信息系統(tǒng)審計基礎(chǔ)培訓(xùn).1課件

1、課程目錄信息系統(tǒng)審計基礎(chǔ)通用計算機控制審計應(yīng)用系統(tǒng)控制審計計算機輔助審計技術(shù)介紹信息技術(shù)控制缺陷的評估對外包服務(wù)商內(nèi)部控制的考慮交流與回答1信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息系統(tǒng)審計基礎(chǔ) 2信息系統(tǒng)審計基礎(chǔ)培訓(xùn)IT審計的定義為了信息系統(tǒng)的安全、可靠與有效，由獨立于審計對象的IT審計師，以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價，向IT審計對象的最高領(lǐng)導(dǎo)，提出問題與建議的一連串的活動。IT審計的要點：獨立性綜合性IT審計師資格IT審計報告促進信息系統(tǒng)安全、可靠與有效3信息系統(tǒng)審計基礎(chǔ)培訓(xùn)IT審計 vs. 財務(wù)審計Assess Engagement Quality (Ch. 27)Pe

2、rform Post-Engagement ActivitiesEngagement Reporting (Ch. 26)Prepare Audit Summary Memorandum (Ch. 24)Obtain Management Representations (Ch. 23)Perform Subsequent Events Review (Ch. 22)Conclude & ReportPerform Financial Statement Review (Ch. 21)Overall Evaluation of Misstatements & the Scope of our

3、Audit (Ch.20)Perform Tests of Operating Effectiveness of Controls (Ch. 17)Perform the Audit PlanDetermine Planning Materiality (Ch. 11)Perform Preliminary Analytical Review (Ch. 10)Understand the Accounting Process (Ch. 9)Understanding Internal Control (Ch. 8)Understand the Entity and Its Environmen

4、t (Ch. 7.)Strategic Audit Planning (Ch. 6)Perform Preliminary PlanningEstablish Terms of Engagement (Ch. 5)Select the Engagement Team (Ch. 4)Assess & Respond to Engagement Risk (Ch. 3)Perform Pre- Engagement ActivitiesPrepare, Review and Control Working Papers (Ch. 25)Assess and Manage RiskAudit Qua

5、lityManage the Audit Engagement (Ch. 2)Plan an intermediate level of substantive procedures (Ch. 15)Plan to obtain audit evidence about the operating effectiveness of controls, in the current audit period or together with our work performed in the prior 2 audits, & plan a basic level of sub-stantive

6、 procedures (Ch. 14 & 15)Plan to obtain audit evidence about the operating effectiveness of controls, in the current audit period, & plan a moderate level of substantive procedures (Ch. 14 & 15)Plan a focused level of substantive procedures (Ch. 15)Develop the Audit PlanSummarize & Communicate the A

7、udit Plan (Ch 16)Plan to Rely on Operating Effectiveness of Controls (Ch. 13)Specific Identified Risk (Ch. 12)YesNoYesNoYesNo3.01.70.72.0.Perform Substantive Procedures SAP (Ch. 18) &/or Tests of Details (Ch. 19)No Specific Identified Risk (Ch. 12)Assess Risk at the Potential-Error Level (Ch. 12)Des

8、ign & implementation of controls was adequate (Ch. 9)No4信息系統(tǒng)審計基礎(chǔ)培訓(xùn)內(nèi)部控制構(gòu)成要素（COSO）確保相關(guān)信息得到及時識別與傳達的程序來自高管的信息政策與程序培訓(xùn)道德準則組織的控制意識?！案邔诱撜{(diào)”道德準則成文的政策與程序文化評估對影響組織績效的內(nèi)外部因素的評估業(yè)務(wù)風(fēng)險管理程序風(fēng)險管理內(nèi)部審計風(fēng)險評估確定內(nèi)部控制是否得到正確地設(shè)計、有效和因地制宜地執(zhí)行的程序管理分析披露委員會內(nèi)部審計確保風(fēng)險管理措施得到及時執(zhí)行的政策與程序授權(quán)審批普通程序和系統(tǒng)職責(zé)分隔客戶對帳信息技術(shù)控制5信息系統(tǒng)審計基礎(chǔ)培訓(xùn)IT穿插在企業(yè)內(nèi)部控制的各個環(huán)節(jié)控制環(huán)境

9、IT控制環(huán)境是公司整體控制環(huán)境的重要組成部分在公司“老總”層面要聽得到關(guān)于信息技術(shù)的聲音 信息技術(shù)的控制職責(zé)和簽字權(quán)力必須明確信息技術(shù)的控制政策和規(guī)程必須成文 風(fēng)險評估應(yīng)當(dāng)有專門的信息技術(shù)風(fēng)險評估程序應(yīng)當(dāng)對信息技術(shù)內(nèi)控計劃的制定加以監(jiān)督信息技術(shù)風(fēng)險包括安全、運行、可用性等，都會影響財務(wù)報告的可靠性管理層必須意識到信息技術(shù)的風(fēng)險與信息技術(shù)的控制息息相關(guān)信息與溝通部署用以支持溝通的架構(gòu)、標準和流程信息能夠準確、及時地向上傳遞方便地獲取信息技術(shù)相關(guān)的政策、流程、職位描述和職責(zé)定義準確地對財務(wù)數(shù)據(jù)和報告進行整理和溝通監(jiān)督對信息技術(shù)內(nèi)控進行持續(xù)監(jiān)督，確保其實質(zhì)有效實際并運行對信息技術(shù)文檔的充分性進行監(jiān)督

10、 信息技術(shù)內(nèi)審復(fù)核. 對彌補和升級程序進行監(jiān)控.持續(xù)的安全監(jiān)督6信息系統(tǒng)審計基礎(chǔ)培訓(xùn)了解企業(yè)內(nèi)部控制的程序 識別主要活動,程序和控制, 以應(yīng)對內(nèi)控的各實體層次構(gòu)成要素。了解監(jiān)管負責(zé)人員如何應(yīng)對風(fēng)險評估控制的設(shè)計與執(zhí)行對以下作出結(jié)論： 對實現(xiàn)有效內(nèi)部控制和可靠財務(wù)信息處理的幫助。它是否提高或降低內(nèi)部控制的有效性7信息系統(tǒng)審計基礎(chǔ)培訓(xùn)IT控制是內(nèi)部控制的重要組成部分Entity Level ControlsEntity-level controls set the tone and culture of the organization. IT entity-level controls are

11、part of a companys overall control environment.Controls include: Strategies and plans Policies and procedures Risk assessment activities Training and education Quality assurance Internal audit IT ServicesOS/Data/Telecom/Continuity/NetworksBusiness ProcessFinance ReportBusiness Process Customer Banki

12、ngBusiness ProcessLoan Business ProcessInvestmentIT General ControlsControls embedded within IT processes that provide a reliable operating environment and support the effective operation of application controls.Controls include: Program development Program changes Access to programs and data Comput

13、er operationsApplication ControlsControls embedded within business process applications directly support financial control objectives. Controls include:Control objectives/assertions include: Completeness Accuracy Existence/authorization Presentation/disclosure8信息系統(tǒng)審計基礎(chǔ)培訓(xùn)控制 vs. 風(fēng)險風(fēng)險是特定的威脅利用資產(chǎn)的脆弱性從而造成

