2015學(xué)習(xí)歷年知識點(diǎn)總結(jié)

1、所有 張斌 zhangbinCISA 知識點(diǎn)總結(jié)第一章. 信息系統(tǒng)審計過程1.IS 審計和保障標(biāo)準(zhǔn)、指南、工具、職業(yè)道德規(guī)范保證框架（ITAF，Information Technology Assurance Framework）審計準(zhǔn)則：強(qiáng)制性要求lüüü一般準(zhǔn)則：基本的審計指導(dǎo)原理 執(zhí)行準(zhǔn)則：涉及任務(wù)的執(zhí)行和管理報告準(zhǔn)則：落實報告類型、方式和信息ll審計指南：側(cè)重于審計方法、理論工具和技術(shù)（也叫程序）：提供各種方法、工具和模版三者關(guān)系：IS 審計師必須遵守審計準(zhǔn)則，審計指南幫助應(yīng)用審計準(zhǔn)則，審計工具和技術(shù)提供了具體的流程和步驟范例。2. 風(fēng)險評估概念、工具及技

2、術(shù)風(fēng)險的定義：“風(fēng)險是特定的威脅利用資產(chǎn)的脆弱性從而對組織造成損害的可能性。（”PDTR13335-1）ISO/IEC風(fēng)險評估的過程：(1) 識別業(yè)務(wù)目標(biāo)（BO，Business Object）(2) 識別信息資產(chǎn)（IA，Information Asset）(3) 進(jìn)行風(fēng)險評估（RA，Risk Assessment）：威脅脆弱性可能性影響(4) 進(jìn)行風(fēng)險減緩（RM，Risk Mitigation）：落實相關(guān)(5) 進(jìn)行風(fēng)險處置（RT，Risk Treatment）基于風(fēng)險的審計：(1) 搜集信息和計劃(2) 理解內(nèi)部(3) 執(zhí)行符合性測試(4) 執(zhí)行實質(zhì)性測試(5) 完成審計和報告1所有 張斌

3、 zhangbin審計風(fēng)險：審計過程中未發(fā)現(xiàn)信息可能存在的錯誤的風(fēng)險。llll固有風(fēng)險（Inherent Risk）：業(yè)務(wù)自身風(fēng)險，不采取時的風(fēng)險風(fēng)險（Control Risk）：采取后仍具有的風(fēng)險檢查風(fēng)險（Detection Risk）：得出錯誤檢查結(jié)論的風(fēng)險整體審計風(fēng)險（Overall Audit Risk）：對每一個目標(biāo)評估出的各類審計風(fēng)險的綜合審計lll性（Materiality）：在問題程度上可被組織視為嚴(yán)重的錯誤。抽樣不能檢查出樣本總體的所有錯誤，但可以將檢查風(fēng)險降低到可接受水平。小錯誤可能不嚴(yán)重，但當(dāng)他們組合到一起時，可能使這些錯誤的性質(zhì)變?yōu)?。性需?IS 審計師合理，確定性是比

4、較的。風(fēng)險的處置（應(yīng)首先確定風(fēng)險的可接受標(biāo)準(zhǔn)）：llll降低風(fēng)險（Mitigate）：采取適當(dāng)?shù)膩斫档惋L(fēng)險接受風(fēng)險（Accept）：在符合組織的風(fēng)險接受標(biāo)準(zhǔn)下，接受風(fēng)險避免風(fēng)險（Avoid）：停止產(chǎn)生風(fēng)險的業(yè)務(wù)活動，從而避免風(fēng)險的產(chǎn)生轉(zhuǎn)移風(fēng)險（Transfer）：向其他組織轉(zhuǎn)移風(fēng)險風(fēng)險評估技術(shù)：lll評分機(jī)制二者結(jié)合3.信息系統(tǒng)相關(guān)目標(biāo)和措施內(nèi)部的兩個關(guān)鍵內(nèi)容：要達(dá)到什么、要避免什么。的分類：預(yù)防性、檢測性、糾正性COBIT5 的 5 條關(guān)鍵原則：lllll滿足利益相關(guān)者需求端到端覆蓋企業(yè)采用單一集成框架 啟用一種整體的方法區(qū)分管理和治理（董事會負(fù)責(zé)治理，管理層負(fù)責(zé)管理）2所有 張斌 zhan

5、gbin4. 審計以及審計項目管理技術(shù)審計計劃l年度計劃üü短期計劃：年度內(nèi)需實施的審計事項長期計劃：考慮組織調(diào)整 IT 戰(zhàn)略方IT 環(huán)境造成的影響所帶來的風(fēng)險問題l單項審計任務(wù)審計流程與步驟：(1) 審計對象：確定被審計領(lǐng)域(2) 審計目標(biāo)：明確審計目標(biāo)(3) 審計范圍：確定要檢查的具體系統(tǒng)、職能或單元(4) 初步審計計劃：確定所需技能與；確定測試檢查的信息來源；確定審計地點(diǎn)和設(shè)施(5) 審計程序和步驟：選擇測試的方法；確定訪談對象；搜集政策和標(biāo)準(zhǔn)；開發(fā)審計工具(6) 評價測試和檢查結(jié)果(7) 與管理(8) 審計報告結(jié)果5. 抽樣方法符合性測試與實質(zhì)性測試l符合性測試：測

6、試組織對程序的符合性，驗證的執(zhí)行是否符合管理政策和規(guī)程。測試包括：用戶檢查、軟件權(quán)限、程序變更流程、文件流程、編程文檔、例外跟蹤、日志審計等。l實質(zhì)性測試：評價、數(shù)據(jù)或其它信息的完整性，驗證財務(wù)報表數(shù)據(jù)及相關(guān)的有效性和完整性。測試包括：基于對賬戶或的抽樣來證實復(fù)雜計算的結(jié)果等。二者關(guān)系：如果符合性測試表明存在充分的內(nèi)部，則可減少實質(zhì)性測試；反之，如果符合性測試表明內(nèi)部存在缺陷，就要執(zhí)行較多的實質(zhì)性測試。抽樣：根據(jù)樣本的特征推斷總體特征，用于時間及成本都不行全面審計時。對總體中所有和進(jìn)審計抽樣的兩種一般方法：ll統(tǒng)計抽樣：通過置信系數(shù)量化抽樣風(fēng)險（即由樣本得出錯誤結(jié)論的風(fēng)險）非統(tǒng)計抽樣（抽樣）3

