1、1,IT審計的組織與實施,劉濟平 中國光大（集團）總公司審計部副主任 注冊信息系統(tǒng)審計師（CISA）、注冊內(nèi)部審計師（CIA）、高級審計師 經(jīng)濟學(xué)碩士（南開大學(xué)西方會計與審計專業(yè)）、理學(xué)碩士（英國Strathclyde大學(xué)商務(wù)信息技術(shù)系統(tǒng)專業(yè)） E-mail: ,2,內(nèi)容安排,內(nèi)部審計及其分類 信息系統(tǒng)審計從風(fēng)險管理和風(fēng)險基礎(chǔ)審計的角度理解 信息系統(tǒng)審計標(biāo)準(zhǔn) 信息系統(tǒng)審計方法 IT核心流程和審計方法 問題討論 案例分析,3,內(nèi)部審計及其分類,內(nèi)部審計 內(nèi)部審計分類 業(yè)務(wù)審計（Operations Audit） 信息系統(tǒng)審計(Information Systems Audit)或IT審計,4,內(nèi)

2、部審計及其分類,業(yè)務(wù)審計與IT審計的關(guān)系,自動應(yīng)用控制 應(yīng)用控制 帳號管理/邏輯控制,一般應(yīng)用控制 電子數(shù)據(jù)表和局部數(shù)據(jù)庫 程序員安全 在業(yè)務(wù)用戶層面上的變更管理 業(yè)務(wù)持續(xù)計劃（BCP）,基礎(chǔ)架構(gòu)一般應(yīng)用控制 變更和配置管理 網(wǎng)絡(luò)安全管理 計算機操作 系統(tǒng)開發(fā)生命周期（SDLC） 共享數(shù)據(jù)庫 機房,業(yè)務(wù)審計,IT審計,5,信息系統(tǒng)審計從風(fēng)險管理和風(fēng)險基礎(chǔ)審計的角度理解,一個目標(biāo) 兩種風(fēng)險 三項評價 四類測試,6,信息系統(tǒng)審計從風(fēng)險管理和風(fēng)險基礎(chǔ)審計的角度理解,一個目標(biāo) 將IT相關(guān)的風(fēng)險控制在可接受的水平 風(fēng)險是事件的不確定性，這個事件對目標(biāo)的實現(xiàn)具有影響。 風(fēng)險是不希望發(fā)生事情的可能性。 對待

3、風(fēng)險的四種策略：拒絕、接受、轉(zhuǎn)移、緩釋（控制）,7,信息系統(tǒng)審計從風(fēng)險管理和風(fēng)險基礎(chǔ)審計的角度理解,兩種風(fēng)險 戰(zhàn)略風(fēng)險 失去競爭優(yōu)勢 信息系統(tǒng)項目失敗 災(zāi)難導(dǎo)致長期不能提供服務(wù) 操作風(fēng)險 變更管理文檔不完整 密碼政策不恰當(dāng) 未激活Oracle審計軌跡設(shè)置 ,8,信息系統(tǒng)審計從風(fēng)險管理和風(fēng)險基礎(chǔ)審計的角度理解,三項評價 評價信息系統(tǒng)項目 評價業(yè)務(wù)流程中的IT控制 評價信息安全,9,信息系統(tǒng)審計從風(fēng)險管理和風(fēng)險基礎(chǔ)審計的角度理解,四類測試 IT控制環(huán)境測試 物理控制測試 邏輯控制測試 IS操作控制測試,10,信息系統(tǒng)審計從風(fēng)險管理和風(fēng)險基礎(chǔ)審計的角度理解,將IT相關(guān)風(fēng)險控制在可接受水平,戰(zhàn)略風(fēng)險,

4、操作風(fēng)險,評價IT項目,評價業(yè)務(wù)流程中的IT控制,評價信息安全,測試IT控制環(huán)境,測試物理控制,測試邏輯控制,測試IS操作控制,一個目標(biāo),兩種風(fēng)險,三項評價,四類測試,11,信息系統(tǒng)審計標(biāo)準(zhǔn),ITIL(IT Infrastructure Library) BS7799 COBIT(Control Objectives for Information and Related Technology),12,信息系統(tǒng)審計標(biāo)準(zhǔn)ITIL,IT服務(wù)管理 IT服務(wù)管理（ITSM）：一種以流程為導(dǎo)向，以客戶為中心的方法，它通過整合IT服務(wù)與組織業(yè)務(wù)，提高組織IT服務(wù)提供和服務(wù)支持的能力和水平。 ITIL（IT

