信息系統(tǒng)審計(jì)基礎(chǔ)培訓(xùn)材料ppt課件

1、信息系統(tǒng)審計(jì)根底培訓(xùn)1信息系統(tǒng)審計(jì)根底培訓(xùn).信息系統(tǒng)審計(jì)根底培訓(xùn)2課程目錄信息系統(tǒng)審計(jì)根底通用計(jì)算機(jī)控制審計(jì)運(yùn)用系統(tǒng)控制審計(jì)計(jì)算機(jī)輔助審計(jì)技術(shù)引見信息技術(shù)控制缺陷的評(píng)價(jià)對(duì)外包效力商內(nèi)部控制的思索交流與回答.信息系統(tǒng)審計(jì)根底培訓(xùn)3信息系統(tǒng)審計(jì)根底 .信息系統(tǒng)審計(jì)根底培訓(xùn)4IT審計(jì)的定義為了信息系統(tǒng)的平安、可靠與有效，由獨(dú)立于審計(jì)對(duì)象的IT審計(jì)師，以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為中心的信息系統(tǒng)進(jìn)展綜合的檢查與評(píng)價(jià)，向IT審計(jì)對(duì)象的最高指點(diǎn)，提出問題與建議的一連串的活動(dòng)。IT審計(jì)的要點(diǎn)：獨(dú)立性綜合性IT審計(jì)師資歷IT審計(jì)報(bào)告促進(jìn)信息系統(tǒng)平安、可靠與有效.信息系統(tǒng)審計(jì)根底培訓(xùn)5IT審計(jì) vs. 財(cái)務(wù)審計(jì)

2、Assess Engagement Quality (Ch. 27)Perform Post-Engagement ActivitiesEngagement Reporting (Ch. 26)Prepare Audit Summary Memorandum (Ch. 24)Obtain Management Representations (Ch. 23)Perform Subsequent Events Review (Ch. 22)Conclude & ReportPerform Financial Statement Review (Ch. 21)Overall Evaluation

3、of Misstatements & the Scope of our Audit (Ch.20)Perform Tests of Operating Effectiveness of Controls (Ch. 17)Perform the Audit PlanDetermine Planning Materiality (Ch. 11)Perform Preliminary Analytical Review (Ch. 10)Understand the Accounting Process (Ch. 9)Understanding Internal Control (Ch. 8)Unde

4、rstand the Entity and Its Environment (Ch. 7.)Strategic Audit Planning (Ch. 6)Perform Preliminary PlanningEstablish Terms of Engagement (Ch. 5)Select the Engagement Team (Ch. 4)Assess & Respond to Engagement Risk (Ch. 3)Perform Pre- Engagement ActivitiesPrepare, Review and Control Working Papers (Ch

5、. 25)Assess and Manage RiskAudit QualityManage the Audit Engagement (Ch. 2)Plan an intermediate level of substantive procedures (Ch. 15)Plan to obtain audit evidence about the operating effectiveness of controls, in the current audit period or together with our work performed in the prior 2 audits,

6、& plan a basic level of sub-stantive procedures (Ch. 14 & 15)Plan to obtain audit evidence about the operating effectiveness of controls, in the current audit period, & plan a moderate level of substantive procedures (Ch. 14 & 15)Plan a focused level of substantive procedures (Ch. 15)Develop the Aud

7、it PlanSummarize & Communicate the Audit Plan (Ch 16)Plan to Rely on Operating Effectiveness of Controls (Ch. 13)Specific Identified Risk (Ch. 12)YesNoYesNoYesNo3.01.70.72.0.Perform Substantive Procedures SAP (Ch. 18) &/or Tests of Details (Ch. 19)No Specific Identified Risk (Ch. 12)Assess Risk at t

8、he Potential-Error Level (Ch. 12)Design & implementation of controls was adequate (Ch. 9)No.信息系統(tǒng)審計(jì)根底培訓(xùn)6內(nèi)部控制構(gòu)成要素COSO確保相關(guān)信息得到及時(shí)識(shí)別與傳達(dá)的程序來自高管的信息政策與程序培訓(xùn)品德準(zhǔn)那么組織的控制認(rèn)識(shí)?！案邔诱撜{(diào)品德準(zhǔn)那么成文的政策與程序文化評(píng)價(jià)對(duì)影響組織績(jī)效的內(nèi)外部要素的評(píng)價(jià)業(yè)務(wù)風(fēng)險(xiǎn)管理程序風(fēng)險(xiǎn)管理內(nèi)部審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)確定內(nèi)部控制能否得到正確地設(shè)計(jì)、有效和因地制宜地執(zhí)行的程序管理分析披露委員會(huì)內(nèi)部審計(jì)確保風(fēng)險(xiǎn)管理措施得到及時(shí)執(zhí)行的政策與程序授權(quán)審批普通程序和系統(tǒng)職責(zé)分隔客戶對(duì)帳信

9、息技術(shù)控制.信息系統(tǒng)審計(jì)根底培訓(xùn)7IT交叉在企業(yè)內(nèi)部控制的各個(gè)環(huán)節(jié)控制環(huán)境IT控制環(huán)境是公司整體控制環(huán)境的重要組成部分在公司“老總層面要聽得到關(guān)于信息技術(shù)的聲音 信息技術(shù)的控制職責(zé)和簽字權(quán)益必需明確信息技術(shù)的控制政策和規(guī)程必需成文 風(fēng)險(xiǎn)評(píng)價(jià)該當(dāng)有專門的信息技術(shù)風(fēng)險(xiǎn)評(píng)價(jià)程序該當(dāng)對(duì)信息技術(shù)內(nèi)控方案的制定加以監(jiān)視信息技術(shù)風(fēng)險(xiǎn)包括平安、運(yùn)轉(zhuǎn)、可用性等，都會(huì)影響財(cái)務(wù)報(bào)告的可靠性管理層必需認(rèn)識(shí)到信息技術(shù)的風(fēng)險(xiǎn)與信息技術(shù)的控制息息相關(guān)信息與溝通部署用以支持溝通的架構(gòu)、規(guī)范和流程信息可以準(zhǔn)確、及時(shí)地向上傳送方便地獲取信息技術(shù)相關(guān)的政策、流程、職位描畫和職責(zé)定義準(zhǔn)確地對(duì)財(cái)務(wù)數(shù)據(jù)和報(bào)告進(jìn)展整理和溝通監(jiān)視對(duì)信息技術(shù)

10、內(nèi)控進(jìn)展繼續(xù)監(jiān)視，確保其本質(zhì)有效實(shí)踐并運(yùn)轉(zhuǎn)對(duì)信息技術(shù)文檔的充分性進(jìn)展監(jiān)視 信息技術(shù)內(nèi)審復(fù)核. 對(duì)彌補(bǔ)和晉級(jí)程序進(jìn)展監(jiān)控.繼續(xù)的平安監(jiān)視.信息系統(tǒng)審計(jì)根底培訓(xùn)8了解企業(yè)內(nèi)部控制的程序 識(shí)別主要活動(dòng),程序和控制, 以應(yīng)對(duì)內(nèi)控的各實(shí)體層次構(gòu)成要素。了解監(jiān)管擔(dān)任人員如何應(yīng)對(duì)風(fēng)險(xiǎn)評(píng)價(jià)控制的設(shè)計(jì)與執(zhí)行對(duì)以下作出結(jié)論： 對(duì)實(shí)現(xiàn)有效內(nèi)部控制和可靠財(cái)務(wù)信息處置的協(xié)助。它能否提高或降低內(nèi)部控制的有效性.信息系統(tǒng)審計(jì)根底培訓(xùn)9IT控制是內(nèi)部控制的重要組成部分Entity Level ControlsEntity-level controls set the tone and culture of the organ

11、ization. IT entity-level controls are part of a companys overall control environment.Controls include: Strategies and plans Policies and procedures Risk assessment activities Training and education Quality assurance Internal audit IT ServicesOS/Data/Telecom/Continuity/NetworksBusiness ProcessFinance

12、 ReportBusiness Process Customer BankingBusiness ProcessLoan Business ProcessInvestmentExecutiveManagementIT General ControlsControls embedded within IT processes that provide a reliable operating environment and support the effective operation of application controls.Controls include: Program devel

13、opment Program changes Access to programs and data Computer operationsApplication ControlsControls embedded within business process applications directly support financial control objectives. Controls include:Control objectives/assertions include: Completeness Accuracy Existence/authorization Presen

14、tation/disclosure.信息系統(tǒng)審計(jì)根底培訓(xùn)10控制 vs. 風(fēng)險(xiǎn)風(fēng)險(xiǎn)是特定的要挾利用資產(chǎn)的脆弱性從而呵斥對(duì)資產(chǎn)的一種潛在損害，風(fēng)險(xiǎn)的嚴(yán)重程度與資產(chǎn)價(jià)值程度及要挾發(fā)生的頻度成正比為了將風(fēng)險(xiǎn)控制在管理層可接受的程度，就必需對(duì)識(shí)別出的各類風(fēng)險(xiǎn)實(shí)施相關(guān)的控制。在實(shí)施時(shí)須思索如下要素：比較控制本錢與減少風(fēng)險(xiǎn)所得的收益管理層的風(fēng)險(xiǎn)喜好如，管理層預(yù)備接受的剩余風(fēng)險(xiǎn)程度情愿采取的風(fēng)險(xiǎn)降低的方式如，終止風(fēng)險(xiǎn)、減少發(fā)生的能夠、減少影響、轉(zhuǎn)移或保險(xiǎn).信息系統(tǒng)審計(jì)根底培訓(xùn)11控制的分類預(yù)防性控制在事情發(fā)生前監(jiān)測(cè)問題監(jiān)控運(yùn)營(yíng)和輸入在問題發(fā)生前預(yù)測(cè)潛在問題防止錯(cuò)誤、忽略或蓄意行為的發(fā)生檢測(cè)性控制運(yùn)用控制檢查

