信息系統(tǒng)審計(jì)指南(COBIT-中文版)

--.z..z.COBIT信息技術(shù)審計(jì)指南(34個(gè)控制目標(biāo))方案和組織〔選擇3/6/11〕定義戰(zhàn)略性的信息技術(shù)規(guī)劃〔PO1〕PO控制的IT過程：定義戰(zhàn)略性的IT規(guī)劃滿足的業(yè)務(wù)需求：既要謀求信息技術(shù)機(jī)遇和IT業(yè)務(wù)需求的最正確平衡，又要確保其進(jìn)一步地完成實(shí)現(xiàn)路線：地轉(zhuǎn)化成設(shè)置清晰并具體到短期目的的操作方案需要考慮的事項(xiàng)：IT如何支持業(yè)務(wù)目標(biāo)的明確定義技術(shù)解決方案和當(dāng)前根底設(shè)施的詳細(xì)清單追蹤技術(shù)市場(chǎng)適時(shí)的可行性研究和現(xiàn)實(shí)性檢查已有系統(tǒng)的評(píng)估在風(fēng)險(xiǎn)、進(jìn)入市場(chǎng)的時(shí)機(jī)、質(zhì)量方面，企業(yè)所處的位置需要高級(jí)管理層出錢、支持和必不可少的檢查信息規(guī)IT資源P效果*人員S效率*應(yīng)用*技術(shù)完整*可用*遵從可靠作為機(jī)構(gòu)長期和短期方案一局部的IT方面，高級(jí)管理層應(yīng)確保IT之中。IT的長期、短期方案應(yīng)被開發(fā)，確保IT的運(yùn)用同機(jī)構(gòu)的使命與業(yè)務(wù)開展戰(zhàn)略相結(jié)合。IT長期方案IT管理層和業(yè)務(wù)過程的所有者要對(duì)有規(guī)律地開發(fā)支持機(jī)構(gòu)總體使命和目的實(shí)現(xiàn)的ITIT用一種構(gòu)造化的方法，并建立一個(gè)標(biāo)準(zhǔn)的方案構(gòu)造。IT長期方案編制——方法與構(gòu)造管理層和業(yè)務(wù)過程的所有者應(yīng)建立并采用一種構(gòu)造化的方法。這樣可以制定出高質(zhì)量的方案，含蓋什么、誰、怎樣、什么時(shí)間和為什么等根本的問題。IT方案的編制過程應(yīng)考慮風(fēng)險(xiǎn)評(píng)估的結(jié)果，包括業(yè)務(wù)、機(jī)構(gòu)的模式及其變化、地理的分布、技術(shù)的開展、本錢、法律法規(guī)的要求、第三數(shù)據(jù)、應(yīng)用系統(tǒng)和技術(shù)體系構(gòu)造。已做出選擇的好處應(yīng)被明確地確定下來。IT長期和短期方案應(yīng)使績效指標(biāo)和目標(biāo)合并在一起。方案本身還應(yīng)參考其它的方案，比方機(jī)構(gòu)的質(zhì)量方案和信息風(fēng)險(xiǎn)管理方案。IT長期方案的變更IT管理層和業(yè)務(wù)過程所有者應(yīng)確保及時(shí)、準(zhǔn)確地修改IT長期方案的過程的到位，以適應(yīng)機(jī)構(gòu)長期方案的變化和IT環(huán)境的變化。管理層應(yīng)建立一個(gè)IT長期和短期方案開發(fā)和維護(hù)所需要的政策。IT功能的短期方案編制IT管理層和業(yè)務(wù)過程的所有者應(yīng)確保IT長期方案有規(guī)律地轉(zhuǎn)換成IT樣的短期方案應(yīng)確保適當(dāng)?shù)腎T功能資源以與IT長期方案容相一致的根底上來分IT的。IT方案的交流管理層應(yīng)確保IT長期和短期方案同業(yè)務(wù)過程所有者以及跨越機(jī)構(gòu)的其他相關(guān)部門人員的充分溝通。IT方案的監(jiān)控和評(píng)估IT加以考慮?，F(xiàn)有系統(tǒng)的評(píng)估在開發(fā)或變更戰(zhàn)略規(guī)劃或長期方案、IT方案之前，IT管理層應(yīng)按照業(yè)務(wù)自動(dòng)化的程度、功能性、穩(wěn)定性、復(fù)雜性、本錢、優(yōu)勢(shì)和劣勢(shì)，評(píng)估現(xiàn)有信息系統(tǒng)，以確定現(xiàn)有系統(tǒng)支持機(jī)構(gòu)業(yè)務(wù)需求的程度。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)展審計(jì)：獲得了解：訪談：首席執(zhí)行官〔CEO〕首席運(yùn)營官〔COO〕首席財(cái)務(wù)官〔CFO〕首席信息官〔CIO〕IT方案/指導(dǎo)委員會(huì)成員IT高級(jí)管理層和人力效勞職員獲得：與方案編制過程想關(guān)聯(lián)的政策和程序高級(jí)管理層的指導(dǎo)角色和責(zé)任機(jī)構(gòu)的目標(biāo)和長短期的方案IT的目標(biāo)和長短期的方案狀況的報(bào)告和方案/評(píng)估控制：考慮是否：IT或者業(yè)務(wù)的企業(yè)政策和程序選擇了一種構(gòu)造化的方案編制方法方法到位，以便明確地表達(dá)并能夠修改方案，起碼它們要包括：機(jī)構(gòu)的使命和目的支持機(jī)構(gòu)使命和目的的IT初始IT初始的機(jī)遇IT初始的可行性的研究IT初始的風(fēng)險(xiǎn)評(píng)估當(dāng)前和未來IT的最正確投資反映企業(yè)使命和目的變化的IT初始的再造數(shù)據(jù)應(yīng)用、技術(shù)和機(jī)構(gòu)可選擇戰(zhàn)略的評(píng)估機(jī)構(gòu)的變化、技術(shù)的開展、規(guī)章的要求、業(yè)務(wù)過程的再造、員工的安置、自己開發(fā)和外包，等等被考慮，并在方案編制過程中充分地從事長短期的IT能部門IT工程由IT方案編制方法中確定的適當(dāng)文檔所支持確保IT目標(biāo)和長短期方案持續(xù)地滿足機(jī)構(gòu)目標(biāo)和長短期方案的檢查點(diǎn)存在由過程所有者和高級(jí)管理層評(píng)價(jià)和完畢的IT方案發(fā)生估現(xiàn)有的信息系統(tǒng)的目標(biāo)和業(yè)務(wù)的過程，或者不能提供適當(dāng)?shù)耐暾?、平安和控制評(píng)定遵從性：測(cè)試：來自反映方案編制過程的IT方案編制/指導(dǎo)委員會(huì)的會(huì)議紀(jì)要方案編制方法的可交付使用物的存在，作為預(yù)先的規(guī)定相關(guān)IT的初始被包括在IT信息體系構(gòu)造、新系統(tǒng)開發(fā)或獲取、災(zāi)難恢復(fù)方案編制、新處理平臺(tái)的安裝，等等〕IT需求IT初始的技術(shù)含義已經(jīng)被確定最優(yōu)化當(dāng)前和將來IT投資的考慮已經(jīng)給出IT長短期方案與機(jī)構(gòu)的長短期方案和組織的需求保持一致方案已經(jīng)發(fā)生改變，以反映正在變化的條件IT長期方案定期轉(zhuǎn)化成短期方案存在實(shí)現(xiàn)方案的任務(wù)證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的戰(zhàn)略IT方案的基準(zhǔn)確保IT初始反映機(jī)構(gòu)的使命和目的的IT方案的詳細(xì)評(píng)價(jià)決定是否機(jī)構(gòu)之已經(jīng)知道的虛弱區(qū)域正在被確認(rèn)為方案當(dāng)中IT解決方案的一局部而加以改進(jìn)的IT方案的詳細(xì)評(píng)價(jià)確定：滿足機(jī)構(gòu)使命和目的的IT失敗與長期方案相匹配的短期方案的IT滿足短期方案的IT工程的失敗滿足本錢和時(shí)間準(zhǔn)則的IT失敗錯(cuò)過的業(yè)務(wù)機(jī)遇IT機(jī)遇定義信息體系構(gòu)造〔PO2控制的IT過程：定義信息體系構(gòu)造滿足的業(yè)務(wù)需求：實(shí)現(xiàn)路線：創(chuàng)立并維護(hù)一個(gè)業(yè)務(wù)信息模型，確義適當(dāng)?shù)南到y(tǒng)，以優(yōu)化信息的使用需要考慮的事項(xiàng)：自動(dòng)化的數(shù)據(jù)存貯和字典數(shù)據(jù)語法規(guī)則數(shù)據(jù)所有權(quán)和關(guān)鍵性/平安性程度分類表述業(yè)務(wù)的信息模型企業(yè)信息體系構(gòu)造標(biāo)準(zhǔn)信息信息規(guī)IT資源P效果人員S效率*應(yīng)S 技術(shù)S完整設(shè)施可用*數(shù)據(jù)遵從可靠信息體系構(gòu)造模型信息應(yīng)與需求保持一致，并應(yīng)以*種格式和期限進(jìn)展識(shí)別、獲取和交流，而這些息體系構(gòu)造模型應(yīng)與IT長期方案保持一致。企業(yè)數(shù)據(jù)字典和數(shù)據(jù)語法規(guī)則IT的職能應(yīng)確保包含機(jī)構(gòu)數(shù)據(jù)語法規(guī)則的企業(yè)數(shù)據(jù)字典的建立以及持續(xù)的更新。數(shù)據(jù)分類方案?jìng)€(gè)總體的分類框架，應(yīng)適當(dāng)定義各類別的訪問規(guī)則。平安等級(jí)對(duì)于上述確定的每一個(gè)"不需要保護(hù)〞級(jí)別以上的數(shù)據(jù)分類，管理層應(yīng)定義、執(zhí)計(jì)算和遠(yuǎn)程辦公環(huán)境的需要。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)展審計(jì)：獲得了解：訪談：首席信息官〔CIO〕IT方案/指導(dǎo)委員會(huì)成員IT高級(jí)管理層平安官獲得：與信息體系構(gòu)造相關(guān)的政策和程序信息體系構(gòu)造模型支持信息體系構(gòu)造模型的文檔，包括企業(yè)數(shù)據(jù)模型企業(yè)數(shù)據(jù)字典數(shù)據(jù)所有者政策高級(jí)管理層指導(dǎo)的角色和責(zé)任IT的目標(biāo)和長短期方案狀況報(bào)告和方案編制/評(píng)估控制：考慮是否：IT政策和程序選擇了數(shù)據(jù)字典的開發(fā)和維護(hù)風(fēng)險(xiǎn)，并且該模型變化之前，要確保高級(jí)管理層同意有一個(gè)過程用來保持?jǐn)?shù)據(jù)字典和數(shù)據(jù)語法規(guī)則處于最新狀態(tài)有一個(gè)媒介用來分發(fā)數(shù)據(jù)字典，確保開發(fā)區(qū)域的可達(dá)性并立即反映變化IT規(guī)則要被清晰和適當(dāng)?shù)囟x要為那些不包含數(shù)據(jù)分類標(biāo)識(shí)符的數(shù)據(jù)資產(chǎn)定義缺省的分類標(biāo)準(zhǔn)IT政策和程序要選擇以下容：數(shù)據(jù)的所有訪問以及數(shù)據(jù)的平安屬性每一個(gè)數(shù)據(jù)分類的平安等級(jí)要被定義訪問等級(jí)被定義，并且對(duì)于數(shù)據(jù)分類來說是適當(dāng)?shù)脑u(píng)定遵從性：測(cè)試：IT錢和風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)字典的任何修改以及數(shù)據(jù)字典上變化的影響，確保它們被有效地溝通各種運(yùn)作的應(yīng)用系統(tǒng)和開發(fā)工程，以確定數(shù)據(jù)字典被用作數(shù)據(jù)定義等級(jí)數(shù)據(jù)分類、平安等級(jí)、訪問等級(jí)和缺省的適當(dāng)性每一個(gè)數(shù)據(jù)分類都要清晰地定義：誰可以訪問誰對(duì)決定適當(dāng)?shù)脑L問級(jí)別負(fù)責(zé)所需訪問的明確批準(zhǔn)證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似機(jī)構(gòu)或適者國際標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的信息體系構(gòu)造模型的基準(zhǔn)針對(duì)關(guān)鍵元素的完整性，數(shù)據(jù)字典的詳細(xì)評(píng)價(jià)可的訪問與定義在IT政策和程序中的一致確定：IT方案中的矛盾過時(shí)的企業(yè)數(shù)據(jù)字典項(xiàng)和由于數(shù)據(jù)字典變化的不良的溝通喪失了時(shí)效性的數(shù)據(jù)語法規(guī)則...所有者不清楚和/或沒有適當(dāng)定義的數(shù)據(jù)項(xiàng)沒有被適當(dāng)定義的數(shù)據(jù)分類與"需要才能知道〞的原則不一致的數(shù)據(jù)平安等級(jí)決定技術(shù)方向〔PO3控制的IT過程：決定技術(shù)方向滿足的業(yè)務(wù)需求：實(shí)現(xiàn)路線：建立并維護(hù)技術(shù)根底設(shè)施方案，該方案，依據(jù)產(chǎn)品、效勞和交付機(jī)制，建立并管理技術(shù)能夠提供的清晰和現(xiàn)實(shí)的預(yù)期需要考慮的事項(xiàng)：通過可靠的來源，監(jiān)測(cè)技術(shù)開展引導(dǎo)概念的檢驗(yàn)風(fēng)險(xiǎn)、約束和機(jī)遇獲取的方案移植戰(zhàn)略和路線與供應(yīng)商的關(guān)系硬件和軟件的性能/價(jià)格比的變化信息規(guī)IT資源P效果人員S效率應(yīng)用*技術(shù)完整*設(shè)施可用數(shù)據(jù)遵從可靠技術(shù)根底設(shè)施方案編制IT的職能部門應(yīng)建立并有規(guī)律地更新與IT長期和短期方案保持一致的技術(shù)根底監(jiān)測(cè)未來的趨勢(shì)和法規(guī)IT在技術(shù)根底設(shè)施方案的開發(fā)和維護(hù)期間被考慮在。