资源目录
压缩包内文档预览:
编号:22637820
类型:共享资源
大小:1.41MB
格式:RAR
上传时间:2019-10-21
上传人:hon****an
认证信息
个人认证
丁**(实名认证)
江苏
IP属地:江苏
5.99
积分
- 关 键 词:
-
高分考生复习笔记
- 资源描述:
-
2010年12月高分考生复习笔记.rar,高分考生复习笔记
- 内容简介:
-
一、 IS audit function的管理(一) IS审计功能组织1 Audit chapter 由管理高层审批用于建立IS内部审计的角色。 需要定义审计功能的authority,scope,responsibilities2 Engagement letter 是针对特定的审计项目3 外部审计的话通过contract或者statement of work来详细说明审计服务的objectives and scope4 任何情况,内部审计功能应该保持独立并向审计委员会或者董事会等高层汇报。(二) IS审计资源管理1 IS审计师应该technically competent 应该通过持续的教育获得技术上的胜任2 审计部门应制定详细的员工培训计划,并定期检查,应提供必要的IT资源来实施IS审计。(三) 审计计划1 年度计划是短期,2 长期是考虑到影响计划IT环境的IT战略方向变化所带来的风险3 单个的审计任务需要考虑到定期风险评估结果,应用技术的变化,隐私的关注以及法律要求等,都会影响审计方法。也要考虑系统部署/升级的deadlines, 现在或者将来的技术,业务流程owner的要求,以及IS资源的有限性等方面。4 计划过程: 获取对业务任务,目标,目的,过程的了解;也包括对信息系统CIA等安全要求的了解 识别stated 内容包括策略,标准,要求的指引和组织架构 执行RA来帮助开发审计计划 设立审计scope和objectives 开发审计方法或者审计strategy 为审计分派人员 解决engagement logistics5 IS审计师了解业务的方法: 阅读背景资料,包括:工业出版物,年报,独立的财务分析报告 回顾之前的审计报告,或者IT相关报告 回顾业务和IT相关的长期战略计划 访谈关键岗位来了解业务 识别特定的适用于IT的法规 识别外包的IT功能或相关活动 Touring 关键的机构facilities(四) 法律法规对IS审计计划的影响。1. 需要关注两点:对审计本身的法律要求,对审计主体方的法律要求二、 ISACA审计准则,指引,流程(一) IS审计职业道德操守(二) ISACA IS审计准则框架1. 准则是强制的,准则表明IS审计师满足了最低水平的可接受表现;也代表了管理者对IS审计的期待 S1 audit charter S2 independence (两方面 professional & organizational) S3 professional ethics and standards(遵守职业道德操守,due professional care,遵守职业审计准则) S4 professional competence(职业技能,通过适当的持续职业教育来维护职业技能) S5 planing(合法,risk-based audit approach,开发并文档化plan,开发一个审计 program来完成审计) S6 performance of audit work (supervision IS审计人员的工作需要监控来获取合理性保障;证据-充分,可信,相关 ;documentation-审计过程需要记录) S7 reporting (报告-适当格式,有权人员,内容应该涉及scope,objectives,范围,属性,发现,结论,推荐,保留意见,等。应该有充足和适当的证据,一旦发布将签名,时间,根据charter规定下发) S8 follow-up activities() S9 irregularities and illegal acts(professional skepticism, material misstatements,) S10 It governance S11 use of RA in audit planning S12 audit materiality(audit risk与anduti materiality的关系,要明白minor control deficiencies可能的累积作用。 Materiality 与可接受的审计风险成反比) S13 using the work of other experts S14 audit evidence S15 IT controls三、 ITAF1. ITAF包含3方面的标准: general, performance, reporting. General standards 处理的是IT 审计师的ethics, independence, objectivity and due care, knowledge, competency and skill Performance standards 处理的是plan and supervision, scoping, risk and materiality, resource mobilizaition, supervison and assignment management, audit and assurance evidence, due care等 Reporting standards 处理的是报告类型,沟通方式以及所要沟通的信息四、 风险分析五、 内部控制internal controls1. 内部控制通过策略,流程,实践,组织框架来实现合理性保障,减少机构风险。2. 控制手段包含preventive, detective, corrective等(一) 内部控制目标 1. internal accounting controls2. operational controls3. administration controls(二) IS控制目标 (三) CoBIT Plan and organize Accuqize and implement Delivery and support Monitor and evaluateCOBIT将管理者与高水平的IT服务交付联系在一起。(四) General controls一般控制 internal accounting controls operational controls administration controls 安全策略和 流程 设计和使用文档的策略 访问控制 物理和逻辑安全(五) IS controls六、 执行一个IS审计(一) 审计类别1. Financial audit2. Operational audit3. Integrated audit4. Administrative audit5. Is audit6. Special audit7. forensic audit8.(二) 审计program1. 获取对审计主体的理解2. 风险评估,一般的审计计划3. 详细的审计计划4. 检查审计方面5. 评估6. 评估现有控制7. 合规性测试、实质性测试8. 报告9. 后续(三) 审计方法methodology(四) 诈骗检测fraud detection(五) Risk-based auditing基于风险的审计1. gather information and plan2. obtain understanding of internal control3. perform compliance test4. perform substantive test5. conclude the audit1. audit risk inherent risk control risk detection risk 运行适当的采样可以减少此风险(六) 风险评估和处置1. Treating risk Reduce Accept Avoid transfer(七) 风险评估技术定量,定性(八) 审计目标通常是关注证明内部控制的有效性来最小化业务风险(九) Compliance testing VS Substantive testing1. compliance testing关注的是控制是否根据机构的策略部署到位2. substantive testing 关注的是integrity of actual processing两种实质性测试的类型: test balances and transactions 以及perform analytic review procedures内部控制的水平与实质性测试呈反比(十) 证据独立,充分,客观,timing(十一) 访谈以及观察人员工作时候的表现(十二) 采样sampingStatistical VS nonstatisticalAttribute(compliance testing) VS variable (substantive testing)属性采样包括: attribute samping, stop-or-go samping discovery sampingVariable samping包括:stratified mean per unit, unstratified mean per unit, difference estimation1.confidence coefficient 也叫 cofidence level ,reliability factor.