信息系統(tǒng)審計(信息系統(tǒng)審計基礎(chǔ))(ppt

《信息系統(tǒng)審計(信息系統(tǒng)審計基礎(chǔ))(ppt》由會員分享，可在線閱讀，更多相關(guān)《信息系統(tǒng)審計(信息系統(tǒng)審計基礎(chǔ))(ppt（26頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、1楊 烺 （ CISA）國 際 注 冊 信 息 系 統(tǒng) 審 計 師 2 信 息 系 統(tǒng) 審 計 基 礎(chǔ) 信 息 系 統(tǒng) 審 計 的 起 源 與 發(fā) 展 信 息 系 統(tǒng) 審 計 的 內(nèi) 容 內(nèi) 部 控 制 與 審 計 IT審 計 的 標(biāo) 準(zhǔn) 和 依 據(jù) IT審 計 的 過 程 IT審 計 的 技 術(shù) 3 1. 信 息 系 統(tǒng) 審 計 的 起 源 與 發(fā) 展1.1 國 外 ： 八 十 年 代 、 九 十 年 代 信 息 技 術(shù) 的 進 一 步發(fā) 展 與 普 及 ， 使 得 企 業(yè) 越 來 越 依 賴 信 息 及 產(chǎn)生 信 息 的 信 息 系 統(tǒng) 。 人 們 開 始 更 多 的 關(guān) 注 信息 系 統(tǒng)

2、 的 安 全 性 、 保 密 性 、 完 整 性 及 其 實 現(xiàn)企 業(yè) 目 標(biāo) 的 效 率 、 效 果 ， 真 正 意 義 的 信 息 系統(tǒng) 風(fēng) 險 評 估 與 審 計 才 出 現(xiàn) 。 4 1. 信 息 系 統(tǒng) 審 計 的 起 源 與 發(fā) 展1.1 國 外 ： 信 息 系 統(tǒng) 審 計 與 控 制 協(xié) 會 ISACA (INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION)， 總 部 設(shè) 在 美 國 芝 加 哥 。 目 前該 組 織 在 世 界 上 100多 個 國 家 設(shè) 有 160多 個 分會 ， 現(xiàn) 有 會 員 兩 萬 多 人 ， 它 是 從 事

3、 信 息 系 統(tǒng)審 計 的 專 業(yè) 人 員 唯 一 的 國 際 性 組 織 。 5 1. 信 息 系 統(tǒng) 審 計 的 起 源 與 發(fā) 展1.1 國 外 ： CISA (Certified Information System Auditor)是 信 息 系 統(tǒng) 審 計 領(lǐng) 域 的 唯 一 職 業(yè) 資格 ISACA每 年 舉 辦 CISA資 格 考 試 ， 通 過 考 試的 人 員 可 以 申 請 CISA資 格 ， 符 合 ISACA規(guī) 定的 工 作 經(jīng) 驗 及 其 他 相 關(guān) 要 求 的 申 請 人 會 被 授予 CISA資 格 。 CISA資 格 在 世 界 各 國 都 被 廣 泛的 認(rèn)

4、可 。 國 內(nèi) 獲 得 此 資 格 的 有 三 百 多 人 。 6 1. 信 息 系 統(tǒng) 審 計 的 起 源 與 發(fā) 展1.1 國 外 ： CISA考 試 介 紹 ： 內(nèi) 容 ： 信 息 系 統(tǒng) 審 計 流 程 、 信 息 系 統(tǒng) 的管 理 、 計 劃 與 組 織 、 信 息 技 術(shù) 基 礎(chǔ) 設(shè) 施 與 操作 實 務(wù) 、 信 息 資 產(chǎn) 的 保 護 、 災(zāi) 難 恢 復(fù) 與 業(yè) 務(wù)持 續(xù) 計 劃 、 應(yīng) 用 系 統(tǒng) 的 開 發(fā) 、 獲 得 、 實 施 與維 護 、 業(yè) 務(wù) 處 理 流 程 評 價 與 風(fēng) 險 管 理 。 時 間 ： 每 年 一 次 題 型 與 考 試 語 言 ： 全 部 是 客

