CISA個(gè)人考試學(xué)習(xí)筆記

說(shuō)明：黃色背景需要特別關(guān)注，紅色字體非常重要，紅黃在一起的話，呵呵，大家就自己考慮吧，呵呵這個(gè)筆記是我在得知考試分?jǐn)?shù)后進(jìn)行整理的，應(yīng)該還是具有點(diǎn)參考價(jià)值的，整理時(shí)間2023年2月6日個(gè)人考試心得（10月1號(hào)開(kāi)始學(xué)習(xí)，12月8號(hào)參加考試，2023年2月1號(hào)成績(jī)出來(lái)，得分582分）：有可能的話最好參加相關(guān)的培訓(xùn)，5天的培訓(xùn)不會(huì)給你多少實(shí)質(zhì)的提高，但最關(guān)鍵的是能給你一個(gè)學(xué)習(xí)的思路；而且在培訓(xùn)的時(shí)候，有不懂的問(wèn)題可以問(wèn)老師；如果你不是做IT出身的，最好惡補(bǔ)一下IT知識(shí)，CISA對(duì)IT方面的知識(shí)還是有些要求的；對(duì)于IT出身的人，學(xué)CISA特別要注意：要以審計(jì)師的視角來(lái)學(xué)習(xí)以及看待題目，組織內(nèi)部的項(xiàng)目審計(jì)師的角色審計(jì)師是不具體解決問(wèn)題的，但是要發(fā)現(xiàn)問(wèn)題；最好能聽(tīng)兩次培訓(xùn)，現(xiàn)在的培訓(xùn)只要繳費(fèi)后，可以不限次數(shù)重聽(tīng)；培訓(xùn)前先把書(shū)看一遍，要每個(gè)字都要看，不論能不能看懂，至少能有個(gè)映像；不要急于做題目，我的做法是：先把書(shū)看一遍（我花了3周左右的時(shí)間）——參加培訓(xùn)（做好筆記）——再把書(shū)看一遍（我花了將近2周左右的時(shí)間）——開(kāi)始做題目——參加培訓(xùn)（補(bǔ)充上次培訓(xùn)的筆記）——把書(shū)再看一遍（最好在一周左右的時(shí)間，這個(gè)我沒(méi)做到）——開(kāi)始做題目，大量的做(我大概做了4000道左右)——參加考試（我拿到582分，自己覺(jué)得比較滿意）基本上每天花3到4個(gè)小時(shí)的時(shí)間就可以了，考試前兩天，有條件的話最好在家里整理和復(fù)習(xí)一下自己所學(xué)的；重視QQ群的動(dòng)態(tài)，群里面很多朋友和前輩，可以學(xué)到很多的；最關(guān)鍵的是，一定要參加考前輔導(dǎo)，這個(gè)是免費(fèi)的，但是內(nèi)容卻是非常關(guān)鍵的?。。〉谝徽滦畔⑾到y(tǒng)審計(jì)過(guò)程*IS審計(jì)是基于風(fēng)險(xiǎn)的審計(jì)；*保持審計(jì)獨(dú)立性和勝任能力,確保審計(jì)小組所實(shí)施完成的審計(jì)任務(wù)能滿足審計(jì)職能的目標(biāo)要求觀*風(fēng)險(xiǎn)分晝析是審計(jì)計(jì)茅劃的一部分祝，幫助IS嚼審計(jì)師識(shí)別苗風(fēng)險(xiǎn)和脆弱貧性并確定降蝴低風(fēng)險(xiǎn)所需覆的控制皆*要以審悠計(jì)師的視角電來(lái)學(xué)習(xí)以及派看待題目國(guó)，組織內(nèi)部腳的項(xiàng)目審計(jì)池師的角色與；均*第一方橡審計(jì)：自查板——爛報(bào)告給自己引高層捷*第二方竿審計(jì)：甲方評(píng)審乙方匯*第三方慨審計(jì)：外審賊——惡報(bào)告給公眾塊或相關(guān)機(jī)構(gòu)案*按照I咱T審計(jì)標(biāo)準(zhǔn)升制定并實(shí)施責(zé)基于風(fēng)險(xiǎn)的遇IT審計(jì)戰(zhàn)份略堂*內(nèi)審首野先需要建立鴿審計(jì)章程；問(wèn)外審首先需犬要合同以及梯委托書(shū)；占*審計(jì)章券程或委托書(shū)耽應(yīng)在組織內(nèi)稍部適當(dāng)?shù)膶臃蚀蔚玫酵怵^和通過(guò)，一鑄旦創(chuàng)立，就券只有在非常費(fèi)必要、并經(jīng)君過(guò)充分的論夾證后才允許筒變更審計(jì)章斯程；豬*審計(jì)章熟程涵蓋整個(gè)握范圍的審計(jì)浙活動(dòng)；合同腥側(cè)重于特定請(qǐng)的審計(jì)任務(wù)摟；忽*信息系謠統(tǒng)審計(jì)的最處重要的資源圈是：審計(jì)師罵*IS審指計(jì)師應(yīng)有合員格的職業(yè)能狼力，具備進(jìn)鋤行審計(jì)工作跳的相應(yīng)知識(shí)挎；IS審計(jì)夫師應(yīng)持續(xù)保誕持職業(yè)教育文和培訓(xùn)，保規(guī)持良好的職沸業(yè)能力；躺*在制定暮審計(jì)計(jì)劃時(shí)扮，要通過(guò)風(fēng)虜險(xiǎn)符評(píng)估禮，確認(rèn)高風(fēng)喉險(xiǎn)區(qū)域，衣找到審計(jì)的陪重點(diǎn)范圍，乳合理分配審暢計(jì)資源；善*信息系插統(tǒng)審計(jì)師常擱常關(guān)注高風(fēng)旗險(xiǎn)的問(wèn)題，鞋如敏感和重唱要信息的機(jī)膚密性、可用輪性、完整性楊以及生成、躲存儲(chǔ)和處理滲這些信息的薪系統(tǒng)及流程難等。在檢查驟這類風(fēng)險(xiǎn)時(shí)邀，信息系統(tǒng)嬸審計(jì)師常常瀉對(duì)組織所使欣用的風(fēng)險(xiǎn)管鋤理過(guò)程的有露效性進(jìn)行評(píng)唱估。攻*風(fēng)險(xiǎn)管誕理首要任務(wù)廁是識(shí)別出敏具感或關(guān)鍵的倆信息資產(chǎn)；旨然后實(shí)施風(fēng)牲險(xiǎn)評(píng)估來(lái)識(shí)受別威脅并確唉定其發(fā)生頻貌率、所導(dǎo)致惠的影響以及包將風(fēng)險(xiǎn)降低坐至管理層可活接受水平的閉相應(yīng)安全措撥施；段*為保持氧其有效性，獨(dú)風(fēng)險(xiǎn)評(píng)估過(guò)揭程應(yīng)當(dāng)在組體織中持續(xù)進(jìn)浪行，以致力乏于及時(shí)發(fā)現(xiàn)殃和評(píng)估新出雙現(xiàn)的風(fēng)險(xiǎn)。掙*內(nèi)部控衫制通常由能超夠降低組織放風(fēng)險(xiǎn)的政策宜、規(guī)程、實(shí)港務(wù)和組織結(jié)垮構(gòu)組成；脹*內(nèi)部控氏制的設(shè)計(jì)是蹄為管理層提綱供風(fēng)險(xiǎn)事件尼能夠被預(yù)防角、檢測(cè)和糾儲(chǔ)正，業(yè)務(wù)目金標(biāo)能夠達(dá)成而的合理保證吐。錫*實(shí)施有備效的IS逝審計(jì)的第一雖步是審計(jì)計(jì)災(zāi)劃；發(fā)*長(zhǎng)期審彩計(jì)計(jì)劃與企戰(zhàn)業(yè)的業(yè)務(wù)與催發(fā)展有關(guān)，種一般為3到顏5年的期間丈；裁*每年都舞需要對(duì)長(zhǎng)、屑短期審計(jì)計(jì)結(jié)劃進(jìn)行分析趕；些*象無(wú)論長(zhǎng)期短石期規(guī)劃每年筍都必須分析紀(jì)、調(diào)整；在獄環(huán)境有重大暴變化時(shí)也必宴須分析調(diào)整胃*睬證據(jù)的優(yōu)先鉗級(jí)：審計(jì)師龍自己收集乒>第三方提醋供縮>被審計(jì)方蚊提供僻（銀行函證投例外）屋*制定審敗計(jì)計(jì)劃的步仇驟：宴1、了什解組織業(yè)務(wù)絮使命、目標(biāo)沾、目的和流驗(yàn)程的了解，充包括信息和恒處理要求：叉對(duì)組織關(guān)鍵燭設(shè)施現(xiàn)場(chǎng)巡枕視；收集閱輪讀組織背景團(tuán)資料；檢查禽長(zhǎng)期戰(zhàn)略計(jì)泰劃；與管理車人員會(huì)談偏；審閱以前橫的餓審計(jì)報(bào)錘告；障2、草找出規(guī)定內(nèi)就容，如：政結(jié)策、標(biāo)準(zhǔn)和匯作業(yè)指導(dǎo)書(shū)中、程序和組巨織結(jié)構(gòu)；田3、評(píng)戚價(jià)管理層實(shí)胖施的風(fēng)險(xiǎn)評(píng)酒估和隱私保紋護(hù)影響分析精；層4、實(shí)以施風(fēng)險(xiǎn)分析芝，找出高風(fēng)市險(xiǎn)區(qū)域調(diào)—腥重點(diǎn)檢查對(duì)站象；浪5、執(zhí)者行內(nèi)部控制口檢查（針對(duì)圾風(fēng)險(xiǎn)檢查）庸；秧6、確斃定審計(jì)范圍標(biāo)和審計(jì)目標(biāo)至；蘿7、確甘定審計(jì)方法斗或?qū)徲?jì)戰(zhàn)略胞；濾8、為刊審計(jì)任務(wù)和忙其后勤支援艙分配人力資蛙源疾*需要遵播守相關(guān)的法暢律法規(guī)：被叨審計(jì)方、審棚計(jì)師；垮*法律法慮規(guī)的合規(guī)性鑄：識(shí)別政府拆或相關(guān)外部瞎要求的法律墻法規(guī)粱——萬(wàn)記錄相關(guān)法您律法規(guī)竄——閑評(píng)估被審計(jì)騾方在制定計(jì)鋸劃或設(shè)定策界略時(shí)是否考解慮相關(guān)的法誦律法規(guī)劇——柿制度的執(zhí)行劍流程以及保粘障（文檔及碰程序）聞——古執(zhí)行結(jié)果漫*信息系貼統(tǒng)審計(jì)是指殖審計(jì)內(nèi)容中騾包含了對(duì)自贈(zèng)動(dòng)化信息處碼理系統(tǒng)、相觀關(guān)手工流程峰及兩者間接堂口進(jìn)行全部衛(wèi)或部分檢查判及評(píng)價(jià)的任千何審計(jì)奇*審計(jì)程轉(zhuǎn)序包括確定棗審計(jì)范圍、塘說(shuō)明審計(jì)目智標(biāo)、找出審原計(jì)標(biāo)準(zhǔn)、執(zhí)仰行審計(jì)步驟稼、檢查和評(píng)翠估證據(jù)、形達(dá)成審計(jì)結(jié)論槽和意見(jiàn)、與券關(guān)鍵流程所裂有人討論后蛙報(bào)告管理層卸*審計(jì)方枯法是指：為幕實(shí)現(xiàn)預(yù)定的田審計(jì)目標(biāo)而顯設(shè)計(jì)的一系灣列書(shū)面審計(jì)艦程序，其內(nèi)單容包括審計(jì)莊范圍、審計(jì)辭目標(biāo)和審計(jì)新步驟；慢*審計(jì)方盾法應(yīng)當(dāng)由審既計(jì)管理層制態(tài)定和批準(zhǔn)并正保持一致性隨。儲(chǔ)*ISA稻CA信息系信統(tǒng)審計(jì)準(zhǔn)則赤：裳譽(yù)職業(yè)道德規(guī)景范舌：必須遵守姓如信息系統(tǒng)審緞?dòng)?jì)標(biāo)準(zhǔn)經(jīng)：強(qiáng)制必須謠遵守，不可所偏離宮景信息系統(tǒng)審咸計(jì)指南納：在有合理伯解釋的前提具下可以調(diào)整能和偏離歪撐信息系統(tǒng)饅審計(jì)工具和敏技術(shù)：根據(jù)耐實(shí)際情況作涉出自己的職血業(yè)判斷跪*審計(jì)計(jì)徑劃步驟：禾1、計(jì)稱劃審計(jì)綱要筍；弦2、以墊書(shū)面形式記扁錄一份基于雀風(fēng)險(xiǎn)評(píng)估的督審計(jì)方法；寬3、以更書(shū)面形式記氣錄一份審計(jì)覆計(jì)劃書(shū)，詳里述審計(jì)目標(biāo)橋、性質(zhì)、時(shí)扮間、范圍以采及所需相關(guān)絹資源；鍋4、以炒書(shū)面形式起筒草審計(jì)計(jì)劃太和審計(jì)程序沃*信息系紅統(tǒng)審計(jì)人員封應(yīng)該得到監(jiān)蟲(chóng)督，合理保翼證其審計(jì)目?jī)魳?biāo)的完成，啄并且符合審禾計(jì)職業(yè)標(biāo)準(zhǔn)內(nèi)；艇*審計(jì)工蒼作中收集證須據(jù)的工作量封最大；通過(guò)促證據(jù)評(píng)估結(jié)嬌論最困難；帥*信息系留統(tǒng)審計(jì)師必憤須擁有足夠璃的、恰當(dāng)?shù)膮f(xié)審計(jì)證據(jù)來(lái)臉解釋報(bào)告中若的審計(jì)結(jié)果績(jī)；響*在報(bào)告降審計(jì)發(fā)現(xiàn)和宵建議后，審顆計(jì)師必須持蝴續(xù)跟進(jìn)后續(xù)莫審計(jì)結(jié)果；爸*審計(jì)最叛終目的：A莫&A(Au世dit&膨Assu煩rance酸)審計(jì)及保腸證巾*審計(jì)實(shí)放質(zhì)性（重要銅性）==閥是值取*審計(jì)實(shí)昨質(zhì)性（重要搶性）越低，斑需要投入的粘資源越大；曲審計(jì)實(shí)質(zhì)性您（重要性）闊越高，需要兔投入的資源抗越小；薯*ITA秋F（信息技堆術(shù)保證框架局）包括：世1、一撓般準(zhǔn)則：通芒用準(zhǔn)則，所久有審計(jì)都須爐遵守；已2、執(zhí)銜行準(zhǔn)則：在么實(shí)施審計(jì)中貼的要求幫3、報(bào)歪告準(zhǔn)則魂（績(jī)效準(zhǔn)則座）社4、指燒南幕5、工欣具和技術(shù)債*目標(biāo)-灘>風(fēng)險(xiǎn)->麻控制->審弓計(jì)色*冬風(fēng)險(xiǎn)是特定哪的威脅，利摩用資產(chǎn)的脆傾弱性從而對(duì)嫩組織造成的口一種潛在的進(jìn)損害；它通煤過(guò)使用資產(chǎn)充和價(jià)值損失筐的概念把風(fēng)蒙險(xiǎn)放在了組吹織的業(yè)務(wù)環(huán)呈境中。憑*業(yè)務(wù)風(fēng)侮險(xiǎn)是指那些瓣可能對(duì)資產(chǎn)蔽、流程、具部體業(yè)務(wù)或組巨織目標(biāo)造成亂負(fù)面影響的彎威脅。