是一个样本属性多少程度真实反映现状的比例. 95%是一个高级别任系数. 信任系数与采样量成正比,信任系数越高,说明样本量越大,越接近于真实情况2.the level of risk= 1-信任系数3.precision精确度: 由IS审计师设立,代表可接受的样本和真实情况的差异.精确度越高,样本量越小,但是相对的,风险不被检测出来的风险就大了.4.expected error rate 预期错误率:预计错误发生的比率,与样本量大小成正比适应于attribute sampling5.sample mean: 样本的平均值6.sample standard deviation: 样本值变量与样本的平均值之间的差异,评价的是样本的离散程度7.tolerable error rate: 8.popularity standard deviation: 适用于变量采样,而不适用于属性采样(十三) 使用其他专家的服务(十四) CAATs1. CAATs 有助于IS审计师收集证据时保持独立性2. CAATs包含很多种工具和技术 GAS generalized audit software:GAS是可以从不同的数据库平台、文件系统、ACS2格式的文件中直接读取和访问数据的标准化的软件。 GAS为IS审计师提供了独立的方法来获取数据用于分析,并使用高级别的解决问题的软件来调用功能处理数据文件。包含mathematical computations, stratification,statistical analysis, sequence checking, duplicate checking and recomputations。GAS支持以下功能:n File access文件访问:能够读取不同的记录格式和文件结构n File recognization文件重构:能够指引,分类,合并并与其他文件链接n Date selection 数据选择n Statistical functions统计功能 能够采样、分层、频度分析n Arithmetical functions 运算功能 Utility software 实用软件:提供的是系统控制效力的证据 Test data 测试数据: 判断程序中是否存在逻辑错误、 Audit-expert system 审计专家系统; query-based system 是由高级审计师和管理者建立的knowledge base3. 审计师应该考虑CAATs的成本收益比。然后才考虑如下事宜: Ease of use 培训要求 编码和维护的复杂度 使用的灵活度 安装要求 处理efficiencies 将原始数据植入CAATs中处理的效果 输入数据的完整性 时间戳保护和记录 获得许可,能安装在被审计者的服务器上 软件可信度 所处理数据的机密性4. CAATs文档应该供审计项目参考并明确识别出所要服务的审计流程和目标。IS审计师能够申请只读权限来访问CAATs使用的数据。5. CAATs可以作为一个在线的持续性审计方法(十五) 评估审计强度和缺陷1. IS审计师一方面要评估收集证据的充分和完备性,另一方面要评估现有控制的强度。建立控制矩阵来评估现有的控制水平。2. 在某些情况下,一个强力控制可以补偿一个弱控制。Overlapping controls是两个强力控制。3. 判断发现的重要性,要依据的是对管理层而言的重要程度。需要由审计师判断审计发现应该向哪一层的管理者汇报。4.(十六) 沟通审计结果1. Exit interview 提供了机会来讨论发现和为管理层提供推荐意见2. presentation展示技术: executive summariy 针对管理层的概述 以一种容易理解的方式向管理层汇报发现。不要使用复杂的术语,而是从业务角度阐述发现和推荐意见。随带的附件可以详细描述技术。 visual presentation可视化的展示(十七) 审计报告结构和内容IS 审计师最终决定设计报告的内容。(十八) 推荐意见的管理者落实存在follow-up来判断管理者是否有效实施了推荐的改进意见(十九) 审计文档七、 CSA1. 形式:简单的调查问卷、推动的专题讨论会faciliated workshops(一) CSA目的Primiry目的是改变内部审计的功能,将某些控制监控的责任转移到功能区域。不是替代审计的责任,而是加强。被审计者除了落实内部控制责任外,还需要设计和监控控制的效果。(二) CSA的益处1. 更早发现风险,更有效的开展内部控制,通过雇员参与增加团队凝聚力,在雇员和管理者心目中增添其为控制的owner的意识。增加雇员的机构目标意识,风险意识以及内部控制意识。2. 增加执行层面和管理层面的沟通,高度推动雇员,提供审计效率,减少控制成本,(三) CSA的缺点1. 错误的代替了审计的功能2. 被看做是一个余外的工作负担3. 不能实施提出的建议对员工士气影响4. 缺乏激励,不能发现弱控制(四) CSA中审计师的角色1. 评估推动者faciliater2. 内部控制人员3. 必须对业务流程有清晰的认识,才能推动CSA4.(五) 传统和CSA方式的对比八、 审计程序的演化(一) 自动化的审计底稿 automated audit work papers(二) Integrated auditing整合的审计整合的审计关注的是风险。关注业务风险以及创建控制解决方式。通过将财务审计,运行审计,IS审计结合起来,使用各个领域审计师的成果。形成一个综合的报告。(三) 持续性审计 continuous auditingContinuous monitoring和auditing的区别BSC是一个过程管理评估技术,这个技术超越了传统的财务评估;增加了对客户满意度,内部过程和创新能力的测量。这些测量推动机构优化对IT的使用,并结合机构的战略目标,且保持所有评估相关的角度平衡。三层的架构是用来解决4个角度1. Misson 任务2. Strategies 战略3. Measures 衡量适用IT BSC能有助于IT战略委员会和管理层实现IT治理。能够在向董事会报告时,或许一直得IT战略目标,表明IT能够创造价值。在CMM第三个级别时引入definedIT strategy committee1. Responsibility1) 就以下方面向董事会提供insight和advice: 从业务角度对IT的相关开发 IT与业务方向的结合 实现战略性IT目标 为满足战略目标,恰当的IT资源,技术和基础架构的可用性 优化IT成本,包含外包公司的角色和价值传导 IT投资的风险、回报和竞争 大的IT项目的进展 IT对业务的贡献: IT风险的暴露,包含合规性风险 遏制IT风险 Direction to management relative to IT strategy 驱动和催化董事会的IT2. Authority1) 对IT战略向董事会和管理层提供建议2) 代表董事会提供战略输入,并准备IT战略的审批3) 专注现在和未来的战略性IT事物3. Membership董事会成员以及特定的非董事会成员IT streeing committee1. Responsibility1) 判断整体的IT投入水平以及如何分派成本2) Aligns支持和批准企业的IT基础架构3) 批准项目计划和预算,设置优先级和milestones4) 获取以及分派适当的资源5) 确保项目持续满足业务目标,包含对业务case的重新评估6) 在时间和成本上监控项目计划7) 监控资源和优先级发生的冲突8) 对战略计划提出建议和变动申请9) 就战略目标与项目团队进行沟通10) 做为管理成的IT治理职责的一个重要贡献者11)2. authority1) 协助IT战略传导的执行2) 监管IT服务交付和项目的日常管理3) 关注于事实3. authority活动发起的executive主管业务主管(关键用户)CIO关键顾问(IT,audit,legal,finance)TASK STATEMENTS1. 