COBIT信息技术审计指南(DOC 142页)
COBIT信息技术审计指南(DOC 142页)内容简介
1 定义和管理服务水平(DS1)
1 定义战略性的信息技术规划(PO1)PO域
1 监控处理过程(M1)
1 确定自动化的解决方案(AI1)
1.1 作为机构长期和短期计划一部分的IT
1.1 信息需求的定义
1.1 服务水平协议框架
1.1 采集监控数据
1.10 审计痕迹设计
1.11 人类环境改造
1.12 系统软件的选择
1.13 采购的控制
1.14 软件产品获取
1.15 第三方软件的维护
1.16 应用程序开发的签约
1.17 设施的验收
1.18 技术的验收
1.18 质量的尺度
1.2 IT 长期计划
1.2 服务水平协议的样式
1.2 行动的可选择路线的表述
1.2 评估绩效
1.3 IT 长期计划编制——方法与结构
1.3 执行程序
1.3 获取战略的表述
1.3 评估客户的满意度
1.4 IT 长期计划的变更
1.4 监控与报告
1.4 第三方服务需求
1.4 管理报告
1.5 IT 功能的短期计划编制
1.5 技术可行性研究
1.5 服务水平协议和合同的评价
1.6 IT 计划的交流
1.6 收费条款
1.6 经济可行性研究
1.7 IT 计划的监控和评估
1.7 信息体系结构
1.7 服务改进程序
1.8 现有系统的评估
1.8 风险分析报告
1.9 成本/效益良好的安全控制
10 管理问题和事件(DS10)
10 管理项目(PO10)
10.1 问题管理系统
10.1 项目管理构架
10.10 正式的项目风险管理
10.11 测试计划
10.12 培训计划
10.13 实施后评价计划
10.2 问题升级
10.2 项目初始阶段用户部门的参与
10.3 问题跟踪和审计痕迹
10.3 项目组成员资格和责任
10.4 应急和临时访问的授权
10.4 项目定义
10.5 紧急事件处理的优先顺序
10.5 项目审批
10.6 项目阶段审批
10.7 项目主计划
10.8 系统质量保证计划
10.9 保证方法的计划编制
11 管理数据(DS11)
11 管理质量(PO11)
11.1 总体质量计划
11.1 数据准备程序
11.10 数据处理的确认和编辑
11.10 第三方实施者的关系
11.11 数据处理的差错处理
11.11 软件程序文档标准
11.12 软件程序测试标准
11.12 输出的处理和保留
11.13 系统测试标准
11.13 输出的分发
11.14 平行/飞行测试
11.14 输出平衡和勾对
11.15 系统测试文档
11.15 输出的评价和差错处理
11.16 以开发标准为依据的质量保证评估
11.16 输出报告的安全规定
11.17 IT 目标实现的质量保证评价
11.17 传输和传递期间对敏感信息的保护
11.18 废弃的敏感信息的保护
11.19 存储管理
11.19 质量保证评价报告
11.2 源数据资料的授权程序
11.2 质量保证途径
11.20 保留周期和存储期限
11.21 介质库管理系统
11.22 介质库管理责任
11.23 备份和恢复
11.24 备份工作
11.25 备份存储
11.26 归档
11.27 敏感信息的保护
11.28 鉴别和完整性
11.29 电子交易的完整性
11.3 源数据资料的收集
11.3 质量保证计划编制
11.30 存储数据的持续完整性
11.4 以IT 标准和程序为依据的质量保证评价
11.4 源数据资料的错误处理
11.5 源数据资料的保留
11.5 系统开发生命周期方法
11.6 数据输入的授权程序
11.6 现存技术发生重大变化的系统开发生命周期方法
11.7 准确性、完整性和授权检查
11.7 系统开发生命周期方法的更新
11.8 协调和沟通
11.8 数据输入错误的处理
11.9 技术基础设施的获取和维护框架
11.9 数据处理的完整性
12 管理设施(DS12)
12.1 物理安全
12.2 IT 场地低调的外观
12.3 来访者的陪同
12.4 人员健康和安全
12.5 抵御环境因素的破坏
