信息系统审计重点

文档供参考，可复制、编制，期待您的好评与关注！ 信息系统审计电子计算机在数据处理的发展过程可分为三个阶段：数据的单项处理阶段、数据的综合处理阶段、数据的系统处理阶段。数据处理电算化以后，对传统的审计产生了巨大的影响，主要表现在：1、 对审计线索的影响2、 对审计方法和技术的影响3、 对审计人员的影响4、 对审计准则的影响信息系统审计的定义：信息系统审计是根据公认的标准和指导规范，对信息系统从规划、实施到运行维护各个环节进行审查评价，对信息系统及其业务应用的完整性、有效性、效率性、安全性等进行检测、评估和控制的过程，以确认预订的业务目标得以实现，并提出一系列改进建议的管理活动。信息系统的主体：有胜任能力的信息系统独立审计机构或人员信息系统审计的对象：被审计的信息系统信息系统审计工作的核心：客观地收集和评估证据信息系统审计的目的是评估并提供反馈、保证及建议。关注之处被分为三类：可用性、保密性、完整性。信息系统审计的特点：审计范围的广泛性、审计线索的隐蔽性、易逝性、审计取证的动态性、审计技术的复杂性。（真是为一道简答题。在P6，详细看一下各段内容，概括下再答题）信息系统审计目标：1、保护资产的完整性 2、保证数据的准确性 3、提高系统的有效性 4、提高系统的效率性 5、保证信息系统的合规性与合法性信息系统的主要内容：内部控制系统审计（分为一般控制系统、应用控制系统，对信息系统的内部控制系统进行审计的目的是在内部控制审计的基础上对信息系统的处理结果进行审计、加强内部控制，完善内部控制系统）系统开发审计(信息系统开发审计是对信息系统开发过程进行的审计，审计目的一是要检查开发的方法、程序是否科学，是否含有恰当的控制；二是要检查开发过程中产生的系统文档资料是否规范。)应用程序审计（审查应用程序有两个目的，意识测试应用控制系统的符合性，二是通过检查程序运算和逻辑的正确性达到实质性测试目的）数据文件审计（审计目的一是对数据文件进行实质性测试，二是通过数据文件的审计，测试一般控制或应用控制的符合性，但主要是为了实质性测试）（这是道简答题，在P8各个小概括下）信息系统审计的基本方法：绕过信息系统审计、通过信息系统审计信息系统审计的步骤（大题P11）：准备阶段：明确审计任务，组成信息系统审计小组，了解被审计系统的基本情况，指定信息系统审计方案，发出审计通知书实施阶段：对被审计系统的内部控制制度进行健全性调查和符合性测试，对账表单证或数据文件的实质性审查终结阶段：整理归纳审计资料，撰写审计报告，发出审计结论和决定，审计资料的归档和管理国际信息系统审计准则：由信息系统审计与控制协会（ISACA）颁布和实施的。ISACA是国际上唯一的信息系统审计专业组织，通过制定和颁布信息系统审计标准、指南和程序来规范审计师的工作，它由三个层次构成：审计标准（审计标准是整个信息系统准则体系的总纲，是制定审计指南和作业程序的基础和依据）审计指南（审计指南为审计标准的应用提供了指引，信息系统审计师在审计过程中应考虑如何应用指南以实现审计标准的要求，在应用过程中灵活运用专业判断并纠正任何偏离准则的行为）作业程序（作业程序提供了信息系统审计师在审计过程中可能遇到的审计程序的示例）信息系统审计师应具备的素质（大题P18-19）应具备的理论知识:传统审计理论、信息系统管理理论、计算机科学、行为科学理论应具有的实践技能：参加过不同类别的工作培训、参与专业的机构或厂商组织的研讨会，动态掌握信息技术的新发展对审计实践的影响、具有理解信息处理活动的各种技术、理解并熟悉操作环境，评估内部控制的有效性、理解现有与未来系统的技术复杂性，以及它们对各级操作与决策的影响、能使用技术的方法去识别系统的完整性、要参与评估与使用信息技术相关的有效性、效率、风险等、能够提供审计集成服务并为审计员工提供指导，与财务审计师一起对公司财务状况做出说明、具备系统开发方法论、安全控制设计、实施后评估等、掌握网络相关的安全实践、信息安全服务、灾难恢复与业务持续计划、异步传输模式等通信技术。IT治理定义：德勒定义：IT治理是一个含义广泛的概念，包括信息系统、技术、通信、商业、所有利益相关者、合法性和其他问题。