信息系統(tǒng)審計(jì)指南(COBIT中文版)

COBIT信息技術(shù)審計(jì)指南(34個控制目標(biāo))計(jì)劃和組織(選擇3/6/11)1定義戰(zhàn)略性的信息技術(shù)規(guī)劃(PO1)PO域IT查P人員ITITIT部首席執(zhí)行官(CEO)首席運(yùn)營官(COO)首席財(cái)務(wù)官(CFO)首席信息官(CIO)規(guī)定T業(yè)務(wù)目標(biāo)的風(fēng)險：業(yè)最好實(shí)踐的戰(zhàn)略IT計(jì)劃的基準(zhǔn)IT2定義信息體系結(jié)構(gòu)(PO2)安全性程度分類P效果人員首席信息官(CIO)狀態(tài)?訪問的特定需求(也就是非披露或者保密性協(xié)議)執(zhí)行：照類似機(jī)構(gòu)或適者國際標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的信息體系結(jié)構(gòu)模型的基準(zhǔn)元素的完整性，數(shù)據(jù)字典的詳細(xì)評價3決定技術(shù)方向(PO3)價格比的變化P效果人員能力)進(jìn)行系統(tǒng)地評估。首席執(zhí)行官(CEO)首席運(yùn)營官(COO)首席財(cái)務(wù)官(CFO)首席信息官(CIO)技術(shù)基礎(chǔ)設(shè)施計(jì)劃中所描述的技術(shù)組成的技術(shù)標(biāo)準(zhǔn)是到這些變化要反映在IT體構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的技術(shù)基礎(chǔ)設(shè)施計(jì)劃整性，數(shù)據(jù)字典的詳細(xì)評價據(jù)4定義信息技術(shù)的機(jī)構(gòu)及關(guān)系(PO4)的實(shí)現(xiàn)，并規(guī)定有效的方向和適當(dāng)?shù)目刂芇人員保機(jī)構(gòu)中所有人員都具有并理解他們在相關(guān)信息系統(tǒng)中的角色和責(zé)承擔(dān)起有規(guī)律的一些活動，以增強(qiáng)這方面的意識和紀(jì)律。任，能部門(即用戶、供應(yīng)商、安全官員、風(fēng)險管理者)之間，建立并維持一個最佳首席執(zhí)行官(CEO)首席運(yùn)營官(COO)首席財(cái)務(wù)官(CFO)首席信息官(CIO)TIT關(guān)鍵位置(工作)的描述IT劃以及IT的到位和安全的角色和責(zé)任的政策存在律的有規(guī)律的活動存在存在及系統(tǒng)或者系統(tǒng)變化被執(zhí)行前的審位構(gòu)范圍內(nèi)的責(zé)任和安全管理員)被要求執(zhí)行的信息安全的責(zé)任所有者所有主要數(shù)據(jù)源和系統(tǒng)的政策和程序存在所有者變化的程序存在存在TIT職位(工作)描述的評估和再評估的政策和程序存在對于關(guān)鍵的過程，包括系統(tǒng)開發(fā)生命周期活動(需求、設(shè)計(jì)、開發(fā)、測試)、信護(hù)測試：與職位(工作)相聯(lián)系的權(quán)利和監(jiān)督的直線要與在職者的義務(wù)相稱職位(工作)描述清楚地描繪權(quán)利和責(zé)任兩者職位(工作)描述清楚地描述所需的業(yè)務(wù)、相關(guān)的和技術(shù)的資格職位(工作)已經(jīng)被精確地溝通，并由個人所理解IT職能部門的職位(工作)描述包含已經(jīng)溝通給個人的關(guān)鍵績效指標(biāo)職位(工作)描述的精確性要與這些職位在職者的當(dāng)前責(zé)任相比較T作為責(zé)任、權(quán)利和績效標(biāo)準(zhǔn)的適當(dāng)性和透明度的基礎(chǔ)，職位(工作)描述的適當(dāng)性執(zhí)行：類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的機(jī)構(gòu)和關(guān)系的基準(zhǔn)確實(shí)滿足安全(或者是邏輯的，或者是物理的，或者是兩者兼顧)需求的正在開5管理信息技術(shù)投資(PO5)意識結(jié)合P人員P應(yīng)用訪談：首席財(cái)務(wù)官(CFO)首席信息官(CIO)IT位預(yù)算類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的預(yù)算和成本的基準(zhǔn)6溝通管理的目標(biāo)和方向(PO6)P人員筑到并成為運(yùn)作的一個完整組成部分。