信息系统审计指南(COBIT中文版)

COBIT信息技术审计指南(34个控制目标)计划和组织(选择3/6/11)1定义战略性的信息技术规划(PO1)PO域IT查P人员ITITIT部首席执行官(CEO)首席运营官(COO)首席财务官(CFO)首席信息官(CIO)规定T业务目标的风险：业最好实践的战略IT计划的基准IT2定义信息体系结构(PO2)安全性程度分类P效果人员首席信息官(CIO)状态•访问的特定需求(也就是非披露或者保密性协议)执行：照类似机构或适者国际标准/公认的行业最好实践的信息体系结构模型的基准元素的完整性，数据字典的详细评价3决定技术方向(PO3)价格比的变化P效果人员能力)进行系统地评估。首席执行官(CEO)首席运营官(COO)首席财务官(CFO)首席信息官(CIO)技术基础设施计划中所描述的技术组成的技术标准是到这些变化要反映在IT体构或者适当的国际标准/公认的行业最好实践的技术基础设施计划整性，数据字典的详细评价据4定义信息技术的机构及关系(PO4)的实现，并规定有效的方向和适当的控制P人员保机构中所有人员都具有并理解他们在相关信息系统中的角色和责承担起有规律的一些活动，以增强这方面的意识和纪律。任，能部门(即用户、供应商、安全官员、风险管理者)之间，建立并维持一个最佳首席执行官(CEO)首席运营官(COO)首席财务官(CFO)首席信息官(CIO)TIT关键位置(工作)的描述IT划以及IT的到位和安全的角色和责任的政策存在律的有规律的活动存在存在及系统或者系统变化被执行前的审位构范围内的责任和安全管理员)被要求执行的信息安全的责任所有者所有主要数据源和系统的政策和程序存在所有者变化的程序存在存在TIT职位(工作)描述的评估和再评估的政策和程序存在对于关键的过程，包括系统开发生命周期活动(需求、设计、开发、测试)、信护测试：与职位(工作)相联系的权利和监督的直线要与在职者的义务相称职位(工作)描述清楚地描绘权利和责任两者职位(工作)描述清楚地描述所需的业务、相关的和技术的资格职位(工作)已经被精确地沟通，并由个人所理解IT职能部门的职位(工作)描述包含已经沟通给个人的关键绩效指标职位(工作)描述的精确性要与这些职位在职者的当前责任相比较T作为责任、权利和绩效标准的适当性和透明度的基础，职位(工作)描述的适当性执行：类似的机构或者适当的国际标准/公认的行业最好实践的机构和关系的基准确实满足安全(或者是逻辑的，或者是物理的，或者是两者兼顾)需求的正在开5管理信息技术投资(PO5)意识结合P人员P应用访谈：首席财务官(CFO)首席信息官(CIO)IT位预算类似的机构或者适当的国际标准/公认的行业最好实践的预算和成本的基准6沟通管理的目标和方向(PO6)P人员筑到并成为运作的一个完整组成部分。管理层还应监控政策执行的及时框保合适的程序设置到位，以判定每个人是否理解了执行的政策和程首席执行官(CEO)首席运营官(COO)首席财务官(CFO)首席信息官(CIO)和程序被追随的适当的程序到位任惩构的所有层次上被清楚地沟通和理解挑选的的部门评估日常监控安全和内部控制活动的程序(也就是说，例外报告、调和、比较，等等)，类似的机构或者适当的国际标准/公认的行业最好实践的管理的信息控制框层在贯穿机构范围内培育积极的内部控制环境承诺的虚弱的控制择机构的内部控制环境，有效地沟通其政策的管理失败向、政策和程序内遵守的不充分的管理遵从监控7管理人力资源(PO7)IT过程的贡献实践P人员P效率应用选的人员员文件和人员使用标准招募和选择人员，以填补公开的职位人员职位所需资格的说明书考虑适用的专业部门的相关需求员接受工作能力过程培训程序要与机构的已归档的关于教育和包含安全问题的总体认识的最小需求层应承担个人培训和职业发展的义务技术和管理技能的缝隙被确定，针对这些缝隙，采取适当的行动对于关键的工作职能，正在进行的交叉培训以及人员的备份发生强制的不间断的假期政策发生安全检查过程是适当的员的评估，评估以定期的方式举行化和终止过程确保机构资源的保护人力资源管理政策和程