信息系統(tǒng)審計(jì)重點(diǎn)（二）

書山有路勤為徑，學(xué)海無涯苦作舟。書山有路勤為徑，學(xué)海無涯苦作舟。第第頁(yè)信息系統(tǒng)審計(jì)重點(diǎn)1、信息系統(tǒng)審計(jì)的概念，內(nèi)容，流程。

答。（1）概念信息系統(tǒng)審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對(duì)信息系統(tǒng)從規(guī)劃、實(shí)施到運(yùn)行維護(hù)各個(gè)環(huán)節(jié)進(jìn)行審查評(píng)價(jià)，對(duì)信息系統(tǒng)及其業(yè)務(wù)的完整性、有效性、效率性、安全性等進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過程，以確定預(yù)定的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn)，斌提出一系列改進(jìn)建議的管理活動(dòng)。

（2）內(nèi)容：主要包括內(nèi)部控制系統(tǒng)審計(jì)、系統(tǒng)開發(fā)審計(jì)、應(yīng)用程序?qū)徲?jì)、數(shù)據(jù)文件審計(jì)等。a.內(nèi)部控制系統(tǒng)審計(jì)。信息系統(tǒng)的內(nèi)部控制系統(tǒng)由兩個(gè)子系統(tǒng)構(gòu)成：一是一般控制系統(tǒng)，它是系統(tǒng)運(yùn)行環(huán)境方面的控制，為應(yīng)用程序的正常運(yùn)行提供外圍保障。另一子系統(tǒng)是應(yīng)用控制系統(tǒng)，它是針對(duì)具體的應(yīng)用系統(tǒng)和程序而設(shè)置的各種控制措施。

b.系統(tǒng)開發(fā)審計(jì)。是指對(duì)信息系統(tǒng)開發(fā)過程所進(jìn)行的審計(jì)，這是一種事前審計(jì)。

c.應(yīng)用程序?qū)徲?jì)。其決定了數(shù)據(jù)處理的合規(guī)性、正確性。對(duì)應(yīng)用程序的審計(jì)，可以對(duì)程序直接進(jìn)行審查，也可以通過數(shù)據(jù)在程序上的運(yùn)行進(jìn)行間接測(cè)試。

d.數(shù)據(jù)文件審計(jì)。在信息系統(tǒng)中，各種憑證、賬簿及報(bào)表中的數(shù)據(jù)均以數(shù)據(jù)文件的形式存儲(chǔ)在硬盤或軟盤等存儲(chǔ)介質(zhì)中，對(duì)數(shù)據(jù)文件進(jìn)行審計(jì)，可以將該文件打印出來進(jìn)行檢查，也可以在計(jì)算機(jī)內(nèi)直接進(jìn)行審查。

（3）流程。主要的分為準(zhǔn)備階段、實(shí)施階段、終結(jié)階段。

a.準(zhǔn)備階段：

1、明確審計(jì)任務(wù)。

2、組成信息系統(tǒng)審計(jì)小組。

3、了解被審計(jì)系統(tǒng)的基本情況。

4、制定信息系統(tǒng)審計(jì)方案；

b.實(shí)施方案：

1、對(duì)被審計(jì)系統(tǒng)的內(nèi)部控制制度進(jìn)行健全性調(diào)查和符合性測(cè)試。

2、對(duì)帳表單證或數(shù)據(jù)文件的實(shí)質(zhì)性審查；

c.終結(jié)階段：

1、整理歸納審計(jì)資料。

2、撰寫審計(jì)報(bào)告。

3、發(fā)出審計(jì)結(jié)論和決定。

4、審計(jì)資料的歸檔和管理。

2、常見的it治理標(biāo)準(zhǔn)有哪些，各自的作用是什么。

答。常見的it治理標(biāo)準(zhǔn)有itil，cobit，bs7799，prince2。

（1）itil（informationtechnologyinfrastructurelibrary），即信息技術(shù)基礎(chǔ)構(gòu)架庫(kù)，一套被廣泛承認(rèn)的用于有效it服務(wù)管理的時(shí)間準(zhǔn)則。1980年以來，英國(guó)政府商務(wù)辦公室為解決“it服務(wù)質(zhì)量不佳”的問題，逐步提出和完善了一整套對(duì)it服務(wù)的質(zhì)量進(jìn)行評(píng)估的方法體系。

