信息系統(tǒng)審計報告

1、信息系統(tǒng)審計報告計算機和信息系統(tǒng)安全保密審計報告根據(jù)市國家保密局要求，公司領(lǐng)導(dǎo)非常重視計算機信息系統(tǒng)安全保密工作，在公司內(nèi)部系統(tǒng)內(nèi)開展自查，認(rèn)真對待，不走過場，確保檢查不漏一機一人。雖然在檢查中沒有發(fā)現(xiàn)違反安全保密規(guī)定的情況，但是，仍然要求計算機使用管理人員不能放松警惕，要時刻注意自己所使用和管理的計算機符合計算機信息系統(tǒng)安全保密工作的規(guī)定，做到專機專用，專人負(fù)責(zé)，專人管理，確保涉密計算機不上網(wǎng)，網(wǎng)上信息發(fā)布嚴(yán)格審查，涉密資料專門存儲，不交叉使用涉密存儲設(shè)備，嚴(yán)格落實計算機信息系統(tǒng)安全保密制度。通過檢查，進一步提高了全公司各部門員工對計算機信息系統(tǒng)安全保密工作的認(rèn)識，增強了責(zé)任感和使命感。現(xiàn)將

2、自查情況匯報如下：一、加大保密宣傳教育，增強保密觀念。始終把安全保密宣傳教育作為一件大事來抓，經(jīng)常性地組織全體職工認(rèn)真學(xué)習(xí)各級有關(guān)加強安全保密的規(guī)定和保密常識，如看計算機泄密錄像等，通過學(xué)習(xí)全公司各部門員工安全憂患意識明顯增強，執(zhí)行安全保密規(guī)定的自覺性和能力明顯提高。二、明確界定涉密計算機和非涉密計算機。涉密計算機應(yīng)有相應(yīng)標(biāo)識，設(shè)置開機、屏?？诹?，定期更換口令，存放環(huán)境要安全可靠。涉密移動硬盤、軟盤、光盤、u盤等移動存儲介質(zhì)加強管理，涉密移動存儲介質(zhì)也應(yīng)有標(biāo)識，不得在非涉密計算機中使用，嚴(yán)防泄密。非涉密計算機、非涉密存儲介質(zhì)不得以任何理由處理涉密信息，非涉密存儲介質(zhì)不得在涉密計算機中使用涉密信

3、息。涉密信息和數(shù)據(jù)必須按照保密規(guī)定進行采集、存儲、處理、傳遞、使用和銷毀。計算機信息系統(tǒng)存儲、處理、傳遞、輸出的涉密信息要有相應(yīng)的密級標(biāo)識，密級標(biāo)識不能與正文分離。涉密信息不得在與國際網(wǎng)絡(luò)聯(lián)接的計算機信息系統(tǒng)中存儲、處理、傳遞。三、加強筆記本電腦的使用管理。筆記本電腦主要在公司內(nèi)部用于學(xué)習(xí)計算機新軟件、軟件調(diào)試，不處理涉密數(shù)據(jù)或文件。四、計算機的使用人員要定期對電腦進行安全檢查，及時升級殺毒軟件，定時查殺病毒。對外來計算機介質(zhì)必須堅持先交計算機管理人員查殺病毒再上中轉(zhuǎn)機使用的原則。五、對需要維修的涉密計算機，各部門必須事先將計算機內(nèi)的涉密信息進行清除；如需調(diào)換計算機硬盤，清除涉密信息后方可允許

4、維修人員將硬盤帶走。對報廢的涉密計算機必須徹底清除計算機內(nèi)的信息，方可處理。六、小結(jié)安全審計作為一門新的信息安全技術(shù)，能夠?qū)φ麄€計算機信息系統(tǒng)進行監(jiān)控，如實記錄系統(tǒng)內(nèi)發(fā)生的任何事件，一個完善的安全審計系統(tǒng)可以根據(jù)一定的安全策略記錄和分析歷史操作事件及數(shù)據(jù)，有效的記錄攻擊事件的發(fā)生，提供有效改進系統(tǒng)性能和的安全性能的依據(jù)。本文從安全審計的概念、在涉密信息系統(tǒng)中需要審計的內(nèi)容、安全審計的關(guān)鍵技術(shù)及安全審計系統(tǒng)應(yīng)該注意的問題等幾個方面討論了安全審計在涉密信息系統(tǒng)中的應(yīng)用。安全審計系統(tǒng)應(yīng)該全面地對整個涉密信息系統(tǒng)中的網(wǎng)絡(luò)、主機、應(yīng)用程序、數(shù)據(jù)庫及安全設(shè)備等進行審計，同時支持分布式跨網(wǎng)段審計，集中統(tǒng)一管