其主要任务是保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。IT治理必须与企业战略目标一致，IT对于企业非常关键，也是战略规划的组成，影响战略竞争；IT治理和其他治理主体一样，是管理执行人员和利益相关者的责任（以董事会为代表）；IT治理保护利益相关者的权益，使风险透明化，指导和控制IT投资、机遇、利益、风险；IT治理包括管理层、组织结构、过程，以确保IT维护和拓展组织战略目标；应该合理利用企业的信息资源，有效的集成与协调；确保IT及时按照目标交付，有合适的功能和期望的收益，是一个一致性和价值传递的基本构建模块，有明确的期望值和衡量手段；引导IT战略平衡系统的投资，支持企业，变革企业，或者创建一个信息基础架构，保证业务增长，并在一个新的领域竞争。IT治理和IT管理的关系：IT管理是在既定的IT治理模式下，管理层为实现公司的目标二采取的行动，IT治理规定了整个企业IT运作的基本框架，IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司，即使有很好的IT管理体系，就想一座地基不牢固的大厦；同时，没有公司IT管理体系的流畅，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容。公司治理和IT治理：公司治理，驱动和调整IT治理。同时，IT能够提供关键的输入，形成战略计划的一个重要组成部分，即IT影响企业的战略竞争机遇。IT治理标准：ITIL、COBIT BS7799 PRINCE2IT治理成熟度模型：不存在、初始级、可重复级、已定义级、已管理级、已优化级（主要内容及其作用在P47-48）信息系统内部控制：是一个单位在信息系统环境下，为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现、纠正错误与舞弊、确保信息系统提供信息的真实、合法、完整，而制定和实施的一系列政策与程序措施。凡是与信息系统的建立、运作维护、管理和业务处理有关的部门、人员和活动，都属于信息系统内部控制的对象，可分为一般控制和应用控制。信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制，其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。信息系统应用控制是用于对具体应用系统的控制，一个应用系统一般由多个相关计算机程序组成，有些应用系统可能是复杂的综合系统，牵涉到多个计算机程序和组织单元，与此相对应，应用控制包括包含在计算机编码中的日常控制及与用户活动相关的政策和流程。良好的一般控制是应用控制的基础，可以为应用控制的有效性提供有力的保障，某些应用控制的有效性取决于计算机整体环境控制的有效性。当计算机整体环境控制薄弱时，应用控制就无法真正提供合理保障。如果一般控制审计结果很差，应用控制审计结果很差，应用控制审计就没有进行的必要。审计逻辑访问安全策略：知所必需原则审查离职员工的访问控制：请辞、聘用合同期满和非自愿离职数据库加密：一般采用公开密钥加密方法系统访问控制及其审计：系统访问就是利用计算机资源达到一定目的的能力，对计算机化的信息资源的访问可以基于逻辑方式，也可以基于物理方式。物理访问控制可以限制人员进出敏感区域。对计算机信息的物理访问与逻辑访问应当建立在“知所必需”的基础上，按照最小授权原则和职责分离原则来分配系统访问权限，并把这些访问规则与访问授权通过正式书面文件记录下来，作为信息安全的重要文件加以妥善管理。身份识别与验证（简答题P65-66）：逻辑访问控制中的身份识别与验证是一种提供用户身份证明的过程，在这个过程中，用户向系统提交有效的身份证明，系统验证这个身份证明后向用户授予访问系统的能力。可分为三类：“只有你知道的事情”“只有你拥有的东西”“只有你具有的特征” 例子：账号与口令、令牌设备、生物测定技术与行为测定技术。逻辑访问授权：一般情况下逻辑访问控制基于最小授权原则，支队因工作需要访问信息系统的人员进行必要的授权。当用户在组织变换工作角色时，在赋予他们新访问权限时，一般没有及时取消旧的访问权限，这就会产生访问控制上的风险。