管理層還應(yīng)監(jiān)控政策執(zhí)行的及時框保合適的程序設(shè)置到位，以判定每個人是否理解了執(zhí)行的政策和程首席執(zhí)行官(CEO)首席運(yùn)營官(COO)首席財(cái)務(wù)官(CFO)首席信息官(CIO)和程序被追隨的適當(dāng)?shù)某绦虻轿蝗螒蜆?gòu)的所有層次上被清楚地溝通和理解挑選的的部門評估日常監(jiān)控安全和內(nèi)部控制活動的程序(也就是說，例外報告、調(diào)和、比較，等等)，類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的管理的信息控制框?qū)釉谪灤C(jī)構(gòu)范圍內(nèi)培育積極的內(nèi)部控制環(huán)境承諾的虛弱的控制擇機(jī)構(gòu)的內(nèi)部控制環(huán)境，有效地溝通其政策的管理失敗向、政策和程序內(nèi)遵守的不充分的管理遵從監(jiān)控7管理人力資源(PO7)IT過程的貢獻(xiàn)實(shí)踐P人員P效率應(yīng)用選的人員員文件和人員使用標(biāo)準(zhǔn)招募和選擇人員，以填補(bǔ)公開的職位人員職位所需資格的說明書考慮適用的專業(yè)部門的相關(guān)需求員接受工作能力過程培訓(xùn)程序要與機(jī)構(gòu)的已歸檔的關(guān)于教育和包含安全問題的總體認(rèn)識的最小需求層應(yīng)承擔(dān)個人培訓(xùn)和職業(yè)發(fā)展的義務(wù)技術(shù)和管理技能的縫隙被確定，針對這些縫隙，采取適當(dāng)?shù)男袆訉τ陉P(guān)鍵的工作職能，正在進(jìn)行的交叉培訓(xùn)以及人員的備份發(fā)生強(qiáng)制的不間斷的假期政策發(fā)生安全檢查過程是適當(dāng)?shù)膯T的評估，評估以定期的方式舉行化和終止過程確保機(jī)構(gòu)資源的保護(hù)人力資源管理政策和程序與適用的法律和規(guī)章一致測試：和/或晉升行動、選擇標(biāo)準(zhǔn)反映職位需求的目標(biāo)和關(guān)聯(lián)對于他們的工作職責(zé)或者責(zé)任區(qū)域來講，人員具有運(yùn)作的足夠的知識職位(工作)描述存在，被評價并被保持是最新的育和總體認(rèn)識程序的了解的承認(rèn)書適當(dāng)?shù)娜藛T，正在進(jìn)行的培訓(xùn)和教育發(fā)生類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的人力資源管理活動確定：委屈的原因8確保遵從外部要求(PO8)P人員P遵從評價、保護(hù)和健康(包括工作環(huán)境改造學(xué))遵從問題、隱私問題、信息系統(tǒng)安全國內(nèi)或國際與電子商務(wù)使用相關(guān)的“會計(jì)標(biāo)準(zhǔn)/聲明”征稅規(guī)定?保護(hù)和健康(包括工作環(huán)境改造學(xué))如果適用的話，與所有電子貿(mào)易伙伴以及電子數(shù)據(jù)互換(EDI)賣主簽定的所有 愉快一方不能執(zhí)行合同。)保護(hù)和/或加密(例如，銀行的PIN號、稅款文件號、EDI策和程序，遵從個人的電子商務(wù)貿(mào)易伙伴合同(如果適用的話，還包括EDI賣主合同)類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的外部需求遵從性、EDI活動和保險合同要求的基準(zhǔn)校正行動已經(jīng)被采取或者正在被執(zhí)行的外部要求評價文件的詳細(xì)評價安全報告的詳細(xì)評價，以便評估是否敏感/隱私信息(是否同樣地由要么內(nèi)部程序，要么外部規(guī)章定義)正在被給予適當(dāng)?shù)陌踩兔孛鼙Ｗo(hù)機(jī)構(gòu)遵循的外部要求求評價方面，重大的未解決/未更正的行動在工作環(huán)境中不能被選擇的保護(hù)和健康(包括工作環(huán)境改造學(xué))的風(fēng)險數(shù)據(jù)流和/或位于國境外的數(shù)據(jù)流相關(guān)的秘密和安全弱點(diǎn)伴相關(guān)于通信過程、交易信息、安全和/或數(shù)據(jù)存儲的合同中的弱點(diǎn)伙伴信任關(guān)系方面的弱點(diǎn)合同條款9評估風(fēng)險(PO9)不同種類的IT風(fēng)險(技術(shù)、安全、持續(xù)性、法規(guī)等)定量和(或)定性的風(fēng)險測量P人員P*技術(shù)P設(shè)施P數(shù)據(jù)徑應(yīng)確保風(fēng)險辨識信息的分析是由被檢查區(qū)域暴露出風(fēng)險的定量和風(fēng)險行動計(jì)劃，以確保成本/效益控制和安全措施在持投資回報率 ROI生效的控制應(yīng)被優(yōu)先考慮。