7、所有 張斌 zhangbin抽樣的分類：l屬性抽樣：用于符合性測試，結(jié)論用比率表示發(fā)生率üü屬性抽樣（Attribute Sampling）：估計總體中某種特性的發(fā)生比率，有多少？停走抽樣（Stop-or-Go Sampling）：先部分抽樣，如果結(jié)果可接受則停止抽樣，否則擴(kuò)大抽樣。用于相信總體中只存在少量錯誤的情況，防止過度抽樣。發(fā)現(xiàn)抽樣（Discovery Sampling）：預(yù)期明確，錯誤發(fā)生率低的時候，用于發(fā)現(xiàn)舞弊、ü或其它行為的情況。l變量抽樣：用于實質(zhì)性測試，結(jié)論是與正常值的偏差范圍ü分層平均估計抽樣（Stratified Mean Per

8、Unit）：先對總體分層，再從不同層抽取樣本，樣本量較小。üü不分層平均估計抽樣（Unstratified Mean Per Unit）：用樣本均值估計總體。差額估計（Difference Estimation）：根據(jù)樣本差額來估計總體差額。抽樣術(shù)語：l置信系數(shù)（Confidence Coefficient）：樣本特征能代表總體特征的概率，置信系數(shù)越高，樣本量越大。風(fēng)險水平（Level of Risk）：1-置信系數(shù)精度（Precision）：樣本和總體之間的可接受誤差范圍。精度值越大，樣本量越小，總體誤差就越大；精度值越小，樣本量越大，總體誤差就越小。預(yù)期差錯率（Expe

9、cted Error Rate）：預(yù)計可能存在的誤差率，預(yù)期差錯率越高，樣本量越大。只能用于屬性抽樣，不能用于變量抽樣。樣本均值（Sample Mean）：所有樣本的平均值。樣本標(biāo)準(zhǔn)差（Sample Standard Deviation）：樣本值對于均值的變化，衡量樣本值的離散程度。lllllll可差錯率（Tolerable Error Rate）：可以存在的最大誤報或差錯值?？傮w標(biāo)準(zhǔn)差（Population Standard Deviation）：標(biāo)準(zhǔn)差越大，樣本量越大。用于變量抽樣，不能用于屬性抽樣。6.證據(jù)收集技術(shù)證據(jù)的兩個特性：適當(dāng)性（質(zhì)量）、充分性（數(shù)量）證據(jù)收集技術(shù)：檢查組織架構(gòu)、

10、IS 政策和規(guī)程、IS 標(biāo)準(zhǔn)、IS 文檔，訪談，觀察，穿走查試，計算機(jī)輔助審計技術(shù)（CAAT）l通用審計軟件（GAS，General Audit Software）：數(shù)學(xué)計算、統(tǒng)計分析、順序檢查、重復(fù)4所有 張斌 zhangbin性檢查和復(fù)算，主要用于進(jìn)行實質(zhì)性測試。調(diào)試和掃描軟件測試數(shù)據(jù)：評價程序軟件中是否存在邏輯錯誤，用于檢查數(shù)據(jù)的完整性。應(yīng)用軟件跟蹤映像llll審計系統(tǒng)：用于知識庫，提供指導(dǎo)信息持續(xù)審計：采用自動化報告流程來測評的效果和效率，及時發(fā)現(xiàn)風(fēng)險或缺陷。應(yīng)獨(dú)立于持續(xù)或活動。7. 報告和技術(shù)在審計結(jié)束時進(jìn)行的退場會議中，應(yīng)該lll確保審計報告中反映的情況是真實的確保建議的可行性，并

11、且是符確定協(xié)商好的實施日期本效益的審計報告應(yīng)當(dāng)由 IS 審計師來最終決定審計報告中包括或者不包括哪些內(nèi)容。內(nèi)部 IS 審計師應(yīng)該有一個追蹤程序來確認(rèn)既定的措施是否已經(jīng)落實。8. 審計質(zhì)量保障體系和框架使用其他審計師和服務(wù)當(dāng)把 IS 審計服務(wù)整體或部分外包給其他審計或外部服務(wù)提供商時，應(yīng)監(jiān)督外包服務(wù)的關(guān)系以確保任務(wù)執(zhí)行期間的客觀性和性。自評估（CSA，Control Self Assessment）：用來對關(guān)鍵業(yè)務(wù)目標(biāo)、實現(xiàn)目標(biāo)所的風(fēng)險及管理業(yè)務(wù)風(fēng)險的內(nèi)部問卷、專題研討會等等。）進(jìn)行檢查的一系列正式的、化的程序。（形式包括CSA 的目標(biāo)：通過把一些監(jiān)督職責(zé)分散到來充分發(fā)揮內(nèi)部審計職能的作用，不是

12、替代審計的職責(zé)，是一種加強(qiáng)。CSA 的優(yōu)缺點(diǎn)：5所有 張斌 zhangbin審計師在 CSA 中的審計師應(yīng)當(dāng)作為內(nèi)部CSA 程序的具體實施者。及評估推動者。審計師只是 CSA的推動者，而管理才是傳統(tǒng)審計方法與 CSA 方法的比較傳統(tǒng)審計：只有審計師和咨詢顧問對內(nèi)部負(fù)責(zé)CSA 方法：進(jìn)行內(nèi)部及進(jìn)行監(jiān)督的責(zé)任在管理第二章. IT 治理和管理1. IT 治理、管理、安全和框架及標(biāo)準(zhǔn)、指南和實踐IT 治理是董事會和執(zhí)行管理層的職責(zé)。IT 治理的關(guān)鍵因素：保持與業(yè)務(wù)的戰(zhàn)略一致，引導(dǎo)業(yè)務(wù)價值的實現(xiàn)。IT 治理關(guān)注的問題：IT 向業(yè)務(wù)交付價值；IT 風(fēng)險得到管理。IT 治理的五個關(guān)鍵域：6優(yōu)點(diǎn)缺點(diǎn)ü

13、; 及早發(fā)現(xiàn)風(fēng)險ü 更有效的改進(jìn)內(nèi)部ü 加強(qiáng)團(tuán)隊精神ü 增加員工對組織目標(biāo)的理解，了解風(fēng)險和內(nèi)部ü 增強(qiáng)運(yùn)營與管理之間的ü 激發(fā)員工的能動性ü 審計的評估過程ü 減少成本ü 向利益相關(guān)方和客戶提供保證ü 滿足對內(nèi)部的要求ü 可能被誤認(rèn)為替代了審計職能ü 增加了工作量ü 改進(jìn)措施實施失敗會破壞員工士氣ü 缺乏動力所有 張斌 zhangbin戰(zhàn)略一致績效測量價值交付IT治理風(fēng)險管理管理2. IT 戰(zhàn)略及 IT 組織架構(gòu)、和職責(zé)IT 戰(zhàn)略委員會與 IT 指導(dǎo)委員會注：IT

