信息系統(tǒng)審計(jì)內(nèi)容課件

1、信息系統(tǒng)審計(jì)內(nèi)容信息系統(tǒng)審計(jì)內(nèi)容目錄o信息系統(tǒng)審計(jì)定義與內(nèi)涵-回顧o信息系統(tǒng)的邏輯結(jié)構(gòu)分析o信息系統(tǒng)審計(jì)的內(nèi)容與程序3.1 一般控制審計(jì)內(nèi)容與程序3.2 應(yīng)用控制審計(jì)內(nèi)容3.3 應(yīng)用控制審計(jì)流程o政府投資信息化建設(shè)項(xiàng)目績(jī)效指標(biāo)o信息系統(tǒng)審計(jì)項(xiàng)目的質(zhì)量控制信息系統(tǒng)審計(jì)內(nèi)容1管理信息系統(tǒng)的定義o管理信息系統(tǒng)一詞，最早出現(xiàn)于1970年，瓦爾特（Walter T.Kennevan）給它下了一個(gè)定義： 以書面或口頭的形式，在合適的時(shí)間向經(jīng)理、職員以及外界人員提供過(guò)去的、現(xiàn)在的、未來(lái)的有關(guān)企業(yè)內(nèi)部及其環(huán)境的信息，以幫助他們進(jìn)行決策。o高登戴維斯，是管理信息系統(tǒng)的創(chuàng)始人，于1985年給管理信息系統(tǒng)下了一個(gè)較

2、完整的定義：它是一個(gè)利用計(jì)算機(jī)硬件、軟件，手工作業(yè)，分析、計(jì)劃、控制和決策模型，以及數(shù)據(jù)庫(kù)的用戶-機(jī)器系統(tǒng)。它能提供信息，支持企業(yè)或組織的運(yùn)行、管理和決策功能。信息系統(tǒng)審計(jì)內(nèi)容1管理信息系統(tǒng)的標(biāo)準(zhǔn)定義o是一個(gè)以人人為主導(dǎo)，利用計(jì)算機(jī)硬件、軟件、計(jì)算機(jī)硬件、軟件、網(wǎng)絡(luò)通信設(shè)備網(wǎng)絡(luò)通信設(shè)備以及其他辦公設(shè)備其他辦公設(shè)備，進(jìn)行信息收集、傳輸、加工、儲(chǔ)存、更新和維護(hù)，以企業(yè)戰(zhàn)略競(jìng)優(yōu)、提高效益和效率為目的，支持企業(yè)高層決策、中層控制、基層運(yùn)作的集成化的人機(jī)系統(tǒng)人機(jī)系統(tǒng)。信息系統(tǒng)審計(jì)內(nèi)容1. 信息系統(tǒng)審計(jì)的定義 This process collects and evaluates evidence to

3、determine whether information system and related resources, adequately safeguard assets, maintain data and system integrity, provide relevant and reliable information, achieve organizational goals effectively, consume resources efficiently, and have in effect internal controls that provide reasonabl

4、e assurance that operational and control objectives will be met.o信息系統(tǒng)審計(jì)是一個(gè)過(guò)程，在此過(guò)程中搜集和評(píng)估證搜集和評(píng)估證據(jù)據(jù)以確定信息系統(tǒng)和相關(guān)資源是否充分保護(hù)保護(hù)資產(chǎn)、維持?jǐn)?shù)據(jù)和系統(tǒng)完整性完整性、提供相關(guān)和可靠可靠信息、有有效效實(shí)現(xiàn)組織機(jī)構(gòu)目標(biāo)、有效地使用使用資源、包含有效內(nèi)部控制以提供運(yùn)營(yíng)和控制目標(biāo)得到滿足的合理保障。Source: CISA Manual（國(guó)際ISACA協(xié)會(huì)）信息系統(tǒng)審計(jì)內(nèi)容信息系統(tǒng)審計(jì)的三大類別： 從以上信息系統(tǒng)審計(jì)的定義，可知信息系統(tǒng)審計(jì)項(xiàng)目依目標(biāo)目標(biāo)不同，有三大類： o信息系統(tǒng)安全審計(jì)o信息系統(tǒng)可靠

