《信息系统审计》PPT课件.ppt

信息系统审计,课程目的,统一思想 提高认识 转变观念 澄清概念 传递理念,交流想法 梳理思路 确定目标 掌握方法 着手准备,提纲,背景介绍 信息系统审计相关概念 信息系统审计的发展情况 开展信息系统审计的必然性 开展信息系统审计的条件 开展信息系统审计的方法 ERP审计介绍 信息系统审计的工作思路,背景介绍,信息技术改变着我们的生活 沟通方式 电子邮件、即时通讯（MSN、QQ）、IP电话 娱乐休闲 网络游戏、视频点播、 信息获取 网站、论坛、博客 生活方式 网上购物、电视、电影,背景介绍,信息技术改变着我们的工作 作业工具 计算机、打印机、扫描仪 作业手段 企业网、门户网站、办公自动化 管理方法 数据集中、业务集成、动态监控 分析决策 统计数据、分析趋势、发现规律 内部控制 业务流程重组、自动控制增加、舞弊手段,信息技术的积极面,作业效率的提高 信息渠道更加畅通 集中管理成为可能 数据的搜集和管理更加高效 信息的查询和分析更加容易 人为的差错大大减少 纸质介质的使用减少,背景介绍,信息技术的消极影响,数据信息的安全受到了挑战 病毒、黑客、非法入侵 业务持续性很难得到保证 停电、系统故障、人为破坏 控制过程透明度下降 控制内嵌于软件中、手工控制变为自动控制 错误容易产生累计效应 一个点的错误会引起连锁反应 对人员素质提出了更高的要求 操作计算机、软件知识、网络知识,背景介绍,十一五”信息化建设指导思想,中国石油信息技术总体规划,中国石油信息技术总体规划,信息技术总体规划是中国石油业务战略规划的重要组成部分， 共分7大类51个项目。,集团公司“十一五”信息技术总体规划项目投资总额为92亿元,中国石油信息技术总体规划,单位：万元人民币,“十一五”信息技术总体规划投资,单位：万元人民币,“十一五”信息技术总体规划投资,单位：万元人民币,“十一五”信息技术总体规划投资,信息化建设总体目标,几年来，随着各信息系统的建设和上线应用，对主营业务的支撑作用开始逐渐显现出来。,信息系统应用初见成效,生产服务,炼油与销售,基础,社会服务,机械制造,天然气与管道,总部业务,国际贸易,化工与销售,工程技术,服务,勘探与生产,生产服务,综合管理 系统,专业应用 系统,设施,ERP,系统,海外业务,装备制造,矿区服务,贸 易,销售与市场,工程技术,服务,勘探与生产,炼化物料优化与排产系统,炼油与化工运行系统,广域网改进、局域网改进、电子邮件服务改进、数据中心建设、 软硬件标准化、 企业系统管理系统、灾难恢复系统、信息安全体系建设、因特网接入改进、视频会议系统改进,健康安全环保系统、数据仓库系统、企业信息门户系统、档案管理系统、内控管理系统、办公管理系统、应急管理系统,勘探与生产技术 数据管理系统,地理信息系统,采油与地面工程 运行管理系统,数字盆地系统,油气水井生产数据管理系统,工程技术生产 运行管理系统,管道生产管理系统,客户关系 管理系统,加油站 管理系统,炼油与化工,天然气与管道,勘探与生产 ERP系统,炼油与化工 ERP系统,销售与市场 ERP系统,天然气与管道 ERP系统,工程技术服务 ERP系统,物资装备 ERP系统,海外业务 ERP系统,矿区服务 系统,电子采购系统,电子销售系统,贸易管理系统,发电供电 系统,物流管理系统,工作体系,信息部门职能建设、信息技术标准、信息技术培训、帮助热线建设、信息技术支持中心建设、信息技术专家中心建设,信息技术覆盖的业务领域,A 勘探开发与管道项目,项目说明： 主要实现以下功能需求： A1-勘探与生产技术数据管理系统：建设技术数据管理平台，为勘探开发研究提供高质量的基础数据，实现地震解释、地质解释、测井解释、油气藏建模、钻井应用等功能，改进对勘探生产数据资产的管理，优化勘探生产流程。 A2-油气水井生产数据管理系统：实现油气水井生产数据管理、油藏动态监测、增产措施和效果数据管理等功能，规范生产流程，提高管理效率。 A3-管道生产管理系统：实现管道生产计划、需求预测、计量管理、统计报表等功能，提高原油、天然气和成品油管道运销的网络化管理水平。 A4-地理信息系统：建立集团公司统一的基础地理信息管理平台，提供空间数据查询与展示的功能，实现与空间位置密切相关的业务数据管理。在建设过程中将从集团公司整体业务需求角度考虑地理信息系统的建设 A5-采油与地面工程运行管理系统：对油气井的采油工程动态数据以及井上生产作业实施动态管理和监控 A6-数字盆地系统：利用虚拟现实等信息技术手段，对勘探、开发等基础资料和技术成果进行深加工，进一步提高对盆地的认识水平，为找油、找气提供技术支持 A7-工程技术生产运行管理系统：完成对工程技术服务现场作业管理、现场数据传输、生产调度指挥、专家远程监控和生产报表统计的功能。,项目目标： 改进对勘探生产技术数据的收集和分析能力，提高勘探成功度，促进勘探开发项目管理和流程的优化和标准化；提高勘探开发与管道生产运行和管理效率，提升计划能力和动态管理能力；增强工程技术服务作业现场管理能力，提高业务的总体管控能力；实现与空间位置密切相关的业务数据管理，提高数据的共享与可视化管理能力。