14、 指導(dǎo)委員會主要職責(zé)是：對重要的IT 項目進(jìn)行，而不應(yīng)當(dāng)涉及日常運(yùn)營。IT 部門的短期計劃（幾董事會審批。）和長期計劃（1-2 年），而戰(zhàn)略計劃（3-5 年）則由 IT 戰(zhàn)略委員會起草，職責(zé)分離是預(yù)防和及行為的重要方式。補(bǔ)償是為了降低職責(zé)不能恰當(dāng)分離所帶來的既有或潛在風(fēng)險的內(nèi)部。職責(zé)分離的目標(biāo)是通過識別補(bǔ)償性來降低或消除業(yè)務(wù)風(fēng)險。補(bǔ)償性：l審計軌跡（Audit Trail）：可追蹤段、更新了哪些文件等。流，能確定誰發(fā)起、發(fā)起時間、數(shù)據(jù)類型、字7層面IT 戰(zhàn)略委員會IT 指導(dǎo)委員會職責(zé)向董事會提供見解和建議l 決定IT 投資、費(fèi)用l 批準(zhǔn)IT 項目計劃、預(yù)算、采購l IT的分配、調(diào)整與協(xié)調(diào)l 監(jiān)

15、督IT 項目執(zhí)行l(wèi) 對IT 戰(zhàn)略計劃提出建議權(quán)力l 向董事會和管理層提供IT 戰(zhàn)略建議l 代表董事會起草戰(zhàn)略并提交審批l 協(xié)助實現(xiàn)IT 戰(zhàn)略l 監(jiān)督IT 服務(wù)交付與重要IT 項目管理l 關(guān)注實施成員董事會成員和非董事會成員的l 主辦部門l 關(guān)鍵用戶l CIOl 其他顧問（IT、審計、法律、財務(wù)）所有 張斌 zhangbinlllll核對（Reconciliation）：增加了系統(tǒng)處理正確性及數(shù)據(jù)平衡的度水平。例外報告（Exception Reporting）：需要確保例外情況得到解決。日志（Transaction Log）：為所有已處理的保留一份。執(zhí)行。監(jiān)督性審核（Supervisory Re

16、view）：可通過現(xiàn)場觀察、訪談或性審核（Independent Review）：是對錯誤或故意既定流程的補(bǔ)償，可幫助檢測錯誤或情況。IT 政策自頂向下：確保了各級政策的一致性自底向上：更具成本效益，基于風(fēng)險評估的結(jié)果，但容易造成政策間的不一致和相互抵觸政策必須在水平和生產(chǎn)效率之間進(jìn)行平衡，也即，成本絕不能超過所帶來的預(yù)期?？山邮苁褂谜撸ˋUP，Acceptable Use Policy）說明公司的 IT如何使用的有效的指南或規(guī)則。說明了用戶使用 IT 系統(tǒng)做什么，不能做什么，規(guī)則時應(yīng)受到何種處罰。3.質(zhì)量管理體系與成熟度模型治理成熟度模型8能力等級特點(diǎn)第 0 級 無級別第 1 級 初始級根

17、本沒有管理程序管理制度缺乏，過程缺乏定義、 無序。 依靠的是個人的才能和經(jīng)驗，經(jīng)常由于缺乏管理和計劃導(dǎo)致時間、費(fèi)用超支。管理方式屬于反應(yīng)式，主要用來應(yīng)付 。過程不可 ，難以重復(fù)。第 2 級 可重復(fù)級程序遵循某種模式，建立了基本的管理制度，采取了一定的措施費(fèi)用和時間。管理可及時發(fā)現(xiàn)問題，采取措施。第 3 級 已定義級已將過程文檔化、標(biāo)準(zhǔn)化，可按需要改進(jìn)過程，通過定性度量能力結(jié)果。第 4 級 已管理級制定質(zhì)量、效率目標(biāo)，并收集、測量相應(yīng)指標(biāo)。利用統(tǒng)計工具分析并采取改進(jìn)措施。對過程和質(zhì)量有定量的理解和。第 5 級 優(yōu)化級基于統(tǒng)計質(zhì)量和過程工具，持續(xù)改進(jìn)軟件過程。質(zhì)量和效率穩(wěn)步改進(jìn)。遵循并自動實行最佳

18、實踐。所有 張斌 zhangbin4. IT投資與分配實務(wù)價值 IT 框架的三個領(lǐng)域：lll價值治理（VG，Value Government） 投資搭配管理（PM，）投資管理（IM，Investment Management）5.人力管理交叉培訓(xùn)：培訓(xùn)一個以上的從事一項特定作業(yè)或程序。強(qiáng)制休假：減少了進(jìn)行不正當(dāng)行為或違法行為的機(jī)會。離職：分自愿和非自愿離職llll刪除和撤銷帳號和口令，防止邏輯收回所有鑰匙、ID 卡和證件，防止物理歸還公司其他事項6.IT 供應(yīng)商選擇、合同管理、外包管理及第監(jiān)督IS 職能的類型：lll現(xiàn)場：現(xiàn)場工作離場/近岸：同一地理區(qū)域的不同地點(diǎn)工作離岸：不同的地理區(qū)域工作I

19、S 職能的交付方式：lll內(nèi)包外包混合IT 外包目標(biāo)：利用供應(yīng)商的競爭優(yōu)勢，實現(xiàn)持續(xù)有效的業(yè)務(wù)流程和服務(wù)。注意，組織的業(yè)務(wù)不能外包。9優(yōu)點(diǎn)缺點(diǎn)降低了對某一個員工的依賴程度，并可作為繼任計劃的一部分，保證持續(xù)運(yùn)營。員工知曉系統(tǒng)全部內(nèi)容，可能會帶來風(fēng)險和問題。所有 張斌 zhangbin實施外包的：llll組織需要專注于自身的業(yè)務(wù)迫于外包工作的邊際利潤的節(jié)約成本的要求組織架構(gòu)靈活性的要求外包的優(yōu)缺點(diǎn)、風(fēng)險及相關(guān)服務(wù)水平協(xié)議（SLA，Service Level Agreement）規(guī)定了供應(yīng)商服務(wù)及支持事項應(yīng)達(dá)到的水平，對質(zhì)量目標(biāo)及雙方未來的合作非常重要。接受外包的基本原則：雖然將服務(wù)交付轉(zhuǎn)移，但其