（2）cobit，（controlobjectivesforinformationandrelatedtechnology）：信息和相關(guān)技術(shù)的控制目標(biāo)。它是由信息系統(tǒng)審計(jì)與控制協(xié)會(huì)，于1996年推出的用于it審計(jì)的知識(shí)體系。作為it治理的核心模型，其包括34個(gè)信息技術(shù)過程控制，并歸集為it規(guī)劃和組織、系統(tǒng)獲得和實(shí)施、交付與支持以及信息系統(tǒng)運(yùn)行性能監(jiān)控4個(gè)領(lǐng)域。目前cobit是國(guó)際上公認(rèn)的it管理與控制標(biāo)準(zhǔn)。

（3）bs7799（iso/iec17799）。國(guó)際信息安全管理標(biāo)準(zhǔn)體系。該標(biāo)準(zhǔn)包括信息系統(tǒng)安全管理和安全認(rèn)證兩大部分，是參照英國(guó)國(guó)家標(biāo)準(zhǔn)bs7799而來的。它是一個(gè)詳細(xì)的安全標(biāo)準(zhǔn)，包括安全內(nèi)容的所有準(zhǔn)則，由10個(gè)獨(dú)立的部分組成，每一節(jié)都覆蓋了不同的主題和區(qū)域。該體系主要解決企業(yè)的信息安全管理上的問題，為企業(yè)提供了一個(gè)完整的管理框架，不斷改進(jìn)信息安全管理水平，使機(jī)構(gòu)或企業(yè)的信息安全以最小代價(jià)達(dá)到需要的水準(zhǔn)。

（4）prince2（projectsincontrolledenvironments）是一種對(duì)項(xiàng)目管理的某些特定方面提供支持的方法。prince2描述了一個(gè)項(xiàng)目如何被切分成一些可供管理的階段，以便高效地控制資源的使用和在整個(gè)項(xiàng)目周期執(zhí)行常規(guī)的監(jiān)督流程。prince2的視野并不僅僅限于對(duì)具體項(xiàng)目的管理，還覆蓋了在組織范圍對(duì)項(xiàng)目的管理。

3、常見的信息系統(tǒng)開發(fā)方法，對(duì)其中的一到兩種展開說明。

答。常見的信息系統(tǒng)開發(fā)方法有軟件開發(fā)生命周期法、原型法、面向?qū)ο蠓?、?jì)算機(jī)輔助開發(fā)方法、基于組件的開發(fā)方法、基于web應(yīng)用開發(fā)方法。以下對(duì)軟件開發(fā)生命周期法進(jìn)行

說明。

軟件開發(fā)生命周期法（softwaredevelopmentlifecycle，sdlc）是系統(tǒng)分析員和系統(tǒng)開發(fā)者常用的軟件開發(fā)方法。軟件開發(fā)生命周期法能夠生產(chǎn)高質(zhì)量的軟件，滿足業(yè)務(wù)和用戶的需求，在開發(fā)進(jìn)度和成本控制下進(jìn)行軟件開發(fā)生產(chǎn)，是一種有效保證成本，提高效益的軟件開發(fā)方法。通過應(yīng)用傳統(tǒng)的sdlc方法，已經(jīng)成功開發(fā)出了大量的業(yè)務(wù)應(yīng)用系統(tǒng)。其各個(gè)階段及其基本內(nèi)容如下：

