信息系統(tǒng)審計報告

1、計算機和信息系統(tǒng)安全保密審計報告根據(jù)市國家保密局要求，公司領(lǐng)導(dǎo)非常重視計算機信息系統(tǒng)安全保密工作，在公司內(nèi)部 系統(tǒng)內(nèi)開展自查，認真對待，不走過場，確保檢查不漏一機一人。雖然在檢查中沒有發(fā)現(xiàn)違 反安全保密規(guī)定的情況，但是，仍然要求計算機使用管理人員不能放松警惕，要時刻注意自 己所使用和管理的計算機符合計算機信息系統(tǒng)安全保密工作的規(guī)定，做到專機專用，專人負 責(zé)，專人管理，確保涉密計算機不上網(wǎng)，網(wǎng)上信息發(fā)布嚴(yán)格審查，涉密資料專門存儲，不交 叉使用涉密存儲設(shè)備，嚴(yán)格落實計算機信息系統(tǒng)安全保密制度。通過檢查，進一步提高了全 公司各部門員工對計算機信息系統(tǒng)安全保密工作的認識，增強了責(zé)任感和使命感。現(xiàn)將自查

2、 情況匯報如下：一、加大保密宣傳教育，增強保密觀念。始終把安全保密宣傳教育作為一件大事來抓， 經(jīng)常性地組織全體職工認真學(xué)習(xí)各級有關(guān)加強安全保密的規(guī)定和保密常識，如看計算機泄密 錄像等，通過學(xué)習(xí)全公司各部門員工安全憂患意識明顯增強，執(zhí)行安全保密規(guī)定的自覺性和 能力明顯提高。二、明確界定涉密計算機和非涉密計算機。涉密計算機應(yīng)有相應(yīng)標(biāo)識，設(shè)置開機、屏保 口令，定期更換口令，存放環(huán)境要安全可靠。涉密移動硬盤、軟盤、光盤、u盤等移動存儲 介質(zhì)加強管理，涉密移動存儲介質(zhì)也應(yīng)有標(biāo)識，不得在非涉密計算機中使用，嚴(yán)防泄密。非 涉密計算機、非涉密存儲介質(zhì)不得以任何理由處理涉密信息，非涉密存儲介質(zhì)不得在涉密計算機

3、中使用涉密信息。涉密信息和數(shù)據(jù)必須按照保密規(guī)定進行采集、存儲、處理、傳遞、使用和 銷毀。計算機信息系統(tǒng)存儲、處理、傳遞、輸出的涉密信息要有相應(yīng)的密級標(biāo)識，密級標(biāo)識 不能與正文分離。涉密信息不得在與國際網(wǎng)絡(luò)聯(lián)接的計算機信息系統(tǒng)中存儲、處理、傳遞。三、加強筆記本電腦的使用管理。筆記本電腦主要在公司內(nèi)部用于學(xué)習(xí)計算機新軟件、 軟件調(diào)試，不處理涉密數(shù)據(jù)或文件。四、計算機的使用人員要定期對電腦進行安全檢查，及時升級殺毒軟件，定時查殺病毒。 對外來計算機介質(zhì)必須堅持先交計算機管理人員查殺病毒再上中轉(zhuǎn)機使用的原則。五、對需要維修的涉密計算機，各部門必須事先將計算機內(nèi)的涉密信息進行清除；如需 調(diào)換計算機硬盤，

4、清除涉密信息后方可允許維修人員將硬盤帶走。對報廢的涉密計算機必須 徹底清除計算機內(nèi)的信息，方可處理。六、小結(jié)安全審計作為一門新的信息安全技術(shù)，能夠?qū)φ麄€計算機信息系統(tǒng)進行監(jiān)控，如實記錄 系統(tǒng)內(nèi)發(fā)生的任何事件，一個完善的安全審計系統(tǒng)可以根據(jù)一定的安全策略記錄和分析歷史 操作事件及數(shù)據(jù)，有效的記錄攻擊事件的發(fā)生，提供有效改進系統(tǒng)性能和的安全性能的依據(jù)。本文從安全審計的概念、 在涉密信息系統(tǒng)中需要審計的內(nèi)容、安全審計的關(guān)鍵技術(shù)及安全審計系統(tǒng)應(yīng)該注意的問題等 幾個方面討論了安全審計在涉密信息系統(tǒng)中的應(yīng)用。安全審計系統(tǒng)應(yīng)該全面地對整個涉密信 息系統(tǒng)中的網(wǎng)絡(luò)、主機、應(yīng)用程序、數(shù)據(jù)庫及安全設(shè)備等進行審計，同

5、時支持分布式跨網(wǎng)段 審計，集中統(tǒng)一管理，可對審計數(shù)據(jù)進行綜合的統(tǒng)計與分析，從而可以更有效的防御外部的 入侵和內(nèi)部的非法違規(guī)操作，最終起到保護機密信息和資源的作用。計算機技術(shù)管理部2011.8.17篇二：信息系統(tǒng)審計信息系統(tǒng)審計電子數(shù)據(jù)處理系統(tǒng)發(fā)展分為三階段：數(shù)據(jù)的單項處理階段(1953-1965)、數(shù)據(jù)的綜合處理 階段(1965-1970)、數(shù)據(jù)的系統(tǒng)處理階段(1970年以后)，對傳統(tǒng)審計產(chǎn)生了巨大的影響， 主要表現(xiàn)在(1)對審計線索的影響：傳統(tǒng)的審計線索缺失；edp下：數(shù)據(jù)處理、存儲電子化，不可見，難辨真?zhèn)?。?）對審計方法和技術(shù)的影響：技術(shù)方法復(fù)雜化；edp下：利用計算機 審計技術(shù)變得復(fù)雜

