【正文】 * 功能/確認(rèn)測試：驗(yàn)證軟件的有效性，驗(yàn)證軟件功能和性能及其它特性是否與用戶的要求一致* 回歸測試：對測試計劃或測試場景的某些內(nèi)容重新進(jìn)行測試，目的是為了保證最近對軟件所做的變更和修改沒有引入新的錯誤。對于已稱為基線的軟件配置項(xiàng)，雖然可以修改，但必須按照特殊、正式的變更管理過程進(jìn)行評估，在確認(rèn)風(fēng)險與成本的前提下，再進(jìn)行修改。* 組織應(yīng)當(dāng)建立一個由技術(shù)人員和主要業(yè)務(wù)人員組成的項(xiàng)目小組，由項(xiàng)目小組制定征求建議書（RFP）或邀標(biāo)書（ITT），并發(fā)送給軟件供應(yīng)商，讓軟件供應(yīng)商根據(jù)組織的需求，在考慮技術(shù)先進(jìn)、成本最優(yōu)的前提下，提供最佳解決方案。* 需求定義即在可行性研究后對選擇的業(yè)務(wù)系統(tǒng)識別和明確業(yè)務(wù)需求。* 范圍變更管理： 變更請求必須提交項(xiàng)目經(jīng)理 項(xiàng)目經(jīng)理提交項(xiàng)目咨詢顧問委員會決定是否建議變更 項(xiàng)目出資人決定是否變更* 項(xiàng)目出資人有最后決定是否變更的決定權(quán)。* 項(xiàng)目中三個元素/緯度必須考慮 時間/持續(xù)時間 需要花多少時間才能完成項(xiàng)目 成本/資源 需要花費(fèi)多少 交付品 什么是必須做的* 軟件規(guī)模評估：源代碼行數(shù)、功能點(diǎn)分析（FPA）、FPA特征點(diǎn)* 源代碼行數(shù)評估結(jié)構(gòu)化程序語言（BASIC、COBOL）有用，其他不行，尤其業(yè)務(wù)功能不行* 功能點(diǎn)分析（FPA）廣泛用于評估開發(fā)大型業(yè)務(wù)應(yīng)用的復(fù)雜性。* 如果IT項(xiàng)目實(shí)施階段中其業(yè)務(wù)模式發(fā)生變化，應(yīng)當(dāng)通過部門規(guī)劃和審批流程對項(xiàng)目重新進(jìn)行評估和批準(zhǔn)* 實(shí)施后評審：在項(xiàng)目實(shí)施后6~18個月進(jìn)行，評價利益實(shí)現(xiàn)程度，獨(dú)立于項(xiàng)目實(shí)施的審計師進(jìn)行評審* 有關(guān)項(xiàng)目的所有治理決策應(yīng)當(dāng)由業(yè)務(wù)效益驅(qū)動，并進(jìn)行周期性評審* 信息系統(tǒng)項(xiàng)目可以由組織的任何一部分啟動，包括信息系統(tǒng)部門* 項(xiàng)目管理的一般過程：啟動、計劃、執(zhí)行、控制、收尾（其中控制過程，貫穿整個項(xiàng)目實(shí)施過程）* 業(yè)務(wù)過程的設(shè)計方法也同樣適用于項(xiàng)目管理過程* 項(xiàng)目環(huán)境最關(guān)鍵就是一把手工程。* 在一個給定的時間點(diǎn)上，組織中正在進(jìn)行的所有的項(xiàng)目的集合稱為項(xiàng)目組合。* 項(xiàng)目一定有截至點(diǎn),不能無限期延續(xù)；一定在有限的時間、有限的預(yù)算內(nèi)。* HR的員工手冊中必須有人員撤離計劃* RPO影響備份技術(shù)的選擇* RTO越小，對災(zāi)難容忍程度就越低，就只能選擇“熱站”* 完全不允許停機(jī)——雙生產(chǎn)中心（冗災(zāi)中心、鏡像站點(diǎn)）* 災(zāi)難恢復(fù)策略其他參數(shù)： 中斷窗口：組織能夠等待的自失效點(diǎn)時刻到關(guān)鍵服務(wù)應(yīng)用恢復(fù)的時刻 服務(wù)交付目標(biāo)（SDO）：直到正常的生產(chǎn)系統(tǒng)恢復(fù)運(yùn)營，由替代流程實(shí)現(xiàn)的服務(wù)水平。