【正文】 B應(yīng)用開發(fā)* 需求定義階段決定軟件是自行開發(fā)還是購買軟件包* 軟件征求建議書中應(yīng)該包括（重點）： 供應(yīng)商的財務(wù)穩(wěn)定性； 源代碼的可用性 提供此類產(chǎn)品的時間； 先做UAT測試 簽訂合同之前需要本公司法律顧問核準* UAT測試后，實施前一定要求最后軟件進行打包，不允許進行最后一分鐘修改。* 自行開發(fā)的設(shè)計階段==購買軟件包的選擇階段* 自行開發(fā)的開發(fā)階段==購買軟件包的配置階段* 實施階段在最終用戶驗收測試完成、用戶簽署正式文件后進行* 組織應(yīng)當按照ERP的要求首先要轉(zhuǎn)變原有的管理理念、策略和實踐方法，并按業(yè)務(wù)需求對ERP進行定制，才能有效提高信息技術(shù)能力，以支持組織業(yè)務(wù)目標的實現(xiàn)。* 進行ERP的風險評估是組織高級管理層的責任* 一旦決定推進一個項目，首先應(yīng)該做一個分析來清晰地定義需求以及識別與這個需求相關(guān)的備選方案，這個分析稱為可行性研究* 信息資源包括：人員、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施和數(shù)據(jù)，通過一系列IT過程加以管理* 可行性研究報告首先由項目負責人審查（審查內(nèi)容是否可靠），再上報上級主管審閱（估價項目的地位）。從可行性研究應(yīng)當?shù)贸觥靶谢虿恍小钡臎Q斷* 與可行性報告聯(lián)系緊密的是影響評估，研究當前項目對其他項目和資源的潛在影響。評估結(jié)果需要列出一具體行動方案的好處和壞處。* 需求定義即在可行性研究后對選擇的業(yè)務(wù)系統(tǒng)識別和明確業(yè)務(wù)需求。需求包括：描述系統(tǒng)應(yīng)該做的，用戶如何與系統(tǒng)交互，系統(tǒng)運行的條件，系統(tǒng)應(yīng)該滿足的信息標準。* 信息標準包括：系統(tǒng)的效力、效率、機密性、可用性、合規(guī)性和可靠性。* 最終用戶在這階段詳述他們對信息資源的要求* 在需求定義階段，一個系統(tǒng)的初步設(shè)計呈交用戶管理層審閱，修改，批準和支持。創(chuàng)建項目計劃用于開發(fā)、測試和實施系統(tǒng)。* 在需求分析階段，所有相關(guān)的管理人員與用戶都應(yīng)積極參與到需求定義中來。* 實體關(guān)系圖（ERD）描述的是系統(tǒng)數(shù)據(jù)和這些數(shù)據(jù)是如何交互的，可作為需求分析工具* 實體關(guān)系圖（ERD）的基本元素是實體和關(guān)系* 信息系統(tǒng)審計師在需求分析階段要確定：應(yīng)用系統(tǒng)是否定義了充分的安全需求以保證系統(tǒng)的機密性、完整性和可用性；是否定義了完備的審計蹤跡作為系統(tǒng)的必要組成部分，審計蹤跡是審計師未來進行跟進的重要依據(jù)。* 如果決定購買現(xiàn)成的商品化軟件包，那么用戶也要積極參與到軟件產(chǎn)品的評估和選擇過程中。* 組織應(yīng)當建立一個由技術(shù)人員和主要業(yè)務(wù)人員組成的項目小組，由項目小組制定征求建議書（RFP）或邀標書（ITT），并發(fā)送給軟件供應(yīng)商，讓軟件供應(yīng)商根據(jù)組織的需求，在考慮技術(shù)先進、成本最優(yōu)的前提下，提供最佳解決方案。