Q∕SY 1223.2-2009信息系統(tǒng)總體控制規(guī)范 第2部分：測試

1、O/SY中國石油球氣顯公司企業(yè)標準Q/SY 1223. 22009信息系統(tǒng)總體控制規(guī)范第2部分：測試Specification for general computer controlPart 2: Test2009-05-01 實施2009-03-17 發(fā)布中國石油天然氣集團公司發(fā)布Q/SY 1223. 22009Q/SY 1223. 22009前言5. 1控制點GCC-HJ-11Key5.2控制點GCC-HJ-12Key5.3控制點GCC-HJ-13Key5.4控制點GCC-HJ-14Key5. 5控制點GCC-HJ-15Key5. 6控制點GCC-HJ-165. 7控制點GCC-HJ-1

2、75. 8控制點GCC-HJ-185.9控制點GCC-HJ-195. 10控制點GCC- HJ-1.10 -5控制環(huán)境測試455556667778889999001 11范圍 2規(guī)范性引用文件3專用詞匯 4控制點編號規(guī)則6 信試1 控制點 GCC-AQ-2. 1 Key 2 控制點 GCC - AQ 2. 2 Key 3 控制點 GCC-AQ-2. 3 Key 4 控制點 GCC-AQ-2.4Key 5 控制點 GCC-AQ-2. 5 Key 6 控制點 GCC - AQ - 2. 6 Key 7 控制點 GCC-AQ-2. 7 Key 8 控制點 GCC - AQ - 2. 8 Key 9

3、控制點 GCC-AQ-2.9Key 10 控制點 GCC-AQ-2. 10 Key 6. 11 控制點 GCC-AQ-2. 11 Key 6. 12 控制點 GCC-AQ-2. 12 Key 6. 13 控制點 GCC-AQ-2. 13 Key 6. 14 控制點 GCC-AQ-2. 14 Key 6. 15 控制點 GCC AQ-2. 15 Key 6. 16 控制點 GCC-AQ-2. 16 Key 6.17 控制點 GCC- AQ-2. 17 Key 6. 18 控制點 GCC-AQ-2. 18 6. 19 控制點 GCC-AQ-2. 19 6. 20 控制點 GCC -AQ-2. 20

4、 6.21 控制點 GCC-AQ-2. 21 TOC o 1-5 h z HYPERLINK l bookmark94 o Current Document 6. 22控制點 GCC-AQ-2.22 11 HYPERLINK l bookmark97 o Current Document 6. 23控制點 GCC-AQ-2.23 11 HYPERLINK l bookmark102 o Current Document 6. 24控制點 GCC-AQ-2.24 12 HYPERLINK l bookmark105 o Current Document 6. 25控制點 GCC-AQ-2.25

5、12 HYPERLINK l bookmark108 o Current Document 6. 26控制點 GCC- AQ-2.26 12 HYPERLINK l bookmark111 o Current Document 6. 27控制點 GCC-AQ-2.27 12 HYPERLINK l bookmark114 o Current Document 28控制點 GCC-AQ-2.28 137項目建設(shè)管理測試13 HYPERLINK l bookmark120 o Current Document 1控制點 GCC-JS-3. 1Key 13 HYPERLINK l bookmark1

6、23 o Current Document 控制點 GCC-JS-3. 2Key 13 HYPERLINK l bookmark126 o Current Document 控制點 GCC-JS-3. 3Key 14 HYPERLINK l bookmark129 o Current Document 控制點 GCC-JS-3. 4Key 14 HYPERLINK l bookmark132 o Current Document 控制點 GCC-JS-3. 5Key 14 HYPERLINK l bookmark135 o Current Document 控制點 GCC-JS-3. 6Key

7、 15 HYPERLINK l bookmark138 o Current Document 控制點 GCC-JS-3. 7Key 15 HYPERLINK l bookmark141 o Current Document 控制點 GCC-JS-3. 8Key 15 HYPERLINK l bookmark144 o Current Document 控制點 GCC-JS-3. 9Key 16 HYPERLINK l bookmark147 o Current Document 10控制點GCC-JS-3.10 16 HYPERLINK l bookmark150 o Current Docu

8、ment 11控制點GCC-JS-3.11 16 HYPERLINK l bookmark152 o Current Document 12控制點GCC-JS-3.12 16 HYPERLINK l bookmark155 o Current Document 13控制點GCC-JS-3.13 17 HYPERLINK l bookmark158 o Current Document 7.14控制點GCOJS-3.14 17 HYPERLINK l bookmark161 o Current Document 15控制點GCC-JS-3.15 17 HYPERLINK l bookmark16

9、4 o Current Document 16控制點GCC-JS-3.16 17 HYPERLINK l bookmark167 o Current Document 17控制點GCC-JS-3.17 17 HYPERLINK l bookmark170 o Current Document 18控制點GCC-JS-3.18 18 HYPERLINK l bookmark173 o Current Document 19控制點GCC-JS-3.19 188系統(tǒng)變更管理測試18 HYPERLINK l bookmark176 o Current Document 1控制點 GCC - BG -

10、4. 1Key 18 HYPERLINK l bookmark179 o Current Document 2控制點 GCC-BG-4. 2Key 18 HYPERLINK l bookmark182 o Current Document 3控制點 GCC - BG 4. 3Key 19 HYPERLINK l bookmark185 o Current Document 控制點 GCC-BG-4. 4Key 19 HYPERLINK l bookmark188 o Current Document 5控制點 GCC-BG-4. 5Key 20 HYPERLINK l bookmark190

11、o Current Document 6控制點 GCC - BG - 4. 6 20 HYPERLINK l bookmark193 o Current Document 7控制點 GCC-BG-4. 7 20 HYPERLINK l bookmark196 o Current Document 8控制點 GCC-BG-4. 8 21 HYPERLINK l bookmark199 o Current Document 控制點 GCC-BG-4. 9 21 HYPERLINK l bookmark201 o Current Document 10 控制點 GCC-BG-4. 10 21 HYP

12、ERLINK l bookmark204 o Current Document 11 控制點 GCC-BG-4. 11 219系統(tǒng)運行維護測試21 HYPERLINK l bookmark207 o Current Document 1控制點 GCC - YW-5. 1 Key 21 HYPERLINK l bookmark209 o Current Document 2控制點 GCC -YW-5. 2 Key 22 HYPERLINK l bookmark212 o Current Document 3控制點 GCC-YW-5. 3 Key 22Q TOC o 1-5 h z HYPERLI

13、NK l bookmark215 o Current Document 4控制點 GCC- YW-5.4 Key 22 HYPERLINK l bookmark218 o Current Document 5控制點 GCC-YW-5.5 Key 23 HYPERLINK l bookmark221 o Current Document 6控制點 GCC-YW-5.6 Key 23 HYPERLINK l bookmark224 o Current Document 7控制點 GCC-YW-5.7 Key 23 HYPERLINK l bookmark227 o Current Document