5、理，可對審計數(shù)據(jù)進行綜合的統(tǒng)計與分析，從而可以更有效的防御外部的入侵和內(nèi)部的非法違規(guī)操作，最終起到保護機密信息和資源的作用。計算機技術(shù)管理部2011.8.17信息系統(tǒng)審計電子數(shù)據(jù)處理系統(tǒng)發(fā)展分為三階段：數(shù)據(jù)的單項處理階段(1953-1965)、數(shù)據(jù)的綜合處理階段、數(shù)據(jù)的系統(tǒng)處理階段，對傳統(tǒng)審計產(chǎn)生了巨大的影響，主要表現(xiàn)在對審計線索的影響：傳統(tǒng)的審計線索缺失；edp下：數(shù)據(jù)處理、存儲電子化，不可見，難辨真?zhèn)巍徲嫹椒ê图夹g(shù)的影響：技術(shù)方法復(fù)雜化；edp下：利用計算機審計技術(shù)變得復(fù)雜化對審計人員的影響：知識構(gòu)成要求發(fā)生變化；edp下：會計、審計、計算機等知識和技能對審計準(zhǔn)則的影響：信息化下審計準(zhǔn)

6、則與標(biāo)準(zhǔn)的缺失；edp下：在原有審計準(zhǔn)則的基礎(chǔ)上，建立一系列新的準(zhǔn)則對內(nèi)部控制的影響：內(nèi)部控制方式發(fā)生改變：傳統(tǒng)方式下：強調(diào)對業(yè)務(wù)活動及會計活動使用授權(quán)批準(zhǔn)和職責(zé)分工等控制程序來保證。edp下：數(shù)據(jù)處理根據(jù)既定的指令程序自動進行，信息的處理和存儲高度集中于計算機，控制依賴于計算機信息系統(tǒng)，控制方式發(fā)生改變。2、信息系統(tǒng)審計的定義：指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對信息系統(tǒng)從計劃、研發(fā)、實施到運行維護各個環(huán)節(jié)進行審查評價，對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的完整、效能、效率、安全性進行監(jiān)測、評估和控制的過程，以確認(rèn)預(yù)定的業(yè)務(wù)目標(biāo)得以實現(xiàn)，并提出一系列改進建議的管理活動。3、信息系統(tǒng)審計的特點審計范圍的廣泛性審計

7、線索的隱蔽性、易逝性審計取證的動態(tài)性審計技術(shù)的復(fù)雜性：首先，由于不同被審單位的信息系統(tǒng)所配備的計算機設(shè)備各式各樣，各個機器的功能各異，所配備的系統(tǒng)軟件也各不相同。審計人員在審計過程中，必然要和計算機的硬件和系統(tǒng)軟件打交道，各種機型功能不一，配備的系統(tǒng)軟件各異，必然增加了審計技術(shù)的復(fù)雜性，其次，由于不同被審單位的業(yè)務(wù)規(guī)模和性質(zhì)不同，所采用的數(shù)據(jù)處理及存儲方式也不同，不同的數(shù)據(jù)處理，存儲方式，審計所采用的方法、技術(shù)也不同。此外，不同被審單位其應(yīng)用軟甲你的開發(fā)方式、軟件開發(fā)的程序設(shè)計語言也不盡相同，不同開發(fā)方式以及用不同的程序設(shè)計語言開發(fā)的應(yīng)用軟件，其審計方法與技術(shù)也不一樣。4、信息系統(tǒng)審計的目標(biāo)：

8、保護資產(chǎn)的完整性：信息系統(tǒng)的資產(chǎn)包括硬件、軟件、設(shè)備、人員、數(shù)據(jù)文件、系統(tǒng)檔案等；保證數(shù)據(jù)的準(zhǔn)確性：數(shù)據(jù)準(zhǔn)確性是指數(shù)據(jù)能滿足規(guī)定的條件，防止粗無信息的輸入和輸出，一級非授權(quán)狀態(tài)下的修改信息所造成的無效操作和錯誤后果；提高系統(tǒng)的有效性：系統(tǒng)的有效性表明系統(tǒng)能否獲得預(yù)期的目標(biāo)；提高系統(tǒng)的效率性：系統(tǒng)效率是指系統(tǒng)達(dá)到預(yù)定目標(biāo)所消耗的資源，一個效率高的信息系統(tǒng)能夠以盡量少的資源達(dá)到需要的目標(biāo)；保證信息系統(tǒng)的合規(guī)性合法性：信息系統(tǒng)及其運用必須遵守有關(guān)法律、法規(guī)和規(guī)章制度。5、信息系統(tǒng)審計的主要內(nèi)容：內(nèi)部控制系統(tǒng)審計內(nèi)部控制系統(tǒng)包括一般控制系統(tǒng)應(yīng)用控制系統(tǒng)；系統(tǒng)開發(fā)審計；應(yīng)用程序?qū)徲?；?shù)據(jù)文件審計、基本方

9、法：繞過信息系統(tǒng)審計：基于黑箱原理，審計人員不審查系統(tǒng)內(nèi)的程序和文件，只審查i/o數(shù)據(jù)及其管理制度。優(yōu)點：審計技術(shù)簡單、較少干擾被審系統(tǒng)。缺點：審計結(jié)果不太可靠、要求i/o聯(lián)系緊密通過信息系統(tǒng)審計：基于黑箱原理，審計人員不審查系統(tǒng)內(nèi)的程序和文件，只審查i/o數(shù)據(jù)及其管理制度。優(yōu)點：審計技術(shù)簡單、較少干擾被審系統(tǒng)。缺點：審計結(jié)果不太可靠、要求i/o聯(lián)系緊密。7、步驟：準(zhǔn)備階段；實施階段；終結(jié)階段、發(fā)出審計結(jié)論和決定、審計資料的歸檔和檔案）8、國際信息系統(tǒng)審計原則：審計標(biāo)準(zhǔn)；審計指南；作業(yè)程序9、審計師應(yīng)具備的素質(zhì)：應(yīng)具備的理論知識：傳統(tǒng)審計理論、信息系統(tǒng)管理理論、計算機科學(xué)、行為科學(xué)理論應(yīng)具有的