技術(shù)根底設(shè)施的不確定事件能力〕進(jìn)展系統(tǒng)地評(píng)估。硬件和軟件獲取方案IT方案的需求中。技術(shù)標(biāo)準(zhǔn)以技術(shù)根底設(shè)施方案為根底，IT管理層應(yīng)定義技術(shù)規(guī)以培養(yǎng)標(biāo)準(zhǔn)化的意識(shí)。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)展審計(jì)：獲得了解：訪談：首席執(zhí)行官〔CEO〕首席運(yùn)營官〔COO〕首席財(cái)務(wù)官〔CFO〕首席信息官〔CIO〕IT方案/指導(dǎo)委員會(huì)成員IT高級(jí)管理層獲得：與技術(shù)根底設(shè)施方案編制和監(jiān)控相聯(lián)系的政策和程序高級(jí)管理層指導(dǎo)角色和責(zé)任機(jī)構(gòu)目標(biāo)和長短期方案IT目標(biāo)和長短期方案IT硬件和軟件獲取方案技術(shù)根底設(shè)施方案技術(shù)標(biāo)準(zhǔn)狀況報(bào)告和方案編制/評(píng)估控制：考慮是否：的過程技術(shù)根底設(shè)施方案與IT長短期方案相比較和移植戰(zhàn)略等方面IT政策和程序確保選擇了評(píng)估和監(jiān)控當(dāng)前和將來的技術(shù)趨勢(shì)和規(guī)章條件的要求，并且在技術(shù)根底設(shè)施方案的開發(fā)和維護(hù)期間被考慮技術(shù)獲取的后勤和環(huán)境影響要被方案IT余、恢復(fù)力、足夠性和開展能力〕IT管理層評(píng)估正在出現(xiàn)的技術(shù)，并將適當(dāng)?shù)募夹g(shù)合并到當(dāng)前的IT根底設(shè)施之中被適當(dāng)?shù)嘏鷾?zhǔn)的實(shí)踐在技術(shù)根底設(shè)施方案中所描述的技術(shù)組成的技術(shù)標(biāo)準(zhǔn)是到位的評(píng)定遵從性：測(cè)試：IT管理層理解并使用技術(shù)根底設(shè)施方案技術(shù)根底設(shè)施方案上的變化，以確定相關(guān)的本錢和風(fēng)險(xiǎn)，這些變化要反映在IT長短期方案的變化中IT的IT根底設(shè)施之中IT管理層要理解系統(tǒng)評(píng)估技術(shù)方案意外的過程〔也就是說，根底設(shè)施的冗余、恢復(fù)力、充足性和開展能力〕為了充分地適應(yīng)目前的已安裝的硬件/軟件以及在當(dāng)前被批準(zhǔn)的增加的新的硬件/軟件，IT職能部門現(xiàn)有的物理環(huán)境硬件和軟件獲取方案遵從IT需求技術(shù)根底設(shè)施方案選擇利用當(dāng)前和將來的技術(shù)技術(shù)標(biāo)準(zhǔn)被遵循，并作為開發(fā)過程的一局部而被合成一體被允許的訪問與IT當(dāng)?shù)氖跈?quán)證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的技術(shù)根底設(shè)施方案編制的基準(zhǔn)針對(duì)關(guān)鍵元素的完整性，數(shù)據(jù)字典的詳細(xì)評(píng)價(jià)為敏感數(shù)據(jù)而定義的平安等級(jí)的詳細(xì)評(píng)價(jià)確定：信息系統(tǒng)和IT典的矛盾企業(yè)數(shù)據(jù)字典條款和數(shù)據(jù)語法規(guī)則的過時(shí)沒能反映技術(shù)根底設(shè)施方案需求的IT硬件和軟件的獲取方案與技術(shù)標(biāo)準(zhǔn)不一致的技術(shù)根底設(shè)施方案或IT硬件和軟件獲取方案數(shù)據(jù)字典中喪失的關(guān)鍵元素沒有按照同樣標(biāo)準(zhǔn)分類或者沒有平安等級(jí)的敏感數(shù)據(jù)定義信息技術(shù)的機(jī)構(gòu)及關(guān)系〔PO4控制的IT過程：定義IT滿足的業(yè)務(wù)需求：提供正確的IT效勞實(shí)現(xiàn)路線：合在一起，促進(jìn)戰(zhàn)略的實(shí)現(xiàn)，并規(guī)定有效的方向和適當(dāng)?shù)目刂菩枰紤]的事項(xiàng)：董事會(huì)層面上的IT職責(zé)管理層對(duì)于IT的指導(dǎo)和監(jiān)視IT與業(yè)務(wù)的結(jié)合關(guān)鍵決策過程中IT的參與機(jī)構(gòu)的靈活性平衡授權(quán)與監(jiān)視工作崗位的描述人員級(jí)別和關(guān)鍵的人員職責(zé)的別離信息規(guī)IT資源P效果*S效率應(yīng)用技術(shù)遵從可靠IT方案或指導(dǎo)委員會(huì)機(jī)構(gòu)的高級(jí)管理層應(yīng)指定一個(gè)方案或者指導(dǎo)委員會(huì)，來檢查IT的職能及其活動(dòng)。委員會(huì)的會(huì)員應(yīng)包括來自高級(jí)管理層、用戶管理層和IT職能方面的代表。委員會(huì)應(yīng)實(shí)行例會(huì)制度，并向高級(jí)管理層報(bào)告。IT職能的機(jī)構(gòu)設(shè)置在整個(gè)機(jī)構(gòu)機(jī)構(gòu)設(shè)置IT職能過程中，高級(jí)管理層應(yīng)確保其權(quán)力、關(guān)鍵時(shí)刻以及與IT解決方案和充IT夠幫助他們?cè)鰪?qiáng)意識(shí)、理解和技能。機(jī)構(gòu)績效的評(píng)價(jià)應(yīng)設(shè)置一個(gè)框架來評(píng)價(jià)機(jī)構(gòu)的機(jī)構(gòu)，以不斷地滿足目標(biāo)和變化的環(huán)境。角色和責(zé)任管理層應(yīng)確保機(jī)構(gòu)中所有人員都具有并理解他們?cè)谙嚓P(guān)信息系統(tǒng)中的角色和責(zé)質(zhì)量保證的責(zé)任管理層應(yīng)為ITITIT的布置以及質(zhì)量保證小組的職責(zé)和規(guī)模應(yīng)滿足機(jī)構(gòu)的需求。邏輯和物理平安的責(zé)任管理層應(yīng)為信息平安經(jīng)理正式地分配確保機(jī)構(gòu)信息資產(chǎn)物理和邏輯平安的責(zé)任，所有者和管理者管理層應(yīng)正式建立一個(gè)指定數(shù)據(jù)所有者和管理者的構(gòu)造。他們的角色和責(zé)任應(yīng)清楚地定義。數(shù)據(jù)和系統(tǒng)的所有者系統(tǒng)的交付/操作小組，將平安職責(zé)委派給平安管理員。然而，所有者仍然要保存對(duì)適當(dāng)平安尺度維護(hù)的責(zé)任。監(jiān)視高級(jí)管理層應(yīng)執(zhí)行適當(dāng)?shù)腎T職責(zé)別離高級(jí)管理層應(yīng)實(shí)施角色和職責(zé)的別離，防止單獨(dú)的個(gè)人擾亂*個(gè)關(guān)鍵的過程。管間責(zé)任別離的應(yīng)維護(hù)。數(shù)據(jù)錄入網(wǎng)絡(luò)管理系統(tǒng)管理變更管理平安管理平安審計(jì)IT人員配備員工需求評(píng)估應(yīng)有規(guī)律地執(zhí)行，以保證履行IT職能所需足夠數(shù)量能勝任的IT員IT行。評(píng)估結(jié)果應(yīng)盡快執(zhí)行，以確?，F(xiàn)在和將來員工的充足。IT員工工作和職位的描述管理層應(yīng)確保建立IT合在績效評(píng)估中使用。關(guān)鍵的IT人員IT管理層應(yīng)詳細(xì)說明和識(shí)別關(guān)鍵的IT人員。與員工簽約的政策和程序?yàn)榱薎T之中，管理層應(yīng)詳細(xì)說明和執(zhí)行相關(guān)的政策和程序。關(guān)系IT管理層應(yīng)采取必要的行動(dòng)，在IT職能部門和其它各種有利害關(guān)系的外部IT職能部門〔即用戶、供應(yīng)商、平安官員、風(fēng)險(xiǎn)管理者〕之間，建立并維持一個(gè)最正確的協(xié)調(diào)、交流、聯(lián)絡(luò)的構(gòu)造。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)展審計(jì)：獲得了解：訪談：首席執(zhí)行官〔CEO〕首席運(yùn)營官〔COO〕首席財(cái)務(wù)官〔CFO〕首席信息官〔CIO〕質(zhì)量保證官平安官IT方案/獲得：高級(jí)管理層方案/指導(dǎo)角色和責(zé)任機(jī)構(gòu)目標(biāo)和長短期方案IT目標(biāo)和長短期方案展示IT職能部門與及其它職能部門關(guān)系的機(jī)構(gòu)機(jī)構(gòu)圖與IT機(jī)構(gòu)和關(guān)系相關(guān)聯(lián)的政策和程序與質(zhì)量保證相關(guān)聯(lián)的政策和程序用來決定IT人員需求的政策和程序IT職能部門的機(jī)構(gòu)機(jī)構(gòu)圖IT職能部門的角色和責(zé)任IT狀況報(bào)告和方案/評(píng)估控制：考慮是否：來自高級(jí)管理層的政策聲明和溝通確保IT職能部門的獨(dú)立和權(quán)威IT方案/指導(dǎo)委員會(huì)的成員和職能部門已經(jīng)被定義，責(zé)任已經(jīng)被確定IT方案/指導(dǎo)委員會(huì)的章程使委員會(huì)的目的與機(jī)構(gòu)的目標(biāo)和長短期方案以及IT的目標(biāo)和長短期方案聯(lián)盟增強(qiáng)確定和解決信息管理問題的意識(shí)、理解和技能的過程到位政策選擇了滿足正在變化著的目標(biāo)和環(huán)境的機(jī)構(gòu)機(jī)構(gòu)的評(píng)估和修改的要求決定IT職能部門效果和承諾的過程和績效指標(biāo)存在高級(jí)管理層要確保角色和責(zé)任被執(zhí)行勾畫機(jī)構(gòu)所有個(gè)人有關(guān)信息系統(tǒng)部控制和平安的角色和責(zé)任的政策存在增加部控制和平安意識(shí)以及紀(jì)律的有規(guī)律的活動(dòng)存在質(zhì)量保證的職能部門和政策存在和專門技術(shù)確定時(shí)間資源并確保質(zhì)量保證測(cè)試的完成以及系統(tǒng)或者系統(tǒng)變化被執(zhí)行前的審批的質(zhì)量保證之的過程要到位應(yīng)正式地分配機(jī)構(gòu)圍的責(zé)任和平安管理員〕被要求執(zhí)行的信息平安的責(zé)任含蓋數(shù)據(jù)和系統(tǒng)所有者所有主要數(shù)據(jù)源和系統(tǒng)的政策和程序存在有規(guī)律地評(píng)價(jià)并維護(hù)數(shù)據(jù)和系統(tǒng)所有者變化的程序存在資源執(zhí)行其角色和責(zé)任的政策和程序存在以下一對(duì)職責(zé)要?jiǎng)e離：系統(tǒng)開發(fā)和維護(hù)系統(tǒng)開發(fā)和運(yùn)行系統(tǒng)開發(fā)/維護(hù)和信息平安運(yùn)行和數(shù)據(jù)控制運(yùn)行和用戶運(yùn)行和信息平安IT的人員安置和能力被維護(hù)，以確保其具有提供有效技術(shù)解決方案的能力IT職位〔工作〕描述的評(píng)估和再評(píng)估的政策和程序存在對(duì)于關(guān)鍵的過程，包括系統(tǒng)開發(fā)生命周期活動(dòng)〔需求、設(shè)計(jì)、開發(fā)、測(cè)試〕、信息平安、獲取和容量的方案編制，適當(dāng)?shù)慕巧拓?zé)任存在在實(shí)現(xiàn)機(jī)構(gòu)的目標(biāo)方面，使用適當(dāng)和有效的關(guān)鍵績效指標(biāo)和/或關(guān)鍵成功因素測(cè)量IT職能部門的結(jié)果控制咨詢者和其它契約人員活動(dòng)的IT護(hù)適用于已簽約IT效勞的適當(dāng)性的過程，并要與機(jī)構(gòu)的獲取政策一致調(diào)整、溝通和歸檔IT職能部門高級(jí)職員會(huì)外部興趣的過程存在評(píng)定遵從性：測(cè)試：IT方案/指導(dǎo)委員會(huì)檢查IT職能部門及其活動(dòng)以及解決行動(dòng)條款I(lǐng)T職能部門報(bào)告層次的適當(dāng)性在機(jī)構(gòu)關(guān)于為頂級(jí)管理層提供合作伙伴關(guān)系方面，IT職能部門的位置的有效性高級(jí)IT管理層了解用來監(jiān)控、測(cè)量和報(bào)告IT職能部門績效的過程用來評(píng)估績效的關(guān)鍵指標(biāo)際結(jié)果的過程為了來自期望的績效水平的任何重大差異，由管理層所采取的行動(dòng)用戶/所有者管理層評(píng)估IT職能部門提供滿足用戶/所有者需求的信息技術(shù)解決方案的反響速度和能力IT管理層知道其角色和責(zé)任涉及IT工程方案的測(cè)試和審批的質(zhì)量保證平安人員評(píng)價(jià)核心操作系統(tǒng)和應(yīng)用系統(tǒng)的適當(dāng)性信息平安政策和程序的充分了解和一致應(yīng)用出席信息平安和部控制培訓(xùn)的人員對(duì)于所有的信息資產(chǎn)，數(shù)據(jù)和系統(tǒng)所有權(quán)被定義數(shù)據(jù)和系統(tǒng)所有者審批數(shù)據(jù)和系統(tǒng)制造的變化所有數(shù)據(jù)和系統(tǒng)資產(chǎn)的訪問由資產(chǎn)的所有者審批與職位〔工作〕相聯(lián)系的權(quán)利和監(jiān)視的直線要與在職者的義務(wù)相稱職位〔工作〕描述清楚地描繪權(quán)利和責(zé)任兩者職位〔工作〕描述清楚地描述所需的業(yè)務(wù)、相關(guān)的和技術(shù)的資格職位〔工作〕已經(jīng)被準(zhǔn)確地溝通，并由個(gè)人所理解IT職能部門的職位〔工作〕描述包含已經(jīng)