12.6 不间断电源
13 管理操作(DS13)
13.1 处理操作程序和指导手册
13.2 启动过程和其它操作文档
13.3 工作的时间安排
13.4 标准工作时间安排的违背
13.5 处理的连续性
13.6 操作日志
13.7 保护特殊的表格和输出设备
13.8 远程操作
2 定义信息体系结构(PO2)
2 管理第三方服务(DS2)
2 获取和维护应用软件(AI2)
2 评估内部控制的适当性(M2)
2.1 供应商接口
2.1 信息体系结构模型
2.1 内部控制监控
2.1 设计方法
2.10 处理需求的定义和建档
2.11 输出需求定义和建档
2.12 可控制性
2.13 关键设计因素的可用性
2.14 应用程序软件中的IT 完整性的装置
2.15 应用软件的测试
2.16 用户参考手册和支持资料
2.17 系统设计的重新评估
2.2 企业数据字典和数据语法规则
2.2 内部控制的及时操作
2.2 所有者关系
2.2 现有系统的重大变更
2.3 内部控制水平报告
2.3 数据分类方案
2.3 第三方合同
2.3 设计的审批
2.4 安全等级
2.4 操作安全以及内部控制保证
2.4 文件需求的定义和建档
2.4 第三方的资格认证
2.5 外包合同
2.5 软件程序规格说明书
2.6 服务的连续性
2.6 源数据采集的设计
2.7 安全关系
2.7 输入需求定义和建档
2.8 接口的定义
2.8 监控
2.9 人机接口
3 决定技术方向(PO3)
3 管理性能和容量(DS3)
3 获取和维护技术基础设施(AI3)
3 获得独立的保证(M3)
3.1 IT 服务的独立安全及内部控制的证明/鉴定
3.1 可用性和性能需求
3.1 技术基础设施计划编制
3.1 新硬件和软件的评估
3.2 可用性计划
3.2 对第三方服务提供者的独立安全及内部控制的证明/鉴定
3.2 监测未来的趋势和法规
3.2 硬件的预防性维护
3.3 IT 服务的独立有效性评估
3.3 技术基础设施的不确定事件
3.3 监控和报告
3.3 系统软件安全
3.4 对第三方服务提供者的独立有效性评估
3.4 模型化工具
3.4 硬件和软件获取计划
3.4 系统软件的安装
3.5 前移的性能管理
3.5 技术标准
3.5 系统软件的维护
3.5 遵从法律和法规要求以及合同承诺的独立保证
3.6 工作负荷的预测
3.6 第三方服务提供者遵从法律和法规要求以及合同承诺的独立保证
3.6 系统软件变更控制
3.7 独立保证职能的能力
3.7 系统实用程序的使用和监控
3.7 资源的容量管理
3.8 前移的审计介入
3.8 资源的可用性
3.9 资源的时间安排
4 定义信息技术的机构及关系(PO4)
4 开发和维护程序(AI4)
4 提供独立的审计(M4)
4 确保持续的服务(DS4)
4.1 IT 持续性框架
4.1 IT 计划或指导委员会
4.1 审计章程
4.1 操作需求和服务水平
4.10 关键的IT 资源
4.10 职责分离
4.11 IT 人员配备
4.11 备份场所和硬件
4.12 IT 员工工作和职位的描述
4.12 远程备份存储
4.13 关键的IT 人员
4.13 总结程序
4.14 与员工签约的政策和程序
4.15 关系
4.2 IT 持续性计划的策略与哲理
4.2 IT 职能的机构设置
4.2 独立性
4.2 用户程序手册
4.3 IT 持续性计划的内容
4.3 操作手册
4.3 机构绩效的评价
4.3 职业道德规范与标准
4.4 培训资料
4.4 最小化IT 持续性需求
4.4 能力
4.4 角色和责任
4.5 维护IT 持续性计划
4.5 计划编制
4.5 质量保证的责任
4.6 审计工作的执行
4.6 测试IT 持续性计划
4.6 逻辑和物理安全的责任
4.7 IT 持续性计划的培训
4.7 所有者和管理者
4.7 报告
4.8 IT 持续性计划的分发
4.8 后续行动
4.8 数据和系统的所有者
4.9 用户部门的可选择处理备份程序
4.9 监督
5 确保系统安全(DS5)
5 管理信息技术投资(PO5)