犯*風(fēng)險(xiǎn)的蜘三個(gè)要素：圣威脅、脆弱陳性、資產(chǎn)（掏價(jià)值）；其輸中應(yīng)該首先許評(píng)估資產(chǎn)；坐*以年為續(xù)單位評(píng)估風(fēng)華險(xiǎn)果——原基于成本效櫻益原則（財(cái)汪務(wù)以年結(jié)算嘗）配*風(fēng)險(xiǎn)評(píng)微估：識(shí)別風(fēng)胳險(xiǎn)平*風(fēng)險(xiǎn)管籠理：消滅、鏈控制風(fēng)險(xiǎn)松*風(fēng)險(xiǎn)評(píng)雕估首先識(shí)別簡(jiǎn)敏感或關(guān)鍵習(xí)信息資產(chǎn)；縫*風(fēng)險(xiǎn)評(píng)街估的最終目版標(biāo)：將風(fēng)險(xiǎn)闊降低至管理老層可接受水棒平的相應(yīng)安哄全措施；巴*高風(fēng)險(xiǎn)碌==高發(fā)展糾、高收益削*墻風(fēng)險(xiǎn)控制弟（植風(fēng)險(xiǎn)消減的蜂措施芒）驟：門(mén)1、預(yù)漁防：避免或醬減少風(fēng)險(xiǎn)事尸件發(fā)生的可英能性；禍2、檢卷查：發(fā)現(xiàn)不贏良事件的發(fā)謎生；棉3、糾安正：減小影垃響鞠向別的旬組織轉(zhuǎn)移風(fēng)尾險(xiǎn)旁*控制分遵為（書(shū)中）躍：鎖預(yù)防性疫：在問(wèn)題發(fā)銳生前預(yù)防，久監(jiān)控運(yùn)營(yíng)和俊輸入；職責(zé)凍分離、控制雀對(duì)物理設(shè)施補(bǔ)的訪問(wèn)、良辰好設(shè)計(jì)的文教檔、建立交西易授權(quán)的適摔當(dāng)流程、編旅輯檢查、訪鏡問(wèn)控制軟件師、加密軟件頁(yè)檢測(cè)性支：使用控制欄措施來(lái)檢查逐和報(bào)告已發(fā)叫生的錯(cuò)誤；齡哈希、檢查據(jù)點(diǎn)、通訊回罷顯控制小糾正性舅：糾正問(wèn)題匪引起的錯(cuò)誤莖，把威脅影做響降到最小復(fù)；BCP、俱備份、DR限P圈*六審計(jì)風(fēng)險(xiǎn)偶：審計(jì)過(guò)程膽中未發(fā)現(xiàn)信進(jìn)息可能存在愁的重大錯(cuò)誤誕的風(fēng)險(xiǎn)；審?fù)?jì)風(fēng)險(xiǎn)包括旗（固有風(fēng)險(xiǎn)光、控制風(fēng)險(xiǎn)軌、檢測(cè)風(fēng)險(xiǎn)截、整體審計(jì)該風(fēng)險(xiǎn)）睡*依固有風(fēng)險(xiǎn)諒：審計(jì)過(guò)程鳥(niǎo)中遇到的，由在假定不存腸在相關(guān)補(bǔ)償傅控制的情況夠下，當(dāng)與其福他錯(cuò)誤相結(jié)遵合時(shí)會(huì)導(dǎo)致癥重大錯(cuò)誤的啟風(fēng)險(xiǎn)；也可折以定義為：窗在不存在相對(duì)關(guān)控制的情并況下，易于僑導(dǎo)致重大錯(cuò)臭誤的風(fēng)險(xiǎn)；邊是由于業(yè)務(wù)骨性質(zhì)所導(dǎo)致桶的，在審計(jì)凝中獨(dú)立存在?。◤?fù)雜計(jì)算亮比簡(jiǎn)單計(jì)算漸更容易出錯(cuò)濾）逆*所有審刷計(jì)項(xiàng)目的基嘴本目標(biāo)之一剪都是確定控叼制目標(biāo)及針蛾對(duì)這些目標(biāo)螺的相關(guān)控制谷。并找出關(guān)葬鍵控制點(diǎn)。犬*控制風(fēng)踢險(xiǎn)：內(nèi)部控洲制體系不能跑及時(shí)預(yù)防或醬檢測(cè)出存在閘的重大錯(cuò)誤睡的風(fēng)險(xiǎn)（手昆工檢查計(jì)算今機(jī)日志的相雕關(guān)檢查風(fēng)險(xiǎn)跨很高）禮*檢測(cè)風(fēng)初險(xiǎn)：信息系緩統(tǒng)審計(jì)師由瓶于采用了不牌恰當(dāng)?shù)臏y(cè)試政程序，對(duì)實(shí)辰際存在的重鞭大錯(cuò)誤得出啊錯(cuò)誤結(jié)論的盯風(fēng)險(xiǎn)。（識(shí)足別檢測(cè)風(fēng)險(xiǎn)揚(yáng)能更好的評(píng)乘價(jià)審計(jì)師的叢能力）尖*整體審?fù)τ?jì)風(fēng)險(xiǎn)：對(duì)快每一個(gè)具體漁控制目標(biāo)所芝評(píng)估出的各孝類審計(jì)風(fēng)險(xiǎn)需的綜合。蒜*統(tǒng)計(jì)抽退樣風(fēng)險(xiǎn)嗽——家指由選定樣誕本得出錯(cuò)誤黃的整體特征襯的風(fēng)險(xiǎn)犁*風(fēng)險(xiǎn)分耗析弟——征量化風(fēng)險(xiǎn)的定系統(tǒng)方法咱*風(fēng)險(xiǎn)評(píng)座價(jià)粗——塵對(duì)比風(fēng)險(xiǎn)值后與風(fēng)險(xiǎn)標(biāo)準(zhǔn)董確定風(fēng)險(xiǎn)重?cái)匾缘倪^(guò)程醋*風(fēng)險(xiǎn)評(píng)困估中所識(shí)別慘出的每一個(gè)權(quán)風(fēng)險(xiǎn)都必須蘇處置，處置銅方式包括：避降低、避免章、接受、轉(zhuǎn)惕移桑*風(fēng)險(xiǎn)分簡(jiǎn)析的目標(biāo)是怨理解和識(shí)別噸由實(shí)體及其方環(huán)境引起的堪風(fēng)險(xiǎn)和相關(guān)充的內(nèi)部控制哥*審計(jì)是啄典型的檢測(cè)嗽性控制；稱*審計(jì)可求定義為：由辟具備資質(zhì)、局勝任、獨(dú)立創(chuàng)的組織或人潔員，針對(duì)流宇程的預(yù)定結(jié)磨果，客觀地春搜集并評(píng)價(jià)淚證據(jù)，以確菠定與既定標(biāo)智準(zhǔn)的符合程議度，形成意肥見(jiàn)并報(bào)告的卡系統(tǒng)過(guò)程。謊若對(duì)特定經(jīng)濟(jì)撤實(shí)體的可計(jì)頁(yè)量的信息證叮據(jù)進(jìn)行客觀灑的收集和評(píng)玉價(jià)，向利益番相關(guān)者報(bào)告而。斗可重現(xiàn)當(dāng)時(shí)拐?qǐng)鼍跋?信息系御統(tǒng)控制程序封包括：戰(zhàn)略趣和方針、全迫面的組織管穴理、IT資階源的訪問(wèn)（釀包括數(shù)據(jù)和黑程序）、系顫統(tǒng)開(kāi)發(fā)和變嶼更控制、運(yùn)決行規(guī)程、系需統(tǒng)編程及技蔑術(shù)支持智能債、質(zhì)量保證姑（QA）流表程、物理訪年問(wèn)控制、B珍CP、DR曠P、網(wǎng)絡(luò)和主通訊、數(shù)據(jù)砌庫(kù)管理、對(duì)媽內(nèi)外部攻擊攏的檢查和保杜護(hù)機(jī)制索*風(fēng)險(xiǎn)評(píng)嚴(yán)估過(guò)程應(yīng)當(dāng)謊在組織中持帆續(xù)進(jìn)行，以認(rèn)致力于及時(shí)跡發(fā)現(xiàn)和評(píng)估縮新出現(xiàn)的風(fēng)旱險(xiǎn)；命*賞內(nèi)部控制：束為減少風(fēng)險(xiǎn)唐所實(shí)施的各脈種政策、步蘆驟、實(shí)踐和炭組織結(jié)構(gòu)；竭確保業(yè)務(wù)目替標(biāo)的有效達(dá)尿成。提高經(jīng)巷營(yíng)效率垂*風(fēng)險(xiǎn)控洲制另外分類升方法：技術(shù)景類控制、物哀理類控制以香及管理類控占制；陷*COS行O內(nèi)部控制樂(lè)框架：控制酸環(huán)境張——蒙風(fēng)險(xiǎn)分析霞——命控制活動(dòng)罪——汽內(nèi)部溝通機(jī)麗制權(quán)——略監(jiān)督和持續(xù)受改進(jìn)勒*COB勒IT通過(guò)域抽和予流程框架來(lái)膚提供最佳實(shí)錦務(wù)，把34覽個(gè)IT流程撥組合到四個(gè)朋域中：網(wǎng)1、計(jì)師劃和組織（殘PO）；瞧2、獲淹取與實(shí)施（心AI）；蟻3、交團(tuán)付與支持（彩DS）；侍4、監(jiān)椒督與評(píng)價(jià)（音ME）.星*流COBIT榜框架定義：兇IT資源需向要由自然歸萌組的流程管蛇理，為組織拿提供實(shí)現(xiàn)其邪目標(biāo)所需要得各種類型的麥、符合質(zhì)量稈、可用性以儉及安全要求險(xiǎn)的信息。（毀業(yè)務(wù)部門(mén)需亡要IT部門(mén)批提供滿足一柏定要求的信帝息）；令*管理：諸好的事情發(fā)刃生，產(chǎn)生價(jià)夢(mèng)值、創(chuàng)造效乏益；禽*控制：存防止風(fēng)險(xiǎn)霸*業(yè)務(wù)需疲求七要素：遼種類稅項(xiàng)目歐解釋誤質(zhì)量幼效果介符合業(yè)務(wù)部姥門(mén)的期望膝效率累成本效益救安全萄保密性循信息泄露誓可用性滑物理設(shè)備的礙丟失、信息攤被破壞；需溪要時(shí)能用潮完整性朽防止篡改、博修改拿受信侍/受托辛符合性往合規(guī)性，法產(chǎn)律法規(guī)果可靠性違數(shù)據(jù)準(zhǔn)確貪*IT撿資源：人員城、信息、基遷礎(chǔ)架構(gòu)、應(yīng)匠用系統(tǒng)；齡*通過(guò)流碎程化管理I忌T資源；混*通用控響制：適用于拐組織的各個(gè)舒方面，包括脈：會(huì)計(jì)控制俘、運(yùn)營(yíng)控制零、管理控制秀；軟*應(yīng)用控迷制：針對(duì)特土定的流程；鳳*信息系楊統(tǒng)控制：戰(zhàn)俗略指導(dǎo)、信慕息系統(tǒng)開(kāi)發(fā)玉流程的控制罩、程序變更刑管理控制、最計(jì)算機(jī)運(yùn)行盾管理控制、繡程序與數(shù)據(jù)盜訪問(wèn)控制、兇信息系統(tǒng)安猾全的控制、蘇網(wǎng)絡(luò)和通訊球、數(shù)據(jù)庫(kù)管舒理、IT計(jì)方劃；騾*審計(jì)是判指：有勝任持能力的獨(dú)立厘機(jī)構(gòu)或人員線（審計(jì)主體另）接受委托者或授權(quán)（審斃計(jì)關(guān)系），玻對(duì)特定經(jīng)濟(jì)糠實(shí)體的可計(jì)列量的信息東（審計(jì)對(duì)象幟）般證據(jù)進(jìn)行客燭觀的收集和炸評(píng)價(jià)債證據(jù)（審計(jì)算工作）棟，以確定這齊些信息與既核定標(biāo)準(zhǔn)顯（審計(jì)依據(jù)鈴）白的符合程度需，并向利益濃相關(guān)者報(bào)告?zhèn)龋▽徲?jì)目標(biāo)花）顏的一個(gè)系統(tǒng)舌的過(guò)程倉(cāng)（審計(jì)過(guò)程輩）補(bǔ)；猾審計(jì)的河性質(zhì)吳——泰獨(dú)立、客觀棄。阿*位流映胖像甲——誼鏡像問(wèn)之后再做微哈希類——蘆防止篡改狂*審計(jì)的太實(shí)質(zhì)：審計(jì)照信息是否滿毅足7要素；海*制定信查息系統(tǒng)審計(jì)讓計(jì)劃的關(guān)鍵沒(méi)內(nèi)容就是把辟寬泛的基本佳審計(jì)目標(biāo)轉(zhuǎn)悠化成具體的隊(duì)信息系統(tǒng)審?fù)坑?jì)目標(biāo)；信拋息系統(tǒng)審計(jì)歪師必須明白植如何把一般轎審計(jì)目標(biāo)轉(zhuǎn)貝換成特定的袖信息系統(tǒng)控芒制目標(biāo)。確葡定審計(jì)目標(biāo)拍是信息系統(tǒng)抬審計(jì)計(jì)劃的夏關(guān)鍵步驟。捕*審計(jì)目涂標(biāo)是指審計(jì)昌工作必須實(shí)潔現(xiàn)的特定目勢(shì)的；畢*控制目某標(biāo)是指內(nèi)部播控制應(yīng)當(dāng)如淋何發(fā)揮作用做*信息系永統(tǒng)審計(jì)人員戲從以下方面劑評(píng)估信息系者統(tǒng)職能：安全質(zhì)量希受托責(zé)隙任純服務(wù)和于能力堤*信息安份全控制應(yīng)當(dāng)蘿在系統(tǒng)和項(xiàng)炕目的需求說(shuō)景明及設(shè)計(jì)階陸段予以考慮己*信息系喚統(tǒng)審計(jì)師應(yīng)唯當(dāng)對(duì)各類風(fēng)醉險(xiǎn)進(jìn)行評(píng)價(jià)鞏并選擇高風(fēng)更險(xiǎn)領(lǐng)域?qū)嵤┤虒徲?jì)冠*符合性女測(cè)試（控制末測(cè)試）要——故實(shí)質(zhì)性測(cè)試速：是否有控您制念—運(yùn)控制是否落誰(shuí)實(shí)醒—辦控制是否有聰效憑—襯控制是否持蓄續(xù)乖*舞弊檢槳查：1、檢吩查確認(rèn)；2宵、與適當(dāng)管鑄理層溝通；糖3、與審計(jì)殿委員會(huì)溝通匯——睬向董事會(huì)溝賣通；揭*審計(jì)師盜在接受客戶棉審計(jì)時(shí)就應(yīng)津?qū)徲?jì)風(fēng)險(xiǎn)妖進(jìn)行評(píng)估津，將評(píng)估風(fēng)著險(xiǎn)與預(yù)計(jì)可顫接受的總審候計(jì)風(fēng)險(xiǎn)水平莖比較后，決轟定是否接受逗客戶；醫(yī)*審計(jì)風(fēng)牌險(xiǎn)分類：固舊有風(fēng)險(xiǎn)、控磁制風(fēng)險(xiǎn)、檢冬查風(fēng)險(xiǎn)（審茄計(jì)風(fēng)險(xiǎn)）；評(píng)總體審計(jì)風(fēng)廚險(xiǎn)。菊*武符合性測(cè)試地是為測(cè)試組隆織對(duì)控制程計(jì)序的符合性內(nèi)而收集證據(jù)爽，驗(yàn)證控制賄的執(zhí)行是否葉符合管理政棒策和規(guī)程萄（測(cè)試內(nèi)控沉是否起作用睜）雀；逆*舌實(shí)質(zhì)性測(cè)試榨是為評(píng)價(jià)交編易、數(shù)據(jù)或欲其他信息的堪完整性而收路集證據(jù)，證拍實(shí)實(shí)際處理貧的完整性。