【正文】 行* 為保證充分的職責(zé)分離，安全管理員應(yīng)當(dāng)是全職員工，可以直接向基礎(chǔ)設(shè)施主管報告* 質(zhì)量保證人員通常執(zhí)行兩種不同任務(wù)： 質(zhì)量保證（QA）—幫助信息系統(tǒng)部門確保其人員遵守規(guī)定的質(zhì)量程序 質(zhì)量控制（QC）—負(fù)責(zé)執(zhí)行測試或?qū)彶椋则炞C并確保軟件不存在缺陷并滿足用戶預(yù)期。* 績效評價的主要階段有： 制定和更新績效指標(biāo) 為績效指標(biāo)建立責(zé)任制 收集和分析績效數(shù)據(jù) 報告和使用績效信息* 績效指標(biāo)用途 衡量產(chǎn)品和服務(wù) 管理產(chǎn)品和服務(wù) 確保責(zé)任制 制定預(yù)算決策 優(yōu)化績效* 針對職責(zé)分離的補償性控制： 審計蹤跡、核對、例外報告、交易日志、監(jiān)督性審核、獨立性審核（在不能進(jìn)行有效職責(zé)分離的小型組織尤其重要，可以幫助發(fā)現(xiàn)錯誤或違規(guī)行為）* 業(yè)務(wù)連續(xù)性計劃（BCP）——涉及組織內(nèi)絕大多數(shù)部門；災(zāi)難恢復(fù)計劃（DRP）——涉及IT及相關(guān)部門* BCP責(zé)任屬于高級管理層，高級管理層不能將責(zé)任分到下屬* 業(yè)務(wù)連續(xù)性計劃應(yīng)當(dāng)基于長期的IT計劃，并與組織總體業(yè)務(wù)連續(xù)性戰(zhàn)略一致* 業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復(fù)的目的是使組織在中斷事件后可以持續(xù)提供關(guān)鍵服務(wù)并從災(zāi)難中斷中恢復(fù)其活動；* 災(zāi)難恢復(fù)（DRP）與業(yè)務(wù)連續(xù)性計劃（BCP）是組織為避免關(guān)鍵業(yè)務(wù)功能因重大災(zāi)難而中斷，減少業(yè)務(wù)風(fēng)險而建立的一個控制過程；是業(yè)務(wù)流程，不是一個項目。* 流感大流行特點是系統(tǒng)、設(shè)備沒有問題，但是人沒有了。* 應(yīng)急管理小組通常由高級管理人員領(lǐng)導(dǎo)* 當(dāng)VOIP作為組織的唯一通信線路時，要考慮備份* 冷熱溫站合同事項： 配備—包括軟件和硬件是否滿足需要 災(zāi)難—對災(zāi)難的定義是否滿足預(yù)期需要 啟用速度—多長時間可以啟用 每個站點的申請者—是否限制每個站點申請者的數(shù)量 每個區(qū)域的申請者 優(yōu)先權(quán) 保險 站點使用期限 通訊能力 服務(wù)承諾 1審計條款 1測試權(quán)限 1恢復(fù)站點的可靠性證明* BCP演練目標(biāo)： 驗證BCP的完全性或準(zhǔn)確性； 評價BCP演練中個人的績效； 評價對非BCP團(tuán)隊成員的其他員工的教育與培訓(xùn)； 評價BCP團(tuán)隊與外部供應(yīng)商之間的協(xié)調(diào)性； 通過實施預(yù)定的程序來演練備份站點的能力與容量； 評估重要記錄的檢索能力； 評價要轉(zhuǎn)移到恢復(fù)站點的設(shè)備的狀態(tài)、數(shù)量及供應(yīng)情況； 評價與維護(hù)業(yè)務(wù)實體有關(guān)的運行活動和信息系統(tǒng)處理活動的績效* 對備份存儲位置的邏輯以及物理安全要求應(yīng)該與生產(chǎn)中心的級別一致* 異地備份庫管理員的責(zé)任： 維護(hù)一個永久的備份存儲介質(zhì)的庫目錄（可以手工或者自動）； 控制對這些存儲介質(zhì)的訪問； 根據(jù)需要，控制存儲介質(zhì)在不同的庫中循環(huán)流通； 維護(hù)一份BCP拷貝。