5 系统的安装和鉴定(AI5)
5.1 培训
5.1 年度IT 运营预算
5.1 管理安全措施
5.10 侵犯和安全活动报告
5.10 安全测试和鉴定
5.11 事件处理
5.11 操作测试
5.12 投入生产
5.12 重新鉴定
5.13 交易对手信任
5.13 满足用户需求的评估
5.14 交易授权
5.14 管理的实施后评价
5.15 不可否认
5.16 可信任的路径
5.17 安全功能的保护
5.18 密钥管理
5.19 恶意软件的预防、检测和纠正
5.2 应用软件的性能度量
5.2 成本和收益的监控
5.2 确认、授权和访问
5.20 防火墙体系以及与公共网络的连接
5.21 电子化价值的保护
5.3 实施计划
5.3 成本和收益的合理性
5.3 联机访问数据的安全
5.4 用户帐户的管理
5.4 系统转换
5.5 数据转换
5.5 用户帐户的管理评价
5.6 测试策略和计划
5.6 用户帐户的用户控制
5.7 变更的测试
5.7 安全监督
5.8 平行/穿行测试标准和实施
5.8 数据分类
5.9 中心确认和访问权限管理
5.9 最终验收测试
6 沟通管理的目标和方向(PO6)
6 确认和分配成本(DS6)
6 管理变更(AI6)
6.1 变更请求的初始和控制
6.1 收费项目
6.1 积极的信息控制环境
6.10 特定问题政策
6.11 IT 安全意识的沟通
6.2 影响的评估
6.2 成本核算程序
6.2 管理层在政策方面的责任
6.3 变更的控制
6.3 机构政策的沟通
6.3 用户付费和费用返还程序
6.4 政策执行资源
6.4 紧急变更
6.5 政策的维护
6.5 文档和程序
6.6 授权的维护
6.6 遵从政策、程序和标准
6.7 质量义务
6.7 软件发布政策
6.8 安全和内部控制框架政策
6.8 软件的分发
6.9 知识产权
7 教育与培训用户(DS7)
7 管理人力资源(PO7)
7.1 人员招募和升职
7.1 培训需求的确定
7.2 人员的任职资格
7.2 培训机构
7.3 安全准则和意识的培训
7.3 角色和责任
7.4 人员培训
7.5 交叉培训或人员后备
7.6 人员的调查程序
7.7 雇员工作绩效的评估
7.8 工作的变更和终止
8 帮助及向客户提建议(DS8)
8 确保遵从外部要求(PO8)
8.1 外部要求的评价
8.1 帮助桌面
8.2 客户质询的登记
8.2 遵守外部要求的实务和程序
8.3 客户质询的逐步升级
8.3 防护和人类环境改造要求的遵从
8.4 清理的监控
8.4 隐私、知识产权和数据流
8.5 电子商务
8.5 趋势分析和报告
8.6 遵守保险合同
9 管理配置(DS9)
9 评估风险(PO9)
9.1 业务风险评估
9.1 配置的记录
9.2 配置的底线
9.2 风险评估的途径
9.3 状态说明
9.3 风险确认
9.4 配置控制
9.4 风险测量
9.5 未授权的软件
9.5 风险行动计划
9.6 软件存储
9.6 风险接受
9.7 安全装置的选择
9.7 配置管理程序
9.8 软件可说明性
9.8 风险评估义务
COBIT信息技术审计指南(34个控制目标)
IT“帮助工作台”支持人员
IT“帮助工作台”支持经理
IT与业务的结合
IT人力资源/培训
IT人力资源/培训管理层
IT人力资源官
IT人力资源或培训经理
IT人力资源管理活动的详细评价
IT人员安置的维持能力
IT人员已经收到安全程序和技术方面的适当培训
IT关键位置(工作)的描述
IT内部控制数据的内部报告是足够的
IT内部控制的管理评价存在
IT初始支持长短期计划,并要考虑调查、培训、人员安置、设施、硬件和软件的需求
IT初始的技术含义已经被确定
IT功能要符合下述相关安全标准:
IT变更控制
IT合同/服务水平管理人
IT和用户人员两者都要有规律地接受持续性计划方面的培训
IT培训、应用开发、安全、质量保证和操作管理
IT如何支持业务目标的明确定义
IT安全程序与其它政策和程序的协调一致
IT安全管理人
..............................