评估IT治理结构的有效性,来确保适当的对IT决策、判断、方向以及性能的控制,以实现对企业战略和目标的支持。2. 评估IT组织结构和HR管理,确保其支持组织的战略和目标3. 评估IT开发、审批、部署、维护的战略和程序,确保其支持组织的战略和目标4. 评估企业的IT策略、准则、指南和流程的开发、审批、部署和维护,确保其支持IT战,以及符合法律法规的要求5. 评估管理实践,确保其与企业的IT战略、策略、准则和流程相符合6. 评估IT资源投资、使用、分派实践,以与企业的战略和目标相符合7. 评估IT合同战略和策略,以及合同管理,确保其支持组织的战略和目标8. 评估风险管理实践,确保适当管理企业IT相关的风险9. 评估监控和保证实践,确保管理层及时充分的获取IT性能的信息。Knowledge statements1. IT战略、策略、准则、流程的目的,以及基本元素2. IT治理框架3. 开发、部署、维护IT战略、策略、准则、流程的过程4. 质量管理战略和策略5. 组织架构、角色和责任6. 普遍接受的IT标准和指南7. 企业IT架构,8. 风险管理方法和工具9. 控制框架的使用10. 成熟度和流程提升模型的使用11. 合同战略、程序以及合同管理12. 监控和报告IT性能的实践(平衡积分卡、KPIs)13. 相关的法律和法规14. IT HR管理15. IT资源投资以及分派实践(投资组合,ROI)Corporate governance1. 公司治理是公司管理层使用的一系列责任和实践,用于提供战略方向,确保实现目标,管理风险,合理使用企业资源。2. public governance:3. 公司治理试图在利用先有机会提高股东利益和让公司在符合法规和社会义务前提实现运行之间达成一个平衡点。IT governance1. IT治理的关键是实现业务和IT之间的alignment,以实现bussiness value2. IT治理关注两件事:IT delives value for bussiness ;IT risk are managed;3.董事会和管理层的信息技术监控和保证实践1. 传统的董事会层面对IT的涉及,主要是将IT的决定权下方到IS人员2. IT治理是董事层的管理工具,治理更关注的是传导价值、测量性能、而不是管理风险,确保合规,这时IT control的内容。3. IT治理是董事会和管理层的职责。4. IT治理的目的是指导IT,确保IT性能能够满足业务发展的需要,以实现价值。5. IT治理框架: IT resource management Performance measurement Compliance management6. IT治理关注领域 Strtegic alignment: 将IT与业务联系起来 Value delivery: Risk management Resource management Performance measurement(一) IT治理的最佳实践1. IT治理中的审计角色 审计提供首要的实践推荐,帮助高层提高IT治理的质量和效力 审计能帮助实现合规性2. IT审计师应该确保 工作范围,包含明确定义的功能区域和涉及的事物 Reporting line IS审计师对内外部各种信息的访问权限(二) IT strategy Committee IT战略委员会1. 就以下事项向董事会提供愿景和建议: 从业务角度开发IT IT和业务决定的alignment 战略性IT目标的实现 适当的IT资源的可用性,来满足战略目标 优化IT成本 风险、汇报以及IT投资的竞争性因素 大的IT项目的过程 IT对业务的共享 IT风险的曝露 IT风险的containment控制 IT战略的管理 董事会对IT的驱动(三) IT strategy Committee IT战略委员会 执行层面(四) IT平衡计分卡 IT BSC1. BSC是一个过程管理评估技术,可用于IT治理过程中评估IT功能和过程。BSC超越了一般的财务评估,增加了客户满意度、内部运行过程和创新能力.2. 为采用IT BSC,三层的结构来解决四个目的 Mission任务 Stetegies Measures(五) 信息安全治理1. 信息安全治理作为IT治理的一部分,关注的是:信息的CIA,服务连续性和信息资产的保护。2. 信息和数据无论如何处理、传递、存储、废弃等都必须得到保护,3. IT安全解决的是IT技术的安全性,需要由CIO层进行推动。信息安全需要由管理层来推动。信息安全关注的是信息的隐私以及信息安全本身,解决的是风险的全局层面。4. 信息安全治理是董事会层面的职责5. 由于信息是企业的重要资产,面临着合规性要求,所以对信息安全的治理十分重要。6. 安全治理的产出 Strategic alignment:将信息安全与业务战略整合以实现企业目标l 安全需求由企业需求推动l 安全解决方案适合企业l 安全方面的投资符合企业战略 Risk management Value delivery Performance measurement Resource management Process integration7. 有效的信息安全治理必须能够支持业务,能够为公司创造价值8. 信息安全治理框架包括 全面的与业务相关的安全战略 安全策略 安全准则、指南、流程 有效的信息安全组织架构 制度化的信息安全监控程序(六) 高层的角色和职责(七) EA企业架构 enterprise architecture1. EA包括将企业的IT资产以一种结构化的方式文档化,便于理解,管理和计划IT投资。EA通常包含一个current state和一个优化的future state展示(road map)2. EA现在的关注IT复杂度、现代企业复杂度的增加,以及IT与业务战略结合以实现IT投资实现真正回报。3. Zachman架构是第一个EA,他认为建设IT系统类似于建筑4. 为了完成EA,组织可以从技术角度也可以从业务角度来解决。 Technology-driven EA 试图阐明现代企业面临的复杂的技术选择, Bussiness-driven EA 试图从企业的核心增值和支持程序来理解组织。5. FEA 联邦企业架构 有五个分层的参考模型 Performance reference model Bussiness reference model Service component reference model Technical reference model Data reference model信息系统战略1. 战略计划2. 指导委员会一般作为大的IS项目检查,而不涉及常规的操作。l 检查长期和短期的IS部门计划,确保其符合公司目标l 检查和审批大的软硬件采购l 批准和监控大的项目以及IS计划和预算的现状,建立优先级,审批准则和流程,以及监控整个IS性能l 检查和审批sourcing战略,包括内包和外包,以及全球化l 检查资源以及分派的准确性l 决策集中还是分布,以及职责的指派l 支持开发和部署企业范围内的信息安全管理程序l 向董事会报告IS活动。成熟度和过程提升模型1. IDEAL模型指引企业计划和部署一个有效的软件过程提升程序。2. CMMI能力成熟度模型整合是过程提升方法3. team software process TSP机制指引团队和管理成,使用一个four day launch process,建立目标,定义团队角色,评估风险,产生一个项目计划。在launch后,TSP提供一个详细的过程来管理,测量,跟踪和报告团队的活动,成员需要事先培训4. personal software process PSP。版主企业管理质量,提升预计和计划,减少产品缺陷。IT投资和分派实践1. ROI不仅仅是财务的回报,还是非财务的收益,包括:对运行的冲击,任务性能和结果。2. value of IT IT价值。