【正文】 沒有被識別的風險沒有被測量的風險沒有被選擇/管理到可接受水平的風險過時的風險評估和/或風險評估中過時的信息有缺陷的風險、威脅和暴露的定量和/或定性測量不能提供成本/效益控制和安全測量的風險行動計劃殘余風險的正式接受的缺乏不適當?shù)谋ｋU覆蓋10 管理項目（PO10）控制的IT過程：管理項目滿足的業(yè)務需求：確定優(yōu)先順序，按時交付并控制在預算內實現(xiàn)路線：按照運行計劃，對項目的確定和優(yōu)先順序進行機構；并對所承擔每個項目，采納和應用健全的項目管理技術需要考慮的事項：項目的業(yè)務管理層發(fā)起人地位程序管理項目管理能力用戶參與任務細分、里程碑確定和階段審準責認的分配里程碑和可交付的嚴格追蹤費用和人力預算，平衡內部和外部資源質量保證計劃和方法程序和項目風險評估從開發(fā)到運行的過渡信息規(guī)范 IT資源P 效果 * 人員P 效率 * 應用保密 * 技術完整 * 設施可用 數(shù)據遵從可靠 項目管理構架管理層應建立一個總體的項目管理框架，定義管理項目的范圍和邊界，以及所承擔項目中采納和應用的項目管理方法。方法應至少涵蓋責任的分配、任務的劃分、時間和資源的預算、里程碑、檢查點和審準。 項目初始階段用戶部門的參與在開發(fā)、實施或修改項目的定義和授權方面，機構的項目管理框架應規(guī)定受影響的用戶部門管理層的參與。 項目組成員資格和責任機構的項目管理框架應明確項目人員設置的原則，并且確定項目組成員的責任和權力。 項目定義機構的項目管理框架應規(guī)定，在項目的工作開始之前，必須形成清晰的書面文件，定義每一個實施項目的特點和范圍。 項目審批機構的項目管理框架應確保，對于每一個被提議的項目，機構的高級管理層審議了相關的可行性研究報告，以此作為是否進行這個項目的決策依據。 項目階段審批機構的項目管理框架應對指派的用戶和IT職能部門經理做出規(guī)定，以便他們在下一階段工作開始之前，審批項目周期的每一階段的工作完成情況。 項目主計劃管理層應確保，對于每一個批準的項目建立一個項目的主計劃，它對于維護在整個生命周期中對項目的控制是適當?shù)?，它還包括一套監(jiān)測項目生命周期中時間和費用的方法。項目計劃的內容應包括對于范圍、目標、所需資源和責任的描述，并應提供允許管理層測量進度的信息。 系統(tǒng)質量保證計劃管理層應確保新的或修改過的系統(tǒng)的實施包括質量計劃的準備，它是項目主計劃的一部分，并且被所有有關當事人審閱和同意。 保證方法的計劃編制在項目管理框架的計劃階段期間，保證任務應被確定。保證任務應支持新的或修改的系統(tǒng)的合格鑒定，并確保內部控制和安全符合相關的要求。 正式的項目風險管理管理層應執(zhí)行一個正式的風險管理程序，排除或最小化每個單個項目相關的風險（就是對于那些潛在的引起有害變化的區(qū)域或者事件，進行辨識和控制）。 測試計劃機構的項目管理框架應要求為每一個開發(fā)、執(zhí)行和修改的項目，建立一個測試計劃。 培訓計劃對于每一個開發(fā)、執(zhí)行和修改項目，機構的項目管理框架應要求制定一個培訓計劃。 實施后評價計劃作為項目組活動的一部分，機構的項目管理框架應規(guī)定每一個新的或修改的信息系統(tǒng)的實施后檢查計劃的開發(fā)，以確認項目是否產生預期的收益。對高級和詳細的控制目標進行審計：獲得了解：訪談：質量經理項目質量經理/協(xié)調者項目所有者/發(fā)起人項目組組長質量保證協(xié)調者安全官IT計劃/指導委員會成員IT管理層獲得：相關與項目管理框架的政策和程序相關于項目管理方法的政策和程序相關于質量保證計劃的政策和程序相關于質量保證方法的政策和程序軟件項目主計劃（SPMP）軟件質量保證計劃（SQAP）項目狀態(tài)報告狀態(tài)報告和計劃/指導委員會會議紀要項目質量報告評估控制：考慮是否：項目管理框架：? 