信息系统审计

1、信息系统审计电子数据处理系统发展分为三阶段：数据的单项处理阶段（1953-1965）、数据的综合处理阶段（1965-1970）、数据的系统处理阶段（1970年以后），对传统审计产生了巨大的影响，主要表现在（1）对审计线索的影响：传统的审计线索缺失；EDP下：数据处理、存储电子化，不可见，难辨真伪。（2）对审计方法和技术的影响：技术方法复杂化；EDP下：利用计算机审计技术变得复杂化（3）对审计人员的影响：知识构成要求发生变化；EDP下：会计、审计、计算机等知识和技能（4）对审计准则的影响：信息化下审计准则与标准的缺失；EDP下：在原有审计准则的基础上，建立一系列新的准则（5）对内部控制的影响：内

2、部控制方式发生改变：传统方式下：强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。EDP下：数据处理根据既定的指令程序自动进行，信息的处理和存储高度集中于计算机，控制依赖于计算机信息系统，控制方式发生改变。2、信息系统审计的定义：指根据公认的标准和指导规范，对信息系统从计划、研发、实施到运行维护各个环节进行审查评价，对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程，以确认预定的业务目标得以实现，并提出一系列改进建议的管理活动。3、信息系统审计的特点（1）审计范围的广泛性（2）审计线索的隐蔽性、易逝性（3）审计取证的动态性（4）审计技术的复杂性：首先，由于

3、不同被审单位的信息系统所配备的计算机设备各式各样，各个机器的功能各异，所配备的系统软件也各不相同。审计人员在审计过程中，必然要和计算机的硬件和系统软件打交道，各种机型功能不一，配备的系统软件各异，必然增加了审计技术的复杂性，其次，由于不同被审单位的业务规模和性质不同，所采用的数据处理及存储方式也不同，不同的数据处理，存储方式，审计所采用的方法、技术也不同。此外，不同被审单位其应用软甲你的开发方式、软件开发的程序设计语言也不尽相同，不同开发方式以及用不同的程序设计语言开发的应用软件，其审计方法与技术也不一样。4、信息系统审计的目标：（1）保护资产的完整性：信息系统的资产包括硬件、软件、设备、人员

4、、数据文件、系统档案等；（2）保证数据的准确性：数据准确性是指数据能满足规定的条件，防止粗无信息的输入和输出，一级非授权状态下的修改信息所造成的无效操作和错误后果；（3）提高系统的有效性：系统的有效性表明系统能否获得预期的目标；（4）提高系统的效率性：系统效率是指系统达到预定目标所消耗的资源，一个效率高的信息系统能够以尽量少的资源达到需要的目标；（5）保证信息系统的合规性合法性：信息系统及其运用必须遵守有关法律、法规和规章制度。5、信息系统审计的主要内容：内部控制系统审计内部控制系统包括一般控制系统（包含组织控制、系统开发控制、系统安全控制、硬件和系统软件控制等方面）应用控制系统（输入、处理、

5、输出）；系统开发审计；应用程序审计（决定了数据处理的合规性、正确性目的：一是测试应用控制系统的符合性；二是通过检查程序运行和逻辑的正确性达到实质性测试目的。测试应用控制的符合性是指对嵌入应用程序中的控制措施进行测试，看它们是否按设计要求在运行和起作用）；数据文件审计（目的：一是数据文件进行实质性测试；而是通过数据文件的审计，测试一般控制或应用控制的复合型，但数据文件审计主要是为了实质性测试）6、基本方法：绕过信息系统审计：基于黑箱（Blackbox）原理，审计人员不审查系统内的程序和文件，只审查I/O数据及其管理制度。优点：审计技术简单、较少干扰被审系统。缺点：审计结果不太可靠、要求I/O联系

6、紧密通过信息系统审计：基于黑箱（Blackbox）原理，审计人员不审查系统内的程序和文件，只审查I/O数据及其管理制度。优点：审计技术简单、较少干扰被审系统。缺点：审计结果不太可靠、要求I/O联系紧密。7、步骤：准备阶段（明确审计任务、组成信息系统小组、了解被审系统的基本情况、制定信息系统审计方案、发出审计通知书）；实施阶段（对被审计系统的内部控制制度进行健全性调查和符合性测试、对张单证或数据文件的实质性审查）；终结阶段（整理归纳审计资料、撰写审计报告（审计报告主要是对信息系统审计结果的综合归纳，由审计小组撰写）、发出审计结论和决定、审计资料的归档和档案）8、国际信息系统审计原则：审计标准（是