10、實踐技能：參加過不同類別的工作培訓(xùn)，尤其是在組織采用和實施新技術(shù)時，此外也參加過組織內(nèi)部計劃的制定等；參與專業(yè)的機構(gòu)或廠商組織的研討會，動態(tài)掌握信息技術(shù)的新發(fā)展對審計時間的影響；具有理解信息處理活動的各種技術(shù)，尤其是影響組織財務(wù)活動的技術(shù)，能夠與來自各領(lǐng)域的管理者、用戶、技術(shù)專家進行交流；理解并熟悉操作環(huán)境，評估內(nèi)部控制的有效性；理解現(xiàn)有與未來系統(tǒng)的技術(shù)復(fù)雜性，以及它們對各級操作與決策的影響；能使用技術(shù)的方法去識別技術(shù)的完整性；要參與評估與使用信息技術(shù)相關(guān)的有效性、效率、風(fēng)險等；能夠提供審計集成服務(wù)并對審計員工提供指導(dǎo)，與財務(wù)審計師一起對公司財務(wù)狀況作出聲明；具備系統(tǒng)開發(fā)方法論、安全控制設(shè)計、

11、實施后評估等；掌握網(wǎng)絡(luò)相關(guān)的安全事件、信息安全服務(wù)、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃、異步傳輸模式等通信技術(shù)。10、it治理德勤定義：it治理是是一個含義廣泛的概念，包括信息系統(tǒng)、技術(shù)、通信、商業(yè)、所有利益相關(guān)者、合法性和其他問題。其主要任務(wù)是保持it與業(yè)務(wù)目標(biāo)一致推動業(yè)務(wù)發(fā)展，促使收益最大化，合理利用it資源，it相關(guān)風(fēng)險的適當(dāng)管理。11、共同點：it治理必須與企業(yè)戰(zhàn)略目標(biāo)一致，it對于企業(yè)非常關(guān)鍵，也是戰(zhàn)略規(guī)劃的組成，影響戰(zhàn)略競爭。it治理保護利益相關(guān)者的權(quán)益，使風(fēng)險透明化，知道和控制it投資、機遇、利益、風(fēng)險。it治理和其他治理主題一樣，是管理執(zhí)行人員和利益相關(guān)者的責(zé)任it治理包括管理層、組織結(jié)構(gòu)

12、、過程，以確保it維持和拓展組織戰(zhàn)略目標(biāo)應(yīng)該合理利用企業(yè)的信息資源，有效地進程與協(xié)調(diào)。確保it戰(zhàn)略及時按照目標(biāo)交付，有合適的功能和期望的收益，是一個一致性和價值傳遞的基本構(gòu)建模塊，有明確的期望值和衡量手段。引導(dǎo)it戰(zhàn)略平衡系統(tǒng)的投資，支持企業(yè)，變革企業(yè)，或者創(chuàng)建一個信息基礎(chǔ)構(gòu)架，保證業(yè)務(wù)增長，并在一個新的領(lǐng)域競爭。對于核心it資源做出合理的決策，進入新的市場，驅(qū)動競爭策略，創(chuàng)造總的收入增長，改善客戶滿意度，維系客戶關(guān)系。12、it管理是公司的信息及信息系統(tǒng)的運營，確定it目標(biāo)以及實現(xiàn)此目標(biāo)所采取的行動。it治理是指最高管理層利用它來監(jiān)督管理層在it戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián)系，以確保這種運營處于正

13、確的軌道之上。it治理規(guī)定了整個企業(yè)it運行的基本框架，it管理則是在這個既定的框架下駕馭企業(yè)奔向目標(biāo)。13、公司治理和it治理：公司治理關(guān)注利益相關(guān)者權(quán)益和管理，驅(qū)動和調(diào)整it治理。it能夠提供關(guān)鍵的輸入，形成戰(zhàn)略計劃的一個重要組成部分，是公司治理的重要功能。14、itil：信息技術(shù)基礎(chǔ)構(gòu)架庫；cobit：信息和相關(guān)技術(shù)的控制目標(biāo)；bs7799：國際安全管理標(biāo)準(zhǔn)體系；prince2是一種對項目管理的某些特定方面提供支持的方法。15、it治理成熟度模型：不存在、初始級、可重復(fù)級、已定義級、已管理級、優(yōu)化級作用：it治理成熟度模型制定了一個基準(zhǔn)，組織可能根據(jù)上面的指標(biāo)確定自己的等級，從而了解自身

