IT審計(jì)的組織與實(shí)施(培訓(xùn))

IT審計(jì)的組織與實(shí)施劉濟(jì)平中國光大〔集團(tuán)〕總公司審計(jì)部副主任注冊信息系統(tǒng)審計(jì)師〔CISA〕、注冊內(nèi)部審計(jì)師〔CIA〕、高級審計(jì)師經(jīng)濟(jì)學(xué)碩士〔南開大學(xué)西方會計(jì)與審計(jì)專業(yè)〕、理學(xué)碩士〔英國Strathclyde大學(xué)商務(wù)信息技術(shù)系統(tǒng)專業(yè)〕E-mail:liujp@bj.ebchina1整理ppt內(nèi)容安排內(nèi)部審計(jì)及其分類信息系統(tǒng)審計(jì)—從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)根底審計(jì)的角度理解信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)信息系統(tǒng)審計(jì)方法IT核心流程和審計(jì)方法問題討論案例分析2整理ppt內(nèi)部審計(jì)及其分類內(nèi)部審計(jì)內(nèi)部審計(jì)分類業(yè)務(wù)審計(jì)〔OperationsAudit〕信息系統(tǒng)審計(jì)(InformationSystemsAudit)或IT審計(jì)3整理ppt內(nèi)部審計(jì)及其分類業(yè)務(wù)審計(jì)與IT審計(jì)的關(guān)系自動應(yīng)用控制應(yīng)用控制帳號管理/邏輯控制一般應(yīng)用控制電子數(shù)據(jù)表和局部數(shù)據(jù)庫程序員平安在業(yè)務(wù)用戶層面上的變更管理業(yè)務(wù)持續(xù)方案〔BCP〕根底架構(gòu)一般應(yīng)用控制變更和配置管理網(wǎng)絡(luò)平安管理計(jì)算機(jī)操作系統(tǒng)開發(fā)生命周期〔SDLC〕共享數(shù)據(jù)庫機(jī)房業(yè)務(wù)審計(jì)IT審計(jì)4整理ppt信息系統(tǒng)審計(jì)

—從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)根底審計(jì)的角度理解一個(gè)目標(biāo)兩種風(fēng)險(xiǎn)三項(xiàng)評價(jià)四類測試5整理ppt信息系統(tǒng)審計(jì)

—從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)根底審計(jì)的角度理解一個(gè)目標(biāo)將IT相關(guān)的風(fēng)險(xiǎn)控制在可接受的水平風(fēng)險(xiǎn)是事件的不確定性，這個(gè)事件對目標(biāo)的實(shí)現(xiàn)具有影響。風(fēng)險(xiǎn)是不希望發(fā)生事情的可能性。對待風(fēng)險(xiǎn)的四種策略：拒絕、接受、轉(zhuǎn)移、緩釋〔控制〕風(fēng)險(xiǎn)機(jī)會6整理ppt信息系統(tǒng)審計(jì)

—從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)根底審計(jì)的角度理解兩種風(fēng)險(xiǎn)戰(zhàn)略風(fēng)險(xiǎn)失去競爭優(yōu)勢信息系統(tǒng)工程失敗災(zāi)難導(dǎo)致長期不能提供效勞……操作風(fēng)險(xiǎn)變更管理文檔不完整密碼政策不恰當(dāng)未激活Oracle審計(jì)軌跡設(shè)置……7整理ppt信息系統(tǒng)審計(jì)

—從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)根底審計(jì)的角度理解三項(xiàng)評價(jià)評價(jià)信息系統(tǒng)工程評價(jià)業(yè)務(wù)流程中的IT控制評價(jià)信息平安8整理ppt信息系統(tǒng)審計(jì)

—從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)根底審計(jì)的角度理解四類測試IT控制環(huán)境測試物理控制測試邏輯控制測試IS操作控制測試9整理ppt信息系統(tǒng)審計(jì)

