信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn).1課件

1、課程目錄信息系統(tǒng)審計(jì)基礎(chǔ)通用計(jì)算機(jī)控制審計(jì)應(yīng)用系統(tǒng)控制審計(jì)計(jì)算機(jī)輔助審計(jì)技術(shù)介紹信息技術(shù)控制缺陷的評(píng)估對(duì)外包服務(wù)商內(nèi)部控制的考慮交流與回答1信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)審計(jì)基礎(chǔ) 2信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)IT審計(jì)的定義為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)象的IT審計(jì)師，以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)，向IT審計(jì)對(duì)象的最高領(lǐng)導(dǎo)，提出問題與建議的一連串的活動(dòng)。IT審計(jì)的要點(diǎn)：獨(dú)立性綜合性IT審計(jì)師資格IT審計(jì)報(bào)告促進(jìn)信息系統(tǒng)安全、可靠與有效3信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)IT審計(jì) vs. 財(cái)務(wù)審計(jì)Assess Engagement Quality (Ch. 27)Pe

2、rform Post-Engagement ActivitiesEngagement Reporting (Ch. 26)Prepare Audit Summary Memorandum (Ch. 24)Obtain Management Representations (Ch. 23)Perform Subsequent Events Review (Ch. 22)Conclude & ReportPerform Financial Statement Review (Ch. 21)Overall Evaluation of Misstatements & the Scope of our

3、Audit (Ch.20)Perform Tests of Operating Effectiveness of Controls (Ch. 17)Perform the Audit PlanDetermine Planning Materiality (Ch. 11)Perform Preliminary Analytical Review (Ch. 10)Understand the Accounting Process (Ch. 9)Understanding Internal Control (Ch. 8)Understand the Entity and Its Environmen

4、t (Ch. 7.)Strategic Audit Planning (Ch. 6)Perform Preliminary PlanningEstablish Terms of Engagement (Ch. 5)Select the Engagement Team (Ch. 4)Assess & Respond to Engagement Risk (Ch. 3)Perform Pre- Engagement ActivitiesPrepare, Review and Control Working Papers (Ch. 25)Assess and Manage RiskAudit Qua

5、lityManage the Audit Engagement (Ch. 2)Plan an intermediate level of substantive procedures (Ch. 15)Plan to obtain audit evidence about the operating effectiveness of controls, in the current audit period or together with our work performed in the prior 2 audits, & plan a basic level of sub-stantive

6、 procedures (Ch. 14 & 15)Plan to obtain audit evidence about the operating effectiveness of controls, in the current audit period, & plan a moderate level of substantive procedures (Ch. 14 & 15)Plan a focused level of substantive procedures (Ch. 15)Develop the Audit PlanSummarize & Communicate the A

7、udit Plan (Ch 16)Plan to Rely on Operating Effectiveness of Controls (Ch. 13)Specific Identified Risk (Ch. 12)YesNoYesNoYesNo3.01.70.72.0.Perform Substantive Procedures SAP (Ch. 18) &/or Tests of Details (Ch. 19)No Specific Identified Risk (Ch. 12)Assess Risk at the Potential-Error Level (Ch. 12)Des

8、ign & implementation of controls was adequate (Ch. 9)No4信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)內(nèi)部控制構(gòu)成要素（COSO）確保相關(guān)信息得到及時(shí)識(shí)別與傳達(dá)的程序來自高管的信息政策與程序培訓(xùn)道德準(zhǔn)則組織的控制意識(shí)。“高層論調(diào)”道德準(zhǔn)則成文的政策與程序文化評(píng)估對(duì)影響組織績(jī)效的內(nèi)外部因素的評(píng)估業(yè)務(wù)風(fēng)險(xiǎn)管理程序風(fēng)險(xiǎn)管理內(nèi)部審計(jì)風(fēng)險(xiǎn)評(píng)估確定內(nèi)部控制是否得到正確地設(shè)計(jì)、有效和因地制宜地執(zhí)行的程序管理分析披露委員會(huì)內(nèi)部審計(jì)確保風(fēng)險(xiǎn)管理措施得到及時(shí)執(zhí)行的政策與程序授權(quán)審批普通程序和系統(tǒng)職責(zé)分隔客戶對(duì)帳信息技術(shù)控制5信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)IT穿插在企業(yè)內(nèi)部控制的各個(gè)環(huán)節(jié)控制環(huán)境

9、IT控制環(huán)境是公司整體控制環(huán)境的重要組成部分在公司“老總”層面要聽得到關(guān)于信息技術(shù)的聲音 信息技術(shù)的控制職責(zé)和簽字權(quán)力必須明確信息技術(shù)的控制政策和規(guī)程必須成文 風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)有專門的信息技術(shù)風(fēng)險(xiǎn)評(píng)估程序應(yīng)當(dāng)對(duì)信息技術(shù)內(nèi)控計(jì)劃的制定加以監(jiān)督信息技術(shù)風(fēng)險(xiǎn)包括安全、運(yùn)行、可用性等，都會(huì)影響財(cái)務(wù)報(bào)告的可靠性管理層必須意識(shí)到信息技術(shù)的風(fēng)險(xiǎn)與信息技術(shù)的控制息息相關(guān)信息與溝通部署用以支持溝通的架構(gòu)、標(biāo)準(zhǔn)和流程信息能夠準(zhǔn)確、及時(shí)地向上傳遞方便地獲取信息技術(shù)相關(guān)的政策、流程、職位描述和職責(zé)定義準(zhǔn)確地對(duì)財(cái)務(wù)數(shù)據(jù)和報(bào)告進(jìn)行整理和溝通監(jiān)督對(duì)信息技術(shù)內(nèi)控進(jìn)行持續(xù)監(jiān)督，確保其實(shí)質(zhì)有效實(shí)際并運(yùn)行對(duì)信息技術(shù)文檔的充分性進(jìn)行監(jiān)督

10、 信息技術(shù)內(nèi)審復(fù)核. 對(duì)彌補(bǔ)和升級(jí)程序進(jìn)行監(jiān)控.持續(xù)的安全監(jiān)督6信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)了解企業(yè)內(nèi)部控制的程序 識(shí)別主要活動(dòng),程序和控制, 以應(yīng)對(duì)內(nèi)控的各實(shí)體層次構(gòu)成要素。了解監(jiān)管負(fù)責(zé)人員如何應(yīng)對(duì)風(fēng)險(xiǎn)評(píng)估控制的設(shè)計(jì)與執(zhí)行對(duì)以下作出結(jié)論： 對(duì)實(shí)現(xiàn)有效內(nèi)部控制和可靠財(cái)務(wù)信息處理的幫助。它是否提高或降低內(nèi)部控制的有效性7信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)IT控制是內(nèi)部控制的重要組成部分Entity Level ControlsEntity-level controls set the tone and culture of the organization. IT entity-level controls are

11、part of a companys overall control environment.Controls include: Strategies and plans Policies and procedures Risk assessment activities Training and education Quality assurance Internal audit IT ServicesOS/Data/Telecom/Continuity/NetworksBusiness ProcessFinance ReportBusiness Process Customer Banki

12、ngBusiness ProcessLoan Business ProcessInvestmentIT General ControlsControls embedded within IT processes that provide a reliable operating environment and support the effective operation of application controls.Controls include: Program development Program changes Access to programs and data Comput

13、er operationsApplication ControlsControls embedded within business process applications directly support financial control objectives. Controls include:Control objectives/assertions include: Completeness Accuracy Existence/authorization Presentation/disclosure8信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)控制 vs. 風(fēng)險(xiǎn)風(fēng)險(xiǎn)是特定的威脅利用資產(chǎn)的脆弱性從而造成