控制系統(tǒng)還應(yīng)平衡預(yù)防、探測、改詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：露樣將風(fēng)險管理到一個可接受水平的基礎(chǔ)標(biāo)被包含在風(fēng)險確認(rèn)的過程中變化的程序決定以及時的方式調(diào)整系統(tǒng)的風(fēng)險和暴露控和改善以及減輕控制的創(chuàng)造過程的程序識別和測量風(fēng)險、威脅和披露的正式的定量和/或定性(或兩者結(jié)合)的方法存上式的定量和/或定性的方法存在風(fēng)險評估框架按照風(fēng)險評估被有規(guī)律地更新以減少風(fēng)險到一個可接受的水平風(fēng)險評估文檔遵守風(fēng)險評估框架，并且文檔要適當(dāng)?shù)販?zhǔn)備和維持類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的風(fēng)險評估框架的基準(zhǔn)和減輕風(fēng)險到殘余風(fēng)險可接受水平的風(fēng)險評估方法的詳細(xì)評價水平的風(fēng)險和/或風(fēng)險評估中過時的信息的定量和/或定性測量/效益控制和安全測量的風(fēng)險行動計(jì)劃乏蓋10管理項(xiàng)目(PO10)位里程碑確定和階段審準(zhǔn)P人員P應(yīng)用部控制和安全符合相關(guān)的要求。(就是對于那些潛在的引起有害變化的區(qū)域或者事件，進(jìn)行辨識和控制)。軟件項(xiàng)目主計(jì)劃(SPMP)軟件質(zhì)量保證計(jì)劃(SQAP)導(dǎo)委員會會議紀(jì)要?在開發(fā)、實(shí)施或者修改項(xiàng)目的定義和授權(quán)方面，規(guī)定由受影響的用戶部門(所有者/發(fā)起者)參與管理系統(tǒng)的設(shè)計(jì)，等等)的每一個階段都被批準(zhǔn)?需要每一個項(xiàng)目具有SPMP的開發(fā)，并指定方式，以此維持貫穿項(xiàng)目生命、項(xiàng)目時間幀(里程碑)和預(yù)算的控制?遵守機(jī)構(gòu)的SPMP標(biāo)準(zhǔn)，假如不存在，要使用適當(dāng)?shù)臉?biāo)準(zhǔn)?對于每一個項(xiàng)目，需要SQAP的開發(fā)，并要確保其與SPMP的集成，由所有的涉SQAP遵守機(jī)構(gòu)的SQAP標(biāo)準(zhǔn)，假如不存在，標(biāo)準(zhǔn)選擇上述的SQAP保證任務(wù)支持新的或修改的系統(tǒng)的鑒定資格，并確保內(nèi)部控制和安全特征所有項(xiàng)目所有者/發(fā)起者都要輸入到SPMP和SQAP兩者之中，并且所有的都要同放物實(shí)施以后的過程是確保新的或者修改的信息系統(tǒng)釋放計(jì)劃好的收益的項(xiàng)目管理架的完整的一部分一致地追隨的適當(dāng)人員所溝通符合標(biāo)準(zhǔn)模板成員的責(zé)任和權(quán)利的定義被遵循義IT被獲得作為SPMP所要求的那樣，項(xiàng)目的每一個階段正在被完成并適當(dāng)?shù)睾炇餝PMP和SQAP按照項(xiàng)目管理框架開發(fā)和審批SPMP和SQAP被詳細(xì)說明并足夠有效會議”、項(xiàng)目會議、或給有目管理框架，測試計(jì)劃已經(jīng)被開發(fā)并批準(zhǔn)，并且是詳細(xì)的和足夠特效的定的強(qiáng)制活動/報告事實(shí)上已經(jīng)被執(zhí)行/產(chǎn)生職計(jì)執(zhí)行：類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的項(xiàng)目管理框架的基準(zhǔn)?所有者/發(fā)起者資源(人員和資金)的承諾序價確定：項(xiàng)目：11管理質(zhì)量(PO11)訓(xùn)及參與P人員P應(yīng)用P設(shè)施立一個質(zhì)量保證的標(biāo)準(zhǔn)的途徑，含蓋總的和具體項(xiàng)目的質(zhì)量保證活計(jì)、檢查等等)。它還應(yīng)對詳盡的質(zhì)量保證評價提出要求。況一樣。的系統(tǒng)開發(fā)生命周期方法應(yīng)包含已經(jīng)與有關(guān)員工溝通并確定的程序文檔標(biāo)機(jī)構(gòu)的系統(tǒng)開發(fā)生命周期方法應(yīng)定義環(huán)境，在此基礎(chǔ)上，新的和(或)現(xiàn)存的系特殊系統(tǒng)和應(yīng)用開發(fā)活1目標(biāo)。首席執(zhí)行官(CEO)首席信息官(CIO)劃的紀(jì)要會議紀(jì)要員會會議紀(jì)要型(和具體的評價、審計(jì)、檢查，等等)T配方法價?報告，使系統(tǒng)開發(fā)和效果建議以適當(dāng)?shù)男问浇o管理層(用戶和IT職能部門)對各種各樣的開發(fā)和維護(hù)項(xiàng)目(例如，大項(xiàng)目要比小項(xiàng)目得到更多的控制)，要測試：?