內(nèi)部審計（李江濤）信息化與內(nèi)部審計

SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計信息系統(tǒng)的內(nèi)部審計IT治理審計信息系統(tǒng)生命周期管理審計IT服務(wù)的交付與支持審計信息資產(chǎn)安全審計業(yè)務(wù)持續(xù)計劃與災(zāi)難恢復(fù)審計SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計IT治理審計IT治理審計確保組織擁有適當(dāng)?shù)慕Y(jié)構(gòu)、政策、工作職責(zé)、運營管理機(jī)制和監(jiān)督，以達(dá)到公司治理中對IT方面的要求。﹡IT治理的涵義IT治理是一個由關(guān)系和過程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險、增加價值來確保實現(xiàn)企業(yè)的目標(biāo)。通過上述定義我們可以看出：1、IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致。2、IT治理和其他治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者的責(zé)任。3、IT治理保護(hù)利益相關(guān)者的權(quán)益，使風(fēng)險透明化。4、信息技術(shù)治理包括管理層、組織結(jié)構(gòu)、過程。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計主要知識點A、公司治理B、董事會和高級管理層的監(jiān)督和保證實務(wù)B1、IT治理的最佳實踐B2、IT戰(zhàn)略委員會B3、標(biāo)準(zhǔn)IT平衡記分卡B4、信息安全治理B5、企業(yè)架構(gòu)SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計有效的公司治理注重個人和團(tuán)隊在特定領(lǐng)域中最有效的專門技能和經(jīng)驗。長期以來，僅作為組織戰(zhàn)略促進(jìn)因素的信息技術(shù)，現(xiàn)在被看作是整體戰(zhàn)略的一部分。首席執(zhí)行官(CEO),首席運營官(COO)、首席財務(wù)官(CFO),首席信息官(CIO)和首席技術(shù)官(CTO)在IT與企業(yè)目標(biāo)間能達(dá)成戰(zhàn)略一致是關(guān)鍵成功因素。通過經(jīng)濟(jì)、有效地使用安全、可靠的信息和應(yīng)用技術(shù)，IT治理能有助于實現(xiàn)這個關(guān)鍵成功因素。信息技術(shù)對企業(yè)的成功是如此重要，因此，不能把其職責(zé)放給IT管理人員或IT專家，而必須得到整個高級管理層的關(guān)注。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計C、信息系統(tǒng)戰(zhàn)略C1、戰(zhàn)略規(guī)劃C2、指導(dǎo)委員會SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計從IS的角度來看，戰(zhàn)略規(guī)劃是組織為了利用信息技術(shù)來改善業(yè)務(wù)流程而確定的長期發(fā)展方向。高級管理層的職責(zé)包括確定成本有效的IT方案以解決問題并抓住組織所面臨的機(jī)遇，制定識別和獲取所需資源的行動方案。在制定戰(zhàn)略規(guī)劃時(通常是3到5年)，組織應(yīng)當(dāng)確保規(guī)劃始終與組織的總體目標(biāo)保持一致。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計組織高級管理層應(yīng)當(dāng)組建一個計劃或指導(dǎo)委員會來監(jiān)督IS職能及其活動。高層的信息技術(shù)指導(dǎo)委員會是確保IS部門與公司使命和目標(biāo)協(xié)調(diào)一致的重要因素，雖然沒有統(tǒng)一的規(guī)定，但最好是從董事會中挑選一位理解信息技術(shù)及風(fēng)險的成員來擔(dān)任該委員會的主席。委員會應(yīng)當(dāng)包括來自高級管理層、用戶管理層和IS部門的人員。