【正文】 IT高級(jí)管理層獲得：與技術(shù)基礎(chǔ)設(shè)施計(jì)劃編制和監(jiān)控相聯(lián)系的政策和程序高級(jí)管理層指導(dǎo)角色和責(zé)任機(jī)構(gòu)目標(biāo)和長短期計(jì)劃IT目標(biāo)和長短期計(jì)劃IT硬件和軟件獲取計(jì)劃技術(shù)基礎(chǔ)設(shè)施計(jì)劃技術(shù)標(biāo)準(zhǔn)狀況報(bào)告和計(jì)劃編制/指導(dǎo)委員會(huì)會(huì)議紀(jì)要評(píng)估控制：考慮是否：為確認(rèn)被提議的變化首先被檢查以評(píng)估相關(guān)聯(lián)的成本和風(fēng)險(xiǎn)，為確認(rèn)高級(jí)管理層的批準(zhǔn)先于計(jì)劃的變化被獲得，有一個(gè)創(chuàng)造并有規(guī)律地更新的技術(shù)基礎(chǔ)設(shè)施計(jì)劃的過程技術(shù)基礎(chǔ)設(shè)施計(jì)劃與IT長短期計(jì)劃相比較有一個(gè)過程來評(píng)估機(jī)構(gòu)的當(dāng)前技術(shù)狀態(tài)，確保環(huán)繞諸如系統(tǒng)體系結(jié)構(gòu)、技術(shù)方向和移植戰(zhàn)略等方面IT政策和程序確保選擇了評(píng)估和監(jiān)控當(dāng)前和將來的技術(shù)趨勢和規(guī)章條件的要求，并且在技術(shù)基礎(chǔ)設(shè)施計(jì)劃的開發(fā)和維護(hù)期間被考慮技術(shù)獲取的后勤和環(huán)境影響要被計(jì)劃IT政策和程序確保選擇了系統(tǒng)地評(píng)估技術(shù)計(jì)劃意外的需求（也就是基礎(chǔ)設(shè)施的冗余、恢復(fù)力、足夠性和發(fā)展能力）IT管理層評(píng)估正在出現(xiàn)的技術(shù)，并將適當(dāng)?shù)募夹g(shù)合并到當(dāng)前的IT基礎(chǔ)設(shè)施之中對(duì)于硬件和軟件的獲取計(jì)劃來講，它是遵從技術(shù)基礎(chǔ)設(shè)施計(jì)劃中所確定的要求并被適當(dāng)?shù)嘏鷾?zhǔn)的實(shí)踐在技術(shù)基礎(chǔ)設(shè)施計(jì)劃中所描述的技術(shù)組成的技術(shù)標(biāo)準(zhǔn)是到位的評(píng)定遵從性：測試：IT管理層理解并使用技術(shù)基礎(chǔ)設(shè)施計(jì)劃技術(shù)基礎(chǔ)設(shè)施計(jì)劃上的變化，以確定相關(guān)的成本和風(fēng)險(xiǎn)，這些變化要反映在IT長短期計(jì)劃的變化中IT管理層要理解監(jiān)控和評(píng)估正在出現(xiàn)技術(shù)的過程，并要將適當(dāng)?shù)募夹g(shù)合并到當(dāng)前的IT基礎(chǔ)設(shè)施之中IT管理層要理解系統(tǒng)評(píng)估技術(shù)計(jì)劃意外的過程（也就是說，基礎(chǔ)設(shè)施的冗余、恢復(fù)力、充足性和發(fā)展能力）為了充分地適應(yīng)目前的已安裝的硬件/軟件以及在當(dāng)前被批準(zhǔn)的增加的新的硬件/軟件，IT職能部門現(xiàn)有的物理環(huán)境硬件和軟件獲取計(jì)劃遵從IT長短期計(jì)劃，并要反映技術(shù)基礎(chǔ)設(shè)施計(jì)劃中所確認(rèn)的需求技術(shù)基礎(chǔ)設(shè)施計(jì)劃選擇利用當(dāng)前和將來的技術(shù)技術(shù)標(biāo)準(zhǔn)被遵循，并作為開發(fā)過程的一部分而被合成一體被允許的訪問與IT政策和程序中所定義的安全等級(jí)相一致，到位的訪問要經(jīng)過適當(dāng)?shù)氖跈?quán)證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的技術(shù)基礎(chǔ)設(shè)施計(jì)劃編制