搜索
纲要1.信息系统审计概论2.IT治理3.信息系统一般控制及审计4.信息系统应用控制及审计……11.信息系统一般控制概述南京审计学院信息系统内部控制•信息系统内部控制:一个单位在信息系统环境下,为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,确保信息系统提供信息的真实、合法、完整,而制定和实施的一系列政策与程序措施。3物理环境通信平台软件平台硬件平台网络平台应用平台管理维护部门、人员、管理物理环境(场地、机房等)系统硬件系统软件(操作系统、数据库管理系统等)网络和通信应用程序与信息系统的建立、运行维护、管理和业务处理有关的部门、人员和活动等。信息系统内部控制的对象4•从信息系统对象范围角度分为:–一般控制对信息系统环境的控制–应用控制对应用程序的控制信息系统内部控制的分类ITPlanningSystemOperationsProgrammingVendormanagementApplicationDatabaseOperatingSystemsNetwork/PhysicalTechnicalLayer5IT控制的分类•依据控制的预定意图分为:–预防性控制(事前控制)–检查性控制(事中控制)–纠正性控制(事后控制)•依据控制的领域分为:–治理控制–管理控制–技术控制6信息系统一般控制•范围:应用于一个单位信息系统全部或较大范围的内部控制。•对象:应为除信息系统应用程序以外的其他部分。•基本目标:保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外情况下的持续运行等。7信息系统一般控制•一般控制的测评内容:单位整体范围安全计划和管理、应用软件开发和变更控制、系统软件控制、职能分离控制、访问控制、服务持续性控制。•一般控制主要涉及:–管理控制(包括部门管理、人员管理等)–系统基础设施控制(包括物理环境、系统硬件、系统软件等)–系统访问控制(包括系统通信控制等)–系统网络架构控制;–灾难恢复控制(即服务持续性控制)8IS一般控制与应用控制的关系•良好的一般控制是应用控制的基础。•如果一般控制审计结果很差,应用控制审计就没有进行的必要。92.管理控制及其审计南京审计学院安全管理控制•IS的安全管理控制从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系,通过维护信息的机密性、完整性和可用性,来管理和保护组织所有的信息资产。•主要目标:实现职责分离和人员管理。11基于风险有哪些现象/信号表明IS在管理控制方面有潜在风险?12职责分离•目的:保证不同的人员承担不同的职责,人员之间可以互相监督和检查,从而防止错误和舞弊。•原则:在分工协作的基础上明确各部门、人员的权限与责任。13职责分离•职责的分离:–信息系统部门与业务部门的职责相分离–信息系统部门与业务部门内部的职责相分离–交易的授权与交易的执行相分离–资产的保管与记录相分离14职责分离15职责分离•假如职责分工不清或不当,将会出现:–资产的错置或损失–错误的财务报告–不正确的财务文档/记录–未被发现的资金挪用和删改有关数据16人员管理•对象:–人员–人员工作的整个过程•招聘(背景调查、保密协议、员工担保、竞业协议)•工作分配(员工手册、晋升政策、员工绩效评估、强制休假)•培训(定期培训、交叉培训)•离岗和离职(离职程序)17管理控制审计1.审计书面策略、流程与标准主要审计内容:是否存在?是否恰当?2.审计逻辑访问安全策略原则:知所必需主要审计内容:是否存在漏洞、风险?3.审计安全意识的培训主要审计内容:是否存在?意识如何?审计方式:抽查测试18管理控制审计4.审查数据所有权、所有人和使用者主要审计内容:分工是否明确;责任是否明确和落实;权利和责任是否对称;是否存在书面的制度和管理控制程序。5.审查数据保管员主要审计内容:职责分离;保管措施等。6.审查安全管理员主要审计内容:信息安全管理策略;物理和逻辑安全管理措施。