—從風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)根底審計(jì)的角度理解將IT相關(guān)風(fēng)險(xiǎn)控制在可接受水平戰(zhàn)略風(fēng)險(xiǎn)操作風(fēng)險(xiǎn)評價(jià)IT工程評價(jià)業(yè)務(wù)流程中的IT控制評價(jià)信息平安測試IT控制環(huán)境測試物理控制測試邏輯控制測試IS操作控制一個(gè)目標(biāo)兩種風(fēng)險(xiǎn)三項(xiàng)評價(jià)四類測試10整理ppt信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)ITIL(ITInfrastructureLibrary)BS7799COBIT(ControlObjectivesforInformationandRelatedTechnology)11整理ppt信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)—ITILIT效勞管理IT效勞管理〔ITSM〕：一種以流程為導(dǎo)向，以客戶為中心的方法，它通過整合IT效勞與組織業(yè)務(wù)，提高組織IT效勞提供和效勞支持的能力和水平。ITIL〔ITInfrastructureLibrary,IT根底架構(gòu)庫〕，最初由英國商務(wù)部〔OGC〕80年代組織開發(fā)，是ITSM領(lǐng)域在歐洲的事實(shí)標(biāo)準(zhǔn)。2001年成為英國標(biāo)準(zhǔn)BS1500012整理ppt信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)—ITILITIL整體框架效勞提供包括5個(gè)核心流程：效勞級別管理、能力管理、可用性管理、持續(xù)性管理、財(cái)務(wù)管理。效勞支持包括5個(gè)核心流程：配置管理、發(fā)布管理、變更管理、事故管理、問題管理、效勞臺職能。技術(shù)業(yè)務(wù)應(yīng)用管理IT服務(wù)管理實(shí)施規(guī)劃業(yè)務(wù)視角服務(wù)管理ICT基礎(chǔ)架構(gòu)管理安全管理服務(wù)支持服務(wù)提供資料來源：OGC,200213整理ppt信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)—BS7799信息平安管理：指一個(gè)組織的政策、實(shí)務(wù)、程序、組織結(jié)構(gòu)和軟件功能，用以保護(hù)信息，確保信息免受非授權(quán)訪問、修改或意外變更，并且在經(jīng)授權(quán)用戶需要時(shí)可用。保密性(Confidentiality)資料來源：Pfleeger,1997完整性(Integrity)可用性(Availability)14整理ppt信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)—BS7799信息平安管理體系〔ISMS〕BS7799：最早由英國貿(mào)易和工業(yè)部于1993年組織開發(fā)，1995年成為英國國家標(biāo)準(zhǔn)，由兩局部組成，目前最新版本為：BS7799-1：1999?信息平安管理實(shí)施規(guī)那么?BS7799-2：2002?信息平安管理體系標(biāo)準(zhǔn)?BS7799-1于2000年被批準(zhǔn)為國際標(biāo)準(zhǔn)ISO/IEC17799：2000?信息技術(shù)：信息平安管理實(shí)施規(guī)那么?。15整理ppt信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)—BS7799信息平安管理體系〔ISMS〕BS7799-1將信息平安管理分為10類控制，成為組織實(shí)施信息平安管理的實(shí)用指南。通訊和運(yùn)行管理訪問控制系統(tǒng)開發(fā)和維護(hù)業(yè)務(wù)持續(xù)管理合規(guī)信息平安政策平安組織資產(chǎn)分類和控制人員控制物理和環(huán)境平安16整理ppt信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)—BS7799BS7799-2提供的信息平安管理框架制定政策確定ISMS的范圍實(shí)施風(fēng)險(xiǎn)評價(jià)管理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制制定應(yīng)用說明政策文件ISMS范圍風(fēng)險(xiǎn)評價(jià)選擇的控制選項(xiàng)應(yīng)用說明結(jié)果和結(jié)論選擇的控制目標(biāo)和控制威脅、弱點(diǎn)、影響風(fēng)險(xiǎn)管理方法需要的保證程度ISMS需要的控制目標(biāo)和控制BS7799以外的控制第一步第二步第三步第四步第五步第六步資料來源：BSI，199917整理ppt信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)-COBITIT治理信息平安和控制實(shí)務(wù)普遍接受的標(biāo)準(zhǔn)主要目的是為企業(yè)治理提供清晰的政策和最正確實(shí)務(wù)以信息系統(tǒng)審計(jì)與控制基金會(ISACF)的控制目標(biāo)為根底，由ISACA及其下屬的“IT治理研究院〞開發(fā)。1996年第一版，2000年第三版，2006年第四版。18整理ppt信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)-COBIT由34個(gè)IT控制目標(biāo)組成，分為四個(gè)方面:規(guī)劃和組織獲得與實(shí)施交付與支持監(jiān)控19整理ppt信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)-COBITCOBIT的34個(gè)控制目標(biāo)交付和支持IT資源信息監(jiān)控獲得與實(shí)施規(guī)劃和組織-效果性-效率性-保密性-完整性-可用性-合規(guī)性-可靠性-人-應(yīng)用系統(tǒng)-技術(shù)-設(shè)備-數(shù)據(jù)確定自動化方案獲取并維護(hù)應(yīng)用程序軟件獲取并維護(hù)技術(shù)根底設(shè)施程序開發(fā)與維護(hù)系統(tǒng)安裝與鑒定變更管理定義IT戰(zhàn)略規(guī)劃定義信息體系結(jié)構(gòu)確定技術(shù)方向定義IT組織和關(guān)系管理IT投資傳達(dá)管理目標(biāo)和方向人力資源管理確保遵循外部要求風(fēng)險(xiǎn)評估工程管理質(zhì)量管理定義并管理效勞水平管理第三方的效勞管理性能與容量確保效勞的連續(xù)性確保系統(tǒng)平安確定并分配本錢教育并培訓(xùn)用戶協(xié)助和咨詢客戶配置管理處理問題和突發(fā)事件數(shù)據(jù)管理設(shè)施管理運(yùn)行管理過程監(jiān)控評價(jià)內(nèi)部控制的適當(dāng)性獲取獨(dú)立鑒證提供獨(dú)立的審計(jì)COBIT企業(yè)目標(biāo)IT治理資料來源：ITGovernanceInstitute,200020整理ppt信息系統(tǒng)審計(jì)方法年度風(fēng)險(xiǎn)評估和方案問題追蹤和后續(xù)審計(jì)審計(jì)評價(jià)審計(jì)報(bào)告審計(jì)方案控制評價(jià)風(fēng)險(xiǎn)評估審計(jì)方案和測試年度風(fēng)險(xiǎn)評估和方案問題追蹤和后續(xù)審計(jì)審計(jì)評價(jià)審計(jì)報(bào)告審計(jì)方案控制評價(jià)風(fēng)險(xiǎn)評估審計(jì)方案和測試21整理ppt內(nèi)部審計(jì)方法