15、和報(bào)揭露生的錯(cuò)誤、疏漏或蓄意行為的發(fā)生糾正性控制減少危害影響修復(fù)檢查性控制發(fā)現(xiàn)的問題找出問題緣由，糾正問題衍生出的錯(cuò)誤，修正處置系統(tǒng)以減少未來問題發(fā)生的能夠性.信息系統(tǒng)審計(jì)根底培訓(xùn)12內(nèi)部控制目的內(nèi)部控制就是要經(jīng)過實(shí)施一系列特定的控制活動(dòng)，到達(dá)所預(yù)期的結(jié)果或目的。通常包括：內(nèi)部會(huì)計(jì)控制主要針對(duì)會(huì)計(jì)操作，即資產(chǎn)平安、財(cái)務(wù)資料準(zhǔn)確可靠運(yùn)營(yíng)控制針對(duì)日常運(yùn)營(yíng)、職能和活動(dòng)，用于確保運(yùn)營(yíng)到達(dá)企業(yè)目的管理控制關(guān)注職能部門的運(yùn)作效率及運(yùn)營(yíng)控制符合管理政策的程度，是以提高運(yùn)營(yíng)效率和保證管理方針、政策的實(shí)施為目的的控制技術(shù)環(huán)境控制維護(hù)信息資產(chǎn)，符合組織的方針戰(zhàn)略及法律法規(guī)的要求，信息輸入輸出，買賣處置的準(zhǔn)確性及完

16、好性，數(shù)據(jù)處置的可靠性，備份與恢復(fù)，業(yè)務(wù)運(yùn)營(yíng)的效率與效果.信息系統(tǒng)審計(jì)根底培訓(xùn)13信息系統(tǒng)控制目的內(nèi)部控制目的可以運(yùn)用在一切人工及自動(dòng)化控制部分，常見的信息系統(tǒng)控制目的如：維護(hù)信息系統(tǒng)以防止不當(dāng)存取，并確保及時(shí)更新維護(hù)計(jì)算機(jī)操作系統(tǒng)及網(wǎng)絡(luò)操作系統(tǒng)的完好性維護(hù)敏感的、重要的運(yùn)用系統(tǒng)如財(cái)務(wù)及管理運(yùn)用系統(tǒng)的性和完好性：保證信息系統(tǒng)的運(yùn)營(yíng)效率與效果符合用戶的需求、組織的方針、戰(zhàn)略與程序，并遵守法律法規(guī)的要求制定業(yè)務(wù)繼續(xù)方案及災(zāi)難恢復(fù)方案制定應(yīng)急呼應(yīng)及處置程序.信息系統(tǒng)審計(jì)根底培訓(xùn)14實(shí)施信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)是檢查評(píng)價(jià)自動(dòng)化信息處置系統(tǒng)、與其有關(guān)的非自動(dòng)化程序和兩者之間的接口等。實(shí)施信息系統(tǒng)審計(jì)需求

17、如下幾個(gè)步驟：充分的審計(jì)方案短期、長(zhǎng)期為有效地利用審計(jì)資源，審計(jì)機(jī)構(gòu)必需評(píng)價(jià)一切風(fēng)險(xiǎn)普通控制與運(yùn)用控制領(lǐng)域制定審計(jì)方案，包括審計(jì)目的與審計(jì)程序搜集證據(jù)、對(duì)現(xiàn)有控制進(jìn)展評(píng)價(jià)與測(cè)試編寫審計(jì)報(bào)告，并與管理層溝通審計(jì)發(fā)現(xiàn).信息系統(tǒng)審計(jì)根底培訓(xùn)15測(cè)試和評(píng)價(jià)信息系統(tǒng)控制的方法信息系統(tǒng)審計(jì)師必需了解和掌握測(cè)試評(píng)價(jià)信息系統(tǒng)控制的方法：運(yùn)用通用審計(jì)軟件調(diào)查數(shù)據(jù)文件的內(nèi)容包括系統(tǒng)日志運(yùn)用公用軟件來評(píng)價(jià)操作系統(tǒng)參數(shù)文件如測(cè)試系統(tǒng)參數(shù)設(shè)置破綻用流程圖的方式來圖示業(yè)務(wù)流程及運(yùn)用系統(tǒng)運(yùn)用操作系統(tǒng)中內(nèi)置的審計(jì)報(bào)告進(jìn)展文檔檢查察看.信息系統(tǒng)審計(jì)根底培訓(xùn)16符合性測(cè)試 vs. 本質(zhì)性測(cè)試符合性測(cè)試確定控制的執(zhí)行符合管理層制定

18、的方針政策的程度。測(cè)試目的是為信息系統(tǒng)審計(jì)師提供保證其在初步評(píng)價(jià)中確定的關(guān)鍵控制點(diǎn)是可以信任的。本質(zhì)性測(cè)實(shí)驗(yàn)證明際處置的完好性。例如對(duì)于貸款利息計(jì)算，信息系統(tǒng)審計(jì)師能夠采取詳細(xì)的利息計(jì)算測(cè)試，也能夠采取統(tǒng)計(jì)抽樣技術(shù)，得出全部貸款利息正確的結(jié)論。需求進(jìn)展本質(zhì)性測(cè)試的數(shù)量與內(nèi)部控制程度直接相關(guān)。德勤的方法中樣本數(shù)量可相差10倍.信息系統(tǒng)審計(jì)根底培訓(xùn)17審計(jì)證據(jù)證據(jù)是審計(jì)師平安審計(jì)規(guī)范及目的的要求， 在對(duì)某一實(shí)體或數(shù)據(jù)進(jìn)展審計(jì)時(shí)所采用的信息。審計(jì)證據(jù)包括審計(jì)人員的察看、訊問的記錄、從內(nèi)部文件或信件中獲取的資料、審計(jì)測(cè)試程序所產(chǎn)生的結(jié)果。審計(jì)證據(jù)的可靠性取決于以下要素：提供審計(jì)證據(jù)人員的獨(dú)立性提供審計(jì)

19、信息或證據(jù)人員的資歷審計(jì)證據(jù)的客觀性審計(jì)證據(jù)的實(shí)效性.信息系統(tǒng)審計(jì)根底培訓(xùn)18審計(jì)證據(jù)的獲得獲取審計(jì)證據(jù)的技術(shù)有：檢查信息系統(tǒng)組織構(gòu)造檢查信息系統(tǒng)方針政策檢查信息系統(tǒng)規(guī)范檢查信息系統(tǒng)文件約見相關(guān)人員并進(jìn)展談判察看處置過程和員工的實(shí)踐表現(xiàn)審計(jì)任務(wù)不僅僅包括查詢程序，還包括對(duì)控制和審計(jì)證據(jù)的測(cè)實(shí)驗(yàn)證，得出審計(jì)測(cè)試的結(jié)論.信息系統(tǒng)審計(jì)根底培訓(xùn)19通用計(jì)算機(jī)控制審計(jì) .信息系統(tǒng)審計(jì)根底培訓(xùn)20通用計(jì)算機(jī)審計(jì)涵蓋的領(lǐng)域信息系統(tǒng)運(yùn)作信息平安運(yùn)用系統(tǒng)的實(shí)施及維護(hù)數(shù)據(jù)庫(kù)的實(shí)施及維護(hù)網(wǎng)絡(luò)支持系統(tǒng)軟件支持信息資源戰(zhàn)略及規(guī)劃與外包供應(yīng)商的關(guān)系業(yè)務(wù)延續(xù)性方案硬件支持.信息系統(tǒng)審計(jì)根底培訓(xùn)21信息系統(tǒng)運(yùn)作一切進(jìn)展批處置

20、和在線作業(yè)及產(chǎn)生報(bào)表之消費(fèi)程序均能及時(shí)運(yùn)轉(zhuǎn)并正常完成僅執(zhí)行有效的消費(fèi)程序按照法律,法規(guī)或公司政策保管數(shù)據(jù),以便必要時(shí)可隨時(shí)獲得計(jì)算機(jī)處置環(huán)境的效力程度到達(dá)或超越管理當(dāng)局的期望用戶得到有關(guān)運(yùn)用系統(tǒng)運(yùn)用的適當(dāng)培訓(xùn)用戶獲得適當(dāng)?shù)闹С忠源_保運(yùn)用系統(tǒng)的功能按照其預(yù)定的目的運(yùn)轉(zhuǎn).信息系統(tǒng)審計(jì)根底培訓(xùn)22信息系統(tǒng)運(yùn)作一切進(jìn)展批處置和在線作業(yè)及產(chǎn)生報(bào)表之消費(fèi)程序均能及時(shí)運(yùn)轉(zhuǎn)并正常完成管理當(dāng)局應(yīng)監(jiān)視計(jì)算機(jī)處置包括復(fù)核及處理任何例外情形以確保處置勝利和及時(shí)地完成非正常處置的例外情形應(yīng)記入日志、經(jīng)管理當(dāng)局復(fù)核并立刻處理對(duì)批次及在線處置程序進(jìn)展定義，以確保該任務(wù)和/或買賣被正常地處置及完成、或被恢復(fù)及重新處置.信息系

