信息的系統(tǒng)審計指南COBIT中文版

實用標準文案實用標準文案精彩文檔精彩文檔實用標準文案精彩文檔COBIT信息技術審計指南(34個控制目標)計劃和組織（選擇3/6/11）1定義戰(zhàn)略性的信息技術規(guī)劃（PO1）PO域控制的IT過程：定義戰(zhàn)略性的IT規(guī)劃滿足的業(yè)務需求：既要謀求信息技術機遇和IT業(yè)務需求的最佳平衡，又要確保其進一步地完成實現(xiàn)路線：在定期從事的戰(zhàn)略規(guī)劃編制過程中，要逐漸形成長期的計劃，長期的計劃應定期地轉化成設置清晰并具體到短期目的的操作計劃需要考慮的事項：企業(yè)的業(yè)務發(fā)展戰(zhàn)略IT如何支持業(yè)務目標的明確定義技術解決方案和當前基礎設施的詳細清單追蹤技術市場適時的可行性研究和現(xiàn)實性檢查已有系統(tǒng)的評估在風險、進入市場的時機、質量方面，企業(yè)所處的位置需要高級管理層出錢、支持和必不可少的檢查信息規(guī)范IT資源P效果*人員S效率*應用保密*技術完整*設施可用*數(shù)據遵從可靠1.1作為機構長期和短期計劃一部分的IT高級管理層對開發(fā)和實施履行機構任務和目標的長期和短期的計劃負責。在這一方面，高級管理層應確保IT有關事項以及機遇被適當?shù)卦u估，并將結果反映到機構的長期和短期計劃之中。IT的長期、短期計劃應被開發(fā)，確保IT的運用同機構的使命與業(yè)務發(fā)展戰(zhàn)略相結合。1.2IT長期計劃IT管理層和業(yè)務過程的所有者要對有規(guī)律地開發(fā)支持機構總體使命和目的實現(xiàn)的IT長期計劃負責。計劃編制的方法應包括尋求來自受IT戰(zhàn)略計劃影響的相關內外部利害關系人引入的機制。相應地，管理層應執(zhí)行一個長期計劃的編制過程，采用一種結構化的方法，并建立一個標準的計劃結構。1.3IT長期計劃編制——方法與結構對于長期計劃的編制過程來講，IT管理層和業(yè)務過程的所有者應建立并采用一種結構化的方法。這樣可以制定出高質量的計劃，含蓋什么、誰、怎樣、什么時間和為什么等基本的問題。IT計劃的編制過程應考慮風險評估的結果，包括業(yè)務、環(huán)境、技術和人力資源的風險。計劃編制期間，需要考慮和充分投入的方面包括：機構的模式及其變化、地理的分布、技術的發(fā)展、成本、法律法規(guī)的要求、第三方或市場的要求、規(guī)劃遠景、業(yè)務過程再造、員工的安置、自行開發(fā)或者外包、數(shù)據、應用系統(tǒng)和技術體系結構。已做出選擇的好處應被明確地確定下來。IT長期和短期計劃應使績效指標和目標合并在一起。計劃本身還應參考其它的計劃，比如機構的質量計劃和信息風險管理計劃。1.4IT長期計劃的變更IT管理層和業(yè)務過程所有者應確保及時、準確地修改IT長期計劃的過程的到位，以適應機構長期計劃的變化和IT環(huán)境的變化。管理層應建立一個IT長期和短期計劃開發(fā)和維護所需要的政策。1.5IT功能的短期計劃編制IT管理層和業(yè)務過程的所有者應確保IT長期計劃有規(guī)律地轉換成IT短期計劃。這樣的短期計劃應確保適當?shù)腎T功能資源以與IT長期計劃內容相一致的基礎上來分配。短期計劃應定期地進行再評估，并被作為適應正在變化的業(yè)務和IT環(huán)境所必須的事項而改進?？尚行匝芯康募皶r執(zhí)行應確保短期計劃的實行是被充分地啟動的。1.6IT計劃的交流管理層應確保IT長期和短期計劃同業(yè)務過程所有者以及跨越機構的其他相關部門人員的充分溝通。1.7IT計劃的監(jiān)控和評估管理層應建立一個流程，獲取和報告來自業(yè)務過程所有者和用戶有關長期和短期計劃的質量及有效性的反饋。獲取的反饋應予以評估，并在將來的IT計劃編制中加以考慮。1.8現(xiàn)有系統(tǒng)的評估在開發(fā)或變更戰(zhàn)略規(guī)劃或長期計劃、IT計劃之前，IT管理層應按照業(yè)務自動化的程度、功能性、穩(wěn)定性、復雜性、成本、優(yōu)勢和劣勢，評估現(xiàn)有信息系統(tǒng)，以確定現(xiàn)有系統(tǒng)支持機構業(yè)務需求的程度。對高級和詳細的控制目標進行審計：獲得了解：訪談：首席執(zhí)行官（CEO）首席運營官（COO）首席財務官（CFO）首席信息官（CIO）IT計劃/指導委員會成員IT高級管理層和人力服務職員獲得：與計劃編制過程想關聯(lián)的政策和程序高級管理層的指導角色和責任機構的目標和長短期的計劃IT的目標和長短期的計劃狀況的報告和計劃/指導委員會的會議紀要評估控制：考慮是否：IT或者業(yè)務的企業(yè)政策和程序選擇了一種結構化的計劃編制方法方法到位，以便明確地表達并能夠修改計劃，起碼它們要包括：機構的使命和目的支持機構使命和目的的IT初始IT初始的機遇IT初始的可行性的研究IT初始的風險評估當前和未來IT的最佳投資反映企業(yè)使命和目的變化的IT初始的再造數(shù)據應用、技術和機構可選擇戰(zhàn)略的評估機構的變化、技術的發(fā)展、規(guī)章的要求、業(yè)務過程的再造、員工的安置、自己開發(fā)和外包，等等被考慮，并在計劃編制過程中充分地從事長短期的IT計劃存在，是當前的，充分針對全部企業(yè)、它的使命和關鍵的業(yè)務職能部門IT項目由IT計劃編制方法中確定的適當文檔所支持確保IT目標和長短期計劃持續(xù)地滿足機構目標和長短期計劃的檢查點存在由過程所有者和高級管理層評價和結束的IT計劃發(fā)生根據業(yè)務自動化程度、功能性、穩(wěn)定性、復雜性、成本、優(yōu)勢和弱點，IT計劃評估現(xiàn)有的信息系統(tǒng)對信息系統(tǒng)及其支持的基礎設施的長期計劃編制的缺乏，導致系統(tǒng)不能支持企業(yè)的目標和業(yè)務的過程，或者不能提供適當?shù)耐暾?、安全和控制評定遵從性：測試：來自反映計劃編制過程的IT計劃編制/指導委員會的會議紀要計劃編制方法的可交付使用物的存在，作為預先的規(guī)定相關IT的初始被包括在IT長短期的計劃當中（也就是硬件的變化、容量計劃編制、信息體系結構、新系統(tǒng)開發(fā)或獲取、災難恢復計劃編制、新處理平臺的安裝，等等）IT初始支持長短期計劃，并要考慮調查、培訓、人員安置、設施、硬件和軟件的需求IT初始的技術含義已經被確定最優(yōu)化當前和將來IT投資的考慮已經給出IT長短期計劃與機構的長短期計劃和組織的需求保持一致計劃已經發(fā)生改變，以反映正在變化的條件IT長期計劃定期轉化成短期計劃存在實現(xiàn)計劃的任務證實沒有滿足業(yè)務目標的風險：執(zhí)行：依照類似的機構或者適當?shù)膰H標準/公認的行業(yè)最好實踐的戰(zhàn)略IT計劃的基準確保IT初始反映機構的使命和目的的IT計劃的詳細評價決定是否機構之內已經知道的虛弱區(qū)域正在被確認為計劃當中IT解決方案的一部分而加以改進的IT計劃的詳細評價確定：滿足機構使命和目的的IT失敗與長期計劃相匹配的短期計劃的IT失敗滿足短期計劃的IT項目的失敗滿足成本和時間準則的IT失敗錯過的業(yè)務機遇錯過的IT機遇2定義信息體系結構（PO2）控制的IT過程：定義信息體系結構滿足的業(yè)務需求：優(yōu)化信息系統(tǒng)的機構實現(xiàn)路線：創(chuàng)建并維護一個業(yè)務信息模型，確保定義適當?shù)南到y(tǒng)，以優(yōu)化信息的使用需要考慮的事項：自動化的數(shù)據存貯和字典數(shù)據語法規(guī)則數(shù)據所有權和關鍵性/安全性程度分類表述業(yè)務的信息模型企業(yè)信息體系結構標準信息信息規(guī)范IT資源P效果人員S效率*應用S保密技術S完整設施可用*數(shù)據遵從可靠2.1信息體系結構模型信息應與需求保持一致，并應以某種格式和期限進行識別、獲取和交流，而這些格式和期限能使人們及時、有效地履行他們的職責。相應地，圍繞企業(yè)的數(shù)據模型和相關的信息系統(tǒng)，IT的職能應是建立并有規(guī)律地更新信息體系結構模型。信息體系結構模型應與IT長期計劃保持一致。2.2企業(yè)數(shù)據字典和數(shù)據語法規(guī)則IT的職能應確保包含機構數(shù)據語法規(guī)則的企業(yè)數(shù)據字典的建立以及持續(xù)的更新。2.3數(shù)據分類方案在按信息類別（如安全類）進行分類的數(shù)據放置以及所有權分配方面，應建立一個總體的分類框架，應適當定義各類別的訪問規(guī)則。2.4安全等級對于上述確定的每一個“不需要保護”級別以上的數(shù)據分類，管理層應定義、執(zhí)行和維護這些安全等級。