COBIT信息技術審計指南(DOC 142頁)
COBIT信息技術審計指南(DOC 142頁)內容簡介
1 定義和管理服務水平(DS1)
1 定義戰略性的信息技術規劃(PO1)PO域
1 監控處理過程(M1)
1 確定自動化的解決方案(AI1)
1.1 作為機構長期和短期計劃一部分的IT
1.1 信息需求的定義
1.1 服務水平協議框架
1.1 采集監控數據
1.10 審計痕跡設計
1.11 人類環境改造
1.12 係統軟件的選擇
1.13 采購的控製
1.14 軟件產品獲取
1.15 第三方軟件的維護
1.16 應用程序開發的簽約
1.17 設施的驗收
1.18 技術的驗收
1.18 質量的尺度
1.2 IT 長期計劃
1.2 服務水平協議的樣式
1.2 行動的可選擇路線的表述
1.2 評估績效
1.3 IT 長期計劃編製——方法與結構
1.3 執行程序
1.3 獲取戰略的表述
1.3 評估客戶的滿意度
1.4 IT 長期計劃的變更
1.4 監控與報告
1.4 第三方服務需求
1.4 管理報告
1.5 IT 功能的短期計劃編製
1.5 技術可行性研究
1.5 服務水平協議和合同的評價
1.6 IT 計劃的交流
1.6 收費條款
1.6 經濟可行性研究
1.7 IT 計劃的監控和評估
1.7 信息體係結構
1.7 服務改進程序
1.8 現有係統的評估
1.8 風險分析報告
1.9 成本/效益良好的安全控製
10 管理問題和事件(DS10)
10 管理項目(PO10)
10.1 問題管理係統
10.1 項目管理構架
10.10 正式的項目風險管理
10.11 測試計劃
10.12 培訓計劃
10.13 實施後評價計劃
10.2 問題升級
10.2 項目初始階段用戶部門的參與
10.3 問題跟蹤和審計痕跡
10.3 項目組成員資格和責任
10.4 應急和臨時訪問的授權
10.4 項目定義
10.5 緊急事件處理的優先順序
10.5 項目審批
10.6 項目階段審批
10.7 項目主計劃
10.8 係統質量保證計劃
10.9 保證方法的計劃編製
11 管理數據(DS11)
11 管理質量(PO11)
11.1 總體質量計劃
11.1 數據準備程序
11.10 數據處理的確認和編輯
11.10 第三方實施者的關係
11.11 數據處理的差錯處理
11.11 軟件程序文檔標準
11.12 軟件程序測試標準
11.12 輸出的處理和保留
11.13 係統測試標準
11.13 輸出的分發
11.14 平行/飛行測試
11.14 輸出平衡和勾對
11.15 係統測試文檔
11.15 輸出的評價和差錯處理
11.16 以開發標準為依據的質量保證評估
11.16 輸出報告的安全規定
11.17 IT 目標實現的質量保證評價
11.17 傳輸和傳遞期間對敏感信息的保護
11.18 廢棄的敏感信息的保護
11.19 存儲管理
11.19 質量保證評價報告
11.2 源數據資料的授權程序
11.2 質量保證途徑
11.20 保留周期和存儲期限
11.21 介質庫管理係統
11.22 介質庫管理責任
11.23 備份和恢複
11.24 備份工作
11.25 備份存儲
11.26 歸檔
11.27 敏感信息的保護
11.28 鑒別和完整性
11.29 電子交易的完整性
11.3 源數據資料的收集
11.3 質量保證計劃編製
11.30 存儲數據的持續完整性
11.4 以IT 標準和程序為依據的質量保證評價
11.4 源數據資料的錯誤處理
11.5 源數據資料的保留
11.5 係統開發生命周期方法
11.6 數據輸入的授權程序
11.6 現存技術發生重大變化的係統開發生命周期方法
11.7 準確性、完整性和授權檢查
11.7 係統開發生命周期方法的更新
11.8 協調和溝通
11.8 數據輸入錯誤的處理
11.9 技術基礎設施的獲取和維護框架
11.9 數據處理的完整性
12 管理設施(DS12)
12.1 物理安全
12.2 IT 場地低調的外觀
12.3 來訪者的陪同
12.4 人員健康和安全
12.5 抵禦環境因素的破壞
12.6 不間斷電源