14、對(duì)資產(chǎn)的一種潛在損害，風(fēng)險(xiǎn)的嚴(yán)重程度與資產(chǎn)價(jià)值程度及威脅發(fā)生的頻度成正比為了將風(fēng)險(xiǎn)控制在管理層可接受的程度，就必須對(duì)識(shí)別出的各類風(fēng)險(xiǎn)實(shí)施相關(guān)的控制。在實(shí)施時(shí)須考慮如下因素：比較控制成本與減少風(fēng)險(xiǎn)所得的收益管理層的風(fēng)險(xiǎn)喜好（如，管理層準(zhǔn)備接受的殘余風(fēng)險(xiǎn)水平）愿意采取的風(fēng)險(xiǎn)降低的方式（如，終止風(fēng)險(xiǎn)、減少發(fā)生的可能、減少影響、轉(zhuǎn)移或保險(xiǎn)）9信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)控制的分類預(yù)防性控制在事情發(fā)生前監(jiān)測(cè)問題監(jiān)控運(yùn)營(yíng)和輸入在問題發(fā)生前預(yù)測(cè)潛在問題避免錯(cuò)誤、疏忽或蓄意行為的發(fā)生檢測(cè)性控制使用控制檢查和報(bào)告發(fā)生的錯(cuò)誤、疏漏或蓄意行為的發(fā)生糾正性控制減少危害影響修復(fù)檢查性控制發(fā)現(xiàn)的問題找出問題原因，糾正問題衍生出的

15、錯(cuò)誤，修改處理系統(tǒng)以減少未來問題發(fā)生的可能性10信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)內(nèi)部控制目標(biāo)內(nèi)部控制就是要通過實(shí)施一系列特定的控制活動(dòng)，達(dá)到所預(yù)期的結(jié)果或目的。通常包括：內(nèi)部會(huì)計(jì)控制主要針對(duì)會(huì)計(jì)操作，即資產(chǎn)安全、財(cái)務(wù)資料準(zhǔn)確可靠運(yùn)營(yíng)控制針對(duì)日常運(yùn)營(yíng)、職能和活動(dòng)，用于確保運(yùn)營(yíng)達(dá)到企業(yè)目標(biāo)管理控制關(guān)注職能部門的運(yùn)作效率及運(yùn)營(yíng)控制符合管理政策的程度，是以提高經(jīng)營(yíng)效率和保證管理方針、政策的實(shí)施為目標(biāo)的控制技術(shù)環(huán)境控制保護(hù)信息資產(chǎn)，符合組織的方針策略及法律法規(guī)的要求，信息輸入輸出，交易處理的準(zhǔn)確性及完整性，數(shù)據(jù)處理的可靠性，備份與恢復(fù)，業(yè)務(wù)經(jīng)營(yíng)的效率與效果11信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)控制目標(biāo)內(nèi)部控制目標(biāo)可以運(yùn)用

16、在所有人工及自動(dòng)化控制部分，常見的信息系統(tǒng)控制目標(biāo)如：保護(hù)信息系統(tǒng)以防止不當(dāng)存取，并確保及時(shí)更新保護(hù)計(jì)算機(jī)操作系統(tǒng)及網(wǎng)絡(luò)操作系統(tǒng)的完整性保護(hù)敏感的、重要的應(yīng)用系統(tǒng)（如財(cái)務(wù)及管理應(yīng)用系統(tǒng)）的機(jī)密性和完整性：保證信息系統(tǒng)的運(yùn)營(yíng)效率與效果符合用戶的需求、組織的方針、策略與程序，并遵守法律法規(guī)的要求制定業(yè)務(wù)持續(xù)計(jì)劃及災(zāi)難恢復(fù)計(jì)劃制定應(yīng)急響應(yīng)及處理程序12信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)實(shí)施信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)是檢查評(píng)估自動(dòng)化信息處理系統(tǒng)、與其有關(guān)的非自動(dòng)化程序和兩者之間的接口等。實(shí)施信息系統(tǒng)審計(jì)需要如下幾個(gè)步驟：充分的審計(jì)計(jì)劃（短期、長(zhǎng)期）為有效地利用審計(jì)資源，審計(jì)機(jī)構(gòu)必須評(píng)估所有風(fēng)險(xiǎn)（一般控制與應(yīng)用控制領(lǐng)域

17、）制定審計(jì)計(jì)劃，包括審計(jì)目標(biāo)與審計(jì)程序搜集證據(jù)、對(duì)現(xiàn)有控制進(jìn)行評(píng)估與測(cè)試編寫審計(jì)報(bào)告，并與管理層溝通審計(jì)發(fā)現(xiàn)13信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)測(cè)試和評(píng)估信息系統(tǒng)控制的方法信息系統(tǒng)審計(jì)師必須理解和掌握測(cè)試評(píng)估信息系統(tǒng)控制的方法：使用通用審計(jì)軟件調(diào)查數(shù)據(jù)文件的內(nèi)容（包括系統(tǒng)日志）使用專用軟件來評(píng)估操作系統(tǒng)參數(shù)文件（如測(cè)試系統(tǒng)參數(shù)設(shè)置漏洞）用流程圖的方式來圖示業(yè)務(wù)流程及應(yīng)用系統(tǒng)使用操作系統(tǒng)中內(nèi)置的審計(jì)報(bào)告進(jìn)行文檔檢查觀察14信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)符合性測(cè)試 vs. 實(shí)質(zhì)性測(cè)試符合性測(cè)試確定控制的執(zhí)行符合管理層制定的方針政策的程度。測(cè)試目的是為信息系統(tǒng)審計(jì)師提供保證其在初步評(píng)價(jià)中確定的關(guān)鍵控制點(diǎn)是可以信賴的。實(shí)質(zhì)

18、性測(cè)試驗(yàn)證實(shí)際處理的完整性。例如對(duì)于貸款利息計(jì)算，信息系統(tǒng)審計(jì)師可能采取詳細(xì)的利息計(jì)算測(cè)試，也可能采取統(tǒng)計(jì)抽樣技術(shù)，得出全部貸款利息正確的結(jié)論。需要進(jìn)行實(shí)質(zhì)性測(cè)試的數(shù)量與內(nèi)部控制水平直接相關(guān)。（德勤的方法中樣本數(shù)量可相差10倍）15信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)審計(jì)證據(jù)證據(jù)是審計(jì)師安全審計(jì)標(biāo)準(zhǔn)及目標(biāo)的要求， 在對(duì)某一實(shí)體或數(shù)據(jù)進(jìn)行審計(jì)時(shí)所采用的信息。審計(jì)證據(jù)包括審計(jì)人員的觀察、詢問的記錄、從內(nèi)部文件或信件中獲取的資料、審計(jì)測(cè)試程序所產(chǎn)生的結(jié)果。審計(jì)證據(jù)的可靠性取決于以下因素：提供審計(jì)證據(jù)人員的獨(dú)立性提供審計(jì)信息或證據(jù)人員的資格審計(jì)證據(jù)的客觀性審計(jì)證據(jù)的實(shí)效性16信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)審計(jì)證據(jù)的獲得獲取審計(jì)

19、證據(jù)的技術(shù)有：檢查信息系統(tǒng)組織結(jié)構(gòu)檢查信息系統(tǒng)方針政策檢查信息系統(tǒng)標(biāo)準(zhǔn)檢查信息系統(tǒng)文件約見相關(guān)人員并進(jìn)行會(huì)談?dòng)^察處理過程和員工的實(shí)際表現(xiàn)審計(jì)工作不僅僅包括查詢程序，還包括對(duì)控制和審計(jì)證據(jù)的測(cè)試驗(yàn)證，得出審計(jì)測(cè)試的結(jié)論17信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)通用計(jì)算機(jī)控制審計(jì) 18信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)通用計(jì)算機(jī)審計(jì)涵蓋的領(lǐng)域信息系統(tǒng)運(yùn)作信息安全應(yīng)用系統(tǒng)的實(shí)施及維護(hù)數(shù)據(jù)庫的實(shí)施及維護(hù)網(wǎng)絡(luò)支持系統(tǒng)軟件支持信息資源戰(zhàn)略及規(guī)劃與外包供應(yīng)商的關(guān)系業(yè)務(wù)連續(xù)性計(jì)劃硬件支持19信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)運(yùn)作所有進(jìn)行批處理和在線作業(yè)及產(chǎn)生報(bào)表之生產(chǎn)程序均能及時(shí)運(yùn)行并正常完成僅執(zhí)行有效的生產(chǎn)程序依照法律,法規(guī)或公司政策保存數(shù)據(jù),