定義管理項目的范圍和邊界? 規(guī)定評價與已批準運作計劃一致性的項目請求，按照這一請求，將項目排出優(yōu)先順序? 定義被采用并被應用到每一個所承擔項目的項目管理方法，包括：? 項目計劃編制? 人員安置? 責任和權利的分配? 任務的分解? 時間和資源的預算? 里程碑? 檢查點? 批準? 是完整的和當前的? 在開發(fā)、實施或者修改項目的定義和授權方面，規(guī)定由受影響的用戶部門（所有者/發(fā)起者）參與管理? 規(guī)定一個基礎，以此將職員人員分配到項目中? 定義項目組成員的責任和權利? 在項目設計開始之前，規(guī)定一個清晰的書面定義項目種類和范圍的聲明的創(chuàng)造? 規(guī)定一個初始的項目定義文檔，其包括項目清晰的種類和范圍聲明? 包括承擔項目的下列原因：? 被補救的問題或者被改進的過程的陳述? 按照提高實現(xiàn)機構目的的能力表達的項目需求的陳述? 在相關現(xiàn)有的系統(tǒng)中的不足的分析? 能夠增長經濟或者操作效率的機遇? 項目滿意的內部控制和安全的要求? 選擇方法，以此，被提議的項目的可行性研究被準備、評價并由高級管理層所批準，包括：? 項目的環(huán)境——硬件、軟件、電信? 項目的范圍——首先和接下來的實施中所包括的和排除在外的? 項目的限制——項目期間，我們必須要保留的，即使短期的改進機遇似乎出現(xiàn)? 有項目的發(fā)起者或所有者/發(fā)起者實現(xiàn)的收益和成本? 描繪方式，以此，先于項目下一階段的進行（也就是說，編程、系統(tǒng)測試、交易測試并行測試，等等），開發(fā)過程（也就是說，可行性研究準備、需求的定義、系統(tǒng)的設計，等等）的每一個階段都被批準? 需要每一個項目具有SPMP的開發(fā)，并指定方式，以此維持貫穿項目生命、項目時間幀（里程碑）和預算的控制? 遵守機構的SPMP標準，假如不存在，要使用適當?shù)臉藴? 對于每一個項目，需要SQAP的開發(fā)，并要確保其與SPMP的集成，由所有的涉及方正式地評價和同意? 描繪方式，以此，正式的項目風險管理程序消除或者最小化相關于項目的風險? 為每一個開發(fā)、實施和修改項目，提供測試計劃的開發(fā)? 為每一個開發(fā)、實施和修改項目，提供足夠的培訓所有者/發(fā)起者人員和IT人員的計劃開發(fā)貫穿每一個主要項目階段（也就是說，軟件購買、硬件購買、編程合同、網絡升級，等等），預算及與之相對應的實際項目的里程碑和成本被監(jiān)控并報告給高級管理層項目的里程碑和成本超過預算的時間段和數(shù)量的部分由適當?shù)臋C構管理層批準SQAP遵守機構的SQAP標準，假如不存在，標準選擇上述的SQAP保證任務支持新的或修改的系統(tǒng)的鑒定資格，并確保內部控制和安全特征滿足需求所有項目所有者/發(fā)起者都要輸入到SPMP和SQAP兩者之中，并且所有的都要同意最終的釋放物實施以后的過程是確保新的或者修改的信息系統(tǒng)釋放計劃好的收益的項目管理框架的完整的一部分評定遵從性：測試：項目管理方法和所有的需求被一致地追隨項目管理方法與所有涉及項目的適當人員所溝通項目的種類和范圍的書面定義符合標準模板所有者/發(fā)起者包含在項目定義、授權及與所期望的包含的所有者/發(fā)起者相一致的種類和范圍由項目管理框架所規(guī)定分配人員給項目、項目組成員的責任和權利的定義被遵循清晰的、項目種類和范圍的書面定義的證據存在，該證據在項目設計開始之前定義相關的可行性研究已經準備并獲批準對于開發(fā)項目的每一個階段，適當?shù)乃姓?