,B 炼油化工与销售项目,项目说明： 主要实现以下功能需求： B1-炼油与化工运行系统：实现工厂基础信息管理、实验室信息管理、实时数据库、实时数据库应用、生产计划与排产、运行管理、物料移动管理、物料平衡、收率计算、生产统计、生产运行信息平台等功能。 B2-炼化物料优化与排产系统：实现原油评价、采购、常减压装置、动力及二次加工装置、产品调合、产品销售、库存优化等功能。 B3-客户关系管理系统：实现终端客户管理、中间商管理、竞争对手管理、营销活动管理、定价管理、销售机会管理、报价管理、待确认订单管理、客户服务管理、电子自助服务、分析工具等功能。 B4-加油站管理系统：实现基础业务功能（包括组织机构管理、用户管理、类别管理、编码管理、设备维护管理）、基本运营业务功能（油品业务管理、非油品业务管理、账务与报表处理）、客户管理、卡支付管理、增强型业务等功能。,项目目标： 建立从原料采购、生产加工到产品销售整个流程的经济效益优化生产计划模型，优化炼化企业的资源配置和生产排产，实现下游供应链的整体效益最大化 更为准确和及时地收集下游工厂生产运行信息，及时掌握其计划调度、运行管理、生产执行等情况，优化生产过程，完善控制条件并提高工厂运作效率 实现客户统一管理，为客户提供更高质量的服务，增强中国石油的市场竞争力 提高和优化对加油站油品和非油品业务的管理水平，强化客户管理，提高中国石油对零售市场的反应速度和竞争力，增加市场份额和销售量,C 商务与支持项目,项目说明： 主要实现以下功能需求： C1-电子采购系统：已完成了项目建设，需要在未来五年内根据业务发展，进一步建立健全电子采购环节的流程改进、采购需求分析、全价值采购、目录管理、市场划分，以及采购类型管理，并和ERP集成 C2-电子销售系统：已完成了项目建设，需要在未来五年内根据业务发展，实现电子市场与ERP和其它系统的集成，完善电子市场网站内容管理、采购定单管理 C3-贸易管理系统：涵盖整个集团公司的前台、中台和后台交易系统以及整合的决策支持、风险管理和审计控制系统，实现石油、天然气和能源、化工贸易的实物和帐面资金在统一平台的管理 C4-矿区服务系统：利用信息技术手段规范矿区服务流程、优化矿区服务质量、完善矿区服务功能、提升矿区服务管理水平，支持实现集团矿区服务系统的业务与管理改革目标 C5-物流管理系统：实施具有车船监控、运输、仓储、计划调度、成本核算等管理功能在内的应用系统，降低运输管理成本 C6-发电供电信息系统：建设具有生产运行监控、燃料、配电调度和营销功能的应用系统,项目目标： 提高集团公司采购流程的效率，降低采购交易成本，实施全价值采购和供应商联盟；提高运用电子市场进行石油产品交易能力，吸引更多的合作伙伴；增加原油及成品油贸易的利润水平、竞争能力以及在全球市场的贸易功能透明度，并提高原油及成品油交易、控制、审计等管理能力；规范矿区服务流程、优化服务质量、完善服务功能、提升管理水平；提高物流专业运输、仓储和配送等业务的管理水平；提高发电供电业务的管理效率，降低管理成本。,D ERP项目,项目说明： 主要实现以下功能需求： D1-ERP业务分析与实施计划： 对ERP系统进行可行性研究、选型和模板设计等工作。 D2-勘探与生产ERP系统：实现财务管理、采购及库存管理、销售管理、设备管理等功能，规范管理流程，提高业务数据的准确性、及时性 D3-天然气与管道ERP系统：实现财务管理、采购及库存管理、项目管理、设备管理等功能，规范管理流程，提高业务数据的质量，提升业务管理水平 D4-炼油与化工ERP系统：实现财务管理、生产管理、采购及库存管理、设备管理等功能，规范管理流程，加强成本核算，对下游业务板块提供核心数据支持 D5-销售与市场ERP系统：实现财务管理、采购管理、销售管理、库存管理等功能，规范管理流程，降低成本，提高竞争能力和盈利能力 D6-总部ERP系统：实现财务管理、采购管理等功能，规范管理流程。统一实施人力资源管理系统、预算管理系统等，提高总部决策管理效率 D7-工程技术服务ERP系统：实现财务管理、采购与库存管理、设备管理、项目管理等功能，规范管理流程，提高管理水平 D8-物资装备ERP系统：实现财务管理、采购与库存管理、生产管理、销售管理、设备管理等功能，规范管理流程，实现物资装备企业的采购、生产和销售业务流程一体化 D9-海外业务ERP系统：实现财务管理、采购与库存管理、设备管理、项目管理等功能，规范管理流程，提高海外业务的管理水平 D10-油田服务ERP系统：实现财务管理等功能，规范管理流程，提高管理水平 D11-炼化服务ERP系统：实现财务管理等功能，规范管理流程，提高管理水平,项目目标： 支持集团公司的规范管理，实现人、财、物、购、销、存在统一平台中的管理，提高管理水平，促进业务流程和各级组织间的信息共享与协作。建成完整、规范、集成、开放的ERP系统，为业务发展及公司决策提供有力支持。,E 综合管理项目,项目说明： 主要实现以下功能需求： E1-健康安全环保系统：实现环境管理、安全管理、职业健康管理、QHSE报告系统等功能。