信息系统审计培训大纲

信息系统审计培训大纲王连强北京时代新威信息技术有限公司信息系统审计培训目录•第一章信息系统审计基础•第二章通用计算机与审计关系•第三章计算机辅助审计技术介绍•第四章信息系统审计培训总结北京时代新威信息技术有限公司王连强北京时代新威信息技术有限公司王连强注：本文以北京时代新威信息技术有限公司（以下简称时代新威）的服务内容举例，给大家展示信息系统审计培训内容。信息系统审计培训第一章信息系统审计基础信息系统审计培训第一节•1.1信息系统审计的定义•1.2信息系统审计的过程•1.3信息系统审计的一般方法•1.4信息系统审计的根本目标•1.5信息系统审计任务北京时代新威信息技术有限公司王连强1.1信息系统审计的定义•信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。北京时代新威信息技术有限公司王连强1.2信息系统审计的过程•信息系统审计过程分为准备阶段、实施阶段和报告阶段。其中，准备阶段和报告阶段所采取运用的技术方法与财务审计所运用的技术方法差别不大，而实施阶段采用的技术方法则具有信息技术的特点。•在实施阶段，针对被审计的信息系统，审计人员所开展的工作可以分为三个层次：了解、描述和测试。北京时代新威信息技术有限公司王连强1.3信息系统审计的一般方法•信息系统审计的一般方法有：面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。北京时代新威信息技术有限公司王连强1.4信息系统审计的根本目标信息系统审计的根本目标：是促进信息系统安全、稳定、有效、持续运行。通过对信息系统的安全性、稳定性和有效性进行审计、咨询，降低公司面临的信息系统风险，促使公司信息技术发展目标与其总体经营目标、战略相一致。北京时代新威信息技术有限公司王连强1.5信息系统审计任务•信息系统审计任务：•是完成对信息系统的鉴证、促进和咨询。针对企业的资产，采取信息系统审计维护更安全可靠，特别是时代新威利用信息系统审计制定的方案更让我们觉得放心安全。北京时代新威信息技术有限公司王连强北京时代新威信息技术有限公司王连强（信息系统审计培训示意图1）信息系统审计培训第二节•2.1IT的定义•2.2IT的要点•2.3了解企业内部控制的程序•2.4控制的分类•2.5内部控制目标•2.6信息系统控制目标•2.7实施信息系统审计•2.8测试和评估信息系统控制的方法北京时代新威信息技术有限公司王连强2.1IT的定义•为了信息系统的安全、可靠与有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向IT审计对象的最高领导，提出问题与建议的一连串的活动。北京时代新威信息技术有限公司王连强北京时代新威信息技术有限公司王连强2.2IT的要点•IT审计的要点：–独立性–综合性–IT审计师资格–IT审计报告–促进信息系统安全、可靠与有效2.3了解企业内部控制的程序•了解监管负责人员如何应对风险•懂得评估控制的设计与执行•思考对实现有效内部控制和可靠财务信息处理的帮助•判断它是否提高或降低内部控制北京时代新威信息技术有限公司王连强2.4控制的分类•预防性控制–在事情发生前监测问题–监控运营和输入–在问题发生前预测潜在问题–避免错误、疏忽或蓄意行为的发生•检测性控制–使用控制检查和报告发生的错误、疏漏或蓄意行为的发生•纠正性控制–减少危害影响–修复检查性控制发现的问题–找出问题原因，纠正问题衍生出的错误，修改处理系统以减少未来问题发生的可能性北京时代新威信息技术有限公司王连强2.5内部控制目标•内部控制就是要通过实施一系列特定的控制活动，达到所预期的结果或目的。•通常包括：1.内部会计控制——主要针对会计操作，即资产安全、财务资料准确可靠2.运营控制——针对日常运营、职能和活动，用于确保运营达到企业目标3.