对计算机系统的稽核及案例分析20110618.ppt

* * * * * * * * * * * * COBIT是Controlled Objectives for Information and Related Technology的缩写，即信息及相关技术的控制目标 COBIT是 ISACA（信息系统审计和控制联合会）制订的面向流程的信息系统审计和评价的标准 COBIT提供了管理目标、过程活动、关键成功要素、关键目标指标、关键绩效指标等一系列的管理工具，提升IT治理水平，并通过成熟度模型来衡量IT治理水平。 IT治理从短期上说，就是做好企业信息部门的管理工作，以及协调好信息部门与其他业务部门的关系，如IT人力资源配备、IT部门组织流程设计、IT应用培训，IT服务等。从长远来说，IT治理工作需要与企业的IT规划相适应，并做为IT规划的一部分。IT治理长期的工作就是定义IT人力资源的规模，企业IT应用水平、IT服务所要达到的水平的规划。 * COBIT兼顧品質(quality)、監管(fiduciary)、安全(security)三方面之需求，彙整成七項資訊標準：效果、效率、保密、真實、可用性、遵循性、可靠性 為確保資訊符合上述標準，組織必須適當地控制及監督IT資源之使用 COBIT將IT資源之管理分為範疇(domains)、流程(processes)、活動(activities)三個層次 * * * * * * * * * * * * * * * * * * 制定计划 现场检查 人员组织 角色分配 选取辅 助工具 风险评估 出具报告 发现问题 核实确认 后续稽核 三、计算机稽核的流程和方法（10） 现场稽核流程举例 * 系统配置 日志分析 工具扫描 人员访谈 问卷调查 分析性复核 资料研读 现场观察 三、计算机稽核的流程和方法（11） * 稽核方法1、资料研读 通过阅读被稽核行的材料，了解被稽核行在计算机系统方面的内控情况。这些材料可以是规章制度、维护日志、授权审批记录、应急计划和演练记录、操作规程、人员及设备清单、图表等。 三、计算机稽核的流程和方法（12） * 资料研读从时间上可以划分为两个阶段：一个是进点之前，主要获取的是规章制度、人员及设备清单及操作规程等。这些资料比较正式，有些还是通过发文形式公布的；另一个阶段是进点后到现场获取的，这些资料包括维护日志和授权审批记录。 三、计算机稽核的流程和方法（12） * 稽核方法2、人员访谈 通过对相关人员的访谈，了解其对计算机安全意识、岗位职责和内控工作流程等内容的理解与合规情况。 三、计算机稽核的流程和方法（13） * 人员访谈的范围根据对象的不同可以分为三类：第一类是技术人员，包括信息科技部负责人、主机管理员、机房负责人、网络管理员、安全员和开发维护人员等；第二类是相关业务部门负责人，比如了解国际业务贸易结算系统时需要访谈国际业务部负责人；第三类是被稽核行行领导，主要访谈高层领导对计算机安全内控工作的重视程度和安全意识。 三、计算机稽核的流程和方法（13） * 稽核方法3、现场观察 到实地对计算机系统硬件、物理环境、人员实际工作状况进行了解和取证。现场查看的范围一般包括被稽核行数据处理中心、卡中心以及抽查部分辖属网点的计算机机房。如果有必要还应该到开发测试环境、备份介质库和备品备件库进行检查。 三、计算机稽核的流程和方法（14） * 稽核方法4、系统配置和日志分析 通过对路由器、交换机等网络设备和主机、前置机服务器及WINDOWS服务器的配置及日志分析，了解上述设备状态和存在问题，提出技术修补建议。 三、计算机稽核的流程和方法（15） * 稽核方法5、工具扫描 采用扫描软件，对办公网段服务器及PC进行安全漏洞扫描。扫描结果主要看两个方面：一是在密码设置方面有些什么问题；二是看哪些安全补丁没有打；三是看打开了哪些不必要的服务和协议。 三、计算机稽核的流程和方法（16） * 稽核方法6、问卷调查 主要面向中高层管理人员，问卷内容力求简单实用，主要涉及以下两方面问题：一是看被调查者对计算机安全组织架构和职责了解的程度；二是看被调查者在计算机安全内控方面的防范意识；三是测试被调查者在计算机应用方面的技巧。 三、计算机稽核的流程和方法（17） * 稽核方法7、分析性复核 通过指标的比率或趋势分析，了解系统的运行状况，对比不同时期、不同机构、不同系统之间的差异，了解导致这些差异的原因，进而发现稽核线索。 三、计算机稽核的流程和方法（18） * 一、计算机系统的内部控制 二、计算机稽核的主要内容 三、计算机稽核的标准 四、计算机稽核的流程和方法 五、案例分析 * 请根据