5、性審計(jì)1.信息系統(tǒng)績(jī)效審計(jì)信息系統(tǒng)審計(jì)內(nèi)容信息系統(tǒng)審計(jì)的內(nèi)涵oIT審計(jì)是獨(dú)立的第三方IT審計(jì)師采用客觀的標(biāo)準(zhǔn)對(duì)信息系統(tǒng)的規(guī)劃、開發(fā)、使用維護(hù)等相關(guān)活動(dòng)和產(chǎn)物進(jìn)行完整地、有效地檢查和評(píng)估。 o主體：第三方審計(jì)師o(wú)遵循相關(guān)標(biāo)準(zhǔn)o對(duì)信息系統(tǒng)的規(guī)劃、開發(fā)、使用維護(hù)等一系列活動(dòng)及產(chǎn)物進(jìn)行檢查和評(píng)估。o信息系統(tǒng)審計(jì)的要點(diǎn)：信息系統(tǒng)審計(jì)的要點(diǎn)：u信息系統(tǒng)審計(jì)的對(duì)象是計(jì)算機(jī)為核心的信息系統(tǒng)u信息系統(tǒng)審計(jì)的目的是促使信息系統(tǒng)安全、可靠和有效。u信息系統(tǒng)審計(jì)是一個(gè)過(guò)程，需要審計(jì)師的專業(yè)評(píng)價(jià)與判斷。 信息系統(tǒng)審計(jì)內(nèi)容管理政策組織結(jié)構(gòu)服務(wù)器、工作站、打印機(jī)網(wǎng)線交換機(jī)/HUBWindows /UNIXOracle 數(shù)據(jù)

6、庫(kù)2. 信息系統(tǒng)邏輯結(jié)構(gòu)示意圖-1財(cái)務(wù)報(bào)表銷售收入 1000萬(wàn)會(huì)計(jì)核算系統(tǒng)銷售業(yè)務(wù)系統(tǒng)災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃信息資產(chǎn)保護(hù)人信息系統(tǒng)審計(jì)內(nèi)容o從構(gòu)成要素上來(lái)看，信息系統(tǒng)有以下組成部分：n硬件n軟件n網(wǎng)絡(luò)n數(shù)據(jù)n人n管理制度信息系統(tǒng)審計(jì)內(nèi)容2. 信息系統(tǒng)邏輯結(jié)構(gòu)示意圖-2信息系統(tǒng)審計(jì)內(nèi)容2. 信息系統(tǒng)邏輯結(jié)構(gòu)分析o信息系統(tǒng)審計(jì)的對(duì)象是信息系統(tǒng)，因此從上述信息系統(tǒng)的邏輯結(jié)構(gòu)（構(gòu)成要素和生命周期）可以綜合分析其內(nèi)容。o信息系統(tǒng)審計(jì)的內(nèi)容應(yīng)包含所有構(gòu)成要素，涉及生命周期的各個(gè)階段。信息系統(tǒng)審計(jì)內(nèi)容3. 信息系統(tǒng)審計(jì)的兩大主題內(nèi)容 審計(jì)本質(zhì)是一種控制，從控制的角度來(lái)看信息系統(tǒng)，通常區(qū)分為信息系統(tǒng)一般控制與

7、應(yīng)用控制。兩者的作用與范圍作用與范圍不同。3.1 信息系統(tǒng)一般控制審計(jì)（GC）3.2 信息系統(tǒng)應(yīng)用控制審計(jì)（AC）信息系統(tǒng)審計(jì)內(nèi)容o一般控制（GC）：確認(rèn)應(yīng)用系統(tǒng)恰當(dāng)開發(fā)或?qū)嵤?，確保程序與數(shù)據(jù)文件的完整性，確保信息系統(tǒng)良好運(yùn)作。一般控制的控制措施適用于所有應(yīng)用系統(tǒng)，是一種環(huán)境上的保證。o應(yīng)用控制（AC）：與具體的應(yīng)用系統(tǒng)有關(guān)，確保數(shù)據(jù)處理完整和正確。應(yīng)用控制的設(shè)計(jì)結(jié)合具體業(yè)務(wù)進(jìn)行。信息系統(tǒng)審計(jì)內(nèi)容一般控制與應(yīng)用控制的關(guān)系o應(yīng)用控制的有效性取決于一般控制的有效性o一般控制是應(yīng)用控制的基礎(chǔ)，當(dāng)一般控制薄弱時(shí)，應(yīng)用控制無(wú)法提供合理保障信息系統(tǒng)審計(jì)內(nèi)容3.1 一般控制審計(jì)的內(nèi)容-1源自：CISA Ma