年度風(fēng)險(xiǎn)評估和方案實(shí)施年度風(fēng)險(xiǎn)評估識別下一年度的審計(jì)領(lǐng)域.制定年度審計(jì)方案22整理ppt年度風(fēng)險(xiǎn)評估:

風(fēng)險(xiǎn)評估按照可審計(jì)業(yè)務(wù)單元進(jìn)行每年實(shí)施一次考慮因素業(yè)務(wù)/財(cái)務(wù)影響外部環(huán)境：如規(guī)章制度、市場、技術(shù)容易出現(xiàn)欺詐舞弊計(jì)算機(jī)環(huán)境上一次審計(jì)結(jié)果及時(shí)間與管理層討論〔分公司、子公司和總公司〕23整理ppt年度風(fēng)險(xiǎn)評估:

風(fēng)險(xiǎn)分級和審計(jì)頻率非常高(一年或少于一年審計(jì)一次)高(每一至兩年審計(jì)一次)中(每三到四年審計(jì)一次)低(每五年審計(jì)一次或不審計(jì))24整理ppt年度風(fēng)險(xiǎn)評估:

舉例可審計(jì)單元

業(yè)務(wù)因素(50)風(fēng)險(xiǎn)因素(25)控制環(huán)境(25)總分排序風(fēng)險(xiǎn)水平風(fēng)險(xiǎn)影響(20)財(cái)務(wù)影響(15)合規(guī)影響(10)未來成功影響(5)容易舞弊(6)滿足目標(biāo)的壓力(3)計(jì)算機(jī)環(huán)境(6)復(fù)雜程度(6)變更(4)內(nèi)部控制(12)管理層(8)前次審計(jì)(5)物理和邏輯安全1512654.5264.53612674高操作和第三方服務(wù)提供商的管理1012454.5336331256.516中災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃1012251.524.54.5331553.520中應(yīng)用設(shè)計(jì)和配置109251.5336331551.523中25整理ppt年度審計(jì)方案:

舉例某公司2005年內(nèi)部審計(jì)方案

一、制定方案的方法本方案是根據(jù)公司規(guī)定的年度風(fēng)險(xiǎn)評估方法加以制定的。在制定過程中，我們考慮了公司管理層的要求，以及公司其他股東的年度審計(jì)方案。

二、影響方案制定的主要因素1、中國區(qū)業(yè)務(wù)的快速開展2、與其他股東在內(nèi)部審計(jì)方面的良好合作3、三、審計(jì)范圍

風(fēng)險(xiǎn)領(lǐng)域?qū)徲?jì)項(xiàng)目信息技術(shù)

技術(shù)基礎(chǔ)架構(gòu)項(xiàng)目管理業(yè)務(wù)持續(xù)計(jì)劃（BCP）

四、審計(jì)工程描述五、審計(jì)時(shí)間預(yù)算26整理ppt信息系統(tǒng)審計(jì)方法

方案審計(jì)任務(wù)備忘錄(審計(jì)通知書)審計(jì)目的和范圍審計(jì)方法審計(jì)人員被審計(jì)單位人員審計(jì)時(shí)間安排問題溝通和行動方案審計(jì)標(biāo)準(zhǔn)審計(jì)效果評價(jià)27整理ppt方案：

舉例某公司一般IT控制審計(jì)備忘錄

審計(jì)范圍和目的：本次審計(jì)的目的是，通過審計(jì)，評價(jià)以下領(lǐng)域控制的效果。

IT規(guī)劃和組織系統(tǒng)開發(fā)和獲得變更管理數(shù)據(jù)管理信息平安網(wǎng)絡(luò)管理計(jì)算機(jī)操作物理平安和設(shè)備管理業(yè)務(wù)持續(xù)方案

審計(jì)方法：本次審計(jì)是按照風(fēng)險(xiǎn)根底審計(jì)的方法進(jìn)行的，我們將對上述領(lǐng)域的風(fēng)險(xiǎn)進(jìn)行評估，然后對中高風(fēng)險(xiǎn)領(lǐng)域進(jìn)行控制測試。在審計(jì)中，我們主要采取如下方法：檢查有關(guān)規(guī)章制度、程序和標(biāo)準(zhǔn)；檢查有關(guān)規(guī)劃和操作文件和報(bào)告〔如IT規(guī)劃、工程文檔、總是日志、BCP等〕；IT實(shí)地觀察；與管理層和有關(guān)員工面談。

審計(jì)組成員：

審計(jì)時(shí)間：

審計(jì)標(biāo)準(zhǔn)：我們將按照國際內(nèi)部審計(jì)師協(xié)會〔IIA〕和國際信息系統(tǒng)審計(jì)與控制協(xié)會〔ISACA〕制定的有關(guān)標(biāo)準(zhǔn)進(jìn)行審計(jì)。由于我們是通過抽樣進(jìn)行測試，因此我們的審計(jì)并不能絕對保證發(fā)現(xiàn)所有的錯(cuò)誤和違規(guī)問題。

審計(jì)績效評價(jià)：審計(jì)結(jié)束時(shí)，我們將向員工發(fā)送問券調(diào)查，以評價(jià)審計(jì)工作是否有效和到達(dá)目的。28整理ppt信息系統(tǒng)審計(jì)方法

風(fēng)險(xiǎn)評估識別業(yè)務(wù)流程的具體風(fēng)險(xiǎn)風(fēng)險(xiǎn)矩陣具體風(fēng)險(xiǎn)業(yè)務(wù)影響可能性評價(jià)(高/中/低)影響評價(jià)(低/中/顯著/非常顯著)風(fēng)險(xiǎn)(高/中/低)29整理ppt風(fēng)險(xiǎn)評估:

舉例具體風(fēng)險(xiǎn)業(yè)務(wù)影響可能性評價(jià)影響評價(jià)風(fēng)險(xiǎn)說明控制評價(jià)審計(jì)方案IT戰(zhàn)略規(guī)劃與企業(yè)目標(biāo)不致IT戰(zhàn)略規(guī)劃不支持企業(yè)業(yè)務(wù)目標(biāo)實(shí)現(xiàn)資金用途沒有最大化.