6、化（3）對審計人員的影響：知識構(gòu)成要求發(fā)生變化；edp下：會計、 審計、計算機等知識和技能（4）對審計準(zhǔn)則的影響：信息化下審計準(zhǔn)則與標(biāo)準(zhǔn)的缺失；edp 下：在原有審計準(zhǔn)則的基礎(chǔ)上，建立一系列新的準(zhǔn)則5）對內(nèi)部控制的影響：內(nèi)部控制方式 發(fā)生改變：傳統(tǒng)方式下：強調(diào)對業(yè)務(wù)活動及會計活動使用授權(quán)批準(zhǔn)和職責(zé)分工等控制程序來 保證。edp下：數(shù)據(jù)處理根據(jù)既定的指令程序自動進行，信息的處理和存儲高度集中于計算 機，控制依賴于計算機信息系統(tǒng)，控制方式發(fā)生改變。2、信息系統(tǒng)審計的定義：指根據(jù)公認的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對信息系統(tǒng)從計劃、研發(fā)、實 施到運行維護各個環(huán)節(jié)進行審查評價，對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的完整、效能、效

7、率、安全 性進行監(jiān)測、評估和控制的過程，以確認預(yù)定的業(yè)務(wù)目標(biāo)得以實現(xiàn)，并提出一系列改進建議 的管理活動。3、信息系統(tǒng)審計的特點（1）審計范圍的廣泛性（2）審計線索的隱蔽性、易逝性（3） 審計取證的動態(tài)性（4）審計技術(shù)的復(fù)雜性：首先，由于不同被審單位的信息系統(tǒng)所配備的 計算機設(shè)備各式各樣，各個機器的功能各異，所配備的系統(tǒng)軟件也各不相同。審計人員在審 計過程中，必然要和計算機的硬件和系統(tǒng)軟件打交道，各種機型功能不一，配備的系統(tǒng)軟件 各異，必然增加了審計技術(shù)的復(fù)雜性，其次，由于不同被審單位的業(yè)務(wù)規(guī)模和性質(zhì)不同，所 采用的數(shù)據(jù)處理及存儲方式也不同，不同的數(shù)據(jù)處理，存儲方式，審計所采用的方法、技術(shù) 也不

8、同。此外，不同被審單位其應(yīng)用軟甲你的開發(fā)方式、軟件開發(fā)的程序設(shè)計語言也不盡相 同，不同開發(fā)方式以及用不同的程序設(shè)計語言開發(fā)的應(yīng)用軟件，其審計方法與技術(shù)也不一樣。4、信息系統(tǒng)審計的目標(biāo)：（1）保護資產(chǎn)的完整性：信息系統(tǒng)的資產(chǎn)包括硬件、軟件、 設(shè)備、人員、數(shù)據(jù)文件、系統(tǒng)檔案等；（2）保證數(shù)據(jù)的準(zhǔn)確性：數(shù)據(jù)準(zhǔn)確性是指數(shù)據(jù)能滿足 規(guī)定的條件，防止粗無信息的輸入和輸出，一級非授權(quán)狀態(tài)下的修改信息所造成的無效操作 和錯誤后果；（3）提高系統(tǒng)的有效性：系統(tǒng)的有效性表明系統(tǒng)能否獲得預(yù)期的目標(biāo)；（4）提 高系統(tǒng)的效率性：系統(tǒng)效率是指系統(tǒng)達到預(yù)定目標(biāo)所消耗的資源，一個效率高的信息系統(tǒng)能 夠以盡量少的資源達到需要的

9、目標(biāo)；（5）保證信息系統(tǒng)的合規(guī)性合法性：信息系統(tǒng)及其運用 必須遵守有關(guān)法律、法規(guī)和規(guī)章制度。5、信息系統(tǒng)審計的主要內(nèi)容：內(nèi)部控制系統(tǒng)審計內(nèi)部控制系統(tǒng)包括一般控制系統(tǒng)（包 含組織控制、系統(tǒng)開發(fā)控制、系統(tǒng)安全控制、硬件和系統(tǒng)軟件控制等方面）應(yīng)用控制系統(tǒng)（輸 入、處理、輸出）；系統(tǒng)開發(fā)審計；應(yīng)用程序?qū)徲嫞Q定了數(shù)據(jù)處理的合規(guī)性、正確性目的： 一是測試應(yīng)用控制系統(tǒng)的符合性；二是通過檢查程序運行和邏輯的正確性達到實質(zhì)性測試目 的。測試應(yīng)用控制的符合性是指對嵌入應(yīng)用程序中的控制措施進行測試，看它們是否按設(shè)計 要求在運行和起作用）；數(shù)據(jù)文件審計（目的：一是數(shù)據(jù)文件進行實質(zhì)性測試；而是通過數(shù)據(jù) 文件的審計，測

10、試一般控制或應(yīng)用控制的復(fù)合型，但數(shù)據(jù)文件審計主要是為了實質(zhì)性測試）6、基本方法：繞過信息系統(tǒng)審計：基于黑箱（black box）原理，審計人員不審查系統(tǒng) 內(nèi)的程序和文件，只審查i/o數(shù)據(jù)及其管理制度。優(yōu)點：審計技術(shù)簡單、較少干擾被審系統(tǒng)。 缺點：審計結(jié)果不太可靠、要求i/o聯(lián)系緊密通過信息系統(tǒng)審計：基于黑箱（black box）原理，審計人員不審查系統(tǒng)內(nèi)的程序和文件， 只審查i/o數(shù)據(jù)及其管理制度。優(yōu)點：審計技術(shù)簡單、較少干擾被審系統(tǒng)。缺點：審計結(jié)果 不太可靠、要求i/o聯(lián)系緊密。7、步驟：準(zhǔn)備階段（明確審計任務(wù)、組成信息系統(tǒng)小組、了解被審系統(tǒng)的基本情況、制 定信息系統(tǒng)審計方案、發(fā)出審計通知書