21、統(tǒng)審計(jì)根底培訓(xùn)23信息系統(tǒng)運(yùn)作僅執(zhí)行有效的消費(fèi)程序自動(dòng)化編排工具scheduling tool已被執(zhí)行以確保處置流程經(jīng)授權(quán)及完好對(duì)消費(fèi)處置控制言語(yǔ)和可執(zhí)行程序的訪問權(quán)限進(jìn)展定義，使得只需適當(dāng)人員才干具有執(zhí)行、修正、刪除或創(chuàng)建的才干管理當(dāng)局或用戶復(fù)核完成的處置以確保其正確性、完好性及曾經(jīng)授權(quán).信息系統(tǒng)審計(jì)根底培訓(xùn)24信息系統(tǒng)運(yùn)作按照法律,法規(guī)或公司政策保管數(shù)據(jù),以便必要時(shí)可隨時(shí)獲得經(jīng)過恢復(fù)或其他方法定期測(cè)試備份和保管數(shù)據(jù)的繼續(xù)可讀性管理當(dāng)局和用戶制定數(shù)據(jù)備份和保管的方案及時(shí)間；對(duì)不再需求保管的數(shù)據(jù)應(yīng)進(jìn)展刪除并釋放介質(zhì)的儲(chǔ)存空間。管理當(dāng)局定期復(fù)核數(shù)據(jù)保管及釋放的記錄一切介質(zhì)磁帶、手冊(cè)、指引等都存放

22、在平安的、可進(jìn)展環(huán)境調(diào)控的地點(diǎn)可挪動(dòng)的介質(zhì)應(yīng)貼上標(biāo)簽以便適當(dāng)識(shí)別自動(dòng)化數(shù)據(jù)保管儲(chǔ)存工具經(jīng)管理當(dāng)局的同意并得到實(shí)施以管理數(shù)據(jù)備份及保管的方案和時(shí)間對(duì)數(shù)據(jù)進(jìn)展異地備份存檔(archived off-site)以便最大限制減少數(shù)據(jù)喪失.信息系統(tǒng)審計(jì)根底培訓(xùn)25信息系統(tǒng)運(yùn)作計(jì)算機(jī)處置環(huán)境的效力程度到達(dá)或超越管理當(dāng)局的期望對(duì)效力程度的衡量準(zhǔn)那么進(jìn)展定義，該定義應(yīng)征得受影響的人員贊同管理當(dāng)局監(jiān)視信息系統(tǒng)的效力程度，且當(dāng)效力表現(xiàn)未到達(dá)期望的效力程度時(shí)制定修正措施對(duì)計(jì)算機(jī)處置環(huán)境的性能和才干的利用應(yīng)被衡量、報(bào)告和經(jīng)管理當(dāng)局復(fù)核.信息系統(tǒng)審計(jì)根底培訓(xùn)26信息系統(tǒng)運(yùn)作用戶得到有關(guān)運(yùn)用系統(tǒng)運(yùn)用的適當(dāng)培訓(xùn)系統(tǒng)實(shí)施的程

23、序應(yīng)包括對(duì)用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修正的系統(tǒng)的運(yùn)用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)視該程序的執(zhí)行情況。應(yīng)為新聘用的員工及實(shí)體內(nèi)調(diào)職的員工提供相關(guān)運(yùn)用系統(tǒng)的正式培訓(xùn)用戶可隨時(shí)訪問運(yùn)用系統(tǒng)中現(xiàn)有的用戶文件對(duì)支持的懇求應(yīng)定期向管理當(dāng)局匯總并報(bào)告。管理當(dāng)局監(jiān)視支持懇求的性質(zhì)及頻率以確定能否需求改善用戶培訓(xùn)、支持的資源和/或文件.信息系統(tǒng)審計(jì)根底培訓(xùn)27信息系統(tǒng)運(yùn)作用戶獲得適當(dāng)?shù)闹С忠源_保運(yùn)用系統(tǒng)的功能按照其預(yù)定的目的運(yùn)轉(zhuǎn)管理當(dāng)局監(jiān)視問題的統(tǒng)計(jì)及趨勢(shì)，以識(shí)別及消除該問題反復(fù)出現(xiàn)的根本緣由信息系統(tǒng)架構(gòu)應(yīng)包括協(xié)助中心(helpdesk)的功能以便用戶進(jìn)展有關(guān)系統(tǒng)的查詢。所提出的問題應(yīng)記錄在中央問題日志之中。協(xié)助中心(

24、helpdesk)任務(wù)人員應(yīng)監(jiān)視日志以確保及時(shí)處理一切用戶的查詢用戶可隨時(shí)訪問運(yùn)用系統(tǒng)中現(xiàn)有的用戶文件對(duì)支持的懇求應(yīng)定期向管理當(dāng)局匯總并報(bào)告。管理當(dāng)局監(jiān)視支持懇求的性質(zhì)及頻率以確定能否需求改善用戶培訓(xùn)、支持的資源和/或文件.信息系統(tǒng)審計(jì)根底培訓(xùn)28信息平安邏輯平安物理平安信息系統(tǒng)政策.信息系統(tǒng)審計(jì)根底培訓(xùn)29信息平安須維護(hù)的計(jì)算機(jī)設(shè)備.信息系統(tǒng)審計(jì)根底培訓(xùn)30信息平安面臨的要挾.信息系統(tǒng)審計(jì)根底培訓(xùn)31信息平安物理平安UPS.信息系統(tǒng)審計(jì)根底培訓(xùn)32信息平安邏輯平安PublicNetwork.信息系統(tǒng)審計(jì)根底培訓(xùn)33信息平安邏輯平安PublicNetwork.信息系統(tǒng)審計(jì)根底培訓(xùn)34信息平安實(shí)

25、施及配置邏輯平安管理工具和技術(shù)來限制對(duì)程序,數(shù)據(jù)及其他信息資源的訪問邏輯平安管理工具和技術(shù)得到適當(dāng)管理，以限制對(duì)程序、數(shù)據(jù)和其他信息資源的訪問實(shí)施和管理物理訪問限制，以確保僅有經(jīng)適當(dāng)?shù)氖跈?quán)人員可以訪問和運(yùn)用信息資源一切信息資源均配備必要的實(shí)體和邏輯平安措施實(shí)體的程序、數(shù)據(jù)及其他信息資源均遭到維護(hù)以防病毒損害實(shí)體計(jì)算機(jī)系統(tǒng)中軟件的安裝和/或運(yùn)用遵照授權(quán)協(xié)議的規(guī)定及經(jīng)管理當(dāng)局授權(quán)維護(hù)信息資源免受環(huán)境災(zāi)禍及相關(guān)損害的影響.信息系統(tǒng)審計(jì)根底培訓(xùn)35信息平安實(shí)施及配置邏輯平安管理工具和技術(shù)來限制對(duì)程序,數(shù)據(jù)及其他信息資源的訪問應(yīng)修正運(yùn)用程序、系統(tǒng)和通訊及網(wǎng)絡(luò)軟件中的廠商默許密碼要求用戶擁有獨(dú)一的用戶識(shí)別

26、代碼(identifier)以便對(duì)不同的用戶加以區(qū)分及確立可追蹤性終端設(shè)備和任務(wù)站應(yīng)設(shè)有維護(hù)程序，該維護(hù)程序在經(jīng)過一段設(shè)備預(yù)設(shè)的閑置時(shí)間之后會(huì)自動(dòng)激活敏感數(shù)據(jù)在傳輸過程中應(yīng)作加密處置信息平安工具與技術(shù)用于限制對(duì)信息資源(如：數(shù)據(jù)文件、公用程式(utility)、買賣、程序的訪問權(quán)限。管理當(dāng)局應(yīng)復(fù)核及核準(zhǔn)信息平安工具與技術(shù)的實(shí)施和配置.信息系統(tǒng)審計(jì)根底培訓(xùn)36信息平安實(shí)施及配置邏輯平安管理工具和技術(shù)來限制對(duì)程序,數(shù)據(jù)及其他信息資源的訪問系統(tǒng)應(yīng)經(jīng)過密碼或其他識(shí)別機(jī)制識(shí)別本地或遠(yuǎn)程的用戶。應(yīng)制定有關(guān)密碼運(yùn)用的政策 - 定期修正密碼、嚴(yán)密性和密碼格式如：密碼長(zhǎng)度、字母與數(shù)字混合的內(nèi)容應(yīng)制定平安政策為信

27、息平安的總體方向及執(zhí)行提供指引只需適當(dāng)?shù)娜藛T才有才干修正整體系統(tǒng)的平安參數(shù)應(yīng)激活信息平安工具的功能以便記錄及報(bào)告信息平安政策所規(guī)定的平安事項(xiàng)如平安違規(guī)報(bào)告；應(yīng)定期復(fù)核該工具所產(chǎn)生的報(bào)告并采取必要的行動(dòng).信息系統(tǒng)審計(jì)根底培訓(xùn)37信息平安邏輯平安管理工具和技術(shù)得到適當(dāng)管理，以限制對(duì)程序、數(shù)據(jù)和其他信息資源的訪問要求用戶擁有獨(dú)一的用戶識(shí)別代碼(identifier)以便對(duì)不同的用戶加以區(qū)分及確立可追蹤性運(yùn)用程序一切者對(duì)用戶訪問特權(quán)的性質(zhì)和程度進(jìn)展授權(quán)，且運(yùn)用程序一切者應(yīng)定期復(fù)核該訪問特權(quán)以確保維持其適當(dāng)性。用戶的訪問權(quán)限應(yīng)經(jīng)過密碼或其他機(jī)制加以限制。密碼應(yīng)定期修正對(duì)未授權(quán)的企圖訪問信息資源的行為應(yīng)記

