信息系统审计基础培训课件

信息系统审计基础培训,1,信息系统审计基础培训.,信息系统审计基础培训,2,课程目录,信息系统审计基础通用计算机控制审计应用系统控制审计计算机辅助审计技术介绍信息技术控制缺陷的评估对外包服务商内部控制的考虑交流与回答,信息系统审计基础培训,3,信息系统审计基础,信息系统审计基础培训,4,IT审计的定义,为了信息系统的安全、可靠与有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向IT审计对象的最高领导，提出问题与建议的一连串的活动。IT审计的要点：独立性综合性IT审计师资格IT审计报告促进信息系统安全、可靠与有效,信息系统审计基础培训,5,IT审计vs.财务审计,PerformFinancialStatementReview(Ch.21),OverallEvaluationofMisstatements&theScopeofourAudit(Ch.20),PerformTestsofOperatingEffectivenessofControls(Ch.17),PerformtheAuditPlan,DeterminePlanningMateriality(Ch.11),PerformPreliminaryAnalyticalReview(Ch.10),UnderstandtheEntityandItsEnvironment(Ch.7.),StrategicAuditPlanning(Ch.6),PerformPreliminaryPlanning,Plananintermediatelevelofsubstantiveprocedures(Ch.15),Plantoobtainauditevidenceabouttheoperatingeffectivenessofcontrols,inthecurrentauditperiodortogetherwithourworkperformedintheprior2audits,&planabasiclevelofsub-stantiveprocedures(Ch.14&15),Plantoobtainauditevidenceabouttheoperatingeffectivenessofcontrols,inthecurrentauditperiod,&planamoderatelevelofsubstantiveprocedures(Ch.14&15),Planafocusedlevelofsubstantiveprocedures(Ch.15),DeveloptheAuditPlan,Summarize&CommunicatetheAuditPlan(Ch16),PlantoRelyonOperatingEffectivenessofControls(Ch.13),SpecificIdentifiedRisk(Ch.12),Yes,No,Yes,No,Yes,No,3.0,1.7,0.7,2.0,.,PerformSubstantiveProceduresSAP(Ch.18)&/orTestsofDetails(Ch.19),NoSpecificIdentifiedRisk(Ch.12),AssessRiskatthePotential-ErrorLevel(Ch.12),Design&implementationofcontrolswasadequate(Ch.9),No,信息系统审计基础培训,6,内部控制构成要素（COSO）,确保相关信息得到及时识别与传达的程序来自高管的信息政策与程序培训道德准则,组织的控制意识。“高层论调”道德准则成文的政策与程序文化评估,对影响组织绩效的内外部因素的评估业务风险管理程序风险管理内部审计风险评估,确定内部控制是否得到正确地设计、有效和因地制宜地执行的程序管理分析披露委员会内部审计,确保风险管理措施得到及时执行的政策与程序授权审批普通程序和系统职责分隔客户对帐信息技术控制,信息系统审计基础培训,7,IT穿插在企业内部控制的各个环节,控制环境IT控制环境是公司整体控制环境的重要组成部分在公司“老总”层面要听得到关于信息技术的声音信息技术的控制职责和签字权力必须明确信息技术的控制政策和规程必须成文,风险评估应当有专门的信息技术风险评估程序应当对信息技术内控计划的制定加以监督信息技术风险包括安全、运行、可用性等，都会影响财务报告的可靠性管理层必须意识到信息技术的风险与信息技术的控制息息相关,信息与沟通部署用以支持沟通的架构、标准和流程信息能够准确、及时地向上传递方便地获取信息技术相关的政策、流程、职位描述和职责定义准确地对财务数据和报告进行整理和沟通,监督对信息技术内控进行持续监督，确保其实质有效实际并运行对信息技术文档的充分性进行监督信息技术内审复核.对弥补和升级程序进行监控.持续的安全监督,信息系统审计基础培训,8,了解企业内部控制的程序,识别主要活动,程序和控制,以应对内控的各实体层次构成要素。,了解监管负责人员如何应对风险,评估控制的设计与执行,对以下作出结论：对实现有效内部控制和可靠财务信息处理的帮助。