【正文】 Distribution） 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? IT過(guò)程控制 ? 1規(guī)劃與組織 1規(guī)劃與組織 定義 IT戰(zhàn)略規(guī)劃 定義信息體系結(jié)構(gòu) 確定技術(shù)方向 定義 IT組織與關(guān)系 管理 IT投資 傳達(dá)管理目標(biāo)和方向 人力資源管理 確保與外部需求的一致性 風(fēng)險(xiǎn)評(píng)估 項(xiàng)目管理 質(zhì)量管理 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? IT過(guò)程控制 ? 2獲得 與實(shí)施 2獲得 與實(shí)施 確定自動(dòng)化的解決方案 獲取并維護(hù)應(yīng)用程序軟件 獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施 程序開(kāi)發(fā)與維護(hù) 系統(tǒng)安裝與鑒定 變革管理 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? IT過(guò)程控制 ? 3交付與支持 3交付與支持 定義并管理服務(wù)水平 管理第三方的服務(wù) 管理性能與容量 確保服務(wù)的連續(xù)性 確保系統(tǒng)安全 確定并分配成本 教育并培訓(xùn)客戶 配置管理 處理問(wèn)題和突發(fā)事件 數(shù)據(jù)管理 設(shè)施管理 運(yùn)營(yíng)管理 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? IT過(guò)程控制 ? 4監(jiān)控 4監(jiān)控 過(guò)程監(jiān)控 評(píng)價(jià)內(nèi)部控制的適當(dāng)性 獲取獨(dú)立保證 提供獨(dú)立的審計(jì) 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 閱讀材料：網(wǎng)上銀行系統(tǒng)的安全 ? 網(wǎng)上銀行系統(tǒng)存在哪些安全問(wèn)題？ ? 可以采取哪些有效的措施來(lái)應(yīng)對(duì)這些問(wèn)題？ 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 Qamp。 ? 初衷是為了提高英國(guó)中央政府的 IT服務(wù)管理水平，并適合公共的或私有的、大型的或小型的，和集中的或分散的所有組織。它旨在為一個(gè)機(jī)構(gòu)提供用來(lái)制定安全標(biāo)準(zhǔn)、實(shí)施有效的安全管理時(shí)的通用要素，并得以使跨機(jī)構(gòu)的交易得到互信 ” 。 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 信息系統(tǒng)控制標(biāo)準(zhǔn) ? ISO/IEC17799 ? 英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（ BSI）制訂并于 1999年修訂的 《 信息安全管理標(biāo)準(zhǔn) 》 BS7799的一部分已經(jīng)在 2022末被采納為國(guó)際標(biāo)準(zhǔn)， 以標(biāo)準(zhǔn)號(hào) ISO/IEC17799發(fā)布，全名為 《 信息安全管理操作規(guī)則 》 。 ? 標(biāo)準(zhǔn)主要包括 2個(gè)部分： ，信息安全管理的 操作規(guī)則 ； ，信息安全管理 體系規(guī)范 。 Implementation）、交付與支持 DS（ Delivery and Support）、監(jiān)控 Monitoring等四個(gè)方面確定了 34個(gè)信息技術(shù)處理過(guò)程 ? COBIT標(biāo)準(zhǔn)的主要目的是為提供業(yè)界提供關(guān)于 IT控制的一個(gè)清楚的政策和發(fā)展的良好的典范 。 ? IT過(guò)程維 則是在 IT準(zhǔn)則的指導(dǎo)下，對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織 PO（ Planning amp。 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? COBIT ? IT準(zhǔn)則維 集中反映了企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、成本、時(shí)間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來(lái)保證信息的安全性、可靠性、有效性。 ? 提供第二現(xiàn)場(chǎng)備份 ? 確認(rèn)關(guān)鍵應(yīng)用程序 ? 執(zhí)行備份和非現(xiàn)場(chǎng)存儲(chǔ)程序 ? 建立計(jì)劃小組 ? 測(cè)試計(jì)劃 災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃測(cè)試 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 計(jì)劃的管理和審計(jì) ? 計(jì)劃的管理和審計(jì)目標(biāo) 是 檢查公司制定的災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃是否適應(yīng)公司的要求，其實(shí)施是否可行、有效。 ? 災(zāi)難恢復(fù)計(jì)劃 是在 對(duì)災(zāi)難發(fā)生前后和期間內(nèi) 所采取的所有行動(dòng)的綜合說(shuō)明 ，也包括能夠確保運(yùn)行繼續(xù)的、以文件規(guī)定的、進(jìn)過(guò)測(cè)試的應(yīng)急程序。 ? 測(cè)試完成后， 應(yīng)編制計(jì)劃執(zhí)行報(bào)告， 作為管理層決定是否修改計(jì)劃或是安排額外的測(cè)試依據(jù)。 ? 