IT 审计二.ppt

大鹏证券有限责任公司培训中心 稽核部培训教材 ? 2001 Arthur Andersen All rights reserved. 第二部分信息系统管理 物理设备层 楼房 主机房 保护柜 网络 局域网 (LAN) : 计算机之间的地理位置十分接近 (即在同一栋楼内)。 广域网 (WAN) : 计算机间距离较远，并由电话线、无线电波和专线连接。 网络组件 协议: Netbios, TCP/IP, SNA, IPX, X25.. 网络类型: 租用专线、ISDN、FDDI、以太网、ATM、无线电、远红外线、微波、GSM、卫星 网络设备: 路由器、防火墙、网桥、加密设备和调制解调器 硬件平台 不同类型的硬件 大型机 (OS/390) 小型机 (AS/400, RS/6000) 微机 (PC, Macintosh) 计算机组成部件 内存 海量存储器 输入设备 输出设备 中央处理器 软件平台 操作系统 (“OS”) 包含连接用户、处理器和应用软件的程序 常用操作系统: Window 95/98/NT/2000 Macintosh OS OS/2 Unix (Linux, AIX…) OS/400 MVS/VSE 工具程序 工具程序是系统在一般处理运作中经常需要使用的、用以进行系统维护和日常运作的系统软件 例如: 数据操纵工具程序 在线纠错程序 DBMS 系统 数据库管理系统 (“DBMS”) 协助组织、控制和使用应用程序所需数据的系统软件 常用数据库产品举例 IBM DB2 Oracle Database Microsoft SQL Server Sybase Informix 数据库层 字段 记录 表格 (文件) 应用程序和业务流程 应用程序包括所有为最终用户设计的软件 流行应用软件举例 企业资源计划系统 SAP Oracle Financial Peoplesoft 财务系统 Kingdee USoft 工资支付系统 信息系统的管理和控制框架 信息系统控制 可以分为以下四个领域: 可管理性 可用性 一致性和保密性 可扩展性 信息系统的管理为什么如此困难? -- 普遍趋势 对信息和技术的依赖日益增加 信息技术环境日益复杂 零散的信息技术基础设施 技术人员供不应求 信息技术成本被视为“失去控制” 企业的机动灵活性受到破坏 信息技术部门的增长令人烦恼－用户自行建立了技术方案 信息技术越复杂，就越难于管理，陷入恶性循环 可管理性 可管理性涉及以下几个领域: 信息技术战略规划 信息技术安全政策 组织架构管理 系统开发和维护 系统事故报告 信息技术战略规划 信息技术战略规划: 确定有限的信息技术资源的优先次序并进行合理配置，以满足整体目标 长期计划 (一年以上，一般3至5年) 短期计划 (一年) 上述计划应与企业为实现目标而制定的其它计划一致 信息技术战略规划 信息技术战略规划内容: 1. 确定企业的目标 2. 评估现有的信息系统 3. 确定实现企业目标所需的系统要求 4. 确定信息管理要求的优先次序 5. 设计从现有的信息管理状况达至所需/最优状况的途径 6. 确定职责 7. 根据要求的优先次序和预算限制，制定实施计划 信息技术安全政策 信息技术安全政策为什么重要? 提供标准 有助于成功地实施和维持安全控制措施 有助于提高整个企业对安全问题的警觉性 信息技术安全政策 基本要求 该政策必须是: 可执行、可实施的 简明易懂的 良好地平衡生产和保护二者间的关系 经常更新，跟上企业的变化 该政策应当 : 说明企业在安全方面的所有的风险状况 确定保护企业资产是谁的责任 说明为了提高充分保护将采取的防护措施，以及对违反这些措施的处罚 信息技术安全政策 一个良好的安全政策包括 管理层的支持和付出 责任清晰 高度警觉 多方参与 均衡适度 重新评估 注重时效 信息技术安全政策 信息技术政策框架: 1. 概述 2. 安全机构 3. 数据/信息技术设备的分类和控制 4. 人员安全 5. 物理访问控制 6. 逻辑访问控制 7. 计算机管理 8. 系统开发和控制 9. 紧急事故和灾害复原 员工职责 系统分析- 根据用户需要设计系统 应用编程- 负责开发新系统及生产过程中系统的维护 数据输入- 通常由用户部门的人员或客户在线进行 计算机操作员- 进行备份、系统监测和批处理工作 数据库管理员- 确定并维护数据库的数据结构 员工职责 安全管理员- 制定并监测安全控制 磁带管理员- 负责记录、收发并保护计算机磁带上保有的所有程序和数据文件 系统编程- 负责维护系统软件，包括操作系统的软件 质量保证- 进行测试和检查，保证程序、程序的变更和文档记录符合标准