信息系統(tǒng)審計基礎(chǔ)_第1頁
信息系統(tǒng)審計基礎(chǔ)_第2頁
信息系統(tǒng)審計基礎(chǔ)_第3頁
信息系統(tǒng)審計基礎(chǔ)_第4頁
信息系統(tǒng)審計基礎(chǔ)_第5頁
已閱讀5頁,還剩18頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

歡迎大家的到來

信息系統(tǒng)審計基礎(chǔ)

歡迎大家的到來

信息系統(tǒng)審計基礎(chǔ)信息系統(tǒng)審計基礎(chǔ)信息系統(tǒng)審計的起源與發(fā)展

信息系統(tǒng)審計的內(nèi)容

內(nèi)部控制與審計

IT審計的標準和依據(jù)

IT審計的過程

IT審計的技術(shù)

2信息系統(tǒng)審計基礎(chǔ)信息系統(tǒng)審計的起源與發(fā)展2

1.信息系統(tǒng)審計的起源與發(fā)展

1.1國外:八十年代、九十年代信息技術(shù)的進一步發(fā)展與普及,使得企業(yè)越來越依賴信息及產(chǎn)生信息的信息系統(tǒng)。人們開始更多的關(guān)注信息系統(tǒng)的安全性、保密性、完整性及其實現(xiàn)企業(yè)目標的效率、效果,真正意義的信息系統(tǒng)風險評估與審計才出現(xiàn)。

3

1.信息系統(tǒng)審計的起源與發(fā)展

1.1國外:3

1.信息系統(tǒng)審計的起源與發(fā)展

1.1國外:

信息系統(tǒng)審計與控制協(xié)會ISACA(INFORMATIONSYSTEMAUDITANDCONTROLASSOCIATION),總部設(shè)在美國芝加哥。目前該組織在世界上100多個國家設(shè)有160多個分會,現(xiàn)有會員兩萬多人,它是從事信息系統(tǒng)審計的專業(yè)人員唯一的國際性組織。

4

1.信息系統(tǒng)審計的起源與發(fā)展

1.1國外:4

1.信息系統(tǒng)審計的起源與發(fā)展

1.1國外:

CISA(CertifiedInformationSystemAuditor)是信息系統(tǒng)審計領(lǐng)域的唯一職業(yè)資格

ISACA每年舉辦CISA資格考試,通過考試的人員可以申請CISA資格,符合ISACA規(guī)定的工作經(jīng)驗及其他相關(guān)要求的申請人會被授予CISA資格。CISA資格在世界各國都被廣泛的認可。國內(nèi)獲得此資格的有三百多人。5

1.信息系統(tǒng)審計的起源與發(fā)展

1.1國外:5

1.信息系統(tǒng)審計的起源與發(fā)展

1.1國外:

CISA考試介紹:內(nèi)容:信息系統(tǒng)審計流程、信息系統(tǒng)的管理、計劃與組織、信息技術(shù)基礎(chǔ)設(shè)施與操作實務(wù)、信息資產(chǎn)的保護、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃、應(yīng)用系統(tǒng)的開發(fā)、獲得、實施與維護、業(yè)務(wù)處理流程評價與風險管理。時間:每年一次題型與考試語言:全部是客觀題;英文、中文;75分合格

6

1.信息系統(tǒng)審計的起源與發(fā)展

1.1國外:6

1.信息系統(tǒng)審計的起源與發(fā)展

1.2國內(nèi):

1994年2月,我國頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》,提出了計算機信息系統(tǒng)實行安全等級保護的要求。安全等級保護的總體目標是確保信息安全和計算機信息系統(tǒng)安全正常運行,并保障以下安全特性:信息的完整性、可用性、保密性、抗抵賴性、可控性等(其中完整性、可用性、保密性為基本安全特性要求)。

7

1.信息系統(tǒng)審計的起源與發(fā)展

1.2國內(nèi):7

1.信息系統(tǒng)審計的起源與發(fā)展

1.2國內(nèi):

1994年2月,我國頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》,提出信息的完整性、可用性、保密性、抗抵賴性、可控性等要求。1999年2月9日,我國正式成立了中國國家信息安全測評認證中心。2002年4月15日全國信息安全標準化技術(shù)委員會(簡稱信息安全標委會,TC260)。2005年12月16日國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組正式通過了《信息安全風險評估指南》。8

1.信息系統(tǒng)審計的起源與發(fā)展

1.2國內(nèi):8管理計劃與IS的組織信息資產(chǎn)的保護災(zāi)難備份與業(yè)務(wù)持續(xù)計劃技術(shù)基礎(chǔ)與操作實務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)取得實施與維護業(yè)務(wù)過程評價與風險管理