确保相关法律、法规、企业制度等得到贯彻和执行，提高健康安全环保的管理水平，降低发生事故的风险，提升企业形象 E2-应急管理系统：提高公司整体应急管理能力，统一、高效地处置突发的自然灾害、事故灾难、社会安全、公共卫生、政治事件等应急事件，尽量降低危害程度 E3-企业信息门户系统：实现信息的统一发布和综合查询、整合业务应用系统、搭建起应用系统等功能 E4-数据仓库系统：实现综合统计、 QHSE报表、多维分析、 KPI/平衡积分卡等功能 E5-办公管理系统：实现公司办公自动化管理、基地业务管理、审计管理、出国项目审批管理、科技项目管理、法律合同管理等功能，提高综合办公管理的效率，加强信息共享 E6-档案管理系统：实现档案存储、版本控制功能和安全机制、支持文档网上流转、强大的检索和相关文档定义机制、 支持大型团队对文档的协同使用等功能，对档案及文档流转全过程的管理。建设满足档案管理部门工作需要的应用系统 E7-内控管理系统：实现内控工作流程自动化管理，规范内控管理流程，满足内控管理和SOX需求,项目目标： 提高中国石油保存历史数据、分析数据的能力；为公司内部使用者提供数据快捷获取的工具，为集团公司的信息发布提供一个公用的渠道；完善信息系统总体控制机制，符合SOX法案的要求，完善信息系统的内部控制，高效率低成本进行信息系统内部控制；通过高效的文档管理、存储和检索，提高企业对相关需求的响应和解决速度。,F 基础设施项目,项目说明： 主要实施以下建设内容： F1-广域网改进：国内已完成，未来五年内仍需要进行投入，支持其功能扩展及系统升级，实现公司骨干网的互通互联、远程数据通讯网络、建设海外网络 F2-局域网改进：建设无线局域网、推广局域网建设标准和管理规范，在优先级较高地区对局域网进行升级 F3-因特网接入改进：制定互联网使用政策和互联网接入构架、防火墙配置、代理服务器配置、互联网信息发布政策 F4-数据中心建设：提高数据中心标准化，提升系统可靠性和数据安全性，制订设立、运行和维护数据中心的标准和流程，并推广实施 F5-企业信息系统管理：实现网络管理、安全管理、服务器管理、客户端桌面管理、企业资源计划应用管理、系统集成、数据库管理、存储与备份管理、信息技术资产管理以及与帮助热线的集成等 F6-电子邮件服务改进：支持公司电子邮件系统功能扩展及系统升级，建立灵活的电子邮件平台 F7-视频会议系统改进：建立集团公司统一的视频会议系统，实现“实时、可视、交互”的沟通与协作平台，提高工作效率，降低企业管理成本 F8-信息安全体系建设：建立集团公司统一的信息安全体系，确保信息系统安全平稳运行，逐步提高中国石油的信息安全保障水平，达到或接近世界同行业的先进水平 F9-灾难恢复系统建设：建立主信息系统备份系统，在主系统发生故障或灾难时，备份系统能够及时替代主系统，保证信息系统连续运行，避免由于主信息系统的损坏所引起的业务风险 F10-软硬件标准化：实现硬件供应商的标准化、平台标准化、效率工具标准化、配置标准化,项目目标： 进一步提高广域网和局域网管理的能力、建设海外网络，满足集团公司的业务发展需求；改善电子邮件服务的质量、可靠性和运行性能；提高数据中心标准化以提升系统可靠性和数据安全性；改善服务，并获得批量折扣并且提高供应商支持水平，以及获得应用的互操作性；改善信息技术基础设施的可靠性和性能，降低支持成本，对基础设施的规划进行最佳的决策和采用更好的系统支持策略；在灾难发生时，避免由于信息技术基础设施的损坏所引起的主要业务风险；提高互联网接入的质量和效率。,经过努力，在“十一五”信息技术总体规划全部实施完成后，集团公司信息化整体水平将会得到提升，促进各业务的发展。,炼油与化工 实现炼化生产过程和业务流程的优化，使炼化生产处于最佳运行状态 实现原油采购结构优化，生产计划优化 降低物耗，提高产品质量 加强产品生产、销售与市场之间的联系,勘探与生产 实现勘探与生产数据库一体化的集成，为勘探开发综合研究提供全过程的信息应用手段 搭建涵盖上游生产领域一体化的生产管理和辅助决策集成平台，实现生产实时化动态管理,天然气与管道 实现天然气管道运行数据的集成应用，提高工作效率和管理水平,成品油/化工产品销售 优化储运网络，合理配置资源，缩短配送时间，提高效率 实现加油站智能化管理,“十一五”信息技术总体规划预期效果,集团总部 及时准确把握业务状况 汇集大量公司数据，辅助决策 总部的指令可以迅速得以下达,集团总部 及时准确把握业务状况 汇集大量集团公司数据，辅助决策 总部的指令可以迅速得以下达,国际投资 提高油藏管理能力，提高钻井成功率，提高油气田采收率 统一管理地球科学和工程数据，实现远程决策，提高远程控制能力,工程技术服务 提高勘探、钻井成功率，有效控制工程技术服务成本 与股份公司上游企业形成勘探开发一体化作业能力 实现工程设计/建设/监理信息化,生产服务 改善设备运行，优化电力输配网络，降低电力生产/输配成本 保证电力供应安全 优化运输网络，实现运输途中监控,机械制造 提高设计工作的信息化水平，并与生产控制紧密衔接 快速响应市场需求，合理安排 生产计划，缩短交货周期 加强生产过程管理，控制损耗，细化成本结构，降低生产成本,基地业务 提高矿区、社区生产生活服务质量和保障能力 提高基地业务管理效率，实现管理透明化,“十一五”信息技术总体规划预期效果,提纲,背景介绍 信息系统审计相关概念 信息系统审计的发展情况 开展信息系统审计的必然性 开展信息系统审计的条件 开展信息系统审计的方法 ERP审计介绍 信息系统审计的工作思路,信息系统审计的概念,审计 1972年美国会计学会的基础审计概念的说明中对审计的定义是： “审计是为了查明经济活动和经济现象的表现与所定标准之间的一致程序而客观地收集和评价有关证据，并将其结果传达给有利害关系使用者的有组织的过程“ 中华人民共和国审计法实施条例第2条对审计所下的定义是: 审计是审计机关依法独立检查被审计单位的会计凭证、会计账簿、会计报表以及其他与财政收支、财务收支有关的资料和资产，监督财政收支、财务收支真实、合法和效益的行为,信息系统审计的概念,内部审计 1999年6月，内部审计师学会对内部审计的如下定义： “内部审计是一项独立、客观的咨询活动，用于改善机构的运作并增加其价值。