管理控制——关注职能部门的运作效率及运营控制符合管理政策的程度，是以提高经营效率和保证管理方针、政策的实施为目标的控制4.技术环境控制——保护信息资产，符合组织的方针策略及法律法规的要求，信息输入输出，交易处理的准确性及完整性，数据处理的可靠性，备份与恢复，业务经营的效率与效果北京时代新威信息技术有限公司王连强2.6信息系统控制目标•常见的信息系统控制目标如：1.保护信息系统以防止不当存取，并确保及时更新2.保护计算机操作系统及网络操作系统的完整性3.保护敏感的、重要的应用系统（如财务及管理应用系统）的机密性和完整性4.保证信息系统的运营效率与效果5.符合用户的需求、组织的方针、策略与程序，并遵守法律法规的要求6.制定业务持续计划及灾难恢复计划7.制定应急响应及处理程序北京时代新威信息技术有限公司王连强2.7实施信息系统审计•信息系统审计是检查评估自动化信息处理系统、与其有关的非自动化程序和两者之间的接口等。实施信息系统审计需要如下几个步骤：1.充分的审计计划（短期、长期）2.为有效地利用审计资源，审计机构必须评估所有风险（一般控制与应用控制领域）3.制定审计计划，包括审计目标与审计程序4.搜集证据、对现有控制进行评估与测试5.编写审计报告，并与管理层沟通审计发现北京时代新威信息技术有限公司王连强2.8测试和评估信息系统控制的方法•信息系统审计师必须理解和掌握测试评估信息系统控制的方法：1.使用通用审计软件调查数据文件的内容2.使用专用软件来评估操作系统参数文件3.用流程图的方式来图示业务流程及应用系统4.使用操作系统中内置的审计报告5.进行文档检查北京时代新威信息技术有限公司王连强北京时代新威信息技术有限公司王连强（信息系统审计培训示意图2）案例解析:【引用：信息系统审计培训-时代新威PT-S-01】为什么审？企业自身内控的需要行业监管部门的要求用户等相关方的期望北京时代新威信息技术有限公司王连强审什么？审计署对信息系统审计内容的要求是：“信息系统的安全性、有效性和经济性”，它给出了信息系统审计的目标和方向。但针对一个具体的信息系统审计项目，其审计内容应以所确定的审计依据为准，通常包含一般控制审计和应用控制审计；也可以根据审计目的和内容的不同，分为不同的专项审计，如：信息安全审计业务和数据审计信息系统投产和变更审计业务连续性审计信息技术外包管理审计北京时代新威信息技术有限公司王连强怎么审？实施信息系统审计，首先要明确审计目的并确定审计范围；然后选择和明确审计依据，组建审计小组；其次规划审计方案，实施现场审计；最后报告审计发现，形成审计报告；其后，作为后续审计活动，实施跟踪审计。北京时代新威信息技术有限公司王连强在哪里审？通常认为，信息系统审计的主要对象是一个组织的信息科技部门。其实，除信息科技部门外，信息系统的所有用户部门及相关方都应考虑在内，因为许多信息系统的控制措施要在这些部门完成。确定被审计对象，可考虑：一个组织的全部，即所有业务和所有部门一个组织的局部，即部分业务或部分部门组织的相关方，如组织的供方，顾客等根据审计方式的不同，信息系统审计还分为现场审计和非现场审计。非现场审计以非现场审计系统为主要审计工具。北京时代新威信息技术有限公司王连强信息系统审计培训第二章通用计算机与审计关系信息系统审计培训第一节•1.1通用计算机审计涵盖的领域•1.2信息系统的运作•1.3用户得到有关应用系统使用的适当培训•1.4用户获得适当的支持北京时代新威信息技术有限公司王连强1.1通用计算机审计涵盖的领域包括：•信息系统运作•信息安全•应用系统的实施及维护•数据库的实施及维护•网络支持•系统软件支持•信息资源战略及规划•与外包供应商的关系•业务连续性计划•硬件支持北京时代新威信息技术有限公司王连强1.2信息系统运作1.所有进行处理和在线作业及产生报表之生产程序均能及时运行并正常完成2.要执行有效的生产程序北京时代新威信息技术有限公司王连强3.