Val IT框架有三方面:l value governancel portfolio managementl investment management3. IT portfolio management的部署包括: 风险profile 分析,diversification of projects,infrastructure and technologies,与业务目标的连续性整合,持续提升4. IT portfolio管理最大的优点是在调整投资时候的灵活性,而BSC同样强调在任何的投资决策时使用vision和战略,而对运行成本的愿景和控制不是目标。Policies and procedures1. policies策略l top downl bottom up2. 信息安全策略:要在生产率和控制方面达成平衡3. 信息安全策略文档4. acceptable use policy AUP5. 对信息安全策略的检查6. procedures 流程风险管理IS管理实践(一) HR管理1. hiring雇佣l 背景调查l 保密协议l Employee bondingl 利益冲突协议l 职业道德准则l 同业竞争协议2. employee handbook3. promotion policies4. training: cross training5. schedulling and time reporting6. employee performance evaluations7. required vacations8. termination policies9.(二) Sourcing 承包1. IS功能的交付包括:l Insourcedl Outsourcedl Hybrid2. IS指导委员会应该检查和审批sourcing 战略3. SLAs4. 要定期审计合同和SLAs,服务供应商应该定期提供第三方审计报告5. 外包的不能是企业的关键应用。外包party处理的信息的最终责任在于组织本身。IS组织结构和责任(一) Sourcing 承包1. IS角色和职责 System development manager Project management Service desk End user End-user support manager Data management Quality assurance QA manager Information security management Vendor and outsourcer management Infrastructure operations and maintenance 除了运行人员外没有人有权限进入IPF Control group控制组 责任是收集、转换和控制输入,以及输出的平衡和分发 Media management: Data entry Systemadministration Security administration Quality assurance QA人员应保持相对独立l Quality assurancel Quality control Database management System analyst:在SDLC初始状态介入,基于用户需求设计系统,开发设计文档 Security architect Application development and maintenance Infrastructure development and maintenance:维护系统软件,包括OS,要求有广泛的访问权。 Network management:LAN网管不应该有应用编程职责,但是可以有系统编程和终端用户职责(二) IS职责分离1. 需要分离的职责包括: Custody of the assets Authorization Recording transactions2. 若没有条件实现职权分离,则需要实施补偿性控制compensation controls(三) IS职责分离控制1. 交易授权2. 资产保管3. 对数据的访问4. 权限表5. 用户权限tables6. 补偿性控制: Audit trails Reconciliation Exception reporting Transaction logs Supervisory reviews Independent reviews对IT治理和部署的审计1. 对文档的审计 IT战略,计划和预算 安全策略文档 组织/功能 charts Job description Steering committee reports System development and program change procedures Operations procedures HR mannuals QA proceduresTask statement1. Evaluate the business case for the proposed system development/acquisition to ensure that it meets the organizationas business targets2. 评估项目管理框架和项目governance pratices 来确保业务目标通过cost-effective的方式实现同时对组织的风险实施了有效管理3. 检查项目的实施,确保其按照项目计划,并通过适当的文档支持和准确的status reports4. 评估系统在设计、开发、采购、测试过程中的控制措施来确保其提供了安全防护且符合组织的策略和其他要求5. 评估系统和基础架构的开发/获取过程,并测试保障交付物符合组织的目标6. 评估系统在部署和迁移进生产系统时的readiness,7. 执行postimplementation review来确保他们符合组织目标且有有效的内部控制8. 执行定期检查保证系统持续的满足组织目标,且内部控制情况始终保持良好9. 评估系统/基础架构的维护过程,确保其始终支持组织目标,维护良好的内部控制10. 评估系统和基础架构的dispose过程,确保其符合组织策略和流程要求Knowledge statement1. benefits management practice: feasibility studies business case所有的项目的目的都是为了realize tangible benefits2. project governance mechanisms (steering committee, project oversight board)项目治理的程度与项目本身的复杂度有关3. 项目管理实践、工具、控制框架项目管理有三方面的要素Hard factors: deliverables、quality、costs、deadlinesSoft factors: team dynamics、conflict resolution、leadship issues、culture differencies、communicationEnvironment factors:political and power issues、expectations of stakeholders、ethical and social issues。4. 适用于项目的风险管理实践:scope/deliverables、 quality、budget and time IS审计师的角色将变成control experts5. 项目成功的criteria and risks:6. 配置、变更、版本管理7. 控制目标:授权和edit controls8. enterprise architecture EA公司架构,EA是关于公司结构的系统描述,包括:bussiness processes、information systems、human resources、organizational units9. 需求分析和管理实践:10. acquisition and contract management processes: RFP request for proposal11. 系统开发机制、工具以及优缺点12. quality assurance methods13. 测试流程的管理14. 数据转换工具、技术、流程15. dispose 流程16. 软硬件的certification 和accreditation实践17. postimplementation review 目标和方法18. 系统migration,基础架构配置19.Business realization一、 Portfolio/ program management1. program是有共同目标、预算、interwinded 调度和战略的项目组合。