20、責(zé)任仍屬于組織內(nèi)的管理層，必須確保對風(fēng)險的適當(dāng)管理和供應(yīng)商持續(xù)的價值交付。云計算服務(wù)模式云計算部署模式10部署模式考慮因素私有云不具備公共云的擴(kuò)展性和靈活性服務(wù)模式考慮因素基礎(chǔ)架構(gòu)即服務(wù)（）如果云服務(wù)商的服務(wù)中斷，如何將影響降到最低？平臺即服務(wù)（PaaS）可用性、性發(fā)生安全時的隱私和法律責(zé)任數(shù)據(jù)所軟件即服務(wù)（SaaS）應(yīng)用程序在哪里？ 應(yīng)用程序歸誰所有？優(yōu)點(diǎn)缺點(diǎn)及業(yè)務(wù)風(fēng)險風(fēng)險l 外包商通過重用，具有規(guī)模效應(yīng)l 外包商能投入時間，提高效率l 外包商具有的問題處理經(jīng)驗和技術(shù)l 合同協(xié)議的約束可保證質(zhì)量l 外包商很少有項目失控和項目延期的情況l 成本可能會超過預(yù)期l 喪失內(nèi)部獲得經(jīng)驗的機(jī)會l 喪失對

21、外包項目的l 外包商可能會出現(xiàn)業(yè)務(wù)故障l 缺乏對的遵循l 外包商缺乏對客戶的忠誠度l 項目失敗可能會危及雙方聲譽(yù)l 制定可衡量的、伙伴式利益共享目標(biāo)和回報機(jī)制l 使用多個外包商，進(jìn)行競爭l 定期對項目進(jìn)行l(wèi) 組建跨職能的項目管理團(tuán)隊l 適當(dāng)考慮可合理預(yù)見的多種偶然因素所有 張斌 zhangbin7. 企業(yè)風(fēng)險管理風(fēng)險管理流程的三個域風(fēng)險治理風(fēng)險響應(yīng)風(fēng)險評估風(fēng)險管理的步驟：(1) 識別資產(chǎn)，對需要保護(hù)的信息或資產(chǎn)進(jìn)行識別和分級。(2) 評估與信息相關(guān)的威脅和脆弱性，以及可能性。(3) 量化潛在的威脅的概率和對業(yè)務(wù)的影響。(4) 評價現(xiàn)有，或設(shè)計新的來降低風(fēng)險至可接受水平。脆弱性、威脅、風(fēng)險及之間

22、的關(guān)系11社區(qū)云數(shù)據(jù)可能會與競爭對手的數(shù)據(jù)在一起公共云數(shù)據(jù)可能在未知位置，可能無法輕松檢索混合云綜合上述各種風(fēng)險所有 張斌 zhangbin定量的風(fēng)險分析公式：資產(chǎn)價值（AV）×因子（EF）=單一損失期望（SLE）單一損失期望（SLE）×年發(fā)生比率（ARO）=年度損失期望（ALE）定性的風(fēng)險分析操作方法可以多種多樣，包括小組討論（例如 Delphi 方法）、檢查列表（Checklist）、問卷（Questionnaire）、訪談（Interview）、（Survey）等定量與定性風(fēng)險分析的缺點(diǎn)12定量分析定性分析l 計算更加復(fù)雜。管理層能夠理解是怎么計算出來的嗎？l 沒有可

23、供利用的自動化工具，這個過程完全需要手動完成l 需要作大量基礎(chǔ)性的工作，以收集與環(huán)境相關(guān)的詳細(xì)信息l 沒有相應(yīng)的標(biāo)準(zhǔn)。每個供應(yīng)商解釋其評估過程和結(jié)果的方式各不相同l 評估方法及結(jié)果相對l 無法為成本/分析建立貨幣價值l 使用衡量很難跟蹤風(fēng)險管理目標(biāo)l 沒有相應(yīng)的標(biāo)準(zhǔn)。每個供應(yīng)商解釋其評估過程和結(jié)果的方式各不相同所有 張斌 zhangbin8. IT 績效監(jiān)督和報告IT 平衡記分卡（IT BSC，IT Balance Score Card）目標(biāo)是建立管理層向董事會的報告途徑，就 IT 戰(zhàn)略目標(biāo)在關(guān)鍵利益相關(guān)方之間達(dá)成一致，證實 IT 的效果與價值，IT 績效、風(fēng)險和能力。IT 平衡記分卡的四個關(guān)

24、鍵要素：財務(wù)Financial客戶（滿意度）CustomerIT平衡記分卡內(nèi)部運(yùn)營流程Internal Processes創(chuàng)新與學(xué)習(xí)Innovation & Learning9. 業(yè)務(wù)連續(xù)性及恢復(fù)計劃的開發(fā)、維護(hù)和演練的定義：（Disaster）是突發(fā)的、導(dǎo)致?lián)p失的不幸業(yè)務(wù)連續(xù)性計劃（BCP）的步驟：13自然的（Natural）、洪水、強(qiáng)對流天氣、火山爆發(fā)、自然火災(zāi)系統(tǒng)/技術(shù)的（System/Technical）硬件、軟件中斷、系統(tǒng)/編程錯誤供應(yīng)系統(tǒng)（Supply Systems）通訊中斷、配電系統(tǒng)中斷、管道破裂人為的（Man-Made）、火災(zāi)、故意破壞、航空器墜毀、有害物質(zhì)泄漏、化學(xué)

25、污染、有害代碼政治的（Political）、所有 張斌 zhangbin業(yè)務(wù)連續(xù)性計劃的指標(biāo)l恢復(fù)時間目標(biāo)（Recovery Time Objectives，RTO）：在系統(tǒng)的不可用性嚴(yán)重影響到機(jī)構(gòu)之前所消耗的最長時間。l恢復(fù)點(diǎn)目標(biāo)（Recovery Point Objectives，RPO）：數(shù)據(jù)必須被恢復(fù)以便繼續(xù)進(jìn)行處理的點(diǎn)。也就是所的最大數(shù)據(jù)損失量。系統(tǒng)的重要性分析14重要性分類描述關(guān)鍵的（Critical）l 除非同樣的系統(tǒng)替代，否則這些功能不再起作用l 職能系統(tǒng)方式，不能人工方式替代l 停機(jī)成本很高，必須立即恢復(fù)（幾小時到一天）重要的（Vital）l 停機(jī)后可以由人工代替，但只能維持

