ISA學習筆記更新附個人考試心得

說明：黃色背景需要特別關注，紅色字體非常重要，紅黃在一起的話，呵呵，大家就自己考慮吧，呵呵這個筆記是我在得知考試分數(shù)后進行整理的，應該還是具有點參考價值的，整理時間2013年2月6日個人考試心得（10月1號開始學習，12月8號參加考試，2013年2月1號成績出來，得分582分）：1、有可能的話最好參加相關的培訓， 5天的培訓不會給你多少實質的提高， 但最關鍵的是能給你一個學習的思路；而且在培訓的時候，有不懂的問題可以問老師；2、如果你不是做 IT出身的，最好惡補一下IT知識，CISA對IT方面的知識還是有些要求的；3、對于IT出身的人，學CISA特別要注意：要以審計師的視角來學習以及看待題目，組織內部的項目審計師的角色4、審計師是不具體解決問題的，但是要發(fā)現(xiàn)問題；5、最好能聽兩次培訓，現(xiàn)在的培訓只要繳費后，可以不限次數(shù)重聽；6、培訓前先把書看一遍，要每個字都要看，不論能不能看懂，至少能有個映像；7、不要急于做題目，我的做法是：8、先把書看一遍（我花了3周左右的時間）——參加培訓（做好筆記）——再把書看一遍（我花了將近2周左右的時間）——開始做題目——參加培訓（補充上次培訓的筆記）——把書再看一遍（最好在一周左右的時間，這個我沒做到）——開始做題目，大量的做(我大概做了4000道左右)——參加考試（我拿到582分，自己覺得比較滿意）9、基本上每天花3到4個小時的時間就可以了，考試前兩天，有條件的話最好在家里整理和復習一下自己所學的；10、 重視QQ群的動態(tài)，群里面很多朋友和前輩，可以學到很多的；11、最關鍵的是，一定要參加考前輔導，這個是免費的，但是內容卻是非常關鍵的?。?！第一章信息系統(tǒng)審計過程IS審計是基于風險的審計；保持審計獨立性和勝任能力,確保審計小組所實施完成的審計任務能滿足審計職能的目標要求風險分析是審計計劃的一部分，幫助IS審計師識別風險和脆弱性并確定降低風險所需的控制要以審計師的視角來學習以及看待題目，組織內部的項目審計師的角色；第一方審計：自查——報告給自己高層第二方審計：甲方審乙方第三方審計：外審——報告給公眾或相關機構*按照IT審計標準制定并實施基于風險的 IT審計戰(zhàn)略內審首先需要建立審計章程；外審首先需要合同以及委托書；審計章程或委托書應在組織內部適當?shù)膶哟蔚玫酵夂屯ㄟ^，一旦創(chuàng)立，就只有在非常必要、并經過充分的論證后才允許變更審計章程；審計章程涵蓋整個范圍的審計活動；合同側重于特定的審計任務；信息系統(tǒng)審計的最重要的資源是：審計師IS審計師應有合格的職業(yè)能力，具備進行審計工作的相應知識；IS審計師應持續(xù)保持職業(yè)教育和培訓，保持良好的職業(yè)能力；在制定審計計劃時，要通過風險評估，確認高風險區(qū)域，找到審計的重點范圍，合理分配審計資源；信息系統(tǒng)審計師常常關注高風險的問題，如敏感和重要信息的機密性、可用性、完整性以及生成、存儲和處理這些信息的系統(tǒng)及流程等。在檢查這類風險時，信息系統(tǒng)審計師常常對組織所使用的風險管理過程的有效性進行評估。風險管理首要任務是識別出敏感或關鍵的信息資產；然后實施風險評估來識別威脅并確定其發(fā)生頻率、所導致的影響以及將風險降低至管理層可接受水平的相應安全措施；為保持其有效性，風險評估過程應當在組織中持續(xù)進行，以致力于及時發(fā)現(xiàn)和評估新出現(xiàn)的風險。內部控制通常由能夠降低組織風險的政策、規(guī)程、實務和組織結構組成；內部控制的設計是為管理層提供風險事件能夠被預防、檢測和糾正，業(yè)務目標能夠達成的合理保證。實施有效的IS審計的第一步是審計計劃；*長期審計計劃與企業(yè)的業(yè)務與發(fā)展有關，一般為 3到5年的期間；每年都需要對長、短期審計計劃進行分析；無論長期短期規(guī)劃每年都必須分析、調整；在環(huán)境有重大變化時也必須分析調整證據(jù)的優(yōu)先級：審計師自己收集>第三方提供>被審計方提供（銀行函證例外）制定審計計劃的步驟：、了解組織業(yè)務使命、目標、目的和流程的了解，包括信息和處理要求：對組織關鍵設施現(xiàn)場巡視；收集閱讀組織背景資料；檢查長期戰(zhàn)略計劃；與管理人員會談；審閱以前的餓審計報告；、找出規(guī)定內容，如：政策、標準和作業(yè)指導書、程序和組織結構；、評價管理層實施的風險評估和隱私保護影響分析；、實施風險分析，找出高風險區(qū)域—重點檢查對象；、執(zhí)行內部控制檢查（針對風險檢查）；、確定審計范圍和審計目標；、確定審計方法或審計戰(zhàn)略；、為審計任務和其后勤支援分配人力資源需要遵守相關的法律法規(guī)：被審計方、審計師；法律法規(guī)的合規(guī)性：識別政府或相關外部要求的法律法規(guī)——記錄相關法律法規(guī)——評估被審計方在制定計劃或設定策略時是否考慮相關的法律法規(guī)——制度的執(zhí)行流程以及保障（文檔及程序）——執(zhí)行結果信息系統(tǒng)審計是指審計內容中包含了對自動化信息處理系統(tǒng)、相關手工流程及兩者間接口進行全部或部分檢查及評價的任何審計審計程序包括確定審計范圍、說明審計目標、找出審計標準、執(zhí)行審計步驟、檢查和評估證據(jù)、形成審計結論和意見、與關鍵流程所有人討論后報告管理層審計方法是指：為實現(xiàn)預定的審計目標而設計的一系列書面審計程序，其內容包括審計范圍、審計目標和審計步驟；審計方法應當由審計管理層制定和批準并保持一致性。ISACA信息系統(tǒng)審計準則：職業(yè)道德規(guī)范：必須遵守信息系統(tǒng)審計標準：強制必須遵守，不可偏離信息系統(tǒng)審計指南：在有合理解釋的前提下可以調整和偏離信息系統(tǒng)審計工具和技術：根據(jù)實際情況作出自己的職業(yè)判斷審計計劃步驟：、計劃審計綱要；、以書面形式記錄一份基于風險評估的審計方法；、以書面形式記錄一份審計計劃書，詳述審計目標、性質、時間、范圍以及所需相關資源；、以書面形式起草審計計劃和審計程序信息系統(tǒng)審計人員應該得到監(jiān)督，合理保證其審計目標的完成，并且符合審計職業(yè)標準；審計工作中收集證據(jù)的工作量最大；通過證據(jù)評估結論最困難；信息系統(tǒng)審計師必須擁有足夠的、恰當?shù)膶徲嬜C據(jù)來解釋報告中的審計結果；在報告審計發(fā)現(xiàn)和建議后，審計師必須持續(xù)跟進后續(xù)審計結果；審計最終目的：A&A(Audit&Assurance)審計及保證審計實質性（重要性）==閥值審計實質性（重要性）越低，需要投入的資源越大；審計實質性（重要性）越高，需要投入的資源越??；ITAF（信息技術保證框架）包括：、一般準則：通用準則，所有審計都須遵守；、執(zhí)行準則：在實施審計中的要求、報告準則（績效準則）、指南、工具和技術目標->風險->控制->審計風險是特定的威脅，利用資產的脆弱性從而對組織造成的一種潛在的損害；它通過使用資產和價值損失的概念把風險放在了組織的業(yè)務環(huán)境中。業(yè)務風險是指那些可能對資產、流程、具體業(yè)務或組織目標造成負面影響的威脅。風險的三個要素：威脅、脆弱性、資產（價值）；其中應該首先評估資產；以年為單位評估風險——基于成本效益原則（財務以年結算）風險評估：識別風險風險管理：消滅、控制風險風險評估首先識別敏感或關鍵信息資產；風險評估的最終目標：將風險降低至管理層可接受水平的相應安全措施；高風險==高發(fā)展、高收益風險控制（風險消減的措施）：、預防：避免或減少風險事件發(fā)生的可能性；、檢查：發(fā)現(xiàn)不良事件的發(fā)生；、糾正：減小影響向別的組織轉移風險控制分為（書中）：預防性：在問題發(fā)生前預防，監(jiān)控運營和輸入；職責分離、控制對物理設施的訪問、良好設計的文檔、建立交易授權的適當流程、編輯檢查、訪問控制軟件、加密軟件檢測性：使用控制措施來檢查和報告已發(fā)生的錯誤；哈希、檢查點、通訊回顯控制糾正性：糾正問題引起的錯誤，把威脅影響降到最?。籅CP、備份、DRP審計風險：審計過程中未發(fā)現(xiàn)信息可能存在的重大錯誤的風險；審計風險包括（固有風險、控制風險、檢測風險、整體審計風險）固有風險：審計過程中遇到的，在假定不存在相關補償控制的情況下，當與其他錯誤相結合時會導致重大錯誤的風險；也可以定義為：在不存在相關控制的情況下，易于導致重大錯誤的風險；是由于業(yè)務性質所導致的，在審計中獨立存在（復雜計算比簡單計算更容易出錯）所有審計項目的基本目標之一都是確定控制目標及針對這些目標的相關控制。并找出關鍵控制點?？刂骑L險：內部控制體系不能及時預防或檢測出存在的重大錯誤的風險（手工檢查計算機日志的相關檢查風險很高）檢測風險：信息系統(tǒng)審計師由于采用了不恰當?shù)臏y試程序，對實際存在的重大錯誤得出錯誤結論的風險。（識別檢測風險能更好的評價審計師的能力）整體審計風險：對每一個具體控制目標所評估出的各類審計風險的綜合。