1IT治理标准简介讲师:陈伟一、信息系统审计2什么是审计•审计的定义–是指有胜任能力的独立机构或人员接受委托或授权,对特定经济实体的可计量的信息证据进行客观地收集和评价,以确定这些信息与既定标准的符合程度,并向利益相关者报告的一个系统的过程。•对审计的理解–审计主体:“独立机构或人员”–审计关系:“接受委托或授权”–审计对象:“可计量的信息”–审计依据:“既定标准”–审计依据:“既定标准”–审计工作:“客观地收集和评价证据”–审计目标:“确定这些信息与既定标准的符合程度,并向利益相关者报告”–审计过程:“系统的过程”-遵循逻辑顺序、结构严密的活动。–审计的性质:独立、客观审计的分类•审计的分类–财务报表审计:•对被审计单位会计报表的合法性、公允性、一贯性发表审计意见。–经营管理审计:•检查一个企业或组织经营的程序和方法以确定其经营效率、效果,并向管理当局提出改善经营管理的建议(包括市场营销、投资融资、组织结构、人事管理等)–合法性、合规性审计:•指对一个单位的某些财务或经营活动收集并评价证据,以确定其是否按照特定的标准–信息系统审计3为什么需要信息系统审计德勤高级伙人鲍威尔说:由于企业经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险与财务风险,企业信息安全导致的信息风险在日益增长,审计不仅关注被审计单位电子数据的取得、分析与计算等数据处理业务,延伸到了对计算机的可靠性、安全性进行了解与评价。德勤高级伙人鲍威尔说:由于企业经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险与财务风险,企业信息安全导致的信息风险在日益增长,审计不仅关注被审计单位电子数据的取得、分析与计算等数据处理业务,延伸到了对计算机的可靠性、安全性进行了解与评价。IS战略、政策、过程、人员服务器、工作站、打印机网络交换机……WindowsNT、UNIXOracle数据库财务报告销售收入1000万……销售业务系统会计核算系统信息系统安全与应急计划系统的开发获得、维护及数据处理信息系统审计的定义•国际信息系统审计领域的权威RonWeber的定义:–收集与评估证据,以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。•ISACA定义:–信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。4信息系统审计国际组织ISACA•1969年美国洛杉矶成立了电子数据审计师协会(EDPAA)•1994年该协会更名为信息系统审计与控制协会(ISACAInformationSystemAuditandControlAssociration),总部在芝加哥。•ISACA在100多个国家,设有160个分会,现有会员3万5千人。•制订信息系统审计准则、实务指南等专业规范来指导信息系统审计师的工作•ISACA每年为通过考试为从业人员颁发CISA证书,CISA资格在世界各国被广泛认可。信息系统审计业务组成•信息系统的管理、规划与组织审计–评价信息系统的治理机制的有效性,审计信息系统管理、计划与组织方面的策略、政策、标准、程序和相关实务。•信息系统技术基础设施与运行实务审计–评价组织在技术基础设施与运行实务的管理和实施方面的有效性及效率,以确保其充分支持组织的业务目标。•信息资产的保护审计–对逻辑、实体与环境的安全性进行评价,确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。5信息系统审计业务组成(续)•灾难恢复与业务持续计划——BCP计划在发生灾难时,能够使组织业务不中断,对这种计划的建立和维护流程需要进行评价。•业务应用系统开发、获得、实施与维护——对业务应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。•业务流程评价与风险管理——评估组织业务系统与处理流程,确保根据业务目标对相应风险实施管理。•与安全相关的人力资源管理与企业文化——评估与安全相关的人力资源管理政策、程序、实务以及“信息安全、人人有责”的企业文化。信息系统审计的关注点6信息系统审计的关注点(续)•有效性——处理与业务过程相应和相关的信息,同时能以及时、正确、一致和可用的方式交付。•经济性——关系到通过优化(最具生产力的和经济的)资源使用来提供信息。•机密性——关系到保护敏感信息不被非授权泄露。•完整性——与信息的准确性和完全性、还有与商业价值和期望的一致性有关。•可用性——与信息在当前和将来需要时可用有关。同时还关系到对必要资源和相关能力的保护。•符合性——处理与下述的符合性问题:那些法律、法规和影响业务过程的合同安排,即外部强加的商业标准。•信息可靠性——关系到提供合适的信息给管理层去运作、去行使其财务和符合性报告职责信息系统审计的作用•鉴证价值–通过审计,合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性。•促进价值–审计师的证明可以增强人们对组织信息系统的信任程度。促进组织更有效地带入社会经济生活中。–通过审计发现控制缺陷或漏洞,提出解决问题的建议,从而促进被审计单位提高管理水平,提高经济效益。•咨询价值–审计师帮助企业建立健全内部控制制度,进行系统诊断咨询,客观中立地帮助企业降低信息化建设过程中的风险。7“…信息安全越来越成为银行信息化建设与管理中需要密切关注的问题。企业对信息安全的重视程度和资金投入,将逐渐从单一的产品和技术向整体解决方案过渡,同时从封闭式的设计、实施与管理,不断与完善的、具有适当资质的、独立的第三方审计相结合,这是未来发展的一个趋势。”-中国人民银行支付与科技司司长陈静“…信息安全越来越成为银行信息化建设与管理中需要密切关注的问题。企业对信息安全的重视程度和资金投入,将逐渐从单一的产品和技术向整体解决方案过渡,同时从封闭式的设计、实施与管理,不断与完善的、具有适当资质的、独立的第三方审计相结合,这是未来发展的一个趋势。”