* 征求建議書（RFP）的內(nèi)容： 產(chǎn)品與系統(tǒng)需求 客戶參考資料（成功案例） 供應(yīng)商的生存能力/財務(wù)穩(wěn)定性 完整可靠的文檔 供應(yīng)商的服務(wù)支持 源代碼的可用性 提供此類產(chǎn)品的年頭 最近對產(chǎn)品的更新計劃 當前使用改產(chǎn)品的用戶數(shù)及列表 對產(chǎn)品的接受測試（在正式購買前必須要做）* 征求建議書（RFP）—需要供應(yīng)商提供解決方案和相關(guān)的支持與維護服務(wù)* 邀標書（ITT）—已經(jīng)知道需要購買什么樣的產(chǎn)品和服務(wù)* 在正式的征求建議書（RFP）前，要先起草信息征求書（RFI）文件，送給軟件供應(yīng)商，請其就組織的特定需求，提供產(chǎn)品與服務(wù)方面的初步咨詢意見與建議。組織根據(jù)各個供應(yīng)商提供的信息，制定出正式的征求建議書。* 考察其他相同類型的組織使用這種軟件包的情況，重點在于： 可靠性—供應(yīng)商的產(chǎn)品遞交是否可靠 承諾的服務(wù)—如果產(chǎn)品出現(xiàn)問題，供應(yīng)商的服務(wù)響應(yīng)是否及時 為產(chǎn)品提供文檔及培訓的承諾—客戶滿意度如何* 信息系統(tǒng)審計師要參與到軟件獲取過程中，保證組織與供應(yīng)商達成任何協(xié)議前，已充分考慮了安全控制的需要，否則很難保證系統(tǒng)要處理的信息的完整性；* 設(shè)計階段必須制定計劃：測試計劃、數(shù)據(jù)轉(zhuǎn)換計劃* 商品化軟件包相關(guān)的風險：不完備的審計蹤跡、口令控制和應(yīng)用系統(tǒng)的整體安全* 由系統(tǒng)分析師進行軟件架構(gòu)設(shè)計來描述系統(tǒng)藍圖，進而詳細分解系統(tǒng)各個部分和要素* 在軟件設(shè)計過程中，最好不要讓用戶參與；但是設(shè)計人員應(yīng)當向用戶解釋軟件結(jié)構(gòu)是如何滿足用戶的業(yè)務(wù)需要的* 信息系統(tǒng)審計師主要關(guān)注系統(tǒng)設(shè)計對控制的影響* 關(guān)鍵的設(shè)計階段： 開發(fā)系統(tǒng)流程圖和實體關(guān)系圖模型，說明信息在系統(tǒng)中如何流動 確定是否使用結(jié)構(gòu)化的設(shè)計方法，通過一系列數(shù)據(jù)或流程圖自頂向下建立各種關(guān)系 描述輸入輸出（原型開發(fā)工具中，是最重要的設(shè)計內(nèi)容） 確定軟件的過程步驟和計算規(guī)則，滿足功能需求 確定數(shù)據(jù)文件或數(shù)據(jù)庫文件設(shè)計 為各種類型的需求或已定義的信息標準，建立程序規(guī)格說明書 制定各種類型的測試計劃：單元測試（程序測試）、子系統(tǒng)測試（模塊測試）、集成測試（系統(tǒng)測試）、測試與其他程序的接口、測試系統(tǒng)裝載和初始化文件、壓力測試、安全測試、數(shù)據(jù)備份與恢復測試 制定數(shù)據(jù)轉(zhuǎn)化計劃，把數(shù)據(jù)從老系統(tǒng)轉(zhuǎn)換到新系統(tǒng)* 軟件配置管理引入基線（Baseline）概念，軟件設(shè)計階段代表了軟件基線管理過程中的一個優(yōu)化點，基線的概念意味著一個設(shè)計階段的一個“凍結(jié)”點。一旦為軟件開發(fā)過程建立了基線，就要引入配置管理的過程來管理對軟件的修改，以協(xié)調(diào)和控制整個系統(tǒng)。如果控制不到位就會產(chǎn)生范圍蔓延。* 基線標志軟件開發(fā)過程的里程碑，任何一個軟件配置項（如設(shè)計說明書、測試計劃等），一旦形成文檔并審核通過，即為一個基線。* 基線標志開發(fā)過程中一個階段的結(jié)束。對于已稱為基線的軟件配置項，雖然可以修改，但必須按照特殊、正式的變更管理過程進行評估，在確認風險與成本的前提下，再進行修改。