13 管理操作(DS13)
13.1 處理操作程序和指導手冊
13.2 啟動過程和其它操作文檔
13.3 工作的時間安排
13.4 標準工作時間安排的違背
13.5 處理的連續性
13.6 操作日誌
13.7 保護特殊的表格和輸出設備
13.8 遠程操作
2 定義信息體係結構(PO2)
2 管理第三方服務(DS2)
2 獲取和維護應用軟件(AI2)
2 評估內部控製的適當性(M2)
2.1 供應商接口
2.1 信息體係結構模型
2.1 內部控製監控
2.1 設計方法
2.10 處理需求的定義和建檔
2.11 輸出需求定義和建檔
2.12 可控製性
2.13 關鍵設計因素的可用性
2.14 應用程序軟件中的IT 完整性的裝置
2.15 應用軟件的測試
2.16 用戶參考手冊和支持資料
2.17 係統設計的重新評估
2.2 企業數據字典和數據語法規則
2.2 內部控製的及時操作
2.2 所有者關係
2.2 現有係統的重大變更
2.3 內部控製水平報告
2.3 數據分類方案
2.3 第三方合同
2.3 設計的審批
2.4 安全等級
2.4 操作安全以及內部控製保證
2.4 文件需求的定義和建檔
2.4 第三方的資格認證
2.5 外包合同
2.5 軟件程序規格說明書
2.6 服務的連續性
2.6 源數據采集的設計
2.7 安全關係
2.7 輸入需求定義和建檔
2.8 接口的定義
2.8 監控
2.9 人機接口
3 決定技術方向(PO3)
3 管理性能和容量(DS3)
3 獲取和維護技術基礎設施(AI3)
3 獲得獨立的保證(M3)
3.1 IT 服務的獨立安全及內部控製的證明/鑒定
3.1 可用性和性能需求
3.1 技術基礎設施計劃編製
3.1 新硬件和軟件的評估
3.2 可用性計劃
3.2 對第三方服務提供者的獨立安全及內部控製的證明/鑒定
3.2 監測未來的趨勢和法規
3.2 硬件的預防性維護
3.3 IT 服務的獨立有效性評估
3.3 技術基礎設施的不確定事件
3.3 監控和報告
3.3 係統軟件安全
3.4 對第三方服務提供者的獨立有效性評估
3.4 模型化工具
3.4 硬件和軟件獲取計劃
3.4 係統軟件的安裝
3.5 前移的性能管理
3.5 技術標準
3.5 係統軟件的維護
3.5 遵從法律和法規要求以及合同承諾的獨立保證
3.6 工作負荷的預測
3.6 第三方服務提供者遵從法律和法規要求以及合同承諾的獨立保證
3.6 係統軟件變更控製
3.7 獨立保證職能的能力
3.7 係統實用程序的使用和監控
3.7 資源的容量管理
3.8 前移的審計介入
3.8 資源的可用性
3.9 資源的時間安排
4 定義信息技術的機構及關係(PO4)
4 開發和維護程序(AI4)
4 提供獨立的審計(M4)
4 確保持續的服務(DS4)
4.1 IT 持續性框架
4.1 IT 計劃或指導委員會
4.1 審計章程
4.1 操作需求和服務水平
4.10 關鍵的IT 資源
4.10 職責分離
4.11 IT 人員配備
4.11 備份場所和硬件
4.12 IT 員工工作和職位的描述
4.12 遠程備份存儲
4.13 關鍵的IT 人員
4.13 總結程序
4.14 與員工簽約的政策和程序
4.15 關係
4.2 IT 持續性計劃的策略與哲理
4.2 IT 職能的機構設置
4.2 獨立性
4.2 用戶程序手冊
4.3 IT 持續性計劃的內容
4.3 操作手冊
4.3 機構績效的評價
4.3 職業道德規範與標準
4.4 培訓資料
4.4 最小化IT 持續性需求
4.4 能力
4.4 角色和責任
4.5 維護IT 持續性計劃
4.5 計劃編製
4.5 質量保證的責任
4.6 審計工作的執行
4.6 測試IT 持續性計劃
4.6 邏輯和物理安全的責任
4.7 IT 持續性計劃的培訓
4.7 所有者和管理者
4.7 報告
4.8 IT 持續性計劃的分發
4.8 後續行動
4.8 數據和係統的所有者
4.9 用戶部門的可選擇處理備份程序
4.9 監督
5 確保係統安全(DS5)
5 管理信息技術投資(PO5)
5 係統的安裝和鑒定(AI5)
