信息系统审计期末考试重点

1 IT 治理 治理 IT 管理 公司治理之间关系 管理 公司治理之间关系 公司治理关注利益相关者权益和管理 驱动和调整 IT 治理 IT 能够提供关键的输入 形 成战略计划的一个重要组成部分 是公司治理的重要功能 IT 管理是公司的信息及信息系统的运营 确定 IT 目标以及实现此目标所采取的行动 是 在战术层面上 IT 治理是指最高管理层 董事会 利用它来监督管理层在 IT 战略上的过程 结构和联系 以确保这种运营处于正确的轨道之上 是在战略层面上 IT 治理规定了整个企业 IT 运作的基本框架 IT 管理则是在这个既定框架下驾驭企业奔向 目标 公司治理关注利益相关者权益和管理 驱动和调整 IT 治理 IT 能够提供关键的输入 形成战略计划的一个重要组成部分 是公司治理的重要功能 IT 治理规定了整个企业 IT 运作的基本框架 IT 管理则是在这个既定框架下驾驭企业奔 向目标 2 信息系统审计阶段 准备阶段应该了解被审计单位哪些方面内容信息系统审计阶段 准备阶段应该了解被审计单位哪些方面内容 P11 了解被审计系统的基本情况 1 调查了解被审计单位信息系统的基本情况 如信息系统的硬件配置 系统软件的选 用 应用软件的范围 网络结构 系统的管理结构和职能分工 文档资料等 调查完成后 将审前调查情况记录下来 2 提前三天送达审计通知书 要求被审计单位对所提供资料的真实性 完整性作 出书面承诺 明确彼此的责任 权利和义务 3 初步评价被审计单位的内部控制制度 以便确定符合性测试的范围和重点 4 确定审计重要性 确定审计范围 5 分析审计风险 6 制定审计实施方案 在审计实施方案中除了对时间 人员 工作步骤及任务分 配等方面作出安排以外 还要合理确定符合性测试 实质性测试的时间和范围 以及测试 时的审计方法和测试数据 在安排利用计算机辅助审计时 还需列出所选用的通用软件或专用软件 对于复杂的 信息系统 也可聘请专家 但必须明确审计人员的责任 3 信息系统一般控制 应用控制的区别和联系信息系统一般控制 应用控制的区别和联系 区别 范围 应用于一个单位信息系统全部或较大范围的内部控制 对象 应为除信息系统应用程序以外的其他部分 基本目标 保证数据安全 保护计算机应用程序 防止系统被非法侵入 保证在意外情况 下的持续运行等 一般控制主要涉及 管理控制 包括部门管理 人员管理等 系统基础设施控制 包括物理环境 系统硬件 系统软件等 系统访问控制 包括系统通信控制等 系统网络架构控制 灾难恢复控制 即服务持续性控制 应用控制是为适应各种数据处理的特殊控制要求 保证数据处理完整 准确地完成而建立 的内部控制 有输入控制 处理控制 输出控制审查方法 联系 良好的一般控制是应用控制的基础 如果一般控制审计结果很差 应用控制审计就没有进行的必要 4 变更管理实施的过程变更管理实施的过程 P159 160 5 5 如何进行系统运营 如何进行系统运营 维护阶段的审计 维护阶段的审计 从 ISA 角度 IS 审计师通过审查系统运营与维护的安全性 有效性 效益性等 并对 此进行评估 提出改进意见 从而确保系统能满足企业的业务目标需求并实现其效益 信息系统在日常运行过程中管理与维护内容主要涉及 1 信息系统运营的管理 2 信息系统变更管理 3 软件配置管理 4 项目管理 等 6 6 电子数据处理系统对审计的影响 电子数据处理系统对审计的影响 电子数据处理系统对传统审计的影响 1 对审计线索的影响 传统的审计线索缺失 EDP 下 数据处理 存储电子化 不可见 难辨真伪 2 对审计方法和技术的影响 技术方法复杂化 EDP 下 利用计算机 审计技术变得复杂化 3 对审计人员的影响 知识构成要求发生变化 EDP 下 会计 审计 计算机等知识和技能 4 对审计准则的影响 信息化下审计准则与标准的缺失 EDP 下 在原有审计准则的基础上 建立一系列新的准则 5 对内部控制的影响 内部控制方式发生改变 传统方式下 强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证 EDP 下 数据处理根据既定的指令程序自动进行 信息的处理和存储高度集中于计算 机 控制依赖于计算机信息系统 控制方式发生改变 7 简要回答简要回答 IT 治理范围治理范围 P46 好的 IT 治理实践需要在企业全部范围内推行 最高管理层 董事会 管理者 下层 8 8 信息系统访问方式及其审计方法有哪些 信息系统访问方式及其审计方法有哪些 系统访问方式 逻辑访问 用户通过软件方式对系统访问 物理访问 