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計D、政策和程序DI、政策D2、程序SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計政策是高層次的文件，代表了組織的企業(yè)文化和高級管理層與業(yè)務(wù)流程所有人的戰(zhàn)略思考。政策必須清晰、準(zhǔn)確才能有效。對與組織的總體目標(biāo)與方針有關(guān)的政策的規(guī)劃、制定、成文、頒布和控制，管理層應(yīng)當(dāng)明確其相關(guān)職責(zé)，以此來建立一種良好的控制環(huán)境。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計程序是為實施政策而制定的制度化的詳細(xì)步驟，必須根據(jù)上層政策來制定并體現(xiàn)政策的精神或意圖。程序必須清晰、準(zhǔn)確，使執(zhí)行人易于正確理解。程序反映了業(yè)務(wù)流程(管理和運營層面)及嵌入的控制。程序由流程所有人制定，是對政策的有效解釋。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計E、風(fēng)險管理E1、制定風(fēng)險管理程序E2、風(fēng)險管理過程E3、風(fēng)險分析方法SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計F、IS管理實務(wù)F1、人力資源管理F2、采購實務(wù)F3、組織變更管理F4、財務(wù)管理實務(wù)F5、質(zhì)量管理F6、信息安全管理F7、績效優(yōu)化SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計G、IS組織結(jié)構(gòu)和職責(zé)G1、IS角色和職責(zé)G2、IS內(nèi)的職責(zé)分離G3、職責(zé)分離控制SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計﹡審計在IT治理中的作用1、審計人員向高級主管提供建議，以幫助他們提高IT治理的質(zhì)量和效果。2、審計對IT治理的符合性進(jìn)行持續(xù)監(jiān)控。﹡審計IT治理結(jié)構(gòu)和實施情況應(yīng)當(dāng)進(jìn)行審計的文檔：1、信息技術(shù)戰(zhàn)略、計劃和預(yù)算。2、安全政策文檔。3、組織/職能圖。4、工作描述。5、指導(dǎo)委員會報告。6、系統(tǒng)開發(fā)和程序變更流程。7、操作程序。8、人力資源手冊。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計﹡面談和觀察工作中的員工觀察工作中的員工可以幫助內(nèi)部審計人員識別：1、員工實際的職能-----信息系統(tǒng)審計師可以了解相關(guān)政策和程序是如何被理解和執(zhí)行的。2、實際流程/程序-----信息系統(tǒng)審計師可以獲得政策遵循性的證據(jù)，并發(fā)現(xiàn)可能的偏差。3、員工的安全意識-----信息系統(tǒng)審計可以檢驗員工對保護(hù)公司資產(chǎn)的安全控制措施的理解與執(zhí)行情況。4、工作匯報關(guān)系------確認(rèn)分配的責(zé)任被履行，并有充分的職責(zé)分工。﹡審核合同義務(wù)驗證合同訂立過程中管理層的參與；審核合同的遵循性；要求對這些合同的某個樣本執(zhí)行獨立的遵循性審核。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計2、信息系統(tǒng)生命周期管理審計項目管理審計軟件獲取過程審計詳細(xì)設(shè)計和編碼階段審計測試階段審計安裝階段審計需求定義階段審計安裝后七大部分SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計（1）項目管理審計評估SDLC每個階段的相關(guān)風(fēng)險內(nèi)部審計人員審查SDLC過程評估團(tuán)隊在指定期限內(nèi)交付關(guān)鍵產(chǎn)品的能力。