信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)基礎(chǔ)

《信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)基礎(chǔ)》由會(huì)員分享，可在線閱讀，更多相關(guān)《信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)基礎(chǔ)（24頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、1 信息系統(tǒng)審計(jì) （信息系統(tǒng)審計(jì)基礎(chǔ)） 楊 烺 （ CISA） 國(guó)際注冊(cè)信息系統(tǒng)審計(jì)師 2 信息系統(tǒng)審計(jì)基礎(chǔ) 信息系統(tǒng)審計(jì)的起源與發(fā)展 信息系統(tǒng)審計(jì)的內(nèi)容 內(nèi)部控制與審計(jì) IT審計(jì)的標(biāo)準(zhǔn)和依據(jù) IT審計(jì)的過(guò)程 IT審計(jì)的技術(shù) 3 1. 信息系統(tǒng)審計(jì)的起源與發(fā)展 1.1 國(guó)外： 八十年代、九十年代信息技術(shù)的進(jìn)一步 發(fā)展與普及，使得企業(yè)越來(lái)越依賴信息及產(chǎn) 生信息的信息系統(tǒng)。人們開(kāi)始更多的關(guān)注信 息系統(tǒng)的安全性、保密性、完整性及其實(shí)現(xiàn) 企業(yè)目標(biāo)的效率、效果，真正意義的信息系 統(tǒng)風(fēng)險(xiǎn)評(píng)估與審計(jì)才出現(xiàn)。 4 1. 信息系統(tǒng)審計(jì)的起源與發(fā)展 1.1 國(guó)外： 信息系統(tǒng)審計(jì)與控制協(xié)會(huì) ISACA (INFOR

2、MATION SYSTEM AUDIT AND CONTROL ASSOCIATION)，總部設(shè)在美國(guó)芝加哥。目前 該組織在世界上 100多個(gè)國(guó)家設(shè)有 160多個(gè)分 會(huì)，現(xiàn)有會(huì)員兩萬(wàn)多人，它是從事信息系統(tǒng) 審計(jì)的專業(yè)人員唯一的國(guó)際性組織。 5 1. 信息系統(tǒng)審計(jì)的起源與發(fā)展 1.1 國(guó)外： CISA (Certified Information System Auditor)是信息系統(tǒng)審計(jì)領(lǐng)域的唯一職業(yè)資 格 ISACA每年舉辦 CISA資格考試，通過(guò)考試 的人員可以申請(qǐng) CISA資格，符合 ISACA規(guī)定 的工作經(jīng)驗(yàn)及其他相關(guān)要求的申請(qǐng)人會(huì)被授 予 CISA資格。 CISA資格在世界各國(guó)都被

3、廣泛 的認(rèn)可。國(guó)內(nèi)獲得此資格的有三百多人。 6 1. 信息系統(tǒng)審計(jì)的起源與發(fā)展 1.1 國(guó)外： CISA考試介紹： 內(nèi)容：信息系統(tǒng)審計(jì)流程、信息系統(tǒng)的 管理、計(jì)劃與組織、信息技術(shù)基礎(chǔ)設(shè)施與操 作實(shí)務(wù)、信息資產(chǎn)的保護(hù)、災(zāi)難恢復(fù)與業(yè)務(wù) 持續(xù)計(jì)劃、應(yīng)用系統(tǒng)的開(kāi)發(fā)、獲得、實(shí)施與 維護(hù)、業(yè)務(wù)處理流程評(píng)價(jià)與風(fēng)險(xiǎn)管理。 時(shí)間：每年一次 題型與考試語(yǔ)言：全部是客觀題；英文、 中文； 75分合格 7 1. 信息系統(tǒng)審計(jì)的起源與發(fā)展 1.2 國(guó)內(nèi)： 1994 年 2 月，我國(guó)頒布了 中華人民共 和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 ，提出 了計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)的要求。 安全等級(jí)保護(hù)的總體目標(biāo)是確保信息安全和