溝通給個(gè)人的關(guān)鍵績效指標(biāo)IT職員的義務(wù)和責(zé)任要對(duì)應(yīng)于已經(jīng)公布的職位〔工作〕描述和機(jī)構(gòu)的機(jī)構(gòu)圖兩者關(guān)鍵職位的職位〔工作〕描述到位，包括機(jī)構(gòu)關(guān)于信息系統(tǒng)、部控制和平安的訓(xùn)令職位〔工作〕描述的準(zhǔn)確性要與這些職位在職者的當(dāng)前責(zé)任相比較遵從IT職能部門有意的職責(zé)別離以及職責(zé)限制的種類和圍IT人員安置的維持能力作為責(zé)任、權(quán)利和績效標(biāo)準(zhǔn)的適當(dāng)性和透明度的根底，職位〔工作〕描述的適當(dāng)性合同管理的責(zé)任分配給了適當(dāng)?shù)娜藛T律師評(píng)價(jià)和評(píng)估，它們的同意意見要獲得合同包含適當(dāng)?shù)挠嘘P(guān)遵從性的條款：法人的平安和部控制政策、信息技術(shù)標(biāo)準(zhǔn)過程和/或構(gòu)造規(guī)定成功關(guān)系所必須的有效果和有效率的協(xié)調(diào)證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的機(jī)構(gòu)和關(guān)系的基準(zhǔn)決定由無效的IT方案/指導(dǎo)委員會(huì)所引起的機(jī)構(gòu)方面影響的詳細(xì)評(píng)價(jià)在處理信息系統(tǒng)問題和執(zhí)行技術(shù)解決方案方面，測(cè)量IT職能部門進(jìn)步的詳細(xì)評(píng)價(jià)評(píng)估機(jī)構(gòu)的機(jī)構(gòu)、人員和個(gè)人能力、分配的角色和責(zé)任、數(shù)據(jù)和系統(tǒng)所有權(quán)、監(jiān)視、職責(zé)別離等的詳細(xì)評(píng)價(jià)決定在滿足機(jī)構(gòu)需求的有效性方面的質(zhì)量保證職能部門的詳細(xì)評(píng)價(jià)的平安職能的詳細(xì)評(píng)價(jià)確定這些合同已經(jīng)由交易雙方適當(dāng)?shù)貓?zhí)行并且遵從機(jī)構(gòu)的標(biāo)準(zhǔn)合同術(shù)語的合同實(shí)例的詳細(xì)評(píng)價(jià)確定：由于IT方案/指導(dǎo)委員會(huì)無效監(jiān)視所引起的IT職能及其活動(dòng)的弱點(diǎn)導(dǎo)致IT職能無效果或無效率的機(jī)構(gòu)機(jī)構(gòu)的縫隙、重疊，等等不適當(dāng)?shù)臋C(jī)構(gòu)機(jī)構(gòu)、缺少的職能、不充足的人員、能力缺乏、不適當(dāng)?shù)慕巧拓?zé)任、數(shù)據(jù)和系統(tǒng)所有權(quán)的混亂、監(jiān)視的問題、缺乏職責(zé)別離，等等確實(shí)滿足質(zhì)量保證要求的正在開發(fā)、修改或者執(zhí)行的系統(tǒng)確實(shí)滿足平安〔或者是邏輯的，或者是物理的，或者是兩者兼顧〕需求的正在開發(fā)、修改或者執(zhí)行的系統(tǒng)不能滿足機(jī)構(gòu)的合同要求的合同IT職能部門和各種各樣其它有興趣的IT職能部門的外之間的無效協(xié)調(diào)和溝通管理信息技術(shù)投資〔PO5控制的IT過程：管理IT投資滿足的業(yè)務(wù)需求：保證資金并控制財(cái)務(wù)資源的支出實(shí)現(xiàn)路線：由業(yè)務(wù)決定的定期投資和運(yùn)作預(yù)算的建立和審批需要考慮的事項(xiàng)：資金的選擇清晰的預(yù)算所有者實(shí)際支出的控制收益的合理性和收益實(shí)現(xiàn)的責(zé)任制技術(shù)和應(yīng)用軟件的生命周期要與企業(yè)的業(yè)務(wù)戰(zhàn)略相結(jié)合效果的評(píng)估資產(chǎn)管理信息規(guī)IT資源P效果*人員P效率*應(yīng)用*技術(shù)完整*設(shè)施可用數(shù)據(jù)遵從S可靠年度IT運(yùn)營預(yù)算IT期方案，保證年度IT運(yùn)作預(yù)算的建立和批準(zhǔn)。應(yīng)調(diào)查資金的選擇。本錢和收益的監(jiān)控IT活動(dòng)衍IT職能部有規(guī)率地進(jìn)展報(bào)告并對(duì)其適當(dāng)性進(jìn)展評(píng)價(jià)。本錢和收益的合理性IT準(zhǔn)。由IT活動(dòng)衍生出來的收益也應(yīng)做同樣應(yīng)的分析。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)展審計(jì)：獲得了解：訪談：首席財(cái)務(wù)官〔CFO〕首席信息官〔CIO〕IT方案/指導(dǎo)委員會(huì)成員IT高級(jí)管理層獲得：與預(yù)算和本錢核算相聯(lián)系的機(jī)構(gòu)的政策、方法和程序與預(yù)算和本錢核算相聯(lián)系的IT政策和程序當(dāng)前和最近的以前年度IT職能部門的年度運(yùn)作預(yù)算機(jī)構(gòu)目標(biāo)和長短期方案IT目標(biāo)和長短期方案高級(jí)管理層方案/指導(dǎo)的角色和責(zé)任與差異監(jiān)控和控制相連接的差異報(bào)告及其它溝通狀況報(bào)告和方案/指導(dǎo)委員會(huì)會(huì)議紀(jì)要評(píng)估控制：考慮是否：IT預(yù)算的過程與機(jī)構(gòu)的過程一致IT長短期方案相一致的年度IT的準(zhǔn)備和適當(dāng)審批的政策和程序的到位預(yù)算過程要與在準(zhǔn)備階段起作用的IT職能部門的主要單位的管理層分享的本錢是以機(jī)構(gòu)的成本會(huì)計(jì)系統(tǒng)為根底的保證IT職能部門的效勞交付具有合理的本錢并遵守行業(yè)本錢的政策和程序到位評(píng)定遵從性：測(cè)試：在證明IT年度運(yùn)作方案是合理的方面，IT預(yù)算的支持是適當(dāng)?shù)腎T支出的種類是全面的、適當(dāng)?shù)牟⑦M(jìn)展了適當(dāng)?shù)姆诸惾粘Ｓ涗?、處理和?bào)告與IT職能部門活動(dòng)相聯(lián)系的本錢的系統(tǒng)是適當(dāng)?shù)谋惧X監(jiān)控過程充分地比較實(shí)際的預(yù)算由受影響的用戶組的管理層、IT職能部門以及機(jī)構(gòu)的高級(jí)管理層所進(jìn)展的本錢/效益分析被充分地評(píng)價(jià)用來監(jiān)控本錢的工具是有效的并適當(dāng)?shù)厥褂米C實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的預(yù)算和本錢的基準(zhǔn)詳細(xì)評(píng)價(jià)確定：沒有按照機(jī)構(gòu)的預(yù)算和長短期方案、IT長短期方案懂得IT預(yù)算沒有被捕捉到的IT職能部門的實(shí)際本錢溝通管理的目標(biāo)和方向〔PO6控制的IT過程：溝通管理的目標(biāo)和方向滿足的業(yè)務(wù)需求：確保用戶知曉并理解這些目標(biāo)實(shí)現(xiàn)路線：為實(shí)際及便于使用的用戶規(guī)則需要考慮的事項(xiàng)：清晰統(tǒng)一的使命連接業(yè)務(wù)目標(biāo)的技術(shù)方針行為/道德規(guī)的法規(guī)質(zhì)量承諾平安和部控制政策平安和部控制實(shí)踐實(shí)例引導(dǎo)持續(xù)的溝通程序提供指導(dǎo)和遵從性檢查信息規(guī)IT資源P效果*人員效率應(yīng)用技術(shù)S遵從可靠積極的信息控制環(huán)境包括平安和業(yè)務(wù)持續(xù)性方案，要給予具體的考慮。管理層在政策方面的責(zé)任機(jī)構(gòu)政策的溝通過程應(yīng)由一套使用靈活多變溝通手段的有效方案所支持。政策執(zhí)行資源它們構(gòu)筑到并成為運(yùn)作的一個(gè)完整組成局部。管理層還應(yīng)監(jiān)控政策執(zhí)行的及時(shí)性。政策的維護(hù)架和過程。遵從政策、程序和標(biāo)準(zhǔn)管理層應(yīng)確保適宜的程序設(shè)置到位，以判定每個(gè)人是否理解了執(zhí)行的政策和程應(yīng)由最高管理層來建立，并由實(shí)例來促進(jìn)其貫徹執(zhí)行。質(zhì)量義務(wù)IT和維持。平安和部控制框架政策管理層應(yīng)對(duì)開發(fā)并維護(hù)框架的政策付全部責(zé)任，這個(gè)框架設(shè)立機(jī)構(gòu)的總體平安和IT資源的保護(hù)和IT/管理層應(yīng)確保這些高層次的平安和部控制政策詳細(xì)說明了目的和目標(biāo)、管理構(gòu)知識(shí)產(chǎn)權(quán)管理層應(yīng)規(guī)定并執(zhí)行有關(guān)自行開發(fā)和簽約開發(fā)軟件的知識(shí)產(chǎn)權(quán)方面的書面政策。特定問題政策統(tǒng)或技術(shù)時(shí)，歸檔管理決策。IT平安意識(shí)的溝通應(yīng)通過一個(gè)ITIT平安政策溝通給每一個(gè)ITIT安重要性的完整理解。IT每個(gè)人對(duì)此都負(fù)有責(zé)任。IT平安意識(shí)教程應(yīng)代表管理層的觀點(diǎn)并被他們所支持。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)展審計(jì)：獲得了解：訪談：首席執(zhí)行官〔CEO〕首席運(yùn)營官〔COO〕首席財(cái)務(wù)官〔CFO〕首席信息官〔CIO〕平安官IT高級(jí)管理層IT方案/指導(dǎo)委員會(huì)成員獲得：IT策和程序高級(jí)管理層的指導(dǎo)角色和責(zé)任機(jī)構(gòu)的目標(biāo)和長短期方案IT的目標(biāo)和長短期方案狀況報(bào)告和方案/指導(dǎo)委員會(huì)會(huì)議紀(jì)要溝通程序評(píng)估控制：考慮是否：個(gè)積極的控制環(huán)境，并選擇如下的方面：完整倫理價(jià)值行為規(guī)平安和部控制人員的能力管理哲學(xué)和運(yùn)作風(fēng)格由例子說明頂級(jí)管理層促進(jìn)積極的控制環(huán)境管理層已經(jīng)承受了明確表達(dá)、開發(fā)、歸檔、發(fā)布、控制并有規(guī)律地評(píng)價(jià)治理總目標(biāo)和方向的政策的責(zé)任提供相關(guān)于管理層的積極的控制環(huán)境的正在進(jìn)展的溝通和培訓(xùn)的正式的認(rèn)知程序存在和程序存在確保個(gè)人理解被執(zhí)行的政策和程序，政策和程序被追隨的適當(dāng)?shù)某绦虻轿籌T標(biāo)，其產(chǎn)生要與機(jī)構(gòu)的哲學(xué)、政策和目標(biāo)相一致ITIT執(zhí)行求的程序存在高級(jí)管理層已經(jīng)承受了為總體的平安和部控制方法開發(fā)一個(gè)框架的全部責(zé)任之的圍、責(zé)任的分配以及遵從平安與部控制政策失敗相關(guān)的處分和懲戒的定義正式的平安和部控制政策確定機(jī)構(gòu)的部控制過程，包括諸如下述控制組件：控制環(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息和溝通監(jiān)控歸檔選擇特殊活動(dòng)、應(yīng)用、系統(tǒng)或技術(shù)的管理決策的發(fā)行的特定政策存在評(píng)定遵從性：測(cè)試：值、行為規(guī)、平安和部控制、人員的能力、管理哲學(xué)和操作風(fēng)格、問責(zé)制、所提供的關(guān)注和方向雇員已經(jīng)收到了行為規(guī)并理解它選擇機(jī)構(gòu)的部控制環(huán)境的政策的管理層的溝通正在發(fā)生正在發(fā)生地評(píng)價(jià)管理層的監(jiān)控努力正在確保適當(dāng)?shù)暮妥銐虻馁Y源被分配以便以及時(shí)的方式執(zhí)行機(jī)構(gòu)的政策機(jī)構(gòu)的遵從性IT程序相一致挑選的的IT管理、開發(fā)和運(yùn)行人員正在決定質(zhì)量哲學(xué)，相關(guān)的政策、程序和目標(biāo)被理解，并被IT職能部門所有層次所遵循質(zhì)量測(cè)量過程正在確保機(jī)構(gòu)目標(biāo)的滿足挑選的的管理成員在他們的評(píng)價(jià)責(zé)任之下被包括并理解平安和部控制活動(dòng)的容〔也就是說，例外報(bào)告、調(diào)和、比較，等等〕個(gè)人的角色、責(zé)任和權(quán)利在機(jī)構(gòu)的所有層次上被清楚地溝通和理解和、比較，等等〕，為管理層提供反響的過程正在發(fā)生檔和批準(zhǔn)管理層簽署證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的管理的信息控制框架和認(rèn)知程序的基準(zhǔn)與工程相關(guān)的、以本錢/效益分析為根底決定工程優(yōu)先順序和審批的、被批準(zhǔn)的平安和部控制實(shí)例的詳細(xì)評(píng)價(jià)確定：開場(chǎng)疑心管理層在貫穿機(jī)構(gòu)圍培育積極的部控制環(huán)境承諾的虛弱的控制框架選擇機(jī)構(gòu)的部控制環(huán)境，有效地溝通其政策的管理失敗的缺乏不是最近的標(biāo)準(zhǔn)、方向、政策和程序確保標(biāo)準(zhǔn)、方向、政策和程序貫穿機(jī)構(gòu)之遵守的不充分的管理遵從監(jiān)控IT職能部門在其質(zhì)量或其有效定義、歸檔、維持并溝通質(zhì)量哲學(xué)、政策和目標(biāo)能力承諾方面的缺乏在機(jī)構(gòu)的和/或IT職能部門的平安和部控制框架方面的弱點(diǎn)缺少所需要的選擇特定活動(dòng)、應(yīng)用或技術(shù)的特定問題的政策管理人力資源〔PO7控制的IT過程：管理人力資源滿足的業(yè)務(wù)需求：獲取和維持一個(gè)被激發(fā)和有能力的工作隊(duì)伍，最大化個(gè)人對(duì)IT過程的奉獻(xiàn)實(shí)現(xiàn)路線：公正和透明的人事管理實(shí)踐招募和升職意識(shí)的建立穿插培訓(xùn)和輪崗雇用、檢查和辭退程序技術(shù)和市場(chǎng)變化的響應(yīng)關(guān)鍵職位的繼任方案信息規(guī)IT資源P效果*人員P效率應(yīng)用技術(shù)遵從可靠人員招募和升職這些過程應(yīng)符合整個(gè)機(jī)構(gòu)在這些方面的政策和程序，比方雇用、方向、培訓(xùn)、評(píng)估、商討、晉升、報(bào)酬和訓(xùn)練等程序。