內(nèi)部審計人員應(yīng)當(dāng)審查以下項目管理活動的充分性：﹡項目指導(dǎo)委員會的監(jiān)督級別﹡項目中采用的風(fēng)險管理方法﹡項目成本管理﹡項目計劃管理的流程﹡向管理層匯報的流程﹡變更控制的流程﹡利益相關(guān)者參與管理﹡簽字與審批流程SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計另外，各階段都要有完整充分的文檔作為證據(jù)，至少應(yīng)包括以下類型:每個階段要完成的目標(biāo)定義文件;每個階段要交付的成果以及關(guān)鍵項目成員所需負(fù)責(zé)的任務(wù);著重指出關(guān)鍵成果交付期的項目進(jìn)度表;各階段需要的資源及其成本預(yù)測分析。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計可行性研究階段的審計內(nèi)部審計人員的主要工作包括：在具體審查可行性研究階段時，IS審計師的主要工作包括：﹡審查該階段產(chǎn)生文檔的合理性﹡判斷是否所有的成本收益都是真實的﹡識別并判斷系統(tǒng)需求的必要程度﹡判斷是否能夠通過現(xiàn)有的系統(tǒng)來解決問題。如果不能，則評估替代方案的合理性﹡判斷所選解決方案的可行性SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計（2）需求定義階段的審計內(nèi)部審計人員的主要工作包括：﹡獲取詳細(xì)的需求文檔，通過和相關(guān)用戶部門面談確認(rèn)它的正確性；﹡確定項目組的關(guān)鍵成員是否能夠代表所有業(yè)務(wù)部門；﹡判斷項目的發(fā)起和成本是否都已經(jīng)得到適當(dāng)?shù)氖跈?quán)批準(zhǔn)；﹡審查系統(tǒng)的概念設(shè)計說明〔如數(shù)據(jù)轉(zhuǎn)化處理、數(shù)據(jù)描述等)，判斷它們是否符合用戶的需求；﹡審查概念設(shè)計說明，確保適當(dāng)?shù)目刂茩C(jī)制得到清楚定義﹡確定適當(dāng)數(shù)目的供應(yīng)商，并對這些供應(yīng)商發(fā)送涵蓋項目所有范圍及用戶需求的招標(biāo)書；SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計﹡審核UAT規(guī)范【在軟件開發(fā)中，用戶驗收測試（UAT，user

acceptance

testing）－也叫作beta測試?！咯~確定此應(yīng)用程序是否適合嵌入式的審計方法，如果是，要求將嵌入程序并入到系統(tǒng)概念設(shè)計中。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計a測試和β續(xù)試(Alpha

Testing

and

beta

testing)在軟件交付使用之后，用戶將如何實際使用程序，對于開發(fā)者來說是無法預(yù)測的。因為用戶在使用過程中常常會發(fā)生對使用方法的誤解、異常的數(shù)據(jù)組合、以及產(chǎn)生對某些用戶來說似乎是清晰的但對另一些用戶來說卻難以理解的輸出等等。如果軟件是為多個用戶開發(fā)的產(chǎn)品，讓每個用戶逐個執(zhí)行正式的驗收測試是不切實際的。很多軟件產(chǎn)品生產(chǎn)者采用一種稱之為

a測試和β測試的測試方法，以發(fā)現(xiàn)可能只有最終用戶才能發(fā)現(xiàn)的錯誤。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計a測試是由一個用戶在開發(fā)環(huán)境下進(jìn)行的測試，也可以是公司內(nèi)部的用戶在模擬實際操作環(huán)境下進(jìn)行的測試。這是在受控制的環(huán)境下進(jìn)行的測試。a測試的目的是評價軟件產(chǎn)品的FURPS(即功能、可使用性、可靠性、性能和支持)。尤其注重產(chǎn)品的界面和特色。a測試人員是除開產(chǎn)品開發(fā)人員之外首先見到產(chǎn)品的人，他們提出的功能和修改意見是特別有價值的。a測試可以從軟件產(chǎn)品編碼結(jié)束之時開始，或在模塊(子系統(tǒng))測試完成之后開始，也可以在確認(rèn)測試過程中產(chǎn)品達(dá)到一定的穩(wěn)定和可靠程度之后再開始。有關(guān)的手冊(草稿)等應(yīng)事先準(zhǔn)備好。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計β測試是由軟件的多個用戶在一個或多個用戶的實際使用環(huán)境下進(jìn)行的測試。與a測試不同的是，開發(fā)者通常不在測試現(xiàn)場。