安达信IT审计培训的三个PPT

一一 2001 安达信公司. 所有内容版权属於公司所有.2 2001 安达信公司. 所有内容版权属於公司所有.3对信息系统审计评估作一般性了解介绍在信息系统管理评估、可升级性评估、信息安全评估和可用性评估中使用的技术和流程 2001 安达信公司. 所有内容版权属於公司所有.4标准标准 确定信息系统审计和报告的法定要求指引指引 为信息系统审计准则的运用提供指引程序程序 举例说明信息系统审计师在审计项目中可遵循的程序可在以下网址查阅信息系统审计和控制协会(“ISACA”) 准则和指引 （http:/www.isaca.org/stand1.htm） 2001 安达信公司. 所有内容版权属於公司所有.5国际标准化组织(“ISO”) 定义 风险 为 “利用一项资产或一组资产的薄弱环节，某些特定威胁可以导致资产损失或损害的可能性.” 审计师必须能够识别风险及用于防御这些风险的控制 2001 安达信公司. 所有内容版权属於公司所有. I N F O R M A T I O N F O R D E C I S I O N M A K I N G R I S KCompetitor Sensitivity Shareholder Relations Capital AvailabilityCatastrophic Loss Sovereign/Political Legal Regulatory Industry Financial MarketsE N V I R O N M E N T R I S KP R O C E S S R I S KEMPOWERMENT RISKLeadershipAuthorityLimitPerformance IncentivesCommunicationsINFORMATION PROCESSING/TECHNOLOGY RISKAccessIntegrityRelevanceAvailabilityINTEGRITY RISKManagement FraudEmployee FraudIllegal ActsUnauthorized UseReputationOPERATIONS RISKCustomer SatisfactionHuman ResourcesProduct DevelopmentEfficiencyCapacityPerformance GapCycle TimeSourcingCommodity PricingObsolescence/ShrinkageComplianceBusiness InterruptionProduct/Service FailureEnvironmentalHealth and SafetyTrademark/Brand Name ErosionFINANCIAL RISKCurrencyInterest RateLiquidityCash Transfer/VelocityDerivativeSettlementReinvestment/RolloverCreditCollateralCounterpartyOPERATIONALPricingContract CommitmentMeasurementAlignmentCompleteness and AccuracyRegulatory Reporting FINANCIALBudget and PlanningCompleteness and AccuracyAccounting InformationFinancial Reporting EvaluationTaxationPension FundInvestment EvaluationRegulatory ReportingSTRATEGICEnvironmental ScanBusiness PortfolioValuationMeasurementOrganization StructureResource AllocationPlanningLife Cycle 2001 安达信公司. 所有内容版权属於公司所有. I N F O R M A T I O N F O R D E C I S I O N M A K I N G R I S KCompetitor Sensitivity Shareholder Relations Capital AvailabilityCatastrophic Loss Sovereign/Political Legal Regulatory Industry Financial MarketsE N V I R O N M E N T R I S KP R O C E S S R I S KEMPOWERMENT RISKLeadershipAuthorityLimitPerformance IncentivesCommunicationsINFORMATION PROCESSING/TECHNOLOGY RISKAccessIntegrityRelevanceAvailabilityINTEGRITY RISKManagement FraudEmployee FraudIllegal ActsUnauthorized UseReputationOPERATIONS RISKCustomer SatisfactionHuman ResourcesProduct DevelopmentEfficiencyCapacityPerformance GapCycle TimeSourcingCommodity PricingObsolescence/ShrinkageComplianceBusiness