5、 Infrastructure Library, IT基礎(chǔ)架構(gòu)庫），最初由英國商務(wù)部（OGC）80年代組織開發(fā)，是ITSM領(lǐng)域在歐洲的事實標(biāo)準(zhǔn)。2001年成為英國標(biāo)準(zhǔn)BS 15000,13,信息系統(tǒng)審計標(biāo)準(zhǔn)ITIL,ITIL整體框架 服務(wù)提供包括5個核心流程： 服務(wù)級別管理、能力管理、可用性管理、持續(xù)性管理、財務(wù)管理。服務(wù)支持包括5個核心流程：配置管理、發(fā)布管理、變更管理、事故管理、問題管理、服務(wù)臺職能。,資料來源：OGC, 2002,14,信息系統(tǒng)審計標(biāo)準(zhǔn)BS7799,信息安全管理：指一個組織的政策、實務(wù)、程序、組織結(jié)構(gòu)和軟件功能，用以保護信息，確保信息免受非授權(quán)訪問、修改或意外變更，并且在

6、經(jīng)授權(quán)用戶需要時可用。,保密性 (Confidentiality),資料來源：Pfleeger, 1997,完整性 (Integrity),可用性 (Availability),15,信息系統(tǒng)審計標(biāo)準(zhǔn)BS7799,信息安全管理體系（ISMS） BS 7799： 最早由英國貿(mào)易和工業(yè)部于1993年組織開發(fā)，1995年成為英國國家標(biāo)準(zhǔn)，由兩部分組成，目前最新版本為： BS 7799-1：1999信息安全管理實施規(guī)則 BS 7799-2：2002信息安全管理體系規(guī)范 BS 7799-1于2000年被批準(zhǔn)為國際標(biāo)準(zhǔn)ISO/IEC 17799：2000信息技術(shù)：信息安全管理實施規(guī)則。,16,信息系統(tǒng)審計

7、標(biāo)準(zhǔn)BS7799,信息安全管理體系（ISMS） BS 7799-1將信息安全管理分為10類控制，成為組織實施信息安全管理的實用指南。,通訊和運行管理 訪問控制 系統(tǒng)開發(fā)和維護 業(yè)務(wù)持續(xù)管理 合規(guī),信息安全政策 安全組織 資產(chǎn)分類和控制 人員控制 物理和環(huán)境安全,17,信息系統(tǒng)審計標(biāo)準(zhǔn)BS7799,BS 7799-2提供的信息安全管理框架,制定政策,確定ISMS的范圍,實施風(fēng)險評價,管理風(fēng)險,選擇控制目標(biāo)和控制,制定應(yīng)用說明,政策文件,ISMS范圍,風(fēng)險評價,選擇的控制選項,應(yīng)用說明,結(jié)果和結(jié)論,選擇的控制目標(biāo)和控制,威脅、弱點、影響,風(fēng)險管理方法,需要的保證程度,ISMS需要的控制目標(biāo)和控制,

8、BS 7799 以外的控制,第一步,第二步,第三步,第四步,第五步,第六步,資料來源：BSI，1999,18,信息系統(tǒng)審計標(biāo)準(zhǔn)-COBIT,IT治理 信息安全和控制實務(wù)普遍接受的標(biāo)準(zhǔn) 主要目的是為企業(yè)治理提供清晰的政策和最佳實務(wù) 以信息系統(tǒng)審計與控制基金會 (ISACF) 的控制目標(biāo)為基礎(chǔ)，由ISACA及其下屬的“IT治理研究院”開發(fā)。1996年第一版，2000年第三版，2006年第四版。,19,信息系統(tǒng)審計標(biāo)準(zhǔn)-COBIT,由34個IT控制目標(biāo)組成，分為四個方面: 規(guī)劃和組織 獲得與實施 交付與支持 監(jiān)控,20,信息系統(tǒng)審計標(biāo)準(zhǔn)-COBIT,COBIT 的34個控制目標(biāo),交付和支持,IT 資

