信息系統(tǒng)審計信息系統(tǒng)審計基礎

《信息系統(tǒng)審計信息系統(tǒng)審計基礎》由會員分享，可在線閱讀，更多相關《信息系統(tǒng)審計信息系統(tǒng)審計基礎（24頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、1 信息系統(tǒng)審計 （信息系統(tǒng)審計基礎） 楊 烺 （ CISA） 國際注冊信息系統(tǒng)審計師 2 信息系統(tǒng)審計基礎 信息系統(tǒng)審計的起源與發(fā)展 信息系統(tǒng)審計的內(nèi)容 內(nèi)部控制與審計 IT審計的標準和依據(jù) IT審計的過程 IT審計的技術 3 1. 信息系統(tǒng)審計的起源與發(fā)展 1.1 國外： 八十年代、九十年代信息技術的進一步 發(fā)展與普及，使得企業(yè)越來越依賴信息及產(chǎn) 生信息的信息系統(tǒng)。人們開始更多的關注信 息系統(tǒng)的安全性、保密性、完整性及其實現(xiàn) 企業(yè)目標的效率、效果，真正意義的信息系 統(tǒng)風險評估與審計才出現(xiàn)。 4 1. 信息系統(tǒng)審計的起源與發(fā)展 1.1 國外： 信息系統(tǒng)審計與控制協(xié)會 ISACA (INFOR

2、MATION SYSTEM AUDIT AND CONTROL ASSOCIATION)，總部設在美國芝加哥。目前 該組織在世界上 100多個國家設有 160多個分 會，現(xiàn)有會員兩萬多人，它是從事信息系統(tǒng) 審計的專業(yè)人員唯一的國際性組織。 5 1. 信息系統(tǒng)審計的起源與發(fā)展 1.1 國外： CISA (Certified Information System Auditor)是信息系統(tǒng)審計領域的唯一職業(yè)資 格 ISACA每年舉辦 CISA資格考試，通過考試 的人員可以申請 CISA資格，符合 ISACA規(guī)定 的工作經(jīng)驗及其他相關要求的申請人會被授 予 CISA資格。 CISA資格在世界各國都被

3、廣泛 的認可。國內(nèi)獲得此資格的有三百多人。 6 1. 信息系統(tǒng)審計的起源與發(fā)展 1.1 國外： CISA考試介紹： 內(nèi)容：信息系統(tǒng)審計流程、信息系統(tǒng)的 管理、計劃與組織、信息技術基礎設施與操 作實務、信息資產(chǎn)的保護、災難恢復與業(yè)務 持續(xù)計劃、應用系統(tǒng)的開發(fā)、獲得、實施與 維護、業(yè)務處理流程評價與風險管理。 時間：每年一次 題型與考試語言：全部是客觀題；英文、 中文； 75分合格 7 1. 信息系統(tǒng)審計的起源與發(fā)展 1.2 國內(nèi)： 1994 年 2 月，我國頒布了 中華人民共 和國計算機信息系統(tǒng)安全保護條例 ，提出 了計算機信息系統(tǒng)實行安全等級保護的要求。 安全等級保護的總體目標是確保信息安全和

4、 計算機信息系統(tǒng)安全正常運行，并保障以下 安全特性：信息的完整性、可用性、保密性、 抗抵賴性、可控性等（其中完整性、可用性、 保密性為基本安全特性要求）。 8 1. 信息系統(tǒng)審計的起源與發(fā)展 1.2 國內(nèi)： 1994 年 2 月，我國頒布了 中華人民共和國計 算機信息系統(tǒng)安全保護條例 ，提出信息的完整性、 可用性、保密性、抗抵賴性、可控性等要求。 1999年 2月 9日，我國正式成立了中國國家信息安 全測評認證中心。 2002年 4月 15日 全國信息安全標準化技術委員會 （簡稱信息安全標委會， TC260）。 2005年 12月 16日 國家網(wǎng)絡與信息安全協(xié)調(diào)小組 正式通過了 信息安全風險評

5、估指南 。 9 管理計劃 與 IS的組 織 信息資產(chǎn) 的保護 災難備份 與業(yè)務持 續(xù)計劃 技術基礎 與操作實 務 業(yè)務應用系統(tǒng) 的開發(fā)取得實 施與維護 業(yè)務過程 評價與風 險管理 2. 信息系統(tǒng)審計的內(nèi)容 10 一 般 控 制 靜 態(tài) IS的構成 管理角度 管理計劃與 IS的組織 (C2) 技術角度 技術基礎與操作實務 (C3) IS的控制 與安全 正常情況 信息資產(chǎn)的保護 (C4) 非常情況 災難恢復與業(yè)務持續(xù)計劃 (C5) 動 態(tài) 業(yè)務應用系統(tǒng)的開發(fā)取得實施與維護 (C6) 應用控制 業(yè)務過程評價與風險管理 (C7) 3. 信息系統(tǒng)審計與內(nèi)部控制 11 4. 信息系統(tǒng)審計的標準與依據(jù) 可信