統(tǒng)計抽樣風險——指由選定樣本得出錯誤的整體特征的風險風險分析——量化風險的系統(tǒng)方法風險評價——對比風險值與風險標準確定風險重要性的過程風險評估中所識別出的每一個風險都必須處置，處置方式包括：降低、避免、接受、轉移風險分析的目標是理解和識別由實體及其環(huán)境引起的風險和相關的內部控制審計是典型的檢測性控制；審計可定義為：由具備資質、勝任、獨立的組織或人員，針對流程的預定結果，客觀地搜集并評價證據(jù)，以確定與既定標準的符合程度，形成意見并報告的系統(tǒng)過程。對特定經濟實體的可計量的信息證據(jù)進行客觀的收集和評價，向利益相關者報告。可重現(xiàn)當時場景信息系統(tǒng)控制程序包括：戰(zhàn)略和方針、全面的組織管理、IT資源的訪問（包括數(shù)據(jù)和程序）、系統(tǒng)開發(fā)和變更控制、運行規(guī)程、系統(tǒng)編程及技術支持智能、質量保證（QA）流程、物理訪問控制、BCP、DRP、網絡和通訊、數(shù)據(jù)庫管理、對內外部攻擊的檢查和保護機制風險評估過程應當在組織中持續(xù)進行，以致力于及時發(fā)現(xiàn)和評估新出現(xiàn)的風險；內部控制：為減少風險所實施的各種政策、步驟、實踐和組織結構；確保業(yè)務目標的有效達成。提高經營效率風險控制另外分類方法：技術類控制、物理類控制以及管理類控制；COSO內部控制框架：控制環(huán)境——風險分析——控制活動——內部溝通機制——監(jiān)督和持續(xù)改進*COBIT通過域和流程框架來提供最佳實務，把 34個IT流程組合到四個域中：1、計劃和組織（PO）；、獲取與實施（AI）；、交付與支持（DS）；、監(jiān)督與評價（ME）.COBIT框架定義：IT資源需要由自然歸組的流程管理，為組織提供實現(xiàn)其目標所需要各種類型的、符合質量、可用性以及安全要求的信息。（業(yè)務部門需要IT部門提供滿足一定要求的信息）；管理：好的事情發(fā)生，產生價值、創(chuàng)造效益；控制：防止風險業(yè)務需求七要素：種類項目解釋質量效果符合業(yè)務部門的期望效率成本效益保密性信息泄露安全可用性物理設備的丟失、信息被破壞；需要時能用完整性防止篡改、修改符合性合規(guī)性，法律法規(guī)受信/受托數(shù)據(jù)準確可靠性IT資源：人員、信息、基礎架構、應用系統(tǒng)；通過流程化管理IT資源；通用控制：適用于組織的各個方面，包括：會計控制、運營控制、管理控制；應用控制：針對特定的流程；信息系統(tǒng)控制：戰(zhàn)略指導、信息系統(tǒng)開發(fā)流程的控制、程序變更管理控制、計算機運行管理控制、程序與數(shù)據(jù)訪問控制、信息系統(tǒng)安全的控制、網絡和通訊、數(shù)據(jù)庫管理、 IT計劃；*審計是指：有勝任能力的獨立機構或人員（審計主體）接受委托或授權（審計關系） ，對特定經濟實體的可計量的信息（審計對象）證據(jù)進行客觀的收集和評價證據(jù)（審計工作），以確定這些信息與既定標準（審計依據(jù)）的符合程度，并向利益相關者報告（審計目標）的一個系統(tǒng)的過程（審計過程）； 審計的性質——獨立、客觀。*位流映像——鏡像 之后再做哈?！乐勾鄹膶徲嫷膶嵸|：審計信息是否滿足7要素；制定信息系統(tǒng)審計計劃的關鍵內容就是把寬泛的基本審計目標轉化成具體的信息系統(tǒng)審計目標；信息系統(tǒng)審計師必須明白如何把一般審計目標轉換成特定的信息系統(tǒng)控制目標。確定審計目標是信息系統(tǒng)審計計劃的關鍵步驟。審計目標是指審計工作必須實現(xiàn)的特定目的；控制目標是指內部控制應當如何發(fā)揮作用信息系統(tǒng)審計人員從以下方面評估信息系統(tǒng)職能：安全質量受托責任服務和能力信息安全控制應當在系統(tǒng)和項目的需求說明及設計階段予以考慮信息系統(tǒng)審計師應當對各類風險進行評價并選擇高風險領域實施審計符合性測試（控制測試）——實質性測試：是否有控制—控制是否落實—控制是否有效—控制是否持續(xù)舞弊檢查：1、檢查確認；2、與適當管理層溝通；3、與審計委員會溝通——向董事會溝通；審計師在接受客戶審計時就應對審計風險進行評估，將評估風險與預計可接受的總審計風險水平比較后，決定是否接受客戶；審計風險分類：固有風險、控制風險、檢查風險（審計風險）；總體審計風險。符合性測試是為測試組織對控制程序的符合性而收集證據(jù)，驗證控制的執(zhí)行是否符合管理政策和規(guī)程（測試內控是否起作用）；實質性測試是為評價交易、數(shù)據(jù)或其他信息的完整性而收集證據(jù)，證實實際處理的完整性。需要進行實質性測試的數(shù)量與內部控制的水平直接相關符合性測試（控制測試）——簡單、快速、資源消耗少實質性（重要性）：可容忍錯報或漏報的最好界限，其運用的情形：1、在編制審計計劃的時候，進行初步估計；2、在做出審計結果時候，進行判斷。審計風險與實質性（重要性）：實質性水平越高，審計工作風險就越低；實質性水平越低，審計工作風險就越高；符合性測試（控制測試）：屬性抽樣實質性測試：判斷控制是否完整充分性—數(shù)量上足夠；適當性—審計證據(jù)有效且相關；統(tǒng)計抽樣——采用統(tǒng)計推斷技術的一種抽樣方法，可以量化抽樣風險非統(tǒng)計抽樣——隨機抽樣屬性抽樣一般用于符合性測試中估計屬性的有或無，結論是用比率表示發(fā)生率（屬性抽樣、停—走抽樣、發(fā)現(xiàn)抽樣）；變量抽樣一般用于實質性測試中估計總體的變化特征，結論是與正常值的偏差范圍具體數(shù)值（分層單位平均估計抽樣、不分層單位平均估計抽樣、差額估計）屬性抽樣：1、固定樣本抽樣：100個里面抽10個2、?！叱闃樱?00個里面先抽5個，如果沒有問題就停止，如果有問題就再抽、發(fā)現(xiàn)抽樣：100個里面一直抽，直到抽到一個有問題為止變量抽樣：分層單位平均估計抽樣、不分層單位平均估計抽樣、差額估計抽樣；置信系數(shù)越高，樣本量越大；風險水平=1-置信系數(shù)；精度值越小樣本量越大控制需求：發(fā)現(xiàn)高風險區(qū)域而又未控制的區(qū)域補償性控制與重疊性控制：需要重點關注的是補償性控制；補償控制是強控制補償弱控制，而重疊控制是指兩個強控制；信息系統(tǒng)審計師在報告控制缺陷之前應當先檢查補償性控制判斷控制是否有效率和效果；信息系統(tǒng)審計師在報告發(fā)布前，就重要發(fā)現(xiàn)及時和合適的人員進行交流，但前提是交流不應該改變報告的內容；*審計底稿是指在審計過程中產生的所有的記錄和資料，應保存 7年；控制自我評估（CSA）三個基本特征：1、關注業(yè)務的過程和控制的成效；2、有管理部門和職員共同進行；3、用結構化的方法開展自我評估。*在控制自我評估（CSA）中，信息系統(tǒng)審計師作為控制專家和評估引導人，只是CSA的推動者；CSA把部門經理的監(jiān)督職責分散到員工中審計師在CSA中的目標：增強審計職責在控制責任和監(jiān)控當中教育各級管理者通過對在CSA中注意到的高風險和非正常項目進行復核來確定審計工作目標通過把糾錯心動從所有者方面向雇員方面轉移的辦法來提高糾錯行動的有效性一些組織在做CSA評估時，可能還會包括客戶、貿易伙伴等外部人員CSA主要目標是通過把一些控制監(jiān)督職責分散到職能部門來充分發(fā)揮內部審計職能的左右，這并不是要替代審計的職責，而是一種加強審計師應該牢記他們只是CSA的推動者，只有管理人員才是CSA程序的具體實施者連續(xù)監(jiān)控與連續(xù)審計區(qū)別：監(jiān)控僅僅記錄所有滿足設定條件的事件；審計則一旦控制失效，自動觸發(fā)報警。持續(xù)審計的技術應該在系統(tǒng)開發(fā)和實施的早期階段介入；持續(xù)審計的限制因素：成本問題持續(xù)審計是被審計事實的發(fā)生至證據(jù)收集和審計報告之間的時間間隔非常短持續(xù)審計應獨立于持續(xù)控制或監(jiān)控活動，當同時存在持續(xù)監(jiān)控和持續(xù)審計時，就形成了持續(xù)保證IT系統(tǒng)通常是預防和檢查性控制的第一道防線，綜合審計的根本就在于合理評估它們的效果及效率確定審計發(fā)現(xiàn)重要性的關鍵是評估這些審計發(fā)現(xiàn)對各級管理層的重要性，評估中需要判斷未針對審計發(fā)現(xiàn)采取糾正措施可能導致的潛在影響。審計證據(jù)可靠性的決定因素：、提供審計證據(jù)的人員的獨立性、提供信息或證據(jù)的人員的資格、證據(jù)的客觀性、證據(jù)的時效性應當由信息系統(tǒng)審計師來最終決定審計報告中包括或不包括哪些內容綜合審計的一個關鍵步驟就是審計組集體討論風險及其影響和發(fā)生的可能性詳細審計工作關注已存在的管理這些風險的相關控制。進行實際取證時，只能對位流映像進行操作，目標驅動器應該封存對司法取證審計師而言，最重要的考慮就是做好目標驅動器的位流映像（鏡像），并檢查該映像的時間戳和其他信息屬性未被人為改變；位流映像做出來后應該對目標驅動器進行哈希，然后與位流映像的哈希進行對比，確保兩者的完全一致；除了位流映像以外還有內存信息轉儲到文件中也是司法取證的一種；信息系統(tǒng)審計師通常從許多不同的角度來評估IT職能和系統(tǒng)：安全——機密性、完整性、可用性質量——效果、效率委托責任——符合性、可靠性服務和能力第二章IT 治理與管理*IT 治理是組織中的一種安排。目的是為了提高