中等非常高高有業(yè)務(wù)規(guī)劃IT管理層了解業(yè)務(wù)規(guī)劃IT管理層參與業(yè)務(wù)規(guī)化制定IT管理層在制定IT戰(zhàn)略規(guī)劃時(shí)考慮業(yè)務(wù)規(guī)劃LinkLink業(yè)務(wù)流程總體評價(jià)流程:IT規(guī)劃與組織30整理ppt信息系統(tǒng)審計(jì)方法

控制評價(jià)記錄需要控制風(fēng)險(xiǎn)的主要內(nèi)部控制.控制評價(jià)矩陣具體風(fēng)險(xiǎn)需要的控制控制類型(預(yù)防/發(fā)現(xiàn)/改正)31整理ppt控制評價(jià):

舉例風(fēng)險(xiǎn)控制控制類型

(P,D,C)審計(jì)方案索引IT戰(zhàn)略規(guī)劃與企業(yè)目標(biāo)不一致企業(yè)IT投資以堅(jiān)實(shí)的業(yè)務(wù)案例為依據(jù)PLink對控制設(shè)計(jì)的結(jié)論流程:IT規(guī)劃與組織32整理ppt信息系統(tǒng)審計(jì)方法

審計(jì)方案和測試制定審計(jì)方案需要測試的控制審計(jì)程序測試主要控制的有效性記錄測試結(jié)果33整理ppt審計(jì)方案和測試:

舉例風(fēng)險(xiǎn)/測試的控制審計(jì)程序工作底稿索引審計(jì)人員1-3與以下人員面談CEOCOOCFOIT部門負(fù)責(zé)人IT指導(dǎo)委員會成員分管IT的高管人力資源部取得并檢查下列文件IT規(guī)劃的規(guī)章制度高管在指導(dǎo)委員會的職責(zé)企業(yè)戰(zhàn)略目標(biāo)，長期、短期計(jì)劃IT指導(dǎo)委員會會議記要評價(jià)和測試內(nèi)容規(guī)劃是否包括以下內(nèi)容企業(yè)的目標(biāo)IT是否支持企業(yè)目標(biāo)對IT項(xiàng)目是否經(jīng)風(fēng)險(xiǎn)評價(jià)IT項(xiàng)目是否根據(jù)企業(yè)目標(biāo)的改變而調(diào)整流程:IT規(guī)劃與組織34整理ppt信息系統(tǒng)審計(jì)方法

溝通和報(bào)告發(fā)出審計(jì)發(fā)現(xiàn)清單與被審計(jì)單位管理層交換意見起草審計(jì)報(bào)告舉行結(jié)束會議發(fā)布最終審計(jì)報(bào)告摘要詳細(xì)審計(jì)發(fā)現(xiàn)和審計(jì)建議35整理ppt信息系統(tǒng)審計(jì)方法

績效評價(jià)被審計(jì)單位調(diào)查問卷審計(jì)結(jié)束時(shí)發(fā)出調(diào)查問題:審計(jì)目的是否表述清楚?審計(jì)人員對被審計(jì)單位人員是否謙和禮貌?審計(jì)發(fā)現(xiàn)是否準(zhǔn)確?對你是否有用?36整理ppt信息系統(tǒng)審計(jì)方法

問題追蹤和后續(xù)審計(jì)對重要審計(jì)建議進(jìn)行季度監(jiān)控.內(nèi)部審計(jì)季度檢查報(bào)告控制報(bào)告37整理pptIT核心流程和審計(jì)方法規(guī)劃和組織系統(tǒng)開發(fā)變更/問題管理數(shù)據(jù)管理計(jì)算機(jī)操作運(yùn)行物理平安/設(shè)備管理業(yè)務(wù)持續(xù)方案(BCP)信息平安網(wǎng)絡(luò)管理應(yīng)用處理38整理pptIT流程:

規(guī)劃和組織公司如何管理IT.相關(guān)風(fēng)險(xiǎn)IT規(guī)劃與業(yè)務(wù)規(guī)劃不一致不現(xiàn)實(shí)的戰(zhàn)略規(guī)劃IT本錢超支存在不相容的職能組織不好的IT職能39整理ppt審計(jì)方法:

規(guī)劃和組織審計(jì)范圍組織結(jié)構(gòu)規(guī)劃過程(戰(zhàn)略,戰(zhàn)術(shù))預(yù)算和本錢控制效勞級別協(xié)議(SLAs)培訓(xùn)和資源保障溝通過程40整理ppt審計(jì)方法:

規(guī)劃和組織訪談對象首席執(zhí)行官〔CEO〕/首席營運(yùn)官〔COO〕首席財(cái)務(wù)官〔CFO〕首席信息官〔CIO〕IT指導(dǎo)委員會成員IT高級管理層用戶管理層41整理ppt審計(jì)方法:

規(guī)劃和組織檢查內(nèi)容:IT組織機(jī)構(gòu)圖IT部門章程/權(quán)限IT規(guī)劃(戰(zhàn)略,戰(zhàn)術(shù))業(yè)務(wù)規(guī)劃IT指導(dǎo)委員會會議紀(jì)要政策、程序和標(biāo)準(zhǔn)效勞級別協(xié)議(SLAs)培訓(xùn)方案職位描述42整理pptIT流程:

系統(tǒng)開發(fā)信息系統(tǒng)是如何開發(fā)的，以支持企業(yè)運(yùn)營.相關(guān)風(fēng)險(xiǎn)未滿足業(yè)務(wù)需求有瑕疵的業(yè)務(wù)案例延期實(shí)施范圍不確定〔軟件基線〕43整理ppt審計(jì)方法:

系統(tǒng)開發(fā)審計(jì)范圍工程所有者需求的提出和控制 工程管理開發(fā)和測試數(shù)據(jù)轉(zhuǎn)換控制后實(shí)施44整理ppt審計(jì)方法:

系統(tǒng)開發(fā)訪談對象:CIOIT指導(dǎo)委員會成員工程指導(dǎo)委員會成員工程所有者工程經(jīng)理45整理ppt審計(jì)方法:

系統(tǒng)開發(fā)檢查內(nèi)容:IT規(guī)劃系統(tǒng)開發(fā)方法與硬件/軟件采購相關(guān)的政策和程序工程文檔(如：需求定義，可行性分析)與軟件采購、開發(fā)和維護(hù)相關(guān)的合同46整理pptIT流程:

變更管理IT變更是如何管理的，以確保完整性相關(guān)風(fēng)險(xiǎn)非授權(quán)的變更請求未測試的變更非授權(quán)的變更實(shí)施47整理ppt審計(jì)方法:

變更管理審計(jì)范圍所有者需求的提出和控制變更控制文檔和過程軟件發(fā)布政策48整理ppt年度審計(jì)方案:

考慮的因素和批準(zhǔn)考慮的因素風(fēng)險(xiǎn)高的可審計(jì)單元管理層的要求公司風(fēng)險(xiǎn)管理委員會和審計(jì)委員會的指導(dǎo)外部審計(jì)年度審計(jì)方案批準(zhǔn)第一層次:副總裁&總審計(jì)師〔管理層〕第二層次:審計(jì)委員會〔董事會〕49整理ppt審計(jì)方法:

變更管理訪談對象CIOIT高級管理層應(yīng)用開發(fā)經(jīng)理質(zhì)量鑒定經(jīng)理IT運(yùn)行經(jīng)理50整理ppt審計(jì)方法:

變更管理檢查內(nèi)容:系統(tǒng)開發(fā)方法變更控制政策和程序變更需求表51整理pptIT流程:

數(shù)據(jù)管理數(shù)據(jù)是如何管理的，以確保完整和可用.相關(guān)風(fēng)險(xiǎn)數(shù)據(jù)不準(zhǔn)確、過時(shí)或被破壞數(shù)據(jù)不可恢復(fù)數(shù)據(jù)的不適當(dāng)訪問52整理ppt審計(jì)方法:

數(shù)據(jù)管理審計(jì)范圍數(shù)據(jù)所有者組織結(jié)構(gòu)方案和開發(fā)系統(tǒng)管理平安備份/恢復(fù)53整理ppt審計(jì)方法:

數(shù)據(jù)管理訪談對象:IT高級管理層信息平安官員系統(tǒng)開發(fā)經(jīng)理數(shù)據(jù)庫存管理員數(shù)據(jù)所有者54整理ppt審計(jì)方法:

數(shù)據(jù)管理檢查內(nèi)容:數(shù)據(jù)所有關(guān)系結(jié)構(gòu)數(shù)據(jù)模型與以下內(nèi)容相關(guān)的政策和程序:數(shù)據(jù)輸入授權(quán)數(shù)據(jù)處理輸出的分發(fā)數(shù)據(jù)庫維護(hù)和平安庫管理55整理pptIT流程:

計(jì)算機(jī)操作運(yùn)行如何管理計(jì)算設(shè)備，以提供持續(xù)效勞.相關(guān)風(fēng)險(xiǎn)處理延遲重新運(yùn)行頻繁問題無法解決56整理ppt審計(jì)方法:

計(jì)算機(jī)操作運(yùn)行審計(jì)范圍組織結(jié)構(gòu)時(shí)間安排媒介控制備份/重新啟動/恢復(fù)容量規(guī)劃57整理ppt審計(jì)方法:

計(jì)算機(jī)操作運(yùn)行訪談對象:IT高級管理層IT運(yùn)行經(jīng)理數(shù)據(jù)中心主管58整理ppt審計(jì)方法:

計(jì)算機(jī)操作運(yùn)行檢查的文件：組織結(jié)構(gòu)圖部門方案職位描述效勞級別協(xié)議(SLAs)與計(jì)算機(jī)處理相關(guān)的政策和程序工作安排人員備份/恢復(fù)問題管理磁帶管理59整理pptIT流程:

物理平安/設(shè)備管理相關(guān)風(fēng)險(xiǎn)非授權(quán)訪問、使用公司資產(chǎn)或信息偷竊、損壞或毀損數(shù)據(jù)或設(shè)備不平安的工作環(huán)境60整理ppt審計(jì)方法:

物理平安/設(shè)備管理審計(jì)范圍訪問控制環(huán)境災(zāi)難火災(zāi)控制電力供給員工平安應(yīng)急程序維護(hù)61整理ppt審計(jì)方法:

物理平安/設(shè)備管理訪談對象:IT高級管理層IT設(shè)備經(jīng)理信息平安官運(yùn)行/數(shù)據(jù)中心經(jīng)理62整理ppt審計(jì)方法:

物理平安/設(shè)備管理檢查內(nèi)容:數(shù)據(jù)中心樓層方案/分布IT用房的視查可接觸IT設(shè)備人員清單與物理平安、人員健康和平安、環(huán)境危害防護(hù)相關(guān)的政策和程序63整理pptIT流程:

業(yè)務(wù)持續(xù)方案〔BCP〕如何確保持續(xù)的IT效勞、當(dāng)需要時(shí)可得到，以及在出現(xiàn)重大中斷時(shí)對業(yè)務(wù)影響最小.相關(guān)風(fēng)險(xiǎn)無法按照方案恢復(fù)關(guān)鍵業(yè)務(wù)功能沒有足夠的資源完成或?qū)嵤┓桨高^時(shí)和未測試的業(yè)務(wù)持續(xù)方案第三方供貨商的支持不充分64整理ppt審計(jì)方法:

業(yè)務(wù)持續(xù)方案〔BCP〕審計(jì)范圍所有者業(yè)務(wù)影響評估恢復(fù)策略與業(yè)務(wù)的聯(lián)系維護(hù)測試65整理ppt審計(jì)方法:

業(yè)務(wù)持續(xù)方案〔BCP〕訪談對象:CIOIT高級管理層IT運(yùn)行經(jīng)理信息平安官用戶管理層業(yè)務(wù)持續(xù)方案〔BCP〕/災(zāi)難恢復(fù)方案〔DRP〕小組災(zāi)難恢復(fù)地經(jīng)理66整理ppt審計(jì)方法:

業(yè)務(wù)持續(xù)方案〔BCP〕檢查內(nèi)容:BCP手冊BCP/DRP測試結(jié)果供貨商/維護(hù)合同業(yè)務(wù)中斷保單與持續(xù)方案過程相關(guān)的政策和程序67整理pptIT流程:

信息平安信息是如何保護(hù)的，以確保其完整、保密和可用.相關(guān)風(fēng)險(xiǎn)非授權(quán)訪問信息〔內(nèi)部和外部〕有意泄露信息68整理ppt審計(jì)方法:

信息平安審計(jì)范圍政策和程序數(shù)據(jù)分級用戶添加、維護(hù)和刪除監(jiān)控密碼方案訪問級別平安環(huán)境69整理ppt審計(jì)方法:

信息平安訪談對象:IT高級管理層信息平安官員應(yīng)用開發(fā)經(jīng)理數(shù)據(jù)管理員70整理ppt審計(jì)方法:

信息平安檢查內(nèi)容信息平安政策和程序了解訪問控制軟件違反平安的報(bào)告IT資源訪問點(diǎn)(物理的/邏輯的)的設(shè)計(jì)安排具有訪問系統(tǒng)資源權(quán)限的雇員、供貨商、效勞提供商的人員名單71整理pptIT流程:

網(wǎng)絡(luò)管理如何管理網(wǎng)絡(luò)，以確保其平安、高效運(yùn)行和可用.相關(guān)風(fēng)險(xiǎn)網(wǎng)絡(luò)低效率網(wǎng)絡(luò)無法恢復(fù)網(wǎng)絡(luò)問題無法解決72整理ppt審計(jì)方法:

網(wǎng)絡(luò)管理審計(jì)范圍所有者組織結(jié)構(gòu)規(guī)劃和開發(fā)政策和程序網(wǎng)絡(luò)平安和管理恢復(fù)/重新啟動73整理ppt審計(jì)方法:

網(wǎng)絡(luò)管理訪談對象:IT運(yùn)行經(jīng)理網(wǎng)絡(luò)管理員信息平安官74整理ppt審計(jì)方法:

網(wǎng)絡(luò)管理檢查內(nèi)容組織結(jié)構(gòu)圖部門方案職位描述效勞級別協(xié)議(SLAs)網(wǎng)絡(luò)體系結(jié)構(gòu)/配置與網(wǎng)絡(luò)管理相關(guān)的政策和程序75整理pptIT流程:

應(yīng)用處理系統(tǒng)如何實(shí)施，以確保經(jīng)授權(quán)的業(yè)務(wù)信息處理完全、準(zhǔn)確相關(guān)風(fēng)險(xiǎn)：包括計(jì)算機(jī)操作運(yùn)行、變更管理和信息平安風(fēng)險(xiǎn)76整理ppt審計(jì)方法:

應(yīng)用處理訪談對象:用戶管理應(yīng)用開發(fā)經(jīng)理IT運(yùn)行經(jīng)理信息平安官數(shù)據(jù)庫管理員選擇的用戶77整理ppt審計(jì)方法:

應(yīng)用處理檢查內(nèi)容了解業(yè)務(wù)流程業(yè)務(wù)營運(yùn)手冊用戶/系統(tǒng)手冊系統(tǒng)訪問人員清單系統(tǒng)產(chǎn)生的報(bào)告78整理ppt問題討論以下問題涉及哪些IT流程和IT相關(guān)風(fēng)險(xiǎn)？張先生在A公司擔(dān)任數(shù)據(jù)庫管理員，并負(fù)責(zé)公司的編程工作。B公司的主要處理設(shè)施在北京公司總部的二樓，該地區(qū)交通擁堵；數(shù)據(jù)備份設(shè)施那么在離公司總部不遠(yuǎn)的寫字樓。公司前不久對工資處理系統(tǒng)進(jìn)行了升級，一些員工反映其工資有過失。最近IT部門負(fù)責(zé)人制定了公司IT三年規(guī)劃，并得到CIO批準(zhǔn)。公司幾名員工反映，他們辦公用的PC機(jī)常常被病毒感染，與公司客戶信息系統(tǒng)的連接也變得很慢。79整理ppt案例分析背景G