序与适用的法律和规章一致测试：和/或晋升行动、选择标准反映职位需求的目标和关联对于他们的工作职责或者责任区域来讲，人员具有运作的足够的知识职位(工作)描述存在，被评价并被保持是最新的育和总体认识程序的了解的承认书适当的人员，正在进行的培训和教育发生类似的机构或者适当的国际标准/公认的行业最好实践的人力资源管理活动确定：委屈的原因8确保遵从外部要求(PO8)P人员P遵从评价、保护和健康(包括工作环境改造学)遵从问题、隐私问题、信息系统安全国内或国际与电子商务使用相关的“会计标准/声明”征税规定•保护和健康(包括工作环境改造学)如果适用的话，与所有电子贸易伙伴以及电子数据互换(EDI)卖主签定的所有 愉快一方不能执行合同。)保护和/或加密(例如，银行的PIN号、税款文件号、EDI策和程序，遵从个人的电子商务贸易伙伴合同(如果适用的话，还包括EDI卖主合同)类似的机构或者适当的国际标准/公认的行业最好实践的外部需求遵从性、EDI活动和保险合同要求的基准校正行动已经被采取或者正在被执行的外部要求评价文件的详细评价安全报告的详细评价，以便评估是否敏感/隐私信息(是否同样地由要么内部程序，要么外部规章定义)正在被给予适当的安全和秘密保护机构遵循的外部要求求评价方面，重大的未解决/未更正的行动在工作环境中不能被选择的保护和健康(包括工作环境改造学)的风险数据流和/或位于国境外的数据流相关的秘密和安全弱点伴相关于通信过程、交易信息、安全和/或数据存储的合同中的弱点伙伴信任关系方面的弱点合同条款9评估风险(PO9)不同种类的IT风险(技术、安全、持续性、法规等)定量和(或)定性的风险测量P人员P*技术P设施P数据径应确保风险辨识信息的分析是由被检查区域暴露出风险的定量和风险行动计划，以确保成本/效益控制和安全措施在持投资回报率 ROI生效的控制应被优先考虑。控制系统还应平衡预防、探测、改详细的控制目标进行审计：露样将风险管理到一个可接受水平的基础标被包含在风险确认的过程中变化的程序决定以及时的方式调整系统的风险和暴露控和改善以及减轻控制的创造过程的程序识别和测量风险、威胁和披露的正式的定量和/或定性(或两者结合)的方法存上式的定量和/或定性的方法存在风险评估框架按照风险评估被有规律地更新以减少风险到一个可接受的水平风险评估文档遵守风险评估框架，并且文档要适当地准备和维持类似的机构或者适当的国际标准/公认的行业最好实践的风险评估框架的基准和减轻风险到残余风险可接受水平的风险评估方法的详细评价水平的风险和/或风险评估中过时的信息的定量和/或定性测量/效益控制和安全测量的风险行动计划乏盖10管理项目(PO10)位里程碑确定和阶段审准P人员P应用部控制和安全符合相关的要求。(就是对于那些潜在的引起有害变化的区域或者事件，进行辨识和控制)。软件项目主计划(SPMP)软件质量保证计划(SQAP)导委员会会议纪要•在开发、实施或者修改项目的定义和授权方面，规定由受影响的用户部门(所有者/发起者)参与管理系统的设计，等等)的每一个阶段都被批准•需要每一个项目具有SPMP的开发，并指定方式，以此维持贯穿项目生命、项目时间帧(里程碑)和预算的控制•遵守机构的SPMP标准，假如不存在，要使用适当的标准•对于每一个项目，需要SQAP的开发，并要确保其与SPMP的集成，由所有的涉SQAP遵守机构的SQAP标准，假如不存在，标准选择上述的SQAP保证任务支持新的或修改的系统的鉴定资格，并确保内部控制和安全特征所有项目所有者/发起者都要输入到SPMP和SQAP两者之中，并且所有的都要同放物实施以后的过程是确保新的或者修改的信息系统释放计划好的收益的项目管理架的完整的一部分一致地追随的适当人员所沟通符合标准模板成员的责任和权利的定义被遵循义IT被获得作为SPMP所要求的那样，项目的每一个阶段正在被完成并适当地签署SPMP和SQAP按照项目管理框架开发和审批SPMP和SQAP被详细说明并足够有效会议”、项目会议、或给有目管理框架，测试计划已经被开发并批准，并且是详细的和足够特效的定的强制活动/报告事实上已经被执行/产生职计执行：类似的机构或者适当的国际标准/公认的行业最好实践的项目管理框架的基准•所有者/发起者资源(人员和资金)的承诺序价确定：项目：11管理质量(PO11)训及参与P人员P应用P设施立一个质量保证的标准的途径，含盖总的和具体项目的质量保证活计、检查等等)。