的基準(zhǔn)針對(duì)關(guān)鍵元素的完整性，數(shù)據(jù)字典的詳細(xì)評(píng)價(jià)為敏感數(shù)據(jù)而定義的安全等級(jí)的詳細(xì)評(píng)價(jià)確定：信息系統(tǒng)和IT長短期計(jì)劃相關(guān)的信息體系結(jié)構(gòu)模型和企業(yè)數(shù)據(jù)模型、企業(yè)數(shù)據(jù)字典的矛盾企業(yè)數(shù)據(jù)字典條款和數(shù)據(jù)語法規(guī)則的過時(shí)沒有在技術(shù)基礎(chǔ)設(shè)施計(jì)劃中選擇的以外方面沒能反映技術(shù)基礎(chǔ)設(shè)施計(jì)劃需求的IT硬件和軟件的獲取計(jì)劃與技術(shù)標(biāo)準(zhǔn)不一致的技術(shù)基礎(chǔ)設(shè)施計(jì)劃或IT硬件和軟件獲取計(jì)劃數(shù)據(jù)字典中丟失的關(guān)鍵元素沒有按照同樣標(biāo)準(zhǔn)分類或者沒有安全等級(jí)的敏感數(shù)據(jù)4 定義信息技術(shù)的機(jī)構(gòu)及關(guān)系（PO4）控制的IT過程：定義IT的機(jī)構(gòu)及關(guān)系滿足的業(yè)務(wù)需求：提供正確的IT服務(wù)實(shí)現(xiàn)路線：定義一個(gè)數(shù)量上相配、具有角色和職責(zé)所要求技能的機(jī)構(gòu)，與業(yè)務(wù)部門溝通、聯(lián)合在一起，促進(jìn)戰(zhàn)略的實(shí)現(xiàn)，并規(guī)定有效的方向和適當(dāng)?shù)目刂菩枰紤]的事項(xiàng)：董事會(huì)層面上的IT職責(zé)管理層對(duì)于IT的指導(dǎo)和監(jiān)督IT與業(yè)務(wù)的結(jié)合關(guān)鍵決策過程中IT的參與機(jī)構(gòu)的靈活性清晰的角色和職責(zé)平衡授權(quán)與監(jiān)督工作崗位的描述人員級(jí)別和關(guān)鍵的人員在安全、質(zhì)量和內(nèi)部控制功能方面的機(jī)構(gòu)配置職責(zé)的分離信息規(guī)范 IT資源P 效果 * 人員S 效率 應(yīng)用保密 技術(shù)完整 設(shè)施可用 數(shù)據(jù)遵從可靠 IT 計(jì)劃或指導(dǎo)委員會(huì)機(jī)構(gòu)的高級(jí)管理層應(yīng)指定一個(gè)計(jì)劃或者指導(dǎo)委員會(huì)，來檢查IT的職能及其活動(dòng)。委員會(huì)應(yīng)實(shí)行例會(huì)制度，并向高級(jí)管理層報(bào)告。 機(jī)構(gòu)績效的評(píng)價(jià)應(yīng)設(shè)置一個(gè)框架來評(píng)價(jià)機(jī)構(gòu)的機(jī)構(gòu)，以不斷地滿足目標(biāo)和變化的環(huán)境。所有的人員應(yīng)具有足夠的權(quán)力來行使分派給他們的角色和責(zé)任。沒有那個(gè)人能夠控制一個(gè)交易或事件的所有關(guān)鍵環(huán)節(jié)。因此，應(yīng)機(jī)構(gòu)并承擔(dān)起有規(guī)律的一些活動(dòng)，以增強(qiáng)這方面的意識(shí)和紀(jì)律。IT職能內(nèi)機(jī)構(gòu)的布置以及質(zhì)量保證小組的職責(zé)和規(guī)模應(yīng)滿足機(jī)構(gòu)的需求。最起碼，安全管理職責(zé)應(yīng)建立在整個(gè)機(jī)構(gòu)范圍的層次上，以便能夠處理一個(gè)機(jī)構(gòu)內(nèi)的全部安全問題。 所有者和管理者管理層應(yīng)正式建立一個(gè)指定數(shù)據(jù)所有者和管理者的結(jié)構(gòu)。 數(shù)據(jù)和系統(tǒng)的所有者管理層應(yīng)確保所有信息資產(chǎn)（數(shù)據(jù)和系統(tǒng)）都已指定了所有者，他們對(duì)信息資產(chǎn)的分類和訪問權(quán)限具有決策的權(quán)利。