内部审计（李江涛）信息化与内部审计

SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计信息系统的内部审计IT治理审计信息系统生命周期管理审计IT服务的交付与支持审计信息资产安全审计业务持续计划与灾难恢复审计SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计IT治理审计IT治理审计确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督，以达到公司治理中对IT方面的要求。﹡IT治理的涵义IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。通过上述定义我们可以看出：1、IT治理必须与企业战略目标一致。2、IT治理和其他治理主体一样，是管理执行人员和利益相关者的责任。3、IT治理保护利益相关者的权益，使风险透明化。4、信息技术治理包括管理层、组织结构、过程。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计主要知识点A、公司治理B、董事会和高级管理层的监督和保证实务B1、IT治理的最佳实践B2、IT战略委员会B3、标准IT平衡记分卡B4、信息安全治理B5、企业架构SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计有效的公司治理注重个人和团队在特定领域中最有效的专门技能和经验。长期以来，仅作为组织战略促进因素的信息技术，现在被看作是整体战略的一部分。首席执行官(CEO),首席运营官(COO)、首席财务官(CFO),首席信息官(CIO)和首席技术官(CTO)在IT与企业目标间能达成战略一致是关键成功因素。通过经济、有效地使用安全、可靠的信息和应用技术，IT治理能有助于实现这个关键成功因素。信息技术对企业的成功是如此重要，因此，不能把其职责放给IT管理人员或IT专家，而必须得到整个高级管理层的关注。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计C、信息系统战略C1、战略规划C2、指导委员会SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计从IS的角度来看，战略规划是组织为了利用信息技术来改善业务流程而确定的长期发展方向。高级管理层的职责包括确定成本有效的IT方案以解决问题并抓住组织所面临的机遇，制定识别和获取所需资源的行动方案。在制定战略规划时(通常是3到5年)，组织应当确保规划始终与组织的总体目标保持一致。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计组织高级管理层应当组建一个计划或指导委员会来监督IS职能及其活动。高层的信息技术指导委员会是确保IS部门与公司使命和目标协调一致的重要因素，虽然没有统一的规定，但最好是从董事会中挑选一位理解信息技术及风险的成员来担任该委员会的主席。委员会应当包括来自高级管理层、用户管理层和IS部门的人员。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计D、政策和程序DI、政策D2、程序SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计政策是高层次的文件，代表了组织的企业文化和高级管理层与业务流程所有人的战略思考。政策必须清晰、准确才能有效。对与组织的总体目标与方针有关的政策的规划、制定、成文、颁布和控制，管理层应当明确其相关职责，以此来建立一种良好的控制环境。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计程序是为实施政策而制定的制度化的详细步骤，必须根据上层政策来制定并体现政策的精神或意图。程序必须清晰、准确，使执行人易于正确理解。程序反映了业务流程(管理和运营层面)及嵌入的控制。程序由流程所有人制定，是对政策的有效解释。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计E、风险管理E1、制定风险管理程序E2、风险管理过程E3、风险分析方法SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计F、IS管理实务F1、人力资源管理F2、采购实务F3、组织变更管理F4、财务管理实务F5、质量管理F6、信息安全管理F7、绩效优化SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计G、IS组织结构和职责G1、IS角色和职责G2、IS内的职责分离G3、职责分离控制SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计﹡审计在IT治理中的作用1、审计人员向高级主管提供建议，以帮助他们提高IT治理的质量和效果。2、审计对IT治理的符合性进行持续监控。﹡审计IT治理结构和实施情况应当进行审计的文档：1、信息技术战略、计划和预算。2、安全政策文档。3、组织/职能图。4、工作描述。5、指导委员会报告。6、系统开发和程序变更流程。7、操作程序。8、人力资源手册。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计﹡面谈和观察工作中的员工观察工作中的员工可以帮助内部审计人员识别：1、员工实际的职能-----信息系统审计师可以了解相关政策和程序是如何被理解和执行的。2、实际流程/程序-----信息系统审计师可以获得政策遵循性的证据，并发现可能的偏差。3、员工的安全意识-----信息系统审计可以检验员工对保护公司资产的安全控制措施的理解与执行情况。4、工作汇报关系------确认分配的责任被履行，并有充分的职责分工。﹡审核合同义务验证合同订立过程中管理层的参与；审核合同的遵循性；要求对这些合同的某个样本执行独立的遵循性审核。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计2、信息系统生命周期管理审计项目管理审计软件获取过程审计详细设计和编码阶段审计测试阶段审计安装阶段审计需求定义阶段审计安装后七大部分SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计（1）项目管理审计评估SDLC每个阶段的相关风险内部审计人员审查SDLC过程评估团队在指定期限内交付关键产品的能力。内部审计人员应当审查以下项目管理活动的充分性：﹡项目指导委员会的监督级别﹡项目中采用的风险管理方法﹡项目成本管理﹡项目计划管理的流程﹡向管理层汇报的流程﹡变更控制的流程﹡利益相关者参与管理﹡签字与审批流程SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计另外，各阶段都要有完整充分的文档作为证据，至少应包括以下类型:每个阶段要完成的目标定义文件;每个阶段要交付的成果以及关键项目成员所需负责的任务;着重指出关键成果交付期的项目进度表;各阶段需要的资源及其成本预测分析。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计可行性研究阶段的审计内部审计人员的主要工作包括：在具体审查可行性研究阶段时，IS审计师的主要工作包括：﹡审查该阶段产生文档的合理性﹡判断是否所有的成本收益都是真实的﹡识别并判断系统需求的必要程度﹡判断是否能够通过现有的系统来解决问题。如果不能，则评估替代方案的合理性﹡判断所选解决方案的可行性SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计（2）需求定义阶段的审计内部审计人员的主要工作包括：﹡获取详细的需求文档，通过和相关用户部门面谈确认它的正确性；﹡确定项目组的关键成员是否能够代表所有业务部门；﹡判断项目的发起和成本是否都已经得到适当的授权批准；﹡审查系统的概念设计说明〔如数据转化处理、数据描述等)，判断它们是否符合用户的需求；﹡审查概念设计说明，确保适当的控制机制得到清楚定义﹡确定适当数目的供应商，并对这些供应商发送涵盖项目所有范围及用户需求的招标书；SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计﹡审核UAT规范【在软件开发中，用户验收测试（UAT，user