管理層應(yīng)確保知識(shí)和技能需求被不斷地評(píng)估，并且要保證機(jī)構(gòu)能夠獲得一個(gè)到達(dá)機(jī)構(gòu)目標(biāo)所需要的相匹配技能的工作隊(duì)伍。人員的任職資格IT管理層應(yīng)有規(guī)律地查驗(yàn)執(zhí)行具體任務(wù)的職員，看看他們?cè)谶m當(dāng)?shù)慕逃?、培?xùn)和構(gòu)的認(rèn)證資格。角色和責(zé)任任。人員培訓(xùn)能水平的教育和培訓(xùn)程序應(yīng)被有規(guī)律地檢查。穿插培訓(xùn)或人員后備人員的調(diào)查程序IT敏感的崗位，直到他承受了平安調(diào)查。雇員工作績效的評(píng)估指導(dǎo)。工作的變更和終止被這樣的事件削弱。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)展審計(jì)：獲得了解：訪談：平安官IT經(jīng)理IT人力資源官挑選的IT挑選的IT人員挑選的與IT職能敏感位置相關(guān)的人員獲得：與人力資源管理相關(guān)的政策和程序職位描述、績效評(píng)估形式、培訓(xùn)和開展形式選擇職位的人員文件和人員評(píng)估控制：考慮是否：使用標(biāo)準(zhǔn)招募和選擇人員，以填補(bǔ)公開的職位人員職位所需資格的說明書考慮適用的專業(yè)部門的相關(guān)需求管理層和雇員承受工作能力過程培訓(xùn)程序要與機(jī)構(gòu)的已歸檔的關(guān)于教育和包含平安問題的總體認(rèn)識(shí)的最小需求相一致管理層應(yīng)承擔(dān)個(gè)人培訓(xùn)和職業(yè)開展的義務(wù)強(qiáng)制的不連續(xù)的假期政策發(fā)生機(jī)構(gòu)的平安檢查過程是適當(dāng)?shù)囊砸惶讟?biāo)準(zhǔn)的職位能力文件為根底，進(jìn)展雇員的評(píng)估，評(píng)估以定期的方式舉行工作變化和終止過程確保機(jī)構(gòu)資源的保護(hù)人力資源管理政策和程序與適用的法律和規(guī)章一致評(píng)定遵從性：測(cè)試：招募和/或晉升行動(dòng)、選擇標(biāo)準(zhǔn)反映職位需求的目標(biāo)和關(guān)聯(lián)對(duì)于他們的工作職責(zé)或者責(zé)任區(qū)域來講，人員具有運(yùn)作的足夠的知識(shí)職位〔工作〕描述存在，被評(píng)價(jià)并被保持是最新的個(gè)人文件包含雇員的機(jī)構(gòu)全部教育和總體認(rèn)識(shí)程序的了解的成認(rèn)書對(duì)于分配關(guān)鍵職能的適當(dāng)?shù)娜藛T，正在進(jìn)展的培訓(xùn)和教育發(fā)生IT人員已經(jīng)收到平安程序和技術(shù)方面的適當(dāng)培訓(xùn)IT管理層和職員知道并理解機(jī)構(gòu)的政策和程序平安檢查調(diào)查的程序與治理隱私的適用法律相一致業(yè)務(wù)目標(biāo)的知識(shí)按照人分配給關(guān)鍵的IT控制概念執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/的基準(zhǔn)IT確定：來自潛在/實(shí)際的工作候選人的缺陷/委屈的原因招募、調(diào)任、晉升和終止行動(dòng)中與下述相比的差異：沒有跟隨政策和程序行動(dòng)沒有由適當(dāng)?shù)墓芾韺铀炇鹦袆?dòng)沒有以工作說明書和人員資格為根底人員：資格不適當(dāng)培訓(xùn)和開展的機(jī)遇與能力的縫隙聯(lián)系的不緊缺少工作績效的評(píng)估，或者不能支持所占據(jù)的職位和/或正被執(zhí)行的任務(wù)與雇傭相關(guān)聯(lián)的平安調(diào)查沒能跟進(jìn)定期的平安調(diào)查沒能執(zhí)行不充分的培訓(xùn)程序和職員開展活動(dòng)沒有簽字的平安政策成認(rèn)書分配給培訓(xùn)和職員開展的不適當(dāng)?shù)念A(yù)算和時(shí)間職員執(zhí)行關(guān)鍵的職能，沒有指明假期和渡假天的人員時(shí)間報(bào)告確保遵從外部要求〔PO8控制的IT過程：確保遵從外部要求滿足的業(yè)務(wù)需求：履行法律的、法規(guī)的、契約的義務(wù)實(shí)現(xiàn)路線：識(shí)別和分析影響IT需要考慮的事項(xiàng)：法律、規(guī)章和合同追蹤法律和法規(guī)的開展對(duì)遵從性有規(guī)律的監(jiān)測(cè)平安和人類環(huán)境改造學(xué)隱私知識(shí)產(chǎn)權(quán)信息規(guī)IT資源P效果*人員效率*應(yīng)用技術(shù)完整 設(shè)可用*數(shù)據(jù)P遵從S可靠外部要求的評(píng)價(jià)IT括IT策略需要遵從或支持任何相關(guān)的第三方需求圍的決定。遵守外部要求的實(shí)務(wù)和程序防護(hù)和人類環(huán)境改造要求的遵從管理層應(yīng)確保遵從IT用戶和員工工作環(huán)境的防護(hù)及人類環(huán)境改造的標(biāo)準(zhǔn)。隱私、知識(shí)產(chǎn)權(quán)和數(shù)據(jù)流管理層應(yīng)確保遵從隱私、知識(shí)產(chǎn)權(quán)、過境數(shù)據(jù)流和密文規(guī)則適用于機(jī)構(gòu)的IT實(shí)踐。電子商務(wù)應(yīng)加強(qiáng)適當(dāng)?shù)目刂?，確保遵守當(dāng)?shù)胤珊蛧H上廣泛成認(rèn)的慣例。遵守保險(xiǎn)合同管理層應(yīng)確保保險(xiǎn)合同的要求被完全識(shí)別并不斷地被滿足。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)展審計(jì)：獲得了解：訪談：法律律師人力資源官IT職能部門的高級(jí)管理層獲得：有關(guān)政府和/或外部要求〔也就是說，法律、立法、指南、規(guī)章和標(biāo)準(zhǔn)〕相關(guān)于外部關(guān)系和外部要求評(píng)價(jià)、保護(hù)和安康〔包括工作環(huán)境改造學(xué)〕遵從問題、隱私問題、信息系統(tǒng)平安要求、密碼數(shù)據(jù)傳輸?shù)确矫妗獓蛧H國或國際與電子商務(wù)使用相關(guān)的"會(huì)計(jì)標(biāo)準(zhǔn)/與電子商務(wù)使用有關(guān)的征稅規(guī)定關(guān)于以下的標(biāo)準(zhǔn)、政策和程序：外部要求評(píng)價(jià)保護(hù)和安康〔包括工作環(huán)境改造學(xué)〕隱私平安數(shù)據(jù)被輸入、處理、存儲(chǔ)、輸出和傳輸?shù)拿舾械燃?jí)電子商務(wù)保險(xiǎn)如果適用的話，與所有電子貿(mào)易伙伴以及電子數(shù)據(jù)互換〔EDI〕賣主簽定的所有合同的拷貝件與保險(xiǎn)合同相關(guān)的所有IT職能的拷貝件法律律師有關(guān)保險(xiǎn)合同"uberrimaefodei〞〔以極度好的信念〕需求的建議〔Uberrimaefodei要求當(dāng)事人各方彼此之間最大限度地披露所有風(fēng)險(xiǎn)的事實(shí)材快一方不能執(zhí)行合同。〕評(píng)估控制：考慮是否：以下政策和程序到位：位以確保持續(xù)的遵從協(xié)調(diào)外部需求評(píng)價(jià)，確保校正行動(dòng)以及時(shí)的方式采取，保證遵從外部需求選擇適當(dāng)?shù)木S護(hù)、保護(hù)和安康的目標(biāo)確保適當(dāng)?shù)谋Ｗo(hù)和安康培訓(xùn)和教育提供應(yīng)所有的雇員監(jiān)控適用的保護(hù)和安康法律和規(guī)章的遵從性提供隱私方面足夠數(shù)量的方向/重點(diǎn)，以便所有的法律要求都落在其圍之通知保險(xiǎn)公司IT環(huán)境變化的所有材料確保遵從保險(xiǎn)合同的要求當(dāng)新的/修改的保險(xiǎn)合同參加時(shí)，確保更新材料平安程序與所有的法律要求一致，并被充分地選擇，包括：口令保護(hù)和限制訪問軟件授權(quán)過程?終端平安措施數(shù)據(jù)加密措施防火墻控制病毒保護(hù)評(píng)定遵從性：測(cè)試：外部要求評(píng)價(jià)是：當(dāng)前、全部和全面的關(guān)于法律、政府和規(guī)章問題導(dǎo)致迅速的校正行動(dòng)保護(hù)和安康評(píng)價(jià)在IT職能部門之采取，確保遵從外部要求不能遵從保護(hù)和安康標(biāo)準(zhǔn)的問題區(qū)域被校正IT遵從已歸檔的隱私和平安政策和程序跨越國界傳輸?shù)臄?shù)據(jù)不能侵犯輸出國的法律現(xiàn)有的帶有電子商務(wù)貿(mào)易合作伙伴的合同充分地選擇機(jī)構(gòu)政策和程序中詳細(xì)說明的要求現(xiàn)有的保險(xiǎn)合同充分地選擇機(jī)構(gòu)政策和程序中詳細(xì)說明的要求用的加密遵守規(guī)章在那里規(guī)章或部程序要求*項(xiàng)數(shù)據(jù)項(xiàng)被高度地保護(hù)和/或加密〔例如，銀行的號(hào)、稅款文件號(hào)、口令、軍事情報(bào)〕，這樣的保護(hù)/加密正在提供應(yīng)這樣的數(shù)據(jù)由機(jī)構(gòu)所布置的實(shí)際EDI的過程，確保遵從機(jī)構(gòu)的政策和程序，遵從個(gè)人的電子商務(wù)貿(mào)易伙伴合同〔如果適用的話，還包括EDI賣主合同〕證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的外部需求遵從性、EDI活動(dòng)和保險(xiǎn)合同要求的基準(zhǔn)確保校正行動(dòng)已經(jīng)被采取或者正在被執(zhí)行的外部要求評(píng)價(jià)文件的詳細(xì)評(píng)價(jià)/要么外部規(guī)章定義〕正在被給予適當(dāng)?shù)钠桨埠兔孛鼙Ｗo(hù)確定：不能由機(jī)構(gòu)遵循的外部要求在響應(yīng)外部要求評(píng)價(jià)方面，重大的未解決/未更正的行動(dòng)在工作環(huán)境中不能被選擇的保護(hù)和安康〔包括工作環(huán)境改造學(xué)〕的風(fēng)險(xiǎn)與數(shù)據(jù)流和/或位于國境外的數(shù)據(jù)流相關(guān)的秘密和平安弱點(diǎn)電子商務(wù)的故障與貿(mào)易伙伴相關(guān)于通信過程、交易信息、平安和/或數(shù)據(jù)存儲(chǔ)的合同中的弱點(diǎn)在貿(mào)易伙伴信任關(guān)系方面的弱點(diǎn)保險(xiǎn)覆蓋的弱點(diǎn)/失誤不遵從保險(xiǎn)合同條款評(píng)估風(fēng)險(xiǎn)〔PO9控制的IT過程：評(píng)估風(fēng)險(xiǎn)滿足的業(yè)務(wù)需求：IT進(jìn)而支持管理決策實(shí)現(xiàn)路線：減輕風(fēng)險(xiǎn)需要考慮的事項(xiàng)：不同種類的IT風(fēng)險(xiǎn)〔技術(shù)、平安、持續(xù)性、法規(guī)等〕定義并溝通風(fēng)險(xiǎn)的容忍程度根本原因分析和風(fēng)險(xiǎn)頭腦風(fēng)暴會(huì)議定量和〔或〕定性的風(fēng)險(xiǎn)測(cè)量風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)行動(dòng)方案及時(shí)的再評(píng)估信息規(guī)IT資源P效果*人S效率*應(yīng)用P *技術(shù)P完整*設(shè)施P可用*數(shù)據(jù)S遵從S可靠業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估進(jìn)展更新。風(fēng)險(xiǎn)評(píng)估的途徑造化的方法和熟練的風(fēng)險(xiǎn)評(píng)估師是風(fēng)險(xiǎn)評(píng)估的質(zhì)量保證。風(fēng)險(xiǎn)確認(rèn)風(fēng)險(xiǎn)測(cè)量風(fēng)險(xiǎn)評(píng)估途徑應(yīng)確保風(fēng)險(xiǎn)辨識(shí)信息的分析是由被檢查區(qū)域暴露出風(fēng)險(xiǎn)的定量和〔或〕定性的測(cè)量造成的，機(jī)構(gòu)的風(fēng)險(xiǎn)承受能力也應(yīng)被評(píng)估。風(fēng)險(xiǎn)行動(dòng)方案風(fēng)險(xiǎn)評(píng)估途徑應(yīng)規(guī)定一個(gè)風(fēng)險(xiǎn)行動(dòng)方案，以確保本錢/效益控制和平安措施在持等方面，確定風(fēng)險(xiǎn)策略。