負(fù)責(zé)人員如何應(yīng)對(duì)風(fēng)險(xiǎn)評(píng)估控制的設(shè)計(jì)與執(zhí)行對(duì)以下作出結(jié)論：對(duì)實(shí)現(xiàn)有效內(nèi)部控制和可靠財(cái)務(wù)信息處理的幫助。它是否提高或降低內(nèi)部控制的有效性8信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)了解企業(yè)內(nèi)部控制的程序

識(shí)別主要活動(dòng),程序和控制,以應(yīng)對(duì)IT控制是內(nèi)部控制的重要組成部分EntityLevelControlsEntity-levelcontrolssetthetoneandcultureoftheorganization.ITentity-levelcontrolsarepartofacompany’soverallcontrolenvironment.Controlsinclude:?Strategiesandplans?Policiesandprocedures?Riskassessmentactivities?Trainingandeducation?Qualityassurance?InternalauditITServicesOS/Data/Telecom/Continuity/NetworksBusinessProcessFinanceReportBusinessProcess

CustomerBankingBusinessProcessLoan

BusinessProcessInvestmentExecutiveManagementITGeneralControlsControlsembeddedwithinITprocessesthatprovideareliableoperatingenvironmentandsupporttheeffectiveoperationofapplicationcontrols.Controlsinclude:?Programdevelopment?Programchanges?Accesstoprogramsanddata?ComputeroperationsApplicationControlsControlsembeddedwithinbusinessprocessapplicationsdirectlysupportfinancialcontrolobjectives.Controlsinclude:Controlobjectives/assertionsinclude:?Completeness?Accuracy?Existence/authorization?Presentation/disclosure9信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)IT控制是內(nèi)部控制的重要組成部分EntityLevelC控制vs.風(fēng)險(xiǎn)風(fēng)險(xiǎn)是特定的威脅利用資產(chǎn)的脆弱性從而造成對(duì)資產(chǎn)的一種潛在損害，風(fēng)險(xiǎn)的嚴(yán)重程度與資產(chǎn)價(jià)值程度及威脅發(fā)生的頻度成正比為了將風(fēng)險(xiǎn)控制在管理層可接受的程度，就必須對(duì)識(shí)別出的各類風(fēng)險(xiǎn)實(shí)施相關(guān)的控制。在實(shí)施時(shí)須考慮如下因素：比較控制成本與減少風(fēng)險(xiǎn)所得的收益管理層的風(fēng)險(xiǎn)喜好（如，管理層準(zhǔn)備接受的殘余風(fēng)險(xiǎn)水平）愿意采取的風(fēng)險(xiǎn)降低的方式（如，終止風(fēng)險(xiǎn)、減少發(fā)生的可能、減少影響、轉(zhuǎn)移或保險(xiǎn)）10信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)控制vs.風(fēng)險(xiǎn)風(fēng)險(xiǎn)是特定的威脅利用資產(chǎn)的脆弱性從而造成對(duì)控制的分類預(yù)防性控制在事情發(fā)生前監(jiān)測(cè)問(wèn)題監(jiān)控運(yùn)營(yíng)和輸入在問(wèn)題發(fā)生前預(yù)測(cè)潛在問(wèn)題避免錯(cuò)誤、疏忽或蓄意行為的發(fā)生檢測(cè)性控制使用控制檢查和報(bào)告發(fā)生的錯(cuò)誤、疏漏或蓄意行為的發(fā)生糾正性控制減少危害影響修復(fù)檢查性控制發(fā)現(xiàn)的問(wèn)題找出問(wèn)題原因，糾正問(wèn)題衍生出的錯(cuò)誤，修改處理系統(tǒng)以減少未來(lái)問(wèn)題發(fā)生的可能性11信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)控制的分類預(yù)防性控制11信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)內(nèi)部控制目標(biāo)內(nèi)部控制就是要通過(guò)實(shí)施一系列特定的控制活動(dòng)，達(dá)到所預(yù)期的結(jié)果或目的。通常包括：內(nèi)部會(huì)計(jì)控制——主要針對(duì)會(huì)計(jì)操作，即資產(chǎn)安全、財(cái)務(wù)資料準(zhǔn)確可靠運(yùn)營(yíng)控制——針對(duì)日常運(yùn)營(yíng)、職能和活動(dòng)，用于確保運(yùn)營(yíng)達(dá)到企業(yè)目標(biāo)管理控制——關(guān)注職能部門的運(yùn)作效率及運(yùn)營(yíng)控制符合管理政策的程度，是以提高經(jīng)營(yíng)效率和保證管理方針、政策的實(shí)施為目標(biāo)的控制技術(shù)環(huán)境控制——保護(hù)信息資產(chǎn)，符合組織的方針策略及法律法規(guī)的要求，信息輸入輸出，交易處理的準(zhǔn)確性及完整性，數(shù)據(jù)處理的可靠性，備份與恢復(fù)，業(yè)務(wù)經(jīng)營(yíng)的效率與效果12信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)內(nèi)部控制目標(biāo)內(nèi)部控制就是要通過(guò)實(shí)施一系列特定的控制活動(dòng)，達(dá)到信息系統(tǒng)控制目標(biāo)內(nèi)部控制目標(biāo)可以運(yùn)用在所有人工及自動(dòng)化控制部分，常見(jiàn)的信息系統(tǒng)控制目標(biāo)如：保護(hù)信息系統(tǒng)以防止不當(dāng)存取，并確保及時(shí)更新保護(hù)計(jì)算機(jī)操作系統(tǒng)及網(wǎng)絡(luò)操作系統(tǒng)的完整性保護(hù)敏感的、重要的應(yīng)用系統(tǒng)（如財(cái)務(wù)及管理應(yīng)用系統(tǒng)）的機(jī)密性和完整性：保證信息系統(tǒng)的運(yùn)營(yíng)效率與效果符合用戶的需求、組織的方針、策略與程序，并遵守法律法規(guī)的要求制定業(yè)務(wù)持續(xù)計(jì)劃及災(zāi)難恢復(fù)計(jì)劃制定應(yīng)急響應(yīng)及處理程序……13信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)控制目標(biāo)內(nèi)部控制目標(biāo)可以運(yùn)用在所有人工及自動(dòng)化控制部實(shí)施信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)是檢查評(píng)估自動(dòng)化信息處理系統(tǒng)、與其有關(guān)的非自動(dòng)化程序和兩者之間的接口等。實(shí)施信息系統(tǒng)審計(jì)需要如下幾個(gè)步驟：充分的審計(jì)計(jì)劃（短期、長(zhǎng)期）為有效地利用審計(jì)資源，審計(jì)機(jī)構(gòu)必須評(píng)估所有風(fēng)險(xiǎn)（一般控制與應(yīng)用控制領(lǐng)域）制定審計(jì)計(jì)劃，包括審計(jì)目標(biāo)與審計(jì)程序搜集證據(jù)、對(duì)現(xiàn)有控制進(jìn)行評(píng)估與測(cè)試編寫審計(jì)報(bào)告，并與管理層溝通審計(jì)發(fā)現(xiàn)14信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)實(shí)施信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)是檢查評(píng)估自動(dòng)化信息處理系統(tǒng)、與測(cè)試和評(píng)估信息系統(tǒng)控制的方法信息系統(tǒng)審計(jì)師必須理解和掌握測(cè)試評(píng)估信息系統(tǒng)控制的方法：使用通用審計(jì)軟件調(diào)查數(shù)據(jù)文件的內(nèi)容（包括系統(tǒng)日志）使用專用軟件來(lái)評(píng)估操作系統(tǒng)參數(shù)文件（如測(cè)試系統(tǒng)參數(shù)設(shè)置漏洞）用流程圖的方式來(lái)圖示業(yè)務(wù)流程及應(yīng)用系統(tǒng)使用操作系統(tǒng)中內(nèi)置的審計(jì)報(bào)告進(jìn)行文檔檢查觀察……15信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)測(cè)試和評(píng)估信息系統(tǒng)控制的方法信息系統(tǒng)審計(jì)師必須理解和掌握測(cè)試符合性測(cè)試vs.實(shí)質(zhì)性測(cè)試符合性測(cè)試確定控制的執(zhí)行符合管理層制定的方針政策的程度。測(cè)試目的是為信息系統(tǒng)審計(jì)師提供保證——其在初步評(píng)價(jià)中確定的關(guān)鍵控制點(diǎn)是可以信賴的。實(shí)質(zhì)性測(cè)試驗(yàn)證實(shí)際處理的完整性。例如對(duì)于貸款利息計(jì)算，信息系統(tǒng)審計(jì)師可能采取詳細(xì)的利息計(jì)算測(cè)試，也可能采取統(tǒng)計(jì)抽樣技術(shù)，得出全部貸款利息正確的結(jié)論。需要進(jìn)行實(shí)質(zhì)性測(cè)試的數(shù)量與內(nèi)部控制水平直接相關(guān)。（德勤的方法中樣本數(shù)量可相差10倍）16信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)符合性測(cè)試vs.實(shí)質(zhì)性測(cè)試符合性測(cè)試確定控制的執(zhí)行符合管審計(jì)證據(jù)證據(jù)是審計(jì)師安全審計(jì)標(biāo)準(zhǔn)及目標(biāo)的要求，在對(duì)某一實(shí)體或數(shù)據(jù)進(jìn)行審計(jì)時(shí)所采用的信息。審計(jì)證據(jù)包括審計(jì)人員的觀察、詢問(wèn)的記錄、從內(nèi)部文件或信件中獲取的資料、審計(jì)測(cè)試程序所產(chǎn)生的結(jié)果。審計(jì)證據(jù)的可靠性取決于以下因素：提供審計(jì)證據(jù)人員的獨(dú)立性提供審計(jì)信息或證據(jù)人員的資格審計(jì)證據(jù)的客觀性審計(jì)證據(jù)的實(shí)效性17信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)審計(jì)證據(jù)證據(jù)是審計(jì)師安全審計(jì)標(biāo)準(zhǔn)及目標(biāo)的要求，在對(duì)某一實(shí)體審計(jì)證據(jù)的獲得獲取審計(jì)證據(jù)的技術(shù)有：檢查信息系統(tǒng)組織結(jié)構(gòu)檢查信息系統(tǒng)方針政策檢查信息系統(tǒng)標(biāo)準(zhǔn)檢查信息系統(tǒng)文件約見(jiàn)相關(guān)人員并進(jìn)行會(huì)談?dòng)^察處理過(guò)程和員工的實(shí)際表現(xiàn)審計(jì)工作不僅僅包括查詢程序，還包括對(duì)控制和審計(jì)證據(jù)的測(cè)試驗(yàn)證，得出審計(jì)測(cè)試的結(jié)論18信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)審計(jì)證據(jù)的獲得獲取審計(jì)證據(jù)的技術(shù)有：審計(jì)工作不僅僅包括查詢程通用計(jì)算機(jī)控制審計(jì)