14、的境界。在此基礎(chǔ)上確定組織的關(guān)鍵成功因素，通過關(guān)鍵績效指標(biāo)進行監(jiān)控，并衡量組織是否能達(dá)到關(guān)鍵目標(biāo)指標(biāo)中所設(shè)定的目標(biāo)。16、信息系統(tǒng)內(nèi)部控制：一個單位在信息系統(tǒng)環(huán)境下，為了保證業(yè)務(wù)活動的有效進行，保護資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯誤與舞弊，確保信息系統(tǒng)提供信息的真實、合法、完整，而制定和實施的一系列政策與程序措施。17、一般控制系統(tǒng)：范圍：應(yīng)用于一個單位信息系統(tǒng)全部或較大范圍的內(nèi)部控制。對象：應(yīng)為除信息系統(tǒng)應(yīng)用程序以外的其他部分?；灸繕?biāo)：保證數(shù)據(jù)安全、保護計算機應(yīng)用程序、防止系統(tǒng)被非法侵入、保證在意外情況下的持續(xù)運行等。18、良好的一般控制是應(yīng)用控制的基礎(chǔ)。如果一般控制審計結(jié)果很差，應(yīng)用

15、控制審計就沒有進行的必要。19、審計邏輯訪問安全策略：此策略應(yīng)當(dāng)為邏輯訪問建立“知所必需”的原則，并合理評估在訪問過程中暴露的風(fēng)險。20、審查離職員工的訪問控制：一般來說，員工離職的情況主要有請辭、聘用合同期滿和非自愿離職三種。對于非自愿離職的員工，組織應(yīng)當(dāng)在接觸其職務(wù)之前，及時收回或嚴(yán)格限制其對組織信息資源的訪問權(quán)，使其不能繼續(xù)訪問組織的機密信息，或使其不能破壞組織有價值的信息資產(chǎn)。如果對于這類員工還需要保留一部分訪問權(quán)，必須得到相關(guān)管理層批準(zhǔn)，并對其進行嚴(yán)格的監(jiān)督。對其他兩種離職的員工，由管理層批準(zhǔn)是否保留他們的訪問權(quán)，這取決于每一種人所處的特定環(huán)境、員工所訪問it資產(chǎn)的敏感程度以及組織的

16、信息安全策略、標(biāo)準(zhǔn)和程序的要求。21、系統(tǒng)訪問：通過某種途徑允許或限制對網(wǎng)絡(luò)資源和數(shù)據(jù)的訪問能力及范圍。邏輯訪問控制：通過一定的技術(shù)方法控制用戶可以利用什么樣的信息，可以運行什么程序與事務(wù)，可以修改什么信息與數(shù)據(jù)。物理訪問控制：限制人員進出敏感區(qū)域。對極端及信息的物理訪問與邏輯訪問應(yīng)當(dāng)建立在“知所必需”的基礎(chǔ)上，按照最小授權(quán)原則和職責(zé)分離原則來分配系統(tǒng)訪問權(quán)限，并把這些訪問規(guī)則與訪問授權(quán)通過正式書面文件記錄下來，作為信息安全的重要文件加以妥善管理。22、身份識別與驗證：“只有你知道的事情”賬號與口令，賬號的控制、口令的控制；“只有你擁有的東西”令牌設(shè)備，發(fā)送許可權(quán)的特殊消息或一次性口令的設(shè)備；

17、“只有你具有的特征”生物/行為測定，指紋、虹膜等和簽名等。23、邏輯訪問授權(quán)：一般情況下，邏輯訪問控制基于最小授權(quán)原則，只對因工作需要訪問信息系統(tǒng)的人員進行必要的授權(quán)，當(dāng)用戶在組織變換工作角色時，在賦予他們新訪問權(quán)限時，一般沒有及時取消舊的訪問權(quán)限，這回產(chǎn)生訪問控制上的風(fēng)險。所以當(dāng)員工職位有變動時，信息系統(tǒng)審計是要及時審核訪問控制列表是否做了有效變更。24、bcp一般包括業(yè)務(wù)持續(xù)性計劃、業(yè)務(wù)恢復(fù)計劃、連續(xù)作業(yè)計劃、持續(xù)支持計劃/it應(yīng)急計劃、危機通信計劃、事件響應(yīng)計劃、災(zāi)難恢復(fù)計劃、場所應(yīng)急計劃25、數(shù)據(jù)備份：完全備份、增量備份、差分備份等26、信息系統(tǒng)審計針對災(zāi)難恢復(fù)與業(yè)務(wù)連續(xù)性計劃，其主要

18、任務(wù)是理解預(yù)評價組織的業(yè)務(wù)連續(xù)性策略，及其與組織業(yè)務(wù)目標(biāo)的符合性；參考相應(yīng)的標(biāo)準(zhǔn)和法律法規(guī)，評估該計劃的充分性和實效性；審核信息系統(tǒng)及終端用戶對計劃所做測試的結(jié)果，驗證計劃的有效性；審核異地存儲設(shè)施及其內(nèi)容、安全和環(huán)境控制，以評估異地存儲站點的適當(dāng)性；通過審核應(yīng)急措施、員工培訓(xùn)、測試結(jié)果，評估信息系統(tǒng)及其終端用戶在緊急情況下的有效反應(yīng)能力；確認(rèn)組織對業(yè)務(wù)持續(xù)性計劃的維護措施存在并有效。27、應(yīng)用控制市委適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制。可將應(yīng)用控制劃分為輸入控制、處理控制和輸出控制。應(yīng)用控制也是由手工控制和程序化控制構(gòu)成，但以程序化控制為主。28、信