14、 8控制點 GCC - YW-5. 8 Key 24 HYPERLINK l bookmark230 o Current Document 控制點 GCC- YW-5. 9 24 HYPERLINK l bookmark233 o Current Document 10控制點 GCC- YW-5. 10 24 HYPERLINK l bookmark236 o Current Document 9. 11控制點 GCC-YW-5. 11 25 HYPERLINK l bookmark239 o Current Document 9. 12 控制點 GCC- YW-5.12 25 HYPERLI

15、NK l bookmark242 o Current Document 13 控制點 GCC- YW-5. 13 2510最終用戶操作測試 25 HYPERLINK l bookmark245 o Current Document 1控制點 GCC - YH - 6. 1Key 25 HYPERLINK l bookmark248 o Current Document 10.2控制點 GCC-YH-6. 2Key 26 HYPERLINK l bookmark251 o Current Document 3控制點 GCC - YH - 6. 3Key 26 HYPERLINK l bookma

16、rk254 o Current Document 控制點 GCC-YH-6. 4 26 HYPERLINK l bookmark257 o Current Document 控制點 GCC-YH-6.5 27 HYPERLINK l bookmark260 o Current Document 控制點 GCC-YH-6.6 27 HYPERLINK l bookmark263 o Current Document 控制點 GCC-YH-6. 7 27附錄A （規(guī)范性附錄）控制頻率與抽樣樣本數(shù)量對應(yīng)表 28附錄B （規(guī)范性附錄）管理表格匯總29IDQ/SY 1223. 22009 #Q/SY 1

17、223. 22009 IV kZ.*刖呂Q/SY 12232009信息系統(tǒng)總體控制規(guī)范分2個部分：第1部分：實施；第2部分：測試。本部分為Q/SY 12232009的第2部分。本標準的附錄A、附錄B為規(guī)范性附錄。本標準由中國石油天然氣集團公司信息管理部提出。本標準由中國石油天然氣集團公司信息技術(shù)專業(yè)標準化技術(shù)委員會歸口。 本標準起草單位：中國石油勘探開發(fā)研究院。本標準起草人：高雪、于愛麗、俞隆潮、繆紅萍。Q/SY 1223. 22009 Q/SY 1223. 22009 信息系統(tǒng)總體控制規(guī)范第2部分：測試1范圍Q/SY 1223的本部分規(guī)定了進行信息系統(tǒng)總體控制環(huán)境測試、信息安全測試、項目建設(shè)

18、管理測 試、系統(tǒng)變更管理測試、系統(tǒng)運行維護測試、最終用戶操作測試所應(yīng)遵循的程序與要求。本部分定義了信息系統(tǒng)總體控制測試的程序、方法和標準，適用于中國石油信息系統(tǒng)總體控制測 試工作。2規(guī)范性引用文件下列文件中的條款通過Q/SY 1223的本部分的引用而成為本部分的條款。凡是注日期的引用文件， 其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本部分，然而，鼓勵根據(jù)本部分達成協(xié) 議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本部分。 Q/SY 1223. 12009信息系統(tǒng)總體控制規(guī)范 第1部分：實施3專用詞匯控制點：指企業(yè)為了保證業(yè)務(wù)活動的有效進行，保護

19、資產(chǎn)的安全和完整，防止、發(fā)現(xiàn)、糾正錯誤 與舞弊，以及保證企業(yè)正常經(jīng)營所采取的一系列必要的管理措施。關(guān)鍵控制點：指對管理工作影響大、涉及面廣、具有重要地位和作用的控制點。其控制點的失效 將使整個控制系統(tǒng)失控或造成較為重大的缺陷從而影響到整個企業(yè)業(yè)務(wù)活動控制目標的實現(xiàn)。 4控制點編號規(guī)則控制點編號規(guī)則為字母與數(shù)字不等長混合編碼，編碼結(jié)構(gòu)見圖1。音字母表示信息系統(tǒng)控制領(lǐng)域英文第一個字母圖1控制點編號結(jié)構(gòu)和規(guī)則信息系統(tǒng)控制子領(lǐng)域有六個，其名稱、縮寫和子領(lǐng)域的序號見表1。5控制環(huán)境測試本章節(jié)的控制點描述、控制方法和控制頻率描述了控制執(zhí)行時的主要要求，測試步驟描述了對該 控制點進行測試的具體方法。表1子領(lǐng)

20、域名稱、代碼和子領(lǐng)域的序號子領(lǐng)域名稱子領(lǐng)域代碼子領(lǐng)域的序號控制環(huán)境測試HJ1信息安全測試AQ2項目建設(shè)管理測試JS3系統(tǒng)變更管理測試BG4系統(tǒng)運行維護測試YW5最終用戶操作測試YH6示例：控制點GCC- HJ-1.1 Key代表信息技術(shù)控制環(huán)境測試子領(lǐng)域第一個控制點且此控制點為關(guān)鍵控制點。樣本總體根據(jù)執(zhí)行該控制的控制頻率和時間段進行確定，確定樣本總體后，樣本數(shù)量根據(jù)附錄A 所規(guī)定的方法抽取，以下各章同此?？刂泣c GCC - HJ - 1.1 Key5.1.1控制點描述中國石油天然氣集團公司（簡稱集團公司）信息化工作主管部門定期（至少每年度）組織相關(guān)部 門對信息技術(shù)總體規(guī)劃的執(zhí)行情況及其對公司業(yè)

21、務(wù)的適應(yīng)性進行審閱。集團公司信息化工作主管部門 可根據(jù)業(yè)務(wù)發(fā)展對信息技術(shù)總體規(guī)劃進行修訂，并完整保存相關(guān)文檔記錄。5.1.2測試步驟a）訪談集團公司信息化工作主管部門負責人，了解信息技術(shù)總體規(guī)劃的制定、執(zhí)行以及修訂情 況，獲得企業(yè)最新的信息技術(shù)總體規(guī)劃文檔。b）查看相關(guān)業(yè)務(wù)部門是否參與了信息技術(shù)總體規(guī)劃的制定和審閱過程。c）檢查信息技術(shù)總體規(guī)劃的審閱、修訂流程及流程的執(zhí)行與制度要求的符合性?？刂品椒ǎ菏止?；控制頻率：每年?？刂泣c GCC-HJ-1.2 Key5. 2.1控制點描述集團公司信息化工作主管部門負責本單位信息系統(tǒng)控制相關(guān)政策和制度的制定和培訓工作。5. 2.2測試步驟a）訪談集團公司