acceptance

testing）－也叫作beta测试。】﹡确定此应用程序是否适合嵌入式的审计方法，如果是，要求将嵌入程序并入到系统概念设计中。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计a测试和β续试(Alpha

Testing

and

beta

testing)在软件交付使用之后，用户将如何实际使用程序，对于开发者来说是无法预测的。因为用户在使用过程中常常会发生对使用方法的误解、异常的数据组合、以及产生对某些用户来说似乎是清晰的但对另一些用户来说却难以理解的输出等等。如果软件是为多个用户开发的产品，让每个用户逐个执行正式的验收测试是不切实际的。很多软件产品生产者采用一种称之为

a测试和β测试的测试方法，以发现可能只有最终用户才能发现的错误。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计a测试是由一个用户在开发环境下进行的测试，也可以是公司内部的用户在模拟实际操作环境下进行的测试。这是在受控制的环境下进行的测试。a测试的目的是评价软件产品的FURPS(即功能、可使用性、可靠性、性能和支持)。尤其注重产品的界面和特色。a测试人员是除开产品开发人员之外首先见到产品的人，他们提出的功能和修改意见是特别有价值的。a测试可以从软件产品编码结束之时开始，或在模块(子系统)测试完成之后开始，也可以在确认测试过程中产品达到一定的稳定和可靠程度之后再开始。有关的手册(草稿)等应事先准备好。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计β测试是由软件的多个用户在一个或多个用户的实际使用环境下进行的测试。与a测试不同的是，开发者通常不在测试现场。因而，β测试是在开发者无法控制的环境下进行的软件现场应用。在β测试中，由用户记下遇到的所有问题，包括真实的以及主观认定的，定期向开发者报告，开发者在综合用户的报告之后，做出修改，最后将软件产品交付给全体用户使用。β测试着重于产品的支持性，包括文档、客户培训和支持产品生产能力。只有当a测试达到一定的可靠程度时，才能开始β测试。由于它处在整个测试的最后阶段，不能指望这时发现主要问题。同时，产品的所有手册文本也应该在此阶段完全定稿。由于β测试的主要目标是测试可支持性，所以β测试应尽可能由主持产品发行的人员来管理。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计（3）软件获取过程的审计内部审计人员的主要工作包括：﹡分析可行性研究的文件，判断购买方案的决策是否适当﹡审查RFP文件的要求（需求方案说明书Request