26、一段時間l 可以忍受在一定的時間范圍內(nèi)恢復(fù)系統(tǒng)（1-5 天）敏感的（Sensitive）l 可以由人工代替，但流程較，需要額外人手l 在較長時間內(nèi)恢復(fù)系統(tǒng)（一周以上）不敏感的（Nonsensitive）l 停機(jī)對流程沒什么影響所有 張斌 zhangbinBCP 計劃的開發(fā)用戶和管理層的參與是 BCP 計劃的重要因素，是識別關(guān)鍵的基礎(chǔ)。三個部門必須在開發(fā)BCP 計劃時參與進(jìn)來：lll服務(wù)支持部門：檢測信號，宣告業(yè)務(wù)運(yùn)行部門：評估可能信息處理部門：執(zhí)行恢復(fù)的影響B(tài)CP 計劃的測試lll紙上演練：所有相關(guān)者都參與，討論服務(wù)中斷后的后果及應(yīng)對策略，在預(yù)備性演練之前預(yù)備性演練：模擬發(fā)生，在局部范圍（比如

27、分支機(jī)構(gòu)）演練所涉及的BCP全面演練：完全關(guān)閉業(yè)務(wù)運(yùn)行，實施全面演練第三章. 信息系統(tǒng)獲取、開發(fā)和實施1.管理實踐業(yè)務(wù)案例（Business Case），也叫商業(yè)模式、商業(yè)案例。主要回答“為什么要實施這個項目？”為實施項目提供理由，比較項目成本和業(yè)務(wù)，作為啟動和持續(xù)一個項目的驗證條件。2. 項目管理框架、管理實務(wù)和工具項目（Project）、項目群（Program）和項目組合（Project Portfolio）功能需求項目NN項目三角形總面積不變111N時間期限項目組合項目群或預(yù)算15項目（Project）項目群（Program）項目組合（Project Portfolio）定義創(chuàng)造制定范圍

28、的一個獨(dú)特或服務(wù)。項目是項目群和項目組合的基礎(chǔ)。一個項目群由多個項目， 是戰(zhàn)略性的，實施周期較長。一個項目組合由多個項目或項目群，是一個時間點(diǎn)上組織正在進(jìn)行的項目集合。特點(diǎn)短期的，戰(zhàn)術(shù)性的長期的，戰(zhàn)略性的管理周期（每季度、每年）所有 張斌 zhangbin項目管理的組織形式：lll職能式（Influence）：項目經(jīng)理只作為一個成員，沒有正式的管理權(quán)限。項目式（Pure Project）：項目經(jīng)理有正式的來負(fù)責(zé)項目。矩陣式（Matrix Project）：項目經(jīng)理與部門經(jīng)理共同分擔(dān)管理權(quán)限。項目目標(biāo)管理原則（SMART）：lllllS-具體(Specific)，績效要切中特定的工作指標(biāo)，不能籠

29、統(tǒng)；M-可度量(Measurable)，指標(biāo)是可量化的，驗證這些指標(biāo)的數(shù)據(jù)或者信息是可獲得的； A-可實現(xiàn)(Attainable)，指標(biāo)在付出努力的情況下可以實現(xiàn)，避免設(shè)立過高或過低的目標(biāo)； R-現(xiàn)實性(Realistic），指標(biāo)是可以證明和觀察；績效指標(biāo)是與本職工作相關(guān)聯(lián)的；T-有時限(Time-based)，注重完成績效指標(biāo)的特定期限。軟件規(guī)模評估功能點(diǎn)分析法（FPA，F(xiàn)unction Point Analysis）基于輸入、輸出、文件、接口和的數(shù)量和復(fù)雜度。適用于大多數(shù)標(biāo)準(zhǔn)的應(yīng)用軟件開發(fā)，但對于或者與頁面表格、圖片等有很大關(guān)系的開發(fā)，則需要進(jìn)一步修正。FPA 不適于操作系統(tǒng)、處理、通訊、

30、工程類軟件的評估。lllll外部輸入（EI，External Input）外部輸出（EO，External Output）外部（EQ，External Query）內(nèi)部邏輯文件（ILF，Internal Logical File）外部接口文件（EIF，External Interface File）關(guān)鍵路徑法（CPM，Critical Path Method）關(guān)鍵路徑代表了整個項目預(yù)計的最短耗時，關(guān)鍵路徑上的任務(wù)沒有時間彈性，不在關(guān)鍵路徑上的任務(wù)具有一定的時間彈性。正向遍歷整個網(wǎng)絡(luò)，可以確定關(guān)鍵路徑；逆向遍歷整個網(wǎng)絡(luò)，可以計算彈性時間。甘特圖顯示任務(wù)開始時間和結(jié)束時間，任務(wù)完成順序，任務(wù)的分配

31、，也可以追蹤里程碑。項目評審技術(shù)（PERT，Program/Project Evaluation and Review Technique）也是一種 CPM 技術(shù)。PERT 時間=（樂觀完成時間+4×最可能完成時間+悲觀完成時間）/6設(shè)計項目的PERT 網(wǎng)絡(luò)圖時，第一步是識別所有任務(wù)、項目的里程碑和它們的相對次序。時間盒（Time Box）在限定一個相對短的時間，有限的情況下，定義和部署軟件的交付物。適合于原型法或快速應(yīng)用開發(fā)法，關(guān)鍵功能可以在較短時間內(nèi)交付用戶使用。16所有 張斌 zhangbin優(yōu)點(diǎn)：避免項目成本超支，避免進(jìn)度拖延的情況。凈值分析法（EVA，Eamed Value

32、d Analysis）-項目利用管理是一種能全面衡量項目進(jìn)度狀態(tài)、成本趨勢的科學(xué)方法，其基本要素是用貨幣量代替實物量來測量項目的進(jìn)度。它不以項目投入資金的多少來反映項目的進(jìn)展，而是以投入資金已經(jīng)轉(zhuǎn)化為項目成果的量來衡量，是一種完整和有效的項目方法。l已安排工作的預(yù)算費(fèi)用（BCWS，Budgeted Cost of Work Scheduled），即根據(jù)批準(zhǔn)認(rèn)可的進(jìn)度計劃和預(yù)算到某一時點(diǎn)應(yīng)當(dāng)完成的工作所需投入資金的累計值，它等于計劃工程量與預(yù)算單價的乘積之和。完成工作的預(yù)算費(fèi)用（BCWP，Budgeted Cost of Work Performed），即根據(jù)批準(zhǔn)認(rèn)可的預(yù)算，到某一時點(diǎn)已經(jīng)完成的