19管理控制审计7.审查书面授权主要审计内容:授权存在性、充分性、合理性和有效性。8.审查离职员工的访问控制主要审计内容:物理接触;访问权限。9.审查访问标准安全标准一般包括:账号与密码标准、特定机器使用规则、特定应用系统访问规则等。主要审计内容:安全标准的存在性、符合性。20管理控制测试•从系统审计角度来说,测试分为:–符合性测试–实质性测试•测试手段:–检查文档–问卷调查–会谈–观察21对IS一般控制的测试是检查相关控制的存在性和有效性,属于符合性测试。•安全政策文档•组织/职能图•工作描述•系统开发和程序变更流程•操作程序•人力资源手册管理控制测试•工具:控制测试矩阵•步骤:1、依据管理控制内容,编制控制测试矩阵2、进行控制测试;3、完成控制测试矩阵;4、评价。22矩阵的组成:•控制目标•控制措施•单元内容管理控制测试矩阵NO.控制措施职责分离人员管控备注1是否制定了职责分离的规章制度√√2业务人员的工作职责明确清晰√√3IT部门只负责IS的开发和维护√4IT人员未经批准不得接触备份数据5输入人员与复核人员不能相互兼任√6操作人员不保管除操作手册之外的文档7操作人员不管理系统产生的重要档案√8聘用人员与工作岗位是否相符√9接触秘密数据的工作人员签订保密协议√10对关键性业务配备了后备人员√11定期对工作人员的工作进行考核√12定期对信息系统人员进行培训√13关键技术由多人掌握√14人员离岗,IS中帐号和口令及时删除√15人员离岗,及时归还所有书、文档报告√管理控制•有哪些现象/信号表明IS在管理控制方面有潜在风险?未经授权的软硬件采购IT部门能对IS进行业务操作数据录入与复核由同一人负责操作人员管理设计文档……较高的员工离职率缺乏经验的员工依赖一到两个关键员工……243.系统基础设施控制及其审计系统基础设施控制及审计•系统基础设施:保障IS工作所必需的设施与条件•控制目的:保障信息系统安全、可靠的运行。•重点:–IS环境–IS硬件–系统软件26IS环境控制•环境风险:–自然灾害风险–环境故障风险:电力故障、设备故障、温度、湿度、静电、接地、恐怖袭击等。•控制目标:–杜绝信息系统运行环境中影响信息系统正常、可靠运行的安全隐患,保护信息系统中的各种资源免受毁坏、替换、盗窃和丢失的威胁。27IS环境控制•物理位置–远离地下室、蓄水池化工厂、加油站、储气站、机场等。•报警控制面板•水灾控制–水灾探测器•火灾控制–办公设施具备防火能力–火灾警报器和灭火系统–定期检测消防设施28IS环境控制•电力供应相关风险的控制–电力中断控制:保护器、UPS、后备发电机供电–电源线中断控制:备份电力系统–切断电源控制:机房内、外紧急断电装置•防潮、防尘的控制•其他相关控制–如:信息处理场所设置警示标语、建立程序控制关机等。29IS硬件控制与审计内容步骤控制与审计采购1.招标(招标书/请求建议书);2.供应商投标;3.评标;4.签合同。1.审查硬件获取计划(需求、指标、因素等);2.审查硬件获取标准;3.审查评标过程。维护与监控1.制定维护计划/性能监控计划;2.实施维护与监控。1.审查维护计划/性能监控计划,及其批准情况;2.审查监控记录(硬件错误报告、可用性报告、利用率报告);3.审查硬件变更控制程序。能力管理1.用户和IS管理部门共同制定能力计划;2.硬件能力管理程序和性能评估程序。1.定期审查和修改能力计划;2.审查硬件能力管理程序和性能评估程序。30审计方法:检查文档,也可采用会谈法、观察法。系统软件控制•系统软件有哪些风险点?–采购环节:获取与实施、版权与许可、质量与服务–使用环节:变更、病毒、数据库、文档31系统软件控制内容步骤控制与审计获取与实施1.招标;2.评标;3.实施:配置与测试、获得认证和使用授权1.审查系统软件版本控制、计划控制;2.审查系统软件获取可行性研究和选择流程,注意成本效益分析、业务和技术因素;3.审计实施控制(测试、认证和使用授权)。