發(fā)起者和IT管理層的批準被獲得作為SPMP所要求的那樣，項目的每一個階段正在被完成并適當?shù)睾炇餝PMP和SQAP按照項目管理框架開發(fā)和審批SPMP和SQAP被詳細說明并足夠有效被確定的強制活動/報告事實上已經被執(zhí)行/產生（也就是說，“執(zhí)行指導委員會會議”、項目會議、或者類似在這些會議間隙舉行的會議，會議的紀要被獲得并分發(fā)給有關的當事人，報告被準備并分發(fā)給有關的當事人）按照項目管理框架，測試計劃已經被開發(fā)并批準，并且是詳細的和足夠特效的在測試計劃中所確定的強制活動/報告事實上已經被執(zhí)行/產生用于項目的資格鑒定標準存在，并且：? 得自于目的和績效指標? 得自于協(xié)商一致的定量需求? 確保內部控制和安全需求被滿足? 與本質的“什么”及與之對應的武斷的“怎樣”相聯(lián)系? 定義一個正式的通過/失敗過程? 具有在有限的時間周期內目標示范的能力? 不能簡單地重述設計文檔的需求項目風險管理程序被用來識別和消除，或者起碼最小化與項目相聯(lián)系的風險測試計劃被遵循，書面的測試評價由所有者/發(fā)起人所創(chuàng)造，編程和質量保證職能部門、簽署過程遵照預定的培訓被影響的所有者/發(fā)起者和IT職能部門人員的書面計劃被準備，允許充足的時間完成所要求的培訓活動，該計劃用于項目執(zhí)行后的評價計劃被遵從和為該項目所設計證實沒有滿足業(yè)務目標的風險：執(zhí)行：依照類似的機構或者適當?shù)膰H標準/公認的行業(yè)最好實踐的項目管理框架的基準下列詳細的評價：? 決定所有者/發(fā)起者參與程度以及定義、授權和執(zhí)行項目的總體過程適當性的項目主計劃，包括：? 系統(tǒng)功能的定義? 可行性，項目給定的約束? 系統(tǒng)成本和收益的確定? 系統(tǒng)控制的適當性? 在其它所有者/發(fā)起者系統(tǒng)方面的影響和集成? 所有者/發(fā)起者資源（人員和資金）的承諾? 項目參與者的責任和權利的定義? 可接受的標準既是合意的又是可實現(xiàn)的? 在批準各種項目的階段，里程碑和檢查點的使用? 項目管理過程中，Gantt圖、問題日志、會議摘要等等的使用? 決定機構的系統(tǒng)質量保證計劃編制過程是否存在系統(tǒng)問題的質量報告? 決定是否風險已經被識別和消除或者起碼是最小化的正式的項目風險管理程序? 決定十分徹底地測試了整個系統(tǒng)開發(fā)、執(zhí)行或修改項目的測試計劃的執(zhí)行? 決定系統(tǒng)的使用中充分地準備了所有者/發(fā)起者和IT人員的培訓計劃的執(zhí)行? 決定是否已經計劃的及與之對應的已經交付的項目的收益被探知的執(zhí)行后評價確定：項目：? 拙劣管理? 超過里程碑時間? 超越成本? 失控的項目? 沒有授權? 沒有技術可行性? 沒有成本合理性? 沒有實現(xiàn)計劃的收益? 沒有包含檢查點? 在檢查點沒有被批準? 實施沒有被鑒定合格? 沒有滿足內部控制和安全要求? 沒能消除或減輕風險? 沒有經過徹底測試? 沒有發(fā)生，或者對正實施的系統(tǒng)的不充分的所需的培訓? 