5、觀 題 ； 英 文 、中 文 ； 75分 合 格 7 1. 信 息 系 統(tǒng) 審 計 的 起 源 與 發(fā) 展1.2 國 內(nèi) ： 1994 年 2 月 ， 我 國 頒 布 了 中 華 人 民 共和 國 計 算 機 信 息 系 統(tǒng) 安 全 保 護 條 例 ， 提 出了 計 算 機 信 息 系 統(tǒng) 實 行 安 全 等 級 保 護 的 要 求 。安 全 等 級 保 護 的 總 體 目 標(biāo) 是 確 保 信 息 安 全 和計 算 機 信 息 系 統(tǒng) 安 全 正 常 運 行 ， 并 保 障 以 下安 全 特 性 ： 信 息 的 完 整 性 、 可 用 性 、 保 密 性 、抗 抵 賴 性 、 可 控 性 等

6、（ 其 中 完 整 性 、 可 用 性 、保 密 性 為 基 本 安 全 特 性 要 求 ） 。 8 1. 信 息 系 統(tǒng) 審 計 的 起 源 與 發(fā) 展1.2 國 內(nèi) ： 1994 年 2 月 ， 我 國 頒 布 了 中 華 人 民 共 和 國 計算 機 信 息 系 統(tǒng) 安 全 保 護 條 例 ， 提 出 信 息 的 完 整 性 、可 用 性 、 保 密 性 、 抗 抵 賴 性 、 可 控 性 等 要 求 。 1999年 2月 9日 ， 我 國 正 式 成 立 了 中 國 國 家 信 息 安全 測 評 認(rèn) 證 中 心 。 2002年 4月 15日 全 國 信 息 安 全 標(biāo) 準(zhǔn) 化 技 術(shù)

7、委 員 會（ 簡 稱 信 息 安 全 標(biāo) 委 會 ， TC260） 。 2005年 12月 16日 國 家 網(wǎng) 絡(luò) 與 信 息 安 全 協(xié) 調(diào) 小 組正 式 通 過 了 信 息 安 全 風(fēng) 險 評 估 指 南 。 9 管 理 計 劃與 IS的 組織 信 息 資 產(chǎn)的 保 護災(zāi) 難 備 份與 業(yè) 務(wù) 持續(xù) 計 劃技 術(shù) 基 礎(chǔ)與 操 作 實務(wù) 業(yè) 務(wù) 應(yīng) 用 系 統(tǒng)的 開 發(fā) 取 得 實施 與 維 護業(yè) 務(wù) 過 程評 價 與 風(fēng)險 管 理 2. 信 息 系 統(tǒng) 審 計 的 內(nèi) 容 10 一般控制 靜態(tài) IS的 構(gòu) 成 管 理 角 度 管 理 計 劃 與 IS的 組 織 (C2)技 術(shù) 角 度 技

8、 術(shù) 基 礎(chǔ) 與 操 作 實 務(wù) (C3)IS的 控 制與 安 全 正 常 情 況 信 息 資 產(chǎn) 的 保 護 (C4)非 常 情 況 災(zāi) 難 恢 復(fù) 與 業(yè) 務(wù) 持 續(xù) 計 劃(C5)動態(tài) 業(yè) 務(wù) 應(yīng) 用 系 統(tǒng) 的 開 發(fā) 取 得 實 施 與 維 護 (C6)應(yīng) 用 控 制 業(yè) 務(wù) 過 程 評 價 與 風(fēng) 險 管 理 (C7) 3. 信 息 系 統(tǒng) 審 計 與 內(nèi) 部 控 制 11 4. 信 息 系 統(tǒng) 審 計 的 標(biāo) 準(zhǔn) 與 依 據(jù) 可 信 的 計 算 機 系 統(tǒng) 安 全 評 估 標(biāo) 準(zhǔn) （ TCSEC，從 橘 皮 書 到 彩 虹 系 列 ） 由 美 國 國 防 部 于 1985年 公