埋*需要進(jìn)剩行實(shí)質(zhì)性測(cè)叼試的數(shù)量與損內(nèi)部控制的智水平直接相楊關(guān)籌*符合性祥測(cè)試（控制郊測(cè)試）經(jīng)——桂簡(jiǎn)單、快速簡(jiǎn)、資源消耗錘少么*實(shí)質(zhì)性嘉（重要性）用：可容忍錯(cuò)藥報(bào)或漏報(bào)的乘最好界限，廳其運(yùn)用的情咱形：1、在肝編制審計(jì)計(jì)寒劃的時(shí)候，有進(jìn)行初步估暮計(jì)；2、在寒做出審計(jì)結(jié)競(jìng)果時(shí)候，進(jìn)引行判斷。爆*審計(jì)風(fēng)麥險(xiǎn)與實(shí)質(zhì)性稠（重要性）憶：實(shí)質(zhì)性水沖平越高，審說(shuō)計(jì)工作風(fēng)險(xiǎn)拖就越低；實(shí)遵質(zhì)性水平越尚低，審計(jì)工丟作風(fēng)險(xiǎn)就越殼高；色*創(chuàng)符合性測(cè)試遷（控制測(cè)試芒）：屬性抽喊樣皇*實(shí)質(zhì)性藝測(cè)試：判斷酷控制是否完菌整形*今充分性簡(jiǎn)—占數(shù)量上足夠第；適當(dāng)性稀—籮審計(jì)證據(jù)有求效且相關(guān)位；蘆*統(tǒng)計(jì)抽湊樣悅——結(jié)采用統(tǒng)計(jì)推滔斷技術(shù)的一驟種抽樣方法式，可以量化階抽樣風(fēng)險(xiǎn)略*非統(tǒng)計(jì)動(dòng)抽樣北——鴉隨機(jī)抽樣節(jié)*屬性抽恒樣一般用于弊符合性測(cè)試肆中估計(jì)屬性紛的有或無(wú)，邊結(jié)論是用比銀率表示發(fā)生板率（屬性抽愿樣、停逢—嬸走抽樣、發(fā)才現(xiàn)抽樣）；順*變量抽撈樣一般用于煌實(shí)質(zhì)性測(cè)試與中估計(jì)總體丘的變化特征培，結(jié)論是與登正常值的偏再差范圍宰具體縣數(shù)值吧（分層單位穿平均估計(jì)抽芳樣、不分層贏單位平均估懼計(jì)抽樣、差瀉額估計(jì)）播*屬性抽挎樣：趴1、作固定樣本抽掌樣辟：100個(gè)窗里面抽10扭個(gè)顆2、真停況—暢走抽樣盜：100個(gè)搜里面先抽5販個(gè)，如果沒(méi)徑有問(wèn)題就停觸止，如果有啟問(wèn)題就再抽溫3、貢發(fā)現(xiàn)抽樣探：100個(gè)俊里面一直抽懇，直到抽到稍一個(gè)有問(wèn)題矩為止嚇*變量抽垮樣：分層單暮位平均估計(jì)客抽樣、不分石層單位平均喬估計(jì)抽樣、挨差額估計(jì)抽查樣；看*置信系值數(shù)越高，樣血本量越大；救風(fēng)險(xiǎn)水平=救1-置信系群數(shù)；精度值睡越小樣本量?jī)A越大罪*控制需睬求：發(fā)現(xiàn)高酒風(fēng)險(xiǎn)區(qū)域而旗又未控制的怨區(qū)域央*補(bǔ)償性膽控制與重疊泊性控制：需選要重點(diǎn)關(guān)注夜的是補(bǔ)償性解控制；山*補(bǔ)償控作制是強(qiáng)控制漫補(bǔ)償弱控制痛，而重疊控隆制是指兩個(gè)淚強(qiáng)控制；慘*信息系炒統(tǒng)審計(jì)師在漢報(bào)告控制缺壩陷之前應(yīng)當(dāng)挪先檢查補(bǔ)償山性控制投*判斷控蜜制是否有效雕率和效果；貝*信息系捕統(tǒng)審計(jì)師在休報(bào)告發(fā)布前拖，就重要發(fā)盟現(xiàn)及時(shí)和合屠適的人員進(jìn)簽行交流，但真前提是交流荒不應(yīng)該改變酬報(bào)告的內(nèi)容年；內(nèi)*審計(jì)底袖稿是指在審扇計(jì)過(guò)程中產(chǎn)問(wèn)生的所有的素記錄和資料瞎，應(yīng)保存7奇年；悲*控制自股我評(píng)估（C互SA）三個(gè)尊基本特征：勒1、關(guān)勒注業(yè)務(wù)的過(guò)瓶程和控制的竭成效；永2、膚有管理部門(mén)券和職員共同敏進(jìn)行；害3、用敲結(jié)構(gòu)化的方陪法開(kāi)展自我并評(píng)估。稈*在控制談自我評(píng)估（型CSA）中派，信息系統(tǒng)抬審計(jì)師作為躬控制專家和就評(píng)估引導(dǎo)人升，只是CS洪A的推動(dòng)者蓋；城*瓦CSA矮把部門(mén)經(jīng)理方的監(jiān)督職責(zé)朗分散到員工把中因*審計(jì)師笨在CSA中旋的目標(biāo)：濕增強(qiáng)審靜計(jì)職責(zé)醬在控制銳責(zé)任和監(jiān)控裹當(dāng)中教育各帖級(jí)管理者憐通過(guò)對(duì)巖在CSA中貧注意到的高公風(fēng)險(xiǎn)和非正歉常項(xiàng)目進(jìn)行眨復(fù)核來(lái)確定升審計(jì)工作目導(dǎo)標(biāo)侮通過(guò)把泉糾錯(cuò)心動(dòng)從憐所有者方面割向雇員方面航轉(zhuǎn)移的辦法涉來(lái)提高糾錯(cuò)痛行動(dòng)的有效初性灣*一些組準(zhǔn)織在做CS五A評(píng)估時(shí)，該可能還會(huì)包珠括客戶、貿(mào)考易伙伴等外槽部人員懷*CSA妹主要目標(biāo)是端通過(guò)把一些材控制監(jiān)督職晃責(zé)分散到職迫能部門(mén)來(lái)充就分發(fā)揮內(nèi)部天審計(jì)職能的送左右，這并臨不是要替代版審計(jì)的職責(zé)趣，而是一種物加強(qiáng)計(jì)*審計(jì)師隱應(yīng)該牢記他吩們只是CS榆A的推動(dòng)者藏，只有管理健人員才是C追SA程序的勸具體實(shí)施者股*連續(xù)監(jiān)圖控與連續(xù)審堅(jiān)計(jì)區(qū)別：監(jiān)辭控僅僅記錄泳所有滿足設(shè)兼定條件的事局件；審計(jì)則源一旦控制失箏效，自動(dòng)觸斧發(fā)報(bào)警。能*持續(xù)審翼計(jì)的技術(shù)應(yīng)頭該在系統(tǒng)開(kāi)紀(jì)發(fā)和實(shí)施的驕早期階段介碗入；點(diǎn)*持續(xù)審忽計(jì)的限制因慌素：成本問(wèn)榴題毒*持續(xù)審擾計(jì)是被審計(jì)穗事實(shí)的發(fā)生群至證據(jù)收集飼和審計(jì)報(bào)告烏之間的時(shí)間巷間隔非常短臣*持續(xù)審螺計(jì)應(yīng)獨(dú)立于蔥持續(xù)控制或蜂監(jiān)控活動(dòng)，惹當(dāng)同時(shí)存在柔持續(xù)監(jiān)控和晉持續(xù)審計(jì)時(shí)皇，就形成了揮持續(xù)保證碌*IT系扒統(tǒng)通常是預(yù)強(qiáng)防和檢查性更控制的第一灰道防線，綜慧合審計(jì)的根秩本就在于合置理評(píng)估它們殺的效果及效映率武*確定審攀計(jì)發(fā)現(xiàn)重要隸性的關(guān)鍵是茂評(píng)估這些審賄計(jì)發(fā)現(xiàn)對(duì)各憂級(jí)管理層的幕重要性，評(píng)支估中需要判甘斷未針對(duì)審播計(jì)發(fā)現(xiàn)采取怨糾正措施可囑能導(dǎo)致的潛央在影響。春*審計(jì)證嘴據(jù)可靠性的奏決定因素：們1、提尊供審計(jì)證據(jù)惠的人員的獨(dú)粒立性蒙2、提幼供信息或證限據(jù)的人員的掉資格情3、證媽據(jù)的客觀性葡4、證墨據(jù)的時(shí)效性芝*應(yīng)當(dāng)由動(dòng)信息系統(tǒng)審惰計(jì)師來(lái)最終退決定審計(jì)報(bào)集告中包括或環(huán)不包括哪些叛內(nèi)容栗*綜合審酷計(jì)的一個(gè)關(guān)澆鍵步驟就是狠審計(jì)組集體嬌討論風(fēng)險(xiǎn)及歉其影響和發(fā)雖生的可能性拾*詳細(xì)審鼓計(jì)工作關(guān)注咽已存在的管累理這些風(fēng)險(xiǎn)漲的相關(guān)控制旨。燈*進(jìn)行實(shí)衡際取證時(shí)，尸只能對(duì)位流薦映像進(jìn)行操底作，目標(biāo)驅(qū)脈動(dòng)器應(yīng)該封唐存盡*對(duì)司法傳取證審計(jì)師盟而言，最重蝕要的考慮就究是做好目標(biāo)款驅(qū)動(dòng)器的位甲流映像（鏡扔像），并檢者查該映像的液時(shí)間戳和其浩他信息屬性富未被人為改悄變；磚*位流映針像做出來(lái)后叢應(yīng)該對(duì)目標(biāo)負(fù)驅(qū)動(dòng)器進(jìn)行靈哈希，然后條與位流映像汗的哈希進(jìn)行信對(duì)比，確?？苾烧叩耐耆珓乓恢?；酷*除了位子流映像以外夾還有內(nèi)存信餅息轉(zhuǎn)儲(chǔ)到文意件中也是司偏法取證的一剛種；唐*信息系豎統(tǒng)審計(jì)師通精常從許多不獻(xiàn)同的角度來(lái)活評(píng)估IT職垂能和系統(tǒng)：慌安全砌——講機(jī)密性、完剩整性、可用閑性塵質(zhì)量錦——魯效果、效率團(tuán)委托責(zé)達(dá)任悅——?jiǎng)莘闲?、可游靠性壇服?wù)和川能力賠第二章I敏T治理與管沖理惜*IT治凳理是組織中姨的一種安排妹。目的是為扎了提高IT鬼績(jī)效，降低欣IT風(fēng)險(xiǎn)，沫有效利用資儀源。例*信息系肚統(tǒng)的戰(zhàn)略規(guī)槍劃是獲取、游配置和管理田信息資源及的實(shí)現(xiàn)組織遠(yuǎn)抓景目標(biāo)的總擺體規(guī)劃，包愧括軟件、硬伯件、責(zé)任以社及資源配置畫(huà)等，提供給同組織相應(yīng)的憑解決方案。集*IT治軍理有助于確距保IT和企山業(yè)目標(biāo)保持蹦一致，IT欣治理的關(guān)鍵兩因素是IT劑與業(yè)務(wù)保持表一致，以實(shí)抽現(xiàn)業(yè)務(wù)價(jià)值犬*IT治段理采用最佳壤實(shí)踐來(lái)確保盆組織信息及軋相關(guān)技術(shù)支韻持其業(yè)務(wù)目撇標(biāo)（如戰(zhàn)略替一致）和價(jià)棕值交付，確植保資源得到你合理使用、打風(fēng)險(xiǎn)得到適謙當(dāng)管理、績(jī)引效得到測(cè)評(píng)互*信息技舒術(shù)對(duì)企業(yè)非殃常重要，不鍵能把職責(zé)放乎給IT管理渡人員或IT紫專家，而必災(zāi)須得到整個(gè)層高級(jí)管理層盲的關(guān)注壯*IT治軍理在根本上脆關(guān)注以下兩州方面的問(wèn)題引：房IT如否何向業(yè)務(wù)交閣付價(jià)值踩——誰(shuí)由IT與業(yè)剪務(wù)的戰(zhàn)略一飄致推動(dòng)坦IT風(fēng)原險(xiǎn)得到管理幫——原向企業(yè)分配裁責(zé)任來(lái)推動(dòng)碑*IT如迅何有效率有括效果的使用算IT資源；赤*IT治聾理的關(guān)鍵因歸素是保持與愧業(yè)務(wù)戰(zhàn)略的刮一致，引導(dǎo)舒業(yè)務(wù)價(jià)值的抱實(shí)現(xiàn)；寒*IT治枝理是董事會(huì)凳和最高管理康層的責(zé)任，損是企業(yè)整體傳治理的一部桌分，它由領(lǐng)級(jí)導(dǎo)關(guān)系、組止織結(jié)構(gòu)以及無(wú)能確保IT套支撐和擴(kuò)展歉組織戰(zhàn)略及冊(cè)目標(biāo)的流程愚組成昆*關(guān)鍵的虛IT治理實(shí)逆務(wù)有：IT壁戰(zhàn)略委員會(huì)雅、風(fēng)險(xiǎn)管理醒和標(biāo)準(zhǔn)IT長(zhǎng)平衡記分卡敗*IT治廊理的關(guān)注領(lǐng)舟域：戰(zhàn)略一拿致、價(jià)值支無(wú)付、資源管蹤理、風(fēng)險(xiǎn)管欺理、績(jī)效測(cè)助評(píng)率*IT治京理實(shí)各種關(guān)益系與流程結(jié)逗構(gòu)，用于指幕導(dǎo)和控制組晶織達(dá)成增值美目標(biāo)，同時(shí)崗還要保證I冊(cè)T及其流程尚的風(fēng)險(xiǎn)與收但益的平衡?；?在IT許治理中，信液息系統(tǒng)審計(jì)奏師應(yīng)當(dāng)確認(rèn)富已明確以下股內(nèi)容：塘1、工蓮作范圍，包編括清晰定義灶所涵蓋的職支能領(lǐng)域和事蒙務(wù)；振2、采辨用的報(bào)告路擁線，使查出胳的IT治理禁問(wèn)題能報(bào)告籍給組織的最眉高層蘿3、信脊息系統(tǒng)審計(jì)墳師對(duì)信息的煌訪問(wèn)權(quán)限，村包括對(duì)組織削內(nèi)部和第三碗方服務(wù)提供劑商暫*IT戰(zhàn)逗略委員會(huì)是光方向性的：念由一個(gè)董事充會(huì)成員加外爪部專家組成程，戰(zhàn)略層面友*IT指短導(dǎo)委員會(huì)是哀技術(shù)執(zhí)行層環(huán)面的怒*IT平送衡記分卡是恢協(xié)助IT戰(zhàn)鐵略委員會(huì)和歌管理層實(shí)現(xiàn)睡IT與業(yè)務(wù)嚼保持一致的業(yè)最有效的方特法之一，其渾目標(biāo)是建立后管理層向董朗事會(huì)的報(bào)告我途徑，就I誤T戰(zhàn)略目標(biāo)修在關(guān)鍵利益域相關(guān)方之間將達(dá)成一致，革證實(shí)IT的至效果與價(jià)值越，溝通IT聞績(jī)效、風(fēng)險(xiǎn)搭和能力。汁*信息：避具有特定意欠義和目標(biāo)的程數(shù)據(jù)批*信息安災(zāi)全的復(fù)雜性釋、相關(guān)性、奮危險(xiǎn)性及其教治理都要在維組織的董事谷會(huì)層面予以春考慮并提供耐支持仙*信息安船全的憂慮：赤對(duì)信息及其做處理系統(tǒng)的開(kāi)持續(xù)依賴和脖眾多威脅所腦導(dǎo)致的復(fù)雜兇風(fēng)險(xiǎn)。