20、以便必要時(shí)可隨時(shí)取得計(jì)算機(jī)處理環(huán)境的服務(wù)水平達(dá)到或超過管理當(dāng)局的期望用戶得到有關(guān)應(yīng)用系統(tǒng)使用的適當(dāng)培訓(xùn)用戶獲得適當(dāng)?shù)闹С忠源_保應(yīng)用系統(tǒng)的功能依照其預(yù)定的目標(biāo)運(yùn)行20信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)運(yùn)作所有進(jìn)行批處理和在線作業(yè)及產(chǎn)生報(bào)表之生產(chǎn)程序均能及時(shí)運(yùn)行并正常完成管理當(dāng)局應(yīng)監(jiān)督計(jì)算機(jī)處理（包括復(fù)核及解決任何例外情形）以確保處理成功和及時(shí)地完成非正常處理的例外情形應(yīng)記入日志、經(jīng)管理當(dāng)局復(fù)核并立即解決對(duì)批次及在線處理程序進(jìn)行定義，以確保該工作和/或交易被正常地處理及完成、或被恢復(fù)及重新處理21信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)運(yùn)作僅執(zhí)行有效的生產(chǎn)程序自動(dòng)化編排工具（scheduling tool）已被執(zhí)行

21、以確保處理流程經(jīng)授權(quán)及完整對(duì)生產(chǎn)處理控制語言和可執(zhí)行程序的訪問權(quán)限進(jìn)行定義，使得只有適當(dāng)人員才能具有執(zhí)行、修改、刪除或創(chuàng)建的能力管理當(dāng)局或用戶復(fù)核完成的處理以確保其正確性、完整性及已經(jīng)授權(quán)22信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)運(yùn)作依照法律,法規(guī)或公司政策保存數(shù)據(jù),以便必要時(shí)可隨時(shí)取得通過恢復(fù)或其他方法定期測(cè)試備份和保留數(shù)據(jù)的持續(xù)可讀性管理當(dāng)局和用戶制定數(shù)據(jù)備份和保留的計(jì)劃及時(shí)間；對(duì)不再需要保留的數(shù)據(jù)應(yīng)進(jìn)行刪除并釋放介質(zhì)的儲(chǔ)存空間。管理當(dāng)局定期復(fù)核數(shù)據(jù)保留及釋放的記錄所有介質(zhì)（磁帶、手冊(cè)、指引等）都存放在安全的、可進(jìn)行環(huán)境調(diào)控的地點(diǎn)可移動(dòng)的介質(zhì)應(yīng)貼上標(biāo)簽以便適當(dāng)識(shí)別自動(dòng)化數(shù)據(jù)保留儲(chǔ)存工具經(jīng)管理當(dāng)局的批

22、準(zhǔn)并得到實(shí)施以管理數(shù)據(jù)備份及保留的計(jì)劃和時(shí)間對(duì)數(shù)據(jù)進(jìn)行異地備份存檔(archived off-site)以便最大限度減少數(shù)據(jù)丟失23信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)運(yùn)作計(jì)算機(jī)處理環(huán)境的服務(wù)水平達(dá)到或超過管理當(dāng)局的期望對(duì)服務(wù)水平的衡量準(zhǔn)則進(jìn)行定義，該定義應(yīng)征得受影響的人員同意管理當(dāng)局監(jiān)督信息系統(tǒng)的服務(wù)水平，且當(dāng)服務(wù)表現(xiàn)未達(dá)到期望的服務(wù)水平時(shí)制定修正措施對(duì)計(jì)算機(jī)處理環(huán)境的性能和能力的利用應(yīng)被衡量、報(bào)告和經(jīng)管理當(dāng)局復(fù)核24信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)運(yùn)作用戶得到有關(guān)應(yīng)用系統(tǒng)使用的適當(dāng)培訓(xùn)系統(tǒng)實(shí)施的程序應(yīng)包括對(duì)用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修改的系統(tǒng)的使用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)督該程序的執(zhí)行情況。應(yīng)為新聘用的員

23、工及實(shí)體內(nèi)調(diào)職的員工提供相關(guān)應(yīng)用系統(tǒng)的正式培訓(xùn)用戶可隨時(shí)訪問應(yīng)用系統(tǒng)中現(xiàn)有的用戶文件對(duì)支持的申請(qǐng)應(yīng)定期向管理當(dāng)局匯總并報(bào)告。管理當(dāng)局監(jiān)督支持申請(qǐng)的性質(zhì)及頻率以確定是否需要改善用戶培訓(xùn)、支持的資源和/或文件25信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息系統(tǒng)運(yùn)作用戶獲得適當(dāng)?shù)闹С忠源_保應(yīng)用系統(tǒng)的功能依照其預(yù)定的目標(biāo)運(yùn)行管理當(dāng)局監(jiān)督問題的統(tǒng)計(jì)及趨勢(shì)，以識(shí)別及消除該問題重復(fù)出現(xiàn)的根本原因信息系統(tǒng)架構(gòu)應(yīng)包括幫助中心(helpdesk)的功能以便用戶進(jìn)行有關(guān)系統(tǒng)的查詢。所提出的問題應(yīng)記錄在中央問題日志之中。幫助中心(helpdesk)工作人員應(yīng)監(jiān)督日志以確保及時(shí)解決所有用戶的查詢用戶可隨時(shí)訪問應(yīng)用系統(tǒng)中現(xiàn)有的用戶文件對(duì)支持

24、的申請(qǐng)應(yīng)定期向管理當(dāng)局匯總并報(bào)告。管理當(dāng)局監(jiān)督支持申請(qǐng)的性質(zhì)及頻率以確定是否需要改善用戶培訓(xùn)、支持的資源和/或文件26信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全邏輯安全物理安全信息系統(tǒng)政策27信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全須保護(hù)的計(jì)算機(jī)設(shè)備28信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全面臨的威脅29信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全物理安全UPS30信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全邏輯安全PublicNetwork31信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全邏輯安全PublicNetwork32信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全實(shí)施及配置邏輯安全管理工具和技術(shù)來限制對(duì)程序,數(shù)據(jù)及其他信息資源的訪問邏輯安全管理工具和技術(shù)得到適當(dāng)管理，以限制對(duì)程序、數(shù)據(jù)

25、和其他信息資源的訪問實(shí)施和管理物理訪問限制，以確保僅有經(jīng)適當(dāng)?shù)氖跈?quán)人員可以訪問和使用信息資源所有信息資源均配備必要的實(shí)體和邏輯安全措施實(shí)體的程序、數(shù)據(jù)及其他信息資源均受到保護(hù)以防病毒侵害實(shí)體計(jì)算機(jī)系統(tǒng)中軟件的安裝和/或使用遵循授權(quán)協(xié)議的規(guī)定及經(jīng)管理當(dāng)局授權(quán)保護(hù)信息資源免受環(huán)境災(zāi)害及相關(guān)損害的影響33信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全實(shí)施及配置邏輯安全管理工具和技術(shù)來限制對(duì)程序,數(shù)據(jù)及其他信息資源的訪問應(yīng)修改應(yīng)用程序、系統(tǒng)和通信及網(wǎng)絡(luò)軟件中的廠商默認(rèn)密碼要求用戶擁有唯一的用戶識(shí)別代碼(identifier)以便對(duì)不同的用戶加以區(qū)分及確立可追蹤性終端設(shè)備和工作站應(yīng)設(shè)有保護(hù)程序，該保護(hù)程序在經(jīng)過一段設(shè)備預(yù)