對于每一個分類來講，這些安全等級應描述適當?shù)模ㄗ钚〉模┮惶装踩涂刂瞥叨龋瑧ㄆ谶M行再評估并做相應的修改。對于區(qū)域范圍廣闊的企業(yè)，應建立支持不同安全等級的標準，以適應正在發(fā)展的電子商務、移動計算和遠程辦公環(huán)境的需要。對高級和詳細的控制目標進行審計：獲得了解：訪談：首席信息官（CIO）IT計劃/指導委員會成員IT高級管理層安全官獲得：與信息體系結構相關的政策和程序信息體系結構模型支持信息體系結構模型的文檔，包括企業(yè)數(shù)據模型企業(yè)數(shù)據字典數(shù)據所有者政策高級管理層指導的角色和責任IT的目標和長短期計劃狀況報告和計劃編制/指導委員會會議紀要評估控制：考慮是否：IT政策和程序選擇了數(shù)據字典的開發(fā)和維護用于修改信息體系結構模型的過程是以長短期計劃為基礎的，考慮了相關成本和風險，并且該模型變化之前，要確保高級管理層同意有一個過程用來保持數(shù)據字典和數(shù)據語法規(guī)則處于最新狀態(tài)有一個媒介用來分發(fā)數(shù)據字典，確保開發(fā)區(qū)域的可達性并立即反映變化IT政策和過程要選擇數(shù)據的分類，包括安全種類和數(shù)據所有者，數(shù)據分類的訪問規(guī)則要被清晰和適當?shù)囟x要為那些不包含數(shù)據分類標識符的數(shù)據資產定義缺省的分類標準IT政策和程序要選擇以下內容：需要數(shù)據所有者（在數(shù)據所有者政策上定義）的授權過程要到位，以便批準該數(shù)據的所有訪問以及數(shù)據的安全屬性每一個數(shù)據分類的安全等級要被定義訪問等級被定義，并且對于數(shù)據分類來說是適當?shù)脑L問敏感數(shù)據需要清楚的訪問級別，數(shù)據的提供要以“需要知道”為基礎評定遵從性：測試：信息體系結構模型上的變化，確定這些變化反映了IT長短期計劃及其所確定的成本和風險評估數(shù)據字典的任何修改以及數(shù)據字典上變化的影響，確保它們被有效地溝通各種運作的應用系統(tǒng)和開發(fā)項目，以確定數(shù)據字典被用作數(shù)據定義足夠的數(shù)據字典文檔，以確定這些文檔為每一個數(shù)據項定義了數(shù)據的屬性和安全等級數(shù)據分類、安全等級、訪問等級和缺省的適當性每一個數(shù)據分類都要清晰地定義：誰可以訪問誰對決定適當?shù)脑L問級別負責所需訪問的明確批準訪問的特定需求（也就是非披露或者保密性協(xié)議）證實沒有滿足業(yè)務目標的風險：執(zhí)行：依照類似機構或適者國際標準/公認的行業(yè)最好實踐的信息體系結構模型的基準針對關鍵元素的完整性，數(shù)據字典的詳細評價對定義為敏感數(shù)據的安全等級的詳細評價，以校驗訪問的適當授權被獲得，被許可的訪問與定義在IT政策和程序中的一致確定：信息體系結構模型和企業(yè)數(shù)據模型、企業(yè)數(shù)據字典、相關信息系統(tǒng)以及IT長短期計劃中的矛盾過時的企業(yè)數(shù)據字典項和由于數(shù)據字典變化的不良的溝通喪失了時效性的數(shù)據語法規(guī)則？？？所有者不清楚和/或沒有適當定義的數(shù)據項沒有被適當定義的數(shù)據分類與“需要才能知道”的原則不一致的數(shù)據安全等級3決定技術方向（PO3）控制的IT過程：決定技術方向滿足的業(yè)務需求：利用目前可用的和正在出現(xiàn)的技術，推動業(yè)務戰(zhàn)略的實施并使業(yè)務戰(zhàn)略成為可能實現(xiàn)路線：建立并維護技術基礎設施計劃，該計劃，依據產品、服務和交付機制，建立并管理技術能夠提供的清晰和現(xiàn)實的預期需要考慮的事項：當前基礎設施的容量通過可靠的來源，監(jiān)測技術發(fā)展引導概念的檢驗風險、約束和機遇獲取的計劃移植戰(zhàn)略和路線與供應商的關系獨立的技術再評估硬件和軟件的性能/價格比的變化信息規(guī)范IT資源P效果人員S效率應用保密*技術完整*設施可用數(shù)據遵從可靠3.1技術基礎設施計劃編制IT的職能部門應建立并有規(guī)律地更新與IT長期和短期計劃保持一致的技術基礎設施計劃。這樣的計劃應圍繞諸如系統(tǒng)體系結構、技術方向和移植策略等方面。3.2監(jiān)測未來的趨勢和法規(guī)IT的職能部門應能夠確保對未來趨勢和法規(guī)環(huán)境的持續(xù)監(jiān)測，以便這些因素能夠在技術基礎設施計劃的開發(fā)和維護期間被考慮在內。3.3技術基礎設施的不確定事件技術基礎設施計劃應在偶然事件方面（即基礎設施的冗余、恢復、充足性和發(fā)展能力）進行系統(tǒng)地評估。3.4硬件和軟件獲取計劃IT管理層應確保制定硬件和軟件的獲取計劃，并要反映在所確定的技術基礎設施計劃的需求中。3.5技術標準以技術基礎設施計劃為基礎，IT管理層應定義技術規(guī)范以培養(yǎng)標準化的意識。對高級和詳細的控制目標進行審計：獲得了解：訪談：首席執(zhí)行官（CEO）首席運營官（COO）首席財務官（CFO）首席信息官（CIO）IT計劃/指導委員會成員IT高級管理層獲得：與技術基礎設施計劃編制和監(jiān)控相聯(lián)系的政策和程序高級管理層指導角色和責任機構目標和長短期計劃IT目標和長短期計劃IT硬件和軟件獲取計劃技術基礎設施計劃技術標準狀況報告和計劃編制/指導委員會會議紀要評估控制：考慮是否：為確認被提議的變化首先被檢查以評估相關聯(lián)的成本和風險，為確認高級管理層的批準先于計劃的變化被獲得，有一個創(chuàng)造并有規(guī)律地更新的技術基礎設施計劃的過程技術基礎設施計劃與IT長短期計劃相比較有一個過程來評估機構的當前技術狀態(tài)，確保環(huán)繞諸如系統(tǒng)體系結構、技術方向和移植戰(zhàn)略等方面IT政策和程序確保選擇了評估和監(jiān)控當前和將來的技術趨勢和規(guī)章條件的要求，并且在技術基礎設施計劃的開發(fā)和維護期間被考慮技術獲取的后勤和環(huán)境影響要被計劃IT政策和程序確保選擇了系統(tǒng)地評估技術計劃意外的需求（也就是基礎設施的冗余、恢復力、足夠性和發(fā)展能力）IT管理層評估正在出現(xiàn)的技術，并將適當?shù)募夹g合并到當前的IT基礎設施之中對于硬件和軟件的獲取計劃來講，它是遵從技術基礎設施計劃中所確定的要求并被適當?shù)嘏鷾实膶嵺`在技術基礎設施計劃中所描述的技術組成的技術標準是到位的評定遵從性：測試：IT管理層理解并使用技術基礎設施計劃技術基礎設施計劃上的變化，以確定相關的成本和風險，這些變化要反映在IT長短期計劃的變化中IT管理層要理解監(jiān)控和評估正在出現(xiàn)技術的過程，并要將適當?shù)募夹g合并到當前的IT基礎設施之中IT管理層要理解系統(tǒng)評估技術計劃意外的過程（也就是說，基礎設施的冗余、恢復力、充足性和發(fā)展能力）為了充分地適應目前的已安裝的硬件/軟件以及在當前被批準的增加的新的硬件/軟件，IT職能部門現(xiàn)有的物理環(huán)境硬件和軟件獲取計劃遵從IT長短期計劃，并要反映技術基礎設施計劃中所確認的需求技術基礎設施計劃選擇利用當前和將來的技術技術標準被遵循，并作為開發(fā)過程的一部分而被合成一體被允許的訪問與IT政策和程序中所定義的安全等級相一致，到位的訪問要經過適當?shù)氖跈嘧C實沒有滿足業(yè)務目標的風險：執(zhí)行：依照類似的機構或者適當?shù)膰H標準/公認的行業(yè)最好實踐的技術基礎設施計劃編制的基準針對關鍵元素的完整性，數(shù)據字典的詳細評價為敏感數(shù)據而定義的安全等級的詳細評價確定：信息系統(tǒng)和IT長短期計劃相關的信息體系結構模型和企業(yè)數(shù)據模型、企業(yè)數(shù)據字典的矛盾企業(yè)數(shù)據字典條款和數(shù)據語法規(guī)則的過時沒有在技術基礎設施計劃中選擇的以外方面沒能反映技術基礎設施計劃需求的IT硬件和軟件的獲取計劃與技術標準不一致的技術基礎設施計劃或IT硬件和軟件獲取計劃數(shù)據字典中丟失的關鍵元素沒有按照同樣標準分類或者沒有安全等級的敏感數(shù)據4定義信息技術的機構及關系（PO4）控制的IT過程：定義IT的機構及關系滿足的業(yè)務需求：提供正確的IT服務實現(xiàn)路線：定義一個數(shù)量上相配、具有角色和職責所要求技能的機構，與業(yè)務部門溝通、聯(lián)合在一起，促進戰(zhàn)略的實現(xiàn)，并規(guī)定有效的方向和適當?shù)目刂菩枰紤]的事項：董事會層面上的IT職責管理層對于IT的指導和監(jiān)督IT與業(yè)務的結合關鍵決策過程中IT的參與機構的靈活性清晰的角色和職責平衡授權與監(jiān)督工作崗位的描述人員級別和關鍵的人員在安全、質量和內部控制功能方面的機構配置職責的分離信息規(guī)范IT資源P效果*人員S效率應用保密技術完整設施可用數(shù)據遵從可靠4.1IT計劃或指導委員會機構的高級管理層應指定一個計劃或者指導委員會，來檢查IT的職能及其活動。