有着limited time frame (start and end date)。为了让项目实现自治且能够互相配合synergy,需要有特定的program组织,包括program owner、manager、team、office2. program sponsor/owner需要书面授权manager3. project portfolio项目组合是指在某一个snapshot上同时执行的所有项目二、 Business case development and approval1. 业务利益的实现是项目的最大驱动。2. BC提供了交由组织判断是否执行项目的信息。最初的BC来源于可行性研究。3. 可行性研究定义问题范围,识别并研究一系列解决方案,并做出推荐4. BC应该详细描述建立和持续一个项目的判断。BC应该在SDLC的每一步中都要进行评估,以便及时发现项目是否有进行下去的必要三、 Benefits realization techniques1. 收益实现看的是系统生命周期中总体收益和成本的比较2. 收益实现通常包含一个post implementation review项目管理结构一、 General aspects二、 Project context and environment1. 项目背景context分为time 和social context。需要考虑以下因素 项目对组织的重要性 项目与组织战略的联系 与其他项目的关系 项目与潜在的bussiness case的联系2. 项目的time context需要包括项目启动前和关闭后的状态3. 项目也要考虑其与社会环境之间的关系。三、 项目组织forms1. 分为三种 Influence project organization:项目经理只是员工,没有正式的管理权限,项目经理只被允许建议同事和项目团队成员那些应该完成 Pure project organization:项目经理有正式的权限,通常提供一个独立的工作区域 Matrix project organization:管理权限由项目经理和部门头目共同分享2. IS指导委员会管理项目,并委派项目经理,分派相关资源。IS审计师在项目团队中的角色是control experts;他们也要提供一个独立、客观的检查,确保相关人员的涉入是适当的,这时的角色是顾问而不是审计师四、 项目沟通和文化1. 根据项目规模和复杂度,以及受影响的parties,沟通可以通过如下方式实现: One-on-one meetings Kick-off meetings:项目经理通知成员需要做什么。 Project start workshops:开放透明的获取项目团队合作以及股东的认可 A combination of the three2. 项目文化是动态的,可以通过如下方式进行建立 Project mission statements Project name、 logo Project office or meeting place Project intranet Project team meeting rules and communication protocol Project social events五、 项目objectives1. 项目目标需要明确定义:specific、measurable、achievable、relevent and time-bound。又可以分解为main objectives, additional objectives 和nonobjectives2. 通过由于定义项目目标的方法是从一个object breakdown structureOBS.OBS代表的是解决方案的单个部分以及他们的分层关系。OBS可以帮助处理不明确的项目目结果,例如组织开发、来确保主要交付物不被忽略。3. 在OBS编译或者识别出一个解决方法后,work breakdown structure WBS就需要设计出来,将所有的任务都形成结构,来建设项目过程中的OBS。WBS是作为项目的中央通讯工具,形成成本和资源计划的baseline。4. WBS步包含解决方案的基本元素,他展示的是单个work packages WPs.5. 每个WP必须有一个owner和一系列主要目标。六、 成员和group角色和义务1. Senior management:同意项目实施,并分派相应资源2. User management : ownership of projects and resulting delivables3. project steering committee;定期检查项目,作为coordinator 和advisor,提供纠正措施4. project sponsor:提供项目资金,与项目经理合作,定义CSF关键成功因子和机制。通常由 data owner和application owner担当。5. system development management:6. project manager: 日常管理和项目领导7. system development project team8. user project team9. security officer10. QA quality assurance11.项目管理实践项目管理需要关注三个关键的interwining 要素:交付物duration和budget一、 项目启动正式获取后项目启动二、 项目计划1. Software size estimation软件规模估算 传统上软件大小通过单参数估算。例如:Line of source codes 源代码行数,优点是任何的主机语言都可以用来测算软件大小。缺点是对客户和终端用户意义不大,对新工具不适用现在的工具采用的更为抽象的表述,例如图标、对象、数据库询问、GUI等 功能点分析FPA,是一个多点技术,在评估大型业务应用的比较适用。FPA测量Inputs、Outputs、files、interfaces 和queries FPA feature points 在网页应用上除了要考虑功能点,还要考虑不同的features例如identification or listing of features, access rules ,links ,storage FPA在估算业务应用时候有效,对其他类型的软件,例如OS,程序控制,通信等作用不大2. 成本预算:包括人力、机器3. 软件成本预估4. 调度以及建立time frame时限5. CPM 关键路径方法论:所有的项目schedule都有一个关键路径。因为项目的活动都是定好的且相互独立。关键路径是一系列活动,这些活动的时间总和长于其他路径。如果所有的活动都按照计划实施,关键路径将最短时间内完成项目。不在关键路径上的活动有time slack6. Gantt charts:显示activities什么时间启停,那些活动是可以并发的,那些只能是按照顺序,以及每个活动被分派的资源7. PERT program evaluation review techniques PERT是一个关键路径技术,计算PERT的时间可以使用如下算式: Optimistic+pessimistic+4(most likely) /6 通过PERT产生的关键路径是唯一的,8. timebox management时间盒子管理:相对短暂且固定的时间,以及预定的资源。时间盒子通常用于完成prototyping,RAD等开发方法。9.三、 一般的项目管理1. 文档2. 办公自动化四、 项目控制1. 项目范围管理:通过一个product breakdown structure。 只有股东有权提交范围变动申请2. 资源使用管理:EVA 在项目进行过程中比较如下内容:budget to date, actual spending to date, estimate to complete, estimate at completion3. 风险管理:包括影响业务收益的风险,以及项目本身的风险 Inventory risks 统计风险 Assess risks 评估风险 Mitigate risks 减轻风险 Discover risks 发现风险 Review and evaluate 检查和评估五、 关闭项目 :postimplementation review:在产品已经使用一段时间后进行评估。postproject review: 学习项目经验,评估项目管理过程供以后项目参考业务应用开发关键的业务驱动能让参与者理解目标如何支持业务,并识别冲突的或者互相依存的关键业务。