* BCP維護(hù)的一個重要步驟：組織內(nèi)任何相關(guān)變化產(chǎn)生時都要進(jìn)行BCP的更新和演練* 業(yè)務(wù)連續(xù)性計劃（BCP）是組織為避免業(yè)務(wù)功能/運(yùn)作中斷，減少業(yè)務(wù)風(fēng)險而建立的一個控制流程，包括對支持組織關(guān)鍵業(yè)務(wù)的人力、物力需求和關(guān)鍵業(yè)務(wù)所需的最小級別服務(wù)水平的連續(xù)性保證。* 針對職責(zé)分離的補(bǔ)償性控制： 審計軌跡—在缺乏職責(zé)分離時，詳細(xì)的審計軌跡將是可接受的補(bǔ)償性控制 核對—核對是用戶的最終責(zé)任，還可以增加控制組使用控制總計和平衡表對應(yīng)用系統(tǒng)執(zhí)行部分核對功能 例外報告—應(yīng)當(dāng)由主管層處理并且需要留下證據(jù) 交易日志—可以時電子也可以手工 監(jiān)督性審核—可以通過現(xiàn)場觀察、訪談或遠(yuǎn)程執(zhí)行 獨(dú)立性審核—執(zhí)行獨(dú)立審核是對錯誤或故意違反既定流程的補(bǔ)償性控制，在職責(zé)不能恰當(dāng)分離的小型組織中尤其重要* 審計過程中應(yīng)該審計的文檔： IT戰(zhàn)略、規(guī)劃和預(yù)算 安全政策文檔 組織圖或職能圖 工作說明 指導(dǎo)委員會報告 系統(tǒng)開發(fā)和程序變更流程 操作流程 人力資源手冊 質(zhì)量保證程序* 信息系統(tǒng)審計師應(yīng)當(dāng)驗(yàn)證管理層在合同過程中的參與程度，確保按適當(dāng)?shù)闹芷趯贤裱赃M(jìn)行審查。* 應(yīng)當(dāng)按照計劃周期或當(dāng)發(fā)生重大變化時對信息安全政策進(jìn)行審查，以確保其適當(dāng)性、充分性和有效性。發(fā)布、制定、維護(hù)質(zhì)量標(biāo)準(zhǔn)。* 政策最高管理層一定要簽字確認(rèn)，定期修訂，重大變化時隨時修訂。AUPs的執(zhí)行是隨網(wǎng)絡(luò)變化的。* 有效的信息安全能為組織帶來巨大價值： 在與貿(mào)易伙伴的交往中提供可靠的信賴； 提高客戶的信任度； 保護(hù)組織信譽(yù) 促進(jìn)采用更新更好的方式處理電子交易* 業(yè)務(wù)戰(zhàn)略方針通過業(yè)務(wù)目的和目標(biāo)來明確，信息安全必須能支持業(yè)務(wù)活動向企業(yè)交付價值；* 信息安全治理框架為制定一套有成本效益的、支持組織業(yè)務(wù)目標(biāo)的信息安全程序提供了基礎(chǔ)。* 持續(xù)審計的技術(shù)應(yīng)該在系統(tǒng)開發(fā)和實(shí)施的早期階段介入；* 持續(xù)審計的限制因素：成本問題* 持續(xù)審計是被審計事實(shí)的發(fā)生至證據(jù)收集和審計報告之間的時間間隔非常短* 持續(xù)審計應(yīng)獨(dú)立于持續(xù)控制或監(jiān)控活動，當(dāng)同時存在持續(xù)監(jiān)控和持續(xù)審計時，就形成了持續(xù)保證* IT系統(tǒng)通常是預(yù)防和檢查性控制的第一道防線，綜合審計的根本就在于合理評估它們的效果及效率* 確定審計發(fā)現(xiàn)重要性的關(guān)鍵是評估這些審計發(fā)現(xiàn)對各級管理層的重要性，評估中需要判斷未針對審計發(fā)現(xiàn)采取糾正措施可能導(dǎo)致的潛在影響。（業(yè)務(wù)部門需要IT部門提供滿足一定要求的信息）；* 管理：好的事情發(fā)生，產(chǎn)生價值、創(chuàng)造效益；* 控制：防止風(fēng)險* 業(yè)務(wù)需求七要素：種類項(xiàng)目解釋質(zhì)量效果符合業(yè)務(wù)部門的期望效率成本效益安全保密性信息泄露可用性物理設(shè)備的丟失、信息被破壞；需要時能用完整性防止篡改、修改受信/受托符合性合規(guī)性，法律法規(guī)可靠性數(shù)據(jù)準(zhǔn)確* IT資源：人員、信息、基礎(chǔ)架構(gòu)、應(yīng)用系統(tǒng)；* 通過流程化管理IT資源；* 