委員會的會員應包括來自高級管理層、用戶管理層和IT職能方面的代表。委員會應實行例會制度，并向高級管理層報告。4.2IT職能的機構設置在整個機構機構設置IT職能過程中，高級管理層應確保其權力、關鍵時刻以及與用戶部門的獨立性到必要的程度，以便在執(zhí)行時能夠保證有效的IT解決方案和充分的進展，并要建立與頂級管理層的伙伴關系，以便在確定和解決IT問題時，能夠幫助他們增強意識、理解和技能。4.3機構績效的評價應設置一個框架來評價機構的機構，以不斷地滿足目標和變化的環(huán)境。4.4角色和責任管理層應確保機構中所有人員都具有并理解他們在相關信息系統(tǒng)中的角色和責任。所有的人員應具有足夠的權力來行使分派給他們的角色和責任。角色的設置應考慮適當?shù)穆氊煼蛛x。沒有那個人能夠控制一個交易或事件的所有關鍵環(huán)節(jié)。每個人都應認識到他們在內部控制和安全方面具有一定的責任。因此，應機構并承擔起有規(guī)律的一些活動，以增強這方面的意識和紀律。4.5質量保證的責任管理層應為IT職能部門的成員分配質量保證職能履行的責任，并確保適當?shù)馁|量保證、系統(tǒng)、控制和存在于IT職能質量保證小組中的專家們的交流。IT職能內機構的布置以及質量保證小組的職責和規(guī)模應滿足機構的需求。4.6邏輯和物理安全的責任管理層應為信息安全經理正式地分配確保機構信息資產物理和邏輯安全的責任，并負責向高級管理層報告。最起碼，安全管理職責應建立在整個機構范圍的層次上，以便能夠處理一個機構內的全部安全問題。如果需要，系統(tǒng)細節(jié)層次上的附加安全管理責任也應被分配，以應對相關的安全問題。4.7所有者和管理者管理層應正式建立一個指定數(shù)據所有者和管理者的結構。他們的角色和責任應清楚地定義。4.8數(shù)據和系統(tǒng)的所有者管理層應確保所有信息資產（數(shù)據和系統(tǒng)）都已指定了所有者，他們對信息資產的分類和訪問權限具有決策的權利。典型地，系統(tǒng)所有者可以將日常管理委派給系統(tǒng)的交付/操作小組，將安全職責委派給安全管理員。然而，所有者仍然要保留對適當安全尺度維護的責任。4.9監(jiān)督高級管理層應執(zhí)行適當?shù)腎T職能的監(jiān)督實踐，以保證角色和責任被完全地行使，評估所有的個人是否有足夠的權力和資源完成他們的角色和職責，并要全面地評價關鍵的績效指標。4.10職責分離高級管理層應實施角色和職責的分離，避免單獨的個人擾亂某個關鍵的過程。管理層還應確定每個人僅執(zhí)行其工作和職位規(guī)定的各自的職責。尤其是下列職責之間責任分離的應維護。信息系統(tǒng)使用數(shù)據錄入計算機操作網絡管理系統(tǒng)管理系統(tǒng)開發(fā)和維護變更管理安全管理安全審計4.11IT人員配備員工需求評估應有規(guī)律地執(zhí)行，以保證履行IT職能所需足夠數(shù)量能勝任的IT員工。員工需求應至少每年評估一次，或根據業(yè)務、運作及IT環(huán)境的主要變化而執(zhí)行。評估結果應盡快執(zhí)行，以確?，F(xiàn)在和將來員工的充足。4.12IT員工工作和職位的描述管理層應確保建立IT員工的職位描述，并有規(guī)律地被更新。這些職位描述應清楚地描繪權力和責任兩方面，包括相關職位要求的技能和經驗的詳細說明，并要適合在績效評估中使用。4.13關鍵的IT人員IT管理層應詳細說明和識別關鍵的IT人員。4.14與員工簽約的政策和程序為了IT職能部門控制咨詢和其它簽約個人的活動，確保機構的信息資產處于保護之中，管理層應詳細說明和執(zhí)行相關的政策和程序。4.15關系IT管理層應采取必要的行動，在IT職能部門和其它各種有利害關系的內外部IT職能部門（即用戶、供應商、安全官員、風險管理者）之間，建立并維持一個最佳的協(xié)調、交流、聯(lián)絡的結構。對高級和詳細的控制目標進行審計：獲得了解：訪談：首席執(zhí)行官（CEO）首席運營官（COO）首席財務官（CFO）首席信息官（CIO）質量保證官安全官IT計劃/指導委員會成員、人力資源和高級管理層獲得：高級管理層計劃/指導角色和責任機構目標和長短期計劃IT目標和長短期計劃展示IT職能部門與及其它職能部門關系的機構機構圖與IT機構和關系相關聯(lián)的政策和程序與質量保證相關聯(lián)的政策和程序用來決定IT人員需求的政策和程序IT職能部門的機構機構圖IT職能部門的角色和責任IT關鍵位置（工作）的描述狀況報告和計劃/指導委員會會議紀要評估控制：考慮是否：來自高級管理層的政策聲明和溝通確保IT職能部門的獨立和權威IT計劃/指導委員會的成員和職能部門已經被定義，責任已經被確定IT計劃/指導委員會的章程使委員會的目的與機構的目標和長短期計劃以及IT的目標和長短期計劃聯(lián)盟增強確定和解決信息管理問題的意識、理解和技能的過程到位政策選擇了滿足正在變化著的目標和環(huán)境的機構機構的評估和修改的要求決定IT職能部門效果和承諾的過程和績效指標存在高級管理層要確保角色和責任被執(zhí)行勾畫機構內所有個人有關信息系統(tǒng)內部控制和安全的角色和責任的政策存在增加內部控制和安全意識以及紀律的有規(guī)律的活動存在質量保證的職能部門和政策存在質量保證職能部門要充分地獨立于系統(tǒng)開發(fā)人員，并要有執(zhí)行其責任的適當人員和專門技術確定時間資源并確保質量保證測試的完成以及系統(tǒng)或者系統(tǒng)變化被執(zhí)行前的審批的質量保證之內的過程要到位為了安全官的內部控制和安全（邏輯和物理兩者）政策和程序的明確表達，管理層應正式地分配機構范圍內的責任安全官的職位的角色和責任的了解被充分地理解，并被證明與機構的信息安全政策一致機構的安全政策清晰地定義每一個信息資產的所有者（如，用戶、管理層和安全管理員）被要求執(zhí)行的信息安全的責任含蓋數(shù)據和系統(tǒng)所有者所有主要數(shù)據源和系統(tǒng)的政策和程序存在有規(guī)律地評價并維護數(shù)據和系統(tǒng)所有者變化的程序存在描述監(jiān)督實踐，確保角色和責任被適當?shù)匦惺?，并且所有的人員有足夠的權威和資源執(zhí)行其角色和責任的政策和程序存在下列一對職責要分離：系統(tǒng)開發(fā)和維護系統(tǒng)開發(fā)和運行系統(tǒng)開發(fā)/維護和信息安全運行和數(shù)據控制運行和用戶運行和信息安全IT的人員安置和能力被維護，以確保其具有提供有效技術解決方案的能力IT職位（工作）描述的評估和再評估的政策和程序存在對于關鍵的過程，包括系統(tǒng)開發(fā)生命周期活動（需求、設計、開發(fā)、測試）、信息安全、獲取和容量的計劃編制，適當?shù)慕巧拓熑未嬖谠趯崿F(xiàn)機構的目標方面，使用適當和有效的關鍵績效指標和/或關鍵成功因素測量IT職能部門的結果控制咨詢者和其它契約人員活動的IT政策和程序存在，從而確保機構的資產的保護適用于已簽約IT服務的適當性的過程，并要與機構的獲取政策一致調整、溝通和歸檔IT職能部門高級職員會內外部興趣的過程存在評定遵從性：測試：IT計劃/指導委員會檢查IT職能部門及其活動以及解決行動條款IT職能部門報告層次的適當性在機構關于為頂級管理層提供合作伙伴關系方面，IT職能部門的位置的有效性高級IT管理層了解用來監(jiān)控、測量和報告IT職能部門績效的過程用來評估績效的關鍵指標當實際結果不能滿足目標水平，依照目標水平，決定所采取的校正行動的分析實際結果的過程為了來自期望的績效水平的任何重大差異，由管理層所采取的行動用戶/所有者管理層評估IT職能部門提供滿足用戶/所有者需求的信息技術解決方案的反應速度和能力IT管理層知道其角色和責任涉及IT項目計劃的測試和審批的質量保證安全人員評價核心操作系統(tǒng)和應用系統(tǒng)到位或正在開發(fā)的評估信息安全（邏輯和物理兩者）的安全職能部門報告或文檔的適當性信息安全政策和程序的充分了解和一致應用出席信息安全和內部控制培訓的人員對于所有的信息資產，數(shù)據和系統(tǒng)所有權被定義數(shù)據和系統(tǒng)所有者審批數(shù)據和系統(tǒng)制造的變化所有的數(shù)據和系統(tǒng)具有一個所有者或者管理人，他們負責控制數(shù)據和系統(tǒng)的水平所有數(shù)據和系統