5.1 培訓
5.1 年度IT 運營預算
5.1 管理安全措施
5.10 侵犯和安全活動報告
5.10 安全測試和鑒定
5.11 事件處理
5.11 操作測試
5.12 投入生產
5.12 重新鑒定
5.13 交易對手信任
5.13 滿足用戶需求的評估
5.14 交易授權
5.14 管理的實施後評價
5.15 不可否認
5.16 可信任的路徑
5.17 安全功能的保護
5.18 密鑰管理
5.19 惡意軟件的預防、檢測和糾正
5.2 應用軟件的性能度量
5.2 成本和收益的監控
5.2 確認、授權和訪問
5.20 防火牆體係以及與公共網絡的連接
5.21 電子化價值的保護
5.3 實施計劃
5.3 成本和收益的合理性
5.3 聯機訪問數據的安全
5.4 用戶帳戶的管理
5.4 係統轉換
5.5 數據轉換
5.5 用戶帳戶的管理評價
5.6 測試策略和計劃
5.6 用戶帳戶的用戶控製
5.7 變更的測試
5.7 安全監督
5.8 平行/穿行測試標準和實施
5.8 數據分類
5.9 中心確認和訪問權限管理
5.9 最終驗收測試
6 溝通管理的目標和方向(PO6)
6 確認和分配成本(DS6)
6 管理變更(AI6)
6.1 變更請求的初始和控製
6.1 收費項目
6.1 積極的信息控製環境
6.10 特定問題政策
6.11 IT 安全意識的溝通
6.2 影響的評估
6.2 成本核算程序
6.2 管理層在政策方麵的責任
6.3 變更的控製
6.3 機構政策的溝通
6.3 用戶付費和費用返還程序
6.4 政策執行資源
6.4 緊急變更
6.5 政策的維護
6.5 文檔和程序
6.6 授權的維護
6.6 遵從政策、程序和標準
6.7 質量義務
6.7 軟件發布政策
6.8 安全和內部控製框架政策
6.8 軟件的分發
6.9 知識產權
7 教育與培訓用戶(DS7)
7 管理18新利真人网 (PO7)
7.1 人員招募和升職
7.1 培訓需求的確定
7.2 人員的任職資格
7.2 培訓機構
7.3 安全準則和意識的培訓
7.3 角色和責任
7.4 人員培訓
7.5 交叉培訓或人員後備
7.6 人員的調查程序
7.7 雇員工作績效的評估
7.8 工作的變更和終止
8 幫助及向客戶提建議(DS8)
8 確保遵從外部要求(PO8)
8.1 外部要求的評價
8.1 幫助桌麵
8.2 客戶質詢的登記
8.2 遵守外部要求的實務和程序
8.3 客戶質詢的逐步升級
8.3 防護和人類環境改造要求的遵從
8.4 清理的監控
8.4 隱私、知識產權和數據流
8.5 電子商務
8.5 趨勢分析和報告
8.6 遵守保險合同
9 管理配置(DS9)
9 評估風險(PO9)
9.1 業務風險評估
9.1 配置的記錄
9.2 配置的底線
9.2 風險評估的途徑
9.3 狀態說明
9.3 風險確認
9.4 配置控製
9.4 風險測量
9.5 未授權的軟件
9.5 風險行動計劃
9.6 軟件存儲
9.6 風險接受
9.7 安全裝置的選擇
9.7 配置管理程序
9.8 軟件可說明性
9.8 風險評估義務
COBIT信息技術審計指南(34個控製目標)
IT“幫助工作台”支持人員
IT“幫助工作台”支持經理
IT與業務的結合
IT18新利真人网 /培訓
IT18新利真人网 /培訓管理層
IT18新利真人网 官
IT18新利真人网 或培訓經理
IT18新利真人网 管理活動的詳細評價
IT人員安置的維持能力
IT人員已經收到安全程序和技術方麵的適當培訓
IT關鍵位置(工作)的描述
IT內部控製數據的內部報告是足夠的
IT內部控製的管理評價存在
IT初始支持長短期計劃,並要考慮調查、培訓、人員安置、設施、硬件和軟件的需求
IT初始的技術含義已經被確定
IT功能要符合下述相關安全標準:
IT變更控製
IT合同/服務水平管理人
IT和用戶人員兩者都要有規律地接受持續性計劃方麵的培訓
IT培訓、應用開發、安全、質量保證和操作管理
IT如何支持業務目標的明確定義
IT安全程序與其它政策和程序的協調一致
IT安全管理人
..............................