2.信息系統(tǒng)審計的內(nèi)容

9管理計劃與IS的組織信息資產(chǎn)的保護災(zāi)難備份與業(yè)務(wù)持續(xù)計劃技術(shù)一般控制靜態(tài)IS的構(gòu)成管理角度管理計劃與IS的組織(C2)技術(shù)角度技術(shù)基礎(chǔ)與操作實務(wù)(C3)IS的控制與安全正常情況信息資產(chǎn)的保護(C4)非常情況災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃(C5)動態(tài)業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)取得實施與維護(C6)應(yīng)用控制業(yè)務(wù)過程評價與風險管理(C7)

3.信息系統(tǒng)審計與內(nèi)部控制

10管理角度管理計劃與IS的組織(C2)技術(shù)角度技術(shù)基礎(chǔ)與操作實

4.信息系統(tǒng)審計的標準與依據(jù)

可信的計算機系統(tǒng)安全評估標準(TCSEC,從橘皮書到彩虹系列)由美國國防部于1985年公布的,是計算機系統(tǒng)信息安全評估的第一個正式標準。它把計算機系統(tǒng)的安全分為4類、7個級別,對用戶登錄、授權(quán)管理、訪問控制、審計跟蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。

11

4.信息系統(tǒng)審計的標準與依據(jù)

11

4.信息系統(tǒng)審計的標準與依據(jù)

信息技術(shù)安全評價的通用標準(CC)由六個國家(美、加、英、法、德、荷)于1996年聯(lián)合提出的,并逐漸形成國際標準ISO15408。該標準定義了評價信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準則,提出了目前國際上公認的表述信息技術(shù)安全性的結(jié)構(gòu),即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確有效地實施這些功能的保證要求。CC標準是第一個信息技術(shù)安全評價國際標準,它的發(fā)布對信息安全具有重要意義,是信息技術(shù)安全評價標準以及信息安全技術(shù)發(fā)展的一個重要里程碑。

12

4.信息系統(tǒng)審計的標準與依據(jù)

信息技術(shù)安全評價的

4.信息系統(tǒng)審計的標準與依據(jù)

ISO13335標準首次給出了關(guān)于IT安全的保密性、完整性、可用性、審計性、認證性、可靠性6個方面含義,并提出了以風險為核心的安全模型:企業(yè)的資產(chǎn)面臨很多威脅(包括來自內(nèi)部的威脅和來自外部的威脅);利用信息系統(tǒng)存在的各種漏洞(如:物理環(huán)境、網(wǎng)絡(luò)服務(wù)、主機系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全策略等),對信息系統(tǒng)進行滲透和攻擊。

13

4.信息系統(tǒng)審計的標準與依據(jù)

13

4.信息系統(tǒng)審計的標準與依據(jù)

BS7799是英國的工業(yè)、政府和商業(yè)共同需求而發(fā)展的一個標準,它分兩部分:第一部分為“信息安全管理事務(wù)準則”;第二部分為“信息安全管理系統(tǒng)的規(guī)范”。目前此標準已經(jīng)被很多國家采用,并已成為國際標準ISO17799。BS7799包含10個控制大項、36個控制目標和127個控制措施。BS7799/ISO17799主要提供了有效地實施信息系統(tǒng)風險管理的建議,并介紹了風險管理的方法和過程。企業(yè)可以參照該標準制定出自己的安全策略和風險評估實施步驟。14

4.信息系統(tǒng)審計的標準與依據(jù)

BS779914

4.信息系統(tǒng)審計的標準與依據(jù)

“信息系統(tǒng)和技術(shù)控制目標”(COBIT)是IT治理的一個開放性標準,目前已成為國際上公認的最先進、最權(quán)威的安全與信息技術(shù)管理和控制的標準。該標準為IT的治理、安全與控制提供了一個一般適用的公認的標準,以輔助管理層進行IT治理。該標準體系已在世界一百多個國家的重要組織與企業(yè)中運用,指導(dǎo)這些組織有效利用信息資源,有效地管理與信息相關(guān)的風險。15

4.信息系統(tǒng)審計的標準與依據(jù)

15

4.信息系統(tǒng)審計的標準與依據(jù)

16

4.信息系統(tǒng)審計的標準與依據(jù)

16

4.信息系統(tǒng)審計的標準與依據(jù)

17

4.信息系統(tǒng)審計的標準與依據(jù)

17

4.信息系統(tǒng)審計的標準與依據(jù)

18

4.信息系統(tǒng)審計的標準與依據(jù)

18

4.信息系統(tǒng)審計的標準與依據(jù)

19

4.信息系統(tǒng)審計的標準與依據(jù)

19

5.信息系統(tǒng)審計的過程

審計計劃:檢查被審計單位的IT政策、實務(wù)及組織結(jié)構(gòu);檢查一般控制和應(yīng)用控制的情況;計劃控制測試和實質(zhì)性測試的程序;20

5.信息系統(tǒng)審計的過程

20

5.信息系統(tǒng)審計的過程

控制測試:

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論