14、對資產(chǎn)的一種潛在損害，風(fēng)險的嚴重程度與資產(chǎn)價值程度及威脅發(fā)生的頻度成正比為了將風(fēng)險控制在管理層可接受的程度，就必須對識別出的各類風(fēng)險實施相關(guān)的控制。在實施時須考慮如下因素：比較控制成本與減少風(fēng)險所得的收益管理層的風(fēng)險喜好（如，管理層準備接受的殘余風(fēng)險水平）愿意采取的風(fēng)險降低的方式（如，終止風(fēng)險、減少發(fā)生的可能、減少影響、轉(zhuǎn)移或保險）9信息系統(tǒng)審計基礎(chǔ)培訓(xùn)控制的分類預(yù)防性控制在事情發(fā)生前監(jiān)測問題監(jiān)控運營和輸入在問題發(fā)生前預(yù)測潛在問題避免錯誤、疏忽或蓄意行為的發(fā)生檢測性控制使用控制檢查和報告發(fā)生的錯誤、疏漏或蓄意行為的發(fā)生糾正性控制減少危害影響修復(fù)檢查性控制發(fā)現(xiàn)的問題找出問題原因，糾正問題衍生出的

15、錯誤，修改處理系統(tǒng)以減少未來問題發(fā)生的可能性10信息系統(tǒng)審計基礎(chǔ)培訓(xùn)內(nèi)部控制目標內(nèi)部控制就是要通過實施一系列特定的控制活動，達到所預(yù)期的結(jié)果或目的。通常包括：內(nèi)部會計控制主要針對會計操作，即資產(chǎn)安全、財務(wù)資料準確可靠運營控制針對日常運營、職能和活動，用于確保運營達到企業(yè)目標管理控制關(guān)注職能部門的運作效率及運營控制符合管理政策的程度，是以提高經(jīng)營效率和保證管理方針、政策的實施為目標的控制技術(shù)環(huán)境控制保護信息資產(chǎn)，符合組織的方針策略及法律法規(guī)的要求，信息輸入輸出，交易處理的準確性及完整性，數(shù)據(jù)處理的可靠性，備份與恢復(fù)，業(yè)務(wù)經(jīng)營的效率與效果11信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息系統(tǒng)控制目標內(nèi)部控制目標可以運用

16、在所有人工及自動化控制部分，常見的信息系統(tǒng)控制目標如：保護信息系統(tǒng)以防止不當(dāng)存取，并確保及時更新保護計算機操作系統(tǒng)及網(wǎng)絡(luò)操作系統(tǒng)的完整性保護敏感的、重要的應(yīng)用系統(tǒng)（如財務(wù)及管理應(yīng)用系統(tǒng)）的機密性和完整性：保證信息系統(tǒng)的運營效率與效果符合用戶的需求、組織的方針、策略與程序，并遵守法律法規(guī)的要求制定業(yè)務(wù)持續(xù)計劃及災(zāi)難恢復(fù)計劃制定應(yīng)急響應(yīng)及處理程序12信息系統(tǒng)審計基礎(chǔ)培訓(xùn)實施信息系統(tǒng)審計信息系統(tǒng)審計是檢查評估自動化信息處理系統(tǒng)、與其有關(guān)的非自動化程序和兩者之間的接口等。實施信息系統(tǒng)審計需要如下幾個步驟：充分的審計計劃（短期、長期）為有效地利用審計資源，審計機構(gòu)必須評估所有風(fēng)險（一般控制與應(yīng)用控制領(lǐng)域

17、）制定審計計劃，包括審計目標與審計程序搜集證據(jù)、對現(xiàn)有控制進行評估與測試編寫審計報告，并與管理層溝通審計發(fā)現(xiàn)13信息系統(tǒng)審計基礎(chǔ)培訓(xùn)測試和評估信息系統(tǒng)控制的方法信息系統(tǒng)審計師必須理解和掌握測試評估信息系統(tǒng)控制的方法：使用通用審計軟件調(diào)查數(shù)據(jù)文件的內(nèi)容（包括系統(tǒng)日志）使用專用軟件來評估操作系統(tǒng)參數(shù)文件（如測試系統(tǒng)參數(shù)設(shè)置漏洞）用流程圖的方式來圖示業(yè)務(wù)流程及應(yīng)用系統(tǒng)使用操作系統(tǒng)中內(nèi)置的審計報告進行文檔檢查觀察14信息系統(tǒng)審計基礎(chǔ)培訓(xùn)符合性測試 vs. 實質(zhì)性測試符合性測試確定控制的執(zhí)行符合管理層制定的方針政策的程度。測試目的是為信息系統(tǒng)審計師提供保證其在初步評價中確定的關(guān)鍵控制點是可以信賴的。實質(zhì)

18、性測試驗證實際處理的完整性。例如對于貸款利息計算，信息系統(tǒng)審計師可能采取詳細的利息計算測試，也可能采取統(tǒng)計抽樣技術(shù)，得出全部貸款利息正確的結(jié)論。需要進行實質(zhì)性測試的數(shù)量與內(nèi)部控制水平直接相關(guān)。（德勤的方法中樣本數(shù)量可相差10倍）15信息系統(tǒng)審計基礎(chǔ)培訓(xùn)審計證據(jù)證據(jù)是審計師安全審計標準及目標的要求， 在對某一實體或數(shù)據(jù)進行審計時所采用的信息。審計證據(jù)包括審計人員的觀察、詢問的記錄、從內(nèi)部文件或信件中獲取的資料、審計測試程序所產(chǎn)生的結(jié)果。審計證據(jù)的可靠性取決于以下因素：提供審計證據(jù)人員的獨立性提供審計信息或證據(jù)人員的資格審計證據(jù)的客觀性審計證據(jù)的實效性16信息系統(tǒng)審計基礎(chǔ)培訓(xùn)審計證據(jù)的獲得獲取審計

19、證據(jù)的技術(shù)有：檢查信息系統(tǒng)組織結(jié)構(gòu)檢查信息系統(tǒng)方針政策檢查信息系統(tǒng)標準檢查信息系統(tǒng)文件約見相關(guān)人員并進行會談觀察處理過程和員工的實際表現(xiàn)審計工作不僅僅包括查詢程序，還包括對控制和審計證據(jù)的測試驗證，得出審計測試的結(jié)論17信息系統(tǒng)審計基礎(chǔ)培訓(xùn)通用計算機控制審計 18信息系統(tǒng)審計基礎(chǔ)培訓(xùn)通用計算機審計涵蓋的領(lǐng)域信息系統(tǒng)運作信息安全應(yīng)用系統(tǒng)的實施及維護數(shù)據(jù)庫的實施及維護網(wǎng)絡(luò)支持系統(tǒng)軟件支持信息資源戰(zhàn)略及規(guī)劃與外包供應(yīng)商的關(guān)系業(yè)務(wù)連續(xù)性計劃硬件支持19信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息系統(tǒng)運作所有進行批處理和在線作業(yè)及產(chǎn)生報表之生產(chǎn)程序均能及時運行并正常完成僅執(zhí)行有效的生產(chǎn)程序依照法律,法規(guī)或公司政策保存數(shù)據(jù),

