对计算机系统的稽核及案例

1对计算机系统的稽核及案例分析上海明鸿中小银行培训中心张老师2011.62引言：银行信息安全面临极大风险2006年4月20日上午10时56分，中国银联系统通信网络和主机出现故障，造成辖内跨行交易全部中断。这是2002年中国银联成立以来，首次全国性因系统故障造成的跨行交易全面瘫痪。此次故障波及中国银联所属的18个分公司，包括广州、深圳、北京、上海、南京、天津、福建、厦门、云南、大连、青岛等全国大部分地区，具体表现在ATM机不能跨行取款，POS机不能刷卡消费，网上跨行交易不成功。

3

综合中国银联上海总部品牌营销部有关负责人介绍和银联网站《紧急通告》，中国银联系统通信网络和主机于上午10时56分出现故障，网上跨行转账业务、银联基金通业务和银联网关的网上支付业务三个类别交易暂时无法进行，跨行交易出现中断。事发后，中国银联全力以赴组织网络和主机等相关设备厂商积极抢修。引言：银行信息安全面临极大风险4一、计算机系统的内部控制二、计算机稽核的主要内容三、计算机稽核的标准四、计算机稽核的流程和方法五、案例分析5一、计算机系统的内部控制二、计算机稽核的主要内容三、计算机稽核的标准四、计算机稽核的流程和方法五、案例分析6（一）计算机系统的内部控制（1）应用系统业务流程技术基础架构一般流程控制7（一）计算机系统的内部控制（2）应用系统业务流程技术基础架构一般流程控制一般流程控制评估被稽核应用系统的一般流程控制包含以下范围：一般用户帐号的创建，变更及删除一般用户权限的分配原则系统特权用户/管理员帐号的监管系统维护变更申请系统变更流程包括需求提交，分析，开发，测试，验收及上线8（一）计算机系统的内部控制（3）应用系统业务流程技术基础架构一般流程控制技术基础架构控制评估被稽核应用系统的技术基础架构包含以下范围：后台操作系统与数据库物理环境与硬件内/外部网络系统系统补丁开发，测试及安装源代码检测网络及系统入侵检测系统灾备恢复目标及实现方案9（一）计算机系统的内部控制（4）应用系统业务流程技术基础架构一般流程控制应用及业务流程控制

评估被稽核应用系统与业务流程的以下范围：-数据处理的准确及可靠性-内置应用控制的有效性-内置业务流程监控及报错功能-业务流程变更对应用系统的影响10一、计算机系统的内部控制二、计算机稽核的主要内容三、计算机稽核的标准四、计算机稽核的流程与方法五、案例分析11

目标:提供管理方向,支持信息安全1.信息科技治理（PO1PO2）二、计算机稽核的主要内容（1）12主要内容信息安全的定义管理目标的说明职责划分范围对特定原理、标准和需求的解释对可疑的安全事件报告的流程说明为保持策略而进行的审阅流程评估政策有效性的方法，包含成本或技术的改变任命政策制定者二、计算机稽核的主要内容（1）案例分析（1）

案例一：从以下银行的广告语分析其战略定位和对信息科技治理的内在要求：工行——“您身边的银行”招商银行——“因您而变”农行——“大行德广，伴您成长”光大——“阳光在心，服务在行”1314目标：管理组织内的信息安全保证组织内部的信息处理安全及第三方对组织信息资产的访问当组织内部的信息资产外包时，明确外包方的责任2.组织架构（PO4）二、计算机稽核的主要内容（2）15主要内容:设立管理委员会定义委员会角色分配角色责任建立新购软硬件的采购流程定义第三方对组织资产的访问采取步骤保护或检测第三方的非法访问外包合同的安全责任二、计算机稽核的主要内容（2）案例疗分析处（2）案例辟二：计算玩机组休织设正置中笋，哪弓些岗付位或载机构令需要吨互斥忍？16序号岗位/机构1岗位/机构2是否互斥1值班操作人员系统管理员2安全管理员系统管理员3系统开发人员系统维护人员4网络管理员安全管理员5资料保管员安全管理员6科技部总经理个金部总经理7需求提出部门开发维护部门17目标:保证真公司寻资产切得到捡合理凳保护播，确冰保信债息资恰产受尚到相淹应等功级的手保护萌。主要片内容:建立俩资产凑的登笨记制睁度，誉包括订硬件院、软教件和尸信息巴产品定义峰信息析体系满结构歌（PO始2）3.资产泳分类得和管章理（PO汤2敏PO扇3标DS胞9）二、挺计算铸机稽草核的左主要谁内容万（3）18将资食产进赢行分雅类并励标识注意:将资仙产进瓶行分枯类并滨标识艘是进肉行风输险评晌估的脑首要县步骤数据铁分类盾和分孟级管悔理自动痒化的壁数据表存贮母和字炭典数据载语法甘规则数据祝所有捆权和猪关键译性/安全黑性程清度分降类表述晃业务辜的信者息模插型企业阔信息征体系警结构盖标准尸信息二、炉计算遥机稽谊核的柴主要然内容遍（3）19决定恋技术究方向黑（PO宋3）当前匹基础萌设施偿的容樱量通过露可靠禁的来挪源，股监测动技术鞭发展编制亮基础赞设施钳规划编制舱技术名标准与供闯应商已的关辞系独立业的技去术再交评估硬件薯和软冻件的肤性能/价格喂比的番变化二、慨计算蔑机稽昌核的弹主要固内容嘉（4）20管理街配置茅（DS受9）资产瞧的追固踪配置严变更板管理未授陕权软予件的缓检查软件隆存储室控制软件似和硬肺件相劫互关辉系和德集成自动纳化工黎具的昨使用二、颗计算泼机稽跌核的岗主要形内容觉（5）案例分析狠（3）21案例忌三：请看构录像量，并盏回答庄以下择问题缝：问题1：你塑认为萍瑞士签汇丰情客户坊资料里泄露悬可能失发生涛在哪竞个环必节？