信息系統(tǒng)審計(jì)基礎(chǔ)

歡迎大家的到來

信息系統(tǒng)審計(jì)基礎(chǔ)

歡迎大家的到來

信息系統(tǒng)審計(jì)基礎(chǔ)信息系統(tǒng)審計(jì)基礎(chǔ)信息系統(tǒng)審計(jì)的起源與發(fā)展

信息系統(tǒng)審計(jì)的內(nèi)容

內(nèi)部控制與審計(jì)

IT審計(jì)的標(biāo)準(zhǔn)和依據(jù)

IT審計(jì)的過程

IT審計(jì)的技術(shù)

2信息系統(tǒng)審計(jì)基礎(chǔ)信息系統(tǒng)審計(jì)的起源與發(fā)展2

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：八十年代、九十年代信息技術(shù)的進(jìn)一步發(fā)展與普及，使得企業(yè)越來越依賴信息及產(chǎn)生信息的信息系統(tǒng)。人們開始更多的關(guān)注信息系統(tǒng)的安全性、保密性、完整性及其實(shí)現(xiàn)企業(yè)目標(biāo)的效率、效果，真正意義的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估與審計(jì)才出現(xiàn)。

3

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：3

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：

信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA(INFORMATIONSYSTEMAUDITANDCONTROLASSOCIATION)，總部設(shè)在美國芝加哥。目前該組織在世界上100多個(gè)國家設(shè)有160多個(gè)分會(huì)，現(xiàn)有會(huì)員兩萬多人，它是從事信息系統(tǒng)審計(jì)的專業(yè)人員唯一的國際性組織。

4

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：4

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：

CISA(CertifiedInformationSystemAuditor)是信息系統(tǒng)審計(jì)領(lǐng)域的唯一職業(yè)資格

ISACA每年舉辦CISA資格考試，通過考試的人員可以申請(qǐng)CISA資格，符合ISACA規(guī)定的工作經(jīng)驗(yàn)及其他相關(guān)要求的申請(qǐng)人會(huì)被授予CISA資格。CISA資格在世界各國都被廣泛的認(rèn)可。國內(nèi)獲得此資格的有三百多人。5

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：5

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：

CISA考試介紹：內(nèi)容：信息系統(tǒng)審計(jì)流程、信息系統(tǒng)的管理、計(jì)劃與組織、信息技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)、信息資產(chǎn)的保護(hù)、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃、應(yīng)用系統(tǒng)的開發(fā)、獲得、實(shí)施與維護(hù)、業(yè)務(wù)處理流程評(píng)價(jià)與風(fēng)險(xiǎn)管理。時(shí)間：每年一次題型與考試語言：全部是客觀題；英文、中文；75分合格

6

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.1國外：6

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.2國內(nèi)：

1994年2月，我國頒布了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，提出了計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)的要求。安全等級(jí)保護(hù)的總體目標(biāo)是確保信息安全和計(jì)算機(jī)信息系統(tǒng)安全正常運(yùn)行，并保障以下安全特性：信息的完整性、可用性、保密性、抗抵賴性、可控性等（其中完整性、可用性、保密性為基本安全特性要求）。

7

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.2國內(nèi)：7

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.2國內(nèi)：

1994年2月，我國頒布了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，提出信息的完整性、可用性、保密性、抗抵賴性、可控性等要求。1999年2月9日，我國正式成立了中國國家信息安全測(cè)評(píng)認(rèn)證中心。2002年4月15日全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡(jiǎn)稱信息安全標(biāo)委會(huì)，TC260）。2005年12月16日國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組正式通過了《信息安全風(fēng)險(xiǎn)評(píng)估指南》。8

1.信息系統(tǒng)審計(jì)的起源與發(fā)展

1.2國內(nèi)：8管理計(jì)劃與IS的組織信息資產(chǎn)的保護(hù)災(zāi)難備份與業(yè)務(wù)持續(xù)計(jì)劃技術(shù)基礎(chǔ)與操作實(shí)務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)取得實(shí)施與維護(hù)業(yè)務(wù)過程評(píng)價(jià)與風(fēng)險(xiǎn)管理

2.信息系統(tǒng)審計(jì)的內(nèi)容

9管理計(jì)劃與IS的組織信息資產(chǎn)的保護(hù)災(zāi)難備份與業(yè)務(wù)持續(xù)計(jì)劃技術(shù)一般控制靜態(tài)IS的構(gòu)成管理角度管理計(jì)劃與IS的組織(C2)技術(shù)角度技術(shù)基礎(chǔ)與操作實(shí)務(wù)(C3)IS的控制與安全正常情況信息資產(chǎn)的保護(hù)(C4)非常情況災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃(C5)動(dòng)態(tài)業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)取得實(shí)施與維護(hù)(C6)應(yīng)用控制業(yè)務(wù)過程評(píng)價(jià)與風(fēng)險(xiǎn)管理(C7)