for

Proposal），保证它涵盖了用户的需求﹡判断发给供应商的文件，是否对供应商的选择有倾向性﹡在与供应商签订合同之前，审查合同并确定没有遗漏﹡保证合同在签订之前由法律顾问审查过SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计（4）详细设计和编码阶段的审计内部审计人员需要：﹡审查系统流程图是否符合总体设计。确认所有变更均事先与相关的用户讨论过并获得其认可，这些变更均经适当的批准；﹡（抽查一部分程序，看是否遵循了标准，程序是否符合系统设计）﹡审查系统中所设计的输入、处理及输出控制是否适当；﹡审查系统关键用户是否理解系统如何操作，并定出他们在对屏幕格式及输出报告上参与设计的等级；SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计﹡评估审计轨迹是否能够充分跟踪系统事务处理；﹡确认关键计算及处理程序的正确性；﹡确认系统能识别错误的数据并能够适当处理；﹡审查本阶段所开发程序的质保结果；﹡证实所有对程序错误所提出的修正建议被执行，所建议的审计轨迹或嵌入式审计模块已嵌入适当的程序之中。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计﹡检查用户参与测试的证据，考虑重新运行关键测试﹡检查错误报告，判断报告对错误资料的识别及解释能力﹡审查的周期性作业处理（如月末、年末的报表处理等）﹡审查系统和终端用户文档，判断其完整性与正确性﹡询问终端用户，了解他们是否理解新方法、步骤和操作指令（5）测试阶段的审计系统测试的工作量和成本占到整个开发工作的40％－50％。内部审计人员对测试阶段的审计必须全面投入内部审计人员的主要任务SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计﹡审查系统和终端用户文档，判断其完整性与正确性﹡审查并行测试结果的正确性﹡进行访问测试，判断系统安全措施是否按设计要求有效执行﹡检查单元测试和系统测试计划，判断计划是否完整，是否已包含内部控制测试；﹡审核用户接受测试以保证被接受的软件已经交付给实施团队，供应商不应该替换版本；﹡审查记录的使用过程以及错误报告。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计实施阶段的审计该阶段只有在成功的测试过程结束之后才能进行。系统必须按照组织的变更控制程序安装。IS审计师必须确认:﹡审查用来为系统排程的程序及用来执行日常作业排程的参数﹡审查所有系统文档，判断其完整性及在测试阶段的更新均反应在文档中﹡在系统投入日常作业前确认所有数据的转换，保证其准确性和完整性SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计实施后评审新系统在日常作业环境中稳定下来之后，需要进行实施后评审。在评审之前，重要的一点是有充分的时间在生产环境下使系统稳定，这种方式可以使任何主要问题有一个机会浮现出来。﹡确定系统的目标和需求是否已经达到。在实施评审中，必须特别注意终端用户的使用情况及对系统的总体满意度，这些是系统目标和需求是否已达到的指标；﹡确定可行性研究中的成本收益是否已经衡量、分析并报告给管理层；﹡审查已执行的程序变更需求，评估系统变更的类型。从变更的