问题2：为后避免礼信息填资产安泄露饰，你西认为贩上述点环节掠中需元要实绿施哪顽些控桥制措塘施？问题3：假表设你鸽对某状分行似信息声资产曲进行乖稽核廊，你钻准备绘如何股检查破？访汽谈哪够些人虏员?获取路哪些至资料塞？224.人员狐安全钳（PO予7）二、钱计算揉机稽刘核的宇主要洁内容灯（6）目标:减少应因人奖员差妄错、银偷盗驳、舞绞弊和佩设施址误用组带来副的损允失确保嫩用户舒意识脚到信辱息安牌全威策胁，恩并在开日常酬工作虏中得障到相骡应指社导来泛支持体公司唯的安巨全策管略最大延程度摧减少沿信息少安全倡事件笔和误价操作哈带来欠的损两失，威并吸惯取教们训主要忌内容:由于赏不经没意或币人员测操作眠的意呆外事还故带牌来的节数据趋和系探统风察险23在正支式岗乒位说挺明中泉明确炎信息乖安全尊职责招募我和升碍职培训石和任陕职要旧求意识盛的建谣立交叉第培训炼和轮唤岗雇用氏、检咱查和嫩解雇握程序目标客和可忍测量欣绩效裂的评贡估技术赴和市乐场变捧化的炼响应内部怠和外团部资港源的羞适当只平衡关键楚职位葬的继贤任计剃划二、寇计算俘机稽典核的宵主要魂内容级（6）24案例分析（4）案例倾四：犯罪止分子聋如何戏不通惜过技肾术手没段进传入银接行的鞭内部奴网络眯实施港非法给操作醋？案例暗分析赛（4）地点一：诱办公水室A，电川话响职员：你汪好，须我是候小王弊，这逐里是XX银行信用俯卡部攻击者：斥你雄好，优我是恩负责记银行挂网络私支持平的中舍国电乱信的贼李xx,最近佣全国愈暴发柱了大肢规模夕的木渡马病念毒，我们正在进行紧急差排查，请问滑你们伐办公姐室的号网络有没有出现士问题？职员：嗯妻，据牧我所耗知没京有。这越里的网直络状缠况良萄好。攻击者：你能告德诉我毒你的娱电脑唉所连逢接的新端口碎的号洲码吗？职员：端南口？攻击者：仆就是录在你街电脑扔后面查，在熊插网伸线的鹅地方救有注月明端猫口号鞋码。职员：看脆到了贡，号执码是A1议23.攻击者：翠请稍例等，端口A1浓23~~探~~决.好的施，谢妄谢。专记得恢有情幕况及偶通过炎电话潜时通蒸知我霞们，我的挠电话淘是60傅12连34律56，再见。25案例哗分析吹（4）地点二：苗此公匙司的洁网络烛管理量室，骑电话响网管：竿你掏好，自科技疑部网首络管岭理员劳吗？攻击者：皂你好秀，我库是信拦用卡怒部的白小王凳，我云们正座在接圣受银例监局的检查挎，要色求我域们不瘦能连苍接到嫁互联用网，滤你可追以暂笑时停潜止端口A1帆23的互语联网访问半个赞小时吗？？网管：好的蚊，请幕稍等见～～是～，柳好了拳，已及经暂察时停夺止了共。攻击者：闹谢谢飘。26案例爆分析鞠（4）攻击者再赠次打毒电话踏给小爸王攻击者：荐你好卷，这救里是宅中国冶电信匆的小最李，冲你的脂网络家是不挣是出汪现问膨题了未？职员:对的扑，刚王才无嗽法访域问互词联网紫了。攻击者：枣嗯，泼我可毕以帮旨你解电决，烈我们剩设计场了一填个软饶件，凳我把耗地址付给你络，请虚你去朵下载境并安识装这文个软脆件，竟网址朵是。吨。。团。。浙。。夕。职员：我命执行常了这楚个软等件，像软件黄反映辽报错康。攻击者：部嗯～步这说资明软滋件没释有被想安装队成功练，这酬样吧猜，你支不要伴再尝懒试安冰装了摔，等比我们葬重新舰查看打服务左器后栏你再格试试尸吧。就这样结，一兼个木件马程征序被昂安装润到了并这台塘电脑渴上面。这个朱案例株带给歇我们业的教揉训是屡什么华？2728目标:防止尿未经纹授权医的访与问、辈损坏眨或干柿涉业饼务系很统防止狡业务凉系统流遭受慎损失析或中廉断防止钉信息效和信税息系运统设干施的什偷盗5.物理卧安全泪（DS工12）二、蒜计算币机稽谈核的迫主要锹内容袭（7）29主要找内容:在安新全区止域建卷立物绸理准驴入控帖制从物倡理上痒保护晚硬件泰设施亚不受势偷盗保护烦网络健和通脏信线泰路不薪被窃梢听保护些设备敬不被秘任意麦移动崇或丢屡弃低调降的外达观、肿来访吩者陪馆同、硬抵御寒外部块环境拼破坏烫等二、好计算牙机稽泼核的碌主要蚊内容赚（7）案例分析（5）问题:请大克家找一下录像桥中针射对数躲据中栋心实骗施了着哪些丹控制据措施?请看桑录像定，并寄回答量以下得问题柿：问题1：NT上T香港歇数据鸽中心猛有哪晋些针晨对物敢理安溉全的魄控制跳措施限？问题2：除夕了录洒像中反的措园施外拢，还础有哪辛些方检面是欢金融僻行业窜数据宋中心提应关寇注和便防范趁的？问题3：假劈燕设你祝对某没分行刮数据按中心企进行哄稽核唐，你忙准备岩如何炕检查值？3031目标:确保吼信息课处理悟系统贵的操证作安客全准柴确最大酷程度得减少卷系统怎宕机合风险;保护袍软件调和信扁息的晶完整句性保证躬信息库处理谱系统闭和通右信的贸完整饰性及炎可用润性确保仪网络外信息严安全沈和对沙网络城基础阵架构盆的安匹全防止筑资产竟的损袖失和果业务陷活动挪的中伏断防止忆组织喷之间削信息药交换访中出证现的碰信息君损失估、改秩动或疤误用6.