11、）；實施階段（對被審計系統(tǒng)的內(nèi)部控制制度進行健 全性調(diào)查和符合性測試、對張單證或數(shù)據(jù)文件的實質(zhì)性審查）；終結(jié)階段（整理歸納審計資料、 撰寫審計報告（審計報告主要是對信息系統(tǒng)審計結(jié)果的綜合歸納，由審計小組撰寫）、發(fā)出審計結(jié)論和決定、審計資料的歸檔和檔案）8、國際信息系統(tǒng)審計原則：審計標(biāo)準(zhǔn)（是整個信息系統(tǒng)準(zhǔn)則體系的總綱，是制定審計指 南和作業(yè)程序的基礎(chǔ)和依據(jù)）；審計指南（為審計標(biāo)準(zhǔn)的應(yīng)用提供了指引，信息系統(tǒng)審計師在 審計過程中應(yīng)考慮如何應(yīng)用指南以實現(xiàn)審計標(biāo)準(zhǔn)的要求，在應(yīng)用過程中應(yīng)靈活運用專業(yè)判斷 并糾正任何偏離準(zhǔn)則的行為）；作業(yè)程序（提供了信息系統(tǒng)審計師在審計過程中可能遇到的審 計程序的示例）9、

12、審計師應(yīng)具備的素質(zhì)：（1）應(yīng)具備的理論知識：傳統(tǒng)審計理論、信息系統(tǒng)管理理論、 計算機科學(xué)、行為科學(xué)理論（2）應(yīng)具有的實踐技能：參加過不同類別的工作培訓(xùn)，尤其是在 組織采用和實施新技術(shù)時，此外也參加過組織內(nèi)部計劃的制定等；參與專業(yè)的機構(gòu)或廠商組 織的研討會，動態(tài)掌握信息技術(shù)的新發(fā)展對審計時間的影響；具有理解信息處理活動的各種 技術(shù)，尤其是影響組織財務(wù)活動的技術(shù)，能夠與來自各領(lǐng)域的管理者、用戶、技術(shù)專家進行 交流；理解并熟悉操作環(huán)境，評估內(nèi)部控制的有效性；理解現(xiàn)有與未來系統(tǒng)的技術(shù)復(fù)雜性， 以及它們對各級操作與決策的影響；能使用技術(shù)的方法去識別技術(shù)的完整性；要參與評估與 使用信息技術(shù)相關(guān)的有效性、效

13、率、風(fēng)險等；能夠提供審計集成服務(wù)并對審計員工提供指導(dǎo)， 與財務(wù)審計師一起對公司財務(wù)狀況作出聲明；具備系統(tǒng)開發(fā)方法論、安全控制設(shè)計、實施后 評估等；掌握網(wǎng)絡(luò)相關(guān)的安全事件、信息安全服務(wù)、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃、異步傳輸模 式等通信技術(shù)。10、it治理德勤定義：it治理是是一個含義廣泛的概念，包括信息系統(tǒng)、技術(shù)、通信、 商業(yè)、所有利益相關(guān)者、合法性和其他問題。其主要任務(wù)是保持it與業(yè)務(wù)目標(biāo)一致推動業(yè)務(wù) 發(fā)展，促使收益最大化，合理利用it資源，it相關(guān)風(fēng)險的適當(dāng)管理。11、共同點：（1）it治理必須與企業(yè)戰(zhàn)略目標(biāo)一致，it對于企業(yè)非常關(guān)鍵，也是戰(zhàn)略規(guī)劃的組成， 影響戰(zhàn)略競爭。（2）it治理保護利益相

14、關(guān)者的權(quán)益，使風(fēng)險透明化，知道和控制it投資、機遇、利益、 風(fēng)險。（3）it治理和其他治理主題一樣，是管理執(zhí)行人員和利益相關(guān)者的責(zé)任（以董事會為 代表）（4）it治理包括管理層、組織結(jié)構(gòu)、過程，以確保it維持和拓展組織戰(zhàn)略目標(biāo)（5）應(yīng)該合理利用企業(yè)的信息資源，有效地進程與協(xié)調(diào)。（6）確保it戰(zhàn)略及時按照目標(biāo)交付，有合適的功能和期望的收益，是一個一致性和價 值傳遞的基本構(gòu)建模塊，有明確的期望值和衡量手段。（7）引導(dǎo)it戰(zhàn)略平衡系統(tǒng)的投資，支持企業(yè)，變革企業(yè)，或者創(chuàng)建一個信息基礎(chǔ)構(gòu)架， 保證業(yè)務(wù)增長，并在一個新的領(lǐng)域競爭。（8）對于核心it資源做出合理的決策，進入新的市場，驅(qū)動競爭策略，創(chuàng)造總的收

15、入 增長，改善客戶滿意度，維系客戶關(guān)系。12、it管理是公司的信息及信息系統(tǒng)的運營，確定it目標(biāo)以及實現(xiàn)此目標(biāo)所采取的行 動。it治理是指最高管理層（董事會）利用它來監(jiān)督管理層在it戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián) 系，以確保這種運營處于正確的軌道之上。it治理規(guī)定了整個企業(yè)it運行的基本框架，it 管理則是在這個既定的框架下駕馭企業(yè)奔向目標(biāo)。13、公司治理和it治理：公司治理關(guān)注利益相關(guān)者權(quán)益和管理，驅(qū)動和調(diào)整it治理。 it能夠提供關(guān)鍵的輸入，形成戰(zhàn)略計劃的一個重要組成部分，是公司治理的重要功能。14、itil：信息技術(shù)基礎(chǔ)構(gòu)架庫；cobit:信息和相關(guān)技術(shù)的控制目標(biāo)；bs 7799：國際 安全管理

16、標(biāo)準(zhǔn)體系；prince2是一種對項目管理的某些特定方面提供支持的方法。15、it治理成熟度模型：不存在（0級）、初始級（1級）、可重復(fù)級（2級）、已定義級（3級）、已管理級（4級）、優(yōu)化級（5級）作用：it治理成熟度模型制定了一個基準(zhǔn)，組 織可能根據(jù)上面的指標(biāo)確定自己的等級，從而了解自身的境界。在此基礎(chǔ)上確定組織的關(guān)鍵 成功因素，通過關(guān)鍵績效指標(biāo)進行監(jiān)控，并衡量組織是否能達到關(guān)鍵目標(biāo)指標(biāo)中所設(shè)定的目 標(biāo)。16、信息系統(tǒng)內(nèi)部控制：一個單位在信息系統(tǒng)環(huán)境下，為了保證業(yè)務(wù)活動的有效進行， 保護資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯誤與舞弊，確保信息系統(tǒng)提供信息的真實、合 法、完整，而制定和實施的一系列

