信息系统审计培训提纲

1、信息系统审计培训北京时代新威信息技术有限公司王新杰信息系统审计培训提纲北京时代新威信息技术有限公司王新杰信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、 维护数据的完整、 使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。近年来，越来越多的企业需要信息系统审计服务， 相关技术人员急需 信息系统审计培训 相关素材，本文以北京时代新威信息技术有限公司 （以下简称时代新威） 的服务内容为蓝本， 给大家提供一份信息系统审计培训的内容提纲。1、信息系统审计服务【引用：信息系统审计培训- 时代新威 pt-s-01 】为什么审？企业自身内控的需要行

2、业监管部门的要求用户等相关方的期望由电脑、网络和用户所构成的信息系统， 已经成为当今社会最重要的生产工具。其安全性和有效性已经成为生产安全的重要组成部分，并成为信息系统所有者及其用户最为关心的问题。同时，也是行业监管部门主要的监管内容。信息系统审计是信息系统治理工作中的重要一环。它以合规性评价为出发点，以评审、 检查和测试为主要手段， 以发现信息系统治理过程中存在的风险为目标，帮助和促进用户全面预防和及时处置信息系统风险，从而有效提高信息系统的安全性和有效性。审什么？审计署对信息系统审计内容的要求是：“信息系统的安全性、 有效性和经济性”，它给出了信息系统审计的目标和方向。但针对一个具体的信息

3、系统审计项目，其审计内容应以所确定的审计依据为准，通常包含一般控制审计和应用控制审计；也可以根据审计目的和内容的不同，分为不同的专项审计，如：信息安全审计业务和数据审计信息系统投产和变更审计业务连续性审计信息技术外包管理审计信息系统审计培训北京时代新威信息技术有限公司王新杰信息系统安全等级保护审计怎么审？实施信息系统审计， 首先要明确审计目的并确定审计范围；然后选择和明确审计依据，组建审计小组；其次规划审计方案，实施现场审计；最后报告审计发现，形成审计报告；其后，作为后续审计活动，实施跟踪审计。其审计工作流程大致如下：（信息系统审计培训示意图1）审什么？信息系统审计时间的确定应考虑组织年度审计

4、计划，尽量避开被审计对象业务活动高峰时期，以免影响其业务。确定信息系统审计时间，可考虑：定期审计随机审计遇有重大事件时审计信息资产发生重大变化时审计在哪里审？通常认为，信息系统审计的主要对象是一个组织的信息科技部门。其实，除信息科技部门外， 信息系统的所有用户部门及相关方都应考虑在内，因为许多信息系统的控制措施要在这些部门完成。确定被审计对象，可考虑：一个组织的全部，即所有业务和所有部门一个组织的局部，即部分业务或部分部门组织的相关方，如组织的供方，顾客等根据审计方式的不同， 信息系统审计还分为现场审计和非现场审计。非现场审计以非现场审计系统为主要审计工具。谁来审？信息系统审计培训北京时代新威

5、信息技术有限公司王新杰审计组是实施信息系统审计的主体，应根据审计目标和内容， 选择合适的审计人员组成审计组。一个审计组应包括：组长审计师业务或技术专家审计组成员应经过专业培训并取得相应资格，如：cisp-auditor 、cisa等。业务或技术专家应具备丰富的行业知识和经验。信息系统审计培训北京时代新威信息技术有限公司王新杰2、业务数据审计服务【引用：信息系统审计培训- 时代新威 pt-s-02 】高效、准确地发现业务系统中的违规和可疑数据按需定制的数据审计模型最大限度满足用户需求丰富的行业审计经验模型为用户提供参考和借鉴业务数据审计是信息系统审计中最具价值的审计类型之一。如何打开业务系统电子

6、帐表？如何建立业务数据审计模型？如何对海量业务数据进行筛选、分析？是信息信息审计师当前面临的难题。为解决上述难题， 时代新威与中科院软件所合作，在审计署指导下， 以审计署常用审计模型为基础， 总结众多行业实际审计业务经验，研发完成了一套高效易用的业务数据审计系统。该系统在金融领域海量数据审计中发挥了重要作用。此外，系统中提供的审计模型具有通用性，也可以用于其它行业数据审计。系统特点统一的业务模型管理。建立了商业银行和政策性银行的信贷、中间业务、资金、财务等业务类别的审计模型体系，涵盖了银行大部分的业务流程和风险控制点；具备了企事业单位财务方面的审计模型；标准的数据审计模型。 对被审计的业务系统

7、数据， 采取了字典规范化、 表结构规范化处理，保持了审计模型的独立性。技术指标通用性：能够同主流的数据库系统进行连接，并能高效地打开数据表；易用性：采用了自然语言编程技术，适合审计人员使用；高效率：采用了内存数据库技术，能够高效迁移和分析处理海量数据；网络化：能够远程连接、采集和打开数据帐表；协同性：可以多个审计人员协同使用系统进行联合审计。应用案例银行内部审计：中国农业发展银行、国家开发银行等；银行外部审计：中国工商银行、农业银行、建设银行、光大银行等；企事业外审：中国石油、中国联通、三峡集团总公司等。信息系统审计培训北京时代新威信息技术有限公司王新杰（信息系统审计培训示意图2）信息系统审计