(tǒng)資產的訪問由資產的所有者審批與職位（工作）相聯(lián)系的權利和監(jiān)督的直線要與在職者的義務相稱職位（工作）描述清楚地描繪權利和責任兩者職位（工作）描述清楚地描述所需的業(yè)務、相關的和技術的資格職位（工作）已經被精確地溝通，并由個人所理解IT職能部門的職位（工作）描述包含已經溝通給個人的關鍵績效指標IT職員的義務和責任要對應于已經公布的職位（工作）描述和機構的機構圖兩者關鍵職位的職位（工作）描述到位，包括機構關于信息系統(tǒng)、內部控制和安全的訓令職位（工作）描述的精確性要與這些職位在職者的當前責任相比較遵從IT職能部門內有意的職責分離以及職責限制的種類和范圍IT人員安置的維持能力作為責任、權利和績效標準的適當性和透明度的基礎，職位（工作）描述的適當性合同管理的責任分配給了適當?shù)娜藛T合同的術語與正常的機構合同的標準相一致，標準契約術語和條件已經由法律的律師評價和評估，它們的同意意見要獲得合同包含適當?shù)挠嘘P遵從性的條款：法人的安全和內部控制政策、信息技術標準過程和/或結構規(guī)定成功關系所必須的有效果和有效率的協(xié)調證實沒有滿足業(yè)務目標的風險：執(zhí)行：依照類似的機構或者適當?shù)膰H標準/公認的行業(yè)最好實踐的機構和關系的基準決定由無效的IT計劃/指導委員會所引起的機構方面影響的詳細評價在處理信息系統(tǒng)問題和執(zhí)行技術解決方案方面，測量IT職能部門進步的詳細評價評估機構的機構、人員和個人能力、分配的角色和責任、數(shù)據和系統(tǒng)所有權、監(jiān)督、職責分離等的詳細評價決定在滿足機構需求的有效性方面的質量保證職能部門的詳細評價決定在提供機構范圍內信息安全（邏輯和物理兩者）和信息安全意識培訓有效性方面的安全職能的詳細評價確定這些合同已經由交易雙方適當?shù)貓?zhí)行并且遵從機構的標準合同術語的合同實例的詳細評價確定：由于IT計劃/指導委員會無效監(jiān)督所引起的IT職能及其活動的弱點導致IT職能無效果或無效率的機構機構的縫隙、重疊，等等不適當?shù)臋C構機構、缺少的職能、不充足的人員、能力不足、不適當?shù)慕巧拓熑?、?shù)據和系統(tǒng)所有權的混亂、監(jiān)督的問題、缺乏職責分離，等等確實滿足質量保證要求的正在開發(fā)、修改或者執(zhí)行的系統(tǒng)確實滿足安全（或者是邏輯的，或者是物理的，或者是兩者兼顧）需求的正在開發(fā)、修改或者執(zhí)行的系統(tǒng)不能滿足機構的合同要求的合同IT職能部門和各種各樣其它有興趣的IT職能部門的內外之間的無效協(xié)調和溝通5管理信息技術投資（PO5）控制的IT過程：管理IT投資滿足的業(yè)務需求：保證資金并控制財務資源的支出實現(xiàn)路線：由業(yè)務決定的定期投資和運作預算的建立和審批需要考慮的事項：資金的選擇清晰的預算所有者實際支出的控制成本的合理性和所有者總成本的意識收益的合理性和收益實現(xiàn)的責任制技術和應用軟件的生命周期要與企業(yè)的業(yè)務戰(zhàn)略相結合效果的評估資產管理信息規(guī)范IT資源P效果*人員P效率*應用保密*技術完整*設施可用數(shù)據遵從S可靠5.1年度IT運營預算高級管理層應執(zhí)行預算編制過程，按照機構的長期和短期計劃以及IT的長期和短期計劃，保證年度IT運作預算的建立和批準。應調查資金的選擇。5.2成本和收益的監(jiān)控管理層應建立成本監(jiān)測的過程，將實際支出與預算進行比較。此外，由IT活動衍生出來的可能存在的收益應被確定和報告。對于費用監(jiān)測來講，實際數(shù)據的來源應以機構的會計系統(tǒng)為基礎，該系統(tǒng)應例行公事地紀錄、處理并報告與IT職能部門的活動相關的成本。對于收益的監(jiān)測來講，高層次的績效指標應被詳細地說明，有規(guī)率地進行報告并對其適當性進行評價。5.3成本和收益的合理性管理控制應設置到位，以保證IT職能部門交付服務的成本是合理的并符合行業(yè)標準。由IT活動衍生出來的收益也應做同樣應的分析。對高級和詳細的控制目標進行審計：獲得了解：訪談：首席財務官（CFO）首席信息官（CIO）IT計劃/指導委員會成員IT高級管理層獲得：與預算和成本核算相聯(lián)系的機構的政策、方法和程序與預算和成本核算相聯(lián)系的IT政策和程序當前和最近的以前年度IT職能部門的年度運作預算機構目標和長短期計劃IT目標和長短期計劃高級管理層計劃/指導的角色和責任與差異監(jiān)控和控制相連接的差異報告及其它溝通狀況報告和計劃/指導委員會會議紀要評估控制：考慮是否：IT預算的過程與機構的過程一致確保與機構的預算、機構的長短期計劃、IT長短期計劃相一致的年度IT運作預算的準備和適當審批的政策和程序的到位預算過程要與在準備階段起作用的IT職能部門的主要單位的管理層分享有規(guī)律地監(jiān)控實際成本，并將其與計劃的成本相比較的政策和程序要到位，實際的成本是以機構的成本會計系統(tǒng)為基礎的保證IT職能部門的服務交付具有合理的成本并遵守行業(yè)成本的政策和程序到位評定遵從性：測試：在證明IT年度運作計劃是合理的方面，IT預算的支持是適當?shù)腎T支出的種類是全面的、適當?shù)牟⑦M行了適當?shù)姆诸惾粘Ｓ涗?、處理和報告與IT職能部門活動相聯(lián)系的成本的系統(tǒng)是適當?shù)某杀颈O(jiān)控過程充分地比較實際的預算由受影響的用戶組的管理層、IT職能部門以及機構的高級管理層所進行的成本/效益分析被充分地評價用來監(jiān)控成本的工具是有效的并適當?shù)厥褂米C實沒有滿足業(yè)務目標的風險：執(zhí)行：依照類似的機構或者適當?shù)膰H標準/公認的行業(yè)最好實踐的預算和成本的基準最近的過去和當前的年度預算，及與之相對的結果、差異和所采取的校正行動的詳細評價確定：沒有按照機構的預算和長短期計劃、IT長短期計劃懂得IT預算沒有被捕捉到的IT職能部門的實際成本6溝通管理的目標和方向（PO6）控制的IT過程：溝通管理的目標和方向滿足的業(yè)務需求：確保用戶知曉并理解這些目標實現(xiàn)路線：建立政策并與用戶團體進行交流；此外，需要建立標準，以便將戰(zhàn)略性選擇轉化為實際及便于使用的用戶規(guī)則需要考慮的事項：清晰統(tǒng)一的使命連接業(yè)務目標的技術方針行為/道德規(guī)范的法規(guī)質量承諾安全和內部控制政策安全和內部控制實踐實例引導持續(xù)的溝通程序提供指導和遵從性檢查信息規(guī)范IT資源P效果*人員效率應用保密技術完整設施可用數(shù)據S遵從可靠6.1積極的信息控制環(huán)境為了給正確的行為提供指導，消除不道德行為的誘惑并嚴肅紀律，管理層應建立一個全機構范圍內培育積極控制環(huán)境的框架和認知程序。這些框架和程序應專注于員工的誠信、倫理價值和能力以及管理哲學、操作風格和義務。針對IT的各方面，包括安全和業(yè)務持續(xù)性計劃，要給予具體的考慮。6.2管理層在政策方面的責任對于覆蓋總體目標和方針的政策而言，管理層應對政策的闡明、開發(fā)、聲明、公布和控制承擔全部責任。政策適當性的評價應有規(guī)率地進行。撰寫的政策及其程序的復雜性應總是與機構的規(guī)模和管理風格相一致。6.3機構政策的溝通管理層應確保機構政策在機構內的所有層次上被清晰地溝通、理解并被接受。溝通過程應由一套使用靈活多變溝通手段的有效計劃所支持。6.4政策執(zhí)行資源為了政策的執(zhí)行，為了確保政策的遵循，管理層應對適當?shù)馁Y源做出計劃，以使它們構筑到并成為運作的一個完整組成部分。管理層還應監(jiān)控政策執(zhí)行的及時性。6.5政策的維護政策應被有規(guī)率地調整，以適應變化的條件。政策起碼應按年或者根據運行或業(yè)務環(huán)境的重大變化而進行重新評估，評估它們的充分性和適當性，并做必要的修改。對于定期的評價以及標準、政策、方針和程序的審批，管理層應提供一個框架和過程。6.6遵從政策、程序和標準管理層應確保合適的程序設置到位，以判定每個人是否理解了執(zhí)行的政策和程序，以及這些程序和政策是否被遵循。倫理道德、安全和內部控制標準的遵從程序應由最高管理層來建立，并由實例來促進其貫徹執(zhí)行。6.7質量義務管理層應定義、形成文件并維護與企業(yè)價值觀和政策相一致的質量價值觀、政策和目標，這些質量價值觀、政策和目標應被IT職能部門的所有層次所理解、執(zhí)行和維持。6.8安全和內部控制框架政策管理層應對開發(fā)并維護框架的政策付全部責任，這個框架設立機構的總體安全和內部控制的方法，以建立并改善IT資源的保護和IT系統(tǒng)的完整。