信息系统审计(信息系统审计基础)(24页)ppt课件

1、信息系统审计信息系统审计根底 杨 烺 CISA国际注册信息系统审计师 .信息系统审计根底 信息系统审计的来源与开展 信息系统审计的内容 内部控制与审计 IT审计的规范和根据 IT审计的过程 IT审计的技术 .1. 信息系统审计的来源与开展1.1 国外： 八十年代、九十年代信息技术的进一步开展与普及，使得企业越来越依赖信息及产生信息的信息系统。人们开场更多的关注信息系统的平安性、严密性、完好性及其实现企业目的的效率、效果，真正意义的信息系统风险评价与审计才出现。 .1. 信息系统审计的来源与开展1.1 国外： 信息系统审计与控制协会ISACA (INFORMATION SYSTEM AUDIT

2、AND CONTROL ASSOCIATION)，总部设在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会，现有会员两万多人，它是从事信息系统审计的专业人员独一的国际性组织。 .1. 信息系统审计的来源与开展1.1 国外： CISA (Certified Information System Auditor)是信息系统审计领域的独一职业资历 ISACA每年举行CISA资历考试，经过考试的人员可以恳求CISA资历，符合ISACA规定的任务阅历及其他相关要求的恳求人会被授予CISA资历。CISA资历在世界各国都被广泛的认可。国内获得此资历的有三百多人。.1. 信息系统审计的来源与开展

3、1.1 国外： CISA考试引见： 内容：信息系统审计流程、信息系统的管理、方案与组织、信息技术根底设备与操作实务、信息资产的维护、灾难恢复与业务继续方案、运用系统的开发、获得、实施与维护、业务处置流程评价与风险管理。 时间：每年一次 题型与考试言语：全部是客观题；英文、中文；75分合格 .1. 信息系统审计的来源与开展1.2 国内： 1994 年2 月，我国公布了，提出了计算机信息系统实行平安等级维护的要求。平安等级维护的总体目的是确保信息平安和计算机信息系统平安正常运转，并保证以下平安特性：信息的完好性、可用性、严密性、抗抵赖性、可控性等其中完好性、可用性、严密性为根本平安特性要求。 .1

4、. 信息系统审计的来源与开展1.2 国内： 1994 年2 月，我国公布了，提出信息的完好性、可用性、严密性、抗抵赖性、可控性等要求。 1999年2月9日，我国正式成立了中国国家信息平安测评认证中心。 2002年4月15日 全国信息平安规范化技术委员会简称信息平安标委会，TC260。 2005年12月16日 国家网络与信息平安协调小组正式经过了。 .管理方案与IS的组织信息资产的维护灾难备份与业务继续方案技术根底与操作实务业务运用系统的开发获得实施与维护业务过程评价与风险管理 2. 信息系统审计的内容 .一般控制静态IS的构成管理角度管理计划与IS的组织(C2)技术角度技术基础与操作实务(C3

5、)IS的控制与安全正常情况信息资产的保护(C4)非常情况灾难恢复与业务持续计划(C5)动态业务应用系统的开发取得实施与维护(C6)应用控制 业务过程评价与风险管理(C7) 3. 信息系统审计与内部控制 .4. 信息系统审计的规范与根据 可信的计算机系统平安评价规范TCSEC，从橘皮书到彩虹系列 由美国国防部于1985年公布的，是计算机系统信息平安评价的第一个正式规范。它把计算机系统的平安分为4类、7个级别，对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、平安检测、生命周期保证、文档写作、用户指南等内容提出了规范性要求。 .4. 信息系统审计的规范与根据 信息技术平安评价的

6、通用规范CC 由六个国家美、加、英、法、德、荷于1996年结合提出的，并逐渐构成国际规范ISO15408。该规范定义了评价信息技术产品和系统平安性的根本准那么，提出了目前国际上公认的表述信息技术平安性的构造，即把平安要求分为规范产品和系统平安行为的功能要求以及处理如何正确有效地实施这些功能的保证要求。CC规范是第一个信息技术平安评价国际规范，它的发布对信息平安具有重要意义，是信息技术平安评价规范以及信息平安技术开展的一个重要里程碑。 .4. 信息系统审计的规范与根据 ISO13335规范 初次给出了关于IT平安的严密性、完好性、可用性、审计性、认证性、可靠性6个方面含义，并提出了以风险为中心的

7、平安模型：企业的资产面临很多要挟包括来自内部的要挟和来自外部的要挟；利用信息系统存在的各种破绽如：物理环境、网络效力、主机系统、运用系统、相关人员、平安战略等，对信息系统进展浸透和攻击。 .4. 信息系统审计的规范与根据 BS7799 是英国的工业、政府和商业共同需求而开展的一个规范，它分两部分：第一部分为“信息平安管理事务准那么；第二部分为“信息平安管理系统的规范。目前此规范曾经被很多国家采用，并已成为国际规范ISO17799。 BS7799包含10个控制大项、36个控制目的和127个控制措施。BS7799/ISO17799主要提供了有效地实施信息系统风险管理的建议，并引见了风险管理的方法和

8、过程。企业可以参照该规范制定出本人的平安战略和风险评价实施步骤。.4. 信息系统审计的规范与根据 “信息系统和技术控制目的COBIT 是IT治理的一个开放性规范，目前已成为国际上公认的最先进、最权威的平安与信息技术管理和控制的规范。该规范为IT的治理、平安与控制提供了一个普通适用的公认的规范，以辅助管理层进展IT治理。该规范体系已在世界一百多个国家的重要组织与企业中运用，指点这些组织有效利用信息资源，有效地管理与信息相关的风险。 .4. 信息系统审计的规范与根据.4. 信息系统审计的规范与根据.4. 信息系统审计的规范与根据.4. 信息系统审计的规范与根据.5. 信息系统审计的过程审计方案： 检查被审计单位的IT政策、实务及组织构造； 检查普通控制和运用控制的情况；