20、以便必要時可隨時取得計算機處理環(huán)境的服務(wù)水平達到或超過管理當(dāng)局的期望用戶得到有關(guān)應(yīng)用系統(tǒng)使用的適當(dāng)培訓(xùn)用戶獲得適當(dāng)?shù)闹С忠源_保應(yīng)用系統(tǒng)的功能依照其預(yù)定的目標運行20信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息系統(tǒng)運作所有進行批處理和在線作業(yè)及產(chǎn)生報表之生產(chǎn)程序均能及時運行并正常完成管理當(dāng)局應(yīng)監(jiān)督計算機處理（包括復(fù)核及解決任何例外情形）以確保處理成功和及時地完成非正常處理的例外情形應(yīng)記入日志、經(jīng)管理當(dāng)局復(fù)核并立即解決對批次及在線處理程序進行定義，以確保該工作和/或交易被正常地處理及完成、或被恢復(fù)及重新處理21信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息系統(tǒng)運作僅執(zhí)行有效的生產(chǎn)程序自動化編排工具（scheduling tool）已被執(zhí)行

21、以確保處理流程經(jīng)授權(quán)及完整對生產(chǎn)處理控制語言和可執(zhí)行程序的訪問權(quán)限進行定義，使得只有適當(dāng)人員才能具有執(zhí)行、修改、刪除或創(chuàng)建的能力管理當(dāng)局或用戶復(fù)核完成的處理以確保其正確性、完整性及已經(jīng)授權(quán)22信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息系統(tǒng)運作依照法律,法規(guī)或公司政策保存數(shù)據(jù),以便必要時可隨時取得通過恢復(fù)或其他方法定期測試備份和保留數(shù)據(jù)的持續(xù)可讀性管理當(dāng)局和用戶制定數(shù)據(jù)備份和保留的計劃及時間；對不再需要保留的數(shù)據(jù)應(yīng)進行刪除并釋放介質(zhì)的儲存空間。管理當(dāng)局定期復(fù)核數(shù)據(jù)保留及釋放的記錄所有介質(zhì)（磁帶、手冊、指引等）都存放在安全的、可進行環(huán)境調(diào)控的地點可移動的介質(zhì)應(yīng)貼上標簽以便適當(dāng)識別自動化數(shù)據(jù)保留儲存工具經(jīng)管理當(dāng)局的批

22、準并得到實施以管理數(shù)據(jù)備份及保留的計劃和時間對數(shù)據(jù)進行異地備份存檔(archived off-site)以便最大限度減少數(shù)據(jù)丟失23信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息系統(tǒng)運作計算機處理環(huán)境的服務(wù)水平達到或超過管理當(dāng)局的期望對服務(wù)水平的衡量準則進行定義，該定義應(yīng)征得受影響的人員同意管理當(dāng)局監(jiān)督信息系統(tǒng)的服務(wù)水平，且當(dāng)服務(wù)表現(xiàn)未達到期望的服務(wù)水平時制定修正措施對計算機處理環(huán)境的性能和能力的利用應(yīng)被衡量、報告和經(jīng)管理當(dāng)局復(fù)核24信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息系統(tǒng)運作用戶得到有關(guān)應(yīng)用系統(tǒng)使用的適當(dāng)培訓(xùn)系統(tǒng)實施的程序應(yīng)包括對用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修改的系統(tǒng)的使用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)督該程序的執(zhí)行情況。應(yīng)為新聘用的員

23、工及實體內(nèi)調(diào)職的員工提供相關(guān)應(yīng)用系統(tǒng)的正式培訓(xùn)用戶可隨時訪問應(yīng)用系統(tǒng)中現(xiàn)有的用戶文件對支持的申請應(yīng)定期向管理當(dāng)局匯總并報告。管理當(dāng)局監(jiān)督支持申請的性質(zhì)及頻率以確定是否需要改善用戶培訓(xùn)、支持的資源和/或文件25信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息系統(tǒng)運作用戶獲得適當(dāng)?shù)闹С忠源_保應(yīng)用系統(tǒng)的功能依照其預(yù)定的目標運行管理當(dāng)局監(jiān)督問題的統(tǒng)計及趨勢，以識別及消除該問題重復(fù)出現(xiàn)的根本原因信息系統(tǒng)架構(gòu)應(yīng)包括幫助中心(helpdesk)的功能以便用戶進行有關(guān)系統(tǒng)的查詢。所提出的問題應(yīng)記錄在中央問題日志之中。幫助中心(helpdesk)工作人員應(yīng)監(jiān)督日志以確保及時解決所有用戶的查詢用戶可隨時訪問應(yīng)用系統(tǒng)中現(xiàn)有的用戶文件對支持

24、的申請應(yīng)定期向管理當(dāng)局匯總并報告。管理當(dāng)局監(jiān)督支持申請的性質(zhì)及頻率以確定是否需要改善用戶培訓(xùn)、支持的資源和/或文件26信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息安全邏輯安全物理安全信息系統(tǒng)政策27信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息安全須保護的計算機設(shè)備28信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息安全面臨的威脅29信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息安全物理安全UPS30信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息安全邏輯安全PublicNetwork31信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息安全邏輯安全PublicNetwork32信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息安全實施及配置邏輯安全管理工具和技術(shù)來限制對程序,數(shù)據(jù)及其他信息資源的訪問邏輯安全管理工具和技術(shù)得到適當(dāng)管理，以限制對程序、數(shù)據(jù)

25、和其他信息資源的訪問實施和管理物理訪問限制，以確保僅有經(jīng)適當(dāng)?shù)氖跈?quán)人員可以訪問和使用信息資源所有信息資源均配備必要的實體和邏輯安全措施實體的程序、數(shù)據(jù)及其他信息資源均受到保護以防病毒侵害實體計算機系統(tǒng)中軟件的安裝和/或使用遵循授權(quán)協(xié)議的規(guī)定及經(jīng)管理當(dāng)局授權(quán)保護信息資源免受環(huán)境災(zāi)害及相關(guān)損害的影響33信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息安全實施及配置邏輯安全管理工具和技術(shù)來限制對程序,數(shù)據(jù)及其他信息資源的訪問應(yīng)修改應(yīng)用程序、系統(tǒng)和通信及網(wǎng)絡(luò)軟件中的廠商默認密碼要求用戶擁有唯一的用戶識別代碼(identifier)以便對不同的用戶加以區(qū)分及確立可追蹤性終端設(shè)備和工作站應(yīng)設(shè)有保護程序，該保護程序在經(jīng)過一段設(shè)備預(yù)

26、設(shè)的閑置時間之后會自動激活敏感數(shù)據(jù)在傳輸過程中應(yīng)作加密處理信息安全工具與技術(shù)用于限制對信息資源(如：數(shù)據(jù)文件、公用程式(utility)、交易、程序）的訪問權(quán)限。管理當(dāng)局應(yīng)復(fù)核及核準信息安全工具與技術(shù)的實施和配置34信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息安全實施及配置邏輯安全管理工具和技術(shù)來限制對程序,數(shù)據(jù)及其他信息資源的訪問系統(tǒng)應(yīng)通過密碼或其他識別機制識別（本地或遠程的）用戶。應(yīng)制定有關(guān)密碼使用的政策 - 定期修改密碼、保密性和密碼格式（如：密碼長度、字母與數(shù)字混合的內(nèi)容）應(yīng)制定安全政策為信息安全的總體方向及執(zhí)行提供指引只有適當(dāng)?shù)娜藛T才有能力修改整體系統(tǒng)的安全參數(shù)應(yīng)激活信息安全工具的功能以便記錄及報告信息