拳*有效的嗓信息安全能吊為組織帶來(lái)幫巨大價(jià)值：郊1、在酸與貿(mào)易伙伴破的交往中提正供可靠的信欺賴；很2、提肚高客戶的信璃任度；鏟3、保撫護(hù)組織信譽(yù)圍4、促勻進(jìn)采用更新壟更好的方式伍處理電子交敏易知*業(yè)務(wù)戰(zhàn)巨略方針通過(guò)府業(yè)務(wù)目的和縣目標(biāo)來(lái)明確奇，信息安全擔(dān)必須能支持捎業(yè)務(wù)活動(dòng)向棕企業(yè)交付價(jià)勞值；裂*信息安除全治理框架珍為制定一套沃有成本效益謙的、支持組絹織業(yè)務(wù)目標(biāo)稈的信息安全萌程序提供了柳基礎(chǔ)。該程頭序的目標(biāo)是慎建立一系列憑的活動(dòng)以保耐證信息資產(chǎn)賠受到與其價(jià)者值或給組織騰帶來(lái)的潛在數(shù)風(fēng)險(xiǎn)相稱的吐保護(hù)。握*IT治聲理是企業(yè)的貝一種制度安爬排，它通過(guò)單為IT提供派必要的領(lǐng)導(dǎo)羨力、組織結(jié)礙構(gòu)和相關(guān)過(guò)妖程，來(lái)保證種企業(yè)的IT顛能支持企業(yè)袍戰(zhàn)略和實(shí)現(xiàn)難企業(yè)目標(biāo)，捕同時(shí)控制風(fēng)慕險(xiǎn)、降低成枝本、提高績(jī)才效。答*IT治構(gòu)理是董事會(huì)淡和執(zhí)行管理虛層的職責(zé)，蔬是企業(yè)治理飛的重要組成追部分；賞*IT管矮理是公司的判信息及信息譜系統(tǒng)的運(yùn)營(yíng)娃，確定IT跟目標(biāo)以及實(shí)岸現(xiàn)此目標(biāo)所躲采取的行動(dòng)為；起*IT治龍理是最高管狹理層（董事伐會(huì)）通過(guò)I駁T治理監(jiān)督非執(zhí)行管理層把在IT戰(zhàn)略拋上的過(guò)程、恐結(jié)構(gòu)和聯(lián)系蕩，以確保這桶種運(yùn)營(yíng)處于飼正確的軌道藥上蕩*IT治茅理是董事會(huì)紛和高級(jí)管理戶層的責(zé)任衫*IT治棕理框架主要本流程：雁1、I餃T資源管理務(wù)，關(guān)注現(xiàn)有嚼的全部IT每資源的維護(hù)生并落實(shí)風(fēng)險(xiǎn)喚管理程序；增2、績(jī)獸效衡量，關(guān)播注確保所有惡IT資源向販業(yè)務(wù)交付既察定價(jià)值，也用在早期識(shí)別附風(fēng)險(xiǎn)；暑3、合閑規(guī)管理，關(guān)陣注滿足法律援、法規(guī)要求喪的流程的落蹈實(shí)睛*關(guān)鍵I包T治理實(shí)務(wù)竊：IT戰(zhàn)略丹委員會(huì)（隸港屬董事會(huì)，炭由董事會(huì)成粒員+專家組闊成），風(fēng)險(xiǎn)索管理和標(biāo)準(zhǔn)狗IT平衡記曉分卡普*COB朽IT五個(gè)I膊T治理域都量受利益相關(guān)季者價(jià)值驅(qū)動(dòng)亂，其中弊價(jià)值交付、駛風(fēng)險(xiǎn)管理幻是結(jié)果，尚戰(zhàn)略一致、襲績(jī)效考評(píng)奪是驅(qū)動(dòng)力，垂IT資源管字理耐為治理提供俗支持。捷*IT戰(zhàn)顫略委員會(huì)負(fù)拉責(zé)宏觀的指訊導(dǎo)性要求呼*IT指企導(dǎo)委員會(huì)負(fù)展責(zé)具體事務(wù)桶，預(yù)算、架下構(gòu)以及項(xiàng)目艙進(jìn)展，不討侵論具體細(xì)節(jié)歇問(wèn)題；科*信息系竄統(tǒng)審計(jì)師需險(xiǎn)要對(duì)IT治釘理的各個(gè)方蹤面進(jìn)行評(píng)估車：視1、信資息系統(tǒng)審計(jì)瑞的職能與組獲織的使命、除愿景、價(jià)值響、目標(biāo)和戰(zhàn)電略一致；滔2、信敞息系統(tǒng)的職開(kāi)能績(jī)效目標(biāo)奇應(yīng)當(dāng)由業(yè)務(wù)歇來(lái)決定（效攝率與效果）而；誕3、法墾律問(wèn)題、環(huán)腳境問(wèn)題、信船息質(zhì)量、信浪用和安全需積求；竄4、組嚷織的控制環(huán)嚼境；剃5、信牽息系統(tǒng)環(huán)境展的內(nèi)在風(fēng)險(xiǎn)汗；畏6、I互T投資/費(fèi)攀用絮*IT平局衡記分卡的剃四個(gè)視角（匙只是管理報(bào)被告工具）：炸財(cái)務(wù)視狀角：為了使料股東滿意澇客戶視粗角：為了實(shí)伴現(xiàn)財(cái)務(wù)目標(biāo)果，需要服務(wù)星客戶肝過(guò)程視置角：提高客通戶和利益相家關(guān)者的滿意慘度下學(xué)習(xí)視煉角：為了達(dá)李成目標(biāo)，組佩織應(yīng)當(dāng)如何滲學(xué)習(xí)與創(chuàng)新往*信息安毅全治理具有文特定的價(jià)值選驅(qū)動(dòng)：信息適安全的機(jī)密剖性（C）、形完整性（I貨）和可用性立（A），持孟續(xù)服務(wù)和信司息資產(chǎn)保護(hù)膚等，使信息墻安全治理成釣為一個(gè)重點(diǎn)競(jìng)關(guān)注領(lǐng)域；央是董事會(huì)和貸高管的職責(zé)肅。吧*信息安尋全治理付1、價(jià)轟值交付：優(yōu)兵化安全投資偉以支持業(yè)務(wù)尋目標(biāo)；下2、績(jī)綢效評(píng)測(cè)：衡鋪量、監(jiān)督和訊報(bào)告信息安聾全流程，以成確保實(shí)現(xiàn)呈SMART悟目標(biāo)（確定噸的、可度量作的、可實(shí)現(xiàn)索的、相關(guān)的耀和符合時(shí)間迷要求的）慨3、資園源管理：有代效利用信息候安全知識(shí)與截基礎(chǔ)設(shè)施棋4、流抓程整合：關(guān)股注組織安全羊管理保證流飛程的整合，客目標(biāo)在改善飯整體安全及疾運(yùn)營(yíng)效率。畝*信息安仁全治理的安嚼全職責(zé)：院1、董望事會(huì)來(lái)——近提出要求，程聽(tīng)取匯報(bào)劉2、執(zhí)瑞行管理層跑——蔽制定具體的竄流程定義采3、指騾導(dǎo)委員會(huì)古——而具體事務(wù)的挑定義傷4、信逝息安全管理皆層僵——完具體流程的據(jù)執(zhí)行祝5、審丙計(jì)員候——拔對(duì)各個(gè)流程橫執(zhí)行的評(píng)價(jià)微*獻(xiàn)審計(jì)員永遠(yuǎn)戲不提具體的宴改進(jìn)活動(dòng)，耍改進(jìn)審計(jì)出仍來(lái)的缺陷，奸是被審計(jì)單篩位的管理層胖的職責(zé)；宵*企業(yè)架享構(gòu)（EA）究通過(guò)一種結(jié)晚構(gòu)化的方式可來(lái)反映組織茶IT資產(chǎn)，藝并有效管理珠對(duì)IT投資屬；魄*輔企業(yè)架構(gòu)通喂常應(yīng)描述記軋錄當(dāng)前資產(chǎn)啞狀態(tài)和最佳此未來(lái)資產(chǎn)狀訪態(tài)。禁*IT治臺(tái)理目標(biāo)要求殘IT戰(zhàn)略應(yīng)爛當(dāng)與整體業(yè)街務(wù)保持一致盜*尋AUP:快可接受使用努策略（Ac男cepta緊bleU百sePo純licy）容是指這些網(wǎng)耽絡(luò)能夠被誰(shuí)住使用的約束豐策略佛（最終用戶戒如何使用信泳息資產(chǎn)的準(zhǔn)播則以及期望哥）營(yíng)。AUPs賄的執(zhí)行是隨粗網(wǎng)絡(luò)變化的指。許多公共固網(wǎng)絡(luò)服務(wù)有趣一個(gè)AUP煤。這個(gè)AU不P是一個(gè)正漁式的或非正竟式的文件，西其定義了網(wǎng)料絡(luò)的應(yīng)用意對(duì)圖、不接受儉的使用和不么服從的結(jié)果駐。一個(gè)人注厲冊(cè)一個(gè)基于敲網(wǎng)絡(luò)的服務(wù)降或工作在一悄個(gè)社團(tuán)內(nèi)部怒網(wǎng)時(shí)經(jīng)常會(huì)輸遇到一個(gè)A霧UP。一個(gè)底好的AUP狡將包括網(wǎng)徹絡(luò)禮節(jié)的規(guī)托定，限制網(wǎng)恰絡(luò)資源的使斗用和明確指違出網(wǎng)絡(luò)應(yīng)該腐尊敬的成員棉的隱私，最犁好的AUP鋒s使"wh眠atif饑"關(guān)一體化英，其舉例說(shuō)口明這個(gè)策略被在現(xiàn)實(shí)世界俯協(xié)商中的作增用。萄*IT投包資財(cái)務(wù)指標(biāo)失關(guān)注：投資濾回報(bào)率（R端OI）耍*關(guān)注風(fēng)陣險(xiǎn)的同時(shí)也海要關(guān)注投資功回報(bào)；圈*平衡記潮分卡決定項(xiàng)沖目投資與否住，強(qiáng)調(diào)愿景燙；IT投資正組合，具體疊項(xiàng)目投資量莊，關(guān)注投資競(jìng)回報(bào)最大化太。怖*IT平智衡記分卡評(píng)船估IT功能子和流程夾*政策：籍永遠(yuǎn)都是高杰層政策決定南低層政策。顆從集中到分驚散。遍*政策最獨(dú)高管理層一徐定要簽字確寇認(rèn)，定期修鉗訂，重大變假化時(shí)隨時(shí)修修訂。券*最重要倍的一個(gè)方面鷹是受程序控蜓制的人員熟夕悉規(guī)程內(nèi)容蛋，如果使用罪程序人員不塑了解其內(nèi)容烈，該程序是跡無(wú)效耳*風(fēng)險(xiǎn)：廣外在威脅利慶用資產(chǎn)本身蓮（保護(hù)對(duì)象述）的脆弱性術(shù)（對(duì)象本身杯特點(diǎn)）造成貴損害的可能呈。控制就是逮阻斷威脅猛*壞事已醫(yī)經(jīng)發(fā)生了叫次事件，可能杰發(fā)生叫風(fēng)險(xiǎn)骨；賀*凡是高間于風(fēng)險(xiǎn)可接陜受水平的，貝就要進(jìn)入風(fēng)忍險(xiǎn)處置（降潮低、轉(zhuǎn)移、巴回避、接受潤(rùn)）；圈*伸任何對(duì)企業(yè)濕有價(jià)值的資左源都叫資產(chǎn)株，所有資產(chǎn)淘有有脆弱性傅。盛*一個(gè)未疫經(jīng)保護(hù)的線臣路該——乞脆弱性限*風(fēng)險(xiǎn)管黑理根據(jù)成本帝效益原則采樂(lè)取：貧避免風(fēng)乘險(xiǎn)：選擇不哲從事導(dǎo)致風(fēng)犬險(xiǎn)的特定活采動(dòng)或流程閃降低風(fēng)嶼險(xiǎn)：制定、害實(shí)施并監(jiān)督怕適當(dāng)?shù)目刂埔陆档惋L(fēng)險(xiǎn)發(fā)味生的可能性校轉(zhuǎn)移風(fēng)探險(xiǎn)：購(gòu)買保渣險(xiǎn)或者保修瞞服務(wù)夏接受風(fēng)賓險(xiǎn)：經(jīng)過(guò)評(píng)控估后正視風(fēng)盼險(xiǎn)的存在，籃并監(jiān)視深*風(fēng)險(xiǎn)管余理的核心是鑰：保護(hù)資產(chǎn)恒*在攻擊宵發(fā)生后，還進(jìn)沒(méi)有造成損正失叫事態(tài)，母已經(jīng)發(fā)生侵張害損失叫事釀件攝*風(fēng)險(xiǎn)管千理首先需要鍛識(shí)別信息資宮產(chǎn)（包括物亂理的、邏輯存的和無(wú)形的槳）授*風(fēng)險(xiǎn)管性理過(guò)程：識(shí)傘別信息資產(chǎn)珠、識(shí)別并評(píng)咸估威脅、識(shí)朵別并評(píng)估脆陶弱性祖*IT風(fēng)痕險(xiǎn)管理在多沖種層面上進(jìn)隱行綜合分析乓：納運(yùn)行層漲面：關(guān)注能棄影響IT系臺(tái)統(tǒng)及基礎(chǔ)設(shè)慢施的效果及批效率的風(fēng)險(xiǎn)蒸，繞過(guò)系統(tǒng)泥控制的風(fēng)險(xiǎn)蒼，關(guān)鍵資源冠損失風(fēng)險(xiǎn)宋項(xiàng)目層戚面：關(guān)注理額解和管理項(xiàng)將目復(fù)雜性的扣能力，項(xiàng)目密不能有效完醒成、未實(shí)現(xiàn)沉項(xiàng)目目標(biāo)的希風(fēng)險(xiǎn)餅戰(zhàn)略層蛙面：關(guān)注I掃T能力與業(yè)壺務(wù)戰(zhàn)略保持綢一致的程度木*風(fēng)險(xiǎn)分她析方法：茄定性方嫩法：主觀風(fēng)冠險(xiǎn)定級(jí)，采騎用問(wèn)卷式的幻檢查列表（鼓CHECK攏LIST）塊半定量駁分析法：還矛是定性法的請(qǐng)一種。導(dǎo)定量分脖析法：使用銳數(shù)值描述風(fēng)恩險(xiǎn)發(fā)生的可化能性及其影卵響薪*應(yīng)在公毀司的所有I以T職能領(lǐng)域守內(nèi)實(shí)施風(fēng)險(xiǎn)合管理，風(fēng)險(xiǎn)牢管理是高層誠(chéng)管理人員的逐職責(zé)，盡量雜使用量化風(fēng)殿險(xiǎn)的管理辦嶺法駕*信息安詢?nèi)卫淼某啥捍?、戰(zhàn)煎略一致孝——伴使信息安全臭與業(yè)務(wù)戰(zhàn)略忙保持一致以家支持組織目煎標(biāo)踢2、風(fēng)基險(xiǎn)管理燙——檢管理和實(shí)施牢適當(dāng)?shù)拇胧┛鹨越档惋L(fēng)險(xiǎn)脊并減少對(duì)信綱息資源的潛踏在影響至可攔接受水平駐3、價(jià)尤值交付犧——春優(yōu)化安全投鮮資以支持業(yè)肆務(wù)目標(biāo)激4、績(jī)攜效衡量透——擇衡量、監(jiān)督錦和報(bào)告信息副安全流程，梅以確保實(shí)現(xiàn)帖SMART戶目標(biāo)（具體哪的、可度量埋的、可實(shí)現(xiàn)意的、切實(shí)的駱和有時(shí)限的溪）攻5、資莫源管理曬——尿有效利用信勝息安全知識(shí)扁與基礎(chǔ)設(shè)施炎6、流重程整合跟——咽關(guān)注組織安棒全管理保證間流程的整合勢(shì)*信息安抱全治理需要雀戰(zhàn)略指導(dǎo)和得推動(dòng)力，需謎要委任、資貍源和為信息汪安全管理分警配責(zé)任，也怎包括董事會(huì)糾確定其目標(biāo)己是否已實(shí)現(xiàn)陽(yáng)的方式。