信息系統(tǒng)審計(信息系統(tǒng)審計基礎(chǔ))(24頁)ppt課件

1、信息系統(tǒng)審計信息系統(tǒng)審計根底 楊 烺 CISA國際注冊信息系統(tǒng)審計師 .信息系統(tǒng)審計根底 信息系統(tǒng)審計的來源與開展 信息系統(tǒng)審計的內(nèi)容 內(nèi)部控制與審計 IT審計的規(guī)范和根據(jù) IT審計的過程 IT審計的技術(shù) .1. 信息系統(tǒng)審計的來源與開展1.1 國外： 八十年代、九十年代信息技術(shù)的進一步開展與普及，使得企業(yè)越來越依賴信息及產(chǎn)生信息的信息系統(tǒng)。人們開場更多的關(guān)注信息系統(tǒng)的平安性、嚴密性、完好性及其實現(xiàn)企業(yè)目的的效率、效果，真正意義的信息系統(tǒng)風(fēng)險評價與審計才出現(xiàn)。 .1. 信息系統(tǒng)審計的來源與開展1.1 國外： 信息系統(tǒng)審計與控制協(xié)會ISACA (INFORMATION SYSTEM AUDIT

2、AND CONTROL ASSOCIATION)，總部設(shè)在美國芝加哥。目前該組織在世界上100多個國家設(shè)有160多個分會，現(xiàn)有會員兩萬多人，它是從事信息系統(tǒng)審計的專業(yè)人員獨一的國際性組織。 .1. 信息系統(tǒng)審計的來源與開展1.1 國外： CISA (Certified Information System Auditor)是信息系統(tǒng)審計領(lǐng)域的獨一職業(yè)資歷 ISACA每年舉行CISA資歷考試，經(jīng)過考試的人員可以懇求CISA資歷，符合ISACA規(guī)定的任務(wù)閱歷及其他相關(guān)要求的懇求人會被授予CISA資歷。CISA資歷在世界各國都被廣泛的認可。國內(nèi)獲得此資歷的有三百多人。.1. 信息系統(tǒng)審計的來源與開展

3、1.1 國外： CISA考試引見： 內(nèi)容：信息系統(tǒng)審計流程、信息系統(tǒng)的管理、方案與組織、信息技術(shù)根底設(shè)備與操作實務(wù)、信息資產(chǎn)的維護、災(zāi)難恢復(fù)與業(yè)務(wù)繼續(xù)方案、運用系統(tǒng)的開發(fā)、獲得、實施與維護、業(yè)務(wù)處置流程評價與風(fēng)險管理。 時間：每年一次 題型與考試言語：全部是客觀題；英文、中文；75分合格 .1. 信息系統(tǒng)審計的來源與開展1.2 國內(nèi)： 1994 年2 月，我國公布了，提出了計算機信息系統(tǒng)實行平安等級維護的要求。平安等級維護的總體目的是確保信息平安和計算機信息系統(tǒng)平安正常運轉(zhuǎn)，并保證以下平安特性：信息的完好性、可用性、嚴密性、抗抵賴性、可控性等其中完好性、可用性、嚴密性為根本平安特性要求。 .1

4、. 信息系統(tǒng)審計的來源與開展1.2 國內(nèi)： 1994 年2 月，我國公布了，提出信息的完好性、可用性、嚴密性、抗抵賴性、可控性等要求。 1999年2月9日，我國正式成立了中國國家信息平安測評認證中心。 2002年4月15日 全國信息平安規(guī)范化技術(shù)委員會簡稱信息平安標委會，TC260。 2005年12月16日 國家網(wǎng)絡(luò)與信息平安協(xié)調(diào)小組正式經(jīng)過了。 .管理方案與IS的組織信息資產(chǎn)的維護災(zāi)難備份與業(yè)務(wù)繼續(xù)方案技術(shù)根底與操作實務(wù)業(yè)務(wù)運用系統(tǒng)的開發(fā)獲得實施與維護業(yè)務(wù)過程評價與風(fēng)險管理 2. 信息系統(tǒng)審計的內(nèi)容 .一般控制靜態(tài)IS的構(gòu)成管理角度管理計劃與IS的組織(C2)技術(shù)角度技術(shù)基礎(chǔ)與操作實務(wù)(C3