政策應服從總體業(yè)務目標，目標是：通過預防性措施、及時辨識不規(guī)范行為、限制損失和及時恢復，使風險最小化。這種措施應以成本/收益分析為基礎，并應區(qū)分優(yōu)先順序。另外，管理層應確保這些高層次的安全和內部控制政策詳細說明了目的和目標、管理結構、機構內的適用范圍、在所有層次上執(zhí)行的責任的定義和分配以及對違背安全和內部控制政策行為的處罰的定義。應詳細說明框架定期再評估的標準，以對正在變化著的機構、環(huán)境和技術需求做出支持響應。6.9知識產權管理層應規(guī)定并執(zhí)行有關自行開發(fā)和簽約開發(fā)軟件的知識產權方面的書面政策。6.10特定問題政策措施應設置到位，確保細節(jié)問題政策的建立，以便在從事特殊的活動、應用、系統(tǒng)或技術時，歸檔管理決策。6.11IT安全意識的溝通應通過一個IT安全意識教程，將IT安全政策溝通給每一個IT用戶，并保證對IT安全重要性的完整理解。這個教程應傳達這樣一種信息，那就是IT安全將使它的機構、它的所有雇員受益，每個人對此都負有責任。IT安全意識教程應代表管理層的觀點并被他們所支持。對高級和詳細的控制目標進行審計：獲得了解：訪談：首席執(zhí)行官（CEO）首席運營官（COO）首席財務官（CFO）首席信息官（CIO）安全官IT高級管理層IT計劃/指導委員會成員獲得：與管理層的積極控制框架、認知程序、安全和內部控制框架、IT質量程序相關的政策和程序高級管理層的指導角色和責任機構的目標和長短期計劃IT的目標和長短期計劃狀況報告和計劃/指導委員會會議紀要溝通程序評估控制：考慮是否：機構的政策和程序創(chuàng)造了一個框架和程序，給予信息技術以特別的關注，培育一個積極的控制環(huán)境，并選擇如下的方面：完整倫理價值行為規(guī)范安全和內部控制人員的能力管理哲學和運作風格由董事會的董事或相同人物提供的問責制、注意和方向由例子說明頂級管理層促進積極的控制環(huán)境管理層已經接受了明確敘述、開發(fā)、歸檔、發(fā)布、控制并有規(guī)律地評價治理總目標和方向的政策的責任提供相關于管理層的積極的控制環(huán)境的正在進行的溝通和培訓的正式的認知程序存在確保適當?shù)暮妥銐虻馁Y源被分配，以便以及時的方式執(zhí)行機構的政策的機構政策和程序存在確保個人理解被執(zhí)行的政策和程序，政策和程序被追隨的適當?shù)某绦虻轿籌T政策和程序定義、歸檔并維持一個正式的治理系統(tǒng)和服務質量的哲學政策和目標，其產生要與機構的哲學、政策和目標相一致IT管理層確保質量哲學、政策和目標被理解、執(zhí)行并在IT職能部門的所有層次上執(zhí)行選擇了定期評價和重新批準的關鍵標準、方向、相關于信息技術的政策和程序需求的程序存在高級管理層已經接受了為總體的安全和內部控制方法開發(fā)一個框架的全部責任安全和內部控制框架歸檔了詳細的安全和內部控制政策、目的和目標、管理結構機構之內的范圍、責任的分配以及遵從安全與內部控制政策失敗相關的處罰和懲戒的定義正式的安全和內部控制政策確定機構的內部控制過程，包括諸如下述控制組件：控制環(huán)境風險評估控制活動信息和溝通監(jiān)控歸檔選擇特殊活動、應用、系統(tǒng)或技術的管理決策的發(fā)行的特定政策存在評定遵從性：測試：在培育積極的控制方面管理層的努力，包括諸如這些關鍵的方面：誠實、倫理價值、行為規(guī)范、安全和內部控制、人員的能力、管理哲學和操作風格、問責制、所提供的關注和方向雇員已經收到了行為規(guī)范并理解它選擇機構的內部控制環(huán)境的政策的管理層的溝通正在發(fā)生管理層明確敘述、開發(fā)、歸檔、發(fā)布和控制的包含內部控制環(huán)境的政策的資源承諾正在發(fā)生標準、方向、政策和程序的持續(xù)適當性及其適應變化條件能力的管理層的有規(guī)律地評價管理層的監(jiān)控努力正在確保適當?shù)暮妥銐虻馁Y源被分配以便以及時的方式執(zhí)行機構的政策管理層關于其內部控制環(huán)境的相關標準、方向、政策和程序的強制努力正確保貫穿機構的遵從性質量哲學、政策和目標正決定遵從性，并與機構的法人和IT職能哲學以及政策和程序相一致挑選的的IT管理、開發(fā)和運行人員正在決定質量哲學，相關的政策、程序和目標被理解，并被IT職能部門內所有層次所遵循質量測量過程正在確保機構目標的滿足挑選的的管理成員在他們的評價責任之下被包括并理解安全和內部控制活動的內容（也就是說，例外報告、調和、比較，等等）個人的角色、責任和權利在機構的所有層次上被清楚地溝通和理解挑選的的部門評估日常監(jiān)控安全和內部控制活動的程序（也就是說，例外報告、調和、比較，等等），為管理層提供反饋的過程正在發(fā)生挑選的的系統(tǒng)歸檔確定，按照機構的政策和程序，系統(tǒng)特定的管理決策已經被歸檔和批準挑選的的系統(tǒng)歸檔確定，選擇特定活動、應用系統(tǒng)或技術的管理決策已經由高級管理層簽署證實沒有滿足業(yè)務目標的風險：執(zhí)行：依照類似的機構或者適當?shù)膰H標準/公認的行業(yè)最好實踐的管理的信息控制框架和認知程序的基準與項目相關的、以成本/效益分析為基礎決定項目優(yōu)先順序和審批的、被批準的安全和內部控制實例的詳細評價確定：開始懷疑管理層在貫穿機構范圍內培育積極的內部控制環(huán)境承諾的虛弱的控制框架選擇機構的內部控制環(huán)境，有效地溝通其政策的管理失敗被分配用來明確敘述、開發(fā)、歸檔、發(fā)布和控制的包含內部控制環(huán)境的政策的資源的缺乏不是最近的標準、方向、政策和程序確保標準、方向、政策和程序貫穿機構之內遵守的不充分的管理遵從監(jiān)控IT職能部門在其質量或其有效定義、歸檔、維持并溝通質量哲學、政策和目標能力承諾方面的不足在機構的和/或IT職能部門的安全和內部控制框架方面的弱點缺少所需要的選擇特定活動、應用或技術的特定問題的政策7管理人力資源（PO7）控制的IT過程：管理人力資源滿足的業(yè)務需求：獲取和維持一個被激發(fā)和有能力的工作隊伍，最大化個人對IT過程的貢獻實現(xiàn)路線：在員工的招募、訓練、檢查、報酬、培訓、評價、職位升降和解雇中，體現(xiàn)健全、公正和透明的人事管理實踐需要考慮的事項：招募和升職培訓和任職要求意識的建立交叉培訓和輪崗雇用、檢查和解雇程序目標和可測量績效的評估技術和市場變化的響應內部和外部資源的適當平衡關鍵職位的繼任計劃信息規(guī)范IT資源P效果*人員P效率應用保密技術完整設施可用數(shù)據遵從可靠7.1人員招募和升職在人員的招募和升職實踐中，管理層應執(zhí)行并有規(guī)律地評估所要求的過程，以確保人員的招募和升職實踐依據以的標準為基礎，并考慮了教育背景、經驗和責任。這些過程應符合整個機構在這些方面的政策和程序，比如雇用、方向、培訓、評估、商討、晉升、報酬和訓練等程序。管理層應確保知識和技能需求被不斷地評估，并且要保證機構能夠獲得一個達到機構目標所需要的相匹配技能的工作隊伍。7.2人員的任職資格IT管理層應有規(guī)律地查驗執(zhí)行具體任務的職員，看看他們在適當?shù)慕逃?、培訓和（或）經歷的方面，是否具有所需要的資格。管理層應鼓勵它的職員獲得專業(yè)機構的認證資格。7.3角色和責任管理層應清晰地說明職員的角色和責任，包括遵守管理政策和程序、道德規(guī)范和職業(yè)慣例的規(guī)定的要求。雇傭的期限和條件應強調雇員對于信息安全和內部控制的責任。7.4人員培訓管理層應確保雇員得到雇用方向和在職的培訓，以維持他們的知識、技能、能力和安全意識到所需的有效完成工作的水平。引導有效地提高員工的技術和管理技能水平的教育和培訓程序應被有規(guī)律地檢查。7.5交叉培訓或人員后備管理層應提供充足的交叉培訓或確認的關鍵人員的備份，以防不測。管理層應對所有關鍵的職能和崗位建立持續(xù)性計劃，應要求敏感崗位的人員休息一段連續(xù)的足夠長度的假期，以鍛煉機構應付關鍵人員的效效、預防和探測欺詐行為的能力。7.6人員的調查程序IT管理層應確保他們的員工在被雇用、調離或升職之前，根據他們所在崗位的敏感性，進行安全調查程序。一個沒有接受過這樣安全調查的新雇員，不應安排在敏感的崗位，直到他接受了安全調查。7.7雇員工作績效的評估管理層應執(zhí)行一個雇員績效評估流程，借助有效的獎勵機制，加強員工對于個人的業(yè)績與機構的成功之間的關系的認識。評估應依據已經建立的標準和具體的工作職責有規(guī)律地執(zhí)行。無論何時，只要是適當?shù)?，雇員應得到業(yè)績方面的忠告或指導。7.8工作的變更和終止對于工作的變化和終止，管理層應采取適當和及時的行動，以便內部控制和安全不被這樣的事件削弱。