28、入日志并在平安違規(guī)報(bào)告中記錄；應(yīng)定期復(fù)核該日志及報(bào)告并采取必要的行動(dòng)對(duì)敏感數(shù)據(jù)如人事記錄經(jīng)授權(quán)的訪問應(yīng)記入日志；應(yīng)定期復(fù)核該日志以評(píng)價(jià)對(duì)該數(shù)據(jù)的訪問及運(yùn)用能否適當(dāng).信息系統(tǒng)審計(jì)根底培訓(xùn)38信息平安邏輯平安管理工具和技術(shù)得到適當(dāng)管理，以限制對(duì)程序、數(shù)據(jù)和其他信息資源的訪問應(yīng)激活信息平安工具的功能以便記錄及報(bào)告信息平安政策所規(guī)定的平安事項(xiàng)如平安違規(guī)報(bào)告；應(yīng)定期復(fù)核該工具所產(chǎn)生的報(bào)告并采取必要的行動(dòng)定義并指派與信息平安管理相關(guān)的職位和責(zé)任只需適當(dāng)?shù)娜藛T才有權(quán)限管理信息平安只需適當(dāng)?shù)娜藛T才有特許的訪問權(quán)限所謂超級(jí)用戶，對(duì)該權(quán)限的運(yùn)用應(yīng)記入日志并進(jìn)展復(fù)核.信息系統(tǒng)審計(jì)根底培訓(xùn)39信息平安實(shí)施和管理物理訪

29、問限制，以確保僅有經(jīng)適當(dāng)?shù)氖跈?quán)人員可以訪問和運(yùn)用信息資源應(yīng)監(jiān)視存放計(jì)算機(jī)設(shè)備的樓層及區(qū)域的人員進(jìn)出，且應(yīng)限制只需相關(guān)任務(wù)職責(zé)的人員才可進(jìn)入該區(qū)域；在經(jīng)管理當(dāng)局核準(zhǔn)后才可獲準(zhǔn)進(jìn)入該區(qū)域已執(zhí)行涉及商業(yè)信息資源評(píng)價(jià)、以及識(shí)別與評(píng)價(jià)現(xiàn)有風(fēng)險(xiǎn)程度的風(fēng)險(xiǎn)評(píng)價(jià)來確定適當(dāng)?shù)木吆侠肀惧X的信息平安架構(gòu)。該風(fēng)險(xiǎn)評(píng)價(jià)應(yīng)定期更新，且管理當(dāng)局已實(shí)施適宜的信息平安架構(gòu)以確保適當(dāng)?shù)娜藛T進(jìn)出和邏輯平安控制.信息系統(tǒng)審計(jì)根底培訓(xùn)40信息平安一切信息資源均配備必要的實(shí)體和邏輯平安措施運(yùn)用程序一切者對(duì)用戶訪問特權(quán)的性質(zhì)和程度進(jìn)展授權(quán)，且運(yùn)用程序一切者應(yīng)定期復(fù)核該訪問特權(quán)以確保維持其適當(dāng)性。用戶的訪問權(quán)限應(yīng)經(jīng)過密碼或其他機(jī)制加以限制。

30、密碼應(yīng)定期修正應(yīng)監(jiān)視存放計(jì)算機(jī)設(shè)備的樓層及區(qū)域的人員進(jìn)出，且應(yīng)限制只需相關(guān)任務(wù)職責(zé)的人員才可進(jìn)入該區(qū)域；在經(jīng)管理當(dāng)局核準(zhǔn)后才可獲準(zhǔn)進(jìn)入該區(qū)域已執(zhí)行涉及商業(yè)信息資源評(píng)價(jià)、以及識(shí)別與評(píng)價(jià)現(xiàn)有風(fēng)險(xiǎn)程度的風(fēng)險(xiǎn)評(píng)價(jià)來確定適當(dāng)?shù)木吆侠肀惧X的信息平安架構(gòu)。該風(fēng)險(xiǎn)評(píng)價(jià)應(yīng)定期更新，且管理當(dāng)局已實(shí)施適宜的信息平安架構(gòu)以確保適當(dāng)?shù)娜藛T進(jìn)出和邏輯平安控制.信息系統(tǒng)審計(jì)根底培訓(xùn)41信息平安實(shí)體的程序、數(shù)據(jù)及其他信息資源均遭到維護(hù)以防病毒損害一切軟件和數(shù)據(jù)在載入實(shí)體的系統(tǒng)之前應(yīng)先進(jìn)展查毒一切實(shí)體的計(jì)算機(jī)及任何銜接實(shí)體網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)安裝防病毒軟件。該防病毒軟件應(yīng)設(shè)置為當(dāng)下載數(shù)據(jù)或程序、翻開數(shù)據(jù)文件或執(zhí)行程序時(shí)都須進(jìn)展病毒掃

31、描。應(yīng)監(jiān)視該政策的遵照情況定期對(duì)網(wǎng)絡(luò)上或有能夠感染病毒的程序和數(shù)據(jù)文件進(jìn)展病毒掃描要求用戶更新其防病毒軟件中的病毒定義列表，且一切外部的程序和數(shù)據(jù)在下載到他們的計(jì)算機(jī)之前都須進(jìn)展病毒掃描應(yīng)定期復(fù)核病毒掃描的結(jié)果，并對(duì)發(fā)現(xiàn)的問題采取適當(dāng)?shù)奶幚矸桨?信息系統(tǒng)審計(jì)根底培訓(xùn)42信息平安實(shí)體計(jì)算機(jī)系統(tǒng)中軟件的安裝和/或運(yùn)用遵照授權(quán)協(xié)議的規(guī)定及經(jīng)管理當(dāng)局授權(quán)管理當(dāng)局已確立正式的政策以確保在對(duì)運(yùn)用系統(tǒng)、數(shù)據(jù)構(gòu)造、網(wǎng)絡(luò)及通訊軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修正之前，已聯(lián)絡(luò)一切受影響的人員并與其協(xié)調(diào)該修正的時(shí)間安排，從而最大限制降低該修正對(duì)其他處置活動(dòng)的影響存在正式的軟件政策及規(guī)范，并傳達(dá)給一切員工應(yīng)定期把

32、安裝到實(shí)體計(jì)算機(jī)中的軟件與授權(quán)軟件的明細(xì)表相核對(duì)。如發(fā)現(xiàn)未經(jīng)答應(yīng)或未授權(quán)安裝的軟件，應(yīng)獲得該軟件的授權(quán)答應(yīng)或?qū)浖M(jìn)展刪除在購(gòu)買新軟件之前應(yīng)核實(shí)該軟件的購(gòu)買及安裝以遵照公司的授權(quán)答應(yīng)要求.信息系統(tǒng)審計(jì)根底培訓(xùn)43信息平安維護(hù)信息資源免受環(huán)境災(zāi)禍及相關(guān)損害的影響管理當(dāng)局定期監(jiān)視環(huán)境控制機(jī)制的有效性，并評(píng)價(jià)對(duì)實(shí)體信息資源的潛在要挾的商業(yè)影響管理當(dāng)局提供備用電源(如：不延續(xù)電源(UPS)、發(fā)電機(jī))管理當(dāng)局應(yīng)確保有充足的煙霧/火警探測(cè)器和滅火設(shè)備數(shù)據(jù)中心的環(huán)境情況(如：溫度、濕度)應(yīng)被監(jiān)視及調(diào)控計(jì)算機(jī)設(shè)備的所在地及其設(shè)計(jì)應(yīng)盡量防止受外部環(huán)境如：風(fēng)、水、火要挾.信息系統(tǒng)審計(jì)根底培訓(xùn)44運(yùn)用系統(tǒng)的實(shí)施及維

33、護(hù)DevelopRequirementSpecifications.信息系統(tǒng)審計(jì)根底培訓(xùn)45運(yùn)用系統(tǒng)的實(shí)施及維護(hù)DevelopRequirementSpecificationsPurchase/In-house Develop.信息系統(tǒng)審計(jì)根底培訓(xùn)46運(yùn)用系統(tǒng)的實(shí)施及維護(hù)DevelopmentProject ManagementSoftwareSelectionDevelopRequirementSpecificationsPurchase/In-house Develop.信息系統(tǒng)審計(jì)根底培訓(xùn)47運(yùn)用系統(tǒng)的實(shí)施及維護(hù)DevelopmentProject ManagementSoftwareS

34、electionDevelop RequirementSpecificationsPurchase/In-house DevelopTesting.信息系統(tǒng)審計(jì)根底培訓(xùn)48運(yùn)用系統(tǒng)的實(shí)施及維護(hù)Production Turnover(Program Change Controls)Documentation.信息系統(tǒng)審計(jì)根底培訓(xùn)49運(yùn)用系統(tǒng)的實(shí)施及維護(hù)新的運(yùn)用系統(tǒng)的購(gòu)買、開發(fā)均符合管理當(dāng)局的志愿新運(yùn)用系統(tǒng)得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的志愿當(dāng)新運(yùn)用系統(tǒng)實(shí)施完成后，原系統(tǒng)的數(shù)據(jù)能完好、準(zhǔn)確且有效地轉(zhuǎn)入新系統(tǒng)運(yùn)用系統(tǒng)可得到有效的維護(hù)與技術(shù)支持現(xiàn)有系統(tǒng)的必要修正均能及時(shí)實(shí)施正確實(shí)施現(xiàn)有運(yùn)用系統(tǒng)的修