26、設(shè)的閑置時(shí)間之后會(huì)自動(dòng)激活敏感數(shù)據(jù)在傳輸過程中應(yīng)作加密處理信息安全工具與技術(shù)用于限制對(duì)信息資源(如：數(shù)據(jù)文件、公用程式(utility)、交易、程序）的訪問權(quán)限。管理當(dāng)局應(yīng)復(fù)核及核準(zhǔn)信息安全工具與技術(shù)的實(shí)施和配置34信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全實(shí)施及配置邏輯安全管理工具和技術(shù)來限制對(duì)程序,數(shù)據(jù)及其他信息資源的訪問系統(tǒng)應(yīng)通過密碼或其他識(shí)別機(jī)制識(shí)別（本地或遠(yuǎn)程的）用戶。應(yīng)制定有關(guān)密碼使用的政策 - 定期修改密碼、保密性和密碼格式（如：密碼長(zhǎng)度、字母與數(shù)字混合的內(nèi)容）應(yīng)制定安全政策為信息安全的總體方向及執(zhí)行提供指引只有適當(dāng)?shù)娜藛T才有能力修改整體系統(tǒng)的安全參數(shù)應(yīng)激活信息安全工具的功能以便記錄及報(bào)告信息

27、安全政策所規(guī)定的安全事項(xiàng)（如安全違規(guī)報(bào)告）；應(yīng)定期復(fù)核該工具所產(chǎn)生的報(bào)告并采取必要的行動(dòng)35信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全邏輯安全管理工具和技術(shù)得到適當(dāng)管理，以限制對(duì)程序、數(shù)據(jù)和其他信息資源的訪問要求用戶擁有唯一的用戶識(shí)別代碼(identifier)以便對(duì)不同的用戶加以區(qū)分及確立可追蹤性應(yīng)用程序所有者對(duì)用戶訪問特權(quán)的性質(zhì)和程度進(jìn)行授權(quán)，且應(yīng)用程序所有者應(yīng)定期復(fù)核該訪問特權(quán)以確保維持其適當(dāng)性。用戶的訪問權(quán)限應(yīng)通過密碼或其他機(jī)制加以限制。密碼應(yīng)定期修改對(duì)未授權(quán)的企圖訪問信息資源的行為應(yīng)記入日志并在安全違規(guī)報(bào)告中記錄；應(yīng)定期復(fù)核該日志及報(bào)告并采取必要的行動(dòng)對(duì)敏感數(shù)據(jù)（如人事記錄）經(jīng)授權(quán)的訪問應(yīng)記入日志

28、；應(yīng)定期復(fù)核該日志以評(píng)估對(duì)該數(shù)據(jù)的訪問及使用是否適當(dāng)36信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全邏輯安全管理工具和技術(shù)得到適當(dāng)管理，以限制對(duì)程序、數(shù)據(jù)和其他信息資源的訪問應(yīng)激活信息安全工具的功能以便記錄及報(bào)告信息安全政策所規(guī)定的安全事項(xiàng)（如安全違規(guī)報(bào)告）；應(yīng)定期復(fù)核該工具所產(chǎn)生的報(bào)告并采取必要的行動(dòng)定義并指派與信息安全管理相關(guān)的職位和責(zé)任只有適當(dāng)?shù)娜藛T才有權(quán)限管理信息安全只有適當(dāng)?shù)娜藛T才有特許的訪問權(quán)限（所謂超級(jí)用戶），對(duì)該權(quán)限的使用應(yīng)記入日志并進(jìn)行復(fù)核37信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全實(shí)施和管理物理訪問限制，以確保僅有經(jīng)適當(dāng)?shù)氖跈?quán)人員可以訪問和使用信息資源應(yīng)監(jiān)督存放計(jì)算機(jī)設(shè)備的樓層及區(qū)域的人員進(jìn)出，且應(yīng)限

29、制只有相關(guān)工作職責(zé)的人員才可進(jìn)入該區(qū)域；在經(jīng)管理當(dāng)局核準(zhǔn)后才可獲準(zhǔn)進(jìn)入該區(qū)域已執(zhí)行涉及商業(yè)信息資源評(píng)估、以及識(shí)別與評(píng)估現(xiàn)有風(fēng)險(xiǎn)水平的風(fēng)險(xiǎn)評(píng)估來確定適當(dāng)?shù)木吆侠沓杀镜男畔踩軜?gòu)。該風(fēng)險(xiǎn)評(píng)估應(yīng)定期更新，且管理當(dāng)局已實(shí)施合適的信息安全架構(gòu)以確保適當(dāng)?shù)娜藛T進(jìn)出和邏輯安全控制38信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全所有信息資源均配備必要的實(shí)體和邏輯安全措施應(yīng)用程序所有者對(duì)用戶訪問特權(quán)的性質(zhì)和程度進(jìn)行授權(quán)，且應(yīng)用程序所有者應(yīng)定期復(fù)核該訪問特權(quán)以確保維持其適當(dāng)性。用戶的訪問權(quán)限應(yīng)通過密碼或其他機(jī)制加以限制。密碼應(yīng)定期修改應(yīng)監(jiān)督存放計(jì)算機(jī)設(shè)備的樓層及區(qū)域的人員進(jìn)出，且應(yīng)限制只有相關(guān)工作職責(zé)的人員才可進(jìn)入該區(qū)域；在經(jīng)

30、管理當(dāng)局核準(zhǔn)后才可獲準(zhǔn)進(jìn)入該區(qū)域已執(zhí)行涉及商業(yè)信息資源評(píng)估、以及識(shí)別與評(píng)估現(xiàn)有風(fēng)險(xiǎn)水平的風(fēng)險(xiǎn)評(píng)估來確定適當(dāng)?shù)木吆侠沓杀镜男畔踩軜?gòu)。該風(fēng)險(xiǎn)評(píng)估應(yīng)定期更新，且管理當(dāng)局已實(shí)施合適的信息安全架構(gòu)以確保適當(dāng)?shù)娜藛T進(jìn)出和邏輯安全控制39信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全實(shí)體的程序、數(shù)據(jù)及其他信息資源均受到保護(hù)以防病毒侵害所有軟件和數(shù)據(jù)在載入實(shí)體的系統(tǒng)之前應(yīng)先進(jìn)行查毒所有實(shí)體的計(jì)算機(jī)及任何連接實(shí)體網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)安裝防病毒軟件。該防病毒軟件應(yīng)設(shè)置為當(dāng)下載數(shù)據(jù)或程序、打開數(shù)據(jù)文件或執(zhí)行程序時(shí)都須進(jìn)行病毒掃描。應(yīng)監(jiān)督該政策的遵循情況定期對(duì)網(wǎng)絡(luò)上或有可能感染病毒的程序和數(shù)據(jù)文件進(jìn)行病毒掃描要求用戶更新其防病毒軟件中的

31、病毒定義列表，且所有外部的程序和數(shù)據(jù)在下載到他們的計(jì)算機(jī)之前都須進(jìn)行病毒掃描應(yīng)定期復(fù)核病毒掃描的結(jié)果，并對(duì)發(fā)現(xiàn)的問題采取適當(dāng)?shù)慕鉀Q方案40信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全實(shí)體計(jì)算機(jī)系統(tǒng)中軟件的安裝和/或使用遵循授權(quán)協(xié)議的規(guī)定及經(jīng)管理當(dāng)局授權(quán)管理當(dāng)局已確立正式的政策以確保在對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時(shí)間安排，從而最大限度降低該修改對(duì)其他處理活動(dòng)的影響存在正式的軟件政策及標(biāo)準(zhǔn)，并傳達(dá)給所有員工應(yīng)定期把安裝到實(shí)體計(jì)算機(jī)中的軟件與授權(quán)軟件的明細(xì)表相核對(duì)。如發(fā)現(xiàn)未經(jīng)許可或未授權(quán)安裝的軟件，應(yīng)獲得該軟件的授權(quán)許可或?qū)?/p>