7、整个信息系统准则体系的总纲，是制定审计指南和作业程序的基础和依据）；审计指南（为审计标准的应用提供了指引，信息系统审计师在审计过程中应考虑如何应用指南以实现审计标准的要求，在应用过程中应灵活运用专业判断并纠正任何偏离准则的行为）；作业程序（提供了信息系统审计师在审计过程中可能遇到的审计程序的示例）9、审计师应具备的素质：（1）应具备的理论知识：传统审计理论、信息系统管理理论、计算机科学、行为科学理论（2）应具有的实践技能：参加过不同类别的工作培训，尤其是在组织采用和实施新技术时，此外也参加过组织内部计划的制定等；参与专业的机构或厂商组织的研讨会，动态掌握信息技术的新发展对审计时间的影响；具有理

8、解信息处理活动的各种技术，尤其是影响组织财务活动的技术，能够与来自各领域的管理者、用户、技术专家进行交流；理解并熟悉操作环境，评估内部控制的有效性；理解现有与未来系统的技术复杂性，以及它们对各级操作与决策的影响；能使用技术的方法去识别技术的完整性；要参与评估与使用信息技术相关的有效性、效率、风险等；能够提供审计集成服务并对审计员工提供指导，与财务审计师一起对公司财务状况作出声明；具备系统开发方法论、安全控制设计、实施后评估等；掌握网络相关的安全事件、信息安全服务、灾难恢复与业务持续计划、异步传输模式等通信技术。10、IT治理德勤定义：IT治理是是一个含义广泛的概念，包括信息系统、技术、通信、商

9、业、所有利益相关者、合法性和其他问题。其主要任务是保持IT与业务目标一致推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。11、共同点：（1）IT治理必须与企业战略目标一致，IT对于企业非常关键，也是战略规划的组成，影响战略竞争。（2）IT治理保护利益相关者的权益，使风险透明化，知道和控制IT投资、机遇、利益、风险。（3）IT治理和其他治理主题一样，是管理执行人员和利益相关者的责任（以董事会为代表）（4）IT治理包括管理层、组织结构、过程，以确保IT维持和拓展组织战略目标（5）应该合理利用企业的信息资源，有效地进程与协调。（6）确保IT战略及时按照目标交付，有合适的功能和

10、期望的收益，是一个一致性和价值传递的基本构建模块，有明确的期望值和衡量手段。（7）引导IT战略平衡系统的投资，支持企业，变革企业，或者创建一个信息基础构架，保证业务增长，并在一个新的领域竞争。（8）对于核心IT资源做出合理的决策，进入新的市场，驱动竞争策略，创造总的收入增长,改善客户满意度，维系客户关系。12、IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动。IT治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。IT治理规定了整个企业IT运行的基本框架，IT管理则是在这个既定的框架下驾驭企业奔向目标。13

11、、公司治理和IT治理：公司治理关注利益相关者权益和管理，驱动和调整IT治理。IT能够提供关键的输入，形成战略计划的一个重要组成部分，是公司治理的重要功能。14、ITIL:信息技术基础构架库；COBIT:信息和相关技术的控制目标；BS7799：国际安全管理标准体系；PRINCE2是一种对项目管理的某些特定方面提供支持的方法。15、IT治理成熟度模型：不存在（0级）、初始级（1级）、可重复级（2级）、已定义级（3级）、已管理级（4级）、优化级（5级）作用:IT治理成熟度模型制定了一个基准，组织可能根据上面的指标确定自己的等级，从而了解自身的境界。在此基础上确定组织的关键成功因素，通过关键绩效指标进

12、行监控，并衡量组织是否能达到关键目标指标中所设定的目标。16、信息系统内部控制：一个单位在信息系统环境下，为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现、纠正错误与舞弊，确保信息系统提供信息的真实、合法、完整，而制定和实施的一系列政策与程序措施。17、一般控制系统：范围：应用于一个单位信息系统全部或较大范围的内部控制。对象：应为除信息系统应用程序以外的其他部分。基本目标：保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外情况下的持续运行等。18、良好的一般控制是应用控制的基础。如果一般控制审计结果很差，应用控制审计就没有进行的必要。19、审计逻辑访问安全策略：此策略