通信纤及操翻作管德理（DS虚3，DS丝式5）二、链计算蛋机稽巨核的育主要偷内容旨（8）32主要藏内容:病毒错误卸的软蔑件变更里控制备份保持技正确馋的访历问记辫录系统赶文档燥的安许全磁介薪质的坝销毁在传疼输与径转换铅中保窜护数腰据及乒数据允的认箱证电子羡邮件暗的安浊全二、零计算乌机稽鉴核的涝主要普内容额（8）33管理大性能菜和容病量（DS息3）可用得性和绳性能导需求自动骆的监帆控和坑报告模型常工具容量租管理资源俊的可拴用性硬件考和软牵件的缘瑞性能/价格餐比变礼化二、来计算崇机稽壮核的硬主要近内容府（9）34系统鼠安全珠（DS赞5）保密锋和隐清私要唐求授权亩、鉴承别和我访问控控制用户散识别爆和授仇权特帐征描序述文孔件需要脾才能肯有和阶需要白才能湖知道岸原则密钥助管理二、息计算安机稽橡核的拳主要裙内容份（10）35突发费事件课的处道理、煤报告色和跟排踪病毒痛预防丹与检赏测防火薪墙集中斩的安湿全管组理用户亦培训用于槐监控伏遵从饶性、湖入侵怒测试势和报眼告的蔬工具二、狠计算璃机稽悟核的戏主要泄内容珠（10）案例塑分析妨（6）案例素六：19谁99年3月26日，永一种制利用WO剃RD宏功厦能入旱侵计眨算机轿的梅电莉莎遭病毒旗爆发圣在短航短3天时盾间内斯，有砍数十知万台渣计算惹机受变到了斯感染北。该哑病毒蝇表明军电子艰邮件挣可以钳被用注来迅膛速地促在互从联网蛋上传缴播病梅毒，步并导愚致成拣千上亚万家争公司暗的电圆脑系绝统闸中电置子邮止件泛鸽滥成秤灾，缎从而馅令其曾电子距邮件阵和电缺脑网博络大砌受袭干扰职，甚截至全声部不译能使妨用。问题躁：1、该尤病毒拴使用染的是肯什么殖攻击私模式丑？2、请短说明订病毒估、木招马、追蠕虫驴的区玻别？3、为芒避免晶银行技计算较机系周统收摘到恶帽意代严码的浮攻击坝，你吸应该厉提出篮什么慕稽核傲建议到？36案例遥分析洞（6）攻击露的几钞种方跳式：（1）Sa穿la脊mi猪,（2）Da屈ta结D抖id百dl似in较g,意味底著在散资料弟输入躺系统婶之前苹、当城时或芽之后励，更偏改或龟增删趟资料脏。（3）Ex伴ce布ss省iv筒e牵Pr责iv垄il名eg匠es妄,由于荐管理舌不到垒位等拔原因唯，造陵成一伯些员槐工具铁有超按出其限工作推所需摄的权炊限，存从而蕉造成键权限希的滥咱用；（4）Pa真ss斗wo幼rd贝S街ni酒ff股in薄g,通过倍截获混网络宰数据论流的数方式授窃取兰计算泊机口蜂令以抢达到院非法膨进入掘计算否机系蛇统的僵目的骑；（5）IP艘S县po挪of镇in嘴g,使用锁他人探的IP地址辣以达倡到欺愤骗的态目的透，使跟其破域坏行疤为难拌以被夏发现栏。（6）De刺ni鸦al欧o组f衫Se杆rv雄ic筐e,也称摘服务皆拒绝乖攻击拨。（7）Du伐mp击st妹er霸D篮iv头in程g,通过燃在被太丢弃前的废展物中倒搜寻激的方减式获焦得有溜价值刮信息两的行炉为，迷虽然遍不道降德，警但通慢常并恒不违岔反法躲律；（8）Em再an走at尝io醋ns辟C客ap帖tu垦ri猪ng别,通过贼捕捉呀计算迹机系务统泄分漏的竖电磁践信号孙达到凯获取董有价扶值信嚷息的嘱目的局；机彼房进届行电蒜磁屏帅蔽（9）Wi帆re袋ta六pp搭in电g沸(E渔av缎es霸dr申op耻pi泡ng京),通过茶窃听庸通讯南信号留的方机式非汗法获造得信倍息和委数据后；搭列线窃算听，AT剥M线路（10）So惨ci非al矮E爽ng亲in屡ee拒ri贝ng堡,通过贤欺骗宜等诡是计诱抖使他还人泄君漏或盒更改庄信息辞以达示到侵破入系扣统的别目的撞；银饮行卡厦诈骗隙，骗秀子打先电话携或发剩短信凯说某唯客37案例眨分析迷（6）病毒仪必须弃满足穿两个壶条件:1、它兼必须造能自碗行执安行。什它通嘉常将混自己午的代予码置鄙于另学一个循程序季的执岛行路巡寿径中正。2、它皂必须畏能自案我复卡制。新例如夹，它告可能酒用受时病毒蜜感染百的文吗件副朵本替次换其立他可渣执行生文件组。病丛毒既纽奉可以熔感染枪桌面誓计算贼机也励可以盘感染刊网络耳服务治器。蠕虫麻病毒晋的前替缀是核：Wo蒸rm。这困种病敞毒的恳共有搁特性军是通见过网绞络或捕者系偿统漏鞭洞进敞行传脆播，员普通幕病毒机需要喂传播杆受感昼染的见驻留限文件井来进债行复歉制，斧而蠕功虫不歌使用忘驻留纵文件庙即可霸在系躺统之才间进屠行自斯我复捆制。木马饥病毒歼其前爪缀是网：Tr艺oj控an，黑捎客病饥毒前环缀名判一般隆为Ha偶ck。木型马病怖毒的细共有疏特性济是通调过网驰络或氧者系庄统漏车洞进洞入用封户的袍系统嫩并隐愤藏，节然后关向外巷界泄靠露用董户的蛾信息钉，而纤黑客六病毒炎则有塑一个址可视系的界即面，末能对挡用户银的电蛇脑进觉行远宰程控滥制。摄木马墙、黑冬客病翼毒往改往是浆成对蹦出现益的，扩即木羊马病圾毒负帽责侵错入用匀户的仰电脑浴，而纹黑客名病毒年则会关通过运该木爬马病挑毒来症进行柄控制貌。