胳*企業(yè)架碼購(gòu)關(guān)注的內(nèi)沸容是響應(yīng)不躍斷增加的I帽T復(fù)雜性，申現(xiàn)代組織的德復(fù)雜性，重裹點(diǎn)關(guān)注IT寨與業(yè)務(wù)戰(zhàn)略筆的一致性并殊確保IT投岔資產(chǎn)生真實(shí)冶回報(bào)歲*企業(yè)架策構(gòu)（EA）車的參考模型惰：恥績(jī)效參轟考模型蓬—目衡量主要I舊T投資績(jī)效飛及其對(duì)業(yè)務(wù)叮流程績(jī)效貢動(dòng)獻(xiàn)度的框架羊業(yè)務(wù)參謝考模型伸—鳥(niǎo)功能驅(qū)動(dòng)的戴框架，描述仍由政府、獨(dú)躲立機(jī)構(gòu)所執(zhí)弄行的功能聚服務(wù)組費(fèi)件參考模型遍—冤對(duì)支持業(yè)務(wù)息和績(jī)效目標(biāo)縱的服務(wù)組件抹進(jìn)行分類的邀功能性框架亂技術(shù)參偉考模型禁—斯描述技術(shù)如圓何支持服務(wù)矩組件的交付哨、替換和構(gòu)怕建的框架泥數(shù)據(jù)參羽考模型噸—努用在開(kāi)發(fā)過(guò)倍程中，描述哨支持程序和圓業(yè)務(wù)生產(chǎn)線儲(chǔ)的數(shù)據(jù)信息犯*對(duì)XX顆的控制是最幣有效癢——午找屬于預(yù)防足性控制親*強(qiáng)制休涂假延——撈防止舞弊，揮發(fā)現(xiàn)問(wèn)題加晨強(qiáng)控制庫(kù)*信息系咱統(tǒng)職能的交安付方式包括停：蟻內(nèi)包扇——寧由組織內(nèi)員灑工實(shí)施似外包確——毫全部由供應(yīng)壟商實(shí)施（把鑄公司無(wú)增值清功能的事務(wù)稈轉(zhuǎn)移出去）發(fā)混合方猛式遣——?dú)び山M織員工悔和供應(yīng)商混重合實(shí)施狼*信息系依統(tǒng)職能實(shí)施溪方式：源現(xiàn)場(chǎng)表——翻員工直接在勝信息系統(tǒng)現(xiàn)議場(chǎng)工作脆離場(chǎng)（濟(jì)近岸）席——進(jìn)員工在同一透地理區(qū)域內(nèi)牛的不同地點(diǎn)幣遠(yuǎn)程工作框離岸戲——付員工在不同抵的地理區(qū)域圾遠(yuǎn)程工作遮*外包方百式應(yīng)該注意紛：數(shù)據(jù)的所朋有者、知識(shí)李產(chǎn)權(quán)問(wèn)題以敘及對(duì)外包方仆的審計(jì)權(quán)問(wèn)鴿題態(tài)*全球化暫外包需要注違意事項(xiàng)：專法律、傘法規(guī)和稅務(wù)瑞方面的事務(wù)答——循不同國(guó)家和河地區(qū)對(duì)IT賺系統(tǒng)的相關(guān)閑規(guī)定宅持續(xù)運(yùn)眼行招——獲可能無(wú)法提軟供測(cè)試BC奶P和DRP句網(wǎng)絡(luò)通成訊事務(wù)佳跨國(guó)界恒和跨文化的帳事務(wù)陽(yáng)*云計(jì)算得服務(wù)交付模凈型：S睡aaS（軟蓬件交付）、忽Paa吸S（平臺(tái)交難付）、百laaS（杯架構(gòu)交付）菠*laa財(cái)S（架構(gòu)交勒付）需要關(guān)貪注：服務(wù)中蓬斷條*Paa筋S（平臺(tái)交籠付）需要關(guān)勞注：隱私性燦，數(shù)據(jù)所有苗權(quán)當(dāng)*Saa極S（軟件交付付）需要關(guān)打注：軟件應(yīng)年用所處位置割*云計(jì)算店注意的問(wèn)題錘：服務(wù)商宕址機(jī)、機(jī)密性員如何保證、爪安全問(wèn)題的喘法律責(zé)任、笨數(shù)據(jù)所有權(quán)欺*私有云鐵的安全性最壞好，但不容南易擴(kuò)展甚*敏感數(shù)茫據(jù)的使用者凳需要關(guān)心數(shù)箱據(jù)安全性問(wèn)弓題丸*云治理布要考慮使用腿云計(jì)算時(shí)主熟要考慮和I針T的戰(zhàn)略方痛向繳*采購(gòu)實(shí)哄務(wù)中第三方旺服務(wù)的變更本管理：變更吐服務(wù)條款，男包括對(duì)現(xiàn)有榴的信息安全根政策、規(guī)程扔和控制的維問(wèn)護(hù)及改善，冊(cè)應(yīng)考慮業(yè)務(wù)斜關(guān)系的關(guān)鍵恒性及其涉及碌流程進(jìn)行管鼓理，并重新藍(lán)評(píng)估風(fēng)險(xiǎn)。獅*建立I悉T用戶計(jì)費(fèi)罵機(jī)制可以提遺高應(yīng)用水平魂，監(jiān)督信息糠系統(tǒng)費(fèi)用和凝可用資源溉*軟件開(kāi)殲發(fā)，公司對(duì)瞇內(nèi)部使用軟番件的成本資睬本化（作為謊固定資產(chǎn)成走本攤銷）獸*績(jī)效優(yōu)屑化：是在無(wú)碼須對(duì)信息技頃術(shù)基礎(chǔ)設(shè)施府追加額外投污資的情況下雄，將信息系涼統(tǒng)的生產(chǎn)力帳盡可能提高妥到最高水平籃*管理指飲南的重要內(nèi)屬容：關(guān)籃鍵成功要素處（CSF）愚、關(guān)鍵目堡標(biāo)指標(biāo)（K堤GI）、蓄關(guān)鍵績(jī)效指井標(biāo)（KPI光）、成熟猶度模型灑*信息系飯統(tǒng)部門(mén)組織什結(jié)構(gòu)職務(wù)：棍最終用海戶服務(wù)臺(tái)：碼與業(yè)務(wù)部門(mén)存溝通的界面烤運(yùn)行部驚門(mén)計(jì)算機(jī)操糞作員：在主蟻機(jī)環(huán)境的控言制臺(tái)上執(zhí)行摸任務(wù)準(zhǔn)技術(shù)支占持部門(mén)的系會(huì)統(tǒng)程序員：辛在主機(jī)環(huán)境很中對(duì)操作系顫統(tǒng)進(jìn)行修改IT部門(mén)DBA業(yè)務(wù)部門(mén)最終用戶OS管理員網(wǎng)絡(luò)管理員生產(chǎn)現(xiàn)場(chǎng)操作人員QA開(kāi)發(fā)部門(mén)應(yīng)用程序員分析員系統(tǒng)程序員訊*拔職責(zé)分離高（要理解）IT部門(mén)DBA業(yè)務(wù)部門(mén)最終用戶OS管理員網(wǎng)絡(luò)管理員生產(chǎn)現(xiàn)場(chǎng)操作人員QA開(kāi)發(fā)部門(mén)應(yīng)用程序員分析員系統(tǒng)程序員文文估釣拒究繪夜夠船蠢滴拼浙匙安全管理員構(gòu)不可以是系前統(tǒng)管理員悅涼進(jìn)濫豪破紡握擾龜環(huán)最牽御驕選項(xiàng)中業(yè)務(wù)梢案例最重要細(xì)*發(fā)現(xiàn)沒(méi)尋有職責(zé)分離慚，找補(bǔ)償性豪控制姨*選擇項(xiàng)塌中不選：多疏加人、停止壽工作、自動(dòng)菠化檢查系統(tǒng)云*審計(jì)師孕發(fā)現(xiàn)問(wèn)題無(wú)——軌找證據(jù)椅審計(jì)師確昆認(rèn)問(wèn)題安——貫報(bào)告適當(dāng)?shù)捏@管理層元*控制組麻負(fù)責(zé)收集、閱轉(zhuǎn)換和控制保輸入，核對(duì)軋結(jié)果并向用嫩戶分發(fā)結(jié)果倚*質(zhì)量控辛制：負(fù)責(zé)執(zhí)槳行測(cè)試或?qū)彵撞?，以?yàn)證池并確保軟件普不存在缺陷輝并滿足用戶泊預(yù)期，必須途在程序被遷陷移到生產(chǎn)環(huán)持境之前進(jìn)行織。勤*質(zhì)量保申證（QA）錯(cuò)：幫助信息爪系統(tǒng)部門(mén)確境保其人員遵遵守規(guī)定的質(zhì)移量程序。鉤發(fā)布、制定鳴、維護(hù)質(zhì)量臭標(biāo)準(zhǔn)末。余*跳不能對(duì)自己牌的工作做Q栽A；用戶、負(fù)開(kāi)發(fā)人員不覆能做QA活*告應(yīng)用程序員蠢負(fù)責(zé)開(kāi)發(fā)和傘維護(hù)應(yīng)用系已統(tǒng)，只能在溝開(kāi)發(fā)和測(cè)試傷環(huán)境中進(jìn)行素；榮*諸在小型機(jī)構(gòu)科中，網(wǎng)絡(luò)管靠理員可以負(fù)帝責(zé)局域網(wǎng)的鬼安全管理，得可以擁有系肚統(tǒng)程序員及男最終用戶的蜻職責(zé)，但不綿應(yīng)擁有應(yīng)用墊程序編程的投職責(zé)；竄*從信息茫系統(tǒng)的角度排來(lái)看，戰(zhàn)略真規(guī)劃是組織些為了利用信當(dāng)息技術(shù)來(lái)改著善業(yè)務(wù)流程毫而確定的長(zhǎng)洪期發(fā)展方向呢。躬*在制定意業(yè)務(wù)戰(zhàn)略過(guò)蚊程中缺乏I警T的介入將哄導(dǎo)致IT戰(zhàn)果略規(guī)劃不能顆與業(yè)務(wù)戰(zhàn)略題保持一致的贊風(fēng)險(xiǎn)夸*戰(zhàn)略指稀導(dǎo)委員會(huì)的留主要職責(zé)是執(zhí)對(duì)重要的信帆息系統(tǒng)項(xiàng)目聞進(jìn)行審查，重而不應(yīng)當(dāng)涉影及日常運(yùn)營(yíng)它。技*IT指拆導(dǎo)委員會(huì)監(jiān)特督重大項(xiàng)目浩的進(jìn)度和資矩源分配架*項(xiàng)目管腦理委員會(huì)負(fù)級(jí)責(zé)制定IT篩項(xiàng)目策略提*采用自摸頂向下的方陷法來(lái)制定低煩層政策，確廳保了各級(jí)政披策的一致性侮*采用自綁底向上的方睬法來(lái)制定低末層政策，基弊于風(fēng)險(xiǎn)評(píng)估胞的結(jié)果而制串定的，可能榜更加實(shí)用，坡但容易造成潮政策間的不廈一致和相互圓抵觸。論*程序反擠映了業(yè)務(wù)流宣程及嵌入的狠控制。程序蠶由流程所有檔人制定，是乞?qū)φ叩挠新敌Ы忉屬?zèng)*風(fēng)險(xiǎn)管雷理是組織用島于識(shí)別信息掛資源的脆弱裙性及威脅，回制定相應(yīng)的禮對(duì)策（安全添措施或控制浴），以實(shí)現(xiàn)蘇組織業(yè)務(wù)目蜓標(biāo)的過(guò)程。傻*安全政數(shù)策必須在控妙制水平與生竹產(chǎn)效率之間幟進(jìn)行平衡，酷控制成本決脖不能超過(guò)控汁制所帶來(lái)的駐預(yù)期收益。嘴*信息安射全政策指導(dǎo)槍整個(gè)組織來(lái)青確定所需保涂護(hù)的內(nèi)容、草相應(yīng)的保護(hù)襖職責(zé)以及保麻護(hù)工作應(yīng)遵壁循的策略。投*應(yīng)當(dāng)按卻照計(jì)劃周期百或當(dāng)發(fā)生重僑大變化時(shí)對(duì)懂信息安全政家策進(jìn)行審查芹，以確保其禮適當(dāng)性、充彎分性和有效繩性。夜*應(yīng)當(dāng)為揚(yáng)信息安全政煌策指定所有陣人，來(lái)批準(zhǔn)料安全政策的本制定、審查沾和評(píng)估等管塔理職責(zé)。拋*信息系儀統(tǒng)職責(zé)分離此的原則：弄資產(chǎn)保潑管授權(quán)結(jié)交易記粉錄篩*任何風(fēng)賞險(xiǎn)，都應(yīng)當(dāng)付基于信息資歡源對(duì)組織的培價(jià)值，將其扒降低至可接運(yùn)受水平。境*有效的咽風(fēng)險(xiǎn)管理始過(guò)于清楚的理叼解組織的風(fēng)疑險(xiǎn)偏好。在克IT環(huán)境下穿，風(fēng)險(xiǎn)偏好婚推動(dòng)所有的拴風(fēng)險(xiǎn)管理工馳作，影響未碌來(lái)的技術(shù)投賢資，IT資急產(chǎn)的保護(hù)程耐度及所需的墳保證水平。灑*風(fēng)險(xiǎn)管孫理包括識(shí)別需、分析、評(píng)總估、處置和姥溝通IT流輪程的風(fēng)險(xiǎn)影嘆響巷*風(fēng)險(xiǎn)的冤對(duì)應(yīng)措施：磚避免風(fēng)險(xiǎn)、驅(qū)降低風(fēng)險(xiǎn)、叔轉(zhuǎn)移風(fēng)險(xiǎn)、謀接受風(fēng)險(xiǎn)裹*為制定黃風(fēng)險(xiǎn)管理程滾序，必須：震1、確姑定風(fēng)險(xiǎn)管理灰程序的目的百2、為賄風(fēng)險(xiǎn)管理計(jì)污劃分配職責(zé)車*風(fēng)險(xiǎn)管屬理過(guò)程臂第一步退是對(duì)信息資受產(chǎn)或資源進(jìn)醉行標(biāo)識(shí)并分需類；槍第二步澡是評(píng)估與信君息資產(chǎn)相關(guān)歸的威脅和脆獎(jiǎng)弱性，及其托發(fā)生的可能響性；淺*威脅的介發(fā)生是由于仰信息資產(chǎn)存崇在脆弱性，黃脆弱性是信值息資源的特盟性，可以被駱威脅利用并遞造成損害晴*發(fā)生任尿何威脅所造鼓成的結(jié)果稱鵲為影響，它警能導(dǎo)致這種恒或那種損失潮*信息系鉛統(tǒng)管理實(shí)務(wù)差反映的是為很各種信息系瞞統(tǒng)相關(guān)管理努活動(dòng)所設(shè)計(jì)評(píng)的政策與程莊序的實(shí)施情悄況霧*CIA替要求：機(jī)密繳性、完整性筒和可用性蛙*服務(wù)臺(tái)薪應(yīng)建立正式糧流程來(lái)分別貸記錄已報(bào)告析、已解決和姻升級(jí)的問(wèn)題撿，并對(duì)問(wèn)題序和疑難進(jìn)行腎分析，以幫弊助監(jiān)督用戶肉和改善信息辱處理設(shè)施（播IPF）的污服務(wù)枕*在計(jì)算面機(jī)運(yùn)行中，著管理控制可蘿以劃分為物梳理安全控制送、數(shù)據(jù)安全鎮(zhèn)控制和處理爸控制三個(gè)類途別障*控制組瞞負(fù)責(zé)收集、耳轉(zhuǎn)換和控制濕輸入，核對(duì)太結(jié)果并向用鐮?wèi)舴职l(fā)輸出棉結(jié)果聰*數(shù)據(jù)錄柱入人員由控蓬制組管理，評(píng)因此撤數(shù)據(jù)錄入不啄一定是最終黑用戶漠*安全管野理應(yīng)首先得繳到管理層的潑支持，管理跌層必須了解遍并評(píng)估安全匯風(fēng)險(xiǎn)，制定搶書(shū)面政策清習(xí)晰地說(shuō)明應(yīng)皇遵循的標(biāo)準(zhǔn)漫和規(guī)程，并遍強(qiáng)制執(zhí)行鈴*為保證盤(pán)充分的職責(zé)次分離，安全龍管理員應(yīng)當(dāng)溝是全職員工沈，可以直接億向基礎(chǔ)設(shè)施芽主管報(bào)告疤*質(zhì)量保痰證人員通常件執(zhí)行兩種不鋤同任務(wù)：察質(zhì)量保預(yù)證（QA）增—輩幫助信息系測(cè)統(tǒng)部門(mén)確保燭其人員遵守射規(guī)定的質(zhì)量竹程序蹈質(zhì)量控修制（QC）鳴—削負(fù)責(zé)執(zhí)行測(cè)劇試或?qū)彶?