* 成功的實施項目群，需要對以下內(nèi)容進(jìn)行有效管理： 項目群的范圍、財務(wù)、日程、目標(biāo)及交付物； 項目群所處的環(huán)境； 項目群的溝通與文化； 項目群的組織。* 業(yè)務(wù)利益由誰來驗證。* 項目溝通文化：各類會議* 項目分解結(jié)構(gòu)： 先建立對象分解結(jié)構(gòu)（OBS） 建立項目工作分解結(jié)構(gòu)（WBS） WBS不包括方案中基本元素，表示為工作包（WPS）* 永遠(yuǎn)不能靠忽視質(zhì)量來滿足工期、時間、資源的要求。* 時間盒方法主要優(yōu)點是避免項目成本超支以及進(jìn)度拖延* 時間盒方法由于最終用戶的參與，測試用例的準(zhǔn)備和測試需求很容易達(dá)到，系統(tǒng)測試和用戶接受測試通?？梢砸黄饒?zhí)行。* 進(jìn)行ERP的風(fēng)險評估是組織高級管理層的責(zé)任* 一旦決定推進(jìn)一個項目，首先應(yīng)該做一個分析來清晰地定義需求以及識別與這個需求相關(guān)的備選方案，這個分析稱為可行性研究* 信息資源包括：人員、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施和數(shù)據(jù)，通過一系列IT過程加以管理* 可行性研究報告首先由項目負(fù)責(zé)人審查（審查內(nèi)容是否可靠），再上報上級主管審閱（估價項目的地位）。* 在需求分析階段，所有相關(guān)的管理人員與用戶都應(yīng)積極參與到需求定義中來。如果控制不到位就會產(chǎn)生范圍蔓延。目的是評價軟件產(chǎn)品的FURPS（功能、可使用性、可靠性、性能和支持）；在編碼結(jié)束之時就可以開始* β測試是由多個用戶在一個或多個用戶的實際環(huán)境下進(jìn)行的測試，非受控環(huán)境下的測試，主要目的是測試可支持性；是衡量產(chǎn)品的FURPS（功能、可使用性、可靠性、性能和支持）* β測試中所有的產(chǎn)品手冊文本也應(yīng)該完全定稿* 只有當(dāng)α測試達(dá)到一定的可靠程序時，才能開始β測試* 模擬測試只是對系統(tǒng)進(jìn)行有限評估的方法* 白盒測試：把測試對象看作打開的盒子，允許測試人員利用程序內(nèi)部邏輯結(jié)構(gòu)及有關(guān)信息，設(shè)計或選擇測試用例，對程序所有邏輯路徑進(jìn)行測試。制定培訓(xùn)計劃應(yīng)明確：培訓(xùn)內(nèi)容、日程、持續(xù)時間、培訓(xùn)方式（現(xiàn)場或網(wǎng)上）、先期對培訓(xùn)者進(jìn)行培訓(xùn)* 培訓(xùn)目標(biāo)是保證終端用戶在系統(tǒng)運行過程具有必要的使用能力* 終端用戶培訓(xùn)中最重要因素就是確保在開發(fā)階段的早期就考慮培訓(xùn)的問題* 數(shù)據(jù)轉(zhuǎn)換的目標(biāo)是將當(dāng)前的數(shù)據(jù)轉(zhuǎn)換成需要的格式、編碼和結(jié)構(gòu)，同時要保證數(shù)據(jù)的完整性和可用性* 數(shù)據(jù)轉(zhuǎn)換過程必須提供一些方法，如審計痕跡和日志，以允許對轉(zhuǎn)換數(shù)據(jù)進(jìn)行精確性和完整性驗證（可以手工也可以通過系統(tǒng)工具自動完成）* 數(shù)據(jù)轉(zhuǎn)換步驟： 確認(rèn)哪些數(shù)據(jù)需要程序進(jìn)行轉(zhuǎn)換，哪些數(shù)據(jù)使用手工轉(zhuǎn)換； 轉(zhuǎn)換前進(jìn)行必要的數(shù)據(jù)清理 識別用于驗證數(shù)據(jù)轉(zhuǎn)換是否成功的方法（自動文件比較、比較記錄數(shù)、控制總數(shù)、記帳平衡數(shù)和抽樣選擇） 建立數(shù)據(jù)轉(zhuǎn)換的接受標(biāo)準(zhǔn) 確定數(shù)據(jù)轉(zhuǎn)換項目任務(wù)的先后順序 設(shè)計用于記錄轉(zhuǎn)換的審計追蹤報告 