1 定義戰略性的信息技術規劃(PO1)PO域
1 監控處理過程(M1)
1 確定自動化的解決方案(AI1)
1.1 作為機構長期和短期計劃一部分的IT
1.1 信息需求的定義
1.1 服務水平協議框架
1.1 采集監控數據
1.10 審計痕跡設計
1.11 人類環境改造
1.12 係統軟件的選擇
1.13 采購的控製
1.14 軟件產品獲取
1.15 第三方軟件的維護
1.16 應用程序開發的簽約
1.17 設施的驗收
1.18 技術的驗收
1.18 質量的尺度
1.2 IT 長期計劃
1.2 服務水平協議的樣式
1.2 行動的可選擇路線的表述
1.2 評估績效
1.3 IT 長期計劃編製——方法與結構
1.3 執行程序
1.3 獲取戰略的表述
1.3 評估客戶的滿意度
1.4 IT 長期計劃的變更
1.4 監控與報告
1.4 第三方服務需求
1.4 管理報告
1.5 IT 功能的短期計劃編製
1.5 技術可行性研究
1.5 服務水平協議和合同的評價
1.6 IT 計劃的交流
1.6 收費條款
1.6 經濟可行性研究
1.7 IT 計劃的監控和評估
1.7 信息體係結構
1.7 服務改進程序
1.8 現有係統的評估
1.8 風險分析報告
1.9 成本/效益良好的安全控製
10 管理問題和事件(DS10)
10 管理項目(PO10)
10.1 問題管理係統
10.1 項目管理構架
10.10 正式的項目風險管理
10.11 測試計劃
10.12 培訓計劃
10.13 實施後評價計劃
10.2 問題升級
10.2 項目初始階段用戶部門的參與
10.3 問題跟蹤和審計痕跡
10.3 項目組成員資格和責任
10.4 應急和臨時訪問的授權
10.4 項目定義
10.5 緊急事件處理的優先順序
10.5 項目審批
10.6 項目階段審批
10.7 項目主計劃
10.8 係統質量保證計劃
10.9 保證方法的計劃編製
11 管理數據(DS11)
11 管理質量(PO11)
11.1 總體質量計劃
11.1 數據準備程序
11.10 數據處理的確認和編輯
11.10 第三方實施者的關係
11.11 數據處理的差錯處理
11.11 軟件程序文檔標準
11.12 軟件程序測試標準
11.12 輸出的處理和保留
11.13 係統測試標準
11.13 輸出的分發
11.14 平行/飛行測試
11.14 輸出平衡和勾對
11.15 係統測試文檔
11.15 輸出的評價和差錯處理
11.16 以開發標準為依據的質量保證評估
11.16 輸出報告的安全規定
11.17 IT 目標實現的質量保證評價
11.17 傳輸和傳遞期間對敏感信息的保護
11.18 廢棄的敏感信息的保護
11.19 存儲管理
11.19 質量保證評價報告
11.2 源數據資料的授權程序
11.2 質量保證途徑
11.20 保留周期和存儲期限
11.21 介質庫管理係統
11.22 介質庫管理責任
11.23 備份和恢複
11.24 備份工作
11.25 備份存儲
11.26 歸檔
11.27 敏感信息的保護
11.28 鑒別和完整性
11.29 電子交易的完整性
11.3 源數據資料的收集
11.3 質量保證計劃編製
11.30 存儲數據的持續完整性
11.4 以IT 標準和程序為依據的質量保證評價
11.4 源數據資料的錯誤處理
11.5 源數據資料的保留
11.5 係統開發生命周期方法
11.6 數據輸入的授權程序
11.6 現存技術發生重大變化的係統開發生命周期方法
11.7 準確性、完整性和授權檢查
11.7 係統開發生命周期方法的更新
11.8 協調和溝通
11.8 數據輸入錯誤的處理
11.9 技術基礎設施的獲取和維護框架
11.9 數據處理的完整性
12 管理設施(DS12)
12.1 物理安全
12.2 IT 場地低調的外觀
12.3 來訪者的陪同
12.4 人員健康和安全
12.5 抵禦環境因素的破壞
12.6 不間斷電源
13 管理操作(DS13)
13.1 處理操作程序和指導手冊
13.2 啟動過程和其它操作文檔