22、信息化工作主管部門負責人，了解信息系統(tǒng)控制相關(guān)政策和制度的推行、宣貫 過程，獲得制度的培訓、宣貫記錄等相關(guān)文檔。b）訪談員工對集團公司信息化工作主管部門的宣貫活動的了解程度。c）檢查這些文檔的內(nèi)容、執(zhí)行時間、參加的部門以及是否保存了相關(guān)的正式的培訓文檔。 控制方法：手工；控制頻率：按需。3 控制點 GCC -HJ-1.3 Key5.3.1控制點描述集團公司信息化工作主管部門對公司及業(yè)務(wù)層面的主要信息技術(shù)風險進行評估。當組織結(jié)構(gòu)、環(huán) 境發(fā)生變動或發(fā)生重大的信息技術(shù)應(yīng)用時，集團公司信息化工作主管部門對變動情況進行風險評估， 必要時調(diào)整相關(guān)風險防范措施。5.3.2測試步驟a）訪談集團公司信息化工作主

23、管部門負責人，了解風險評估框架制定、變更頻度、風險評估流 程、責任部門、管理層態(tài)度等情況，獲得風險評估報告。檢查報告是否經(jīng)過修改，上一次修 改后是否發(fā)生了重大變更，風險評估報告是否隨之進行了更新，管理層是否對評估報告進行 了審批。b）檢查風險評估報告的覆蓋范圍和內(nèi)容是否全面和完整。c）查看風險評估報告，審查控制措施是否可有效降低風險，管理層是否接受剩余風險。 控制方法：手工；控制頻率：按需。4 控制點 GCC -HJ-1.4 Key5.4.1控制點描述集團公司信息化工作主管部門每年對信息系統(tǒng)控制相關(guān)政策和制度在中國石油范圍內(nèi)的執(zhí)行情況 進行監(jiān)督。5.4.2測試步驟a）訪談集團公司信息化工作主管

24、部門負責人，了解實施辦法的總體執(zhí)行情況、責任部門情況等， 檢查負責測試的單位是否涉及GCC的日常執(zhí)行工作。b）獲得GCC內(nèi)控測試文檔，檢查測試工作是否按照規(guī)定的頻率執(zhí)行。c）檢查集團公司信息化工作主管部門是否對所有的例外情況進行了總結(jié)、評估，并制定了正式 的整改計劃，對于整改措施的執(zhí)行情況是否進行了跟進?？刂品椒ǎ菏止?；控制頻率：每年。5 控制點 GCC -HJ-1.5 Key5.5.1控制點描述各級信息化工作管理部門每年評估信息系統(tǒng)控制相關(guān)政策和制度在本單位的執(zhí)行情況，對所發(fā)現(xiàn)的問 題采取相應(yīng)的補救措施，制定評估報告。將評估報告和補救措施文檔上社級信息化工作主管部門并歸檔。 5.5.2測試步

25、驟a）訪談信息化工作管理部門負責人，了解信息系統(tǒng)控制相關(guān)政策和制度執(zhí)行情況的評估過程。b）檢查是否對信息系統(tǒng)控制相關(guān)政策和制度在本單位的執(zhí)行情況進行了評估，是否保存了正式 的評估報告和補救措施文檔。c）檢查評估報告和補救措施文檔是否上報給上級信息化工作主管部門?？刂品椒ǎ菏止?；控制頻率：每年?？刂泣c GCC-HJ-1.65.6.1控制點描述集團公司信息化工作主管部門組織制定企業(yè)信息技術(shù)總體規(guī)劃。各級信息化工作管理部門結(jié)合信 息技術(shù)總體規(guī)劃，制定本單位的信息技術(shù)年度工作計劃。5. 6.2測試步驟a）集團公司：一訪談集團公司信息化工作主管部門負責人，了解集團公司信息技術(shù)總體規(guī)劃和年度工作 計劃的制

26、定情況，并獲得相關(guān)文檔。一檢查集團公司總體規(guī)劃和年度工作計劃是否符合集團公司總體規(guī)劃的要求?？刂品椒ǎ菏止?；控制頻率：每年。b）各級單位：一訪談各級信息化工作管理部門負責人，了解本單位年度工作計劃的制定情況，并獲得相 關(guān)文檔。檢查各級單位年度計劃內(nèi)容是否符合集團公司總體規(guī)劃的要求。控制方法：手工；控制頻率：每年?？刂泣c GCC-HJ-1.75.7.1控制點描述制定部門職責時是否包含安全和內(nèi)控的要求，制定員工崗位職責時是否滿足職責分離的要求。5. 7.2測試步驟a）訪談各級信息化工作管理部門負責人，了解該部門在制定部門職責時是否包含安全和內(nèi)控的 要求，以及在制定員工崗位職責時是否滿足了職責分離的

27、要求。b）訪談員工，了解對職責分離崗位的具體情況。c）檢查是否按照內(nèi)控的要求對相關(guān)崗位制定了職責分離的要求?？刂品椒ǎ菏止ぃ豢刂祁l率：按需。控制點 GCC-HJ-1.85. 8.1控制點描述各級單位信息化工作管理部門制定針對本單位普通員工的信息技術(shù)培訓計劃，并負責實施，保存 完整的文檔記錄。5. 8.2測試步驟a）訪談各級信息化工作管理部門負責人，了解該部門制定的本單位普通員工的信息技術(shù)培訓計 劃，并獲得計劃以及培訓的相關(guān)文檔。b）訪談普通員工，了解信息技術(shù)培訓的具體實施情況。c）檢查相關(guān)文檔的內(nèi)容、存檔時間，以及是否保存了相關(guān)的培訓文檔。控制方法：手工；控制頻率：按需?？刂泣c GCC-HJ-

28、1.95. 9.1控制點描述各級信息化工作管理部門應(yīng)對所屬單位使用的信息資產(chǎn)建立“信息資產(chǎn)清單”并進行分級，明確 各信息資產(chǎn)的相關(guān)責任人。5. 9.2測試步驟a）訪談信息化工作管理部門負責人，了解該部門是否對所屬單位使用的信息資產(chǎn)建立“信息資 產(chǎn)清單”并進行分級，是否明確了信息資產(chǎn)的相關(guān)負責人。b）檢查該單位使用的信息資產(chǎn)是否均已列入“信息資產(chǎn)清單”并進行分級?？刂品椒ǎ菏止ぃ豢刂祁l率：按需。控制點 GCC -HJ-1.105.10.1控制點描述各級信息化工作管理部門按照信息系統(tǒng)控制相關(guān)政策和制度的要求進行日常檢查與監(jiān)控，確保信 息系統(tǒng)總體控制體系的有效運行。5.10. 2測試步驟a）訪談各級