* 詳細設(shè)計完成后，在得到用戶同意和建立軟件基線的情況下，就可以把設(shè)計方案交給系統(tǒng)開發(fā)人員進行編程* 設(shè)計階段，信息系統(tǒng)審計師應(yīng)審核在系統(tǒng)規(guī)格說明書、測試計劃中建立了完備的安全控制，是否將連續(xù)在線審計功能集成到系統(tǒng)中* 在軟件設(shè)計階段的關(guān)鍵文檔包括：系統(tǒng)規(guī)格說明書、子系統(tǒng)規(guī)格說明書、程序規(guī)格說明書、數(shù)據(jù)庫系統(tǒng)規(guī)格說明書、測試計劃和正式的軟件變更控制程序* 軟件開發(fā)的目的是通過編程實現(xiàn)開發(fā)者在系統(tǒng)分析和系統(tǒng)設(shè)計中提出的管理方法和處理構(gòu)想* 開發(fā)階段的編程責任主要在編程人員和設(shè)計系統(tǒng)的分析員身上* 需要開發(fā)數(shù)據(jù)遷移計劃、用戶遷移計劃* 集成開發(fā)環(huán)境（IDE），容易受非授權(quán)訪問出現(xiàn)錯誤以及版本無法控制；因此需通過訪問控制軟件來控制風險* 編程標準是一項基本控制，是系統(tǒng)開發(fā)過程中編程團隊成員之間、編程團隊與用戶之間交流的方法* 聯(lián)網(wǎng)的集成開發(fā)環(huán)境應(yīng)當通過訪問控制軟件來控制非授權(quán)訪問之類的風險* 調(diào)試工具就是協(xié)助編程人員在開發(fā)階段發(fā)現(xiàn)錯誤、修改代碼的軟件，一般分為三種類型：邏輯路徑監(jiān)測、內(nèi)存轉(zhuǎn)儲、輸出分析* 輸出分析一般通過比較預(yù)期的結(jié)果與實際結(jié)果而實現(xiàn)檢查程序運行的輸出結(jié)果的精確性* 軟件測試是根據(jù)軟件開發(fā)各階段的規(guī)格說明和程序的內(nèi)部結(jié)構(gòu)而精心設(shè)計的一批測試用例（即輸入數(shù)據(jù)及其預(yù)期的輸出結(jié)果），并利用這些測試用例去運行程序，以發(fā)現(xiàn)程序錯誤的過程* 在測試過程種，信息系統(tǒng)審計師扮演的角色是預(yù)防性和發(fā)現(xiàn)性的* 軟件測試方法（一般用自底向上）： 自底向上—在所有程序完成前就可以進行測試；對關(guān)鍵模塊的錯誤可以較早發(fā)現(xiàn) 自頂向下—可以較早對主要功能和處理過程進行測試，接口錯誤可以較早測試出來，增強用戶對系統(tǒng)的信心* 測試分類： 單元測試：針對程序模塊，進行正確性檢驗的測試 接口測試/集成測試：一種軟件或硬件測試，評估兩個或多個模塊之間的連接，而這些模塊之間有信息傳遞。在系統(tǒng)之間傳遞數(shù)據(jù)時測試確認和驗證單個系統(tǒng)系統(tǒng)的應(yīng)用程序功能 系統(tǒng)測試：對整個軟件進行測試；目的在于通過與系統(tǒng)需求定義作比較，發(fā)現(xiàn)軟件與系統(tǒng)定義不符合或與之矛盾的地方 最終接受測試：當開發(fā)與測試人員完成所有測試，準備交付軟件產(chǎn)品時，就應(yīng)該開始系統(tǒng)的用戶接受測試。* 系統(tǒng)測試的測試用例應(yīng)根據(jù)需求分析規(guī)格說明來設(shè)計，并在實際使用環(huán)境下運行* 用戶接受測試以用戶為主，主要有兩類人員：使用軟件的最終用戶、質(zhì)量保證人員 * UAT測試主要測試業(yè)務(wù)功能。