風(fēng)險(xiǎn)承受的風(fēng)險(xiǎn)應(yīng)由適當(dāng)?shù)谋ｋU(xiǎn)工程、簽約協(xié)商的責(zé)任和自我保險(xiǎn)抵消。平安裝置的選擇當(dāng)尋求一個(gè)合理、適當(dāng)和相稱的平安和控制系統(tǒng)時(shí)，具有最高的投資回報(bào)率〔ROI風(fēng)險(xiǎn)評(píng)估義務(wù)在部控制的設(shè)計(jì)和實(shí)施IT勵(lì)風(fēng)險(xiǎn)評(píng)估作為一個(gè)提供信息的重要工具。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)展審計(jì)：獲得了解：訪談：IT職能部門的高級(jí)管理層挑選的IT人員挑選的風(fēng)險(xiǎn)管理人員IT效勞的關(guān)鍵用戶獲得：相關(guān)于風(fēng)險(xiǎn)評(píng)估的政策和程序業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估文檔操作風(fēng)險(xiǎn)評(píng)估文檔IT風(fēng)險(xiǎn)評(píng)估文檔詳細(xì)資料，以此為根底可以測(cè)量風(fēng)險(xiǎn)和風(fēng)險(xiǎn)的暴露挑選出來的風(fēng)險(xiǎn)評(píng)估人員的個(gè)人檔案覆蓋殘留風(fēng)險(xiǎn)的保險(xiǎn)政策專家意見的結(jié)果同等團(tuán)體評(píng)價(jià)評(píng)估控制：考慮是否：決定怎樣將風(fēng)險(xiǎn)管理到一個(gè)可承受水平的根底險(xiǎn)評(píng)估程序到位全機(jī)構(gòu)圍的目標(biāo)被包含在風(fēng)險(xiǎn)確認(rèn)的過程中在系統(tǒng)處理活動(dòng)中監(jiān)控變化的程序決定以及時(shí)的方式調(diào)整系統(tǒng)的風(fēng)險(xiǎn)和暴露存在風(fēng)險(xiǎn)評(píng)估正在進(jìn)展的監(jiān)控和改善以及減輕控制的創(chuàng)造過程的程序風(fēng)險(xiǎn)評(píng)估文檔包括：風(fēng)險(xiǎn)評(píng)估方法的描述重大披露和相應(yīng)風(fēng)險(xiǎn)確實(shí)認(rèn)被選擇的風(fēng)險(xiǎn)及相應(yīng)的披露風(fēng)險(xiǎn)評(píng)估人員的資格是足夠的識(shí)別和測(cè)量風(fēng)險(xiǎn)、威脅和披露的正式的定量和/或定性〔或兩者結(jié)合〕的方法存在計(jì)算和其它方法被用在風(fēng)險(xiǎn)、威脅和披露的測(cè)量中風(fēng)險(xiǎn)行動(dòng)方案被用在執(zhí)行減輕風(fēng)險(xiǎn)、威脅和披露的適當(dāng)?shù)臏y(cè)量上剩余風(fēng)險(xiǎn)的承受，考慮：機(jī)構(gòu)的政策風(fēng)險(xiǎn)識(shí)別和測(cè)量合并在風(fēng)險(xiǎn)評(píng)估方法本身的不確定性含蓋抵消剩余風(fēng)險(xiǎn)的保險(xiǎn)選擇最大化返回投資的控制測(cè)量的正式的定量和/或定性的方法存在檢測(cè)、預(yù)防、糾正及所使用恢復(fù)措施之間的平衡的存在溝通控制測(cè)量器目的的正式程序存在評(píng)定遵從性：測(cè)試：風(fēng)險(xiǎn)評(píng)估框架按照風(fēng)險(xiǎn)評(píng)估被有規(guī)律地更新以減少風(fēng)險(xiǎn)到一個(gè)可承受的水平風(fēng)險(xiǎn)評(píng)估文檔遵守風(fēng)險(xiǎn)評(píng)估框架，并且文檔要適當(dāng)?shù)販?zhǔn)備和維持IT管理層和人員要明白并參與到風(fēng)險(xiǎn)評(píng)估的過程中管理層理解與風(fēng)險(xiǎn)相關(guān)的因素和威脅的可能性有關(guān)人員理解并正式承受剩余風(fēng)險(xiǎn)脅的每一個(gè)事件風(fēng)險(xiǎn)行動(dòng)方案是最新的，并包含本錢/效益的控制以及減輕風(fēng)險(xiǎn)暴露的平安措施從最高到最低的優(yōu)先權(quán)存在，對(duì)每一個(gè)風(fēng)險(xiǎn)來講，適當(dāng)?shù)捻憫?yīng)存在：方案的預(yù)防性減輕控制第二級(jí)的偵查控制第三位的糾正控制風(fēng)險(xiǎn)及相對(duì)的控制的情節(jié)被歸檔、流通并與適當(dāng)?shù)娜藛T溝通包括：火災(zāi)、洪水、地震、龍卷風(fēng)、恐懼活動(dòng)、其它不可預(yù)防的自然災(zāi)害雇員信用責(zé)任的破裂業(yè)務(wù)中斷——收入的喪失，客戶的喪失，等等通常沒有被上述IT和業(yè)務(wù)風(fēng)險(xiǎn)/證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的風(fēng)險(xiǎn)評(píng)估框架的基準(zhǔn)用于識(shí)別、測(cè)量和減輕風(fēng)險(xiǎn)到剩余風(fēng)險(xiǎn)可承受水平的風(fēng)險(xiǎn)評(píng)估方法的詳細(xì)評(píng)價(jià)確定：沒有被識(shí)別的風(fēng)險(xiǎn)沒有被測(cè)量的風(fēng)險(xiǎn)沒有被選擇/管理到可承受水平的風(fēng)險(xiǎn)過時(shí)的風(fēng)險(xiǎn)評(píng)估和/或風(fēng)險(xiǎn)評(píng)估中過時(shí)的信息有缺陷的風(fēng)險(xiǎn)、威脅和暴露的定量和/或定性測(cè)量不能提供本錢/剩余風(fēng)險(xiǎn)的正式承受的缺乏不適當(dāng)?shù)谋ｋU(xiǎn)覆蓋管理工程〔PO10控制的IT過程：管理工程滿足的業(yè)務(wù)需求：確定優(yōu)先順序，按時(shí)交付并控制在預(yù)算實(shí)現(xiàn)路線：和應(yīng)用健全的工程管理技術(shù)需要考慮的事項(xiàng)：工程的業(yè)務(wù)管理層發(fā)起人地位程序管理工程管理能力用戶參與任務(wù)細(xì)分、里程碑確定和階段審準(zhǔn)責(zé)認(rèn)的分配里程碑和可交付的嚴(yán)格追蹤費(fèi)用和人力預(yù)算，平衡部和外部資源質(zhì)量保證方案和方法信息規(guī)IT資源P效果*P效率**技術(shù)完整*設(shè)施可用數(shù)據(jù)遵從可靠工程管理構(gòu)架管理層應(yīng)建立一個(gè)總體的工程管理框架，定義管理工程的圍和邊界，以及所承擔(dān)工程中采納和應(yīng)用的工程管理方法。方法應(yīng)至少涵蓋責(zé)任的分配、任務(wù)的劃分、時(shí)間和資源的預(yù)算、里程碑、檢查點(diǎn)和審準(zhǔn)。工程初始階段用戶部門的參與的用戶部門管理層的參與。工程組成員資格和責(zé)任權(quán)力。工程定義定義每一個(gè)實(shí)施工程的特點(diǎn)和圍。工程審批了相關(guān)的可行性研究報(bào)告，以此作為是否進(jìn)展這個(gè)工程的決策依據(jù)。工程階段審批機(jī)構(gòu)的工程管理框架應(yīng)對(duì)指派的用戶和IT一階段工作開場(chǎng)之前，審批工程周期的每一階段的工作完成情況。工程主方案提供允許管理層測(cè)量進(jìn)度的信息。系統(tǒng)質(zhì)量保證方案的一局部，并且被所有有關(guān)當(dāng)事人審閱和同意。保證方法的方案編制改的系統(tǒng)的合格鑒定，并確保部控制和平安符合相關(guān)的要求。正式的工程風(fēng)險(xiǎn)管理管理層應(yīng)執(zhí)行一個(gè)正式的風(fēng)險(xiǎn)管理程序，排除或最小化每個(gè)單個(gè)工程相關(guān)的風(fēng)險(xiǎn)〔就是對(duì)于那些潛在的引起有害變化的區(qū)域或者事件，進(jìn)展辨識(shí)和控制〕。測(cè)試方案案。培訓(xùn)方案案。實(shí)施后評(píng)價(jià)方案系統(tǒng)的實(shí)施后檢查方案的開發(fā)，以確認(rèn)工程是否產(chǎn)生預(yù)期的收益。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)展審計(jì)：獲得了解：訪談：質(zhì)量經(jīng)理工程質(zhì)量經(jīng)理/工程所有者/發(fā)起人工程組組長質(zhì)量保證協(xié)調(diào)者平安官IT方案/指導(dǎo)委員會(huì)成員IT管理層獲得：相關(guān)與工程管理框架的政策和程序相關(guān)于工程管理方法的政策和程序相關(guān)于質(zhì)量保證方案的政策和程序相關(guān)于質(zhì)量保證方法的政策和程序軟件工程主方案〔SPMP〕軟件質(zhì)量保證方案〔SQAP〕工程狀態(tài)報(bào)告狀態(tài)報(bào)告和方案/工程質(zhì)量報(bào)告評(píng)估控制：考慮是否：工程管理框架：定義管理工程的圍和邊界先順序定義被采用并被應(yīng)用到每一個(gè)所承擔(dān)工程的工程管理方法，包括：工程方案編制人員安置責(zé)任和權(quán)利的分配任務(wù)的分解時(shí)間和資源的預(yù)算里程碑檢查點(diǎn)批準(zhǔn)是完整的和當(dāng)前的有者/發(fā)起者〕參與管理規(guī)定一個(gè)根底，以此將職員人員分配到工程中定義工程組成員的責(zé)任和權(quán)利在工程設(shè)計(jì)開場(chǎng)之前，規(guī)定一個(gè)清晰的書面定義工程種類和圍的聲明的創(chuàng)造規(guī)定一個(gè)初始的工程定義文檔，其包括工程清晰的種類和圍聲明包括承擔(dān)工程的以下原因：被補(bǔ)救的問題或者被改進(jìn)的過程的述按照提高實(shí)現(xiàn)機(jī)構(gòu)目的的能力表達(dá)的工程需求的述在相關(guān)現(xiàn)有的系統(tǒng)中的缺乏的分析能夠增長經(jīng)濟(jì)或者操作效率的機(jī)遇工程滿意的部控制和平安的要求批準(zhǔn)，包括：工程的環(huán)境——硬件、軟件、電信工程的圍——首先和接下來的實(shí)施中所包括的和排除在外的工程的限制——工程期間，我們必須要保存的，即使短期的改進(jìn)機(jī)遇似乎出現(xiàn)有工程的發(fā)起者或所有者/發(fā)起者實(shí)現(xiàn)的收益和本錢描繪方式，以此，先于工程下一階段的進(jìn)展〔也就是說，編程、系統(tǒng)測(cè)試、交系統(tǒng)的設(shè)計(jì)，等等〕的每一個(gè)階段都被批準(zhǔn)需要每一個(gè)工程具有SPMP程時(shí)間幀〔里程碑〕和預(yù)算的控制遵守機(jī)構(gòu)的SPMP標(biāo)準(zhǔn)，假設(shè)不存在，要使用適當(dāng)?shù)臉?biāo)準(zhǔn)SQAPSPMP及方正式地評(píng)價(jià)和同意為每一個(gè)開發(fā)、實(shí)施和修改工程，提供測(cè)試方案的開發(fā)為每一個(gè)開發(fā)、實(shí)施和修改工程，提供足夠的培訓(xùn)所有者/發(fā)起者人員和IT人并報(bào)告給高級(jí)管理層工程的里程碑和本錢超過預(yù)算的時(shí)間段和數(shù)量的局部由適當(dāng)?shù)臋C(jī)構(gòu)管理層批準(zhǔn)SQAP遵守機(jī)構(gòu)的SQAP標(biāo)準(zhǔn)，假設(shè)不存在，標(biāo)準(zhǔn)選擇上述的SQAP保證任務(wù)支持新的或修改的系統(tǒng)的鑒定資格，并確保部控制和平安特征滿足需求所有工程所有者/發(fā)起者都要輸入到SPMP和SQAP兩者之中，并且所有的都要同意最終的釋放物實(shí)施以后的過程是確保新的或者修改的信息系統(tǒng)釋放方案好的收益的工程管理框架的完整的一局部評(píng)定遵從性：測(cè)試：工程管理方法和所有的需求被一致地追隨工程的種類和圍的書面定義符合標(biāo)準(zhǔn)模板所有者//的種類和圍由工程管理框架所規(guī)定分配人員給工程、工程組成員的責(zé)任和權(quán)利的定義被遵循相關(guān)的可行性研究已經(jīng)準(zhǔn)備并獲批準(zhǔn)對(duì)于開發(fā)工程的每一個(gè)階段，適當(dāng)?shù)乃姓?