13、应当为逻辑访问建立“知所必需”的原则，并合理评估在访问过程中暴露的风险。20、审查离职员工的访问控制：一般来说，员工离职的情况主要有请辞、聘用合同期满和非自愿离职三种。对于非自愿离职的员工，组织应当在接触其职务之前，及时收回或严格限制其对组织信息资源的访问权，使其不能继续访问组织的机密信息，或使其不能破坏组织有价值的信息资产。如果对于这类员工还需要保留一部分访问权，必须得到相关管理层批准，并对其进行严格的监督。对其他两种离职的员工，由管理层批准是否保留他们的访问权，这取决于每一种人所处的特定环境、员工所访问IT资产的敏感程度以及组织的信息安全策略、标准和程序的要求。21、系统访问：通过某种途径

14、允许或限制对网络资源（软件和硬件）和数据（存储的和通信的）的访问能力及范围。逻辑访问控制：通过一定的技术方法控制用户可以利用什么样的信息，可以运行什么程序与事务，可以修改什么信息与数据。物理访问控制：限制人员进出敏感区域。对极端及信息的物理访问与逻辑访问应当建立在“知所必需”的基础上，按照最小授权原则和职责分离原则来分配系统访问权限，并把这些访问规则与访问授权通过正式书面文件记录下来，作为信息安全的重要文件加以妥善管理。22、身份识别与验证：（账号与口令，令牌设备，生物测定技术与行为测定技术）“只有你知道的事情”账号与口令，账号的控制、口令的控制；“只有你拥有的东西”令牌设备，发送许可权的特殊

15、消息或一次性口令的设备；“只有你具有的特征”生物/行为测定，指纹、虹膜等和签名等。23、逻辑访问授权：一般情况下，逻辑访问控制基于最小授权原则，只对因工作需要访问信息系统的人员进行必要的授权，当用户在组织变换工作角色时，在赋予他们新访问权限时，一般没有及时取消旧的访问权限，这回产生访问控制上的风险。所以当员工职位有变动时，信息系统审计是要及时审核访问控制列表是否做了有效变更。24、BCP一般包括业务持续性计划（BCP）、业务恢复计划（BRP）、连续作业计划（COOP）、持续支持计划/IT应急计划、危机通信计划、事件响应计划、灾难恢复计划（DRP）、场所应急计划（OEP）25、数据备份：完全备份

16、、增量备份、差分备份等26、信息系统审计针对灾难恢复与业务连续性计划，其主要任务是理解预评价组织的业务连续性策略，及其与组织业务目标的符合性；参考相应的标准和法律法规，评估该计划的充分性和实效性；审核信息系统及终端用户对计划所做测试的结果，验证计划的有效性；审核异地存储设施及其内容、安全和环境控制，以评估异地存储站点的适当性；通过审核应急措施、员工培训、测试结果，评估信息系统及其终端用户在紧急情况下的有效反应能力；确认组织对业务持续性计划的维护措施存在并有效。27、应用控制市委适应各种数据处理的特殊控制要求，保证数据处理完整、准确地完成而建立的内部控制。可将应用控制划分为输入控制、处理控制和输

17、出控制。应用控制也是由手工控制和程序化控制构成，但以程序化控制为主。28、信息系统开发审计是对信息系统开发过程进行的审计，审计的目的一是要检查开发的方法、程序是否科学，是否含有恰当的控制；二是要检查开发过程中产生的系统文档资料室否规范。29、系统开发过程审计：遵守标准与流程；有效的操作；使系统合乎法律要求；必要的控制，预防可能的损失及严重错误；为管理层、信息系统审计师、操作人员提供必要的审计轨迹；系统文档，便于系统维护与审计。30、软件维护的种类：纠错性维护、适应性维护、完善性维护、预防性维护31、ITIL:六个主要模块:服务管理(servicemanagement)、业务管理(busines

18、smanagement)、信息与通信技术基础设施管理(ICTinfrastructure)、应用管理(applicationmanagement)、IT服务管理实施规划、安全管理(securitymanagement)32、服务管理模块：面向IT基础设施管理的服务支持和面向业务管理的服务提供。IT服务提供流程主要面对付费的机构和个人客户，负责为客户提供高质量、低成本的IT服务。它的任务是根据组织的业务需求，对服务能力、持续性、可用性等服务级别目标进行规划和设计，同时，还必须考到这些服务目标所需要好费电成本。IT服务主要包括服务水平管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理五个服务管理流程。IT服务支持的服务支持流程主要面向终端用户，责任确保IT服务的稳定性与灵活性，用于确保终端用户得到适当的服务，以支持组织的业务功能。服务支持流程包括体现服务接触和沟通的服务台职能和五个运作层次的流程，即配置管理、事故管理、问题管理、变更管理和发布管理等。33、应用程序审计