國際注冊內(nèi)部審計師

信息技術(shù)運營的功能分類

1.Functional Areas of IT Operations

信息系統(tǒng)運營的功能分類

信息系統(tǒng)按服務(wù)組織層次分為：

· 作業(yè)層系統(tǒng)（operational-level systems）。它能幫助組織中從事基本交易活動的人員回答常規(guī)問題，跟蹤組織事務(wù)流程。作業(yè)層的主要應(yīng)用是事務(wù)（交易）處理系統(tǒng)（TPS：transaction processing systems）。

· 知識層系統(tǒng)（knowledge-level systems）。它能幫助組織中知識員工和數(shù)據(jù)員工把知識用到經(jīng)營中去，為組織管理文件檔案工作。知識層的主要應(yīng)用有知識工作系統(tǒng)（KWS：knowledge work systems）和辦公自動化系統(tǒng)（OAS：office automation systems）。

· 管理層系統(tǒng)（management-level systems）。它能幫助中層經(jīng)理從事監(jiān)督、管理和決策，處理行政事務(wù)。管理層的主要應(yīng)用有管理信息系統(tǒng)（MIS：management information systems）和決策支持系統(tǒng)（DSS：decision-support systems）。

· 戰(zhàn)略層系統(tǒng)（strategic-level systems）。它能幫助高層經(jīng)理解決戰(zhàn)略問題，研究組織內(nèi)部和外部環(huán)境。戰(zhàn)略層的主要應(yīng)用是高級經(jīng)理支持系統(tǒng)（ESS：executive support systems）。

信息系統(tǒng)按職能部門分為銷售和市場系統(tǒng)、制造系統(tǒng)、財務(wù)系統(tǒng)、會計系統(tǒng)、人力資源系統(tǒng)等。

2.IT Departments and Their Functions

與信息系統(tǒng)有關(guān)的部門及其職責

信息系統(tǒng)指導(dǎo)委員會（Information Systems Steering Committee）

職責是協(xié)調(diào)信息系統(tǒng)長期、短期計劃與組織計劃的關(guān)系；建立信息系統(tǒng)的獲得、開發(fā)、維護的規(guī)則；審批信息系統(tǒng)的投資、監(jiān)督信息系統(tǒng)計劃的執(zhí)行；全方位地管理和監(jiān)督信息系統(tǒng)的實施。指導(dǎo)委員會應(yīng)包括來自高級管理層、信息系統(tǒng)部門及用戶部門的管理人員的代表。

信息系統(tǒng)部門（Information System Department）

負責系統(tǒng)的開發(fā)、實施和維護，其結(jié)構(gòu)隨組織的規(guī)模和工作量的大小而有所不同，但通常應(yīng)包括系統(tǒng)開發(fā)小組和系統(tǒng)運行小組。

· 系統(tǒng)開發(fā)小組（system development unit）。根據(jù)系統(tǒng)開發(fā)的目標開展系統(tǒng)分析、設(shè)計、編程和測試工作。系統(tǒng)開發(fā)小組由不同的信息系統(tǒng)專家組成，包括系統(tǒng)分析員、系統(tǒng)設(shè)計員、程序員和項目經(jīng)理等，其中，系統(tǒng)分析員是企業(yè)信息系統(tǒng)部門和其他部門聯(lián)絡(luò)的主要橋梁，他們通過對原有系統(tǒng)存在的問題進行分析，評價各種解決方案的可行性，提出可行性分析報告和用戶需求報告。

· 系統(tǒng)運行小組（computer operational unit）。其主要職責是確保信息系統(tǒng)的正常運行。系統(tǒng)運行部門應(yīng)建立系統(tǒng)的咨詢幫助平臺（help-desk），及時回答并幫助解決用戶提出的各種技術(shù)或操作問題。信息中心咨詢臺應(yīng)配備足夠人員，否則用戶遇到的問題將不能及時正確處理，以至操作時不斷出現(xiàn)錯誤。