19、息系統(tǒng)開發(fā)審計是對信息系統(tǒng)開發(fā)過程進行的審計，審計的目的一是要檢查開發(fā)的方法、程序是否科學(xué)，是否含有恰當(dāng)?shù)目刂?；二是要檢查開發(fā)過程中產(chǎn)生的系統(tǒng)文檔資料室否規(guī)范。29、系統(tǒng)開發(fā)過程審計：遵守標(biāo)準(zhǔn)與流程；有效的操作；使系統(tǒng)合乎法律要求；必要的控制，預(yù)防可能的損失及嚴(yán)重錯誤；為管理層、信息系統(tǒng)審計師、操作人員提供必要的審計軌跡；系統(tǒng)文檔，便于系統(tǒng)維護與審計。30、軟件維護的種類：糾錯性維護、適應(yīng)性維護、完善性維護、預(yù)防性維護31、itil:六個主要模塊:服務(wù)管理、業(yè)務(wù)管理、信息與通信技術(shù)基礎(chǔ)設(shè)施管理、應(yīng)用管理、it服務(wù)管理實施規(guī)劃、安全管理32、服務(wù)管理模塊：面向it基礎(chǔ)設(shè)施管理的服務(wù)支持和面向業(yè)務(wù)

20、管理的服務(wù)提供。it服務(wù)提供流程主要面對付費的機構(gòu)和個人客戶，負(fù)責(zé)為客戶提供高質(zhì)量、低成本的it服務(wù)。它的任務(wù)是根據(jù)組織的業(yè)務(wù)需求，對服務(wù)能力、持續(xù)性、可用性等服務(wù)級別目標(biāo)進行規(guī)劃和設(shè)計，同時，還必須考到這些服務(wù)目標(biāo)所需要好費電成本。it服務(wù)主要包括服務(wù)水平管理、it服務(wù)財務(wù)管理、能力管理、it服務(wù)持續(xù)性管理和可用性管理五個服務(wù)管理流程。it服務(wù)支持的服務(wù)支持流程主要面向終端用戶，責(zé)任確保it服務(wù)的穩(wěn)定性與靈活性，用于確保終端用戶得到適當(dāng)?shù)姆?wù)，以支持組織的業(yè)務(wù)功能。服務(wù)支持流程包括體現(xiàn)服務(wù)接觸和溝通的服務(wù)臺職能和五個運作層次的流程，即配置管理、事故管理、問題管理、變更管理和發(fā)布管理等。33、

21、應(yīng)用程序?qū)徲嫷膬?nèi)容：審查程序控制是否健全有效：程序中輸入控制、處理控制、輸出控制的審計；審查程序編碼的合法性：是否含有為了舞弊目的而設(shè)計的非法編碼；審查程序編碼的正確性：是否編碼有錯誤、目標(biāo)和任務(wù)不明確，系統(tǒng)設(shè)計、程序設(shè)計錯誤；審查程序的有效性：是否有無效編碼、是否有效率較差的編碼34、應(yīng)用程序?qū)徲嫹椒ǎ菏止徲嫹椒ㄅc計算機輔助審計方法相結(jié)合。35、程序編碼檢查法：逐條審查被審程序，驗證程序的合法性、完整性和邏輯的正確性。36、檢測數(shù)據(jù)法：審計人員把一批預(yù)先設(shè)計好的檢測數(shù)據(jù)，利用被審程序加以處理，并把處理的結(jié)果與預(yù)期的結(jié)果做比較，以確定被審程序的控制與處理功能是否恰當(dāng)、有效的一種方法。37、平

22、行模擬法是指審計人員自己或請計算機專業(yè)人員編寫的具有和被審程序相同處理和控制功能的模擬程序，用這種程序處理檔期的實際數(shù)據(jù)，并已處理的結(jié)果與被審計程序的處理結(jié)果進行比較，已評價被審程序的處理和控制功能是否可靠的一種方法。38、嵌入審計程序法是指被審信息系統(tǒng)的設(shè)計和開發(fā)階段，在被審的應(yīng)用程序中嵌入未執(zhí)行特定的審計功能而設(shè)計的程序段，這些程序段可以用來收集審計人員感興趣的資料，并且建立一個審計控制文件，用來存儲這些資料，審計人員通過這些資料的審核來確定被審程序的處理和控制功能的可靠性。39、程序追蹤法是一種對給定的業(yè)務(wù)，跟蹤被審程序處理步驟的審查技術(shù)。一般可由追蹤軟件來完成，也可利用某些高級語言或數(shù)

23、據(jù)庫管理系統(tǒng)中的跟蹤指令跟蹤被審程序的處理。信息系統(tǒng)審計實驗報告據(jù)，以判斷計算機系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效地實現(xiàn)組織目標(biāo)的過程。三種基本類型信息系統(tǒng)的真實性審計、信息系統(tǒng)的安全性審計和信息系統(tǒng)的績效審計目標(biāo)真實性、安全性、完整性、可用性、保密性、可靠性、合法性、效果、效益、效率等。實施程序包括接受審計委托、評估審計風(fēng)險、制定審計計劃、收集審計證據(jù)、出具審計報告、后續(xù)工作。u9電子商務(wù)的安全性是電子商務(wù)真實性的基礎(chǔ)，而電子商務(wù)真實性又是信息系統(tǒng)真實性，特別是財務(wù)數(shù)據(jù)真實性的基礎(chǔ)。分為交易信息保密，交易者身份確認(rèn)，交易不可否認(rèn)，交易記錄不可修改。電子商務(wù)