1、第一階段——可行性研究。確定實(shí)施系統(tǒng)在提高生產(chǎn)效率或未來降低成本方面的戰(zhàn)略利

益，確定和量化新系統(tǒng)可以節(jié)約的成本，評(píng)價(jià)新系統(tǒng)的成本回收期。

2、第二階段——需求定義。一是定義需要解決的問題，二是定義所需的解決方案及方案應(yīng)

當(dāng)具有的功能和質(zhì)量要求。該階段還要確定是采用定制開發(fā)的方法還是供應(yīng)商提供的軟件包。

3、第三階段a——系統(tǒng)設(shè)計(jì)（當(dāng)決定自行開發(fā)軟件時(shí)）。以需求定義為基礎(chǔ)，建立一個(gè)系

統(tǒng)基線和子系統(tǒng)的規(guī)格說明，以描述系統(tǒng)功能如何實(shí)現(xiàn)，各個(gè)部分之間接口如何定義，系統(tǒng)如何使用已選擇的硬件、軟件和網(wǎng)絡(luò)設(shè)施等。

4、第三階段b——系統(tǒng)獲?。ó?dāng)決定購(gòu)買現(xiàn)成軟件包時(shí)）。以需求定義為基礎(chǔ)，向軟件供

應(yīng)商發(fā)出請(qǐng)求建議書（rfp）。商品軟件的選擇要從多方面進(jìn)行考慮。

5、第四階段a——系統(tǒng)開發(fā)（當(dāng)決定自行開發(fā)軟件時(shí)）。使用系統(tǒng)設(shè)計(jì)說明書來設(shè)計(jì)編程

和實(shí)現(xiàn)系統(tǒng)過程。在這個(gè)階段，要進(jìn)行各個(gè)層次的測(cè)試，以驗(yàn)證和確認(rèn)開發(fā)的系統(tǒng)。

6、第四階段b——系統(tǒng)配置（當(dāng)決定購(gòu)買現(xiàn)成軟件包時(shí)）。如果決定選用商品化的軟件包

時(shí)，需要按照企業(yè)的需求進(jìn)行系統(tǒng)客戶化工作，對(duì)系統(tǒng)進(jìn)行剪裁。這種剪裁最好是通過配置系統(tǒng)參數(shù)來實(shí)現(xiàn)，而不是通過修改程序源代碼。

7、第五階段——系統(tǒng)實(shí)施。這個(gè)階段是在最終用戶驗(yàn)收測(cè)試完成、用戶簽署正式文件后進(jìn)

行。系統(tǒng)還需要通過一些認(rèn)證和鑒定過程，來評(píng)價(jià)應(yīng)用系統(tǒng)的有效性。

8、第六階段——實(shí)施后維護(hù)。隨著一個(gè)新系統(tǒng)或徹底修改的系統(tǒng)的成功實(shí)施，應(yīng)當(dāng)建立正

式的程序來評(píng)估系統(tǒng)的充分性和評(píng)價(jià)成本效益或投資回報(bào)。這樣可為后續(xù)的系統(tǒng)開發(fā)項(xiàng)目管理提供改進(jìn)意見。

當(dāng)一個(gè)項(xiàng)目的需求穩(wěn)定、定義準(zhǔn)確時(shí)，生命周期法使用起來最有效，改方法適用于在開發(fā)工作的早期建立總體的系統(tǒng)構(gòu)架。

4、it服務(wù)管理的定義，包括哪些內(nèi)容。

答：（1）it服務(wù)管理（itservicemanagement，itsm）有以下兩種使用比較廣泛的定義：

1、it服務(wù)管理是一種以流程為導(dǎo)向、以客戶為中心的方法。它通過整合it服務(wù)于企業(yè)業(yè)

務(wù)，提高了企業(yè)的it服務(wù)提供和服務(wù)支持的能力和水平。

2、it服務(wù)管理是一套通過sla（服務(wù)級(jí)別協(xié)議）來保證it服務(wù)質(zhì)量的協(xié)同流程。它融合

了系統(tǒng)管理、網(wǎng)絡(luò)