因而，β測試是在開發(fā)者無法控制的環(huán)境下進(jìn)行的軟件現(xiàn)場應(yīng)用。在β測試中，由用戶記下遇到的所有問題，包括真實的以及主觀認(rèn)定的，定期向開發(fā)者報告，開發(fā)者在綜合用戶的報告之后，做出修改，最后將軟件產(chǎn)品交付給全體用戶使用。β測試著重于產(chǎn)品的支持性，包括文檔、客戶培訓(xùn)和支持產(chǎn)品生產(chǎn)能力。只有當(dāng)a測試達(dá)到一定的可靠程度時，才能開始β測試。由于它處在整個測試的最后階段，不能指望這時發(fā)現(xiàn)主要問題。同時，產(chǎn)品的所有手冊文本也應(yīng)該在此階段完全定稿。由于β測試的主要目標(biāo)是測試可支持性，所以β測試應(yīng)盡可能由主持產(chǎn)品發(fā)行的人員來管理。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計（3）軟件獲取過程的審計內(nèi)部審計人員的主要工作包括：﹡分析可行性研究的文件，判斷購買方案的決策是否適當(dāng)﹡審查RFP文件的要求（需求方案說明書Request

for

Proposal），保證它涵蓋了用戶的需求﹡判斷發(fā)給供應(yīng)商的文件，是否對供應(yīng)商的選擇有傾向性﹡在與供應(yīng)商簽訂合同之前，審查合同并確定沒有遺漏﹡保證合同在簽訂之前由法律顧問審查過SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計（4）詳細(xì)設(shè)計和編碼階段的審計內(nèi)部審計人員需要：﹡審查系統(tǒng)流程圖是否符合總體設(shè)計。確認(rèn)所有變更均事先與相關(guān)的用戶討論過并獲得其認(rèn)可，這些變更均經(jīng)適當(dāng)?shù)呐鷾?zhǔn)；﹡（抽查一部分程序，看是否遵循了標(biāo)準(zhǔn)，程序是否符合系統(tǒng)設(shè)計）﹡審查系統(tǒng)中所設(shè)計的輸入、處理及輸出控制是否適當(dāng)；﹡審查系統(tǒng)關(guān)鍵用戶是否理解系統(tǒng)如何操作，并定出他們在對屏幕格式及輸出報告上參與設(shè)計的等級；SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計﹡評估審計軌跡是否能夠充分跟蹤系統(tǒng)事務(wù)處理；﹡確認(rèn)關(guān)鍵計算及處理程序的正確性；﹡確認(rèn)系統(tǒng)能識別錯誤的數(shù)據(jù)并能夠適當(dāng)處理；﹡審查本階段所開發(fā)程序的質(zhì)保結(jié)果；﹡證實所有對程序錯誤所提出的修正建議被執(zhí)行，所建議的審計軌跡或嵌入式審計模塊已嵌入適當(dāng)?shù)某绦蛑?。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計﹡檢查用戶參與測試的證據(jù)，考慮重新運行關(guān)鍵測試﹡檢查錯誤報告，判斷報告對錯誤資料的識別及解釋能力﹡審查的周期性作業(yè)處理（如月末、年末的報表處理等）﹡審查系統(tǒng)和終端用戶文檔，判斷其完整性與正確性﹡詢問終端用戶，了解他們是否理解新方法、步驟和操作指令（5）測試階段的審計系統(tǒng)測試的工作量和成本占到整個開發(fā)工作的40％－50％。內(nèi)部審計人員對測試階段的審計必須全面投入內(nèi)部審計人員的主要任務(wù)SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計﹡審查系統(tǒng)和終端用戶文檔，判斷其完整性與正確性﹡審查并行測試結(jié)果的正確性﹡進(jìn)行訪問測試，判斷系統(tǒng)安全措施是否按設(shè)計要求有效執(zhí)行﹡檢查單元測試和系統(tǒng)測試計劃，判斷計劃是否完整，是否已包含內(nèi)部控制測試；﹡審核用戶接受測試以保證被接受的軟件已經(jīng)交付給實施團(tuán)隊，供應(yīng)商不應(yīng)該替換版本；﹡審查記錄的使用過程以及錯誤報告。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計實施階段的審計該階段只有在成功的測試過程結(jié)束之后才能進(jìn)行。系統(tǒng)必須按照組織的變更控制程序安裝。