然而，所有者仍然要保留對(duì)適當(dāng)安全尺度維護(hù)的責(zé)任。 職責(zé)分離高級(jí)管理層應(yīng)實(shí)施角色和職責(zé)的分離，避免單獨(dú)的個(gè)人擾亂某個(gè)關(guān)鍵的過程。尤其是下列職責(zé)之間責(zé)任分離的應(yīng)維護(hù)。員工需求應(yīng)至少每年評(píng)估一次，或根據(jù)業(yè)務(wù)、運(yùn)作及IT環(huán)境的主要變化而執(zhí)行。 IT 員工工作和職位的描述管理層應(yīng)確保建立IT員工的職位描述，并有規(guī)律地被更新。 關(guān)鍵的IT 人員IT管理層應(yīng)詳細(xì)說明和識(shí)別關(guān)鍵的IT人員。 關(guān)系IT管理層應(yīng)采取必要的行動(dòng)，在IT職能部門和其它各種有利害關(guān)系的內(nèi)外部IT職能部門（即用戶、供應(yīng)商、安全官員、風(fēng)險(xiǎn)管理者）之間，建立并維持一個(gè)最佳的協(xié)調(diào)、交流、聯(lián)絡(luò)的結(jié)構(gòu)。應(yīng)調(diào)查資金的選擇。此外，由IT活動(dòng)衍生出來的可能存在的收益應(yīng)被確定和報(bào)告。對(duì)于收益的監(jiān)測來講，高層次的績效指標(biāo)應(yīng)被詳細(xì)地說明，有規(guī)率地進(jìn)行報(bào)告并對(duì)其適當(dāng)性進(jìn)行評(píng)價(jià)。由IT活動(dòng)衍生出來的收益也應(yīng)做同樣應(yīng)的分析。這些框架和程序應(yīng)專注于員工的誠信、倫理價(jià)值和能力以及管理哲學(xué)、操作風(fēng)格和義務(wù)。 管理層在政策方面的責(zé)任對(duì)于覆蓋總體目標(biāo)和方針的政策而言，管理層應(yīng)對(duì)政策的闡明、開發(fā)、聲明、公布和控制承擔(dān)全部責(zé)任。撰寫的政策及其程序的復(fù)雜性應(yīng)總是與機(jī)構(gòu)的規(guī)模和管理風(fēng)格相一致。溝通過程應(yīng)由一套使用靈活多變溝通手段的有效計(jì)劃所支持。管理層還應(yīng)監(jiān)控政策執(zhí)行的及時(shí)性。政策起碼應(yīng)按年或者根據(jù)運(yùn)行或業(yè)務(wù)環(huán)境的重大變化而進(jìn)行重新評(píng)估，評(píng)估它們的充分性和適當(dāng)性，并做必要的修改。 遵從政策、程序和標(biāo)準(zhǔn)管理層應(yīng)確保合適的程序設(shè)置到位，以判定每個(gè)人是否理解了執(zhí)行的政策和程序，以及這些程序和政策是否被遵循。 質(zhì)量義務(wù)管理層應(yīng)定義、形成文件并維護(hù)與企業(yè)價(jià)值觀和政策相一致的質(zhì)量價(jià)值觀、政策和目標(biāo)，這些質(zhì)量價(jià)值觀、政策和目標(biāo)應(yīng)被IT職能部門的所有層次所理解、執(zhí)行和維持。政策應(yīng)服從總體業(yè)務(wù)目標(biāo)，目標(biāo)是：通過預(yù)防性措施、及時(shí)辨識(shí)不規(guī)范行為、限制損失和及時(shí)恢復(fù)，使風(fēng)險(xiǎn)最小化。另外，管理層應(yīng)確保這些高層次的安全和內(nèi)部控制政策詳細(xì)說明了目的和目標(biāo)、管理結(jié)構(gòu)、機(jī)構(gòu)內(nèi)的適用范圍、在所有層次上執(zhí)行的責(zé)任的定義和分配以及對(duì)違背安全和內(nèi)部控制政策行為的處罰的定義。 知識(shí)產(chǎn)權(quán)管理層應(yīng)規(guī)定并執(zhí)行有關(guān)自行開發(fā)和簽約開發(fā)軟件的知識(shí)產(chǎn)權(quán)方面的書面政策。 