與其它系統(tǒng)(內(nèi)部和外部)的接口?開發(fā)/支持目標(biāo)IT環(huán)境的資源(包括財(cái)務(wù)和人力兩者)?以明確可衡量的術(shù)語，瞄準(zhǔn)交付給客戶(無論內(nèi)部或者外部外部客戶)的服務(wù)堅(jiān)持質(zhì)量保證方法和計(jì)劃以及其它已經(jīng)建立的運(yùn)營檔完整的程序和系統(tǒng)測試結(jié)果(包括并行/穿行測試結(jié)果)被檢查并被保留用于將色理層的補(bǔ)救行動并在其上采取行動類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的系統(tǒng)開發(fā)生命周期程序和系統(tǒng)測試(包括并行/穿行測試)以及文檔被準(zhǔn)備、檢查、通過和維護(hù)的近實(shí)施/修改系統(tǒng)的效價的事情(也就是，對于小型項(xiàng)目太強(qiáng)調(diào)結(jié)構(gòu)化，而對大型項(xiàng)目則應(yīng)用不足)程序和/或系統(tǒng)測試(包括并行/穿行測試)沒有被執(zhí)行或者不適當(dāng)?shù)貓?zhí)行，和/獲取和實(shí)施(2/4)AI域1確定自動化的解決方案(AI1)機(jī)遇可行性研究(費(fèi)用、收益、可選方案，等等)P效果人員。，機(jī)構(gòu)的系統(tǒng)開發(fā)生命周期法應(yīng)規(guī)定對RFP(請求提議)的需求和說明書的評估。一個滿足已建立業(yè)務(wù)需求的可選擇方案相關(guān)聯(lián)的成本/效數(shù)據(jù)模型的關(guān)ID)不被發(fā)現(xiàn)和誤用的能力。T首席信息官(CIO)所有者/發(fā)起者通過益的分析要被執(zhí)行發(fā)起者通過T測試：令現(xiàn)有系統(tǒng)滿意并令被提議的新的或修改的系統(tǒng)滿意的用戶需求已經(jīng)被清晰地過律并解決或修改的系統(tǒng)之上的滿足用戶需求的可選擇的行動路線已要的商業(yè)軟件包已經(jīng)被適當(dāng)?shù)卮_定和考慮和全面的安全和內(nèi)部控制問題已經(jīng)被適當(dāng)?shù)卣f明的控制和計(jì)劃是足夠的管理層審批為所確定和選擇的解決方案而開發(fā)設(shè)計(jì)已經(jīng)被考慮買協(xié)議允許用戶具有拷貝程序源代碼的條款術(shù)的更新和維修要在獲取文檔中詳細(xì)說明的確認(rèn)、保護(hù)和維護(hù)的需求機(jī)構(gòu)的質(zhì)量保證職能負(fù)責(zé)由訂立合同的程序員執(zhí)行工作的檢查和簽署設(shè)施接受計(jì)劃的適當(dāng)性和完整性正在發(fā)生，包括接受程序和標(biāo)準(zhǔn)特定技術(shù)接受計(jì)劃的適當(dāng)性和完全性，包括檢查、功能測試和工作負(fù)載試驗(yàn)類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的滿足自動化解決方?安全、內(nèi)部控制(包括用戶友好設(shè)計(jì)的考慮、人類環(huán)境改造學(xué)，等等)以及審程包條款，結(jié)果是在滿足機(jī)構(gòu)的使命和/或目同條款I(lǐng)施P效果人員P應(yīng)用術(shù)。機(jī)制。明、易于使用和自我說明(借助在線幫助功能)。的系統(tǒng)開發(fā)生命周期方法應(yīng)規(guī)定，要準(zhǔn)備適當(dāng)?shù)挠脩魠⒖假Y料和支持手冊(最好是電子版的)，作為每一個信息系統(tǒng)開發(fā)或修改項(xiàng)目的一部分。生重大的技術(shù)和(或)邏輯的差異，系統(tǒng)設(shè)計(jì)必須被重新評估。首席信息官(CIO)明書一致?準(zhǔn)備足夠的用戶參考資料和支持手冊(電子版最好)作為每一個系統(tǒng)開發(fā)或修在系統(tǒng)開發(fā)生命周期過程中，用戶的參與是高的等)的過程到位決發(fā)位中入和輸出的精確性、完整性、及時性和授權(quán)內(nèi)部控制和安全需求盡可能早地包括在系統(tǒng)的概要設(shè)計(jì)中(無論是新系統(tǒng)還是正的系統(tǒng)或系統(tǒng)修改項(xiàng)目的系統(tǒng)的設(shè)計(jì)、開發(fā)和實(shí)施過程統(tǒng)設(shè)計(jì)決定是否改進(jìn)的可用性/可靠性已經(jīng)按照時間和先前方化例行公事地校驗(yàn)由軟件所執(zhí)行的任務(wù)，以幫助確保數(shù)據(jù)的完整性準(zhǔn)過過程存在料以及聯(lián)機(jī)幫助工具是可利用的構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的獲取和開發(fā)