IS審計師必須確認(rèn):﹡審查用來為系統(tǒng)排程的程序及用來執(zhí)行日常作業(yè)排程的參數(shù)﹡審查所有系統(tǒng)文檔，判斷其完整性及在測試階段的更新均反應(yīng)在文檔中﹡在系統(tǒng)投入日常作業(yè)前確認(rèn)所有數(shù)據(jù)的轉(zhuǎn)換，保證其準(zhǔn)確性和完整性SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計實施后評審新系統(tǒng)在日常作業(yè)環(huán)境中穩(wěn)定下來之后，需要進(jìn)行實施后評審。在評審之前，重要的一點是有充分的時間在生產(chǎn)環(huán)境下使系統(tǒng)穩(wěn)定，這種方式可以使任何主要問題有一個機(jī)會浮現(xiàn)出來。﹡確定系統(tǒng)的目標(biāo)和需求是否已經(jīng)達(dá)到。在實施評審中，必須特別注意終端用戶的使用情況及對系統(tǒng)的總體滿意度，這些是系統(tǒng)目標(biāo)和需求是否已達(dá)到的指標(biāo)；﹡確定可行性研究中的成本收益是否已經(jīng)衡量、分析并報告給管理層；﹡審查已執(zhí)行的程序變更需求，評估系統(tǒng)變更的類型。從變更的

類型可以看出在設(shè)計、編程等方面的問題或進(jìn)一步理解用戶需求；SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計﹡審查系統(tǒng)內(nèi)建的控制機(jī)制，確定它們在按設(shè)計耍求運作。如果系統(tǒng)中已嵌入審計模塊，則使用該模塊去測試關(guān)鍵作業(yè)；﹡審查操作人員的錯誤日志，決定系統(tǒng)是否存在固有的操作或者資源問題。日志可指出在安裝前系統(tǒng)不適當(dāng)?shù)脑O(shè)計或測試程序；﹡審查輸入及輸出的余額并進(jìn)行報告，證實系統(tǒng)準(zhǔn)確地處理了數(shù)據(jù)；SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計3、IT服務(wù)的交付與支持審計操作系統(tǒng)審查調(diào)度審核問題管理報告審核數(shù)據(jù)庫審核硬件審查IT服務(wù)的交付與支持審計SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計（1）硬件審查硬件審查應(yīng)包括：﹡審查硬件的能力管理程序和性能評估程序﹡審查硬件獲取計劃、審查微機(jī)(或PC)獲取標(biāo)準(zhǔn)﹡審查變更管理控制。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計（2）操作系統(tǒng)審查操作系統(tǒng)審查方法包括：﹡會見技術(shù)服務(wù)和其他人員﹡審查系統(tǒng)軟件選擇程序、可行性研究和選擇流程﹡審查系統(tǒng)軟件程序的成本效益分析﹡審查對變更后系統(tǒng)軟件的安裝的控制﹡審查系統(tǒng)軟件維護(hù)活動、變更控制﹡特別審查系統(tǒng)文檔的安裝控制語句和參數(shù)表以及活動日志SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計（3）數(shù)據(jù)庫審核﹡設(shè)計----確認(rèn)存在數(shù)據(jù)庫模型；審核邏輯模式；審核物理模式。﹡訪問----對數(shù)據(jù)庫以及存儲過程、觸發(fā)器的重要訪問應(yīng)進(jìn)行分析。﹡管理----所有用戶的安全級別和角色應(yīng)在數(shù)據(jù)庫中加以標(biāo)識。所有用戶或用戶組的訪問權(quán)限應(yīng)有正當(dāng)?shù)睦碛?。﹡接口----驗證數(shù)據(jù)導(dǎo)入導(dǎo)出程序以保證數(shù)據(jù)的完整性和私密性。﹡可移植性----應(yīng)盡量使用結(jié)構(gòu)化查詢語言（SQL）。數(shù)據(jù)庫審核包括：SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計（4）問題管理報告審核在執(zhí)行問題管理報告的審計時，內(nèi)部審計人員應(yīng)保證己經(jīng)制定了符合管理層意圖和授權(quán)的充分的書面程序，以指導(dǎo)信息系統(tǒng)運行人員及時地記錄、分析、解決和上報問題。