17、政策與程序措施。17、一般控制系統(tǒng)：范圍：應(yīng)用于一個單位信息系統(tǒng)全部或較大范圍的內(nèi)部控制。對象： 應(yīng)為除信息系統(tǒng)應(yīng)用程序以外的其他部分?；灸繕?biāo)：保證數(shù)據(jù)安全、保護計算機應(yīng)用程序、 防止系統(tǒng)被非法侵入、保證在意外情況下的持續(xù)運行等。18、良好的一般控制是應(yīng)用控制的基礎(chǔ)。如果一般控制審計結(jié)果很差，應(yīng)用控制審計就 沒有進行的必要。19、審計邏輯訪問安全策略：此策略應(yīng)當(dāng)為邏輯訪問建立“知所必需”的原則，并合理 評估在訪問過程中暴露的風(fēng)險。20、審查離職員工的訪問控制：一般來說，員工離職的情況主要有請辭、聘用合同期滿 和非自愿離職三種。對于非自愿離職的員工，組織應(yīng)當(dāng)在接觸其職務(wù)之前，及時收回或嚴(yán)格 限

18、制其對組織信息資源的訪問權(quán)，使其不能繼續(xù)訪問組織的機密信息，或使其不能破壞組織 有價值的信息資產(chǎn)。如果對于這類員工還需要保留一部分訪問權(quán)，必須得到相關(guān)管理層批準(zhǔn)， 并對其進行嚴(yán)格的監(jiān)督。對其他兩種離職的員工，由管理層批準(zhǔn)是否保留他們的訪問權(quán)，這 取決于每一種人所處的特定環(huán)境、員工所訪問it資產(chǎn)的敏感程度以及組織的信息安全策略、 標(biāo)準(zhǔn)和程序的要求。21、系統(tǒng)訪問：通過某種途徑允許或限制對網(wǎng)絡(luò)資源（軟件和硬件）和數(shù)據(jù)（存儲的和 通信的）的訪問能力及范圍。邏輯訪問控制：通過一定的技術(shù)方法控制用戶可以利用什么樣 的信息，可以運行什么程序與事務(wù)，可以修改什么信息與數(shù)據(jù)。物理訪問控制：限制人員進 出敏感區(qū)

19、域。對極端及信息的物理訪問與邏輯訪問應(yīng)當(dāng)建立在“知所必需”的基礎(chǔ)上，按照 最小授權(quán)原則和職責(zé)分離原則來分配系統(tǒng)訪問權(quán)限，并把這些訪問規(guī)則與訪問授權(quán)通過正式 書面文件記錄下來，作為信息安全的重要文件加以妥善管理。22、身份識別與驗證：（賬號與口令，令牌設(shè)備，生物測定技術(shù)與行為測定技術(shù)）“只有 你知道的事情”一一賬號與口令，賬號的控制、口令的控制;“只有你擁有的東西”一一令牌 設(shè)備，發(fā)送許可權(quán)的特殊消息或一次性口令的設(shè)備；“只有你具有的特征”一一生物/行為測 定，指紋、虹膜等和簽名等。23、邏輯訪問授權(quán)：一般情況下，邏輯訪問控制基于最小授權(quán)原則，只對因工作需要訪 問信息系統(tǒng)的人員進行必要的授權(quán)，當(dāng)

20、用戶在組織變換工作角色時，在賦予他們新訪問權(quán)限 時，一般沒有及時取消舊的訪問權(quán)限，這回產(chǎn)生訪問控制上的風(fēng)險。所以當(dāng)員工職位有變動 時，信息系統(tǒng)審計是要及時審核訪問控制列表是否做了有效變更。24、bcp 一般包括業(yè)務(wù)持續(xù)性計劃（bcp）、業(yè)務(wù)恢復(fù)計劃（brp）、連續(xù)作業(yè)計劃（coop）、 持續(xù)支持計劃/it應(yīng)急計劃、危機通信計劃、事件響應(yīng)計劃、災(zāi)難恢復(fù)計劃（drp）、場所應(yīng) 急計劃（oep）25、數(shù)據(jù)備份：完全備份、增量備份、差分備份等26、信息系統(tǒng)審計針對災(zāi)難恢復(fù)與業(yè)務(wù)連續(xù)性計劃，其主要任務(wù)是理解預(yù)評價組織的業(yè) 務(wù)連續(xù)性策略，及其與組織業(yè)務(wù)目標(biāo)的符合性；參考相應(yīng)的標(biāo)準(zhǔn)和法律法規(guī)，評估該計劃的

21、充分性和實效性；審核信息系統(tǒng)及終端用戶對計劃所做測試的結(jié)果，驗證計劃的有效性；審 核異地存儲設(shè)施及其內(nèi)容、安全和環(huán)境控制，以評估異地存儲站點的適當(dāng)性；通過審核應(yīng)急 措施、員工培訓(xùn)、測試結(jié)果，評估信息系統(tǒng)及其終端用戶在緊急情況下的有效反應(yīng)能力；確 認組織對業(yè)務(wù)持續(xù)性計劃的維護措施存在并有效。27、應(yīng)用控制市委適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成 而建立的內(nèi)部控制?？蓪?yīng)用控制劃分為輸入控制、處理控制和輸出控制。應(yīng)用控制也是由 手工控制和程序化控制構(gòu)成，但以程序化控制為主。28、信息系統(tǒng)開發(fā)審計是對信息系統(tǒng)開發(fā)過程進行的審計，審計的目的一是要檢查開發(fā) 的方法、程序是否科學(xué)，