IT

績效，降低

IT

風險，有效利用資源。信息系統(tǒng)的戰(zhàn)略規(guī)劃是獲取、配置和管理信息資源及實現(xiàn)組織遠景目標的總體規(guī)劃，包括軟件、硬件、責任以及資源配置等，提供給組織相應的解決方案。IT治理有助于確保IT和企業(yè)目標保持一致，IT治理的關鍵因素是IT與業(yè)務保持一致，以實現(xiàn)業(yè)務價值IT治理采用最佳實踐來確保組織信息及相關技術支持其業(yè)務目標（如戰(zhàn)略一致）和價值交付，確保資源得到合理使用、風險得到適當管理、績效得到測評*信息技術對企業(yè)非常重要，不能把職責放給IT管理人員或IT專家，而必須得到整個高級管理層的關注IT治理在根本上關注以下兩方面的問題：IT如何有效率有效果的使用IT資源；IT治理的關鍵因素是保持與業(yè)務戰(zhàn)略的一致，引導業(yè)務價值的實現(xiàn)；IT治理是董事會和最高管理層的責任，是企業(yè)整體治理的一部分，它由領導關系、組織結構以及能確保IT支撐和擴展組織戰(zhàn)略及目標的流程組成關鍵的IT治理實務有：IT戰(zhàn)略委員會、風險管理和標準IT平衡記分卡IT治理的關注領域：戰(zhàn)略一致、價值支付、資源管理、風險管理、績效測評IT治理實各種關系與流程結構，用于指導和控制組織達成增值目標，同時還要保證IT及其流程的風險與收益的平衡。在IT治理中，信息系統(tǒng)審計師應當確認已明確以下內容：1、工作范圍，包括清晰定義所涵蓋的職能領域和事務；2、采用的報告路線，使查出的IT治理問題能報告給組織的最高層3、信息系統(tǒng)審計師對信息的訪問權限，包括對組織內部和第三方服務提供商IT戰(zhàn)略委員會是方向性的：由一個董事會成員加外部專家組成，戰(zhàn)略層面IT指導委員會是技術執(zhí)行層面的IT平衡記分卡是協(xié)助IT戰(zhàn)略委員會和管理層實現(xiàn)IT與業(yè)務保持一致的最有效的方法之一，其目標是建立管理層向董事會的報告途徑，就IT戰(zhàn)略目標在關鍵利益相關方之間達成一致，證實IT的效果與價值，溝通IT績效、風險和能力。信息：具有特定意義和目標的數(shù)據(jù)信息安全的復雜性、相關性、危險性及其治理都要在組織的董事會層面予以考慮并提供支持信息安全的憂慮：對信息及其處理系統(tǒng)的持續(xù)依賴和眾多威脅所導致的復雜風險。有效的信息安全能為組織帶來巨大價值：、在與貿易伙伴的交往中提供可靠的信賴；、提高客戶的信任度；、保護組織信譽、促進采用更新更好的方式處理電子交易業(yè)務戰(zhàn)略方針通過業(yè)務目的和目標來明確，信息安全必須能支持業(yè)務活動向企業(yè)交付價值；信息安全治理框架為制定一套有成本效益的、支持組織業(yè)務目標的信息安全程序提供了基礎。該程序的目標是建立一系列的活動以保證信息資產受到與其價值或給組織帶來的潛在風險相稱的保護。IT治理是企業(yè)的一種制度安排，它通過為IT提供必要的領導力、組織結構和相關過程，來保證企業(yè)的IT能支持企業(yè)戰(zhàn)略和實現(xiàn)企業(yè)目標，同時控制風險、降低成本、提高績效。IT治理是董事會和執(zhí)行管理層的職責，是企業(yè)治理的重要組成部分；*IT 管理是公司的信息及信息系統(tǒng)的運營，確定 IT目標以及實現(xiàn)此目標所采取的行動；IT治理是最高管理層（董事會）通過IT治理監(jiān)督執(zhí)行管理層在IT戰(zhàn)略上的過程、結構和聯(lián)系，以確保這種運營處于正確的軌道上IT治理是董事會和高級管理層的責任IT治理框架主要流程：1、IT資源管理，關注現(xiàn)有的全部 IT資源的維護并落實風險管理程序；2、績效衡量，關注確保所有 IT資源向業(yè)務交付既定價值，也在早期識別風險；、合規(guī)管理，關注滿足法律、法規(guī)要求的流程的落實關鍵IT治理實務：IT戰(zhàn)略委員會（隸屬董事會，由董事會成員+專家組成），風險管理和標準IT平衡記分卡*COBIT五個IT治理域都受利益相關者價值驅動，其中價值交付、風險管理是結果，戰(zhàn)略一致、績效考評是驅動力，IT資源管理為治理提供支持。IT戰(zhàn)略委員會負責宏觀的指導性要求IT指導委員會負責具體事務，預算、架構以及項目進展，不討論具體細節(jié)問題；信息系統(tǒng)審計師需要對IT治理的各個方面進行評估：、信息系統(tǒng)審計的職能與組織的使命、愿景、價值、目標和戰(zhàn)略一致；、信息系統(tǒng)的職能績效目標應當由業(yè)務來決定（效率與效果）；、法律問題、環(huán)境問題、信息質量、信用和安全需求；、組織的控制環(huán)境；、信息系統(tǒng)環(huán)境的內在風險；、IT投資/費用IT平衡記分卡的四個視角（只是管理報告工具）：財務視角：為了使股東滿意客戶視角：為了實現(xiàn)財務目標，需要服務客戶過程視角：提高客戶和利益相關者的滿意度學習視角：為了達成目標，組織應當如何學習與創(chuàng)新信息安全治理具有特定的價值驅動：信息安全的機密性（C）、完整性（I）和可用性（A），持續(xù)服務和信息資產保護等，使信息安全治理成為一個重點關注領域；是董事會和高管的職責。信息安全治理、價值交付：優(yōu)化安全投資以支持業(yè)務目標；、績效評測：衡量、監(jiān)督和報告信息安全流程，以確保實現(xiàn)SMART目標（確定的、可度量的、可實現(xiàn)的、相關的和符合時間要求的）、資源管理：有效利用信息安全知識與基礎設施、流程整合：關注組織安全管理保證流程的整合，目標在改善整體安全及運營效率。信息安全治理的安全職責：、董事會——提出要求，聽取匯報、執(zhí)行管理層——制定具體的流程定義、指導委員會——具體事務的定義、信息安全管理層——具體流程的執(zhí)行、審計員——對各個流程執(zhí)行的評價審計員永遠不提具體的改進活動，改進審計出來的缺陷，是被審計單位的管理層的職責；*企業(yè)架構（EA）通過一種結構化的方式來反映組織 IT資產，并有效管理對 IT投資；企業(yè)架構通常應描述記錄當前資產狀態(tài)和最佳未來資產狀態(tài)。IT治理目標要求IT戰(zhàn)略應當與整體業(yè)務保持一致*AUP:可接受使用策略（AcceptableUsePolicy）是指這些網絡能夠被誰使用的約束策略（最終用戶如何使用信息資產的準則以及期望）。AUPs的執(zhí)行是隨網絡變化的。許多公共網絡服務有一個AUP。這個AUP是一個正式的或非正式的文件，其定義了網絡的應用意圖、不接受的使用和不服從的結果。一個人注冊一個基于網絡的服務或工作在一個社團內部網時經常會遇到一個AUP。一個好的AUP將包括網絡禮節(jié)的規(guī)定，限制網絡資源的使用和明確指出網絡應該尊敬的成員的隱私，最好的AUPs使"whatif"關一體化，其舉例說明這個策略在現(xiàn)實世界協(xié)商中的作用。IT投資財務指標關注：投資回報率（ROI）關注風險的同時也要關注投資回報；平衡記分卡決定項目投資與否，強調愿景；IT投資組合，具體項目投資量，關注投資回報最大化。IT平衡記分卡評估IT功能和流程政策：永遠都是高層政策決定低層政策。從集中到分散。政策最高管理層一定要簽字確認，定期修訂，重大變化時隨時修訂。最重要的一個方面是受程序控制的人員熟悉規(guī)程內容，如果使用程序人員不了解其內容，該程序是無效風險：外在威脅利用資產本身（保護對象）的脆弱性（對象本身特點）造成損害的可能?？刂凭褪亲钄嗤{壞事已經發(fā)生了叫事件，可能發(fā)生叫風險；*凡是高于風險可接受水平的，就要進入風險處置（降低、轉移、回避、接受） ；任何對企業(yè)有價值的資源都叫資產，所有資產有有脆弱性。一個未經保護的線路——脆弱性風險管理根據(jù)成本效益原則采?。罕苊怙L險：選擇不從事導致風險的特定活動或流程降低風險：制定、實施并監(jiān)督適當?shù)目刂平档惋L險發(fā)生的可能性轉移風險：購買保險或者保修服務接受風險：經過評估后正視風險的存在，并監(jiān)視風險管理的核心是：保護資產在攻擊發(fā)生后，還沒有造成損失叫事態(tài)，已經發(fā)生侵害損失叫事件風險管理首先需要識別信息資產（包括物理的、邏輯的和無形的）風險管理過程：識別信息資產、識別并評估威脅、識別并評估脆弱性IT風險管理在多種層面上進行綜合分析：運行層面：關注能影響IT系統(tǒng)及基礎設施的效果及效率的風險，繞過系統(tǒng)控制的風險，關鍵資源損失風險項目層面：關注理解和管理項目復雜性的能力，項目不能有效完成、未實現(xiàn)項目目標的風險戰(zhàn)略層面：關注 IT能力與業(yè)務戰(zhàn)略保持一致的程度風險分析方法：定性方法：主觀風險定級，采用問卷式的檢查列表（CHECKLIST）半定量分析法：還是定性法的一種。