6、的計算機系統(tǒng)安全評估標準（ TCSEC， 從橘皮書到彩虹系列） 由美國國防部于 1985年公布的，是計算 機系統(tǒng)信息安全評估的第一個正式標準。它 把計算機系統(tǒng)的安全分為 4類、 7個級別，對 用戶登錄、授權管理、訪問控制、審計跟蹤、 隱蔽通道分析、可信通道建立、安全檢測、 生命周期保障、文檔寫作、用戶指南等內(nèi)容 提出了規(guī)范性要求。 12 4. 信息系統(tǒng)審計的標準與依據(jù) 信息技術安全評價的通用標準（ CC） 由六個國家（美、加、英、法、德、荷） 于 1996年聯(lián)合提出的，并逐漸形成國際標準 ISO15408。該標準定義了評價信息技術產(chǎn)品 和系統(tǒng)安全性的基本準則，提出了目前國際 上公認的表述信息技

7、術安全性的結構，即把 安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功 能要求以及解決如何正確有效地實施這些功 能的保證要求。 CC標準是第一個信息技術安 全評價國際標準，它的發(fā)布對信息安全具有 重要意義，是信息技術安全評價標準以及信 息安全技術發(fā)展的一個重要里程碑。 13 4. 信息系統(tǒng)審計的標準與依據(jù) ISO13335標準 首次給出了關于 IT安全的保密性、完整 性、可用性、審計性、認證性、可靠性 6個 方面含義，并提出了以風險為核心的安全模 型：企業(yè)的資產(chǎn)面臨很多威脅（包括來自內(nèi) 部的威脅和來自外部的威脅）；利用信息系 統(tǒng)存在的各種漏洞（如：物理環(huán)境、網(wǎng)絡服 務、主機系統(tǒng)、應用系統(tǒng)、相關人員、安全

8、 策略等），對信息系統(tǒng)進行滲透和攻擊。 14 4. 信息系統(tǒng)審計的標準與依據(jù) BS7799 是英國的工業(yè)、政府和商業(yè)共同需求而 發(fā)展的一個標準，它分兩部分：第一部分為 “ 信息安全管理事務準則 ” ；第二部分為 “ 信息安全管理系統(tǒng)的規(guī)范 ” 。目前此標準 已經(jīng)被很多國家采用，并已成為國際標準 ISO17799。 BS7799包含 10個控制大項、 36 個控制目標和 127個控制措施。 BS7799/ISO17799主要提供了有效地實施信 息系統(tǒng)風險管理的建議，并介紹了風險管理 的方法和過程。企業(yè)可以參照該標準制定出 自己的安全策略和風險評估實施步驟。 15 4. 信息系統(tǒng)審計的標準與依據(jù)

9、“信息系統(tǒng)和技術控制目標 ” （ COBIT） 是 IT治理的一個開放性標準，目前已成 為國際上公認的最先進、最權威的安全與信 息技術管理和控制的標準。該標準為 IT的治 理、安全與控制提供了一個一般適用的公認 的標準，以輔助管理層進行 IT治理。該標準 體系已在世界一百多個國家的重要組織與企 業(yè)中運用，指導這些組織有效利用信息資源， 有效地管理與信息相關的風險。 16 4. 信息系統(tǒng)審計的標準與依據(jù) 17 4. 信息系統(tǒng)審計的標準與依據(jù) 18 4. 信息系統(tǒng)審計的標準與依據(jù) 19 4. 信息系統(tǒng)審計的標準與依據(jù) 20 5. 信息系統(tǒng)審計的過程 審計計劃： 檢查被審計單位的 IT政策、實務及組

10、 織結構； 檢查一般控制和應用控制的情況； 計劃控制測試和實質性測試的程序； 21 5. 信息系統(tǒng)審計的過程 控制測試： 實施控制測試； 評價測試結果； 確定對控制的依賴程度； 22 5. 信息系統(tǒng)審計的過程 實質測試： 實施實質性測試； 評價測試結果并簽發(fā)審計報告； 審計報告 23 6. 信息系統(tǒng)審計的技術 問卷調(diào)查表 被測信息系統(tǒng) 評估申請 漏洞掃描工具 評估或等級標準 系統(tǒng)風險識別與分析 綜合評估 標準庫 評估報告 風 險 數(shù) 據(jù) 采 集 正反向工具箱 知識庫 風 險 識 別 與 分 析 綜 合 評 估 評估單位 信息庫 等級庫 評估方法庫 等級判定報告 資產(chǎn)分析 脆弱性分析 威脅分析 物理平臺 網(wǎng)絡平臺 應用平臺 管理平臺操作系統(tǒng)平臺 評 估 項 目 管 理 24