22、是否含有恰當(dāng)?shù)目刂疲欢且獧z查開發(fā)過程中產(chǎn)生的系統(tǒng)文檔資料 室否規(guī)范。29、系統(tǒng)開發(fā)過程審計：遵守標(biāo)準(zhǔn)與流程；有效的操作；使系統(tǒng)合乎法律要求；必要的 控制，預(yù)防可能的損失及嚴(yán)重錯誤；為管理層、信息系統(tǒng)審計師、操作人員提供必要的審計 軌跡；系統(tǒng)文檔，便于系統(tǒng)維護與審計。30、軟件維護的種類：糾錯性維護、適應(yīng)性維護、完善性維護、預(yù)防性維護31、itil:六個主要模塊：服務(wù)管理(service management)業(yè)務(wù)管理(business management)信息與通信技術(shù)基礎(chǔ)設(shè)施管理(ict infrastructure)、應(yīng)用管理(application management)、it服務(wù)管

23、理實施規(guī)劃、安全管理(security management)32、服務(wù)管理模塊：面向it基礎(chǔ)設(shè)施管理的服務(wù)支持和面向業(yè)務(wù)管理的服務(wù)提供。it 服務(wù)提供流程主要面對付費的機構(gòu)和個人客戶，負責(zé)為客戶提供高質(zhì)量、低成本的it服務(wù)。 它的任務(wù)是根據(jù)組織的業(yè)務(wù)需求，對服務(wù)能力、持續(xù)性、可用性等服務(wù)級別目標(biāo)進行規(guī)劃和 設(shè)計，同時，還必須考到這些服務(wù)目標(biāo)所需要好費電成本。it服務(wù)主要包括服務(wù)水平管理、 it服務(wù)財務(wù)管理、能力管理、it服務(wù)持續(xù)性管理和可用性管理五個服務(wù)管理流程it服務(wù) 支持的服務(wù)支持流程主要面向終端用戶，責(zé)任確保it服務(wù)的穩(wěn)定性與靈活性，用于確保終端 用戶得到適當(dāng)?shù)姆?wù)，以支持組織的業(yè)務(wù)功

24、能。服務(wù)支持流程包括體現(xiàn)服務(wù)接觸和溝通的服 務(wù)臺職能和五個運作層次的流程，即配置管理、事故管理、問題管理、變更管理和發(fā)布管理 等。33、應(yīng)用程序?qū)徲嫷膬?nèi)容：審查程序控制是否健全有效：程序中輸入控制、處理控制、 輸出控制的審計；審查程序編碼的合法性：是否含有為了舞弊目的而設(shè)計的非法編碼；審查 程序編碼的正確性：是否編碼有錯誤、目標(biāo)和任務(wù)不明確，系統(tǒng)設(shè)計、程序設(shè)計錯誤；審查 程序的有效性：是否有無效編碼、是否有效率較差的編碼34、應(yīng)用程序?qū)徲嫹椒ǎ菏止徲嫹椒ㄅc計算機輔助審計方法相結(jié)合。35、程序編碼檢查法：逐條審查被審程序，驗證程序的合法性、完整性和邏輯的正確性。36、檢測數(shù)據(jù)法：審計人員把一批

25、預(yù)先設(shè)計好的檢測數(shù)據(jù)，利用被審程序加以處理，并 把處理的結(jié)果與預(yù)期的結(jié)果做比較，以確定被審程序的控制與處理功能是否恰當(dāng)、有效的一 種方法。37、平行模擬法是指審計人員自己或請計算機專業(yè)人員編寫的具有和被審程序相同處理 和控制功能的模擬程序，用這種程序處理檔期的實際數(shù)據(jù)，并已處理的結(jié)果與被審計程序的 處理結(jié)果進行比較，已評價被審程序的處理和控制功能是否可靠的一種方法。38、嵌入審計程序法是指被審信息系統(tǒng)的設(shè)計和開發(fā)階段，在被審的應(yīng)用程序中嵌入未 執(zhí)行特定的審計功能而設(shè)計的程序段，這些程序段可以用來收集審計人員感興趣的資料，并 且建立一個審計控制文件，用來存儲這些資料，審計人員通過這些資料的審核來

26、確定被審程 序的處理和控制功能的可靠性。39、程序追蹤法是一種對給定的業(yè)務(wù)，跟蹤被審程序處理步驟的審查技術(shù)。一般可由追 蹤軟件來完成，也可利用某些高級語言或數(shù)據(jù)庫管理系統(tǒng)中的跟蹤指令跟蹤被審程序的處理。 篇三：信息系統(tǒng)審計實驗報告-模板信 息 系 統(tǒng) 審 計 實 驗 報 告篇四：信息系統(tǒng)審計考試要點據(jù)，以判斷計算機系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的 資源并有效地實現(xiàn)組織目標(biāo)的過程。三種基本類型信息系統(tǒng)的真實性審計（是對傳統(tǒng)審計的 補充，防止假賬真審）、信息系統(tǒng)的安全性審計（對企業(yè)的信息資產(chǎn)的安全性的審核，防止來 自信息系統(tǒng)造成的經(jīng)營風(fēng)險。這時信息系統(tǒng)審計的目標(biāo)是企業(yè)信

27、息系統(tǒng)的安全性、可靠性、 可用性、保密性）和信息系統(tǒng)的績效審計（是對信息系統(tǒng)投入產(chǎn)出比的審核。審計的目標(biāo)是 企業(yè)信息系統(tǒng)投資的效果、效率、效益。審計的作用是如何正確、合理地評價企業(yè)信息系統(tǒng) 投資的績效，給企業(yè)的投資者、債權(quán)人、經(jīng)營者、管理者提供決策參考）目標(biāo)真實性、安全 性、完整性、可用性、保密性、可靠性、合法性、效果、效益、效率等。實施程序包括接受 審計委托、評估審計風(fēng)險、制定審計計劃、收集審計證據(jù)、出具審計報告、后續(xù)工作ou9電 子商務(wù)的安全性是電子商務(wù)真實性的基礎(chǔ)，而電子商務(wù)真實性又是信息系統(tǒng)真實性，特別是 財務(wù)數(shù)據(jù)真實性的基礎(chǔ)。分為交易信息保密，交易者身份確認，交易不可否認，交易記錄不