计算机处理环境的服务水平达到或超过管理当局的期望案例分析：【引用：信息系统审计培训-时代新威PT-S-02】☆先于黑客之前发现应用系统安全漏洞☆将这些漏洞解决在应用系统上线之前☆应用安全的必由之路源代码安全审计以发现应用程序编码过程中造成的安全漏洞为目的，通过源代码静态分析工具，对已有的代码进行扫描、分析，并对导致安全漏洞的错误代码进行定位和验证，然后提供补救建议。实施源代码安全审计的三个步骤：确定源代码安全审计目标；执行工具扫描并分析扫描结果；分析应用程序架构所特有的代码安全问题。北京时代新威信息技术有限公司王连强目标用户源代码安全审计适用于以C、C++、C#、Java、VB、VB.Net、ABAP等语言开发的应用程序，以及以Ruby、PHP、AJAX和Perl等在内的各种Web技术编写的应用程序。源代码安全审计的对象可以是一个应用程序的全部代码，也可以是其中的一部分代码。北京时代新威信息技术有限公司王连强审计报告源代码安全审计的交付物为审计报告，其内容包括：所使用的开发技术和编程语言中常见的错误；对黑客有兴趣的资产、代码实现上的错误；每一个已识别漏洞的报告，包括漏洞的概述、影响和严重性以及再现该漏洞的步骤和可用于修复该漏洞缺陷的补救措施建议；详细说明被审计代码的总体情况、审计发现的问题、进行追加审计的建议，以及针对已确定漏洞进行补救的建议。北京时代新威信息技术有限公司王连强1.3用户得到有关应用系统使用的适当培训1.系统实施的程序应包括对用户提供有关新系统或经大幅度修改的系统的使用培训。2.管理当局应监督该程序的执行情况。为新聘用的员工及实体内调职的员工提供相关应用系统的正式培训北京时代新威信息技术有限公司王连强1.4用户获得适当的支持目的是：来确保应用系统的功能依照其预定的目标运行要知道：管理当局监督问题的统计及趋势，以识别及消除该问题重复出现的根本原因信息系统架构应包括帮助中心(helpdesk)的功能以便用户进行有关系统的查询。所提出的问题应记录在中央问题日志之中。帮助中心(helpdesk)工作人员应监督日志以确保及时解决所有用户的查询北京时代新威信息技术有限公司王连强信息系统审计培训第二节•2.1信息安全•2.2应用系统的实施及维护•2.3应用系统的实施及维护•2.4数据库的实施及支持•2.5网络支持•2.6系统软件支持•2.7信息资源战略及规划•2.8与外包供应商的关系•2.9硬件支持北京时代新威信息技术有限公司王连强2.1信息安全•1.实施及配置逻辑安全管理工具和技术•2.逻辑安全管理工具和技术得到适当管理•3.实施和管理物理访问限制•4.所有信息资源均配备必要的实体和逻辑安全措施•5.实体的程序、数据及其他信息资源均受到保护•6.实体计算机系统中软件的安装和/或使用遵循授权协议的规定及经管理当局授权•7.保护信息资源免受环境灾害及相关损害的影响北京时代新威信息技术有限公司王连强1.实施及配置逻辑安全管理工具和技术来限制对程序,数据及其他信息资源的访问北京时代新威信息技术有限公司王连强（信息系统审计培训示意图3）北京时代新威信息技术有限公司王连强•2.逻辑安全管理工具和技术得到适当管理，以限制对程序、数据和其他信息资源的访问北京时代新威信息技术有限公司王连强•3.实施和管理物理访问限制，以确保仅有经适当的授权人员可以访问和使用信息资源4.所有信息资源均配备必要的实体和逻辑安全措施北京时代新威信息技术有限公司王连强（信息系统审计培训示意图4）北京时代新威信息技术有限公司王连强•5.实体的程序、数据及其他信息资源均受到保护以防病毒侵害北京时代新威信息技术有限公司王连强•6.实体计算机系统中软件的安装和/或使用遵循授权协议的规定及经管理当局授权（信息系统审计培训示意图5）7.保护信息资源免受环境灾害及相关损害的影响北京时代新威信息技术有限公司王连强（信息系统审计培训示意图6）案例分析：【引用：信息系统审计培训-时代新威PT-S-03】☆揭示信息安全风险的最佳手段☆改进信息安全现状的有效途径☆满足信息安全合规要求的有力武器北京时代新威信息技术有限公司王连强目标