13.3 工作的時間安排
13.4 標準工作時間安排的違背
13.5 處理的連續性
13.6 操作日誌
13.7 保護特殊的表格和輸出設備
13.8 遠程操作
2 定義信息體係結構(PO2)
2 管理第三方服務(DS2)
2 獲取和維護應用軟件(AI2)
2 評估內部控製的適當性(M2)
2.1 供應商接口
2.1 信息體係結構模型
2.1 內部控製監控
2.1 設計方法
2.10 處理需求的定義和建檔
2.11 輸出需求定義和建檔
2.12 可控製性
2.13 關鍵設計因素的可用性
2.14 應用程序軟件中的IT 完整性的裝置
2.15 應用軟件的測試
2.16 用戶參考手冊和支持資料
2.17 係統設計的重新評估
2.2 企業數據字典和數據語法規則
2.2 內部控製的及時操作
2.2 所有者關係
2.2 現有係統的重大變更
2.3 內部控製水平報告
2.3 數據分類方案
2.3 第三方合同
2.3 設計的審批
2.4 安全等級
2.4 操作安全以及內部控製保證
2.4 文件需求的定義和建檔
2.4 第三方的資格認證
2.5 外包合同
2.5 軟件程序規格說明書
2.6 服務的連續性
2.6 源數據采集的設計
2.7 安全關係
2.7 輸入需求定義和建檔
2.8 接口的定義
2.8 監控
2.9 人機接口
3 決定技術方向(PO3)
3 管理性能和容量(DS3)
3 獲取和維護技術基礎設施(AI3)
3 獲得獨立的保證(M3)
3.1 IT 服務的獨立安全及內部控製的證明/鑒定
3.1 可用性和性能需求
3.1 技術基礎設施計劃編製
3.1 新硬件和軟件的評估
3.2 可用性計劃
3.2 對第三方服務提供者的獨立安全及內部控製的證明/鑒定
3.2 監測未來的趨勢和法規
3.2 硬件的預防性維護
3.3 IT 服務的獨立有效性評估
3.3 技術基礎設施的不確定事件
3.3 監控和報告
3.3 係統軟件安全
3.4 對第三方服務提供者的獨立有效性評估
3.4 模型化工具
3.4 硬件和軟件獲取計劃
3.4 係統軟件的安裝
3.5 前移的性能管理
3.5 技術標準
3.5 係統軟件的維護
3.5 遵從法律和法規要求以及合同承諾的獨立保證
3.6 工作負荷的預測
3.6 第三方服務提供者遵從法律和法規要求以及合同承諾的獨立保證
3.6 係統軟件變更控製
3.7 獨立保證職能的能力
3.7 係統實用程序的使用和監控
3.7 資源的容量管理
3.8 前移的審計介入
3.8 資源的可用性
3.9 資源的時間安排
4 定義信息技術的機構及關係(PO4)
4 開發和維護程序(AI4)
4 提供獨立的審計(M4)
4 確保持續的服務(DS4)
4.1 IT 持續性框架
4.1 IT 計劃或指導委員會
4.1 審計章程
4.1 操作需求和服務水平
4.10 關鍵的IT 資源
4.10 職責分離
4.11 IT 人員配備
4.11 備份場所和硬件
4.12 IT 員工工作和職位的描述
4.12 遠程備份存儲
4.13 關鍵的IT 人員
4.13 總結程序
4.14 與員工簽約的政策和程序
4.15 關係
4.2 IT 持續性計劃的策略與哲理
4.2 IT 職能的機構設置
4.2 獨立性
4.2 用戶程序手冊
4.3 IT 持續性計劃的內容
4.3 操作手冊
4.3 機構績效的評價
4.3 職業道德規範與標準
4.4 培訓資料
4.4 最小化IT 持續性需求
4.4 能力
4.4 角色和責任
4.5 維護IT 持續性計劃
4.5 計劃編製
4.5 質量保證的責任
4.6 審計工作的執行
4.6 測試IT 持續性計劃
4.6 邏輯和物理安全的責任
4.7 IT 持續性計劃的培訓
4.7 所有者和管理者
4.7 報告
4.8 IT 持續性計劃的分發
4.8 後續行動
4.8 數據和係統的所有者
4.9 用戶部門的可選擇處理備份程序
4.9 監督
5 確保係統安全(DS5)
5 管理信息技術投資(PO5)
5 係統的安裝和鑒定(AI5)
5.1 培訓
5.1 年度IT 運營預算
