IT审计的组织与实施培训课件.pptxVIP

IT审计的组织与实施刘济平中国光大（集团）总公司审计部副主任注册信息系统审计师（CISA）、注册内部审计师（CIA）、高级审计师经济学硕士（南开大学西方会计与审计专业）、理学硕士（英国Strathclyde大学商务信息技术系统专业）E-mail: liujp@内容安排内部审计及其分类信息系统审计—从风险管理和风险基础审计的角度理解信息系统审计标准信息系统审计方法IT核心流程和审计方法问题讨论案例分析内部审计及其分类内部审计内部审计分类业务审计（Operations Audit）信息系统审计(Information Systems Audit)或IT审计内部审计及其分类业务审计与IT审计的关系业务审计IT审计一般应用控制电子数据表和局部数据库程序员安全在业务用户层面上的变更管理业务持续计划（BCP）基础架构一般应用控制变更和配置管理网络安全管理计算机操作系统开发生命周期（SDLC）共享数据库机房自动应用控制应用控制帐号管理/逻辑控制信息系统审计—从风险管理和风险基础审计的角度理解一个目标两种风险三项评价四类测试风险 机会信息系统审计—从风险管理和风险基础审计的角度理解一个目标将IT相关的风险控制在可接受的水平风险是事件的不确定性，这个事件对目标的实现具有影响。风险是不希望发生事情的可能性。对待风险的四种策略：拒绝、接受、转移、缓释（控制）信息系统审计—从风险管理和风险基础审计的角度理解两种风险战略风险失去竞争优势信息系统项目失败灾难导致长期不能提供服务……操作风险变更管理文档不完整密码政策不恰当未激活Oracle审计轨迹设置……信息系统审计—从风险管理和风险基础审计的角度理解三项评价评价信息系统项目评价业务流程中的IT控制评价信息安全信息系统审计—从风险管理和风险基础审计的角度理解四类测试IT控制环境测试物理控制测试逻辑控制测试IS操作控制测试信息系统审计—从风险管理和风险基础审计的角度理解将IT相关风险控制在可接受水平一个目标操作风险两种风险战略风险评价IT项目评价业务流程中的IT控制评价信息安全三项评价测试IT控制环境测试物理控制测试逻辑控制测试IS操作控制四类测试信息系统审计标准ITIL(IT Infrastructure Library)BS7799COBIT(Control Objectives for Information and Related Technology)信息系统审计标准—ITILIT服务管理IT服务管理（ITSM）：一种以流程为导向，以客户为中心的方法，它通过整合IT服务与组织业务，提高组织IT服务提供和服务支持的能力和水平。ITIL（IT Infrastructure Library, IT基础架构库），最初由英国商务部（OGC）80年代组织开发，是ITSM领域在欧洲的事实标准。2001年成为英国标准BS 15000业务技术IT服务管理实施规划业务视角服务管理ICT基础架构管理服务支持服务提供安全管理应用管理信息系统审计标准—ITILITIL整体框架服务提供包括5个核心流程： 服务级别管理、能力管理、可用性管理、持续性管理、财务管理。服务支持包括5个核心流程：配置管理、发布管理、变更管理、事故管理、问题管理、服务台职能。资料来源：OGC, 2002信息系统审计标准—BS7799信息安全管理：指一个组织的政策、实务、程序、组织结构和软件功能，用以保护信息，确保信息免受非授权访问、修改或意外变更，并且在经授权用户需要时可用。必威体育官网网址性(Confidentiality)完整性(Integrity)可用性(Availability)资料来源：Pfleeger, 1997信息系统审计标准—BS7799信息安全管理体系（ISMS）BS 7799： 最早由英国贸易和工业部于1993年组织开发，1995年成为英国国家标准，由两部分组成，目前必威体育精装版版本为：BS 7799-1：1999《信息安全管理实施规则》BS 7799-2：2002《信息安全管理体系规范》 BS 7799-1于2000年被批准为国际标准ISO/IEC 17799：2000《信息技术：信息安全管理实施规则》。信息系统审计标准—BS7799信息安全管理体系（ISMS）BS 7799-1将信息安全管理分为10类控制，成为组织实施信息安全管理的实用指南。信息安全政策安全组织资产分类和控制人员控制物理和环境安全通讯和运行管理访问控制系统开发和维护业务持续管理合规信息系统审计标准—BS7799BS 7799-2提供的信息安全管理框架政策文件制定政策第一步ISMS范围第二步确定ISMS的范围威胁、弱点、影响风险评价第三步实施风险评价结果和结论风险管理方法第四步管理风险需要的保证程度选择的控制选项ISMS需要的控制目标和控制第五步选择控制目标和控制BS 7799 以外