通过引入一种系统的、有条理的方法去评价和改善风险管理、控制和公司治理流程的有效性，内部审计可以帮助一个机构实现其目标。” 国际内部审计师协会在内部审计实务标准对内部审计作了新的定义: “内部审计是一种独立、客观的保证工作与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现机构目标。”,与计算机有关的几个审计概念,IT审计 计算机审计 电子数据审计 计算机辅助审计 信息系统测试 信息系统审计 IS审计,信息系统审计的概念,信息系统审计的概念,信息系统 信息系统是与信息加工，信息传递，信息存贮以及信息利用等有关的系统现代信息系统一般均指人、机共存的系统。 信息系统一般包括： 数据处理系统 管理信息系统 决策支持系统 办公自动化系统,信息系统审计的概念,国外： 日本通产省情报协会在1996 年对信息系统审计定义: 为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导提出问题与建议的一连串的活动。 1999 年,国际信息系统审计领域的权威专家Ron Weber 将它定义为 收集并评估证据以判断一个计算机系统(信息系统) 是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源。,信息系统审计的概念,国内： 国内专家孙强在信息系统审计- 安全、风险管理与控制定义: 审计人员接受委托或授权,收集并评估证据以判断一个计算机系统(信息系统) 是否有效做到保护资产、维护数据完整并最有效率地完成组织活动。 中国内部审计协会在信息系统审计准则（征求意见稿）里定义： 是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。,信息系统审计的概念,信息系统内部审计： 是企业内部审计职能下的一个专业团队 是企业内部审计工作不可或缺的一部分 不是一个独立的团队： 没有单独的章程或手册 必须符合内审的工作需求和各项程序 同样的汇报机制，包括向内审职能负责人和审计委员会的汇报 工作应包括在审计年度计划内 由于是专业领域，因此可能需要一些专题指引和方法,提纲,背景介绍 信息系统审计相关概念 信息系统审计的发展情况 开展信息系统审计的必然性 开展信息系统审计的条件 开展信息系统审计的方法 ERP审计介绍 信息系统审计的工作思路,信息系统审计的发展,信息系统审计的起源 在信息社会中，人们的工作生活，企业的经营运作，政府的施政，都离不开各种的信息系统。人类社会已对信息系统产生极大的依赖性，对信息系统的可靠性、安全性、有效性进行了解和评价显得异常重要。 信息化的发展， 推动了新的审计业务 信息系统审计的产生。,手工处理,部分计算机处理,应用系统管理,高度集成的信息系统,手工方式 纸质介质 无,手工方式 纸质介质 很小,计算机辅助审计 电子数据 很大,系统审计+数据审计 系统控制+数据 重大,审计方式 审计对象 影响程度,信息系统审计的发展,信息系统审在美国起源 信息系统审计源于EDP（ Electronic Data Processing) 审计。当计算机技术应用于电子数据处理，特别是应用于财务数据的电子数据处理，针对电子数据处理系统信的审计便出现，称为EDP 审计。 世界上最早出现的EDP 审计专业组织是在1969年 在美国成立的EDP审计师协会EDPAA（EDP auditors association)。 1994后来也发展为 信息系统审计与控制协会ISACA (international system audit and control association) 是目前世界上唯一的信息系统审计领域国际性专业组织。,信息系统审计的发展,信息系统审计与控制协会（ISACA） 介绍 创始于1967年，当时它是由从事同类职业的人所组成的小团体。计算机系统的审计和控制对他们各自机构的运作都变得愈发关键，因此他们聚集起来讨论制定信息集中化资源和本领域指导准则的必要性。 1969年，这个团体正式组建为EDP 审计师协会。 1976年，这个协会成立一项教育基金来开展大规模的研究工作，以拓展信息产业管理与控制领域的知识与价值。 今天，ISACA在全球有65000多名成员分布在140多个国家 ISACA的另一个强势就是它的分会网络。ISACA的分会遍布世界60 多个国家，可提供成员教育、资源共享、支持、专业网络，以及其他由当地分会提供的诸多利益。 它的国际信息系统审计师（CISA）认证得到全球的公认，并有三万多名专业人员得到认证。 