系統(tǒng)用戶部門（System User Department）

職責是正確操作計算機，完成具體任務(wù)。

3.Responsibilities for IT Security Staff

信息系統(tǒng)安全人員的職責

· 信息系統(tǒng)高層管理人員負責評估系統(tǒng)應(yīng)用的風險，包括各種安全風險的發(fā)生概率以及可能引起的損失，并對實施和運行相關(guān)安全性措施所需的成本進行評估，從而在安全控制的成本和效益平衡的原則上，制定風險控制目標和措施。

· 信息系統(tǒng)安全主管的職責主要包括：為公司制定信息安全政策；評價應(yīng)用程序的安全控制；檢測并調(diào)查不成功的訪問企圖；監(jiān)督具有訪問特權(quán)的用戶對生產(chǎn)數(shù)據(jù)的訪問，以確保信息用于合理且經(jīng)過授權(quán)的用途。

4.Data Center Operations

數(shù)據(jù)中心運行

數(shù)據(jù)中心運行是指信息系統(tǒng)硬件及軟件的日常工作。各組織的信息系統(tǒng)處理環(huán)境依計算機規(guī)模及負載量而有所不同，因此信息系統(tǒng)運行的內(nèi)容也會有所不同，但一般而言，都具有如下基本內(nèi)容：

· 信息系統(tǒng)運行的管理；

· 計算機操作；

· 技術(shù)支持／幫助臺；

· 數(shù)據(jù)輸入／輸出；

· 質(zhì)量保證；

· 程序變更控制；

· 問題管理程序；

· 監(jiān)控資源有效運行的程序；

· 實體及邏輯安全的管理；

· 應(yīng)用管理與業(yè)務(wù)持續(xù)計劃。

典型試題

【例題】一個組織的決策層適合使用以下哪一種信息系統(tǒng)?

A.管理信息系統(tǒng)

B.決策支持系統(tǒng)

C.高級經(jīng)理支持系統(tǒng)

D.知識工作系統(tǒng)

【答案】C

【解析】

A.不正確。管理信息系統(tǒng)幫助中層經(jīng)理從事監(jiān)督、管理，處理行政事務(wù)。

B.不正確。決策支持系統(tǒng)幫助中高層經(jīng)理對某些具體問題進行決策。

C.正確。高級經(jīng)理支持系統(tǒng)幫助高層經(jīng)理處理解決戰(zhàn)略問題，研究組織內(nèi)部和外部環(huán)境。

D.不正確。知識工作系統(tǒng)幫助組織中知識員工和數(shù)據(jù)員工把知識用到經(jīng)營中去，為組織管理文件檔案工作。

【例題】一個組織的計算機幫助平臺功能通常由哪個部門負責?

A.應(yīng)用開發(fā)部門

B.系統(tǒng)編程部門

C.計算機運行部門

D.用戶部門

【答案】C

【解析】

A.不正確。應(yīng)用開發(fā)部門負責系統(tǒng)的開發(fā)。

B.不正確。系統(tǒng)編程部門負責系統(tǒng)的程序設(shè)計。

C.正確。計算機運行部門負責系統(tǒng)的日常運行維護，計算機幫助平臺是其功能之一。

D.不正確。用戶部門負責操作使用計算機系統(tǒng)。

【例題】在一個大型組織里，信息中心幫助平臺沒有配備足夠人員的最大風險是

A.增加了實施應(yīng)用審計的難度

B.應(yīng)用系統(tǒng)缺乏足夠的文檔

C.增加了使用未經(jīng)授權(quán)的程序代碼的可能性

D.用戶操作系統(tǒng)時不斷出現(xiàn)錯誤

【答案】D

【解析】

A.不正確。無論幫助平臺是否配備足夠的人員，應(yīng)用審計的難度是相同的。

B.不正確。文檔制作是開發(fā)職能，而不是幫助平臺的職能。

C.不正確。使用未經(jīng)許可程序代碼的可能性也不是幫助平臺的職能，而是變更控制的職能。

D.正確。信息中心幫助平臺沒有配備足夠人員的最大風險是用戶在和系統(tǒng)交互過程中將無意識地持續(xù)出錯。

【例題】一個系統(tǒng)應(yīng)有能力使其用戶對所做的工作承擔責任，以下哪項控制的實施將最有助于達到這一控制目標?