类型可以看出在设计、编程等方面的问题或进一步理解用户需求；SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计﹡审查系统内建的控制机制，确定它们在按设计耍求运作。如果系统中已嵌入审计模块，则使用该模块去测试关键作业；﹡审查操作人员的错误日志，决定系统是否存在固有的操作或者资源问题。日志可指出在安装前系统不适当的设计或测试程序；﹡审查输入及输出的余额并进行报告，证实系统准确地处理了数据；SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计3、IT服务的交付与支持审计操作系统审查调度审核问题管理报告审核数据库审核硬件审查IT服务的交付与支持审计SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计（1）硬件审查硬件审查应包括：﹡审查硬件的能力管理程序和性能评估程序﹡审查硬件获取计划、审查微机(或PC)获取标准﹡审查变更管理控制。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计（2）操作系统审查操作系统审查方法包括：﹡会见技术服务和其他人员﹡审查系统软件选择程序、可行性研究和选择流程﹡审查系统软件程序的成本效益分析﹡审查对变更后系统软件的安装的控制﹡审查系统软件维护活动、变更控制﹡特别审查系统文档的安装控制语句和参数表以及活动日志SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计（3）数据库审核﹡设计----确认存在数据库模型；审核逻辑模式；审核物理模式。﹡访问----对数据库以及存储过程、触发器的重要访问应进行分析。﹡管理----所有用户的安全级别和角色应在数据库中加以标识。所有用户或用户组的访问权限应有正当的理由。﹡接口----验证数据导入导出程序以保证数据的完整性和私密性。﹡可移植性----应尽量使用结构化查询语言（SQL）。数据库审核包括：SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计（4）问题管理报告审核在执行问题管理报告的审计时，内部审计人员应保证己经制定了符合管理层意图和授权的充分的书面程序，以指导信息系统运行人员及时地记录、分析、解决和上报问题。内部审计人员应执行程序来保证问题管理机制正在得到适当维护，并且重要问题得到了充分重视和及时解决：﹡审查性能记录，确定问题是否在处理期间存在；﹡审查应用程序处理延迟的原因，确定它们是否正当；﹡确定IS运行部门标出的所有问题均得到记录，以便进一步查证和定位；﹡审查问题报告系统生成的IS管理层报告，确认这些报告经过了管理层审查。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计（5）调度审核审计步骤：﹡获得一个定期调度的应用列表及相关信息。﹡审查控制台日志，确定调度的作业是否按计划完成。﹡审查调度安排，确定是否为每个应用分配了处理优先级。﹡确定急需/重新运行作业的调度是否和分配给它们的优先级一致﹡确定是否已对关键应用进行了标识。﹡保证日常作业计划为计算机操作员的轮换规定了要完成的工作、程序运行的顺序以及执行低优先级任务的时间等。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计4、信息资产安全审计（1）逻辑访问审计内部审计人员在评价逻辑访问控制时，要着重注意以下各个方面：﹡通过审核相关文档、询问相关人员等方法，获得对组织信息安全风险的整体了解。﹡通过审核系统软硬件的安全功能和识别系统中存在的缺陷，记录和评价系统中已有访问路径的控制是否充分有效。﹡对访问路径的各种控制进行测试，以判断它们是否正常起作用。﹡通过分析测试结果和其他审计证据，评价访问控制环境，以判断其是否达到了控制目标。﹡通过审核组织的书面政策，现场观察安全实践与程序，对比其他组织的安全标准与实践等方法，来评价安全环境并评估其充分性。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计与系统人员会谈为了管理及维护在计算机信息访问过程中的各项软硬件设施，组织需要精通各种设施的技术专家，这些专家是内部审计人员了解安全管理过程的重要信息来源。通常这些技术专家包括安全管理员、网络控制负责人、应用系统开发负责人等。内部审计人员应当与信息部门经理会谈，并检查部门组织图及相关人员工作职责。内部审计人员应当选择一些员工进行面谈，以评价员工对组织安全政策与程序的了解程度。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计审核访问控制软件的相关报告访问控制软件提供的记录与报告可以帮助安全管理员有效监控计算机使用情况，并判断与组织安全政策的符合性情况。通过检查这些记录及报告，内部审计人员可以评估是否存在足够的数据，以支持对安全事件的调查，以及评估安全管理员日常是否对这些记录及报告进行了检查。不成功的访问企图应当被系统记录下来，记录的内容包括其时间、终端、登录账号，企图访问的文件和数据。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计审核应用系统操作手册应用系统操作手册是一种软件使用指南，应当包括系统安装、配置、使用等各方面的详细说明，此文档还应当包括支持此应用系统正常运行所需的操作系统平台、数据库管理系统、编译程序、解释程序、通信监控等相关信息。应用系统应当具有完备的操作手册，这是用户正常使用软件的基础保证。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计对安全进行测试终端识别卡及钥匙的使用内部审计人员选择几种终端设备识别卡及钥匙作为样本，测试试图越过访问权限的行为能否被计算机访问控制系统所拒绝。内部审计人员还应了解安全管理员是否对非法访问行为进行必要的跟踪调查。终端设备确认内部审计人员在网络管理人员的协助下，取得终端设备地址及物理位置的清单，然后根据此清单盘点终端设备，以确认所有终端都记录在案。内部审计人员还应抽样调查终端设备，确认其在网络上确实存在。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计登录账号和口令为了测试登录口令的安全性，内部审计人员应试图猜测一些员工登录的口令，但应谨慎行事，以免打扰员工。内部审计人员应巡视用户和程序员的工作环境，观察是否有人将口令贴在终端设备上、存放在抽屉中或记录在卡片文件中；另一个需要检查的地方就是办公室的垃圾桶，看是否能找到口令或其他机密信息；内部审计人员还可以测试使用社交工程的方法从员工那里获得口令信息。一般来说，员工不允许随意泄漏口令信息，除非得到管理层特殊授权或者组织安全政策许可。(哈氏急智)SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计（2）网络基础架构的安全审计1、审计远程访问----内部审计人员应确定组织已为所有的远程访问提供了控制措施；审核现有的远程访问结构；测试访问控制。2、网络穿透测试----内部审计人员利用黑客技术，对组织的网络进行测试。3、网络综合评估----对整个网络系统的漏洞进行综合性的审核，确保信息资产的机密性、完整性和可用性。4、对局域网的评估----对局域网络环境及其访问控制进行评估，并对局域网环境下的主机操作系统和应用系统的访问控制进行评估。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计五、业务持续计划与灾难恢复审计保持业务持续运行最根本最终目标恢复关键应用的数据和制定、应用灾难恢复计划，保护过程中的人员、处理过程以及信息处理场所使业务操作持续运行，保持在任何情形下可以持续运行的能力。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计（一）数据备份备份是一种数据安全策略，通过备份软件把数据备份到磁带上，在原始数据丢失或遭到破坏的情况下，利用备份数据把原始数据恢复出来，使系统能够正常工作。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计备份策略备份策略主要包括全备份、差分备份、增量备份、备份介质轮换。全备份是将系统中所有的数据信息全部备份，增量备份是只备份上次备份后系统中变化过的数据信息，差分备份则只备份上次完全备份以后变化过的数据信息，备份介质轮换是轮流使用备份介质的策略，好的轮换策略能够避免备份介质被过于频繁地使用、以提高备份介质的寿命。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计备份方式备份方式的选择可以分为3种方式：硬件备份、软件备份和人工备份。硬件备份指用冗余的硬件来保证系统的连续运行，比如磁盘镜像等方式。软件备份是指将系统数据保存到其他介质上，当出现错误时可以将系统恢复到备份时的状态。由于这种备份是由软件来完成的，所以称为软件备份。人工级的备份最为原始，也最简单和有效。但用手工方式从头恢复所有数据，耗费的时间过长。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计备份场所备份解决方案必须确定另一个备份场所，也就是备份中心。备份中心必须满足以下条件：具备与生产中心相似的网络和通信设置；具备业务应用运行的基本系统配置；具备稳定、高效的通讯线路连接中心，例如光纤等，确保数据的实时备份；具备日常维护条件；与生产中心相距足够安全的距离；备份中心应避免与生产中心遭受同样的灾难。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计（二）灾难恢复和业务持续性计划（BCP）灾难恢复与业务连续性计划(BCP)是组织为避免关键业务功能中