8、nual（國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA）一般控制審計(jì)的五大內(nèi)容o評(píng)估IT治理結(jié)構(gòu)的效果，確保董事會(huì)對(duì)IT決策、IT方向和IT性能的充分控制；o評(píng)估評(píng)估IT組織結(jié)構(gòu)和人力資源管理；組織結(jié)構(gòu)和人力資源管理；o評(píng)估評(píng)估IT戰(zhàn)略及其起草、批準(zhǔn)、實(shí)施和維護(hù)程戰(zhàn)略及其起草、批準(zhǔn)、實(shí)施和維護(hù)程序；序；o評(píng)估IT政策、標(biāo)準(zhǔn)和程序的制定、批準(zhǔn)、實(shí)施和維護(hù)流程；o評(píng)估IT資源的投資、使用和配置實(shí)務(wù)；o評(píng)估IT外包戰(zhàn)略和政策，以及合同管理實(shí)務(wù)；o評(píng)估監(jiān)督和審計(jì)實(shí)務(wù)；o保證董事和執(zhí)行層能及時(shí)、充分地獲得有關(guān)的IT績(jī)效信息IT治理開發(fā)或采購(gòu)審計(jì)開發(fā)或采購(gòu)審計(jì)運(yùn)行與維護(hù)審計(jì)運(yùn)行與維護(hù)審計(jì)安全審計(jì)安全審計(jì)災(zāi)難恢復(fù)和業(yè)務(wù)連

9、續(xù)性計(jì)劃災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃信息系統(tǒng)審計(jì)內(nèi)容3.1 一般控制審計(jì)的內(nèi)容-2源自：CISA Manual（國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA）IT治理開發(fā)或采購(gòu)審計(jì)開發(fā)或采購(gòu)審計(jì)運(yùn)行與維護(hù)審計(jì)運(yùn)行與維護(hù)審計(jì)安全審計(jì)安全審計(jì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃信息系統(tǒng)審計(jì)的五大內(nèi)容o評(píng)估擬定的系統(tǒng)開發(fā)或采購(gòu)，確保其符合組織發(fā)展目標(biāo)；o評(píng)估項(xiàng)目管理框架和項(xiàng)目治理實(shí)務(wù)，確保組織在風(fēng)險(xiǎn)管理基礎(chǔ)上，以成本效益原則達(dá)成組織的業(yè)務(wù)目標(biāo)；o確保項(xiàng)目按項(xiàng)目計(jì)劃進(jìn)行，并有相應(yīng)文檔充分支持確保項(xiàng)目按項(xiàng)目計(jì)劃進(jìn)行，并有相應(yīng)文檔充分支持；o評(píng)估組織相關(guān)系統(tǒng)的控制機(jī)制，確保其符合組織的政策；o評(píng)估系統(tǒng)的開發(fā)、采

10、購(gòu)和測(cè)試流程，確保其交付符合目評(píng)估系統(tǒng)的開發(fā)、采購(gòu)和測(cè)試流程，確保其交付符合目標(biāo)；標(biāo)；o對(duì)系統(tǒng)實(shí)施定期檢查，確保其持續(xù)滿足組織目標(biāo)，并受到有效的內(nèi)部控制；信息系統(tǒng)審計(jì)內(nèi)容3.1 一般控制審計(jì)的內(nèi)容-3源自：CISA Manual（國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA）信息系統(tǒng)審計(jì)的五大內(nèi)容o評(píng)估服務(wù)管理實(shí)務(wù)，確保內(nèi)部和外部服務(wù)提供商的服務(wù)等級(jí)是明確定義并受管理的；o評(píng)估運(yùn)營(yíng)管理，保證評(píng)估運(yùn)營(yíng)管理，保證IT支持職能有效滿足了業(yè)支持職能有效滿足了業(yè)務(wù)要求；務(wù)要求；o評(píng)估數(shù)據(jù)管理實(shí)務(wù)，確保數(shù)據(jù)庫(kù)的完整性和最評(píng)估數(shù)據(jù)管理實(shí)務(wù)，確保數(shù)據(jù)庫(kù)的完整性和最優(yōu)化；優(yōu)化；o評(píng)估能力的使用和性能監(jiān)控工具與技術(shù)；評(píng)估能力的