它最新推出的国际信息安全经理（CISM）认证特别针对信息安全管理的审计事务。,美国：,美国在计算机进入实用阶段时就开始提出系统审计（SYSTEM AUDIT） 从事系统审计活动已有30多年历史。 美国IT产业的兴起, 促进了IT审计的发展。 IT审计规范的建设, 促进了全球IT审计事业的进步。 IT审计行业建立了较 完善的自我管理机制,行业发展进入了良性循环。 IT审计建立了较完善的培训和职业认证体系,拥有坚实的人才基础。,信息系统审计的发展,其他国家：,日本的系统审计是从80年代开始，1983年通产省公开发表了系统审计标准，并在全国软件水平考试中增加了“系统审计师“一级的考试，着手培养从事系统审计的骨干队伍。,东南亚各国也开始制定EDI法规，成立专门机构开展系统审计业务，并制定技术标准。,信息系统审计的发展,中国：,1988年我国开始探索在审计中应用计算机技术 1998年审技术提出了审计信息化建设意 近年来我国先后出台了部分与IT审计相关的法律法规 过五关办公厅关于利用计算机信息系统开展审计工作有关问题的通知 审计机关计算机辅助审计办法 信息技术、会计核算软件数据接口 1999年颁布了 独立审计准则第20号 计算机信息系统环境下的审计 准则规范了电子数据处理审计的内容，但对有关网络信息系统的审计则没有涉及 2008年颁布了 信息系统审计准则（征求意见稿）,信息系统审计的发展,我国信息系统审计的发展面临的问题：,缺少通用的行业标准。 缺乏技术层面的规范。 组织中还没有形成制度 重要性没有得到广泛的认同 没有成熟的经验可以借鉴 缺少胜任的专业人才,信息系统审计的发展,发展前景,企业管理层对信息系统审计愈加重视。 信息系统审计在审计共作中的比重逐渐加大 不断推出的相关法规和标准将陆续推出。 信息系统审计理论和实务更加成熟。 信息系统审计拥更广阔市场。 信息系统审计师成为稀缺人才,信息系统审计的发展,国内外信息系统认证介绍,信息安全国际国内标准重要里程碑,信息系统审计准则,国内外信息系统认证介绍,主要的信息安全标准国际标准,国内外信息系统认证介绍,主要的信息安全标准国际标准,主要的信息安全标准国际标准（续）,国内外信息系统认证介绍,主要的信息安全标准国内标准,国内外信息系统认证介绍,国际标准化组织简介 国际标准化组织(International Organization for Standardization)是由多国联合组成的非政府性国际标准化机构。到目前为止，ISO有正式成员国120多个，中国是其中之一。国际标准化组织1946年成立于瑞士日内瓦，负责制定在世界范围内通用的国际标准ISO技术工作是高度分散的，分别由2700多个技术委员会(TC)、分技术委员会(SC)和工作组(WG)承担ISO技术工作的成果是正式出版的国际标准，即ISO标准 ISO在信息安全方面的标准主要包括： ISO17799/ISO27001/ISO27002 ISO/IEC 15408 ISO/IEC 13335 ISO/TR 13569,国内外信息系统认证介绍,ISO/IEC 17799/27001/27002 ISO/IEC17799是由国际标准化组织（ISO）与IEC（国际电工委员会）共同成立的联合技术委员会ISO/IEC JTC 1，以英国标准BS7799为蓝本而制定的一套全面和复杂的信息安全管理标准前BS7799在2000年成为ISO/IEC17799:2000（第一版），后在2005年10月更新 2007年7月ISO17799:2005改名为ISO27002:2005 ISO/IEC 27001:2005 信息安全管理体系规范，相当于BS7799-2的改进版；内容涉及12个领域，有多个控制措施供企业选择 ISO/IEC 27002:2005 信息安全管理体系的实施指南，相当于BS7799-1的改进版；内容涉及10个领域，36个管理目标和127个控制措施 2007年ISO又颁布了ISO/IEC 27006 截至于2008年4月，全球的各个认证机构大约颁发了4千多ISO27001 或BS7799 的认证书,国内外信息系统认证介绍,ISO/IEC15408 90年代开始，由于Internet的日益普及，信息安全领域呼吁修改桔皮书，以解决商用信息系统安全问题 1991年欧盟(European Commission) 颁布了ITSEC（信息技术安全评估准则） 在此基础上，美国、加拿大、英国、法国等7国组织联合研制了“信息技术评估安全公共准则”（CC：Common Criteria） 1999年6月ISO通过了ISO/IEC 15408 安全评估准则 目前的最新版本于2005年发布,国内外信息系统认证介绍,ISO/IEC 13335 ISO/IEC 13335 Information TechnologyGuidelines for the Management IT Security 是一套关于信息安全管理的技术文件，共由五个部分组成，这五个组成部分分别在1996至2001年间发布 第一部分：安全概念和模型（Part 1Concepts and Models for ITSecurity ），发布于1996年12月15日 