【正文】 ， 作為管理層決定是否修改計(jì)劃或是安排額外的測(cè)試依據(jù)。 災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃測(cè)試 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 業(yè)務(wù)可持續(xù)計(jì)劃 是 為了 防止正常業(yè)務(wù)行為的中斷 而被建立的計(jì)劃 。 ? 災(zāi)難恢復(fù)計(jì)劃 是在 對(duì)災(zāi)難發(fā)生前后和期間內(nèi) 所采取的所有行動(dòng)的綜合說(shuō)明 ，也包括能夠確保運(yùn)行繼續(xù)的、以文件規(guī)定的、進(jìn)過(guò)測(cè)試的應(yīng)急程序。 ? 盡管每個(gè)計(jì)劃的細(xì)節(jié)針對(duì)不同公司的要求會(huì)有不同，但 所有可行的計(jì)劃都具有共同的特點(diǎn) 。 ? 提供第二現(xiàn)場(chǎng)備份 ? 確認(rèn)關(guān)鍵應(yīng)用程序 ? 執(zhí)行備份和非現(xiàn)場(chǎng)存儲(chǔ)程序 ? 建立計(jì)劃小組 ? 測(cè)試計(jì)劃 災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃測(cè)試 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 計(jì)劃的管理和審計(jì) ? 計(jì)劃的管理和審計(jì)目標(biāo) 是 檢查公司制定的災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃是否適應(yīng)公司的要求，其實(shí)施是否可行、有效。 ? 審計(jì)程序包括 ? 第二現(xiàn)場(chǎng)備份審計(jì) ? 關(guān)鍵應(yīng)用程序清單審計(jì) ? 備份關(guān)鍵應(yīng)用程序?qū)徲?jì) ? 備份關(guān)鍵數(shù)據(jù)文件審計(jì) ? 備份相關(guān)支持材料、源文件和文檔管理審計(jì) ? 計(jì)劃小組工作審計(jì) 災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃測(cè)試 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 信息系統(tǒng)控制標(biāo)準(zhǔn) ? COBITControl Objectives for Information and related Technology，是一個(gè)由 信息系統(tǒng)審計(jì)與控制學(xué)會(huì) ISACA（ Information Systems Audit and Control Association）在 1996年所公布的業(yè)界標(biāo)準(zhǔn)，目前已經(jīng)更新至 ，是國(guó)際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? COBIT ? IT準(zhǔn)則維 集中反映了企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、成本、時(shí)間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來(lái)保證信息的安全性、可靠性、有效性。 ? IT資源維 主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源，這是 IT治理過(guò)程的主要對(duì)象。 ? IT過(guò)程維 則是在 IT準(zhǔn)則的指導(dǎo)下，對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織 PO（ Planning amp。 Organization）、獲取與實(shí)施 AI（ Acquisition amp。 Implementation）、交付與支持 DS（ Delivery and Support）、監(jiān)控 Monitoring等四個(gè)方面確定了 34個(gè)信息技術(shù)處理過(guò)程 ? COBIT標(biāo)準(zhǔn)的主要目的是為提供業(yè)界提供關(guān)于 IT控制的一個(gè)清楚的政策和發(fā)展的良好的典范 。 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? COBIT框架的組成部分 ? 管理指導(dǎo)方針（ Management Guidelines） ? 管理者摘要（ Executive Summary） ? 框架（ Framework） ? 審計(jì)指導(dǎo)方針（ Audit Guidelines） ? 控制目標(biāo)（ Control Objectives） ? 應(yīng)用工具集（ Implementation Tool Set） 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 信息系統(tǒng)控制標(biāo)準(zhǔn) ? BS7799 ? BS7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（ BSI）于 1995年 2月提出的 《 信息安全管理標(biāo)準(zhǔn) 》 ， 該標(biāo)準(zhǔn)分別于 1995年 5月和 1999年重新進(jìn)行了修訂。 ? 標(biāo)準(zhǔn)主要包括 2個(gè)部分： ，信息安全管理的 操作規(guī)則 ； ，信息安全管理 體系規(guī)范 。 ? 第一部分主要是 給負(fù)責(zé)開發(fā)的人員作為參考文檔使用 ，從而在他們的機(jī)構(gòu)內(nèi)部實(shí)施和維護(hù)信息安全； ? 