24、的真實性在于基金流2電子支付）。真實的電子商務(wù)資金流，信息流，物流三者吻合。電子商務(wù)對審計的影響突出標(biāo)志：增加貿(mào)易機會，降低貿(mào)易成本，簡化貿(mào)易流程，提高貿(mào)易效率。1電子商務(wù)交易行為的認(rèn)定更加困難2電子商務(wù)的安全問題不僅涉及企業(yè)和消費者的利益更重要的是國家的經(jīng)濟安全3電子商務(wù)的無紙化徹底改變了審計證據(jù)的獲取技術(shù)和方法，電子文件必須借助相應(yīng)的軟件才能看見和提取，屬于電子證據(jù)認(rèn)定。.總之，由于電子商務(wù)的虛擬化、數(shù)字化、匿名化、無國界和支付方式電子化等特點，使其交易情況大多數(shù)被轉(zhuǎn)換為“數(shù)據(jù)流”在網(wǎng)絡(luò)中傳送，增加了操作隱蔽性和復(fù)雜度，提高了企能力。電子商務(wù)的體系架構(gòu)底層是基礎(chǔ)層，中間是技術(shù)層，是信息傳送

25、的載體和用戶接入的手段，頂層是各種各樣的電子商務(wù)應(yīng)用系統(tǒng)。電子商務(wù)真實性審計內(nèi)容1、電子商務(wù)的真實性，通過被審計企業(yè)的電子商務(wù)系統(tǒng)的日志文件與從認(rèn)證中心獲取數(shù)字時間戳等信息進行核對，同時，提取數(shù)字簽名以驗證交易信息的完整性和是否被修改，2、電子支付的真實性，通過銀行核實電子支付的真實性，3、交易目的的合法性，在信息系統(tǒng)審計師簽證了這些交易的真實性的基礎(chǔ)之上，財務(wù)審計師應(yīng)關(guān)注關(guān)聯(lián)企業(yè)之間電子商務(wù)是否合法合規(guī)，是否會影響或扭曲企業(yè)的收入、成本、利潤等，審核這些交易的合法性。電子商務(wù)的特點1信息加密2電子付款3無紙化操作4操作方便。u11cobit的4個領(lǐng)域1計劃與組織2獲取與實施3轉(zhuǎn)移與支持4監(jiān)督

26、與評價。它直接反應(yīng)企業(yè)的計劃、實施、檢查、更正等基本管理職能。提供了管理的要素、標(biāo)準(zhǔn)和控制目標(biāo)。模型目標(biāo)保障有效性，高效性，保密性，完整性，可用性，兼容性，可靠性。cobit立方：組織內(nèi)部的it資源需要由一組自然分類的it過程來管理。立方的三維是目標(biāo)it資源it過程目標(biāo)1質(zhì)量需求2信任需求3安全需求。it資源包括：1應(yīng)用系統(tǒng)：指人工和程序化的過程的總和，2信息：指信息系統(tǒng)使用、處理、存儲、輸出的數(shù)字、文字、圖像、影像、聲音等，4基礎(chǔ)設(shè)施：指支持和保護信息系統(tǒng)的所有相關(guān)基礎(chǔ)設(shè)施，5人員：指與信息系統(tǒng)設(shè)計、開發(fā)、使用、管理、維護等相關(guān)的人員。it過程三個層次，最底層是活動，中間層為過程，頂層是領(lǐng)域

27、。u2信息系統(tǒng)審計的一個重要特征過程性。信息系統(tǒng)審計風(fēng)險模型審計風(fēng)險=技術(shù)風(fēng)險*控制風(fēng)險*檢查風(fēng)險技術(shù)風(fēng)險指由于技術(shù)缺陷或漏洞等導(dǎo)致信息系統(tǒng)出錯或終端的可能性。是一種無法控制的風(fēng)險。特點技術(shù)風(fēng)險的水平取決于信息技術(shù)的發(fā)展水平以及企業(yè)采用的技術(shù)水平，它的產(chǎn)生與信息系統(tǒng)審計師無關(guān)，企業(yè)可以通過加強內(nèi)部控制和管理等非技術(shù)手段以降低技術(shù)風(fēng)險的水平。技術(shù)風(fēng)險獨立存在于審計過程中，又客觀存在于審計過程中，且是一種相對獨立的風(fēng)險。這種風(fēng)險水平的大小需要信息系統(tǒng)審計師的認(rèn)定?？刂骑L(fēng)險是指被審計企業(yè)未能通過管理與控制及時防止或發(fā)現(xiàn)其信息系統(tǒng)出現(xiàn)問題或缺陷的可能性，審計人員只能評估不能改變。特點控制風(fēng)險水平與被審