28、 可修改。電子商務(wù)的真實性在于基金流（包括1認證中心（第三方）2電子支付）。真實的電 子商務(wù)資金流，信息流，物流三者吻合。電子商務(wù)對審計的影響突出標(biāo)志：增加貿(mào)易機會， 降低貿(mào)易成本，簡化貿(mào)易流程，提高貿(mào)易效率。1電子商務(wù)交易行為的認定更加困難2電子 商務(wù)的安全問題不僅涉及企業(yè)和消費者的利益更重要的是國家的經(jīng)濟安全3電子商務(wù)的無紙 化徹底改變了審計證據(jù)的獲取技術(shù)和方法，電子文件必須借助相應(yīng)的軟件才能看見和提取， 屬于電子證據(jù)認定。.總之，由于電子商務(wù)的虛擬化、數(shù)字化、匿名化、無國界和支付方式電 子化等特點，使其交易情況大多數(shù)被轉(zhuǎn)換為“數(shù)據(jù)流”在網(wǎng)絡(luò)中傳送，增加了操作隱蔽性和 復(fù)雜度，提高了企能力

29、。電子商務(wù)的體系架構(gòu)底層是基礎(chǔ)層（互聯(lián)網(wǎng)、企業(yè)網(wǎng)等）中間是技 術(shù)層，是信息傳送的載體和用戶接入的手段（認證機構(gòu)，支付網(wǎng)關(guān)，客戶服務(wù)中心，其真正 核心是認證中心），頂層是各種各樣的電子商務(wù)應(yīng)用系統(tǒng)（電子商廈，遠程醫(yī)療，股票交易， 視頻點播，網(wǎng)上購物，網(wǎng)上訂票等）。電子商務(wù)真實性審計內(nèi)容1、電子商務(wù)的真實性，通過 被審計企業(yè)的電子商務(wù)系統(tǒng)的日志文件與從認證中心獲取數(shù)字時間戳等信息進行核對，同時， 提取數(shù)字簽名以驗證交易信息的完整性和是否被修改，2、電子支付的真實性，通過銀行核實 電子支付的真實性，3、交易目的的合法性，在信息系統(tǒng)審計師簽證了這些交易的真實性的基 礎(chǔ)之上，財務(wù)審計師應(yīng)關(guān)注關(guān)聯(lián)企業(yè)之間

30、電子商務(wù)是否合法合規(guī)，是否會影響或扭曲企業(yè)的 收入、成本、利潤等，審核這些交易的合法性。電子商務(wù)的特點1信息加密2電子付款3無 紙化操作4操作方便。u11 cobit的4個領(lǐng)域1計劃與組織2獲取與實施3轉(zhuǎn)移與支持4 監(jiān)督與評價。它直接反應(yīng)企業(yè)的計劃、實施、檢查、更正等基本管理職能。提供了管理的要 素、標(biāo)準(zhǔn)和控制目標(biāo)。模型目標(biāo)保障有效性，高效性，保密性，完整性，可用性，兼容性， 可靠性。cobit立方：組織內(nèi)部的it資源需要由一組自然分類的it過程來管理。立方的三 維是目標(biāo)（業(yè)務(wù)需求：x） it資源（y） it過程）目標(biāo)（業(yè)務(wù)需求）1質(zhì)量需求2信任需 求3安全需求。it資源包括：1應(yīng)用系統(tǒng)：指人

31、工和程序化的過程的總和，2信息：指信息 系統(tǒng)使用、處理、存儲、輸出的數(shù)字、文字、圖像、影像、聲音等，4基礎(chǔ)設(shè)施：指支持和 保護信息系統(tǒng)的所有相關(guān)基礎(chǔ)設(shè)施，5人員：指與信息系統(tǒng)設(shè)計、開發(fā)、使用、管理、維護 等相關(guān)的人員。it過程三個層次，最底層是活動，中間層為過程，頂層是領(lǐng)域。u2信息系統(tǒng)審計的一個重要特征過程性。信息系統(tǒng)審計風(fēng)險模型審計風(fēng)險=技術(shù)風(fēng)險*控 制風(fēng)險*檢查風(fēng)險技術(shù)風(fēng)險指由于技術(shù)缺陷或漏洞等導(dǎo)致信息系統(tǒng)出錯或終端的可能性。是 一種無法控制的風(fēng)險。特點技術(shù)風(fēng)險的水平取決于信息技術(shù)的發(fā)展水平以及企業(yè)采用的技術(shù) 水平，它的產(chǎn)生與信息系統(tǒng)審計師無關(guān)，企業(yè)可以通過加強內(nèi)部控制和管理等非技術(shù)手段

32、以 降低技術(shù)風(fēng)險的水平。技術(shù)風(fēng)險獨立存在于審計過程中，又客觀存在于審計過程中，且是一 種相對獨立的風(fēng)險。這種風(fēng)險水平的大小需要信息系統(tǒng)審計師的認定?？刂骑L(fēng)險是指被審計 企業(yè)未能通過管理與控制及時防止或發(fā)現(xiàn)其信息系統(tǒng)出現(xiàn)問題或缺陷的可能性，審計人員只能評估不能改變。特點控制風(fēng)險水平與被審計企業(yè)的控制水平有關(guān)，與信息系統(tǒng)審計師地工 作無關(guān)，有效地內(nèi)部控制能降低控制風(fēng)險，無效的則增加。有效地內(nèi)部控制將降低控制風(fēng)險， 而無效的內(nèi)部控制有可能增加控制風(fēng)險。檢查風(fēng)險是指信息系統(tǒng)審計師通過預(yù)定的審計流程 未能發(fā)現(xiàn)被審計企業(yè)在信息系統(tǒng)的安全性、真實性、績效等發(fā)面存在的問題或缺陷的可能性， 它是可以通過信息系統(tǒng)