通用控制：適用于組織的各個方面，包括：會計控制、運(yùn)營控制、管理控制；* 應(yīng)用控制：針對特定的流程；* 信息系統(tǒng)控制：戰(zhàn)略指導(dǎo)、信息系統(tǒng)開發(fā)流程的控制、程序變更管理控制、計算機(jī)運(yùn)行管理控制、程序與數(shù)據(jù)訪問控制、信息系統(tǒng)安全的控制、網(wǎng)絡(luò)和通訊、數(shù)據(jù)庫管理、IT計劃；* 審計是指：有勝任能力的獨(dú)立機(jī)構(gòu)或人員（審計主體）接受委托或授權(quán)（審計關(guān)系），對特定經(jīng)濟(jì)實(shí)體的可計量的信息（審計對象）證據(jù)進(jìn)行客觀的收集和評價證據(jù)（審計工作），以確定這些信息與既定標(biāo)準(zhǔn)（審計依據(jù)）的符合程度，并向利益相關(guān)者報告（審計目標(biāo)）的一個系統(tǒng)的過程（審計過程）； 審計的性質(zhì)——獨(dú)立、客觀。* 風(fēng)險的三個要素：威脅、脆弱性、資產(chǎn)（價值）；其中應(yīng)該首先評估資產(chǎn)；* 以年為單位評估風(fēng)險——基于成本效益原則（財務(wù)以年結(jié)算）* 風(fēng)險評估：識別風(fēng)險* 風(fēng)險管理：消滅、控制風(fēng)險* 風(fēng)險評估首先識別敏感或關(guān)鍵信息資產(chǎn)；* 風(fēng)險評估的最終目標(biāo)：將風(fēng)險降低至管理層可接受水平的相應(yīng)安全措施；* 高風(fēng)險==高發(fā)展、高收益* 風(fēng)險控制（風(fēng)險消減的措施）： 預(yù)防：避免或減少風(fēng)險事件發(fā)生的可能性； 檢查：發(fā)現(xiàn)不良事件的發(fā)生； 糾正：減小影響 向別的組織轉(zhuǎn)移風(fēng)險* 控制分為（書中）： 預(yù)防性：在問題發(fā)生前預(yù)防，監(jiān)控運(yùn)營和輸入；職責(zé)分離、控制對物理設(shè)施的訪問、良好設(shè)計的文檔、建立交易授權(quán)的適當(dāng)流程、編輯檢查、訪問控制軟件、加密軟件 檢測性：使用控制措施來檢查和報告已發(fā)生的錯誤；哈希、檢查點(diǎn)、通訊回顯控制 糾正性：糾正問題引起的錯誤，把威脅影響降到最??；BCP、備份、DRP* 審計風(fēng)險：審計過程中未發(fā)現(xiàn)信息可能存在的重大錯誤的風(fēng)險；審計風(fēng)險包括（固有風(fēng)險、控制風(fēng)險、檢測風(fēng)險、整體審計風(fēng)險）* 固有風(fēng)險：審計過程中遇到的，在假定不存在相關(guān)補(bǔ)償控制的情況下，當(dāng)與其他錯誤相結(jié)合時會導(dǎo)致重大錯誤的風(fēng)險；也可以定義為：在不存在相關(guān)控制的情況下，易于導(dǎo)致重大錯誤的風(fēng)險；是由于業(yè)務(wù)性質(zhì)所導(dǎo)致的，在審計中獨(dú)立存在（復(fù)雜計算比簡單計算更容易出錯）* 所有審計項(xiàng)目的基本目標(biāo)之一都是確定控制目標(biāo)及針對這些目標(biāo)的相關(guān)控制。在檢查這類風(fēng)險時，信息系統(tǒng)審計師常常對組織所使用的風(fēng)險管理過程的有效性進(jìn)行評估。A(Audit amp。 對特定經(jīng)濟(jì)實(shí)體的可計量的信息證據(jù)進(jìn)行客觀的收集和評價，向利益相關(guān)者報告。* 需要進(jìn)行實(shí)質(zhì)性測試的數(shù)量與內(nèi)部控制的水平直接相關(guān)* 符合性測試（控制測試）——簡單、快速、資源消耗少* 實(shí)質(zhì)性（重要性）：可容忍錯報或漏報的最好界限，其運(yùn)用的情形：在編制審計計劃的時候，進(jìn)行初步估計；在做出審計結(jié)果時候，進(jìn)行判斷。