27、安全政策所規(guī)定的安全事項（如安全違規(guī)報告）；應(yīng)定期復(fù)核該工具所產(chǎn)生的報告并采取必要的行動35信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息安全邏輯安全管理工具和技術(shù)得到適當(dāng)管理，以限制對程序、數(shù)據(jù)和其他信息資源的訪問要求用戶擁有唯一的用戶識別代碼(identifier)以便對不同的用戶加以區(qū)分及確立可追蹤性應(yīng)用程序所有者對用戶訪問特權(quán)的性質(zhì)和程度進行授權(quán)，且應(yīng)用程序所有者應(yīng)定期復(fù)核該訪問特權(quán)以確保維持其適當(dāng)性。用戶的訪問權(quán)限應(yīng)通過密碼或其他機制加以限制。密碼應(yīng)定期修改對未授權(quán)的企圖訪問信息資源的行為應(yīng)記入日志并在安全違規(guī)報告中記錄；應(yīng)定期復(fù)核該日志及報告并采取必要的行動對敏感數(shù)據(jù)（如人事記錄）經(jīng)授權(quán)的訪問應(yīng)記入日志

28、；應(yīng)定期復(fù)核該日志以評估對該數(shù)據(jù)的訪問及使用是否適當(dāng)36信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息安全邏輯安全管理工具和技術(shù)得到適當(dāng)管理，以限制對程序、數(shù)據(jù)和其他信息資源的訪問應(yīng)激活信息安全工具的功能以便記錄及報告信息安全政策所規(guī)定的安全事項（如安全違規(guī)報告）；應(yīng)定期復(fù)核該工具所產(chǎn)生的報告并采取必要的行動定義并指派與信息安全管理相關(guān)的職位和責(zé)任只有適當(dāng)?shù)娜藛T才有權(quán)限管理信息安全只有適當(dāng)?shù)娜藛T才有特許的訪問權(quán)限（所謂超級用戶），對該權(quán)限的使用應(yīng)記入日志并進行復(fù)核37信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息安全實施和管理物理訪問限制，以確保僅有經(jīng)適當(dāng)?shù)氖跈?quán)人員可以訪問和使用信息資源應(yīng)監(jiān)督存放計算機設(shè)備的樓層及區(qū)域的人員進出，且應(yīng)限

29、制只有相關(guān)工作職責(zé)的人員才可進入該區(qū)域；在經(jīng)管理當(dāng)局核準后才可獲準進入該區(qū)域已執(zhí)行涉及商業(yè)信息資源評估、以及識別與評估現(xiàn)有風(fēng)險水平的風(fēng)險評估來確定適當(dāng)?shù)木吆侠沓杀镜男畔踩軜?gòu)。該風(fēng)險評估應(yīng)定期更新，且管理當(dāng)局已實施合適的信息安全架構(gòu)以確保適當(dāng)?shù)娜藛T進出和邏輯安全控制38信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息安全所有信息資源均配備必要的實體和邏輯安全措施應(yīng)用程序所有者對用戶訪問特權(quán)的性質(zhì)和程度進行授權(quán)，且應(yīng)用程序所有者應(yīng)定期復(fù)核該訪問特權(quán)以確保維持其適當(dāng)性。用戶的訪問權(quán)限應(yīng)通過密碼或其他機制加以限制。密碼應(yīng)定期修改應(yīng)監(jiān)督存放計算機設(shè)備的樓層及區(qū)域的人員進出，且應(yīng)限制只有相關(guān)工作職責(zé)的人員才可進入該區(qū)域；在經(jīng)

30、管理當(dāng)局核準后才可獲準進入該區(qū)域已執(zhí)行涉及商業(yè)信息資源評估、以及識別與評估現(xiàn)有風(fēng)險水平的風(fēng)險評估來確定適當(dāng)?shù)木吆侠沓杀镜男畔踩軜?gòu)。該風(fēng)險評估應(yīng)定期更新，且管理當(dāng)局已實施合適的信息安全架構(gòu)以確保適當(dāng)?shù)娜藛T進出和邏輯安全控制39信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息安全實體的程序、數(shù)據(jù)及其他信息資源均受到保護以防病毒侵害所有軟件和數(shù)據(jù)在載入實體的系統(tǒng)之前應(yīng)先進行查毒所有實體的計算機及任何連接實體網(wǎng)絡(luò)的計算機應(yīng)安裝防病毒軟件。該防病毒軟件應(yīng)設(shè)置為當(dāng)下載數(shù)據(jù)或程序、打開數(shù)據(jù)文件或執(zhí)行程序時都須進行病毒掃描。應(yīng)監(jiān)督該政策的遵循情況定期對網(wǎng)絡(luò)上或有可能感染病毒的程序和數(shù)據(jù)文件進行病毒掃描要求用戶更新其防病毒軟件中的

31、病毒定義列表，且所有外部的程序和數(shù)據(jù)在下載到他們的計算機之前都須進行病毒掃描應(yīng)定期復(fù)核病毒掃描的結(jié)果，并對發(fā)現(xiàn)的問題采取適當(dāng)?shù)慕鉀Q方案40信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息安全實體計算機系統(tǒng)中軟件的安裝和/或使用遵循授權(quán)協(xié)議的規(guī)定及經(jīng)管理當(dāng)局授權(quán)管理當(dāng)局已確立正式的政策以確保在對應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時間安排，從而最大限度降低該修改對其他處理活動的影響存在正式的軟件政策及標準，并傳達給所有員工應(yīng)定期把安裝到實體計算機中的軟件與授權(quán)軟件的明細表相核對。如發(fā)現(xiàn)未經(jīng)許可或未授權(quán)安裝的軟件，應(yīng)獲得該軟件的授權(quán)許可或?qū)?/p>

32、件進行刪除在購買新軟件之前應(yīng)核實該軟件的購買及安裝以遵循公司的授權(quán)許可要求41信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息安全保護信息資源免受環(huán)境災(zāi)害及相關(guān)損害的影響管理當(dāng)局定期監(jiān)督環(huán)境控制機制的有效性，并評估對實體信息資源的潛在威脅的商業(yè)影響管理當(dāng)局提供備用電源(如：不間斷電源(UPS)、發(fā)電機)管理當(dāng)局應(yīng)確保有充足的煙霧/火警探測器和滅火設(shè)備數(shù)據(jù)中心的環(huán)境狀況(如：溫度、濕度)應(yīng)被監(jiān)督及調(diào)控計算機設(shè)施的所在地及其設(shè)計應(yīng)盡量避免受外部環(huán)境（如：風(fēng)、水、火）威脅42信息系統(tǒng)審計基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實施及維護DevelopRequirementSpecifications43信息系統(tǒng)審計基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實施及維護D

33、evelopRequirementSpecificationsPurchase/In-house Develop44信息系統(tǒng)審計基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實施及維護DevelopmentProject ManagementSoftwareSelectionDevelopRequirementSpecificationsPurchase/In-house Develop45信息系統(tǒng)審計基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實施及維護DevelopmentProject ManagementSoftwareSelectionDevelop RequirementSpecificationsPurchase/In-house