35、正且其修正后的功能符合管理當(dāng)局的志愿.信息系統(tǒng)審計(jì)根底培訓(xùn)50運(yùn)用系統(tǒng)的實(shí)施及維護(hù)新的運(yùn)用系統(tǒng)的購(gòu)買、開發(fā)均符合管理當(dāng)局的志愿管理當(dāng)局核準(zhǔn)一切購(gòu)買或開發(fā)運(yùn)用系統(tǒng)的決策，以確保系統(tǒng)的購(gòu)買和開發(fā)與公司的系統(tǒng)規(guī)劃和戰(zhàn)略堅(jiān)持一致對(duì)工程進(jìn)展優(yōu)先順序區(qū)分及指派，以確保有限的信息資源被適當(dāng)利用且與公司的業(yè)務(wù)目的堅(jiān)持一致運(yùn)用正式的方法或程序?yàn)橛布⑦\(yùn)用系統(tǒng)、網(wǎng)絡(luò)和通訊軟件及系統(tǒng)軟件的購(gòu)買、開發(fā)或維護(hù)提供指引.信息系統(tǒng)審計(jì)根底培訓(xùn)51運(yùn)用系統(tǒng)的實(shí)施及維護(hù)新運(yùn)用系統(tǒng)得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的志愿管理當(dāng)局已確立正式的政策以確保在對(duì)運(yùn)用系統(tǒng)、數(shù)據(jù)構(gòu)造、網(wǎng)絡(luò)及通訊軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修正之前，

36、已聯(lián)絡(luò)一切受影響的人員并與其協(xié)調(diào)該修正的時(shí)間安排，從而最大限制降低該修正對(duì)其他處置活動(dòng)的影響按照測(cè)試方案(包括(如適當(dāng))：系統(tǒng)和單元測(cè)試、界面測(cè)試、并行測(cè)試(parallel testing)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的運(yùn)用系統(tǒng)和現(xiàn)行運(yùn)用系統(tǒng)的修正進(jìn)展測(cè)試已確立的執(zhí)行程序包括確保操作、技術(shù)和用戶文件堅(jiān)持適時(shí)性及可供適當(dāng)人員獲取系統(tǒng)實(shí)施的程序應(yīng)包括對(duì)用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修正的系統(tǒng)的運(yùn)用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)視該程序的執(zhí)行情況。應(yīng)為新聘用的員工及實(shí)體內(nèi)調(diào)職的員工提供相關(guān)運(yùn)用系統(tǒng)的正式培訓(xùn).信息系統(tǒng)審計(jì)根底培訓(xùn)52運(yùn)用系統(tǒng)的實(shí)施及維護(hù)新運(yùn)用系統(tǒng)得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的志愿應(yīng)在獨(dú)立

37、于消費(fèi)環(huán)境之外的環(huán)境中開發(fā)、修正及測(cè)試運(yùn)用系統(tǒng)適當(dāng)限制對(duì)測(cè)試和消費(fèi)環(huán)境的訪問權(quán)限運(yùn)用完好和具代表性的一組測(cè)試數(shù)據(jù)，而不是消費(fèi)數(shù)據(jù)來執(zhí)行測(cè)試維護(hù)源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)的現(xiàn)有文件，以確保消費(fèi)程序的可執(zhí)行性應(yīng)對(duì)硬件、運(yùn)用系統(tǒng)、數(shù)據(jù)構(gòu)造、和系統(tǒng)軟件的修正建議的影響進(jìn)展評(píng)價(jià)；在該建議實(shí)施到消費(fèi)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限制減少對(duì)營(yíng)運(yùn)的干擾.信息系統(tǒng)審計(jì)根底培訓(xùn)53運(yùn)用系統(tǒng)的實(shí)施及維護(hù)運(yùn)用系統(tǒng)可得到有效的維護(hù)與技術(shù)支持實(shí)體對(duì)外部承包商和/或軟件廠商獲得的運(yùn)用程序或技術(shù)支持有正式的協(xié)議，以確保能獲得該支持。管理當(dāng)局應(yīng)監(jiān)視該協(xié)議的遵照情況已確立的執(zhí)行程序包括確保操作、技術(shù)和用戶文件

38、堅(jiān)持適時(shí)性及可供適當(dāng)人員獲取管理當(dāng)局監(jiān)視所購(gòu)買的運(yùn)用系統(tǒng)、網(wǎng)絡(luò)和通訊軟件及系統(tǒng)軟件的支持版已投入運(yùn)用，且新的版本正被運(yùn)用運(yùn)用管理當(dāng)局已核準(zhǔn)的一套通用準(zhǔn)那么來進(jìn)展軟件開發(fā)與維護(hù)，以確保實(shí)體內(nèi)的開發(fā)與維護(hù)活動(dòng)堅(jiān)持一致開發(fā)人員經(jīng)充分培訓(xùn)且熟習(xí)公司所運(yùn)用的通用準(zhǔn)那么、技術(shù)和工具更改管理程序以確保源代碼與可執(zhí)行代碼的同步維護(hù)源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)的現(xiàn)有文件，以確保消費(fèi)程序的可執(zhí)行性.信息系統(tǒng)審計(jì)根底培訓(xùn)54運(yùn)用系統(tǒng)的實(shí)施及維護(hù)現(xiàn)有系統(tǒng)的必要修正均能及時(shí)實(shí)施管理當(dāng)局復(fù)核系統(tǒng)性能報(bào)告并監(jiān)視確保識(shí)別出低效率的性能時(shí)已立刻采取足夠的措施，且制定及執(zhí)行相應(yīng)的處理方案用戶和其他對(duì)運(yùn)用系統(tǒng)修

39、正的懇求(包括系統(tǒng)更新和廠商定期發(fā)布的補(bǔ)丁程序)應(yīng)經(jīng)管理當(dāng)局核準(zhǔn)，且假設(shè)該修正符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的志愿，應(yīng)予以執(zhí)行運(yùn)用正式的方法或程序?yàn)橛布?、運(yùn)用系統(tǒng)、網(wǎng)絡(luò)和通訊軟件及系統(tǒng)軟件的購(gòu)買、開發(fā)或維護(hù)提供指引對(duì)于現(xiàn)有硬件、運(yùn)用系統(tǒng)、數(shù)據(jù)庫(kù)構(gòu)造、網(wǎng)絡(luò)和通訊軟件及系統(tǒng)軟件修正的執(zhí)行，管理當(dāng)局應(yīng)監(jiān)視該工程已到達(dá)原定的目的且符合預(yù)算及時(shí)間的要求.信息系統(tǒng)審計(jì)根底培訓(xùn)55運(yùn)用系統(tǒng)的實(shí)施及維護(hù)正確實(shí)施現(xiàn)有運(yùn)用系統(tǒng)的修正且其修正后的功能符合管理當(dāng)局的志愿管理當(dāng)局已確立正式的政策以確保在對(duì)運(yùn)用系統(tǒng)、數(shù)據(jù)構(gòu)造、網(wǎng)絡(luò)及通訊軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修正之前，已聯(lián)絡(luò)一切受影響的人員并與其協(xié)調(diào)該修正的時(shí)

40、間安排，從而最大限制降低該修正對(duì)其他處置活動(dòng)的影響按照測(cè)試方案(包括(如適當(dāng))：系統(tǒng)和單元測(cè)試、界面測(cè)試、并行測(cè)試(parallel testing)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的運(yùn)用系統(tǒng)和現(xiàn)行運(yùn)用系統(tǒng)的修正進(jìn)展測(cè)試已確立的執(zhí)行程序包括確保操作、技術(shù)和用戶文件堅(jiān)持適時(shí)性及可供適當(dāng)人員獲取應(yīng)在獨(dú)立于消費(fèi)環(huán)境之外的環(huán)境中開發(fā)、修正及測(cè)試運(yùn)用系統(tǒng)管理當(dāng)局保管運(yùn)用系統(tǒng)和/或數(shù)據(jù)先前的版本以備發(fā)生處置問題時(shí)進(jìn)展系統(tǒng)/數(shù)據(jù)恢復(fù).信息系統(tǒng)審計(jì)根底培訓(xùn)56運(yùn)用系統(tǒng)的實(shí)施及維護(hù)正確實(shí)施現(xiàn)有運(yùn)用系統(tǒng)的修正且其修正后的功能符合管理當(dāng)局的志愿在消費(fèi)環(huán)境中對(duì)運(yùn)用系統(tǒng)的修正懇求應(yīng)進(jìn)展存檔并經(jīng)管理當(dāng)局核準(zhǔn)。管理當(dāng)局應(yīng)監(jiān)視