它还应对详尽的质量保证评价提出要求。况一样。的系统开发生命周期方法应包含已经与有关员工沟通并确定的程序文档标机构的系统开发生命周期方法应定义环境，在此基础上，新的和(或)现存的系特殊系统和应用开发活1目标。首席执行官(CEO)首席信息官(CIO)划的纪要会议纪要员会会议纪要型(和具体的评价、审计、检查，等等)T配方法价•报告，使系统开发和效果建议以适当的形式给管理层(用户和IT职能部门)对各种各样的开发和维护项目(例如，大项目要比小项目得到更多的控制)，要测试：•与其它系统(内部和外部)的接口•开发/支持目标IT环境的资源(包括财务和人力两者)•以明确可衡量的术语，瞄准交付给客户(无论内部或者外部外部客户)的服务坚持质量保证方法和计划以及其它已经建立的运营档完整的程序和系统测试结果(包括并行/穿行测试结果)被检查并被保留用于将色理层的补救行动并在其上采取行动类似的机构或者适当的国际标准/公认的行业最好实践的系统开发生命周期程序和系统测试(包括并行/穿行测试)以及文档被准备、检查、通过和维护的近实施/修改系统的效价的事情(也就是，对于小型项目太强调结构化，而对大型项目则应用不足)程序和/或系统测试(包括并行/穿行测试)没有被执行或者不适当地执行，和/获取和实施(2/4)AI域1确定自动化的解决方案(AI1)机遇可行性研究(费用、收益、可选方案，等等)P效果人员。，机构的系统开发生命周期法应规定对RFP(请求提议)的需求和说明书的评估。一个满足已建立业务需求的可选择方案相关联的成本/效数据模型的关ID)不被发现和误用的能力。T首席信息官(CIO)所有者/发起者通过益的分析要被执行发起者通过T测试：令现有系统满意并令被提议的新的或修改的系统满意的用户需求已经被清晰地过律并解决或修改的系统之上的满足用户需求的可选择的行动路线已要的商业软件包已经被适当地确定和考虑和全面的安全和内部控制问题已经被适当地说明的控制和计划是足够的管理层审批为所确定和选择的解决方案而开发设计已经被考虑买协议允许用户具有拷贝程序源代码的条款术的更新和维修要在获取文档中详细说明的确认、保护和维护的需求机构的质量保证职能负责由订立合同的程序员执行工作的检查和签署设施接受计划的适当性和完整性正在发生，包括接受程序和标准特定技术接受计划的适当性和完全性，包括检查、功能测试和工作负载试验类似的机构或者适当的国际标准/公认的行业最好实践的满足自动化解决方•安全、内部控制(包括用户友好设计的考虑、人类环境改造学，等等)以及审程包条款，结果是在满足机构的使命和/或目同条款I施P效果人员P应用术。机制。明、易于使用和自我说明(借助在线帮助功能)。的系统开发生命周期方法应规定，要准备适当的用户参考资料和支持手册(最好是电子版的)，作为每一个信息系统开发或修改项目的一部分。生重大的技术和(或)逻辑的差异，系统设计必须被重新评估。首席信息官(CIO)明书一致•准备足够的用户参考资料和支持手册(电子版最好)作为每一个系统开发或修在系统开发生命周期过程中，用户的参与是高的等)的过程到位决发位中入和输出的精确性、完整性、及时性和授权内部控制和安全需求尽可能早地包括在系统的概要设计中(无论是新系统还是正的系统或系统修改项目的系统的设计、开发和实施过程统设计决定是否改进的可用性/可靠性已经按照时间和先前方化例行公事地校验由软件所执行的任务，以帮助确保数据的完整性准过过程存在料以及联机帮助工具是可利用的构或者适当的国际标准/公认的行业最好实践的获取和开发应用软文件)被清晰地由项目实施组所理解的软件估过价构的系统开发生命周期方法的不足书则不一致文件、编程、源数据选择、输入、用户/机器接口、处理、输虑可用性的新的系统开发或修改项目项目中，应用编程软件中的数据完整性的不足改项目上的测试计划的不足项目上用户参考资料和支持材料方面的不足系统补丁的重大技术和/或逻辑不足平台础设施的方向和标准移植计划内部和外部基础设施和(或)资源的使用和关系本P效果人员P效率应用IT数据库中的程序和数据的移动。