34、DevelopTesting46信息系統(tǒng)審計基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實施及維護Production Turnover(Program Change Controls)Documentation47信息系統(tǒng)審計基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實施及維護新的應(yīng)用系統(tǒng)的購買、開發(fā)均符合管理當(dāng)局的意愿新應(yīng)用系統(tǒng)得到適當(dāng)?shù)貙嵤┣移涔δ芊瞎芾懋?dāng)局的意愿當(dāng)新應(yīng)用系統(tǒng)實施完成后，原系統(tǒng)的數(shù)據(jù)能完整、準確且有效地轉(zhuǎn)入新系統(tǒng)應(yīng)用系統(tǒng)可得到有效的維護與技術(shù)支持現(xiàn)有系統(tǒng)的必要修改均能及時實施正確實施現(xiàn)有應(yīng)用系統(tǒng)的修改且其修改后的功能符合管理當(dāng)局的意愿48信息系統(tǒng)審計基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實施及維護新的應(yīng)用系統(tǒng)的購買、開發(fā)均符合管理當(dāng)局的意

35、愿管理當(dāng)局核準所有購買或開發(fā)應(yīng)用系統(tǒng)的決策，以確保系統(tǒng)的購買和開發(fā)與公司的系統(tǒng)規(guī)劃和戰(zhàn)略保持一致對項目進行優(yōu)先順序區(qū)分及指派，以確保有限的信息資源被適當(dāng)利用且與公司的業(yè)務(wù)目標保持一致使用正式的方法或程序為硬件、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購買、開發(fā)或維護提供指引49信息系統(tǒng)審計基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實施及維護新應(yīng)用系統(tǒng)得到適當(dāng)?shù)貙嵤┣移涔δ芊瞎芾懋?dāng)局的意愿管理當(dāng)局已確立正式的政策以確保在對應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時間安排，從而最大限度降低該修改對其他處理活動的影響依照測試計劃(包括(如適當(dāng))：系統(tǒng)

36、和單元測試、界面測試、并行測試(parallel testing)、容量測試及用戶驗收測試)對新的應(yīng)用系統(tǒng)和現(xiàn)行應(yīng)用系統(tǒng)的修改進行測試已確立的執(zhí)行程序包括確保操作、技術(shù)和用戶文件保持適時性及可供適當(dāng)人員獲取系統(tǒng)實施的程序應(yīng)包括對用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修改的系統(tǒng)的使用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)督該程序的執(zhí)行情況。應(yīng)為新聘用的員工及實體內(nèi)調(diào)職的員工提供相關(guān)應(yīng)用系統(tǒng)的正式培訓(xùn)50信息系統(tǒng)審計基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實施及維護新應(yīng)用系統(tǒng)得到適當(dāng)?shù)貙嵤┣移涔δ芊瞎芾懋?dāng)局的意愿應(yīng)在獨立于生產(chǎn)環(huán)境之外的環(huán)境中開發(fā)、修改及測試應(yīng)用系統(tǒng)適當(dāng)限制對測試和生產(chǎn)環(huán)境的訪問權(quán)限使用完整和具代表性的一組測試數(shù)據(jù)，而不是生產(chǎn)數(shù)據(jù)

37、來執(zhí)行測試維護源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性應(yīng)對硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、和系統(tǒng)軟件的修改建議的影響進行評估；在該建議實施到生產(chǎn)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限度減少對營運的干擾51信息系統(tǒng)審計基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實施及維護應(yīng)用系統(tǒng)可得到有效的維護與技術(shù)支持實體對外部承包商和/或軟件廠商獲得的應(yīng)用程序或技術(shù)支持有正式的協(xié)議，以確保能獲得該支持。管理當(dāng)局應(yīng)監(jiān)督該協(xié)議的遵循情況已確立的執(zhí)行程序包括確保操作、技術(shù)和用戶文件保持適時性及可供適當(dāng)人員獲取管理當(dāng)局監(jiān)督所購買的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的支持版已投入使用，且新的版本正被應(yīng)用使用管理當(dāng)

38、局已核準的一套通用準則來進行軟件開發(fā)與維護，以確保實體內(nèi)的開發(fā)與維護活動保持一致開發(fā)人員經(jīng)充分培訓(xùn)且熟悉公司所使用的通用準則、技術(shù)和工具更改管理程序以確保源代碼與可執(zhí)行代碼的同步維護源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性52信息系統(tǒng)審計基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實施及維護現(xiàn)有系統(tǒng)的必要修改均能及時實施管理當(dāng)局復(fù)核系統(tǒng)性能報告并監(jiān)督確保識別出低效率的性能時已立即采取足夠的措施，且制定及執(zhí)行相應(yīng)的解決方案用戶和其他對應(yīng)用系統(tǒng)修改的申請(包括系統(tǒng)更新和廠商定期發(fā)布的補丁程序)應(yīng)經(jīng)管理當(dāng)局核準，且如果該修改符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的意愿，應(yīng)予以執(zhí)行使用正式的方

39、法或程序為硬件、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購買、開發(fā)或維護提供指引對于現(xiàn)有硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫結(jié)構(gòu)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件修改的執(zhí)行，管理當(dāng)局應(yīng)監(jiān)督該項目已達到原定的目標且符合預(yù)算及時間的要求53信息系統(tǒng)審計基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實施及維護正確實施現(xiàn)有應(yīng)用系統(tǒng)的修改且其修改后的功能符合管理當(dāng)局的意愿管理當(dāng)局已確立正式的政策以確保在對應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時間安排，從而最大限度降低該修改對其他處理活動的影響依照測試計劃(包括(如適當(dāng))：系統(tǒng)和單元測試、界面測試、并行測試(parallel te

40、sting)、容量測試及用戶驗收測試)對新的應(yīng)用系統(tǒng)和現(xiàn)行應(yīng)用系統(tǒng)的修改進行測試已確立的執(zhí)行程序包括確保操作、技術(shù)和用戶文件保持適時性及可供適當(dāng)人員獲取應(yīng)在獨立于生產(chǎn)環(huán)境之外的環(huán)境中開發(fā)、修改及測試應(yīng)用系統(tǒng)管理當(dāng)局保留應(yīng)用系統(tǒng)和/或數(shù)據(jù)先前的版本以備發(fā)生處理問題時進行系統(tǒng)/數(shù)據(jù)恢復(fù)54信息系統(tǒng)審計基礎(chǔ)培訓(xùn)應(yīng)用系統(tǒng)的實施及維護正確實施現(xiàn)有應(yīng)用系統(tǒng)的修改且其修改后的功能符合管理當(dāng)局的意愿在生產(chǎn)環(huán)境中對應(yīng)用系統(tǒng)的修改申請應(yīng)進行存檔并經(jīng)管理當(dāng)局核準。管理當(dāng)局應(yīng)監(jiān)督所有該修改的執(zhí)行更改管理程序以確保源代碼與可執(zhí)行代碼的同步55信息系統(tǒng)審計基礎(chǔ)培訓(xùn)數(shù)據(jù)庫的實施及支持數(shù)據(jù)庫管理系統(tǒng)（或同等系統(tǒng)）所定義的數(shù)據(jù)