內(nèi)部審計人員應(yīng)執(zhí)行程序來保證問題管理機(jī)制正在得到適當(dāng)維護(hù)，并且重要問題得到了充分重視和及時解決：﹡審查性能記錄，確定問題是否在處理期間存在；﹡審查應(yīng)用程序處理延遲的原因，確定它們是否正當(dāng)；﹡確定IS運行部門標(biāo)出的所有問題均得到記錄，以便進(jìn)一步查證和定位；﹡審查問題報告系統(tǒng)生成的IS管理層報告，確認(rèn)這些報告經(jīng)過了管理層審查。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計（5）調(diào)度審核審計步驟：﹡獲得一個定期調(diào)度的應(yīng)用列表及相關(guān)信息。﹡審查控制臺日志，確定調(diào)度的作業(yè)是否按計劃完成。﹡審查調(diào)度安排，確定是否為每個應(yīng)用分配了處理優(yōu)先級。﹡確定急需/重新運行作業(yè)的調(diào)度是否和分配給它們的優(yōu)先級一致﹡確定是否已對關(guān)鍵應(yīng)用進(jìn)行了標(biāo)識。﹡保證日常作業(yè)計劃為計算機(jī)操作員的輪換規(guī)定了要完成的工作、程序運行的順序以及執(zhí)行低優(yōu)先級任務(wù)的時間等。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計4、信息資產(chǎn)安全審計（1）邏輯訪問審計內(nèi)部審計人員在評價邏輯訪問控制時，要著重注意以下各個方面：﹡通過審核相關(guān)文檔、詢問相關(guān)人員等方法，獲得對組織信息安全風(fēng)險的整體了解。﹡通過審核系統(tǒng)軟硬件的安全功能和識別系統(tǒng)中存在的缺陷，記錄和評價系統(tǒng)中已有訪問路徑的控制是否充分有效。﹡對訪問路徑的各種控制進(jìn)行測試，以判斷它們是否正常起作用。﹡通過分析測試結(jié)果和其他審計證據(jù)，評價訪問控制環(huán)境，以判斷其是否達(dá)到了控制目標(biāo)。﹡通過審核組織的書面政策，現(xiàn)場觀察安全實踐與程序，對比其他組織的安全標(biāo)準(zhǔn)與實踐等方法，來評價安全環(huán)境并評估其充分性。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計與系統(tǒng)人員會談為了管理及維護(hù)在計算機(jī)信息訪問過程中的各項軟硬件設(shè)施，組織需要精通各種設(shè)施的技術(shù)專家，這些專家是內(nèi)部審計人員了解安全管理過程的重要信息來源。通常這些技術(shù)專家包括安全管理員、網(wǎng)絡(luò)控制負(fù)責(zé)人、應(yīng)用系統(tǒng)開發(fā)負(fù)責(zé)人等。內(nèi)部審計人員應(yīng)當(dāng)與信息部門經(jīng)理會談，并檢查部門組織圖及相關(guān)人員工作職責(zé)。內(nèi)部審計人員應(yīng)當(dāng)選擇一些員工進(jìn)行面談，以評價員工對組織安全政策與程序的了解程度。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計審核訪問控制軟件的相關(guān)報告訪問控制軟件提供的記錄與報告可以幫助安全管理員有效監(jiān)控計算機(jī)使用情況，并判斷與組織安全政策的符合性情況。通過檢查這些記錄及報告，內(nèi)部審計人員可以評估是否存在足夠的數(shù)據(jù)，以支持對安全事件的調(diào)查，以及評估安全管理員日常是否對這些記錄及報告進(jìn)行了檢查。不成功的訪問企圖應(yīng)當(dāng)被系統(tǒng)記錄下來，記錄的內(nèi)容包括其時間、終端、登錄賬號，企圖訪問的文件和數(shù)據(jù)。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計審核應(yīng)用系統(tǒng)操作手冊應(yīng)用系統(tǒng)操作手冊是一種軟件使用指南，應(yīng)當(dāng)包括系統(tǒng)安裝、配置、使用等各方面的詳細(xì)說明，此文檔還應(yīng)當(dāng)包括支持此應(yīng)用系統(tǒng)正常運行所需的操作系統(tǒng)平臺、數(shù)據(jù)庫管理系統(tǒng)、編譯程序、解釋程序、通信監(jiān)控等相關(guān)信息。應(yīng)用系統(tǒng)應(yīng)當(dāng)具有完備的操作手冊，這是用戶正常使用軟件的基礎(chǔ)保證。