定量分析法：使用數(shù)值描述風險發(fā)生的可能性及其影響應在公司的所有IT職能領域內實施風險管理，風險管理是高層管理人員的職責，盡量使用量化風險的管理辦法信息安全治理的成果：、戰(zhàn)略一致——使信息安全與業(yè)務戰(zhàn)略保持一致以支持組織目標、風險管理——管理和實施適當?shù)拇胧┮越档惋L險并減少對信息資源的潛在影響至可接受水平、價值交付——優(yōu)化安全投資以支持業(yè)務目標、績效衡量——衡量、監(jiān)督和報告信息安全流程，以確保實現(xiàn)SMART目標（具體的、可度量的、可實現(xiàn)的、切實的和有時限的）、資源管理——有效利用信息安全知識與基礎設施、流程整合——關注組織安全管理保證流程的整合信息安全治理需要戰(zhàn)略指導和推動力，需要委任、資源和為信息安全管理分配責任，也包括董事會確定其目標是否已實現(xiàn)的方式。*企業(yè)架購關注的內容是響應不斷增加的 IT復雜性，現(xiàn)代組織的復雜性，重點關注 IT與業(yè)務戰(zhàn)略的一致性并確保 IT投資產生真實回報企業(yè)架構（EA）的參考模型：績效參考模型—衡量主要IT投資績效及其對業(yè)務流程績效貢獻度的框架業(yè)務參考模型—功能驅動的框架，描述由政府、獨立機構所執(zhí)行的功能服務組件參考模型—對支持業(yè)務和績效目標的服務組件進行分類的功能性框架技術參考模型—描述技術如何支持服務組件的交付、替換和構建的框架數(shù)據(jù)參考模型—用在開發(fā)過程中，描述支持程序和業(yè)務生產線的數(shù)據(jù)信息對XX的控制是最有效——找屬于預防性控制強制休假——防止舞弊，發(fā)現(xiàn)問題加強控制信息系統(tǒng)職能的交付方式包括：內包——由組織內員工實施外包——全部由供應商實施（把公司無增值功能的事務轉移出去）混合方式——由組織員工和供應商混合實施信息系統(tǒng)職能實施方式：現(xiàn)場——員工直接在信息系統(tǒng)現(xiàn)場工作離場（近岸）——員工在同一地理區(qū)域內的不同地點遠程工作離岸——員工在不同的地理區(qū)域遠程工作外包方式應該注意：數(shù)據(jù)的所有者、知識產權問題以及對外包方的審計權問題全球化外包需要注意事項：法律、法規(guī)和稅務方面的事務——不同國家和地區(qū)對IT系統(tǒng)的相關規(guī)定持續(xù)運行——可能無法提供測試BCP和DRP網絡通訊事務跨國界和跨文化的事務云計算服務交付模型：SaaS（軟件交付）、PaaS（平臺交付）、laaS（架構交付）laaS（架構交付）需要關注：服務中斷PaaS（平臺交付）需要關注：隱私性，數(shù)據(jù)所有權SaaS（軟件交付）需要關注：軟件應用所處位置云計算注意的問題：服務商宕機、機密性如何保證、安全問題的法律責任、數(shù)據(jù)所有權私有云的安全性最好，但不容易擴展敏感數(shù)據(jù)的使用者需要關心數(shù)據(jù)安全性問題云治理要考慮使用云計算時主要考慮和IT的戰(zhàn)略方向采購實務中第三方服務的變更管理：變更服務條款，包括對現(xiàn)有的信息安全政策、規(guī)程和控制的維護及改善，應考慮業(yè)務關系的關鍵性及其涉及流程進行管理，并重新評估風險。建立IT用戶計費機制可以提高應用水平，監(jiān)督信息系統(tǒng)費用和可用資源軟件開發(fā)，公司對內部使用軟件的成本資本化（作為固定資產成本攤銷）績效優(yōu)化：是在無須對信息技術基礎設施追加額外投資的情況下，將信息系統(tǒng)的生產力盡可能提高到最高水平*管理指南的重要內容：

關鍵成功要素（

CSF）、關鍵目標指標（

KGI）、關鍵績效指標（KPI）、成熟度模型信息系統(tǒng)部門組織結構職務：最終用戶服務臺：與業(yè)務部門溝通的界面運行部門計算機操作員：在主機環(huán)境的控制臺上執(zhí)行任務技術支持部門的系統(tǒng)程序員：在主機環(huán)境中對操作系統(tǒng)進行修改職責分離（要理解）業(yè)務部門IT部門安全管理員最終用戶不可以是系統(tǒng)管理員開發(fā)部門選項中業(yè)務案例最重要應用程序員分析員生產現(xiàn)場*發(fā)現(xiàn)沒有職責分離，找補償性控制選擇項中不系選統(tǒng)：程多序加員人、停止工作、自動化操檢作查人系員統(tǒng)*審計師發(fā)現(xiàn)問題——找證據(jù) 審計師確認問題——報告適當?shù)墓芾韺涌刂平M負責收集、轉換和控制輸入，核對結果并向用戶分發(fā)結果質量控制：負責執(zhí)行測試或審查，以驗證并確保軟件不存在缺陷并滿足用戶預期，必須QA在程序被遷移到生產環(huán)境之前進行。OS管理員發(fā)布、制定、維*質量保證（QA）：幫助信息系統(tǒng)部門確保其人員遵守規(guī)定的質量程序。護質量標準。網絡管理員*不能對自己的工作做QA；用戶、開發(fā)人員不能做QADBA*應用程序員負責開發(fā)和維護應用系統(tǒng)，只能在開發(fā)和測試環(huán)境中進行；*在小型機構中，網絡管理員可以負責局域網的安全管理，可以擁有系統(tǒng)程序員及最終用戶的職責，但不應擁有應用程序編程的職責；*從信息系統(tǒng)的角度來看，戰(zhàn)略規(guī)劃是組織為了利用信息技術來改善業(yè)務流程而確定的長期發(fā)展方向。*在制定業(yè)務戰(zhàn)略過程中缺乏IT的介入將導致IT戰(zhàn)略規(guī)劃不能與業(yè)務戰(zhàn)略保持一致的風險*戰(zhàn)略指導委員會的主要職責是對重要的信息系統(tǒng)項目進行審查，而不應當涉及日常運營。*IT指導委員會監(jiān)督重大項目的進度和資源分配*項目管理委員會負責制定IT項目策略*采用自頂向下的方法來制定低層政策，確保了各級政策的一致性*采用自底向上的方法來制定低層政策，基于風險評估的結果而制定的，可能更加實用，但容易造成政策間的不一致和相互抵觸。*程序反映了業(yè)務流程及嵌入的控制。程序由流程所有人制定，是對政策的有效解釋*風險管理是組織用于識別信息資源的脆弱性及威脅，制定相應的對策（安全措施或控制），以實現(xiàn)組織業(yè)務目標的過程。*安全政策必須在控制水平與生產效率之間進行平衡，控制成本決不能超過控制所帶來的預期收益。信息安全政策指導整個組織來確定所需保護的內容、相應的保護職責以及保護工作應遵循的策略。應當按照計劃周期或當發(fā)生重大變化時對信息安全政策進行審查，以確保其適當性、充分性和有效性。應當為信息安全政策指定所有人，來批準安全政策的制定、審查和評估等管理職責。信息系統(tǒng)職責分離的原則：資產保管授權交易記錄任何風險，都應當基于信息資源對組織的價值，將其降低至可接受水平。有效的風險管理始于清楚的理解組織的風險偏好。在IT環(huán)境下，風險偏好推動所有的風險管理工作，影響未來的技術投資，IT資產的保護程度及所需的保證水平。*風險管理包括識別、分析、評估、處置和溝通 IT流程的風險影響風險的對應措施：避免風險、降低風險、轉移風險、接受風險為制定風險管理程序，必須：、確定風險管理程序的目的、為風險管理計劃分配職責風險管理過程第一步是對信息資產或資源進行標識并分類；第二步是評估與信息資產相關的威脅和脆弱性，及其發(fā)生的可能性；威脅的發(fā)生是由于信息資產存在脆弱性，脆弱性是信息資源的特性，可以被威脅利用并造成損害發(fā)生任何威脅所造成的結果稱為影響，它能導致這種或那種損失信息系統(tǒng)管理實務反映的是為各種信息系統(tǒng)相關管理活動所設計的政策與程序的實施情況CIA要求：機密性、完整性和可用性服務臺應建立正式流程來分別記錄已報告、已解決和升級的問題，并對問題和疑難進行分析，以幫助監(jiān)督用戶和改善信息處理設施（IPF）的服務在計算機運行中，管理控制可以劃分為物理安全控制、數(shù)據(jù)安全控制和處理控制三個類別控制組負責收集、轉換和控制輸入，核對結果并向用戶分發(fā)輸出結果數(shù)據(jù)錄入人員由控制組管理，因此數(shù)據(jù)錄入不一定是最終用戶安全管理應首先得到管理層的支持，管理層必須了解并評估安全風險，制定書面政策清晰地說明應遵循的標準和規(guī)程，并強制執(zhí)行為保證充分的職責分離，安全管理員應當是全職員工，可以直接向基礎設施主管報告質量保證人員通常執(zhí)行兩種不同任務：質量保證（QA）—幫助信息系統(tǒng)部門確保其人員遵守規(guī)定的質量程序質量控制（QC）—負責執(zhí)行測試或審查，以驗證并確保軟件不存在缺陷并滿足用戶預期。