41、結(jié)構(gòu)已適當(dāng)實施且其功能符合管理當(dāng)局的意愿現(xiàn)有數(shù)據(jù)結(jié)構(gòu)的必要修改均能及時實施現(xiàn)有數(shù)據(jù)結(jié)構(gòu)的修改實施正確且修改后的數(shù)據(jù)結(jié)構(gòu)功能符合管理當(dāng)局的意愿56信息系統(tǒng)審計基礎(chǔ)培訓(xùn)數(shù)據(jù)庫的實施及支持數(shù)據(jù)庫管理系統(tǒng)（或同等系統(tǒng)）所定義的數(shù)據(jù)結(jié)構(gòu)已適當(dāng)實施且其功能符合管理當(dāng)局的意愿管理當(dāng)局已確立正式的政策以確保在對應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時間安排，從而最大限度降低該修改對其他處理活動的影響在安裝和/或維護數(shù)據(jù)庫和/或使用該數(shù)據(jù)庫的應(yīng)用系統(tǒng)時，應(yīng)提供及使用現(xiàn)有的數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)文件實體的數(shù)據(jù)結(jié)構(gòu)應(yīng)遵循信息系統(tǒng)規(guī)劃及管理

42、當(dāng)局的意愿進行定義及執(zhí)行數(shù)據(jù)結(jié)構(gòu)的修改在執(zhí)行之前應(yīng)在測試環(huán)境中進行評估依照測試計劃(包括(如適當(dāng))：界面測試、并行測試(parallel testing)、容量測試及用戶驗收測試)對新的數(shù)據(jù)結(jié)構(gòu)和現(xiàn)行的數(shù)據(jù)結(jié)構(gòu)的修改進行測試57信息系統(tǒng)審計基礎(chǔ)培訓(xùn)數(shù)據(jù)庫的實施及支持數(shù)據(jù)庫管理系統(tǒng)（或同等系統(tǒng)）所定義的數(shù)據(jù)結(jié)構(gòu)已適當(dāng)實施且其功能符合管理當(dāng)局的意愿系統(tǒng)實施的程序應(yīng)包括對用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修改的系統(tǒng)的使用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)督該程序的執(zhí)行情況。應(yīng)為新聘用的員工及實體內(nèi)調(diào)職的員工提供相關(guān)應(yīng)用系統(tǒng)的正式培訓(xùn)實體的數(shù)據(jù)庫管理系統(tǒng)應(yīng)包括自動對任何數(shù)據(jù)庫的變更進行更新的活動數(shù)據(jù)字典(Active Da

43、ta Dictionary)適當(dāng)限制對測試和生產(chǎn)環(huán)境的訪問權(quán)限負責(zé)管理及定義數(shù)據(jù)庫組件(database compenents)的職責(zé)應(yīng)指派給適當(dāng)?shù)娜藛T維護源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性應(yīng)對硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、和系統(tǒng)軟件的修改建議的影響進行評估；在該建議實施到生產(chǎn)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限度減少對營運的干擾58信息系統(tǒng)審計基礎(chǔ)培訓(xùn)數(shù)據(jù)庫的實施及支持現(xiàn)有數(shù)據(jù)結(jié)構(gòu)的必要修改均能及時實施管理當(dāng)局復(fù)核系統(tǒng)性能報告并監(jiān)督確保識別出低效率的性能時已立即采取足夠的措施，且制定及執(zhí)行相應(yīng)的解決方案用戶和其他對應(yīng)用系統(tǒng)修改的申請(包括系統(tǒng)更新和廠商

44、定期發(fā)布的補丁程序)應(yīng)經(jīng)管理當(dāng)局核準，且如果該修改符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的意愿，應(yīng)予以執(zhí)行用戶和其他對數(shù)據(jù)結(jié)構(gòu)修改的申請(包括更新和廠商定期發(fā)布的補丁程序)應(yīng)經(jīng)管理當(dāng)局核準，且如果該修改符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的意愿，應(yīng)予以執(zhí)行對于現(xiàn)有硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫結(jié)構(gòu)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件修改的執(zhí)行，管理當(dāng)局應(yīng)監(jiān)督該項目已達到原定的目標且符合預(yù)算及時間的要求59信息系統(tǒng)審計基礎(chǔ)培訓(xùn)數(shù)據(jù)庫的實施及支持現(xiàn)有數(shù)據(jù)結(jié)構(gòu)的修改實施正確且修改后的數(shù)據(jù)結(jié)構(gòu)功能符合管理當(dāng)局的意愿管理當(dāng)局已確立正式的政策以確保在對應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影

45、響的人員并與其協(xié)調(diào)該修改的時間安排，從而最大限度降低該修改對其他處理活動的影響執(zhí)行的方式應(yīng)容許必要時可將系統(tǒng)還原至原來的環(huán)境在安裝和/或維護數(shù)據(jù)庫和/或使用該數(shù)據(jù)庫的應(yīng)用系統(tǒng)時，應(yīng)提供及使用現(xiàn)有的數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)文件數(shù)據(jù)結(jié)構(gòu)的修改在執(zhí)行之前應(yīng)在測試環(huán)境中進行評估依照測試計劃(包括(如適當(dāng))：界面測試、并行測試(parallel testing)、容量測試及用戶驗收測試)對新的數(shù)據(jù)結(jié)構(gòu)和現(xiàn)行的數(shù)據(jù)結(jié)構(gòu)的修改進行測試60信息系統(tǒng)審計基礎(chǔ)培訓(xùn)數(shù)據(jù)庫的實施及支持現(xiàn)有數(shù)據(jù)結(jié)構(gòu)的修改實施正確且修改后的數(shù)據(jù)結(jié)構(gòu)功能符合管理當(dāng)局的意愿實體的數(shù)據(jù)庫管理系統(tǒng)應(yīng)包括自動對任何數(shù)據(jù)庫的變更進行更新的活動數(shù)據(jù)字典

46、(Active Data Dictionary)在生產(chǎn)環(huán)境中對數(shù)據(jù)結(jié)構(gòu)的修改申請應(yīng)進行存檔并經(jīng)管理當(dāng)局核準。管理當(dāng)局應(yīng)監(jiān)督所有該修改的執(zhí)行61信息系統(tǒng)審計基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通信軟件的購買符合管理當(dāng)局的意愿新的網(wǎng)絡(luò)和通信軟件得到適當(dāng)?shù)貙嵤┣移涔δ芊瞎芾懋?dāng)局的意愿網(wǎng)絡(luò)和通信軟件可得到有效的維護與技術(shù)支持現(xiàn)有網(wǎng)絡(luò)和通信軟件的必要修改均能及時實施正確實施現(xiàn)有網(wǎng)絡(luò)和通信軟件的修改且修改后的功能符合管理當(dāng)局的意愿62信息系統(tǒng)審計基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通信軟件的購買符合管理當(dāng)局的意愿管理當(dāng)局核準對網(wǎng)絡(luò)和通信軟件及系統(tǒng)的購買，以確保該購買和開發(fā)符合公司的系統(tǒng)規(guī)劃及戰(zhàn)略對項目進行優(yōu)先順序區(qū)分及指派

47、，以確保有限的信息資源被適當(dāng)利用且與公司的業(yè)務(wù)目標保持一致使用正式的方法或程序為硬件、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購買、開發(fā)或維護提供指引63信息系統(tǒng)審計基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通信軟件得到適當(dāng)?shù)貙嵤┣移涔δ芊瞎芾懋?dāng)局的意愿管理當(dāng)局已確立正式的政策以確保在對應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時間安排，從而最大限度降低該修改對其他處理活動的影響網(wǎng)絡(luò)和通信軟件及硬件在執(zhí)行之前應(yīng)首先在測試環(huán)境中進行安裝與評估在安裝和/或維護網(wǎng)絡(luò)時，應(yīng)提供及使用現(xiàn)有的網(wǎng)絡(luò)軟件、通信軟件、和網(wǎng)絡(luò)拓樸(Network Topol