它是否提高或降低内部控制的有效性,信息系统审计基础培训,9,IT控制是内部控制的重要组成部分,EntityLevelControlsEntity-levelcontrolssetthetoneandcultureoftheorganization.ITentity-levelcontrolsarepartofacompanysoverallcontrolenvironment.Controlsinclude:StrategiesandplansPoliciesandproceduresRiskassessmentactivitiesTrainingandeducationQualityassuranceInternalaudit,ITGeneralControlsControlsembeddedwithinITprocessesthatprovideareliableoperatingenvironmentandsupporttheeffectiveoperationofapplicationcontrols.,Controlsinclude:ProgramdevelopmentProgramchangesAccesstoprogramsanddataComputeroperations,ApplicationControlsControlsembeddedwithinbusinessprocessapplicationsdirectlysupportfinancialcontrolobjectives.Controlsinclude:Controlobjectives/assertionsinclude:CompletenessAccuracyExistence/authorizationPresentation/disclosure,信息系统审计基础培训,10,控制vs.风险,风险是特定的威胁利用资产的脆弱性从而造成对资产的一种潜在损害，风险的严重程度与资产价值程度及威胁发生的频度成正比为了将风险控制在管理层可接受的程度，就必须对识别出的各类风险实施相关的控制。在实施时须考虑如下因素：比较控制成本与减少风险所得的收益管理层的风险喜好（如，管理层准备接受的残余风险水平）愿意采取的风险降低的方式（如，终止风险、减少发生的可能、减少影响、转移或保险）,信息系统审计基础培训,11,控制的分类,预防性控制在事情发生前监测问题监控运营和输入在问题发生前预测潜在问题避免错误、疏忽或蓄意行为的发生检测性控制使用控制检查和报告发生的错误、疏漏或蓄意行为的发生纠正性控制减少危害影响修复检查性控制发现的问题找出问题原因，纠正问题衍生出的错误，修改处理系统以减少未来问题发生的可能性,信息系统审计基础培训,12,内部控制目标,内部控制就是要通过实施一系列特定的控制活动，达到所预期的结果或目的。通常包括：内部会计控制主要针对会计操作，即资产安全、财务资料准确可靠运营控制针对日常运营、职能和活动，用于确保运营达到企业目标管理控制关注职能部门的运作效率及运营控制符合管理政策的程度，是以提高经营效率和保证管理方针、政策的实施为目标的控制技术环境控制保护信息资产，符合组织的方针策略及法律法规的要求，信息输入输出，交易处理的准确性及完整性，数据处理的可靠性，备份与恢复，业务经营的效率与效果,信息系统审计基础培训,13,信息系统控制目标,内部控制目标可以运用在所有人工及自动化控制部分，常见的信息系统控制目标如：保护信息系统以防止不当存取，并确保及时更新保护计算机操作系统及网络操作系统的完整性保护敏感的、重要的应用系统（如财务及管理应用系统）的机密性和完整性：保证信息系统的运营效率与效果符合用户的需求、组织的方针、策略与程序，并遵守法律法规的要求制定业务持续计划及灾难恢复计划制定应急响应及处理程序,信息系统审计基础培训,14,实施信息系统审计,信息系统审计是检查评估自动化信息处理系统、与其有关的非自动化程序和两者之间的接口等。实施信息系统审计需要如下几个步骤：充分的审计计划（短期、长期）为有效地利用审计资源，审计机构必须评估所有风险（一般控制与应用控制领域）制定审计计划，包括审计目标与审计程序搜集证据、对现有控制进行评估与测试编写审计报告，并与管理层沟通审计发现,信息系统审计基础培训,15,测试和评估信息系统控制的方法,信息系统审计师必须理解和掌握测试评估信息系统控制的方法：使用通用审计软件调查数据文件的内容（包括系统日志）使用专用软件来评估操作系统参数文件（如测试系统参数设置漏洞）用流程图的方式来图示业务流程及应用系统使用操作系统中内置的审计报告进行文档检查观察,信息系统审计基础培训,16,符合性测试vs.实质性测试,符合性测试确定控制的执行符合管理层制定的方针政策的程度。测试目的是为信息系统审计师提供保证其在初步评价中确定的关键控制点是可以信赖的。实质性测试验证实际处理的完整性。例如对于贷款利息计算，信息系统审计师可能采取详细的利息计算测试，也可能采取统计抽样技术，得出全部贷款利息正确的结论。需要进行实质性测试的数量与内部控制水平直接相关。（德勤的方法中样本数量可相差10倍）,信息系统审计基础培训,17,审计证据,证据是审计师安全审计标准及目标的要求，在对某一实体或数据进行审计时所采用的信息。审计证据包括审计人员的观察、询问的记录、从内部文件或信件中获取的资料、审计测试程序所产生的结果。