QAT需要測試運行功能* 用戶接受測試（UAT）一般使用用戶界面輸入測試數(shù)據(jù)，分析測試的輸出結(jié)果，一般使用生產(chǎn)中的實際數(shù)據(jù)進行測試，以確保用戶要求的功能得到實現(xiàn)* 質(zhì)量保證測試（QAT）對軟件的可移植性、兼容性、可維護性、錯誤的恢復功能進行技術(shù)性確認* 系統(tǒng)測試包括： 恢復測試：檢查系統(tǒng)從硬件或軟件故障中恢復的能力 安全測試：確保新系統(tǒng)內(nèi)置了充分的訪問控制 壓力測試/容量測試：對大量數(shù)據(jù)的處理，評估系統(tǒng)在處理高峰時的性能 性能測試：利用通用測試標準來比較系統(tǒng)性能* UAT測試應(yīng)該在單獨的測試環(huán)境，不能與生產(chǎn)與開發(fā)環(huán)境在一起* 用戶接受測試（UAT）應(yīng)該在源代碼和可執(zhí)行代碼都能得到很好保護的安全測試環(huán)境，有助于避免非授權(quán)的版本或最后一分鐘還在修改的系統(tǒng)沒有經(jīng)過標準的系統(tǒng)維護過程就直接引入正式系統(tǒng)* α測試是由一個用戶在開發(fā)環(huán)境下進行的測試，是在受控環(huán)境下的測試。目的是評價軟件產(chǎn)品的FURPS（功能、可使用性、可靠性、性能和支持）；在編碼結(jié)束之時就可以開始* β測試是由多個用戶在一個或多個用戶的實際環(huán)境下進行的測試，非受控環(huán)境下的測試，主要目的是測試可支持性；是衡量產(chǎn)品的FURPS（功能、可使用性、可靠性、性能和支持）* β測試中所有的產(chǎn)品手冊文本也應(yīng)該完全定稿* 只有當α測試達到一定的可靠程序時，才能開始β測試* 模擬測試只是對系統(tǒng)進行有限評估的方法* 白盒測試：把測試對象看作打開的盒子，允許測試人員利用程序內(nèi)部邏輯結(jié)構(gòu)及有關(guān)信息，設(shè)計或選擇測試用例，對程序所有邏輯路徑進行測試。通過在不同點檢查程序狀態(tài)，確定實際的狀態(tài)是否與預(yù)期的狀態(tài)一致* 黑盒測試：在軟件接口處進行測試，證實每個實現(xiàn)的功能是否符合要求。必須在所有可能的輸入條件和輸出條件中確定測試數(shù)據(jù)，來檢查程序是否都能產(chǎn)生正確的輸出，一般用于UAT測試。* 功能/確認測試：驗證軟件的有效性，驗證軟件功能和性能及其它特性是否與用戶的要求一致* 回歸測試：對測試計劃或測試場景的某些內(nèi)容重新進行測試，目的是為了保證最近對軟件所做的變更和修改沒有引入新的錯誤。回歸測試中所用的數(shù)據(jù)要與以前的測試數(shù)據(jù)一致* 平行測試：把一套測試數(shù)據(jù)同時輸入到被測試系統(tǒng)（新系統(tǒng)）和對比系統(tǒng)（原系統(tǒng)）中去運行，比較兩個系統(tǒng)的輸出結(jié)果，以判斷被測試系統(tǒng)的正確性* 社交性測試：證實新系統(tǒng)在目標環(huán)境中運行時，不會給其他系統(tǒng)帶來負面影響（包括平臺、接口、桌面以及操作系統(tǒng)等環(huán)境）* 新信息系統(tǒng)實施前：程序已經(jīng)被測試優(yōu)化、存在程序流程和生產(chǎn)計劃、初始數(shù)據(jù)已經(jīng)成功的轉(zhuǎn)換并導入到新的系統(tǒng)中、用戶已經(jīng)制定了運營流程并完成了全員培訓、已經(jīng)確定了系統(tǒng)投入運營的日期和新舊系統(tǒng)切換的日期* 實施計劃的階段： 階段一、制定所需的支持結(jié)構(gòu) 差距分析——定義當前支持組織和未來所需組織之間的差距 角色定義——對項目的各個角色進行明確的定義 階段二、建立支持功能* 一旦項目所交付的新系統(tǒng)完成，準備上線運行時，還需要建立有效的支持結(jié)構(gòu)包括：工作崗位、人員角色、職責、技能培訓、工作分配。