InterruptionProduct/Service FailureEnvironmentalHealth and SafetyTrademark/Brand Name ErosionFINANCIAL RISKCurrencyInterest RateLiquidityCash Transfer/VelocityDerivativeSettlementReinvestment/RolloverCreditCollateralCounterpartyOPERATIONALPricingContract CommitmentMeasurementAlignmentCompleteness and AccuracyRegulatory Reporting FINANCIALBudget and PlanningCompleteness and AccuracyAccounting InformationFinancial Reporting EvaluationTaxationPension FundInvestment EvaluationRegulatory ReportingSTRATEGICEnvironmental ScanBusiness PortfolioValuationMeasurementOrganization StructureResource AllocationPlanningLife Cycle信息技术风险信息技术风险 访问访问 - 信息的访问被不适当地允许或拒绝的风险一致性一致性 - 在交易输入、交易处理、汇总和报告过程中，与授权、完整性和准确性相关的风险相关性相关性 - 信息与其收集、维护或发布的目的无关可用性可用性 - 需要时得不到所需的信息基础设施基础设施 - 企业没有有效的信息技术基础设施（例如硬件、网络、软件、人员和流程），以高效率、低成本、有组织地满足企业的目前和未来需要 2001 安达信公司. 所有内容版权属於公司所有.8技术架构技术架构监察事项监察事项 风险风险控制控制访问访问一致性一致性可用性可用性相关性相关性基础设施基础设施规条和指引规条和指引 政策、标准、政策、标准、开展管理开展管理 2001 安达信公司. 所有内容版权属於公司所有.94 访问（保密性）q目标：保护个人信息或有价值信息免遭有意或无意的、未经授权的泄露。q信息的读取可能会被不恰当地允许或拒绝的风险。未授权的人员可能读取保密信息。q发生于各个层面 网络层访问 处理环境访问 应用系统访问 功能层访问 2001 安达信公司. 所有内容版权属於公司所有.104 一致性 (准确真实)q目的: 保护重要数据免遭有预谋的或无意的、未经授权的篡改或删除q在交易输入公司所使用的各种应用系统，并在系统内进行处理、汇总和报告的过程中，与信息的授权、完整性和准确性相关的风险q典型问题：用户界面、处理、错误处理、变更管理、数据等 2001 安达信公司. 所有内容版权属於公司所有.114 可用性q目标 : 防止对真正的用户拒绝提供信息技术服务或未经授权地保留服务q需要时不能得到所需信息的风险4 相关性q信息与其收集、维护或发布的目的不符的风险 2001 安达信公司. 所有内容版权属於公司所有.124 基础设施q企业没有有效的信息技术基础设施（例如硬件、网络、软件、人员和流程），不能够高效率、低成本、有组织地满足企业的目前和未来的需要q重点注意以下核心信息技术流程 组织架构组织架构 应用系统的定义、推行和变更管理应用系统的定义、推行和变更管理 物理设备安全物理设备安全 计算机和网络操作计算机和网络操作 数据和数据库的管理数据和数据库的管理 业务业务/ /数据中心复原数据中心复原 2001 安达信公司. 所有内容版权属於公司所有.13确认产生/存储、使用或操纵资产的信息资产和潜在的系统资产面对的潜在威胁及可能带来的后果确认并评估提出的控制和安全策划，以： 防止或降低风险发生的可能性； 警惕风险的发生并将风险的影响降到最低 2001 安达信公司. 所有内容版权属於公司所有.14识别风险控制评估风险控制设计的有效性确定控制措施的正常运作测试控制措施运作的效果 2001 安达信公司. 所有内容版权属於公司所有.15控制的定义：控制的定义：“能够提供合理保证的政策、措施和组织结构能够提供合理保证的政策、措施和组织结构”“提供适当的信息技术保护并支持关键流程的技术提供适当的信息技术保护并支持关键流程的技术”3可扩展性可扩展性3IT 战略规划3负载测试3访问访问3操作系统安全3防火墙和路由器3应用程序3基础设施基础设施3系统监控3行政管理3职责分工3可用性可用性3应急计划3备份/复原3系统设计3高可用性计划 3相关性相关性3系统开发控制 2001 安达信公司. 所有内容版权属於公司所有.16n信息技术风险评估n制定信息技术安全框架 n制定信息技术安全政策和措施 n开展信息技术安全培训 n建立信息技术风险管理部门，监控政策和措施的执行 n系统评估/审计 2001 安达信公司. 所有内容版权属於公司所有.17数据中心安全评估评估信息技术部门的职责分工评估物理安全措施，防范对关键电脑和网络设备的非授权物理访问评估日常电脑运作和物理管理控制评估系统开发和维护控制程序评估测试和变更管理控制评估备份和复原程序，以及灾难复原计划应用系统安全评估评估数据输入控制，例如数据验证和交易确认评估数据处理控制，例如交易处理、更新和界面控制评估主文件一致性控制评估数据输出控制，例如报告的一致性和总数核对 评估应用程序功能访问控制电脑辅助审计技术 (CAAT)开发 CAAT 程序来测试系统逻辑利用电脑审计软件进行数据处理和验证 2001 安达信公司. 所有内容版权属於公司所有.18问题问题 ？