信息系統(tǒng)審計(jì)(信息系統(tǒng)審計(jì)基礎(chǔ))(24頁(yè))ppt課件_第1頁(yè)
信息系統(tǒng)審計(jì)(信息系統(tǒng)審計(jì)基礎(chǔ))(24頁(yè))ppt課件_第2頁(yè)
信息系統(tǒng)審計(jì)(信息系統(tǒng)審計(jì)基礎(chǔ))(24頁(yè))ppt課件_第3頁(yè)
信息系統(tǒng)審計(jì)(信息系統(tǒng)審計(jì)基礎(chǔ))(24頁(yè))ppt課件_第4頁(yè)
信息系統(tǒng)審計(jì)(信息系統(tǒng)審計(jì)基礎(chǔ))(24頁(yè))ppt課件_第5頁(yè)
已閱讀5頁(yè),還剩19頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)根底 楊 烺 CISA國(guó)際注冊(cè)信息系統(tǒng)審計(jì)師 .信息系統(tǒng)審計(jì)根底 信息系統(tǒng)審計(jì)的來(lái)源與開展 信息系統(tǒng)審計(jì)的內(nèi)容 內(nèi)部控制與審計(jì) IT審計(jì)的規(guī)范和根據(jù) IT審計(jì)的過(guò)程 IT審計(jì)的技術(shù) .1. 信息系統(tǒng)審計(jì)的來(lái)源與開展1.1 國(guó)外: 八十年代、九十年代信息技術(shù)的進(jìn)一步開展與普及,使得企業(yè)越來(lái)越依賴信息及產(chǎn)生信息的信息系統(tǒng)。人們開場(chǎng)更多的關(guān)注信息系統(tǒng)的平安性、嚴(yán)密性、完好性及其實(shí)現(xiàn)企業(yè)目的的效率、效果,真正意義的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)與審計(jì)才出現(xiàn)。 .1. 信息系統(tǒng)審計(jì)的來(lái)源與開展1.1 國(guó)外: 信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA (INFORMATION SYSTEM AUDIT

2、AND CONTROL ASSOCIATION),總部設(shè)在美國(guó)芝加哥。目前該組織在世界上100多個(gè)國(guó)家設(shè)有160多個(gè)分會(huì),現(xiàn)有會(huì)員兩萬(wàn)多人,它是從事信息系統(tǒng)審計(jì)的專業(yè)人員獨(dú)一的國(guó)際性組織。 .1. 信息系統(tǒng)審計(jì)的來(lái)源與開展1.1 國(guó)外: CISA (Certified Information System Auditor)是信息系統(tǒng)審計(jì)領(lǐng)域的獨(dú)一職業(yè)資歷 ISACA每年舉行CISA資歷考試,經(jīng)過(guò)考試的人員可以懇求CISA資歷,符合ISACA規(guī)定的任務(wù)閱歷及其他相關(guān)要求的懇求人會(huì)被授予CISA資歷。CISA資歷在世界各國(guó)都被廣泛的認(rèn)可。國(guó)內(nèi)獲得此資歷的有三百多人。.1. 信息系統(tǒng)審計(jì)的來(lái)源與開展

3、1.1 國(guó)外: CISA考試引見: 內(nèi)容:信息系統(tǒng)審計(jì)流程、信息系統(tǒng)的管理、方案與組織、信息技術(shù)根底設(shè)備與操作實(shí)務(wù)、信息資產(chǎn)的維護(hù)、災(zāi)難恢復(fù)與業(yè)務(wù)繼續(xù)方案、運(yùn)用系統(tǒng)的開發(fā)、獲得、實(shí)施與維護(hù)、業(yè)務(wù)處置流程評(píng)價(jià)與風(fēng)險(xiǎn)管理。 時(shí)間:每年一次 題型與考試言語(yǔ):全部是客觀題;英文、中文;75分合格 .1. 信息系統(tǒng)審計(jì)的來(lái)源與開展1.2 國(guó)內(nèi): 1994 年2 月,我國(guó)公布了,提出了計(jì)算機(jī)信息系統(tǒng)實(shí)行平安等級(jí)維護(hù)的要求。平安等級(jí)維護(hù)的總體目的是確保信息平安和計(jì)算機(jī)信息系統(tǒng)平安正常運(yùn)轉(zhuǎn),并保證以下平安特性:信息的完好性、可用性、嚴(yán)密性、抗抵賴性、可控性等其中完好性、可用性、嚴(yán)密性為根本平安特性要求。 .1

4、. 信息系統(tǒng)審計(jì)的來(lái)源與開展1.2 國(guó)內(nèi): 1994 年2 月,我國(guó)公布了,提出信息的完好性、可用性、嚴(yán)密性、抗抵賴性、可控性等要求。 1999年2月9日,我國(guó)正式成立了中國(guó)國(guó)家信息平安測(cè)評(píng)認(rèn)證中心。 2002年4月15日 全國(guó)信息平安規(guī)范化技術(shù)委員會(huì)簡(jiǎn)稱信息平安標(biāo)委會(huì),TC260。 2005年12月16日 國(guó)家網(wǎng)絡(luò)與信息平安協(xié)調(diào)小組正式經(jīng)過(guò)了。 .管理方案與IS的組織信息資產(chǎn)的維護(hù)災(zāi)難備份與業(yè)務(wù)繼續(xù)方案技術(shù)根底與操作實(shí)務(wù)業(yè)務(wù)運(yùn)用系統(tǒng)的開發(fā)獲得實(shí)施與維護(hù)業(yè)務(wù)過(guò)程評(píng)價(jià)與風(fēng)險(xiǎn)管理 2. 信息系統(tǒng)審計(jì)的內(nèi)容 .一般控制靜態(tài)IS的構(gòu)成管理角度管理計(jì)劃與IS的組織(C2)技術(shù)角度技術(shù)基礎(chǔ)與操作實(shí)務(wù)(C3