9、源,信息,監(jiān)控,獲得與實施,規(guī)劃和組織,-效果性 -效率性 -保密性 -完整性 -可用性 -合規(guī)性 -可靠性,-人 -應(yīng)用系統(tǒng) -技術(shù) -設(shè)備 -數(shù)據(jù),確定自動化方案 獲取并維護應(yīng)用程序軟件 獲取并維護技術(shù)基礎(chǔ)設(shè)施 程序開發(fā)與維護 系統(tǒng)安裝與鑒定 變更管理,定義IT戰(zhàn)略規(guī)劃 定義信息體系結(jié)構(gòu) 確定技術(shù)方向 定義IT組織和關(guān)系 管理IT投資 傳達(dá)管理目標(biāo)和方向 人力資源管理 確保遵循外部要求 風(fēng)險評估 項目管理 質(zhì)量管理,定義并管理服務(wù)水平 管理第三方的服務(wù) 管理性能與容量 確保服務(wù)的連續(xù)性 確保系統(tǒng)安全 確定并分配成本 教育并培訓(xùn)用戶 協(xié)助和咨詢客戶 配置管理 處理問題和突發(fā)事件 數(shù)據(jù)管理 設(shè)

10、施管理 運行管理,過程監(jiān)控 評價內(nèi)部控制的適當(dāng)性 獲取獨立鑒證 提供獨立的審計,COBIT,企業(yè)目標(biāo),IT治理,資料來源：IT Governance Institute, 2000,21,信息系統(tǒng)審計方法,年度風(fēng)險評估 和計劃,問題追蹤和 后續(xù)審計,審計評價,審計報告,審計計劃,控制評價,風(fēng)險評估,審計方案 和測試,年度風(fēng)險評估 和計劃,問題追蹤和 后續(xù)審計,審計評價,審計報告,審計計劃,控制評價,風(fēng)險評估,審計方案 和測試,22,內(nèi)部審計方法年度風(fēng)險評估和計劃,實施年度風(fēng)險評估 識別下一年度的審計領(lǐng)域. 制定年度審計計劃,23,年度風(fēng)險評估:風(fēng)險評估,按照可審計業(yè)務(wù)單元進(jìn)行 每年實施一次 考

11、慮因素 業(yè)務(wù)/財務(wù)影響 外部環(huán)境：如規(guī)章制度、市場、技術(shù) 容易出現(xiàn)欺詐舞弊 計算機環(huán)境 上一次審計結(jié)果及時間 與管理層討論（分公司、子公司和總公司）,24,年度風(fēng)險評估:風(fēng)險分級和審計頻率,非常高 (一年或少于一年審計一次) 高 (每一至兩年審計一次) 中 (每三到四年審計一次) 低 (每五年審計一次或不審計),25,年度風(fēng)險評估:舉例,26,年度審計計劃:舉例,某公司2005 年內(nèi)部審計計劃 一、制定計劃的方法 本計劃是根據(jù)公司規(guī)定的年度風(fēng)險評估方法加以制定的。在制定過程中，我們考慮了公司管理層的要求，以及公司其他股東的年度審計計劃。 二、影響計劃制定的主要因素 1、中國區(qū)業(yè)務(wù)的快速發(fā)展 2

12、、與其他股東在內(nèi)部審計方面的良好合作 3、 三、審計范圍,四、審計項目描述 五、審計時間預(yù)算,27,信息系統(tǒng)審計方法計劃,審計任務(wù)備忘錄(審計通知書) 審計目的和范圍 審計方法 審計人員 被審計單位人員 審計時間安排 問題溝通和行動計劃 審計標(biāo)準(zhǔn) 審計效果評價,28,計劃：舉例,某公司一般IT控制審計備忘錄 審計范圍和目的：本次審計的目的是，通過審計，評價下列領(lǐng)域控制的效果。 IT規(guī)劃和組織 系統(tǒng)開發(fā)和獲得 變更管理 數(shù)據(jù)管理 信息安全 網(wǎng)絡(luò)管理 計算機操作 物理安全和設(shè)備管理 業(yè)務(wù)持續(xù)計劃 審計方法：本次審計是按照風(fēng)險基礎(chǔ)審計的方法進(jìn)行的，我們將對上述領(lǐng)域的風(fēng)險進(jìn)行評估，然后對中高風(fēng)險領(lǐng)域進(jìn)