33、審計師進行控制和管理的。特點1它能獨立于整個審計過程中，不受 技術(shù)風(fēng)險和控制風(fēng)險的影響2與信息系統(tǒng)審計師的工作直接相關(guān)，是審計流程有效性和運用 審計程序的有效性函數(shù)。在實踐中信息系統(tǒng)審計師就是通過收集充分的證據(jù)來降低檢查風(fēng)險， 檢查風(fēng)險和重要性水平共同決定了需要收集證據(jù)的數(shù)量。審計重要性水平是針對特定被審計 單位、特定審計事項而言的，具有相對性和個性差異，需要從審計目標(biāo)、被審對象及審計報 告的使用者等三方比外部的更為嚴(yán)重；基于信息技術(shù)的舞弊行為比誤操作等更為嚴(yán)重；來自 企業(yè)高層的信息系統(tǒng)舞弊比中層、基層的舞弊更為嚴(yán)重；軟件設(shè)計上的舞弊比利用軟件漏洞 的舞弊更為嚴(yán)重。做好審計計劃工作，對于提高審

34、計管理效率和效益，促進審計工作質(zhì)量和 水平的提高具有重大意義。審計計劃的劃分根據(jù)時間要素可分為長期審計計劃、中期和短期。 根據(jù)內(nèi)容要素可分為審計工作計劃和審計項目計劃。根據(jù)范圍要素分為總體審計計劃和具體 審計計劃。信息系統(tǒng)審計報告階段是信息系統(tǒng)審計工作的最后階段，信息系統(tǒng)審計報告時信 息系統(tǒng)審計工作的最后產(chǎn)品，也是信息系統(tǒng)審計師向委托人報告問題、提出建議的工具。作 用鑒定作用（信息系統(tǒng)審計師簽發(fā)的信息系統(tǒng)審計報告，是以獨立的第三方身份對被審計單 位信息系統(tǒng)管理的安全性、產(chǎn)生數(shù)據(jù)的真實性、運行的績效等方面發(fā)表意見，能得到各個部 門和社會各界的普遍認可）保護作用（信息系統(tǒng)審計師通過審計可以被審計單

35、位出具不同類 型審計意見的審計報告，以提高或降低企業(yè)披露信息的可信度，能過在一定程度上對被審計 單位的財產(chǎn)、債權(quán)人和股東的權(quán)益及公司利害關(guān)系人的利益起到保護作用）證明作用（審計 報告是對信息系統(tǒng)審計師任務(wù)完成情況的總結(jié)，它可以表明審計工作的質(zhì)量并明確信息系統(tǒng) 審計師的責(zé)任。通過審計報告，可以證明信息系統(tǒng)審計師審計責(zé)任的履行情況）格式1題頭 段2正文段3結(jié)論段4結(jié)尾段。（正文段：1審計目的2審計步驟及時間3審計依據(jù)4采用的 技術(shù)與方法5審計發(fā)現(xiàn)）獨立性問題決定了信息系統(tǒng)審計的質(zhì)量。分為形式上的獨立性（審 計師與被審計企業(yè)無任何特殊的利益關(guān)系）和實質(zhì)上的獨立性（審計師的超然性，不依賴和 屈從于外界

36、壓力的影響）審計準(zhǔn)則對“獨立性”的闡述1職業(yè)獨立性（對于所有與審計相關(guān) 的事物，信息系統(tǒng)審計師應(yīng)當(dāng)在態(tài)度和形式上獨立于被審計單位）2組織獨立性（信息系統(tǒng)審計職能應(yīng)當(dāng)獨立 于受審查的范圍或活動之外，以確保審計工作完成的客觀性）3審計章程或委托書中應(yīng)當(dāng)針 對審計職能的獨立性和義務(wù)做出相應(yīng)的規(guī)定4信息系統(tǒng)審計師應(yīng)該在審計過程中隨時保持態(tài) 度和形式上的獨立性5如出現(xiàn)獨立性受損的現(xiàn)象，無論是在實質(zhì)上還是形式上，應(yīng)向有關(guān)當(dāng) 事人披露獨立性收損的細節(jié)6信息系統(tǒng)審計師應(yīng)當(dāng)在組織上獨立于被審計的范圍7信息系統(tǒng) 審計師、管理層和審計委員會應(yīng)當(dāng)定期地對獨立性進行評估。8除非被其他職業(yè)標(biāo)準(zhǔn)或管理 機構(gòu)所禁止，當(dāng)信息系

37、統(tǒng)審計師雖然參與信息系統(tǒng)項目，但所擔(dān)當(dāng)?shù)牟⒉皇菍徲嫿巧珪r，并 不要求信息系統(tǒng)審計師保持獨立性。業(yè)務(wù)持續(xù)計劃是企業(yè)應(yīng)對種種不可控義素的一種防御和 反映機制。災(zāi)難恢復(fù)計劃是造成業(yè)務(wù)停頓后，如何以最短時間、最少損失恢復(fù)業(yè)務(wù)的方案。 影響業(yè)務(wù)持續(xù)能力的因素有：1應(yīng)用系統(tǒng)災(zāi)難2自然災(zāi)難3人為災(zāi)難4社會災(zāi)難。u4業(yè)務(wù)持續(xù)計劃是企業(yè)應(yīng)對種種不可控因素的一種預(yù)防和反應(yīng)機制，而災(zāi)難恢復(fù)計劃則 是造成業(yè)務(wù)已經(jīng)停頓后，如何以最短時間、最少損失恢復(fù)業(yè)務(wù)的處理預(yù)案。前者立足于預(yù)防， 后者立足于事后的補救。業(yè)務(wù)持續(xù)計劃目的為了防止企業(yè)正常業(yè)務(wù)行為的中斷而建立起來的 計劃作用：確保企業(yè)的主要業(yè)務(wù)流程和運營服務(wù)，包括支撐業(yè)務(wù)