11、使用和性能監(jiān)控工具與技術(shù)；o評(píng)估變更、配置和發(fā)布管理實(shí)務(wù)，確保被詳細(xì)評(píng)估變更、配置和發(fā)布管理實(shí)務(wù)，確保被詳細(xì)記錄；記錄；o評(píng)估問(wèn)題和事件管理實(shí)務(wù)，確保所有事件、問(wèn)評(píng)估問(wèn)題和事件管理實(shí)務(wù)，確保所有事件、問(wèn)題和錯(cuò)誤都被及時(shí)記錄，分析和解決題和錯(cuò)誤都被及時(shí)記錄，分析和解決 o評(píng)估IT基礎(chǔ)構(gòu)架（網(wǎng)絡(luò)，軟硬件）功能，確保其對(duì)組織目標(biāo)的支持IT治理開發(fā)或采購(gòu)審計(jì)開發(fā)或采購(gòu)審計(jì)運(yùn)行與維護(hù)審計(jì)運(yùn)行與維護(hù)審計(jì)安全審計(jì)安全審計(jì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃信息系統(tǒng)審計(jì)內(nèi)容3.1 一般控制審計(jì)的內(nèi)容-4源自：CISA Manual（國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA）信息系統(tǒng)審計(jì)的五大內(nèi)容o 評(píng)估邏輯

12、訪問(wèn)控制的設(shè)計(jì)、實(shí)施和監(jiān)控，確保信息資產(chǎn)評(píng)估邏輯訪問(wèn)控制的設(shè)計(jì)、實(shí)施和監(jiān)控，確保信息資產(chǎn)的的 機(jī)密性、完整性、有效性和經(jīng)授權(quán)使用；機(jī)密性、完整性、有效性和經(jīng)授權(quán)使用；o 評(píng)估網(wǎng)絡(luò)框架和信息傳輸?shù)陌踩?；評(píng)估網(wǎng)絡(luò)框架和信息傳輸?shù)陌踩籵 評(píng)估環(huán)境控制的設(shè)計(jì)、實(shí)施和監(jiān)控，確保信息資產(chǎn)充分評(píng)估環(huán)境控制的設(shè)計(jì)、實(shí)施和監(jiān)控，確保信息資產(chǎn)充分安安 全；全；o 評(píng)估保密信息資產(chǎn)的采集、存儲(chǔ)、使用、傳輸和處置程序 的流程。IT治理開發(fā)或采購(gòu)審計(jì)開發(fā)或采購(gòu)審計(jì)運(yùn)行與維護(hù)審計(jì)運(yùn)行與維護(hù)審計(jì)安全審計(jì)安全審計(jì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃信息系統(tǒng)審計(jì)內(nèi)容3.1 一般控制審計(jì)的內(nèi)容-5源自：CISA M