从纸上面召这些哥内容集中我象们可芝以知辛道，38案例兵分析假（6）39木马庸病毒案例己分析辞（6）稽核析建议披：因而欢要预紧防病叛毒木掠马，估我们撞首先炊要提樱高警兴惕，疑不要自轻易兴打开颜来历尼不明滋的可暴疑的英文件怪、网沙站、阶邮件票等，苹并且赔要及材时为员系统旨打上携补丁惨，最码后安到装上遇防火冶墙还株有一臭个可舅靠的贤杀毒贝软件纺并及且时升往级病雷毒库灾。如已果做杂好了唤以上币几点具，基沿本上辣可以御杜绝弟绝大训多数续的病乏毒木柴马。鉴最后敞，值评得注挂意的叫是，乎不能涛过多氧依赖惰杀毒匠软件锡，因唤为病欧毒总扭是出贱现在磁杀毒乡丰软件板升级辟之前抬的，河靠杀责毒软皱件来爱防范形病毒焦，本某身就筝处于音被动击的地萌位，疤我们津要想支有一已个安绑全的粗网络愚安全警环境沙，根抛本上排还是庆要首手先提停高自持己的川网络汗安全草意识滤，对彻病毒插做到塌预防袋为主许，查怠杀为伤辅。4041目标:控制付对信失息的疮访问;防止史未经蛇授权付访问畅系统;确保乱网络萍服务辨的安资全;防止傻未经收授权庸对计谢算机积的访格问;检测道非法侨访问请事件;使用蝇移动唤计算棕和远鸟程网抛络时防确保羽信息闻安全.7.访问劳控制二、吧计算粮机稽忙核的哈主要聋内容演（11）42主要闭内容:如何膝将访容问控演制运菊用在举不同凯的系岭统中发布吊并使请用密姜码设置岗警报终端臣登录监失败歌自动愁退出对终程端的贼物理泻访问软件丘监控二、担计算辰机稽冶核的踏主要再内容散（11）案例分析（7）案例劝七：20确09年7月22日，知丽江攻市公员安局秃经侦嘱支队贼接到皂受害呆者李躬某的窝报案尖，其珍报称融，李最某当替日持塔建设敬银行昨的存晌折到卵建设索银行若丽江遮分行化的网队点取叙款时世发现借，自稼己的净银行秧存款终于20奥09年7月2日通骑过AT亭M机被愧人取疏走了90凶00元钱决。接躲到报姨案后才，经落侦支牢队侦仿查人半员与兵银行罪相关化部门绸联系悟，对异李某远的银陕行存怖款被谈盗情无况进傲行了寇调查恩了解眯。经释过调拼查发采现，20猎07年7月2日20时43分至45分之商间，京李某昼的90泰00元存宵款是娇通过阅招商姑银行滔广东恳省东确莞分父行的AT毛M机上颤分三或次取勤走的腊。从姻作案拢手段喇上分吴析，古这起纸案件秒极有遣可能耍是犯特罪嫌祖疑人卫盗取载李某吨的建欲设银董行卡诊信息透及密约码后弃利用污克隆讲的银腾行卡息进行肌信用痛卡诈曾骗的乱案件庆。目冒前，风该案尖正在扛调查赢当中惰。43问题:你认赛为密膝码泄真露存渗在哪毅些可哪能?应如缺何预容防?44目标:确保粒操作茫系统浓安全;防止雷应用懂系统嘉中数齿据的投遗失咱、更洞改或夕误用靠；保卵护信污息的笋秘密游性、文完整者性和深认证;保证IT项目桂和支碍持活唱动安骗全有电序;确保巨系统陈开发蛇软件堂和数倚据的范安全.主要四内容:管理走项目庭（PO夏10）项目絮的业古务管狮理层肥发起裙人地捎位程序供管理8.系统犹开发莲与维马护（PO跃10丈P幼O1亲1）二、烦计算老机稽慎核的毙主要决内容意（12）45项目积管理诊能力用户讯参与任务朋细分康、里胁程碑光确定课和阶奇段审布核责认蚁的分限配里程战碑和钩可交职付的凡严格泊追踪费用鼻和人格力预静算，符平衡建内部俱和外县部资以源质量扁保证奇计划笔和方忘法程序西和项微目风窑险评覆估从开歇发到系运行爹的过惹渡二、秃计算跑机稽布核的族主要淘内容序（12）46管理省质量晚（PO粪11）质量猎文化显的建林立质量某计划质量颈保证统责任质量垂控制忍实务二、仔计算葵机稽杆核的真主要举内容援（13）47系统翼开发哑生命容周期林方法程序汇和系我统的渴测试膀及文债档质量父保证犹检查吃和报帝告最终兔用户先和质佩量保筛证人关员的六培训包及参善与质量柱保证波知识索库的撕开发按行蹲业规刻范制皂定标清准二、悉计算凉机稽贸核的矮主要芦内容县（13）48案例分析（8）案例毒八：20乳05年9月初浑，乐姨购金有山店镜的工亩作人兴员在鄙账面英盘点牛时，鹅发现国货物误缺损崇严重用，可竟监控肿录像我里又网看不馋到任桨何蛛保丝马威迹，敏于是震立即搜向警适方报伶案。嫌随后毯，其巧他店蛮也发泽现了君类似放情况雹。警梯方经科过调萍查发让现，抬乐购晃超市祖几家盗门店呈货物朽缺损贤率大骄大超归过了株业内协千分预之五蝇的物申损比排例。供警方占分析渡，问齐题很级可能棉出在箩收银膝环节亲。通薪过顺壁藤摸嫩瓜，吩警方武最终声挖出片一个腾包括给超市从资讯俭员、日收银橡员在船内的40余人适的犯变罪团师伙。该人验员设积计非制法软估件程拴序，法培训清“特联别”片收银右员，屡每天悉将超滚市销房诚售记棋录的20仓%自动市删除高，并健将其拴装入饼自己垫的腰透包。史这伙江成员毙达43人的苍超市零内部乖高智驼商犯作罪团候伙，透通过鼓分工盘合作探，在旬短短硬一年精多的加时间粥内侵做占了泉超市垂营业萝款39格7万余篇元。49据了贝解，湿主犯具方元穗今年25岁，棋学的避是计服算机趴专业吵，曾锈是乐乘购超秒市真蒙北店兵资讯胞组组春长。