發(fā)起者和IT管理層的批準(zhǔn)被獲得作為SPMP所要求的那樣，工程的每一個(gè)階段正在被完成并適當(dāng)?shù)睾炇餝PMP和SQAP按照工程管理框架開發(fā)和審批SPMP和SQAP被詳細(xì)說明并足夠有效被確定的強(qiáng)制活動(dòng)/報(bào)告事實(shí)上已經(jīng)被執(zhí)行/產(chǎn)生〔也就是說，"執(zhí)行指導(dǎo)委員會(huì)會(huì)議〞、工程會(huì)議、或者類似在這些會(huì)議間隙舉行的會(huì)議，會(huì)議的紀(jì)要被獲得并分發(fā)給有關(guān)的當(dāng)事人，報(bào)告被準(zhǔn)備并分發(fā)給有關(guān)的當(dāng)事人〕按照工程管理框架，測(cè)試方案已經(jīng)被開發(fā)并批準(zhǔn)，并且是詳細(xì)的和足夠特效的在測(cè)試方案中所確定的強(qiáng)制活動(dòng)/報(bào)告事實(shí)上已經(jīng)被執(zhí)行/產(chǎn)生用于工程的資格鑒定標(biāo)準(zhǔn)存在，并且：得自于目的和績效指標(biāo)得自于協(xié)商一致的定量需求確保部控制和平安需求被滿足與本質(zhì)的"什么〞及與之對(duì)應(yīng)的武斷的"怎樣〞相聯(lián)系定義一個(gè)正式的通過/失敗過程具有在有限的時(shí)間周期目標(biāo)示的能力不能簡(jiǎn)單地重述設(shè)計(jì)文檔的需求工程風(fēng)險(xiǎn)管理程序被用來識(shí)別和消除，或者起碼最小化與工程相聯(lián)系的風(fēng)險(xiǎn)測(cè)試方案被遵循，書面的測(cè)試評(píng)價(jià)由所有者/發(fā)起人所創(chuàng)造，編程和質(zhì)量保證職能部門、簽署過程遵照預(yù)定的培訓(xùn)被影響的所有者/發(fā)起者和IT職能部門人員的書面方案被準(zhǔn)備，允許充足的時(shí)間完成所要求的培訓(xùn)活動(dòng)，該方案用于工程執(zhí)行后的評(píng)價(jià)方案被遵從和為該工程所設(shè)計(jì)證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的工程管理框架的基準(zhǔn)以下詳細(xì)的評(píng)價(jià)：決定所有者/工程主方案，包括：系統(tǒng)功能的定義可行性，工程給定的約束系統(tǒng)本錢和收益確實(shí)定系統(tǒng)控制的適當(dāng)性在其它所有者/發(fā)起者系統(tǒng)方面的影響和集成所有者/發(fā)起者資源〔人員和資金〕的承諾工程參與者的責(zé)任和權(quán)利的定義可承受的標(biāo)準(zhǔn)既是合意的又是可實(shí)現(xiàn)的在批準(zhǔn)各種工程的階段，里程碑和檢查點(diǎn)的使用工程管理過程中，Gantt圖、問題日志、會(huì)議摘要等等的使用決定機(jī)構(gòu)的系統(tǒng)質(zhì)量保證方案編制過程是否存在系統(tǒng)問題的質(zhì)量報(bào)告序決定十分徹底地測(cè)試了整個(gè)系統(tǒng)開發(fā)、執(zhí)行或修改工程的測(cè)試方案的執(zhí)行決定系統(tǒng)的使用中充分地準(zhǔn)備了所有者/發(fā)起者和IT人員的培訓(xùn)方案的執(zhí)行價(jià)確定：工程：拙劣管理超過里程碑時(shí)間超越本錢失控的工程沒有授權(quán)沒有技術(shù)可行性沒有本錢合理性沒有實(shí)現(xiàn)方案的收益沒有包含檢查點(diǎn)在檢查點(diǎn)沒有被批準(zhǔn)實(shí)施沒有被鑒定合格沒有滿足部控制和平安要求沒能消除或減輕風(fēng)險(xiǎn)沒有經(jīng)過徹底測(cè)試沒有發(fā)生，或者對(duì)正實(shí)施的系統(tǒng)的不充分的所需的培訓(xùn)實(shí)施后評(píng)價(jià)沒有發(fā)生管理質(zhì)量〔PO11控制的IT過程：管理質(zhì)量滿足的業(yè)務(wù)需求：滿足IT用戶的需求實(shí)現(xiàn)路線：案編制、執(zhí)行和維護(hù)質(zhì)量文化的建立質(zhì)量方案質(zhì)量保證責(zé)任質(zhì)量控制實(shí)務(wù)系統(tǒng)開發(fā)生命周期方法質(zhì)量保證檢查和報(bào)告最終用戶和質(zhì)量保證人員的培訓(xùn)及參與質(zhì)量保證知識(shí)庫的開發(fā)信息規(guī)IT資源P效果*P效率**技術(shù)P完整*設(shè)施可用數(shù)據(jù)遵從S可靠總體質(zhì)量方案管理層應(yīng)基于機(jī)構(gòu)和IT提倡改進(jìn)觀念并且答復(fù)什么、誰和如何做等根本的問題。質(zhì)量保證途徑管理層應(yīng)建立一個(gè)質(zhì)量保證的標(biāo)準(zhǔn)的途徑，含蓋總的和具體工程的質(zhì)量保證活計(jì)、檢查等等〕。它還應(yīng)對(duì)詳盡的質(zhì)量保證評(píng)價(jià)提出要求。質(zhì)量保證方案編制擇。以IT標(biāo)準(zhǔn)和程序?yàn)橐罁?jù)的質(zhì)量保證評(píng)價(jià)管理層確保賦予質(zhì)量保證員工責(zé)任，包括關(guān)于全面服從IT標(biāo)準(zhǔn)和程序的評(píng)價(jià)。系統(tǒng)開發(fā)生命周期方法機(jī)構(gòu)的管理層應(yīng)定義和執(zhí)行IT現(xiàn)存技術(shù)發(fā)生重大變化的系統(tǒng)開發(fā)生命周期方法技術(shù)的獲取和開發(fā)的情況一樣。系統(tǒng)開發(fā)生命周期方法的更新的被普遍承受的技術(shù)和程序。協(xié)調(diào)和溝通為了IT保滿足業(yè)務(wù)需求的IT解決方案的質(zhì)量規(guī)定。貫穿整個(gè)系統(tǒng)開發(fā)生命周期，管理層應(yīng)提高具有嚴(yán)密合作和溝通特點(diǎn)的機(jī)構(gòu)工作。技術(shù)根底設(shè)施的獲取和維護(hù)框架應(yīng)由技術(shù)根底設(shè)施的獲取和維護(hù)框架來治理，并與該框架一致。第三方實(shí)施者的關(guān)系的角色、設(shè)備、工具、軟件、標(biāo)準(zhǔn)和程序方面達(dá)成一致。軟件程序文檔標(biāo)準(zhǔn)機(jī)構(gòu)的系統(tǒng)開發(fā)生命周期方法應(yīng)包含已經(jīng)與有關(guān)員工溝通并確定的程序文檔標(biāo)準(zhǔn)。方法應(yīng)確保在信息系統(tǒng)開發(fā)期間創(chuàng)立文檔，或修改工程符合這些標(biāo)準(zhǔn)。軟件程序測(cè)試標(biāo)準(zhǔn)方面的標(biāo)準(zhǔn)。系統(tǒng)測(cè)試標(biāo)準(zhǔn)做為每一個(gè)信息系統(tǒng)開發(fā)或修改工程的一局部，機(jī)構(gòu)的系統(tǒng)開發(fā)生命周期方法應(yīng)提供含蓋整個(gè)系統(tǒng)的測(cè)試需求、測(cè)試確認(rèn)、測(cè)試文檔和測(cè)試保持力的標(biāo)準(zhǔn)。平行/飛行測(cè)試機(jī)構(gòu)的系統(tǒng)開發(fā)生命周期方法應(yīng)定義環(huán)境，在此根底上，新的和〔或〕現(xiàn)存的系統(tǒng)的平行或飛行測(cè)試將被引導(dǎo)。系統(tǒng)測(cè)試文檔方法應(yīng)規(guī)定測(cè)試系統(tǒng)的存檔結(jié)果要保存。以開發(fā)標(biāo)準(zhǔn)為依據(jù)的質(zhì)量保證評(píng)估是否執(zhí)行了系統(tǒng)開發(fā)生命周期方法的規(guī)定。IT目標(biāo)實(shí)現(xiàn)的質(zhì)量保證評(píng)價(jià)質(zhì)量保證途徑應(yīng)對(duì)于那些已經(jīng)實(shí)現(xiàn)信息效勞功能目標(biāo)的特殊系統(tǒng)和應(yīng)用開發(fā)活動(dòng)的程度進(jìn)展評(píng)價(jià)。11.18質(zhì)量的尺度管理層應(yīng)定義并用公認(rèn)的尺度測(cè)量活動(dòng)的結(jié)果，從而評(píng)估是否實(shí)現(xiàn)了質(zhì)量目標(biāo)。11.19質(zhì)量保證評(píng)價(jià)報(bào)告質(zhì)量保證檢查報(bào)告應(yīng)被準(zhǔn)備，并提交給用戶部門和IT職能部門的管理層。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)展審計(jì)：獲得了解：訪談：首席執(zhí)行官〔CEO〕IT職能部門方案/指導(dǎo)委員會(huì)成員首席信息官〔CIO〕平安官機(jī)構(gòu)質(zhì)量經(jīng)理ITIT職能部門管理層系統(tǒng)所有者/發(fā)起者獲得：相關(guān)于質(zhì)量保證、系統(tǒng)開發(fā)生命周期和系統(tǒng)文檔的政策和程序高級(jí)管理層指導(dǎo)角色和責(zé)任機(jī)構(gòu)的戰(zhàn)略方案、質(zhì)量政策、質(zhì)量手冊(cè)和質(zhì)量方案IT戰(zhàn)略方案、質(zhì)量政策、質(zhì)量手冊(cè)、質(zhì)量方案和配置管理方案所有質(zhì)量保證職能的章節(jié)來自單獨(dú)質(zhì)量方案編制會(huì)議的紀(jì)要系統(tǒng)開發(fā)生命周期方法評(píng)價(jià)的拷貝狀況報(bào)告和方案/指導(dǎo)委員會(huì)會(huì)議紀(jì)要評(píng)估控制：考慮是否：質(zhì)量方案是：以機(jī)構(gòu)的長短期的方案為根底促進(jìn)不斷進(jìn)步的理念，答復(fù)諸如什么、誰以及怎樣之類的根本問題完整和當(dāng)前的IT質(zhì)量方案是：以機(jī)構(gòu)的整體質(zhì)量方案及IT的長短期方案為根底促進(jìn)不斷進(jìn)步的理念，答復(fù)諸如什么、誰以及怎樣之類的根本問題完整和當(dāng)前的存在質(zhì)量保證的標(biāo)準(zhǔn)方法，方法是：既適用于總體的質(zhì)量保證活動(dòng)，也適用于具體工程的質(zhì)量保證活動(dòng)可伸縮的，因此適用于所有的工程被涉及工程和質(zhì)量保證活動(dòng)的所有人員所理解適用于貫穿工程的所有階段質(zhì)量保證的標(biāo)準(zhǔn)方法規(guī)定了執(zhí)行以到達(dá)整體質(zhì)量方案目標(biāo)的質(zhì)量保證活動(dòng)的類型〔和具體的評(píng)價(jià)、審計(jì)、檢查，等等〕質(zhì)量保證方案編制規(guī)定了質(zhì)量保證活動(dòng)的圍和時(shí)間選擇質(zhì)量保證檢查評(píng)估遵守IT標(biāo)準(zhǔn)、政策和程序的總體情況高級(jí)管理層已經(jīng)定義并實(shí)施了IT周期方法——購置、部自己開發(fā)或二者的結(jié)合系統(tǒng)開發(fā)生命周期方法：支配計(jì)算機(jī)化信息系統(tǒng)及其相關(guān)技術(shù)的開發(fā)、獲取、實(shí)施和維護(hù)的過程支持并鼓勵(lì)遵從機(jī)構(gòu)的以及IT的長短期方案的開發(fā)/修改的努力程的繼續(xù)需要授權(quán)是完整的和當(dāng)前的有能力裁剪/按比例伸縮以適應(yīng)機(jī)構(gòu)正在發(fā)生的所有類型的開發(fā)適用于自己開發(fā)和購置軟件的建立和維護(hù)已經(jīng)制成書面文件規(guī)定技術(shù)的變更關(guān)于技術(shù)根底設(shè)施的獲取和維護(hù)，已經(jīng)建在總體框架之中應(yīng)該由符合技術(shù)根底構(gòu)造的獲取和維護(hù)框架來支配設(shè)施、工具以及軟件標(biāo)準(zhǔn)和程序的規(guī)定語，等等〕，并且這些需求要與所有涉及人員溝通要求文檔隨著變化的發(fā)生保持最近的要求應(yīng)用嚴(yán)格的和穩(wěn)固的程序/系統(tǒng)測(cè)試?定義環(huán)境,在此之下，新的或修改系統(tǒng)的平行或穿行測(cè)試將被引導(dǎo)成書面文檔并保存要求正在承擔(dān)工程的授權(quán)機(jī)構(gòu)的質(zhì)量保證方法：方法開發(fā)并投產(chǎn)，工程組也要遵守機(jī)構(gòu)的系統(tǒng)開發(fā)生命周期方法價(jià)報(bào)告，使系統(tǒng)開發(fā)和效果建議以適當(dāng)?shù)男问浇o管理層〔用戶和IT職能部門〕具有定期追蹤并報(bào)告給適當(dāng)?shù)母呒?jí)管理官員的建議高級(jí)IT管理層有規(guī)律地檢查并適當(dāng)更新系統(tǒng)開發(fā)生命周期方法，以確定新的開發(fā)/修改以及新技術(shù)的充分性存在各不一樣的控制水平貫穿整個(gè)系統(tǒng)開發(fā)生命周期的密切協(xié)調(diào)和溝通的成果在IT職能部門和系統(tǒng)實(shí)施者的客戶之間發(fā)生來自機(jī)構(gòu)不同的職能部門/個(gè)人〔例如，IT管理層、平安官、法律人員、質(zhì)量保證人員、審計(jì)人員、用戶，等等〕的適當(dāng)?shù)陌嬖诤饬炕顒?dòng)結(jié)果的量度存在，允許進(jìn)展是否質(zhì)量目的已經(jīng)實(shí)現(xiàn)的評(píng)估評(píng)定遵從性：測(cè)試：開發(fā)IT質(zhì)量方案的程序的輸入包括如下：機(jī)構(gòu)的長短期方案IT的長短期方案機(jī)構(gòu)的質(zhì)量政策IT的質(zhì)量政策機(jī)構(gòu)的質(zhì)量方案IT配置管理方案IT的質(zhì)量方案以IT的長短期方案為根底，其定義：應(yīng)用系統(tǒng)開發(fā)的努力和/或獲取與其它系統(tǒng)〔部和外部〕的接口支持系統(tǒng)和接口所必需的IT平臺(tái)/根底設(shè)施開發(fā)/支持目標(biāo)IT環(huán)境的資源〔包括財(cái)務(wù)和人力兩者〕開發(fā)和支持目標(biāo)ITIT質(zhì)量方案要選擇下述：平以明確可衡量的術(shù)語，瞄準(zhǔn)每一個(gè)系統(tǒng)和平臺(tái)的最大的損耗監(jiān)控瞄準(zhǔn)性能/損耗目標(biāo)所要求的性能統(tǒng)計(jì)，包括怎樣準(zhǔn)備，打算分發(fā)給誰。