實施后評價沒有發(fā)生11 管理質量（PO11）控制的IT過程：管理質量滿足的業(yè)務需求：滿足IT用戶的需求實現(xiàn)路線：具有質量管理標準以及規(guī)定清楚開發(fā)階段、清晰交付條件和明晰責任的系統(tǒng)的計劃編制、執(zhí)行和維護需要考慮的事項：質量文化的建立質量計劃質量保證責任質量控制實務系統(tǒng)開發(fā)生命周期方法程序和系統(tǒng)的測試及文檔質量保證檢查和報告最終用戶和質量保證人員的培訓及參與質量保證知識庫的開發(fā)按行業(yè)規(guī)范制定標準信息規(guī)范 IT資源P 效果 * 人員P 效率 * 應用保密 * 技術P 完整 * 設施可用 數(shù)據遵從S 可靠 總體質量計劃管理層應基于機構和IT的長期計劃，制定和有規(guī)律地維護總的質量計劃，計劃應提倡改進觀念并且回答什么、誰和如何做等基本的問題。 質量保證途徑管理層應建立一個質量保證的標準的途徑，含蓋總的和具體項目的質量保證活動，途徑應規(guī)定為實現(xiàn)總的質量計劃而執(zhí)行的質量保證活動的類型（如評價、審計、檢查等等）。它還應對詳盡的質量保證評價提出要求。 質量保證計劃編制管理層應執(zhí)行一個質量保證計劃編制過程，以確定質量保證或活動的范圍和時間選擇。 以IT 標準和程序為依據的質量保證評價管理層確保賦予質量保證員工責任，包括關于全面服從IT標準和程序的評價。 系統(tǒng)開發(fā)生命周期方法機構的管理層應定義和執(zhí)行IT標準，并采用治理開發(fā)、獲取、實施和維護計算機化信息系統(tǒng)和相關技術過程的系統(tǒng)開發(fā)生命周期方法。挑選的的系統(tǒng)開發(fā)生命周期方法應適合被開發(fā)、獲取、實施和維護的系統(tǒng)。 現(xiàn)存技術發(fā)生重大變化的系統(tǒng)開發(fā)生命周期方法如果現(xiàn)有的技術發(fā)生大的變化，管理層應確保系統(tǒng)生命周期方法被遵守，就象新技術的獲取和開發(fā)的情況一樣。 系統(tǒng)開發(fā)生命周期方法的更新管理層應對它的系統(tǒng)開發(fā)生命周期方法進行定期的檢查，以確保它的內容反映當前的被普遍接受的技術和程序。 協(xié)調和溝通為了IT職能部門的客戶和系統(tǒng)實施者之間緊密的協(xié)調和溝通，管理層應建立一套流程，在此流程中，應使使用系統(tǒng)開發(fā)生命周期方法的結構化方法成為必須，確保滿足業(yè)務需求的IT解決方案的質量規(guī)定。貫穿整個系統(tǒng)開發(fā)生命周期，管理層應提高具有緊密合作和溝通特點的機構工作。 技術基礎設施的獲取和維護框架對于技術基礎設施的的獲取和維護，應建立一個總體的框架。關于技術基礎設施的一系列不同步驟（如獲取、編程、歸檔、測試、參數(shù)設置、維護和申請安裝），應由技術基礎設施的獲取和維護框架來治理，并與該框架一致。 第三方實施者的關系管理層應執(zhí)行一個過程，確保與第三方實施者之間良好的工作關系。這樣一個過程應使得用戶和實施者之間在驗收標準、變更的處理、開發(fā)過程中的問題、用戶的角色、設備、工具、軟件、標準和程序方面達成一致。 軟件程序文檔標準機構的系統(tǒng)開發(fā)生命周期方法應包含已經與有關員工溝通并確定的程序文檔標準。方法應確保在信息系統(tǒng)開發(fā)期間創(chuàng)建文檔，或修改項目符合這些標準。 軟件程序測試標準做為每一個信息系統(tǒng)開發(fā)或修改項目的一部分，機構的系統(tǒng)開發(fā)生命周期方法應提供含蓋軟件單元和聚合編程測試的測試需求、測試確認、測試文檔和保持力等方面的標準。 系統(tǒng)測試標準做為每一個信息系統(tǒng)開發(fā)或修改項目的一部分，機構的系統(tǒng)開發(fā)生命周期方法應提供含蓋整個系統(tǒng)的測試需求、測試確認、測試文檔和測試保持力的標準。 平行/飛行測試機構的系統(tǒng)開發(fā)生命周期方法應定義環(huán)境，