【文章內(nèi)容簡介】 溫站、冷站、冗余信息處理設(shè)施、移動站點、組織間互惠協(xié)議。BCP中多個計劃文件：業(yè)務(wù)持續(xù)性計劃（BCP）、業(yè)務(wù)恢復(fù)計劃（BRP）、連續(xù)作業(yè)計劃（COOP）連續(xù)支持計劃、IT應(yīng)急計劃、危機通信計劃、事件響應(yīng)事件、災(zāi)難恢復(fù)計劃（DRP）、場所緊急計劃（OEP）異地備份：完全備份、增量備份、差分備份災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃的審計：主要任務(wù)是理解與評價組織的業(yè)務(wù)連續(xù)性策略，及其組織業(yè)務(wù)目標的符合性；參考相應(yīng)的標準和法律法規(guī)，評估該計劃的充分性和時效性；審核信息系統(tǒng)及終端用戶對計劃所做的測試的結(jié)果，驗證計劃的有效性；審核異地存儲設(shè)施機器內(nèi)容、安全和環(huán)境控制，以評估異地存儲站點的適當性；通過審核應(yīng)急措施、員工培訓(xùn)、測試結(jié)果，評估信息系統(tǒng)及其終端用戶在緊急情況下的有效反應(yīng)能力；確認組織對業(yè)務(wù)持續(xù)性計劃的維護措施存在并有效。應(yīng)用控制概念：應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準確地完成而建立的內(nèi)部控制。應(yīng)用控制涉及各種類型的業(yè)務(wù)，每種業(yè)務(wù)及其數(shù)據(jù)處理尤其特殊流程的要求，這決定了具體的應(yīng)用控制的設(shè)計需結(jié)合具體的業(yè)務(wù)。單另一方面。由于數(shù)據(jù)處理過程一般都是由輸入、處理和輸出三個階段構(gòu)成，從這一共性出發(fā)，可將應(yīng)用控制劃分為輸入控制、處理控制和輸出控制。應(yīng)用控制也是由手工控制和程序化控制構(gòu)成，但以程序化控制為主。軟件維護的種類：糾錯行為化、適應(yīng)性維護、完善性維護、預(yù)防性維護 服務(wù)管理：面向IT基礎(chǔ)設(shè)施管理的服務(wù)支持、面向業(yè)務(wù)管理的服務(wù)提供IT服務(wù)提供流程主要面對付費的機構(gòu)和個人客戶，負責為客戶提供高質(zhì)量、低成本的IT服務(wù)。任務(wù)：根據(jù)組織的業(yè)務(wù)需求，對服務(wù)能力、持續(xù)性、可用性等服務(wù)級別目標進行規(guī)劃和設(shè)計，同時還必須考慮到這些服務(wù)目標所需要耗費的成本。主要包括服務(wù)水平管理、IT服務(wù)財務(wù)管理、能力管理、IT服務(wù)持續(xù)性管理和可用性管理5個服務(wù)管理流程。IT服務(wù)的服務(wù)支持主要面向終端用戶，負責確保IT服務(wù)的穩(wěn)定性與靈活性，用于確保終端用戶得到適當?shù)姆?wù)，以支持組織的業(yè)務(wù)功能。服務(wù)支持流程包括體現(xiàn)服務(wù)接觸和溝通的服務(wù)臺職能和5個運作層次的流程，即配置管理、事務(wù)管理、問題管理、變更管理、發(fā)布管理。應(yīng)用程序?qū)徲嫷膬?nèi)容：審查程序控制是否健全有效：程序中輸入控制的審計、程序中處理控制的審計、程序中輸出控制的審計。審查程序的合法性P168 簡單論述審查程序編碼的正確性：目標和任務(wù)不明確、系統(tǒng)設(shè)計差錯、程序設(shè)計說明書錯誤、程序語法或邏輯錯誤審查程序的有效性：在具體編寫程序前應(yīng)簡化算術(shù)表達式及邏輯表達式、細心的分析多層嵌套循環(huán)，以確定能否把一些語句或表達式轉(zhuǎn)移到循環(huán)體制外、盡量避免采用多維數(shù)組、盡量避免采用指針及復(fù)雜的表、采用“快”的算法；不要把不同的數(shù)據(jù)類型混在一起；只要可能就采用整形數(shù)的算法運算和布爾表達式。