29、信息化工作管理部門負責人，了解信息系統(tǒng)控制相關(guān)政策和制度所要求的日常檢查 與監(jiān)控制度的執(zhí)行情況。b）檢查進行日常檢查與監(jiān)控的相關(guān)文檔是否完整?？刂品椒ǎ菏止?；控制頻率：按需。6信息安全測試控制點 GCC- AQ-2.1 Key6.1.1控制點描述信息安全管理負責人每半年審核本單位信息系統(tǒng)總體控制活動的職責分離狀況，填寫“職責分離 檢查表”，將不符情況報相關(guān)負責人。6.1.2測試步驟a）訪談信息安全管理負責人，了解信息系統(tǒng)總體控制的職責分離管理情況。b）獲得“職責分離檢查表”，檢查表單是否經(jīng)過信息安全管理負責人審核簽字，是否記錄了不 符情況。c）檢查納人范圍的系統(tǒng)中是否實現(xiàn)了角色分離?？刂品椒ǎ?/p>

30、手工；控制頻率：每半年。2 控制點 GCC - AQ-2.2 Key6. 2.1控制點描述當用戶需要直接訪問系統(tǒng)中的數(shù)據(jù)時，須提出申請，由用戶主管領(lǐng)導(dǎo)和應(yīng)用系統(tǒng)負責人審批后執(zhí)行。6.2.2測試步驟a）訪談應(yīng)用系統(tǒng)負責人，了解數(shù)據(jù)直接訪問的情況。b）訪談數(shù)據(jù)庫管理員，了解數(shù)據(jù)直接訪問的情況，獲得相關(guān)的“數(shù)據(jù)直接訪問申請表”。c）確定樣本總體：統(tǒng)計全年納入范圍的系統(tǒng)的數(shù)據(jù)直接訪問活動次數(shù)，作為樣本總體，并檢查 是否每次訪問活動都填寫“數(shù)據(jù)直接訪問申請表”。d）確定樣本數(shù)量：根據(jù)抽樣原則隨機抽取多個樣本，并檢查相應(yīng)的“數(shù)據(jù)直接訪問申請表”。e）獲得樣本表單，檢查表單的填寫是否符合要求，是否有適當?shù)膶?/p>

31、核簽字。f）通過查看日志等方法查看申請表是否與實際情況相符。控制方法：手工；控制頻率：按需。3 控制點 GCC - AQ-2.3 Key6.3.1控制點描述應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)（含網(wǎng)絡(luò)操作系統(tǒng)）及網(wǎng)絡(luò)設(shè)備的賬號及權(quán)限的申請、變更及撤銷 需要經(jīng)過有效的審批或授權(quán)，審批時對照職責分離矩陣進行檢查，確保用戶權(quán)限申請和變更符合職責 分離要求。6.3.2測試步驟a）訪談業(yè)務(wù)主管領(lǐng)導(dǎo)和納人范圍的系統(tǒng)的負責人以及信息部門負責人，了解系統(tǒng)賬號及權(quán)限的 審批或授權(quán)過程，確定應(yīng)用系統(tǒng)管理員、數(shù)據(jù)庫管理員、操作系統(tǒng)管理員、網(wǎng)絡(luò)管理員。b）訪談應(yīng)用系統(tǒng)管理員、數(shù)據(jù)庫管理員、操作系統(tǒng)管理員、網(wǎng)絡(luò)管理員，了解賬號及

32、權(quán)限的創(chuàng) 建或變更過程，獲得“用戶賬號及權(quán)限管理表”。c）確定樣本總體：統(tǒng)計共有多少納人范圍的系統(tǒng)的用戶，作為樣本總體。d）確定樣本數(shù)量：根據(jù)抽樣原則隨機抽取樣本，獲得相應(yīng)的“用戶賬號及權(quán)限管理表”。e）檢查樣本表單內(nèi)容的填寫是否符合要求，是否有主管領(lǐng)導(dǎo)及系統(tǒng)責任人的審核簽字。D檢查樣本表單中用戶申請（變更、撤銷）的賬號及權(quán)限與相應(yīng)系統(tǒng)中的實際情況是否一致。 控制方法：手工；控制頻率：按需。4 控制點 GCC- AQ-2.4 Key6. 4.1控制點描述應(yīng)用系統(tǒng)負責人每三個月審核應(yīng)用系統(tǒng)的用戶賬號和用戶權(quán)限設(shè)置。6. 4.2測試步驟a）訪談納人范圍的系統(tǒng)的應(yīng)用系統(tǒng)負責人，了解對應(yīng)用系統(tǒng)用戶的權(quán)

33、限檢查情況，確定應(yīng)用系 統(tǒng)管理員。b）訪談應(yīng)用系統(tǒng)管理員，了解不符賬號和權(quán)限的修正過程。c）訪談信息安全管理負責人，了解用戶權(quán)限定期檢查的執(zhí)行情況，獲得對納人范圍的系統(tǒng)的 “應(yīng)用系統(tǒng)權(quán)限檢查表”。d）檢查表單的內(nèi)容填寫是否符合要求，是否有應(yīng)用系統(tǒng)負責人的審核簽字。e）檢查表單中的檢查結(jié)果與系統(tǒng)中的實際情況是否一致。f）檢查是否對檢查結(jié)果的不符合要求的情況進行了改正，是否有應(yīng)用系統(tǒng)負責人的簽字確認。 控制方法：手工；控制頻率：每季。6. 5 控制點 GCC - AQ-2.5 Key6. 5.1控制點描述應(yīng)用系統(tǒng)負責人每三個月審核數(shù)據(jù)庫管理員和操作系統(tǒng)管理員的賬號及權(quán)限設(shè)置。網(wǎng)絡(luò)管理負責人每三個月

34、審核網(wǎng)絡(luò)管理員的賬號及權(quán)限設(shè)置。6. 5.2測試步驟6. 5. 2.1操作系統(tǒng)、數(shù)據(jù)庫權(quán)限a）訪談納人范圍的系統(tǒng)的應(yīng)用系統(tǒng)負責人，了解對操作系統(tǒng)管理員和數(shù)據(jù)庫管理員的權(quán)限檢查 情況，確定操作系統(tǒng)管理員和數(shù)據(jù)庫管理員。b）訪談操作系統(tǒng)管理員和數(shù)據(jù)庫管理員，了解不符賬號和權(quán)限的修正過程。c）訪談信息安全管理負責人，獲得對納入范圍的系統(tǒng)的“操作系統(tǒng)/數(shù)據(jù)庫權(quán)限檢查表”及“特 權(quán)用戶登記備案表”。d）檢查表單的內(nèi)容填寫是否符合要求，“操作系統(tǒng)/數(shù)據(jù)庫權(quán)限檢查表”是否有應(yīng)用系統(tǒng)負責人 的審核簽字。e）檢查表單中的檢查結(jié)果與系統(tǒng)中的實際情況是否一致。D檢查是否對檢查結(jié)果的不符合要求的情況進行了改正，是否有