28、計企業(yè)的控制水平有關(guān)，與信息系統(tǒng)審計師地工作無關(guān)，有效地內(nèi)部控制能降低控制風(fēng)險，無效的則增加。有效地內(nèi)部控制將降低控制風(fēng)險，而無效的內(nèi)部控制有可能增加控制風(fēng)險。檢查風(fēng)險是指信息系統(tǒng)審計師通過預(yù)定的審計流程未能發(fā)現(xiàn)被審計企業(yè)在信息系統(tǒng)的安全性、真實性、績效等發(fā)面存在的問題或缺陷的可能性，它是可以通過信息系統(tǒng)審計師進行控制和管理的。特點1它能獨立于整個審計過程中，不受技術(shù)風(fēng)險和控制風(fēng)險的影響2與信息系統(tǒng)審計師的工作直接相關(guān)，是審計流程有效性和運用審計程序的有效性函數(shù)。在實踐中信息系統(tǒng)審計師就是通過收集充分的證據(jù)來降低檢查風(fēng)險，檢查風(fēng)險和重要性水平共同決定了需要收集證據(jù)的數(shù)量。審計重要性水平是針對特

29、定被審計單位、特定審計事項而言的，具有相對性和個性差異，需要從審計目標(biāo)、被審對象及審計報告的使用者等三方比外部的更為嚴(yán)重；基于信息技術(shù)的舞弊行為比誤操作等更為嚴(yán)重；來自企業(yè)高層的信息系統(tǒng)舞弊比中層、基層的舞弊更為嚴(yán)重；軟件設(shè)計上的舞弊比利用軟件漏洞的舞弊更為嚴(yán)重。做好審計計劃工作，對于提高審計管理效率和效益，促進審計工作質(zhì)量和水平的提高具有重大意義。審計計劃的劃分根據(jù)時間要素可分為長期審計計劃、中期和短期。根據(jù)內(nèi)容要素可分為審計工作計劃和審計項目計劃。根據(jù)范圍要素分為總體審計計劃和具體審計計劃。信息系統(tǒng)審計報告階段是信息系統(tǒng)審計工作的最后階段，信息系統(tǒng)審計報告時信息系統(tǒng)審計工作的最后產(chǎn)品，也是

30、信息系統(tǒng)審計師向委托人報告問題、提出建議的工具。作用鑒定作用保護作用證明作用格式1題頭段2正文段3結(jié)論段4結(jié)尾段。獨立性問題決定了信息系統(tǒng)審計的質(zhì)量。分為形式上的獨立性和實質(zhì)上的獨立性審計準(zhǔn)則對“獨立性”的闡述1職業(yè)獨立性2組織獨立性3審計章程或委托書中應(yīng)當(dāng)針對審計職能的獨立性和義務(wù)做出相應(yīng)的規(guī)定4信息系統(tǒng)審計師應(yīng)該在審計過程中隨時保持態(tài)度和形式上的獨立性5如出現(xiàn)獨立性受損的現(xiàn)象，無論是在實質(zhì)上還是形式上，應(yīng)向有關(guān)當(dāng)事人披露獨立性收損的細(xì)節(jié)6信息系統(tǒng)審計師應(yīng)當(dāng)在組織上獨立于被審計的范圍7信息系統(tǒng)審計師、管理層和審計委員會應(yīng)當(dāng)定期地對獨立性進行評估。8除非被其他職業(yè)標(biāo)準(zhǔn)或管理機構(gòu)所禁止，當(dāng)信息系

31、統(tǒng)審計師雖然參與信息系統(tǒng)項目，但所擔(dān)當(dāng)?shù)牟⒉皇菍徲嫿巧珪r，并不要求信息系統(tǒng)審計師保持獨立性。業(yè)務(wù)持續(xù)計劃是企業(yè)應(yīng)對種種不可控義素的一種防御和反映機制。災(zāi)難恢復(fù)計劃是造成業(yè)務(wù)停頓后，如何以最短時間、最少損失恢復(fù)業(yè)務(wù)的方案。影響業(yè)務(wù)持續(xù)能力的因素有：1應(yīng)用系統(tǒng)災(zāi)難2自然災(zāi)難3人為災(zāi)難4社會災(zāi)難。u4業(yè)務(wù)持續(xù)計劃是企業(yè)應(yīng)對種種不可控因素的一種預(yù)防和反應(yīng)機制，而災(zāi)難恢復(fù)計劃則是造成業(yè)務(wù)已經(jīng)停頓后，如何以最短時間、最少損失恢復(fù)業(yè)務(wù)的處理預(yù)案。前者立足于預(yù)防，后者立足于事后的補救。業(yè)務(wù)持續(xù)計劃目的為了防止企業(yè)正常業(yè)務(wù)行為的中斷而建立起來的計劃作用：確保企業(yè)的主要業(yè)務(wù)流程和運營服務(wù)，包括支撐業(yè)務(wù)的信息系統(tǒng)以