應(yīng)用程序?qū)徲嫹椒ǎ簩?yīng)用程序進行審計，往往是計算機輔助審計方法與手工審計方法的結(jié)合。檢測數(shù)據(jù)法：是指審計人員把一批預(yù)先設(shè)計好的監(jiān)測數(shù)據(jù)，利用被審程序加以處理，并把處理的結(jié)果與預(yù)期的結(jié)果作比較，以確定被審程序的控制與處理功能是否恰當、有效的一種方法。平行模擬法：是指審計人員自己或請計算機專業(yè)人員編寫的具有和被審計程序相同處理和控制的模擬程序，用這種程序處理當期的實際數(shù)據(jù)，并以處理的結(jié)果與被審計程序的處理結(jié)果進行比較，以評價被審程序的處理和控制功能是否可靠的一種方法 嵌入審計程序法：是指被審計信息系統(tǒng)的設(shè)計和開發(fā)階段，在被審的應(yīng)用程序中嵌入為執(zhí)行特定的審計功能而設(shè)計的程序段，這些程序段可以用來收集審計人員感興趣的資料，并且建立一個審計控制文件，用來存儲這些資料，審計人員通過這些資料的審核來確定被審程序的處理和控制功能的可靠性。程序追蹤法：是一種對給定的業(yè)務(wù)，跟蹤被審程序處理步驟的審查技術(shù)。一般可由追蹤軟件來完成，也可利用某些高級語言或數(shù)據(jù)庫管理系統(tǒng)中的跟蹤指令被審查程序的處理。第三篇：信息系統(tǒng)審計信息系統(tǒng)審計的概念，內(nèi)容，流程？答：（1）概念信息系統(tǒng)審計是指根據(jù)公認的標準和指導(dǎo)規(guī)范，對信息系統(tǒng)從規(guī)劃、實施到運行維護各個環(huán)節(jié)進行審查評價，對信息系統(tǒng)及其業(yè)務(wù)的完整性、有效性、效率性、安全性等進行監(jiān)測、評估和控制的過程，以確定預(yù)定的業(yè)務(wù)目標得以實現(xiàn)，斌提出一系列改進建議的管理活動。（2）內(nèi)容：主要包括內(nèi)部控制系統(tǒng)審計、系統(tǒng)開發(fā)審計、應(yīng)用程序?qū)徲?、?shù)據(jù)文件審計等。信息系統(tǒng)的內(nèi)部控制系統(tǒng)由兩個子系統(tǒng)構(gòu)成：一是一般控制系統(tǒng)，它是系統(tǒng)運行環(huán)境方面的控制，為應(yīng)用程序的正常運行提供外圍保障。另一子系統(tǒng)是應(yīng)用控制系統(tǒng)，它是針對具體的應(yīng)用系統(tǒng)和程序而設(shè)置的各種控制措施。是指對信息系統(tǒng)開發(fā)過程所進行的審計，這是一種事前審計。其決定了數(shù)據(jù)處理的合規(guī)性、正確性。對應(yīng)用程序的審計，可以對程序直接進行審查，也可以通過數(shù)據(jù)在程序上的運行進行間接測試。在信息系統(tǒng)中，各種憑證、賬簿及報表中的數(shù)據(jù)均以數(shù)據(jù)文件的形式存儲在硬盤或軟盤等存儲介質(zhì)中，對數(shù)據(jù)文件進行審計，可以將該文件打印出來進行檢查，也可以在計算機內(nèi)直接進行審查。（3）流程：主要的分為準備階段、實施階段、終結(jié)階段。：明確審計任務(wù)。組成信息系統(tǒng)審計小組。了解被審計系統(tǒng)的基本情況。制定信息系統(tǒng)審計方案；：對被審計系統(tǒng)的內(nèi)部控制制度進行健全性調(diào)查和符合性測試。對帳表單證或數(shù)據(jù)文件的實質(zhì)性審查；：整理歸納審計資料。撰寫審計報告。發(fā)出審計結(jié)論和決定。審計資料的歸檔和管理。常見的IT治理標準有哪些，各自的作用是什么？答：常見的IT治理標準有ITIL，COBIT，BS 7799，PRINCE2。