35、應(yīng)用系統(tǒng)負責人的簽字確認。6. 5. 2. 2防火墻系統(tǒng)權(quán)限a）訪談網(wǎng)絡(luò)管理負責人，了解對網(wǎng)絡(luò)管理員的權(quán)限檢查情況，確定網(wǎng)絡(luò)管理員。b）訪談網(wǎng)絡(luò)管理員，了解不符賬號和權(quán)限的修正過程。c）訪談信息安全管理負責人，獲得對納人范圍的系統(tǒng)的相關(guān)“防火墻系統(tǒng)權(quán)限檢查表”及“特 權(quán)用戶登記備案表”。d）檢查表單的內(nèi)容填寫是否符合要求，“防火墻系統(tǒng)權(quán)限檢查表”是否有網(wǎng)絡(luò)管理負責人的審 核簽字。e）檢查表單中的檢查結(jié)果與系統(tǒng)中的實際情況是否一致。f）檢查是否對檢查結(jié)果的不符合要求的情況進行了改正，是否有網(wǎng)絡(luò)管理負責人的簽字確認。 控制方法：手工；控制頻率：每季。6. 6 控制點 GCC - AQ-2.6 Ke

36、y6. 6.1控制點描述應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備等系統(tǒng)的廠商初始口令在設(shè)備到貨后及時修改，修改口令后的系統(tǒng)方可投入使用。6. 6.2測試步驟a）訪談信息化工作管理部門負責人，了解應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的投入使用 過程。b）統(tǒng)計納人范圍的系統(tǒng)及相關(guān)的操作系統(tǒng)、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備的數(shù)量，作為樣本總體，并全部 作為樣本進行測試。c）確定樣本系統(tǒng)的廠商初始口令是否已經(jīng)更改?？刂品椒ǎ菏止ぃ豢刂祁l率：按需。6. 7 控制點 GCC- AQ-2.7 Key6.7.1控制點描述信息安全管理負責人在操作系統(tǒng)管理員協(xié)助下，每年審核Windows服務(wù)器操作系統(tǒng)設(shè)置是否符 合安全配置方案。6

37、. 7.2測試步驟a）訪談信息安全管理負責人，了解Windows服務(wù)器安全配置的審核過程，獲得“Windows服 務(wù)器安全配置檢查表”，確定操作系統(tǒng)管理員。b）訪談操作系統(tǒng)管理員，了解Windows服務(wù)器的安全配置過程。c）檢查“Windows服務(wù)器安全配置檢查表”中關(guān)鍵配置項的填寫是否完整。d）檢查系統(tǒng)中的實際配置情況與檢查表是否一致，并標注出不符合配置要求的情況。 控制方法：手工；控制頻率：每年。6. 8 控制點 GCC - AQ-2.8 Key6. 8.1控制點描述信息安全管理負責人在操作系統(tǒng)管理員協(xié)助下，每年審核Unix服務(wù)器操作系統(tǒng)設(shè)置是否符合安 全配置方案。6. 8.2測試步驟a）

38、訪談信息安全管理負責人，了解Unix服務(wù)器安全配置的審核過程，獲得“Unix服務(wù)器安全 配置檢查表”，確定操作系統(tǒng)管理員。b）訪談操作系統(tǒng)管理員，了解Unix服務(wù)器的安全配置過程。c）檢查“Unix服務(wù)器安全配置檢查表”中關(guān)鍵配置項的填寫是否完整。d）檢查系統(tǒng)中的實際配置情況與檢查表是否一致，并標注出不符合配置要求的情況。控制方法：手工；控制頻率：每年。6. 9 控制點 GCC-AQ-2.9 Key6. 9.1控制點描述信息安全管理負責人在操作系統(tǒng)管理員協(xié)助下，每年審核Inux服務(wù)器操作系統(tǒng)設(shè)置是否符合安 全配置方案。6. 9.2測試步驟a）訪談信息安全管理負責人，了解Linux服務(wù)器安全配置

39、的審核過程，獲得“Linux服務(wù)器安 全配置檢查表”，確定操作系統(tǒng)管理員。b）訪談操作系統(tǒng)管理員，了解Linux服務(wù)器的安全配置過程。c）檢查“Linux服務(wù)器安全配置檢查表”中關(guān)鍵配置項的填寫是否完整。d）檢查系統(tǒng)中的實際配置情況與檢查表是否一致，并標注出不符合配置要求的情況?？刂品椒ǎ菏止?；控制頻率：每年。控制點 GCC- AQ-2.10 Key6.10.1控制點描述進人機房人員需經(jīng)進人機房授權(quán)人員同意并按規(guī)定填寫“機房出人登記表”后進人機房。機房負 責人定期檢查機房出入登記情況。6.10. 2測試步驟a）訪談信息化工作管理部門負責人，了解機房數(shù)量等信息，然后訪談機房負責人，了解機房出 人

40、訪問的管理情況，獲得“機房出人登記表”。b）確定樣本總體：統(tǒng)計納人范圍的系統(tǒng)的相關(guān)機房出人活動的次數(shù)，作為樣本總體。c）確定樣本數(shù)量：根據(jù)抽樣原則隨機抽取樣本，并檢查相應(yīng)的“機房出人登記表”中的記錄。d）檢查臨時進人機房的人員是否在“機房出人登記表”中進行登記并說明進人的原因，是否有 授權(quán)人員的許可。 e）實地觀察人員進人機房是否按規(guī)定填寫“機房出人登記表”，是否有授權(quán)人員許可。 控制方法：手工；控制頻率：按需。控制點 GCC - AQ-2.11 Key6.11.1控制點描述信息安全管理負責人在網(wǎng)絡(luò)管理員協(xié)助下，定期（至少每三個月）審核防火墻配置是否符合安全 配置標準。6.11.2測試步驟a）

41、訪談信息安全管理負責人，了解防火墻安全配置的審核過程，獲得“防火墻安全配置檢查 表”，確定網(wǎng)絡(luò)髄員。b）訪談網(wǎng)絡(luò)管理員，j了解防火墻的安全配置過程。c）檢查“防火墻安全配置檢查表”中關(guān)鍵配置項的填寫是否完整。d）檢查系統(tǒng)中的實際配置情況與檢查表是否一致，并標注出不符合配置要求的情況。控制方法：手工；控制頻率：每季。控制點 GCC - AQ-2.12 Key6.12.1控制點描述“邊界網(wǎng)絡(luò)”是指用于企業(yè)內(nèi)部網(wǎng)絡(luò)與Internet.合作伙伴企業(yè)網(wǎng)絡(luò)或其他外部網(wǎng)絡(luò)進行連接的 特殊子網(wǎng)或網(wǎng)絡(luò)設(shè)備。各級信息化工作管理部門對邊界網(wǎng)絡(luò)出口進行登記，并報集團公司信息化工作主管部門審批。各 級信息化工作管理部門