3.信息系統(tǒng)審計(jì)與內(nèi)部控制

10管理角度管理計(jì)劃與IS的組織(C2)技術(shù)角度技術(shù)基礎(chǔ)與操作實(shí)

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

可信的計(jì)算機(jī)系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)（TCSEC，從橘皮書到彩虹系列）由美國國防部于1985年公布的，是計(jì)算機(jī)系統(tǒng)信息安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)。它把計(jì)算機(jī)系統(tǒng)的安全分為4類、7個(gè)級(jí)別，對(duì)用戶登錄、授權(quán)管理、訪問控制、審計(jì)跟蹤、隱蔽通道分析、可信通道建立、安全檢測(cè)、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。

11

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

11

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

信息技術(shù)安全評(píng)價(jià)的通用標(biāo)準(zhǔn)（CC）由六個(gè)國家（美、加、英、法、德、荷）于1996年聯(lián)合提出的，并逐漸形成國際標(biāo)準(zhǔn)ISO15408。該標(biāo)準(zhǔn)定義了評(píng)價(jià)信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準(zhǔn)則，提出了目前國際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)，即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確有效地實(shí)施這些功能的保證要求。CC標(biāo)準(zhǔn)是第一個(gè)信息技術(shù)安全評(píng)價(jià)國際標(biāo)準(zhǔn)，它的發(fā)布對(duì)信息安全具有重要意義，是信息技術(shù)安全評(píng)價(jià)標(biāo)準(zhǔn)以及信息安全技術(shù)發(fā)展的一個(gè)重要里程碑。

12

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

信息技術(shù)安全評(píng)價(jià)的

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

ISO13335標(biāo)準(zhǔn)首次給出了關(guān)于IT安全的保密性、完整性、可用性、審計(jì)性、認(rèn)證性、可靠性6個(gè)方面含義，并提出了以風(fēng)險(xiǎn)為核心的安全模型：企業(yè)的資產(chǎn)面臨很多威脅（包括來自內(nèi)部的威脅和來自外部的威脅）；利用信息系統(tǒng)存在的各種漏洞（如：物理環(huán)境、網(wǎng)絡(luò)服務(wù)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全策略等），對(duì)信息系統(tǒng)進(jìn)行滲透和攻擊。

13

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

13

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

BS7799是英國的工業(yè)、政府和商業(yè)共同需求而發(fā)展的一個(gè)標(biāo)準(zhǔn)，它分兩部分：第一部分為“信息安全管理事務(wù)準(zhǔn)則”；第二部分為“信息安全管理系統(tǒng)的規(guī)范”。目前此標(biāo)準(zhǔn)已經(jīng)被很多國家采用，并已成為國際標(biāo)準(zhǔn)ISO17799。BS7799包含10個(gè)控制大項(xiàng)、36個(gè)控制目標(biāo)和127個(gè)控制措施。BS7799/ISO17799主要提供了有效地實(shí)施信息系統(tǒng)風(fēng)險(xiǎn)管理的建議，并介紹了風(fēng)險(xiǎn)管理的方法和過程。企業(yè)可以參照該標(biāo)準(zhǔn)制定出自己的安全策略和風(fēng)險(xiǎn)評(píng)估實(shí)施步驟。14

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

BS779914

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

“信息系統(tǒng)和技術(shù)控制目標(biāo)”（COBIT）是IT治理的一個(gè)開放性標(biāo)準(zhǔn)，目前已成為國際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為IT的治理、安全與控制提供了一個(gè)一般適用的公認(rèn)的標(biāo)準(zhǔn)，以輔助管理層進(jìn)行IT治理。該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。15

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

15

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

16

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

16

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

17

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

17

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

18

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

18

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

19

4.信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

19

5.信息系統(tǒng)審計(jì)的過程

審計(jì)計(jì)劃：檢查被審計(jì)單位的IT政策、實(shí)務(wù)及組織結(jié)構(gòu)；檢查一般控制和應(yīng)用控制的情況；計(jì)劃控制測(cè)試和實(shí)質(zhì)性測(cè)試的程序；20

5.信息系統(tǒng)審計(jì)的過程

20

5.信息系統(tǒng)審計(jì)的過程

控制測(cè)試：