审计证据的可靠性取决于以下因素：提供审计证据人员的独立性提供审计信息或证据人员的资格审计证据的客观性审计证据的实效性,信息系统审计基础培训,18,审计证据的获得,获取审计证据的技术有：检查信息系统组织结构检查信息系统方针政策检查信息系统标准检查信息系统文件约见相关人员并进行会谈观察处理过程和员工的实际表现,审计工作不仅仅包括查询程序，还包括对控制和审计证据的测试验证，得出审计测试的结论,信息系统审计基础培训,19,通用计算机控制审计,信息系统审计基础培训,20,通用计算机审计涵盖的领域,信息系统运作信息安全应用系统的实施及维护数据库的实施及维护网络支持系统软件支持信息资源战略及规划与外包供应商的关系业务连续性计划硬件支持,信息系统审计基础培训,21,信息系统运作,所有进行批处理和在线作业及产生报表之生产程序均能及时运行并正常完成仅执行有效的生产程序依照法律,法规或公司政策保存数据,以便必要时可随时取得计算机处理环境的服务水平达到或超过管理当局的期望用户得到有关应用系统使用的适当培训用户获得适当的支持以确保应用系统的功能依照其预定的目标运行,信息系统审计基础培训,22,信息系统运作,所有进行批处理和在线作业及产生报表之生产程序均能及时运行并正常完成管理当局应监督计算机处理（包括复核及解决任何例外情形）以确保处理成功和及时地完成非正常处理的例外情形应记入日志、经管理当局复核并立即解决对批次及在线处理程序进行定义，以确保该工作和/或交易被正常地处理及完成、或被恢复及重新处理,信息系统审计基础培训,23,信息系统运作,仅执行有效的生产程序自动化编排工具（schedulingtool）已被执行以确保处理流程经授权及完整对生产处理控制语言和可执行程序的访问权限进行定义，使得只有适当人员才能具有执行、修改、删除或创建的能力管理当局或用户复核完成的处理以确保其正确性、完整性及已经授权,信息系统审计基础培训,24,信息系统运作,依照法律,法规或公司政策保存数据,以便必要时可随时取得通过恢复或其他方法定期测试备份和保留数据的持续可读性管理当局和用户制定数据备份和保留的计划及时间；对不再需要保留的数据应进行删除并释放介质的储存空间。管理当局定期复核数据保留及释放的记录所有介质（磁带、手册、指引等）都存放在安全的、可进行环境调控的地点可移动的介质应贴上标签以便适当识别自动化数据保留储存工具经管理当局的批准并得到实施以管理数据备份及保留的计划和时间对数据进行异地备份存档(archivedoff-site)以便最大限度减少数据丢失,信息系统审计基础培训,25,信息系统运作,计算机处理环境的服务水平达到或超过管理当局的期望对服务水平的衡量准则进行定义，该定义应征得受影响的人员同意管理当局监督信息系统的服务水平，且当服务表现未达到期望的服务水平时制定修正措施对计算机处理环境的性能和能力的利用应被衡量、报告和经管理当局复核,信息系统审计基础培训,26,信息系统运作,用户得到有关应用系统使用的适当培训系统实施的程序应包括对用户提供有关新系统或经大幅度修改的系统的使用培训。管理当局应监督该程序的执行情况。应为新聘用的员工及实体内调职的员工提供相关应用系统的正式培训用户可随时访问应用系统中现有的用户文件对支持的申请应定期向管理当局汇总并报告。管理当局监督支持申请的性质及频率以确定是否需要改善用户培训、支持的资源和/或文件,信息系统审计基础培训,27,信息系统运作,用户获得适当的支持以确保应用系统的功能依照其预定的目标运行管理当局监督问题的统计及趋势，以识别及消除该问题重复出现的根本原因信息系统架构应包括帮助中心(helpdesk)的功能以便用户进行有关系统的查询。所提出的问题应记录在中央问题日志之中。帮助中心(helpdesk)工作人员应监督日志以确保及时解决所有用户的查询用户可随时访问应用系统中现有的用户文件对支持的申请应定期向管理当局汇总并报告。管理当局监督支持申请的性质及频率以确定是否需要改善用户培训、支持的资源和/或文件,信息系统审计基础培训,28,信息安全,逻辑安全,物理安全,信息系统政策,信息系统审计基础培训,29,信息安全,须保护的计算机设备,信息系统审计基础培训,30,信息安全,面临的威胁,信息系统审计基础培训,31,信息安全,物理安全,UPS,信息系统审计基础培训,32,信息安全,逻辑安全,PublicNetwork,信息系统审计基础培训,33,信息安全,逻辑安全,PublicNetwork,信息系统审计基础培训,34,信息安全,实施及配置逻辑安全管理工具和技术来限制对程序,数据及其他信息资源的访问逻辑安全管理工具和技术得到适当管理，以限制对程序、数据和其他信息资源的访问实施和管理物理访问限制，以确保仅有经适当的授权人员可以访问和使用信息资源所有信息资源均配备必要的实体和逻辑安全措施实体的程序、数据及其他信息资源均受到保护以防病毒侵害实体计算机系统中软件的安装和/或使用遵循授权协议的规定及经管理当局授权保护信息资源免受环境灾害及相关损害的影响,信息系统审计基础培训,35,信息安全,实施及配置逻辑安全管理工具和技术来限制对程序,数据及其他信息资源的访问应修改应用程序、系统和通信及网络软件中的厂商默认密码要求用户拥有唯一的用户识别代码(identifier)以便对不同的用户加以区分及确立可追踪性终端设备和工作站应设有保护程序，该保护程序在经过一段设备预设的闲置时间之后会自动激活敏感数据在传输过程中应作加密处理信息安全工具与技术用于限制对信息资源(如：数据文件、公用程式(utility)、交易、程序）的访问权限。