設(shè)計例外報告記錄沒有成功轉(zhuǎn)換的數(shù)據(jù)項 明確確認(rèn)，為每一個轉(zhuǎn)換步驟簽字和接受最終轉(zhuǎn)換成功的責(zé)任人 開發(fā)和測試數(shù)據(jù)轉(zhuǎn)換程序，包括功能和效率 進(jìn)行一次或多次數(shù)據(jù)演練，讓相關(guān)人員熟悉整個項目的各個步驟，各自的責(zé)任，并且使用真實的數(shù)據(jù)測試轉(zhuǎn)換流程 1對外包流程，需要簽署包括保密在內(nèi)的合適的協(xié)議 1在實際數(shù)據(jù)轉(zhuǎn)換時，所有必要的人員要到場，或者至少能聯(lián)系上* 成功的數(shù)據(jù)轉(zhuǎn)換時系統(tǒng)按時、符合預(yù)算和按質(zhì)上線的前提* 數(shù)據(jù)轉(zhuǎn)換的備份：舊系統(tǒng)最后一個拷貝/新系統(tǒng)轉(zhuǎn)換過來后的第一個拷貝，都需要永久保存* 數(shù)據(jù)轉(zhuǎn)換的風(fēng)險： 正常運行的中斷 破壞數(shù)據(jù)安全和數(shù)據(jù)保密 在系統(tǒng)遷移過程中，數(shù)據(jù)不一致和不完整* 企業(yè)配置庫可以對組織中的系統(tǒng)重組過程和數(shù)據(jù)移植過程提供一個全景圖* 通過模塊分析，界定項目實施過程中的功能模塊與數(shù)據(jù)實體的范圍，基于這些信息和對業(yè)務(wù)需求的分析，對實施項目的計劃進(jìn)行精細(xì)調(diào)整* 分階段部署應(yīng)用系統(tǒng)，以最小化新系統(tǒng)實施對終端用戶的影響，通過實施失敗后的回退操作減少負(fù)面影響，降低風(fēng)險* 為新技術(shù)架構(gòu)設(shè)計的數(shù)據(jù)重定向器要符合面向服務(wù)的架構(gòu)要求，使新系統(tǒng)在運行過程中能對遺留系統(tǒng)的數(shù)據(jù)進(jìn)行訪問* 數(shù)據(jù)轉(zhuǎn)換組件把遺留數(shù)據(jù)模型轉(zhuǎn)換到新數(shù)據(jù)模型，這些組件有三種： 下載組件——從遺。* 系統(tǒng)測試的測試用例應(yīng)根據(jù)需求分析規(guī)格說明來設(shè)計，并在實際使用環(huán)境下運行* 用戶接受測試以用戶為主，主要有兩類人員：使用軟件的最終用戶、質(zhì)量保證人員 * UAT測試主要測試業(yè)務(wù)功能。* 考察其他相同類型的組織使用這種軟件包的情況，重點在于： 可靠性—供應(yīng)商的產(chǎn)品遞交是否可靠 承諾的服務(wù)—如果產(chǎn)品出現(xiàn)問題，供應(yīng)商的服務(wù)響應(yīng)是否及時 為產(chǎn)品提供文檔及培訓(xùn)的承諾—客戶滿意度如何* 信息系統(tǒng)審計師要參與到軟件獲取過程中，保證組織與供應(yīng)商達(dá)成任何協(xié)議前，已充分考慮了安全控制的需要，否則很難保證系統(tǒng)要處理的信息的完整性；* 設(shè)計階段必須制定計劃：測試計劃、數(shù)據(jù)轉(zhuǎn)換計劃* 商品化軟件包相關(guān)的風(fēng)險：不完備的審計蹤跡、口令控制和應(yīng)用系統(tǒng)的整體安全* 由系統(tǒng)分析師進(jìn)行軟件架構(gòu)設(shè)計來描述系統(tǒng)藍(lán)圖，進(jìn)而詳細(xì)分解系統(tǒng)各個部分和要素* 在軟件設(shè)計過程中，最好不要讓用戶參與；但是設(shè)計人員應(yīng)當(dāng)向用戶解釋軟件結(jié)構(gòu)是如何滿足用戶的業(yè)務(wù)需要的* 信息系統(tǒng)審計師主要關(guān)注系統(tǒng)設(shè)計對控制的影響* 關(guān)鍵的設(shè)計階段： 開發(fā)系統(tǒng)流程圖和實體關(guān)系圖模型，說明信息在系統(tǒng)中如何流動 