對高級和詳細的控制目標進行審計：獲得了解：訪談：人力資源官和挑選的人員安全官挑選的安全人員IT經理IT人力資源官挑選的IT管理層挑選的IT人員挑選的與IT職能敏感位置相關的人員獲得：與人力資源管理相關的政策和程序職位描述、績效評估形式、培訓和發(fā)展形式選擇職位的人員文件和人員評估控制：考慮是否：使用標準招募和選擇人員，以填補公開的職位人員職位所需資格的說明書考慮適用的專業(yè)部門的相關需求管理層和雇員接受工作能力過程培訓程序要與機構的已歸檔的關于教育和包含安全問題的總體認識的最小需求相一致管理層應承擔個人培訓和職業(yè)發(fā)展的義務技術和管理技能的縫隙被確定，針對這些縫隙，采取適當?shù)男袆訉τ陉P鍵的工作職能，正在進行的交叉培訓以及人員的備份發(fā)生強制的不間斷的假期政策發(fā)生機構的安全檢查過程是適當?shù)囊砸惶讟藴实穆毼荒芰ξ募榛A，進行雇員的評估，評估以定期的方式舉行工作變化和終止過程確保機構資源的保護人力資源管理政策和程序與適用的法律和規(guī)章一致評定遵從性：測試：招募和/或晉升行動、選擇標準反映職位需求的目標和關聯(lián)對于他們的工作職責或者責任區(qū)域來講，人員具有運作的足夠的知識職位（工作）描述存在，被評價并被保持是最新的個人文件包含雇員的機構全部教育和總體認識程序的了解的承認書對于分配關鍵職能的適當?shù)娜藛T，正在進行的培訓和教育發(fā)生IT人員已經收到安全程序和技術方面的適當培訓IT管理層和職員知道并理解機構的政策和程序安全檢查調查的程序與治理隱私的適用法律相一致業(yè)務目標的知識按照人分配給關鍵的IT職能，包括內部控制哲學、信息系統(tǒng)安全和控制概念證實沒有滿足業(yè)務目標的風險：執(zhí)行：依照類似的機構或者適當?shù)膰H標準/公認的行業(yè)最好實踐的人力資源管理活動的基準IT人力資源管理活動的詳細評價確定：來自潛在/實際的工作候選人的缺陷/委屈的原因招募、調任、晉升和終止行動中與下述相比的差異：沒有跟隨政策和程序行動沒有由適當?shù)墓芾韺铀炇鹦袆記]有以工作說明書和人員資格為基礎人員：資格不適當培訓和發(fā)展的機遇與能力的縫隙聯(lián)系的不緊缺少工作績效的評估，或者不能支持所占據的職位和/或正被執(zhí)行的任務與雇傭相關聯(lián)的安全調查沒能跟進定期的安全調查沒能執(zhí)行不充分的培訓程序和職員發(fā)展活動不充分的交叉培訓和關鍵人員的備份沒有簽字的安全政策承認書分配給培訓和職員發(fā)展的不適當?shù)念A算和時間職員執(zhí)行關鍵的職能，沒有指明假期和渡假天的人員時間報告確保遵從外部要求（PO8）控制的IT過程：確保遵從外部要求滿足的業(yè)務需求：履行法律的、法規(guī)的、契約的義務實現(xiàn)路線：識別和分析影響IT的外部要求，并采取適當?shù)拇胧┳駨乃鼈冃枰紤]的事項：法律、規(guī)章和合同追蹤法律和法規(guī)的發(fā)展對遵從性有規(guī)律的監(jiān)測安全和人類環(huán)境改造學隱私知識產權信息規(guī)范IT資源P效果*人員效率*應用保密技術完整設施可用*數(shù)據P遵從S可靠8.1外部要求的評價機構應建立并維護外部要求檢查以及協(xié)調這些活動的程序，通過持續(xù)的調查確定機構可適用的外部要求。有關IT實踐和控制的法律、政府和其它外部部門的要求應當被檢查。管理層也應評估任何有關機構總體信息要求的外部關系的影響，包括IT策略需要遵從或支持任何相關的第三方需求范圍的決定。8.2遵守外部要求的實務和程序機構的實務應確保適當?shù)募m正行為及時地被采取，以保證符合外部的要求。另外，應建立并維護確保持續(xù)不斷遵從的適當程序。對此，如果需要，管理層應尋求法律意見。8.3防護和人類環(huán)境改造要求的遵從管理層應確保遵從IT用戶和員工工作環(huán)境的防護及人類環(huán)境改造的標準。8.4隱私、知識產權和數(shù)據流管理層應確保遵從隱私、知識產權、過境數(shù)據流和密文規(guī)則適用于機構的IT實踐。8.5電子商務在貿易雙方之間的通訊處理以及交易信息安全和數(shù)據存儲的標準方面，管理層應確保簽訂正式的合同，建立貿易伙伴間的協(xié)議。如果是因特網上的貿易，管理層應加強適當?shù)目刂?，確保遵守當?shù)胤珊蛧H上廣泛承認的慣例。實用標準文案實用標準文案?精彩文檔?精彩文檔實用標準文案?精彩文檔8.6遵守保險合同管理層應確保保險合同的要求被完全辨認并不斷地被滿足。對高級和詳細的控制目標進行審計：獲得了解：訪談：法律律師人力資源官IT職能部門的高級管理層獲得：有關政府和/或外部要求（也就是說，法律、立法、指南、規(guī)章和標準）相關于外部關系和外部要求評價、保護和健康（包括工作環(huán)境改造學）遵從問題、隱私問題、信息系統(tǒng)安全要求、密碼數(shù)據傳輸?shù)确矫妗獓鴥群蛧H國內或國際與電子商務使用相關的“會計標準/聲明”與電子商務使用有關的征稅規(guī)定關于以下的標準、政策和程序：外部要求評價保護和健康（包括工作環(huán)境改造學）隱私安全數(shù)據被輸入、處理、存儲、輸出和傳輸?shù)拿舾械燃夒娮由虅毡ｋU如果適用的話，與所有電子貿易伙伴以及電子數(shù)據互換（EDI）賣主簽定的所有合同的拷貝件與保險合同相關的所有IT職能的拷貝件法律律師有關保險合同“uberrimaefodei”（以極度好的信念）需求的建議（Uberrimaefodei要求當事人各方彼此之間最大限度地披露所有風險的事實材料。假如這種感覺的良好信念沒有展示出來，那么合同對于受傷害方無效的，不愉快一方不能執(zhí)行合同。）來自外部審計師、第三方服務提供者和政府中介的審計報告評估控制：考慮是否：下列政策和程序到位：確保與外部需求評價相關的適當?shù)男Ｕ袆右约皶r的方式被采取，并且程序到位以確保持續(xù)的遵從協(xié)調外部需求評價，確保校正行動以及時的方式采取，保證遵從外部需求選擇適當?shù)木S護、保護和健康的目標確保適當?shù)谋Ｗo和健康培訓和教育提供給所有的雇員監(jiān)控適用的保護和健康法律和規(guī)章的遵從性提供隱私方面足夠數(shù)量的方向/重點，以便所有的法律要求都落在其范圍之內通知保險公司IT環(huán)境變化的所有材料確保遵從保險合同的要求當新的/修改的保險合同加入時，確保更新材料安全程序與所有的法律要求一致，并被充分地選擇，包括：口令保護和限制訪問軟件授權過程終端安全措施數(shù)據加密措施防火墻控制病毒保護違背報告的及時跟進評定遵從性：測試：外部要求評價是：當前、全部和全面的關于法律、政府和規(guī)章問題導致迅速的校正行動實用標準文案實用標準文案精彩文檔精彩文檔實用標準文案精彩文檔保護和健康評價在IT職能部門之內采取，確保遵從外部要求不能遵從保護和健康標準的問題區(qū)域被校正IT遵從已歸檔的隱私和安全政策和程序跨越國界傳輸?shù)臄?shù)據不能侵犯輸出國的法律現(xiàn)有的帶有電子商務貿易合作伙伴的合同充分地選擇機構政策和程序中詳細說明的要求現(xiàn)有的保險合同充分地選擇機構政策和程序中詳細說明的要求在那里受規(guī)章制度限制的強制的所使用的加密類型（例如密鑰的長度），正在使用的加密遵守規(guī)章在那里規(guī)章或內部程序要求某項數(shù)據項被高度地保護和/或加密（例如，銀行的PIN號、稅款文件號、口令、軍事情報），這樣的保護/加密正在提供給這樣的數(shù)據由機構所布置的實際EDI的過程，確保遵從機構的政策和程序，遵從個人的電子商務貿易伙伴合同（如果適用的話，還包括EDI賣主合同）證實沒有滿足業(yè)務目標的風險：執(zhí)行：依照類似的機構或者適當?shù)膰H標準/公認的行業(yè)最好實踐的外部需求遵從性、EDI活動和保險合同要求的基準確保校正行動已經被采取或者正在被執(zhí)行的外部要求評價文件的詳細評價安全報告的詳細評價，以便評估是否敏感/隱私信息（是否同樣地由要么內部程序，要么外部規(guī)章定義）正在被給予適當?shù)陌踩兔孛鼙Ｗo確定：不能由機構遵循的外部要求在響應外部要求評價方面，重大的未解決/未更正的行動在工作環(huán)境中不能被選擇的保護和健康（包括工作環(huán)境改造學）的風險與數(shù)據流和/或位于國境外的數(shù)據流相關的秘密和安全弱點電子商務的故障與貿易伙伴相關于通信過程、交易信息、安全和/或數(shù)據存儲的合同中的弱點在貿易伙伴信任關系方面的弱點保險覆蓋的弱點/失誤不遵從保險合同條款9評估風險（PO9）控制的IT過程：評估風險滿足的業(yè)務需求：通過降低復雜性、提高目的性以及確定重要的決定因素，實現(xiàn)IT目標并應對威脅，進而支持管理決策實現(xiàn)路線：機構自身積極致力于風險識別和影響分析，包括多學科功能和費用效率測試，來減輕風險需要考慮的事項：風險管理主體和義務不同種類的IT風險（技術、安全、持續(xù)性、法規(guī)等）定義并溝通風險的容忍程度根本原因分析和風險頭腦風暴會議定量和（或）定性的風險測量風險評估方法風險行動計劃及時的再評估信息規(guī)范IT資源P效果*人員S效率*應用P保密*技術P完整*設施P可用*數(shù)據S遵從S可靠9.1業(yè)務風險評估管理層應建立一個系統(tǒng)的風險評估框架。