13、行控制測試。在審計中，我們主要采取如下方法：檢查有關(guān)規(guī)章制度、程序和標(biāo)準(zhǔn)；檢查有關(guān)規(guī)劃和操作文件和報告（如IT規(guī)劃、項目文檔、總是日志、BCP等）；IT實地觀察；與管理層和有關(guān)員工面談。 審計組成員： 審計時間： 審計標(biāo)準(zhǔn)：我們將按照國際內(nèi)部審計師協(xié)會（IIA）和國際信息系統(tǒng)審計與控制協(xié)會（ISACA）制定的有關(guān)標(biāo)準(zhǔn)進(jìn)行審計。由于我們是通過抽樣進(jìn)行測試，因此我們的審計并不能絕對保證發(fā)現(xiàn)所有的錯誤和違規(guī)問題。 審計績效評價：審計結(jié)束時，我們將向員工發(fā)送問券調(diào)查，以評價審計工作是否有效和達(dá)到目的。,29,信息系統(tǒng)審計方法風(fēng)險評估,識別業(yè)務(wù)流程的具體風(fēng)險 風(fēng)險矩陣 具體風(fēng)險 業(yè)務(wù)影響 可能性評價 (

14、高/中/低) 影響評價 (低/中/顯著/非常顯著) 風(fēng)險 (高/中/低),30,風(fēng)險評估:舉例,流程:IT規(guī)劃與組織,31,信息系統(tǒng)審計方法控制評價,記錄需要控制風(fēng)險的主要內(nèi)部控制. 控制評價矩陣 具體風(fēng)險 需要的控制 控制類型 (預(yù)防/發(fā)現(xiàn)/改正),32,控制評價:舉例,流程:IT規(guī)劃與組織,33,信息系統(tǒng)審計方法審計方案和測試,制定審計方案 需要測試的控制 審計程序 測試主要控制的有效性 記錄測試結(jié)果,34,審計方案和測試:舉例,流程:IT規(guī)劃與組織,35,信息系統(tǒng)審計方法溝通和報告,發(fā)出審計發(fā)現(xiàn)清單 與被審計單位管理層交換意見 起草審計報告 舉行結(jié)束會議 發(fā)布最終審計報告 摘要 詳細(xì)審計

15、發(fā)現(xiàn)和審計建議,36,信息系統(tǒng)審計方法績效評價,被審計單位調(diào)查問卷 審計結(jié)束時發(fā)出 調(diào)查問題: 審計目的是否表述清楚? 審計人員對被審計單位人員是否謙和禮貌? 審計發(fā)現(xiàn)是否準(zhǔn)確? 對你是否有用?,37,信息系統(tǒng)審計方法 問題追蹤和后續(xù)審計,對重要審計建議進(jìn)行季度監(jiān)控. 內(nèi)部審計季度檢查報告 控制報告,38,IT 核心流程和審計方法,規(guī)劃和組織 系統(tǒng)開發(fā) 變更/問題管理 數(shù)據(jù)管理 計算機操作運行 物理安全/設(shè)備管理 業(yè)務(wù)持續(xù)計劃 (BCP) 信息安全 網(wǎng)絡(luò)管理 應(yīng)用處理,39,IT 流程:規(guī)劃和組織,公司如何管理 IT. 相關(guān)風(fēng)險 IT規(guī)劃與業(yè)務(wù)規(guī)劃不一致 不現(xiàn)實的戰(zhàn)略規(guī)劃 IT成本超支 存在不

16、相容的職能 組織不好的IT職能,40,審計方法:規(guī)劃和組織,審計范圍 組織結(jié)構(gòu) 規(guī)劃過程(戰(zhàn)略, 戰(zhàn)術(shù)) 預(yù)算和成本控制 服務(wù)級別協(xié)議 (SLAs) 培訓(xùn)和資源保障 溝通過程,41,審計方法:規(guī)劃和組織,訪談對象 首席執(zhí)行官（CEO）/首席營運官（COO） 首席財務(wù)官（CFO） 首席信息官（CIO） IT 指導(dǎo)委員會成員 IT 高級管理層 用戶管理層,42,審計方法:規(guī)劃和組織,檢查內(nèi)容: IT組織機構(gòu)圖 IT 部門章程/權(quán)限 IT 規(guī)劃 (戰(zhàn)略, 戰(zhàn)術(shù)) 業(yè)務(wù)規(guī)劃 IT 指導(dǎo)委員會會議紀(jì)要 政策、程序和標(biāo)準(zhǔn) 服務(wù)級別協(xié)議 (SLAs) 培訓(xùn)計劃 職位描述,43,IT 流程:系統(tǒng)開發(fā),信息系統(tǒng)