33、工作所需要投入資金的累計值，它等于已完工程重與預(yù)算單價的乘積之和。完成工作實際費(fèi)用（ACWP，Actual Cost of Work Performed），即某一時點(diǎn)已完成的工作所實際花費(fèi)的總金額，它等于已完工程量與實際支付單價（合同價）的乘積之和。費(fèi)用偏差（CV，Cost Variance）：可以看出已經(jīng)完成的工作是超過預(yù)算還是低于預(yù)算。 CV=BCWP-ACWP。進(jìn)度偏差（ SV ， Schedule Variance ）： 可以看出項目當(dāng)前進(jìn)度是提前還是滯后。SV=BCWP-BCWS。llll3.系統(tǒng)開發(fā)生命周期傳統(tǒng)的系統(tǒng)開發(fā)生命周期方法（SDLC，Software Developmen

34、t Life Cycle）也稱為瀑布模型（Waterfall M），適用于當(dāng)一個項目的需求穩(wěn)定、定義準(zhǔn)確，而且能忍受較長的開發(fā)周期的情況。17各個階段總體描述1.可行性研究初步業(yè)務(wù)需求，業(yè)務(wù)案例，技術(shù)、可行性，備選方案，投資回報2.需求定義用戶須積極參與。功能性需求和非功能性需求。定義安全需求（CIA，性、完整性、可用性），定義審計軌跡需求。確定是采購軟件還是定制開發(fā)。3A.系統(tǒng)用戶要參與軟件的評估和選擇過程。準(zhǔn)備需求（RFP），要考慮供應(yīng)商的財務(wù)能力，與供應(yīng)商簽訂軟件源代碼第保全協(xié)議（Escrow）。3B.系統(tǒng)設(shè)計系統(tǒng)規(guī)格說明，系統(tǒng)功能實現(xiàn)，接口設(shè)計，程序和數(shù)據(jù)庫設(shè)計，安全計劃。用戶過多參與

35、不合適，但設(shè)計可向用戶解釋軟件架構(gòu)如何滿足需求。4A.系統(tǒng)配置系統(tǒng)參數(shù)配置，與已有系統(tǒng)的接口開發(fā)與聯(lián)調(diào)。4B.系統(tǒng)開發(fā)程序編碼，調(diào)試與測試。5.部署和實施UAT 測試之后進(jìn)行，用戶培訓(xùn)，數(shù)據(jù)轉(zhuǎn)換，系統(tǒng)遷移，系統(tǒng)切換。所有 張斌 zhangbin實體關(guān)系圖（ERD，Entity Relationship Diagrams）描述系統(tǒng)數(shù)據(jù)及數(shù)據(jù)之間的交互，用于表達(dá)邏輯數(shù)據(jù)模型。軟件基線管理（Baseline）基線設(shè)計階段定義的一個凍結(jié)點(diǎn)，標(biāo)志著軟件開發(fā)過程的各個里程碑，任何一個軟件配置項， 一旦形成文檔并審核通過，就成為基線，標(biāo)志著一個階段的結(jié)束。如果需要修改基線，則需要通過正式的變更管理流程進(jìn)行評

36、估和審批。主要用于有效管理用戶需求，避免軟件開發(fā)范圍不斷蔓延而導(dǎo)致項目失控。編程標(biāo)準(zhǔn)編程標(biāo)準(zhǔn)了編碼的質(zhì)量和未來的維護(hù)能力，減小了系統(tǒng)開發(fā)過程中由于輪換帶來的返工，提高了系統(tǒng)開發(fā)效率，方便了維護(hù)和修改。集成開發(fā)環(huán)境（IDE，Integrated Development Environment）編程調(diào)試ll邏輯路徑監(jiān)測（Logic Path Monitor）：一系列內(nèi)存轉(zhuǎn)儲（Memory Dumps）：用于系統(tǒng)的報告，提供邏輯錯誤的線索。時，將內(nèi)存中的數(shù)據(jù)轉(zhuǎn)儲保存在轉(zhuǎn)儲文件中，供給有關(guān)進(jìn)行排錯分析。l輸出分析（Output Analysis）：通過比較實際的輸出結(jié)果與預(yù)期結(jié)果檢查系統(tǒng)的精確性。測試

37、模型V 模型18優(yōu)點(diǎn)缺點(diǎn)l 降低開發(fā)成本l 保持快速響應(yīng)時間l 提供共享的程序l 多個程序版本容易引起l 非與程序的完整性l 對程序代碼的合法修改可能被其他的修改覆蓋與更改程序代碼的可能性增加，危及系統(tǒng)所有 張斌 zhangbin軟件測試方法基本測試分類lll單元測試：對程序模塊內(nèi)部進(jìn)試集成測試/接口測試：測試多個模塊之間的連接，驗證整個系統(tǒng)的功能系統(tǒng)測試：將軟件作為整個計算機(jī)系統(tǒng)的一部分，與硬件、外設(shè)、其他系統(tǒng)、數(shù)據(jù)等結(jié)合在一起進(jìn)試最終接受測試lüü用戶接受測試（UAT）：用戶進(jìn)行驗收測試，確保用戶要求的功能得到實現(xiàn)質(zhì)量保證測試（QAT）：質(zhì)量保證進(jìn)試，對軟件的可遷移性、

38、兼容性、可維護(hù)性、錯誤的恢復(fù)功能進(jìn)行技術(shù)性確認(rèn)集成測試工具（ITF，Integrated Test Facilities）測試數(shù)據(jù)輸入到生產(chǎn)環(huán)境系統(tǒng)中運(yùn)行，驗證新系統(tǒng)在真實環(huán)境下的運(yùn)行狀況。要做好測試數(shù)據(jù)的標(biāo)識工作，避免與生產(chǎn)數(shù)據(jù)的。其他測試類型l測試（Alpha Testing）：一個用戶在開發(fā)環(huán)境下的測試，用于評價系統(tǒng)的 FURPS（功能、可使用性、可靠性、性能、支持服務(wù)）。19自底向上（Bottom-up） 從底層的單元測試開始自頂向下（Top-down） 從頂層的系統(tǒng)測試開始l 無需安裝驅(qū)動程序l 在所有程序完成前就可以開始測試l 對關(guān)鍵模塊的錯誤可以較早發(fā)現(xiàn)l 可以較早對主要功能和處

39、理流程進(jìn)l 接口錯誤可以較早的測試出來l 編程與用戶看到整個系統(tǒng)，增強(qiáng)信心試所有 張斌 zhangbinl測試（Beta Testing）：多個用戶在實際使用環(huán)境下進(jìn)行的測試，開發(fā)者通常不在測試現(xiàn)場，目標(biāo)是測試可支持性。模擬測試：對系統(tǒng)的某些特定或預(yù)定義的內(nèi)容進(jìn)行預(yù)備性的測試。白盒測試：測試軟件系統(tǒng)的所有內(nèi)部邏輯流程和路徑，證實操作符合設(shè)計要求。lll黑盒測試：根據(jù)軟件功能進(jìn)否符合功能說明。試，不考慮系統(tǒng)內(nèi)部邏輯結(jié)構(gòu)和內(nèi)部特性，檢查軟件是ll功能/確認(rèn)測試：驗證軟件的有效性，即軟件的功能和性能是否滿足用戶要求?；貧w測試：對測試場景中的某些內(nèi)容重新進(jìn)改沒有引入新的錯誤。試，目的是為了保證最近對軟