8、培训北京时代新威信息技术有限公司王新杰3、信息安全审计服务【引用：信息系统审计培训- 时代新威 pt-s-03 】揭示信息安全风险的最佳手段改进信息安全现状的有效途径满足信息安全合规要求的有力武器根据预先确定的审计依据 （信息安全法规、标准及用户自己的规章制度等） ，在规定的审计范围内，通过文件审核、记录检查、技术测试、现场访谈等活动，获得审计证据，并对其进行客观的评价， 以确定被审计对象满足审计依据的程度。信息安全审计可以使组织掌握其信息安全是否满足安全合规性要求的同时，也可以帮助组织全面了解和掌握其信息安全工作的有效性、充分性和适宜性， 包括以下方面：信息安全组织机构信息安全需求管理信息安

9、全制度建设信息科技风险管理信息安全意识教育和培训信息资产管理信息安全事件管理应急和业务连续性管理it 外包安全管理业务秘密保护存储介质管理人员安全管理物理安全系统安全网络安全数据库安全源代码安全应用安全目标用户信息安全审计适用于各种类型、各种规模的组织，特别是对it 依赖度高的组织，如金融、电力、航空航天、军工、物流、电子商务、政府部门等。各个行业和部门可以单独实施信息安全审计，也可以将信息安全审计作为其它审计与信信息系统审计培训北京时代新威信息技术有限公司王新杰息安全相关工作的一部分内容联合实施。如it 审计、信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设等。审计依据iso/i

10、ec 27001 （gb/t22080 ）信息安全管理体系要求；gb/t22239信息安全等级保护基本要求；银监会商业银行信息科技风险管理指引；组织自己的信息安全规章制度。（信息系统审计培训示意图3）信息系统审计培训北京时代新威信息技术有限公司王新杰4、源代码安全审计服务【引用：信息系统审计培训- 时代新威 pt-s-04 】先于黑客之前发现应用系统安全漏洞将这些漏洞解决在应用系统上线之前应用安全的必由之路源代码安全审计以发现应用程序编码过程中造成的安全漏洞为目的，通过源代码静态分析工具， 对已有的代码进行扫描、 分析，并对导致安全漏洞的错误代码进行定位和验证，然后提供补救建议。实施源代码安全

11、审计的三个步骤：确定源代码安全审计目标；执行工具扫描并分析扫描结果；分析应用程序架构所特有的代码安全问题。目标用户源代码安全审计适用于以c 、c+ 、c# 、java、vb 、vb.net、abap 等语言开发的应用程序，以及以ruby 、php 、ajax和 perl 等在内的各种 web技术编写的应用程序。源代码安全审计的对象可以是一个应用程序的全部代码，也可以是其中的一部分代码。审计报告源代码安全审计的交付物为审计报告，其内容包括：所使用的开发技术和编程语言中常见的错误；对黑客有兴趣的资产、代码实现上的错误；每一个已识别漏洞的报告， 包括漏洞的概述、 影响和严重性以及再现该漏洞的步骤和可

12、用于修复该漏洞缺陷的补救措施建议；详细说明被审计代码的总体情况、 审计发现的问题、进行追加审计的建议，以及针对已确定漏洞进行补救的建议。信息系统审计培训北京时代新威信息技术有限公司王新杰（信息系统审计培训示意图4）信息系统审计培训北京时代新威信息技术有限公司王新杰5、数据库安全审计服务【引用：信息系统审计培训- 时代新威 pt-s-05 】实时记录并审计各种数据库操作行为旁路部署方式对系统性能零影响及时发现针对数据库的违规和错误操作powertime 数据库安全审计系统， 采用清华大学软件学院研发的数据库操作行为审计技术， 结合信息系统审计工作特点，针对常用国内外数据库系统，研发生产的一款数据

13、库系统安全审计工具。通过旁路部署方式， 对网络流量中的数据库操作数据实时记录、 分析和审计， 帮助数据库管理员、 信息系统审计人员以及相关 it 运维人员实时掌握数据库运行现状，及时发现违规和错误操作。产品特点自动化的数据库风险评估智能自学习引擎动态建模具有实时监控功能提供全方位、细粒度审计分析和查询b/s 架构后台管理，强大的综合查询功能，方便易用。具有云计算平台数据挖掘功能；技术指标支持的网络带宽： 10/100m/1000m 一个 10/100m/1000m探测端口一个 10/100m/1000m管理端口审计能力：支持 microsoft sql server、oracle 、db2 、

14、mysql 、sybase等支持标准：支持 tds协议、 tns协议、 mysql 数据库通信协议。支持并发访问连接数： 200-1000tps ；部署方式旁路部署在连接数据库服务器的核心交换机上；对数据库安全审计系统的操作和控制只需通过http/https 协议使用浏览器即可完成。管理控制端可以位于能够通过http/https 协议访问数据库安全审计系统的任何网络区域。信息系统审计培训北京时代新威信息技术有限公司王新杰（信息系统审计培训示意图5）信息系统审计培训北京时代新威信息技术有限公司王新杰6、等级保护咨询服务【引用：信息系统审计培训- 时代新威 pt-s-06 】满足等级保护工作要求的最佳方案降低等级保护实施成本的有效途径实现组织信息安全目标的重要保障依据国家标准“gb/t 22239信息系统安全等级保护基本要求” 、 “gb/t 22240信息系统安全等级保护定级指南”、“gb/t25058信息系统安全等级保护实施指南”等，通过规范、有效的咨询活动，帮助用户对重要信息系统实施定级和安全建设整改，并提供等级保护预测评服务， 以帮助用户满足国家主管部门对信息安全等级保护工作的要求。目标用户等级保护咨询服务适用于有信息安全等级保护实施要求的各类党政机关、企事业单位，帮助用户实现并完成与等级保护有关的各