質量控制（QC）可以在系統(tǒng)開發(fā)的各個階段進行，但必須在程序被遷移到生產環(huán)境之前進行在任何情況下都不應當讓個人對自己所負責的工作執(zhí)行質量審查針對數(shù)據(jù)庫管理員（DBA）的嚴格控制：、職責分離、DBA活動需要得到管理層批準、由主管對訪問日志和相關活動進行審查、對數(shù)據(jù)庫工具的使用事實檢查性控制必須確保應用程序員不能修改生產環(huán)境中的程序和應用數(shù)據(jù)，他們應當只能在測試環(huán)境下工作，由另外的團隊把程序和應用變更遷移到生產環(huán)境中。在小型機構中，網絡管理員可以負責局域網的安全管理，擁有系統(tǒng)程序員及最終用戶的職責，但不應當擁有應用程序員編程的職責應當分離的職責包括：資產保管、授權、交易記錄職責分離的目標是：通過識別補償性控制來降低或消除業(yè)務風險訪問控制決策應基于組織政策和兩個普遍接受的實踐標準：職責分離最小授權原則用戶部門應提交授權單；信息系統(tǒng)部門根據(jù)授權單維護用戶授權表審計痕跡的主要目的是建立交付處理的業(yè)務交易的職責（可追溯責任）。針對職責分離的補償性控制：、審計軌跡—在缺乏職責分離時，詳細的審計軌跡將是可接受的補償性控制、核對—核對是用戶的最終責任，還可以增加控制組使用控制總計和平衡表對應用系統(tǒng)執(zhí)行部分核對功能、例外報告—應當由主管層處理并且需要留下證據(jù)、交易日志—可以時電子也可以手工、監(jiān)督性審核—可以通過現(xiàn)場觀察、訪談或遠程執(zhí)行、獨立性審核—執(zhí)行獨立審核是對錯誤或故意違反既定流程的補償性控制，在職責不能恰當分離的小型組織中尤其重要審計過程中應該審計的文檔：IT戰(zhàn)略、規(guī)劃和預算安全政策文檔組織圖或職能圖工作說明指導委員會報告系統(tǒng)開發(fā)和程序變更流程操作流程人力資源手冊質量保證程序信息系統(tǒng)審計師應當驗證管理層在合同過程中的參與程度，確保按適當?shù)闹芷趯贤裱赃M行審查。制定IT服務外包決策應考慮的問題：服務質量、持續(xù)服務保證、控制程序、競爭優(yōu)勢和技術知識外包實允許組織把服務交付轉由第三方提供的機制。外包的基本原則是：雖然將服務交付轉移，但其職責仍屬于組織內管理層，他們必須確保對風險的適當管理及供應商持續(xù)的價值交付。外包應注意：數(shù)據(jù)所有權，知識產權，審計權（或獨立的第三方審計報告）IT目標應當是改善用戶滿意度并實現(xiàn)業(yè)務目標。應當通過用戶訪談和調查來監(jiān)督用戶滿意度質量管理是控制、衡量和改善IS部門流程的一種方法信息系統(tǒng)部門制定并維護的書面流程是有效管理信息資源的證據(jù)，堅持遵守流程及相關流程管理技術是信息系統(tǒng)部門有效運營的關鍵因素?？冃гu價的主要階段有：、制定和更新績效指標、為績效指標建立責任制、收集和分析績效數(shù)據(jù)、報告和使用績效信息績效指標用途、衡量產品和服務、管理產品和服務、確保責任制、制定預算決策、優(yōu)化績效針對職責分離的補償性控制：審計蹤跡、核對、例外報告、交易日志、監(jiān)督性審核、獨立性審核（在不能進行有效職責分離的小型組織尤其重要，可以幫助發(fā)現(xiàn)錯誤或違規(guī)行為）業(yè)務連續(xù)性計劃（BCP）——涉及組織內絕大多數(shù)部門；災難恢復計劃（DRP）——涉及IT及相關部門BCP責任屬于高級管理層，高級管理層不能將責任分到下屬業(yè)務連續(xù)性計劃應當基于長期的IT計劃，并與組織總體業(yè)務連續(xù)性戰(zhàn)略一致業(yè)務連續(xù)性計劃和災難恢復的目的是使組織在中斷事件后可以持續(xù)提供關鍵服務并從災難中斷中恢復其活動；災難恢復（DRP）與業(yè)務連續(xù)性計劃（BCP）是組織為避免關鍵業(yè)務功能因重大災難而中斷，減少業(yè)務風險而建立的一個控制過程； 是業(yè)務流程，不是一個項目 。BCP主要是組織高級管理層的責任，因為高級管理層對組織的資產和生存負有最高責任；高級管理層不能推托將責任委托給下級人員。BCP計劃不是所有的業(yè)務流程都要恢復（只恢復關鍵流程），也不是所有的服務都需要恢復，關鍵的目標是滿足客戶的需求。*BCP維護的一個重要步驟：組織內任何相關變化產生時都要進行 BCP的更新和演練業(yè)務連續(xù)性計劃（BCP）是組織為避免業(yè)務功能/運作中斷，減少業(yè)務風險而建立的一個控制流程，包括對支持組織關鍵業(yè)務的人力、物力需求和關鍵業(yè)務所需的最小級別服務水平的連續(xù)性保證。準備一個新的BCP的第一步師識別戰(zhàn)略性的業(yè)務流程，這些關鍵流程是業(yè)務持續(xù)增長和實現(xiàn)業(yè)務目標的保證風險管理在BCP的準備階段被關注。無論發(fā)生何種中斷，關注的焦點永遠是關鍵業(yè)務流程的可用和持續(xù)運行*如果信息系統(tǒng)的 BCP與DRP需要單獨建立，必須與組織的總的 BCP計劃保持一致。不存在單獨的DRP計劃，一定先有BCP才會有DRP。一個整合的BCP計劃必須確保：每個部分都被涵蓋承諾的資源被最有效的方式使用，并有充分證明通過它組織可以克服中斷生存下去災難：把發(fā)生概率極小，但沖擊極大一個業(yè)務連續(xù)性計劃應當識別出當發(fā)生災難時，業(yè)務應當做什么保證恢復的成本永遠不要超過所獲得的利益流感大流行的到來具有很強的不確定性，對社會和經濟的影響與威脅是確定的。流感大流行特點是系統(tǒng)、設備沒有問題，但是人沒有了。流感大流行的應對規(guī)劃和傳統(tǒng)的業(yè)務連續(xù)性規(guī)劃不同，信息系統(tǒng)審計師應評價組織對流感大流行的準備；流感大流行的影響由于范圍和持續(xù)時間不同難以確定。危機溝通范圍：內部：股東、員工外部：新聞媒體、政府危機溝通中，除發(fā)言人外，組織中的任何其他人不管官居何職，都不得發(fā)布任何公共言論BCP主要針對服務中斷BCP是糾正性控制根據(jù)對業(yè)務危害程度的估計，對各種事件進行分類：可忽略事件、微小事件、重大事件、危險事件，在事件被解決前，任何對它的分類都是臨時性的BCP過程分為：1、創(chuàng)建業(yè)務連續(xù)性方針/政策2、風險分析RA3、 運行分類及重要性分析、識別支持關鍵組織功能的信息系統(tǒng)流程、開發(fā)BCP策略、開發(fā)業(yè)務連續(xù)性計劃和DRP步驟、開發(fā)重建程序、培訓與意識教育程序、計劃的演練與實施、監(jiān)測BIA之后做策略供管理層選擇，管理層批準后，制定計劃執(zhí)行BIA的方法：、設計詳細的調查問卷，分發(fā)給重要業(yè)務人員和IT人員（用戶多，分布廣，問題標準化）、拜訪關鍵用戶，通過面談收集信息（問題復雜）、把IT和終端用戶召集，討論得到結論（跨部門）信息系統(tǒng)審計師應該分析過去的事務量以確定在系統(tǒng)不可用期間對業(yè)務的影響程度BIA目標：業(yè)務、利潤；合規(guī)；合同約定、承諾對BIA應用的重要性分類：關鍵的——必須立即恢復（中斷幾小時到一天）重要的——短時間人工替代（1~5天）敏感的——長時間人工替代（一周以上）不敏感——可完全手工替代BIA中關鍵業(yè)務流程由流程所有者確定，由高級管理層批準BIA之后先做恢復策略RPO越小，最低可接受損失就越少，就需要采用鏡像或磁盤雙工技術在制定DRP計劃時需要RPO值RTO指業(yè)務恢復。HR的員工手冊中必須有人員撤離計劃RPO影響備份技術的選擇RTO越小，對災難容忍程度就越低，就只能選擇“熱站”完全不允許停機——雙生產中心（冗災中心、鏡像站點）災難恢復策略其他參數(shù)：中斷窗口：組織能夠等待的自失效點時刻到關鍵服務應用恢復的時刻服務交付目標（SDO）：直到正常的生產系統(tǒng)恢復運營，由替代流程實現(xiàn)的服務水平。這直接與業(yè)務需求相關最大可容忍中斷：組織使用備用方式支持的生產處理的最長時間災難必須由授權人員宣告管理層與員工積極參與是BCP成功的重要因素如果組織中不存在統(tǒng)一的業(yè)務連續(xù)性計劃，針對信息系統(tǒng)的BCP需要覆蓋整個依賴信息系統(tǒng)服務的部門和單位恢復策略的選擇基于下列因素：、業(yè)務流程及支持此流程的應用系統(tǒng)的重要性；、成本；、組織要求的恢復時間；、安全。恢復成本不應大于停機成本最適合的恢復策略的選擇，首先要通過業(yè)務影響分析確定風險和重要性級別，然后通過比較恢復成本和停機成本來決定。熱站的安全級別不是最高的，最高安全級別的應該是鏡像冗余站點，或者是雙生產中心熱戰(zhàn)：除應用程序、數(shù)據(jù)、文件以及操作人員外其他全部齊全溫站：在熱站基礎上減少主機冷站：只有基本環(huán)境，電、空調、場地高級管理人員是BCP關鍵決策制定者，具有決定啟動計劃的最終裁定權與業(yè)務連續(xù)性計劃相關的部門有：服務支持部門、業(yè)務運行部門、信息處理支持部門BCP演練的各個階段：預演練階段、演練階段、演練后續(xù)階段演練類型：紙上推演、預備性演練、全面運行演練*如果信息系統(tǒng)的 BCP和DRP需要單獨建立，必須與組織的總的 BCP計劃保持一致。