48、ogy)文件依照測試計劃(包括(如適當(dāng))：系統(tǒng)和單元測試、界面測試、并行測試(parallel testing)、容量測試及用戶驗收測試)對新的網(wǎng)絡(luò)和通信軟件與現(xiàn)行的網(wǎng)絡(luò)和通信軟件修改進行測試64信息系統(tǒng)審計基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持新的網(wǎng)絡(luò)和通信軟件得到適當(dāng)?shù)貙嵤┣移涔δ芊瞎芾懋?dāng)局的意愿系統(tǒng)實施的程序應(yīng)包括對用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修改的系統(tǒng)的使用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)督該程序的執(zhí)行情況。應(yīng)為新聘用的員工及實體內(nèi)調(diào)職的員工提供相關(guān)應(yīng)用系統(tǒng)的正式培訓(xùn)適當(dāng)限制對測試和生產(chǎn)環(huán)境的訪問權(quán)限使用完整和具代表性的一組測試數(shù)據(jù)，而不是生產(chǎn)數(shù)據(jù)來執(zhí)行測試維護源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)的現(xiàn)有文件

49、，以確保生產(chǎn)程序的可執(zhí)行性應(yīng)對硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、和系統(tǒng)軟件的修改建議的影響進行評估；在該建議實施到生產(chǎn)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限度減少對營運的干擾65信息系統(tǒng)審計基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持網(wǎng)絡(luò)和通信軟件可得到有效的維護與技術(shù)支持實體對外部承包商和/或軟件廠商獲得的應(yīng)用程序或技術(shù)支持有正式的協(xié)議，以確保能獲得該支持。管理當(dāng)局應(yīng)監(jiān)督該協(xié)議的遵循情況在安裝和/或維護網(wǎng)絡(luò)時，應(yīng)提供及使用現(xiàn)有的網(wǎng)絡(luò)軟件、通信軟件、和網(wǎng)絡(luò)拓樸(Network Topology)文件管理當(dāng)局監(jiān)督所購買的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的支持版已投入使用，且新的版本正被應(yīng)用使用管理當(dāng)局已核準的一套通用準則來進行軟件開發(fā)與

50、維護，以確保實體內(nèi)的開發(fā)與維護活動保持一致維護源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性66信息系統(tǒng)審計基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持現(xiàn)有網(wǎng)絡(luò)和通信軟件的必要修改均能及時實施管理當(dāng)局復(fù)核系統(tǒng)性能報告并監(jiān)督確保識別出低效率的性能時已立即采取足夠的措施，且制定及執(zhí)行相應(yīng)的解決方案用戶和其他對網(wǎng)絡(luò)基礎(chǔ)設(shè)施及通信軟件修改的申請(包括更新和廠商定期發(fā)布的補丁程序)應(yīng)經(jīng)管理當(dāng)局核準，且如果該修改符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的意愿，應(yīng)予以執(zhí)行使用正式的方法或程序為硬件、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購買、開發(fā)或維護提供指引對于現(xiàn)有硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫結(jié)構(gòu)、網(wǎng)絡(luò)和通信軟件及

51、系統(tǒng)軟件修改的執(zhí)行，管理當(dāng)局應(yīng)監(jiān)督該項目已達到原定的目標且符合預(yù)算及時間的要求67信息系統(tǒng)審計基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持正確實施現(xiàn)有網(wǎng)絡(luò)和通信軟件的修改且修改后的功能符合管理當(dāng)局的意愿管理當(dāng)局已確立正式的政策以確保在對應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時間安排，從而最大限度降低該修改對其他處理活動的影響執(zhí)行的方式應(yīng)容許必要時可將系統(tǒng)還原至原來的環(huán)境網(wǎng)絡(luò)和通信軟件及硬件在執(zhí)行之前應(yīng)首先在測試環(huán)境中進行安裝與評估在安裝和/或維護網(wǎng)絡(luò)時，應(yīng)提供及使用現(xiàn)有的網(wǎng)絡(luò)軟件、通信軟件、和網(wǎng)絡(luò)拓樸(Network Topology)文件依照

52、測試計劃(包括(如適當(dāng))：系統(tǒng)和單元測試、界面測試、并行測試(parallel testing)、容量測試及用戶驗收測試)對新的網(wǎng)絡(luò)和通信軟件與現(xiàn)行的網(wǎng)絡(luò)和通信軟件修改進行測試68信息系統(tǒng)審計基礎(chǔ)培訓(xùn)網(wǎng)絡(luò)支持正確實施現(xiàn)有網(wǎng)絡(luò)和通信軟件的修改且修改后的功能符合管理當(dāng)局的意愿使用正式的方法或程序為硬件、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購買、開發(fā)或維護提供指引在生產(chǎn)環(huán)境中對網(wǎng)絡(luò)和通信軟件的修改申請應(yīng)進行存檔并經(jīng)管理當(dāng)局核準。管理當(dāng)局應(yīng)監(jiān)督所有該修改的執(zhí)行69信息系統(tǒng)審計基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持新的系統(tǒng)軟件的購買符合管理當(dāng)局的意愿新的系統(tǒng)軟件得到適當(dāng)?shù)貙嵤┣移涔δ芊瞎芾懋?dāng)局的意愿系統(tǒng)軟件可得到有效的

53、維護與技術(shù)支持現(xiàn)有系統(tǒng)軟件的必要修改均能及時實施正確實施現(xiàn)有系統(tǒng)軟件的修改且修改后的功能符合管理當(dāng)局的意愿70信息系統(tǒng)審計基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持新的系統(tǒng)軟件的購買符合管理當(dāng)局的意愿管理當(dāng)局核準對計算機系統(tǒng)軟件的購買，以確保該購買和開發(fā)符合公司的系統(tǒng)規(guī)劃及戰(zhàn)略對項目進行優(yōu)先順序區(qū)分及指派，以確保有限的信息資源被適當(dāng)利用且與公司的業(yè)務(wù)目標保持一致使用正式的方法或程序為硬件、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的購買、開發(fā)或維護提供指引71信息系統(tǒng)審計基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持新的系統(tǒng)軟件得到適當(dāng)?shù)貙嵤┣移涔δ芊瞎芾懋?dāng)局的意愿在安裝和/或維護軟件時，應(yīng)提供及使用現(xiàn)有的系統(tǒng)軟件文件管理當(dāng)局已確立正式的政策以確

54、保在對應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時間安排，從而最大限度降低該修改對其他處理活動的影響執(zhí)行的方式應(yīng)容許必要時可將系統(tǒng)還原至原來的環(huán)境系統(tǒng)軟件的修改(包括升級、修改和對配置參數(shù)的修改)在實施到生產(chǎn)環(huán)境之前應(yīng)首先在測試環(huán)境中進行安裝與評估依照測試計劃(包括(如適當(dāng))：系統(tǒng)和單元測試、界面測試、并行測試(parallel testing)、容量測試及用戶驗收測試)對新的系統(tǒng)軟件與現(xiàn)行的系統(tǒng)軟件修改進行測試72信息系統(tǒng)審計基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持新的系統(tǒng)軟件得到適當(dāng)?shù)貙嵤┣移涔δ芊瞎芾懋?dāng)局的意愿系統(tǒng)實施的程序應(yīng)包括對