-中国人民银行支付与科技司司长陈静信息系统审计准则•信息系统审计需要统一的标准与规范•审计指南与程序可以促进信息系统专业人员工作的有效性,并通过经验交流、不断完善。•通用信息系统审计准则由ISACA协会下的准则部制定,要求CISA遵守信息系统审计准则•1997年7月25日生效,公布了8类12条准则,20条审计指南,22条审计程序8信息系统控制框架--COBIT•国际上公认权威的安全与信息技术管理和控制的标准。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。•该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。COBIT架构设计•COBIT将IT过程,IT资源及信息与企业的策略与目标联系起来,形成一个三维的体系结构。•IT准则维集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;•IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是IT治理过程的主要对象;•IT过程维则是在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程,•每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。9COBIT结构图人员应用系统技术设施数据有效性效率机密性完整性可用性依从可靠性信息IT资源规划与组织监控交付与支持获得与实施过程监控评价内部控制的适当性获取独立保证提供独立的审计定义并管理服务水平管理第三方的服务管理性能与容量确保服务的连续性确保系统安全确定并分配成本教育并培训客户配置管理处理问题和突发事件数据管理设施管理运营管理确定自动化的解决方案获取并维护应用程序软件获取并维护技术基础设施程序开发与维护系统安装与鉴定变更管理定义IT战略规划定义信息体系结构确定技术方向定义IT组织与关系管理IT投资传达管理目标和方向人力资源管理确保与外部需求的一致性风险评估项目管理质量管理CoBIT业务目标COBIT组件10二、信息安全管理如何保护信息安全?•如何实现信息安全?–信息安全=反病毒软件+防火墙+入侵检测系统?–管理制度?人的因素?环境因素?–Ernst&Young分析:•国家政府和军队信息受到的攻击70%来自外部,银行和企业信息受到的攻击70%来自于内部。•在整个系统安全工作中,管理(包括管理和法律法规方面)所占比重应该达到70%,而技术(包括技术和实体)应占30%。•建立信息安全管理体系–对信息安全建立系统工程的观念–用制度来保证组织的信息安全更有效11•根据自顶向下,逐步求精的原则,根据组织的业务目标与安全要求,建立完善的安全治理结构,在风险评估的基础上,先建立并运行信息安全框架,初步达到粗粒度的信息安全;•在完整的信息安全框架之上,建立“人力防火墙”与“技术防火墙”,在细粒度上的保证信息安全;•实施阶段性的信息系统审计,在持续不断的改进过程中保证信息的安全性、完整性、可用性,从而建立一套完整的信息安全管理体系。信息安全的方法论建立信息安全管理制度•对于一个组织来说,比较切实可行的第一步的是建立信息安全管理框架,通过周密、系统、适合组织自身需求的完整体系来保证信息安全。•这种通过维护信息的机密性、完整性和可用性,来管理和保护组织所有的信息资产的体制称为信息安全管理。信息安全是一个管理过程,而不是一个技术过程信息安全是一个管理过程,而不是一个技术过程用制度来保证信息安全更有效用制度来保证信息安全更有效12信息安全管理最佳实践-BS7799•BS7799就是这样一个可以指导组织实现信息安全的最佳实践,它从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系,保障组织的信息安全“滴水不漏”,确保组织业务的持续运营,维护企业的竞争优势。•引入并遵循BS7799的信息安全管理可以给组织带来两方面效益:–一是因减少信息安全事故的经济损失而产生的价值效益;–二是由于增加声誉、提升品牌价值而增加的非价值效益。BS7799简介•BS-7799是由英国标准协会(BritishStandardsInstitution,简称BSI)制定的信息安全管理体系标准,BS-7799为保障信息的机密性、完整性和可用性提供了典范。它包括两部分,BS7799-1《信息安全管理实践规范》和BS7799-2《信息安全管理体系规范》•第一部分《信息安全管理实施规范》于2000年12月被国际化标准组织(ISO)纳入世界标准,编号为ISO/IEC17799。•BS7799广泛地涵盖了所有的信息安全议题,如安全方针的制定、安全责任的归属、风险的评估、定义与强化安全参数及访问控制,甚至包含防病毒的相关策略等。BS-7799已经成为国际公认的信息安全实施标准,适用于各种产业与组织。•BS7799在全球范围内得到广泛的认可,被许多国家转化为国家标准,我国的许多政府机关、企事业单位也开始认识到信息安全管理的重要,准备逐步引入BS7799,以建立适用自身需要的信息安全管理体系。13BS7799的十个领域•BS7799-1信息安全管理实施规范,包括10大管理要项,36个执行目标,127种控制方法。十、法律符合性(Compliance)(3,11)九、业务持续性管理(BusinessContinuityManagement)(1,5)七、访问控制(AccessControl)(8,31)八、系统开发与维护(SystemsDevelopmentandMaintenance)(5,18)六、通信与运营管理(CommunicationsandOperationsManagement)(7,24)五、物理与环境安全(PhysicalandEnvironmentalSecurity)(3,13)四、人员安全(PersonnelSecurity)(3,10)三、资产分类