32、及設(shè)施，能夠在事故發(fā)生后持續(xù)運行保持一定程度的服務(wù)，并能盡快的恢復(fù)事故前的服務(wù)水平。它的制定并不意味著企業(yè)不再受任何事故的影響。難恢復(fù)計劃與業(yè)務(wù)持續(xù)計劃的區(qū)別災(zāi)難恢復(fù)計劃是基于假定災(zāi)難發(fā)生后造成業(yè)務(wù)已經(jīng)停頓企業(yè)將如何去恢復(fù)業(yè)務(wù)，立足于把損失減小到最低程度；業(yè)務(wù)持續(xù)計劃基于這樣一個基本原則及無論發(fā)生任何意外事件組織的關(guān)鍵業(yè)務(wù)也不能中斷，立足于建立預(yù)防機制，強調(diào)使企業(yè)業(yè)務(wù)能夠抵御意外事件的打擊，災(zāi)難恢復(fù)計劃是對業(yè)務(wù)持續(xù)計劃的必要補充。業(yè)務(wù)持續(xù)計劃的實施包括的階段項目啟動、風(fēng)險評估、業(yè)務(wù)影響分析、業(yè)務(wù)持續(xù)性策略規(guī)劃、業(yè)務(wù)持續(xù)性計劃編制、人員培訓(xùn)及訓(xùn)練、業(yè)務(wù)持續(xù)性計劃測試與演練以及業(yè)務(wù)持續(xù)性計劃更新等

33、主要階段。其中，風(fēng)險評估、業(yè)務(wù)影響分析、計劃演練、計劃更新是關(guān)鍵因素。業(yè)務(wù)影響分析的目的通過客觀的分析，掌握各關(guān)鍵業(yè)務(wù)可容許中斷的最大時間長度，從而制定各關(guān)鍵業(yè)務(wù)的恢復(fù)時間目標(biāo)、最低的恢復(fù)要求、恢復(fù)次序以及支持各關(guān)鍵業(yè)務(wù)恢復(fù)所需的各項業(yè)務(wù)資源。業(yè)務(wù)影響分析是制定業(yè)務(wù)持續(xù)計劃傳統(tǒng)步驟中最耗時和最關(guān)鍵的一步，用的是系統(tǒng)化的方法。影響業(yè)務(wù)持續(xù)能力的因素人為因素非人為因素。防火墻比喻隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是一類防范措施的總稱。作用防止不希望的、未經(jīng)授權(quán)的通信進出被保護的網(wǎng)絡(luò)，它真正發(fā)揮的還必須有企業(yè)內(nèi)部的安全管理措施的配合。目的1限制他人進入內(nèi)部網(wǎng)絡(luò)、過濾掉不安全的服務(wù)和非法用戶

34、2防止入侵者接近你的防御設(shè)施3限定用戶訪問特殊站點4為監(jiān)視互聯(lián)網(wǎng)安全提供方便。分類1包過濾型防火墻2代理服務(wù)型防火墻3復(fù)合型防火墻。包過濾型防火墻通常安裝在路由器上，邏輯簡單，價格便宜易于安裝和使用，網(wǎng)絡(luò)性能和透明性好。包過濾技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇檢查，與應(yīng)用層無關(guān)。這樣系統(tǒng)就具有很好的傳輸性能，可擴展能力強。缺陷：可能被黑客攻擊；被竊聽或假冒。代理服務(wù)型防火墻構(gòu)成服務(wù)器端程序和客戶端程序。與包過濾防火墻不同，內(nèi)、外網(wǎng)間不存在直接的連接，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。代理服務(wù)會形成日志，保留攻擊痕跡。木馬是一類特殊的計算機病毒?；咎卣髡T騙性、隱蔽性、危害大。計算機病毒是一

35、種人為編制的破壞計算機功能或者毀壞數(shù)據(jù)、影響計算機使用并能自我復(fù)制的一組計算機指令或者程序代碼。特點傳染性、潛伏性、破壞性。黑客攻擊總是利用技術(shù)缺陷和軟件漏洞等來進行種類拒絕服務(wù)攻擊、ip欺騙攻擊、系統(tǒng)漏洞攻擊。業(yè)務(wù)持續(xù)能力審計包括：1業(yè)務(wù)連續(xù)性管理過程中包含的信息安全2業(yè)務(wù)連續(xù)性和風(fēng)險評估3制定和實施包含信息安全的連續(xù)性計劃4業(yè)務(wù)連續(xù)性計劃框架5測試、維護和評估業(yè)務(wù)的連續(xù)性計劃。災(zāi)難恢復(fù)計劃是對于緊急事件的應(yīng)對過程。關(guān)鍵信息系統(tǒng)的備份與恢復(fù)，核心內(nèi)容是災(zāi)備中心的設(shè)置、選址、運營管理和切換等。容災(zāi)能力評價：rop即數(shù)據(jù)丟失量，代表了當(dāng)災(zāi)難發(fā)生時信息系統(tǒng)所能容忍的數(shù)據(jù)丟失。pto即系統(tǒng)恢復(fù)時間，代表了從遭難發(fā)生到業(yè)務(wù)恢復(fù)服務(wù)功能所需要的最長時間。國際標(biāo)準(zhǔn)定義的容災(zāi)系統(tǒng)7層次0級無異地備份1級備份介質(zhì)異地存放2級備份介質(zhì)異地存放及備用場地3級電子鏈接(熱備份站點和信息中心在地理上必須遠(yuǎn)離，備份數(shù)據(jù)通過網(wǎng)絡(luò)傳輸)4級活動狀態(tài)的被援站點5級實時數(shù)據(jù)備份6級零數(shù)據(jù)丟失。這個等級劃分的目的是讓企業(yè)清楚為什么要從業(yè)務(wù)層面作遭難恢復(fù)，不同的業(yè)務(wù)應(yīng)采取什么樣的手段。災(zāi)備中心的模型1熱備份型災(zāi)備中