用户通过物理接触等方式对系统访问 逻辑访问控制审计 1 了解 IS 处理设施的技术 管理 安全环境 2 记录逻辑访问路径 评估相关软硬件设施 3 检查已实施的逻辑访问控制软件 查看软件的记录与报告 4 查看组织的安全政策 物理访问控制审计 1 现场查看信息处理设施和异地存储设施 2 评估物理进入的路径 3 审核文件和记录 9 9 回答恢复点目标和恢复时间目标的概念 回答恢复点目标和恢复时间目标的概念 恢复点目标 RPO 由业务中断情况下可接受的数据损失来决定 有效量化了业务中断 时可以允许丢失的数据量 恢复时间目标 RTO 由业务中断情况下可接受的停机时间决定 指明了灾难发生后必 须对业务进行恢复的最早时间点 1010 如何进行系统安装后的审计 如何进行系统安装后的审计 新系统是在日常作业环境中稳定下来之后 需要进行安装后审计 安装后审计是对系 统实际运行状况进行集中分析和评价 审计师在平时管理工作基础上进行的 安装后审计 和系统评价的内容相似 但目的不同 进行的时间不同 安装后审计师在系统投入运行后 定期或不定期进行的审计 其目的是确认系统目标和需求 成本效益 变更 资源利用率 内部控制 运行日志 系统改进 11 简要回答 简要回答 IT 治理成熟度模型治理成熟度模型 IT 治理成熟度级别 0 没有级别 根本没有管理程序 1 初始级 程序混乱 没有组织 2 可 重复级 程序遵循某种模式 3 已定义级 程序已形成正式文档 已发布 4 已管理级 程序 得到控制和评测 5 优化级 遵循并自动实行最佳实践 优点与作用 涉及经营需求的各个方面 简单实用的方式测定差异 测量治理发展程度的方法 各个成熟度的典型模式 有助于组织 对照惯例和最佳实践 发现和解释缺陷与不足 关注关键的管理方面 确定组织发展目标 1212 逻辑访问控制中的识别技术有哪些 逻辑访问控制中的识别技术有哪些 身份识别与验证 只有你知道的事情 账号与口令 账号的控制 口令的控制 只有你拥有的东西 令牌设备 发送许可权的特殊消息或一次性口令的设备 只有你具有的特征 生物测定技术与行为测定技术 指纹 虹膜等 签名等 论述题论述题 1 信息系统审计审计目标信息系统审计审计目标 一般审计目标 1 保护资产的完整性 安全性 信息系统资产包括硬件 软件 人力资源 数据文件及 系统文档 文件 等 所以 保护信息系统资产的完整性成为许多组织要达到的一个重要 目标 也是信息系统审计所追求的目标之一 2 保证数据的准确性 有效防止数据的输入 输出错误 以及非授权状态下修改信息所 造成的无效操作和错误后果 3 提高系统的有效性 信息系统获得预期的目标 4 提高系统的效率性 信息系统以尽可能少的资源消耗达到预期目标 系统资源主要包 括机器时间 设备 系统软件 劳动力等 5 保证系统的合法性 合规性 信息系统及其运用必须遵守有关法律 法规和规章制度 2 2 ITIT 治理的方法 治理的方法 P41 P41 1 积极进行治理设计 2 选择正确的时间进行 IT 治理设计 3 高层经理人员的参与 4 对目标有所取舍 5 制定例外处理流程 6 提供相应的激励 7 在组织的多个层面设计治理 8 加强透明度和教育 9 运用相同的机制治理多个关键资产 3 3 信息系统面临互联网的风险及其控制技术 信息系统面临互联网的风险及其控制技术 P73 P73 来自互联网上的安全威胁主要分为主动攻击和被动攻击 被动攻击 监听 主动攻击 中断 篡改 伪造 互联网攻击的主要表现形式 非授权访问 恶意攻击者一般同时采取两种方式 4 结合信息系统分析与设计如何考虑应用控制结合信息系统分析与设计如何考虑应用控制 输入控制 处理控制 输出控制 5 论述信息系统开发过程中的风险及其控制技术 论述信息系统开发过程中的风险及其控制技术 相关风险 系统不符合用户的业务需求 项目风险 1 项目内部 2 和供应商之间 3 在组织内部 4 和外部环境之间 重要原因 缺乏必要的规则 组织没有提供必要技术基础设施和支持 即缺乏有效的软件 过程管理与项目管理 风险降低 实现安全措施 以把风险降低到一个可以接受的的级别 实际上就是力图减小 威胁发生的可能性和带来的影响 风险承受 接受潜在的风险并继续运行信息系统 即在实施了其他风险应对措施之后 对 于残留的风险组织可以选择接受 风险规避 通过消除风险的原因和后果来规避风险 风险转移 通过使用其他措施来补偿损失 从而转移风险 6 6 结合实例 结合实例 ITIT 服务管理的内容与框架 服务管理的内容与框架 P149P149 IT 服务管理实施规划用以建立 IT 服务管理流程 讨论规划和实施