41、一切該修正的執(zhí)行更改管理程序以確保源代碼與可執(zhí)行代碼的同步.信息系統(tǒng)審計(jì)根底培訓(xùn)57數(shù)據(jù)庫(kù)的實(shí)施及支持?jǐn)?shù)據(jù)庫(kù)管理系統(tǒng)或同等系統(tǒng)所定義的數(shù)據(jù)構(gòu)造已適當(dāng)實(shí)施且其功能符合管理當(dāng)局的志愿現(xiàn)有數(shù)據(jù)構(gòu)造的必要修正均能及時(shí)實(shí)施現(xiàn)有數(shù)據(jù)構(gòu)造的修正實(shí)施正確且修正后的數(shù)據(jù)構(gòu)造功能符合管理當(dāng)局的志愿.信息系統(tǒng)審計(jì)根底培訓(xùn)58數(shù)據(jù)庫(kù)的實(shí)施及支持?jǐn)?shù)據(jù)庫(kù)管理系統(tǒng)或同等系統(tǒng)所定義的數(shù)據(jù)構(gòu)造已適當(dāng)實(shí)施且其功能符合管理當(dāng)局的志愿管理當(dāng)局已確立正式的政策以確保在對(duì)運(yùn)用系統(tǒng)、數(shù)據(jù)構(gòu)造、網(wǎng)絡(luò)及通訊軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修正之前，已聯(lián)絡(luò)一切受影響的人員并與其協(xié)調(diào)該修正的時(shí)間安排，從而最大限制降低該修正對(duì)其他處置活動(dòng)的影響

42、在安裝和/或維護(hù)數(shù)據(jù)庫(kù)和/或運(yùn)用該數(shù)據(jù)庫(kù)的運(yùn)用系統(tǒng)時(shí)，應(yīng)提供及運(yùn)用現(xiàn)有的數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)文件實(shí)體的數(shù)據(jù)構(gòu)造應(yīng)遵照信息系統(tǒng)規(guī)劃及管理當(dāng)局的志愿進(jìn)展定義及執(zhí)行數(shù)據(jù)構(gòu)造的修正在執(zhí)行之前應(yīng)在測(cè)試環(huán)境中進(jìn)展評(píng)價(jià)按照測(cè)試方案(包括(如適當(dāng))：界面測(cè)試、并行測(cè)試(parallel testing)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的數(shù)據(jù)構(gòu)造和現(xiàn)行的數(shù)據(jù)構(gòu)造的修正進(jìn)展測(cè)試.信息系統(tǒng)審計(jì)根底培訓(xùn)59數(shù)據(jù)庫(kù)的實(shí)施及支持?jǐn)?shù)據(jù)庫(kù)管理系統(tǒng)或同等系統(tǒng)所定義的數(shù)據(jù)構(gòu)造已適當(dāng)實(shí)施且其功能符合管理當(dāng)局的志愿系統(tǒng)實(shí)施的程序應(yīng)包括對(duì)用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修正的系統(tǒng)的運(yùn)用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)視該程序的執(zhí)行情況。應(yīng)為新聘用的員工

43、及實(shí)體內(nèi)調(diào)職的員工提供相關(guān)運(yùn)用系統(tǒng)的正式培訓(xùn)實(shí)體的數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)包括自動(dòng)對(duì)任何數(shù)據(jù)庫(kù)的變卦進(jìn)展更新的活動(dòng)數(shù)據(jù)字典(Active Data Dictionary)適當(dāng)限制對(duì)測(cè)試和消費(fèi)環(huán)境的訪問權(quán)限擔(dān)任管理及定義數(shù)據(jù)庫(kù)組件(database compenents)的職責(zé)應(yīng)指派給適當(dāng)?shù)娜藛T維護(hù)源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)的現(xiàn)有文件，以確保消費(fèi)程序的可執(zhí)行性應(yīng)對(duì)硬件、運(yùn)用系統(tǒng)、數(shù)據(jù)構(gòu)造、和系統(tǒng)軟件的修正建議的影響進(jìn)展評(píng)價(jià)；在該建議實(shí)施到消費(fèi)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限制減少對(duì)營(yíng)運(yùn)的干擾.信息系統(tǒng)審計(jì)根底培訓(xùn)60數(shù)據(jù)庫(kù)的實(shí)施及支持現(xiàn)有數(shù)據(jù)構(gòu)造的必要修正均能及時(shí)實(shí)施管理當(dāng)局復(fù)核系統(tǒng)

44、性能報(bào)告并監(jiān)視確保識(shí)別出低效率的性能時(shí)已立刻采取足夠的措施，且制定及執(zhí)行相應(yīng)的處理方案用戶和其他對(duì)運(yùn)用系統(tǒng)修正的懇求(包括系統(tǒng)更新和廠商定期發(fā)布的補(bǔ)丁程序)應(yīng)經(jīng)管理當(dāng)局核準(zhǔn)，且假設(shè)該修正符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的志愿，應(yīng)予以執(zhí)行用戶和其他對(duì)數(shù)據(jù)構(gòu)造修正的懇求(包括更新和廠商定期發(fā)布的補(bǔ)丁程序)應(yīng)經(jīng)管理當(dāng)局核準(zhǔn)，且假設(shè)該修正符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的志愿，應(yīng)予以執(zhí)行對(duì)于現(xiàn)有硬件、運(yùn)用系統(tǒng)、數(shù)據(jù)庫(kù)構(gòu)造、網(wǎng)絡(luò)和通訊軟件及系統(tǒng)軟件修正的執(zhí)行，管理當(dāng)局應(yīng)監(jiān)視該工程已到達(dá)原定的目的且符合預(yù)算及時(shí)間的要求.信息系統(tǒng)審計(jì)根底培訓(xùn)61數(shù)據(jù)庫(kù)的實(shí)施及支持現(xiàn)有數(shù)據(jù)構(gòu)造的修正實(shí)施正確且修正后的數(shù)據(jù)構(gòu)造功能符合

45、管理當(dāng)局的志愿管理當(dāng)局已確立正式的政策以確保在對(duì)運(yùn)用系統(tǒng)、數(shù)據(jù)構(gòu)造、網(wǎng)絡(luò)及通訊軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修正之前，已聯(lián)絡(luò)一切受影響的人員并與其協(xié)調(diào)該修正的時(shí)間安排，從而最大限制降低該修正對(duì)其他處置活動(dòng)的影響執(zhí)行的方式應(yīng)允許必要時(shí)可將系統(tǒng)復(fù)原至原來的環(huán)境在安裝和/或維護(hù)數(shù)據(jù)庫(kù)和/或運(yùn)用該數(shù)據(jù)庫(kù)的運(yùn)用系統(tǒng)時(shí)，應(yīng)提供及運(yùn)用現(xiàn)有的數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)文件數(shù)據(jù)構(gòu)造的修正在執(zhí)行之前應(yīng)在測(cè)試環(huán)境中進(jìn)展評(píng)價(jià)按照測(cè)試方案(包括(如適當(dāng))：界面測(cè)試、并行測(cè)試(parallel testing)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的數(shù)據(jù)構(gòu)造和現(xiàn)行的數(shù)據(jù)構(gòu)造的修正進(jìn)展測(cè)試.信息系統(tǒng)審計(jì)根底培訓(xùn)62數(shù)據(jù)庫(kù)的實(shí)施及

46、支持現(xiàn)有數(shù)據(jù)構(gòu)造的修正實(shí)施正確且修正后的數(shù)據(jù)構(gòu)造功能符合管理當(dāng)局的志愿實(shí)體的數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)包括自動(dòng)對(duì)任何數(shù)據(jù)庫(kù)的變卦進(jìn)展更新的活動(dòng)數(shù)據(jù)字典(Active Data Dictionary)在消費(fèi)環(huán)境中對(duì)數(shù)據(jù)構(gòu)造的修正懇求應(yīng)進(jìn)展存檔并經(jīng)管理當(dāng)局核準(zhǔn)。管理當(dāng)局應(yīng)監(jiān)視一切該修正的執(zhí)行.信息系統(tǒng)審計(jì)根底培訓(xùn)63網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通訊軟件的購(gòu)買符合管理當(dāng)局的志愿新的網(wǎng)絡(luò)和通訊軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的志愿網(wǎng)絡(luò)和通訊軟件可得到有效的維護(hù)與技術(shù)支持現(xiàn)有網(wǎng)絡(luò)和通訊軟件的必要修正均能及時(shí)實(shí)施正確實(shí)施現(xiàn)有網(wǎng)絡(luò)和通訊軟件的修正且修正后的功能符合管理當(dāng)局的志愿.信息系統(tǒng)審計(jì)根底培訓(xùn)64網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和

47、通訊軟件的購(gòu)買符合管理當(dāng)局的志愿管理當(dāng)局核準(zhǔn)對(duì)網(wǎng)絡(luò)和通訊軟件及系統(tǒng)的購(gòu)買，以確保該購(gòu)買和開發(fā)符合公司的系統(tǒng)規(guī)劃及戰(zhàn)略對(duì)工程進(jìn)展優(yōu)先順序區(qū)分及指派，以確保有限的信息資源被適當(dāng)利用且與公司的業(yè)務(wù)目的堅(jiān)持一致運(yùn)用正式的方法或程序?yàn)橛布⑦\(yùn)用系統(tǒng)、網(wǎng)絡(luò)和通訊軟件及系統(tǒng)軟件的購(gòu)買、開發(fā)或維護(hù)提供指引.信息系統(tǒng)審計(jì)根底培訓(xùn)65網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通訊軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的志愿管理當(dāng)局已確立正式的政策以確保在對(duì)運(yùn)用系統(tǒng)、數(shù)據(jù)構(gòu)造、網(wǎng)絡(luò)及通訊軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修正之前，已聯(lián)絡(luò)一切受影響的人員并與其協(xié)調(diào)該修正的時(shí)間安排，從而最大限制降低該修正對(duì)其他處置活動(dòng)的影響網(wǎng)絡(luò)和通訊軟件及