40、件做的修l平試：把同一套測試數(shù)據(jù)同時輸入到開發(fā)的新系統(tǒng)和原有系統(tǒng)中去運(yùn)行，對比兩個系統(tǒng)的輸出結(jié)果，新系統(tǒng)的正確性。l社交性測試：證實新系統(tǒng)在目標(biāo)環(huán)境中運(yùn)行時，對其他系統(tǒng)帶來影響。系統(tǒng)切換技術(shù)l并行切換/平行切換：新老系統(tǒng)同時運(yùn)行一段時間，對新系統(tǒng)的運(yùn)行滿意之后再完全切換到新系統(tǒng)。缺點(diǎn)在于實施初期必須同時運(yùn)行兩個系統(tǒng)，工作量大；優(yōu)點(diǎn)在于可以最小化切換風(fēng)險。分階段切換：用新系統(tǒng)的模塊逐步替代老系統(tǒng)的對應(yīng)模塊，直到全部完成。ll快速切換/切換：在某個具體時間點(diǎn)，快速從老系統(tǒng)切換到新系統(tǒng)。風(fēng)險最大。4.系統(tǒng)開發(fā)方法和工具敏捷開發(fā)（Agile Development）是一種以人為、迭代、循序漸進(jìn)的開發(fā)方

41、法。將計劃和一些指導(dǎo)性任務(wù)從項目經(jīng)理移交給項目成員，讓項目經(jīng)理主要為項目成員移除，實現(xiàn)團(tuán)隊的目標(biāo)。主要的敏捷開發(fā)方法包括：lllScrumXP（Extreme Programing）其他：Crystal、適應(yīng)性軟件開發(fā)（AdaptiveSoftware Development）、特征驅(qū)動式開發(fā)（Feature Driven Development）、動態(tài)系統(tǒng)開發(fā)方法（Dynamic Systems DevelopmentMethod）敏捷開發(fā)的主要特點(diǎn)：lll敏捷小組作為一個整體，所有參與者都把看成朝向一個共同目標(biāo)前進(jìn)的團(tuán)隊一員按短迭代周期工作，每次迭代稱之為一次沖刺，每次只計劃下一次開發(fā)每次

42、迭代交付一些成果，并不強(qiáng)調(diào)需求基線管理20所有 張斌 zhangbinll關(guān)注業(yè)務(wù)優(yōu)先級，按照所有者制定的順序交付功能根據(jù)經(jīng)常性的檢查來調(diào)整開發(fā)過程原型法（Prototyping）是指在獲取一組基本的需求定義后，利用高級軟件工具可視化的開發(fā)環(huán)境，快速地建立一個目標(biāo)系統(tǒng)的最初版本，并把它交給用戶試用、補(bǔ)充和修改，再進(jìn)行新的版本開發(fā)。反復(fù)進(jìn)行這個過程，直到得出系統(tǒng)的“精確解”，即用戶滿意為止?？焖賾?yīng)用開發(fā)（RAD，Rapid Application Development）是一種試圖快速生成系統(tǒng)而犧牲質(zhì)量的結(jié)構(gòu)化開發(fā)方法。RAD 與原型法有同樣的目標(biāo)對用戶需求做出快速反應(yīng)，但它范圍更廣。面向?qū)ο蟮?/p>

43、開發(fā)方法（OOSD，Object Oriented Software Development）客觀世界是由各種各樣的對象組成的，每種對象都有各自的內(nèi)部狀態(tài)和運(yùn)動規(guī)律，不同對象之間的相互作用和就了各種不同的系統(tǒng)。在設(shè)計和實現(xiàn)一個客觀系統(tǒng)時，在滿足需求的條件下，把系統(tǒng)設(shè)計成一些不可變的（相對固定）部分組成的最小集合（最好的設(shè)計）。這些不可變的部分就是所謂的對象。21優(yōu)點(diǎn)缺點(diǎn)適用范圍l 符合人們認(rèn)識事物的規(guī)律， 確保較好的用戶滿意度；l 開發(fā)周期短，費(fèi)用相對少；l 由于有用戶的直接參與，系統(tǒng)更加貼近實際；l 易學(xué)易用，減少用戶的培訓(xùn)時間；l 應(yīng)變能力強(qiáng)。l 經(jīng)常導(dǎo)致原始需求之外的額外功能的增加；l

44、變更變得復(fù)雜；l 完成的系統(tǒng)在機(jī)制方面比較弱l 開發(fā)過程管理要求高；l 用戶過早看到原型，誤認(rèn)為系統(tǒng)就是這個模樣，易使用戶失去信心；易將原型取代系統(tǒng)分析；l 缺乏規(guī)范化的文檔資料。l 適用于：處理過程明確、簡單系統(tǒng)；涉及面窄的小型系統(tǒng)l 不適于：大型、復(fù)雜系統(tǒng)，難以模擬；存在大量運(yùn)算、邏輯性強(qiáng)的處理系統(tǒng)；管理基礎(chǔ)工作善、處理過程不規(guī)范； 大量批處理系統(tǒng)適用 RAD 的情況不適用 RAD 的情況l 開發(fā)的軟件相對，可以單獨(dú)使用l 軟件可利用許多現(xiàn)有的類庫(APIs)l 系統(tǒng)操作性能(如速度)并非關(guān)鍵的考慮因素l 應(yīng)用的開發(fā)可以使用高端的軟件開發(fā)工具l 系統(tǒng)用戶覆蓋面較窄()l 項目的范圍和時限都

45、受到較嚴(yán)格的l 系統(tǒng)可靠性并非關(guān)鍵的考慮因素l 系統(tǒng)可分解成多個的模塊l 所采用的技術(shù)相對成熟(已使用超過一年)l 應(yīng)用軟件必須與多個現(xiàn)有系統(tǒng)協(xié)同工作l 幾乎沒有現(xiàn)成可用的組件l 程序具有很高的操作性能指標(biāo)l 系統(tǒng)開發(fā)不能使用高端的軟件開發(fā)工具l 系統(tǒng)用戶覆蓋面廣，數(shù)量大(面向大眾)l BAD 偏離目標(biāo)，變成快速但粗制濫造的開發(fā)l 系統(tǒng)可靠性目標(biāo)要求較高l 系統(tǒng)無法模塊化(無法進(jìn)行多組同步開發(fā))l 使用過于“前衛(wèi)”的技術(shù)，因而風(fēng)險過高l 開發(fā)所有 張斌 zhangbin對象的特點(diǎn)：封裝性、繼承性、多態(tài)性基于組件的開發(fā)方法通過定義的接口集成可執(zhí)行的軟件包，完成一定的服務(wù)。lll過程內(nèi)客戶端組件（