這樣的一個框架應將相關信息風險有規(guī)律的評估與實現(xiàn)業(yè)務目標緊密結合，以此為基礎，決定風險應怎樣才能被管理到一個可接受的水平。對于新的項目，也包括修復性的項目，風險評估的過程應在全局和系統(tǒng)細節(jié)兩個層次上進行，并保證交叉學科人員的參與。管理層應確保風險再評估的執(zhí)行，并且風險評估的參考信息應根據審計、檢查和確定事件的結果進行更新。9.2風險評估的途徑管理層應建立一個通用的風險評估途徑，定義它的范圍和邊界、所采用的風險評估的方法、責任和需要的技能。管理層應領導風險減緩解決方案的確定，并要涉及系統(tǒng)弱點的辨認。安全專家應領導對威脅的辯認，IT專家應負責控制的選擇，結構化的方法和熟練的風險評估師是風險評估的質量保證。9.3風險確認風險評估途徑應著重于風險的基本要素和他們之間因果關系的檢查上，風險的基本要素包括有形的和無形的資產、資產價值、威脅、弱點、保護裝置、威脅的結果和可能性。風險辨識的過程應包括定性的，在適用的地方也要采用定量的風險排序方法，并應以管理層頭腦風暴、戰(zhàn)略計劃、過去的審計和其它的評估作為輸入。風險評估應考慮業(yè)務、規(guī)章、法律、技術、貿易伙伴和人力資源風險。9.4風險測量風險評估途徑應確保風險辨識信息的分析是由被檢查區(qū)域暴露出風險的定量和（或）定性的測量造成的，機構的風險承受能力也應被評估。9.5風險行動計劃風險評估途徑應規(guī)定一個風險行動計劃，以確保成本/效益控制和安全措施在持續(xù)的基礎上減輕風險的暴露。風險行動計劃應按照風險的避免、減輕或承受能力等方面，確定風險策略。9.6風險接受根據風險辨認和測量結果、機構的政策、風險評估途徑的本身的不確定性和實施安全控制的成本效益，風險評估途徑應確保剩余風險的正式的可接受能力。剩余的風險應由適當?shù)谋ｋU項目、簽約協(xié)商的責任和自我保險抵消。9.7安全裝置的選擇當尋求一個合理、適當和相稱的安全和控制系統(tǒng)時，具有最高的投資回報率（ROI）和能快速生效的控制應被優(yōu)先考慮。控制系統(tǒng)還應平衡預防、探測、改正和恢復措施。而且，管理層還需要溝通控制設施的目的、管理沖突的設施和監(jiān)視所有控制設施的持續(xù)有效性。9.8風險評估義務在內部控制的設計和實施IT戰(zhàn)略計劃的制定以及在監(jiān)督和評估機制中，管理層應鼓勵風險評估作為一個提供信息的重要工具。對高級和詳細的控制目標進行審計：獲得了解：訪談：IT職能部門的高級管理層挑選的IT人員挑選的風險管理人員IT服務的關鍵用戶獲得：相關于風險評估的政策和程序業(yè)務風險評估文檔操作風險評估文檔IT風險評估文檔詳細資料，以此為基礎可以測量風險和風險的暴露挑選出來的風險評估人員的個人檔案覆蓋殘留風險的保險政策專家意見的結果同等團體評價來自風險管理數(shù)據庫的洞察力評估控制：考慮是否：系統(tǒng)的風險評估框架到位，將相關的信息風險合并到機構目標的實現(xiàn)上，并形成決定怎樣將風險管理到一個可接受水平的基礎風險評估的方法提供規(guī)定有規(guī)律地更新的風險評估，全球的和系統(tǒng)特定水平兩者決定所確認的風險包括外部和內部因素，并考慮了審計、檢查和確定事件結果的風險評估程序到位全機構范圍內的目標被包含在風險確認的過程中在系統(tǒng)處理活動中監(jiān)控變化的程序決定以及時的方式調整系統(tǒng)的風險和暴露存在風險評估正在進行的監(jiān)控和改善以及減輕控制的創(chuàng)造過程的程序風險評估文檔包括：風險評估方法的描述重大披露和相應風險的確認被選擇的風險及相應的披露可能性、頻率和威脅分析技術包括在風險的確認中風險評估人員的資格是足夠的識別和測量風險、威脅和披露的正式的定量和/或定性（或兩者結合）的方法存在計算和其它方法被用在風險、威脅和披露的測量中風險行動計劃被用在執(zhí)行減輕風險、威脅和披露的適當?shù)臏y量上殘余風險的接受，考慮：機構的政策風險識別和測量合并在風險評估方法本身的不確定性實施保護和控制的成本和效益含蓋抵消殘余風險的保險選擇最大化返回投資的控制測量的正式的定量和/或定性的方法存在檢測、預防、糾正及所使用恢復措施之間的平衡的存在溝通控制測量器目的的正式程序存在評定遵從性：測試：風險評估框架按照風險評估被有規(guī)律地更新以減少風險到一個可接受的水平風險評估文檔遵守風險評估框架，并且文檔要適當?shù)販蕚浜途S持IT管理層和人員要明白并參與到風險評估的過程中管理層理解與風險相關的因素和威脅的可能性有關人員理解并正式接受殘余風險發(fā)送給高級管理層的評價、所確認風險的同意以及用在減少風險活動監(jiān)控上的報告是及時的用于分析風險的方法導致風險暴露的定量或者定性（或兩者結合）測量由管理層所確認的風險、威脅和暴露以及與風險相關的屬性被用來偵查特定威脅的每一個事件風險行動計劃是最新的，并包含成本/效益的控制以及減輕風險暴露的安全措施從最高到最低的優(yōu)先權存在，對每一個風險來講，適當?shù)捻憫嬖冢河媱澋念A防性減輕控制第二級的偵查控制第三位的糾正控制風險及相對的控制的情節(jié)被歸檔、流通并與適當?shù)娜藛T溝通有關可接受的殘余風險，足夠的保險覆蓋存在，并依照不同的威脅情節(jié)加以考慮，包括：火災、洪水、地震、龍卷風、恐怖活動、其它不可預防的自然災害雇員信用責任的破裂業(yè)務中斷——收入的喪失，客戶的喪失，等等通常沒有被上述IT和業(yè)務風險/持續(xù)性計劃所含蓋的其它風險證實沒有滿足業(yè)務目標的風險：執(zhí)行：依照類似的機構或者適當?shù)膰H標準/公認的行業(yè)最好實踐的風險評估框架的基準用于識別、測量和減輕風險到殘余風險可接受水平的風險評估方法的詳細評價確定：沒有被識別的風險沒有被測量的風險沒有被選擇/管理到可接受水平的風險過時的風險評估和/或風險評估中過時的信息有缺陷的風險、威脅和暴露的定量和/或定性測量不能提供成本/效益控制和安全測量的風險行動計劃殘余風險的正式接受的缺乏不適當?shù)谋ｋU覆蓋10管理項目（PO10）控制的IT過程：管理項目滿足的業(yè)務需求：確定優(yōu)先順序，按時交付并控制在預算內實現(xiàn)路線：按照運行計劃，對項目的確定和優(yōu)先順序進行機構；并對所承擔每個項目，采納和應用健全的項目管理技術需要考慮的事項：項目的業(yè)務管理層發(fā)起人地位程序管理項目管理能力用戶參與任務細分、里程碑確定和階段審準責認的分配里程碑和可交付的嚴格追蹤費用和人力預算，平衡內部和外部資源質量保證計劃和方法程序和項目風險評估從開發(fā)到運行的過渡信息規(guī)范IT資源P效果*人員P效率*應用保密*技術完整*設施可用數(shù)據遵從可靠10.1項目管理構架管理層應建立一個總體的項目管理框架，定義管理項目的范圍和邊界，以及所承擔項目中采納和應用的項目管理方法。方法應至少涵蓋責任的分配、任務的劃分、時間和資源的預算、里程碑、檢查點和審準。10.2項目初始階段用戶部門的參與在開發(fā)、實施或修改項目的定義和授權方面，機構的項目管理框架應規(guī)定受影響的用戶部門管理層的參與。10.3項目組成員資格和責任機構的項目管理框架應明確項目人員設置的原則，并且確定項目組成員的責任和權力。10.4項目定義機構的項目管理框架應規(guī)定，在項目的工作開始之前，必須形成清晰的書面文件，定義每一個實施項目的特點和范圍。10.5項目審批機構的項目管理框架應確保，對于每一個被提議的項目，機構的高級管理層審議了相關的可行性研究報告，以此作為是否進行這個項目的決策依據。10.6項目階段審批機構的項目管理框架應對指派的用戶和IT職能部門經理做出規(guī)定，以便他們在下一階段工作開始之前，審批項目周期的每一階段的工作完成情況。10.7項目主計劃管理層應確保，對于每一個批準的項目建立一個項目的主計劃，它對于維護在整個生命周期中對項目的控制是適當?shù)模€包括一套監(jiān)測項目生命周期中時間和費用的方法。項目計劃的內容應包括對于范圍、目標、所需資源和責任的描述，并應提供允許管理層測量進度的信息。10.8系統(tǒng)質量保證計劃管理層應確保新的或修改過的系統(tǒng)的實施包括質量計劃的準備，它是項目主計劃的一部分，并且被所有有關當事人審閱和同意。