5.1 管理安全措施
5.10 侵犯和安全活動報告
5.10 安全測試和鑒定
5.11 事件處理
5.11 操作測試
5.12 投入生產
5.12 重新鑒定
5.13 交易對手信任
5.13 滿足用戶需求的評估
5.14 交易授權
5.14 管理的實施後評價
5.15 不可否認
5.16 可信任的路徑
5.17 安全功能的保護
5.18 密鑰管理
5.19 惡意軟件的預防、檢測和糾正
5.2 應用軟件的性能度量
5.2 成本和收益的監控
5.2 確認、授權和訪問
5.20 防火牆體係以及與公共網絡的連接
5.21 電子化價值的保護
5.3 實施計劃
5.3 成本和收益的合理性
5.3 聯機訪問數據的安全
5.4 用戶帳戶的管理
5.4 係統轉換
5.5 數據轉換
5.5 用戶帳戶的管理評價
5.6 測試策略和計劃
5.6 用戶帳戶的用戶控製
5.7 變更的測試
5.7 安全監督
5.8 平行/穿行測試標準和實施
5.8 數據分類
5.9 中心確認和訪問權限管理
5.9 最終驗收測試
6 溝通管理的目標和方向(PO6)
6 確認和分配成本(DS6)
6 管理變更(AI6)
6.1 變更請求的初始和控製
6.1 收費項目
6.1 積極的信息控製環境
6.10 特定問題政策
6.11 IT 安全意識的溝通
6.2 影響的評估
6.2 成本核算程序
6.2 管理層在政策方麵的責任
6.3 變更的控製
6.3 機構政策的溝通
6.3 用戶付費和費用返還程序
6.4 政策執行資源
6.4 緊急變更
6.5 政策的維護
6.5 文檔和程序
6.6 授權的維護
6.6 遵從政策、程序和標準
6.7 質量義務
6.7 軟件發布政策
6.8 安全和內部控製框架政策
6.8 軟件的分發
6.9 知識產權
7 教育與培訓用戶(DS7)
7 管理18新利真人网 (PO7)
7.1 人員招募和升職
7.1 培訓需求的確定
7.2 人員的任職資格
7.2 培訓機構
7.3 安全準則和意識的培訓
7.3 角色和責任
7.4 人員培訓
7.5 交叉培訓或人員後備
7.6 人員的調查程序
7.7 雇員工作績效的評估
7.8 工作的變更和終止
8 幫助及向客戶提建議(DS8)
8 確保遵從外部要求(PO8)
8.1 外部要求的評價
8.1 幫助桌麵
8.2 客戶質詢的登記
8.2 遵守外部要求的實務和程序
8.3 客戶質詢的逐步升級
8.3 防護和人類環境改造要求的遵從
8.4 清理的監控
8.4 隱私、知識產權和數據流
8.5 電子商務
8.5 趨勢分析和報告
8.6 遵守保險合同
9 管理配置(DS9)
9 評估風險(PO9)
9.1 業務風險評估
9.1 配置的記錄
9.2 配置的底線
9.2 風險評估的途徑
9.3 狀態說明
9.3 風險確認
9.4 配置控製
9.4 風險測量
9.5 未授權的軟件
9.5 風險行動計劃
9.6 軟件存儲
9.6 風險接受
9.7 安全裝置的選擇
9.7 配置管理程序
9.8 軟件可說明性
9.8 風險評估義務
COBIT信息技術審計指南(34個控製目標)
IT“幫助工作台”支持人員
IT“幫助工作台”支持經理
IT與業務的結合
IT18新利真人网 /培訓
IT18新利真人网 /培訓管理層
IT18新利真人网 官
IT18新利真人网 或培訓經理
IT18新利真人网 管理活動的詳細評價
IT人員安置的維持能力
IT人員已經收到安全程序和技術方麵的適當培訓
IT關鍵位置(工作)的描述
IT內部控製數據的內部報告是足夠的
IT內部控製的管理評價存在
IT初始支持長短期計劃,並要考慮調查、培訓、人員安置、設施、硬件和軟件的需求
IT初始的技術含義已經被確定
IT功能要符合下述相關安全標準:
IT變更控製
IT合同/服務水平管理人
IT和用戶人員兩者都要有規律地接受持續性計劃方麵的培訓
IT培訓、應用開發、安全、質量保證和操作管理
IT如何支持業務目標的明確定義
IT安全程序與其它政策和程序的協調一致
IT安全管理人
..............................