55、用戶提供有關(guān)新系統(tǒng)或經(jīng)大幅度修改的系統(tǒng)的使用培訓(xùn)。管理當(dāng)局應(yīng)監(jiān)督該程序的執(zhí)行情況。應(yīng)為新聘用的員工及實體內(nèi)調(diào)職的員工提供相關(guān)應(yīng)用系統(tǒng)的正式培訓(xùn)適當(dāng)限制對測試和生產(chǎn)環(huán)境的訪問權(quán)限使用完整和具代表性的一組測試數(shù)據(jù)，而不是生產(chǎn)數(shù)據(jù)來執(zhí)行測試維護源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性應(yīng)對硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、和系統(tǒng)軟件的修改建議的影響進行評估；在該建議實施到生產(chǎn)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限度減少對營運的干擾73信息系統(tǒng)審計基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持系統(tǒng)軟件可得到有效的維護與技術(shù)支持在安裝和/或維護軟件時，應(yīng)提供及使用現(xiàn)有的系統(tǒng)軟件文件實體對外部承包商和/或

56、軟件廠商獲得的應(yīng)用程序或技術(shù)支持有正式的協(xié)議，以確保能獲得該支持。管理當(dāng)局應(yīng)監(jiān)督該協(xié)議的遵循情況系統(tǒng)軟件參數(shù)(用于控制操作系統(tǒng))的設(shè)置和使用、以及其他可選的配置方案都被適當(dāng)存檔管理當(dāng)局監(jiān)督所購買的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件的支持版已投入使用，且新的版本正被應(yīng)用使用管理當(dāng)局已核準的一套通用準則來進行軟件開發(fā)與維護，以確保實體內(nèi)的開發(fā)與維護活動保持一致開發(fā)人員經(jīng)充分培訓(xùn)且熟悉公司所使用的通用準則、技術(shù)和工具維護源代碼及技術(shù)文件-包括有關(guān)數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)的現(xiàn)有文件，以確保生產(chǎn)程序的可執(zhí)行性74信息系統(tǒng)審計基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持現(xiàn)有系統(tǒng)軟件的必要修改均能及時實施管理當(dāng)局復(fù)核系統(tǒng)性能報告并監(jiān)

57、督確保識別出低效率的性能時已立即采取足夠的措施，且制定及執(zhí)行相應(yīng)的解決方案用戶和其他對系統(tǒng)軟件修改的申請(包括系統(tǒng)更新和廠商定期發(fā)布的補丁程序)應(yīng)經(jīng)管理當(dāng)局核準，且如果該修改符合信息系統(tǒng)的規(guī)劃及管理當(dāng)局的意愿，應(yīng)予以執(zhí)行對于現(xiàn)有硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫結(jié)構(gòu)、網(wǎng)絡(luò)和通信軟件及系統(tǒng)軟件修改的執(zhí)行，管理當(dāng)局應(yīng)監(jiān)督該項目已達到原定的目標且符合預(yù)算及時間的要求75信息系統(tǒng)審計基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持正確實施現(xiàn)有系統(tǒng)軟件的修改且修改后的功能符合管理當(dāng)局的意愿在安裝和/或維護軟件時，應(yīng)提供及使用現(xiàn)有的系統(tǒng)軟件文件管理當(dāng)局已確立正式的政策以確保在對應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)及通信軟件、和系統(tǒng)軟件及硬件或其操作環(huán)境作修

58、改之前，已聯(lián)系所有受影響的人員并與其協(xié)調(diào)該修改的時間安排，從而最大限度降低該修改對其他處理活動的影響執(zhí)行的方式應(yīng)容許必要時可將系統(tǒng)還原至原來的環(huán)境系統(tǒng)軟件的修改(包括升級、修改和對配置參數(shù)的修改)在實施到生產(chǎn)環(huán)境之前應(yīng)首先在測試環(huán)境中進行安裝與評估依照測試計劃(包括(如適當(dāng))：系統(tǒng)和單元測試、界面測試、并行測試(parallel testing)、容量測試及用戶驗收測試)對新的系統(tǒng)軟件與現(xiàn)行的系統(tǒng)軟件修改進行測試76信息系統(tǒng)審計基礎(chǔ)培訓(xùn)系統(tǒng)軟件支持正確實施現(xiàn)有系統(tǒng)軟件的修改且修改后的功能符合管理當(dāng)局的意愿在生產(chǎn)環(huán)境中對系統(tǒng)軟件的修改申請應(yīng)進行存檔并經(jīng)管理當(dāng)局核準。管理當(dāng)局應(yīng)監(jiān)督所有該修改的執(zhí)行

59、應(yīng)對硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、和系統(tǒng)軟件的修改建議的影響進行評估；在該建議實施到生產(chǎn)之前應(yīng)經(jīng)管理當(dāng)局的復(fù)核以最大限度減少對營運的干擾77信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息資源戰(zhàn)略及規(guī)劃信息系統(tǒng)的戰(zhàn)略、規(guī)劃和預(yù)算與實體業(yè)務(wù)和戰(zhàn)略目標保持一致計算機處理環(huán)境得到具有適當(dāng)技能和經(jīng)驗的人員的充分支持及保證計算機處理環(huán)境中的人員接受適當(dāng)?shù)呐嘤?xùn)78信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息資源戰(zhàn)略及規(guī)劃信息系統(tǒng)的戰(zhàn)略、規(guī)劃和預(yù)算與實體業(yè)務(wù)和戰(zhàn)略目標保持一致管理當(dāng)局制定及核準信息系統(tǒng)的戰(zhàn)略與長期及短期計劃，以支持實體的整體業(yè)務(wù)戰(zhàn)略和信息系統(tǒng)要求。管理當(dāng)局根據(jù)長期及短期計劃監(jiān)督信息系統(tǒng)的性能79信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息資源戰(zhàn)略及規(guī)劃計算機

60、處理環(huán)境得到具有適當(dāng)技能和經(jīng)驗的人員的充分支持及保證在聘用信息資源管理人員時應(yīng)對其作背景調(diào)查在聘用計算機處理環(huán)境的工作人員之前或評估該人員的表現(xiàn)時，應(yīng)對其職位所需的必要技能和經(jīng)驗作清晰定義。管理當(dāng)局應(yīng)監(jiān)督計算機處理環(huán)境人員的充足性及其相關(guān)的技能與經(jīng)驗關(guān)鍵職位應(yīng)有接任計劃和交叉培訓(xùn)應(yīng)監(jiān)督員工表現(xiàn)鑒定政策的遵循情況80信息系統(tǒng)審計基礎(chǔ)培訓(xùn)信息資源戰(zhàn)略及規(guī)劃計算機處理環(huán)境中的人員接受適當(dāng)?shù)呐嘤?xùn)應(yīng)基于定期的員工表現(xiàn)評估為所有計算機處理環(huán)境中的工作人員提供正式培訓(xùn)或在職培訓(xùn)；該培訓(xùn)應(yīng)由管理當(dāng)局監(jiān)督81信息系統(tǒng)審計基礎(chǔ)培訓(xùn)與外包供應(yīng)商的關(guān)系外包供應(yīng)商的選擇符合管理當(dāng)局的意愿外包供應(yīng)商的服務(wù)水平達到或超過管