IT長短期方案所確定的IT環(huán)境/根底設(shè)施中開發(fā)/修改/轉(zhuǎn)換所必須的監(jiān)控/評(píng)價(jià)過程是良好的：被方案、被監(jiān)控、被提供資源、被測(cè)試、被培訓(xùn)、被制成書面文檔并被執(zhí)行質(zhì)量方案被更新的間隔質(zhì)量保證人員要始終如一地堅(jiān)持質(zhì)量保證方法和方案以及其它已經(jīng)建立的運(yùn)營程序系統(tǒng)開發(fā)生命周期方法在確保下述方面的適當(dāng)性：在新系統(tǒng)和技術(shù)開發(fā)過程中的充分的控制與涉及系統(tǒng)開發(fā)和維護(hù)的所有適當(dāng)?shù)墓蛦T的溝通技術(shù)變更程序被使用確保用戶承受并批準(zhǔn)的程序被使用第三方執(zhí)行者協(xié)議的適當(dāng)性用戶理解系統(tǒng)開發(fā)生命周期方法的控制和需求系統(tǒng)開發(fā)生命周期方法的變更控制機(jī)制允許改變方法，方法是一個(gè)"活的〞文檔機(jī)構(gòu)的系統(tǒng)開發(fā)生命周期方法的修訂和修改的記錄要反映當(dāng)前正在考慮和將來期望的新的系統(tǒng)和技術(shù)完整的程序和系統(tǒng)測(cè)試結(jié)果〔包括并行/穿行測(cè)試結(jié)果〕被檢查并被保存用于將來的測(cè)試解決測(cè)試期間遭遇問題的過程要到位涉及系統(tǒng)開發(fā)工程的用戶部門的代表對(duì)當(dāng)前方法的使用要滿意質(zhì)量保證人員清晰地理解他們?cè)跈C(jī)構(gòu)中的角色在由適當(dāng)?shù)腎T查并同意之后，要求執(zhí)行質(zhì)量保證檢查質(zhì)量保證檢查的結(jié)果導(dǎo)致管理層的補(bǔ)救行動(dòng)需要，需要行動(dòng)方案質(zhì)量目的的衡量結(jié)果存在，并在其上采取行動(dòng)證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的系統(tǒng)開發(fā)生命周期方法的的基準(zhǔn)包括在質(zhì)量方案中的績效衡量的詳細(xì)評(píng)價(jià)，確定它們是否：是可完成的滿足企業(yè)的需求/期望滿足用戶的需求/期望是可度量的一個(gè)工程例子的詳細(xì)評(píng)價(jià)，確保：遵循系統(tǒng)開發(fā)生命周期方法系統(tǒng)開發(fā)生命周期方法的任意裁剪/比例伸縮是適當(dāng)?shù)?，并?jīng)過同意的員、用戶代表，等等〕的簽署已經(jīng)獲得IT密切協(xié)調(diào)和溝通已經(jīng)發(fā)生技術(shù)根底設(shè)施的獲取和維護(hù)框架與任何其它所涉及的相關(guān)步驟一起被追隨開發(fā)/修改以及時(shí)的方式被滿意地完成程序和系統(tǒng)文檔被準(zhǔn)備、檢查、通過和維護(hù)的方式的詳細(xì)評(píng)價(jià)程序和系統(tǒng)測(cè)試〔包括并行/穿行測(cè)試〕以及文檔被準(zhǔn)備、檢查、通過和維護(hù)的方式的詳細(xì)評(píng)價(jià)確保報(bào)告說明了遵守系統(tǒng)開發(fā)生命周期方法的規(guī)定以及新近實(shí)施/修改系統(tǒng)的效果和質(zhì)量方面的質(zhì)量保證執(zhí)行后檢查過程的詳細(xì)評(píng)價(jià)確定：與長短期方案沒有聯(lián)系的質(zhì)量方案的事情〔也就是，對(duì)于小型工程太強(qiáng)調(diào)構(gòu)造化，而對(duì)大型工程則應(yīng)用缺乏〕發(fā)生命周期方法應(yīng)用到現(xiàn)貨供應(yīng)的成套軟件上，而沒有做相應(yīng)的修改〕的協(xié)調(diào)和溝通的實(shí)例形成文檔和測(cè)試；參數(shù)設(shè)置；維護(hù)和申請(qǐng)維修〕沒有被充分地跟隨程序和/或系統(tǒng)文檔不存在、不適當(dāng)或者不是最近的程序和/或系統(tǒng)測(cè)試〔包括并行/穿行測(cè)試〕沒有被執(zhí)行或者不適當(dāng)?shù)貓?zhí)行，和/或沒有形成文檔或不適當(dāng)?shù)匦纬晌臋n質(zhì)量保證檢查/執(zhí)行后檢查沒有被執(zhí)行，或者不適當(dāng)?shù)乇粓?zhí)行質(zhì)量保證檢查/執(zhí)行后檢查由管理層所無視，系統(tǒng)沒有按照所要求的那樣而實(shí)施獲取和實(shí)施〔2/4〕AI域確定自動(dòng)化的解決方案〔AI1控制的IT過程：確定自動(dòng)化的解決方案滿足的業(yè)務(wù)需求：確保有效和有效率的途徑滿足用戶的需求實(shí)現(xiàn)路線：按照用戶需求尺度，客觀地、清晰地識(shí)別和分析可選擇的機(jī)遇需要考慮的事項(xiàng)：市場(chǎng)上可用的解決方案的認(rèn)知獲取和實(shí)施方法用戶參與和大宗買進(jìn)與企業(yè)和IT戰(zhàn)略的結(jié)合信息需求的定義可行性研究〔費(fèi)用、收益、可選方案，等等〕符合信息體系構(gòu)造本錢/供應(yīng)商責(zé)任信息規(guī)ITP效果人員S效率*應(yīng)用*技術(shù)完整*設(shè)施可用數(shù)據(jù)遵從可靠信息需求的定義法律。行動(dòng)的可選擇路線的表述機(jī)構(gòu)的系統(tǒng)開發(fā)生命周期方法應(yīng)規(guī)定行動(dòng)的可選擇路線的分析，這一行動(dòng)路線要滿足為建議的新的或者修改的系統(tǒng)而建立的業(yè)務(wù)需求。獲取戰(zhàn)略的表述IT開發(fā)、通過簽約開發(fā)，還是強(qiáng)化現(xiàn)有的軟件，亦或是上述這些的結(jié)合。第三方效勞需求當(dāng)涉及到第三方效勞供應(yīng)商時(shí)，機(jī)構(gòu)的系統(tǒng)開發(fā)生命周期法應(yīng)規(guī)定對(duì)RFP〔請(qǐng)求提議〕的需求和說明書的評(píng)估。技術(shù)可行性研究統(tǒng)開發(fā)生命周期法應(yīng)規(guī)定每一個(gè)可選擇方案的技術(shù)可行性的檢查。經(jīng)濟(jì)可行性研究改工程中，要考慮與每一個(gè)滿足已建立業(yè)務(wù)需求的可選擇方案相關(guān)聯(lián)的本錢/效益分析。信息體系構(gòu)造當(dāng)解決方案正被確認(rèn)并進(jìn)展可行性分析時(shí)，管理層應(yīng)確保對(duì)企業(yè)數(shù)據(jù)模型的關(guān)注。風(fēng)險(xiǎn)分析報(bào)告安和部控制平安措施的分析和文檔。這些的實(shí)現(xiàn)要與總體的風(fēng)險(xiǎn)評(píng)估框架相一致。本錢/效益良好的平安控制退和恢復(fù)過程能被提議的解決方案所支持。審計(jì)痕跡設(shè)計(jì)ID〕不被發(fā)現(xiàn)和誤用的能力。人類環(huán)境改造管理層應(yīng)確保在由IT自動(dòng)化解決方案的引入密切相關(guān)的人類環(huán)境改造問題。系統(tǒng)軟件的選擇管理層應(yīng)確保由IT作需求的系統(tǒng)軟件。采購的控制當(dāng)進(jìn)展檢查和測(cè)試。軟件產(chǎn)品獲取軟件產(chǎn)品的獲取應(yīng)遵從機(jī)構(gòu)的采購政策。第三方軟件的維護(hù)對(duì)于來自第三方供應(yīng)商帶有用戶許可證的軟件，管理層應(yīng)要求供應(yīng)商具有適當(dāng)?shù)某绦騺眚?yàn)證、保護(hù)和維持該軟件的完整性。應(yīng)在有關(guān)遞交產(chǎn)品的維護(hù)協(xié)議書中，考慮產(chǎn)品的支持。應(yīng)用程序開發(fā)的簽約ITIT職能部門的質(zhì)量保證小組和其它設(shè)施的驗(yàn)收符合合同所描述的要求。技術(shù)的驗(yàn)收試、工作負(fù)荷試驗(yàn)。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)展審計(jì)：獲得了解：訪談：首席信息官〔CIO平安官IT高級(jí)管理層工程所有者/發(fā)起人合同管理層獲得：與系統(tǒng)開發(fā)生命周期以及軟件獲得相關(guān)的政策和程序IT的目標(biāo)和長短期方案挑選的工程文檔，包括需求定義、選擇性分析、技術(shù)可行性研究、經(jīng)濟(jì)可行性研究、信息體系構(gòu)造/企業(yè)數(shù)據(jù)模型分析、風(fēng)險(xiǎn)分析、部控制/平安本錢效益研究、審計(jì)痕跡分析、人類環(huán)境改造學(xué)的研究以及設(shè)施和特定技術(shù)承受方案和測(cè)試結(jié)果評(píng)估控制：考慮是否：政策和程序存在，要求：或修改的系統(tǒng)滿意的用戶需求被清晰地定義者/發(fā)起者檢查并通過安和法律被分析件包的識(shí)別的結(jié)合，軟件產(chǎn)品獲取的選擇被清晰地定義技術(shù)可行性研究被準(zhǔn)備、分析并由認(rèn)識(shí)的所有者/發(fā)起者通過滿足用戶需求的本錢和收益的分析要被執(zhí)行性研究被準(zhǔn)備、分析并由認(rèn)識(shí)的所有者/發(fā)起者通過當(dāng)解決方案的可行性被識(shí)別和分析時(shí)，要關(guān)注企業(yè)的數(shù)據(jù)模型在的弱點(diǎn)和影響以及為減少或消除確定風(fēng)險(xiǎn)的切實(shí)可行的平安和部控制保護(hù)要制成文檔平安的本錢和效益被仔細(xì)地檢查以保證控制的本錢不超過收益本錢/效益研究的正式的管理層簽署修改的系統(tǒng)之中審計(jì)痕跡和控制，在沒有危及系統(tǒng)平安的前提下，提供保護(hù)用戶免除他們的身者不可觀察〕聯(lián)的人類環(huán)境改造學(xué)問題IT管理層識(shí)別滿足運(yùn)營需求的所有潛在的系統(tǒng)軟件程序先于產(chǎn)品的使用和財(cái)務(wù)的結(jié)算，產(chǎn)品被檢查和測(cè)試判而設(shè)立的框架的獲取政策證、保護(hù)并維護(hù)軟件產(chǎn)品的完整權(quán)利合同編程效勞的獲取用來自指定IT當(dāng)?shù)脑O(shè)施的承受方案與供應(yīng)商在合同中的一致，這一方案定義了承受程序和標(biāo)準(zhǔn)品，按照IT質(zhì)量保證小組和其它有關(guān)當(dāng)事人的相關(guān)標(biāo)準(zhǔn)，被測(cè)試和檢查序和標(biāo)準(zhǔn)合同編程效勞的獲取用來自指定IT當(dāng)?shù)陌凑湛傮w的風(fēng)險(xiǎn)評(píng)估框架實(shí)施風(fēng)險(xiǎn)分析分配或維持輸出和輸入數(shù)據(jù)并正確解釋它們的平安屬性的機(jī)制存在IT和效勞獲取之后的程序和標(biāo)準(zhǔn)先于承受，合同規(guī)定軟件、文檔和其它交付物要屈從于測(cè)試和檢查設(shè)施的承受測(cè)試被實(shí)施，以保證適應(yīng)性和環(huán)境滿足合同中詳細(xì)說明的需求特定的技術(shù)承受測(cè)試應(yīng)該包括檢查、功能性測(cè)試和工作負(fù)載試驗(yàn)評(píng)定遵從性：測(cè)試：令現(xiàn)有系統(tǒng)滿意并令被提議的新的或修改的系統(tǒng)滿意的用戶需求已經(jīng)被清晰地過律修改的系統(tǒng)完全地選擇并解決建立在被提議的新的或修改的系統(tǒng)之上的滿足用戶需求的可選擇的行動(dòng)路線已經(jīng)被適當(dāng)?shù)胤治鰸M足特定系統(tǒng)開發(fā)或修改工程需要的商業(yè)軟件包已經(jīng)被適當(dāng)?shù)卮_定和考慮與每一個(gè)可選擇相關(guān)的所有的可以確認(rèn)的本錢和收益已經(jīng)被適當(dāng)?shù)刂С?，并作為?jīng)濟(jì)可行性研究所需的局部同解決方案可行性被確認(rèn)和分析一樣，應(yīng)注意信息體系構(gòu)造/企業(yè)的數(shù)據(jù)模型施的風(fēng)險(xiǎn)分析報(bào)告是正確和全面的在系統(tǒng)設(shè)計(jì)的文檔中，平安和部控制問題已經(jīng)被適當(dāng)?shù)卣f明帶著抵消本錢的適當(dāng)收益，適當(dāng)位置上的控制和方案是足夠的管理層審批用戶技能的用戶的友好設(shè)計(jì)已經(jīng)被考慮系統(tǒng)設(shè)計(jì)和開發(fā)期間，人類環(huán)境改造學(xué)問題已經(jīng)被考慮/特別報(bào)告〕已經(jīng)包括在系統(tǒng)的需求說明書中滿足操作需求的所有潛在系統(tǒng)軟件編程的IT功能確實(shí)認(rèn)在IT相關(guān)硬件、軟件和效勞的獲取中，IT功能遵循一套公共的程序和標(biāo)準(zhǔn)先于購置產(chǎn)品的使用和財(cái)務(wù)結(jié)算，要進(jìn)展檢查和測(cè)試假設(shè)適用的話，軟件購置協(xié)議允許用戶具有拷貝程序源代碼的條款軟件產(chǎn)品的升級(jí)、技術(shù)的更新和維修要在獲取文檔中詳細(xì)說明第三方軟件維護(hù)包括軟件產(chǎn)品的完整性確實(shí)認(rèn)、保護(hù)和維護(hù)的需求的程序員的要求機(jī)構(gòu)的質(zhì)量保證職能負(fù)責(zé)由訂立合同的程序員執(zhí)行工作的檢查和簽署設(shè)施承受方案的適當(dāng)性和完整性正在發(fā)生，包括承受程序和標(biāo)準(zhǔn)特定技術(shù)承受方案的適當(dāng)性和完全性，包括檢查、功能測(cè)試和工作負(fù)載試驗(yàn)證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的滿足自動(dòng)化解決方案的用戶需求確實(shí)認(rèn)的基準(zhǔn)詳細(xì)的評(píng)價(jià)：風(fēng)險(xiǎn)分析研究的執(zhí)行〕痕跡的可能，或者具有為所確定和選擇的解決方案進(jìn)展開發(fā)的能力系統(tǒng)軟件的選擇和實(shí)施機(jī)構(gòu)現(xiàn)有軟件的獲取政策和程序，部控制充足性和遵從性第三方維護(hù)正在被管理的方式合同應(yīng)用編程已經(jīng)被監(jiān)控和管理的方式確保適應(yīng)性和環(huán)境測(cè)試滿足合同中詳細(xì)說明的需求的設(shè)施承受過程程確定：機(jī)構(gòu)的系統(tǒng)開發(fā)生命周期方法的缺乏不能