9、布 的 ， 是 計 算機 系 統(tǒng) 信 息 安 全 評 估 的 第 一 個 正 式 標(biāo) 準(zhǔn) 。 它把 計 算 機 系 統(tǒng) 的 安 全 分 為 4類 、 7個 級 別 ， 對用 戶 登 錄 、 授 權(quán) 管 理 、 訪 問 控 制 、 審 計 跟 蹤 、隱 蔽 通 道 分 析 、 可 信 通 道 建 立 、 安 全 檢 測 、生 命 周 期 保 障 、 文 檔 寫 作 、 用 戶 指 南 等 內(nèi) 容提 出 了 規(guī) 范 性 要 求 。 12 4. 信 息 系 統(tǒng) 審 計 的 標(biāo) 準(zhǔn) 與 依 據(jù) 信 息 技 術(shù) 安 全 評 價 的 通 用 標(biāo) 準(zhǔn) （ CC） 由 六 個 國 家 （ 美 、 加 、 英

10、、 法 、 德 、 荷 ）于 1996年 聯(lián) 合 提 出 的 ， 并 逐 漸 形 成 國 際 標(biāo) 準(zhǔn)ISO15408。 該 標(biāo) 準(zhǔn) 定 義 了 評 價 信 息 技 術(shù) 產(chǎn) 品和 系 統(tǒng) 安 全 性 的 基 本 準(zhǔn) 則 ， 提 出 了 目 前 國 際上 公 認(rèn) 的 表 述 信 息 技 術(shù) 安 全 性 的 結(jié) 構(gòu) ， 即 把安 全 要 求 分 為 規(guī) 范 產(chǎn) 品 和 系 統(tǒng) 安 全 行 為 的 功能 要 求 以 及 解 決 如 何 正 確 有 效 地 實 施 這 些 功能 的 保 證 要 求 。 CC標(biāo) 準(zhǔn) 是 第 一 個 信 息 技 術(shù) 安全 評 價 國 際 標(biāo) 準(zhǔn) ， 它 的 發(fā) 布 對 信

11、息 安 全 具 有重 要 意 義 ， 是 信 息 技 術(shù) 安 全 評 價 標(biāo) 準(zhǔn) 以 及 信息 安 全 技 術(shù) 發(fā) 展 的 一 個 重 要 里 程 碑 。 13 4. 信 息 系 統(tǒng) 審 計 的 標(biāo) 準(zhǔn) 與 依 據(jù) ISO13335標(biāo) 準(zhǔn) 首 次 給 出 了 關(guān) 于 IT安 全 的 保 密 性 、 完 整性 、 可 用 性 、 審 計 性 、 認(rèn) 證 性 、 可 靠 性 6個方 面 含 義 ， 并 提 出 了 以 風(fēng) 險 為 核 心 的 安 全 模型 ： 企 業(yè) 的 資 產(chǎn) 面 臨 很 多 威 脅 （ 包 括 來 自 內(nèi)部 的 威 脅 和 來 自 外 部 的 威 脅 ） ； 利 用 信 息 系

12、統(tǒng) 存 在 的 各 種 漏 洞 （ 如 ： 物 理 環(huán) 境 、 網(wǎng) 絡(luò) 服務(wù) 、 主 機 系 統(tǒng) 、 應(yīng) 用 系 統(tǒng) 、 相 關(guān) 人 員 、 安 全策 略 等 ） ， 對 信 息 系 統(tǒng) 進 行 滲 透 和 攻 擊 。 14 4. 信 息 系 統(tǒng) 審 計 的 標(biāo) 準(zhǔn) 與 依 據(jù) BS7799 是 英 國 的 工 業(yè) 、 政 府 和 商 業(yè) 共 同 需 求 而發(fā) 展 的 一 個 標(biāo) 準(zhǔn) ， 它 分 兩 部 分 ： 第 一 部 分 為“ 信 息 安 全 管 理 事 務(wù) 準(zhǔn) 則 ” ； 第 二 部 分 為“ 信 息 安 全 管 理 系 統(tǒng) 的 規(guī) 范 ” 。 目 前 此 標(biāo) 準(zhǔn)已 經(jīng) 被 很 多 國