48、硬件在執(zhí)行之前應(yīng)首先在測(cè)試環(huán)境中進(jìn)展安裝與評(píng)價(jià)在安裝和/或維護(hù)網(wǎng)絡(luò)時(shí)，應(yīng)提供及運(yùn)用現(xiàn)有的網(wǎng)絡(luò)軟件、通訊軟件、和網(wǎng)絡(luò)拓樸(Network Topology)文件按照測(cè)試方案(包括(如適當(dāng))：系統(tǒng)和單元測(cè)試、界面測(cè)試、并行測(cè)試(parallel testing)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的網(wǎng)絡(luò)和通訊軟件與現(xiàn)行的網(wǎng)絡(luò)和通訊軟件修正進(jìn)展測(cè)試.信息系統(tǒng)審計(jì)根底培訓(xùn)66網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通訊軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的志愿系統(tǒng)實(shí)施的程序應(yīng)包括對(duì)用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修正的系統(tǒng)的運(yùn)用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)視該程序的執(zhí)行情況。應(yīng)為新聘用的員工及實(shí)體內(nèi)調(diào)職的員工提供相關(guān)運(yùn)用系統(tǒng)的正式培訓(xùn)適當(dāng)限

49、制對(duì)測(cè)試和消費(fèi)環(huán)境的訪問權(quán)限運(yùn)用完好和具代表性的一組測(cè)試數(shù)據(jù)，而不是消費(fèi)數(shù)據(jù)來執(zhí)行測(cè)試維護(hù)源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)的現(xiàn)有文件，以確保消費(fèi)程序的可執(zhí)行性應(yīng)對(duì)硬件、運(yùn)用系統(tǒng)、數(shù)據(jù)構(gòu)造、和系統(tǒng)軟件的修正建議的影響進(jìn)展評(píng)價(jià)；在該建議實(shí)施到消費(fèi)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限制減少對(duì)營(yíng)運(yùn)的干擾.信息系統(tǒng)審計(jì)根底培訓(xùn)67網(wǎng)絡(luò)支持網(wǎng)絡(luò)和通訊軟件可得到有效的維護(hù)與技術(shù)支持實(shí)體對(duì)外部承包商和/或軟件廠商獲得的運(yùn)用程序或技術(shù)支持有正式的協(xié)議，以確保能獲得該支持。管理當(dāng)局應(yīng)監(jiān)視該協(xié)議的遵照情況在安裝和/或維護(hù)網(wǎng)絡(luò)時(shí)，應(yīng)提供及運(yùn)用現(xiàn)有的網(wǎng)絡(luò)軟件、通訊軟件、和網(wǎng)絡(luò)拓樸(Network Topolo

50、gy)文件管理當(dāng)局監(jiān)視所購(gòu)買的運(yùn)用系統(tǒng)、網(wǎng)絡(luò)和通訊軟件及系統(tǒng)軟件的支持版已投入運(yùn)用，且新的版本正被運(yùn)用運(yùn)用管理當(dāng)局已核準(zhǔn)的一套通用準(zhǔn)那么來進(jìn)展軟件開發(fā)與維護(hù)，以確保實(shí)體內(nèi)的開發(fā)與維護(hù)活動(dòng)堅(jiān)持一致維護(hù)源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)的現(xiàn)有文件，以確保消費(fèi)程序的可執(zhí)行性.信息系統(tǒng)審計(jì)根底培訓(xùn)68網(wǎng)絡(luò)支持現(xiàn)有網(wǎng)絡(luò)和通訊軟件的必要修正均能及時(shí)實(shí)施管理當(dāng)局復(fù)核系統(tǒng)性能報(bào)告并監(jiān)視確保識(shí)別出低效率的性能時(shí)已立刻采取足夠的措施，且制定及執(zhí)行相應(yīng)的處理方案用戶和其他對(duì)網(wǎng)絡(luò)根底設(shè)備及通訊軟件修正的懇求(包括更新和廠商定期發(fā)布的補(bǔ)丁程序)應(yīng)經(jīng)管理當(dāng)局核準(zhǔn)，且假設(shè)該修正符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的志

51、愿，應(yīng)予以執(zhí)行運(yùn)用正式的方法或程序?yàn)橛布?、運(yùn)用系統(tǒng)、網(wǎng)絡(luò)和通訊軟件及系統(tǒng)軟件的購(gòu)買、開發(fā)或維護(hù)提供指引對(duì)于現(xiàn)有硬件、運(yùn)用系統(tǒng)、數(shù)據(jù)庫(kù)構(gòu)造、網(wǎng)絡(luò)和通訊軟件及系統(tǒng)軟件修正的執(zhí)行，管理當(dāng)局應(yīng)監(jiān)視該工程已到達(dá)原定的目的且符合預(yù)算及時(shí)間的要求.信息系統(tǒng)審計(jì)根底培訓(xùn)69網(wǎng)絡(luò)支持正確實(shí)施現(xiàn)有網(wǎng)絡(luò)和通訊軟件的修正且修正后的功能符合管理當(dāng)局的志愿管理當(dāng)局已確立正式的政策以確保在對(duì)運(yùn)用系統(tǒng)、數(shù)據(jù)構(gòu)造、網(wǎng)絡(luò)及通訊軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修正之前，已聯(lián)絡(luò)一切受影響的人員并與其協(xié)調(diào)該修正的時(shí)間安排，從而最大限制降低該修正對(duì)其他處置活動(dòng)的影響執(zhí)行的方式應(yīng)允許必要時(shí)可將系統(tǒng)復(fù)原至原來的環(huán)境網(wǎng)絡(luò)和通訊軟件及硬件在

52、執(zhí)行之前應(yīng)首先在測(cè)試環(huán)境中進(jìn)展安裝與評(píng)價(jià)在安裝和/或維護(hù)網(wǎng)絡(luò)時(shí)，應(yīng)提供及運(yùn)用現(xiàn)有的網(wǎng)絡(luò)軟件、通訊軟件、和網(wǎng)絡(luò)拓樸(Network Topology)文件按照測(cè)試方案(包括(如適當(dāng))：系統(tǒng)和單元測(cè)試、界面測(cè)試、并行測(cè)試(parallel testing)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的網(wǎng)絡(luò)和通訊軟件與現(xiàn)行的網(wǎng)絡(luò)和通訊軟件修正進(jìn)展測(cè)試.信息系統(tǒng)審計(jì)根底培訓(xùn)70網(wǎng)絡(luò)支持正確實(shí)施現(xiàn)有網(wǎng)絡(luò)和通訊軟件的修正且修正后的功能符合管理當(dāng)局的志愿運(yùn)用正式的方法或程序?yàn)橛布?、運(yùn)用系統(tǒng)、網(wǎng)絡(luò)和通訊軟件及系統(tǒng)軟件的購(gòu)買、開發(fā)或維護(hù)提供指引在消費(fèi)環(huán)境中對(duì)網(wǎng)絡(luò)和通訊軟件的修正懇求應(yīng)進(jìn)展存檔并經(jīng)管理當(dāng)局核準(zhǔn)。管理當(dāng)局應(yīng)監(jiān)視一

53、切該修正的執(zhí)行.信息系統(tǒng)審計(jì)根底培訓(xùn)71系統(tǒng)軟件支持新的系統(tǒng)軟件的購(gòu)買符合管理當(dāng)局的志愿新的系統(tǒng)軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的志愿系統(tǒng)軟件可得到有效的維護(hù)與技術(shù)支持現(xiàn)有系統(tǒng)軟件的必要修正均能及時(shí)實(shí)施正確實(shí)施現(xiàn)有系統(tǒng)軟件的修正且修正后的功能符合管理當(dāng)局的志愿.信息系統(tǒng)審計(jì)根底培訓(xùn)72系統(tǒng)軟件支持新的系統(tǒng)軟件的購(gòu)買符合管理當(dāng)局的志愿管理當(dāng)局核準(zhǔn)對(duì)計(jì)算機(jī)系統(tǒng)軟件的購(gòu)買，以確保該購(gòu)買和開發(fā)符合公司的系統(tǒng)規(guī)劃及戰(zhàn)略對(duì)工程進(jìn)展優(yōu)先順序區(qū)分及指派，以確保有限的信息資源被適當(dāng)利用且與公司的業(yè)務(wù)目的堅(jiān)持一致運(yùn)用正式的方法或程序?yàn)橛布?、運(yùn)用系統(tǒng)、網(wǎng)絡(luò)和通訊軟件及系統(tǒng)軟件的購(gòu)買、開發(fā)或維護(hù)提供指引.信息系

54、統(tǒng)審計(jì)根底培訓(xùn)73系統(tǒng)軟件支持新的系統(tǒng)軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的志愿在安裝和/或維護(hù)軟件時(shí)，應(yīng)提供及運(yùn)用現(xiàn)有的系統(tǒng)軟件文件管理當(dāng)局已確立正式的政策以確保在對(duì)運(yùn)用系統(tǒng)、數(shù)據(jù)構(gòu)造、網(wǎng)絡(luò)及通訊軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修正之前，已聯(lián)絡(luò)一切受影響的人員并與其協(xié)調(diào)該修正的時(shí)間安排，從而最大限制降低該修正對(duì)其他處置活動(dòng)的影響執(zhí)行的方式應(yīng)允許必要時(shí)可將系統(tǒng)復(fù)原至原來的環(huán)境系統(tǒng)軟件的修正(包括晉級(jí)、修正和對(duì)配置參數(shù)的修正)在實(shí)施到消費(fèi)環(huán)境之前應(yīng)首先在測(cè)試環(huán)境中進(jìn)展安裝與評(píng)價(jià)按照測(cè)試方案(包括(如適當(dāng))：系統(tǒng)和單元測(cè)試、界面測(cè)試、并行測(cè)試(parallel testing)、容量測(cè)試及用