確定是否使用結(jié)構(gòu)化的設(shè)計方法，通過一系列數(shù)據(jù)或流程圖自頂向下建立各種關(guān)系 描述輸入輸出（原型開發(fā)工具中，是最重要的設(shè)計內(nèi)容） 確定軟件的過程步驟和計算規(guī)則，滿足功能需求 確定數(shù)據(jù)文件或數(shù)據(jù)庫文件設(shè)計 為各種類型的需求或已定義的信息標(biāo)準(zhǔn)，建立程序規(guī)格說明書 制定各種類型的測試計劃：單元測試（程序測試）、子系統(tǒng)測試（模塊測試）、集成測試（系統(tǒng)測試）、測試與其他程序的接口、測試系統(tǒng)裝載和初始化文件、壓力測試、安全測試、數(shù)據(jù)備份與恢復(fù)測試 制定數(shù)據(jù)轉(zhuǎn)化計劃，把數(shù)據(jù)從老系統(tǒng)轉(zhuǎn)換到新系統(tǒng)* 軟件配置管理引入基線（Baseline）概念，軟件設(shè)計階段代表了軟件基線管理過程中的一個優(yōu)化點，基線的概念意味著一個設(shè)計階段的一個“凍結(jié)”點。* 最終用戶在這階段詳述他們對信息資源的要求* 在需求定義階段，一個系統(tǒng)的初步設(shè)計呈交用戶管理層審閱，修改，批準(zhǔn)和支持。適合于WEB應(yīng)用開發(fā)* 需求定義階段決定軟件是自行開發(fā)還是購買軟件包* 軟件征求建議書中應(yīng)該包括（重點）： 供應(yīng)商的財務(wù)穩(wěn)定性； 源代碼的可用性 提供此類產(chǎn)品的時間； 先做UAT測試 簽訂合同之前需要本公司法律顧問核準(zhǔn)* UAT測試后，實施前一定要求最后軟件進(jìn)行打包，不允許進(jìn)行最后一分鐘修改。也就要確保整個路徑圖中所有任務(wù)能在計算出的時間內(nèi)完成。* 在測試階段用戶需要參與測試案例的開發(fā)。* 組織可以獲得的業(yè)務(wù)收益才是實施IT項目的源動力* 規(guī)劃IT項目時，首先要考慮業(yè)務(wù)模式（商業(yè)模式、業(yè)務(wù)案例）* 可行性分析時業(yè)務(wù)模式分析的一種* 在可行性研究分析時就必須決定軟件系統(tǒng)是自己開發(fā)還是購買。* 項目的目標(biāo)應(yīng)該包括成果性目標(biāo)和約束性目標(biāo)，滿足客戶、管理層和供應(yīng)商在時間、費用和性能上的不同需求。* 熱站的安全級別不是最高的，最高安全級別的應(yīng)該是鏡像冗余站點，或者是雙生產(chǎn)中心* 熱戰(zhàn)：除應(yīng)用程序、數(shù)據(jù)、文件以及操作人員外其他全部齊全* 溫站：在熱站基礎(chǔ)上減少主機(jī)* 冷站：只有基本環(huán)境，電、空調(diào)、場地* 高級管理人員是BCP關(guān)鍵決策制定者，具有決定啟動計劃的最終裁定權(quán)* 與業(yè)務(wù)連續(xù)性計劃相關(guān)的部門有：服務(wù)支持部門、業(yè)務(wù)運行部門、信息處理支持部門* BCP演練的各個階段：預(yù)演練階段、演練階段、演練后續(xù)階段* 演練類型：紙上推演、預(yù)備性演練、全面運行演練* 如果信息系統(tǒng)的BCP和DRP需要單獨建立，必須與組織的總的BCP計劃保持一致。* 不存在單獨的DRP計劃，一定先有BCP才會有DRP。* 外包應(yīng)注意：數(shù)據(jù)所有權(quán)，知識產(chǎn)權(quán)，審計權(quán)（或獨立的第三方審計報告）* IT目標(biāo)應(yīng)當(dāng)是改善用戶滿意度并實現(xiàn)業(yè)務(wù)目標(biāo)。* 有效的風(fēng)險管理始于清楚的理解組織的風(fēng)險偏好。* IT指導(dǎo)委員會監(jiān)督重大項目的進(jìn)度和資源分配* 項目管理委員會負(fù)責(zé)制定IT項目策略* 采用自頂向下的方法來制定低層政策，確保了各級政策的一致性* 采用自底向上的方法來制定低層政策，基于風(fēng)險評估的結(jié)果而制定的，可能更加實用，但容易造成政策間的不一致和相互抵觸。