19信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)通用計(jì)算機(jī)控制審計(jì)19信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)通用計(jì)算機(jī)審計(jì)涵蓋的領(lǐng)域信息系統(tǒng)運(yùn)作信息安全應(yīng)用系統(tǒng)的實(shí)施及維護(hù)數(shù)據(jù)庫(kù)的實(shí)施及維護(hù)網(wǎng)絡(luò)支持系統(tǒng)軟件支持信息資源戰(zhàn)略及規(guī)劃與外包供應(yīng)商的關(guān)系業(yè)務(wù)連續(xù)性計(jì)劃硬件支持20信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)通用計(jì)算機(jī)審計(jì)涵蓋的領(lǐng)域信息系統(tǒng)運(yùn)作20信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)運(yùn)作所有進(jìn)行批處理和在線作業(yè)及產(chǎn)生報(bào)表之生產(chǎn)程序均能及時(shí)運(yùn)行并正常完成僅執(zhí)行有效的生產(chǎn)程序依照法律,法規(guī)或公司政策保存數(shù)據(jù),以便必要時(shí)可隨時(shí)取得計(jì)算機(jī)處理環(huán)境的服務(wù)水平達(dá)到或超過(guò)管理當(dāng)局的期望用戶得到有關(guān)應(yīng)用系統(tǒng)使用的適當(dāng)培訓(xùn)用戶獲得適當(dāng)?shù)闹С忠源_保應(yīng)用系統(tǒng)的功能依照其預(yù)定的目標(biāo)運(yùn)行21信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)運(yùn)作所有進(jìn)行批處理和在線作業(yè)及產(chǎn)生報(bào)表之生產(chǎn)程序均能信息系統(tǒng)運(yùn)作所有進(jìn)行批處理和在線作業(yè)及產(chǎn)生報(bào)表之生產(chǎn)程序均能及時(shí)運(yùn)行并正常完成管理當(dāng)局應(yīng)監(jiān)督計(jì)算機(jī)處理（包括復(fù)核及解決任何例外情形）以確保處理成功和及時(shí)地完成非正常處理的例外情形應(yīng)記入日志、經(jīng)管理當(dāng)局復(fù)核并立即解決對(duì)批次及在線處理程序進(jìn)行定義，以確保該工作和/或交易被正常地處理及完成、或被恢復(fù)及重新處理22信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)運(yùn)作所有進(jìn)行批處理和在線作業(yè)及產(chǎn)生報(bào)表之生產(chǎn)程序均能信息系統(tǒng)運(yùn)作僅執(zhí)行有效的生產(chǎn)程序自動(dòng)化編排工具（schedulingtool）已被執(zhí)行以確保處理流程經(jīng)授權(quán)及完整對(duì)生產(chǎn)處理控制語(yǔ)言和可執(zhí)行程序的訪問(wèn)權(quán)限進(jìn)行定義，使得只有適當(dāng)人員才能具有執(zhí)行、修改、刪除或創(chuàng)建的能力管理當(dāng)局或用戶復(fù)核完成的處理以確保其正確性、完整性及已經(jīng)授權(quán)23信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)運(yùn)作僅執(zhí)行有效的生產(chǎn)程序23信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)運(yùn)作依照法律,法規(guī)或公司政策保存數(shù)據(jù),以便必要時(shí)可隨時(shí)取得通過(guò)恢復(fù)或其他方法定期測(cè)試備份和保留數(shù)據(jù)的持續(xù)可讀性管理當(dāng)局和用戶制定數(shù)據(jù)備份和保留的計(jì)劃及時(shí)間；對(duì)不再需要保留的數(shù)據(jù)應(yīng)進(jìn)行刪除并釋放介質(zhì)的儲(chǔ)存空間。管理當(dāng)局定期復(fù)核數(shù)據(jù)保留及釋放的記錄所有介質(zhì)（磁帶、手冊(cè)、指引等）都存放在安全的、可進(jìn)行環(huán)境調(diào)控的地點(diǎn)可移動(dòng)的介質(zhì)應(yīng)貼上標(biāo)簽以便適當(dāng)識(shí)別自動(dòng)化數(shù)據(jù)保留儲(chǔ)存工具經(jīng)管理當(dāng)局的批準(zhǔn)并得到實(shí)施以管理數(shù)據(jù)備份及保留的計(jì)劃和時(shí)間對(duì)數(shù)據(jù)進(jìn)行異地備份存檔(archivedoff-site)以便最大限度減少數(shù)據(jù)丟失24信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)運(yùn)作依照法律,法規(guī)或公司政策保存數(shù)據(jù),以便必要時(shí)可隨信息系統(tǒng)運(yùn)作計(jì)算機(jī)處理環(huán)境的服務(wù)水平達(dá)到或超過(guò)管理當(dāng)局的期望對(duì)服務(wù)水平的衡量準(zhǔn)則進(jìn)行定義，該定義應(yīng)征得受影響的人員同意管理當(dāng)局監(jiān)督信息系統(tǒng)的服務(wù)水平，且當(dāng)服務(wù)表現(xiàn)未達(dá)到期望的服務(wù)水平時(shí)制定修正措施對(duì)計(jì)算機(jī)處理環(huán)境的性能和能力的利用應(yīng)被衡量、報(bào)告和經(jīng)管理當(dāng)局復(fù)核25信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)運(yùn)作計(jì)算機(jī)處理環(huán)境的服務(wù)水平達(dá)到或超過(guò)管理當(dāng)局的期望信息系統(tǒng)運(yùn)作用戶得到有關(guān)應(yīng)用系統(tǒng)使用的適當(dāng)培訓(xùn)系統(tǒng)實(shí)施的程序應(yīng)包括對(duì)用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修改的系統(tǒng)的使用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)督該程序的執(zhí)行情況。應(yīng)為新聘用的員工及實(shí)體內(nèi)調(diào)職的員工提供相關(guān)應(yīng)用系統(tǒng)的正式培訓(xùn)用戶可隨時(shí)訪問(wèn)應(yīng)用系統(tǒng)中現(xiàn)有的用戶文件對(duì)支持的申請(qǐng)應(yīng)定期向管理當(dāng)局匯總并報(bào)告。管理當(dāng)局監(jiān)督支持申請(qǐng)的性質(zhì)及頻率以確定是否需要改善用戶培訓(xùn)、支持的資源和/或文件26信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)運(yùn)作用戶得到有關(guān)應(yīng)用系統(tǒng)使用的適當(dāng)培訓(xùn)26信息系統(tǒng)審信息系統(tǒng)運(yùn)作用戶獲得適當(dāng)?shù)闹С忠源_保應(yīng)用系統(tǒng)的功能依照其預(yù)定的目標(biāo)運(yùn)行管理當(dāng)局監(jiān)督問(wèn)題的統(tǒng)計(jì)及趨勢(shì)，以識(shí)別及消除該問(wèn)題重復(fù)出現(xiàn)的根本原因信息系統(tǒng)架構(gòu)應(yīng)包括幫助中心(helpdesk)的功能以便用戶進(jìn)行有關(guān)系統(tǒng)的查詢。所提出的問(wèn)題應(yīng)記錄在中央問(wèn)題日志之中。幫助中心(helpdesk)工作人員應(yīng)監(jiān)督日志以確保及時(shí)解決所有用戶的查詢用戶可隨時(shí)訪問(wèn)應(yīng)用系統(tǒng)中現(xiàn)有的用戶文件對(duì)支持的申請(qǐng)應(yīng)定期向管理當(dāng)局匯總并報(bào)告。管理當(dāng)局監(jiān)督支持申請(qǐng)的性質(zhì)及頻率以確定是否需要改善用戶培訓(xùn)、支持的資源和/或文件27信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)運(yùn)作用戶獲得適當(dāng)?shù)闹С忠源_保應(yīng)用系統(tǒng)的功能依照其預(yù)定信息安全邏輯安全物理安全信息系統(tǒng)政策28信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全邏輯安全物理安全信息系統(tǒng)政策28信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全須保護(hù)的計(jì)算機(jī)設(shè)備29信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全須保護(hù)的計(jì)算機(jī)設(shè)備29信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全面臨的威脅30信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全面臨的威脅30信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全物理安全UPS31信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全物理安全UPS31信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全邏輯安全PublicNetwork32信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全邏輯安全Public32信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全邏輯安全PublicNetwork33信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全邏輯安全Public33信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全實(shí)施及配置邏輯安全管理工具和技術(shù)來(lái)限制對(duì)程序,數(shù)據(jù)及其他信息資源的訪問(wèn)邏輯安全管理工具和技術(shù)得到適當(dāng)管理，以限制對(duì)程序、數(shù)據(jù)和其他信息資源的訪問(wèn)實(shí)施和管理物理訪問(wèn)限制，以確保僅有經(jīng)適當(dāng)?shù)氖跈?quán)人員可以訪問(wèn)和使用信息資源所有信息資源均配備必要的實(shí)體和邏輯安全措施實(shí)體的程序、數(shù)據(jù)及其他信息資源均受到保護(hù)以防病毒侵害實(shí)體計(jì)算機(jī)系統(tǒng)中軟件的安裝和/或使用遵循授權(quán)協(xié)議的規(guī)定及經(jīng)管理當(dāng)局授權(quán)保護(hù)信息資源免受環(huán)境災(zāi)害及相關(guān)損害的影響34信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全實(shí)施及配置邏輯安全管理工具和技術(shù)來(lái)限制對(duì)程序,數(shù)據(jù)及信息安全實(shí)施及配置邏輯安全管理工具和技術(shù)來(lái)限制對(duì)程序,數(shù)據(jù)及其他信息資源的訪問(wèn)應(yīng)修改應(yīng)用程序、系統(tǒng)和通信及網(wǎng)絡(luò)軟件中的廠商默認(rèn)密碼要求用戶擁有唯一的用戶識(shí)別代碼(identifier)以便對(duì)不同的用戶加以區(qū)分及確立可追蹤性終端設(shè)備和工作站應(yīng)設(shè)有保護(hù)程序，該保護(hù)程序在經(jīng)過(guò)一段設(shè)備預(yù)設(shè)的閑置時(shí)間之后會(huì)自動(dòng)激活敏感數(shù)據(jù)在傳輸過(guò)程中應(yīng)作加密處理信息安全工具與技術(shù)用于限制對(duì)信息資源(如：數(shù)據(jù)文件、公用程式(utility)、交易、程序）的訪問(wèn)權(quán)限。管理當(dāng)局應(yīng)復(fù)核及核準(zhǔn)信息安全工具與技術(shù)的實(shí)施和配置35信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全實(shí)施及配置邏輯安全管理工具和技術(shù)來(lái)限制對(duì)程序,數(shù)據(jù)及信息安全實(shí)施及配置邏輯安全管理工具和技術(shù)來(lái)限制對(duì)程序,數(shù)據(jù)及其他信息資源的訪問(wèn)系統(tǒng)應(yīng)通過(guò)密碼或其他識(shí)別機(jī)制識(shí)別（本地或遠(yuǎn)程的）用戶。應(yīng)制定有關(guān)密碼使用的政策--定期修改密碼、保密性和密碼格式（如：密碼長(zhǎng)度、字母與數(shù)字混合的內(nèi)容）應(yīng)制定安全政策為信息安全的總體方向及執(zhí)行提供指引只有適當(dāng)?shù)娜藛T才有能力修改整體系統(tǒng)的安全參數(shù)應(yīng)激活信息安全工具的功能以便記錄及報(bào)告信息安全政策所規(guī)定的安全事項(xiàng)（如安全違規(guī)報(bào)告）；應(yīng)定期復(fù)核該工具所產(chǎn)生的報(bào)告并采取必要的行動(dòng)36信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全實(shí)施及配置邏輯安全管理工具和技術(shù)來(lái)限制對(duì)程序,數(shù)據(jù)及信息安全邏輯安全管理工具和技術(shù)得到適當(dāng)管理，以限制對(duì)程序、數(shù)據(jù)和其他信息資源的訪問(wèn)要求用戶擁有唯一的用戶識(shí)別代碼(identifier)以便對(duì)不同的用戶加以區(qū)分及確立可追蹤性應(yīng)用程序所有者對(duì)用戶訪問(wèn)特權(quán)的性質(zhì)和程度進(jìn)行授權(quán)，且應(yīng)用程序所有者應(yīng)定期復(fù)核該訪問(wèn)特權(quán)以確保維持其適當(dāng)性。用戶的訪問(wèn)權(quán)限應(yīng)通過(guò)密碼或其他機(jī)制加以限制。密碼應(yīng)定期修改對(duì)未授權(quán)的企圖訪問(wèn)信息資源的行為應(yīng)記入日志并在安全違規(guī)報(bào)告中記錄；應(yīng)定期復(fù)核該日志及報(bào)告并采取必要的行動(dòng)對(duì)敏感數(shù)據(jù)（如人事記錄）經(jīng)授權(quán)的訪問(wèn)應(yīng)記入日志；應(yīng)定期復(fù)核該日志以評(píng)估對(duì)該數(shù)據(jù)的訪問(wèn)及使用是否適當(dāng)37信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全邏輯安全管理工具和技術(shù)得到適當(dāng)管理，以限制對(duì)程序、數(shù)信息安全邏輯安全管理工具和技術(shù)得到適當(dāng)管理，以限制對(duì)程序、數(shù)據(jù)和其他信息資源的訪問(wèn)應(yīng)激活信息安全工具的功能以便記錄及報(bào)告信息安全政策所規(guī)定的安全事項(xiàng)（如安全違規(guī)報(bào)告）；應(yīng)定期復(fù)核該工具所產(chǎn)生的報(bào)告并采取必要的行動(dòng)定義并指派與信息安全管理相關(guān)的職位和責(zé)任只有適當(dāng)?shù)娜藛T才有權(quán)限管理信息安全只有適當(dāng)?shù)娜藛T才有特許的訪問(wèn)權(quán)限（所謂"超級(jí)用戶"），對(duì)該權(quán)限的使用應(yīng)記入日志并進(jìn)行復(fù)核38信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全邏輯安全管理工具和技術(shù)得到適當(dāng)管理，以限制對(duì)程序、數(shù)信息安全實(shí)施和管理物理訪問(wèn)限制，以確保僅有經(jīng)適當(dāng)?shù)氖跈?quán)人員可以訪問(wèn)和使用信息資源應(yīng)監(jiān)督存放計(jì)算機(jī)設(shè)備的樓層及區(qū)域的人員進(jìn)出，且應(yīng)限制只有相關(guān)工作職責(zé)的人員才可進(jìn)入該區(qū)域；在經(jīng)管理當(dāng)局核準(zhǔn)后才可獲準(zhǔn)進(jìn)入該區(qū)域已執(zhí)行涉及商業(yè)信息資源評(píng)估、以及識(shí)別與評(píng)估現(xiàn)有風(fēng)險(xiǎn)水平的風(fēng)險(xiǎn)評(píng)估來(lái)確定適當(dāng)?shù)木吆侠沓杀镜男畔踩軜?gòu)。該風(fēng)險(xiǎn)評(píng)估應(yīng)定期更新，且管理當(dāng)局已實(shí)施合適的信息安全架構(gòu)以確保適當(dāng)?shù)娜藛T進(jìn)出和邏輯安全控制39信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全實(shí)施和管理物理訪問(wèn)限制，以確保僅有經(jīng)適當(dāng)?shù)氖跈?quán)人員可信息安全所有信息資源均配備必要的實(shí)體和邏輯安全措施應(yīng)用程序所有者對(duì)用戶訪問(wèn)特權(quán)的性質(zhì)和程度進(jìn)行授權(quán)，且應(yīng)用程序所有者應(yīng)定期復(fù)核該訪問(wèn)特權(quán)以確保維持其適當(dāng)性。用戶的訪問(wèn)權(quán)限應(yīng)通過(guò)密碼或其他機(jī)制加以限制。密碼應(yīng)定期修改應(yīng)監(jiān)督存放計(jì)算機(jī)設(shè)備的樓層及區(qū)域的人員進(jìn)出，且應(yīng)限制只有相關(guān)工作職責(zé)的人員才可進(jìn)入該區(qū)域；在經(jīng)管理當(dāng)局核準(zhǔn)后才可獲準(zhǔn)進(jìn)入該區(qū)域已執(zhí)行涉及商業(yè)信息資源評(píng)估、以及識(shí)別與評(píng)估現(xiàn)有風(fēng)險(xiǎn)水平的風(fēng)險(xiǎn)評(píng)估來(lái)確定適當(dāng)?shù)木吆侠沓杀镜男畔踩軜?gòu)。該風(fēng)險(xiǎn)評(píng)估應(yīng)定期更新，且管理當(dāng)局已實(shí)施合適的信息安全架構(gòu)以確保適當(dāng)?shù)娜藛T進(jìn)出和邏輯安全控制40信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全所有信息資源均配備必要的實(shí)體和邏輯安全措施40信息系信息安全實(shí)體的程序、數(shù)據(jù)及其他信息資源均受到保護(hù)以防病毒侵害所有軟件和數(shù)據(jù)在載入實(shí)體的系統(tǒng)之前應(yīng)先進(jìn)行查毒所有實(shí)體的計(jì)算機(jī)及任何連接實(shí)體網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)安裝防病毒軟件。該防病毒軟件應(yīng)設(shè)置為當(dāng)下載數(shù)據(jù)或程序、打開(kāi)數(shù)據(jù)文件或執(zhí)行程序時(shí)都須進(jìn)行病毒掃描。應(yīng)監(jiān)督該政策的遵循情況定期對(duì)網(wǎng)絡(luò)上或有可能感染病毒的程序和數(shù)據(jù)文件進(jìn)行病毒掃描要求用戶更新其防病毒軟件中的病毒定義列表，且所有外部的程序和數(shù)據(jù)在下載到他們的計(jì)算機(jī)之前都須進(jìn)行病毒掃描應(yīng)定期復(fù)核病毒掃描的結(jié)果，并對(duì)發(fā)現(xiàn)的問(wèn)題采取適當(dāng)?shù)慕鉀Q方案41信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全實(shí)體的程序、數(shù)據(jù)及其他信息資源均受到保護(hù)以防病毒侵害信息安全實(shí)體計(jì)算機(jī)系統(tǒng)中軟件的安裝和/或使用遵循授權(quán)協(xié)議的規(guī)定及經(jīng)管理當(dāng)局授權(quán)管理當(dāng)局已確立正式的政策以確保在對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時(shí)間安排，從而最大限度降低該修改對(duì)其他處理活動(dòng)的影響存在正式的軟件政策及標(biāo)準(zhǔn)，并傳達(dá)給所有員工應(yīng)定期把安裝到實(shí)體計(jì)算機(jī)中的軟件與授權(quán)軟件的明細(xì)表相核對(duì)。如發(fā)現(xiàn)未經(jīng)許可或未授權(quán)安裝的軟件，應(yīng)獲得該軟件的授權(quán)許可或?qū)浖M(jìn)行刪除在購(gòu)買新軟件之前應(yīng)核實(shí)該軟件的購(gòu)買及安裝以遵循公司的授權(quán)許可要求42信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全實(shí)體計(jì)算機(jī)系統(tǒng)中軟件的安裝和/或使用遵循授權(quán)協(xié)議的規(guī)信息安全保護(hù)信息資源免受環(huán)境災(zāi)害及相關(guān)損害的影響管理當(dāng)局定期監(jiān)督環(huán)境控制機(jī)制的有效性，并評(píng)估對(duì)實(shí)體信息資源的潛在威脅的商業(yè)影響管理當(dāng)局提供備用電源(如：不間斷電源(UPS)、發(fā)電機(jī))管理當(dāng)局應(yīng)確保有充足的煙霧/火警探測(cè)器和滅火設(shè)備數(shù)據(jù)中心的環(huán)境狀況(如：溫度、濕度)應(yīng)被監(jiān)督及調(diào)控計(jì)算機(jī)設(shè)施的所在地及其設(shè)計(jì)應(yīng)盡量避免受外部環(huán)境（如：風(fēng)、水、火）威脅43信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全保護(hù)信息資源免受環(huán)境災(zāi)害及相關(guān)損害的影響43信息系統(tǒng)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)DevelopRequirement