纤方元摩在工引作中仗发现艘了超奸市收气银系纳统存匪在漏权洞，鉴于是择便设宵计了格攻击格性的舰补丁柄程序假，可宫将超搭市销赞售记慎录的20种%自动亮删除耐。20绒04年6月至20江05年8月期肌间，宫方元埋等人幅修改械非法仍程序束，于婆琪等犯人利搂用收哈银员蹦的工宅作便爸利，橡截留肆侵吞局乐购不超市3家门毅店营洒业款山共计39肃7万余章元。角上述秋赃款逃由收写银员播上交孟后，屡再按染比例心分成棚，涉命案人溜员各塘得赃妖款数秘千元训至数拨十万亮元不够等。案例分析（8）问题:如何繁确保纸计算惯机系树统在诊开发窄和维殊护中寺的安觉全？50目标:应对捧业务板活动梳的中着断，围保证亮重要筛业务芳流程垦从灾覆难性确事件榴中恢蹈复，临减少轻灾难泽带来遍的负飘面效化果。主要瞎内容(D毯S4长):危险颤程度归分类可选抛择程仪序9.业务对持续衣性计闲划（DS予4）二、住计算彼机稽币核的榴主要咬内容允（14）51备份殊和恢合复系统受和有杂规律堵的测证试及充培训监控痰和逐娘步升闻级过径程内部帮和外胁部机育构的具责任业务走持续权性的幕激活辈、回训退和炸恢复缠计划风险剥管理龟活动单点蚀失败窜的评抬估问题藏管理二、课计算脆机稽孟核的符主要速内容赔（14）案例沉分析凯（9）案例洞九：20座09年12月某埋日14时25分，欣沪指甚位于30蕉18颤.5独5点，升大盘姥正处的于震坦荡下附跌之才时，翼许多鸡股民逝急于天将手哀里的捧股票属抛售旱，也台有股夫民想陡逢低湖吸纳督，可贞正在坐这个删当口虹，使低用申纲银万彼国账挥户的疏股民敞却发堡现交舅易系宽统突鞠发异舒常无良法操释作。股民藏沈先脆生说洁，“助我下慈午2点半资以后饼，登算录交青易软握件，尊但登餐不上虾去，松刚开鞭始以长为自怀己的尸电脑坏出了赶问题弯，然避后开饼始登医录申妻银万稻国网芝站上肃提供扁的交鞭易窗以口，泊也登毛不上退，电姓话交止易也猛不能串使用佩。三平个交是易方辅式没抓一个背行得功通。洋客服每电话骄也一济直打跃不通调。”彩大多举股民捕都如蛇沈先衣生一苍般“术急得极跳脚悔”，饺想卖用的卖采不出抵，想犁买的承买不端进。鼻沈先嫁生说嘱，因纯为这化个原效因他成损失务了好筐几万塔。公直至14时52分即满收盘尼前8分钟您，申衡银万蜻国的政交易归系统划才恢蜻复。问题:你认茶为应抓采取罢哪些首措施厨减少促类似六问题凝的影肢响?52案例开分析映（9）业务历持续惩性计上划与泉灾备溪：没有齿进行刑定期豆的备臭份恢印复性投测试睛；没有成建立创异地思备份滩机制图；没有傅建立谷灾备惑计划幼及定顺期测床试；没有村合理借的授夏权处呜理操牙作。5354目标:避免桨违反职法律傻法规逆和规丢章制期度;保证略与组举织内零的安牌全政碗策和丈标准趣相符顷合;最大城程度告减小瞎对审溜计过扔程的迎影响.10怜.符合剃性（PO枪8）二、练计算印机稽往核的续主要泡内容夫（15）55主要茂内容(P袄O8移):组织于需求芦符合避法律源与合转同条技款法律恐、规市章和尤合同追踪盯法律模和法防规的须发展对遵指从性膊有规屈律的机监测安全迷和人去类环锦境改洁造学隐私知识化产权二、盏计算采机稽辜核的航主要拿内容避（15）56案例案十：20丈09年中御国人钻民银北行下认发了密银办柱发[2蹄00描9]演11牌5号文《中国贼人民合银行宗办公如厅关瞎于开诊展20咸09年全鞠国商伶业银羞行网艇上银竟行信迫息安上全现滤场检尊查的捉通知》。检葡查的匙目的臂是帮坏助商走业银梅行及涝时发朗现网来上银稼行信扎息安晶全的趟漏洞耳和风减险隐答患并震有效薄开展蛙整改动工作轧，降庆低网崇银安皮全事贞件发炎生概苍率。案例分析（10）57检查环内容件是对翼网银甘的安利全技卧术（胜客户幅端、阳认证仇介质回、传劲输网趟络、管后台贝）、鸟安全棉管理耳、与尘技术面相关货的业警务安搂全等雨情况门开展熟现场怒检查赵，查掩找网毕银信志息系兽统和济应用碎存在膛的安臂全隐怠患，继督促晚商业编银行压完善膨各项员方法涉措施妻，提协高服象务水葡平和川质量启及抗增风险居能力春和意稳识，顽为网拐银用肢户提烟供安订全和怀可靠棵的服扒务环执境。问题:现在丑领导驶要求巩你带拦领一筛个稽愉核组孙先开督展网追上银送行的扛内部岸稽核与工作磁，形幸成稽翁核报王告，镜并在监此基益础上砌迎接匀人民向银行冬的检疫查。壳请问辣你如屿何制料定稽县核方外案？金如何匹开展狸工作全？58目标:确保缸有效她途径证满足住用户禁的需饭求;能够甘有效午支持利业务盲过程;提供营支持波业务芝应用傍的适堪当平神台，满疲足业京务需先求；检验塞和确颜认解矿决方裤案满狂足预签期的牛目标茄；使中霜断、覆未经驰授权负的变梦更和爪差错简的可透能性域最小析化。11枯.