第3章 一般控制.ppt

3.系统基础设施控制及其审计第26页，共77页，星期日，2025年，2月5日系统基础设施控制及审计系统基础设施：保障IS工作所必需的设施与条件控制目的：保障信息系统安全、可靠的运行。重点：IS环境IS硬件系统软件*第27页，共77页，星期日，2025年，2月5日IS环境控制环境风险：自然灾害风险环境故障风险：电力故障、设备故障、温度、湿度、静电、接地、恐怖袭击等。控制目标：杜绝信息系统运行环境中影响信息系统正常、可靠运行的安全隐患，保护信息系统中的各种资源免受毁坏、替换、盗窃和丢失的威胁。*第28页，共77页，星期日，2025年，2月5日IS环境控制物理位置远离地下室、蓄水池化工厂、加油站、储气站、机场等。报警控制面板水灾控制水灾探测器火灾控制办公设施具备防火能力火灾警报器和灭火系统定期检测消防设施*第29页，共77页，星期日，2025年，2月5日IS环境控制电力供应相关风险的控制电力中断控制：保护器、UPS、后备发电机供电电源线中断控制：备份电力系统切断电源控制：机房内、外紧急断电装置防潮、防尘的控制其他相关控制如：信息处理场所设置警示标语、建立程序控制关机等。*第30页，共77页，星期日，2025年，2月5日IS硬件控制与审计内容步骤控制与审计采购1.招标（招标书/请求建议书）；2.供应商投标；3.评标；4.签合同。1.审查硬件获取计划（需求、指标、因素等）；2.审查硬件获取标准；3.审查评标过程。维护与监控1.制定维护计划/性能监控计划；2.实施维护与监控。1.审查维护计划/性能监控计划，及其批准情况；2.审查监控记录（硬件错误报告、可用性报告、利用率报告）；3.审查硬件变更控制程序。能力管理1.用户和IS管理部门共同制定能力计划；2.硬件能力管理程序和性能评估程序。1.定期审查和修改能力计划；2.审查硬件能力管理程序和性能评估程序。*审计方法：检查文档，也可采用会谈法、观察法。第31页，共77页，星期日，2025年，2月5日系统软件控制系统软件有哪些风险点？采购环节：

获取与实施、版权与许可、质量与服务使用环节：

变更、病毒、数据库、文档*第32页，共77页，星期日，2025年，2月5日系统软件控制内容步骤控制与审计获取与实施1.招标；2.评标；3.实施：配置与测试、获得认证和使用授权1.审查系统软件版本控制、计划控制；2.审查系统软件获取可行性研究和选择流程，注意成本效益分析、业务和技术因素；3.审计实施控制（测试、认证和使用授权）。变更控制变更控制程序：请求、评估、授权、通告、实施、测试1.审计变更控制程序；2.审查变更控制记录。版权与许可建立标准的计算机桌面环境和软件许可策略1.审查软件使用和复制的授权文档2.审查系统软件列表；3.审查软件安装控制机制等。OS控制参数在操作系统中设置和修改参数和选项1.检查参数（用户/组、组策略、注册表等）；2.查看日志文件、系统文件。DB安全存取管理、安全管理、DB加密审核DB的设计、访问、管理、接口和可移植性计算机病毒1.建立管理策略与程序；2.采用防病毒技术（硬件、软件）。1.审查管理策略与程序2.检查所有计算机都安装防病毒软件，并及时更新第33页，共77页，星期日，2025年，2月5日对系统软件控制的审计测试区域：

采购程序、变更程序、版权与许可控制、授权程序、访问安全控制、文档规范化控制、系统测试控制、对生产环境的访问控制、数据库控制以及相应的审计轨迹。*第34页，共77页，星期日，2025年，2月5日对系统软件控制的审计检查系统软件选择程序

审计内容：是否符合IS计划和业务计划要求；是否适应对IS的处理和控制要求；是否满足IS业务需求等审查系统软件获取可行性研究和选择流程

审计内容：确定建议的系统目标和目的与招标书/请求建议书一致，并使用了相同的选择标准。审计系统软件采购、实施

审计内容：确认系统软件采购的成本控制、安装控制、维护与变更控制、安全控制审计系统文档

审计内容：安装控制文件、系统参数表、系统日志。审计系统授权文档

审计内容：对系统访问授权的增、删、改是否进行记录，是否保存试图越权情形的处理报告的记录。*第35页，共77页，星期日，2025年，2月5日对系统软件控制的审计审计数据库控制设计了解使用的数据库模型，使用图表详细描述业务规则，确认实体-关系模型与数据库物理模式相一致访问对数据库、存储程序和触发器的访问控制是否适当，索引的使用是否最大限度地减少访问时间管理检查所有用户的安全级别和角色，所有