IT 安全意識(shí)的溝通應(yīng)通過一個(gè)IT安全意識(shí)教程，將IT安全政策溝通給每一個(gè)IT用戶，并保證對(duì)IT安全重要性的完整理解。IT安全意識(shí)教程應(yīng)代表管理層的觀點(diǎn)并被他們所支持。這些過程應(yīng)符合整個(gè)機(jī)構(gòu)在這些方面的政策和程序，比如雇用、方向、培訓(xùn)、評(píng)估、商討、晉升、報(bào)酬和訓(xùn)練等程序。 人員的任職資格IT管理層應(yīng)有規(guī)律地查驗(yàn)執(zhí)行具體任務(wù)的職員，看看他們在適當(dāng)?shù)慕逃?、培?xùn)和（或）經(jīng)歷的方面，是否具有所需要的資格。 角色和責(zé)任管理層應(yīng)清晰地說明職員的角色和責(zé)任，包括遵守管理政策和程序、道德規(guī)范和職業(yè)慣例的規(guī)定的要求。 人員培訓(xùn)管理層應(yīng)確保雇員得到雇用方向和在職的培訓(xùn)，以維持他們的知識(shí)、技能、能力和安全意識(shí)到所需的有效完成工作的水平。 交叉培訓(xùn)或人員后備管理層應(yīng)提供充足的交叉培訓(xùn)或確認(rèn)的關(guān)鍵人員的備份，以防不測。 人員的調(diào)查程序IT管理層應(yīng)確保他們的員工在被雇用、調(diào)離或升職之前，根據(jù)他們所在崗位的敏感性，進(jìn)行安全調(diào)查程序。 雇員工作績效的評(píng)估管理層應(yīng)執(zhí)行一個(gè)雇員績效評(píng)估流程，借助有效的獎(jiǎng)勵(lì)機(jī)制，加強(qiáng)員工對(duì)于個(gè)人的業(yè)績與機(jī)構(gòu)的成功之間的關(guān)系的認(rèn)識(shí)。無論何時(shí)，只要是適當(dāng)?shù)?，雇員應(yīng)得到業(yè)績方面的忠告或指導(dǎo)。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：獲得了解：訪談：人力資源官和挑選的人員安全官挑選的安全人員IT經(jīng)理IT人力資源官挑選的IT管理層挑選的IT人員挑選的與IT職能敏感位置相關(guān)的人員獲得：與人力資源管理相關(guān)的政策和程序職位描述、績效評(píng)估形式、培訓(xùn)和發(fā)展形式選擇職位的人員文件和人員評(píng)估控制：考慮是否：使用標(biāo)準(zhǔn)招募和選擇人員，以填補(bǔ)公開的職位人員職位所需資格的說明書考慮適用的專業(yè)部門的相關(guān)需求管理層和雇員接受工作能力過程培訓(xùn)程序要與機(jī)構(gòu)的已歸檔的關(guān)于教育和包含安全問題的總體認(rèn)識(shí)的最小需求相一致管理層應(yīng)承擔(dān)個(gè)人培訓(xùn)和職業(yè)發(fā)展的義務(wù)技術(shù)和管理技能的縫隙被確定，針對(duì)這些縫隙，采取適當(dāng)?shù)男袆?dòng)對(duì)于關(guān)鍵的工作職能，正在進(jìn)行的交叉培訓(xùn)以及人員的備份發(fā)生強(qiáng)制的不間斷的假期政策發(fā)生機(jī)構(gòu)的安全檢查過程是適當(dāng)?shù)囊砸惶讟?biāo)準(zhǔn)的職位能力文件為基礎(chǔ)，進(jìn)行雇員的評(píng)估，評(píng)估以定期的方式舉行工作變化和終止過程確保機(jī)構(gòu)資源的保護(hù)人力資源管理政策和程序與適用的法律和規(guī)章一致評(píng)定遵從性：測試：招募和/或晉升行動(dòng)、選擇標(biāo)準(zhǔn)反映職位需求的目標(biāo)和關(guān)聯(lián)對(duì)于他們的工作職責(zé)或者責(zé)任區(qū)域來講，人員具有運(yùn)作的足夠的知識(shí)職位（工作）描述存在，被評(píng)價(jià)并被保持是最新的個(gè)人文件包含雇員的機(jī)構(gòu)全部教育和總體認(rèn)識(shí)程序的了解的承認(rèn)書對(duì)于分配關(guān)鍵職能的適當(dāng)?shù)娜藛T，正在進(jìn)行的培訓(xùn)和教育發(fā)生IT人員已經(jīng)收到安全程序和技術(shù)方面的適當(dāng)培訓(xùn)IT管理層和職員知道并理解機(jī)構(gòu)的政策和程序安全檢查調(diào)查的程序與治理隱私的適用法律相一致業(yè)務(wù)目標(biāo)的知識(shí)按照人分配給關(guān)鍵的IT職能，包括內(nèi)部控制哲學(xué)、信息系統(tǒng)安全和控制概念證實(shí)沒有滿足業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)：執(zhí)行：依照類似的機(jī)構(gòu)或者適當(dāng)?shù)膰H標(biāo)準(zhǔn)/公認(rèn)的行業(yè)最好實(shí)踐的人力資源管理活動(dòng)的基準(zhǔn)IT人力資源管理活動(dòng)的詳細(xì)評(píng)價(jià)確定：來自潛在/實(shí)際的工作候選人的缺陷/委屈的原因招募、調(diào)任、晉升和終止行動(dòng)中與下述相比的差異：? 沒有跟隨政策和程序? 行動(dòng)沒有由適當(dāng)?shù)墓芾韺铀炇? 行動(dòng)沒有以工作說明書和人員資格為基礎(chǔ)人員：? 資格不適當(dāng)? 培訓(xùn)和發(fā)展的機(jī)遇與能力的縫隙聯(lián)系的不緊? 缺少工作績效的評(píng)估，或者不能支持所占據(jù)的職位和/或正被執(zhí)行的任務(wù)? 與雇傭相關(guān)聯(lián)的安全調(diào)查沒能跟進(jìn)? 定期的安全調(diào)查沒能執(zhí)行不充分的培訓(xùn)程序和職員發(fā)展活動(dòng)不充分的交叉培訓(xùn)和關(guān)鍵人員的備份沒有簽字的安全政策承認(rèn)書分配給培訓(xùn)和職員發(fā)展的不適當(dāng)?shù)念A(yù)算和時(shí)間職員執(zhí)行關(guān)鍵的職能，沒有指明假期和渡假天的人員時(shí)間報(bào)告8 確保遵從外部要求（PO8）控制的IT過程：確保遵從外部要求滿足的業(yè)務(wù)需求：履行法律的、法規(guī)的、契約的義務(wù)實(shí)現(xiàn)路線：識(shí)別和分析影響IT的外部要求，并采取適當(dāng)?shù)拇胧┳駨乃鼈冃枰紤]的事項(xiàng)：法律、規(guī)章和合同追蹤法律和法規(guī)的發(fā)展對(duì)遵從性有規(guī)律的監(jiān)測安全和人類環(huán)境改造學(xué)隱私知識(shí)產(chǎn)權(quán)信息規(guī)范 IT資源P 效果 * 人員效率 * 應(yīng)用保密 技術(shù)完整 設(shè)施可用 * 數(shù)據(jù)P 遵從S 可靠 外部要求的評(píng)價(jià)機(jī)構(gòu)應(yīng)建立并維護(hù)外部要求檢查以及協(xié)調(diào)這些活動(dòng)的程序，通過持續(xù)的調(diào)查確定機(jī)構(gòu)可適用的外部要求。管理層也應(yīng)評(píng)估任何有關(guān)機(jī)構(gòu)總體信息要求的外部關(guān)系的影響，包括IT策略需要遵從或支持任何相關(guān)的第三方需求范圍的決定。另外，應(yīng)建立并維護(hù)確保持續(xù)不斷遵從的適當(dāng)程序。 防護(hù)和人類環(huán)境改造要求的遵從管理層應(yīng)確保遵從IT用戶和員工工作環(huán)境的防護(hù)及人類環(huán)境改造的標(biāo)準(zhǔn)。 電子商務(wù)在貿(mào)易雙方之間的通訊處理以及交易信息安全和數(shù)據(jù)存儲(chǔ)的標(biāo)準(zhǔn)方面，管理層應(yīng)確保簽訂正式的合同，建立貿(mào)易伙伴間的協(xié)議。 遵守保險(xiǎn)合同管理層應(yīng)確保保險(xiǎn)合同的要求被完全辨認(rèn)并不斷地被滿足。