外包道（AI良1，AI路2，AI府3，AI境4，AI谱5，AI众6）二、阻计算筹机稽各核的斗主要匀内容树（16）59主要皮内容:确定例自动薄化的腐解决绸方案足（AI政1）市场至上可则用的头解决受方案煎的认护知获取宫和实将施方阅法用户狭参与浇和大汉宗买投进与企冷业和IT战略隶的结年合信息步需求型的定票义可行酱性研爹究（海费用繁、收复益、戏可选缴方案吃，等颠等）功能省性、呀可操遗作性龄、可侵接受写性以耽及可局支撑原性需女求符合求信息根体系罪结构成本/效益割的安越全和趟控制供应胁商责姨任二、寄计算紧机稽域核的氧主要野内容蓝（16）60获取应和维颤护应经用软腹件（AI祥2）功能换性测健试和卧验收应用械控制警和安决全要伶求文档暖要求应用井软件腐生命泽周期企业谦信息愿体系四结构系统白开发态生命锄周期蜡方法人机梅接口程序吉包的势用户她化定洒制二、娇计算闷机稽听核的蓄主要笛内容澡（17）61获取织和维互护技骆术基菜础设舅施（AI帝3）遵从左技术稍基础甚设施禾的方正向和饿标准技术腔评估安装跃、维凳护与挂变更愿控制升级站、转张换和砌移植划计划内部旷和外作部基吉础设距施和虏（或礼）资境源的攀使用供货长商责匆任和际关系变更屋管理所有巩者的相总成绘本系统毒软件效安全二、川计算剃机稽传核的宜主要睛内容冈（18）62开发缴和维森护程沾序（AI描4）业务宿过程帽的再异设计由于新其它壤技术肝交付音而产国生的品处理暮程序适时敲的开尸发用户筒程序句与控冻制操作类程序举与控东制培训捡资料变更距管理二、絮计算烘机稽豆核的虽主要栗内容熟（19）63系统偶的安踪蝶装和致鉴定评（AI壤5）用户百和IT操作兔人员乡丰的培粱训数据凤转换反映闪真实己环境季的测洲试环盒境鉴定宁合格在实狸施之孕后的琴评价腹和反冠馈最终浸用户毁参与膜测试持续算的质像量改摄进计抛划业务梳持续永性要赢求容量音和吞补吐量流测量达成歌一致蜘的验元收接河受标咬准二、咱计算姐机稽蚊核的化主要航内容港（20）64管理翠变更喘（AI射6）变更睬的识救别分类捏、排拐列优波先顺话序以萄及紧速急事腰件程钩序影响阴的评妇估变更奶的授舌权版本顷发布恼的管径理软件号的分折发自动扎化工丹具的暗使用配置斑管理业务锣过程抽的重狼新设何计二、邪计算路机稽祥核的味主要删内容泼（21）65一、计算机系统的内部控制二、计算机稽核的主要内容三、计算机稽核的标准四、计算机稽核的流程与方法五、案例分析66三、娇计算课机稽山核的兰标准愧（1）1.IS艇O/槽IE北C1雷77教99/BS纵77传99：信息旅安全遭管理须实用引规则轻IS划O/磁IE指C1董77普99叶的前牌身为纯英国纵的B您S7遍79痛9标袖准，械该标森准由嗓英国把标准爹协会简（B意SI节）于脖19旬95删年2粥月提啄出、渠19届95估年5镜月修院订而顺成，针并于著19动99使年重袄新修捷改了宜该标搏准。互BS架77两99溜分为除两个蜻部分庆：B亲S7磨79胆9-详1，穷信息倾安全份管理郊实施泼规则梁；B危S7疑79扫9-柜2，府信息乌安全林管理合体系轰规范换。该标硬准为行级业或地者商蛮业信旋息系槐统中奖识别旧一系葬列控拒制手生段提仰供独厉立的去参考暖点,总共铜10筛个方观面的处内容钓，1础27刃个控护制点67IS袋AC某A(胳In雕fo典rm胞at跃io橡n靠Sy粗st倒em拾s斗Au盗di棒t炼an熔d拉Co拴nt贿ro扰l浓As哲so约ci僻at寻io院n卡)国际留信息救系统谋审计亩与控刃制协蚁会国际蔽信息筋系统倍审计袋与控羊制协板会（IS岸AC找A，网宜址：ww匙w.敏is锡ac页a.垒or渴g）是摄全球耐公认幻玉的信池息科斥技管垦治、嘱控制轰、安多全，菜以及酷标准闻合规险的领担导组需织，愚会员碗遍布搞逾16逼0个国划家，循总数侨超过86请,0鹊00人。IS睡AC司A成立悔于19逮69年，乡丰除赞怨助国热际会余议外膨，还般有出蹈版刊旺物（IS及AC凳A蔬Jo泊ur窝na失l），袋开发徐国际矿信息努系统厌的审迹计与贤控制及标准是，以盼及颁疏授广站受全浓球接完纳的派国际落公认伸信息个系统匪审计般师（CI撕SA）和好国际充公认偏信息桂保安四经理薯（CI渠SM）专斑业资颗格。三、涌计算常机稽折核的浪标准禁（2）68CI坐SA自19归78年创疏立以竭来已藏获逾60缴,0篮00名专勤业人蛮士取霉得资兽格，袜而CI削SM认可呆资格水自20且02年推金出后比已经据获10刚,0道00多名缸专业蛋人士殖领取疲。IS长AC辽A于20茂08年设宿立了健一项时新的勿认可宅资格舌年腰设立蹲了一克项新损的认流可资揭格，宵名为辉「企遭业信喷息科萄技管眨治认院证（CG溪EI帅T）」糠。三、镇计算之机稽欣核的械标准求（2）692.泼CO松BI糕T什么们是CO蓝BI俗T壶——信息芒及相集关技畜术的话控制活目标CO旗BI辅T为正砌在寻蜻求控铅制实痰施最屿佳实矛践的翻管理云者和IT实施包人员留提供摸了超宝过30形0个详帜细的笔控制诸目，油以及且建立决在这比些目顷标上街的广挽泛的针行动爹指南碌。CO凑BI较T实现抓了企踢业目酱标与IT治理作目标升之间子的桥粘梁作朱用。三、械计算艘机稽观核的预标准骗（3）70CO后BI斩T实现六可跟梯踪的纳业绩砍衡量补，通沉过平长衡记扔分卡寨可以柿在财晚务（员企业奔资源索管理贿）、戏客户艰（客棋户关陈系管搞理）乔、过死程（番内部会网，捞工作彻流工听具）虏、学训习（病知识概管理下）等招方面好维持宿平衡贱，评软价企收业目谁标的挽实现帝情况俊以及IT绩效浓，并渣调整窃业务睁目标骨和IT战略样，进陡行持令续的IT管理永。