管理当局应复核及核准信息安全工具与技术的实施和配置,信息系统审计基础培训,36,信息安全,实施及配置逻辑安全管理工具和技术来限制对程序,数据及其他信息资源的访问系统应通过密码或其他识别机制识别（本地或远程的）用户。应制定有关密码使用的政策-定期修改密码、保密性和密码格式（如：密码长度、字母与数字混合的内容）应制定安全政策为信息安全的总体方向及执行提供指引只有适当的人员才有能力修改整体系统的安全参数应激活信息安全工具的功能以便记录及报告信息安全政策所规定的安全事项（如安全违规报告）；应定期复核该工具所产生的报告并采取必要的行动,信息系统审计基础培训,37,信息安全,逻辑安全管理工具和技术得到适当管理，以限制对程序、数据和其他信息资源的访问要求用户拥有唯一的用户识别代码(identifier)以便对不同的用户加以区分及确立可追踪性应用程序所有者对用户访问特权的性质和程度进行授权，且应用程序所有者应定期复核该访问特权以确保维持其适当性。用户的访问权限应通过密码或其他机制加以限制。密码应定期修改对未授权的企图访问信息资源的行为应记入日志并在安全违规报告中记录；应定期复核该日志及报告并采取必要的行动对敏感数据（如人事记录）经授权的访问应记入日志；应定期复核该日志以评估对该数据的访问及使用是否适当,信息系统审计基础培训,38,信息安全,逻辑安全管理工具和技术得到适当管理，以限制对程序、数据和其他信息资源的访问应激活信息安全工具的功能以便记录及报告信息安全政策所规定的安全事项（如安全违规报告）；应定期复核该工具所产生的报告并采取必要的行动定义并指派与信息安全管理相关的职位和责任只有适当的人员才有权限管理信息安全只有适当的人员才有特许的访问权限（所谓超级用户），对该权限的使用应记入日志并进行复核,信息系统审计基础培训,39,信息安全,实施和管理物理访问限制，以确保仅有经适当的授权人员可以访问和使用信息资源应监督存放计算机设备的楼层及区域的人员进出，且应限制只有相关工作职责的人员才可进入该区域；在经管理当局核准后才可获准进入该区域已执行涉及商业信息资源评估、以及识别与评估现有风险水平的风险评估来确定适当的具合理成本的信息安全架构。该风险评估应定期更新，且管理当局已实施合适的信息安全架构以确保适当的人员进出和逻辑安全控制,信息系统审计基础培训,40,信息安全,所有信息资源均配备必要的实体和逻辑安全措施应用程序所有者对用户访问特权的性质和程度进行授权，且应用程序所有者应定期复核该访问特权以确保维持其适当性。用户的访问权限应通过密码或其他机制加以限制。密码应定期修改应监督存放计算机设备的楼层及区域的人员进出，且应限制只有相关工作职责的人员才可进入该区域；在经管理当局核准后才可获准进入该区域已执行涉及商业信息资源评估、以及识别与评估现有风险水平的风险评估来确定适当的具合理成本的信息安全架构。该风险评估应定期更新，且管理当局已实施合适的信息安全架构以确保适当的人员进出和逻辑安全控制,信息系统审计基础培训,41,信息安全,实体的程序、数据及其他信息资源均受到保护以防病毒侵害所有软件和数据在载入实体的系统之前应先进行查毒所有实体的计算机及任何连接实体网络的计算机应安装防病毒软件。该防病毒软件应设置为当下载数据或程序、打开数据文件或执行程序时都须进行病毒扫描。应监督该政策的遵循情况定期对网络上或有可能感染病毒的程序和数据文件进行病毒扫描要求用户更新其防病毒软件中的病毒定义列表，且所有外部的程序和数据在下载到他们的计算机之前都须进行病毒扫描应定期复核病毒扫描的结果，并对发现的问题采取适当的解决方案,信息系统审计基础培训,42,信息安全,实体计算机系统中软件的安装和/或使用遵循授权协议的规定及经管理当局授权管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前，已联系所有受影响的人员并与其协调该修改的时间安排，从而最大限度降低该修改对其他处理活动的影响存在正式的软件政策及标准，并传达给所有员工应定期把安装到实体计算机中的软件与授权软件的明细表相核对。如发现未经许可或未授权安装的软件，应获得该软件的授权许可或对软件进行删除在购买新软件之前应核实该软件的购买及安装以遵循公司的授权许可要求,信息系统审计基础培训,43,信息安全,保护信息资源免受环境灾害及相关损害的影响管理当局定期监督环境控制机制的有效性，并评估对实体信息资源的潜在威胁的商业影响管理当局提供备用电源(如：不间断电源(UPS)、发电机)管理当局应确保有充足的烟雾/火警探测器和灭火设备数据中心的环境状况(如：温度、湿度)应被监督及调控计算机设施的所在地及其设计应尽量避免受外部环境（如：风、水、火）威胁,信息系统审计基础培训,44,应用系统的实施及维护,DevelopRequirementSpecifications,信息系统审计基础培训,45,应用系统的实施及维护,DevelopRequirementSpecifications,Purchase/In-houseDevelop,信息系统审计基础培训,46,应用系统的实施及维护,DevelopmentProjectManagement,SoftwareSelection,DevelopRequirementSpecifications,Purchase/In-houseDevelop,信息系统审计基础培训,47,应用系统的实施及维护,DevelopmentProjectManagement,SoftwareSelection,DevelopRequirementSpecifications,Purchase/In-houseDevelop,Testing,信息系统审计基础培训,48,应用系统的实施及维护,ProductionTurnover(ProgramChangeControls)Documentation,信息系统审计基础培训,49,应用系统的实施及维护,新的应用系统的购买、开发均符合管理当局的意愿新应用系统得到适当地实施且其功能符合管理当局的意愿当新应用系统实施完成后，原系统的数据能完整、准确且有效地转入新系统应用系统可得到有效的维护与技术支持现有系统的必要修改均能及时实施正确实施现有应用系统的修改且其修改后的功能符合管理当局的意愿,信息系统审计基础培训,50,应用系统的实施及维护,新的应用系统的购买、开发均符合管理当局的意愿管理当局核准所有购买或开发应用系统的决策，以确保系统的购买和开发与公司的系统规划和战略保持一致对项目进行优先顺序区分及指派，以确保有限的信息资源被适当利用且与公司的业务目标保持一致使用正式的方法或程序为硬件、应用系统、网络和通信软件及系统软件的购买、开发或维护提供指引,信息系统审计基础培训,51,应用系统的实施及维护,新应用系统得到适当地实施且其功能符合管理当局的意愿管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前，已联系所有受影响的人员并与其协调该修改的时间安排，从而最大限度降低该修改对其他处理活动的影响依照测试计划(包括(如适当)：系统和单元测试、界面测试、并行测试(paralleltesting)、容量测试及用户验收测试)对新的应用系统和现行应用系统的修改进行测试已确立的执行程序包括确保操作、技术和用户文件保持适时性及可供适当人员获取系统实施的程序应包括对用户提供有关新系统或经大幅度修改的系统的使用培训。管理当局应监督该程序的执行情况。应为新聘用的员工及实体内调职的员工提供相关应用系统的正式培训,信息系统审计基础培训,52,应用系统的实施及维护,新应用系统得到适当地实施且其功能符合管理当局的意愿应在独立于生产环境之外的环境中开发、修改及测试应用系统适当限制对测试和生产环境的访问权限使用完整和具代表性的一组测试数据，而不是生产数据来执行测试维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件，以确保生产程序的可执行性应对硬件、应用系统、数据结构、和系统软件的修改建议的影响进行评估；在该建议实施到生产之前应经管理当局的复核以最大限度减少对营运的干扰,信息系统审计基础培训,53,应用系统的实施及维护,应用系统可得到有效的维护与技术支持实体对外部承包商和/或软件厂商获得的应用程序或技术支持有正式的协议，以确保能获得该支持。管理当局应监督该协议的遵循情况已确立的执行程序包括确保操作、技术和用户文件保持适时性及可供适当人员获取管理当局监督所购买的应用系统、网络和通信软件及系统软件的支持版已投入使用，且新的版本正被应用使用管理当局已核准的一套通用准则来进行软件开发与维护，以确保实体内的开发与维护活动保持一致开发人员经充分培训且熟悉公司所使用的通用准则、技术和工具更改管理程序以确保源代码与可执行代码的同步维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件，以确保生产程序的可执行性,信息系统审计基础培训,54,应用系统的实施及维护,现有系统的必要修改均能及时实施管理当局复核系统性能报告并监督确保识别出低效率的性能时已立即采取足够的措施，且制定及执行相应的解决方案用户和其他对应用系统修改的申请(包括系统更新和厂商定期发布的补丁程序)应经管理当局核准，且如果该修改符合信息系统的规划及管理当局的意愿，应予以执行使用正式的方法或程序为硬件、应用系统、网络和通信软件及系统软件的购买、开发或维护提供指引对于现有硬件、应用系统、数据库结构、网络和通信软件及系统软件修改的执行，管理当局应监督该项目已达到原定的目标且符合预算及时间的要求,信息系统审计基础培训,55,应用系统的实施及维护,正确实施现有应用系统的修改且其修改后的功能符合管理当局的意愿管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前，已联系所有受影响的人员并与其协调该修改的时间安排，从而最大限度降低该修改对其他处理活动的影响依照测试计划(包括(如适当)：系统和单元测试、界面测试、并行测试(paralleltesting)、容量测试及用户验收测试)对新的应用系统和现行应用系统的修改进行测试已确立的执行程序包括确保操作、技术和用户文件保持适时性及可供适当人员获取应在独立于生产环境之外的环境中开发、修改及测试应用系统管理当局保留应用系统和/或数据先前的版本以备发生处理问题时进行系统/数据恢复,信息系统审计基础培训,56,应用系统的实施及维护,正确实施现有应用系统的修改且其修改后的功能符合管理当局的意愿在生产环境中对应用系统的修改申请应进行存档并经管理当局核准。