55、戶驗(yàn)收測(cè)試)對(duì)新的系統(tǒng)軟件與現(xiàn)行的系統(tǒng)軟件修正進(jìn)展測(cè)試.信息系統(tǒng)審計(jì)根底培訓(xùn)74系統(tǒng)軟件支持新的系統(tǒng)軟件得到適當(dāng)?shù)貙?shí)施且其功能符合管理當(dāng)局的志愿系統(tǒng)實(shí)施的程序應(yīng)包括對(duì)用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修正的系統(tǒng)的運(yùn)用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)視該程序的執(zhí)行情況。應(yīng)為新聘用的員工及實(shí)體內(nèi)調(diào)職的員工提供相關(guān)運(yùn)用系統(tǒng)的正式培訓(xùn)適當(dāng)限制對(duì)測(cè)試和消費(fèi)環(huán)境的訪問權(quán)限運(yùn)用完好和具代表性的一組測(cè)試數(shù)據(jù)，而不是消費(fèi)數(shù)據(jù)來執(zhí)行測(cè)試維護(hù)源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)的現(xiàn)有文件，以確保消費(fèi)程序的可執(zhí)行性應(yīng)對(duì)硬件、運(yùn)用系統(tǒng)、數(shù)據(jù)構(gòu)造、和系統(tǒng)軟件的修正建議的影響進(jìn)展評(píng)價(jià)；在該建議實(shí)施到消費(fèi)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大

56、限制減少對(duì)營(yíng)運(yùn)的干擾.信息系統(tǒng)審計(jì)根底培訓(xùn)75系統(tǒng)軟件支持系統(tǒng)軟件可得到有效的維護(hù)與技術(shù)支持在安裝和/或維護(hù)軟件時(shí)，應(yīng)提供及運(yùn)用現(xiàn)有的系統(tǒng)軟件文件實(shí)體對(duì)外部承包商和/或軟件廠商獲得的運(yùn)用程序或技術(shù)支持有正式的協(xié)議，以確保能獲得該支持。管理當(dāng)局應(yīng)監(jiān)視該協(xié)議的遵照情況系統(tǒng)軟件參數(shù)(用于控制操作系統(tǒng))的設(shè)置和運(yùn)用、以及其他可選的配置方案都被適當(dāng)存檔管理當(dāng)局監(jiān)視所購(gòu)買的運(yùn)用系統(tǒng)、網(wǎng)絡(luò)和通訊軟件及系統(tǒng)軟件的支持版已投入運(yùn)用，且新的版本正被運(yùn)用運(yùn)用管理當(dāng)局已核準(zhǔn)的一套通用準(zhǔn)那么來進(jìn)展軟件開發(fā)與維護(hù)，以確保實(shí)體內(nèi)的開發(fā)與維護(hù)活動(dòng)堅(jiān)持一致開發(fā)人員經(jīng)充分培訓(xùn)且熟習(xí)公司所運(yùn)用的通用準(zhǔn)那么、技術(shù)和工具維護(hù)源代碼及技

57、術(shù)文件-包括有關(guān)數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)的現(xiàn)有文件，以確保消費(fèi)程序的可執(zhí)行性.信息系統(tǒng)審計(jì)根底培訓(xùn)76系統(tǒng)軟件支持現(xiàn)有系統(tǒng)軟件的必要修正均能及時(shí)實(shí)施管理當(dāng)局復(fù)核系統(tǒng)性能報(bào)告并監(jiān)視確保識(shí)別出低效率的性能時(shí)已立刻采取足夠的措施，且制定及執(zhí)行相應(yīng)的處理方案用戶和其他對(duì)系統(tǒng)軟件修正的懇求(包括系統(tǒng)更新和廠商定期發(fā)布的補(bǔ)丁程序)應(yīng)經(jīng)管理當(dāng)局核準(zhǔn)，且假設(shè)該修正符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的志愿，應(yīng)予以執(zhí)行對(duì)于現(xiàn)有硬件、運(yùn)用系統(tǒng)、數(shù)據(jù)庫(kù)構(gòu)造、網(wǎng)絡(luò)和通訊軟件及系統(tǒng)軟件修正的執(zhí)行，管理當(dāng)局應(yīng)監(jiān)視該工程已到達(dá)原定的目的且符合預(yù)算及時(shí)間的要求.信息系統(tǒng)審計(jì)根底培訓(xùn)77系統(tǒng)軟件支持正確實(shí)施現(xiàn)有系統(tǒng)軟件的修正且修正后的功

58、能符合管理當(dāng)局的志愿在安裝和/或維護(hù)軟件時(shí)，應(yīng)提供及運(yùn)用現(xiàn)有的系統(tǒng)軟件文件管理當(dāng)局已確立正式的政策以確保在對(duì)運(yùn)用系統(tǒng)、數(shù)據(jù)構(gòu)造、網(wǎng)絡(luò)及通訊軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修正之前，已聯(lián)絡(luò)一切受影響的人員并與其協(xié)調(diào)該修正的時(shí)間安排，從而最大限制降低該修正對(duì)其他處置活動(dòng)的影響執(zhí)行的方式應(yīng)允許必要時(shí)可將系統(tǒng)復(fù)原至原來的環(huán)境系統(tǒng)軟件的修正(包括晉級(jí)、修正和對(duì)配置參數(shù)的修正)在實(shí)施到消費(fèi)環(huán)境之前應(yīng)首先在測(cè)試環(huán)境中進(jìn)展安裝與評(píng)價(jià)按照測(cè)試方案(包括(如適當(dāng))：系統(tǒng)和單元測(cè)試、界面測(cè)試、并行測(cè)試(parallel testing)、容量測(cè)試及用戶驗(yàn)收測(cè)試)對(duì)新的系統(tǒng)軟件與現(xiàn)行的系統(tǒng)軟件修正進(jìn)展測(cè)試.信息系

59、統(tǒng)審計(jì)根底培訓(xùn)78系統(tǒng)軟件支持正確實(shí)施現(xiàn)有系統(tǒng)軟件的修正且修正后的功能符合管理當(dāng)局的志愿在消費(fèi)環(huán)境中對(duì)系統(tǒng)軟件的修正懇求應(yīng)進(jìn)展存檔并經(jīng)管理當(dāng)局核準(zhǔn)。管理當(dāng)局應(yīng)監(jiān)視一切該修正的執(zhí)行應(yīng)對(duì)硬件、運(yùn)用系統(tǒng)、數(shù)據(jù)構(gòu)造、和系統(tǒng)軟件的修正建議的影響進(jìn)展評(píng)價(jià)；在該建議實(shí)施到消費(fèi)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限制減少對(duì)營(yíng)運(yùn)的干擾.信息系統(tǒng)審計(jì)根底培訓(xùn)79信息資源戰(zhàn)略及規(guī)劃信息系統(tǒng)的戰(zhàn)略、規(guī)劃和預(yù)算與實(shí)體業(yè)務(wù)和戰(zhàn)略目的堅(jiān)持一致計(jì)算機(jī)處置環(huán)境得到具有適當(dāng)技藝和閱歷的人員的充分支持及保證計(jì)算機(jī)處置環(huán)境中的人員接受適當(dāng)?shù)呐嘤?xùn).信息系統(tǒng)審計(jì)根底培訓(xùn)80信息資源戰(zhàn)略及規(guī)劃信息系統(tǒng)的戰(zhàn)略、規(guī)劃和預(yù)算與實(shí)體業(yè)務(wù)和戰(zhàn)略目的堅(jiān)持一致

60、管理當(dāng)局制定及核準(zhǔn)信息系統(tǒng)的戰(zhàn)略與長(zhǎng)期及短期方案，以支持實(shí)體的整體業(yè)務(wù)戰(zhàn)略和信息系統(tǒng)要求。管理當(dāng)局根據(jù)長(zhǎng)期及短期方案監(jiān)視信息系統(tǒng)的性能.信息系統(tǒng)審計(jì)根底培訓(xùn)81信息資源戰(zhàn)略及規(guī)劃計(jì)算機(jī)處置環(huán)境得到具有適當(dāng)技藝和閱歷的人員的充分支持及保證在聘用信息資源管理人員時(shí)應(yīng)對(duì)其作背景調(diào)查在聘用計(jì)算機(jī)處置環(huán)境的任務(wù)人員之前或評(píng)價(jià)該人員的表現(xiàn)時(shí)，應(yīng)對(duì)其職位所需的必要技藝和閱歷作明晰定義。管理當(dāng)局應(yīng)監(jiān)視計(jì)算機(jī)處置環(huán)境人員的充足性及其相關(guān)的技藝與閱歷關(guān)鍵職位應(yīng)有接任方案和交叉培訓(xùn)應(yīng)監(jiān)視員工表現(xiàn)鑒定政策的遵照情況.信息系統(tǒng)審計(jì)根底培訓(xùn)82信息資源戰(zhàn)略及規(guī)劃計(jì)算機(jī)處置環(huán)境中的人員接受適當(dāng)?shù)呐嘤?xùn)應(yīng)基于定期的員工表現(xiàn)評(píng)價(jià)