第二部分：安全管理和规划（Part 2Managing and Planning ITSecurity），发布于1997年12月15日 第三部分：安全管理技术（Part 3Techniques for the Management of IT Security），发布于1998年6月15日 第四部分：保护的选择（Part 4Selection of Safeguards），发布于2000年3月1日 第五部分：外部联接的防护（Part 5Management Guidance onNetwork Security），发布于2001年1月2日 其中第一部分分别于1997年和2004年发布了更新版本,CoBIT COBIT简介 COBIT（Control Objectives for Information and related Technology）是由信息系统审计与控制学会ISACA在1996年所公布的控制框架；目前已经更新至第4.1版; COBIT的主要目的是研究、发展、宣传权威的、最新的国际化的公认信息技术控制目标以供企业经理、IT专业人员和审计专业人员日常使用。 COBIT框架共有34个IT的流程，分成四个领域： PO（计划与组织） AI（获取与实施） DS（交付与支持） ME（监控与评估） 是一个在国际上公认的、先进权威的安全与信息技术管理和控制的框架。,国内外信息系统认证介绍,CoBIT COBIT来源 1992：ISACF (Information System Audit and Control Foundation)发起，参阅全球不同国家、政府、标准组织的26份文件后，基于其中之18份文件，研擬COBIT，同时筹组COBIT指导委员会。 1996：COBIT指导委员会公布COBIT第一版。 1998：COBIT指导委员会公布COBIT第二版，將第一版之32個高级控制目标扩充成34个。 2000：COBIT指导委员会公布COBIT第三版。 2005年： COBIT指导委员会公布COBIT第四版。 2007年：发布COBIT 4.1版，为目前最新版本,国内外信息系统认证介绍,COBIT COBIT的作用 作为基于风险的IT内控标准被企业参考和借鉴 提供一个IT控制框架，确保企业IT支持业务目标，IT治理融合了许多良好实践并将其制度化。 为企业的IT治理提治理框架，确保企业可以充分利用信息，进而实现收益最大化、充分利用机遇，获得竞争优势， 满足并支持那些广为接受的企业治理及风险管理的控制框架，如COSO的内部控制整体框架。 为做好IT控制和IT审计提供很好的参照物。,国内外信息系统认证介绍,COBIT COBIT的作用 COSO通常作为企业的内部控制框架，COBIT则是通用的IT控制框架，其产品分为三个层次，以支持： 执行经理及董事会； 业务经理和IT经理； 从事治理、保障、控制和安全的专业人士。 COBIT通过提供框架来支持IT治理，进而确保： IT与业务保持一致； IT保障业务并实现收益最大化； IT资源的充分管理； 适当管理IT风险。,国内外信息系统认证介绍,ISO20000 （ITIL和BS15000） ITIL的全称是信息技术基础设施库（Information Technology Infrastructure Library），是英国商务部（OGC）于1980年开发的一套IT业界的服务管理标准库，是截至目前为止世界范围内IT服务管理的最佳实践。 ITIL最核心的内容包括服务交付和服务支持 服务交付是针对IT部门对客户提供信息服务时应有的工作流程。其中包括： 服务水平管理、IT 服务财务管理、能力管理 、 IT 服务持续性管理、可用性管理。 服务支持是针对一般系统的运作部分，目的是让使用者可以顺利存取到IT服务。其中包括：服务台 、事件管理 、问题管理 、配置管理 、变更管理 、版本管理 。,国内外信息系统认证介绍,ISO20000 （ITIL和BS15000） 2001 年，英国标准协会在国际IT 服务管理论坛（ITSMF）上正式发布了以ITIL为核心的英国国家标准BS15000。这成为IT 服务管理领域具有历史意义的重大事件。 BS15000 有两个部分，目前都已经转化成国际标准了。ISO/IEC 20000-1:2005信息技术服务管理-服务管理规范、ISO/IEC 20000-2:2005信息技术服务管理- 服务管理实用规范。 与ISO/IEC 27000系列相比，ISO20000关注面更为广泛（信息技术），而且更侧重于具体的实施流程。ISMS实施者可以将ISO/IEC 27000系列作为ISO20000 在信息安全方面的补充，同时引入ISO20000 流程的方法，以此加强信息安全管理的实施能力。,国内外信息系统认证介绍,通用标准（CC） 通用标准或通用准则（Common Criteria，简称CC）是指ISO/IEC15408:1999标准。目前CC标准的最新版本是2.2；CC2.1版在1999年成为国际标准ISO/IEC15408:1999；我国在2001年等同采用为国家标准GB/T 183362001。 简介和一般模型。 安全功能要求。 安全保证要求。 