1 定义战略性的信息技术规划(PO1)PO域
1 监控处理过程(M1)
1 确定自动化的解决方案(AI1)
1.1 作为机构长期和短期计划一部分的IT
1.1 信息需求的定义
1.1 服务水平协议框架
1.1 采集监控数据
1.10 审计痕迹设计
1.11 人类环境改造
1.12 系统软件的选择
1.13 采购的控制
1.14 软件产品获取
1.15 第三方软件的维护
1.16 应用程序开发的签约
1.17 设施的验收
1.18 技术的验收
1.18 质量的尺度
1.2 IT 长期计划
1.2 服务水平协议的样式
1.2 行动的可选择路线的表述
1.2 评估绩效
1.3 IT 长期计划编制——方法与结构
1.3 执行程序
1.3 获取战略的表述
1.3 评估客户的满意度
1.4 IT 长期计划的变更
1.4 监控与报告
1.4 第三方服务需求
1.4 管理报告
1.5 IT 功能的短期计划编制
1.5 技术可行性研究
1.5 服务水平协议和合同的评价
1.6 IT 计划的交流
1.6 收费条款
1.6 经济可行性研究
1.7 IT 计划的监控和评估
1.7 信息体系结构
1.7 服务改进程序
1.8 现有系统的评估
1.8 风险分析报告
1.9 成本/效益良好的安全控制
10 管理问题和事件(DS10)
10 管理项目(PO10)
10.1 问题管理系统
10.1 项目管理构架
10.10 正式的项目风险管理
10.11 测试计划
10.12 培训计划
10.13 实施后评价计划
10.2 问题升级
10.2 项目初始阶段用户部门的参与
10.3 问题跟踪和审计痕迹
10.3 项目组成员资格和责任
10.4 应急和临时访问的授权
10.4 项目定义
10.5 紧急事件处理的优先顺序
10.5 项目审批
10.6 项目阶段审批
10.7 项目主计划
10.8 系统质量保证计划
10.9 保证方法的计划编制
11 管理数据(DS11)
11 管理质量(PO11)
11.1 总体质量计划
11.1 数据准备程序
11.10 数据处理的确认和编辑
11.10 第三方实施者的关系
11.11 数据处理的差错处理
11.11 软件程序文档标准
11.12 软件程序测试标准
11.12 输出的处理和保留
11.13 系统测试标准
11.13 输出的分发
11.14 平行/飞行测试
11.14 输出平衡和勾对
11.15 系统测试文档
11.15 输出的评价和差错处理
11.16 以开发标准为依据的质量保证评估
11.16 输出报告的安全规定
11.17 IT 目标实现的质量保证评价
11.17 传输和传递期间对敏感信息的保护
11.18 废弃的敏感信息的保护
11.19 存储管理
11.19 质量保证评价报告
11.2 源数据资料的授权程序
11.2 质量保证途径
11.20 保留周期和存储期限
11.21 介质库管理系统
11.22 介质库管理责任
11.23 备份和恢复
11.24 备份工作
11.25 备份存储
11.26 归档
11.27 敏感信息的保护
11.28 鉴别和完整性
11.29 电子交易的完整性
11.3 源数据资料的收集
11.3 质量保证计划编制
11.30 存储数据的持续完整性
11.4 以IT 标准和程序为依据的质量保证评价
11.4 源数据资料的错误处理
11.5 源数据资料的保留
11.5 系统开发生命周期方法
11.6 数据输入的授权程序
11.6 现存技术发生重大变化的系统开发生命周期方法
11.7 准确性、完整性和授权检查
11.7 系统开发生命周期方法的更新
11.8 协调和沟通
11.8 数据输入错误的处理
11.9 技术基础设施的获取和维护框架
11.9 数据处理的完整性
12 管理设施(DS12)
12.1 物理安全
12.2 IT 场地低调的外观
12.3 来访者的陪同
12.4 人员健康和安全
12.5 抵御环境因素的破坏
12.6 不间断电源
13 管理操作(DS13)
13.1 处理操作程序和指导手册