42、需新增邊界網(wǎng)絡(luò)出口時，應(yīng)填寫“邊界網(wǎng)絡(luò)出口申請表”，報集團公司信息化 工作主管部門批準后執(zhí)行。6.12. 2測試步驟a）訪談網(wǎng)絡(luò)管理負責人，詢問是否有邊界網(wǎng)絡(luò)出口，獲得“邊界網(wǎng)絡(luò)出口登記表”。b）檢查“邊界網(wǎng)絡(luò)出口登記表”與實際外部網(wǎng)絡(luò)出口的情況是否一致，可以訪談一般業(yè)務(wù)人員 是否有其他的網(wǎng)絡(luò)出口。c）確定樣本總體：統(tǒng)計所有邊界網(wǎng)絡(luò)出口的數(shù)量，作為樣本總體。d）確定樣本數(shù)量：根據(jù)抽樣原則隨機選取樣本。e）檢查樣本出口是否經(jīng)過了集團公司信息化工作主管部門的審批。控制方法：手工；控制頻率：按需?？刂泣c GCC-AQ-2.13 Key6.13.1控制點描述網(wǎng)絡(luò)管理員每周檢查防火墻日志，填寫“防火墻日

43、志檢查記錄表”，并簽字確認。6.13. 2測試步驟a）訪談網(wǎng)絡(luò)管理員，了解防火墻日志的檢查過程。b）檢查“防火墻安全配置檢查表”中關(guān)鍵配置項的填寫是否完整。c）檢查系統(tǒng)中的實際配置情況與檢查表是否一致，并標注出不符合配置要求的情況?？刂品椒ǎ菏止?；控制頻率：每周。控制點 GCC-AQ-2.14 Key6.14.1控制點描述用戶申請遠程登錄賬號時，填寫“遠程登錄賬號申請表”并提交給用戶主管領(lǐng)導(dǎo)和網(wǎng)絡(luò)管理負責 人批準后方可實施。6.14.2 測試步驟 _a）訪談網(wǎng)絡(luò)管理負責人，了解遠程登錄的申請和審批等流程。b）訪談網(wǎng)絡(luò)管理員，了解遠程登錄的申請和審批等流程，獲得相關(guān)的“遠程登錄賬號申請表”。c）

44、確定樣本總體：統(tǒng)計全年納人范圍的系統(tǒng)的遠程登錄用戶數(shù)知 確保每個登錄用戶都有相應(yīng) 的“遠程登錄賬號申請表”。d）確定樣本數(shù)量：根據(jù)抽樣原則隨機抽取樣本，檢查相應(yīng)的“遠涅登錄賬號申請表”。e）檢查樣本表單記錄是否完整，是否有主管領(lǐng)導(dǎo)及網(wǎng)絡(luò)管理責任人的審批簽字。f）檢查樣本表單中用戶申請的賬號及權(quán)限與相應(yīng)系統(tǒng)中的實際情況是否一致。控制方法：手工；控制頻率：按需?？刂泣c GCC - AQ-2.15 Key6.15.1控制點描述網(wǎng)絡(luò)管理負責人每三個月審核用戶遠程登錄賬號是否合理，以及迠否存在無人使用的用戶賬號， 將審核結(jié)果填寫在“遠程登錄權(quán)限檢查表”中，并簽字確認。2測試步驟a）訪談網(wǎng)絡(luò)管理負責人，了

45、解遠程登錄的權(quán)限檢查管理情況。b）訪談信息安全管理負責人，獲得納人范圍的系統(tǒng)的“遠程登求權(quán)限檢查表”。c）檢查權(quán)限檢查表的填寫是否符合要求，是否有網(wǎng)絡(luò)管理負責人的審核簽字。d）檢查表單中的檢査結(jié)果與系統(tǒng)中的實際情況是否一致?？刂品椒ǎ菏止?；控制頻率：每季?？刂泣c GCC - AQ-2.16 Key6.16.1控制點描述安裝Windows操作系統(tǒng)的服務(wù)器，安裝統(tǒng)一的防病毒軟件，及時更新防病毒軟件的病毒庫。2 測試步驟a）訪談信息化工作主管部門負責人和信息安全管理負責人，了解防病毒的工作情況。b）確定樣本總體：統(tǒng)計服務(wù)器和個人計算機的數(shù)量。c）確定樣本數(shù)量：根據(jù)抽樣原則隨機抽取樣本。d）檢查樣本設(shè)

46、備是否安裝了統(tǒng)一的防病毒軟件。e）檢查樣本設(shè)備是否按照既定的更新頻率對防病毒軟件的病毒庫進行及時更新。控制方法：手工；控制頻率：按需?？刂泣c GCC-AQ-2.17 Key6.17.1控制點描述當?shù)谌叫枰L問中國石油應(yīng)用系統(tǒng)生產(chǎn)環(huán)境時，填寫“用戶賬號及權(quán)限管理表”，說明賬號使 用的時間和期限，并得到相關(guān)業(yè)務(wù)部門主管領(lǐng)導(dǎo)的批準。當訪問結(jié)束或訪問期限到期時，應(yīng)用系統(tǒng)管 理員及時收回相應(yīng)的訪問權(quán)限。2測試步驟a）訪談信息化工作管理部門負責人和應(yīng)用系統(tǒng)負責人，了解系統(tǒng)有無第三方人員的訪問，并確 定檢查人員。b）確定樣本總體：統(tǒng)計全年納人范圍的應(yīng)用系統(tǒng)的第三方用戶數(shù)量，并查看是否所有第三方用 戶都填寫

47、了 “用戶賬號及權(quán)限管理表”。c）確定樣本數(shù)量：根據(jù)抽樣原則隨機抽取樣本，并檢查相應(yīng)的“用戶賬號及權(quán)限管理表”。d）檢查樣本表單內(nèi)容的填寫是否符合要求，是否有主管領(lǐng)導(dǎo)的審批簽字。e）如果第三方用戶訪問期限到期，查看是否有對應(yīng)的管理表進行權(quán)限撤銷，查看撤銷日期與期 限是否一致。）檢查樣本表單中第三方用戶申請的賬號、權(quán)限與相應(yīng)系統(tǒng)中的實際情況是否一致?？刂品椒ǎ菏止ぃ豢刂祁l率：按需?？刂泣c GCC - AQ-2.186.18.1控制點描述在集團公司和地區(qū)公司設(shè)立信息安全管理負責人，對信息技術(shù)日常工作進行安全監(jiān)督和檢查。2測試步驟a）訪談信息安全管理負責人，了解信息技術(shù)日常工作安全監(jiān)督和檢查情況。b