A.程序化終止

B.冗余硬件

C.活動日志

D.交易出錯日志

【答案】C

【解析】

A.不正確。程序化終止控制用于減低系統(tǒng)在錯誤期間進行交易的風險。

B.不正確。冗余硬件是對硬件故障的控制。

C.正確?；顒尤罩咎峁┝藢τ脩粜袨榈膶徲嬠欅E。

D.不正確。交易出錯日志控制的是交易而不是用戶終端行為。

內(nèi)審師考試輔導(dǎo)信息技術(shù)運營的功能分類 src="http:///NewsFiles/2010-2/3/00e6.jpg" border=0>

【例題】以下除哪項外都是信息安全主管的職責?

A.制定組織的信息安全政策

B.維護和更新用戶密碼列表

C.評價新應(yīng)用軟件中的安全控制

D.監(jiān)測和調(diào)查不成功的訪問企圖

【答案】B

【解析】

A.不正確。制定組織的信息安全政策是信息安全主管的職責。

B.正確。維護和更改用戶密碼列表應(yīng)由用戶自己完成。

C.不正確。評價新應(yīng)用軟件中的安全控制是信息安全主管的職責。

D.不正確。對失敗的訪問企圖進行監(jiān)測和調(diào)查是信息安全主管的職責。

國際內(nèi)審師考試輔導(dǎo)信息技術(shù)運營的功能分類 src="http:///NewsFiles/2010-2/3/00e7.jpg" border=0>

【例題】在信息系統(tǒng)安全方面，以下哪一項是高層管理人員的主要職責?

A.評估風險

B.分配系統(tǒng)訪問權(quán)

C.確認數(shù)據(jù)所有權(quán)

D.對雇員進行安全教育

【答案】A

【解析】

A.正確。評估風險是高層管理人員的職責。

B.不正確。分配系統(tǒng)訪問權(quán)是信息安全主管的職責。

C.不正確。確認數(shù)據(jù)所有權(quán)是信息安全主管的職責。

D.不正確。對雇員進行安全教育是信息安全主管的職責。

【例題】建立數(shù)據(jù)所有權(quán)關(guān)系的任務(wù)應(yīng)當是以下哪一種人的責任?

A.職能部門用戶

B.內(nèi)部審計師

C.數(shù)據(jù)處理人員

D.外部審計師

【答案】A

【解析】

A.正確。職能部門的用戶擁有儲存在計算機系統(tǒng)中的各種數(shù)據(jù)，因此他們有切身的利益和不可推卸的責任來建立數(shù)據(jù)所有權(quán)關(guān)系計劃。

B.不正確。內(nèi)部審計師無權(quán)建立數(shù)據(jù)所有權(quán)關(guān)系計劃，甚至也不能給出推薦意見。

C.不正確。外部審計師也無權(quán)建立數(shù)據(jù)所有權(quán)關(guān)系計劃，甚至也不能給出推薦意見。

D.不正確。因為數(shù)據(jù)處理人員只是用戶數(shù)據(jù)的保管員，無權(quán)確定數(shù)據(jù)所有權(quán)關(guān)系。

【例題】在一個計算機環(huán)境下，以下哪一種訪問設(shè)置是適當?shù)模?

【答案】A

解題思路:

A.正確。用戶需要通過應(yīng)用程序來修改數(shù)據(jù)。

B.不正確。應(yīng)用程序員應(yīng)不能直接修改生產(chǎn)程序，而應(yīng)該將修改內(nèi)容提交給變動控制部門。

C.不正確。應(yīng)用程序員絕不能修改生產(chǎn)數(shù)據(jù)。用戶也毫無修改生產(chǎn)程序的理由。

D.不正確.見題解B和C。

編輯推薦：
2010年國際內(nèi)審師考試輔導(dǎo)電子資金轉(zhuǎn)賬
2010年國際內(nèi)審師考試輔導(dǎo)電子商務(wù)
2010年國際內(nèi)審師考試輔導(dǎo)電子數(shù)據(jù)交換
2010年國際內(nèi)審師考試輔導(dǎo)加密

（責任編輯：中大編輯）

共2頁,當前第1頁  第一頁  前一頁  下一頁