业务应用系统有两种范畴: Organization-centric:MIS,ERP,CRM,SCM: 使用SDLC开发 End-user-centric computing:使用另外一种方式开发一、 传统的SDLC方法1. waterfall technique: 基于一个systematic, sequential方法。当项目的需求是静态和经过良好定义的时候,使用这种方法最好2. interation 叠加:用于网页应用3. 关键成功因子 CSFs: Productivity Quality Economic value Custom services二、 整合资源管理系统1. ERP2. 采用整合解决方案的企业,要转变管理哲学,策略和实践,并尽量向解决方案的供应商靠拢,采用最简化配置,尽量不要客户化。三、 传统的SDLC状态描述1. 可行性研究feasibility study定义需求、识别解决需求的方案。包括开发一个bussiness case,识别和量化新系统节省的成本、估算ROI。解决如下问题 Time frame 最优化的基于风险的解决方案,以及所需资源 评估现有系统 判断厂商产品能否解决发现的问题 开发成本 解决方案是否符合业务战略。最终形成一个比较报告,并推荐一个解决方案。2. requirements definition 需求定义所有的管理成和用户组都要涉及,来防止最终定出来的需求不满足业务需要。IS审计师在此阶段涉入,判断是否涉及了安全需求和审计trail使用entity relationship diagrams ERD来创建preliminary design。3. software acquisition 软件获取request for proposal 询价 invitation to tender投标邀请 IS审计师应该判断软件是否考虑了安全需求4. design设计用户不应该涉及详细的设计过程。 Software baseline:指的是设计完成,正式建立软件配置文档。 设计完成:用户批准和软件baselining IS审计师涉入:是否有系统控制存在,在线审计是否已经包含,另外就是评估设计过程本身的效果5. development 开发 编码: cohesion coupling 在线编程工具:在PC工作站上编程,测试。程序库在服务器上。减少开发成本,维护快速响应 。缺点是:多版本维护、完整性易破坏、需要有访问控制软件。 Debug工具:包括 logic path monitors 逻辑路径监视器;memory dumps;output analyzers6. testing测试 测试计划 Bottom-up:关键模块的漏洞容易早发现、程序完成前就可以测试,不需要stub Top-down:主要功能和处理的测试尽早开始,interfaces 错误尽早发现,对系统的信心增加。 执行并报告测试结果 解决突出问题 测试类型 Unit testing Interface or intergration testing System testing:包含:recovery testing、security testing、stress/volume testing、 volume testing,stress testing(并发用户或者服务)、performance testing(与其他良好定义的基准系统进行比较) Final acceptance testing QAT,UAT. QAT关注的是文档化的规范以及使用的技术 UAT应该在一个secure testing or staging environment进行 ITF integrated test facility。测试数据在一个类生产系统上运行。7. 其他类型的测试 Alpha and beta测试 alpha由程序员,系统分析师测试,beta随后由开发团队以外的人员实施UAT测试 Pilot testing适用于数据迁移 White box testing 白盒测试:评估software program logic 的效用。适用于Unit 和 integration测试 Black box testing黑盒测试: 不考虑内部程序结构测试系统的功能,适用于integration 和 UAT测试 Function/ validation testing功能、验证测试: Regression testing 回退测试:在程序变动时,重新运行测试 Paralle testing 并行测试,将测试数据同时在两个系统上运行。 Sociability testing:新的或者更改的系统可以不影响现在环境中已经存在的系统的测试8. 部署implementation外获的产品尽量不要由厂商部署部署计划: Develop to-be support structures差异分析 gap analysisRole definition Establish support fuctionsSLA协议 运行时间、支持时间,MTTR, MTBF,响应时间培训计划终端用户培训数据迁移:上载,转换,加载三个模块数据转换项目需要考虑的要点:数据转换完备性、数据完整性、转换时的存储和安全性、连续性。转换前最后一份备份,以及转换后第一个备份应该归档保存 Change over(go-live)切换 Paralle changeover Phased changeover Abrupt changeover Certification and accreditation9. postimplementition review:主要是评估系统准确性、ROI、解决不足之处、评估项目开发过程四、 软件开发面临的风险1. business risk / benefit risk2. project risk / delivery risk五、 使用结构化的分析,设计和开发技术业务应用系统一、 电子商务 Electronic commerce1. 电子商务是通过因特网买卖货物。使用因特网、多媒体、网页浏览器、properiatary networks、ATM、家庭银行、以及EDI2. E-commerce模式 B2C relationships :便利、低成本 公司基于个人客户的需要tailor市场战略。 B2B 关系。 能够重构业务流程。由于因特网易于访问,普遍存在ubiquity。公司可以建设新的业务流程。结果是一个faster、high-quality、lower-cost交易集合。市场还有一种B2SB关系模型 B2E关系 业务-雇员关系 用于在公司雇员之间传递信息的网页技术 B2G关系: 在公司和政府机构之间的所有交易,目前这个范畴尚处于基础阶段。除了政府的公共采购外,可以设计VAT 返还,以及公司税的缴纳等方面 C2G关系 公共福利支付,自主缴税 X2X exchange-to-exchange关系: 多个B2B关系的连接。政府可以以竞争性的价格采购产品。3. 电子商务架构:2层(网页浏览器+网页服务器)或者3层(客户端浏览器+网页服务器+数据库服务器4. 公司出于整合不同技术的需要,使用中间件middleware架构,形成一个应用服务器。5. 数据库在电子商务中是一个关键,为了实现全功能,后端效用,电子商务可能包含一个与in-house legacy system的连接。6. 出于安全考虑,持续的客户数据不应该保存在网页服务器,XML也是电子商务架构的一部分。XSL定义xml文档如何在网页上显示;XQuery处理queryingXML格式数据;XML加密,处理加密、解密、数字签名XML文档7. XML的一个重要的作用是web services 网页服务是使用XML格式信息来远程调用进程。网页服务是分布式网页系统的关键中间件8. 电子商务风险:电子商务是基于双方信任关系建立的。 机密性 完整性 可用性 认证和抗抵赖性 Power shift to customers9. 电子商务要求 建立bussiness case 开发明确的业务目的 实用技术,首先提高成本 围绕着客户、成本、竞争者、capabilities建立bussiness case Top-level commitment 业务流程重建BPR Links to legacy systems-使用中间件10. 电子商务审计和控制事宜 安全机制部署 防火墙部署 认证、识别程序 数字签名 PKI CA,RA,CRL,CPS 变更控制 日志记录 NIDS,HIDS 重建活动 隐私 SSL 。