，迅以?yàn)證并確逗保軟件不存糾在缺陷并滿經(jīng)足用戶預(yù)期全。盟*質(zhì)量控誕制（QC）將可以在系統(tǒng)慈開(kāi)發(fā)的各個(gè)臉階段進(jìn)行，芳但必須在程芝序被遷移到介生產(chǎn)環(huán)境之晉前進(jìn)行介*在任何捷情況下都不塵應(yīng)當(dāng)讓個(gè)人肆對(duì)自己所負(fù)達(dá)責(zé)的工作執(zhí)發(fā)行質(zhì)量審查紗*針對(duì)數(shù)標(biāo)據(jù)庫(kù)管理員柴（DBA）賴的嚴(yán)格控制激：面1、職山責(zé)分離賞2、D館BA活動(dòng)需堪要得到管理忍層批準(zhǔn)唱3、由炊主管對(duì)訪問(wèn)斥日志和相關(guān)輔活動(dòng)進(jìn)行審解查荷4、對(duì)御數(shù)據(jù)庫(kù)工具司的使用事實(shí)巖檢查性控制客*必須確珍保應(yīng)用程序牢員不能修改規(guī)生產(chǎn)環(huán)境中鑄的程序和應(yīng)駱用數(shù)據(jù)，他平們應(yīng)當(dāng)只能侍在測(cè)試環(huán)境女下工作，由宿另外的團(tuán)隊(duì)數(shù)把程序和應(yīng)鼻用變更遷移飾到生產(chǎn)環(huán)境緞中。大*在小型旗機(jī)構(gòu)中，網(wǎng)修絡(luò)管理員可羅以負(fù)責(zé)局域率網(wǎng)的安全管臺(tái)理，擁有系凝統(tǒng)程序員及守最終用戶的辟職責(zé)，但不照應(yīng)當(dāng)擁有應(yīng)銳用程序員編扯程的職責(zé)欺*應(yīng)當(dāng)分泄離的職責(zé)包削括：資產(chǎn)保幸管、授權(quán)、傲交易記錄漫*職責(zé)分配離的目標(biāo)是陽(yáng)：通過(guò)識(shí)別市補(bǔ)償性控制抵來(lái)降低或消斷除業(yè)務(wù)風(fēng)險(xiǎn)液*訪問(wèn)控昏制決策應(yīng)基脊于組織政策宏和兩個(gè)普遍匙接受的實(shí)踐虛標(biāo)準(zhǔn)：怪職責(zé)分箭離柄最小授皇權(quán)原則遍*用戶部蜻門(mén)應(yīng)提交授棟?rùn)?quán)單；信息渡系統(tǒng)部門(mén)根致?lián)跈?quán)單維罩護(hù)用戶授權(quán)乒表歡*審計(jì)痕惜跡的主要目稼的是建立交參付處理的業(yè)匹務(wù)交易的職永責(zé)（可追溯砌責(zé)任）。熱*歷針對(duì)職責(zé)分喬離的補(bǔ)償性罷控制父：雨1、滿審計(jì)軌跡歡—負(fù)在缺乏職責(zé)齡分離時(shí)，詳般細(xì)的審計(jì)軌妻跡將是可接枝受的補(bǔ)償性慰控制懲2、擔(dān)核對(duì)捏—跳核對(duì)是用戶挖的最終責(zé)任悔，還可以增退加控制組使經(jīng)用控制總計(jì)史和平衡表對(duì)券應(yīng)用系統(tǒng)執(zhí)翻行部分核對(duì)脫功能瞎3、斷例外報(bào)告胖—結(jié)應(yīng)當(dāng)由主管四層處理并且疾需要留下證響據(jù)腐4、唇交易日志惑—原可以時(shí)電子丘也可以手工賓5、領(lǐng)監(jiān)督性審核我—稀可以通過(guò)現(xiàn)扣場(chǎng)觀察、訪濁談或遠(yuǎn)程執(zhí)慨行獵6、曬獨(dú)立性審核扁—婦執(zhí)行獨(dú)立審前核是對(duì)錯(cuò)誤壟或故意違反脂既定流程的糾補(bǔ)償性控制商，在職責(zé)不儉能恰當(dāng)分離專的小型組織針中尤其重要隨*審計(jì)過(guò)嶄程中應(yīng)該審桃計(jì)的文檔：但I(xiàn)T戰(zhàn)救略、規(guī)劃和鋼預(yù)算岸安全政打策文檔吵組織圖駐或職能圖慘工作說(shuō)毯明炊指導(dǎo)委嫩員會(huì)報(bào)告灘系統(tǒng)開(kāi)曠發(fā)和程序變點(diǎn)更流程登操作流姑程帆人力資論源手冊(cè)未質(zhì)量保嘉證程序鷹*信息系扁統(tǒng)審計(jì)師應(yīng)謎當(dāng)驗(yàn)證管理扯層在合同過(guò)仰程中的參與敲程度，確保燕按適當(dāng)?shù)闹芰黄趯?duì)合同遵繳循性進(jìn)行審晶查。敗*制定I宅T服務(wù)外包孩決策應(yīng)考慮承的問(wèn)題：服介務(wù)質(zhì)量、持叮續(xù)服務(wù)保證護(hù)、控制程序上、競(jìng)爭(zhēng)優(yōu)勢(shì)認(rèn)和技術(shù)知識(shí)噴*外包實(shí)惜允許組織把壩服務(wù)交付轉(zhuǎn)萬(wàn)由第三方提芳供的機(jī)制。晶*外包的很基本原則是篇：雖然將服粉務(wù)交付轉(zhuǎn)移娛，但其職責(zé)荷仍屬于組織沾內(nèi)管理層，救他們必須確摟保對(duì)風(fēng)險(xiǎn)的般適當(dāng)管理及主供應(yīng)商持續(xù)延的價(jià)值交付笨。簡(jiǎn)*隱外包應(yīng)注意佛：數(shù)據(jù)所有科權(quán)，知識(shí)產(chǎn)均權(quán)，審計(jì)權(quán)防（或獨(dú)立的匠第三方審計(jì)懷報(bào)告）掉*IT目惠標(biāo)應(yīng)當(dāng)是改土善用戶滿意訴度并實(shí)現(xiàn)業(yè)才務(wù)目標(biāo)。應(yīng)勤當(dāng)通過(guò)用戶伙訪談和調(diào)查足來(lái)監(jiān)督用戶劑滿意度煮*質(zhì)量管利理是控制、寫(xiě)衡量和改善求IS部門(mén)流獲程的一種方隊(duì)法為*信息系你統(tǒng)部門(mén)制定胳并維護(hù)的書(shū)宣面流程是有扛效管理信息恐資源的證據(jù)英，堅(jiān)持遵守界流程及相關(guān)根流程管理技登術(shù)是信息系避統(tǒng)部門(mén)有效翅運(yùn)營(yíng)的關(guān)鍵雙因素。狠*績(jī)效評(píng)億價(jià)的主要階似段有：嘉1、制驟定和更新績(jī)橡效指標(biāo)漫2、為蔽績(jī)效指標(biāo)建拔立責(zé)任制鬧3、收插集和分析績(jī)提效數(shù)據(jù)蹦4、報(bào)量告和使用績(jī)炎效信息斧*績(jī)效指樣標(biāo)用途少1、衡著量產(chǎn)品和服肚務(wù)膠2、管列理產(chǎn)品和服凱務(wù)誠(chéng)3、確獄保責(zé)任制沿4、制朵定預(yù)算決策剝5、優(yōu)擊化績(jī)效側(cè)*針對(duì)職抹責(zé)分離的補(bǔ)斤償性控制：闖審計(jì)蹤揮跡、核對(duì)、找例外報(bào)告、釋交易日志、掃監(jiān)督性審核鵲、演獨(dú)立性審核孫（在不能進(jìn)里行有效職責(zé)胳分離的小型誦組織尤其重陷要，可以幫俯助發(fā)現(xiàn)錯(cuò)誤鞋或違規(guī)行為日）派*業(yè)務(wù)連于續(xù)性計(jì)劃（彼BCP）區(qū)——菌涉及組織內(nèi)芳絕大多數(shù)部蜜門(mén)；災(zāi)難恢腸復(fù)計(jì)劃（D著RP）鞭——畫(huà)涉及IT及堆相關(guān)部門(mén)廟*繭BCP責(zé)任韻屬于高級(jí)管里理層，高級(jí)帳管理層不能追將責(zé)任分到懲下屬香*業(yè)務(wù)連支續(xù)性計(jì)劃應(yīng)宿當(dāng)基于長(zhǎng)期手的IT計(jì)劃坦，并與組織多總體業(yè)務(wù)連枯續(xù)性戰(zhàn)略一釣致捧*業(yè)務(wù)連彩續(xù)性計(jì)劃和領(lǐng)災(zāi)難恢復(fù)的糠目的是使組燕織在中斷事靈件后可以持智續(xù)提供關(guān)鍵廣服務(wù)并從災(zāi)食難中斷中恢樂(lè)復(fù)其活動(dòng)；叮*災(zāi)難恢焦復(fù)（DRP佳）與業(yè)務(wù)連桿續(xù)性計(jì)劃（秘BCP）是培組織為避免夢(mèng)關(guān)鍵業(yè)務(wù)功孟能因重大災(zāi)印難而中斷，說(shuō)減少業(yè)務(wù)風(fēng)啟險(xiǎn)而建立的原一個(gè)控制過(guò)估程；鍋是業(yè)務(wù)流程駝，不是一個(gè)今項(xiàng)目妖。泰*BCP堂主要是組織捎高級(jí)管理層己的責(zé)任，因關(guān)為高級(jí)管理厭層對(duì)組織的某資產(chǎn)和生存呆負(fù)有最高責(zé)螺任；高級(jí)管霉理層不能推王托將責(zé)任委胞托給下級(jí)人脫員。燙*BCP牲計(jì)劃不是所藝有的業(yè)務(wù)流桐程都要恢復(fù)收（只恢復(fù)關(guān)繞鍵流程），躺也不是所有淺的服務(wù)都需配要恢復(fù)，泰關(guān)鍵的目標(biāo)逆是滿足客戶葛的需求曾。微*BCP嘩維護(hù)的一個(gè)掛重要步驟：森組織內(nèi)任何醬相關(guān)變化產(chǎn)沸生時(shí)都要進(jìn)遺行BCP的哨更新和演練部*業(yè)務(wù)連欠續(xù)性計(jì)劃（伍BCP）是遭組織為避免轎業(yè)務(wù)功能/澆運(yùn)作中斷，疏減少業(yè)務(wù)風(fēng)斜險(xiǎn)而建立的熱一個(gè)控制流龍程，包括對(duì)娛支持組織關(guān)霞鍵業(yè)務(wù)的人幅力、物力需押求和關(guān)鍵業(yè)臉務(wù)所需的最瞇小級(jí)別服務(wù)抓水平的連續(xù)低性保證。遞*準(zhǔn)備一部個(gè)新的BC苦P的第一步磚師識(shí)別戰(zhàn)略耀性的業(yè)務(wù)流算程，這些關(guān)剃鍵流程是業(yè)施務(wù)持續(xù)增長(zhǎng)搖和實(shí)現(xiàn)業(yè)務(wù)毅目標(biāo)的保證百*風(fēng)險(xiǎn)管李理在BCP牢的準(zhǔn)備階段銜被關(guān)注。岔*無(wú)論發(fā)愉生何種中斷魯，關(guān)注的焦繞點(diǎn)永遠(yuǎn)是關(guān)振鍵業(yè)務(wù)流程預(yù)的可用和持抗續(xù)運(yùn)行錦*千如果信息系揚(yáng)統(tǒng)的BCP拳與DRP需張要單獨(dú)建立口，必須與組鞏織的總的B舅CP計(jì)劃保膨持一致喚。毫*知不存在單獨(dú)爹的DRP計(jì)盼劃，一定先邁有BCP才謝會(huì)有DRP帳。燥*一個(gè)整佛合的BCP蛇計(jì)劃必須確窮保：柜每個(gè)部伐分都被涵蓋易承諾的藝資源被最有塘效的方式使般用，并有充唇分證明通過(guò)礦它組織可以椒克服中斷生醉存下去幟*災(zāi)難：版把發(fā)生概率壞極小，但沖林擊極大集*一個(gè)業(yè)梢務(wù)連續(xù)性計(jì)酸劃應(yīng)當(dāng)識(shí)別沾出當(dāng)發(fā)生災(zāi)座難時(shí)，業(yè)務(wù)蜂應(yīng)當(dāng)做什么甚*保證恢覽復(fù)的成本永博遠(yuǎn)不要超過(guò)衰所獲得的利約益損*流感大對(duì)流行的到來(lái)坐具有很強(qiáng)的惰不確定性，綱對(duì)社會(huì)和經(jīng)較濟(jì)的影響與窄威脅是確定乎的。鏟*流感大讀流行特點(diǎn)是事系統(tǒng)、設(shè)備竭沒(méi)有問(wèn)題，剖但是人沒(méi)有拴了這。棕*流感大挪流行的應(yīng)對(duì)門(mén)規(guī)劃和傳統(tǒng)側(cè)的業(yè)務(wù)連續(xù)攔性規(guī)劃不同餡，信息系統(tǒng)慚審計(jì)師應(yīng)評(píng)議價(jià)組織對(duì)流超感大流行的貍準(zhǔn)備；流感酸大流行的影養(yǎng)響由于范圍繳和持續(xù)時(shí)間肝不同難以確豐定。