Specifications44信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)Develop44信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)Develop

RequirementSpecificationsPurchase/In-houseDevelop45信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)Develop

RequirementP應(yīng)用系統(tǒng)的實(shí)施及維護(hù)DevelopmentProjectManagementSoftwareSelectionDevelop

RequirementSpecificationsPurchase/In-houseDevelop46信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)DevelopmentSoftwareD應(yīng)用系統(tǒng)的實(shí)施及維護(hù)DevelopmentProjectManagementSoftwareSelectionDevelopRequirementSpecificationsPurchase/In-houseDevelopTesting47信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)DevelopmentSoftwareD應(yīng)用系統(tǒng)的實(shí)施及維護(hù)ProductionTurnover(ProgramChangeControls)Documentation48信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)ProductionTurnover4應(yīng)用系統(tǒng)的實(shí)施及維護(hù)新的應(yīng)用系統(tǒng)的購(gòu)買、開(kāi)發(fā)均符合管理當(dāng)局的意愿新應(yīng)用系統(tǒng)得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿當(dāng)新應(yīng)用系統(tǒng)實(shí)施完成后，原系統(tǒng)的數(shù)據(jù)能完整、準(zhǔn)確且有效地轉(zhuǎn)入新系統(tǒng)應(yīng)用系統(tǒng)可得到有效的維護(hù)與技術(shù)支持現(xiàn)有系統(tǒng)的必要修改均能及時(shí)實(shí)施正確實(shí)施現(xiàn)有應(yīng)用系統(tǒng)的修改且其修改后的功能符合管理當(dāng)局的意愿49信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)新的應(yīng)用系統(tǒng)的購(gòu)買、開(kāi)發(fā)均符合管理當(dāng)局的應(yīng)用系統(tǒng)的實(shí)施及維護(hù)新的應(yīng)用系統(tǒng)的購(gòu)買、開(kāi)發(fā)均符合管理當(dāng)局的意愿管理當(dāng)局核準(zhǔn)所有購(gòu)買或開(kāi)發(fā)應(yīng)用系統(tǒng)的決策，以確保系統(tǒng)的購(gòu)買和開(kāi)發(fā)與公司的系統(tǒng)規(guī)劃和戰(zhàn)略保持一致對(duì)項(xiàng)目進(jìn)行優(yōu)先順序區(qū)分及指派，以確保有限的信息資源被適當(dāng)利用且與公司的業(yè)務(wù)目標(biāo)保持一致使用正式的方法或程序?yàn)橛布?yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購(gòu)買、開(kāi)發(fā)或維護(hù)提供指引50信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)新的應(yīng)用系統(tǒng)的購(gòu)買、開(kāi)發(fā)均符合管理當(dāng)局的應(yīng)用系統(tǒng)的實(shí)施及維護(hù)新應(yīng)用系統(tǒng)得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿管理當(dāng)局已確立正式的政策以確保在對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時(shí)間安排，從而最大限度降低該修改對(duì)其他處理活動(dòng)的影響依照測(cè)試計(jì)劃(包括(如適當(dāng))：系統(tǒng)和單元測(cè)試、界面測(cè)試、并行測(cè)試(paralleltesting)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的應(yīng)用系統(tǒng)和現(xiàn)行應(yīng)用系統(tǒng)的修改進(jìn)行測(cè)試已確立的執(zhí)行程序包括確保操作、技術(shù)和用戶文件保持適時(shí)性及可供適當(dāng)人員獲取系統(tǒng)實(shí)施的程序應(yīng)包括對(duì)用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修改的系統(tǒng)的使用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)督該程序的執(zhí)行情況。應(yīng)為新聘用的員工及實(shí)體內(nèi)調(diào)職的員工提供相關(guān)應(yīng)用系統(tǒng)的正式培訓(xùn)51信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)新應(yīng)用系統(tǒng)得到適當(dāng)?shù)貙?shí)施且其功能符合管理應(yīng)用系統(tǒng)的實(shí)施及維護(hù)新應(yīng)用系統(tǒng)得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿應(yīng)在獨(dú)立于生產(chǎn)環(huán)境之外的環(huán)境中開(kāi)發(fā)、修改及測(cè)試應(yīng)用系統(tǒng)適當(dāng)限制對(duì)測(cè)試和生產(chǎn)環(huán)境的訪問(wèn)權(quán)限使用完整和具代表性的一組測(cè)試數(shù)據(jù)，而不是生產(chǎn)數(shù)據(jù)來(lái)執(zhí)行測(cè)試維護(hù)源代碼及技術(shù)文件--包括有關(guān)數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性應(yīng)對(duì)硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、和系統(tǒng)軟件的修改建議的影響進(jìn)行評(píng)估；在該建議實(shí)施到生產(chǎn)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限度減少對(duì)營(yíng)運(yùn)的干擾52信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)新應(yīng)用系統(tǒng)得到適當(dāng)?shù)貙?shí)施且其功能符合管理應(yīng)用系統(tǒng)的實(shí)施及維護(hù)應(yīng)用系統(tǒng)可得到有效的維護(hù)與技術(shù)支持實(shí)體對(duì)外部承包商和/或軟件廠商獲得的應(yīng)用程序或技術(shù)支持有正式的協(xié)議，以確保能獲得該支持。管理當(dāng)局應(yīng)監(jiān)督該協(xié)議的遵循情況已確立的執(zhí)行程序包括確保操作、技術(shù)和用戶文件保持適時(shí)性及可供適當(dāng)人員獲取管理當(dāng)局監(jiān)督所購(gòu)買的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的支持版已投入使用，且新的版本正被應(yīng)用使用管理當(dāng)局已核準(zhǔn)的一套通用準(zhǔn)則來(lái)進(jìn)行軟件開(kāi)發(fā)與維護(hù)，以確保實(shí)體內(nèi)的開(kāi)發(fā)與維護(hù)活動(dòng)保持一致開(kāi)發(fā)人員經(jīng)充分培訓(xùn)且熟悉公司所使用的通用準(zhǔn)則、技術(shù)和工具更改管理程序以確保源代碼與可執(zhí)行代碼的同步維護(hù)源代碼及技術(shù)文件--包括有關(guān)數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性53信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)應(yīng)用系統(tǒng)可得到有效的維護(hù)與技術(shù)支持53信應(yīng)用系統(tǒng)的實(shí)施及維護(hù)現(xiàn)有系統(tǒng)的必要修改均能及時(shí)實(shí)施管理當(dāng)局復(fù)核系統(tǒng)性能報(bào)告并監(jiān)督確保識(shí)別出低效率的性能時(shí)已立即采取足夠的措施，且制定及執(zhí)行相應(yīng)的解決方案用戶和其他對(duì)應(yīng)用系統(tǒng)修改的申請(qǐng)(包括系統(tǒng)更新和廠商定期發(fā)布的補(bǔ)丁程序)應(yīng)經(jīng)管理當(dāng)局核準(zhǔn)，且如果該修改符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的意愿，應(yīng)予以執(zhí)行使用正式的方法或程序?yàn)橛布?yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購(gòu)買、開(kāi)發(fā)或維護(hù)提供指引對(duì)于現(xiàn)有硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)結(jié)構(gòu)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件修改的執(zhí)行，管理當(dāng)局應(yīng)監(jiān)督該項(xiàng)目已達(dá)到原定的目標(biāo)且符合預(yù)算及時(shí)間的要求54信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)現(xiàn)有系統(tǒng)的必要修改均能及時(shí)實(shí)施54信息系應(yīng)用系統(tǒng)的實(shí)施及維護(hù)正確實(shí)施現(xiàn)有應(yīng)用系統(tǒng)的修改且其修改后的功能符合管理當(dāng)局的意愿管理當(dāng)局已確立正式的政策以確保在對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時(shí)間安排，從而最大限度降低該修改對(duì)其他處理活動(dòng)的影響依照測(cè)試計(jì)劃(包括(如適當(dāng))：系統(tǒng)和單元測(cè)試、界面測(cè)試、并行測(cè)試(paralleltesting)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的應(yīng)用系統(tǒng)和現(xiàn)行應(yīng)用系統(tǒng)的修改進(jìn)行測(cè)試已確立的執(zhí)行程序包括確保操作、技術(shù)和用戶文件保持適時(shí)性及可供適當(dāng)人員獲取應(yīng)在獨(dú)立于生產(chǎn)環(huán)境之外的環(huán)境中開(kāi)發(fā)、修改及測(cè)試應(yīng)用系統(tǒng)管理當(dāng)局保留應(yīng)用系統(tǒng)和/或數(shù)據(jù)先前的版本以備發(fā)生處理問(wèn)題時(shí)進(jìn)行系統(tǒng)/數(shù)據(jù)恢復(fù)55信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)正確實(shí)施現(xiàn)有應(yīng)用系統(tǒng)的修改且其修改后的功應(yīng)用系統(tǒng)的實(shí)施及維護(hù)正確實(shí)施現(xiàn)有應(yīng)用系統(tǒng)的修改且其修改后的功能符合管理當(dāng)局的意愿在生產(chǎn)環(huán)境中對(duì)應(yīng)用系統(tǒng)的修改申請(qǐng)應(yīng)進(jìn)行存檔并經(jīng)管理當(dāng)局核準(zhǔn)。