第二部分詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)的要求，指出實(shí)施組織需遵循某一風(fēng)險(xiǎn)評(píng)估來(lái)鑒定最適宜的控制對(duì)象，并對(duì)自己的需求采取適當(dāng)?shù)目刂啤? 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 信息系統(tǒng)控制標(biāo)準(zhǔn) ? ISO/IEC17799 ? 英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（ BSI）制訂并于 1999年修訂的 《 信息安全管理標(biāo)準(zhǔn) 》 BS7799的一部分已經(jīng)在 2022末被采納為國(guó)際標(biāo)準(zhǔn)， 以標(biāo)準(zhǔn)號(hào) ISO/IEC17799發(fā)布，全名為 《 信息安全管理操作規(guī)則 》 。 ? 根據(jù)官方的報(bào)告， ISO/IEC17799的目的是 “ 為信息安全管理提供建議，供那些在其機(jī)構(gòu)中負(fù)有安全責(zé)任的人使用。它旨在為一個(gè)機(jī)構(gòu)提供用來(lái)制定安全標(biāo)準(zhǔn)、實(shí)施有效的安全管理時(shí)的通用要素，并得以使跨機(jī)構(gòu)的交易得到互信 ” 。 ? 一個(gè)通用的信息安全管理指南 ， ISO/IEC17799 的目的并不是告訴你有關(guān) “ 怎么做 ” 的細(xì)節(jié) ，它 不是一篇技術(shù)性的信息安全操作手冊(cè) 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 信息系統(tǒng)控制標(biāo)準(zhǔn) ? ITIL（ Information Technology Infrastructure Library） —— 信息技術(shù)基礎(chǔ)設(shè)施庫(kù) —— 是英國(guó)商務(wù)部 80年代后期提出和開發(fā)的一套書籍，這些書描述了一個(gè)用于管理 IT服務(wù)的集成的、面向過(guò)程的和最佳實(shí)踐框架。 ? 初衷是為了提高英國(guó)中央政府的 IT服務(wù)管理水平，并適合公共的或私有的、大型的或小型的，和集中的或分散的所有組織。 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 信息系統(tǒng)控制標(biāo)準(zhǔn) ? ITIL的內(nèi)容 ? （ 1）服務(wù)水平管理（ Service Level Management） ? （ 2）可用性管理（ Avaliablity Management） ? （ 3）能力管理（ Capacity Management） ? （ 4）持續(xù)性計(jì)劃（ Contingency Planning） ? （ 5）成本管理（ Coat Management） ? （ 6）幫助臺(tái)（ Helpdesk） ? （ 7）問(wèn)題管理（ Problem Management） ? （ 8）變動(dòng)管理（ Change Management） ? （ 9） 配置管理 （ Configuration Management） ? （ 10）軟件控制和分發(fā)（ Software amp。 Distribution） 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? IT過(guò)程控制 ? 1規(guī)劃與組織 1規(guī)劃與組織 定義 IT戰(zhàn)略規(guī)劃 定義信息體系結(jié)構(gòu) 確定技術(shù)方向 定義 IT組織與關(guān)系 管理 IT投資 傳達(dá)管理目標(biāo)和方向 人力資源管理 確保與外部需求的一致性 風(fēng)險(xiǎn)評(píng)估 項(xiàng)目管理 質(zhì)量管理 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? IT過(guò)程控制 ? 2獲得 與實(shí)施 2獲得 與實(shí)施 確定自動(dòng)化的解決方案 獲取并維護(hù)應(yīng)用程序軟件 獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施 程序開發(fā)與維護(hù) 系統(tǒng)安裝與鑒定 變革管理 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? IT過(guò)程控制 ? 3交付與支持 3交付與支持 定義并管理服務(wù)水平 管理第三方的服務(wù) 管理性能與容量 確保服務(wù)的連續(xù)性 確保系統(tǒng)安全 確定并分配成本 教育并培訓(xùn)客戶 配置管理 處理問(wèn)題和突發(fā)事件 數(shù)據(jù)管理 設(shè)施管理 運(yùn)營(yíng)管理 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? IT過(guò)程控制 ? 4監(jiān)控 4監(jiān)控 過(guò)程監(jiān)控 評(píng)價(jià)內(nèi)部控制的適當(dāng)性 獲取獨(dú)立保證 提供獨(dú)立的審計(jì) 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 閱讀材料：網(wǎng)上銀行系統(tǒng)的安全 ? 網(wǎng)上銀行系統(tǒng)存在哪些安全問(wèn)題？ ? 可以采取哪些有效的措施來(lái)應(yīng)對(duì)這些問(wèn)題？ 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 Qamp。A