在管理層選擇了適用的恢復策略后，下一步的目標就是制定詳細的業(yè)務連續(xù)性計劃和災難恢復計劃，并在異地備份場所存放一份計劃的拷貝，最好是紙質首先用戶和管理層的參與是識別關鍵資源的基礎，其次要由他們來決定關鍵的恢復時間和定義所需的資源。應急管理小組通常由高級管理人員領導當VOIP作為組織的唯一通信線路時，要考慮備份冷熱溫站合同事項：、配備—包括軟件和硬件是否滿足需要、災難—對災難的定義是否滿足預期需要、啟用速度—多長時間可以啟用、每個站點的申請者—是否限制每個站點申請者的數(shù)量、每個區(qū)域的申請者、優(yōu)先權、保險、站點使用期限、通訊能力、服務承諾、審計條款、測試權限、恢復站點的可靠性證明BCP演練目標：1、驗證BCP的完全性或準確性；2、評價BCP演練中個人的績效；3、評價對非BCP團隊成員的其他員工的教育與培訓；4、評價BCP團隊與外部供應商之間的協(xié)調性；、通過實施預定的程序來演練備份站點的能力與容量；、評估重要記錄的檢索能力；、評價要轉移到恢復站點的設備的狀態(tài)、數(shù)量及供應情況；、評價與維護業(yè)務實體有關的運行活動和信息系統(tǒng)處理活動的績效對備份存儲位置的邏輯以及物理安全要求應該與生產中心的級別一致異地備份庫管理員的責任：、維護一個永久的備份存儲介質的庫目錄（可以手工或者自動）；、控制對這些存儲介質的訪問；、根據(jù)需要，控制存儲介質在不同的庫中循環(huán)流通；、維護一份BCP拷貝。制定和維護一個DRP與BCP應該：、執(zhí)行BIA；、識別各類資源并分類；、選擇策略恢復IT設施，支持關鍵業(yè)務流程；、制定詳細計劃恢復IT設施（DRP）；、制定詳細計劃保證關鍵業(yè)務運行（BCP）；、測試計劃；、當業(yè)務和系統(tǒng)環(huán)境發(fā)生變化時，維護與更新計劃。BCP計劃更新日期都是30天備份和介質的選擇因素：、標準化——技術支持、容量——滿足需求、速度——與業(yè)務要求一致、成本——包括設備和介質的成本備份的方法：全備(最慢)、增量（最快）、差分（一般）呼叫樹清單每個月都需要核實*計劃演練目的：找出錯誤、不足，沒有控制的點； 個人績效全面運行演練不能由演練變成真正的災難審核BCP計劃：是否覆蓋關鍵業(yè)務流程業(yè)務連續(xù)性計劃中緊急逃生最重要，人的安全永遠排在第一位第三章信息系統(tǒng)與基礎設施生命周期管理項目的定義：、項目是一項有待完成的任務，且有特定環(huán)境與要求、在一定的組織機構內，利用有限資源（人力、物力、財務等）在規(guī)定的時間內完成任務、任務要滿足一定性能、質量、數(shù)量、技術指標等要求。項目一定有截至點,不能無限期延續(xù)；一定在有限的時間、有限的預算內。交付物是可以長期保存的。軟件項目一旦交付到生產環(huán)境后應立即交割給運維人員。項目的目標應該包括成果性目標和約束性目標，滿足客戶、管理層和供應商在時間、費用和性能上的不同需求。項目群可以看成是由一系列項目和有時間邊界的任務組成，這些項目和任務通過共同的目標、共同的預算、相互交織的日程和策略等緊密的聯(lián)系在一起。成功的實施項目群，需要對以下內容進行有效管理：、項目群的范圍、財務、日程、目標及交付物；、項目群所處的環(huán)境；、項目群的溝通與文化；、項目群的組織。項目群中典型的溝通結構就是召開項目群所有者會議和項目群團隊會議項目管理辦公室是項目管理和項目群管理過程的所有者，它必須是永久性的組織結構，需要配置充足的人員，以對當前的項目管理提供充分的支持，同時開發(fā)新的程序和標準。項目管理辦公室只涉及項目管理程序中的活動和任務，并不涉及具體的項目內容。在一個給定的時間點上，組織中正在進行的所有的項目的集合稱為項目組合。項目組合的管理目的：、優(yōu)化項目組合的結果、對項目優(yōu)先級排序，進行日程安排、協(xié)調對資源的使用、項目中的知識傳遞項目是短期的、戰(zhàn)術性的項目群是長期的、戰(zhàn)略性的項目組合具有管理周期（每季度或每年）應追求整體項目組合的收益最大化。規(guī)劃IT項目時首先需要進行業(yè)務利益分析（商業(yè)案例/BusinessCass），組織可以獲得的業(yè)務利益是實施IT項目的源動力。*組織可以獲得的業(yè)務收益才是實施 IT項目的源動力規(guī)劃IT項目時，首先要考慮業(yè)務模式（商業(yè)模式、業(yè)務案例）可行性分析時業(yè)務模式分析的一種在可行性研究分析時就必須決定軟件系統(tǒng)是自己開發(fā)還是購買。對項目進行充分詳細的業(yè)務模式分析，作為啟動和持續(xù)一個項目的驗證條件，為項目的實施提供一個合理的理由業(yè)務模式分析是項目生命周期中各個決策過程的關鍵因素，無論在項目的哪一個階段，如果業(yè)務模式分析表明由于成本增加或預期的利益不能實現(xiàn)使得項目不再有意義時，項目發(fā)起人或指導委員會應當考慮是否要終止項目的執(zhí)行。業(yè)務利益由誰來驗證。項目管理的四個要素：環(huán)境、資源、目標、組織項目管理的方式是目標管理。在一個良好定義的項目中，通常建立了一些決策點，有時稱為“階段點”或“生死點”，在這些點上進行業(yè)務模式分析后決定當前的項目是否依然有意義。如果IT項目實施階段中其業(yè)務模式發(fā)生變化，應當通過部門規(guī)劃和審批流程對項目重新進行評估和批準實施后評審：在項目實施后6~18個月進行，評價利益實現(xiàn)程度，獨立于項目實施的審計師進行評審有關項目的所有治理決策應當由業(yè)務效益驅動，并進行周期性評審信息系統(tǒng)項目可以由組織的任何一部分啟動，包括信息系統(tǒng)部門項目管理的一般過程：啟動、計劃、執(zhí)行、控制、收尾（其中控制過程，貫穿整個項目實施過程）業(yè)務過程的設計方法也同樣適用于項目管理過程項目環(huán)境最關鍵就是一把手工程。項目管理的組織規(guī)劃：1、職能式組織形式：項目經理僅作為一個成員，沒有正式管理權權限無2、項目式組織形式：項目經理有正式授權負責項目權限高3、矩陣式組織形式：項目經理與部門經理同時共同分擔管理權限權限中用戶管理部門擁有項目和最終系統(tǒng)的所有權，當系統(tǒng)被定義和完成時，用戶管理部門應當評價和批準系統(tǒng)的交付。安全主管評價安全測試計劃并在實施之前進行報告項目發(fā)起人對項目指導委員會負責；項目經理負責項目的日?；顒?；關鍵用戶在需求分析階段、測試階段需要積極參與；用戶培訓在測試階段進行，主要培訓怎么使用軟件。在測試階段用戶需要參與測試案例的開發(fā)。QA獨立整個項目組，對整個項目的活動做獨立的評價。項目溝通文化：各類會議項目分解結構：1、先建立對象分解結構（ OBS）2、建立項目工作分解結構（ WBS）3、WBS不包括方案中基本元素，表示為工作包（ WPS）永遠不能靠忽視質量來滿足工期、時間、資源的要求。也不能忽略測試；在特別的情況下，只能減少功能。成功的項目計劃的全面特征式項目基于風險的管理過程而且本身是互動的。項目中三個元素/緯度必須考慮1、時間/持續(xù)時間需要花多少時間才能完成項目2、成本/資源需要花費多少3、交付品什么是必須做的軟件規(guī)模評估：源代碼行數(shù)、功能點分析（FPA）、FPA特征點源代碼行數(shù)評估結構化程序語言（BASIC、COBOL）有用，其他不行，尤其業(yè)務功能不行功能點分析（FPA）廣泛用于評估開發(fā)大型業(yè)務應用的復雜性。功能點分析的結果用于度量基于輸入、輸出、文件、接口和查詢系統(tǒng)的規(guī)模FPA特征點分析對于網站應用，能有效估算特征點、訪問規(guī)則、頁面鏈接和存儲有關的應用項目評審技術（PERT）是一種網絡管理技術，常用于充分計劃的系統(tǒng)開發(fā)項目。甘特圖的缺點：無法表現(xiàn)任務之間的邏輯關系PERT時間計算=（樂觀完成時間+4X最可能完成的時間+悲觀完成時間）/6先用PERT算出每個工作的工期，然后再用關鍵路徑法關鍵路徑法中，有多條路的時候找最長的路。也就要確保整個路徑圖中所有任務能在計算出的時間內完成。關鍵路徑中的松弛時間為0*設計系統(tǒng)開發(fā)項目的PERT網絡時，第一步是識別所有的任務、項目的相關事件/里程碑和它們相對應次序時間盒管理是項目管理方法原型法的項目管理方法是時間盒管理時間盒管理中：時間、質量、資源不可變，只有功能可以變時間盒管理是在一個相對短的、絕對的和不許變更的時間以及有限資源的情況下，定義和部署軟件交付產品。時間盒方法主要優(yōu)點是避免項目成本超支以及進度拖延時間盒方法由于最終用戶的參與，測試用例的準備和測試需求很容易達到，系統(tǒng)測試和用戶接受測試通?？梢砸黄饒?zhí)行。項目控制活動包括項目的范圍管理，資源使用和風險管理。記錄項目新的需求并在批準后分配合適的資源。范圍變更管理：變更請求必須提交項目經理項目經理提交項目咨詢顧問委員會決定是否建議變更項目出資人決定是否變更項目出資人有最后決定是否變更的決定權。