管理當(dāng)局應(yīng)監(jiān)督所有該修改的執(zhí)行更改管理程序以確保源代碼與可執(zhí)行代碼的同步56信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)正確實(shí)施現(xiàn)有應(yīng)用系統(tǒng)的修改且其修改后的功數(shù)據(jù)庫(kù)的實(shí)施及支持?jǐn)?shù)據(jù)庫(kù)管理系統(tǒng)（或同等系統(tǒng)）所定義的數(shù)據(jù)結(jié)構(gòu)已適當(dāng)實(shí)施且其功能符合管理當(dāng)局的意愿現(xiàn)有數(shù)據(jù)結(jié)構(gòu)的必要修改均能及時(shí)實(shí)施現(xiàn)有數(shù)據(jù)結(jié)構(gòu)的修改實(shí)施正確且修改后的數(shù)據(jù)結(jié)構(gòu)功能符合管理當(dāng)局的意愿57信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)數(shù)據(jù)庫(kù)的實(shí)施及支持?jǐn)?shù)據(jù)庫(kù)管理系統(tǒng)（或同等系統(tǒng)）所定義的數(shù)據(jù)結(jié)數(shù)據(jù)庫(kù)的實(shí)施及支持?jǐn)?shù)據(jù)庫(kù)管理系統(tǒng)（或同等系統(tǒng)）所定義的數(shù)據(jù)結(jié)構(gòu)已適當(dāng)實(shí)施且其功能符合管理當(dāng)局的意愿管理當(dāng)局已確立正式的政策以確保在對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時(shí)間安排，從而最大限度降低該修改對(duì)其他處理活動(dòng)的影響在安裝和/或維護(hù)數(shù)據(jù)庫(kù)和/或使用該數(shù)據(jù)庫(kù)的應(yīng)用系統(tǒng)時(shí)，應(yīng)提供及使用現(xiàn)有的數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)文件實(shí)體的數(shù)據(jù)結(jié)構(gòu)應(yīng)遵循信息系統(tǒng)規(guī)劃及管理當(dāng)局的意愿進(jìn)行定義及執(zhí)行數(shù)據(jù)結(jié)構(gòu)的修改在執(zhí)行之前應(yīng)在測(cè)試環(huán)境中進(jìn)行評(píng)估依照測(cè)試計(jì)劃(包括(如適當(dāng))：界面測(cè)試、并行測(cè)試(paralleltesting)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的數(shù)據(jù)結(jié)構(gòu)和現(xiàn)行的數(shù)據(jù)結(jié)構(gòu)的修改進(jìn)行測(cè)試58信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)數(shù)據(jù)庫(kù)的實(shí)施及支持?jǐn)?shù)據(jù)庫(kù)管理系統(tǒng)（或同等系統(tǒng)）所定義的數(shù)據(jù)結(jié)數(shù)據(jù)庫(kù)的實(shí)施及支持?jǐn)?shù)據(jù)庫(kù)管理系統(tǒng)（或同等系統(tǒng)）所定義的數(shù)據(jù)結(jié)構(gòu)已適當(dāng)實(shí)施且其功能符合管理當(dāng)局的意愿系統(tǒng)實(shí)施的程序應(yīng)包括對(duì)用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修改的系統(tǒng)的使用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)督該程序的執(zhí)行情況。應(yīng)為新聘用的員工及實(shí)體內(nèi)調(diào)職的員工提供相關(guān)應(yīng)用系統(tǒng)的正式培訓(xùn)實(shí)體的數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)包括自動(dòng)對(duì)任何數(shù)據(jù)庫(kù)的變更進(jìn)行更新的活動(dòng)數(shù)據(jù)字典(ActiveDataDictionary)適當(dāng)限制對(duì)測(cè)試和生產(chǎn)環(huán)境的訪問(wèn)權(quán)限負(fù)責(zé)管理及定義數(shù)據(jù)庫(kù)組件(databasecompenents)的職責(zé)應(yīng)指派給適當(dāng)?shù)娜藛T維護(hù)源代碼及技術(shù)文件--包括有關(guān)數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性應(yīng)對(duì)硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、和系統(tǒng)軟件的修改建議的影響進(jìn)行評(píng)估；在該建議實(shí)施到生產(chǎn)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限度減少對(duì)營(yíng)運(yùn)的干擾59信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)數(shù)據(jù)庫(kù)的實(shí)施及支持?jǐn)?shù)據(jù)庫(kù)管理系統(tǒng)（或同等系統(tǒng)）所定義的數(shù)據(jù)結(jié)數(shù)據(jù)庫(kù)的實(shí)施及支持現(xiàn)有數(shù)據(jù)結(jié)構(gòu)的必要修改均能及時(shí)實(shí)施管理當(dāng)局復(fù)核系統(tǒng)性能報(bào)告并監(jiān)督確保識(shí)別出低效率的性能時(shí)已立即采取足夠的措施，且制定及執(zhí)行相應(yīng)的解決方案用戶和其他對(duì)應(yīng)用系統(tǒng)修改的申請(qǐng)(包括系統(tǒng)更新和廠商定期發(fā)布的補(bǔ)丁程序)應(yīng)經(jīng)管理當(dāng)局核準(zhǔn)，且如果該修改符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的意愿，應(yīng)予以執(zhí)行用戶和其他對(duì)數(shù)據(jù)結(jié)構(gòu)修改的申請(qǐng)(包括更新和廠商定期發(fā)布的補(bǔ)丁程序)應(yīng)經(jīng)管理當(dāng)局核準(zhǔn)，且如果該修改符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的意愿，應(yīng)予以執(zhí)行對(duì)于現(xiàn)有硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)結(jié)構(gòu)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件修改的執(zhí)行，管理當(dāng)局應(yīng)監(jiān)督該項(xiàng)目已達(dá)到原定的目標(biāo)且符合預(yù)算及時(shí)間的要求60信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)數(shù)據(jù)庫(kù)的實(shí)施及支持現(xiàn)有數(shù)據(jù)結(jié)構(gòu)的必要修改均能及時(shí)實(shí)施60信息數(shù)據(jù)庫(kù)的實(shí)施及支持現(xiàn)有數(shù)據(jù)結(jié)構(gòu)的修改實(shí)施正確且修改后的數(shù)據(jù)結(jié)構(gòu)功能符合管理當(dāng)局的意愿管理當(dāng)局已確立正式的政策以確保在對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時(shí)間安排，從而最大限度降低該修改對(duì)其他處理活動(dòng)的影響執(zhí)行的方式應(yīng)容許必要時(shí)可將系統(tǒng)還原至原來(lái)的環(huán)境在安裝和/或維護(hù)數(shù)據(jù)庫(kù)和/或使用該數(shù)據(jù)庫(kù)的應(yīng)用系統(tǒng)時(shí)，應(yīng)提供及使用現(xiàn)有的數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)文件數(shù)據(jù)結(jié)構(gòu)的修改在執(zhí)行之前應(yīng)在測(cè)試環(huán)境中進(jìn)行評(píng)估依照測(cè)試計(jì)劃(包括(如適當(dāng))：界面測(cè)試、并行測(cè)試(paralleltesting)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的數(shù)據(jù)結(jié)構(gòu)和現(xiàn)行的數(shù)據(jù)結(jié)構(gòu)的修改進(jìn)行測(cè)試61信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)數(shù)據(jù)庫(kù)的實(shí)施及支持現(xiàn)有數(shù)據(jù)結(jié)構(gòu)的修改實(shí)施正確且修改后的數(shù)據(jù)結(jié)數(shù)據(jù)庫(kù)的實(shí)施及支持現(xiàn)有數(shù)據(jù)結(jié)構(gòu)的修改實(shí)施正確且修改后的數(shù)據(jù)結(jié)構(gòu)功能符合管理當(dāng)局的意愿實(shí)體的數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)包括自動(dòng)對(duì)任何數(shù)據(jù)庫(kù)的變更進(jìn)行更新的活動(dòng)數(shù)據(jù)字典(ActiveDataDictionary)在生產(chǎn)環(huán)境中對(duì)數(shù)據(jù)結(jié)構(gòu)的修改申請(qǐng)應(yīng)進(jìn)行存檔并經(jīng)管理當(dāng)局核準(zhǔn)。管理當(dāng)局應(yīng)監(jiān)督所有該修改的執(zhí)行62信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)數(shù)據(jù)庫(kù)的實(shí)施及支持現(xiàn)有數(shù)據(jù)結(jié)構(gòu)的修改實(shí)施正確且修改后的數(shù)據(jù)結(jié)網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通信軟件的購(gòu)買符合管理當(dāng)局的意愿新的網(wǎng)絡(luò)和通信軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿網(wǎng)絡(luò)和通信軟件可得到有效的維護(hù)與技術(shù)支持現(xiàn)有網(wǎng)絡(luò)和通信軟件的必要修改均能及時(shí)實(shí)施正確實(shí)施現(xiàn)有網(wǎng)絡(luò)和通信軟件的修改且修改后的功能符合管理當(dāng)局的意愿63信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通信軟件的購(gòu)買符合管理當(dāng)局的意愿63信息系網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通信軟件的購(gòu)買符合管理當(dāng)局的意愿管理當(dāng)局核準(zhǔn)對(duì)網(wǎng)絡(luò)和通信軟件及系統(tǒng)的購(gòu)買，以確保該購(gòu)買和開(kāi)發(fā)符合公司的系統(tǒng)規(guī)劃及戰(zhàn)略對(duì)項(xiàng)目進(jìn)行優(yōu)先順序區(qū)分及指派，以確保有限的信息資源被適當(dāng)利用且與公司的業(yè)務(wù)目標(biāo)保持一致使用正式的方法或程序?yàn)橛布?yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購(gòu)買、開(kāi)發(fā)或維護(hù)提供指引64信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通信軟件的購(gòu)買符合管理當(dāng)局的意愿64信息系網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通信軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿管理當(dāng)局已確立正式的政策以確保在對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時(shí)間安排，從而最大限度降低該修改對(duì)其他處理活動(dòng)的影響網(wǎng)絡(luò)和通信軟件及硬件在執(zhí)行之前應(yīng)首先在測(cè)試環(huán)境中進(jìn)行安裝與評(píng)估在安裝和/或維護(hù)網(wǎng)絡(luò)時(shí)，應(yīng)提供及使用現(xiàn)有的網(wǎng)絡(luò)軟件、通信軟件、和網(wǎng)絡(luò)拓樸(NetworkTopology)文件依照測(cè)試計(jì)劃(包括(如適當(dāng))：系統(tǒng)和單元測(cè)試、界面測(cè)試、并行測(cè)試(paralleltesting)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的網(wǎng)絡(luò)和通信軟件與現(xiàn)行的網(wǎng)絡(luò)和通信軟件修改進(jìn)行測(cè)試65信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通信軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通信軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿系統(tǒng)實(shí)施的程序應(yīng)包括對(duì)用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修改的系統(tǒng)的使用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)督該程序的執(zhí)行情況。