信息系统审计信息系统审计基础

1 信息系统审计 （信息系统审计基础） 杨 烺 （ CISA） 国际注册信息系统审计师 2 信息系统审计基础 信息系统审计的起源与发展 信息系统审计的内容 内部控制与审计 IT审计的标准和依据 IT审计的过程 IT审计的技术 3 1. 信息系统审计的起源与发展 1.1 国外： 八十年代、九十年代信息技术的进一步 发展与普及，使得企业越来越依赖信息及产 生信息的信息系统。人们开始更多的关注信 息系统的安全性、保密性、完整性及其实现 企业目标的效率、效果，真正意义的信息系 统风险评估与审计才出现。 4 1. 信息系统审计的起源与发展 1.1 国外： 信息系统审计与控制协会 ISACA (INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION)，总部设在美国芝加哥。目前 该组织在世界上 100多个国家设有 160多个分 会，现有会员两万多人，它是从事信息系统 审计的专业人员唯一的国际性组织。 5 1. 信息系统审计的起源与发展 1.1 国外： CISA (Certified Information System Auditor)是信息系统审计领域的唯一职业资 格 ISACA每年举办 CISA资格考试，通过考试 的人员可以申请 CISA资格，符合 ISACA规定 的工作经验及其他相关要求的申请人会被授 予 CISA资格。 CISA资格在世界各国都被广泛 的认可。国内获得此资格的有三百多人。 6 1. 信息系统审计的起源与发展 1.1 国外： CISA考试介绍： 内容：信息系统审计流程、信息系统的 管理、计划与组织、信息技术基础设施与操 作实务、信息资产的保护、灾难恢复与业务 持续计划、应用系统的开发、获得、实施与 维护、业务处理流程评价与风险管理。 时间：每年一次 题型与考试语言：全部是客观题；英文、 中文； 75分合格 7 1. 信息系统审计的起源与发展 1.2 国内： 1994 年 2 月，我国颁布了 中华人民共 和国计算机信息系统安全保护条例 ，提出 了计算机信息系统实行安全等级保护的要求。 安全等级保护的总体目标是确保信息安全和 计算机信息系统安全正常运行，并保障以下 安全特性：信息的完整性、可用性、保密性、 抗抵赖性、可控性等（其中完整性、可用性、 保密性为基本安全特性要求）。 8 1. 信息系统审计的起源与发展 1.2 国内： 1994 年 2 月，我国颁布了 中华人民共和国计 算机信息系统安全保护条例 ，提出信息的完整性、 可用性、保密性、抗抵赖性、可控性等要求。 1999年 2月 9日，我国正式成立了中国国家信息安 全测评认证中心。 2002年 4月 15日 全国信息安全标准化技术委员会 （简称信息安全标委会， TC260）。 2005年 12月 16日 国家网络与信息安全协调小组 正式通过了 信息安全风险评估指南 。 9 管理计划 与 IS的组 织 信息资产 的保护 灾难备份 与业务持 续计划 技术基础 与操作实 务 业务应用系统 的开发取得实 施与维护 业务过程 评价与风 险管理 2. 信息系统审计的内容 10 一 般 控 制 静 态 IS的构成 管理角度 管理计划与 IS的组织 (C2) 技术角度 技术基础与操作实务 (C3) IS的控制 与安全 正常情况 信息资产的保护 (C4) 非常情况 灾难恢复与业务持续计划 (C5) 动 态 业务应用系统的开发取得实施与维护 (C6) 应用控制 业务过程评价与风险管理 (C7) 3. 信息系统审计与内部控制 11 4. 信息系统审计的标准与依据 可信的计算机系统安全评估标准（ TCSEC， 从橘皮书到彩虹系列） 由美国国防部于 1985年公布的，是计算 机系统信息安全评估的第一个正式标准。它 把计算机系统的安全分为 4类、 7个级别，对 用户登录、授权管理、访问控制、审计跟踪、 隐蔽通道分析、可信通道建立、安全检测、 生命周期保障、文档写作、用户指南等内容 提出了规范性要求。 12 4. 信息系统审计的标准与依据 信息技术安全评价的通用标准（ CC） 由六个国家（美、加、英、法、德、荷） 于 1996年联合提出的，并逐渐形成国际标准 ISO15408。该标准定义了评价信息技术产品 和系统安全性的基本准则，提出了目前国际 上公认的表述信息技术安全性的结构，即把 安全要求分为规范产品和系统安全行为的功 能要求以及解决如何正确有效地实施这些功 能的保证要求。 CC标准是第一个信息技术安 全评价国际标准，它的发布对信息安全具有 重要意义，是信息技术安全评价标准以及信 息安全技术发展的一个重要里程碑。 13 4. 信息系统审计的标准与依据 ISO13335标准 首次给出了关于 IT安全的保密性、完整 性、可用性、审计性、认证性、可靠性 6个 方面含义，并提出了以风险为核心的安全模 型：企业的资产面临很多威胁（包括来自内 部的威胁和来自外部的威胁）；利用信息系 统存在的各种漏洞（如：物理环境、网络服 务、主机系统、应用系统、相关人员、安全 策略等），对信息系统进行渗透和攻击。 14 4. 信息系统审计的标准与依据 BS7799 是英国的工业、政府和商业共同需求而 发展的一个标准，它分两部分：第一部分为 “ 信息安全管理事务准则 ” ；第二部分为 “ 信息安全管理系统的规范 ” 。目前此标准 已经被很多国家采用，并已成为国际标准 ISO17799。 BS7799包含 10个控制大项、 36 个控制目标和 127个控制措施。 BS7799/ISO17799主要提供了有效地实施信 息系统风险管理的建议，并介绍了风险管理 的方法和过程。企业可以参照该标准制定出 自己的安全策略和风险评估实施步骤。 15 4. 信息系统审计的标准与依据 “信息系统和技术控制目标 ” （ COBIT） 是 IT治理的一个开放性标准，目前已成 为国际上公认的最先进、最权威的安全与信 息技术管理和控制的标准。该标准为 IT的治 理、安全与控制提供了一个一般适用的公认 的标准，以辅助管理层进行 IT治理。该标准 体系已在世界一百多个国家的重要组织与企 业中运用，指导这些组织有效利用信息资源， 有效地管理与信息相关的风险。 16 4. 信息系统审计的标准与依据 17 4. 信息系统审计的标准与依据 18 4. 信息系统审计的标准与依据 19 4. 信息系统审计的标准与依据 20 5. 信息系统审计的过程 审计计划： 检查被审计单位的 IT政策、实务及组 织结构； 检查一般控制和应用控制的情况； 计划控制测试和实质性测试的程序； 21 5. 信息系统审计的过程 控制测试： 实施控制测试； 评价测试结果； 确定对控制的依赖程度； 22 5. 信息系统审计的过程 实质测试： 实施实质性测试； 评价测试结果并签发审计报告； 审计报告 23 6. 信息系统审计的技术 问卷调查表 被测信息系统 评估申请 漏洞扫描工具 评估或等级标准 系统风险识别与分析 综合评估 标准库 评估报告 风 险 数 据 采 集 正反向工具箱 知识库 风 险 识 别 与 分 析 综 合 评 估 评估单位 信息库 等级库 评估方法库 等级判定报告 资产分析 脆弱性分析 威胁分析 物理平台 网络平台 应用平台 管理平台操作系统平台 评 估 项 目 管 理 24