項目過程的變更控制就是確保項目的完成時間，項目資金的使用和項目質量達到利益相關方的預期系統(tǒng)開發(fā)生命周期（SDLC）一般具有開發(fā)、實施、維護和廢止階段項目資源利用采用EVA掙值分析項目風險主要有：、對業(yè)務收益產生沖擊（及對項目的存在性構成風險）——項目投資人、對項目本身產生風險的——項目經理V模型中：用戶需求——接受測試 UAT功能需求——系統(tǒng)測試概要設計——集成測試詳細設計——單元測試編寫代碼V模型中：、單元測試用于驗證詳細設計的正確性；、集成測試是用于驗證各單元集成后的正確性、系統(tǒng)測試用于驗證系統(tǒng)總體功能與架構的正確性、用戶接受測試是用戶為了驗證軟件是否實現(xiàn)了用戶需求開發(fā)的業(yè)務應用系統(tǒng)一般都可以歸為兩種類型：組織中心計算型（采用SDLC生命周期方法）用戶中心計算型SDLC也被稱為瀑布式開發(fā)技術，是一種系統(tǒng)的、順序式的軟件開發(fā)方法，從可行性研究開始，通過需求定義、設計、開發(fā)、實施和實施后維護等階段而逐步發(fā)展，建立了相應的責任、預期的結果和完成目標的日期。SDLC需求定義：描述系統(tǒng)應該做的，用戶如何與系統(tǒng)交互，系統(tǒng)運行的條件，系統(tǒng)應滿足的信息標準；確保需求完整、連續(xù)、清楚、可驗證、可修改、可跟蹤審計師在SDLC需求分析階段需要關注：業(yè)務部門的人員積極參與到需求調研中；安全控制是否提出（審計師作為用戶，提出嵌入式在線審計模塊是否提出）SDLC方法適用于一個需求穩(wěn)定、定義準確的項目，并且在開發(fā)工作早期建立總體的系統(tǒng)架構軟件購買階段：、不修改，只配置、進行部分定制開發(fā)、完全重新開發(fā)（絕對不允許，ERP軟件代表行業(yè)的最佳實踐）迭代法：業(yè)務需求被迭代開發(fā)和測試直至整個應用系統(tǒng)被設計、建立和測試。適合于WEB應用開發(fā)需求定義階段決定軟件是自行開發(fā)還是購買軟件包軟件征求建議書中應該包括（重點）：、供應商的財務穩(wěn)定性；、源代碼的可用性、提供此類產品的時間；、先做UAT測試、簽訂合同之前需要本公司法律顧問核準*UAT測試后，實施前一定要求最后軟件進行打包，不允許進行最后一分鐘修改 。自行開發(fā)的設計階段==購買軟件包的選擇階段自行開發(fā)的開發(fā)階段==購買軟件包的配置階段實施階段在最終用戶驗收測試完成、用戶簽署正式文件后進行組織應當按照ERP的要求首先要轉變原有的管理理念、策略和實踐方法，并按業(yè)務需求對ERP進行定制，才能有效提高信息技術能力，以支持組織業(yè)務目標的實現(xiàn)。進行ERP的風險評估是組織高級管理層的責任一旦決定推進一個項目，首先應該做一個分析來清晰地定義需求以及識別與這個需求相關的備選方案，這個分析稱為可行性研究*信息資源包括：人員、應用系統(tǒng)、技術、設施和數(shù)據(jù)，通過一系列 IT過程加以管理可行性研究報告首先由項目負責人審查（審查內容是否可靠），再上報上級主管審閱（估價項目的地位）。從可行性研究應當?shù)贸觥靶谢虿恍小钡臎Q斷與可行性報告聯(lián)系緊密的是影響評估，研究當前項目對其他項目和資源的潛在影響。評估結果需要列出一具體行動方案的好處和壞處。需求定義即在可行性研究后對選擇的業(yè)務系統(tǒng)識別和明確業(yè)務需求。需求包括：描述系統(tǒng)應該做的，用戶如何與系統(tǒng)交互，系統(tǒng)運行的條件，系統(tǒng)應該滿足的信息標準。*信息標準包括：系統(tǒng)的效力、效率、機密性、可用性、合規(guī)性和可靠性 。最終用戶在這階段詳述他們對信息資源的要求在需求定義階段，一個系統(tǒng)的初步設計呈交用戶管理層審閱，修改，批準和支持。創(chuàng)建項目計劃用于開發(fā)、測試和實施系統(tǒng)。在需求分析階段，所有相關的管理人員與用戶都應積極參與到需求定義中來。實體關系圖（ERD）描述的是系統(tǒng)數(shù)據(jù)和這些數(shù)據(jù)是如何交互的，可作為需求分析工具實體關系圖（ERD）的基本元素是實體和關系信息系統(tǒng)審計師在需求分析階段要確定：應用系統(tǒng)是否定義了充分的安全需求以保證系統(tǒng)的機密性、完整性和可用性；是否定義了完備的審計蹤跡作為系統(tǒng)的必要組成部分，審計蹤跡是審計師未來進行跟進的重要依據(jù)。如果決定購買現(xiàn)成的商品化軟件包，那么用戶也要積極參與到軟件產品的評估和選擇過程中。組織應當建立一個由技術人員和主要業(yè)務人員組成的項目小組，由項目小組制定征求建議書（RFP）或邀標書（ITT），并發(fā)送給軟件供應商，讓軟件供應商根據(jù)組織的需求，在考慮技術先進、成本最優(yōu)的前提下，提供最佳解決方案。征求建議書（RFP）的內容：產品與系統(tǒng)需求客戶參考資料（成功案例）供應商的生存能力/財務穩(wěn)定性完整可靠的文檔供應商的服務支持源代碼的可用性提供此類產品的年頭最近對產品的更新計劃當前使用改產品的用戶數(shù)及列表對產品的接受測試（在正式購買前必須要做）征求建議書（RFP）—需要供應商提供解決方案和相關的支持與維護服務邀標書（ITT）—已經知道需要購買什么樣的產品和服務在正式的征求建議書（RFP）前，要先起草信息征求書（RFI）文件，送給軟件供應商，請其就組織的特定需求，提供產品與服務方面的初步咨詢意見與建議。組織根據(jù)各個供應商提供的信息，制定出正式的征求建議書?？疾炱渌嗤愋偷慕M織使用這種軟件包的情況，重點在于：、可靠性—供應商的產品遞交是否可靠、承諾的服務—如果產品出現(xiàn)問題，供應商的服務響應是否及時、為產品提供文檔及培訓的承諾—客戶滿意度如何信息系統(tǒng)審計師要參與到軟件獲取過程中，保證組織與供應商達成任何協(xié)議前，已充分考慮了安全控制的需要，否則很難保證系統(tǒng)要處理的信息的完整性；設計階段必須制定計劃：測試計劃、數(shù)據(jù)轉換計劃商品化軟件包相關的風險：不完備的審計蹤跡、口令控制和應用系統(tǒng)的整體安全由系統(tǒng)分析師進行軟件架構設計來描述系統(tǒng)藍圖，進而詳細分解系統(tǒng)各個部分和要素在軟件設計過程中，最好不要讓用戶參與；但是設計人員應當向用戶解釋軟件結構是如何滿足用戶的業(yè)務需要的信息系統(tǒng)審計師主要關注系統(tǒng)設計對控制的影響關鍵的設計階段：、開發(fā)系統(tǒng)流程圖和實體關系圖模型，說明信息在系統(tǒng)中如何流動、確定是否使用結構化的設計方法，通過一系列數(shù)據(jù)或流程圖自頂向下建立各種關系、描述輸入輸出（原型開發(fā)工具中，是最重要的設計內容）、確定軟件的過程步驟和計算規(guī)則，滿足功能需求、確定數(shù)據(jù)文件或數(shù)據(jù)庫文件設計、為各種類型的需求或已定義的信息標準，建立程序規(guī)格說明書7、制定各種類型的測試計劃：單元測試（程序測試）、子系統(tǒng)測試（模塊測試）、集成測試（系統(tǒng)測試）、測試與其他程序的接口、測試系統(tǒng)裝載和初始化文件、壓力測試、安全測試、數(shù)據(jù)備份與恢復測試、制定數(shù)據(jù)轉化計劃，把數(shù)據(jù)從老系統(tǒng)轉換到新系統(tǒng)軟件配置管理引入基線（Baseline）概念，軟件設計階段代表了軟件基線管理過程中的一個優(yōu)化點，基線的概念意味著一個設計階段的一個“凍結”點。一旦為軟件開發(fā)過程建立了基線，就要引入配置管理的過程來管理對軟件的修改，以協(xié)調和控制整個系統(tǒng)。如果控制不到位就會產生范圍蔓延?；€標志軟件開發(fā)過程的里程碑，任何一個軟件配置項（如設計說明書、測試計劃等），一旦形成文檔并審核通過，即為一個基線?；€標志開發(fā)過程中一個階段的結束。對于已稱為基線的軟件配置項，雖然可以修改，但必須按照特殊、正式的變更管理過程進行評估，在確認風險與成本的前提下，再進行修改。詳細設計完成后，在得到用戶同意和建立軟件基線的情況下，就可以把設計方案交給系統(tǒng)開發(fā)人員進行編程設計階段，信息系統(tǒng)審計師應審核在系統(tǒng)規(guī)格說明書、測試計劃中建立了完備的安全控制，是否將連續(xù)在線審計功能集成到系統(tǒng)中在軟件設計階段的關鍵文檔包括：系統(tǒng)規(guī)格說明書、子系統(tǒng)規(guī)格說明書、程序規(guī)格說明書、數(shù)據(jù)庫系統(tǒng)規(guī)格說明書、測試計劃和正式的軟件變更控制程序軟件開發(fā)的目的是通過編程實現(xiàn)開發(fā)者在系統(tǒng)分析和系統(tǒng)設計中提出的管理方法和處理構想開發(fā)階段的編程責任主要在編程人員和設計系統(tǒng)的分析員身上需要開發(fā)數(shù)據(jù)遷移計劃、用戶遷移計劃集成開發(fā)環(huán)境（IDE），容易受非授權訪問出現(xiàn)錯誤以及版本無法控制；因此需通過訪問控制軟件來控制風險編程標準是一項基本控制，是系統(tǒng)開發(fā)過程中編程團隊成員之間、編程團隊與用戶之間交流的方法聯(lián)網的集成開發(fā)環(huán)境應當通過訪問控制軟件來控制非授權訪問之類的風險調試工具就是協(xié)助編程人員在開發(fā)階段發(fā)現(xiàn)錯誤、修改代碼的軟件，一般分為三種類型：邏輯路徑監(jiān)測、內存轉儲、輸出分析輸出分析一般通過比較預期的結果與實際結果而實現(xiàn)檢查程序運行的輸出結果的精確性軟件測試是根據(jù)軟件開發(fā)各階段的規(guī)格說明和程序的內部結構而精心設計的一批測試用例（即輸入數(shù)據(jù)及其預期的輸出結果），并利用這些測試用例去運行程序，以發(fā)現(xiàn)程序錯誤的過程在測試過程種，信息系統(tǒng)審計師扮演的角色是預防性和發(fā)現(xiàn)性的軟件測試方法（一般用自底向上）：、自底向上—在所有程序完成前就可以進行測試；對關鍵模塊的錯誤可以較早發(fā)現(xiàn)、自頂向下—可以較早對主要功能和處理過程進行測試，接口錯誤可以較早測試出來，增強用戶對系統(tǒng)的信心測試分類：、單元測試：針對程序模塊，進行正確性檢驗的測試、接口測試/集成測試：一種軟件或硬件測試，評估兩個或多個模塊之間的連接，而這些模塊之間有信息傳遞。