管理当局应监督所有该修改的执行更改管理程序以确保源代码与可执行代码的同步,信息系统审计基础培训,57,数据库的实施及支持,数据库管理系统（或同等系统）所定义的数据结构已适当实施且其功能符合管理当局的意愿现有数据结构的必要修改均能及时实施现有数据结构的修改实施正确且修改后的数据结构功能符合管理当局的意愿,信息系统审计基础培训,58,数据库的实施及支持,数据库管理系统（或同等系统）所定义的数据结构已适当实施且其功能符合管理当局的意愿管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前，已联系所有受影响的人员并与其协调该修改的时间安排，从而最大限度降低该修改对其他处理活动的影响在安装和/或维护数据库和/或使用该数据库的应用系统时，应提供及使用现有的数据库和数据库管理系统文件实体的数据结构应遵循信息系统规划及管理当局的意愿进行定义及执行数据结构的修改在执行之前应在测试环境中进行评估依照测试计划(包括(如适当)：界面测试、并行测试(paralleltesting)、容量测试及用户验收测试)对新的数据结构和现行的数据结构的修改进行测试,信息系统审计基础培训,59,数据库的实施及支持,数据库管理系统（或同等系统）所定义的数据结构已适当实施且其功能符合管理当局的意愿系统实施的程序应包括对用户提供有关新系统或经大幅度修改的系统的使用培训。管理当局应监督该程序的执行情况。应为新聘用的员工及实体内调职的员工提供相关应用系统的正式培训实体的数据库管理系统应包括自动对任何数据库的变更进行更新的活动数据字典(ActiveDataDictionary)适当限制对测试和生产环境的访问权限负责管理及定义数据库组件(databasecompenents)的职责应指派给适当的人员维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件，以确保生产程序的可执行性应对硬件、应用系统、数据结构、和系统软件的修改建议的影响进行评估；在该建议实施到生产之前应经管理当局的复核以最大限度减少对营运的干扰,信息系统审计基础培训,60,数据库的实施及支持,现有数据结构的必要修改均能及时实施管理当局复核系统性能报告并监督确保识别出低效率的性能时已立即采取足够的措施，且制定及执行相应的解决方案用户和其他对应用系统修改的申请(包括系统更新和厂商定期发布的补丁程序)应经管理当局核准，且如果该修改符合信息系统的规划及管理当局的意愿，应予以执行用户和其他对数据结构修改的申请(包括更新和厂商定期发布的补丁程序)应经管理当局核准，且如果该修改符合信息系统的规划及管理当局的意愿，应予以执行对于现有硬件、应用系统、数据库结构、网络和通信软件及系统软件修改的执行，管理当局应监督该项目已达到原定的目标且符合预算及时间的要求,信息系统审计基础培训,61,数据库的实施及支持,现有数据结构的修改实施正确且修改后的数据结构功能符合管理当局的意愿管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前，已联系所有受影响的人员并与其协调该修改的时间安排，从而最大限度降低该修改对其他处理活动的影响执行的方式应容许必要时可将系统还原至原来的环境在安装和/或维护数据库和/或使用该数据库的应用系统时，应提供及使用现有的数据库和数据库管理系统文件数据结构的修改在执行之前应在测试环境中进行评估依照测试计划(包括(如适当)：界面测试、并行测试(paralleltesting)、容量测试及用户验收测试)对新的数据结构和现行的数据结构的修改进行测试,信息系统审计基础培训,62,数据库的实施及支持,现有数据结构的修改实施正确且修改后的数据结构功能符合管理当局的意愿实体的数据库管理系统应包括自动对任何数据库的变更进行更新的活动数据字典(ActiveDataDictionary)在生产环境中对数据结构的修改申请应进行存档并经管理当局核准。管理当局应监督所有该修改的执行,信息系统审计基础培训,63,网络支持,新的网络和通信软件的购买符合管理当局的意愿新的网络和通信软件得到适当地实施且其功能符合管理当局的意愿网络和通信软件可得到有效的维护与技术支持现有网络和通信软件的必要修改均能及时实施正确实施现有网络和通信软件的修改且修改后的功能符合管理当局的意愿,信息系统审计基础培训,64,网络支持,新的网络和通信软件的购买符合管理当局的意愿管理当局核准对网络和通信软件及系统的购买，以确保该购买和开发符合公司的系统规划及战略对项目进行优先顺序区分及指派，以确保有限的信息资源被适当利用且与公司的业务目标保持一致使用正式的方法或程序为硬件、应用系统、网络和通信软件及系统软件的购买、开发或维护提供指引,信息系统审计基础培训,65,网络支持,新的网络和通信软件得到适当地实施且其功能符合管理当局的意愿管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前，已联系所有受影响的人员并与其协调该修改的时间安排，从而最大限度降低该修改对其他处理活动的影响网络和通信软件及硬件在执行之前应首先在测试环境中进行安装与评估在安装和/或维护网络时，应提供及使用现有的网络软件、通信软件、和网络拓朴(NetworkTopology)文件依照测试计划(包括(如适当)：系统和单元测试、界面测试、并行测试(paralleltesting)、容量测试及用户验收测试)对新的网络和通信软件与现行的网络和通信软件修改进行测试,信息系统审计基础培训,66,网络支持,新的网络和通信软件得到适当地实施且其功能符合管理当局的意愿系统实施的程序应包括对用户提供有关新系统或经大幅度修改的系统的使用培训。