5、)IS的控制與安全正常情況信息資產(chǎn)的保護(hù)(C4)非常情況災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃(C5)動(dòng)態(tài)業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)取得實(shí)施與維護(hù)(C6)應(yīng)用控制 業(yè)務(wù)過(guò)程評(píng)價(jià)與風(fēng)險(xiǎn)管理(C7) 3. 信息系統(tǒng)審計(jì)與內(nèi)部控制 .4. 信息系統(tǒng)審計(jì)的規(guī)范與根據(jù) 可信的計(jì)算機(jī)系統(tǒng)平安評(píng)價(jià)規(guī)范TCSEC,從橘皮書到彩虹系列 由美國(guó)國(guó)防部于1985年公布的,是計(jì)算機(jī)系統(tǒng)信息平安評(píng)價(jià)的第一個(gè)正式規(guī)范。它把計(jì)算機(jī)系統(tǒng)的平安分為4類、7個(gè)級(jí)別,對(duì)用戶登錄、授權(quán)管理、訪問控制、審計(jì)跟蹤、隱蔽通道分析、可信通道建立、平安檢測(cè)、生命周期保證、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。 .4. 信息系統(tǒng)審計(jì)的規(guī)范與根據(jù) 信息技術(shù)平安評(píng)價(jià)的

6、通用規(guī)范CC 由六個(gè)國(guó)家美、加、英、法、德、荷于1996年結(jié)合提出的,并逐漸構(gòu)成國(guó)際規(guī)范ISO15408。該規(guī)范定義了評(píng)價(jià)信息技術(shù)產(chǎn)品和系統(tǒng)平安性的根本準(zhǔn)那么,提出了目前國(guó)際上公認(rèn)的表述信息技術(shù)平安性的構(gòu)造,即把平安要求分為規(guī)范產(chǎn)品和系統(tǒng)平安行為的功能要求以及處理如何正確有效地實(shí)施這些功能的保證要求。CC規(guī)范是第一個(gè)信息技術(shù)平安評(píng)價(jià)國(guó)際規(guī)范,它的發(fā)布對(duì)信息平安具有重要意義,是信息技術(shù)平安評(píng)價(jià)規(guī)范以及信息平安技術(shù)開展的一個(gè)重要里程碑。 .4. 信息系統(tǒng)審計(jì)的規(guī)范與根據(jù) ISO13335規(guī)范 初次給出了關(guān)于IT平安的嚴(yán)密性、完好性、可用性、審計(jì)性、認(rèn)證性、可靠性6個(gè)方面含義,并提出了以風(fēng)險(xiǎn)為中心的

7、平安模型:企業(yè)的資產(chǎn)面臨很多要挾包括來(lái)自內(nèi)部的要挾和來(lái)自外部的要挾;利用信息系統(tǒng)存在的各種破綻如:物理環(huán)境、網(wǎng)絡(luò)效力、主機(jī)系統(tǒng)、運(yùn)用系統(tǒng)、相關(guān)人員、平安戰(zhàn)略等,對(duì)信息系統(tǒng)進(jìn)展浸透和攻擊。 .4. 信息系統(tǒng)審計(jì)的規(guī)范與根據(jù) BS7799 是英國(guó)的工業(yè)、政府和商業(yè)共同需求而開展的一個(gè)規(guī)范,它分兩部分:第一部分為“信息平安管理事務(wù)準(zhǔn)那么;第二部分為“信息平安管理系統(tǒng)的規(guī)范。目前此規(guī)范曾經(jīng)被很多國(guó)家采用,并已成為國(guó)際規(guī)范ISO17799。 BS7799包含10個(gè)控制大項(xiàng)、36個(gè)控制目的和127個(gè)控制措施。BS7799/ISO17799主要提供了有效地實(shí)施信息系統(tǒng)風(fēng)險(xiǎn)管理的建議,并引見了風(fēng)險(xiǎn)管理的方法和

8、過(guò)程。企業(yè)可以參照該規(guī)范制定出本人的平安戰(zhàn)略和風(fēng)險(xiǎn)評(píng)價(jià)實(shí)施步驟。.4. 信息系統(tǒng)審計(jì)的規(guī)范與根據(jù) “信息系統(tǒng)和技術(shù)控制目的COBIT 是IT治理的一個(gè)開放性規(guī)范,目前已成為國(guó)際上公認(rèn)的最先進(jìn)、最權(quán)威的平安與信息技術(shù)管理和控制的規(guī)范。該規(guī)范為IT的治理、平安與控制提供了一個(gè)普通適用的公認(rèn)的規(guī)范,以輔助管理層進(jìn)展IT治理。該規(guī)范體系已在世界一百多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用,指點(diǎn)這些組織有效利用信息資源,有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。 .4. 信息系統(tǒng)審計(jì)的規(guī)范與根據(jù).4. 信息系統(tǒng)審計(jì)的規(guī)范與根據(jù).4. 信息系統(tǒng)審計(jì)的規(guī)范與根據(jù).4. 信息系統(tǒng)審計(jì)的規(guī)范與根據(jù).5. 信息系統(tǒng)審計(jì)的過(guò)程審計(jì)方案: 檢查被審計(jì)單位的IT政策、實(shí)務(wù)及組織構(gòu)造; 檢查普通控制和運(yùn)用控制的情況;

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論