17、是如何開發(fā)的，以支持企業(yè)運營. 相關(guān)風(fēng)險 未滿足業(yè)務(wù)需求 有瑕疵的業(yè)務(wù)案例 延期實施 范圍不確定（軟件基線）,44,審計方法:系統(tǒng)開發(fā),審計范圍 項目所有者 需求的提出和控制 項目管理 開發(fā)和測試 數(shù)據(jù)轉(zhuǎn)換控制 后實施,45,審計方法:系統(tǒng)開發(fā),訪談對象: CIO IT 指導(dǎo)委員會成員 項目指導(dǎo)委員會成員 項目所有者 項目經(jīng)理,46,審計方法:系統(tǒng)開發(fā),檢查內(nèi)容: IT 規(guī)劃 系統(tǒng)開發(fā)方法 與硬件/軟件采購相關(guān)的政策和程序 項目文檔 (如：需求定義，可行性分析) 與軟件采購、開發(fā)和維護相關(guān)的合同,47,IT 流程:變更管理,IT變更是如何管理的，以確保完整性 相關(guān)風(fēng)險 非授權(quán)的變更請求 未測試

18、的變更 非授權(quán)的變更實施,48,審計方法:變更管理,審計范圍 所有者 需求的提出和控制 變更控制 文檔和過程 軟件發(fā)布政策,49,年度審計計劃:考慮的因素和批準(zhǔn),考慮的因素 風(fēng)險高的可審計單元 管理層的要求 公司風(fēng)險管理委員會和審計委員會的指導(dǎo) 外部審計 年度審計計劃批準(zhǔn) 第一層次: 副總裁&總審計師（管理層） 第二層次: 審計委員會（董事會）,50,審計方法:變更管理,訪談對象 CIO IT 高級管理層 應(yīng)用開發(fā)經(jīng)理 質(zhì)量鑒定經(jīng)理 IT 運行經(jīng)理,51,審計方法:變更管理,檢查內(nèi)容: 系統(tǒng)開發(fā)方法 變更控制政策和程序 變更需求表,52,IT 流程:數(shù)據(jù)管理,數(shù)據(jù)是如何管理的，以確保完整和可用

19、. 相關(guān)風(fēng)險 數(shù)據(jù)不準(zhǔn)確、過時或被破壞 數(shù)據(jù)不可恢復(fù) 數(shù)據(jù)的不適當(dāng)訪問,53,審計方法:數(shù)據(jù)管理,審計范圍 數(shù)據(jù)所有者 組織結(jié)構(gòu) 計劃和開發(fā) 系統(tǒng)管理 安全 備份/恢復(fù),54,審計方法:數(shù)據(jù)管理,訪談對象: IT 高級管理層 信息安全官員 系統(tǒng)開發(fā)經(jīng)理 數(shù)據(jù)庫存管理員 數(shù)據(jù)所有者,55,審計方法:數(shù)據(jù)管理,檢查內(nèi)容: 數(shù)據(jù)所有關(guān)系結(jié)構(gòu) 數(shù)據(jù)模型 與以下內(nèi)容相關(guān)的政策和程序: 數(shù)據(jù)輸入授權(quán) 數(shù)據(jù)處理 輸出的分發(fā) 數(shù)據(jù)庫維護和安全 庫管理,56,IT 流程:計算機操作運行,如何管理計算設(shè)備，以提供持續(xù)服務(wù). 相關(guān)風(fēng)險 處理延遲 重新運行頻繁 問題無法解決,57,審計方法:計算機操作運行,審計范圍

20、組織結(jié)構(gòu) 時間安排 媒介控制 備份/重新啟動/恢復(fù) 容量規(guī)劃,58,審計方法:計算機操作運行,訪談對象: IT 高級管理層 IT 運行經(jīng)理 數(shù)據(jù)中心主管,59,審計方法:計算機操作運行,檢查的文件： 組織結(jié)構(gòu)圖 部門計劃 職位描述 服務(wù)級別協(xié)議 (SLAs) 與計算機處理相關(guān)的政策和程序 工作安排人員 備份/恢復(fù) 問題管理 磁帶管理,60,IT流程:物理安全/設(shè)備管理,相關(guān)風(fēng)險 非授權(quán)訪問、使用公司資產(chǎn)或信息 偷竊、損壞或毀損數(shù)據(jù)或設(shè)備 不安全的工作環(huán)境,61,審計方法:物理安全/設(shè)備管理,審計范圍 訪問控制 環(huán)境災(zāi)難 火災(zāi)控制 電力供應(yīng) 員工安全 應(yīng)急程序 維護,62,審計方法:物理安全/設(shè)