三、味计算伞机稽祝核的风标准咱（3）71CO历BI斑T采用泽成熟模度模州型，胳可以阔定位掠自己篮企业翼的IT管理宽目前茫在业粥界所扑处的益位置月，以社及未饶来努添力的作方向高，通呼俗地劲说就糖是给IT管理发“打让分”兔。CO船BI捧T还提脚供了盈目前卫最佳响案例梨和关挽键成瞒功因非素（CS退F），栏供企钥业和份组织舰借鉴陆。作为IT治理洋的核箭心模辉型，CO震BI脏T包含34个信徐息技雾术过军程控弃制，睛并归网集为臣四个异控制秧域：IT规划曾和组唯织（Pl叔an捧ni取ng亲_嫩an软d岔Or伐ga蹦ni脸za策ti陕on）、理系统敌获得耀和实阿施（Ac叹qu完is器it尾io突n铸_a康nd绍I乒mp陵le标me唤nt吹at吃io鲁n）、泰交付肥与支宁持（De鱼li持ve分ry汽_霸an膛d颗Su某pp降or裁t）以么及信婶息系到统运层行性要能监确控与刘评价冻（Mo算ni鼻to秤ri纺ng）。三、胶计算哭机稽裳核的浑标准缝（3）72CO晋BI鬼T框架侨措施滋：与业竭务保每持联比系；采用辈通用剧过程寇模型问的方盯式来豆组织IT活动侨；识别叠需要胞调节渣的重依要IT资源包；规定乐管理费者应姐该考啦虑的斑控制扶目标三、皂计算剃机稽棒核的孔标准虚（4）73CO示BI院T与IT治理张有什详么关蒜系——提供吉管理悔工具岸来提搏升IT和衡奇量治劳理水纪平IT治理抬关注息的领隐域战略世协调生；糟价室值交植付；博绩效勇衡量判；绣风险吃管理李；饥资碍源管拢理。三、石计算名机稽灵核的喜标准事（5）74IT治理计划港与组唉织监控交付窗与支吼持采购壶与实部施效力效率机密最性机密厨性完整敢性有效蠢性依从肿性可靠险性信息人力应用副系统技术设备数据IT资源《信息照安全疲监控士与安盼全事斑件报渐告管礼理制科度》《信息渗系统罪监控星制度》醒《S衔AP系统近监控队制度》《I优T服务成水平符管理球制度》《第三乐方服忍务商箩管理眠制度》《信息毫安全链管理炒制度》《系统哈帐号少管理坑制度》《系统依配置组与基竖础架搂构变辛更管市理制洁度》《榆SA祸P应用奥系统芽帐号各管理顺制度》《操作炎管理数制度》《数据寄管理生制度》《备份摔管理卷制度》《软件柄许可屋管理雁制度》《防火鱼墙与四安全米网关蚊管理巷制度》《防病条毒管淹理制秃度》《计算极机用拢户安缩慧全管奋理制地度》《机房宋管理喉制度》《远程弯访问桨管理哄制度》《软件厕开发亏管理男制度》《软件庙变更验管理弦制度》《I缘瑞T软硬肿件采齿购管石理制点度》《信息护技术钻制度贞维护各制度》CO茂BI气T《第三砖方连川接安竖全管障理制碧度》《问题帅处理夫管理教制度》三、虹计算利机稽列核的瞒标准交（6）75CO塌BI佛T框架乞和核坚心组巨件三、盛计算躁机稽畅核的圆标准战（7）76域IT过程4个部分1PO策划与组织PO1定义IT战略计划PO2定义信息架构PO3确定技术导向PO4定义IT过程、组织和关系PO5IT投资管理PO6沟通管理目的和方向PO7IT人力资源管理PO8质量管理PO9IT风险评估及管理PO10项目管理高级控制目标详细控制目标管理指南成熟度模型2AI获取与实施AI1识别自动化解决方案AI2获得并维护应用软件AI3获得维护技术基础设施AI4保障运行和使用AI5获得IT资源AI6变更管理AI7安装、授权解决方案和变更三、渴计算尊机稽画核的羽标准遮（8）77域IT过程4个部分3DS交付与实施DS1定义与管理服务水平DS2第三方服务管理DS3性能与容量管理DS4确保连续服务DS5确保系统安全DS6确认并分配成本DS7用户培训DS8客户辅助与建议DS9配置管理DS10问题与事件管理DS11数据管理DS12设备管理DS13操作管理高级控制目标详细控制目标管理指南成熟度模型4ME监控与评价ME1监控流程ME2评估内部控制适合度ME3获得独立的保证ME4提供独立审计三、灯计算级机稽刺核的庄标准左（8）78三、翠计算轧机稽佩核的腐标准办（9）CO竿BI理T4款.120挣07年5月8日，IT察GI发布CO扶BI红T委4.挂1，它韵是CO漫BI艇TI宁T治理邻框架洽的最梁新版婚本。CO赞BI宏T辱4.痕1是CO抖BI不T被4.等0框架里的一阁种微涨调。CO狠BI帝T崭4.侄1的更伪新包闯括提苹高了晒性能颜测量选、改燃善了亏控制白目标甲并且赏对商槐业和IT目标弦有了宿更好带的定赢位。79Co喇bi音T4话.1补充告了对励执行士概要灰部分牙的描脚述，堵对绩绩效评误价的泡解释绞更为优清晰被，对IT目标轨、流刷程和海活动总目标暮这一返瀑布功式的乒每个束部分岭都增惕加了获评价裁标准仗，并色且扩沉展了笼绩效尾驱动着因素固和结晚果衡某量标物准之仿间的肾区别犹。结德果的竭衡量煤标准桐（KG丽I）同侍时也孕是更炮高层林级目臣标的箭驱动从因素怠（KP弟I）。椒由于兄控制蚊实践敢和Va倒l乞IT模型井的开程发，Co研bi走T4自.1同时递还包名括更毫完善轮的控且制目遍标。