48、）獲得相關(guān)信息技術(shù)日常安全相關(guān)文檔。c）檢查相關(guān)文檔是否符合安全要求?？刂品椒ǎ菏止?；控制頻率：按需?？刂泣c GCC- AQ-2.196.19.1控制點描述各級信息化工作管理部門制定相關(guān)安全培訓計劃，對員工適時進行信息安全教育和培訓以提高其 安全意識。2測試步驟a）訪談信息化工作主管部門負責人，了解對員工進行信息安全教育和培訓的具體情況。b）訪談員工對信息安全的了解程度。c）檢查培訓文檔的內(nèi)容、培訓時間、參加的部門，以及是否保存正式的培訓文檔。 控制方法：手工；控制頻率：按需。6. 20 控制點 GCC - AQ-2. 206. 20.1控制點描述信息化工作管理部門根據(jù)業(yè)務(wù)部門建立的“職責分離

49、表”，將其轉(zhuǎn)換成應(yīng)用系統(tǒng)職責分離矩陣。6. 20. 2測試步驟a）訪談信息化工作管理部門負責人，檢查“職責分離表”是否經(jīng)過業(yè)務(wù)部門負責人確認。b）訪談信息化工作管理部門負責人，了解“職責分離表”轉(zhuǎn)換成應(yīng)用系統(tǒng)職責分離矩陣的具體 情況。c）獲得“職責分離表”和系統(tǒng)職責分離矩陣，并檢查其是否符合職責分離的要求。控制方法：手工；控制頻率：按需。6. 21 控制點 GCC- AQ-2. 216. 21.1控制點描述建立正式的網(wǎng)絡(luò)、數(shù)據(jù)庫、操作系統(tǒng)及應(yīng)用系統(tǒng)的口令安全規(guī)則，系統(tǒng)用戶遵照該規(guī)定設(shè)置和維 護口令。6.21.2測試步驟a）訪談納入范圍的系統(tǒng)的系統(tǒng)管理員，了解使用口令安全規(guī)則的情況。b）訪談相關(guān)

50、用戶是否了解口令安全規(guī)則。c）要求相關(guān)用戶登錄相關(guān)系統(tǒng)以查看是否遵照口令安全規(guī)則來設(shè)置口令。控制方法：手工；控制頻率：按需。6. 22 控制點 GCC - AQ-2. 226. 22. 1控制點描述集團公司信息化工作主管部門負責編制服務(wù)器操作系統(tǒng)的安全配置方案，各級單位的操作系統(tǒng)管 理員根據(jù)集團公司的服務(wù)器操作系統(tǒng)安全配置方案進行設(shè)置。6. 22. 2測試步驟6. 22. 2.1集團公司a）訪談集團公司信息化工作主管部門負責人，了解是否編制服務(wù)器操作系統(tǒng)的安全配置方案。b）訪談集團公司操作系統(tǒng)管理員，檢查是否對集團公司的服務(wù)器操作系統(tǒng)的安全配置方案熟 悉，獲得相關(guān)表單，如“Windows服務(wù)器

51、安全配置檢查表”、“Unix服務(wù)器安全配置檢查 表”、“Linux服務(wù)器安全配置檢查表”。c）檢查服務(wù)器操作系統(tǒng)的配置是否與配置檢查表一致?？刂品椒ǎ菏止?；控制頻率：按需。6. 22. 2. 2 各級單位a）訪談各級單位信息化工作管理部門負責人，了解該單位操作系統(tǒng)管理員根據(jù)集團公司的服務(wù) 器操作系統(tǒng)安全配置方案設(shè)置的情況，明確操作系統(tǒng)管理員。b）訪談操作系統(tǒng)管理員，檢查是否對集團公司的服務(wù)器操作系統(tǒng)的安全配置方案熟悉，獲得相 關(guān)表單，如“Windows服務(wù)器安全配置檢查表”、“Unix服務(wù)器安全配置檢查表”、“Linux服 務(wù)器安全配置檢查表”。c）檢查服務(wù)器操作系統(tǒng)的配置是否與配置檢查表一致

52、?？刂品椒ǎ菏止?；控制頻率：按需。6. 23 控制點 GCC - AQ-2. 236. 23.1控制點描述機房負責人授權(quán)需要經(jīng)常進出機房的人員，并記錄在“進人機房授權(quán)人員名單”中。當進出機房 的人員職責發(fā)生改變時，及時調(diào)整其進人的權(quán)限，并更新“進入機房授權(quán)人員名單”。6. 23. 2測試步驟a）訪談機房負責人，了解經(jīng)常進出機房的授權(quán)情況并查看是否填寫“進人機房授權(quán)人員名單”。b）訪談機房負責人，當進出機房的人員職責發(fā)生改變時，是否及時調(diào)整其進人的權(quán)限并更新 “進人機房授權(quán)人員名單”。c）獲得“進人機房授權(quán)人員名單”，并檢查名單是否與實際情況相符?？刂品椒ǎ菏止?；控制頻率：按需。6. 24 控制

53、點 GCC-AQ-2. 246.24.1 控制點描述敏感的紙質(zhì)系統(tǒng)文件放置在帶鎖的文件柜中，包括：與財務(wù)報表相關(guān)系統(tǒng)的設(shè)計、開發(fā)、測試、 變更管理文檔、用戶使用手冊，以及網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的設(shè)計和變更文檔等。6. 24. 2測試步驟訪談文件保管人員，檢查是否將敏感文件保存于帶鎖的文件柜中?？刂品椒ǎ菏止ぃ豢刂祁l率：按需。6. 25 控制點 GCC - AQ - 2. 256.25.1控制點描述在內(nèi)部網(wǎng)絡(luò)的所有邊界網(wǎng)絡(luò)出口實施了有效的訪問控制措施。6.25.2測試步驟a）訪談網(wǎng)絡(luò)負責人，了解本單位邊界網(wǎng)絡(luò)出口情況是否與“邊界網(wǎng)絡(luò)出口登記表” 一致。b）訪談網(wǎng)絡(luò)管理員，是否在內(nèi)部網(wǎng)絡(luò)的所有邊界網(wǎng)絡(luò)出口