二、 电子数据交换、无纸贸易EDI electronic data interchange1. EDI包括用标准的、机器可处理格式传递和交换业务文档(发票,买卖记录,运输单)2. 好处:无纸化,交换信息错误少,提升信息流,少通信延迟,提成发票支付程序3. general requirements 一般要求 通信软件、翻译软件 EDI程序包括系统软件和操作软件。系统软件包含传递,翻译和存储交易4. 传统的EDI traditional EDI Communication handler:传输和接受电子文档,使用VAN网络专用 EDI interface结构 包括:EDI translator翻译器,application interface 应用接口,执行data mapping。 EDI接口产生和发送functional acknowledge,FA是标准的EDI交易,告知交易伙伴他们的电子文档已经收到了,FA是EDI交易的audit trails 应用系统5. web-based EDI 因特网服务提供商提供了一个generic 网络访问。而VAN是专网,因特网的使用减少了EDI的成本 能够吸引新的伙伴通过网站来交换信息,下单 新的安全产品能够解决CIA X.12 EDI格式标准的提升6. EDI风险和控制 最大的风险是交易授权transaction authoriza,因为通过电子交易,没有认证发生。 交易伙伴的义务没有协议来明确,可能导致法律问题。 业务连续性的丧失 非授权访问 应用控制建立前或者后删除交易文件 重复的EDI传输或者丢失 机密性丧失三、 EDI环境的控制 消息格式和内容的标准需要建立 翻译软件能够正确的转换 接受文档的系统有控制测试收到消息的合理性 在active交易过程中应该有控制防止更改,有日志记录 抗抵赖性,认证机制 直接和专线传输通道应该存在防止线路窃听 应加密数据 电子签名应该采用 消息认证码应该存在 需要确保EDI交易传输的完备性,通过internal batch total checking, run-to-run and transmission record count balancing,以及使用特殊的FA交易 需要有个trading partnet agreement1. inbound交易的接收:应有控制机制确保接受的交易是准确而完备的,且只处理一次。 使用加密机制 在更新应用之前实施edit checks来发现错误,异常何不合理的交易 执行附加的计算checking 来确保交易是合理的 日志记录 使用control totals来合适交易数目和数值 控制技术,例如:check digits 保证交易是在固定的间隔能传输 维护一个消息接收、发放记录,来不时与交易伙伴进行核实 临时文件和数据传输的安全控制,确保在传输和应用升级时不会更改或删除输入的交易2. outbound transactions:需要确保只有授权的外发交易能够处理 控制交易伙伴的建立和更改 比较交易 传输前比较传输伙伴序列号与交易主文件号 限制用户的授权 对高风险交易进行发起和传输分离控制 文档管理层的签名 日志记录所有交易 。3. 审计EDI审计师必须确保所有的INBOUND交易正确接收和翻译,并传递给应用处理一次也包括: Audit monitors Expert systems四、 电子邮件五、 Point of sale systems POS系统:1. 交易信息应该强加密六、 电子银行 E-banking1. 主要风险是strategic,reputional,operational,legal,transactional,credit,price,foreign exchange,interest rate 和liquidity2. 电子银行的风险管理挑战:主要来自于因特网,以及技术的依赖性3. 电子银行的风险管理控制 董事会和管理层的oversight 安全控制 法律和声誉风险管理七、 电子金融1. 包含online banks、brokerages 以及companies2. 优点:成本低,质量高,范围广,金融服务能够得到广泛访问,A-synchrony,A-topy八、 Payment systems 支付系统1. 在支付系统中有两个party: issuers,users2. 电子货币模式:发行者创建电子证书用于模拟物理货币。用户购买证书用于买卖。电子货物执行困难的一点是解决double spending问题,防止用户存同一个电子证书两次。优点是payer采购时不用在线,payer不能被追踪3. electronic checks model 电子支票,用户写一个电子支票,数字签名用于支付。接受者收到支票存在issuer处。Issuers核实签名后进行账户转账。优点是易于理解和执行,payer不用在线。缺点是这个系统是可以追踪的,可能破坏隐私4. electronic transfer model 电子转账。 是最简单的,payer发出payment transfer指令,签名,发送给issuers,核实签名,然后转账。这个要求payer在线九、 整合的制造系统十、 电子资金转账 EFT1. EFT通过远程通信来交换money,不用实际的现金流动。交易通常通过internal bank transfer来转账或者通过clearinghouse network清算网络来实施。2. 针对EFT的安全措施包括用户访问安全,通信网络安全,主机或者应用处理站点安全。十一、 整合的客户文件十二、 办公自动化十三、 自动取款机ATM1. ATM是零售的EFT网络。必须提供高等级的物理和逻辑安全控制。ATM基础架构包含一个物理网络层、一个交换机、一个通信层。、十四、 公司处理系统十五、 IVR interactive Voise response公司使用一个计算机来检测声音。IVR在处理大的call volume时十分有效。十六、 Purchase accounting systemPAS提供三种基本的记账功能 Accounts payable processing: Goods received processing Order processing十七、 Image processing 影像处理1. 影像处理用的算法:convolution、fast Fourier transform、descrete cosine transform、thining、edge detection、constrast enhancement2. 影像处理因为数据量较大,所以存储能力必须大,有时包含optical disk storage,还包含高速扫描、high-resolution displays、快和强力压缩、通信功能、laser printing。3. IS审计师应该关注: 计划、审计、工作流程重设计、扫描装备、软件安全、培训等方面十八、 人工智能专家系统1. 人工智能专家系统的核心是知识基knowledge base. KB上的信息以三种模式描述 Decision tree :使用问卷,引导用户进入一系列选择 Rules 规则: 使用IF-THEN的方式 Semantic nets:存在一个图,nodes代表的是物理或者逻辑上的对象,acrc代表的是nodes之间的关系。Semantic nets 重组数据流图标,减少数据重复十九、 Business intelligence 业务智能 BI1. 为了传导有效的BI,必须设计和部署一个数据基础架构。一个完整的data architecture包含两部分: 企业数据流架构 EDFA 逻辑数据架构二十、 DSS 判断支持系统1. DSS使用BI工具提供的数据来协助公司进行决策。2. DSS用于解决less-structured,underspecified问题,DSS关注的是effectiveness。使用4GL工具,允许更为灵活和简单容易更改的系统。3. G.Gorry-M.S.Morton框架将DSS活动划分为两个dimensions 决策处理的结构化程度,一个问题或者决策的结构化程度,取决于其自动化程度。l Structuredl Semisturcturedl Unstructured 管理层的决策程度l Operational controll Management controll Strategic planning4. 另一个DSS框架是 Sprague-Carson 框架。这个框架建议每个DSS都有data,模型和诊断生成器子系统。这个框架强调DSS的数据管理的重要性和用户交互接口的重要性。