所以当员工职位有变动时，信息系统审计师就要及时审核访问控制列表是否做了有效变更。灾难恢复控制及其审计：信息系统的灾难恢复和业务持续计划是组织中总的业务持续计划和灾难恢复计划的重要组成部分。恢复策略与恢复类型：热站、温站、冷站、冗余信息处理设施、移动站点、组织间互惠协议。BCP中多个计划文件：业务持续性计划（BCP）、业务恢复计划（BRP）、连续作业计划（COOP）连续支持计划、IT应急计划、危机通信计划、事件响应事件、灾难恢复计划（DRP）、场所紧急计划（OEP）异地备份：完全备份、增量备份、差分备份灾难恢复与业务持续计划的审计：主要任务是理解与评价组织的业务连续性策略，及其组织业务目标的符合性；参考相应的标准和法律法规，评估该计划的充分性和时效性；审核信息系统及终端用户对计划所做的测试的结果，验证计划的有效性；审核异地存储设施机器内容、安全和环境控制，以评估异地存储站点的适当性；通过审核应急措施、员工培训、测试结果，评估信息系统及其终端用户在紧急情况下的有效反应能力；确认组织对业务持续性计划的维护措施存在并有效。应用控制概念：应用控制是为适应各种数据处理的特殊控制要求，保证数据处理完整、准确地完成而建立的内部控制。应用控制涉及各种类型的业务，每种业务及其数据处理尤其特殊流程的要求，这决定了具体的应用控制的设计需结合具体的业务。单另一方面。由于数据处理过程一般都是由输入、处理和输出三个阶段构成，从这一共性出发，可将应用控制划分为输入控制、处理控制和输出控制。应用控制也是由手工控制和程序化控制构成，但以程序化控制为主。软件维护的种类：纠错行为化、适应性维护、完善性维护、预防性维护服务管理：面向IT基础设施管理的服务支持、面向业务管理的服务提供IT服务提供流程主要面对付费的机构和个人客户，负责为客户提供高质量、低成本的IT服务。任务：根据组织的业务需求，对服务能力、持续性、可用性等服务级别目标进行规划和设计，同时还必须考虑到这些服务目标所需要耗费的成本。主要包括服务水平管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理5个服务管理流程。IT服务的服务支持主要面向终端用户，负责确保IT服务的稳定性与灵活性，用于确保终端用户得到适当的服务，以支持组织的业务功能。服务支持流程包括体现服务接触和沟通的服务台职能和5个运作层次的流程，即配置管理、事务管理、问题管理、变更管理、发布管理。应用程序审计的内容：审查程序控制是否健全有效：程序中输入控制的审计、程序中处理控制的审计、程序中输出控制的审计。审查程序的合法性P168 简单论述审查程序编码的正确性：目标和任务不明确、系统设计差错、程序设计说明书错误、程序语法或逻辑错误审查程序的有效性：在具体编写程序前应简化算术表达式及逻辑表达式、细心的分析多层嵌套循环，以确定能否把一些语句或表达式转移到循环体制外、尽量避免采用多维数组、尽量避免采用指针及复杂的表、采用“快”的算法；不要把不同的数据类型混在一起；只要可能就采用整形数的算法运算和布尔表达式。应用程序审计方法：对应用程序进行审计，往往是计算机辅助审计方法与手工审计方法的结合。检测数据法：是指审计人员把一批预先设计好的监测数据，利用被审程序加以处理，并把处理的结果与预期的结果作比较，以确定被审程序的控制与处理功能是否恰当、有效的一种方法。平行模拟法：是指审计人员自己或请计算机专业人员编写的具有和被审计程序相同处理和控制的模拟程序，用这种程序处理当期的实际数据，并以处理的结果与被审计程序的处理结果进行比较，以评价被审程序的处理和控制功能是否可靠的一种方法嵌入审计程序法：是指被审计信息系统的设计和开发阶段，在被审的应用程序中嵌入为执行特定的审计功能而设计的程序段，这些程序段可以用来收集审计人员感兴趣的资料，并且建立一个审计控制文件，用来存储这些资料，审计人员通过这些资料的审核来确定被审程序的处理和控制功能的可靠性。程序追踪法：是一种对给定的业务，跟踪被审程序处理步骤的审查技术。一般可由追踪软件来完成，也可利用某些高级语言或数据库管理系统中的跟踪指令被审查程序的处理。4 / 4