序。首席信息官(CIO)议明•在系统软件引入到生产环境之前，其全面的测试(也就是，使用系统开发生命周期方法)正在发生的硬件维护(包括由IT职能部门操作的和受影响的用户职能部门操作的两者)的政策和程序存在，以减少性能失败的频率和影响在作比较的硬件维护不会对关键或敏感的应用产生负面影响IT权；等等)被限制仅在IT职能部门内的有限数量的操作员身上类似的机构或者适当的国际标准/公认的行业最好实践的硬件和软件的获基准安全访护在系统软件的建立、安装和维护中的弱点(包括选择了不适当的系统软件的参数)，这些弱点已经危及存储在系统中的数据和程序的安全4开发和维护程序(AI4)P人员P应用系统开发生命周期方法应确保操作需求和服务水平的及时定义能的性能统计和用户关于预期的增加/减少的输入，决定运行需求使用历史的性能、用户的调整以及行业的基准，决定运作需求和服务水平在新系统的计划编制中，服务水平和处理需求是完整的一个步骤操作需求到位，并要反映操作和用户预期两者操作性能被测量、沟通，不足之处要纠正人员和用户要知道性能需求操作人员要有所有系统的操作手册，并在他们的职责范围内处理所有的从应用开发到生产的程序的动作要求操作手册的更新或创造所有应用的用户培训手册存在，并普遍地反映应用的功能确定：5系统的安装和鉴定(AI5)现P人员中，先详细说明。系统的最终验收或质量保证测试的一部分，程序应规量等)进行实施后的评价，以评估系统是否满足用户的需求。首席信息官(CIO)同报告的报告与系统开发生命周期过程相关的政策和程序存在述分阶段的方法：培训、性能尺寸、转换计划、程序测试、程序(单位)和全部准决的问题的解决正在发生用户培训的正式计划已经被包括在所有新系统的开发努力中职员意识到并理解正式的系统开发控制的需要以及每一个开发的安装和实施的性类似的机构或者适当的国际标准/公认的行业最好实践的系统安装和鉴定合中•程序、单位、系统(包括并行或原型)、转换、实施以及实施后的评价的测试6管理变更(AI6)化P人员P应用P设施P数据。IT应确保不管系统变更何时实施，其相关的文档和程序也要被相应地更计痕迹。首席信息官(CIO)理层来自用户区分优先顺序的系统变更申请的方法存在并在使用被说明都是正式的程序变化都被解决及时性和成本感到满意电话交换机(PBX)系统的维护包含在变更控制程序中T序业务目标的风险：构或者适当的国际标准/公认的行业最好实践的变更控制管理的基准•当前的库(源和目标)反映最近的变更交付和支持(DS域)1定义和管理服务水平(DS1)解益分析P人员P应用持续性计划、安全、交付系统功能最小可接受的满意水平、限制(在工作量上的限制)、服务收费、中心打印设施(可能)、中心打印件分发和更改程序。用户续性计划编制、安全、交付的系统功能最小可接受的满意水平、限制(在工作量应有一个程序，以确保履行管理所有各方关系(如，非披露协议)的方式和责任详细的控制目标进行审计：首席信息官(CIO)平协议过程由政策所确定对创造和修改协议来讲，要求用户参与这一过程性能标准的实现以及遭遇到的所有问题测试：到位管理层适当地使用，确保采取纠正行动类似的机构或者适当的国际标准/公认的行业最好实践的服务水平协议的基准2管理第三方服务(DS2)效性，以及遵从机构政策的评价和监控的控制措施P人员P应用在选择之前，管理层应通过对提供所需服务能力的评估(应有的勤奋)，来认证首席信息官(CIO)意外事故计划和外包前第三方关系的清单和与每一个第三方相联系的实际合同和服务相联系的服务水平报告的秘密协议特性文件和资源的安全访问清单合同清单、到位的实际合同是准确的合同清单中的供应商不提供服务在合同中的供应商实际上正在执行所定义的服务商管理层/所有者理解合同中的责任维护、监控和重新谈判的责任的政策存在整的第