* IT治理有助于確保IT和企業(yè)目標(biāo)保持一致，IT治理的關(guān)鍵因素是IT與業(yè)務(wù)保持一致，以實(shí)現(xiàn)業(yè)務(wù)價值* IT治理采用最佳實(shí)踐來確保組織信息及相關(guān)技術(shù)支持其業(yè)務(wù)目標(biāo)（如戰(zhàn)略一致）和價值交付，確保資源得到合理使用、風(fēng)險得到適當(dāng)管理、績效得到測評* 信息技術(shù)對企業(yè)非常重要，不能把職責(zé)放給IT管理人員或IT專家，而必須得到整個高級管理層的關(guān)注* IT治理在根本上關(guān)注以下兩方面的問題： IT如何向業(yè)務(wù)交付價值——由IT與業(yè)務(wù)的戰(zhàn)略一致推動 IT風(fēng)險得到管理——向企業(yè)分配責(zé)任來推動* IT如何有效率有效果的使用IT資源；* IT治理的關(guān)鍵因素是保持與業(yè)務(wù)戰(zhàn)略的一致，引導(dǎo)業(yè)務(wù)價值的實(shí)現(xiàn)；* IT治理是董事會和最高管理層的責(zé)任，是企業(yè)整體治理的一部分，它由領(lǐng)導(dǎo)關(guān)系、組織結(jié)構(gòu)以及能確保IT支撐和擴(kuò)展組織戰(zhàn)略及目標(biāo)的流程組成* 關(guān)鍵的IT治理實(shí)務(wù)有：IT戰(zhàn)略委員會、風(fēng)險管理和標(biāo)準(zhǔn)IT平衡記分卡* IT治理的關(guān)注領(lǐng)域：戰(zhàn)略一致、價值支付、資源管理、風(fēng)險管理、績效測評* IT治理實(shí)各種關(guān)系與流程結(jié)構(gòu)，用于指導(dǎo)和控制組織達(dá)成增值目標(biāo)，同時還要保證IT及其流程的風(fēng)險與收益的平衡。* 信息安全治理 價值交付：優(yōu)化安全投資以支持業(yè)務(wù)目標(biāo)； 績效評測：衡量、監(jiān)督和報告信息安全流程，以確保實(shí)現(xiàn)SMART目標(biāo)（確定的、可度量的、可實(shí)現(xiàn)的、相關(guān)的和符合時間要求的） 資源管理：有效利用信息安全知識與基礎(chǔ)設(shè)施 流程整合：關(guān)注組織安全管理保證流程的整合，目標(biāo)在改善整體安全及運(yùn)營效率。* IT投資財務(wù)指標(biāo)關(guān)注：投資回報率（ROI）* 關(guān)注風(fēng)險的同時也要關(guān)注投資回報；* 平衡記分卡決定項(xiàng)目投資與否，強(qiáng)調(diào)愿景；IT投資組合，具體項(xiàng)目投資量，關(guān)注投資回報最大化。* 企業(yè)架購關(guān)注的內(nèi)容是響應(yīng)不斷增加的IT復(fù)雜性，現(xiàn)代組織的復(fù)雜性，重點(diǎn)關(guān)注IT與業(yè)務(wù)戰(zhàn)略的一致性并確保IT投資產(chǎn)生真實(shí)回報* 企業(yè)架構(gòu)（EA）的參考模型： 績效參考模型—衡量主要IT投資績效及其對業(yè)務(wù)流程績效貢獻(xiàn)度的框架 業(yè)務(wù)參考模型—功能驅(qū)動的框架，描述由政府、獨(dú)立機(jī)構(gòu)所執(zhí)行的功能 服務(wù)組件參考模型—對支持業(yè)務(wù)和績效目標(biāo)的服務(wù)組件進(jìn)行分類的功能性框架 技術(shù)參考模型—描述技術(shù)如何支持服務(wù)組件的交付、替換和構(gòu)建的框架 數(shù)據(jù)參考模型—用在開發(fā)過程中，描述支持程序和業(yè)務(wù)生產(chǎn)線的數(shù)據(jù)信息* 對XX的控制是最有效——找屬于預(yù)防性控制* 強(qiáng)制休假——防止舞弊，發(fā)現(xiàn)問題加強(qiáng)控制* 信息系統(tǒng)職能的交付方式包括： 內(nèi)包——由組織內(nèi)員工實(shí)施 外包——全部由供應(yīng)商實(shí)施（把公司無增值功能的事務(wù)轉(zhuǎn)移出去） 混合方式——由組織員工和供應(yīng)商混合實(shí)施* 