13、anual（國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA）信息系統(tǒng)審計(jì)的五大內(nèi)容o評(píng)估備份和恢復(fù)準(zhǔn)備的充分性，確?；謴?fù)運(yùn)營(yíng)所需信息的有效評(píng)估備份和恢復(fù)準(zhǔn)備的充分性，確保恢復(fù)運(yùn)營(yíng)所需信息的有效性和可用性；性和可用性；o評(píng)估組織的災(zāi)難恢復(fù)計(jì)劃，確保一旦發(fā)生災(zāi)難，評(píng)估組織的災(zāi)難恢復(fù)計(jì)劃，確保一旦發(fā)生災(zāi)難，IT處理能力可處理能力可以及時(shí)恢復(fù)；以及時(shí)恢復(fù)；o評(píng)估組織的業(yè)務(wù)連續(xù)性計(jì)劃，確保評(píng)估組織的業(yè)務(wù)連續(xù)性計(jì)劃，確保IT服務(wù)中斷期間，基本業(yè)務(wù)服務(wù)中斷期間，基本業(yè)務(wù)運(yùn)營(yíng)不間斷的能力運(yùn)營(yíng)不間斷的能力 IT治理開發(fā)或采購(gòu)審計(jì)開發(fā)或采購(gòu)審計(jì)運(yùn)行與維護(hù)審計(jì)運(yùn)行與維護(hù)審計(jì)安全審計(jì)安全審計(jì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)

14、性計(jì)劃信息系統(tǒng)審計(jì)內(nèi)容3.1 常見的一般控制審計(jì)需求o組織管理審計(jì)o信息中心職責(zé)分離審計(jì)信息中心職責(zé)分離審計(jì)o機(jī)房物理環(huán)境審計(jì)機(jī)房物理環(huán)境審計(jì)o操作系統(tǒng)審計(jì)o數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)審計(jì)o網(wǎng)絡(luò)安全審計(jì)o開發(fā)審計(jì)開發(fā)審計(jì)o運(yùn)行審計(jì)運(yùn)行審計(jì)o災(zāi)備審計(jì)信息系統(tǒng)審計(jì)內(nèi)容組織管理審計(jì)目標(biāo)與程序o審計(jì)目標(biāo)：（1）確認(rèn)企業(yè)是否制訂了信息系統(tǒng)規(guī)劃，規(guī)劃是否得當(dāng)（2）確定職責(zé)劃分是否合理，不相容職責(zé)是否相分離，確定職責(zé)劃分是否認(rèn)真執(zhí)行。o審計(jì)程序（1）獲取被審計(jì)單位的信息系統(tǒng)規(guī)劃文檔，分析其規(guī)劃是否得當(dāng)，能否支持企業(yè)目標(biāo)，滿足業(yè)務(wù)活動(dòng)需求和信息需求（2）審閱組織結(jié)構(gòu)文件，如組織結(jié)構(gòu)圖、重要崗位的工作描述和作業(yè)流程，確認(rèn)

15、各項(xiàng)職責(zé)劃分是否合理，不相容職責(zé)是否進(jìn)行了嚴(yán)格的分離（3）實(shí)地觀察與組織控制相關(guān)的作業(yè)活動(dòng)，確認(rèn)各項(xiàng)關(guān)鍵職能工作是否有由不同員工擔(dān)任，以及職責(zé)分離政策是否在實(shí)際作業(yè)活動(dòng)中得以貫徹落實(shí)（4）觀察員工的操作是否符合流程描述（5）檢查用戶權(quán)限，確認(rèn)有關(guān)人員的權(quán)限是否與其工作描述一致。信息系統(tǒng)審計(jì)內(nèi)容信息中心的職責(zé)分離矩陣信息系統(tǒng)審計(jì)內(nèi)容操作系統(tǒng)的審計(jì)目標(biāo)與程序o操作系統(tǒng)的審計(jì)目標(biāo)：（1）驗(yàn)證訪問(wèn)權(quán)限的分配是滯與不相容職責(zé)分離的要求相一致，并符合企業(yè)的政策（2）確認(rèn)企業(yè)是滯有恰當(dāng)和有效的口令控制對(duì)操作系統(tǒng)的訪問(wèn) （3）確定管理政策、程序和控制步驟是否嚴(yán)密有效，是否能防護(hù)操作系統(tǒng)不受硬件失靈，軟件差錯(cuò)、