應(yīng)為新聘用的員工及實(shí)體內(nèi)調(diào)職的員工提供相關(guān)應(yīng)用系統(tǒng)的正式培訓(xùn)適當(dāng)限制對(duì)測(cè)試和生產(chǎn)環(huán)境的訪問(wèn)權(quán)限使用完整和具代表性的一組測(cè)試數(shù)據(jù)，而不是生產(chǎn)數(shù)據(jù)來(lái)執(zhí)行測(cè)試維護(hù)源代碼及技術(shù)文件--包括有關(guān)數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性應(yīng)對(duì)硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、和系統(tǒng)軟件的修改建議的影響進(jìn)行評(píng)估；在該建議實(shí)施到生產(chǎn)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限度減少對(duì)營(yíng)運(yùn)的干擾66信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通信軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局網(wǎng)絡(luò)支持網(wǎng)絡(luò)和通信軟件可得到有效的維護(hù)與技術(shù)支持實(shí)體對(duì)外部承包商和/或軟件廠商獲得的應(yīng)用程序或技術(shù)支持有正式的協(xié)議，以確保能獲得該支持。管理當(dāng)局應(yīng)監(jiān)督該協(xié)議的遵循情況在安裝和/或維護(hù)網(wǎng)絡(luò)時(shí)，應(yīng)提供及使用現(xiàn)有的網(wǎng)絡(luò)軟件、通信軟件、和網(wǎng)絡(luò)拓樸(NetworkTopology)文件管理當(dāng)局監(jiān)督所購(gòu)買的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的支持版已投入使用，且新的版本正被應(yīng)用使用管理當(dāng)局已核準(zhǔn)的一套通用準(zhǔn)則來(lái)進(jìn)行軟件開(kāi)發(fā)與維護(hù)，以確保實(shí)體內(nèi)的開(kāi)發(fā)與維護(hù)活動(dòng)保持一致維護(hù)源代碼及技術(shù)文件--包括有關(guān)數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性67信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持網(wǎng)絡(luò)和通信軟件可得到有效的維護(hù)與技術(shù)支持67信息系統(tǒng)網(wǎng)絡(luò)支持現(xiàn)有網(wǎng)絡(luò)和通信軟件的必要修改均能及時(shí)實(shí)施管理當(dāng)局復(fù)核系統(tǒng)性能報(bào)告并監(jiān)督確保識(shí)別出低效率的性能時(shí)已立即采取足夠的措施，且制定及執(zhí)行相應(yīng)的解決方案用戶和其他對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施及通信軟件修改的申請(qǐng)(包括更新和廠商定期發(fā)布的補(bǔ)丁程序)應(yīng)經(jīng)管理當(dāng)局核準(zhǔn)，且如果該修改符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的意愿，應(yīng)予以執(zhí)行使用正式的方法或程序?yàn)橛布?yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購(gòu)買、開(kāi)發(fā)或維護(hù)提供指引對(duì)于現(xiàn)有硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)結(jié)構(gòu)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件修改的執(zhí)行，管理當(dāng)局應(yīng)監(jiān)督該項(xiàng)目已達(dá)到原定的目標(biāo)且符合預(yù)算及時(shí)間的要求68信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持現(xiàn)有網(wǎng)絡(luò)和通信軟件的必要修改均能及時(shí)實(shí)施68信息系統(tǒng)網(wǎng)絡(luò)支持正確實(shí)施現(xiàn)有網(wǎng)絡(luò)和通信軟件的修改且修改后的功能符合管理當(dāng)局的意愿管理當(dāng)局已確立正式的政策以確保在對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時(shí)間安排，從而最大限度降低該修改對(duì)其他處理活動(dòng)的影響執(zhí)行的方式應(yīng)容許必要時(shí)可將系統(tǒng)還原至原來(lái)的環(huán)境網(wǎng)絡(luò)和通信軟件及硬件在執(zhí)行之前應(yīng)首先在測(cè)試環(huán)境中進(jìn)行安裝與評(píng)估在安裝和/或維護(hù)網(wǎng)絡(luò)時(shí)，應(yīng)提供及使用現(xiàn)有的網(wǎng)絡(luò)軟件、通信軟件、和網(wǎng)絡(luò)拓樸(NetworkTopology)文件依照測(cè)試計(jì)劃(包括(如適當(dāng))：系統(tǒng)和單元測(cè)試、界面測(cè)試、并行測(cè)試(paralleltesting)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的網(wǎng)絡(luò)和通信軟件與現(xiàn)行的網(wǎng)絡(luò)和通信軟件修改進(jìn)行測(cè)試69信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持正確實(shí)施現(xiàn)有網(wǎng)絡(luò)和通信軟件的修改且修改后的功能符合管網(wǎng)絡(luò)支持正確實(shí)施現(xiàn)有網(wǎng)絡(luò)和通信軟件的修改且修改后的功能符合管理當(dāng)局的意愿使用正式的方法或程序?yàn)橛布?yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購(gòu)買、開(kāi)發(fā)或維護(hù)提供指引在生產(chǎn)環(huán)境中對(duì)網(wǎng)絡(luò)和通信軟件的修改申請(qǐng)應(yīng)進(jìn)行存檔并經(jīng)管理當(dāng)局核準(zhǔn)。管理當(dāng)局應(yīng)監(jiān)督所有該修改的執(zhí)行70信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持正確實(shí)施現(xiàn)有網(wǎng)絡(luò)和通信軟件的修改且修改后的功能符合管系統(tǒng)軟件支持新的系統(tǒng)軟件的購(gòu)買符合管理當(dāng)局的意愿新的系統(tǒng)軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿系統(tǒng)軟件可得到有效的維護(hù)與技術(shù)支持現(xiàn)有系統(tǒng)軟件的必要修改均能及時(shí)實(shí)施正確實(shí)施現(xiàn)有系統(tǒng)軟件的修改且修改后的功能符合管理當(dāng)局的意愿71信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持新的系統(tǒng)軟件的購(gòu)買符合管理當(dāng)局的意愿71信息系統(tǒng)系統(tǒng)軟件支持新的系統(tǒng)軟件的購(gòu)買符合管理當(dāng)局的意愿管理當(dāng)局核準(zhǔn)對(duì)計(jì)算機(jī)系統(tǒng)軟件的購(gòu)買，以確保該購(gòu)買和開(kāi)發(fā)符合公司的系統(tǒng)規(guī)劃及戰(zhàn)略對(duì)項(xiàng)目進(jìn)行優(yōu)先順序區(qū)分及指派，以確保有限的信息資源被適當(dāng)利用且與公司的業(yè)務(wù)目標(biāo)保持一致使用正式的方法或程序?yàn)橛布?yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購(gòu)買、開(kāi)發(fā)或維護(hù)提供指引72信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持新的系統(tǒng)軟件的購(gòu)買符合管理當(dāng)局的意愿72信息系統(tǒng)系統(tǒng)軟件支持新的系統(tǒng)軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿在安裝和/或維護(hù)軟件時(shí)，應(yīng)提供及使用現(xiàn)有的系統(tǒng)軟件文件管理當(dāng)局已確立正式的政策以確保在對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時(shí)間安排，從而最大限度降低該修改對(duì)其他處理活動(dòng)的影響執(zhí)行的方式應(yīng)容許必要時(shí)可將系統(tǒng)還原至原來(lái)的環(huán)境系統(tǒng)軟件的修改(包括升級(jí)、修改和對(duì)配置參數(shù)的修改)在實(shí)施到生產(chǎn)環(huán)境之前應(yīng)首先在測(cè)試環(huán)境中進(jìn)行安裝與評(píng)估依照測(cè)試計(jì)劃(包括(如適當(dāng))：系統(tǒng)和單元測(cè)試、界面測(cè)試、并行測(cè)試(paralleltesting)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的系統(tǒng)軟件與現(xiàn)行的系統(tǒng)軟件修改進(jìn)行測(cè)試73信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持新的系統(tǒng)軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的系統(tǒng)軟件支持新的系統(tǒng)軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿系統(tǒng)實(shí)施的程序應(yīng)包括對(duì)用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修改的系統(tǒng)的使用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)督該程序的執(zhí)行情況。應(yīng)為新聘用的員工及實(shí)體內(nèi)調(diào)職的員工提供相關(guān)應(yīng)用系統(tǒng)的正式培訓(xùn)適當(dāng)限制對(duì)測(cè)試和生產(chǎn)環(huán)境的訪問(wèn)權(quán)限使用完整和具代表性的一組測(cè)試數(shù)據(jù)，而不是生產(chǎn)數(shù)據(jù)來(lái)執(zhí)行測(cè)試維護(hù)源代碼及技術(shù)文件--包括有關(guān)數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性應(yīng)對(duì)硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、和系統(tǒng)軟件的修改建議的影響進(jìn)行評(píng)估；在該建議實(shí)施到生產(chǎn)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限度減少對(duì)營(yíng)運(yùn)的干擾74信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持新的系統(tǒng)軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的系統(tǒng)軟件支持系統(tǒng)軟件可得到有效的維護(hù)與技術(shù)支持在安裝和/或維護(hù)軟件時(shí)，應(yīng)提供及使用現(xiàn)有的系統(tǒng)軟件文件實(shí)體對(duì)外部承包商和/或軟件廠商獲得的應(yīng)用程序或技術(shù)支持有正式的協(xié)議，以確保能獲得該支持。