應(yīng)用軟文件)被清晰地由項(xiàng)目實(shí)施組所理解的軟件估過價構(gòu)的系統(tǒng)開發(fā)生命周期方法的不足書則不一致文件、編程、源數(shù)據(jù)選擇、輸入、用戶/機(jī)器接口、處理、輸慮可用性的新的系統(tǒng)開發(fā)或修改項(xiàng)目項(xiàng)目中，應(yīng)用編程軟件中的數(shù)據(jù)完整性的不足改項(xiàng)目上的測試計(jì)劃的不足項(xiàng)目上用戶參考資料和支持材料方面的不足系統(tǒng)補(bǔ)丁的重大技術(shù)和/或邏輯不足平臺礎(chǔ)設(shè)施的方向和標(biāo)準(zhǔn)移植計(jì)劃內(nèi)部和外部基礎(chǔ)設(shè)施和(或)資源的使用和關(guān)系本P效果人員P效率應(yīng)用IT數(shù)據(jù)庫中的程序和數(shù)據(jù)的移動。序。首席信息官(CIO)議明?在系統(tǒng)軟件引入到生產(chǎn)環(huán)境之前，其全面的測試(也就是，使用系統(tǒng)開發(fā)生命周期方法)正在發(fā)生的硬件維護(hù)(包括由IT職能部門操作的和受影響的用戶職能部門操作的兩者)的政策和程序存在，以減少性能失敗的頻率和影響在作比較的硬件維護(hù)不會對關(guān)鍵或敏感的應(yīng)用產(chǎn)生負(fù)面影響IT權(quán)；等等)被限制僅在IT職能部門內(nèi)的有限數(shù)量的操作員身上類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的硬件和軟件的獲基準(zhǔn)安全訪護(hù)在系統(tǒng)軟件的建立、安裝和維護(hù)中的弱點(diǎn)(包括選擇了不適當(dāng)?shù)南到y(tǒng)軟件的參數(shù))，這些弱點(diǎn)已經(jīng)危及存儲在系統(tǒng)中的數(shù)據(jù)和程序的安全4開發(fā)和維護(hù)程序(AI4)P人員P應(yīng)用系統(tǒng)開發(fā)生命周期方法應(yīng)確保操作需求和服務(wù)水平的及時定義能的性能統(tǒng)計(jì)和用戶關(guān)于預(yù)期的增加/減少的輸入，決定運(yùn)行需求使用歷史的性能、用戶的調(diào)整以及行業(yè)的基準(zhǔn)，決定運(yùn)作需求和服務(wù)水平在新系統(tǒng)的計(jì)劃編制中，服務(wù)水平和處理需求是完整的一個步驟操作需求到位，并要反映操作和用戶預(yù)期兩者操作性能被測量、溝通，不足之處要糾正人員和用戶要知道性能需求操作人員要有所有系統(tǒng)的操作手冊，并在他們的職責(zé)范圍內(nèi)處理所有的從應(yīng)用開發(fā)到生產(chǎn)的程序的動作要求操作手冊的更新或創(chuàng)造所有應(yīng)用的用戶培訓(xùn)手冊存在，并普遍地反映應(yīng)用的功能確定：5系統(tǒng)的安裝和鑒定(AI5)現(xiàn)P人員中，先詳細(xì)說明。系統(tǒng)的最終驗(yàn)收或質(zhì)量保證測試的一部分，程序應(yīng)規(guī)量等)進(jìn)行實(shí)施后的評價，以評估系統(tǒng)是否滿足用戶的需求。首席信息官(CIO)同報告的報告與系統(tǒng)開發(fā)生命周期過程相關(guān)的政策和程序存在述分階段的方法：培訓(xùn)、性能尺寸、轉(zhuǎn)換計(jì)劃、程序測試、程序(單位)和全部準(zhǔn)決的問題的解決正在發(fā)生用戶培訓(xùn)的正式計(jì)劃已經(jīng)被包括在所有新系統(tǒng)的開發(fā)努力中職員意識到并理解正式的系統(tǒng)開發(fā)控制的需要以及每一個開發(fā)的安裝和實(shí)施的性類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的系統(tǒng)安裝和鑒定合中?程序、單位、系統(tǒng)(包括并行或原型)、轉(zhuǎn)換、實(shí)施以及實(shí)施后的評價的測試6管理變更(AI6)化P人員P應(yīng)用P設(shè)施P數(shù)據(jù)。IT應(yīng)確保不管系統(tǒng)變更何時實(shí)施，其相關(guān)的文檔和程序也要被相應(yīng)地更計(jì)痕跡。首席信息官(CIO)理層來自用戶區(qū)分優(yōu)先順序的系統(tǒng)變更申請的方法存在并在使用被說明都是正式的程序變化都被解決及時性和成本感到滿意電話交換機(jī)(PBX)系統(tǒng)的維護(hù)包含在變更控制程序中T序業(yè)務(wù)目標(biāo)的風(fēng)險：構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的變更控制管理的基準(zhǔn)?