在經(jīng)濟(jì)允許的范圍內(nèi)，計(jì)劃 應(yīng)盡可能充分地被檢測(cè) ， 測(cè)試應(yīng)該包括備份設(shè)備和備份支持材料。 ? 干擾模擬測(cè)試 在突擊進(jìn)行的情況下，測(cè)試效果最為顯著。 定義 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 業(yè)務(wù)持續(xù)計(jì)劃（ BCP）過(guò)程包含： ? ； ? (BIA – Business Impact Assessment) ； ? ； ? ； 業(yè)務(wù)持續(xù)計(jì)劃（ BCP）過(guò)程 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 災(zāi)難恢復(fù)計(jì)劃（ DRP）過(guò)程包含： ? 建立災(zāi)難恢復(fù)計(jì)劃； ? 測(cè)試災(zāi)難恢復(fù)計(jì)劃； ? 災(zāi)難恢復(fù)計(jì)劃程序 災(zāi)難恢復(fù) （ DRP）過(guò)程 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃 最容易被忽視的方面就是計(jì)劃測(cè)試 。 ? 災(zāi)難恢復(fù)計(jì)劃 是在對(duì)災(zāi)難發(fā)生前后和期間內(nèi)所采取的所有行動(dòng)的綜合說(shuō)明，也包括能夠確保運(yùn)行繼續(xù)的、以文件規(guī)定的、進(jìn)過(guò)測(cè)試的應(yīng)急程序。 ? 災(zāi)難恢復(fù)已經(jīng) 不只是信息技術(shù)部門關(guān)心 的事，而是上升到 企業(yè)高管需要給予高度關(guān)注 的事。 ? IT系統(tǒng)是否完善 ， 是否能夠提供全天候業(yè)務(wù)運(yùn)作 ，是競(jìng)爭(zhēng)力的一個(gè)最重要的前提。 指南的主要亮點(diǎn) 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 《 指南 》 的內(nèi)容 覆蓋了災(zāi)難恢復(fù)工作的 主要環(huán)節(jié) ，以及 每一個(gè)環(huán)節(jié)需要開(kāi)展的 各項(xiàng)具體工作 ，包括 災(zāi)難恢復(fù)的管理，需求的確定，策略的制訂和實(shí)現(xiàn)，預(yù)案的制訂、落實(shí)和管理，預(yù)案框架 等。 指南的主要亮點(diǎn) 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 災(zāi)難恢復(fù)的等級(jí)劃分 ? 參照國(guó)際相關(guān)標(biāo)準(zhǔn)，并結(jié)合國(guó)內(nèi)實(shí)際情況， 將災(zāi)難恢復(fù)應(yīng)具有的技術(shù)和管理支持分為 6個(gè)等級(jí) ，每個(gè)等級(jí)都包括數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)、備用網(wǎng)絡(luò)系統(tǒng)、備用基礎(chǔ)設(shè)施、技術(shù)支持、運(yùn)行維護(hù)支持及災(zāi)難恢復(fù)預(yù)案等 7個(gè)要素 。 ? 災(zāi)難備份 ： “ 為了災(zāi)難恢復(fù) 而對(duì)數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施、技術(shù)支持能力和運(yùn)行管理能力 進(jìn)行備份 的過(guò)程。 ” ? 由此可見(jiàn)，災(zāi)難不只指自然的原因，也包括人為的原因，對(duì)于信息系統(tǒng)的連續(xù)性運(yùn)行來(lái)說(shuō)，災(zāi)難的范圍很寬泛。同時(shí)，對(duì)于災(zāi)備建設(shè)中最重要的標(biāo)準(zhǔn)化問(wèn)題，國(guó)務(wù)院信息化辦公室借本次論壇對(duì) 2022年 4月份出臺(tái)的指導(dǎo)文件 《 重要信息系統(tǒng)災(zāi)難恢復(fù)規(guī)劃指南 》 ，進(jìn)行了宣講和解釋。 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 安全控制目標(biāo)和控制措施的選擇 ? 影響選擇控制的因素和條件 ? 限制條件 ? 已存在的控制 ? 所有的控制目標(biāo)和安全需求是否已經(jīng)滿足 ? 實(shí)施與維護(hù)控制 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 計(jì)劃的重要性 ? 如何制定計(jì)劃 ? 計(jì)劃的測(cè)試 ? 計(jì)劃的管理和審計(jì) 信息系統(tǒng)災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 2022/5/26，在廣東南海召開(kāi)的 “ 首屆中國(guó)災(zāi)難恢復(fù)行業(yè)高層論壇 ” ，被業(yè)界稱為中國(guó)災(zāi)難恢復(fù)行業(yè)里程碑式的重要會(huì)議。 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 安全控制目標(biāo)和控制措施的選擇 ? 影響選擇控制的因素和條件 ? 選擇控制需要考慮的因素 ? 成本 ? 控制的成本必須小于要保護(hù)的資產(chǎn)的價(jià)值 ? 可用性 ? 主要是技術(shù)上和操作上的可用性 ? 如電子商務(wù)交易的風(fēng)險(xiǎn)是財(cái)務(wù)信息被篡改，加密？不加密？加密安全，但如果法律規(guī)定不允許加密，措施則不可用。 ? 應(yīng)當(dāng) 在安全與投入之間保持平衡 ，保證組織的盈利能力、高效性和競(jìng)爭(zhēng)能力。 ? 減少威脅 ? 降低脆弱性 ? 降低負(fù)面影響 ? 檢測(cè)意外事件恢復(fù) ? 從意外事件中 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 風(fēng)險(xiǎn)分析矩陣 完整性 保密