32、件進(jìn)行刪除在購(gòu)買新軟件之前應(yīng)核實(shí)該軟件的購(gòu)買及安裝以遵循公司的授權(quán)許可要求41信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息安全保護(hù)信息資源免受環(huán)境災(zāi)害及相關(guān)損害的影響管理當(dāng)局定期監(jiān)督環(huán)境控制機(jī)制的有效性，并評(píng)估對(duì)實(shí)體信息資源的潛在威脅的商業(yè)影響管理當(dāng)局提供備用電源(如：不間斷電源(UPS)、發(fā)電機(jī))管理當(dāng)局應(yīng)確保有充足的煙霧/火警探測(cè)器和滅火設(shè)備數(shù)據(jù)中心的環(huán)境狀況(如：溫度、濕度)應(yīng)被監(jiān)督及調(diào)控計(jì)算機(jī)設(shè)施的所在地及其設(shè)計(jì)應(yīng)盡量避免受外部環(huán)境（如：風(fēng)、水、火）威脅42信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)DevelopRequirementSpecifications43信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)D

33、evelopRequirementSpecificationsPurchase/In-house Develop44信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)DevelopmentProject ManagementSoftwareSelectionDevelopRequirementSpecificationsPurchase/In-house Develop45信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)DevelopmentProject ManagementSoftwareSelectionDevelop RequirementSpecificationsPurchase/In-house

34、DevelopTesting46信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)Production Turnover(Program Change Controls)Documentation47信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)新的應(yīng)用系統(tǒng)的購(gòu)買、開發(fā)均符合管理當(dāng)局的意愿新應(yīng)用系統(tǒng)得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿當(dāng)新應(yīng)用系統(tǒng)實(shí)施完成后，原系統(tǒng)的數(shù)據(jù)能完整、準(zhǔn)確且有效地轉(zhuǎn)入新系統(tǒng)應(yīng)用系統(tǒng)可得到有效的維護(hù)與技術(shù)支持現(xiàn)有系統(tǒng)的必要修改均能及時(shí)實(shí)施正確實(shí)施現(xiàn)有應(yīng)用系統(tǒng)的修改且其修改后的功能符合管理當(dāng)局的意愿48信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)新的應(yīng)用系統(tǒng)的購(gòu)買、開發(fā)均符合管理當(dāng)局的意

35、愿管理當(dāng)局核準(zhǔn)所有購(gòu)買或開發(fā)應(yīng)用系統(tǒng)的決策，以確保系統(tǒng)的購(gòu)買和開發(fā)與公司的系統(tǒng)規(guī)劃和戰(zhàn)略保持一致對(duì)項(xiàng)目進(jìn)行優(yōu)先順序區(qū)分及指派，以確保有限的信息資源被適當(dāng)利用且與公司的業(yè)務(wù)目標(biāo)保持一致使用正式的方法或程序?yàn)橛布?、?yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購(gòu)買、開發(fā)或維護(hù)提供指引49信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)新應(yīng)用系統(tǒng)得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿管理當(dāng)局已確立正式的政策以確保在對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時(shí)間安排，從而最大限度降低該修改對(duì)其他處理活動(dòng)的影響依照測(cè)試計(jì)劃(包括(如適當(dāng))：系統(tǒng)

36、和單元測(cè)試、界面測(cè)試、并行測(cè)試(parallel testing)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的應(yīng)用系統(tǒng)和現(xiàn)行應(yīng)用系統(tǒng)的修改進(jìn)行測(cè)試已確立的執(zhí)行程序包括確保操作、技術(shù)和用戶文件保持適時(shí)性及可供適當(dāng)人員獲取系統(tǒng)實(shí)施的程序應(yīng)包括對(duì)用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修改的系統(tǒng)的使用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)督該程序的執(zhí)行情況。應(yīng)為新聘用的員工及實(shí)體內(nèi)調(diào)職的員工提供相關(guān)應(yīng)用系統(tǒng)的正式培訓(xùn)50信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)新應(yīng)用系統(tǒng)得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿應(yīng)在獨(dú)立于生產(chǎn)環(huán)境之外的環(huán)境中開發(fā)、修改及測(cè)試應(yīng)用系統(tǒng)適當(dāng)限制對(duì)測(cè)試和生產(chǎn)環(huán)境的訪問權(quán)限使用完整和具代表性的一組測(cè)試數(shù)據(jù)，而不是生產(chǎn)數(shù)據(jù)

37、來執(zhí)行測(cè)試維護(hù)源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性應(yīng)對(duì)硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、和系統(tǒng)軟件的修改建議的影響進(jìn)行評(píng)估；在該建議實(shí)施到生產(chǎn)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限度減少對(duì)營(yíng)運(yùn)的干擾51信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)應(yīng)用系統(tǒng)可得到有效的維護(hù)與技術(shù)支持實(shí)體對(duì)外部承包商和/或軟件廠商獲得的應(yīng)用程序或技術(shù)支持有正式的協(xié)議，以確保能獲得該支持。管理當(dāng)局應(yīng)監(jiān)督該協(xié)議的遵循情況已確立的執(zhí)行程序包括確保操作、技術(shù)和用戶文件保持適時(shí)性及可供適當(dāng)人員獲取管理當(dāng)局監(jiān)督所購(gòu)買的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的支持版已投入使用，且新的版本正被應(yīng)用使用管理當(dāng)

38、局已核準(zhǔn)的一套通用準(zhǔn)則來進(jìn)行軟件開發(fā)與維護(hù)，以確保實(shí)體內(nèi)的開發(fā)與維護(hù)活動(dòng)保持一致開發(fā)人員經(jīng)充分培訓(xùn)且熟悉公司所使用的通用準(zhǔn)則、技術(shù)和工具更改管理程序以確保源代碼與可執(zhí)行代碼的同步維護(hù)源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性52信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)現(xiàn)有系統(tǒng)的必要修改均能及時(shí)實(shí)施管理當(dāng)局復(fù)核系統(tǒng)性能報(bào)告并監(jiān)督確保識(shí)別出低效率的性能時(shí)已立即采取足夠的措施，且制定及執(zhí)行相應(yīng)的解決方案用戶和其他對(duì)應(yīng)用系統(tǒng)修改的申請(qǐng)(包括系統(tǒng)更新和廠商定期發(fā)布的補(bǔ)丁程序)應(yīng)經(jīng)管理當(dāng)局核準(zhǔn)，且如果該修改符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的意愿，應(yīng)予以執(zhí)行使用正式的方

39、法或程序?yàn)橛布?、?yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購(gòu)買、開發(fā)或維護(hù)提供指引對(duì)于現(xiàn)有硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫結(jié)構(gòu)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件修改的執(zhí)行，管理當(dāng)局應(yīng)監(jiān)督該項(xiàng)目已達(dá)到原定的目標(biāo)且符合預(yù)算及時(shí)間的要求53信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)正確實(shí)施現(xiàn)有應(yīng)用系統(tǒng)的修改且其修改后的功能符合管理當(dāng)局的意愿管理當(dāng)局已確立正式的政策以確保在對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時(shí)間安排，從而最大限度降低該修改對(duì)其他處理活動(dòng)的影響依照測(cè)試計(jì)劃(包括(如適當(dāng))：系統(tǒng)和單元測(cè)試、界面測(cè)試、并行測(cè)試(parallel te

40、sting)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的應(yīng)用系統(tǒng)和現(xiàn)行應(yīng)用系統(tǒng)的修改進(jìn)行測(cè)試已確立的執(zhí)行程序包括確保操作、技術(shù)和用戶文件保持適時(shí)性及可供適當(dāng)人員獲取應(yīng)在獨(dú)立于生產(chǎn)環(huán)境之外的環(huán)境中開發(fā)、修改及測(cè)試應(yīng)用系統(tǒng)管理當(dāng)局保留應(yīng)用系統(tǒng)和/或數(shù)據(jù)先前的版本以備發(fā)生處理問題時(shí)進(jìn)行系統(tǒng)/數(shù)據(jù)恢復(fù)54信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實(shí)施及維護(hù)正確實(shí)施現(xiàn)有應(yīng)用系統(tǒng)的修改且其修改后的功能符合管理當(dāng)局的意愿在生產(chǎn)環(huán)境中對(duì)應(yīng)用系統(tǒng)的修改申請(qǐng)應(yīng)進(jìn)行存檔并經(jīng)管理當(dāng)局核準(zhǔn)。管理當(dāng)局應(yīng)監(jiān)督所有該修改的執(zhí)行更改管理程序以確保源代碼與可執(zhí)行代碼的同步55信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)數(shù)據(jù)庫的實(shí)施及支持?jǐn)?shù)據(jù)庫管理系統(tǒng)（或同等系統(tǒng)）所定義的數(shù)據(jù)