當(dāng)前的庫(源和目標(biāo))反映最近的變更交付和支持(DS域)1定義和管理服務(wù)水平(DS1)解益分析P人員P應(yīng)用持續(xù)性計(jì)劃、安全、交付系統(tǒng)功能最小可接受的滿意水平、限制(在工作量上的限制)、服務(wù)收費(fèi)、中心打印設(shè)施(可能)、中心打印件分發(fā)和更改程序。用戶續(xù)性計(jì)劃編制、安全、交付的系統(tǒng)功能最小可接受的滿意水平、限制(在工作量應(yīng)有一個程序，以確保履行管理所有各方關(guān)系(如，非披露協(xié)議)的方式和責(zé)任詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：首席信息官(CIO)平協(xié)議過程由政策所確定對創(chuàng)造和修改協(xié)議來講，要求用戶參與這一過程性能標(biāo)準(zhǔn)的實(shí)現(xiàn)以及遭遇到的所有問題測試：到位管理層適當(dāng)?shù)厥褂?，確保采取糾正行動類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的服務(wù)水平協(xié)議的基準(zhǔn)2管理第三方服務(wù)(DS2)效性，以及遵從機(jī)構(gòu)政策的評價和監(jiān)控的控制措施P人員P應(yīng)用在選擇之前，管理層應(yīng)通過對提供所需服務(wù)能力的評估(應(yīng)有的勤奮)，來認(rèn)證首席信息官(CIO)意外事故計(jì)劃和外包前第三方關(guān)系的清單和與每一個第三方相聯(lián)系的實(shí)際合同和服務(wù)相聯(lián)系的服務(wù)水平報告的秘密協(xié)議特性文件和資源的安全訪問清單合同清單、到位的實(shí)際合同是準(zhǔn)確的合同清單中的供應(yīng)商不提供服務(wù)在合同中的供應(yīng)商實(shí)際上正在執(zhí)行所定義的服務(wù)商管理層/所有者理解合同中的責(zé)任維護(hù)、監(jiān)控和重新談判的責(zé)任的政策存在整的第三方供應(yīng)商關(guān)系的記錄及提供服務(wù)的合同性存在正在發(fā)生管理和控制到最小化的賣主使用義務(wù)相比較望的所需的性能水平發(fā)生釋放所需服務(wù)能力的評估報告存在當(dāng)前口要在合同中制成文檔要覆蓋與程控交換機(jī)(PBX)供應(yīng)商的合同執(zhí)行：類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的第三方服務(wù)的基準(zhǔn)量的規(guī)定的每一個第三方合同的詳細(xì)評價被定義信息服務(wù)的提供者和用戶之間的協(xié)調(diào)和溝通擇合同服務(wù)的費(fèi)用賣主的機(jī)構(gòu)聯(lián)絡(luò)確保服務(wù)的當(dāng)事人和用戶之間合同問題的溝通的合同求或者修改關(guān)系的要求務(wù)3管理性能和容量(DS3)價格比變化P效果人員P應(yīng)用理的程序應(yīng)包括預(yù)測容量，使問題在影響系統(tǒng)性能之前就能夠被糾正過配機(jī)制，管理層應(yīng)防止資源難以獲得的情況發(fā)生。檔T求能改進(jìn)的工作負(fù)載預(yù)測包括來自用戶變化需求以及來自供應(yīng)商在新技術(shù)或當(dāng)前產(chǎn)品改進(jìn)求的機(jī)遇步升級的程序存在，被追隨，在解決問題方面是適當(dāng)?shù)陌Q定將來成長和性能預(yù)期變化的標(biāo)準(zhǔn)類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的性能和容量管理的解決過程的效果4確保持續(xù)的服務(wù)(DS4)小續(xù)性計(jì)劃及相關(guān)業(yè)務(wù)需求的ITP人員P數(shù)據(jù)災(zāi)難發(fā)生前的狀態(tài)程序持續(xù)性方法應(yīng)確保用戶部門建立一個可選擇的處理程序，這個程序可以一直使計(jì)劃的最近的測試結(jié)果生時決定應(yīng)用優(yōu)先順序的方法任義最新的，并被所有受影響的當(dāng)事人所理解培訓(xùn)已經(jīng)提供給所有涉及的當(dāng)事人已經(jīng)被跟隨T業(yè)務(wù)目標(biāo)的風(fēng)險：執(zhí)行：類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的持續(xù)性計(jì)劃的基準(zhǔn)?特定應(yīng)用的供給，確保非現(xiàn)場位置上有足夠的存貨(也就是說，磁帶、檢查托節(jié)同能5確保系統(tǒng)安全(DS5)P*技術(shù)P設(shè)施查正常的活動，也要以及時的方式對非正常的活動進(jìn)行報警。、，應(yīng)防止服務(wù)拒絕的攻擊。