（1）ITIL（Information Technology Infrastructure Library），即信息技術(shù)基礎(chǔ)構(gòu)架庫，一套被廣泛承認的用于有效IT服務(wù)管理的時間準則。1980年以來，英國政府商務(wù)辦公室為解決“IT服務(wù)質(zhì)量不佳”的問題，逐步提出和完善了一整套對IT服務(wù)的質(zhì)量進行評估的方法體系。（2）COBIT，（Control Objectives for Information and related Technology）：信息和相關(guān)技術(shù)的控制目標。它是由信息系統(tǒng)審計與控制協(xié)會，于1996年推出的用于IT審計的知識體系。作為IT治理的核心模型，其包括34個信息技術(shù)過程控制，并歸集為IT規(guī)劃和組織、系統(tǒng)獲得和實施、交付與支持以及信息系統(tǒng)運行性能監(jiān)控4個領(lǐng)域。目前COBIT是國際上公認的IT管理與控制標準。（3）BS 7799（ISO/IEC17799）：國際信息安全管理標準體系。該標準包括信息系統(tǒng)安全管理和安全認證兩大部分，是參照英國國家標準BS 7799而來的。它是一個詳細的安全標準，包括安全內(nèi)容的所有準則，由10個獨立的部分組成，每一節(jié)都覆蓋了不同的主題和區(qū)域。該體系主要解決企業(yè)的信息安全管理上的問題，為企業(yè)提供了一個完整的管理框架，不斷改進信息安全管理水平，使機構(gòu)或企業(yè)的信息安全以最小代價達到需要的水準。（4）PRINCE2（Projects In Controlled Environments）是一種對項目管理的某些特定方面提供支持的方法。PRINCE2描述了一個項目如何被切分成一些可供管理的階段，以便高效地控制資源的使用和在整個項目周期執(zhí)行常規(guī)的監(jiān)督流程。PRINCE2的視野并不僅僅限于對具體項目的管理，還覆蓋了在組織范圍對項目的管理。常見的信息系統(tǒng)開發(fā)方法，對其中的一到兩種展開說明？答：常見的信息系統(tǒng)開發(fā)方法有軟件開發(fā)生命周期法、原型法、面向?qū)ο蠓ā⒂嬎銠C輔助開發(fā)方法、基于組件的開發(fā)方法、基于Web應(yīng)用開發(fā)方法。以下對軟件開發(fā)生命周期法進行說明。軟件開發(fā)生命周期法（Software Development Life Cycle，SDLC）是系統(tǒng)分析員和系統(tǒng)開發(fā)者常用的軟件開發(fā)方法。軟件開發(fā)生命周期法能夠生產(chǎn)高質(zhì)量的軟件，滿足業(yè)務(wù)和用戶的需求，在開發(fā)進度和成本控制下進行軟件開發(fā)生產(chǎn)，是一種有效保證成本，提高效益的軟件開發(fā)方法。通過應(yīng)用傳統(tǒng)的SDLC方法，已經(jīng)成功開發(fā)出了大量的業(yè)務(wù)應(yīng)用系統(tǒng)。其各個階段及其基本內(nèi)容如下：第一階段——可行性研究。確定實施系統(tǒng)在提高生產(chǎn)效率或未來降低成本方面的戰(zhàn)略利益，確定和量化新系統(tǒng)可以節(jié)約的成本，評價新系統(tǒng)的成本回收期。第二階段——需求定義。一是定義需要解決的問題，二是定義所需的解決方案及方案應(yīng)當具有的功能和質(zhì)量要求。該階段還要確定是采用定制開發(fā)的方法還是供應(yīng)商提供的軟件包。第三階段A——系統(tǒng)設(shè)計（當決定自行開發(fā)軟件時）。以需求定義為基礎(chǔ)，建立一個系統(tǒng)基線和子系統(tǒng)的規(guī)格說明，以描述系統(tǒng)功能如何實現(xiàn)，各個部分之間接口如何定義，系統(tǒng)如何使用已選擇的硬件、軟件和網(wǎng)絡(luò)設(shè)施等。第三階段B——系統(tǒng)獲取（