匪*危機(jī)溝叛通范圍：茅內(nèi)部：咬股東、員工車外部：膀新聞媒體、員政府匙*危機(jī)溝麗通中，除發(fā)需言人外，組斥織中的任何疼其他人不管孝官居何職，仙都不得發(fā)布興任何公共言祝論避*BCP告主要針對(duì)服打務(wù)中斷消*歉BCP是糾遇正性控制平*根據(jù)對(duì)磁業(yè)務(wù)危害程段度的估計(jì)，場(chǎng)對(duì)各種事件閃進(jìn)行分類：廉可忽略事件貿(mào)、微小事件蓮、重大事件隔、危險(xiǎn)事件院，在事件被招解決前，任傍何對(duì)它的分孩類都是臨時(shí)園性的口*BCP草過(guò)程分為：盒1、創(chuàng)驟建業(yè)務(wù)連續(xù)棍性方針/政寶策紹2、風(fēng)噴險(xiǎn)分析RA守3、B通IA\運(yùn)行鷹分類及重要盛性分析屯4、識(shí)扛別支持關(guān)鍵伸組織功能的犬信息系統(tǒng)流怨程暖5、開(kāi)緣發(fā)BCP策消略蜘6、開(kāi)亭發(fā)業(yè)務(wù)連續(xù)膏性計(jì)劃和D抵RP步驟米7、開(kāi)依發(fā)重建程序收8、培桑訓(xùn)與意識(shí)教潛育程序監(jiān)9、計(jì)急劃的演練與矛實(shí)施華10、干監(jiān)測(cè)鵲*壞BIA之鋤后做策略供奸管理層選擇寒，管理層批孔準(zhǔn)后，制定別計(jì)劃然*執(zhí)行B摸IA的方法稅：料1、設(shè)冒計(jì)詳細(xì)的調(diào)本查問(wèn)卷，分?jǐn)嚢l(fā)給重要業(yè)崗務(wù)人員和I孩T人員（用莖戶多，分布嶺廣，問(wèn)題標(biāo)涉準(zhǔn)化）秒2、拜怎訪關(guān)鍵用戶疫，通過(guò)面談寄收集信息（今問(wèn)題復(fù)雜）桐3、把兩IT和終端式用戶召集，彈討論得到結(jié)鋤論（跨部門(mén)油）濕*信息系辛統(tǒng)審計(jì)師應(yīng)她該分析過(guò)去散的事務(wù)量以肯確定在系統(tǒng)興不可用期間業(yè)對(duì)業(yè)務(wù)的影品響程度目*BIA狠目標(biāo)：業(yè)務(wù)弓、利潤(rùn)；合疾規(guī)；合同約隔定、承諾么*對(duì)BI龜A應(yīng)用的重萄要性分類：升關(guān)鍵的今——孟必須立即恢弦復(fù)（中斷幾定小時(shí)到一天肆）振重要的麻——沸短時(shí)間人工踢替代（1~醋5天）蓋敏感的枯——露長(zhǎng)時(shí)間人工輝替代（一周轟以上）逝不敏感態(tài)——含可完全手工撿替代否*BIA秒中關(guān)鍵業(yè)務(wù)鳳流程由流程聯(lián)所有者確定戴，由高級(jí)管色理層批準(zhǔn)巨*BIA千之后先做恢翁復(fù)策略臥*RPO影越小，最低夜可接受損失坊就越少，就蛙需要采用鏡垮像或磁盤(pán)雙步工技術(shù)撓*津在制定DR筐P計(jì)劃時(shí)需梅要RPO值斤*察RTO指極業(yè)務(wù)恢復(fù)耳。隙*HR的片員工手冊(cè)中端必須有人員留撤離計(jì)劃漆*RPO凍影響備份技問(wèn)術(shù)的選擇腐*RTO例越小，對(duì)災(zāi)涼難容忍程度零就越低，就惰只能選擇救“妻熱站稅”場(chǎng)*揪完全不允許良停機(jī)傘——穩(wěn)雙生產(chǎn)中心慧（冗災(zāi)中心澤、鏡像站點(diǎn)短）圣*災(zāi)難恢介復(fù)策略其他劑參數(shù)：僅中斷窗凳口：組織能某夠等待的自群失效點(diǎn)時(shí)刻減到關(guān)鍵服務(wù)斑應(yīng)用恢復(fù)的反時(shí)刻姜服務(wù)交茫付目標(biāo)（S脆DO）：直阿到正常的生謊產(chǎn)系統(tǒng)恢復(fù)饞運(yùn)營(yíng)，由替植代流程實(shí)現(xiàn)收的服務(wù)水平壘。這直接與該業(yè)務(wù)需求相毫關(guān)貓最大可罪容忍中斷：拆組織使用備盛用方式支持四的生產(chǎn)處理綁的最長(zhǎng)時(shí)間純*災(zāi)難必問(wèn)須由授權(quán)人尤員宣告羞*管理層毯與員工積極想?yún)⑴c是BC驚P成功的重插要因素霉*如果組璃織中不存在猴統(tǒng)一的業(yè)務(wù)意連續(xù)性計(jì)劃吵，針對(duì)信息擋系統(tǒng)的BC目P需要覆蓋旨整個(gè)依賴信村息系統(tǒng)服務(wù)扒的部門(mén)和單喉位絲*腦恢復(fù)策略的乘選擇基于下僑列因素：暈1、業(yè)拔務(wù)流程及支襪持此流程的碌應(yīng)用系統(tǒng)的創(chuàng)重要性；囑2、成慨本；簽3、組盤(pán)織要求的恢定復(fù)時(shí)間；返4、安跪全工。懶*恢復(fù)成卵本不應(yīng)大于漿停機(jī)成本諸*最適合言的恢復(fù)策略久的選擇，首退先要通過(guò)業(yè)臣務(wù)影響分析施確定風(fēng)險(xiǎn)和婚重要性級(jí)別糕，然后通過(guò)娃比較恢復(fù)成懼本和停機(jī)成壘本來(lái)決定。成*熱站的示安全級(jí)別不盲是最高的，式最高安全級(jí)很別的應(yīng)該是稈鏡像冗余站輩點(diǎn)，或者是位雙生產(chǎn)中心謙*熱戰(zhàn)：鋤除應(yīng)用程序形、數(shù)據(jù)、文扁件以及操作叫人員外其他譽(yù)全部齊全沉*溫站：獅在熱站基礎(chǔ)酒上減少主機(jī)伯*冷站：避只有基本環(huán)頑境，電、空舊調(diào)、場(chǎng)地鳴*高級(jí)管浙理人員是B尺CP關(guān)鍵決途策制定者，夜具有決定啟貌動(dòng)計(jì)劃的最眉終裁定權(quán)航*與業(yè)務(wù)檢連續(xù)性計(jì)劃多相關(guān)的部門(mén)垃有：服務(wù)支雞持部門(mén)、業(yè)矛務(wù)運(yùn)行部門(mén)族、信息處理煙支持部門(mén)貸*BCP羽演練的各個(gè)界階段：預(yù)演稠練階段、演舍練階段、演賢練后續(xù)階段梁*演練類憲型：紙上推亡演、預(yù)備性塑演練、全面佳運(yùn)行演練樓*鏟如果信息系炕統(tǒng)的BCP啟和DRP需拾要單獨(dú)建立削，必須與組裕織的總的B夕CP計(jì)劃保讓持一致灰。乒*在管理五層選擇了適嗎用的恢復(fù)策狼略后，下一辭步的目標(biāo)就醫(yī)是制定詳細(xì)慰的業(yè)務(wù)連續(xù)行性計(jì)劃和災(zāi)卸難恢復(fù)計(jì)劃瞇，并在異地情備份場(chǎng)所存予放一份計(jì)劃置的拷貝，最贈(zèng)好是紙質(zhì)紛*首先用央戶和管理層斧的參與是識(shí)屯別關(guān)鍵資源衣的基礎(chǔ)，其替次要由他們葵來(lái)決定關(guān)鍵仗的恢復(fù)時(shí)間迅和定義所需碧的資源。數(shù)*應(yīng)急管病理小組通常財(cái)由高級(jí)管理餅人員領(lǐng)導(dǎo)繳*當(dāng)VO裁IP作為組巨織的唯一通賴信線路時(shí)，料要考慮備份侵*爬冷熱溫站合綢同事項(xiàng)：魄1、配約備千—促包括軟件和獵硬件是否滿禽足需要搖2、災(zāi)申難繁—對(duì)對(duì)災(zāi)難的定悅義是否滿足葬預(yù)期需要效3、啟蝕用速度果—言多長(zhǎng)時(shí)間可辣以啟用草4、每李個(gè)站點(diǎn)的申慘請(qǐng)者量—逐是否限制每湖個(gè)站點(diǎn)申請(qǐng)濁者的數(shù)量抵5、每龜個(gè)區(qū)域的申攝請(qǐng)者填6、優(yōu)版先權(quán)后7、保蒙險(xiǎn)葡8、站身點(diǎn)使用期限例9、通沾訊能力忘10、鳴服務(wù)承諾鏡11、彈審計(jì)條款賊12、頭測(cè)試權(quán)限首13、迅恢復(fù)站點(diǎn)的陜可靠性證明椅*BCP危演練目標(biāo)：度1、驗(yàn)狹證BCP的和完全性或準(zhǔn)僵確性；廈2、評(píng)敲價(jià)BCP演繭練中個(gè)人的在績(jī)效；端3、評(píng)傳價(jià)對(duì)非BC公P團(tuán)隊(duì)成員便的其他員工可的教育與培略訓(xùn)；釋4、評(píng)秀價(jià)BCP團(tuán)鍋隊(duì)與外部供炎應(yīng)商之間的峰協(xié)調(diào)性；杠5、通蹲過(guò)實(shí)施預(yù)定福的程序來(lái)演前練備份站點(diǎn)占的能力與容傍量；繁6、評(píng)象估重要記錄勇的檢索能力辭；紗7、評(píng)甘價(jià)要轉(zhuǎn)移到庫(kù)恢復(fù)站點(diǎn)的啄設(shè)備的狀態(tài)賀、數(shù)量及供刮應(yīng)情況；覆8、評(píng)直價(jià)與維護(hù)業(yè)籠務(wù)實(shí)體有關(guān)脫的運(yùn)行活動(dòng)枝和信息系統(tǒng)概處理活動(dòng)的瞞績(jī)效俗*仆對(duì)備份存儲(chǔ)晃位置的邏輯更以及物理安酬全要求應(yīng)該局與生產(chǎn)中心襲的級(jí)別一致啦*漏異地備份庫(kù)倡管理員的責(zé)戲任：意1、維聽(tīng)護(hù)一個(gè)永久汽的備份存儲(chǔ)將介質(zhì)的庫(kù)目殘錄幫（可以手工啦或者自動(dòng)）果；將2、控枕制對(duì)這些存蛛儲(chǔ)介質(zhì)的訪買問(wèn)；宣3、根酒據(jù)需要，控途制存儲(chǔ)介質(zhì)生在不同的庫(kù)揭中循環(huán)流通雄；寫(xiě)4、維炮護(hù)一份BC是P拷貝。喚*制定和童維護(hù)一個(gè)D另RP與BC罰P應(yīng)該：耀1、執(zhí)臣行BIA；蒼2、識(shí)獎(jiǎng)別各類資源間并分類；鍛3、選干擇策略恢復(fù)傾IT設(shè)施，懼支持關(guān)鍵業(yè)惑務(wù)流程；月4、制斬定詳細(xì)計(jì)劃鋼恢復(fù)IT設(shè)盟施（DRP嶺）；詠5、制論定詳細(xì)計(jì)劃過(guò)保證關(guān)鍵業(yè)艇務(wù)運(yùn)行（B虹CP）；軋6、測(cè)惑試計(jì)劃；因7、當(dāng)窄業(yè)務(wù)和系統(tǒng)緩環(huán)境發(fā)生變定化時(shí)，維護(hù)怨與更新計(jì)劃殘。俯*BCP齡計(jì)劃更新日眠期都是30瀉天肺*備份和樓介質(zhì)的選擇鉛因素：鏡1、標(biāo)爬準(zhǔn)化糊——快技術(shù)支持雁2、容漠量翅——義滿足需求農(nóng)3、速偽度窯——悉與業(yè)務(wù)要求粥一致韻4、成昆本汽——烏包括設(shè)備和刷介質(zhì)的成本務(wù)*備份的搜方法：全備潔(最慢)、憶增量（最快焦）、差分（鴉一般）哨*呼叫樹(shù)掃清單每個(gè)月徑都需要核實(shí)僻*計(jì)劃演艙練目的：找近出錯(cuò)誤、不漸足，沒(méi)有控為制的點(diǎn)；炒個(gè)人進(jìn)績(jī)效亦*舌全面運(yùn)行演趙練不能由演獄練變成真正婚的災(zāi)難倦*審核B泛CP計(jì)劃：躲是否覆蓋關(guān)裁鍵業(yè)務(wù)流程紐*典業(yè)務(wù)連續(xù)性欲計(jì)劃中緊急覽逃生最重要掏，人的安全朗永遠(yuǎn)排在第殖一位從第三章信息此系統(tǒng)與基礎(chǔ)腳設(shè)施生命周餅期管理績(jī)*項(xiàng)目的茂定義：萌1、項(xiàng)繁目是一項(xiàng)有腰待完成的任致務(wù)，且有特療定環(huán)境與要孫求屢2、在宣一定的組織扇機(jī)構(gòu)內(nèi)，利蘆用有限資源恨（人力、物鑰力、財(cái)務(wù)等澡）在規(guī)定的悲時(shí)間內(nèi)完成肢任務(wù)撇3、任提務(wù)要滿足一疑定性能、質(zhì)梳量、數(shù)量、符技術(shù)指標(biāo)等她要求。蓮*圾項(xiàng)目一定有女截至點(diǎn),不舉能無(wú)限期延代續(xù)；一定在瑞有限的時(shí)間遣、有限的預(yù)浪算內(nèi)。交付梳物是可以長(zhǎng)玻期保存的避。棚*沈軟件項(xiàng)目一結(jié)旦交付到生仰產(chǎn)環(huán)境后應(yīng)青立即交割給蠢運(yùn)維人員皺。玩*項(xiàng)目的戰(zhàn)目標(biāo)應(yīng)該包儲(chǔ)括成果性目以標(biāo)和約束性步目標(biāo)，滿足嚇客戶、管理壯層和供應(yīng)商銳在時(shí)間、費(fèi)尊用和性能上粱的不同需求階。德*項(xiàng)目群吧可以看成是社由一系列項(xiàng)竄目和有時(shí)間司邊界的任務(wù)求組成，這些溜項(xiàng)目和任務(wù)謝通過(guò)共同的扯目標(biāo)、共同瑞的預(yù)算、相統(tǒng)互交織的日對(duì)程和策略等擠緊密的聯(lián)系久在一起。卻*成功的袍實(shí)施項(xiàng)目群慮，需要對(duì)以稼下內(nèi)容進(jìn)行凱有效管理：減1、項(xiàng)截目群的范圍姑、財(cái)務(wù)、日競(jìng)程、目標(biāo)及掉交付物；多2、項(xiàng)目目群所處的碰環(huán)境；寶3、項(xiàng)費(fèi)目群的溝通伶與文化；射4、項(xiàng)比目群的組織集。市*項(xiàng)目群?jiǎn)嶂械湫偷臏瞎磐ńY(jié)構(gòu)就是厚召開(kāi)項(xiàng)目群驗(yàn)所有者會(huì)議巾和項(xiàng)目群團(tuán)芽隊(duì)會(huì)議桐*項(xiàng)目管屑理辦公室是廚項(xiàng)目管理和逐項(xiàng)目群管理享過(guò)程的所有畜者，它必須燈是永久性的等組織結(jié)構(gòu)，屢需要配置充恭足的人員，賄以對(duì)當(dāng)前的昂項(xiàng)目管理提娘供充分的支為持，同時(shí)開(kāi)害發(fā)新的程序拐和標(biāo)準(zhǔn)。懲*項(xiàng)目管叔理辦公室只桂涉及項(xiàng)目管升理程序中的揪活動(dòng)和任務(wù)救，并不涉及貧具體的項(xiàng)目濟(jì)內(nèi)容。首*在一個(gè)修給定的時(shí)間控點(diǎn)上，組織踩中正在進(jìn)行藝的所有的項(xiàng)娛目的集合稱短為項(xiàng)目組合良。巖*項(xiàng)目組掃合的管理目亮的：麗1、優(yōu)侄化項(xiàng)目組合戴的結(jié)果若2、對(duì)泉項(xiàng)目?jī)?yōu)先級(jí)伯排序，進(jìn)行偵日程安排裁3、協(xié)圖調(diào)對(duì)資源的甚使用溉4、項(xiàng)垮目中的知識(shí)居傳遞歸*尖項(xiàng)目是短期承的、戰(zhàn)術(shù)性嬌的率*雙項(xiàng)目群是長(zhǎng)往期的、戰(zhàn)略版性的遮*費(fèi)項(xiàng)目組合具金有管理周期束（每季度或紗每年）臺(tái)*掘應(yīng)追求整體場(chǎng)項(xiàng)目組合的愈收益最大化姨。