断，减少业务风险而建立的一个控制过程，它包括了对支持组织关键功能的人力、物力需求和关键功能所需的最小级别服务水平的连续性保证。BCP关注的是组织日常风险管理程序所不能完全消除的剩余风险，BCP的目标就是要把组织的剩余风险和因意外事件产生的风险降到组织可接受的程度。

BCP应当主要是组织最高管理层的职责，因为最高管理层对组织的资产和生存负有最高责任。BCP制定与推行后，最高管理层还敦促组织中的各个部门在进行业务恢复时，都要严格遵照BCP的要求。BCP的制定应当涵盖组织为生存和达成业务目标所需的重要业务功能与资产，通过建立规范的BCP程序来最小化业务中断的风险，以实现组织的持续发展。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计全自动恢复系统它配合区域集群等高可靠性软件可在灾害发生时自动实现：生产中心的应用切换到远程的灾难备份中心，并把生产中心的数据切换到远程的灾难恢复站点。并且它在生产中心修复后，把在灾难恢复站点运行的应用，返回给生产中心，操作非常简单。在灾害发生时，全自动恢复系统可达到不中断响应的切换，很好地保证了重要业务应用的持续性。这种方法大大地减少了系统管理员在灾害发生后的工作量，但是—些次要因素，如服务器死机、通信联络中断等，也随时有可能引发主生产系统切换到灾难恢复站点的操作。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化与内部审计手动恢复系统在这种应用中，如果生产中心全部被破坏掉，在灾难恢复站点利用手动方法把应用加载到服务器上，并且手动完成将生产中心的数据切换到远程的灾难恢复站点的操作，以继续开展业务处理。在这种方法下，整个系统的安全性非常好，不会因为服务