2010年內(nèi)審師考試輔導(dǎo)：系統(tǒng)開發(fā)獲得和維護(hù)

1.系統(tǒng)開發(fā)生命周期法（系統(tǒng)、規(guī)范、嚴(yán)密）/（快速）原型法（不斷修改直至滿意，缺點(diǎn)，不系統(tǒng)，不正規(guī)）
    2.系統(tǒng)開發(fā)的主要活動(dòng)：系統(tǒng)分析——系統(tǒng)設(shè)計(jì)——系統(tǒng)編程——測試——轉(zhuǎn)換——系統(tǒng)維護(hù)
    系統(tǒng)分析：要解決問題的分析/用戶分析和系統(tǒng)可行性分析/系統(tǒng)分析員是信息系統(tǒng)和其他業(yè)務(wù)部門聯(lián)系橋梁——能力計(jì)劃——《系統(tǒng)需求分析規(guī)格書》
    系統(tǒng)設(shè)計(jì)：邏輯設(shè)計(jì)/物理設(shè)計(jì)——《系統(tǒng)設(shè)計(jì)規(guī)格書》
    系統(tǒng)編程：將設(shè)計(jì)規(guī)格書轉(zhuǎn)化成計(jì)算機(jī)軟件代碼的過程——《軟件程序代碼》
    在軟件需求與設(shè)計(jì)階段審計(jì)師關(guān)注點(diǎn)：需求階段安全需求是否完備，能否保證信息系統(tǒng)機(jī)密、完整、可用，是否有足夠的審計(jì)蹤跡/審計(jì)設(shè)計(jì)階段檢查安全需求是否有足夠的控制已集成到系統(tǒng)定義和測試計(jì)劃中，連續(xù)性在線審計(jì)功能是否集成到系統(tǒng)中/在系統(tǒng)設(shè)計(jì)階段的基線上是否建立變動(dòng)控制/檢查相關(guān)文檔是否齊全
    測試：模塊測試/系統(tǒng)測試/驗(yàn)收測試
    轉(zhuǎn)換：平行轉(zhuǎn)換/直接轉(zhuǎn)換/試點(diǎn)轉(zhuǎn)換/分階段的轉(zhuǎn)換策略
    3.內(nèi)部審計(jì)師對信息系統(tǒng)開發(fā)的參與
    參與方式：連續(xù)參與開發(fā)/在系統(tǒng)開發(fā)結(jié)束時(shí)參與/在系統(tǒng)實(shí)施后參與
    連續(xù)參與的好處：大限度地降低系統(tǒng)重新設(shè)計(jì)的成本
    4.系統(tǒng)維護(hù)與變動(dòng)的控制：
    程序變動(dòng)控制：經(jīng)管理層批準(zhǔn)/經(jīng)全面測試并保存文檔/必須留下何人、何時(shí)、何事的線索
    修改軟件的風(fēng)險(xiǎn)：使用未經(jīng)審查、測試的修改軟件，使被處理信息的可靠性減弱
    5.終用戶開發(fā)的風(fēng)險(xiǎn)
    系統(tǒng)分析功能被忽略/難集成/系統(tǒng)內(nèi)產(chǎn)生專用信息系統(tǒng)/缺乏標(biāo)準(zhǔn)和文檔，使用和維護(hù)都依賴開發(fā)者/缺乏監(jiān)督，失去數(shù)據(jù)一致性
    6.降低終用戶開發(fā)的風(fēng)險(xiǎn)：成立信息中心/集中系統(tǒng)開發(fā)專家對用戶進(jìn)行培訓(xùn)/提個(gè)開發(fā)工具與指導(dǎo)，協(xié)助建立質(zhì)量標(biāo)準(zhǔn)/信息中心直接參與系統(tǒng)分析與設(shè)計(jì)/對終端用戶開發(fā)的審計(jì)（確定終端用戶開發(fā)的程序——對應(yīng)用程序進(jìn)行風(fēng)險(xiǎn)排序——對控制情況進(jìn)行文件處理與測試）
    7.軟件許可問題：
    使用盜版軟件的危害（違法/易感染病毒）/防止使用非法軟件的方法（建立制度/版權(quán)法教育/定期鑒別/專人保管安裝盤）/非法軟件的發(fā)現(xiàn)（比較采購記錄與可執(zhí)行文件/比較序列號）