10.9保證方法的計劃編制在項目管理框架的計劃階段期間，保證任務應被確定。保證任務應支持新的或修改的系統(tǒng)的合格鑒定，并確保內部控制和安全符合相關的要求。10.10正式的項目風險管理管理層應執(zhí)行一個正式的風險管理程序，排除或最小化每個單個項目相關的風險（就是對于那些潛在的引起有害變化的區(qū)域或者事件，進行辨識和控制）。10.11測試計劃機構的項目管理框架應要求為每一個開發(fā)、執(zhí)行和修改的項目，建立一個測試計劃。10.12培訓計劃對于每一個開發(fā)、執(zhí)行和修改項目，機構的項目管理框架應要求制定一個培訓計劃。10.13實施后評價計劃作為項目組活動的一部分，機構的項目管理框架應規(guī)定每一個新的或修改的信息系統(tǒng)的實施后檢查計劃的開發(fā)，以確認項目是否產生預期的收益。對高級和詳細的控制目標進行審計：獲得了解：訪談：質量經理項目質量經理/協(xié)調者項目所有者/發(fā)起人項目組組長質量保證協(xié)調者安全官IT計劃/指導委員會成員IT管理層獲得：相關與項目管理框架的政策和程序相關于項目管理方法的政策和程序相關于質量保證計劃的政策和程序相關于質量保證方法的政策和程序軟件項目主計劃（SPMP）軟件質量保證計劃（SQAP）項目狀態(tài)報告狀態(tài)報告和計劃/指導委員會會議紀要項目質量報告評估控制：考慮是否：項目管理框架：定義管理項目的范圍和邊界規(guī)定評價與已批準運作計劃一致性的項目請求，按照這一請求，將項目排出優(yōu)先順序定義被采用并被應用到每一個所承擔項目的項目管理方法，包括：項目計劃編制人員安置責任和權利的分配任務的分解時間和資源的預算里程碑檢查點批準是完整的和當前的在開發(fā)、實施或者修改項目的定義和授權方面，規(guī)定由受影響的用戶部門（所有者/發(fā)起者）參與管理規(guī)定一個基礎，以此將職員人員分配到項目中定義項目組成員的責任和權利在項目設計開始之前，規(guī)定一個清晰的書面定義項目種類和范圍的聲明的創(chuàng)造規(guī)定一個初始的項目定義文檔，其包括項目清晰的種類和范圍聲明包括承擔項目的下列原因：被補救的問題或者被改進的過程的陳述按照提高實現(xiàn)機構目的的能力表達的項目需求的陳述在相關現(xiàn)有的系統(tǒng)中的不足的分析能夠增長經濟或者操作效率的機遇項目滿意的內部控制和安全的要求選擇方法，以此，被提議的項目的可行性研究被準備、評價并由高級管理層所批準，包括：項目的環(huán)境——硬件、軟件、電信項目的范圍——首先和接下來的實施中所包括的和排除在外的項目的限制——項目期間，我們必須要保留的，即使短期的改進機遇似乎出現(xiàn)有項目的發(fā)起者或所有者/發(fā)起者實現(xiàn)的收益和成本描繪方式，以此，先于項目下一階段的進行（也就是說，編程、系統(tǒng)測試、交易測試并行測試，等等），開發(fā)過程（也就是說，可行性研究準備、需求的定義、系統(tǒng)的設計，等等）的每一個階段都被批準需要每一個項目具有SPMP的開發(fā)，并指定方式，以此維持貫穿項目生命、項目時間幀（里程碑）和預算的控制遵守機構的SPMP標準，假如不存在，要使用適當?shù)臉藴蕦τ诿恳粋€項目，需要SQAP的開發(fā)，并要確保其與SPMP的集成，由所有的涉及方正式地評價和同意描繪方式，以此，正式的項目風險管理程序消除或者最小化相關于項目的風險為每一個開發(fā)、實施和修改項目，提供測試計劃的開發(fā)為每一個開發(fā)、實施和修改項目，提供足夠的培訓所有者/發(fā)起者人員和IT人員的計劃開發(fā)貫穿每一個主要項目階段（也就是說，軟件購買、硬件購買、編程合同、網絡升級，等等），預算及與之相對應的實際項目的里程碑和成本被監(jiān)控并報告給高級管理層項目的里程碑和成本超過預算的時間段和數(shù)量的部分由適當?shù)臋C構管理層批準SQAP遵守機構的SQAP標準，假如不存在，標準選擇上述的SQAP保證任務支持新的或修改的系統(tǒng)的鑒定資格，并確保內部控制和安全特征滿足需求所有項目所有者/發(fā)起者都要輸入到SPMP和SQAP兩者之中，并且所有的都要同意最終的釋放物實施以后的過程是確保新的或者修改的信息系統(tǒng)釋放計劃好的收益的項目管理框架的完整的一部分評定遵從性：測試：項目管理方法和所有的需求被一致地追隨項目管理方法與所有涉及項目的適當人員所溝通項目的種類和范圍的書面定義符合標準模板所有者/發(fā)起者包含在項目定義、授權及與所期望的包含的所有者/發(fā)起者相一致的種類和范圍由項目管理框架所規(guī)定分配人員給項目、項目組成員的責任和權利的定義被遵循清晰的、項目種類和范圍的書面定義的證據存在，該證據在項目設計開始之前定義相關的可行性研究已經準備并獲批準對于開發(fā)項目的每一個階段，適當?shù)乃姓?發(fā)起者和IT管理層的批準被獲得作為SPMP所要求的那樣，項目的每一個階段正在被完成并適當?shù)睾炇餝PMP和SQAP按照項目管理框架開發(fā)和審批SPMP和SQAP被詳細說明并足夠有效被確定的強制活動/報告事實上已經被執(zhí)行/產生（也就是說，“執(zhí)行指導委員會會議”、項目會議、或者類似在這些會議間隙舉行的會議，會議的紀要被獲得并分發(fā)給有關的當事人，報告被準備并分發(fā)給有關的當事人）按照項目管理框架，測試計劃已經被開發(fā)并批準，并且是詳細的和足夠特效的在測試計劃中所確定的強制活動/報告事實上已經被執(zhí)行/產生用于項目的資格鑒定標準存在，并且：得自于目的和績效指標得自于協(xié)商一致的定量需求確保內部控制和安全需求被滿足與本質的“什么”及與之對應的武斷的“怎樣”相聯(lián)系定義一個正式的通過/失敗過程具有在有限的時間周期內目標示范的能力不能簡單地重述設計文檔的需求項目風險管理程序被用來識別和消除，或者起碼最小化與項目相聯(lián)系的風險測試計劃被遵循，書面的測試評價由所有者/發(fā)起人所創(chuàng)造，編程和質量保證職能部門、簽署過程遵照預定的培訓被影響的所有者/發(fā)起者和IT職能部門人員的書面計劃被準備，允許充足的時間完成所要求的培訓活動，該計劃用于項目執(zhí)行后的評價計劃被遵從和為該項目所設計證實沒有滿足業(yè)務目標的風險：執(zhí)行：依照類似的機構或者適當?shù)膰H標準/公認的行業(yè)最好實踐的項目管理框架的基準下列詳細的評價：決定所有者/發(fā)起者參與程度以及定義、授權和執(zhí)行項目的總體過程適當性的項目主計劃，包括：系統(tǒng)功能的定義可行性，項目給定的約束系統(tǒng)成本和收益的確定系統(tǒng)控制的適當性在其它所有者/發(fā)起者系統(tǒng)方面的影響和集成所有者/發(fā)起者資源（人員和資金）的承諾項目參與者的責任和權利的定義可接受的標準既是合意的又是可實現(xiàn)的在批準各種項目的階段，里程碑和檢查點的使用項目管理過程中，Gantt圖、問題日志、會議摘要等等的使用決定機構的系統(tǒng)質量保證計劃編制過程是否存在系統(tǒng)問題的質量報告決定是否風險已經被識別和消除或者起碼是最小化的正式的項目風險管理程序決定十分徹底地測試了整個系統(tǒng)開發(fā)、執(zhí)行或修改項目的測試計劃的執(zhí)行決定系統(tǒng)的使用中充分地準備了所有者/發(fā)起者和IT人員的培訓計劃的執(zhí)行決定是否已經計劃的及與之對應的已經交付的項目的收益被探知的執(zhí)行后評價確定：項目：拙劣管理超過里程碑時間超越成本失控的項目沒有授權沒有技術可行性沒有成本合理性沒有實現(xiàn)計劃的收益沒有包含檢查點在檢查點沒有被批準實施沒有被鑒定合格沒有滿足內部控制和安全要求沒能消除或減輕風險沒有經過徹底測試沒有發(fā)生，或者對正實施的系統(tǒng)的不充分的所需的培訓實施后評價沒有發(fā)生11管理質量（PO11）控制的IT過程：管理質量滿足的業(yè)務需求：滿足IT用戶的需求實現(xiàn)路線：具有質量管理標準以及規(guī)定清楚開發(fā)階段、清晰交付條件和明晰責任的系統(tǒng)的計劃編制、執(zhí)行和維護需要考慮的事項：質量文化的建立質量計劃質量保證責任質量控制實務系統(tǒng)開發(fā)生命周期方法程序和系統(tǒng)的測試及文檔質量保證檢查和報告最終用戶和質量保證人員的培訓及參與質量保證知識庫的開發(fā)按行業(yè)規(guī)范制定標準信息規(guī)范IT資源P效果*人員P效率*應用保密*技術P完整*設施可用數(shù)據遵從S可靠11.1總體質量計劃管理層應基于機構和IT的長期計劃，制定和有規(guī)律地維護總的質量計劃