38、的信息系統(tǒng)以及設(shè)施，能夠 在事故發(fā)生后持續(xù)運行保持一定程度的服務(wù)，并能盡快的恢復(fù)事故前的服務(wù)水平。它的制定 并不意味著企業(yè)不再受任何事故的影響。難恢復(fù)計劃與業(yè)務(wù)持續(xù)計劃的區(qū)別災(zāi)難恢復(fù)計劃是 基于假定災(zāi)難發(fā)生后造成業(yè)務(wù)已經(jīng)停頓企業(yè)將如何去恢復(fù)業(yè)務(wù)，立足于把損失減小到最低程 度；業(yè)務(wù)持續(xù)計劃基于這樣一個基本原則及無論發(fā)生任何意外事件組織的關(guān)鍵業(yè)務(wù)也不能中 斷，立足于建立預(yù)防機制，強調(diào)使企業(yè)業(yè)務(wù)能夠抵御意外事件的打擊，災(zāi)難恢復(fù)計劃是對業(yè) 務(wù)持續(xù)計劃的必要補充。業(yè)務(wù)持續(xù)計劃的實施包括的階段項目啟動、風(fēng)險評估、業(yè)務(wù)影響分 析、業(yè)務(wù)持續(xù)性策略規(guī)劃、業(yè)務(wù)持續(xù)性計劃編制、人員培訓(xùn)及訓(xùn)練、業(yè)務(wù)持續(xù)性計劃測試與

39、演練以及業(yè)務(wù)持續(xù)性計劃更新等主要階段。其中，風(fēng)險評估、業(yè)務(wù)影響分析、計劃演練、計 劃更新是關(guān)鍵因素。業(yè)務(wù)影響分析的目的通過客觀的分析，掌握各關(guān)鍵業(yè)務(wù)可容許中斷的最 大時間長度，從而制定各關(guān)鍵業(yè)務(wù)的恢復(fù)時間目標(biāo)、最低的恢復(fù)要求、恢復(fù)次序以及支持各 關(guān)鍵業(yè)務(wù)恢復(fù)所需的各項業(yè)務(wù)資源。業(yè)務(wù)影響分析是制定業(yè)務(wù)持續(xù)計劃傳統(tǒng)步驟中最耗時和 最關(guān)鍵的一步，用的是系統(tǒng)化的方法。影響業(yè)務(wù)持續(xù)能力的因素（信息系統(tǒng)災(zāi)難）人為因素 （分為社會災(zāi)難和人為災(zāi)難，如人為破壞、攻擊系統(tǒng)、管理疏忽）非人為因素（分為自然災(zāi) 害和應(yīng)用系統(tǒng)災(zāi)害）。防火墻比喻隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是一類防容災(zāi)能力評價:rop即數(shù)據(jù)

40、丟失量，代表了當(dāng)災(zāi)難發(fā)生時信息系統(tǒng)所能容忍的數(shù)據(jù)丟失。 pto即系統(tǒng)恢復(fù)時間，代表了從遭難發(fā)生到業(yè)務(wù)恢復(fù)服務(wù)功能所需要的最長時間。國際標(biāo)準(zhǔn) 定義的容災(zāi)系統(tǒng)7層次0級無異地備份（這種容災(zāi)系統(tǒng)成本較低，易于配置。該級別容災(zāi)系 統(tǒng)對數(shù)據(jù)丟失的容忍度在數(shù)天以上）1級備份介質(zhì)異地存放（成本低，易于配置容忍度在數(shù) 天以上）2級備份介質(zhì)異地存放及備用場地（雖然移動數(shù)據(jù)到熱備份站點增加了成本，但縮 短額災(zāi)難恢恢復(fù)的時間，大約在1、2天）3級電子鏈接（熱備份站點和信息中心在地理上必 須遠離，備份數(shù)據(jù)通過網(wǎng)絡(luò)傳輸）4級活動狀態(tài)的被援站點（地理上分開的兩個站點同時處于 工作狀態(tài)，相互管理彼此的備份數(shù)據(jù)，幾個小時）5

41、級實時數(shù)據(jù)備份（兩個站點數(shù)據(jù)相互鏡 像，僅在傳輸中尚未完成提交的數(shù)據(jù)會丟失幾秒）6級零數(shù)據(jù)丟失（可以實現(xiàn)零數(shù)據(jù)的丟失， 但是貴，幾乎沒有中斷的恢復(fù)方式）。這個等級劃分的目的是讓企業(yè)清楚為什么要從業(yè)務(wù)層面 作遭難恢復(fù)，不同的業(yè)務(wù)應(yīng)采取什么樣的手段。災(zāi)備中心的模型1熱備份型災(zāi)備中心（指兩 個信息中心完全同步，任一發(fā)生事故對用戶不產(chǎn)生影響但是實現(xiàn)的技術(shù)難度大、成本高；同 步遠程鏡像技術(shù)，同步遠程鏡像在相對較近的距離上應(yīng)用，成本高管理用難度，開支大，對 距離有限制）2溫備份型災(zāi)備中心（兩個信息中心在數(shù)據(jù)層面同步，業(yè)務(wù)運營層面不同步， 當(dāng)事故時，要一定時間才能恢復(fù)業(yè)務(wù)運營，數(shù)據(jù)不丟失，實現(xiàn)技術(shù)要求相對低

42、，成本也較低； 異步遠程鏡像技術(shù)對網(wǎng)絡(luò)寬帶要求小，傳輸距離長，成本比熱備份遭難中心要低）3冷備份型 災(zāi)備中心（最普通的數(shù)據(jù)備份處理方式，用磁盤或磁帶備份數(shù)據(jù)送到一異地保存，或通過數(shù) 據(jù)線傳輸在異地備份。最大的不同點是只在數(shù)據(jù)層面?zhèn)浞輿]有業(yè)務(wù)層面的備份，且數(shù)據(jù)備份 的時間間隔長，不能完全恢復(fù)，但成本低，管理簡單）。一個實際的災(zāi)備解決方案首先考慮企 業(yè)各種業(yè)務(wù)對信息系統(tǒng)以來的程度，其次研究可用技術(shù)和成本。在同城中建立熱接管的互備 中心，雙機熱備份系統(tǒng)采用心跳（指的是主、從系統(tǒng)之間按照一定的時間間隔發(fā)送信號，表 明各自系統(tǒng)當(dāng)前的運行狀態(tài)）方式保證主系統(tǒng)與備份系統(tǒng)的聯(lián)系。再夸城市、遠距離之間的 中心建立異步的災(zāi)難備份中心，以防地域性災(zāi)難。在災(zāi)難備份方案設(shè)計及實施中，是否可以 做到極大化