假如這種感覺的良好信念沒有展示出來，那么合同對(duì)于受傷害方無效的，不愉快一方不能執(zhí)行合同。這樣的一個(gè)框架應(yīng)將相關(guān)信息風(fēng)險(xiǎn)有規(guī)律的評(píng)估與實(shí)現(xiàn)業(yè)務(wù)目標(biāo)緊密結(jié)合，以此為基礎(chǔ)，決定風(fēng)險(xiǎn)應(yīng)怎樣才能被管理到一個(gè)可接受的水平。管理層應(yīng)確保風(fēng)險(xiǎn)再評(píng)估的執(zhí)行，并且風(fēng)險(xiǎn)評(píng)估的參考信息應(yīng)根據(jù)審計(jì)、檢查和確定事件的結(jié)果進(jìn)行更新。管理層應(yīng)領(lǐng)導(dǎo)風(fēng)險(xiǎn)減緩解決方案的確定，并要涉及系統(tǒng)弱點(diǎn)的辨認(rèn)。 風(fēng)險(xiǎn)確認(rèn)風(fēng)險(xiǎn)評(píng)估途徑應(yīng)著重于風(fēng)險(xiǎn)的基本要素和他們之間因果關(guān)系的檢查上，風(fēng)險(xiǎn)的基本要素包括有形的和無形的資產(chǎn)、資產(chǎn)價(jià)值、威脅、弱點(diǎn)、保護(hù)裝置、威脅的結(jié)果和可能性。風(fēng)險(xiǎn)評(píng)估應(yīng)考慮業(yè)務(wù)、規(guī)章、法律、技術(shù)、貿(mào)易伙伴和人力資源風(fēng)險(xiǎn)。 風(fēng)險(xiǎn)行動(dòng)計(jì)劃風(fēng)險(xiǎn)評(píng)估途徑應(yīng)規(guī)定一個(gè)風(fēng)險(xiǎn)行動(dòng)計(jì)劃，以確保成本/效益控制和安全措施在持續(xù)的基礎(chǔ)上減輕風(fēng)險(xiǎn)的暴露。 風(fēng)險(xiǎn)接受根據(jù)風(fēng)險(xiǎn)辨認(rèn)和測量結(jié)果、機(jī)構(gòu)的政策、風(fēng)險(xiǎn)評(píng)估途徑的本身的不確定性和實(shí)施安全控制的成本效益，風(fēng)險(xiǎn)評(píng)估途徑應(yīng)確保剩余風(fēng)險(xiǎn)的正式的可接受能力。 安全裝置的選擇當(dāng)尋求一個(gè)合理、適當(dāng)和相稱的安全和控制系統(tǒng)時(shí)，具有最高的投資回報(bào)率（ROI）和能快速生效的控制應(yīng)被優(yōu)先考慮。而且，管理層還需要溝通控制設(shè)施的目的、管理沖突的設(shè)施和監(jiān)視所有控制設(shè)施的持續(xù)有效性。對(duì)高級(jí)和詳細(xì)的控制目標(biāo)進(jìn)行審計(jì)：獲得了解：訪談：IT職能部門的高級(jí)管理層挑選的IT人員挑選的風(fēng)險(xiǎn)管理人員IT服務(wù)的關(guān)鍵用戶獲得：相關(guān)于風(fēng)險(xiǎn)評(píng)估的政策和程序業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估文檔操作風(fēng)險(xiǎn)評(píng)估文檔IT風(fēng)險(xiǎn)評(píng)估文檔詳細(xì)資料，以此為基礎(chǔ)可以測量風(fēng)險(xiǎn)和風(fēng)險(xiǎn)的暴露挑選出來的風(fēng)險(xiǎn)評(píng)估人員的個(gè)人檔案覆蓋殘留風(fēng)險(xiǎn)的保險(xiǎn)政策專家意見的結(jié)果同等團(tuán)體評(píng)價(jià)來自風(fēng)險(xiǎn)管理數(shù)據(jù)庫的洞察力評(píng)估控制：考慮是否：系統(tǒng)的風(fēng)險(xiǎn)評(píng)估框架到位，將相關(guān)的信息風(fēng)險(xiǎn)合并到機(jī)構(gòu)目標(biāo)的實(shí)現(xiàn)上，并形成決定怎樣將風(fēng)險(xiǎn)管理到一個(gè)