16、人為故障和病毒侵蝕等因素干擾o審計(jì)程序：（1）查閱企業(yè)有關(guān)不相容職責(zé)的分離政策，確定其能否實(shí)現(xiàn)合理的安全水平（2）檢查是否建立操作系統(tǒng)口令制度，對(duì)口令的授予和更改程序是否合理得當(dāng)（3）查閱員工招聘記錄，檢查選定權(quán)限的用戶組和用戶的權(quán)限，確定其訪問(wèn)權(quán)限是否與工作范圍及職責(zé)一致。（4）檢查員工記錄，確定員工是否均有書面承諾對(duì)企業(yè)數(shù)據(jù)的責(zé)任（5）檢查操作記錄，確定具有權(quán)限的人員是否根據(jù)有關(guān)規(guī)定，授受了充分的安全責(zé)任（6）檢查所有用戶都必須擁有口令（7）審查口令標(biāo)準(zhǔn)的適當(dāng)性，如長(zhǎng)度和有效期等（8）審查鎖定賬戶的規(guī)定和程序，在鎖定賬戶之前，允許有多少次失敗登錄（9）詢問(wèn)操作人員，確認(rèn)其是否授受過(guò)有關(guān)計(jì)算

17、病毒的培訓(xùn)，是否清楚病毒侵入和傳播的風(fēng)險(xiǎn)（10）詢問(wèn)企業(yè)是否規(guī)定必須向聲譽(yù)良好的軟件供應(yīng)商購(gòu)買防病毒軟件（11）審查企業(yè)的防病毒軟件使用政策（12）檢查系統(tǒng)管理員是否實(shí)施例行掃描工作站和服務(wù)器中的病毒信息系統(tǒng)審計(jì)內(nèi)容數(shù)據(jù)庫(kù)的審計(jì)目標(biāo)與程序o審計(jì)目標(biāo)：（1）確定數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限和優(yōu)先權(quán)限是否根據(jù)用戶的合法需要給預(yù)分配（2）確認(rèn)數(shù)據(jù)資源控制措施是否能夠保證數(shù)據(jù)資源的完整和安全（3）確定各項(xiàng)數(shù)據(jù)資源控制是否有效執(zhí)行o審計(jì)程序：（1）檢查企業(yè)政策和職責(zé)描述，確定是否是數(shù)據(jù)庫(kù)管理員對(duì)創(chuàng)建權(quán)限表和設(shè)計(jì)用戶模式負(fù)有唯一責(zé)任（2）檢查程序員權(quán)限表，查證其訪問(wèn)數(shù)據(jù)定義語(yǔ)言命令的特權(quán)（3）與數(shù)據(jù)庫(kù)管理員和程序員進(jìn)行

18、訪談（4）檢查對(duì)數(shù)據(jù)資源的接觸和訪問(wèn)是否有嚴(yán)格的授權(quán)控制，授權(quán)是否恰當(dāng)（5）檢查系統(tǒng)的授權(quán)表，審計(jì)數(shù)據(jù)存取控制的有效性（6）抽查數(shù)據(jù)庫(kù)訪問(wèn)日志，確認(rèn)對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)是經(jīng)過(guò)授權(quán)的（7）查閱數(shù)據(jù)資源的訪問(wèn)權(quán)限文件樣本，判斷是否規(guī)定適當(dāng)?shù)臋?quán)限，權(quán)限的取得要求是滯合理（9）觀察數(shù)據(jù)庫(kù)管理員對(duì)數(shù)據(jù)庫(kù)資源的管理活動(dòng)（10）嘗試訪問(wèn)數(shù)據(jù)資源，確認(rèn)訪問(wèn)控制是否起作用信息系統(tǒng)審計(jì)內(nèi)容網(wǎng)絡(luò)安全審計(jì)目標(biāo)與程序o審計(jì)目標(biāo)（1）確認(rèn)被審計(jì)單位信息系統(tǒng)的網(wǎng)絡(luò)安全控制措施是否健全、能否使信息系統(tǒng)的硬件、軟件和數(shù)據(jù)資源得到妥善保護(hù)；（2）確認(rèn)各項(xiàng)網(wǎng)絡(luò)安全措施是否有效的執(zhí)行o審計(jì)程序：（1）與安全管理人員、網(wǎng)管人員面談，了解其工