* 一個未經(jīng)保護(hù)的線路——脆弱性* 風(fēng)險管理根據(jù)成本效益原則采取： 避免風(fēng)險：選擇不從事導(dǎo)致風(fēng)險的特定活動或流程 降低風(fēng)險：制定、實施并監(jiān)督適當(dāng)?shù)目刂平档惋L(fēng)險發(fā)生的可能性 轉(zhuǎn)移風(fēng)險：購買保險或者保修服務(wù) 接受風(fēng)險：經(jīng)過評估后正視風(fēng)險的存在，并監(jiān)視* 風(fēng)險管理的核心是：保護(hù)資產(chǎn)* 在攻擊發(fā)生后，還沒有造成損失叫事態(tài)，已經(jīng)發(fā)生侵害損失叫事件* 風(fēng)險管理首先需要識別信息資產(chǎn)（包括物理的、邏輯的和無形的）* 風(fēng)險管理過程：識別信息資產(chǎn)、識別并評估威脅、識別并評估脆弱性* IT風(fēng)險管理在多種層面上進(jìn)行綜合分析： 運行層面：關(guān)注能影響IT系統(tǒng)及基礎(chǔ)設(shè)施的效果及效率的風(fēng)險，繞過系統(tǒng)控制的風(fēng)險，關(guān)鍵資源損失風(fēng)險 項目層面：關(guān)注理解和管理項目復(fù)雜性的能力，項目不能有效完成、未實現(xiàn)項目目標(biāo)的風(fēng)險 戰(zhàn)略層面：關(guān)注IT能力與業(yè)務(wù)戰(zhàn)略保持一致的程度* 風(fēng)險分析方法： 定性方法：主觀風(fēng)險定級，采用問卷式的檢查列表（CHECKLIST） 半定量分析法：還是定性法的一種。一個人注冊一個基于網(wǎng)絡(luò)的服務(wù)或工作在一個社團(tuán)內(nèi)部網(wǎng)時經(jīng)常會遇到一個AUP。* IT治理是董事會和執(zhí)行管理層的職責(zé)，是企業(yè)治理的重要組成部分；* IT管理是公司的信息及信息系統(tǒng)的運營，確定IT目標(biāo)以及實現(xiàn)此目標(biāo)所采取的行動；* IT治理是最高管理層（董事會）通過IT治理監(jiān)督執(zhí)行管理層在IT戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián)系，以確保這種運營處于正確的軌道上* IT治理是董事會和高級管理層的責(zé)任* IT治理框架主要流程： IT資源管理，關(guān)注現(xiàn)有的全部IT資源的維護(hù)并落實風(fēng)險管理程序； 績效衡量，關(guān)注確保所有IT資源向業(yè)務(wù)交付既定價值，也在早期識別風(fēng)險； 合規(guī)管理，關(guān)注滿足法律、法規(guī)要求的流程的落實* 關(guān)鍵IT治理實務(wù)：IT戰(zhàn)略委員會（隸屬董事會，由董事會成員+專家組成），風(fēng)險管理和標(biāo)準(zhǔn)IT平衡記分卡* COBIT五個IT治理域都受利益相關(guān)者價值驅(qū)動，其中價值交付、風(fēng)險管理是結(jié)果，戰(zhàn)略一致、績效考評是驅(qū)動力，IT資源管理為治理提供支持。目的是為了提高IT績效，降低IT風(fēng)險，有效利用資源。* 審計目標(biāo)是指審計工作必須實現(xiàn)的特定目的；* 控制目標(biāo)是指內(nèi)部控制應(yīng)當(dāng)如何發(fā)揮作用* 信息系統(tǒng)審計人員從以下方面評估信息系統(tǒng)職能： 安全 質(zhì)量 受托責(zé)任 服務(wù)和能力* 信息安全控制應(yīng)當(dāng)在系統(tǒng)和項目的需求說明及設(shè)計階段予以考慮* 信息系統(tǒng)審計師應(yīng)當(dāng)對各類風(fēng)險進(jìn)行評