13.2 启动过程和其它操作文档
13.3 工作的时间安排
13.4 标准工作时间安排的违背
13.5 处理的连续性
13.6 操作日志
13.7 保护特殊的表格和输出设备
13.8 远程操作
2 定义信息体系结构(PO2)
2 管理第三方服务(DS2)
2 获取和维护应用软件(AI2)
2 评估内部控制的适当性(M2)
2.1 供应商接口
2.1 信息体系结构模型
2.1 内部控制监控
2.1 设计方法
2.10 处理需求的定义和建档
2.11 输出需求定义和建档
2.12 可控制性
2.13 关键设计因素的可用性
2.14 应用程序软件中的IT 完整性的装置
2.15 应用软件的测试
2.16 用户参考手册和支持资料
2.17 系统设计的重新评估
2.2 企业数据字典和数据语法规则
2.2 内部控制的及时操作
2.2 所有者关系
2.2 现有系统的重大变更
2.3 内部控制水平报告
2.3 数据分类方案
2.3 第三方合同
2.3 设计的审批
2.4 安全等级
2.4 操作安全以及内部控制保证
2.4 文件需求的定义和建档
2.4 第三方的资格认证
2.5 外包合同
2.5 软件程序规格说明书
2.6 服务的连续性
2.6 源数据采集的设计
2.7 安全关系
2.7 输入需求定义和建档
2.8 接口的定义
2.8 监控
2.9 人机接口
3 决定技术方向(PO3)
3 管理性能和容量(DS3)
3 获取和维护技术基础设施(AI3)
3 获得独立的保证(M3)
3.1 IT 服务的独立安全及内部控制的证明/鉴定
3.1 可用性和性能需求
3.1 技术基础设施计划编制
3.1 新硬件和软件的评估
3.2 可用性计划
3.2 对第三方服务提供者的独立安全及内部控制的证明/鉴定
3.2 监测未来的趋势和法规
3.2 硬件的预防性维护
3.3 IT 服务的独立有效性评估
3.3 技术基础设施的不确定事件
3.3 监控和报告
3.3 系统软件安全
3.4 对第三方服务提供者的独立有效性评估
3.4 模型化工具
3.4 硬件和软件获取计划
3.4 系统软件的安装
3.5 前移的性能管理
3.5 技术标准
3.5 系统软件的维护
3.5 遵从法律和法规要求以及合同承诺的独立保证
3.6 工作负荷的预测
3.6 第三方服务提供者遵从法律和法规要求以及合同承诺的独立保证
3.6 系统软件变更控制
3.7 独立保证职能的能力
3.7 系统实用程序的使用和监控
3.7 资源的容量管理
3.8 前移的审计介入
3.8 资源的可用性
3.9 资源的时间安排
4 定义信息技术的机构及关系(PO4)
4 开发和维护程序(AI4)
4 提供独立的审计(M4)
4 确保持续的服务(DS4)
4.1 IT 持续性框架
4.1 IT 计划或指导委员会
4.1 审计章程
4.1 操作需求和服务水平
4.10 关键的IT 资源
4.10 职责分离
4.11 IT 人员配备
4.11 备份场所和硬件
4.12 IT 员工工作和职位的描述
4.12 远程备份存储
4.13 关键的IT 人员
4.13 总结程序
4.14 与员工签约的政策和程序
4.15 关系
4.2 IT 持续性计划的策略与哲理
4.2 IT 职能的机构设置
4.2 独立性
4.2 用户程序手册
4.3 IT 持续性计划的内容
4.3 操作手册
4.3 机构绩效的评价
4.3 职业道德规范与标准
4.4 培训资料
4.4 最小化IT 持续性需求
4.4 能力
4.4 角色和责任
4.5 维护IT 持续性计划
4.5 计划编制
4.5 质量保证的责任
4.6 审计工作的执行
4.6 测试IT 持续性计划
4.6 逻辑和物理安全的责任
4.7 IT 持续性计划的培训
4.7 所有者和管理者
4.7 报告
4.8 IT 持续性计划的分发
4.8 后续行动
4.8 数据和系统的所有者
4.9 用户部门的可选择处理备份程序
4.9 监督
5 确保系统安全(DS5)
5 管理信息技术投资(PO5)
5 系统的安装和鉴定(AI5)
5.1 培训
