IT审计的组织与实施(培训课件).ppt
《IT审计的组织与实施(培训课件).ppt》由会员分享,可在线阅读,更多相关《IT审计的组织与实施(培训课件).ppt(81页珍藏版)》请在第壹文秘上搜索。
1、1IT审计的组织与实施n刘济平n中国光大(集团)总公司审计部副主任n注册信息系统审计师(CISA)、注册内部审计师(CIA)、高级审计师n经济学硕士(南开大学西方会计与审计专业)、理学硕士(英国Strathclyde大学商务信息技术系统专业)nE-mail: 2内容安排n内部审计及其分类n信息系统审计从风险管理和风险基础审计的角度理解n信息系统审计标准n信息系统审计方法nIT核心流程和审计方法n问题讨论n案例分析3内部审计及其分类n内部审计n内部审计分类n业务审计(Operations Audit)n信息系统审计(Information Systems Audit)或IT审计4内部审计及其分类
2、n业务审计与IT审计的关系自动应用控制应用控制帐号管理/逻辑控制一般应用控制电子数据表和局部数据库程序员安全在业务用户层面上的变更管理业务持续计划(BCP)基础架构一般应用控制变更和配置管理网络安全管理计算机操作系统开发生命周期(SDLC)共享数据库机房业务审计IT审计5信息系统审计从风险管理和风险基础审计的角度理解n一个目标n两种风险n三项评价n四类测试6信息系统审计从风险管理和风险基础审计的角度理解n一个目标n将IT相关的风险控制在可接受的水平n风险是事件的不确定性,这个事件对目标的实现具有影响。n风险是不希望发生事情的可能性。n对待风险的四种策略:拒绝、接受、转移、缓释(控制)风险 机会
3、7信息系统审计从风险管理和风险基础审计的角度理解n两种风险n战略风险n失去竞争优势n信息系统项目失败n灾难导致长期不能提供服务nn操作风险n变更管理文档不完整n密码政策不恰当n未激活Oracle审计轨迹设置n8信息系统审计从风险管理和风险基础审计的角度理解n三项评价n评价信息系统项目n评价业务流程中的IT控制n评价信息安全9信息系统审计从风险管理和风险基础审计的角度理解n四类测试nIT控制环境测试n物理控制测试n逻辑控制测试nIS操作控制测试10信息系统审计从风险管理和风险基础审计的角度理解将IT相关风险控制在可接受水平战略风险操作风险评价IT项目评价业务流程中的IT控制评价信息安全测试IT控
4、制环境测试物理控制测试逻辑控制测试IS操作控制一个目标两种风险三项评价四类测试11信息系统审计标准nITIL(IT Infrastructure Library)nBS7799nCOBIT(Control Objectives for Information and Related Technology)12信息系统审计标准ITILnIT服务管理nIT服务管理(ITSM):一种以流程为导向,以客户为中心的方法,它通过整合IT服务与组织业务,提高组织IT服务提供和服务支持的能力和水平。nITIL(IT Infrastructure Library, IT基础架构库),最初由英国商务部(OGC)8
5、0年代组织开发,是ITSM领域在欧洲的事实标准。2001年成为英国标准BS 1500013信息系统审计标准ITILnITIL整体框架服务提供包括5个核心流程: 服务级别管理、能力管理、可用性管理、持续性管理、财务管理。服务支持包括5个核心流程:配置管理、发布管理、变更管理、事故管理、问题管理、服务台职能。技术业务应用管理IT服务管理实施规划业务视角服务管理服务管理ICT基础架构管理安全管理服务支持服务提供资料来源:OGC, 200214信息系统审计标准BS7799n信息安全管理:指一个组织的政策、实务、程序、组织结构和软件功能,用以保护信息,确保信息免受非授权访问、修改或意外变更,并且在经授权
6、用户需要时可用。保密性(Confidentiality)资料来源:Pfleeger, 1997完整性(Integrity)可用性(Availability)15信息系统审计标准BS7799n信息安全管理体系(ISMS)nBS 7799: 最早由英国贸易和工业部于1993年组织开发,1995年成为英国国家标准,由两部分组成,目前最新版本为:nBS 7799-1:1999信息安全管理实施规则nBS 7799-2:2002信息安全管理体系规范 BS 7799-1于2000年被批准为国际标准ISO/IEC 17799:2000信息技术:信息安全管理实施规则。16信息系统审计标准BS7799n信息安全管
7、理体系(ISMS)nBS 7799-1将信息安全管理分为10类控制,成为组织实施信息安全管理的实用指南。n通讯和运行管理n访问控制n系统开发和维护n业务持续管理n合规n信息安全政策n安全组织n资产分类和控制n人员控制n物理和环境安全17信息系统审计标准BS7799nBS 7799-2提供的信息安全管理框架制定政策确定ISMS的范围实施风险评价管理风险选择控制目标和控制制定应用说明政策文件ISMS范围风险评价选择的控制选项应用说明结果和结论选择的控制目标和控制威胁、弱点、影响风险管理方法需要的保证程度ISMS需要的控制目标和控制BS 7799 以外的控制第一步第二步第三步第四步第五步第六步资料来
8、源:BSI,199918信息系统审计标准-COBITnIT治理n信息安全和控制实务普遍接受的标准n主要目的是为企业治理提供清晰的政策和最佳实务n以信息系统审计与控制基金会 (ISACF) 的控制目标为基础,由ISACA及其下属的“IT治理研究院”开发。1996年第一版,2000年第三版,2006年第四版。19信息系统审计标准-COBITn由34个IT控制目标组成,分为四个方面:n规划和组织n获得与实施n交付与支持n监控20信息系统审计标准-COBIT COBIT 的34个控制目标交付和支持交付和支持IT 资源信息信息监控监控获得与实施获得与实施规划和组织规划和组织-效果性 -效率性-保密性 -
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IT 审计 组织 实施 培训 课件