4、 計(jì)算機(jī)信息系統(tǒng)安全正常運(yùn)行，并保障以下 安全特性：信息的完整性、可用性、保密性、 抗抵賴性、可控性等（其中完整性、可用性、 保密性為基本安全特性要求）。 8 1. 信息系統(tǒng)審計(jì)的起源與發(fā)展 1.2 國(guó)內(nèi)： 1994 年 2 月，我國(guó)頒布了 中華人民共和國(guó)計(jì) 算機(jī)信息系統(tǒng)安全保護(hù)條例 ，提出信息的完整性、 可用性、保密性、抗抵賴性、可控性等要求。 1999年 2月 9日，我國(guó)正式成立了中國(guó)國(guó)家信息安 全測(cè)評(píng)認(rèn)證中心。 2002年 4月 15日 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì) （簡(jiǎn)稱信息安全標(biāo)委會(huì)， TC260）。 2005年 12月 16日 國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組 正式通過(guò)了 信息安全風(fēng)險(xiǎn)評(píng)

5、估指南 。 9 管理計(jì)劃 與 IS的組 織 信息資產(chǎn) 的保護(hù) 災(zāi)難備份 與業(yè)務(wù)持 續(xù)計(jì)劃 技術(shù)基礎(chǔ) 與操作實(shí) 務(wù) 業(yè)務(wù)應(yīng)用系統(tǒng) 的開(kāi)發(fā)取得實(shí) 施與維護(hù) 業(yè)務(wù)過(guò)程 評(píng)價(jià)與風(fēng) 險(xiǎn)管理 2. 信息系統(tǒng)審計(jì)的內(nèi)容 10 一 般 控 制 靜 態(tài) IS的構(gòu)成 管理角度 管理計(jì)劃與 IS的組織 (C2) 技術(shù)角度 技術(shù)基礎(chǔ)與操作實(shí)務(wù) (C3) IS的控制 與安全 正常情況 信息資產(chǎn)的保護(hù) (C4) 非常情況 災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃 (C5) 動(dòng) 態(tài) 業(yè)務(wù)應(yīng)用系統(tǒng)的開(kāi)發(fā)取得實(shí)施與維護(hù) (C6) 應(yīng)用控制 業(yè)務(wù)過(guò)程評(píng)價(jià)與風(fēng)險(xiǎn)管理 (C7) 3. 信息系統(tǒng)審計(jì)與內(nèi)部控制 11 4. 信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù) 可信

6、的計(jì)算機(jī)系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)（ TCSEC， 從橘皮書(shū)到彩虹系列） 由美國(guó)國(guó)防部于 1985年公布的，是計(jì)算 機(jī)系統(tǒng)信息安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)。它 把計(jì)算機(jī)系統(tǒng)的安全分為 4類(lèi)、 7個(gè)級(jí)別，對(duì) 用戶登錄、授權(quán)管理、訪問(wèn)控制、審計(jì)跟蹤、 隱蔽通道分析、可信通道建立、安全檢測(cè)、 生命周期保障、文檔寫(xiě)作、用戶指南等內(nèi)容 提出了規(guī)范性要求。 12 4. 信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù) 信息技術(shù)安全評(píng)價(jià)的通用標(biāo)準(zhǔn)（ CC） 由六個(gè)國(guó)家（美、加、英、法、德、荷） 于 1996年聯(lián)合提出的，并逐漸形成國(guó)際標(biāo)準(zhǔn) ISO15408。該標(biāo)準(zhǔn)定義了評(píng)價(jià)信息技術(shù)產(chǎn)品 和系統(tǒng)安全性的基本準(zhǔn)則，提出了目前國(guó)際 上公認(rèn)的表述信息技

7、術(shù)安全性的結(jié)構(gòu)，即把 安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功 能要求以及解決如何正確有效地實(shí)施這些功 能的保證要求。 CC標(biāo)準(zhǔn)是第一個(gè)信息技術(shù)安 全評(píng)價(jià)國(guó)際標(biāo)準(zhǔn)，它的發(fā)布對(duì)信息安全具有 重要意義，是信息技術(shù)安全評(píng)價(jià)標(biāo)準(zhǔn)以及信 息安全技術(shù)發(fā)展的一個(gè)重要里程碑。 13 4. 信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù) ISO13335標(biāo)準(zhǔn) 首次給出了關(guān)于 IT安全的保密性、完整 性、可用性、審計(jì)性、認(rèn)證性、可靠性 6個(gè) 方面含義，并提出了以風(fēng)險(xiǎn)為核心的安全模 型：企業(yè)的資產(chǎn)面臨很多威脅（包括來(lái)自內(nèi) 部的威脅和來(lái)自外部的威脅）；利用信息系 統(tǒng)存在的各種漏洞（如：物理環(huán)境、網(wǎng)絡(luò)服 務(wù)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全