* 要對實施的各個階段（從老系統(tǒng)到新系統(tǒng)的構(gòu)建、集成、移植和轉(zhuǎn)換）進行有效管理* 實施計劃（知識轉(zhuǎn)移計劃）——應(yīng)當按照漸變式或接力棒方式進行，這是知識轉(zhuǎn)移和職責轉(zhuǎn)移的最佳方式* 培訓計劃——定義了角色與職責后，需要用矩陣圖方式記錄，便于相關(guān)人員清晰理解。制定培訓計劃應(yīng)明確：培訓內(nèi)容、日程、持續(xù)時間、培訓方式（現(xiàn)場或網(wǎng)上）、先期對培訓者進行培訓* 培訓目標是保證終端用戶在系統(tǒng)運行過程具有必要的使用能力* 終端用戶培訓中最重要因素就是確保在開發(fā)階段的早期就考慮培訓的問題* 數(shù)據(jù)轉(zhuǎn)換的目標是將當前的數(shù)據(jù)轉(zhuǎn)換成需要的格式、編碼和結(jié)構(gòu)，同時要保證數(shù)據(jù)的完整性和可用性* 數(shù)據(jù)轉(zhuǎn)換過程必須提供一些方法，如審計痕跡和日志，以允許對轉(zhuǎn)換數(shù)據(jù)進行精確性和完整性驗證（可以手工也可以通過系統(tǒng)工具自動完成）* 數(shù)據(jù)轉(zhuǎn)換步驟： 確認哪些數(shù)據(jù)需要程序進行轉(zhuǎn)換，哪些數(shù)據(jù)使用手工轉(zhuǎn)換； 轉(zhuǎn)換前進行必要的數(shù)據(jù)清理 識別用于驗證數(shù)據(jù)轉(zhuǎn)換是否成功的方法（自動文件比較、比較記錄數(shù)、控制總數(shù)、記帳平衡數(shù)和抽樣選擇） 建立數(shù)據(jù)轉(zhuǎn)換的接受標準 確定數(shù)據(jù)轉(zhuǎn)換項目任務(wù)的先后順序 設(shè)計用于記錄轉(zhuǎn)換的審計追蹤報告 設(shè)計例外報告記錄沒有成功轉(zhuǎn)換的數(shù)據(jù)項 明確確認，為每一個轉(zhuǎn)換步驟簽字和接受最終轉(zhuǎn)換成功的責任人 開發(fā)和測試數(shù)據(jù)轉(zhuǎn)換程序，包括功能和效率 進行一次或多次數(shù)據(jù)演練，讓相關(guān)人員熟悉整個項目的各個步驟，各自的責任，并且使用真實的數(shù)據(jù)測試轉(zhuǎn)換流程 1對外包流程，需要簽署包括保密在內(nèi)的合適的協(xié)議 1在實際數(shù)據(jù)轉(zhuǎn)換時，所有必要的人員要到場，或者至少能聯(lián)系上* 成功的數(shù)據(jù)轉(zhuǎn)換時系統(tǒng)按時、符合預(yù)算和按質(zhì)上線的前提* 數(shù)據(jù)轉(zhuǎn)換的備份：舊系統(tǒng)最后一個拷貝/新系統(tǒng)轉(zhuǎn)換過來后的第一個拷貝，都需要永久保存* 數(shù)據(jù)轉(zhuǎn)換的風險： 正常運行的中斷 破壞數(shù)據(jù)安全和數(shù)據(jù)保密 在系統(tǒng)遷移過程中，數(shù)據(jù)不一致和不完整* 企業(yè)配置庫可以對組織中的系統(tǒng)重組過程和數(shù)據(jù)移植過程提供一個全景圖* 通過模塊分析，界定項目實施過程中的功能模塊與數(shù)據(jù)實體的范圍，基于這些信息和對業(yè)務(wù)需求的分析，對實施項目的計劃進行精細調(diào)整* 分階段部署應(yīng)用系統(tǒng)，以最小化新系統(tǒng)實施對終端用戶的影響，通過實施失敗后的回退操作減少負面影響，降低風險* 為新技術(shù)架構(gòu)設(shè)計的數(shù)據(jù)重定向器要符合面向服務(wù)的架構(gòu)要求，使新系統(tǒng)在運行過程中能對遺留系統(tǒng)的數(shù)據(jù)進行訪問* 數(shù)據(jù)轉(zhuǎn)換組件把遺留數(shù)據(jù)模型轉(zhuǎn)換到新數(shù)據(jù)模型，這些組件有三種： 下載組件