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計對安全進(jìn)行測試終端識別卡及鑰匙的使用內(nèi)部審計人員選擇幾種終端設(shè)備識別卡及鑰匙作為樣本，測試試圖越過訪問權(quán)限的行為能否被計算機(jī)訪問控制系統(tǒng)所拒絕。內(nèi)部審計人員還應(yīng)了解安全管理員是否對非法訪問行為進(jìn)行必要的跟蹤調(diào)查。終端設(shè)備確認(rèn)內(nèi)部審計人員在網(wǎng)絡(luò)管理人員的協(xié)助下，取得終端設(shè)備地址及物理位置的清單，然后根據(jù)此清單盤點終端設(shè)備，以確認(rèn)所有終端都記錄在案。內(nèi)部審計人員還應(yīng)抽樣調(diào)查終端設(shè)備，確認(rèn)其在網(wǎng)絡(luò)上確實存在。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計登錄賬號和口令為了測試登錄口令的安全性，內(nèi)部審計人員應(yīng)試圖猜測一些員工登錄的口令，但應(yīng)謹(jǐn)慎行事，以免打擾員工。內(nèi)部審計人員應(yīng)巡視用戶和程序員的工作環(huán)境，觀察是否有人將口令貼在終端設(shè)備上、存放在抽屜中或記錄在卡片文件中；另一個需要檢查的地方就是辦公室的垃圾桶，看是否能找到口令或其他機(jī)密信息；內(nèi)部審計人員還可以測試使用社交工程的方法從員工那里獲得口令信息。一般來說，員工不允許隨意泄漏口令信息，除非得到管理層特殊授權(quán)或者組織安全政策許可。(哈氏急智)SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計（2）網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的安全審計1、審計遠(yuǎn)程訪問----內(nèi)部審計人員應(yīng)確定組織已為所有的遠(yuǎn)程訪問提供了控制措施；審核現(xiàn)有的遠(yuǎn)程訪問結(jié)構(gòu)；測試訪問控制。2、網(wǎng)絡(luò)穿透測試----內(nèi)部審計人員利用黑客技術(shù)，對組織的網(wǎng)絡(luò)進(jìn)行測試。3、網(wǎng)絡(luò)綜合評估----對整個網(wǎng)絡(luò)系統(tǒng)的漏洞進(jìn)行綜合性的審核，確保信息資產(chǎn)的機(jī)密性、完整性和可用性。4、對局域網(wǎng)的評估----對局域網(wǎng)絡(luò)環(huán)境及其訪問控制進(jìn)行評估，并對局域網(wǎng)環(huán)境下的主機(jī)操作系統(tǒng)和應(yīng)用系統(tǒng)的訪問控制進(jìn)行評估。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計五、業(yè)務(wù)持續(xù)計劃與災(zāi)難恢復(fù)審計保持業(yè)務(wù)持續(xù)運行最根本最終目標(biāo)恢復(fù)關(guān)鍵應(yīng)用的數(shù)據(jù)和制定、應(yīng)用災(zāi)難恢復(fù)計劃，保護(hù)過程中的人員、處理過程以及信息處理場所使業(yè)務(wù)操作持續(xù)運行，保持在任何情形下可以持續(xù)運行的能力。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計（一）數(shù)據(jù)備份備份是一種數(shù)據(jù)安全策略，通過備份軟件把數(shù)據(jù)備份到磁帶上，在原始數(shù)據(jù)丟失或遭到破壞的情況下，利用備份數(shù)據(jù)把原始數(shù)據(jù)恢復(fù)出來，使系統(tǒng)能夠正常工作。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計備份策略備份策略主要包括全備份、差分備份、增量備份、備份介質(zhì)輪換。全備份是將系統(tǒng)中所有的數(shù)據(jù)信息全部備份，增量備份是只備份上次備份后系統(tǒng)中變化過的數(shù)據(jù)信息，差分備份則只備份上次完全備份以后變化過的數(shù)據(jù)信息，備份介質(zhì)輪換是輪流使用備份介質(zhì)的策略，好的輪換策略能夠避免備份介質(zhì)被過于頻繁地使用、以提高備份介質(zhì)的壽命。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計備份方式備份方式的選擇可以分為3種方式：硬件備份、軟件備份和人工備份。