管理当局应监督该程序的执行情况。应为新聘用的员工及实体内调职的员工提供相关应用系统的正式培训适当限制对测试和生产环境的访问权限使用完整和具代表性的一组测试数据，而不是生产数据来执行测试维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件，以确保生产程序的可执行性应对硬件、应用系统、数据结构、和系统软件的修改建议的影响进行评估；在该建议实施到生产之前应经管理当局的复核以最大限度减少对营运的干扰,信息系统审计基础培训,67,网络支持,网络和通信软件可得到有效的维护与技术支持实体对外部承包商和/或软件厂商获得的应用程序或技术支持有正式的协议，以确保能获得该支持。管理当局应监督该协议的遵循情况在安装和/或维护网络时，应提供及使用现有的网络软件、通信软件、和网络拓朴(NetworkTopology)文件管理当局监督所购买的应用系统、网络和通信软件及系统软件的支持版已投入使用，且新的版本正被应用使用管理当局已核准的一套通用准则来进行软件开发与维护，以确保实体内的开发与维护活动保持一致维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件，以确保生产程序的可执行性,信息系统审计基础培训,68,网络支持,现有网络和通信软件的必要修改均能及时实施管理当局复核系统性能报告并监督确保识别出低效率的性能时已立即采取足够的措施，且制定及执行相应的解决方案用户和其他对网络基础设施及通信软件修改的申请(包括更新和厂商定期发布的补丁程序)应经管理当局核准，且如果该修改符合信息系统的规划及管理当局的意愿，应予以执行使用正式的方法或程序为硬件、应用系统、网络和通信软件及系统软件的购买、开发或维护提供指引对于现有硬件、应用系统、数据库结构、网络和通信软件及系统软件修改的执行，管理当局应监督该项目已达到原定的目标且符合预算及时间的要求,信息系统审计基础培训,69,网络支持,正确实施现有网络和通信软件的修改且修改后的功能符合管理当局的意愿管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前，已联系所有受影响的人员并与其协调该修改的时间安排，从而最大限度降低该修改对其他处理活动的影响执行的方式应容许必要时可将系统还原至原来的环境网络和通信软件及硬件在执行之前应首先在测试环境中进行安装与评估在安装和/或维护网络时，应提供及使用现有的网络软件、通信软件、和网络拓朴(NetworkTopology)文件依照测试计划(包括(如适当)：系统和单元测试、界面测试、并行测试(paralleltesting)、容量测试及用户验收测试)对新的网络和通信软件与现行的网络和通信软件修改进行测试,信息系统审计基础培训,70,网络支持,正确实施现有网络和通信软件的修改且修改后的功能符合管理当局的意愿使用正式的方法或程序为硬件、应用系统、网络和通信软件及系统软件的购买、开发或维护提供指引在生产环境中对网络和通信软件的修改申请应进行存档并经管理当局核准。管理当局应监督所有该修改的执行,信息系统审计基础培训,71,系统软件支持,新的系统软件的购买符合管理当局的意愿新的系统软件得到适当地实施且其功能符合管理当局的意愿系统软件可得到有效的维护与技术支持现有系统软件的必要修改均能及时实施正确实施现有系统软件的修改且修改后的功能符合管理当局的意愿,信息系统审计基础培训,72,系统软件支持,新的系统软件的购买符合管理当局的意愿管理当局核准对计算机系统软件的购买，以确保该购买和开发符合公司的系统规划及战略对项目进行优先顺序区分及指派，以确保有限的信息资源被适当利用且与公司的业务目标保持一致使用正式的方法或程序为硬件、应用系统、网络和通信软件及系统软件的购买、开发或维护提供指引,信息系统审计基础培训,73,系统软件支持,新的系统软件得到适当地实施且其功能符合管理当局的意愿在安装和/或维护软件时，应提供及使用现有的系统软件文件管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前，已联系所有受影响的人员并与其协调该修改的时间安排，从而最大限度降低该修改对其他处理活动的影响执行的方式应容许必要时可将系统还原至原来的环境系统软件的修改(包括升级、修改和对配置参数的修改)在实施到生产环境之前应首先在测试环境中进行安装与评估依照测试计划(包括(如适当)：系统和单元测试、界面测试、并行测试(paralleltesting)、容量测试及用户验收测试)对新的系统软件与现行的系统软件修改进行测试,信息系统审计基础培训,74,系统软件支持,新的系统软件得到适当地实施且其功能符合管理当局的意愿系统实施的程序应包括对用户提供有关新系统或经大幅度修改的系统的使用培训。管理当局应监督该程序的执行情况。