21、備管理,訪談對象: IT 高級管理層 IT 設(shè)備經(jīng)理 信息安全官 運行 /數(shù)據(jù)中心經(jīng)理,63,審計方法:物理安全/設(shè)備管理,檢查內(nèi)容: 數(shù)據(jù)中心樓層計劃/ 分布 IT用房的視查 可接觸IT設(shè)備人員清單 與物理安全、人員健康和安全、環(huán)境危害防護相關(guān)的政策和程序,64,IT流程:業(yè)務(wù)持續(xù)計劃（BCP）,如何確保持續(xù)的IT服務(wù)、當(dāng)需要時可得到，以及在出現(xiàn)重大中斷時對業(yè)務(wù)影響最小. 相關(guān)風(fēng)險 無法按照計劃恢復(fù)關(guān)鍵業(yè)務(wù)功能 沒有足夠的資源完成或?qū)嵤┯媱?過時和未測試的業(yè)務(wù)持續(xù)計劃 第三方供貨商的支持不充分,65,審計方法:業(yè)務(wù)持續(xù)計劃（BCP）,審計范圍 所有者 業(yè)務(wù)影響評估 恢復(fù)策略 與業(yè)務(wù)的聯(lián)系 維

22、護 測試,66,審計方法:業(yè)務(wù)持續(xù)計劃（BCP）,訪談對象: CIO IT 高級管理層 IT 運行經(jīng)理 信息安全官 用戶管理層 業(yè)務(wù)持續(xù)計劃（BCP）/災(zāi)難恢復(fù)計劃（DRP）小組 災(zāi)難恢復(fù)地經(jīng)理,67,審計方法:業(yè)務(wù)持續(xù)計劃（BCP）,檢查內(nèi)容: BCP 手冊 BCP/DRP 測試結(jié)果 供貨商 /維護合同 業(yè)務(wù)中斷保單 與持續(xù)計劃過程相關(guān)的政策和程序,68,IT流程:信息安全,信息是如何保護的，以確保其完整、保密和可用. 相關(guān)風(fēng)險 非授權(quán)訪問信息（內(nèi)部和外部） 有意泄露信息,69,審計方法:信息安全,審計范圍 政策和程序 數(shù)據(jù)分級 用戶添加、維護和刪除 監(jiān)控 密碼方案 訪問級別 安全環(huán)境,70

23、,審計方法:信息安全,訪談對象: IT 高級管理層 信息安全官員 應(yīng)用開發(fā)經(jīng)理 數(shù)據(jù)管理員,71,審計方法:信息安全,檢查內(nèi)容 信息安全政策和程序 了解訪問控制軟件 違反安全的報告 IT資源訪問點 (物理的/邏輯的)的設(shè)計安排 具有訪問系統(tǒng)資源權(quán)限的雇員、供貨商、服務(wù)提供商的人員名單,72,IT流程:網(wǎng)絡(luò)管理,如何管理網(wǎng)絡(luò)，以確保其安全、高效運行和可用. 相關(guān)風(fēng)險 網(wǎng)絡(luò)低效率 網(wǎng)絡(luò)無法恢復(fù) 網(wǎng)絡(luò)問題無法解決,73,審計方法:網(wǎng)絡(luò)管理,審計范圍 所有者 組織結(jié)構(gòu) 規(guī)劃和開發(fā) 政策和程序 網(wǎng)絡(luò)安全和管理 恢復(fù)/重新啟動,74,審計方法:網(wǎng)絡(luò)管理,訪談對象: IT 運行經(jīng)理 網(wǎng)絡(luò)管理員 信息安全官,75,審計方法:網(wǎng)絡(luò)管理,檢查內(nèi)容 組織結(jié)構(gòu)圖 部門計劃 職位描述 服務(wù)級別協(xié)議 (SLAs) 網(wǎng)絡(luò)體系結(jié)構(gòu)/配置 與網(wǎng)絡(luò)管理相關(guān)的政策和程序,76,IT流程:應(yīng)用處理,系統(tǒng)如何實施，以確保經(jīng)授權(quán)的業(yè)務(wù)信息處理完全、準(zhǔn)確 相關(guān)風(fēng)險：包括計算機操作