与ISO/IEC 27000系列相比，CC 的侧重点放在系统和产品的技术指标评价上，ISO/IEC 27000系列 在阐述信息安全管理要求时，并没有强调技术细节。因此，组织在依照ISO/IEC 27000系列来实施ISMS 时，一些牵涉系统和产品安全的技术要求，可以借鉴CC 标准。,国内外信息系统认证介绍,NIST SP800系列 美国国家标准技术协会（National Institute of Standards and Technology，NIST）发布的Special Publication 800 文档是一系列针对信息安全技术和管理领域的实践参考指南，其中有多篇是有关信息安全管理的。 SP 800-12：计算机安全介绍 SP 800-30：IT 系统风险管理指南 SP 800-34：IT 系统应急计划指南 SP 800-26：IT 系统安全自我评估指南 这些文件可以作为实施ISMS 过程中一些关键任务的指导和参照（例如风险评估、应急计划等），是对ISO/IEC 27000系列很好的补充和细化。,国内外信息系统认证介绍,SSE-CMM系列 CMM即软件开发能力的成熟度模型，是软件工程协会SEI (software engineering institution) 在卡内基.梅隆大学开发完成的对一个组织软件开发能力进行评价的标准。它侧重于对软件开发过程和开发方法论的考察。CMM包括五个成熟等级，开发的能力越强，开发组织的成熟度越高，等级越高。这五级包括：初级、可重复的、被定义的、被管理的以及优化的。 SSE-CMM (System Security Engineering Capability Maturity Model) 模型，是由美国国家安全局 (NSA) 于1996年在CMM模型基础上开发的，在系统安全工程这个具体领域应用而产生的一个分支，是专门用于系统安全工程的能力成熟度模型。目前最新版本是SSE-CMM 2.0,国内外信息系统认证介绍,SSE-CMM系列 系统安全工程过程一共有3个相关组织过程、5个能力级别，11个过程区域。 3个相关组织过程：工程过程、风险过程 、保证过程。 5个能力级别：基本执行级、计划跟踪级、充分定义级、量化控制级、持续改进级,国内外信息系统认证介绍,SSE-CMM系列 2002年被国际标准化组织采纳成为国际标准即ISO/IEC 21827:2002信息技术系统安全工程成熟度模型。 SSE-CMM 和ISO/IEC 27000系列都提出了一系列最佳实践，但ISO/IEC 27000系列是一个认证标准（ISO/IEC 27001），提出了一个可供认证的ISMS 体系，组织应该将其作为目标，通过选择适当的控制措施（ISO/IEC 27002/3）去实现。而SSE-CMM 则是一个评估标准， 适合作为评估工程实施组织能力与资质的标准。,国内外信息系统认证介绍,信息系统管理认证 个人认证 信息安全管理体系主任审核员（ISO 27001 Principal/Lead Auditor） IT服务管理体系国际标准主任审核员（ISO/IEC 20000 LA） ITIL 认证：ITIL Foundation、 ITIL Practitioner、 ITIL Manager 项目管理专业资质认证（PMP，Project Management Professional） 国际项目管理专业资质认证（IPMP，International Project Management Professional） 中国项目管理师 （CPMP，China Project Management Professional）- 中国,国内外信息系统认证介绍,信息安全系统管理认证 个人认证 CISA(信息系统审计师) - ISACA CISM（注册信息系统经理）- ISACA CISSP（信息系统安全认证专业人员） CompTIA Security+ 认证 SANS GSEC（GIAC Security Essentials Certification） CISP（注册信息安全专业人员）- 中国,国内外信息系统认证介绍,信息系统管理认证 个人认证 信息系统高校相关专业 国外 Open University - Information Security Management: www3.open.ac.uk Royal Holloway, University of London - MSc in Information Security: Royal Holloway, University of London - PhD in Security: www.isg.rhul.ac.uk Westminster University - MSc in IT Security: www.wmin.ac.uk Loughborough University - MSc in Security Management: www.lboro.ac.uk Georgia Institute of Technology - MSc in Information Security: /welcome University of CaliforniaBerkeley - MSc in Information