19、作職責(zé)及相應(yīng)的安全管理過(guò)程（2）檢查被審計(jì)單位的系統(tǒng)入侵防范控制，通信網(wǎng)絡(luò)安全控制和病毒防范控制等安全控制制度，確認(rèn)其是否健全（3）審查網(wǎng)絡(luò)連接圖，查看各計(jì)算機(jī)、終端設(shè)備及網(wǎng)絡(luò)交換機(jī)和調(diào)制解調(diào)器等輔助系統(tǒng)間的通信傳輸連接點(diǎn)，盤點(diǎn)其數(shù)量以確保網(wǎng)絡(luò)架構(gòu)圖的正確性（4）檢查系統(tǒng)是否安裝實(shí)施防火墻，評(píng)估網(wǎng)絡(luò)架構(gòu)和防火墻的配置是否正確設(shè)計(jì)（5）審查所使用的加密機(jī)制和網(wǎng)絡(luò)安全認(rèn)證機(jī)制（6）模仿入侵者訪問(wèn)系統(tǒng)，檢查系統(tǒng)入侵防范控制有否有效（7）檢查入侵訪問(wèn)報(bào)告，查看對(duì)入侵訪問(wèn)的追蹤和審查記錄（8）檢查是否安裝有防病毒軟件，查看計(jì)算機(jī)病毒檢測(cè)和清除的記錄信息系統(tǒng)審計(jì)內(nèi)容開發(fā)審計(jì)目標(biāo)與程序o審計(jì)目標(biāo)：（1）確定

20、系統(tǒng)開發(fā)各階段是否嚴(yán)格執(zhí)行了有關(guān)政策和規(guī)則；（2）確定系統(tǒng)實(shí)施之前是否經(jīng)過(guò)全面測(cè)試，不存在重大錯(cuò)誤和舞弊行為（3）確認(rèn)系統(tǒng)開發(fā)各階段的報(bào)告是否獲得使用者和高層主管的認(rèn)可審批（4）確定系統(tǒng)開發(fā)的文檔記錄準(zhǔn)確完整o審計(jì)程序：（1）檢查系統(tǒng)開發(fā)過(guò)程是否有內(nèi)審人員參與，每個(gè)開發(fā)階段結(jié)束時(shí)內(nèi)審人員是否進(jìn)行了審計(jì)評(píng)價(jià)（2）檢查系統(tǒng)開發(fā)周期的文檔記錄是否準(zhǔn)確完整，確認(rèn)系統(tǒng)開發(fā)活動(dòng)是否符合既定的政策與規(guī)劃（3）檢查系統(tǒng)開發(fā)各階段的報(bào)告是否獲得使用者和高層主管的認(rèn)可與簽署審批（4）向質(zhì)量管理員詢問(wèn)質(zhì)量管理工作，獲取質(zhì)量管理控制的有關(guān)文檔，確認(rèn)質(zhì)量控制是否有效進(jìn)行（5）檢查系統(tǒng)測(cè)試文檔，確認(rèn)是否對(duì)系統(tǒng)進(jìn)行了全面測(cè)

21、試信息系統(tǒng)審計(jì)內(nèi)容運(yùn)行審計(jì)目標(biāo)與程序o審計(jì)目標(biāo)：（1）確定是否有維護(hù)計(jì)劃，維護(hù)工作是否得到負(fù)責(zé)人批準(zhǔn)，系統(tǒng)是否按照維護(hù)計(jì)劃進(jìn)行了維護(hù)（2）確認(rèn)是否存在未經(jīng)授權(quán)擅自修改或更改系統(tǒng)的問(wèn)題（3）確定維護(hù)工作是否保護(hù)了應(yīng)用程序，并使程序庫(kù)不受非法訪問(wèn)（4）確定系統(tǒng)維護(hù)后是否經(jīng)過(guò)了充分測(cè)試，用戶是否參與了系統(tǒng)維護(hù)后的測(cè)試工作（5）確定是否對(duì)每一次維護(hù)工作都有詳細(xì)記錄（6）確定系統(tǒng)維護(hù)后文檔資料是否及時(shí)更新o審計(jì)程序：（1）檢查維護(hù)計(jì)劃，確認(rèn)維護(hù)工作是否有詳細(xì)的計(jì)劃，包括維護(hù)請(qǐng)求、維護(hù)的性質(zhì)和范圍、所需要的資源，維護(hù)進(jìn)度安排等（2）檢查系統(tǒng)維護(hù)的審計(jì)手續(xù)，查看維護(hù)作業(yè)申請(qǐng)資料和高層主管的授權(quán)簽名，確認(rèn)維護(hù)