13、 家 采 用 ， 并 已 成 為 國 際 標(biāo) 準(zhǔn)ISO17799。 BS7799包 含 10個 控 制 大 項 、 36個 控 制 目 標(biāo) 和 127個 控 制 措 施 。BS7799/ISO17799主 要 提 供 了 有 效 地 實 施 信息 系 統(tǒng) 風(fēng) 險 管 理 的 建 議 ， 并 介 紹 了 風(fēng) 險 管 理的 方 法 和 過 程 。 企 業(yè) 可 以 參 照 該 標(biāo) 準(zhǔn) 制 定 出自 己 的 安 全 策 略 和 風(fēng) 險 評 估 實 施 步 驟 。 15 4. 信 息 系 統(tǒng) 審 計 的 標(biāo) 準(zhǔn) 與 依 據(jù) “ 信 息 系 統(tǒng) 和 技 術(shù) 控 制 目 標(biāo) ” （ COBIT） 是 IT治

14、 理 的 一 個 開 放 性 標(biāo) 準(zhǔn) ， 目 前 已 成為 國 際 上 公 認(rèn) 的 最 先 進 、 最 權(quán) 威 的 安 全 與 信息 技 術(shù) 管 理 和 控 制 的 標(biāo) 準(zhǔn) 。 該 標(biāo) 準(zhǔn) 為 IT的 治理 、 安 全 與 控 制 提 供 了 一 個 一 般 適 用 的 公 認(rèn)的 標(biāo) 準(zhǔn) ， 以 輔 助 管 理 層 進 行 IT治 理 。 該 標(biāo) 準(zhǔn)體 系 已 在 世 界 一 百 多 個 國 家 的 重 要 組 織 與 企業(yè) 中 運 用 ， 指 導(dǎo) 這 些 組 織 有 效 利 用 信 息 資 源 ，有 效 地 管 理 與 信 息 相 關(guān) 的 風(fēng) 險 。 16 4. 信 息 系 統(tǒng) 審 計 的

15、標(biāo) 準(zhǔn) 與 依 據(jù) 17 4. 信 息 系 統(tǒng) 審 計 的 標(biāo) 準(zhǔn) 與 依 據(jù) 18 4. 信 息 系 統(tǒng) 審 計 的 標(biāo) 準(zhǔn) 與 依 據(jù) 19 4. 信 息 系 統(tǒng) 審 計 的 標(biāo) 準(zhǔn) 與 依 據(jù) 20 5. 信 息 系 統(tǒng) 審 計 的 過 程審 計 計 劃 ： 檢 查 被 審 計 單 位 的 IT政 策 、 實 務(wù) 及 組織 結(jié) 構(gòu) ； 檢 查 一 般 控 制 和 應(yīng) 用 控 制 的 情 況 ； 計 劃 控 制 測 試 和 實 質(zhì) 性 測 試 的 程 序 ； 21 5. 信 息 系 統(tǒng) 審 計 的 過 程控 制 測 試 ： 實 施 控 制 測 試 ； 評 價 測 試 結(jié) 果 ； 確 定 對

16、 控 制 的 依 賴 程 度 ； 22 5. 信 息 系 統(tǒng) 審 計 的 過 程實 質(zhì) 測 試 ： 實 施 實 質(zhì) 性 測 試 ； 評 價 測 試 結(jié) 果 并 簽 發(fā) 審 計 報 告 ； 審 計 報 告 23 6. 信 息 系 統(tǒng) 審 計 的 技 術(shù)問 卷 調(diào) 查 表 被 測 信 息 系 統(tǒng)評 估 申 請 漏 洞 掃 描 工 具 評 估 或 等 級 標(biāo) 準(zhǔn) 系 統(tǒng) 風(fēng) 險 識 別 與 分 析綜 合 評 估標(biāo) 準(zhǔn) 庫 評 估 報 告 風(fēng)險數(shù)據(jù)采集 正 反 向 工 具 箱 知 識 庫風(fēng)險識別與分析綜 合評估 評 估 單 位信 息 庫等 級 庫 評 估 方 法 庫等 級 判 定 報 告 資 產(chǎn) 分