变更控制变更控制程序:请求、评估、授权、通告、实施、测试1.审计变更控制程序;2.审查变更控制记录。版权与许可建立标准的计算机桌面环境和软件许可策略1.审查软件使用和复制的授权文档2.审查系统软件列表;3.审查软件安装控制机制等。OS控制参数在操作系统中设置和修改参数和选项1.检查参数(用户/组、组策略、注册表等);2.查看日志文件、系统文件。DB安全存取管理、安全管理、DB加密审核DB的设计、访问、管理、接口和可移植性计算机病毒1.建立管理策略与程序;2.采用防病毒技术(硬件、软件)。1.审查管理策略与程序2.检查所有计算机都安装防病毒软件,并及时更新对系统软件控制的审计•测试区域:采购程序、变更程序、版权与许可控制、授权程序、访问安全控制、文档规范化控制、系统测试控制、对生产环境的访问控制、数据库控制以及相应的审计轨迹。33对系统软件控制的审计1.检查系统软件选择程序审计内容:是否符合IS计划和业务计划要求;是否适应对IS的处理和控制要求;是否满足IS业务需求等2.审查系统软件获取可行性研究和选择流程审计内容:确定建议的系统目标和目的与招标书/请求建议书一致,并使用了相同的选择标准。3.审计系统软件采购、实施审计内容:确认系统软件采购的成本控制、安装控制、维护与变更控制、安全控制4.审计系统文档审计内容:安装控制文件、系统参数表、系统日志。5.审计系统授权文档审计内容:对系统访问授权的增、删、改是否进行记录,是否保存试图越权情形的处理报告的记录。34对系统软件控制的审计6.审计数据库控制设计了解使用的数据库模型,使用图表详细描述业务规则,确认实体-关系模型与数据库物理模式相一致访问对数据库、存储程序和触发器的访问控制是否适当,索引的使用是否最大限度地减少访问时间管理检查所有用户的安全级别和角色,所有用户或用户组的访问权限被适当复核,存在备份和灾难恢复机制确保数据库的可靠性和可用性,存在并发访问控制机制和程序确保处理过程的一致性和完整性。接口验证数据库与系统接口,审查数据导入导出程序35练习36•分组讨论:•编制机房环境控制测试检查表•讨论机房环境控制审计结果•查看计算机的操作系统配置、安全防护措施。4.系统访问控制及其审计南京审计学院系统访问控制及其审计•系统访问:通过某种途径允许或限制对网络资源(软件和硬件)和数据(存储的和通信的)的访问能力及范围。•访问控制目标主要有:–防止非法主体进入受保护的网络资源;–允许合法用户进入受保护的网络资源;–防止合法用户对受保护的网络资源的非授权访问•系统访问方式–逻辑访问:用户通过软件方式对系统访问。–物理访问:用户通过物理接触等方式对系统访问。38系统访问控制及其审计•系统访问控制–逻辑访问控制通过一定的技术方法控制用户可以利用什么样的信息,可以运行什么程序与事务,可以修改什么信息与数据。–物理访问控制限制人员进出敏感区域。•系统访问权限设置原则:–最小授权原则(Least-Privilege)–职责分离原则(SegregationofDuty)39逻辑访问控制•逻辑访问风险有哪些?–技术性暴露风险–计算机犯罪•如何控制逻辑访问风险?•逻辑访问路径–网络连接:终端设备/计算机通过通信网络与主计算机相连而获得访问能力。•控制方法:身份识别与验证,网络管理设备控制参数配置–远程访问:利用电话线、远程终端设备/计算机进入IS。•控制方法:身份识别与验证。40逻辑访问控制•身份识别与验证–“只有你知道的事情”——账号与口令•账号的控制•口令的控制–“只有你拥有的东西”——令牌设备•发送许可权的特殊消息或一次性口令的设备–“只有你具有的特征”——生物/行为测定•指纹、虹膜等•签名等41逻辑访问控制•逻辑访问授权–通过授权过程赋予用户对系统逻辑访问的能力,决定什么人能访问什么资源,并正式记录授权内容。–应清楚用户在某一级别的访问能做什么、不能做什么。–访问授权表/访问控制列表•当员工职位有变动时,IS审计师要及时审核访问控制列表是否做了有效变更。42逻辑访问控制•远程访问控制–大量使用基于TCP/I