護(hù)用于身份鑒別或財(cái)務(wù)存儲或儲存其它敏感信息的所有卡片或者類詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：相關(guān)的政策和程序、法律和規(guī)章團(tuán)體的信息系統(tǒng)安全需求(也就是說，法律、規(guī)章、指南、行業(yè)標(biāo)準(zhǔn))，?IT資源(也就是說，調(diào)治解調(diào)器、電話線和遠(yuǎn)程終端)物理訪問點(diǎn)的清段和示告系統(tǒng)資源的集中的安全機(jī)構(gòu)到位和評價雇員的教導(dǎo)包括安全意識、所有者的責(zé)任以及病毒保護(hù)的需求?未授權(quán)的訪問系統(tǒng)的企圖(簽約)?授權(quán)的資源訪問(選擇用戶或資源)動致?證明數(shù)據(jù)的專一使用(也就是說，口令永遠(yuǎn)不能是再度使用的)?多重證明(也就是說，兩個或兩個以上不同的證明機(jī)制被使用)?基于證明的政策(也就是說，為具體的事件指定單獨(dú)的證明程序的能力)?按需要求的證明(也就是說，初始證明之后，不時重新證明用戶的能力)制聲音郵件服務(wù)和PBX系統(tǒng)的訪問用與計(jì)算機(jī)系統(tǒng)相同的物理和邏輯控制而控制ID被暫停使立?卡信息(PIN和其它信息)被保護(hù)以防止內(nèi)部人員的披露測試：外部訪問系統(tǒng)資源的程序存在，也就是說，登錄、ID、口令、回?fù)苡谫u主和當(dāng)?shù)氐臉?biāo)準(zhǔn)考慮存在確和管理響應(yīng)的安全報告正在發(fā)生鑰存在?非常關(guān)鍵應(yīng)用的軟件要由MAC(消息證明碼)或數(shù)字簽名保護(hù)，檢驗(yàn)防止軟件的程序)進(jìn)行掃描執(zhí)行：類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的信息系統(tǒng)安全的基準(zhǔn)估地評價的用戶的訪談，用戶訪問少的訪問點(diǎn)、缺少的附件等等相關(guān)的詳細(xì)目錄的矛盾員系統(tǒng)資源的請求全違背進(jìn)行報警的網(wǎng)絡(luò)監(jiān)控軟件序中，不使用秘密密鑰存檔和保護(hù)的協(xié)議中的不足6確認(rèn)和分配成本(DS6)路線：程P應(yīng)用P可靠層IT序類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的成本會計(jì)和返款方配算法并深入到用戶報告流之中，將來自原始數(shù)據(jù)的返款再計(jì)算?DASD的使用的一致性檢查于已支出的成本信息?依照可選擇的來源(也就是基準(zhǔn))的返款的合理性IT的效率修改的T7教育與培訓(xùn)用戶(DS7)P人員培訓(xùn)教師或是第三方培訓(xùn)教師等)。培訓(xùn)經(jīng)理序與正在進(jìn)行的安全和控制認(rèn)識相關(guān)的政策和程序存在統(tǒng)安全和控制原則上的教育/培訓(xùn)程序測試：通在8幫助及向客戶提建議(DS8)幫助桌面”設(shè)備P人員P應(yīng)用與“幫助工作臺”活動相關(guān)的政策和程序是當(dāng)前的和精確的水平的委托正在被保持，不一致被解釋清除正在以及時的方式發(fā)生價價9管理配置(DS9)系和集成P效果人員保持對配置變更(如，新的條款、從開發(fā)到原型的狀態(tài)變化)的追蹤。日志和控ITT(庫)。這些區(qū)域應(yīng)彼此分離，開發(fā)、測試和生產(chǎn)文件存儲區(qū)域要彼此隔離。并作為輸入提供給IT本號、創(chuàng)建日期信息和以前版本的拷貝。詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：告行儲區(qū)域(庫)生有的配置條款都在底線控制之下與配置報告相關(guān)的政策和程序是當(dāng)前的和精確的維護(hù)和報告的性能標(biāo)準(zhǔn)被遵守配置底線依照設(shè)備的物理詳細(xì)目錄和資產(chǎn)的會計(jì)記錄的比較正在發(fā)生產(chǎn)轉(zhuǎn)移和變更記錄的存在化?潛在義務(wù)的培訓(xùn)和認(rèn)識(法律和產(chǎn)品)的詳細(xì)評價錄中，各種不同庫的計(jì)算機(jī)化軟件的分析足10管理問題和事件(DS10)止再現(xiàn)題管理系統(tǒng)決P人員P應(yīng)用 用)、解決的日期以重大的問題，要產(chǎn)生事件報告中，認(rèn)識到但沒能解決的問題的出現(xiàn)事件之間的差異11管理數(shù)據(jù)(DS11)性P完整設(shè)施P可靠程序應(yīng)確保適當(dāng)?shù)母驴刂?，如RUN-TO-RUN控鍵總計(jì)和主文件更新控制。