管理當(dāng)局應(yīng)監(jiān)督該協(xié)議的遵循情況系統(tǒng)軟件參數(shù)(用于控制操作系統(tǒng))的設(shè)置和使用、以及其他可選的配置方案都被適當(dāng)存檔管理當(dāng)局監(jiān)督所購(gòu)買的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的支持版已投入使用，且新的版本正被應(yīng)用使用管理當(dāng)局已核準(zhǔn)的一套通用準(zhǔn)則來(lái)進(jìn)行軟件開(kāi)發(fā)與維護(hù)，以確保實(shí)體內(nèi)的開(kāi)發(fā)與維護(hù)活動(dòng)保持一致開(kāi)發(fā)人員經(jīng)充分培訓(xùn)且熟悉公司所使用的通用準(zhǔn)則、技術(shù)和工具維護(hù)源代碼及技術(shù)文件--包括有關(guān)數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性75信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持系統(tǒng)軟件可得到有效的維護(hù)與技術(shù)支持75信息系統(tǒng)審系統(tǒng)軟件支持現(xiàn)有系統(tǒng)軟件的必要修改均能及時(shí)實(shí)施管理當(dāng)局復(fù)核系統(tǒng)性能報(bào)告并監(jiān)督確保識(shí)別出低效率的性能時(shí)已立即采取足夠的措施，且制定及執(zhí)行相應(yīng)的解決方案用戶和其他對(duì)系統(tǒng)軟件修改的申請(qǐng)(包括系統(tǒng)更新和廠商定期發(fā)布的補(bǔ)丁程序)應(yīng)經(jīng)管理當(dāng)局核準(zhǔn)，且如果該修改符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的意愿，應(yīng)予以執(zhí)行對(duì)于現(xiàn)有硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)結(jié)構(gòu)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件修改的執(zhí)行，管理當(dāng)局應(yīng)監(jiān)督該項(xiàng)目已達(dá)到原定的目標(biāo)且符合預(yù)算及時(shí)間的要求76信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持現(xiàn)有系統(tǒng)軟件的必要修改均能及時(shí)實(shí)施76信息系統(tǒng)審系統(tǒng)軟件支持正確實(shí)施現(xiàn)有系統(tǒng)軟件的修改且修改后的功能符合管理當(dāng)局的意愿在安裝和/或維護(hù)軟件時(shí)，應(yīng)提供及使用現(xiàn)有的系統(tǒng)軟件文件管理當(dāng)局已確立正式的政策以確保在對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時(shí)間安排，從而最大限度降低該修改對(duì)其他處理活動(dòng)的影響執(zhí)行的方式應(yīng)容許必要時(shí)可將系統(tǒng)還原至原來(lái)的環(huán)境系統(tǒng)軟件的修改(包括升級(jí)、修改和對(duì)配置參數(shù)的修改)在實(shí)施到生產(chǎn)環(huán)境之前應(yīng)首先在測(cè)試環(huán)境中進(jìn)行安裝與評(píng)估依照測(cè)試計(jì)劃(包括(如適當(dāng))：系統(tǒng)和單元測(cè)試、界面測(cè)試、并行測(cè)試(paralleltesting)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的系統(tǒng)軟件與現(xiàn)行的系統(tǒng)軟件修改進(jìn)行測(cè)試77信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持正確實(shí)施現(xiàn)有系統(tǒng)軟件的修改且修改后的功能符合管理系統(tǒng)軟件支持正確實(shí)施現(xiàn)有系統(tǒng)軟件的修改且修改后的功能符合管理當(dāng)局的意愿在生產(chǎn)環(huán)境中對(duì)系統(tǒng)軟件的修改申請(qǐng)應(yīng)進(jìn)行存檔并經(jīng)管理當(dāng)局核準(zhǔn)。管理當(dāng)局應(yīng)監(jiān)督所有該修改的執(zhí)行應(yīng)對(duì)硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、和系統(tǒng)軟件的修改建議的影響進(jìn)行評(píng)估；在該建議實(shí)施到生產(chǎn)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限度減少對(duì)營(yíng)運(yùn)的干擾78信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持正確實(shí)施現(xiàn)有系統(tǒng)軟件的修改且修改后的功能符合管理信息資源戰(zhàn)略及規(guī)劃信息系統(tǒng)的戰(zhàn)略、規(guī)劃和預(yù)算與實(shí)體業(yè)務(wù)和戰(zhàn)略目標(biāo)保持一致計(jì)算機(jī)處理環(huán)境得到具有適當(dāng)技能和經(jīng)驗(yàn)的人員的充分支持及保證計(jì)算機(jī)處理環(huán)境中的人員接受適當(dāng)?shù)呐嘤?xùn)79信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息資源戰(zhàn)略及規(guī)劃信息系統(tǒng)的戰(zhàn)略、規(guī)劃和預(yù)算與實(shí)體業(yè)務(wù)和戰(zhàn)略信息資源戰(zhàn)略及規(guī)劃信息系統(tǒng)的戰(zhàn)略、規(guī)劃和預(yù)算與實(shí)體業(yè)務(wù)和戰(zhàn)略目標(biāo)保持一致管理當(dāng)局制定及核準(zhǔn)信息系統(tǒng)的戰(zhàn)略與長(zhǎng)期及短期計(jì)劃，以支持實(shí)體的整體業(yè)務(wù)戰(zhàn)略和信息系統(tǒng)要求。管理當(dāng)局根據(jù)長(zhǎng)期及短期計(jì)劃監(jiān)督信息系統(tǒng)的性能80信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息資源戰(zhàn)略及規(guī)劃信息系統(tǒng)的戰(zhàn)略、規(guī)劃和預(yù)算與實(shí)體業(yè)務(wù)和戰(zhàn)略信息資源戰(zhàn)略及規(guī)劃計(jì)算機(jī)處理環(huán)境得到具有適當(dāng)技能和經(jīng)驗(yàn)的人員的充分支持及保證在聘用信息資源管理人員時(shí)應(yīng)對(duì)其作背景調(diào)查在聘用計(jì)算機(jī)處理環(huán)境的工作人員之前或評(píng)估該人員的表現(xiàn)時(shí)，應(yīng)對(duì)其職位所需的必要技能和經(jīng)驗(yàn)作清晰定義。管理當(dāng)局應(yīng)監(jiān)督計(jì)算機(jī)處理環(huán)境人員的充足性及其相關(guān)的技能與經(jīng)驗(yàn)關(guān)鍵職位應(yīng)有接任計(jì)劃和交叉培訓(xùn)應(yīng)監(jiān)督員工表現(xiàn)鑒定政策的遵循情況81信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息資源戰(zhàn)略及規(guī)劃計(jì)算機(jī)處理環(huán)境得到具有適當(dāng)技能和經(jīng)驗(yàn)的人員信息資源戰(zhàn)略及規(guī)劃計(jì)算機(jī)處理環(huán)境中的人員接受適當(dāng)?shù)呐嘤?xùn)應(yīng)基于定期的員工表現(xiàn)評(píng)估為所有計(jì)算機(jī)處理環(huán)境中的工作人員提供正式培訓(xùn)或在職培訓(xùn)；該培訓(xùn)應(yīng)由管理當(dāng)局監(jiān)督82信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息資源戰(zhàn)略及規(guī)劃計(jì)算機(jī)處理環(huán)境中的人員接受適當(dāng)?shù)呐嘤?xùn)82信與外包供應(yīng)商的關(guān)系外包供應(yīng)商的選擇符合管理當(dāng)局的意愿外包供應(yīng)商的服務(wù)水平達(dá)到或超過(guò)管理當(dāng)局的期望83信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)與外包供應(yīng)商的關(guān)系外包供應(yīng)商的選擇符合管理當(dāng)局的意愿83信息與外包供應(yīng)商的關(guān)系外包供應(yīng)商的選擇符合管理當(dāng)局的意愿應(yīng)制定正式的選擇標(biāo)準(zhǔn)以便對(duì)外包供應(yīng)商的選擇程序進(jìn)行控制。管理當(dāng)局應(yīng)監(jiān)督該政策的遵循情況管理當(dāng)局應(yīng)核準(zhǔn)外包供應(yīng)商的選擇對(duì)服務(wù)水平的衡量準(zhǔn)則進(jìn)行定義，該定義應(yīng)征得受影響的人員同意用于評(píng)估和選擇外包供應(yīng)商的標(biāo)準(zhǔn)應(yīng)征得受影響的人員同意84信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)與外包供應(yīng)商的關(guān)系外包供應(yīng)商的選擇符合管理當(dāng)局的意愿84信息與外包供應(yīng)商的關(guān)系外包供應(yīng)商的服務(wù)水平達(dá)到或超過(guò)管理當(dāng)局的期望對(duì)服務(wù)水平的衡量準(zhǔn)則進(jìn)行定義，該定義應(yīng)征得受影響的人員同意管理當(dāng)局監(jiān)督信息系統(tǒng)的服務(wù)水平，且當(dāng)服務(wù)表現(xiàn)未達(dá)到期望的服務(wù)水平時(shí)制定修正措施85信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)與外包供應(yīng)商的關(guān)系外包供應(yīng)商的服務(wù)水平達(dá)到或超過(guò)管理當(dāng)局的期業(yè)務(wù)連續(xù)性計(jì)劃在發(fā)生災(zāi)難事故時(shí)，核心的業(yè)務(wù)處理和信息系統(tǒng)可得到及時(shí)恢復(fù)根據(jù)業(yè)務(wù)影響評(píng)估編制全公司范圍內(nèi)的業(yè)務(wù)連續(xù)性計(jì)劃，該計(jì)劃應(yīng)經(jīng)管理當(dāng)局核準(zhǔn)。應(yīng)定期測(cè)試該計(jì)劃，并更新該計(jì)劃以反映該測(cè)試的結(jié)果管理當(dāng)局定期復(fù)核備份的完成情況，以確保與數(shù)據(jù)備份和保留的計(jì)劃及時(shí)間保持一致通過(guò)恢復(fù)或其他方法定期測(cè)試備份和保留數(shù)據(jù)的持續(xù)可讀性管理當(dāng)局和用戶制定數(shù)據(jù)備份和保留的計(jì)劃及時(shí)間；對(duì)不再需要保留的數(shù)據(jù)應(yīng)進(jìn)行刪除并釋放介質(zhì)的儲(chǔ)存空間。管理當(dāng)局定期復(fù)核數(shù)據(jù)保留及釋放的記錄所有介質(zhì)（磁帶、手冊(cè)、指引等）都存放在安全的、可進(jìn)行環(huán)境調(diào)控的地點(diǎn)86信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)業(yè)務(wù)連續(xù)性計(jì)劃在發(fā)生災(zāi)難事故時(shí)，核心的業(yè)務(wù)處理和信息系統(tǒng)可得業(yè)務(wù)連續(xù)性計(jì)劃在發(fā)生災(zāi)難事故時(shí)，核心的業(yè)務(wù)處理和信息系統(tǒng)可得到及時(shí)恢復(fù)可移動(dòng)的介質(zhì)應(yīng)貼上標(biāo)簽以便適當(dāng)識(shí)別自動(dòng)化數(shù)據(jù)保留儲(chǔ)存工具經(jīng)管理當(dāng)局的批準(zhǔn)并得到實(shí)施以管理數(shù)據(jù)備份及保留的計(jì)劃和時(shí)間對(duì)數(shù)據(jù)進(jìn)行異地備份存檔(archivedoff-site)以便最大限度減少數(shù)據(jù)丟失已購(gòu)買并維持足夠的保險(xiǎn)87信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)業(yè)務(wù)連續(xù)性計(jì)劃在發(fā)生災(zāi)難事故時(shí)，核心的業(yè)務(wù)處理和信息系統(tǒng)可得硬件支持新的計(jì)算機(jī)硬件的購(gòu)買符合管理當(dāng)局的意愿新的計(jì)算機(jī)硬件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿計(jì)算機(jī)硬件可得到有效的維護(hù)與技術(shù)支持計(jì)算機(jī)硬件的必要修改和/或新增均能及時(shí)實(shí)施88信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)硬件支持新的計(jì)算機(jī)硬件的購(gòu)買符合管理當(dāng)局的意愿88信息系統(tǒng)審硬件支持新的計(jì)算機(jī)硬件的購(gòu)買符合管理當(dāng)局的意愿管理當(dāng)局核準(zhǔn)對(duì)計(jì)算機(jī)硬件的購(gòu)買，以確保該購(gòu)買和開(kāi)發(fā)符合公司的系統(tǒng)規(guī)劃及戰(zhàn)略對(duì)項(xiàng)目進(jìn)行優(yōu)先順序區(qū)分及指派，以確保有限的信息資源被適當(dāng)利用且與公司的業(yè)務(wù)目標(biāo)保持一致使用正式的方法或程序?yàn)橛布?yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購(gòu)買、開(kāi)發(fā)或維護(hù)提供指引89信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)硬件支持新的計(jì)算機(jī)硬件的購(gòu)買符合管理當(dāng)局的意愿89信息系統(tǒng)審應(yīng)用系統(tǒng)控制審計(jì)