硬件備份指用冗余的硬件來保證系統(tǒng)的連續(xù)運行，比如磁盤鏡像等方式。軟件備份是指將系統(tǒng)數(shù)據(jù)保存到其他介質(zhì)上，當(dāng)出現(xiàn)錯誤時可以將系統(tǒng)恢復(fù)到備份時的狀態(tài)。由于這種備份是由軟件來完成的，所以稱為軟件備份。人工級的備份最為原始，也最簡單和有效。但用手工方式從頭恢復(fù)所有數(shù)據(jù)，耗費的時間過長。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計備份場所備份解決方案必須確定另一個備份場所，也就是備份中心。備份中心必須滿足以下條件：具備與生產(chǎn)中心相似的網(wǎng)絡(luò)和通信設(shè)置；具備業(yè)務(wù)應(yīng)用運行的基本系統(tǒng)配置；具備穩(wěn)定、高效的通訊線路連接中心，例如光纖等，確保數(shù)據(jù)的實時備份；具備日常維護(hù)條件；與生產(chǎn)中心相距足夠安全的距離；備份中心應(yīng)避免與生產(chǎn)中心遭受同樣的災(zāi)難。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計（二）災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)性計劃（BCP）災(zāi)難恢復(fù)與業(yè)務(wù)連續(xù)性計劃(BCP)是組織為避免關(guān)鍵業(yè)務(wù)功能中

斷，減少業(yè)務(wù)風(fēng)險而建立的一個控制過程，它包括了對支持組織關(guān)鍵功能的人力、物力需求和關(guān)鍵功能所需的最小級別服務(wù)水平的連續(xù)性保證。BCP關(guān)注的是組織日常風(fēng)險管理程序所不能完全消除的剩余風(fēng)險，BCP的目標(biāo)就是要把組織的剩余風(fēng)險和因意外事件產(chǎn)生的風(fēng)險降到組織可接受的程度。

BCP應(yīng)當(dāng)主要是組織最高管理層的職責(zé)，因為最高管理層對組織的資產(chǎn)和生存負(fù)有最高責(zé)任。BCP制定與推行后，最高管理層還敦促組織中的各個部門在進(jìn)行業(yè)務(wù)恢復(fù)時，都要嚴(yán)格遵照BCP的要求。BCP的制定應(yīng)當(dāng)涵蓋組織為生存和達(dá)成業(yè)務(wù)目標(biāo)所需的重要業(yè)務(wù)功能與資產(chǎn)，通過建立規(guī)范的BCP程序來最小化業(yè)務(wù)中斷的風(fēng)險，以實現(xiàn)組織的持續(xù)發(fā)展。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計全自動恢復(fù)系統(tǒng)它配合區(qū)域集群等高可靠性軟件可在災(zāi)害發(fā)生時自動實現(xiàn)：生產(chǎn)中心的應(yīng)用切換到遠(yuǎn)程的災(zāi)難備份中心，并把生產(chǎn)中心的數(shù)據(jù)切換到遠(yuǎn)程的災(zāi)難恢復(fù)站點。并且它在生產(chǎn)中心修復(fù)后，把在災(zāi)難恢復(fù)站點運行的應(yīng)用，返回給生產(chǎn)中心，操作非常簡單。在災(zāi)害發(fā)生時，全自動恢復(fù)系統(tǒng)可達(dá)到不中斷響應(yīng)的切換，很好地保證了重要業(yè)務(wù)應(yīng)用的持續(xù)性。這種方法大大地減少了系統(tǒng)管理員在災(zāi)害發(fā)生后的工作量，但是—些次要因素，如服務(wù)器死機(jī)、通信聯(lián)絡(luò)中斷等，也隨時有可能引發(fā)主生產(chǎn)系統(tǒng)切換到災(zāi)難恢復(fù)站點的操作。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計手動恢復(fù)系統(tǒng)在這種應(yīng)用中，如果生產(chǎn)中心全部被破壞掉，在災(zāi)難恢復(fù)站點利用手動方法把應(yīng)用加載到服務(wù)器上，并且手動完成將生產(chǎn)中心的數(shù)據(jù)切換到遠(yuǎn)程的災(zāi)難恢復(fù)站點的操作，以繼續(xù)開展業(yè)務(wù)處理。在這種方法下，整個系統(tǒng)的安全性非常好，不會因為服務(wù)