41、結(jié)構(gòu)已適當(dāng)實(shí)施且其功能符合管理當(dāng)局的意愿現(xiàn)有數(shù)據(jù)結(jié)構(gòu)的必要修改均能及時(shí)實(shí)施現(xiàn)有數(shù)據(jù)結(jié)構(gòu)的修改實(shí)施正確且修改后的數(shù)據(jù)結(jié)構(gòu)功能符合管理當(dāng)局的意愿56信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)數(shù)據(jù)庫的實(shí)施及支持?jǐn)?shù)據(jù)庫管理系統(tǒng)（或同等系統(tǒng)）所定義的數(shù)據(jù)結(jié)構(gòu)已適當(dāng)實(shí)施且其功能符合管理當(dāng)局的意愿管理當(dāng)局已確立正式的政策以確保在對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時(shí)間安排，從而最大限度降低該修改對(duì)其他處理活動(dòng)的影響在安裝和/或維護(hù)數(shù)據(jù)庫和/或使用該數(shù)據(jù)庫的應(yīng)用系統(tǒng)時(shí)，應(yīng)提供及使用現(xiàn)有的數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)文件實(shí)體的數(shù)據(jù)結(jié)構(gòu)應(yīng)遵循信息系統(tǒng)規(guī)劃及管理

42、當(dāng)局的意愿進(jìn)行定義及執(zhí)行數(shù)據(jù)結(jié)構(gòu)的修改在執(zhí)行之前應(yīng)在測(cè)試環(huán)境中進(jìn)行評(píng)估依照測(cè)試計(jì)劃(包括(如適當(dāng))：界面測(cè)試、并行測(cè)試(parallel testing)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的數(shù)據(jù)結(jié)構(gòu)和現(xiàn)行的數(shù)據(jù)結(jié)構(gòu)的修改進(jìn)行測(cè)試57信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)數(shù)據(jù)庫的實(shí)施及支持?jǐn)?shù)據(jù)庫管理系統(tǒng)（或同等系統(tǒng)）所定義的數(shù)據(jù)結(jié)構(gòu)已適當(dāng)實(shí)施且其功能符合管理當(dāng)局的意愿系統(tǒng)實(shí)施的程序應(yīng)包括對(duì)用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修改的系統(tǒng)的使用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)督該程序的執(zhí)行情況。應(yīng)為新聘用的員工及實(shí)體內(nèi)調(diào)職的員工提供相關(guān)應(yīng)用系統(tǒng)的正式培訓(xùn)實(shí)體的數(shù)據(jù)庫管理系統(tǒng)應(yīng)包括自動(dòng)對(duì)任何數(shù)據(jù)庫的變更進(jìn)行更新的活動(dòng)數(shù)據(jù)字典(Active Da

43、ta Dictionary)適當(dāng)限制對(duì)測(cè)試和生產(chǎn)環(huán)境的訪問權(quán)限負(fù)責(zé)管理及定義數(shù)據(jù)庫組件(database compenents)的職責(zé)應(yīng)指派給適當(dāng)?shù)娜藛T維護(hù)源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性應(yīng)對(duì)硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、和系統(tǒng)軟件的修改建議的影響進(jìn)行評(píng)估；在該建議實(shí)施到生產(chǎn)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限度減少對(duì)營(yíng)運(yùn)的干擾58信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)數(shù)據(jù)庫的實(shí)施及支持現(xiàn)有數(shù)據(jù)結(jié)構(gòu)的必要修改均能及時(shí)實(shí)施管理當(dāng)局復(fù)核系統(tǒng)性能報(bào)告并監(jiān)督確保識(shí)別出低效率的性能時(shí)已立即采取足夠的措施，且制定及執(zhí)行相應(yīng)的解決方案用戶和其他對(duì)應(yīng)用系統(tǒng)修改的申請(qǐng)(包括系統(tǒng)更新和廠商

44、定期發(fā)布的補(bǔ)丁程序)應(yīng)經(jīng)管理當(dāng)局核準(zhǔn)，且如果該修改符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的意愿，應(yīng)予以執(zhí)行用戶和其他對(duì)數(shù)據(jù)結(jié)構(gòu)修改的申請(qǐng)(包括更新和廠商定期發(fā)布的補(bǔ)丁程序)應(yīng)經(jīng)管理當(dāng)局核準(zhǔn)，且如果該修改符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的意愿，應(yīng)予以執(zhí)行對(duì)于現(xiàn)有硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫結(jié)構(gòu)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件修改的執(zhí)行，管理當(dāng)局應(yīng)監(jiān)督該項(xiàng)目已達(dá)到原定的目標(biāo)且符合預(yù)算及時(shí)間的要求59信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)數(shù)據(jù)庫的實(shí)施及支持現(xiàn)有數(shù)據(jù)結(jié)構(gòu)的修改實(shí)施正確且修改后的數(shù)據(jù)結(jié)構(gòu)功能符合管理當(dāng)局的意愿管理當(dāng)局已確立正式的政策以確保在對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影

45、響的人員并與其協(xié)調(diào)該修改的時(shí)間安排，從而最大限度降低該修改對(duì)其他處理活動(dòng)的影響執(zhí)行的方式應(yīng)容許必要時(shí)可將系統(tǒng)還原至原來的環(huán)境在安裝和/或維護(hù)數(shù)據(jù)庫和/或使用該數(shù)據(jù)庫的應(yīng)用系統(tǒng)時(shí)，應(yīng)提供及使用現(xiàn)有的數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)文件數(shù)據(jù)結(jié)構(gòu)的修改在執(zhí)行之前應(yīng)在測(cè)試環(huán)境中進(jìn)行評(píng)估依照測(cè)試計(jì)劃(包括(如適當(dāng))：界面測(cè)試、并行測(cè)試(parallel testing)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的數(shù)據(jù)結(jié)構(gòu)和現(xiàn)行的數(shù)據(jù)結(jié)構(gòu)的修改進(jìn)行測(cè)試60信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)數(shù)據(jù)庫的實(shí)施及支持現(xiàn)有數(shù)據(jù)結(jié)構(gòu)的修改實(shí)施正確且修改后的數(shù)據(jù)結(jié)構(gòu)功能符合管理當(dāng)局的意愿實(shí)體的數(shù)據(jù)庫管理系統(tǒng)應(yīng)包括自動(dòng)對(duì)任何數(shù)據(jù)庫的變更進(jìn)行更新的活動(dòng)數(shù)據(jù)字典

46、(Active Data Dictionary)在生產(chǎn)環(huán)境中對(duì)數(shù)據(jù)結(jié)構(gòu)的修改申請(qǐng)應(yīng)進(jìn)行存檔并經(jīng)管理當(dāng)局核準(zhǔn)。管理當(dāng)局應(yīng)監(jiān)督所有該修改的執(zhí)行61信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通信軟件的購(gòu)買符合管理當(dāng)局的意愿新的網(wǎng)絡(luò)和通信軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿網(wǎng)絡(luò)和通信軟件可得到有效的維護(hù)與技術(shù)支持現(xiàn)有網(wǎng)絡(luò)和通信軟件的必要修改均能及時(shí)實(shí)施正確實(shí)施現(xiàn)有網(wǎng)絡(luò)和通信軟件的修改且修改后的功能符合管理當(dāng)局的意愿62信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通信軟件的購(gòu)買符合管理當(dāng)局的意愿管理當(dāng)局核準(zhǔn)對(duì)網(wǎng)絡(luò)和通信軟件及系統(tǒng)的購(gòu)買，以確保該購(gòu)買和開發(fā)符合公司的系統(tǒng)規(guī)劃及戰(zhàn)略對(duì)項(xiàng)目進(jìn)行優(yōu)先順序區(qū)分及指派