信息系統(tǒng)職能實(shí)施方式： 現(xiàn)場——員工直接在信息系統(tǒng)現(xiàn)場工作 離場（近岸）——員工在同一地理區(qū)域內(nèi)的不同地點(diǎn)遠(yuǎn)程工作 離岸——員工在不同的地理區(qū)域遠(yuǎn)程工作* 外包方式應(yīng)該注意：數(shù)據(jù)的所有者、知識產(chǎn)權(quán)問題以及對外包方的審計權(quán)問題* 全球化外包需要注意事項(xiàng)： 法律、法規(guī)和稅務(wù)方面的事務(wù)——不同國家和地區(qū)對IT系統(tǒng)的相關(guān)規(guī)定 持續(xù)運(yùn)行——可能無法提供測試BCP和DRP 網(wǎng)絡(luò)通訊事務(wù) 跨國界和跨文化的事務(wù)* 云計算服務(wù)交付模型： SaaS（軟件交付）、 PaaS（平臺交付）、 laaS（架構(gòu)交付）* laaS（架構(gòu)交付）需要關(guān)注：服務(wù)中斷* PaaS（平臺交付）需要關(guān)注：隱私性，數(shù)據(jù)所有權(quán)* SaaS（軟件交付）需要關(guān)注：軟件應(yīng)用所處位置* 云計算注意的問題：服務(wù)商宕機(jī)、機(jī)密性如何保證、安全問題的法律責(zé)任、數(shù)據(jù)所有權(quán)* 私有云的安全性最好，但不容易擴(kuò)展* 敏感數(shù)據(jù)的使用者需要關(guān)心數(shù)據(jù)安全性問題* 云治理要考慮使用云計算時主要考慮和IT的戰(zhàn)略方向* 采購實(shí)務(wù)中第三方服務(wù)的變更管理：變更服務(wù)條款，包括對現(xiàn)有的信息安全政策、規(guī)程和控制的維護(hù)及改善，應(yīng)考慮業(yè)務(wù)關(guān)系的關(guān)鍵性及其涉及流程進(jìn)行管理，并重新評估風(fēng)險。程序由流程所有人制定，是對政策的有效解釋* 風(fēng)險管理是組織用于識別信息資源的脆弱性及威脅，制定相應(yīng)的對策（安全措施或控制），以實(shí)現(xiàn)組織業(yè)務(wù)目標(biāo)的過程。* 風(fēng)險管理包括識別、分析、評估、處置和溝通IT流程的風(fēng)險影響* 風(fēng)險的對應(yīng)措施：避免風(fēng)險、降低風(fēng)險、轉(zhuǎn)移風(fēng)險、接受風(fēng)險* 為制定風(fēng)險管理程序，必須： 確定風(fēng)險管理程序的目的 為風(fēng)險管理計劃分配職責(zé)* 風(fēng)險管理過程 第一步是對信息資產(chǎn)或資源進(jìn)行標(biāo)識并分類； 第二步是評估與信息資產(chǎn)相關(guān)的威脅和脆弱性，及其發(fā)生的可能性；* 威脅的發(fā)生是由于信息資產(chǎn)存在脆弱性，脆弱性是信息資源的特性，可以被威脅利用并造成損害* 發(fā)生任何威脅所造成的結(jié)果稱為影響，它能導(dǎo)致這種或那種損失* 信息系統(tǒng)管理實(shí)務(wù)反映的是為各種信息系統(tǒng)相關(guān)管理活動所設(shè)計的政策與程序的實(shí)施情況* CIA要求：機(jī)密性、完整性和可用性* 服務(wù)臺應(yīng)建立正式流程來分別記錄已報告、已解決和升級的問題，并對問題和疑難進(jìn)行分析，以幫助監(jiān)督用戶和改善信息處理設(shè)施（IPF）的服務(wù)* 在計算機(jī)運(yùn)行中，管理控制可以劃分為物理安全控制、數(shù)據(jù)安全控制和處理控制三個類別* 控制組負(fù)責(zé)收集、轉(zhuǎn)換和控制輸入，核對結(jié)果并向用戶分發(fā)輸出結(jié)果* 數(shù)據(jù)錄入人員由控制組管理，因此數(shù)據(jù)錄入不一定是最終用戶* 安全管理應(yīng)首先得到管理層的支持，管理層必須了解并評估安全風(fēng)險，制定書面政策清晰地說明應(yīng)遵循的標(biāo)準(zhǔn)和規(guī)程，并強(qiáng)制執(zhí)