46、In-process Client Components）：瀏覽器客戶端組件（Stand-alone Client Components）：Office服務(wù)器端組件（Stand-alone Server Components）：微軟的 DCOM、CORBA，SUN 的RMI過程內(nèi)服務(wù)器組件（In-process Server Components）：微軟的 MTS，SUN 的 EJBl基于 Web 應(yīng)用開發(fā)方法利用 Web 服務(wù)應(yīng)用技術(shù)構(gòu)建企業(yè)的基于互聯(lián)網(wǎng)的分布式應(yīng)用系統(tǒng)的方法。特點(diǎn)：lll應(yīng)用的分布式；應(yīng)用到應(yīng)用的交互性； 平臺無關(guān)性。逆向工程（Reverse Engineering）指分析

47、已有的程序，尋求比源代碼更高級的抽象表現(xiàn)形式。逆向工程采取如下方式：ll將對象和可執(zhí)行文件拆編成源代碼，用它來分析程序；采用逆向工程作為黑盒，采用測試數(shù)據(jù)揭示它的功能。優(yōu)點(diǎn)：ll能夠?qū)崿F(xiàn)快速開發(fā)并降低 SDLC 的時間能代碼質(zhì)量從 IS 審計師角度，應(yīng)重點(diǎn)注意以下風(fēng)險：llll軟件協(xié)議是否包括限制軟件逆向工程的；反編譯器的功能是否滿足逆向工程需要；逆向工程過程成本費(fèi)用；。5.項目風(fēng)險管理實務(wù)項目風(fēng)險管理(1) 風(fēng)險(2) 評估風(fēng)險22所有 張斌 zhangbin(3) 管理風(fēng)險風(fēng)險(4)(5) 評估風(fēng)險管理流程軟件開發(fā)的風(fēng)險l業(yè)務(wù)風(fēng)險：系統(tǒng)不符合用戶的業(yè)務(wù)需要，不能達(dá)到用戶的期望值。該風(fēng)險由項

48、目發(fā)起人負(fù)責(zé)。l項目風(fēng)險：項目活動超出必要的財務(wù)限制，項目推遲完成。該風(fēng)險由項目經(jīng)理負(fù)責(zé)。6.IT 基礎(chǔ)設(shè)施獲取實務(wù)IT 基礎(chǔ)設(shè)施獲取的步驟物理架構(gòu)分析a) 檢查現(xiàn)有物理架構(gòu)b) 分析現(xiàn)有物理架構(gòu)，發(fā)現(xiàn)差距，初步設(shè)計未來的架構(gòu)建設(shè)方向c) 確定新技術(shù)架構(gòu)的功能需求d) 進(jìn)行概念驗證（POC）(1)基礎(chǔ)設(shè)施的實施(2)a) 技術(shù)架構(gòu)采購b) 制定交付計劃c) 制定安裝計劃d) 制定安裝測試計劃7.變更管理與配置管理變更管理程序員不能擁有寫、修改和刪除系統(tǒng)數(shù)據(jù)的權(quán)限，也不能獲得責(zé)無法分離，必須遵守變更管理流程，程序員必須得到必要的更。敏感信息的權(quán)限。如果職，防止的程序變緊急變更需考慮的因素：需要有

49、特殊的登錄 ID，以保證能夠暫時生產(chǎn)環(huán)境。配置管理是對軟件修改進(jìn)行標(biāo)識、組織和的技術(shù)，用來協(xié)調(diào)和系統(tǒng)過程。目的是為了減少，提高軟件生產(chǎn)率。23所有 張斌 zhangbin8. 信息系統(tǒng)的目標(biāo)與技術(shù)輸入lllll紙質(zhì)簽字電子/口令/終端限制具有輸入的表單批llll的類型總金額（Total Monetary Amount）：處理的總金額要一致總項目數(shù)（Total Items）：處理的項目總數(shù)要一致總文件數(shù)（Total Documents）：處理的文件總數(shù)要一致雜數(shù)總計（Hash Totals）：所有文件中數(shù)值類數(shù)字的總和要一致輸入錯誤的處理方法llll僅拒絕有錯誤的事務(wù)拒絕整批事務(wù)暫停輸入批次整批

50、接收并對錯誤事務(wù)做標(biāo)識數(shù)據(jù)確認(rèn)與編輯24方法簡要描述順序檢查（Sequence Check）任何沒按順序，或者順序的情況將被拒絕或為例外情況。比如的順序編號。限制檢查（Limit Check）檢查數(shù)據(jù)是否超過預(yù)定義的閾值。范圍檢查（Range Check）檢查數(shù)據(jù)是否在預(yù)定義的值的范圍之內(nèi)。有效性檢查（Validity Check）按照預(yù)定義的輸入標(biāo)準(zhǔn)對數(shù)據(jù)有效性進(jìn)行檢查。比如，只能輸入“男”和“女”，那么其他的輸入就是無效的。合理性檢查（Reasonableness Check）輸入的數(shù)據(jù)與預(yù)定義的合理極限或發(fā)生率相匹配。比如，一般人的不超過 150，如果某個輸入大于 150，則要提示警告。

51、庫表查找（Table Look-ups）輸入的數(shù)據(jù)必須與在數(shù)據(jù)庫中預(yù)定義的值相符合。存在性檢查（Existence Check）數(shù)據(jù)輸入要與有效的預(yù)定義的標(biāo)準(zhǔn)一致。比如編碼要求，yyyy mmdd-nn。所有 張斌 zhangbin處理保證計算數(shù)據(jù)的完整性和準(zhǔn)確性。保證數(shù)據(jù)在文件或數(shù)據(jù)庫中的完整和準(zhǔn)確，只有理或程序才能對數(shù)據(jù)進(jìn)行更改。的處數(shù)據(jù)文件25方法簡要描述處理前后的數(shù)據(jù)映像報告（Before and after image report）應(yīng)當(dāng)保留實務(wù)處理前后的數(shù)據(jù)映像，便于對事務(wù)進(jìn)行追蹤。錯誤報告的維護(hù)與處理（Maintena nce error report and handling）應(yīng)