17、析 脆 弱 性 分 析 威 脅 分 析物 理 平 臺 網(wǎng) 絡(luò) 平 臺 應(yīng) 用 平 臺 管 理 平 臺操 作 系 統(tǒng) 平 臺 評估項目管理 24 25 肚 松 衯 宸 腓 聄 p uq訕N悻 胊 ?C蟖 紅 : 鬎 亪 耉覥 )tr鞻 榿 x8 ?GHl餋 Z塡 ?朾 ?$ T 濫朜 ? 7= XGN頌 獑 B:瀯 嶮 箤 ? l仠 羱 鳵nnC 間 戁 ,vH灤 ?y c罦噾 匪 m?藹 ?LK箋 ? ? m-勿 fS?A?傏 W? ?.噸 嵨 脨 sK樠 ?挼 Qq躹 c 鎾 ?x?脡 R 趢o 5?X;?袸 ?鉽 A7X ?懱掛 R州 蠮 V莐 蠻 ?致 O尠顖 軄 梯 檠 揖 箷 Q籲

18、? 9 L?衉 招 #跙 昷 綥 ? I,?WtP麢 貆 ?觮 ?l駷 躪 坊 =eh8?| 桴 牛 z忊 I潖 壎l軙 浗 ? 鎝 /; Y醺 ?塝 T榣 5轂 熵 ?2 B鎼 昢 rh癤 ,脷 j篍 3轎 ;?炚 訰 剕 . F 8褭 懩 ?s介 ?c%遰 WpDZi? C 蓒*y,? 挿 ? !v?qg? 擋 留 埾 j熗 ?臚 v?U境 ?蓰 酑 蛦 ?磍綒 ,%?y泇 | 1 輩 ?栯 補 毤 =栒 ) 毯 鈭 犅 Ps? 伴 J?=?羉 o4竼 ?責(zé) Y? 辟 ?讗 弡 .BH ?偭S搞 M哴 BO曘 A|zT忡 e ? 豠 ? 蝸 ?u P .?p髀 ?Y 餗 T夑 RI喩 俎

19、P磻 恞 鐢 奿 Bs:硱 MU潀 篌 v72淙 孥昂 s.%烷 yO 鐞 捸 霮 W?T1 0h嫀 嗧 倂 渾 謸 纮 鳀 +x 挎 SN櫿 #? ? Aa旳 ?獕 ?w, S ?纈 払 饦 ?M3J?)珬韌 nAA 畆 gO樃 *JXW 挴b?科 b酻 玚 :)r緬 偣 堢 HL=潲 抃 ?嬤 ? xX膜 RX遑w8昅 滎 谫 墎 ?C疐 ?輴 谞 %晉裥 鳪 擴 荼 R f含 #谻 ECI?U暊 Z 彚 獊 -奮 w,9O笅 6峢 9摮 a?幵 Z ., 31p1鳋 !s埼 c發(fā) 罏 Z?執(zhí) ?湝 ?坦 鴩 v苿 ?傋 ?攽 垊 W?:片 燨 6鷸 ?栍 收 儍 Af8悈 傷 a譣浱 齋 敕 柱 鞻?營 玾 藠 ?鷨4?+ w蘋 鼞 ?.?爏 雗 ?=8U ?冢 濂 薁 ?S H+涪麚 詴 蝚 艗 9v y,蠀 c夡i?碙 巋 m?沒 鋡 蠢 T 碴E B ?閻 祚 菚 圧 螒 憼 忛鎐 =? 鑿 滔 w絕 栃 嚳 j?飉 T憋 嶓 氌 X?譯 z軱 郾 梌 P嚕 水 ?紼 #T?鰻 堻 ?) M 鰩 卪 濉 獅 ?3?s遐 $蚔蟤 旓 V ?E觰 : wG姯 酡 代 貿(mào) 柌凲 瘬