三方供应商关系的记录及提供服务的合同性存在正在发生管理和控制到最小化的卖主使用义务相比较望的所需的性能水平发生释放所需服务能力的评估报告存在当前口要在合同中制成文档要覆盖与程控交换机(PBX)供应商的合同执行：类似的机构或者适当的国际标准/公认的行业最好实践的第三方服务的基准量的规定的每一个第三方合同的详细评价被定义信息服务的提供者和用户之间的协调和沟通择合同服务的费用卖主的机构联络确保服务的当事人和用户之间合同问题的沟通的合同求或者修改关系的要求务3管理性能和容量(DS3)价格比变化P效果人员P应用理的程序应包括预测容量，使问题在影响系统性能之前就能够被纠正过配机制，管理层应防止资源难以获得的情况发生。档T求能改进的工作负载预测包括来自用户变化需求以及来自供应商在新技术或当前产品改进求的机遇步升级的程序存在，被追随，在解决问题方面是适当的包括决定将来成长和性能预期变化的标准类似的机构或者适当的国际标准/公认的行业最好实践的性能和容量管理的解决过程的效果4确保持续的服务(DS4)小续性计划及相关业务需求的ITP人员P数据灾难发生前的状态程序持续性方法应确保用户部门建立一个可选择的处理程序，这个程序可以一直使计划的最近的测试结果生时决定应用优先顺序的方法任义最新的，并被所有受影响的当事人所理解培训已经提供给所有涉及的当事人已经被跟随T业务目标的风险：执行：类似的机构或者适当的国际标准/公认的行业最好实践的持续性计划的基准•特定应用的供给，确保非现场位置上有足够的存货(也就是说，磁带、检查托节同能5确保系统安全(DS5)P*技术P设施查正常的活动，也要以及时的方式对非正常的活动进行报警。、，应防止服务拒绝的攻击。护用于身份鉴别或财务存储或储存其它敏感信息的所有卡片或者类详细的控制目标进行审计：相关的政策和程序、法律和规章团体的信息系统安全需求(也就是说，法律、规章、指南、行业标准)，•IT资源(也就是说，调治解调器、电话线和远程终端)物理访问点的清段和示告系统资源的集中的安全机构到位和评价雇员的教导包括安全意识、所有者的责任以及病毒保护的需求•未授权的访问系统的企图(签约)•授权的资源访问(选择用户或资源)动致•证明数据的专一使用(也就是说，口令永远不能是再度使用的)•多重证明(也就是说，两个或两个以上不同的证明机制被使用)•基于证明的政策(也就是说，为具体的事件指定单独的证明程序的能力)•按需要求的证明(也就是说，初始证明之后，不时重新证明用户的能力)制声音邮件服务和PBX系统的访问用与计算机系统相同的物理和逻辑控制而控制ID被暂停使立•卡信息(PIN和其它信息)被保护以防止内部人员的披露测试：外部访问系统资源的程序存在，也就是说，登录、ID、口令、回拨于卖主和当地的标准考虑存在确和管理响应的安全报告正在发生钥存在•非常关键应用的软件要由MAC(消息证明码)或数字签名保护，检验防止软件的程序)进行扫描执行：类似的机构或者适当的国际标准/公认的行业最好实践的信息系统安全的基准估地评价的用户的访谈，用户访问少的访问点、缺少的附件等等相关的详细目录的矛盾员系统资源的请求全违背进行报警的网络监控软件序中，不使用秘密密钥存档和保护的协议中的不足6确认和分配成本(DS6)路线：程P应用P可靠层IT序类似的机构或者适当的国际标准/公认的行业最好实践的成本会计和返款方配算法并深入到用户报告流之中，将来自原始数据的返款再计算•DASD的使用的一致性检查于已支出的成本信息•依照可选择的来源(也就是基准)的返款的合理性IT的效率修改的T7教育与培训用户(DS7)P人员培训教师或是第三方培训教师等)。培训经理序与正在进行的安全和控制认识相关的政策和程序存在统安全和控制原则上的教育/培训程序测试：通在8帮助及向客户提建议(DS8)帮助桌面”设备P人员P应用与“帮助工作台”活动相关的政策和程序是当前的和精确的水平的委托正在被保持，不一致被解释清除正在以及时的方式发生价价9管理配置(DS9)系和集成P效果人员保持对配置变更(如，新的条款、从开发到原型的状态变化)的追踪。