47、，以確保有限的信息資源被適當(dāng)利用且與公司的業(yè)務(wù)目標(biāo)保持一致使用正式的方法或程序?yàn)橛布?、?yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購(gòu)買、開發(fā)或維護(hù)提供指引63信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通信軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿管理當(dāng)局已確立正式的政策以確保在對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時(shí)間安排，從而最大限度降低該修改對(duì)其他處理活動(dòng)的影響網(wǎng)絡(luò)和通信軟件及硬件在執(zhí)行之前應(yīng)首先在測(cè)試環(huán)境中進(jìn)行安裝與評(píng)估在安裝和/或維護(hù)網(wǎng)絡(luò)時(shí)，應(yīng)提供及使用現(xiàn)有的網(wǎng)絡(luò)軟件、通信軟件、和網(wǎng)絡(luò)拓樸(Network Topol

48、ogy)文件依照測(cè)試計(jì)劃(包括(如適當(dāng))：系統(tǒng)和單元測(cè)試、界面測(cè)試、并行測(cè)試(parallel testing)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的網(wǎng)絡(luò)和通信軟件與現(xiàn)行的網(wǎng)絡(luò)和通信軟件修改進(jìn)行測(cè)試64信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通信軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿系統(tǒng)實(shí)施的程序應(yīng)包括對(duì)用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修改的系統(tǒng)的使用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)督該程序的執(zhí)行情況。應(yīng)為新聘用的員工及實(shí)體內(nèi)調(diào)職的員工提供相關(guān)應(yīng)用系統(tǒng)的正式培訓(xùn)適當(dāng)限制對(duì)測(cè)試和生產(chǎn)環(huán)境的訪問權(quán)限使用完整和具代表性的一組測(cè)試數(shù)據(jù)，而不是生產(chǎn)數(shù)據(jù)來執(zhí)行測(cè)試維護(hù)源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)的現(xiàn)有文件

49、，以確保生產(chǎn)程序的可執(zhí)行性應(yīng)對(duì)硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、和系統(tǒng)軟件的修改建議的影響進(jìn)行評(píng)估；在該建議實(shí)施到生產(chǎn)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限度減少對(duì)營(yíng)運(yùn)的干擾65信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持網(wǎng)絡(luò)和通信軟件可得到有效的維護(hù)與技術(shù)支持實(shí)體對(duì)外部承包商和/或軟件廠商獲得的應(yīng)用程序或技術(shù)支持有正式的協(xié)議，以確保能獲得該支持。管理當(dāng)局應(yīng)監(jiān)督該協(xié)議的遵循情況在安裝和/或維護(hù)網(wǎng)絡(luò)時(shí)，應(yīng)提供及使用現(xiàn)有的網(wǎng)絡(luò)軟件、通信軟件、和網(wǎng)絡(luò)拓樸(Network Topology)文件管理當(dāng)局監(jiān)督所購(gòu)買的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的支持版已投入使用，且新的版本正被應(yīng)用使用管理當(dāng)局已核準(zhǔn)的一套通用準(zhǔn)則來進(jìn)行軟件開發(fā)與

50、維護(hù)，以確保實(shí)體內(nèi)的開發(fā)與維護(hù)活動(dòng)保持一致維護(hù)源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性66信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持現(xiàn)有網(wǎng)絡(luò)和通信軟件的必要修改均能及時(shí)實(shí)施管理當(dāng)局復(fù)核系統(tǒng)性能報(bào)告并監(jiān)督確保識(shí)別出低效率的性能時(shí)已立即采取足夠的措施，且制定及執(zhí)行相應(yīng)的解決方案用戶和其他對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施及通信軟件修改的申請(qǐng)(包括更新和廠商定期發(fā)布的補(bǔ)丁程序)應(yīng)經(jīng)管理當(dāng)局核準(zhǔn)，且如果該修改符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的意愿，應(yīng)予以執(zhí)行使用正式的方法或程序?yàn)橛布?、?yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購(gòu)買、開發(fā)或維護(hù)提供指引對(duì)于現(xiàn)有硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫結(jié)構(gòu)、網(wǎng)絡(luò)和通信軟件及

51、系統(tǒng)軟件修改的執(zhí)行，管理當(dāng)局應(yīng)監(jiān)督該項(xiàng)目已達(dá)到原定的目標(biāo)且符合預(yù)算及時(shí)間的要求67信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持正確實(shí)施現(xiàn)有網(wǎng)絡(luò)和通信軟件的修改且修改后的功能符合管理當(dāng)局的意愿管理當(dāng)局已確立正式的政策以確保在對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時(shí)間安排，從而最大限度降低該修改對(duì)其他處理活動(dòng)的影響執(zhí)行的方式應(yīng)容許必要時(shí)可將系統(tǒng)還原至原來的環(huán)境網(wǎng)絡(luò)和通信軟件及硬件在執(zhí)行之前應(yīng)首先在測(cè)試環(huán)境中進(jìn)行安裝與評(píng)估在安裝和/或維護(hù)網(wǎng)絡(luò)時(shí)，應(yīng)提供及使用現(xiàn)有的網(wǎng)絡(luò)軟件、通信軟件、和網(wǎng)絡(luò)拓樸(Network Topology)文件依照

52、測(cè)試計(jì)劃(包括(如適當(dāng))：系統(tǒng)和單元測(cè)試、界面測(cè)試、并行測(cè)試(parallel testing)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的網(wǎng)絡(luò)和通信軟件與現(xiàn)行的網(wǎng)絡(luò)和通信軟件修改進(jìn)行測(cè)試68信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持正確實(shí)施現(xiàn)有網(wǎng)絡(luò)和通信軟件的修改且修改后的功能符合管理當(dāng)局的意愿使用正式的方法或程序?yàn)橛布?、?yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購(gòu)買、開發(fā)或維護(hù)提供指引在生產(chǎn)環(huán)境中對(duì)網(wǎng)絡(luò)和通信軟件的修改申請(qǐng)應(yīng)進(jìn)行存檔并經(jīng)管理當(dāng)局核準(zhǔn)。管理當(dāng)局應(yīng)監(jiān)督所有該修改的執(zhí)行69信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持新的系統(tǒng)軟件的購(gòu)買符合管理當(dāng)局的意愿新的系統(tǒng)軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿系統(tǒng)軟件可得到有效的

53、維護(hù)與技術(shù)支持現(xiàn)有系統(tǒng)軟件的必要修改均能及時(shí)實(shí)施正確實(shí)施現(xiàn)有系統(tǒng)軟件的修改且修改后的功能符合管理當(dāng)局的意愿70信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持新的系統(tǒng)軟件的購(gòu)買符合管理當(dāng)局的意愿管理當(dāng)局核準(zhǔn)對(duì)計(jì)算機(jī)系統(tǒng)軟件的購(gòu)買，以確保該購(gòu)買和開發(fā)符合公司的系統(tǒng)規(guī)劃及戰(zhàn)略對(duì)項(xiàng)目進(jìn)行優(yōu)先順序區(qū)分及指派，以確保有限的信息資源被適當(dāng)利用且與公司的業(yè)務(wù)目標(biāo)保持一致使用正式的方法或程序?yàn)橛布?yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購(gòu)買、開發(fā)或維護(hù)提供指引71信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持新的系統(tǒng)軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿在安裝和/或維護(hù)軟件時(shí)，應(yīng)提供及使用現(xiàn)有的系統(tǒng)軟件文件管理當(dāng)局已確立正式的政策以確