乖*規(guī)劃I睡T項(xiàng)目時(shí)首乏先需要進(jìn)行藏業(yè)務(wù)利益分百析（商業(yè)案唱例岔/Busi玻ness凡Cass靈）扶，組織可以著獲得的業(yè)務(wù)承利益是實(shí)施戰(zhàn)IT項(xiàng)目的蜂源動(dòng)力。話*組織可冠以獲得的業(yè)澆務(wù)收益才是削實(shí)施IT項(xiàng)慨目的源動(dòng)力成*規(guī)劃I娘T項(xiàng)目時(shí)，艦首先要考慮書(shū)業(yè)務(wù)模式（夾商業(yè)模式、丟業(yè)務(wù)案例）增*可行性擇分析時(shí)業(yè)務(wù)魯模式分析的塘一種潑*顛在可行性研襖究分析時(shí)就浸必須決定軟繼件系統(tǒng)是自拘己開(kāi)發(fā)還是赴購(gòu)買。狹*對(duì)項(xiàng)目忙進(jìn)行充分詳垃細(xì)的業(yè)務(wù)模圓式分析，作尚為啟動(dòng)和持記續(xù)一個(gè)項(xiàng)目漆的驗(yàn)證條件扔，為項(xiàng)目的屬實(shí)施提供一走個(gè)合理的理碎由郊*業(yè)務(wù)模招式分析是項(xiàng)狗目生命周期努中各個(gè)決策程過(guò)程的關(guān)鍵坐因素，無(wú)論頂在項(xiàng)目的哪必一個(gè)階段，池如果業(yè)務(wù)模括式分析表明左由于成本增義加或預(yù)期的喂利益不能實(shí)河現(xiàn)使得項(xiàng)目粘不再有意義僵時(shí)，鄰項(xiàng)目發(fā)起人桂或指導(dǎo)委員易會(huì)應(yīng)當(dāng)考慮由是否要終止叢項(xiàng)目的執(zhí)行妄。抹*業(yè)務(wù)利圓益由誰(shuí)來(lái)驗(yàn)妹證。叉*項(xiàng)目管患理的四個(gè)要尤素：扮環(huán)境、資源肯、目標(biāo)、組盛織壟*項(xiàng)目管槽理的方式是叔目標(biāo)管理。飛*在一個(gè)量良好定義的另項(xiàng)目中，通雁常建立了一羨些決策點(diǎn)，錦有時(shí)稱為鄭“塵階段點(diǎn)填”敵或素“鎖生死點(diǎn)夢(mèng)”瀉，在這些點(diǎn)剪上進(jìn)行業(yè)務(wù)央模式分析后感決定當(dāng)前的求項(xiàng)目是否依部然有意義。嶄*如果I混T項(xiàng)目實(shí)施酸階段中其業(yè)矮務(wù)模式發(fā)生什變化，應(yīng)當(dāng)蟻通過(guò)部門(mén)規(guī)誰(shuí)劃和審批流棚程對(duì)項(xiàng)目重羊新進(jìn)行評(píng)估喊和批準(zhǔn)煌*世實(shí)施后評(píng)審羊：在項(xiàng)目實(shí)查施后6~1暗8個(gè)月進(jìn)行扁，評(píng)價(jià)利益冊(cè)實(shí)現(xiàn)程度老，獨(dú)立于項(xiàng)讀目實(shí)施的審棋計(jì)師進(jìn)行評(píng)救審靈*有關(guān)項(xiàng)多目的所有治窯理決策應(yīng)當(dāng)傅由業(yè)務(wù)效益湖驅(qū)動(dòng)，并進(jìn)音行周期性評(píng)戚審英*信息系把統(tǒng)項(xiàng)目可以徐由組織的任盯何一部分啟昏動(dòng)，包括信覽息系統(tǒng)部門(mén)橫*項(xiàng)目管牲理的一般過(guò)幕程：?jiǎn)?dòng)、爪計(jì)劃、執(zhí)行脹、控制、收盞尾（其中控墓制過(guò)程，貫仰穿整個(gè)項(xiàng)目先實(shí)施過(guò)程）鄉(xiāng)*業(yè)務(wù)過(guò)忙程的設(shè)計(jì)方尊法也同樣適雹用于項(xiàng)目管甩理過(guò)程茂*項(xiàng)目環(huán)瞎境最關(guān)鍵就松是一把手工陳程。扣*項(xiàng)目管領(lǐng)理的組織規(guī)譽(yù)劃：味1、職甚能式組織形橋式：項(xiàng)目經(jīng)碎理僅作為一領(lǐng)個(gè)成員，沒(méi)摸有正式管理霉權(quán)案處權(quán)限無(wú)探2、項(xiàng)旗目式組織形額式：項(xiàng)目經(jīng)范理有正式授勇權(quán)負(fù)責(zé)項(xiàng)目石覽權(quán)限高瞧3、矩僻陣式組織形陜式：項(xiàng)目經(jīng)慚理與部門(mén)經(jīng)河理同時(shí)共同撫分擔(dān)管理權(quán)邪限本勁權(quán)限中信*用戶管訂理部門(mén)擁有壇項(xiàng)目和最終儉系統(tǒng)的所有偏權(quán)，當(dāng)系統(tǒng)摧被定義和完奏成時(shí)，用戶有管理部門(mén)應(yīng)瓣當(dāng)評(píng)價(jià)和批舌準(zhǔn)系統(tǒng)的交班付。幣*飯安全主管評(píng)亦價(jià)安全測(cè)試窄計(jì)劃并在實(shí)笛施之前進(jìn)行辟報(bào)告條*項(xiàng)目發(fā)喇起人對(duì)項(xiàng)目拿指導(dǎo)委員會(huì)較負(fù)責(zé)；濤*項(xiàng)目經(jīng)稈理負(fù)責(zé)項(xiàng)目鳳的日?；顒?dòng)塘；翅*圈關(guān)鍵用戶在件需求分析階碎段、測(cè)試階翼段需要積極醫(yī)參與；用戶叔培訓(xùn)在測(cè)試籠階段進(jìn)行將，主要培訓(xùn)斑怎么使用軟伯件烤。尺*在測(cè)試腎階段用戶需絨要參與測(cè)試弊案例的開(kāi)發(fā)表。瀉*QA獨(dú)套立整個(gè)項(xiàng)目植組，對(duì)整個(gè)貫項(xiàng)目的活動(dòng)蔽做獨(dú)立的評(píng)考價(jià)。凱*項(xiàng)目溝熄通文化：各箭類會(huì)議蜓*項(xiàng)目分丟解結(jié)構(gòu)：半1、先唯建立對(duì)象分銀解結(jié)構(gòu)（O會(huì)BS）浙2、建確立項(xiàng)目工作咬分解結(jié)構(gòu)（途W(wǎng)BS）榴3、W伴BS不包括野方案中基本便元素，表示鞠為工作包（蝴WPS）精*夾永遠(yuǎn)不能靠康忽視質(zhì)量來(lái)攻滿足工期、括時(shí)間、資源扒的要求。娘也不能忽略脖測(cè)試控；在特別的輕情況下，只泉能減少功能緣。孫*成功的些項(xiàng)目計(jì)劃的莫全面特征式賭項(xiàng)目基于風(fēng)肆險(xiǎn)的管理過(guò)訂程而且本身雹是互動(dòng)的。草*項(xiàng)目中先三個(gè)元素/臘緯度必須考型慮廟1、時(shí)碧間/持續(xù)時(shí)在間需溫要花多少時(shí)德間才能完成缺項(xiàng)目肌2、成進(jìn)本/資源途需要花布費(fèi)多少?gòu)?fù)3、交碧付品添什么是必須碎做的贊*軟件規(guī)貸模評(píng)估：源悉代碼行數(shù)、麻功能點(diǎn)分析雖（FPA）病、FPA特吩征點(diǎn)斥*源代碼蠻行數(shù)評(píng)估結(jié)勉構(gòu)化程序語(yǔ)吐言（BAS沫IC、CO竹BOL）有蛛用，其他不麻行透，菜尤其業(yè)務(wù)功膛能不行土*功能點(diǎn)斑分析（FP饅A）廣泛用議于評(píng)估開(kāi)發(fā)塵大型業(yè)務(wù)應(yīng)乏用的復(fù)雜性優(yōu)。功能點(diǎn)分突析的結(jié)果用新于度量基于船輸入、輸出墓、文件、接風(fēng)口和查詢系桶統(tǒng)的規(guī)模涌*FPA外特征點(diǎn)分析野對(duì)于網(wǎng)站應(yīng)做用，能有效犁估算特征點(diǎn)苦、訪問(wèn)規(guī)則驅(qū)、頁(yè)面鏈接熊和存儲(chǔ)有關(guān)奉的應(yīng)用談*項(xiàng)目評(píng)旱審技術(shù)（P訊ERT）是閘一種網(wǎng)絡(luò)管均理技術(shù)，常角用于充分計(jì)羞劃的系統(tǒng)開(kāi)畏發(fā)項(xiàng)目。今*握甘特圖的缺奮點(diǎn)：無(wú)法表襲現(xiàn)任務(wù)之間罵的邏輯關(guān)系碗*具PERT時(shí)繡間計(jì)算=（損樂(lè)觀完成時(shí)漫間+4X最混可能完成的首時(shí)間+悲觀脊完成時(shí)間）墓/6絮*勤先用PER誕T算出每個(gè)租工作的工期魄，然后再用日關(guān)鍵路徑法師*關(guān)鍵路通徑法中，有帶多條路的時(shí)扯候找最長(zhǎng)的撿路。升也就要確保顫整個(gè)路徑圖扣中所有任務(wù)賞能在計(jì)算出細(xì)的時(shí)間內(nèi)完滅成。脆*啞關(guān)鍵路徑中銹的松弛時(shí)間欠為0壓*設(shè)計(jì)系朝統(tǒng)開(kāi)發(fā)項(xiàng)目燕的PERT賭網(wǎng)絡(luò)時(shí)，第屑一步是識(shí)別央所有的任務(wù)希、項(xiàng)目的相蘆關(guān)事件/里誕程碑和它們杠相對(duì)應(yīng)次序犧*缺時(shí)間盒管理陸是項(xiàng)目管理肅方法享*崗原型法的項(xiàng)激目管理方法鐵是時(shí)間盒管歐理悶*巾時(shí)間盒管理落中：時(shí)間、塊質(zhì)量、資源嫁不可變，只欠有功能可以轎變胖*時(shí)間盒黑管理是在一殲個(gè)相對(duì)短的鑼、絕對(duì)的和鑒不許變更的養(yǎng)時(shí)間以及有晶限資源的情古況下，定義占和部署軟件屆交付產(chǎn)品。研*角時(shí)間盒方法爭(zhēng)主要優(yōu)點(diǎn)是攪避免項(xiàng)目成肉本超支以及采進(jìn)度拖延怖*時(shí)間盒跌方法由于最傷終用戶的參扒與，測(cè)試用寧例的準(zhǔn)備和罷測(cè)試需求很毅容易達(dá)到，商系統(tǒng)測(cè)試和損用戶接受測(cè)臂試通?？梢詮V一起執(zhí)行。溪*項(xiàng)目控領(lǐng)制活動(dòng)包括員項(xiàng)目的范圍喂管理，資源作使用和風(fēng)險(xiǎn)帶管理。記錄盡項(xiàng)目新的需垃求并在批準(zhǔn)恭后分配合適錯(cuò)的資源。鈴*范圍變藏更管理：季變更請(qǐng)居求必須提交陡項(xiàng)目經(jīng)理螞項(xiàng)目經(jīng)糞理提交項(xiàng)目把咨詢顧問(wèn)委惰員會(huì)決定是銹否建議變更栗項(xiàng)目出者資人決定是均否變更拔*龜項(xiàng)目出資人馳有最后決定楊是否變更的韻決定權(quán)。思*項(xiàng)目過(guò)宴程的變更控干制就是確保柳項(xiàng)目的完成脖時(shí)間，項(xiàng)目衰資金的使用工和項(xiàng)目質(zhì)量醒達(dá)到利益相街關(guān)方的預(yù)期歷*駱系統(tǒng)開(kāi)發(fā)生說(shuō)命周期（S僚DLC）一餐般具有開(kāi)發(fā)解、實(shí)施、維遮護(hù)和廢止階奉段柴*項(xiàng)目資環(huán)源利用采用天EVA掙值斧分析谷*項(xiàng)目風(fēng)踐險(xiǎn)主要有：箱1、對(duì)組業(yè)務(wù)收益產(chǎn)翼生沖擊（及絨對(duì)項(xiàng)目的存訪在性構(gòu)成風(fēng)擔(dān)險(xiǎn)）苗——謝項(xiàng)目投資人密2、對(duì)練項(xiàng)目本身產(chǎn)咬生風(fēng)險(xiǎn)的燥——園項(xiàng)目經(jīng)理錦*非漠V模型中：美用戶需擇求唯——錄接受測(cè)試U斥AT災(zāi)功能需盆求漫——窮系統(tǒng)測(cè)試填概要設(shè)礙計(jì)廳——揉集成測(cè)試井詳細(xì)設(shè)得計(jì)蝴——羊單元測(cè)試延編寫(xiě)代懸碼泊*V模型陸中：虜1、單倉(cāng)元測(cè)試用于懇驗(yàn)證詳細(xì)設(shè)挺計(jì)的正確性佛；量2、集便成測(cè)試是用看于驗(yàn)證各單譽(yù)元集成后的職正確性痰3、系饅統(tǒng)測(cè)試用于皇驗(yàn)證系統(tǒng)總捧體功能與架諸構(gòu)的正確性等4、用享戶接受測(cè)試費(fèi)是用戶為了渠驗(yàn)證軟件是覽否實(shí)現(xiàn)了用催戶需求議*開(kāi)發(fā)的蠶業(yè)務(wù)應(yīng)用系艘統(tǒng)一般都可棕以歸為兩種滾類型：倉(cāng)組織中注心計(jì)算型（繩采用SDL互C生命周期勸方法）兇用戶中率心計(jì)算型犧*SDL篇C也被稱為除瀑布式開(kāi)發(fā)游技術(shù)，是一末種系統(tǒng)的、財(cái)順序式的軟虎件開(kāi)發(fā)方法污，從可行性幟研究開(kāi)始，糖通過(guò)需求定景義、設(shè)計(jì)、衛(wèi)開(kāi)發(fā)、實(shí)施日和實(shí)施后維圓護(hù)等階段而雜逐步發(fā)展，這建立了相應(yīng)升的責(zé)任、預(yù)辯期的結(jié)果和善完成目標(biāo)的冒日期。蔽*SDL立C廳需求定義：皺描述系統(tǒng)應(yīng)籮該做的，用深戶如何與系四統(tǒng)交互，系猜統(tǒng)運(yùn)行的條睛件，系統(tǒng)應(yīng)拿滿足的信息縣標(biāo)準(zhǔn)哈；啄確保需求完悄整、連續(xù)、凱清楚、可驗(yàn)柴證、可修改璃、可跟蹤樸*嘆審計(jì)師在勤SDLC需僚求分析階段潮需要關(guān)注：智業(yè)務(wù)部門(mén)的隨人員積極參徑與到需求調(diào)暈研中；鎖安全控制是匯否提出（晶審計(jì)師作為呼用戶，提出趣嵌入式捏在線宅審計(jì)模塊是嫂否提出）沈*偽SDLC辨方法適用于膊一個(gè)需求穩(wěn)跑定、定義準(zhǔn)直確的項(xiàng)目，者并且在開(kāi)發(fā)面工作早期建蜂立總體的系