90信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)控制審計(jì)90信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)控制完整性(Completeness):所有的交易都經(jīng)過(guò)處理，且只處理一次不允許數(shù)據(jù)的重復(fù)錄入和處理例外情況的發(fā)現(xiàn)和解決準(zhǔn)確性(Accuracy):所有的數(shù)據(jù)（包括金額和帳戶）是正確和合理的例外情況被及時(shí)發(fā)現(xiàn)以保證交易被記錄在正確的會(huì)計(jì)期間有效性(Validity):交易被適當(dāng)授權(quán)系統(tǒng)不接受虛假交易異常情況被發(fā)現(xiàn)和處理接觸控制（RestrictedAccess）:未經(jīng)授權(quán)，不得對(duì)系統(tǒng)或數(shù)據(jù)進(jìn)行修改；數(shù)據(jù)保密性；物理設(shè)備的保護(hù)表單/報(bào)告與其他系統(tǒng)接口處理判斷處理處理輸入處理數(shù)據(jù)文件系統(tǒng)流程圖輸入處理輸出91信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)控制完整性(Completeness):表單與其他通用計(jì)算機(jī)控制vs.應(yīng)用系統(tǒng)控制信息系統(tǒng)總體控制薄弱信息系統(tǒng)總體控制完善通用計(jì)算機(jī)控制通用計(jì)算機(jī)控制應(yīng)用控制1、良好的信息系統(tǒng)總體控制可以為應(yīng)用控制的有效性提供有力的保障2、由計(jì)算機(jī)系統(tǒng)提供的自動(dòng)控制優(yōu)于手工控制某些應(yīng)用控制的有效性取決于GCC的有效性應(yīng)用控制92信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)通用計(jì)算機(jī)控制vs.應(yīng)用系統(tǒng)控制信息系統(tǒng)總體控制薄弱信息應(yīng)用系統(tǒng)控制示例——采購(gòu)流程93信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)控制示例——采購(gòu)流程93信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)控制示例——采購(gòu)流程94信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)控制示例——采購(gòu)流程94信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)控制示例——采購(gòu)流程編號(hào)控制類別AC01授權(quán)控制AC02輸入控制AC04處理控制AC05輸出控制AC06邊界/接口控制95信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)控制示例——采購(gòu)流程編號(hào)控制類別AC01授權(quán)控制AC應(yīng)用系統(tǒng)控制——授權(quán)控制只有得到授權(quán)的用戶可以在系統(tǒng)中生成采購(gòu)申請(qǐng)，采購(gòu)訂單，入庫(kù)單和確認(rèn)發(fā)票只有得到授權(quán)的用戶可以審批采購(gòu)申請(qǐng)或采購(gòu)訂單。不會(huì)將創(chuàng)建采購(gòu)申請(qǐng)和審批采購(gòu)申請(qǐng)的權(quán)限賦予同一個(gè)用戶。96信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)控制——授權(quán)控制只有得到授權(quán)的用戶可以在系統(tǒng)中生成采應(yīng)用系統(tǒng)控制——輸入控制系統(tǒng)會(huì)對(duì)采購(gòu)申請(qǐng)單，采購(gòu)訂單和入庫(kù)單進(jìn)行連續(xù)編號(hào)。系統(tǒng)對(duì)采購(gòu)訂單頁(yè)面中的重要字段進(jìn)行了強(qiáng)制的格式和內(nèi)容校驗(yàn)，比如在日期字段中不允許輸入字符內(nèi)容，當(dāng)用戶選擇了采購(gòu)物料編碼后，物料名和采購(gòu)價(jià)格是由系統(tǒng)自動(dòng)帶出，而不能被修改。當(dāng)輸入的采購(gòu)量超過(guò)庫(kù)存余額的時(shí)候，系統(tǒng)會(huì)自動(dòng)報(bào)警，確保這種采購(gòu)訂單不能被生成。97信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)控制——輸入控制系統(tǒng)會(huì)對(duì)采購(gòu)申請(qǐng)單，采購(gòu)訂單和入庫(kù)單應(yīng)用系統(tǒng)控制——處理控制系統(tǒng)提供模擬處理功能，以確保正式生成的單據(jù)是符合公司要求的。在進(jìn)行發(fā)票校驗(yàn)的時(shí)候，系統(tǒng)自動(dòng)會(huì)在后臺(tái)進(jìn)行三單匹配的校驗(yàn)，以確保生產(chǎn)的采購(gòu)發(fā)票上的數(shù)量和金額與采購(gòu)訂單以及入庫(kù)單上的數(shù)字保持一致。若操作的處理過(guò)程太長(zhǎng)或占用系統(tǒng)資源過(guò)多，系統(tǒng)會(huì)自動(dòng)警示。對(duì)任何重要單據(jù)的修改，系統(tǒng)都會(huì)在保存前和用戶進(jìn)行確認(rèn)。98信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)控制——處理控制系統(tǒng)提供模擬處理功能，以確保正式生成應(yīng)用系統(tǒng)控制——輸出控制系統(tǒng)會(huì)自動(dòng)提示輸出到其他模塊的數(shù)據(jù)是否成功。對(duì)于無(wú)法正確輸出的報(bào)表或者內(nèi)容，系統(tǒng)會(huì)以代碼的形式告訴用戶原因及解決的方法。用戶可以定制輸出報(bào)表的格式，包括字段和每頁(yè)的記錄條數(shù)等。當(dāng)輸出內(nèi)容超過(guò)系統(tǒng)負(fù)荷時(shí)，系統(tǒng)會(huì)自動(dòng)警示。99信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)控制——輸出控制系統(tǒng)會(huì)自動(dòng)提示輸出到其他模塊的數(shù)據(jù)是應(yīng)用系統(tǒng)控制——邊界/接口控制系統(tǒng)會(huì)提供接口數(shù)據(jù)傳輸?shù)臓顟B(tài)報(bào)表，包括每次接口傳輸數(shù)據(jù)的時(shí)間，是否成功等信息。系統(tǒng)會(huì)對(duì)接口傳輸?shù)臄?shù)據(jù)包的前后狀態(tài)進(jìn)行核對(duì)，比如檢查導(dǎo)入到新模塊的數(shù)據(jù)包大小和老系統(tǒng)中有什么區(qū)別。系統(tǒng)會(huì)列示導(dǎo)入前后的記錄條數(shù)和金額總計(jì)。100信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)控制——邊界/接口控制系統(tǒng)會(huì)提供接口數(shù)據(jù)傳輸?shù)臓顟B(tài)報(bào)計(jì)算機(jī)輔助審計(jì)