5. DSS设计和开发经常采用prototyping6. DSS部署的最大难点是使用户接受DSS软件的使用、 Unfreezing:改变用户的性格,通过提高对变动的压力,或者减少变动的阻力 Moving:变动方向,以及学习新东西的实际过程。 Refreezing:将变化的态度植入用户性格中7. DSS的部署风险:用户的抵制,缺少支持,新系统缺乏经验,技术问题,以及成本收益事务。8. DSS的评估主要看是否提高了管理层的决策效率,这一点很难测量。应主要通过以下criteria来衡量: 传统的cost-benefit 分析 流程的变动:更多的选择,决策时间的减少 决策提升的证据 决策过程的改变9. DSS使用的趋势 管理层需要更为准确的信息是DSS开发的重要动力 越来越少DSS评估使用传统的CB分析 终端用户的DSS开发的推动者 开发人员多来自于功能部门或者计划部门,而不是来自IS部门10. DSS的特点 来源于决策 基于4GL语言开发 Surfable Linkable Drill down Semaphores Time series analysis What if 敏感度分析 Goal seeking 完美的图形化展示 动态图形、数据编辑 仿真二十一、 客户关系管理CRM1. 交易数据、偏好、购买习惯、状态、联系历史、人口信息,服务趋势逐渐成为关注的重点2. CRM成为所有业务的战略性成功因子,对效益的冲击最大。3. 客户的期望有所提高,直接决定了对服务水平的期望4. operational 和analytical CRM的区别二十二、 供应链管理 supply chain management1. SCM减少了对目录的要求,因为在供应链上的实体协同和实时的工作软件项目组织的替代形式1. increment or progressive development:版本不是一次性的,是累进的,2. iterative development :feedback在每个iteration处发生对项目做适当调整。是目前开发的最佳实践,适用于处理复杂性以及相关风险。3. evolutionary development:使用prototype来搭建一个working model4. spiral development:一系列prototype用于开发一个解决方案。5. Agile development:项目分解成short, time-boxed iterations。从最初的iteration,项目就强调于产生实际的工作性能,一、 Agile development1. Agile development的共性 使用small, time-boxed 子项目或者iterations 在每个iterations结尾重新计划项目。包括重新优化需求,识别任何新的需求 相对于传统的方法,更加依靠人们脑中的知识。 团队保持小规模,由业务和技术代表组成,并且在一起办公。Team meetings每天讨论进展和事务,但是有严格的时间限制 至少有部分agile development方法使用pair-wise编程(两个人编码同一个系统),作为分享知识以及质量检查的一个方法 项目经理角色的变化,更多的是作为faciliator, advocate.计划和控制项目的责任分派给团队成员。2. Agile development并没有忽略传统的软件开发方式,只是采用不同的角度: Agile development只是详细的开发下一个iteration,而不是开发一系列后续的开发状态 Agile development不强调管理一个需求基线 Agile development关注于通过搭建实际的功能来快速提供一个基础架构,而不是正式的定义等一系列复杂的手续 Agile development很少考虑缺陷测试,而试图通过frequent-build test cycle来验证功能,并且在不牵扯更多的时间和成本前,在下一个子项目中更正问题 Agile development不强调定义的,重复的程序,而执行和采用基于frequent inspections的开发二、 Prototype 原型1. Prototype也叫heuristic启发式 或者evolutionary development。通过受控的trial和error procedures来减少软件开发过程中的风险。开发者经常使用prototyping来作为一个中风险消减机制。2. prototyping通过使用快速开发工具,例如第四代技术来减少开发系统的时间。3. 开发prototyping最初关注的是reports 和 screens.4. 通常有两种基本的机制来建模 搭建model来创建设计,基于model来开发系统 逐渐搭建实际的系统,使用4GL5. prototyping开发的一个缺点是总是会增加新的业务需求,要确保项目符合机构的战略需求,并且是cost-effective的。6. 潜在风险是最终成型的系统控制薄弱。开发过程中主要关注用户需求。7. 这种开发方法下,变更控制更为复杂。难以文档化和审批。8. 虽然有很多问题,但是能够节约时间和成本。三、 快速开发RAD1. RAD使得企业在保持开发质量,节约开发成本的前提下,开发战略重要性较高的系统的一种方法。2. RAD通过使用下列应用开发技术来实现 规模小,良好受训的开发团队 Evolutionary prototypes Integrated power tools,这些工具支持建模,原型和组件重用 Central repository 交互的需求和设计谈论会 严格限制开发时间3. RAD适合于开发个人应用,而不适合整体的考虑。4. RAD使用prototyping为核心的开发工具。5.开发方法一、 DOSD data-oriented system development面向数据的系统开发1. 关注于数据和数据结构。最大的优点是减少了数据转换错误的发生几率。二、 OOSD面向对象开发1. 数据和程序组成object,一个对象数据称为attiributes,functionality称为 methods.2. OOSD是编程方法,而不是系统开发方法3. 对象通常是从共同的模板class开发而来。4. OOSD的优点: 管理不受限制的数据类型 建模复杂的关系 满足一个变化的环境的能力。三、 基于组件的开发1. 基本的组件包括: In-process client components ;不能独自运行,必须有个容器例如浏览器 Stand-alone client componets: 例如excel,word Stand-alone server components:在服务器上运行的,通过远程进程调用或者其他的网络调用。包括DCOM,CORBA,RMI In-process server components:在服务器上的container李运行,包括MTS,EJB2. 优点是可以购买商用开发者的软件3. 基于组件的开发在基于网页的应用上发挥很大作用 节约开发时间 提高质量 允许开发者更多的关注业务功能 提高modularity 简化重用 减少开发成本 支持多开发环境 允许在自己开发和采购外部之间随意做选择。四、 基于网页的开发1. API的使用,导致跨平台整合软件的困难。基于网页的应用开发和相关的EML语言技术,用于进一步简化和标准化代码模块和程序整合2. 基于网页应用开发要解决的另一个问题是避免重复运算。3. buffer overflow是一个共性风险4. 基于网页应用开发,XML语言SOAP用于定义APIs。SOAP可以与任何OS和编程语言交互,SOAP比使用RPC简单5. 网页应用开发的第二个关键组件是:WSDL用于识别SOAP规范6. 最后一个关键组件是另一个基于XML的语言UDDI.UDDI用于电子词典的角色, 五、 软件重构六、 Reverse engineering1. 反向工程可以通过以下两种方式实现: 反编译对象代码,得到源代码,然后使用源代码分析程序 Block box testing 黑盒测试,来unveil他的功能2. 反向工程的优点是: 快速开发,减少SDLC duration3. IS审计师应该关注: 软件license协议 反编译器严重依赖特定的计算机,OS和语言,一旦其组件发生变动,就需要开发或者采
- 温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
人人文库网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
川公网安备: 51019002004831号