第1部分IS审计综述ppt课件

1、第一部分电脑技术在内部审计的运用引见 第二部分信息系统管理第三部分信息系统开发和维护.第一部分电脑技术在内部审计的运用引见概述 .目的对信息系统审计评价作普通性了解引见在信息系统管理评价、可晋级性评价、信息平安评价和可用性评价中运用的技术和流程.信息系统审计的框架规范 确定信息系统审计和报告的法定要求指引 为信息系统审计准那么的运用提供指引程序 举例阐明信息系统审计师在审计工程中可遵照的程序可在以下网址查阅信息系统审计和控制协会(“ISACA) 准那么和指引 /stand1.htm.风险和控制国际规范化组织(“ISO) 定义 风险 为 “利用一项资产或一组资产的薄弱环节，某些

2、特定要挟可以导致资产损失或损害的能够性. 审计师必需可以识别风险及用于防御这些风险的控制 .安达信的业务风险模型.信息技术风险 访问 - 信息的访问被不适当地允许或回绝的风险一致性 - 在买卖输入、买卖处置、汇总和报告过程中，与授权、完好性和准确性相关的风险相关性 - 信息与其搜集、维护或发布的目的无关可用性 - 需求时得不到所需的信息根底设备 - 企业没有有效的信息技术根底设备例如硬件、网络、软件、人员和流程，以高效率、低本钱、有组织地满足企业的目前和未来需求风险模型.技术架构监察事项 风险控制访问一致性可用性相关性根底设备规条和指引 政策、规范、开展管理风险管理框架.访问严密性目的：维护个

3、人信息或有价值信息免遭有意或无意的、未经授权的泄露。信息的读取能够会被不恰当地允许或回绝的风险。未授权的人员能够读取严密信息。发生于各个层面网络层访问处置环境访问运用系统访问功能层访问访问风险.一致性 (准确真实)目的: 维护重要数据免遭有预谋的或无意的、未经授权的篡改或删除在买卖输入公司所运用的各种运用系统，并在系统内进展处置、汇总和报告的过程中，与信息的授权、完好性和准确性相关的风险典型问题：用户界面、处置、错误处置、变卦管理、数据等一致性风险.可用性目的 : 防止对真正的用户回绝提供信息技术效力或未经授权地保管效力需求时不能得到所需信息的风险相关性信息与其搜集、维护或发布的目的不符的风险

4、可用性和相关性.根底设备企业没有有效的信息技术根底设备例如硬件、网络、软件、人员和流程，不可以高效率、低本钱、有组织地满足企业的目前和未来的需求重点留意以下中心信息技术流程组织架构运用系统的定义、推行和变卦管理物理设备平安计算机和网络操作数据和数据库的管理业务/数据中心复原根底设备.风险评价确认产生/存储、运用或支配资产的信息资产和潜在的系统资产面对的潜在要挟及能够带来的后果确认并评价提出的控制和平安谋划，以：防止或降低风险发生的能够性；警惕风险的发生并将风险的影响降到最低.风险控制的评价步骤识别风险控制评价风险控制设计的有效性确定控制措施的正常运作测试控制措施运作的效果.控制的定义：“可以提

5、供合理保证的政策、措施和组织构造“提供适当的信息技术维护并支持关键流程的技术可扩展性IT 战略规划负载测试访问操作系统平安防火墙和路由器运用程序根底设备系统监控行政管理职责分工可用性应急方案备份/复原系统设计高可用性方案 相关性系统开发控制潜在控制.信息技术风险管理信息技术风险评价制定信息技术平安框架 制定信息技术平安政策和措施 开展信息技术平安培训 建立信息技术风险管理部门，监控政策和措施的执行 系统评价/审计.信息技术审计的重点数据中心平安评价评价信息技术部门的职责分工评价物理平安措施，防备对关键电脑和网络设备的非授权物理访问评价日常电脑运作和物理管理控制评价系统开发和维护控制程序评价测试和变卦管理控制评价备份和复原程序，以及灾难复原方案运用系统平安评价评价数据输入控制，例如数据验证和买卖确认评价数据处置控制，例如买卖处置、更新和界面控制评价主文件一致性控制评价数据输出控制