Security: Massachusetts Institute of Technology (MIT) - MSc in Information Security: / Carnegie Mellon University - MSc in Information Security: Stanford University - MSc in Information Security: ,国内外信息系统认证介绍,信息系统管理认证 个人认证 信息系统高校相关专业 - 国内 西安电子科技大学 - 密码学 及 信息安全 硕士: 武汉大学 - 信息安全 硕士: 上海交通大学 - 信息安全 硕士: 北京邮电大学 -信息安全 硕士: 哈尔滨工业大学 信息安全 硕士: 山东大学 - 密码学 硕士: 东北大学 -信息安全 硕士 : ,国内外信息系统认证介绍,信息系统技术认证 硬件 CompTIA A+ 认证 CompTIA A+ 认证是针对核心硬件和操作系统技术方面的一项认证。该认证是一项厂商中立的国际性认证，并得到了主要软硬件厂商、分销商和经销商的认可。CompTIA A+ 认证将对技术人员从事如下工作的能力进行检验：安装、配置、诊断、定期维护和基础组网的能力。 截止到2006年底，全球有70万人拥有CompTIA A+ 认证。,国内外信息系统认证介绍,信息系统技术认证 操作系统 Windows 微软认证系统工程师 (MCSE) Linux Red Hat认证工程师（Red Hat Certified Engineer ，简称RHCE） CompTIA Linux+ 认证 Unix HP-UX系统管理员认证 HP-UX System Administration Certification,国内外信息系统认证介绍,信息系统技术认证 数据库 Oracle Oracle 认证专员 Oracle Certified Associate (OCA) Oracle 认证专家 Oracle Certified Professional (OCP) Oracle 认证资深专家 Oracle Certified Master (OCM) Sybase CPD-Associate (Sybase Certified PowerBuilder Developer-Associate) CASA-Associate (Sybase Certified Adaptive Server Administrator-Associate),国内外信息系统认证介绍,信息系统技术认证 应用系统 SAP SAP顾问学院认证 (Solution Academy) SAP All-in-One顾问认证 SAP Business One 认证考试,国内外信息系统认证介绍,信息系统技术认证 网络 Cisco Cisco认证网络支持工程师CCNA Cisco Certified Network Associate Cisco认证资深网络支持工程师CCNP Cisco Certified Network Professional Cisco认证互联网专家CCIE Cisco Certified Internetwork Expert CompTIA Network+ 认证,国内外信息系统认证介绍,信息系统技术认证 网络及其他 华为认证 华为认证网络工程师 Huawei Certified Network Engineer（HCNE） 华为认证高级网络工程师 Huawei Certified Senior Network Engineer（HCSE） Checkpoint Check point认证安全管理员Check Point Certified Security Administrator （CCSA） Check point 认证安全工程师Check Point Certified Security Engineer（CCSE）,国内外信息系统认证介绍,提纲,背景介绍 信息系统审计相关概念 信息系统审计的发展情况 开展信息系统审计的必然性 开展信息系统审计的条件 开展信息系统审计的方法 ERP审计介绍 信息系统审计的工作思路,开展信息系统审计的必要性,信息系统对业务的影响程度越来越大，信息系统的稳定性直接关系到企业的连续运营 手工控制转为系统控制，系统控制的效果直接影响到内部控制的有效性 分析决策基于系统生成的数据，数据的准确性直接影响到分析决策的科学性、合理性。 企业的重要信息都由信息系统管理，信息系统的安全水平和保密措施至关重要。 数据信息成为企业最重要的一种资产，对信息资产的保护成为一项重要的工作。,信息系统对企业的重要性,开展信息系统审计的必要性,财务核算和管理全面实现信息系统管理，手工查帐的方式已经不适用。 手工控制转为系统控制，缺少对系统控制的检查就无法评价内部控制的有效性。 业务高度依赖信息系统，缺少对系统的审计相当于回避了可能存在的问题，无法得出可信的审计结论。 审计要全面关注企业运营的风险，信息系统已经成为企业的主要风险来源之一。,“不搞信息系统审计，我们将失去审计资格”,提纲,背景介绍 信息系统审计相关概念 信息系统审计的发展情况 开展信息系统审计的必然性 开展信息系统审