54、設(shè)立防火墻并實施了有效的訪問控制 措施。c）查看邊界網(wǎng)絡(luò)出口是否實施了有效的訪問控制措施?？刂品椒ǎ菏止?；控制頻率：按需。6. 26 控制點 GCC-AQ-2. 266. 26.1控制點描述遠程登錄應(yīng)通過安全可靠的方式進行，如果不能采用安全可靠的方式，則應(yīng)對傳輸?shù)臄?shù)據(jù)進行 加密。 觀Bi:七墨 II丄6. 26. 2測試步驟a）訪談網(wǎng)絡(luò)管理員，了解遠程登陸的方式，判斷是否使用安全可靠方式進行。如果不能采用安 全可靠的方式，是否對傳輸?shù)臄?shù)據(jù)進行加密。b）檢查實際情況中的遠程登陸方式是否可靠。不能采用安全可靠方式時，是否對傳輸?shù)臄?shù)據(jù)進 行加密?？刂品椒ǎ菏止ぃ豢刂祁l率：按需。6. 27 控制點 G

55、CC-AQ-2. 276. 27.1控制點描述定期（至少每月）進行病毒掃描。6.27. 2測試步驟a）訪談操作系統(tǒng)管理員，了解服務(wù)器是否定期對系統(tǒng)進行防病毒掃描并查看防病毒軟件歷史掃 描記錄。b）檢查一般員工，了解是否定期對計算機進行防病毒掃描并查看防病毒軟件歷史掃描記錄?？刂品椒ǎ菏止?；控制頻率：每月。6. 28 控制點 GCC - AQ-2. 286. 28.1控制點描述第三方如需要遠程登錄中國石油內(nèi)部網(wǎng)絡(luò)，應(yīng)事先提出申請并得到相關(guān)負責人的批準。28. 2測試步驟a）訪談應(yīng)用系統(tǒng)負責人，了解是否有第三方遠程登錄中國石油內(nèi)部應(yīng)用系統(tǒng)。b）查看“遠程登錄賬號申請表”，檢查是否經(jīng)相關(guān)負責人批準，

56、并核對是否與系統(tǒng)遠程登錄賬 號情況一致。控制方法：手工；控制頻率：按需。7項目建設(shè)管理測試控制點 GCC - JS - 3.1 Key7.1.1控制點描述項目經(jīng)理組織制定項目的總體計劃，包括項目范圍、進度管理 人員需求、溝通管理等基本 內(nèi)容。7.1.2測試步驟a）訪談項目經(jīng)理，了解項目計劃的制定流程、參與部門和人員，解項目計劃包含的內(nèi)容。b）訪談參與項目計劃制定的相關(guān)部門和人員，了解他們在其中的職責和具體參與的活動。c）檢查是否所有的項目都編制了正式的項目總體計劃。Id）統(tǒng)計與納人范圍的系統(tǒng)相關(guān)的項目，全部作為樣本進行測試。e）檢查樣本項目的總體計劃是否經(jīng)過了項目管理辦公室和項目指導(dǎo)委員會的簽

57、字審批。f）檢查項目總體計劃中是否包含項目范圍、進度管理、人員需求、溝通管理等基本內(nèi)容。 控制方法：手工；控制頻率：按需?？刂泣c GCC - JS - 3. 2 Key2.1控制點描述項目立項由項目建設(shè)單位根據(jù)自身業(yè)務(wù)需求提出申請，本單位信息化工作管理部門和規(guī)劃計劃部 門負責審批。7. 2.2測試步驟a）訪談信息化工作管理部門負責人，了解“立項申請報告”和可行性研究報告”的實際業(yè)務(wù) 流程，了解各個系統(tǒng)開發(fā)的時間，判斷哪些系統(tǒng)開發(fā)需要納人測試范圍。b）訪談所有業(yè)務(wù)部門相關(guān)工作人員，了解各個系統(tǒng)開發(fā)的時間，_次判斷哪些系統(tǒng)開發(fā)需要納 人測試范圍，了解關(guān)于該項目的申請和實施情況。c）檢查是否所有項目

58、的立項都經(jīng)過審批，是否都編制了 “立項申請報告”及“可行性研究報 止”口 Od）統(tǒng)計與納人范圍的系統(tǒng)相關(guān)的項目，全部作為樣本進行測試。e）檢查立項申請是否經(jīng)過了本單位信息化工作管理部門和規(guī)劃計劃部門負責人的簽字審批。f）檢查“可行性研究報告”是否包含項目目標與范圍、現(xiàn)狀與需求分析、技術(shù)方案、系統(tǒng)設(shè)計、 組織機構(gòu)與定員、實施計劃、實施投資估算、實施風險與效益分析等基本內(nèi)容。g）檢查“可行性研究報告”是否經(jīng)過了本單位信息化工作管理部門和規(guī)劃計劃部門負責人的簽， 字審批?？刂品椒ǎ菏止ぃ豢刂祁l率：按需?？刂泣c GCC - JS - 3. 3 Key7. 3.1控制點描述需求分析報告完成后，項目經(jīng)理組

59、織項目組與各相關(guān)方共同討論該報告，各方確認報告內(nèi)容后， 在報告上簽字。7.3.2測試步驟a）訪談項目經(jīng)理，了解“需求分析報告”的制定及審閱流程。b）訪談業(yè)務(wù)部門負責人，了解“需求分析報告”的制定及審閱流程。c）檢查是否所有的項目都編制了 “需求分析報告”。d）統(tǒng)計與納人范圍的系統(tǒng)相關(guān)的項目，全部作為樣本進行測試。e）檢查“需求分析報告”是否經(jīng)過審核并經(jīng)項目經(jīng)理和業(yè)務(wù)部門負責人的簽字確認。0檢查“需求分析報告”的內(nèi)容是否包含了業(yè)務(wù)項目的目標、背景、業(yè)務(wù)需求描述等基本 內(nèi)容。控制方法：手工；控制頻率：按需。4 控制點 GCC - JS - 3. 4 Key7. 4.1控制點描述相關(guān)方負責人對項目設(shè)

60、計說明書進行審閱和確認。7. 4.2測試步驟a）訪談相關(guān)方負責人，了解“設(shè)計說明書”的審閱流程，確定對“設(shè)計說明書”進行簽字確認 的人員。b）訪談對“設(shè)計說明書”簽字確認的人員，了解“設(shè)計說明書”的審閱流程及簽字確認的 情況。c）檢查是否所有的項目都編制了 “設(shè)計說明書”。d）統(tǒng)計與納人范圍的系統(tǒng)相關(guān)的項目，全部作為樣本進行測試。e）檢查“設(shè)計說明書”是否經(jīng)過審核并經(jīng)項目經(jīng)理和最終客戶的簽字確認。D檢查“設(shè)計說明書”的內(nèi)容是否包含了業(yè)務(wù)詳細需求，包括業(yè)務(wù)描述、業(yè)務(wù)流程、內(nèi)部控制 關(guān)鍵點等；功能說明，包括功能描述、主要功能模塊組成和相互關(guān)系；項目運行的軟硬件平 臺以及對客戶端軟硬件環(huán)境的特殊要求