应为新聘用的员工及实体内调职的员工提供相关应用系统的正式培训适当限制对测试和生产环境的访问权限使用完整和具代表性的一组测试数据，而不是生产数据来执行测试维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件，以确保生产程序的可执行性应对硬件、应用系统、数据结构、和系统软件的修改建议的影响进行评估；在该建议实施到生产之前应经管理当局的复核以最大限度减少对营运的干扰,信息系统审计基础培训,75,系统软件支持,系统软件可得到有效的维护与技术支持在安装和/或维护软件时，应提供及使用现有的系统软件文件实体对外部承包商和/或软件厂商获得的应用程序或技术支持有正式的协议，以确保能获得该支持。管理当局应监督该协议的遵循情况系统软件参数(用于控制操作系统)的设置和使用、以及其他可选的配置方案都被适当存档管理当局监督所购买的应用系统、网络和通信软件及系统软件的支持版已投入使用，且新的版本正被应用使用管理当局已核准的一套通用准则来进行软件开发与维护，以确保实体内的开发与维护活动保持一致开发人员经充分培训且熟悉公司所使用的通用准则、技术和工具维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件，以确保生产程序的可执行性,信息系统审计基础培训,76,系统软件支持,现有系统软件的必要修改均能及时实施管理当局复核系统性能报告并监督确保识别出低效率的性能时已立即采取足够的措施，且制定及执行相应的解决方案用户和其他对系统软件修改的申请(包括系统更新和厂商定期发布的补丁程序)应经管理当局核准，且如果该修改符合信息系统的规划及管理当局的意愿，应予以执行对于现有硬件、应用系统、数据库结构、网络和通信软件及系统软件修改的执行，管理当局应监督该项目已达到原定的目标且符合预算及时间的要求,信息系统审计基础培训,77,系统软件支持,正确实施现有系统软件的修改且修改后的功能符合管理当局的意愿在安装和/或维护软件时，应提供及使用现有的系统软件文件管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前，已联系所有受影响的人员并与其协调该修改的时间安排，从而最大限度降低该修改对其他处理活动的影响执行的方式应容许必要时可将系统还原至原来的环境系统软件的修改(包括升级、修改和对配置参数的修改)在实施到生产环境之前应首先在测试环境中进行安装与评估依照测试计划(包括(如适当)：系统和单元测试、界面测试、并行测试(paralleltesting)、容量测试及用户验收测试)对新的系统软件与现行的系统软件修改进行测试,信息系统审计基础培训,78,系统软件支持,正确实施现有系统软件的修改且修改后的功能符合管理当局的意愿在生产环境中对系统软件的修改申请应进行存档并经管理当局核准。管理当局应监督所有该修改的执行应对硬件、应用系统、数据结构、和系统软件的修改建议的影响进行评估；在该建议实施到生产之前应经管理当局的复核以最大限度减少对营运的干扰,信息系统审计基础培训,79,信息资源战略及规划,信息系统的战略、规划和预算与实体业务和战略目标保持一致计算机处理环境得到具有适当技能和经验的人员的充分支持及保证计算机处理环境中的人员接受适当的培训,信息系统审计基础培训,80,信息资源战略及规划,信息系统的战略、规划和预算与实体业务和战略目标保持一致管理当局制定及核准信息系统的战略与长期及短期计划，以支持实体的整体业务战略和信息系统要求。管理当局根据长期及短期计划监督信息系统的性能,信息系统审计基础培训,81,信息资源战略及规划,计算机处理环境得到具有适当技能和经验的人员的充分支持及保证在聘用信息资源管理人员时应对其作背景调查在聘用计算机处理环境的工作人员之前或评估该人员的表现时，应对其职位所需的必要技能和经验作清晰定义。管理当局应监督计算机处理环境人员的充足性及其相关的技能与经验关键职位应有接任计划和交叉培训应监督员工表现鉴定政策的遵循情况,信息系统审计基础培训,82,信息资源战略及规划,计算机处理环境中的人员接受适当的培训应基于定期的员工表现评估为所有计算机处理环境中的工作人员提供正式培训或在职培训；该培训应由管理当局监督,信息系统审计基础培训,83,与外包供应商的关系,外包供应商的选择符合管理当局的意愿外包供应商的服务水平达到或超过管理当局的期望,信息系统审计基础培训,84,与外包供应商的关系,外包供应商的选择符合管理当局的意愿应制定正式的选择标准以便对外包供应商的选择程序进行控制。管理当局应监督该政策的遵循情况管理当局应核准外包供应商的选择对服务水平的衡量准则进行定义，该定义应征得受影响的人员同意用于评估和选择外包供应商的标准应征得受影响的人员同意,信息系统审计基础培训,85,与外包供应商的关系,外包供应商的服务水平达到或超过管理当局的期望对服务水平的衡量准则进行定义，该定义应征得受影响的人员同意管理当局监督信息系统的服务水平，且当服务表现未达到期望的服务水平时制定修正措施,信息系统审计基础培训,86,业务连续性计划,在发生灾难事故时，核心的业务处理和信息系统可得到及时恢复根据业务影响评估编制全公司范围内的业务连续性计划，该计划应经管理当局核准。应定期测试该计划，并更新该计划以反映该测试的结果管理当局定期复核备份的完成情况，以