5、)IS的控制與安全正常情況信息資產(chǎn)的保護(C4)非常情況災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃(C5)動態(tài)業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)取得實施與維護(C6)應(yīng)用控制 業(yè)務(wù)過程評價與風(fēng)險管理(C7) 3. 信息系統(tǒng)審計與內(nèi)部控制 .4. 信息系統(tǒng)審計的規(guī)范與根據(jù) 可信的計算機系統(tǒng)平安評價規(guī)范TCSEC，從橘皮書到彩虹系列 由美國國防部于1985年公布的，是計算機系統(tǒng)信息平安評價的第一個正式規(guī)范。它把計算機系統(tǒng)的平安分為4類、7個級別，對用戶登錄、授權(quán)管理、訪問控制、審計跟蹤、隱蔽通道分析、可信通道建立、平安檢測、生命周期保證、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。 .4. 信息系統(tǒng)審計的規(guī)范與根據(jù) 信息技術(shù)平安評價的

6、通用規(guī)范CC 由六個國家美、加、英、法、德、荷于1996年結(jié)合提出的，并逐漸構(gòu)成國際規(guī)范ISO15408。該規(guī)范定義了評價信息技術(shù)產(chǎn)品和系統(tǒng)平安性的根本準那么，提出了目前國際上公認的表述信息技術(shù)平安性的構(gòu)造，即把平安要求分為規(guī)范產(chǎn)品和系統(tǒng)平安行為的功能要求以及處理如何正確有效地實施這些功能的保證要求。CC規(guī)范是第一個信息技術(shù)平安評價國際規(guī)范，它的發(fā)布對信息平安具有重要意義，是信息技術(shù)平安評價規(guī)范以及信息平安技術(shù)開展的一個重要里程碑。 .4. 信息系統(tǒng)審計的規(guī)范與根據(jù) ISO13335規(guī)范 初次給出了關(guān)于IT平安的嚴密性、完好性、可用性、審計性、認證性、可靠性6個方面含義，并提出了以風(fēng)險為中心的

7、平安模型：企業(yè)的資產(chǎn)面臨很多要挾包括來自內(nèi)部的要挾和來自外部的要挾；利用信息系統(tǒng)存在的各種破綻如：物理環(huán)境、網(wǎng)絡(luò)效力、主機系統(tǒng)、運用系統(tǒng)、相關(guān)人員、平安戰(zhàn)略等，對信息系統(tǒng)進展浸透和攻擊。 .4. 信息系統(tǒng)審計的規(guī)范與根據(jù) BS7799 是英國的工業(yè)、政府和商業(yè)共同需求而開展的一個規(guī)范，它分兩部分：第一部分為“信息平安管理事務(wù)準那么；第二部分為“信息平安管理系統(tǒng)的規(guī)范。目前此規(guī)范曾經(jīng)被很多國家采用，并已成為國際規(guī)范ISO17799。 BS7799包含10個控制大項、36個控制目的和127個控制措施。BS7799/ISO17799主要提供了有效地實施信息系統(tǒng)風(fēng)險管理的建議，并引見了風(fēng)險管理的方法和

8、過程。企業(yè)可以參照該規(guī)范制定出本人的平安戰(zhàn)略和風(fēng)險評價實施步驟。.4. 信息系統(tǒng)審計的規(guī)范與根據(jù) “信息系統(tǒng)和技術(shù)控制目的COBIT 是IT治理的一個開放性規(guī)范，目前已成為國際上公認的最先進、最權(quán)威的平安與信息技術(shù)管理和控制的規(guī)范。該規(guī)范為IT的治理、平安與控制提供了一個普通適用的公認的規(guī)范，以輔助管理層進展IT治理。該規(guī)范體系已在世界一百多個國家的重要組織與企業(yè)中運用，指點這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險。 .4. 信息系統(tǒng)審計的規(guī)范與根據(jù).4. 信息系統(tǒng)審計的規(guī)范與根據(jù).4. 信息系統(tǒng)審計的規(guī)范與根據(jù).4. 信息系統(tǒng)審計的規(guī)范與根據(jù).5. 信息系統(tǒng)審計的過程審計方案： 檢查被審計單位的IT政策、實務(wù)及組織構(gòu)造； 檢查普通控制和運用控制的情況；