54、保在對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時(shí)間安排，從而最大限度降低該修改對(duì)其他處理活動(dòng)的影響執(zhí)行的方式應(yīng)容許必要時(shí)可將系統(tǒng)還原至原來的環(huán)境系統(tǒng)軟件的修改(包括升級(jí)、修改和對(duì)配置參數(shù)的修改)在實(shí)施到生產(chǎn)環(huán)境之前應(yīng)首先在測(cè)試環(huán)境中進(jìn)行安裝與評(píng)估依照測(cè)試計(jì)劃(包括(如適當(dāng))：系統(tǒng)和單元測(cè)試、界面測(cè)試、并行測(cè)試(parallel testing)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的系統(tǒng)軟件與現(xiàn)行的系統(tǒng)軟件修改進(jìn)行測(cè)試72信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持新的系統(tǒng)軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的意愿系統(tǒng)實(shí)施的程序應(yīng)包括對(duì)

55、用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修改的系統(tǒng)的使用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)督該程序的執(zhí)行情況。應(yīng)為新聘用的員工及實(shí)體內(nèi)調(diào)職的員工提供相關(guān)應(yīng)用系統(tǒng)的正式培訓(xùn)適當(dāng)限制對(duì)測(cè)試和生產(chǎn)環(huán)境的訪問權(quán)限使用完整和具代表性的一組測(cè)試數(shù)據(jù)，而不是生產(chǎn)數(shù)據(jù)來執(zhí)行測(cè)試維護(hù)源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性應(yīng)對(duì)硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、和系統(tǒng)軟件的修改建議的影響進(jìn)行評(píng)估；在該建議實(shí)施到生產(chǎn)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限度減少對(duì)營(yíng)運(yùn)的干擾73信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持系統(tǒng)軟件可得到有效的維護(hù)與技術(shù)支持在安裝和/或維護(hù)軟件時(shí)，應(yīng)提供及使用現(xiàn)有的系統(tǒng)軟件文件實(shí)體對(duì)外部承包商和/或

56、軟件廠商獲得的應(yīng)用程序或技術(shù)支持有正式的協(xié)議，以確保能獲得該支持。管理當(dāng)局應(yīng)監(jiān)督該協(xié)議的遵循情況系統(tǒng)軟件參數(shù)(用于控制操作系統(tǒng))的設(shè)置和使用、以及其他可選的配置方案都被適當(dāng)存檔管理當(dāng)局監(jiān)督所購(gòu)買的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的支持版已投入使用，且新的版本正被應(yīng)用使用管理當(dāng)局已核準(zhǔn)的一套通用準(zhǔn)則來進(jìn)行軟件開發(fā)與維護(hù)，以確保實(shí)體內(nèi)的開發(fā)與維護(hù)活動(dòng)保持一致開發(fā)人員經(jīng)充分培訓(xùn)且熟悉公司所使用的通用準(zhǔn)則、技術(shù)和工具維護(hù)源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性74信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持現(xiàn)有系統(tǒng)軟件的必要修改均能及時(shí)實(shí)施管理當(dāng)局復(fù)核系統(tǒng)性能報(bào)告并監(jiān)

57、督確保識(shí)別出低效率的性能時(shí)已立即采取足夠的措施，且制定及執(zhí)行相應(yīng)的解決方案用戶和其他對(duì)系統(tǒng)軟件修改的申請(qǐng)(包括系統(tǒng)更新和廠商定期發(fā)布的補(bǔ)丁程序)應(yīng)經(jīng)管理當(dāng)局核準(zhǔn)，且如果該修改符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的意愿，應(yīng)予以執(zhí)行對(duì)于現(xiàn)有硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫結(jié)構(gòu)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件修改的執(zhí)行，管理當(dāng)局應(yīng)監(jiān)督該項(xiàng)目已達(dá)到原定的目標(biāo)且符合預(yù)算及時(shí)間的要求75信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持正確實(shí)施現(xiàn)有系統(tǒng)軟件的修改且修改后的功能符合管理當(dāng)局的意愿在安裝和/或維護(hù)軟件時(shí)，應(yīng)提供及使用現(xiàn)有的系統(tǒng)軟件文件管理當(dāng)局已確立正式的政策以確保在對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修

58、改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時(shí)間安排，從而最大限度降低該修改對(duì)其他處理活動(dòng)的影響執(zhí)行的方式應(yīng)容許必要時(shí)可將系統(tǒng)還原至原來的環(huán)境系統(tǒng)軟件的修改(包括升級(jí)、修改和對(duì)配置參數(shù)的修改)在實(shí)施到生產(chǎn)環(huán)境之前應(yīng)首先在測(cè)試環(huán)境中進(jìn)行安裝與評(píng)估依照測(cè)試計(jì)劃(包括(如適當(dāng))：系統(tǒng)和單元測(cè)試、界面測(cè)試、并行測(cè)試(parallel testing)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的系統(tǒng)軟件與現(xiàn)行的系統(tǒng)軟件修改進(jìn)行測(cè)試76信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持正確實(shí)施現(xiàn)有系統(tǒng)軟件的修改且修改后的功能符合管理當(dāng)局的意愿在生產(chǎn)環(huán)境中對(duì)系統(tǒng)軟件的修改申請(qǐng)應(yīng)進(jìn)行存檔并經(jīng)管理當(dāng)局核準(zhǔn)。管理當(dāng)局應(yīng)監(jiān)督所有該修改的執(zhí)行

59、應(yīng)對(duì)硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、和系統(tǒng)軟件的修改建議的影響進(jìn)行評(píng)估；在該建議實(shí)施到生產(chǎn)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限度減少對(duì)營(yíng)運(yùn)的干擾77信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息資源戰(zhàn)略及規(guī)劃信息系統(tǒng)的戰(zhàn)略、規(guī)劃和預(yù)算與實(shí)體業(yè)務(wù)和戰(zhàn)略目標(biāo)保持一致計(jì)算機(jī)處理環(huán)境得到具有適當(dāng)技能和經(jīng)驗(yàn)的人員的充分支持及保證計(jì)算機(jī)處理環(huán)境中的人員接受適當(dāng)?shù)呐嘤?xùn)78信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息資源戰(zhàn)略及規(guī)劃信息系統(tǒng)的戰(zhàn)略、規(guī)劃和預(yù)算與實(shí)體業(yè)務(wù)和戰(zhàn)略目標(biāo)保持一致管理當(dāng)局制定及核準(zhǔn)信息系統(tǒng)的戰(zhàn)略與長(zhǎng)期及短期計(jì)劃，以支持實(shí)體的整體業(yè)務(wù)戰(zhàn)略和信息系統(tǒng)要求。管理當(dāng)局根據(jù)長(zhǎng)期及短期計(jì)劃監(jiān)督信息系統(tǒng)的性能79信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息資源戰(zhàn)略及規(guī)劃計(jì)算機(jī)

60、處理環(huán)境得到具有適當(dāng)技能和經(jīng)驗(yàn)的人員的充分支持及保證在聘用信息資源管理人員時(shí)應(yīng)對(duì)其作背景調(diào)查在聘用計(jì)算機(jī)處理環(huán)境的工作人員之前或評(píng)估該人員的表現(xiàn)時(shí)，應(yīng)對(duì)其職位所需的必要技能和經(jīng)驗(yàn)作清晰定義。管理當(dāng)局應(yīng)監(jiān)督計(jì)算機(jī)處理環(huán)境人員的充足性及其相關(guān)的技能與經(jīng)驗(yàn)關(guān)鍵職位應(yīng)有接任計(jì)劃和交叉培訓(xùn)應(yīng)監(jiān)督員工表現(xiàn)鑒定政策的遵循情況80信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)信息資源戰(zhàn)略及規(guī)劃計(jì)算機(jī)處理環(huán)境中的人員接受適當(dāng)?shù)呐嘤?xùn)應(yīng)基于定期的員工表現(xiàn)評(píng)估為所有計(jì)算機(jī)處理環(huán)境中的工作人員提供正式培訓(xùn)或在職培訓(xùn)；該培訓(xùn)應(yīng)由管理當(dāng)局監(jiān)督81信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)與外包供應(yīng)商的關(guān)系外包供應(yīng)商的選擇符合管理當(dāng)局的意愿外包供應(yīng)商的服務(wù)水平達(dá)到或超過管