儲值卡)是輸出的接受者，應(yīng)采取特殊的關(guān)注以防止誤用。應(yīng)定義文檔、數(shù)據(jù)、程序、報告和信息(輸入和輸出)的保留周期和存儲期限，用于加密及身份鑒別的數(shù)據(jù)(密鑰、證書)也同樣需要定義。識及物理移動和存儲的控制來講，應(yīng)當(dāng)定義標(biāo)準(zhǔn)，以支持問責(zé)制。介質(zhì)(磁帶、IT人員。文檔、傳真，還是電子郵件，其真實(shí)性和完整性都要得到充分檢查。原子性(不可分割的工作單元，所有行動要么全部成功要么全部失敗)一致性(如果交易不能達(dá)到穩(wěn)定的結(jié)束狀態(tài)，則系統(tǒng)必須恢復(fù)到初始的狀態(tài))孤立性(一個交易的行為不受其它并發(fā)交易的影響)。?機(jī)構(gòu)用來保留源文檔(存檔、成像等等)的方法，什么樣的文檔應(yīng)該保留，法?用于防止(手工和程序手段)、發(fā)現(xiàn)和糾正差錯的方法生?程序必須測試輸入的差錯(也就是說，檢驗(yàn)和編輯)跡存在方案一樣被準(zhǔn)確地處理輯地限制在授權(quán)的人員評價正在發(fā)生和中斷數(shù)據(jù)的調(diào)解，包含在輸出中的差錯由有認(rèn)識能力的人員所控制的安全問題的清晰的定義存在清晰地定義處理之后就不在需要媒介都要存儲在非現(xiàn)場的位置被改變是在它不再被檢索的這種方式下介質(zhì)庫：詳細(xì)目錄庫中的磁介質(zhì)的完整性文檔、數(shù)據(jù)、程序、報告和信息(進(jìn)來的和出去的)同用于這些數(shù)據(jù)的加密和鑒定的數(shù)據(jù)(密鑰、證書)一樣，其保留期和存儲條款被定義整性：的完整性被定期地檢查一個預(yù)先安排的方法用于來源鑒定以及通過傳真或圖象系統(tǒng)接收的交易請求內(nèi)致性是顯然的，數(shù)據(jù)錄入本身是及時的并理解數(shù)據(jù)準(zhǔn)備控制需求提交測試數(shù)據(jù)(好的和錯誤的交易類型兩者都有)，確保準(zhǔn)確性、完整性和授權(quán)提交測試數(shù)據(jù)(好的和錯誤的交易類型兩者都有)，確保數(shù)據(jù)處理的檢驗(yàn)、鑒別樣輸和運(yùn)輸期間，對敏感信息的適當(dāng)?shù)谋Ｗo(hù)存在動遵從已經(jīng)建立的政策和控制的措施被采取內(nèi)務(wù)處理程序存在，并正在適當(dāng)?shù)匦惺孤氊?zé)地分配、處理和輸出的職能部門適當(dāng)?shù)牡膫浞菡谶m當(dāng)?shù)匕l(fā)生全的，詳細(xì)懂得存貨目錄是當(dāng)前的求和成本效果留期限和存儲的條款是適當(dāng)?shù)腻e誤地址信息的風(fēng)險(通過信件、傳真或電子郵件)由適當(dāng)?shù)某绦蛩徑鈽I(yè)務(wù)目標(biāo)的風(fēng)險：構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的數(shù)據(jù)管理的基準(zhǔn)性?敏感的輸入和輸出表格(也就是說，空白支票、空白證書)沒有被保護(hù)12管理設(shè)施(DS12)IT裝P設(shè)施P可用數(shù)據(jù)而且要關(guān)注用于連接系統(tǒng)各部件的配線的位置、支持服務(wù)(如電源)、備份介質(zhì)為了抵御環(huán)境因素(如，火災(zāi)、灰塵、動力、過熱或過濕)的破壞，IT管理層應(yīng)詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：、固定資產(chǎn)詳細(xì)目錄以及資本獲得/出租相關(guān)的關(guān)于IT資源(設(shè)備和設(shè)施)性能預(yù)期的性能、容量和服務(wù)水平協(xié)議的清單，包括、注冊、臨時需要經(jīng)過、對所有的人都是適當(dāng)?shù)牡貏e針對方面的訪問和授權(quán)政策是適當(dāng)?shù)亩ㄆ诤驼谶M(jìn)行的訪問生安全和訪問控制措施包括可移動的和/或非現(xiàn)場的使用的?報警優(yōu)先順序的定義(也就是說，從風(fēng)吹門開到各點(diǎn)的武裝投彈手)?不間斷電源(UPS)測試：認(rèn)識到并理解安全和保護(hù)控制的需要序存在——通過觀察認(rèn)問休假的差異被報告儲藏管理報告的訪問控制的審計(jì)痕跡存在何過去的緊急情況或同樣的文檔被追蹤雇員整性檢查正在發(fā)生輯過程控制的訪問變更的過程正在進(jìn)行并廣為人知能被不適當(dāng)?shù)馗淖冃晕募u價——用戶和所涉及設(shè)施——被形成文檔構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的設(shè)施管理的基準(zhǔn)和安全裝置進(jìn)行比較所有的鎖