技術(shù)

101信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)計(jì)算機(jī)輔助審計(jì)

技術(shù)101信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)通用和專用審計(jì)軟件技術(shù)數(shù)據(jù)讀取和轉(zhuǎn)換查詢計(jì)算分類抽樣選擇排序數(shù)據(jù)文件聯(lián)結(jié)、比較、合并輸出102信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)通用和專用審計(jì)軟件技術(shù)數(shù)據(jù)讀取和轉(zhuǎn)換102信息系統(tǒng)審計(jì)基礎(chǔ)培常用的計(jì)算機(jī)輔助審計(jì)軟件與技術(shù)共用軟件（Utility）測(cè)試數(shù)據(jù)（TestData）應(yīng)用程序檢查（ReviewofApplicationSystem）審計(jì)專家系統(tǒng)（Audit-expertSystem）整體測(cè)試（IntegratedTestFacility）快照（Snapshot）系統(tǒng)控制審計(jì)審核文檔（SCARF）其它特殊的審計(jì)軟件103信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)常用的計(jì)算機(jī)輔助審計(jì)軟件與技術(shù)共用軟件（Utility）10計(jì)算機(jī)輔助審計(jì)為審計(jì)師帶來(lái)的幫助對(duì)交易與賬目數(shù)據(jù)的詳細(xì)測(cè)試分析性的檢查過(guò)程信息系統(tǒng)一般控制的符合性測(cè)試信息系統(tǒng)應(yīng)用控制的符合性測(cè)試操作系統(tǒng)脆弱性評(píng)估及穿透性測(cè)試104信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)計(jì)算機(jī)輔助審計(jì)為審計(jì)師帶來(lái)的幫助對(duì)交易與賬目數(shù)據(jù)的詳細(xì)測(cè)試1計(jì)算機(jī)輔助審計(jì)技術(shù)的優(yōu)點(diǎn)降低審計(jì)風(fēng)險(xiǎn)不太需要依賴被審計(jì)單位的人員比較廣泛并一致的審計(jì)范圍可以更快速利用審計(jì)資料執(zhí)行時(shí)間較有彈性更有機(jī)會(huì)量化內(nèi)部控制的弱點(diǎn)加強(qiáng)抽樣節(jié)省成本105信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)計(jì)算機(jī)輔助審計(jì)技術(shù)的優(yōu)點(diǎn)降低審計(jì)風(fēng)險(xiǎn)105信息系統(tǒng)審計(jì)基礎(chǔ)培使用計(jì)算機(jī)輔助審計(jì)技術(shù)時(shí)應(yīng)考慮的因素容易使用，包括對(duì)現(xiàn)有及未來(lái)的審計(jì)工作人員對(duì)于培訓(xùn)的要求編寫及維護(hù)的復(fù)雜性使用的靈活性對(duì)于安裝的要求處理的效率，特別是用于各人電腦上的計(jì)算機(jī)輔助審計(jì)技術(shù)106信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)使用計(jì)算機(jī)輔助審計(jì)技術(shù)時(shí)應(yīng)考慮的因素容易使用，包括對(duì)現(xiàn)有及未計(jì)算機(jī)輔助審計(jì)中應(yīng)當(dāng)保留的文件程序列表高風(fēng)險(xiǎn)問(wèn)題的詳情報(bào)告詳細(xì)及總體流程圖樣本報(bào)告檔案及記錄的格式字段定義操作說(shuō)明原始文件說(shuō)明107信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)計(jì)算機(jī)輔助審計(jì)中應(yīng)當(dāng)保留的文件程序列表107信息系統(tǒng)審計(jì)基礎(chǔ)信息技術(shù)控制

缺陷的評(píng)估

108信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息技術(shù)控制

缺陷的評(píng)估108信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)通用計(jì)算機(jī)控制缺陷評(píng)估框架是否存在能滿足控制目標(biāo)的替代性通用計(jì)算機(jī)控制措施且被測(cè)試有效?該通用計(jì)算機(jī)控制缺陷是否影響某一應(yīng)用系統(tǒng)控制的設(shè)計(jì)或性能?與之相關(guān)的應(yīng)用系統(tǒng)控制缺陷是否被評(píng)為“缺陷”?與之相關(guān)的應(yīng)用系統(tǒng)控制缺陷是否被評(píng)為“嚴(yán)重缺陷”?NoYesNoNo重大缺陷是否有其它理由認(rèn)為該缺陷屬于“嚴(yán)重缺陷”?嚴(yán)重缺陷缺陷YesYesYesYesNoNo基于

PCAOBAS2Q35.109信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)通用計(jì)算機(jī)控制缺陷評(píng)估框架是否存在能滿足控制目標(biāo)的替代性通用評(píng)估通用計(jì)算機(jī)控制的基本原則三種情況下，通用計(jì)算機(jī)的缺陷會(huì)被認(rèn)為是“重大”的與之關(guān)聯(lián)的應(yīng)用系統(tǒng)控制缺陷或由其造成的應(yīng)用系統(tǒng)控制缺陷被認(rèn)為是“重大”的一個(gè)“嚴(yán)重”的通用計(jì)算機(jī)缺陷未能在合理的時(shí)間內(nèi)糾正到處都是“嚴(yán)重”的缺陷，以至于整體看存在重大缺陷110信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)評(píng)估通用計(jì)算機(jī)控制的基本原則三種情況下，通用計(jì)算機(jī)的缺陷會(huì)被對(duì)外包服務(wù)商

內(nèi)部控制的考慮

111信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)對(duì)外包服務(wù)商

內(nèi)部控制的考慮111信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)評(píng)估通用計(jì)算機(jī)控制的基本原則如果公司使用了外包服務(wù)，則必須：確定外包流程的性質(zhì)考慮相關(guān)的控制目標(biāo)和控制措施分析服務(wù)水平（SLA）充分性了解外包商的內(nèi)控狀況（ISO27001，Cobit，……）如何對(duì)外包商的內(nèi)控進(jìn)行審核直接審核（第二方審核）間接審核（第三方商定程序?qū)徍耍琒AS70審核）對(duì)審核結(jié)果進(jìn)行評(píng)估112信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)評(píng)估通用計(jì)算機(jī)控制的基本原則如果公司使用了外包服務(wù)，則必須：交流與回答

113信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)交流與回答113信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn).114信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn).1信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)課程目錄信息系統(tǒng)審計(jì)基礎(chǔ)通用計(jì)算機(jī)控制審計(jì)應(yīng)用系統(tǒng)控制審計(jì)計(jì)算機(jī)輔助審計(jì)技術(shù)介紹信息技術(shù)控制缺陷的評(píng)估對(duì)外包服務(wù)商內(nèi)部控制的考慮交流與回答115信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)課程目錄信息系統(tǒng)審計(jì)基礎(chǔ)2信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)審計(jì)基礎(chǔ)

116信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)審計(jì)基礎(chǔ)3信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)IT審計(jì)的定義為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)象的IT審計(jì)師，以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)，向IT審計(jì)對(duì)象的最高領(lǐng)導(dǎo)，提出問(wèn)題與建議的一連串的活動(dòng)。IT審計(jì)的要點(diǎn)：獨(dú)立性綜合性IT審計(jì)師資格IT審計(jì)報(bào)告促進(jìn)信息系統(tǒng)安全、可靠與有效117信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)IT審計(jì)的定義為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)IT審計(jì)vs.財(cái)務(wù)審計(jì)AssessEngagementQuality(Ch.27)PerformPost-EngagementActivitiesEngagementReporting(Ch.26)PrepareAuditSummaryMemorandum(Ch.24)ObtainManagementRepresentations(Ch.23)PerformSubsequentEventsReview(Ch.22)Conclude&ReportPerformFinancialStatementRevie