三、鼠计算摸机稽尽核的顶标准其（9）80在控爱制目测标这辉个层锦面，霸控制务目标相的定器义也表有所碎变化讽，变熟得更音加贴宰合管抬理实航践。励一些比控制芳目标筐被重挑新定录义和鄙分组欺，以赢防止透控制核目标士的交燃叠，更使整瓣个控诵制目卵标更传加协虑调。蹦在Co缩慧bi劈燕T4夸.1中，AI截5.争4，AI丧5.杀5和AI艇5.界6合并丝式成了那一个躲，AI英7.常9，AI卧7.剃10和AI辟7.腊11也合把并成乳了一所个。三、却计算谜机稽扛核的典标准烧（9）81三、家计算捐机稽椅核的射标准旧（10）3.银监顿会《商业希银行占信息侄科技俘风险庭管理父指引》银监迷会20社09年3月发循布《商业篮银行陪信息桌科技忧风险眯管理释指引》（以足下简足称《管理位指引》），铁原《银行挖业金鸣融机眯构信培息系闯统风汇险管台理指标引》（银臣监发喊［20戴06］63号，禁以下观简称点原《指引》）同斧时废披止。82《管理摄指引》具有示以下镰几个碰特点舌：一凑是全画面涵桨盖商敌业银疤行的挠信息蛙科技烟活动慌，进付一步妹明确凶信息王科技谎与银者行业点务的歼关系暑，对荡于认羞识和摆防范穗风险闸具有乏更加唉积极蕉的作盆用；验二是报适用使范围洽由银播行业悄金融暖机构妹变为矮法人它商业亡银行晌，其性他银晓行业色金融罚机构衫参照认执行医；三愈是信舰息科阔技治铸理作祝为首含要内宣容提块出，即充实淹并细漫化了速对商千业银振行在膏治理执层面限的具鸦体要姥求；三、踩计算政机稽穗核的酿标准知（10）83四是守重点永阐述窃了信殿息科躬技风至险管歉理和娃内外金部审炕计要冶求，膛特别烘是要肠求审授计贯岂穿信康息科男技活抬动的黎整个肥过程圈之中步；五哗是参刺照国买际国耕内的挡标准放和成谈功实串践，龟对商销业银男行信俗息科料技整初个生床命周贷期内忆的信炼息安近全、烛业务痒连续筐性管妇理和今外包卖等方施面提旺出高许标准钱、高玩要求旨，使赠操作趴性更零强；书六是素加强肃了对挽客户便信息迁保护唯的要乔求。新《指引》共十暗一章瞧七十闯六条旷，分画为总慌则，沉信息持科技总治理势，信惜息科常技风此险管绝理，钞信息脸安全灰，信胶息系崭统开死发、疏测试森和维树护，蒙信息恳科技翠运行门，业视务连墓续性丝式管理根，外干包，装内部扯审计恳，外隆部审恩计和陷附则怒等十荷一个抵部分器。三、任计算密机稽茫核的剂标准滤（10）84一、计算机系统的内部控制二、计算机稽核的主要内容三、计算机稽核的标准四、计算机稽核的流程和方法五、案例分析85稽核嘱对象好的定婚义——准确暂的定触义被启审系独统对不审计仓工作绸的成气败有笑决定烂性的扭影响糊。以淡网上院银行迈系统井功能战为例祸，可旺能被诉审计只的系恶统功差能如睛下：开帐录户转帐网上家支付网上消查询申请肆信用眉卡外汇善及证乒券交斩易三、巨计算亏机稽孕核的墨流程醒和方肥法（1）86计算捆机稽茂核的丽流程腰根据反各风失险的始评级旦，可格拟定蹈以下戒对系靠统的新信息币需求溜：有效坏性(E窃ff掀ec未ti机ve尸ne基ss亡)运行壮效率(E槐ff五ic高ie厌nc适y)保密济性(C劣on傻fi贴de煎nt耻ia张li派ty资)完整就性(I剑nt周eg称ri锋ty过)实时弓性(A责va惭il竹ab光il滤it壤y)合规捏性(C励om卧pl乌ia郊nc剧e)可依够赖性(R淹el兽ia接bi堵li担ty湿)三、所计算恭机稽驾核的旧流程视和方鞠法（2）87稽核高流程1:识别役系统督特性硬件背配备貌（Ha愿rd团wa捐re）软件翠配备纪（So强ft碧wa鸦re）系统斜接口蛛及数浇据流类向（Sy昨st碗em铜i淘nt显er衬fa型ce胸s昨an钩d拐In摆fo抬rm纽奉at缸io张n付fl挠ow谈)业务前数据苍与关焦键信凭息仅（Da枪ta丸a智nd穗I毁nf贺or乒ma凉ti宏on）三、往计算滨机稽赠核的否流程盾和方报法（3）88数据钞机密功性混（Da辣ta脉S遮en俩si偷ti啄vi皮ty）系统店用户棕（Us加er该o弓f达th霉e溪sy刚st超em）数据伤存储怀（In踪蝶fo北rm辛at蹲io傍n垃st辞or叼ag贝e）IT环境照安全繁（En槽vi排ro霜nm汪en闷ta丘l虚Se魄cu霉ri紧ty）三、糕计算品机稽否核的赤流程嫩和方狐法（3）89稽核糟流程2:考虑汽可能碎的威编胁外部稠的攻湖击权（如De买ni择al稀o夏f纪Se若rv游ic箭e）非授钟权数彻据存庆取非授颤权操僻作岗位龟牵制窑不足人员尸操作勉失误缺乏毛检查钉和监羞督三、台计算茎机稽葵核的剧流程尽和方你法（4）90稽核温流程3:审阅才可能米存在如的漏开洞过期时帐号夺（Te木rm清in梁at复ed陵e动mp线lo际ye托es浙I昏D狡no盼t已re斗mo符ve遵d逃fr畏om便s沸ys领te篮m）防火态墙配或置漏善洞棚（Fi招re症wa秘ll钱a竞ll拳ow如s凤in浴bo死un胡d衰te庭ln柄et）三、黄计算欢机稽的核的则流程贝和方裤法（5）91临时溜帐号届被起盐用恒（Gu铜es残t功ID棉a蔬re沃e冤na梳bl便ed）未及课时安绳装安