5.1 年度IT 运营预算
5.1 管理安全措施
5.10 侵犯和安全活动报告
5.10 安全测试和鉴定
5.11 事件处理
5.11 操作测试
5.12 投入生产
5.12 重新鉴定
5.13 交易对手信任
5.13 满足用户需求的评估
5.14 交易授权
5.14 管理的实施后评价
5.15 不可否认
5.16 可信任的路径
5.17 安全功能的保护
5.18 密钥管理
5.19 恶意软件的预防、检测和纠正
5.2 应用软件的性能度量
5.2 成本和收益的监控
5.2 确认、授权和访问
5.20 防火墙体系以及与公共网络的连接
5.21 电子化价值的保护
5.3 实施计划
5.3 成本和收益的合理性
5.3 联机访问数据的安全
5.4 用户帐户的管理
5.4 系统转换
5.5 数据转换
5.5 用户帐户的管理评价
5.6 测试策略和计划
5.6 用户帐户的用户控制
5.7 变更的测试
5.7 安全监督
5.8 平行/穿行测试标准和实施
5.8 数据分类
5.9 中心确认和访问权限管理
5.9 最终验收测试
6 沟通管理的目标和方向(PO6)
6 确认和分配成本(DS6)
6 管理变更(AI6)
6.1 变更请求的初始和控制
6.1 收费项目
6.1 积极的信息控制环境
6.10 特定问题政策
6.11 IT 安全意识的沟通
6.2 影响的评估
6.2 成本核算程序
6.2 管理层在政策方面的责任
6.3 变更的控制
6.3 机构政策的沟通
6.3 用户付费和费用返还程序
6.4 政策执行资源
6.4 紧急变更
6.5 政策的维护
6.5 文档和程序
6.6 授权的维护
6.6 遵从政策、程序和标准
6.7 质量义务
6.7 软件发布政策
6.8 安全和内部控制框架政策
6.8 软件的分发
6.9 知识产权
7 教育与培训用户(DS7)
7 管理人力资源(PO7)
7.1 人员招募和升职
7.1 培训需求的确定
7.2 人员的任职资格
7.2 培训机构
7.3 安全准则和意识的培训
7.3 角色和责任
7.4 人员培训
7.5 交叉培训或人员后备
7.6 人员的调查程序
7.7 雇员工作绩效的评估
7.8 工作的变更和终止
8 帮助及向客户提建议(DS8)
8 确保遵从外部要求(PO8)
8.1 外部要求的评价
8.1 帮助桌面
8.2 客户质询的登记
8.2 遵守外部要求的实务和程序
8.3 客户质询的逐步升级
8.3 防护和人类环境改造要求的遵从
8.4 清理的监控
8.4 隐私、知识产权和数据流
8.5 电子商务
8.5 趋势分析和报告
8.6 遵守保险合同
9 管理配置(DS9)
9 评估风险(PO9)
9.1 业务风险评估
9.1 配置的记录
9.2 配置的底线
9.2 风险评估的途径
9.3 状态说明
9.3 风险确认
9.4 配置控制
9.4 风险测量
9.5 未授权的软件
9.5 风险行动计划
9.6 软件存储
9.6 风险接受
9.7 安全装置的选择
9.7 配置管理程序
9.8 软件可说明性
9.8 风险评估义务
COBIT信息技术审计指南(34个控制目标)
IT“帮助工作台”支持人员
IT“帮助工作台”支持经理
IT与业务的结合
IT人力资源/培训
IT人力资源/培训管理层
IT人力资源官
IT人力资源或培训经理
IT人力资源管理活动的详细评价
IT人员安置的维持能力
IT人员已经收到安全程序和技术方面的适当培训
IT关键位置(工作)的描述
IT内部控制数据的内部报告是足够的
IT内部控制的管理评价存在
IT初始支持长短期计划,并要考虑调查、培训、人员安置、设施、硬件和软件的需求
IT初始的技术含义已经被确定
IT功能要符合下述相关安全标准:
IT变更控制
IT合同/服务水平管理人
IT和用户人员两者都要有规律地接受持续性计划方面的培训
IT培训、应用开发、安全、质量保证和操作管理
IT如何支持业务目标的明确定义
IT安全程序与其它政策和程序的协调一致
IT安全管理人
..............................