8、 策略等），對(duì)信息系統(tǒng)進(jìn)行滲透和攻擊。 14 4. 信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù) BS7799 是英國(guó)的工業(yè)、政府和商業(yè)共同需求而 發(fā)展的一個(gè)標(biāo)準(zhǔn)，它分兩部分：第一部分為 “ 信息安全管理事務(wù)準(zhǔn)則 ” ；第二部分為 “ 信息安全管理系統(tǒng)的規(guī)范 ” 。目前此標(biāo)準(zhǔn) 已經(jīng)被很多國(guó)家采用，并已成為國(guó)際標(biāo)準(zhǔn) ISO17799。 BS7799包含 10個(gè)控制大項(xiàng)、 36 個(gè)控制目標(biāo)和 127個(gè)控制措施。 BS7799/ISO17799主要提供了有效地實(shí)施信 息系統(tǒng)風(fēng)險(xiǎn)管理的建議，并介紹了風(fēng)險(xiǎn)管理 的方法和過(guò)程。企業(yè)可以參照該標(biāo)準(zhǔn)制定出 自己的安全策略和風(fēng)險(xiǎn)評(píng)估實(shí)施步驟。 15 4. 信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù)

9、“信息系統(tǒng)和技術(shù)控制目標(biāo) ” （ COBIT） 是 IT治理的一個(gè)開(kāi)放性標(biāo)準(zhǔn)，目前已成 為國(guó)際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信 息技術(shù)管理和控制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為 IT的治 理、安全與控制提供了一個(gè)一般適用的公認(rèn) 的標(biāo)準(zhǔn)，以輔助管理層進(jìn)行 IT治理。該標(biāo)準(zhǔn) 體系已在世界一百多個(gè)國(guó)家的重要組織與企 業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源， 有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。 16 4. 信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù) 17 4. 信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù) 18 4. 信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù) 19 4. 信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)與依據(jù) 20 5. 信息系統(tǒng)審計(jì)的過(guò)程 審計(jì)計(jì)劃： 檢查被審計(jì)單位的 IT政策、實(shí)務(wù)及組

10、 織結(jié)構(gòu)； 檢查一般控制和應(yīng)用控制的情況； 計(jì)劃控制測(cè)試和實(shí)質(zhì)性測(cè)試的程序； 21 5. 信息系統(tǒng)審計(jì)的過(guò)程 控制測(cè)試： 實(shí)施控制測(cè)試； 評(píng)價(jià)測(cè)試結(jié)果； 確定對(duì)控制的依賴程度； 22 5. 信息系統(tǒng)審計(jì)的過(guò)程 實(shí)質(zhì)測(cè)試： 實(shí)施實(shí)質(zhì)性測(cè)試； 評(píng)價(jià)測(cè)試結(jié)果并簽發(fā)審計(jì)報(bào)告； 審計(jì)報(bào)告 23 6. 信息系統(tǒng)審計(jì)的技術(shù) 問(wèn)卷調(diào)查表 被測(cè)信息系統(tǒng) 評(píng)估申請(qǐng) 漏洞掃描工具 評(píng)估或等級(jí)標(biāo)準(zhǔn) 系統(tǒng)風(fēng)險(xiǎn)識(shí)別與分析 綜合評(píng)估 標(biāo)準(zhǔn)庫(kù) 評(píng)估報(bào)告 風(fēng) 險(xiǎn) 數(shù) 據(jù) 采 集 正反向工具箱 知識(shí)庫(kù) 風(fēng) 險(xiǎn) 識(shí) 別 與 分 析 綜 合 評(píng) 估 評(píng)估單位 信息庫(kù) 等級(jí)庫(kù) 評(píng)估方法庫(kù) 等級(jí)判定報(bào)告 資產(chǎn)分析 脆弱性分析 威脅分析 物理平臺(tái) 網(wǎng)絡(luò)平臺(tái) 應(yīng)用平臺(tái) 管理平臺(tái)操作系統(tǒng)平臺(tái) 評(píng) 估 項(xiàng) 目 管 理 24