日志和控ITT(库)。这些区域应彼此分离，开发、测试和生产文件存储区域要彼此隔离。并作为输入提供给IT本号、创建日期信息和以前版本的拷贝。详细的控制目标进行审计：告行储区域(库)生有的配置条款都在底线控制之下与配置报告相关的政策和程序是当前的和精确的维护和报告的性能标准被遵守配置底线依照设备的物理详细目录和资产的会计记录的比较正在发生产转移和变更记录的存在化•潜在义务的培训和认识(法律和产品)的详细评价录中，各种不同库的计算机化软件的分析足10管理问题和事件(DS10)止再现题管理系统决P人员P应用 用)、解决的日期以重大的问题，要产生事件报告中，认识到但没能解决的问题的出现事件之间的差异11管理数据(DS11)性P完整设施P可靠程序应确保适当的更新控制，如RUN-TO-RUN控键总计和主文件更新控制。储值卡)是输出的接受者，应采取特殊的关注以防止误用。应定义文档、数据、程序、报告和信息(输入和输出)的保留周期和存储期限，用于加密及身份鉴别的数据(密钥、证书)也同样需要定义。识及物理移动和存储的控制来讲，应当定义标准，以支持问责制。介质(磁带、IT人员。文档、传真，还是电子邮件，其真实性和完整性都要得到充分检查。原子性(不可分割的工作单元，所有行动要么全部成功要么全部失败)一致性(如果交易不能达到稳定的结束状态，则系统必须恢复到初始的状态)孤立性(一个交易的行为不受其它并发交易的影响)。•机构用来保留源文档(存档、成像等等)的方法，什么样的文档应该保留，法•用于防止(手工和程序手段)、发现和纠正差错的方法生•程序必须测试输入的差错(也就是说，检验和编辑)迹存在方案一样被准确地处理辑地限制在授权的人员评价正在发生和中断数据的调解，包含在输出中的差错由有认识能力的人员所控制的安全问题的清晰的定义存在清晰地定义处理之后就不在需要媒介都要存储在非现场的位置被改变是在它不再被检索的这种方式下介质库：详细目录库中的磁介质的完整性文档、数据、程序、报告和信息(进来的和出去的)同用于这些数据的加密和鉴定的数据(密钥、证书)一样，其保留期和存储条款被定义整性：的完整性被定期地检查一个预先安排的方法用于来源鉴定以及通过传真或图象系统接收的交易请求内致性是显然的，数据录入本身是及时的并理解数据准备控制需求提交测试数据(好的和错误的交易类型两者都有)，确保准确性、完整性和授权提交测试数据(好的和错误的交易类型两者都有)，确保数据处理的检验、鉴别样输和运输期间，对敏感信息的适当的保护存在动遵从已经建立的政策和控制的措施被采取内务处理程序存在，并正在适当地行使职责地分配、处理和输出的职能部门适当的的备份正在适当地发生全的，详细懂得存货目录是当前的求和成本效果留期限和存储的条款是适当的错误地址信息的风险(通过信件、传真或电子邮件)由适当的程序所缓解业务目标的风险：构或者适当的国际标准/公认的行业最好实践的数据管理的基准性•敏感的输入和输出表格(也就是说，空白支票、空白证书)没有被保护12管理设施(DS12)IT装P设施P可用数据而且要关注用于连接系统各部件的配线的位置、支持服务(如电源)、备份介质为了抵御环境因素(如，火灾、灰尘、动力、过热或过湿)的破坏，IT管理层应详细的控制目标进行审计：、固定资产详细目录以及资本获得/出租相关的关于IT资源(设备和设施)性能预期的性能、容量和服务水平协议的清单，包括、注册、临时需要经过、对所有的人都是适当的但特别针对方面的访问和授权政策是适当的定期和正在进行的访问生安全和访问控制措施包括可移动的和/或非现场的使用的•报警优先顺序的定义(也就是说，从风吹门开到各点的武装投弹手)•不间断电源(UPS)测试：认识到并理解安全和保护控制的需要序存在——通过观察认问休假的差异被报告储藏管理报告的访问控制的审计痕迹存在何过去的紧急情况或同样的文档被追踪雇员整性检查正在发生辑过程控制的访问变更的过程正在进行并广为人知能被不适当地改变性文件评价——用户和所涉及设施——被形成文档构或者适当的国际标准/公认的行业最好实践的设施管理的基准和安全装置进行比较所有的锁