22、工作是否得到負(fù)責(zé)人的批準(zhǔn)（3）核對(duì)應(yīng)用程序的版本。如果所使用的版本與授權(quán)的版本不符，表明存在未經(jīng)授權(quán)的更改應(yīng)用程序的問(wèn)題（4）檢查系統(tǒng)的維護(hù)日志，確認(rèn)是否對(duì)每一次維護(hù)都有詳細(xì)記錄，包括程序的標(biāo)識(shí)、維護(hù)的類型、維護(hù)的目的、增加和修改及刪除代碼的地方，維護(hù)人的簽名和維護(hù)日期（5）系統(tǒng)維護(hù)測(cè)試記錄與報(bào)告，確定系統(tǒng)維護(hù)后在投入使用前是否進(jìn)行了充分測(cè)試，用戶是否參與的測(cè)試過(guò)程。（6）檢查運(yùn)行計(jì)劃，確認(rèn)維護(hù)后的系統(tǒng)在投入使用前得到了開發(fā)、運(yùn)行、維護(hù)和用戶負(fù)責(zé)人的認(rèn)可與批準(zhǔn)（7）檢查系統(tǒng)設(shè)計(jì)報(bào)告和軟件設(shè)計(jì)說(shuō)明書是否按照維護(hù)計(jì)劃進(jìn)行了修改，是否按修改后的軟件設(shè)計(jì)說(shuō)明書對(duì)系統(tǒng)進(jìn)行了維護(hù)修改（8）抽查重要應(yīng)用程序

23、重新進(jìn)行測(cè)試，分析評(píng)價(jià)測(cè)試結(jié)果是否正確有效（9）檢查文檔資料，確認(rèn)系統(tǒng)維護(hù)后相關(guān)文檔資料是否及時(shí)更新，并妥善保存。信息系統(tǒng)審計(jì)內(nèi)容災(zāi)備審計(jì)目標(biāo)與程序o審計(jì)目標(biāo)：（1）確認(rèn)災(zāi)難恢復(fù)計(jì)劃是否適應(yīng)企業(yè)的要求，實(shí)施方案是否可行和有效（2）確認(rèn)災(zāi)難恢復(fù)的相應(yīng)資源包括數(shù)據(jù)和設(shè)備是否做好了備份（3）評(píng)估異地存儲(chǔ)及其安全性（4）確認(rèn)災(zāi)難恢復(fù)計(jì)劃測(cè)試結(jié)果是滯達(dá)到了預(yù)定目標(biāo)o審計(jì)程序:（1）獲取災(zāi)難恢復(fù)計(jì)劃和操作手冊(cè)，確認(rèn)其是否為最新的計(jì)劃和操作手冊(cè)（2）檢查所制訂的災(zāi)難恢復(fù)計(jì)劃是否為處理受災(zāi)企業(yè)空難的現(xiàn)實(shí)解決方案（3）查看備份現(xiàn)場(chǎng)，評(píng)估備份現(xiàn)場(chǎng)的安排是否恰當(dāng)（4）檢查關(guān)鍵應(yīng)用程序清單是否完整，以確?？梢曰謴?fù)系統(tǒng)（5）檢查關(guān)鍵應(yīng)用程序副本是滯在非現(xiàn)場(chǎng)存儲(chǔ)，一旦發(fā)生災(zāi)難或事故可以使用備用副本（6）檢查關(guān)鍵數(shù)據(jù)文件是否依據(jù)災(zāi)難恢復(fù)計(jì)劃進(jìn)行備份（7）檢查恢復(fù)與運(yùn)行關(guān)鍵應(yīng)用程序所需要的文檔，支持材料和源文件是否完整并在非現(xiàn)場(chǎng)存儲(chǔ)（8）查閱災(zāi)難恢復(fù)小組成員名單、聯(lián)系方式、分擔(dān)的職責(zé)及是否為在冊(cè)職員（9）