滿足用戶需求的解決方案系統(tǒng)開發(fā)努力：沒有考慮可選擇的行動(dòng)路線，因此造成更昂貴的解決方案沒有考慮已經(jīng)以最少的時(shí)間和最小的本錢實(shí)施的商業(yè)軟件包術(shù)的可行性，造成的結(jié)果是不能按照最初的設(shè)計(jì)來實(shí)施解決方案結(jié)果沒有考慮信息體系構(gòu)造/企業(yè)數(shù)據(jù)模型，結(jié)果選擇了錯(cuò)誤的行動(dòng)路線的弱點(diǎn)和影響〕，要么沒有確認(rèn)減少或消除確定風(fēng)險(xiǎn)的適當(dāng)?shù)钠桨埠筒靠刂平鉀Q方案：由于控制和平安的本錢/于過度的控制之下沒有適當(dāng)?shù)膶徲?jì)痕跡據(jù)輸入錯(cuò)誤缺乏所需的的系統(tǒng)軟件由于不適當(dāng)?shù)膮?shù)設(shè)置，造成系統(tǒng)軟件的效率低下第三方軟件維護(hù)沒有真正做到合同上的條款，結(jié)果是在滿足機(jī)構(gòu)的使命和/或目的方面對(duì)其產(chǎn)生不利的影響誤了系統(tǒng)的實(shí)施，等等設(shè)施沒有進(jìn)展全面適應(yīng)性環(huán)境測(cè)試而承受的情況，結(jié)果是不能滿足用戶的需求和/或沒有遵從合同條款特定的技術(shù)被承受，但是，監(jiān)視、功能性測(cè)試和工作負(fù)載試驗(yàn)沒能充分地執(zhí)行，結(jié)果是技術(shù)不能滿足用戶的需求和/或不能遵從合同條款任何系統(tǒng)的失敗獲取和維護(hù)應(yīng)用軟件〔AI2控制的IT過程：獲取和維護(hù)應(yīng)用軟件滿足的業(yè)務(wù)需求：提供自動(dòng)化的功能，該功能能夠有效支持業(yè)務(wù)過程實(shí)現(xiàn)路線：施需要考慮的事項(xiàng)：功能性測(cè)試和驗(yàn)收文檔要求應(yīng)用軟件生命周期企業(yè)信息體系構(gòu)造系統(tǒng)開發(fā)生命周期方法人機(jī)接口程序包的用戶化定制信息規(guī)IT資源P效果人員P效率*應(yīng)用技術(shù)S完整設(shè)施可用數(shù)據(jù)S遵從S可靠設(shè)計(jì)方法需要對(duì)照用戶的需求對(duì)設(shè)計(jì)規(guī)格說明書進(jìn)展效驗(yàn)。現(xiàn)有系統(tǒng)的重大變更管理層應(yīng)確保證現(xiàn)有系統(tǒng)發(fā)生重大變更時(shí)，類似于新開發(fā)系統(tǒng)一樣。設(shè)計(jì)的審批機(jī)構(gòu)的高級(jí)管理層。文件需求的定義和建檔對(duì)每一個(gè)信息系統(tǒng)開發(fā)或修改工程，機(jī)構(gòu)的系統(tǒng)開發(fā)生命周期方法應(yīng)規(guī)定一個(gè)適遵守。軟件程序規(guī)格說明書說明書保持一致。源數(shù)據(jù)采集的設(shè)計(jì)細(xì)說明適當(dāng)?shù)臄?shù)據(jù)采集和錄入機(jī)制。輸入需求定義和建檔當(dāng)?shù)妮斎胄枨蠖x和建檔的機(jī)制存在。接口的定義計(jì)并要建檔。人機(jī)接口易于使用和自我說明〔借助在線幫助功能〕。處理需求的定義和建檔在適當(dāng)?shù)奶幚硇枨蟮亩x和建檔的機(jī)制。輸出需求定義和建檔在適當(dāng)?shù)妮敵鲂枨蟮亩x和建檔的機(jī)制。可控制性關(guān)鍵設(shè)計(jì)因素的可用性可靠性的改進(jìn)來增加可用性。應(yīng)用程序軟件中的IT完整性的裝置的恢復(fù)。應(yīng)用軟件的測(cè)試在用戶批準(zhǔn)之前，單元測(cè)試、應(yīng)用測(cè)試、綜合測(cè)試、系統(tǒng)測(cè)試以及負(fù)載和壓力測(cè)試應(yīng)按照工程測(cè)試方案和已建立的測(cè)試標(biāo)準(zhǔn)執(zhí)行。應(yīng)當(dāng)采取適當(dāng)?shù)拇胧┓乐箿y(cè)試期間敏感信息的暴露。用戶參考手冊(cè)和支持資料機(jī)構(gòu)的系統(tǒng)開發(fā)生命周期方法應(yīng)規(guī)定，要準(zhǔn)備適當(dāng)?shù)挠脩魠⒖假Y料和支持手冊(cè)〔最好是電子版的〕，作為每一個(gè)信息系統(tǒng)開發(fā)或修改工程的一局部。系統(tǒng)設(shè)計(jì)的重新評(píng)估生重大的技術(shù)和〔或〕邏輯的差異，系統(tǒng)設(shè)計(jì)必須被重新評(píng)估。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)展審計(jì)：獲得了解：訪談：首席信息官〔CIO平安官IT高級(jí)管理層工程所有者/發(fā)起者獲得：IT目標(biāo)和長短期方案集設(shè)計(jì)、輸入需求的//求、可用性需求、IT設(shè)計(jì)的再評(píng)估評(píng)估控制：考慮是否：確保下述的政策和程序：者，并且用戶要參與在依照用戶需求創(chuàng)造設(shè)計(jì)說明書和校驗(yàn)設(shè)計(jì)說明書中，與用戶的密切聯(lián)絡(luò)命周期過程被遵循部門和機(jī)構(gòu)的高級(jí)管理層簽署過程正在被應(yīng)用，包括考慮了數(shù)據(jù)字典規(guī)則的需求與系統(tǒng)設(shè)計(jì)說明書一致說明每一個(gè)新的系統(tǒng)開發(fā)或修改工程的輸入需求的定義和歸檔的適當(dāng)機(jī)制存在助于在線幫助功能〕在每一個(gè)新的系統(tǒng)開發(fā)或修改工程的處理需求的定義和歸檔的適當(dāng)機(jī)制存在每一個(gè)新的系統(tǒng)開發(fā)或修改工程的輸出需求的定義和歸檔的適當(dāng)機(jī)制存在明時(shí)性和授權(quán)慮應(yīng)該分析，如果必要，通過可維護(hù)性和可靠性增進(jìn)改進(jìn)手段，提供完整性的恢復(fù)在由用戶通過以前，按照工程測(cè)試方案和已建立的測(cè)試標(biāo)準(zhǔn)測(cè)試應(yīng)用軟件改正程的一局部系統(tǒng)開發(fā)或維護(hù)期間，無論何時(shí)發(fā)生重大的、技術(shù)的和/系統(tǒng)設(shè)計(jì)進(jìn)展再評(píng)估系統(tǒng)開發(fā)生命周期方法要確保用戶參考資料和支持資料以準(zhǔn)確及時(shí)的方式更新法所要求系統(tǒng)開發(fā)生命周期方法要求新的被開發(fā)的或者修改的系統(tǒng)的根本平安和部控制方面與系統(tǒng)的概要設(shè)計(jì)一道被評(píng)估，以便盡早將平安的概念集成到設(shè)計(jì)中邏輯平安和應(yīng)用平安問題由被選擇并包括在新的系統(tǒng)的設(shè)計(jì)或現(xiàn)存系統(tǒng)的修改中的系統(tǒng)開發(fā)生命周期方法所要求平安和部控制方面的評(píng)估是以健全的框架為根底的的決策被通過用所使用的歷史數(shù)據(jù)失去個(gè)性處理減輕評(píng)定遵從性：測(cè)試：在系統(tǒng)開發(fā)生命周期過程中，用戶的參與是高的機(jī)構(gòu)的系統(tǒng)開發(fā)生命周期方法確保適當(dāng)?shù)卣f明所有的系統(tǒng)設(shè)計(jì)問題〔也就是，輸入、處理、輸出、部控制、平安、災(zāi)難恢復(fù)、響應(yīng)時(shí)間、報(bào)告、變更控制，等等〕的過程到位關(guān)鍵的系統(tǒng)用戶要卷入系統(tǒng)設(shè)計(jì)過程決發(fā)確保系統(tǒng)的編程只有在得到適當(dāng)?shù)脑O(shè)計(jì)簽署才能開場(chǎng)的設(shè)計(jì)簽署程序到位系統(tǒng)文件需求和文檔以及數(shù)據(jù)字典都要與標(biāo)準(zhǔn)相一致編程說明書與系統(tǒng)設(shè)計(jì)說明書一致用戶/機(jī)器接口設(shè)計(jì)說明書存在用戶/機(jī)器說明書容易使用，自己形成文檔〔使用聯(lián)機(jī)幫助工具〕功能被放置到位部和外部接口被制成文檔處理需求在設(shè)計(jì)說明書中輸出需求在設(shè)計(jì)說明書中部控制和平安需求在設(shè)計(jì)說明書中應(yīng)用控制需求設(shè)計(jì)說明書保證輸入和輸出的準(zhǔn)確性、完整性、及時(shí)性和授權(quán)修改的系統(tǒng)〕平安官積極地參與新的系統(tǒng)或系統(tǒng)修改工程的系統(tǒng)的設(shè)計(jì)、開發(fā)和實(shí)施過程如果適用的話，系統(tǒng)設(shè)計(jì)決定是否改進(jìn)的可用性/可靠性已經(jīng)按照時(shí)間和先前方法更有效的程序被量化應(yīng)用編程規(guī)定例行公事地校驗(yàn)由軟件所執(zhí)行的任務(wù)，以幫助確保數(shù)據(jù)的完整性存在已經(jīng)建立的測(cè)試標(biāo)準(zhǔn)工程測(cè)試方案和用戶通過過程存在用戶參考資料和支持材料以及聯(lián)機(jī)幫助工具是可利用的"幫助工作臺(tái)〞正在有效地幫助用戶用戶選擇更復(fù)雜的處理問題逐步升級(jí)的"幫助工作臺(tái)〞問題的過程包括追蹤、監(jiān)控以及諸如此類問題向適當(dāng)IT管理層的報(bào)告需要更新用戶文檔的適當(dāng)?shù)臋C(jī)制用戶文檔變更的溝通正在發(fā)生無論何時(shí)發(fā)生重大的技術(shù)和/或邏輯差異，在評(píng)估過程都會(huì)發(fā)生證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的獲取和開發(fā)應(yīng)用軟件的本錢的基準(zhǔn)以下挑選的事項(xiàng)的詳細(xì)評(píng)價(jià)：評(píng)估設(shè)計(jì)說明書足夠性以及對(duì)這些設(shè)計(jì)說明書遵從性的系統(tǒng)設(shè)計(jì)文檔新的系統(tǒng)開發(fā)或修改工程決定是否設(shè)計(jì)說明書文檔已經(jīng)由IT響的用戶職能部門的管理層，如果適用，也包括機(jī)構(gòu)的高級(jí)管理層，檢查和通過文檔，每個(gè)系統(tǒng)和用戶需求以及機(jī)構(gòu)的數(shù)據(jù)字典規(guī)則正在被構(gòu)造化：主文件交易命令編程控制表報(bào)告打印日志傳輸確保在流程圖//修改工程決定無論何時(shí)重大的技術(shù)和/程就發(fā)生的新的系統(tǒng)開發(fā)和修改工程決定任何技術(shù)設(shè)計(jì)差異或功能變化存在需要的新的系統(tǒng)開發(fā)和修改工程權(quán)以及平安概念的集成的部控制和平安規(guī)定的適當(dāng)性的新的系統(tǒng)開發(fā)和修改工程以及系統(tǒng)概要設(shè)計(jì)按照改進(jìn)的最終用戶的可用性和可靠性以及IT的新的系統(tǒng)開發(fā)和修改工程評(píng)估應(yīng)用編程數(shù)據(jù)完整性校驗(yàn)的適當(dāng)性的工程開發(fā)和修改工程以下效果的詳細(xì)評(píng)價(jià)：按照用戶設(shè)計(jì)說明書，確保編程是書面的的編程說明書過程按照用戶設(shè)計(jì)說明書，確保編程是書面的的輸入說明書過程按照用戶設(shè)計(jì)說明書，確保編程是書面的的用戶/機(jī)器接口說明書過程按照用戶設(shè)計(jì)說明書，確保編程是書面的的處理說明書過程按照用戶設(shè)計(jì)說明書，確保編程是書面的的輸出說明書過程機(jī)構(gòu)測(cè)試標(biāo)準(zhǔn)的詳細(xì)評(píng)價(jià)以及挑選的新的系統(tǒng)開發(fā)和修改工程的相關(guān)測(cè)試方案的實(shí)施用戶對(duì)系統(tǒng)、它的報(bào)告、用戶文檔和參考資料、幫助工具等等的滿意度的詳細(xì)評(píng)價(jià)確定：用于新的系統(tǒng)開發(fā)或修改工程的機(jī)構(gòu)的系統(tǒng)開發(fā)生命周期方法的缺乏沒有反映用戶需求的設(shè)計(jì)說明書文件需求與機(jī)構(gòu)的數(shù)據(jù)字典規(guī)則不一致包含不適當(dāng)?shù)亩x文件、編程、源數(shù)據(jù)選擇、輸入、用戶/機(jī)器接口、處理、輸出和/或可控性需求的新的系統(tǒng)開發(fā)或修改工程在設(shè)計(jì)過程中沒能考慮可用性的新的系統(tǒng)開發(fā)或修改工程在新的系統(tǒng)開發(fā)或修改工程中，應(yīng)用編程軟件中的數(shù)據(jù)完整性的缺乏的缺乏在新的系統(tǒng)開發(fā)或修改工程上的測(cè)試方案的缺乏在新的系統(tǒng)開發(fā)或修改工程上用戶參考資料和支持材料方面的缺乏確或者導(dǎo)致無效率、無效果和不經(jīng)濟(jì)的系統(tǒng)補(bǔ)丁的重大技術(shù)和/或邏輯缺乏獲取和維護(hù)技術(shù)根底設(shè)施〔AI3控制的IT過程：獲取和維護(hù)技術(shù)根底設(shè)施滿足的業(yè)務(wù)需求：提供支持業(yè)務(wù)應(yīng)用的適當(dāng)平臺(tái)實(shí)現(xiàn)路線：系統(tǒng)管理需要考慮的事項(xiàng)：遵從技術(shù)根底設(shè)施的方向和標(biāo)準(zhǔn)技術(shù)評(píng)估安裝、維護(hù)與變更控制升級(jí)、轉(zhuǎn)換和移植方案部和外部根底設(shè)施和〔或〕資源的使用供貨商責(zé)任和關(guān)系變更管理系統(tǒng)軟件平安信息規(guī)IT資源P效果人員P效率應(yīng)用*技術(shù)S可用數(shù)據(jù)遵從可靠新硬件和軟件的評(píng)估對(duì)新的或者修改