在系統(tǒng)之間傳遞數(shù)據(jù)時測試確認和驗證單個系統(tǒng)系統(tǒng)的應用程序功能、系統(tǒng)測試：對整個軟件進行測試；目的在于通過與系統(tǒng)需求定義作比較，發(fā)現(xiàn)軟件與系統(tǒng)定義不符合或與之矛盾的地方、最終接受測試：當開發(fā)與測試人員完成所有測試，準備交付軟件產品時，就應該開始系統(tǒng)的用戶接受測試。系統(tǒng)測試的測試用例應根據(jù)需求分析規(guī)格說明來設計，并在實際使用環(huán)境下運行用戶接受測試以用戶為主，主要有兩類人員：使用軟件的最終用戶、質量保證人員UAT測試主要測試業(yè)務功能。QAT需要測試運行功能用戶接受測試（UAT）一般使用用戶界面輸入測試數(shù)據(jù)，分析測試的輸出結果，一般使用生產中的實際數(shù)據(jù)進行測試，以確保用戶要求的功能得到實現(xiàn)質量保證測試（QAT）對軟件的可移植性、兼容性、可維護性、錯誤的恢復功能進行技術性確認系統(tǒng)測試包括：、恢復測試：檢查系統(tǒng)從硬件或軟件故障中恢復的能力、安全測試：確保新系統(tǒng)內置了充分的訪問控制、壓力測試/容量測試：對大量數(shù)據(jù)的處理，評估系統(tǒng)在處理高峰時的性能、性能測試：利用通用測試標準來比較系統(tǒng)性能UAT測試應該在單獨的測試環(huán)境，不能與生產與開發(fā)環(huán)境在一起用戶接受測試（UAT）應該在源代碼和可執(zhí)行代碼都能得到很好保護的安全測試環(huán)境，有助于避免非授權的版本或最后一分鐘還在修改的系統(tǒng)沒有經過標準的系統(tǒng)維護過程就直接引入正式系統(tǒng)α測試是由一個用戶在開發(fā)環(huán)境下進行的測試，是在受控環(huán)境下的測試。目的是評價軟件產品的FURPS（功能、可使用性、可靠性、性能和支持）；在編碼結束之時就可以開始β測試是由多個用戶在一個或多個用戶的實際環(huán)境下進行的測試，非受控環(huán)境下的測試，主要目的是測試可支持性；是衡量產品的FURPS（功能、可使用性、可靠性、性能和支持）β測試中所有的產品手冊文本也應該完全定稿只有當α測試達到一定的可靠程序時，才能開始β測試模擬測試只是對系統(tǒng)進行有限評估的方法*白盒測試：把測試對象看作打開的盒子，允許測試人員利用程序內部邏輯結構及有關信息，設計或選擇測試用例，對程序所有邏輯路徑進行測試。通過在不同點檢查程序狀態(tài)，確定實際的狀態(tài)是否與預期的狀態(tài)一致黑盒測試：在軟件接口處進行測試，證實每個實現(xiàn)的功能是否符合要求。必須在所有可能的輸入條件和輸出條件中確定測試數(shù)據(jù)，來檢查程序是否都能產生正確的輸出，一般用于UAT測試。功能/確認測試：驗證軟件的有效性，驗證軟件功能和性能及其它特性是否與用戶的要求一致回歸測試：對測試計劃或測試場景的某些內容重新進行測試，目的是為了保證最近對軟件所做的變更和修改沒有引入新的錯誤?；貧w測試中所用的數(shù)據(jù)要與以前的測試數(shù)據(jù)一致平行測試：把一套測試數(shù)據(jù)同時輸入到被測試系統(tǒng)（新系統(tǒng)）和對比系統(tǒng)（原系統(tǒng)）中去運行，比較兩個系統(tǒng)的輸出結果，以判斷被測試系統(tǒng)的正確性社交性測試：證實新系統(tǒng)在目標環(huán)境中運行時，不會給其他系統(tǒng)帶來負面影響（包括平臺、接口、桌面以及操作系統(tǒng)等環(huán)境）新信息系統(tǒng)實施前：程序已經被測試優(yōu)化、存在程序流程和生產計劃、初始數(shù)據(jù)已經成功的轉換并導入到新的系統(tǒng)中、用戶已經制定了運營流程并完成了全員培訓、已經確定了系統(tǒng)投入運營的日期和新舊系統(tǒng)切換的日期實施計劃的階段：階段一、制定所需的支持結構差距分析——定義當前支持組織和未來所需組織之間的差距角色定義——對項目的各個角色進行明確的定義階段二、建立支持功能一旦項目所交付的新系統(tǒng)完成，準備上線運行時，還需要建立有效的支持結構包括：工作崗位、人員角色、職責、技能培訓、工作分配。要對實施的各個階段（從老系統(tǒng)到新系統(tǒng)的構建、集成、移植和轉換）進行有效管理實施計劃（知識轉移計劃）——應當按照漸變式或接力棒方式進行，這是知識轉移和職責轉移的最佳方式培訓計劃——定義了角色與職責后，需要用矩陣圖方式記錄，便于相關人員清晰理解。制定培訓計劃應明確：培訓內容、日程、持續(xù)時間、培訓方式（現(xiàn)場或網上）、先期對培訓者進行培訓培訓目標是保證終端用戶在系統(tǒng)運行過程具有必要的使用能力終端用戶培訓中最重要因素就是確保在開發(fā)階段的早期就考慮培訓的問題數(shù)據(jù)轉換的目標是將當前的數(shù)據(jù)轉換成需要的格式、編碼和結構，同時要保證數(shù)據(jù)的完整性和可用性數(shù)據(jù)轉換過程必須提供一些方法，如審計痕跡和日志，以允許對轉換數(shù)據(jù)進行精確性和完整性驗證（可以手工也可以通過系統(tǒng)工具自動完成）數(shù)據(jù)轉換步驟：、確認哪些數(shù)據(jù)需要程序進行轉換，哪些數(shù)據(jù)使用手工轉換；、轉換前進行必要的數(shù)據(jù)清理、識別用于驗證數(shù)據(jù)轉換是否成功的方法（自動文件比較、比較記錄數(shù)、控制總數(shù)、記帳平衡數(shù)和抽樣選擇）、建立數(shù)據(jù)轉換的接受標準、確定數(shù)據(jù)轉換項目任務的先后順序、設計用于記錄轉換的審計追蹤報告、設計例外報告記錄沒有成功轉換的數(shù)據(jù)項、明確確認，為每一個轉換步驟簽字和接受最終轉換成功的責任人、開發(fā)和測試數(shù)據(jù)轉換程序，包括功能和效率、進行一次或多次數(shù)據(jù)演練，讓相關人員熟悉整個項目的各個步驟，各自的責任，并且使用真實的數(shù)據(jù)測試轉換流程、對外包流程，需要簽署包括保密在內的合適的協(xié)議、在實際數(shù)據(jù)轉換時，所有必要的人員要到場，或者至少能聯(lián)系上成功的數(shù)據(jù)轉換時系統(tǒng)按時、符合預算和按質上線的前提數(shù)據(jù)轉換的備份：舊系統(tǒng)最后一個拷貝/新系統(tǒng)轉換過來后的第一個拷貝，都需要永久保存數(shù)據(jù)轉換的風險：、正常運行的中斷、破壞數(shù)據(jù)安全和數(shù)據(jù)保密、在系統(tǒng)遷移過程中，數(shù)據(jù)不一致和不完整企業(yè)配置庫可以對組織中的系統(tǒng)重組過程和數(shù)據(jù)移植過程提供一個全景圖通過模塊分析，界定項目實施過程中的功能模塊與數(shù)據(jù)實體的范圍，基于這些信息和對業(yè)務需求的分析，對實施項目的計劃進行精細調整分階段部署應用系統(tǒng)，以最小化新系統(tǒng)實施對終端用戶的影響，通過實施失敗后的回退操作減少負面影響，降低風險為新技術架構設計的數(shù)據(jù)重定向器要符合面向服務的架構要求，使新系統(tǒng)在運行過程中能對遺留系統(tǒng)的數(shù)據(jù)進行訪問數(shù)據(jù)轉換組件把遺留數(shù)據(jù)模型轉換到新數(shù)據(jù)模型，這些組件有三種：、下載組件——從遺留系統(tǒng)中下載數(shù)據(jù)、傳輸組件——從遺留系統(tǒng)向新系統(tǒng)傳輸數(shù)據(jù)、上載組件——向新系統(tǒng)上載數(shù)據(jù)組織一旦決定購買軟件包，就要根據(jù)系統(tǒng)所需的數(shù)據(jù)庫及供應商提供的轉換工具，盡快設計數(shù)據(jù)的轉換方案。一旦新系統(tǒng)不能正常運行，移植失敗后，需要把已轉換得到的新數(shù)據(jù)結構，通